Se il task non viene visualizzato, significa non si dispone delle autorizzazioni necessarie. Vedere Utenti e gruppi autorizzati. In questo argomento vengono fornite le seguenti informazioni:
Nel file config.xml sono incluse tre impostazioni che controllano la sicurezza e i certificati utilizzati quando in iManager viene creata una connessione SSL LDAP:
Security.Keystore.AutoUpdate: Se il valore di AutoUpdate è VERO, quando un utente esegue correttamente il login a iManager, il certificato del server eDirectory potrebbe essere importato automaticamente nell'archivio chiavi specifico di iManager. Selezionare l'impostazione Importazione automatica certificazione dell'albero per LDAP sicuro ( Configura iManager > Sicurezza).
Security.Keystore.UpdateAllowAll: Quando il valore di UpdateAllowAll è VERO, qualsiasi login utente corretto consente di importare e/o aggiornare un certificato nell'archivio chiavi di certificati di iManager. Se il valore dell'impostazione è falso, solo un login utente autorizzato consentirà di importare e/o aggiornare certificati.
Security.Keystore.Priority: L'impostazione di priorità contiene due parole che definiscono l'ordine di ricerca per i certificati durante una connessione: system e imanager. system utilizza l'archivio chiavi JVM* di default per individuare i certificati durante la creazione del contesto SSL. Se l'operazione non riesce, viene utilizzato l'archivio chiavi di iManager.
È possibile modificare l'ordine di ricerca di system e iManager rimuovendo tali parole dalla voce.
Per garantire una maggiore sicurezza, non abilitare AutoUpdate e utilizzare solo l'archivio chiavi di sistema. In tal caso, è necessario importare manualmente i certificati che si desidera siano inclusi nell'archivio chiavi di sistema di default utilizzando gli strumenti disponibili in Java. Se si disabilita UpdateAllowAll, le importazioni dei certificati potranno essere eseguite solo da un login utente autorizzato di iManager.
Queste impostazioni influiscono sull'intera configurazione del server Web e vengono salvate nel file config.xml. È possibile salvare a mano a mano che si apportano le modifiche oppure fare clic su Salva una volta apportate tutte le modifiche nelle diverse pagine selezionate.
Selezionare questa opzione se si desidera che per gli utenti senza una connessione sicura tra il server e il browser Web venga visualizzato il seguente messaggio di avviso: Si sta utilizzando una connessione non sicura.
Assicurarsi che i prerequisiti di Audit siano soddisfatti. Selezionare l'opzione Abilita Novell Audit e gli eventi di registrazione specifici di iManager, quindi fare clic su Salva.
Per le connessioni sicure mediante LDAP, è necessario un certificato. Se si seleziona questa funzione, nel sistema viene automaticamente importato un certificato di un albero pubblico per connessioni tramite protocollo LDAP sicuro.
Gli utenti e i gruppi autorizzati sono quelli a cui è consentito eseguire i vari task amministrativi di iManager. I dati degli utenti autorizzati vengono salvati in TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties. Questo file viene creato durante il processo di installazione di iManager solo se sono state specificate le informazioni sugli utenti e i gruppi autorizzati. Tuttavia, questa operazione è facoltativa. Se non viene eseguita, tutti gli utenti potranno installare i plug-in di iManager e modificarne le impostazioni server (sconsigliata per il lungo termine).
Quando un gruppo o un ruolo organizzativo viene aggiunto all'elenco, tutti i membri del gruppo o del ruolo organizzativo diventano utenti autorizzati. L'aggiunta di un gruppo nidificato supporta solo il primo livello dei membri. L'aggiunta di un gruppo dinamico non è supportata, in quanto ogni tipo di oggetto può essere suo membro.
Una volta installato iManager, è possibile aggiungere un utente, un gruppo o un ruolo organizzativo autorizzato specificando o utilizzando l'icona Selettore oggetti accanto all'elenco Utenti e gruppi autorizzati. Questa operazione comporta la modifica del file configiman.properties.
Per designare tutti gli utenti dell'albero come utenti autorizzati, digitare AllUsers.
NOTA:nell'elenco Gruppi e utenti autorizzati è possibile aggiungere e salvare solo gli utenti validi. Se vengono aggiunti utenti non validi e si fa clic su Salva, viene visualizzato un messaggio di errore in cui si avverte l'utente dell'impossibilità di trovare l'oggetto. Se all'elenco vengono aggiunti solo utenti non validi e si fa clic su Salva, viene visualizzato il messaggio di errore e un elenco di utenti non validi viene automaticamente sostituito da AllUsers. Se non si desidera che tutti gli utenti dell'albero diventino utenti autorizzati, rimuovere AllUsers dall'elenco, aggiungere gli utenti validi desiderati e fare clic su Salva.
IMPORTANTE:se si è installato iManager per la prima volta, l'elenco relativo ai gruppi e agli utenti autorizzati è vuoto. In qualità di utente Admin, è necessario aggiungere immediatamente gli utenti e i gruppi all'elenco perchè diventino utenti e gruppi autorizzati e per ottenere i diritti di modifica dell'elenco. In caso contrario, un utente non-admin può aggiungere utenti e gruppi all'elenco da cui ottiene i diritti di modifica dell'elenco. L'utente (Admin) può perdere i diritti di modifica dell'elenco.
Per le informazioni sulla sicurezza relative al file configiman.properties, consultare Utenti e gruppi autorizzati di iManager.
La scheda Aspetto consente di personalizzare l'aspetto dell'interfaccia di iManager. Queste informazioni vengono archiviate in TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
Digitare il nome dell'organizzazione in questa casella di testo. Tale nome verrà visualizzato nella barra del titolo del browser Web al posto del testo di default NetIQ iManager.
La Barra del titolo contiene tre immagini: l'immagine di sfondo dell'intestazione, l'immagine di riempimento dell'intestazione e l'immagine del marchio dell'intestazione. Le immagini personali devono rispettare le dimensioni assegnate nell'interfaccia.
Archiviare i file in nps/portal/modules/fw/images. Digitare il percorso di ogni immagine nel rispettivo campo di testo.
È possibile personalizzare il colore dell'intestazione del menu e lo sfondo del menu di navigazione a sinistra.
È possibile digitare i nomi dei colori oppure i numeri esadecimali. Per le voci immesse non è supportata la distinzione tra maiuscole e minuscole. Fare clic su Reimposta per ripristinare i colori e le immagini di default oppure su Salva per salvare le impostazioni nel file config.xml.
La scheda Registrazione eventi consente di configurare l'ambiente di registrazione di iManager. Sono disponibili due impostazioni di registrazione:
Livello di log: Selezionare i tipi di messaggi che si desidera registrare tra le quattro opzioni disponibili: Nessuna registrazione, solo Errori, Errori e avvisi e Errori, avvisi e messaggi informativi per il debug.
Selezionare le opzioni di output di registrazione.
Output della registrazione: Selezionare la destinazione per i messaggi registrati tra le tre opzioni disponibili: Invia l'output di registrazione a un dispositivo di errore standard, Invia l'output di registrazione a un dispositivo di output standard e Invia l'output di registrazione al file Debug.html.
Il percorso e la dimensione del file di log vengono entrambi visualizzati in questa pagina. Selezionare Visualizza per visualizzare il file di log attuale in formato HTML. Selezionare Azzera per azzerare il file di log attuale e reimpostarne la dimensione su 0 (zero) byte.
Selezionando l'opzione Reindirizzamento dopo il logout è possibile specificare l'URL a cui essere reindirizzati dopo aver eseguito il logout da iManager. Se invece l'opzione non viene selezionata, scegliendo Esci viene eseguito il logout da iManager. La pagina di login viene visualizzata per default.
Abilita: selezionare questa opzione per la funzione di reindirizzamento dopo il logout.
URL: specificare l'URL cui essere reindirizzati una volta eseguito il logout da iManager.
La scheda Autenticazione consente di configurare la pagina di login di iManager. Include le seguenti opzioni:
Memorizza credenziali di login: se selezionata, gli utenti devono immettere solo una password per eseguire il login.
Usa una porta LDAP sicura per la connessione automatica: se selezionata, in iManager le comunicazioni LDAP vengono eseguite mediante il protocollo SSL. Alcuni plug-in, quali Dynamic Groups e NMASTM, non funzionano se questa opzione non è selezionata. Questa impostazione non ha effetto se prima non si esegue il logout da iManager.
Nascondi motivo specifico di errore login: se selezionata, i messaggi di eDirectory correlati all'autenticazione vengono sostituiti in iManager con il messaggio di errore generico: Errore di login. Nome utente o password non validi. Per ulteriori informazioni, consultare Impedire la rilevazione del nome utente.
Consenti la selezione dell'albero nella pagina di login: se selezionata, nella pagina di login di iManager viene visualizzato il campo Albero. Se l'opzione non viene selezionata, è necessario disporre di un nome di albero di default. In caso contrario, non sarà possibile eseguire il login.
Login senza contesto: Il login senza contesto consente agli utenti di eseguire il login utilizzando solo il nome utente e la password, senza dover specificare l'intero contesto dell'oggetto Utente, Ad esempio, .admin.support.sales.netiq.
Se nell'albero sono presenti più utenti con lo stesso nome utente, il login senza contesto consente di eseguire il login avvalendosi del primo account utente che viene trovato, insieme alla password fornita nell'elenco ordini del container specificato dall'utente. L'utente può riorganizzare e configurare l'elenco ordini del container.
Se nell'albero sono presenti più utenti con lo stesso nome utente, per eseguire il login con un determinato nome utente, durante la procedura di login un utente deve fornire il contesto completo oppure limitare i container di ricerca esaminati dalla funzione di login senza contesto.
Selezionare Cerca dalla radice per eseguire una ricerca utente dalla radice dell'albero della directory. Selezionare Cerca container per specificare uno o più container in cui è possibile trovare gli oggetti Utente.
Per impostazione di default, tramite iManager la connessione viene stabilita con accesso pubblico e non richiede credenziali specifiche. È possibile indicare un utente con credenziali specifiche per eseguire la ricerca senza contesto. Se non viene specificato alcun utente, verrà utilizzato l'utente pubblico di iManager.
IMPORTANTE:Se si specifica un utente pubblico, valutare con attenzione le implicazioni delle impostazioni di scadenza della parola d'ordine. Se per l'utente pubblico la password è impostata per scadere, non potrà essere modificata durante il login in seguito alla scadenza.
Impostazioni di timeout del server iManager: Se si desidera impostare un timeout per il server iManager dopo un determinato periodo di tempo, indicare il numero di giorni, ore e minuti nei rispettivi campi della pagina Autenticazione.
Se non si desidera che si verifichi il timeout del server, selezionare Nessun timeout.
Reindirizzamento dopo il logout: Nella pagina Autenticazione, è necessario spuntare questa opzione se si desidera essere reindirizzati a una determinata pagina una volta eseguito il logout da iManager. È necessario indicare l'URL desiderato nel campo URL:. Se, al contrario, l'URL non viene indicato, scegliendo Esci viene eseguito il logout da iManager. La pagina di login viene visualizzata per default.
Il sistema RBS assegna i diritti in eDirectory per l'esecuzione dei task. Quando si assegna un ruolo a un utente, i diritti necessari per eseguire i task associati al ruolo vengono assegnati per default tramite il sistema RBS.
La scheda RBS consente di configurare le seguenti impostazioni:
Abilita gruppi dinamici: se selezionata, il sistema RBS consente ai gruppi dinamici di essere membri di un ruolo. Per ulteriori informazioni sui gruppi dinamici, consultare la Guida all'amministrazione di Novell eDirectory (NetIQ eDirectory Administration Guide).
Mostra ruoli nelle raccolte di proprietà: se selezionata, i proprietari delle raccolte possono visualizzare tutti i ruoli e i task, anche se non ne sono membri. Deselezionare questa opzione per forzare i proprietari delle raccolte a visualizzare solo i ruoli assegnati.
Dominio di rilevazione ruoli: indica l'ubicazione nell'albero in cui iManager dovrà eseguire la ricerca dei ruoli assegnati a un membro.
Superiore: la ricerca dei gruppi dinamici viene eseguita fino al container superiore.
Partizione: la ricerca dei gruppi dinamici viene eseguita fino alla prima partizione eDirectory.
Radice: la ricerca dei gruppi dinamici viene eseguita nell'intero albero.
Dominio di rilevazione gruppi dinamici: indica l'ubicazione nell'albero in cui iManager dovrà eseguire la ricerca per l'appartenenza a gruppi dinamici. Tra i gruppi dinamici rilevati viene verificata l'appartenenza ai ruoli.
Superiore: la ricerca dei ruoli viene eseguita nel container superiore dell'utente.
Partizione: la ricerca dei ruoli viene eseguita fino alla prima partizione eDirectory.
Radice: la ricerca dei ruoli viene eseguita nell'intero albero.
Tipo di ricerca gruppi dinamici: consente di selezionare il tipo di gruppi dinamici da cercare per l'appartenenza ai ruoli.
DynamicGroupObjectOnly: viene eseguita la ricerca di oggetti che appartengono al tipo di classe Gruppo dinamico.
DynamicGroupObjects&AuxClasses: viene eseguita la ricerca di oggetti che appartengono al tipo di classe Gruppo dinamico o che sono stati estesi con la classe dynamicGroupAux. Sono pertanto inclusi gli oggetti gruppo convertiti successivamente in Gruppi dinamici.
Elenco albero dei servizi basati sui ruoli (RBS): viene compilato automaticamente con il nome dell'albero di eDirectory quando un proprietario di una raccolta o un membro di un ruolo esegue l'autenticazione. Se il sistema RBS viene rimosso da un albero eDirectory, rimuovere la voce relativa a tale albero in questo elenco per tornare in modalità di accesso non assegnato.
La scheda Download plug-in consente di configurare le seguenti impostazioni:
Interroga il sito dei download di Novell per i nuovi moduli NPM (NetIQ Plug-in Modules): indica che il server iManager deve interrogare il sito dei download di NetIQ per i nuovi moduli NPM.
Due pulsanti di scelta consentono di configurare l'interrogazione per ogni modulo NPM disponibile oppure solo per gli aggiornamenti dei moduli NPM già installati.
Download dei moduli NPM da un sito personalizzato: È possibile effettuare il download dei moduli dei plug-in da un sito personalizzato indicandone l'URL nel campo URL del sito di download, nella pagina Download plug-in.
Download dei moduli NPM mediante un proxy: Se i server iManager sono in esecuzione sul proxy firewall, il client può accedere a Internet tramite il server proxy. È supportato soltanto il Proxy HTTP. Si tratta di un proxy Web HTTP. Per effettuare il download dei plug-in, l'utente deve eseguire la procedura seguente nella pagina Download plug-in:
Selezionare Abilita proxy.
Immettere le informazioni nei campi seguenti:
Host proxy: in questo campo, immettere l'indirizzo IP dell'host proxy.
Porta proxy: in questo campo, immettere il numero della porta proxy.
Nome utente: in questo campo, immettere il nome utente.
Password: in questo campo, immettere la password.
Ridigitare la password: in questo campo, immettere la password indicata nel campo Password.
IMPORTANTE:I plug-in di iManager non sono compatibili con le versioni precedenti di iManager. Inoltre, eventuali plug-in aggiuntivi personalizzati che si desidera utilizzare con iManager devono essere ricompilati nell'ambiente iManager
La scheda Varie consente di configurare le seguenti impostazioni:
Abilita [this]: È possibile ignorare questa opzione. L'opzione Abilita [this] è stata aggiunta a iManager per consentire ad alcuni team interni di modificare i propri oggetti. [this] è un attributo nell'albero che consente funzionalità di autogestione specifiche. Se l'opzione [questo] è abilitata, tutti i server eDirectory dell'albero devono corrispondere alla versione 8.6.2 o successiva.
URL eGuide: Specifica l'URL di eGuide. Questo URL viene utilizzato per il pulsante di avvio di eGuide nell'intestazione e per la gestione dei ruoli e dei task di eGuide. È necessario specificare un URL completo, ad esempio https://mio.nome.dns/eGuide/servlet/eGuide, oppure la parola chiave EMFRAME_SERVER.. Se si utilizza EMFRAME_SERVER, eGuide verrà cercato sullo stesso server in cui si trova eMFrame.
Per ulteriori informazioni su eGuide, vedere il sito Web della documentazione di Novell eGuide.
Per scegliere un livello di cifratura basato sui requisiti di sicurezza aziendale, utilizzare la scheda Certificato. iManager consente di scegliere tra i certificati seguenti:
RSA: Il certificato utilizza una coppia di chiavi 2048 RSA. Per RSA, iManager consente di utilizzare i livelli di cifratura seguenti:
NESSUNA: consente tutti i tipi di cifratura.
BASSA: consente la cifratura a 56 o 64 bit.
MEDIA: consente la cifratura a 128 bit.
ALTA: consente cifrature oltre i 128 bit.
ECDSA 256: Il certificato utilizza una coppia di chiavi ECDSA con una curva secp256r1. Per ECDSA 256, iManager consente di utilizzare un unico livello di cifratura:
SOLO SUITEB 128: consente qualsiasi tipo di cifratura.
ECDSA 384: Il certificato utilizza una coppia di chiavi ECDSA con una curva secp384r1.
SUITEB 128: consente qualsiasi tipo di cifratura.
SUITEB 192: consente la cifratura a 56 o 64 bit.
RSA viene selezionato per default e il livello di cifratura è impostato su NESSUNO. Per i certificati ECDSA, iManager permette solo cifrature di suite B. Se viene modificato il certificato, assicurarsi di riavviare il server Tomcat per applicare la modifica.
IMPORTANTE:Per default, Firefox non consente il livello di cifratura BASSO.
Per abilitare gli algoritmi di cifratura BASSO nel browser Firefox:
Aprire Firefox, immettere about:config nella barra degli indirizzi, quindi premere Invio.
(Condizionale) Se viene visualizzato un avviso, fare clic sul pulsante I'll be careful, I promise! (Starò attento, promesso!) per continuare nella pagina about:config.
Nella pagina about:config, nell'elenco Preference Name (Nome preferenza), fare doppio clic sulla preferenza security.ssl3.rsa_rc4_128_md5 per modificare il valore su Vero.
In questo modo gli algoritmi di cifratura BASSO sono abilitati nel browser Firefox:
In OES, la scheda Certificato non è disponibile. È necessario modificare manualmente i livelli di cifratura nel file vhost-ssl.conf.
Andare al file /etc/apache2/vhosts.d/vhost-ssl.conf, quindi modificare il parametro SSLCipherSuite in base al livello di cifratura supportato.
Ad esempio, per configurare solo il livello di cifratura ALTO, modificare il parametro SSLCipherSuite come indicato di seguito:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
Per modificare i livelli di cifratura, è possibile utilizzare i prefissi seguenti:
+ : aggiunge le cifrature al relativo elenco, assegnando loro la posizione appropriata.
- : rimuove una cifratura dall'elenco (può essere nuovamente aggiunta in un secondo momento).
! : elimina definitivamente una cifratura dall'elenco (non può essere nuovamente aggiunta in un secondo momento).
Per ulteriori informazioni, consultare la documentazione Apache Module mod_ssl (Modulo Apache mod_ssl ).