Wenn Ihnen diese Aufgabe nicht angezeigt wird, sind Sie kein autorisierter Benutzer. Weitere Informationen hierzu finden Sie unter Autorisierte Benutzer und Gruppen. Dieses Thema enthält folgende Informationen:
In der Datei config.xml gibt es drei Einstellungen für die Steuerung der Sicherheit und der Zertifikate beim Erstellen einer LDAP-SSL-Verbindung durch iManager:
Security.Keystore.AutoUpdate: Lautet der Wert von AutoUpdate true, kann das Zertifikat dieses eDirectory-Servers automatisch in den iManager-spezifischen Keystore importiert werden, sobald eine Benutzeranmeldung bei iManager erfolgt. Wählen Sie die Einstellung Benutzerzertifikat für sicheres LDAP autom. importieren (iManager konfigurieren > Sicherheit).
Security.Keystore.UpdateAllowAll: Wenn für UpdateAllowAll die Einstellung true gilt, wird bei jeder erfolgten Benutzeranmeldung ein Zertifikat in den Zertifikat-Keystore von iManager importiert bzw. dort aktualisiert. Lautet die Einstellung "false", werden nur bei einer Anmeldung durch einen autorisierten Benutzer Zertifikate importiert bzw. aktualisiert.
Security.Keystore.Priority: Die Einstellung Priority beinhaltet zwei Wörter, mit denen die Suchreihenfolge für Zertifikate während einer Verbindung vorgegeben wird: system und imanager. system verwendet den standardmäßigen JVM*-KeyStore zum Suchen von Zertifikaten bei der Erstellung des SSL-Kontextes. Wenn der Versuch nicht erfolgreich ist, wird der KeyStore von iManager verwendet.
Sie können die Suchreihenfolge von system und iManager ändern, indem Sie eines der beiden Wörter aus dem Eintrag entfernen.
Zur weiteren Verstärkung der Sicherheit sollten Sie AutoUpdate nicht zulassen und nur den KeyStore für "system" verwenden. In diesem Fall müssen Sie die Zertifikate, die Sie in das Standardsystem-KeyStore importieren möchten, mithilfe der in Java vorhandenen Werkzeuge manuell importieren. Wenn Sie UpdateAllowAll deaktivieren, ist das Importieren von Zertifikaten nur über eine ordnungsgemäße Anmeldung eines für iManager autorisierten Benutzers möglich.
Diese Einstellungen wirken sich auf die gesamte Konfiguration des Webservers aus und werden in der Datei config.xmlgespeichert. Sie können entweder nach jeder vorgenommenen Einstellung speichern oder einmal auf Speichern klicken, nachdem Sie alle Änderungen durchgeführt haben.
Wählen Sie diese Option, wenn Benutzer ohne sichere Verbindung zwischen dem Webbrowser und dem Webserver den folgenden Warnhinweis erhalten sollen: Sie benutzen eine unsichere Verbindung.
Stellen Sie sicher, dass Sie die Voraussetzungen von Audit erfüllen. Wählen Sie die Option "Novell Audit aktivieren" und markieren Sie bestimmte Protokollereignisse in iManager. Klicken Sie dann auf Speichern.
Für eine sichere LDAP-Verbindung ist ein Zertifikat erforderlich. Wenn Sie diese Funktion auswählen, importiert das System automatisch ein öffentliches Baumzertifikat für sicheres LDAP.
Autorisierte Benutzer und Gruppen können in iManager die verschiedenen Verwaltungsaufgaben durchführen. Die Daten der autorisierten Benutzer werden gespeichert in TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties . Während des Installationsvorgangs von iManager wird diese Datei nur erstellt, wenn Benutzer- und Gruppeninformationen eines autorisierten Benutzers angegeben werden; dies ist jedoch nicht erforderlich. Wenn dies nicht durchgeführt wird, kann jeder Benutzer iManager-Plugins installieren und iManager-Servereinstellungen bearbeiten (auf lange Sicht nicht zu empfehlen).
Wird eine Gruppe oder organisatorische Rolle zu dieser Liste hinzugefügt, werden alle Mitglieder dieser Gruppe bzw. organisatorischen Rolle zu autorisierten Benutzern. Wenn Sie eine verschachtelte Gruppe hinzufügen, wird nur die erste Mitgliederebene unterstützt. Das Hinzufügen dynamischer Gruppen wird hingegen überhaupt nicht unterstützt, da in ihnen jede Art von Objekt als Mitglied enthalten sein kann.
Nach der Installation von iManager können Sie autorisierte Benutzer, Gruppen und organisatorische Rollen hinzufügen, indem Sie diese angeben oder indem Sie die Objektauswahl neben der Liste Autorisierte Benutzer und Gruppen nutzen. Dadurch wird die Datei configiman.properties geändert.
Um alle Benutzer des Baums als autorisiert festzulegen, geben Sie AllUsers ein.
HINWEIS:Sie können nur gültige Benutzer zu der Liste Autorisierte Benutzer und Gruppen hinzufügen. Wenn Sie ungültige Benutzer hinzufügen und auf Speichern klicken, wird eine Fehlermeldung angezeigt, die besagt, dass das Objekt nicht gefunden wurde. Wenn Sie nur ungültige Benutzer zu der Liste hinzufügen und auf Speichern klicken, wird die Fehlermeldung angezeigt und die Liste der ungültigen Benutzer wird automatisch durch AllUsers ersetzt. Wenn Sie nicht möchten, dass alle Benutzer des Baumes autorisierte Benutzer sind, entfernen Sie AllUsers aus der Liste, fügen Sie die gewünschten gültigen Benutzer hinzu und klicken Sie auf Speichern.
WICHTIG:Wenn Sie iManager zum ersten Mal installiert haben, ist die Liste der autorisierten Benutzer und Gruppen leer. Als Admin-Benutzer müssen Sie der Liste sofort Benutzer und Gruppen hinzufügen, um diese zu autorisieren und um die Rechte zur Bearbeitung der Liste zu erhalten. Anderenfalls kann es passieren, dass ein Benutzer ohne Admin-Rechte Benutzer und Gruppen zur Liste hinzufügt und so die Rechte zur Bearbeitung der Liste erhält. Sie (Admin) könnten die Rechte zur Bearbeitung der Liste verlieren.
Informationen bezüglich der Sicherheit der Datei configiman.properties finden Sie unter Autorisierte Benutzer und Gruppen in iManager.
Auf dem Karteireiter Erscheinungsbild können Sie das Erscheinungsbild der iManager-Oberfläche anpassen. Diese Informationen werden in der Datei TOMCAT_HOME\webapps\nps\WEB-INF\config.xml gespeichert.
Geben Sie in diesem Textfeld den Namen Ihrer Organisation an. Er wird dann in der Titelleiste des Webbrowsers anstelle des Standardtexts (NetIQ iManager) angezeigt.
Die Titelleiste enthält drei Bilder: das Hintergrundbild für den Kopftext, das Füllbild für den Kopftext und das Branding-Bild für den Kopftext. Ihre eigenen Bilder müssen den in der Schnittstelle vorgegebenen Dimensionen entsprechen.
Speichern Sie diese Dateien unter nps/portal/modules/fw/images. Geben Sie den Pfad für jedes Bild in seinem jeweiligen Textfeld an.
Sie können die Farbe des Menütitels und den Hintergrund des Navigationsmenüs auf der linken Seite anpassen.
Hierfür können Sie entweder die Namen der Farben oder hexadezimale Zahlen eingeben. Die Einträge unterliegen nicht der Groß-/Kleinschreibung. Klicken Sie auf Zurücksetzen, um Farben und Bilder auf die Standardeinstellungen zurückzusetzen, oder auf Speichern, um die Einstellungen zu speichern. in die Datei config.xml.
Auf dem Karteireiter Protokollierereignisse können Sie die Protokollierumgebung von iManager konfigurieren. Es gibt zwei Protokollierungseinstellungen:
Protokollierumfang: Wählen Sie die Nachrichtentypen aus, die Sie protokollieren möchten. Es stehen vier Optionen zur Auswahl: Keine Protokollierung, nur Fehler, Fehler und Warnmeldungen und Fehler, Warnmeldungen und Debug-Informationen.
Wählen Sie Ihre Optionen für die Protokollausgabe.
Logging Output: Wählen Sie das Ziel für protokollierte Nachrichten aus diesen drei Optionen aus: Protokollausgabe an das Standardfehlergerät senden, Protokollausgabe an das Standardausgabegerät senden oder Protokollausgabe an Datei Debug.html senden.
Auf dieser Seite werden sowohl der Pfad der Protokolldatei als auch die Größe der Protokolldatei angezeigt. Klicken Sie auf Anzeigen, um die aktuelle Protokolldatei im HTML-Format anzuzeigen. Klicken Sie auf Löschen, um die aktuelle Protokolldatei zu löschen und die Protokollgröße auf 0 (null) Byte zurückzusetzen.
Bei Auswahl der Option Umleitung nach Abmeldung können Sie die URL angeben, zu der Sie beim Abmelden von iManager weitergeleitet werden. Klicken Sie ohne Angabe einer Weiterleitungs-URL auf "Beenden", sehen Sie nach der Abmelden bei iManager standardmäßig die Anmeldeseite.
Aktivieren: Wählen Sie diese Option, um die Funktion "Umleitung nach Abmeldung" zu aktivieren.
URL: Geben Sie die URL ein, zu der nach der Abmeldung von iManager weitergeleitet werden soll.
Auf dem Karteireiter Authentifizierung können Sie die Anmeldungsseite von iManager konfigurieren. Sie enthält die folgenden Optionen:
Anmeldeinformationen (ausgenommen Passwort) speichern: Wenn diese Option ausgewählt ist, muss der Benutzer nur noch ein Passwort für die Anmeldung eingeben.
Sicheres LDAP für automatische Verbindung verwenden: Wenn diese Option ausgewählt ist, führt iManager LDAP-Kommunikation mittels SSL durch. Manche Plugins, zum Beispiel dynamische Gruppen und NMAS, funktionieren nicht, wenn diese Option nicht aktiviert ist. Diese Einstellung wird erst wirksam, wenn Sie sich aus iManager abmelden.
Ausblenden von spezifischen Gründen für Anmeldefehler: Wenn diese Option ausgewählt ist, ersetzt iManager eDirectory-Meldungen, die sich auf die Authentifizierung beziehen, durch eine generische Fehlermeldung mit dem Inhalt: Anmeldefehler. Ungültiger Benutzername oder ungültiges Passwort. Weitere Informationen finden Sie unter Verhindern der Ermittlung von Benutzernamen.
Auswahl des Baumnamens aktivieren: Wenn diese Option ausgewählt ist, wird auf der Anmeldeseite von iManager das Feld Baum angezeigt. Wenn Sie diese Option nicht auswählen, benötigen Sie einen Standardbaumnamen. Andernfalls können Sie sich nicht anmelden.
Kontextlose Anmeldung: Bei der kontextlosen Anmeldung können Benutzer sich mit dem Benutzernamen und Passwort anmelden, ohne den vollständigen Kontext ihres Benutzerobjekts zu kennen. Beispiel: .admin.support.sales.netiq.
Umfasst der Baum mehrere Benutzer mit demselben Benutzernamen, erfolgt die kontextlose Anmeldung mittels des ersten Benutzerkontos, das unter Verwendung des angegebenen Passworts in der Liste mit der vom Benutzer angegebenen Containerreihenfolge gefunden wird. Der Benutzer kann die Liste der Containerreihenfolge umstellen und festlegen.
Bei einem Baum mit mehreren Benutzern mit demselben Benutzernamen erfordert das Anmelden unter einem speziellen Benutzernamen den vollständigen Kontext vom Benutzer. Alternativ kann auch die Suchfunktion der kontextlosen Anmeldung auf bestimmte Container beschränkt werden.
Klicken Sie auf Von Root ausgehend suchen, um die Benutzersuche ausgehend vom Stamm durchzuführen. Klicken Sie auf Container durchsuchen, um einen oder mehr Container anzugeben, in denen sich die Benutzerobjekte befinden.
Standardmäßig stellt iManager eine Verbindung mit öffentlichem Zugriff her, wofür kein bestimmter Berechtigungsnachweis erforderlich ist. Sie können einen Benutzer mit einem bestimmten Berechtigungsnachweis für die Durchführung der kontextlosen Suche angeben. Der öffentliche iManager-Benutzer wird verwendet, wenn Sie keinen bestimmten Benutzer angeben.
WICHTIG:Wenn Sie einen öffentlichen Benutzer angeben, sollten Sie unbedingt auf die Auswirkungen achten, die Einstellungen für den Passwortablauf haben. Wenn festgelegt ist, dass das Passwort des öffentlichen Benutzers abläuft, haben Sie nach Ablauf des Passworts keine Möglichkeit mehr, es bei der Anmeldung zu ändern.
iManager-Server-Zeitüberschreitungseinstellungen: Wenn Sie eine Zeitüberschreitung für den iManager-Server festlegen möchten, geben Sie auf der Seite "Authentifizierung" die Anzahl der Tage, Stunden und Minuten in die entsprechenden Felder ein.
Wenn Sie keine Zeitüberschreitung einrichten möchten, wählen Sie die Option "Keine Zeitüberschreitung" aus.
Umleitung nach Abmeldung: Aktivieren Sie diese Option auf der Seite "Authentifizierung", wenn Sie nach dem Abmelden von iManager auf eine bestimmte Seite weitergeleitet werden möchten. Geben Sie die gewünschte URL im Feld URL: ein. Klicken Sie ohne Angabe einer Weiterleitungs-URL auf "Beenden", sehen Sie nach der Abmelden bei iManager standardmäßig die Anmeldeseite.
Die funktionsbasierten Services (RBS: Role-Based Services) weisen innerhalb von eDirectory die Rechte zu, die zur Durchführung von Aufgaben erforderlich sind. Wenn Sie einem Benutzer eine Funktion zuweisen, weist RBS standardmäßig die Rechte zu, die zur Durchführung der Aufgaben dieser Funktion erforderlich sind.
Auf dem Karteireiter RBS können Sie die folgenden Einstellungen konfigurieren:
Dynamische Gruppen aktivieren: Wenn diese Option ausgewählt ist, ermöglicht es RBS, dass dynamische Gruppen Mitglieder einer Funktion sind. Weitere Informationen zu dynamischen Gruppen finden Sie im NetIQ eDirectory-Administrationshandbuch.
Funktionen in eigenenen Sammlungen anzeigen: Wenn diese Option ausgewählt ist, sehen Sammlungseigentümer alle Funktionen und Aufgaben, egal, ob sie Mitglied bei ihnen sind oder nicht. Deaktivieren Sie diese Option, um zu erzwingen, dass Sammlungseigentümer nur ihre zugewiesenen Funktionen sehen.
Domäne zur Rollenentdeckung: Gibt an, wo in dem Baum iMananger nach Funktionen suchen soll, die einem Mitglied zugewiesen wurden.
Übergeordnete Einheit – iManager sucht nach dynamischen Gruppen aufwärts bis zu dem übergeordneten Container.
Partition – iManager sucht nach dynamischen Gruppen aufwärts bis zu der ersten eDirectory-Partition.
Stamm – iManager sucht nach dynamischen Gruppen im gesamten Baum.
Domäne zur Entdeckung dynamischer Gruppen: Gibt an, wo im Baum iManager nach der Mitgliedschaft in dynamischen Gruppen suchen soll. Die Rollenmitgliedschaft wird anschließend in den gefundenen dynamischen Gruppen überprüft.
Übergeordnet – iManager sucht nach Funktionen im übergeordneten Container des Benutzers.
Partition – iManager sucht nach Funktionen aufwärts bis zur ersten eDirectory-Partition.
Stamm – iManager sucht nach Funktionen im gesamten Baum.
Suchtyp für dynamische Gruppen: Wählt aus, welcher Typ dynamischer Gruppen im Hinblick auf die Rollenmitgliedschaft durchsucht werden soll.
Nur dynamische Gruppen – Suche nach Objekten, die dem Klassentyp „Dynamische Gruppe“ entsprechen.
Dynamische Gruppen und Zusatzklassen – Suche nach Objekten, die entweder dem Klassentyp dynamicGroup entsprechen oder mit der Klasse dynamicGroupAux erweitert wurden. Dies umfasst auch Gruppenobjekte, die später in dynamische Gruppen umgewandelt wurden.
RBS-Baumliste: Enthält automatisch den Namen des eDirectory-Baums, wenn ein Sammlungseigentümer oder ein Rollenmitglied sich authentifiziert. Wenn RBS aus einem eDirectory-Baum entfernt wird, müssen Sie den Eintrag dieses Baums aus dieser Liste entfernen, um zum Modus für nicht zugewiesenen Zugriff zurückzukehren.
Auf dem Karteireiter Plugin-Download können Sie die folgenden Einstellungen konfigurieren:
Query Novell download site for new NetIQ Plug-in Modules (NPM) (Novell-Download-Website auf neue NetIQ-Plugin-Module (NPM) überprüfen): Gibt an, dass der iManager-Server die NetIQ-Download-Website auf neue Plugin-Module (NPM) überprüfen soll.
Mit den beiden Optionsfeldern können Sie die Überprüfung für jedes verfügbare NPM konfigurieren oder nur auf Aktualisierungen bereits installierter NPMs überprüfen.
Plugin-Module von anderer Website herunterladen: Sie können die Plugin-Module auch von einer benutzerdefinierten Website herunterladen; geben Sie dazu die URL dieser Website auf der Seite "Herunterladen von Plugins" im Feld "Download-URL" an.
Downloading Plug-In Modules Through Proxy (Plugin-Module über Proxy herunterladen): Wenn iManager-Server unter dem Firewall-Proxy ausgeführt werden, kann der Client über einen Proxyserver auf das Internet zugreifen. Nur HTTP-Proxy wird unterstützt. Es handelt sich um ein Web-Proxy-HTTP. Zum Herunterladen der Plugins muss der Benutzer auf der Seite "Herunterladen von Plugins" folgende Schritte ausführen:
Wählen Sie Proxy aktivieren.
Füllen Sie die folgenden Felder aus:
Proxyhost: Geben Sie hier die IP-Adresse des Proxyhosts ein.
Proxyport: Geben Sie hier die Portnummer des Proxys ein.
Benutzername: Geben Sie hier den Benutzernamen ein.
Passwort: Geben Sie hier das Passwort ein.
Passwort wiederholen: Geben Sie hier das unter Passwort angegebene Passwort erneut ein.
WICHTIG:Plugins für iManager sind nicht kompatibel mit früheren Versionen von iManager. Darüber hinaus müssen alle benutzerdefinierten Plugins, die Sie mit iManager verwenden möchten, in der iManager -Umgebung neu kompiliert werden.
Auf dem Karteireiter Versch. können Sie die folgenden Einstellungen konfigurieren:
[Dies] aktivieren Diese Option können Sie ignorieren. Die Option "[dies] aktivieren" wurde in iManager aufgenommen, um internen Teams das Ändern ihrer eigenen Objekte zu ermöglichen. "[Dies]" ist ein Attribut in dem Baum, das eine bestimmte Selbstverwaltungsfunktionalität aktiviert. Wenn "[Dies]" aktiviert ist, müssen alle eDirectory-Server in dem Baum die Version 8.6.2 oder eine höhere Version aufweisen.
eGuide-URL: Gibt die URL für eGuide an. Diese Einstellung wird im Vorspann der eGuide-Startschaltfläche sowie in den Verwaltungsaufgaben der eGuide-Rollen und Aufgaben verwendet. Hierbei muss es sich um die vollständige URL handeln (z. B. https://my.dns.name/eGuide/servlet/eGuide) oder um das Schlüsselwort EMFRAME_SERVER. Die Verwendung von EMFRAME_SERVER veranlasst eMFrame, nach eGuide auf demselben Server zu suchen, auf dem sich auch eMFrame befindet.
Weitere Informationen zu eGuide finden Sie auf der Novell eGuide-Website für Dokumentationen.
Auf der Registerkarte Zertifikat können Sie die Cipher-Ebene auswählen, die Ihren Sicherheitsanforderungen entspricht. iManager hat die folgenden Zertifikate zur Auswahl:
RSA: Das Zertifikat verwendet ein 2048-RSA-Schlüsselpaar. Bei RSA bietet iManager die folgenden Cipher-Ebenen:
KEINE: Lässt einen beliebigen Cipher zu.
NIEDRIG: Lässt einen 56- oder 64-Bit-Cipher zu.
MITTEL: Lässt einen 128-Bit-Cipher zu.
HOCH: Lässt Ciphers mit mehr als 128 Bit zu.
ECDSA 256: Das Zertifikat verwendet ein ECDSA-Schlüsselpaar mit Kurve "secp256r1". Bei ECDSA 256 bietet iManager nur eine Cipher-Ebene:
NUR SUITEB 128: Lässt einen beliebigen Cipher zu.
ECDSA 384: Das Zertifikat verwendet ein ECDSA-Schlüsselpaar mit Kurve "secp384r1".
SUITEB 128: Lässt einen beliebigen Cipher zu.
SUITEB 192: Lässt einen 56- oder 64-Bit-Cipher zu.
Standardmäßig ist RSA ausgewählt und für die Cipher-Ebene KEINE festgelegt. Für ECDSA-Zertifikate lässt iManager nur Suite-B-Ciphers zu. Stellen Sie nach einer Änderung des Zertifikats sicher, dass der Tomcat-Server neu gestartet wird, damit die Änderungen übernommen werden.
WICHTIG:Standardmäßig lässt Firefox die Cipher-Ebene NIEDRIG nicht zu.
So aktivieren Sie Cipher-Algorithmen der Ebene NIEDRIG in Firefox:
Öffnen Sie Firefox, geben Sie about:config in die Adressleiste ein und drücken Sie die Eingabetaste.
Gegebenenfalls wird eine Warnung angezeigt; klicken Sie dann auf Ich werde vorsichtig sein, versprochen!, dadurch gelangen Sie zur Seite "about:config".
Doppelklicken Sie auf der Seite "about:config" in der Liste "Einstellungsname" auf security.ssl3.rsa_rc4_128_md5, um den Wert in true zu ändern.
Jetzt können Sie Cipher-Algorithmen der Ebene NIEDRIG in Firefox verwenden.
Unter OES ist die Registerkarte Zertifikat nicht verfügbar. Sie müssen die Cipher-Ebenen daher manuell in der Datei vhost-ssl.conf ändern.
Öffnen Sie die Datei /etc/apache2/vhosts.d/vhost-ssl.conf und ändern Sie den Parameter SSLCipherSuite gemäß den bei Ihnen unterstützten Cipher-Ebenen.
Beispiel: Um nur Cipher-Ebenen der Kategorie HOCH zu verwenden, ändern Sie den Parameter SSLCipherSuite wie folgt:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
Die Cipher-Ebenen lassen sich mithilfe der folgenden Präfixe ändern:
+ : Fügt einen Cipher an der aktuellen Stelle in der Cipher-Liste ein.
- : Entfernt einen Cipher aus der Liste (dieser kann später wieder hinzugefügt werden).
! : Entfernt einen Cipher endgültig aus der Liste (dieser kann später nicht wieder hinzugefügt werden).
Weitere Informationen finden Sie in der Dokumentation zum Apache-Modul "mod_ssl".