Si no puede ver esta tarea, no es un usuario autorizado. Consulte Usuarios y grupos autorizados. En este tema se incluye la siguiente información:
Existen tres parámetros de configuración en el archivo config.xml que controlan la seguridad y los certificados que se utilizan cuando iManager crea una conexión SSL de LDAP:
Security.Keystore.Autoupdate (Seguridad.Almacén de claves.Actualización automática): Si el valor de AutoUpdate (actualización automática) es True, cuando un usuario entra correctamente en iManager, el certificado de ese servidor de eDirectory se puede importar automáticamente en el almacén de claves específico de iManager. Seleccione el ajuste Importar automáticamente el certificado del árbol para LDAP seguro (Configurar iManager > Seguridad).
Security.Keystore.Updateallowall (Seguridad.Almacén de claves.Permitir todas las actualizaciones): Cuando el valor de UpdateAllowAll (permitir todas las actualizaciones) es True, la entrada correcta de un usuario importa/actualiza un certificado en el almacén de claves de certificados de iManager. Si el parámetro es falso, sólo las entradas de usuariosautorizados importan/actualizan certificados.
Security.Keystore.Priority (Seguridad.Almacén de claves.Prioridad) El ajuste priority (prioridad) incluye dos palabras que definen el orden de la búsqueda de los certificados durante una conexión: sistema e imanager. sistema utiliza el almacén de claves por defecto JVM* para buscar certificados cuando se ha creado el contexto SSL. Si esto falla, va al almacén de claves de iManager.
Puede cambiar el orden de la búsqueda de sistema e iManager si quita cualquiera de las palabras de la entrada.
Para aumentar aún más la seguridad, no permita AutoUpdate (Actualización automática) y utilice únicamente el almacén de claves del sistema. Si lo hace, debe importar manualmente los certificados que desea que residan en el almacén de claves por defecto del sistema utilizando las herramientas que se suministran con Java. Si deshabilita UpdateAllowAll (Permitir todas las actualizaciones), las importaciones de certificados sólo se producirán desde una entrada correcta de usuario autorizado a iManager.
Estos parámetros de configuración afectan a toda la configuración del servidor Web y se guardan en el archivo config.xml. Puede guardar los ajustes a medida que los cambia o hacer clic en Guardar una vez realizados todos los cambios.
Seleccione esta opción si desea que los usuarios sin conexión segura entre el navegador Web y el servidor Web reciban la siguiente advertencia: Está utilizando una conexión que no es segura.
Asegúrese de que cumple con los requisitos de Audit. Seleccione la opción Habilitar Novell Audit y seleccione eventos de registro específicos de iManager y, a continuación, haga clic en Guardar.
Las conexiones de LDAP seguras requieren un certificado. Si selecciona esta función, el sistema importa automáticamente un certificado público del árbol para LDAP seguro.
Los usuarios y grupos autorizados son aquellos a los que iManager permite realizar las diversas tareas administrativas. Los datos de usuarios autorizados se guardan en TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties . El proceso de instalación de iManager solo crea este archivo si se proporciona información de un usuario y grupo autorizado, pero no es obligatorio hacerlo. En caso de no hacerlo, iManager permitirá a cualquier usuario instalar los módulos auxiliares (plug-ins) de iManager y modificar los ajustes del servidor de iManager (no se recomienda a largo plazo.)
Cuando se añaden un grupo o una función administrativa a esta lista, todos los componentes del grupo o la función administrativa pasan a ser usuarios autorizados. Al añadir grupos anidados solo se admite el primer nivel de componente. Sin embargo, no es posible añadir un grupo dinámico porque puede contener cualquier tipo de objeto como componente.
Después de instalar iManager, puede añadir un usuario, grupo o función administrativa autorizados especificándolo o utilizando el icono del Selector de objetos situado junto a la lista Usuarios y grupos autorizados. Al hacerlo, se modifica el archivo configiman.properties.
Para designar a todos los usuarios del árbol como usuarios autorizados, escriba AllUsers.
NOTA:Solo puede añadir y guardar usuarios válidos en la lista Usuarios y grupos autorizados. Si añade usuarios no válidos y hace clic en Guardar, se mostrará un mensaje de error en el que se indica que no se encuentra el objeto. Si añade únicamente usuarios no válidos a la lista y hace clic en Guardar, se mostrará el mensaje de error y la lista de usuarios no válidos se sustituirá automáticamente por AllUsers. Si no desea que todos los usuarios del árbol pasen a ser usuarios autorizados, elimine AllUsers de la lista, añada los usuarios válidos deseados y haga clic en Guardar.
IMPORTANTE:Si es la primera vez que instala iManager, la lista Usuarios y grupos autorizados aparecerá vacía. Como usuario ADMIN, debe añadir usuarios y grupos inmediatamente a la lista para que pasen a ser autorizados y así disponer de derechos para poder modificar la lista. De lo contrario, un usuario que no tenga derechos de administrador podría añadir usuarios y grupos a la lista, y adquirir derechos para modificarla. De esa manera, usted, como usuario ADMIN, perdería los derechos para modificar la lista.
Para obtener información relacionada con la seguridad sobre el archivo configiman.properties, consulte Usuarios y grupos autorizados de iManager.
La pestaña Aspecto y funcionamiento permite personalizar la apariencia de la interfaz de iManager. Esta información se almacena en TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
Especifique el nombre de su organización en este recuadro de texto. Aparecerá en la barra de título del navegador Web en lugar del texto por defecto (NetIQ iManager).
La barra de títulos incluye tres imágenes: la imagen de fondo del encabezado, la imagen de relleno del encabezado y la imagen de marca del encabezado. Las imágenes que seleccione deberán adaptarse a las dimensiones de la interfaz.
Almacene estos archivos en nps/portal/modules/fw/images. Especifique la ruta de cada imagen en su campo de texto correspondiente.
Puede personalizar el color del encabezado del menú y el fondo del menú de navegación a la izquierda.
Puede escribir los nombres de los colores o números hexadecimales. Las entradas no distinguen entre mayúsculas y minúsculas. Haga clic en Restaurar para volver a los colores e imágenes por defecto, o bien haga clic en Guardar para guardar sus selecciones. en el archivo config.xml.
La pestaña Eventos de registro permite configurar el entorno de registro de iManager. Existen dos ajustes de registro:
Nivel de registro: Seleccione los tipos de mensajes que desea registrar. Existen cuatro opciones: Sin registro, Sólo errores, Errores y advertencias y Errores, advertencias y mensajes de información de la depuración.
Seleccione las opciones de salida del registro.
Salida del registro: Seleccione el destino para los mensajes registrados entre estas tres opciones: Enviar salida del registro a dispositivo de StdError, Enviar salida del registro a dispositivo de StdOut y Enviar salida del registro a archivo Debug.html.
La ruta y el tamaño del archivo de registro aparecen en esta página. Seleccione Ver para visualizar el archivo de registro actual en formato HTML. Seleccione Borrar para borrar el archivo de registro actual y restaurar el tamaño del archivo de registro a 0 (cero) bytes.
Seleccionar la opción Redireccionamiento después de salir le permite especificar la URL a la que desea ser redirigido cuando finalice la sesión de iManager. Si no ha seleccionado esta opción, se finalizará la sesión de iManager cuando haga clic en Salir. Se muestra por defecto la página de entrada.
Habilitar: seleccione esta opción para permitir la función Redireccionamiento después de salir.
URL: especifique la URL a la que se redirecciona después de salir de iManager.
La pestaña Autenticación configura la página de entrada de iManager. Incluye las siguientes opciones:
Recordar credenciales de entrada: Si se selecciona, los usuarios sólo tienen que introducir una contraseña para entrar.
Utilizar LDAP seguro para la conexión automática: Si se selecciona, iManager realiza las comunicaciones LDAP con SSL. Algunos módulos auxiliares (plug-ins), como Grupos dinámicos y NMAS, no funcionan si esta opción no está seleccionada. Este ajuste no surte efecto hasta que sale de iManager.
Ocultar razón específica del fallo de entrada: Si se selecciona, iManager reemplaza los mensajes de eDirectory relacionados con la autenticación por el siguiente mensaje de error genérico: Fallo de entrada. Nombre de usuario o contraseña no válidos. Para obtener más información, consulte Cómo impedir el descubrimiento de nombres de usuario.
Permitir la selección del "árbol" en la página de entrada: Si se selecciona, la página de entrada de iManager muestra el campo Árbol. Si no selecciona esta opción, debe disponer de un nombre de árbol por defecto especificado o no podrá entrar.
Entrada sin contexto: La entrada sin contexto permite a los usuarios entrar solo con el nombre de usuario y la contraseña, sin que tenga que conocer todo el contexto del objeto Usuario. Por ejemplo, .admin.support.sales.netiq.
Si hay varios usuarios con el mismo nombre de usuario en el árbol, la entrada sin contexto permite entrar con la primera cuenta de usuario que se encuentre con la contraseña proporcionada en la lista de orden del contenedor que haya especificado el usuario. El usuario puede reordenar y definir la lista de orden del contenedor.
Si hay varios usuarios con el mismo nombre de usuario en el árbol, el usuario debe proporcionar el contexto completo para entrar con un nombre de usuario específico, o limitar los contenedores de búsqueda donde la entrada sin contexto realiza la búsqueda.
Seleccione Buscar desde raíz para realizar la búsqueda de usuarios desde la raíz del árbol de directorios. Seleccione Buscar en contenedores para especificar uno o varios contenedores en los que se pueden encontrar los objetos Usuario.
Por defecto, iManager se conecta con acceso público sin necesidad de credenciales específicas. Puede especificar un usuario con credenciales específicas para realizar la búsqueda sin contexto. Se utiliza el usuario público de iManager si no se especifica ningún usuario.
IMPORTANTE:Si especifica un usuario público, tenga muy en cuenta las implicaciones de los ajustes de la caducidad de la contraseña. Si se define que la contraseña del usuario público caduca, no tendrá la oportunidad de cambiar la contraseña durante la entrada una vez que haya caducado.
Ajustes de interrupción del servidor de iManager: Si desea que el funcionamiento del servidor de iManager se interrumpa después de un período determinado, especifique el número de días, horas y minutos en los campos correspondientes de la página Autenticación.
Si desea que el funcionamiento del servidor no se interrumpa nunca, seleccione la opción No interrumpir nunca.
Redireccionamiento después de salir: En la página Autenticación, habilite esta opción si desea ser redireccionado a una página determinada tras salir de iManager. Debe especificar la URL deseada en el campo URL:. Si no especifica ninguna URL, se finalizará la sesión de iManager cuando haga clic en Salir. Se muestra por defecto la página de entrada.
La opción Servicios basados en funciones (RBS) asigna los derechos para realizar tareas en eDirectory. Al asignar una función a un usuario, RBS asigna por defecto los derechos necesarios para realizar las tareas incluidas en dicha función.
La pestaña RBS permite configurar los siguientes ajustes:
Habilitar grupos dinámicos: Si se selecciona, RBS permite que los grupos dinámicos sean miembros de una función. Para obtener más información acerca de los grupos dinámicos, consulte la Guía de administración de NetIQ eDirectory.
Mostrar funciones en las colecciones propias: Si se selecciona, los propietarios de las colecciones ven todas las funciones y tareas, independientemente de que sean miembros de ellas o no. Para que los propietarios de colecciones vean únicamente sus funciones asignadas, deseleccione esta opción.
Dominio de detección de funciones: Indica en qué ubicación del árbol debe buscar iManager funciones asignadas a un componente.
Padre, iManager busca grupos dinámicos hasta el contenedor padre.
Partición, iManager busca grupos dinámicos hasta la primera partición de eDirectory.
Raíz, iManager busca grupos dinámicos en todo el árbol.
Dominio de descubrimiento de grupo dinámico: Indica en qué ubicación del árbol debe buscar iManager componentes de grupos dinámicos. A continuación, la pertenencia a funciones se comprueba en los grupos dinámicos encontrados.
Padre, iManager busca funciones en el contenedor padre del usuario.
Partición, iManager busca funciones hasta la primera partición de eDirectory.
Raíz, iManager busca funciones en todo el árbol.
Tipo de búsqueda de grupos dinámicos: Selecciona en qué tipo de grupos dinámicos debe buscarse la pertenencia a funciones.
Sólo grupos dinámicos, busca objetos del tipo de clase Grupo dinámico.
Sólo objetos Grupo dinámico y clases auxiliares, busca objetos del tipo de clase dynamicGroup u objetos ampliados con la clase dynamicGroupAux. Se incluyen los objetos Grupo convertidos posteriormente en grupos dinámicos.
Lista de árbol RBS: Se rellena automáticamente con el nombre del árbol de eDirectory cuando se autentica el propietario de una colección o el miembro de una función. Si se quita RBS de un árbol de eDirectory, se eliminará la entrada del árbol de esta lista para volver al Modo de acceso no asignado.
La pestaña Descarga de módulos auxiliares (plug-ins) permite configurar los siguientes ajustes:
Consultar en el sitio Web de descargas de Novell si existen nuevos módulos auxiliares (plug-ins) de NetIQ (NPM): indica que el servidor de iManager debe consultar si en el sitio Web de descargas de NetIQ existen módulos auxiliares (plug-ins) nuevos (NPM).
Dos botones circulares permiten configurar la consulta para cada NPM disponible, o bien consultar actualizaciones sólo para NPM ya instalados.
Descarga de módulos auxiliares (plug-ins) desde un sitio personalizado: puede descargar los módulos auxiliares (plug-ins) desde un sitio personalizado especificando la URL del sitio personalizado en el campo Dirección URL de descarga, en la página Descarga de módulo auxiliar (plug-in).
Descarga de módulos auxiliares (plug-ins) a través de un apoderado (proxy): Si los servidores de iManager se ejecutan desde el apoderado de cortafuegos, el cliente puede acceder a Internet a través de un servidor proxy. Sólo es compatible el proxy HTTP. Es un servidor proxy web HTTP. Para descargar los módulos auxiliares (plug-ins), el usuario debe hacer lo siguiente en la página Descarga de módulo auxiliar (plug-in):
Seleccione Habilitar proxy.
Cumplimente los campos adecuados:
Host de proxy: especifique la dirección IP del host de proxy en este campo.
Puerto de proxy: especifique el número de puerto de proxy en este campo.
Usuario: especifique el nombre de usuario en este campo.
Contraseña: especifique la contraseña en este campo.
Vuelva a escribir la contraseña: escriba en este campo la contraseña que especificó en el campo Contraseña.
IMPORTANTE:Los módulos auxiliares (plug-ins) de iManager no son compatibles con versiones anteriores de iManager. Además, debe volver a compilar cualquier módulo auxiliar (plug-in) que desee utilizar con iManager en el entorno de iManager
La pestaña Misc permite configurar los siguientes ajustes:
Habilitar [esto]: Puede hacer caso omiso de esta opción de forma segura. La opción Habilitar [esto] se añadió a iManager para permitir que algunos equipos internos modificasen sus propios objetos. [esto] hace referencia a un atributo del árbol que habilita funciones específicas de autogestión. Si [esta opción] está habilitada, todos los servidores de eDirectory del árbol deben ser de la versión 8.6.2 o posterior.
URL de eGuide: Especifica el URL a eGuide. Se utiliza en el botón para lanzar eGuide del encabezado y en las tareas de gestión de funciones y tareas de eGuide. Debe ser una URL completa, como https://my.dns.name/eGuide/servlet/eGuide, o la palabra clave EMFRAME_SERVER. El uso de EMFRAME_SERVER hace que eMFrame busque eGuide en el mismo servidor en el que se encuentra eMFrame.
Para obtener más información acerca de eGuide, consulte el sitio Web de documentación de eGuide de Novell.
Para seleccionar el nivel de cifrado en función del requisito de seguridad, utilice la pestaña Certificado. iManager permite elegir entre los siguientes certificados:
RSA: el certificado utiliza un par de claves RSA 2048. iManager admite los siguientes niveles de cifrado para RSA:
NINGUNO: admite cualquier tipo de cifrado.
BAJO: admite cifrado de 56 o 64 bits.
MEDIO: admite cifrado de 128 bits.
ALTO: admite cifrados de más de 128 bits.
ECDSA 256: el certificado utiliza un par de claves ECDSA con curva secp256r1. iManager solo admite un nivel de cifrado ECDSA 256:
SOLO SUITEB 128: admite cualquier tipo de cifrado.
ECDSA 384: el certificado utiliza un par de claves ECDSA con curva secp384r1.
SUITEB 128: admite cualquier tipo de cifrado.
SUITEB 192: admite un cifrado de 56 o 64 bits.
Por defecto, se selecciona RSA y el nivel de cifrado se establece en NINGUNO. Para certificados ECDSA, iManager permite solamente cifrado de Suite B. Si cambia el certificado, asegúrese de reiniciar el servidor Tomcat para que el cambio surta efecto.
IMPORTANTE:Por defecto, Firefox no admite el nivel de cifrado BAJO.
Para habilitar algoritmos de cifrado BAJO en el navegador Firefox:
Abra Firefox, escriba about:config en la barra de direcciones y pulse Intro.
(Condicional) Si aparece una advertencia, haga clic en el botón ¡Tendré cuidado, lo prometo! para ir a la página about:config.
En la página about:config, en la lista de nombres de preferencias, haga doble clic en la preferencia security.ssl3.rsa_rc4_128_md5 para cambiar su valor a True.
Esta acción habilita los algoritmos de cifrado BAJO en el navegador Firefox.
La pestaña Certificado no está disponible en OES. Debe cambiar manualmente los niveles de cifrado en el archivo vhost-ssl.conf.
Vaya al archivo /etc/apache2/vhosts.d/vhost-ssl.conf y modifique el parámetro SSLCipherSuite en función de su nivel de cifrado admitido.
Por ejemplo, para configurar únicamente el nivel de cifrado ALTO, modifique el parámetro SSLCipherSuite de la manera que se indica a continuación:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
Puede utilizar los prefijos siguientes para modificar los niveles de cifrado:
+ : añade cifrados a la lista de cifrados y los envía a la ubicación actual en la lista.
- : elimina un cifrado de la lista (puede volver a añadirse más tarde).
! : elimina un cifrado de la lista por completo (no se puede volver a añadir más tarde).
Para obtener más información, consulte la documentación del módulo de Apache mod_ssl.