ThinManager

Snadné doručování obsahu centrálně provozovaných aplikací na tenké a mobilní klienty


Anotace

ThinManager umožňuje snadné doručování obsahu aplikací a pracovních ploch hostovaných na serverech Hostitelů relací vzdálené plochy (dřívější označení Terminálové servery) na téměř jakákoliv klientská zařízení: na tenké a zero klienty, na mobilní zařízení, na tradiční PC s operačním systémem Windows; a nově i na holografické brýle.

ThinManager je světově vedoucí softwarovou platformou pro centralizovanou správu a komplexní podporu architektur s tenkými klienty v průmyslových aplikacích.

Byl vyvinut americkou firmou ACP (Automation Control Products), specializovanou na řešení s tenkými klienty nasazenými v průmyslovém prostředí, která se od 9/2016 stala součástí koncernu Rockwell Automation.

ThinManager zajistí:
  • Snadnou integraci tenkých, zero a mobilních klientů do systémové architektury
  • Centrální správu jejich konfigurace
  • Integraci obrazu z IP kamer
  • Pokročilé zabezpečení síťové infrastruktury
  • Velkou flexibilitu v nastavení klientských pracovišť
  • Doručování aplikací a informací mobilním uživatelům v závislosti na lokalitě
  • Vysokou dostupnost provozovaných aplikací bez nutnosti investovat do nákladných řešení na bázi failover clusteru

ThinManager pracuje na základně služeb vzdálené plochy a přidává vlastní pokročilé vlastnosti. Kromě tenkých klientů je do systému možné začlenit rovněž PC a mobilní zařízení.

ThinManager umožňuje snadné přizpůsobení doručovaného obsahu na míru přihlášenému uživateli a jeho roli ve Vaší organizaci a (v případě mobilního klienta) lokalitě, ve které se právě nachází.

ThinManager je jedinečná softwarová platforma, která současnou administrací serverové a klientské části systému zajistí jak vysokou dostupnost aplikací doručovaných na klientské stanice, tak velmi rychlou obnovu klientské stanice po případném výpadku klientského HW a tak dále posouvá hranice ve snižování celkových nákladů na vlastnictví informačního systému.

Tenký klient: Terminál s minimálním SW a HW vybavením, obvykle s embedded OS. HW a jeho údržba je levnější oproti klasickým PC, spolehlivost je větší.

Zero klient: Terminál zcela bez OS. Potřebný SW nahrává při náběhu ze sítě. Nemá obvykle ani lokální úložiště a vyžaduje zcela minimální údržbu, přičemž vykazuje vysokou spolehlivost.

V případě zájmu nebo jakýchkoliv dotazů nás neváhejte kontaktovat na info@pantek.cz.

Hlavní přínosy

Široká škála klientských zařízení

  • Snadné připojení širokého portfolia terminálů (tenkých a zero klientů)
    – viz. http://www.thinmanager.com/kb/index.php/Supported_Hardware
  • Možnost integrace mobilních zařízení a podpora většiny níže uvedených vlastností na těchto typech zařízení instalací aplikací iTMC (pro mobilní zařízení firmy Apple) nebo DroidTMC (pro Android).
  • Možnost začlenit počítače typu PC prostřednictvím aplikace WinTMC, spravovat a provozovat je jako tenké klienty a umožnit tak dožít stávající HW než bude nahrazen tenkými klienty.

Centrální správa celé architektury a zabezpečení systému

  • Centrální, jednoduchá a přehledná správa klientské i serverové části systému
  • Pokročilé zabezpečení na úrovni terminálu a navázané relace rozšířené vrstvou TermSecure
    Více o zabezpečení v sekci Přínosy ThinManager z hlediska Cyber Security.

Bezkonkurenční flexibilita v konfiguraci klientských pracovišť

  • MultiMonitor – flexibilní práce s více monitory
  • MultiSession – navázání více relací na jeden klientský HW nebo jednoho uživatele
  • MultiStation – realizace většího počtu nezávislých klientských pracovišť prostřednictvím jednoho sdíleného terminálu
  • Sdílení myši a klávesnice mezi více terminály např. pro realizaci velkoplošných zobrazovacích velínových systémů
  • Stínování obrazu (terminál -> terminál a terminál -> ThinManager)

Integrace obrazu z IP kamer

  • Ořez a roztažení obrazu
  • Střídání obrazu z více kamer
  • Dynamické ovládání pozice obrazu (překrytí)

Nízké náklady na vlastnictví systému při zajištění vysoké dostupnosti aplikací

  • Failover a “Instant Failover” bez nutnosti zavádět nákladná řešení na bázi failover clusteru
    – Failover – Otevření relace na záložní server v případě nedostupnosti primárního serveru bez interakce uživatele
    – Instant failover – Přepnutí již navázané relace na záložní server v případě nedostupnosti primárního serveru bez interakce uživatele
  • Rozkládání zátěže na farmě Hostitelů relací vzdálené plochy podle předem nastavených pravidel (vytížení CPU, obsazení RAM, počtu navázaných relací)
  • Realizace systému ThinManager s vysokou dostupností konfigurace a s možností redundantní administrace
  • Snadné začlenění levných, spolehlivých a odolných terminálů typu tenký nebo “zero” klient (bez rotačních částí, bez lokálních úložišť, s minimem HW a SW vybavení)
  • Velmi snadná náhrada klientské stanice v případě poruchy bez potřeby zvláštní kvalifikace
    (přepoj kabely, klikni myší a pokračuj v práci)

Relevantní informace pro klienty systému

  • Zprostředkování obsahu správné osobě ve správnou chvíli na správné místo
  • Podpora snímačů přítomnosti osob, čteček otisku prstu, čipových karet apod.
  • Vztažení doručovaných informací ke konkrétním klientům a konkrétním lokalitám

Přínosy ThinManager z hlediska Cyber Security

Provoz aplikací na serverové farmě

Jeden z hlavních přínosů plynoucí z nasazení tenkých nebo ještě lépe „zero“ klientů se týká zabezpečení systému. Výhody spočívají již v topologii nasazení, kdy aplikace (např. InTouch) jsou provozovány na serverové farmě, která je v péči IT odborníků, a je tedy řádně zajištěna a zabezpečena a oddělena od klientských terminálů prostřednictvím bariéry firewall.

Vůči této farmě otevírají klienti relace vzdálené plochy, přičemž možnosti jejich interakce s relací jsou přesně vymezeny. Obvyklé a doporučené je klientům zpřístupnit pouze rozhraní aplikací, které používají. Při nasazení ThinManager potom dochází automaticky k tomu, že klient nemá přístup na plochu Windows ani nemá k dispozici funkčnost Windows kláves a zkratek (WIN, CTRL, ALT, DEL), přičemž však není omezen pouze na používání jedné aplikace, neboť může mít navázáno více relací současně (vlastnost MultiSession).

Tenký HW = omezené možnosti pro vstup malware

Další bezpečnostní aspekty plynou přímo z použití tenkého HW, kdy určitá zařízení obvyklá pro PC na tenkých klientech zcela chybí (CD mechaniky, lokální úložiště). V takovém případě může klientský terminál naběhnout pouze ve spolupráci s ThinManager. Administrátor ThinManageru má tedy plnou kontrolu nad tím, která „zbylá“ HW rozhraní bude mít klient k dispozici, tj. které ovladače budou do tenkého klienta zavedeny. ThinManager ve výchozí konfiguraci nezavádí na tenké klienty např. ovladače USB, neboť USB představují významnou bránu pro vstup malware do systému.

Oddělení přihlašovacích údajů od účtů Windows/ActiveDirectory

Další významnou vlastností je, že klientská relace může být otevřena prostřednictvím účtu Windows, který klient nezná. Tento Windows účet je pouze zaveden v systému ThinManager, kde je bezpečně uložen, a je rovněž bezpečně předán klientskému zařízení při náběhu. Uživatel tedy nemůže tento účet zneužít ani vyzradit.

Často je však potřebné, aby se uživatelé do systému interaktivně přihlašovali a na základě jejich přihlášení jim byly aktivovány příslušné aplikace. Potom je vhodné využít systém TermSecure (součást ThinManager). Uživatel se může do TermSecure přihlásit prostřednictvím klávesnice, snímače otisku prstu, čipové karty, USB flash klíče a RFID proximity card (detekce přiblížení) nebo vhodnou kombinací zmíněných metod, přičemž je systémem TermSecure ověřen a autorizován (jsou mu zpřístupněny konkrétní aplikace v relacích vzdálené plochy).

Účet TermSecure je interně propojen s Windows účtem pro otevírání relací, ale tento Windows účet je uživateli zcela utajen. Uživatel, který se tedy přihlašuje k terminálům účtem TermSecure svá přihlašovací data nemůže zneužít jinde (například při přihlášení z PC) neboť nejde o Windows přihlášení. Mezi konkrétním přihlášením uživatele a účtem Windows je tedy bariéra, která radikálně posiluje systém zabezpečení.

Standardní zásady zabezpečení poskytované Windows

Popsané bezpečnostní mechanismy je vhodné doplnit limitací práv skupiny uživatelů přistupujících k serveru prostřednictvím vzdálené plochy (přestože plénu uživatelů nejsou tyto účty známy) a dále zabezpečením na úrovni provozovaných aplikací (např. InTouch).