許可されたユーザでない場合は、このタスクは表示されません。参照先 許可されたユーザおよびグループ. この章では、次の情報について紹介します。
config.xmlファイルには、次の3つの設定があります。これらの設定は、iManagerがLDAP SSL接続を作成するときに使用するセキュリティと証明書を制御します。
Security.Keystore.AutoUpdate: AutoUpdateの値がTrueになっている場合、ユーザが正常にiManagerにログインすると、eDirectoryサーバから証明書が自動的にiManager固有のキーストアにインポートされます。[セキュアLDAPのツリー証明書の自動インポート]設定を選択します([iManagerの設定]>[セキュリティ]の順に選択します)。
Security.Keystore.UpdateAllowAll: UpdateAllowAllがTrueになっている場合、ユーザが正常にログインすると、iManager証明書キーストアに証明書がインポート/更新されます。この設定がfalseになっている場合、許可されたユーザのログインのみによって、証明書がインポート/更新されます。
Security.Keystore.Priority: 優先度の設定には、接続時に証明書の検索順を定義する2つの単語、システム、imanagerが含まれています。システムは、SSLコンテキストの作成時に証明書を検索するために、デフォルトのJVM*キーストアを使用します。この検索に失敗した場合、iManagerキーストアを検索します。
systemとiManagerの検索順を変更するには、エントリからどちらかの単語を削除します。
セキュリティを強化するには、AutoUpdateを許可せずに、システムキーストアのみを使用します。この場合、Javaに付属しているツールを使用して、デフォルトのシステムキーストアに格納する証明書を手動でインポートする必要があります。UpdateAllowAllを無効にした場合、iManagerの許可されたユーザのログインからのみ、証明書のインポートが発生します。
これらの設定は、Webサーバ全体の設定に影響し、config.xmlファイルに保存されます。処理の途中で保存することも、必要な設定をすべて変更した後に[保存]をクリックすることもできます。
このオプションを選択すると、WebブラウザとWebサーバとの間に安全な接続を確立していないユーザに「安全でない接続を使用しています。」という警告が表示されます。
Auditの要件を満たしていることを確認してください。[Novell Auditを有効にする]オプションを選択し、特定のiManagerログ記録イベントを選択して、[保存]をクリックします。
セキュアLDAP接続には証明書が必要です。この機能を選択すると、システムはセキュアLDAPのパブリックツリー証明書を自動的にインポートします。
許可されたユーザとグループは、iManagerのさまざまな管理タスクの実行を許可されているユーザとグループです。許可されたユーザのデータは、 TOMCAT_HOME\webapps\nps\WEB-INF\configiman.propertiesに保存されます。このファイルがiManagerのインストールプロセスで作成されるのは、許可されたユーザとグループの情報が入力された場合だけです。ただし、情報の入力は必須ではありません。入力しない場合は、iManagerですべてのユーザがiManagerプラグインをインストールして、iManagerサーバ設定を変更できることになります(長期的には推奨されません)。
このリストにグループまたは職種が追加されると、そのグループまたは職種の全メンバーが、許可されたユーザになります。ネストされたグループの追加は、メンバーの最初のレベルでのみ可能です。ダイナミックグループの追加はサポートされていません。あらゆるタイプのオブジェクトがメンバーとして含まれる可能性があるためです。
iManagerをインストールした後、許可されたユーザ、グループ、または職種を追加できます(それらを指定するか、[許可されたユーザおよびグループ]リストの横の[オブジェクトセレクタ]アイコンを使用します)。これにより、configiman.propertiesファイルが変更されます。
ツリーのすべてのユーザを許可されたユーザとして指定するには、「AllUsers」と入力します。
メモ:[許可されたユーザおよびグループ]リストで追加および保存できるユーザは、有効なユーザのみです。無効なユーザを追加して[保存]をクリックすると、オブジェクトが見つからないという内容のエラーメッセージが表示されます。無効なユーザのみをリストに追加して[保存]をクリックした場合、エラーメッセージが表示され、無効なユーザのリストがAllUsersに自動的に置き換えられます。ツリーのすべてのユーザを許可されたユーザとして指定しない場合は、リストからAllUsersを削除し、該当する有効なユーザをリストに追加して、[保存]をクリックします。
重要:iManagerを初めてインストールしたときには、[許可されたユーザおよびグループ]リストは空になっています。Adminユーザは、直ちにユーザとグループをリストに追加して許可してください。また、Adminユーザはリストを変更する権利を持っている必要があります。その他のAdmin以外のユーザは、リストを変更する権利を持つユーザによって、ユーザとグループをリストに追加してもらうことができます。Adminユーザは、リストを変更する権利を失う場合があります。
configiman.propertiesファイルのセキュリティ関連情報については、許可されたiManagerユーザとグループを参照してください。
[外観]タブでは、iManagerインタフェースの外観をカスタマイズできます。この情報は、TOMCAT_HOME\webapps\nps\WEB-INF\config.xmlに格納されます。
このテキストボックスには、組織名を入力します。デフォルトテキスト(NetIQ iManager)に代わって、これがWebブラウザのタイトルバーに表示されます。
(画像)タイトルバーには、ヘッダ背景画像、ヘッダフィラー画像、およびヘッダブランディング画像の3つの画像が表示されます。ユーザ独自の画像は、インタフェースに指定されている寸法に合わせる必要があります。
各画像ファイルをnps/portal/modules/fw/imagesに保存します。各画像のパスをそれぞれのテキストフィールドに入力します。
左側のナビゲーションメニューのメニューヘッダの色、および背景をカスタマイズできます。
色の名前または16進数のいずれかを入力できます。大文字と小文字を区別して入力する必要はありません。[リセット]をクリックしてデフォルトの色と画像に戻すか、[保存]をクリックして設定を保存します。この内容は、config.xmlファイルに保存されます。
[イベントをログに記録]タブでは、iManagerのログイン環境を設定できます。次の2つのログ設定があります。
ログレベル: ログに記録するメッセージの種類を次の4種類から選択します。[ログを作成しない]、[エラー](のみ)、[エラーと警告]、[エラー、警告、およびデバッグ情報]。
ログ出力のオプションを選択します。
ログ出力: ログに記録したメッセージの保存先を、次の3つのオプションから選択します。[標準エラーデバイスへのログ出力の送信]、[標準出力デバイスへのログ出力の送信]、[ログ出力をDebug.htmlファイルに送信]。
ログファイルのパスとサイズの両方がこのページに表示されます。現在のログファイルをHTML形式で表示するには、[表示]を選択します。現在のログファイルをクリアして、ログファイルのサイズを0バイトにリセットするには、[クリア]を選択します。
[ログアウト後にリダイレクト]オプションを使用すると、iManagerからログアウトした後でリダイレクトする宛先URLを指定できます。このオプションを選択しない場合、[終了]をクリックすると、iManagerからログアウトされます。 デフォルトでは、[ログイン]ページが表示されます。
有効: [ログアウト後にリダイレクト]機能を有効にするには、このオプションを選択します。
URL: IManagerからログアウトした後にリダイレクトする宛先のURLを指定してください。
[認証]タブで、iManagerのログインページを設定します。次のオプションがあります。
ログインアカウント情報を記憶する: これを選択した場合、ユーザはパスワードを入力するだけでログインできます。
自動接続にセキュアLDAPを使用する: これを選択すると、iManagerはSSLを使用してLDAP通信を実行します。ダイナミックグループやNMASなどの一部のプラグインは、このオプションを選択しないと正常に動作しません。この設定は、iManagerからログアウトするまで有効になりません。
ログインエラーの詳細な原因を非表示にする: これを選択すると、iManagerでは認証に関連するeDirectoryメッセージが、「ログインエラー。ユーザ名またはパスワードが無効です。」という一般的なエラーメッセージに置き換わります。詳細については、ユーザ名の検出の防止を参照してください。
ログインページでツリーの選択を許可する: これを選択すると、iManagerのログインページに[ツリー]フィールドが表示されます。このオプションを選択しない場合は、デフォルトのツリー名を設定しておく必要があります。そうしないと、ログインできません。
コンテキストレスログイン: コンテキストレスログインにより、ユーザはユーザ名とパスワードだけでログインできます。ユーザオブジェクトコンテキスト全体を理解しておく必要はありません。たとえば、.admin.support.sales.netiq。
ツリー内に同じユーザ名の複数のユーザがある場合、コンテキストレスログインにより、ユーザが指定したコンテナ順序リスト内で見つかった最初のユーザアカウントと指定されたパスワードを使用してログインできます。ユーザはコンテナ順序リストを並べ替えたり、設定したりすることができます。
ツリー内に同じユーザー名の複数のユーザがある場合、特定のユーザー名でログインするには、ログイン時にユーザが完全なコンテキストを提供するか、コンテキストレスログインで検索するコンテナを限定する必要があります。
ディレクトリツリーのルートからユーザ検索を実行するには、[ルートからの検索]を選択します。ユーザオブジェクトを検索する1つまたは複数のコンテナを指定するには、[コンテナを検索]を選択します。
iManagerは、デフォルトでパブリックアクセスと接続するので、特定のアカウント情報は不要です。必要に応じて、特定のアカウント情報を持つユーザを指定して、コンテキストレス検索を実行できます。ユーザを指定しない場合は、iManagerのパブリックユーザが使用されます。
重要:パブリックユーザを指定する場合は、パスワードの有効期限設定を含めるかどうかを慎重に検討してください。パブリックユーザのパスワードに有効期限を設定すると、有効期限が切れてからはログイン中にパスワードを変更できなくなります。
iManagerサーバタイムアウトの設定: 一定の時間が経過した後にiManagerサーバがタイムアウトするように設定するには、[認証]ページのそれぞれのフィールドで日数、時間、分を指定します。
サーバがタイムアウトしないようにするには、[タイムアウトしない]オプションを選択します。
ログアウト後にリダイレクト: iManagerからログアウトした後で特定のページにリダイレクトさせるには、[認証]ページでこのオプションを有効にする必要があります。[URL:]フィールドで該当するURLを入力する必要があります。URLを選択しない場合、[終了]をクリックするとiManagerからログアウトされます。デフォルトでは、[ログイン]ページが表示されます。
役割ベースサービス(RBS)は、タスクを実行する権利をeDirectoryで割り当てます。ユーザに役割を割り当てると、デフォルトで、RBSはその役割のタスクを実行するために必要な権利を割り当てます。
[RBS]タブでは、次の設定を行うことができます。
ダイナミックグループを有効にする: これを選択すると、RBSによってダイナミックグループが役割のメンバーになることが許可されます。ダイナミックグループの詳細については、『 NetIQ eDirectory管理ガイド』を参照してください。
所有コレクション内の役割を表示: これを選択すると、コレクションの所有者は、すべての役割とタスクをメンバーであるかどうかに関わらず表示することができます。コレクションの所有者が割り当てられている役割だけを表示できるようにするには、このオプションの選択を解除します。
役割の検出ドメイン: iManagerがメンバーに割り当てられた役割をツリー内で検索する場所を示します。
ペアレントの場合、iManagerはペアレントコンテナまでダイナミックグループを検索します。
パーティションの場合、iManagerはeDirectoryの最初のパーティションまでダイナミックグループを検索します。
ルートの場合、iManagerはツリー全体でダイナミックグループを検索します。
ダイナミックグループ検出ドメイン: iManagerがツリー内でダイナミックグループメンバーシップを検索する場所を示します。検出されたダイナミックグループ内で役割メンバーシップがチェックされます。
iManagerはユーザのペアレントコンテナ内で役割を検索します。
パーティションの場合、iManagerはeDirectoryの最初のパーティションまで役割を検索します。
ルートの場合、iManagerはツリー全体で役割を検索します。
ダイナミックグループの検索タイプ: 役割メンバーシップを検索する対象のダイナミックグループのタイプを選択します。
ダイナミックグループのみの場合、ダイナミックグループクラスタイプのオブジェクトを検索します。
ダイナミックグループオブジェクトおよび補助クラスの場合、dynamicGroupクラスタイプのオブジェクトまたはdynamicGroupAuxクラスによって拡張されたオブジェクトを検索します。これには、後でダイナミックグループに変換されたグループオブジェクトも含まれます。
RBSツリーリスト: コレクションの所有者または役割メンバーが認証されたときに、eDirectoryツリーの名前と合わせて自動的に指定されます。RBSをeDirectoryツリーから削除する場合は、未割り当てアクセスモードに戻るために、このリストから該当するツリーのエントリを削除します。
[プラグインのダウンロード]タブでは、次の設定を行うことができます。
Novellのダウンロードサイトで、新しいNetIQプラグインモジュール(NPM)を検索するには: iManagerサーバがNetIQダウンロードサイトに新しいプラグインモジュール(NPM)を問い合わせるようにiManagerサーバに指示します。
2つのラジオボタンによって、使用可能なすべてのNPMを検索するか、すでにインストールされているNPMの更新についてのみ検索するかを設定できます。
カスタムサイトからプラグインモジュールをダウンロードするには: [プラグインのダウンロード]ページの[ダウンロードURL]フィールドにカスタムサイトのURLを指定すると、カスタムサイトからプラグインモジュールをダウンロードできます。
プロキシ経由でプラグイン モジュールをダウンロードするには: iManagerサーバがファイアウォールプロキシの下で実行されている場合、クライアントはプロキシサーバを介してインターネットにアクセスできます。HTTPプロキシのみがサポートされています。これはWebプロキシHTTPです。プラグインをダウンロードするには、[プラグインのダウンロード]ページでユーザが次の手順を実行する必要があります。
[プロキシを有効にする]を選択します。
次のフィールドに入力します:
[プロキシホスト]: このフィールドで、プロキシのホストIPアドレスを指定します。
[プロキシ ポート]: このフィールドで、プロキシのポート番号を指定します。
[ユーザ名]: このフィールドにユーザ名を指定します。
[パスワード]: このフィールドにパスワードを指定します。
[パスワードを再入力する]: [パスワード]フィールドで指定したパスワードをこのフィールドで指定します。
重要:iManager のプラグインは、以前のバージョンのiManagerと互換性がありません。また、iManager に使用するカスタムプラグインは、iManager 環境でリコンパイルする必要があります。
[その他]タブでは、次の設定を行うことができます。
[this]を有効にする このオプションは無視しても構いません。[[this]を有効にする]は、内部チームが所有するオブジェクトを変更できるようにするためにiManagerに追加されました。[this]は、特定の自己管理機能を有効にするツリー内の属性です。[this]を有効にする場合は、ツリー内のすべてのeDirectoryサーバのバージョンを8.6.2以降にする必要があります。
eGuide URL: eGuideのURLを指定します。このURLは、ヘッダの[eGuideの起動]ボタンやeGuideの役割およびタスク管理のタスクで使用されます。これは完全なURL(たとえばhttps://my.dns.name/eGuide/servlet/eGuide)、またはキーワードEMFRAME_SERVERである必要があります。EMFRAME_SERVERを使用すると、eMFrameと同じサーバ上にあるeGuideが検索されます。
eGuideの詳細については、Novell eGuideマニュアルWebサイトを参照してください。
セキュリティ要件に基づいてサイファレベルを選択するには、[証明書]タブを使用します。iManagerでは、次の証明書の中から選択できます。
RSA: 証明書は2048 RSA鍵ペアを使用します。iManagerでは、RSA用の次のサイファレベルが使用可能です。
なし: どんなタイプのサイファレベルも使用可能。
低: 56ビットまたは64ビットのサイファが使用可能。
中: 128ビットのサイファが使用可能。
高: 128ビットより大きいサイファが使用可能。
ECDSA 256: 証明書はECDSA鍵ペアを曲線secp256r1と一緒に使用します。iManagerでは、ECDSA 256用に使用可能なサイファレベルは次の1つのみです。
[SUITEB 128のみ]: どんなタイプのサイファも使用可能。
ECDSA 384: 証明書はECDSA鍵ペアを曲線secp384r1と一緒に使用します。
[SUITEB 128]: どんなタイプのサイファも使用可能。
[SUITEB 192]: 56ビットまたは64ビットのサイファが使用可能。
デフォルトではRSAが選択され、サイファレベルは[なし]に設定されます。ECDSA証明書の場合、iManagerはスイートBのサイファのみを許可します。証明書を変更した場合、変更を有効にするにはTomcatサーバを再始動してください。
重要:デフォルトでは、Firefoxは[低]サイファレベルを許可しません。
Firefoxブラウザで[低]サイファアルゴリズムを有効にするには、次のようにします。
Firefoxを開き、ロケーションバーで「about:config」と入力して[Enter]キーを押します。
(状況によって実行)警告が表示されたら、[細心の注意を払って使用する]ボタンをクリックして、そのままabout:configページに進みます。
about:configページの[プリファレンス名]リストで、[security.ssl3.rsa_rc4_128_md5]プリファレンスをダブルクリックして値を[True]に変更します。
これにより、Firefoxブラウザで[低]サイファアルゴリズムが有効になります。
設計上、OESでは[証明書]タブを使用できません。手動でvhost ssl.confファイル内のサイファレベルを変更する必要があります。
/etc/apache2/vhosts.d/vhost-ssl.confファイルに移動し、サイファレベルのサポートに応じてSSLCipherSuiteパラメータを変更してください。
たとえば、[高]サイファレベルのみを設定するにはSSLCipherSuiteパラメータを次のように変更します。
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
次のプレフィックスを使用して、サイファレベルを変更できます。
+ : サイファをサイファリストに追加して、リスト内の現在の場所まで移動させます。
- : サイファをリストから削除します(後で再び追加できます)。
! : サイファをリストから完全に削除します(後で再び追加することはできません)。
詳しくは、Apacheモジュールmod_sslのマニュアルを参照してください。