Se essa tarefa não estiver visível, você não é um usuário autorizado. Consulte Usuários autorizados e Grupos. Este tópico contém as seguintes informações:
Existem três configurações no arquivo config.xml que controlam a segurança e os certificados utilizados quando o iManager cria uma conexão SSL LDAP:
Security.Keystore.AutoUpdate: Se o valor de AutoUpdate for Verdadeiro, quando um usuário se conectar com êxito ao iManager, o certificado desse servidor do eDirectory poderá ser importado automaticamente no keystore específico do iManager. Selecione a configuração Importar Automaticamente Certificado de Árvore para LDAP Seguro (Configurar iManager > Segurança).
Security.Keystore.UpdateAllowAll: Quando UpdateAllowAll for Verdadeiro, qualquer login de usuário bem-sucedido importará/atualizará um certificado no keystore de certificados do iManager. Quando a definição é falsa, apenas o login de usuários autorizados importa/atualiza certificados.
Security.Keystore.Priority: A definição de prioridade contém duas palavras que definem a ordem de pesquisa de certificados durante uma conexão: system e imanager. A definição system usa o keystore JVM* padrão para localizar certificados ao ser criado o contexto SSL. Quando isso falha, ele passa ao keystore do iManager.
Para mudar a ordem de pesquisa de system e iManager, remova essas palavras da entrada.
Para aumentar ainda mais a segurança, não permita a definição AutoUpdate e use apenas o keystore do sistema. Dessa forma, você deverá importar manualmente os certificados que deverão residir no keystore padrão do sistema, usando as ferramentas que acompanham o Java. Se você desativar UpdateAllowAll, as importações de certificados ocorrerão apenas em logins bem sucedidos de usuários autorizados do iManager.
Essas configurações afetam toda a configuração de seu Servidor Web e são gravadas no arquivo config.xml. Você pode executar a gravação ao longo do processo ou pode clicar em Gravar após fazer todas as mudanças.
Selecione essa opção se desejar que usuários sem uma conexão segura entre o browser da Web e o Servidor Web recebam o seguinte aviso: Você está usando uma conexão que não é segura.
Verifique se você atende aos Pré-requisitos do Audit. Selecione a opção Habilitar o Novell Audit, selecione os eventos de registro específicos do iManager e clique em Gravar.
As conexões LDAP seguras exigem um certificado. Se você selecionar esse recurso, o sistema importará automaticamente um certificado de árvore pública para LDAP seguro.
Os usuários e grupos autorizados são aqueles que o iManager permite que executem suas diversas tarefas administrativas. Dados de usuários autorizados são gravados em TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties . O processo de instalação do iManager criará esse arquivo apenas se as informações do usuário e grupo autorizados forem fornecidas, mas isso não é obrigatório. Se isso não for feito, o iManager permitirá que qualquer usuário instale plug-ins do iManager e modifique configurações de servidor do iManager (não recomendado em longo prazo).
Quando um grupo ou uma função organizacional for adicionada a esta lista, todos os membros do grupo, ou a função organizacional, passarão a ser usuários autorizados. A adição de um grupo aninhado oferece suporte apenas ao primeiro nível de membros. Porém, a adição de um grupo dinâmico não é suportada porque pode ter qualquer tipo de objeto como membro.
Após a instalação do iManager, você pode adicionar um usuário, grupo ou função organizacional autorizado especificando ou usando o ícone Seletor de Objeto ao lado da lista Usuários e Grupos Autorizados. Isso modifica o arquivo configiman.properties.
Para designar todos os usuários da árvore como usuários autorizados, digite AllUsers.
NOTA:Você só pode adicionar e gravar usuários válidos na lista Usuários e Grupos Autorizados. Se você adicionar usuários inválidos e clicar em Salvar, receberá uma mensagem de erro informando que o objeto não foi encontrado. Se você adicionar apenas usuários inválidos à lista e clicar em Salvar, receberá uma mensagem de erro e a lista de usuários inválidos será automaticamente substituída por AllUsers. Se não quiser que todos os usuários da árvore sejam usuários autorizados, remova AllUsers da lista, adicione os usuários válidos desejados e clique em Salvar.
IMPORTANTE:Se você tiver instalado o iManager pela primeira vez, a lista Usuários e Grupos Autorizados estará vazia. Como usuário Admin, você deve adicionar imediatamente usuários e grupos à lista para torná-los autorizados e para obter direitos para modificar a lista. Caso contrário, um usuário que não seja administrador poderá adicionar usuários e grupos à lista e assim adquirir os direitos necessários para modificar a lista. Você (Admin) poderá perder os direitos de modificar a lista.
Para informações de segurança sobre o arquivo configiman.properties, consulte Usuários e Grupos Autorizados do iManager.
A guia Aparência permite que você personalize a aparência da interface do iManager. Essas informações são armazenadas em TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
Especifique o nome da sua organização nessa caixa de texto. Ele aparecerá na barra de título do browser da Web no lugar do texto padrão (NetIQ iManager).
A barra de Título contém três imagens: a imagem de segundo plano do cabeçalho, a imagem de preenchimento do cabeçalho e a imagem de marca do cabeçalho. Suas imagens devem estar de acordo com as dimensões fornecidas na interface.
Armazene esses arquivos em nps/portal/modules/fw/images. Especifique o caminho de cada imagem no respectivo campo de texto.
Você pode personalizar a cor do cabeçalho do menu e o segundo plano do menu de navegação à esquerda.
É possível digitar nomes de cor ou números hexadecimais. As entradas não precisam fazer distinção entre maiúsculas e minúsculas. Clique em Redefinir para retornar às cores e imagens padrão ou clique em Gravar para salvar as configurações no arquivo config.xml.
A guia Registro de Eventos permite que você configure o ambiente de registro do iManager. Existem duas configurações de registro:
Nível de registro: Selecione os tipos de mensagens que deseja registrar dentre as quatro opções: Sem Registro, Apenas Erros, Erros e Avisos e Erros, Avisos e Informações de Depuração.
Selecione suas opções de saída de registro.
Saída de Registro: Selecione o destino das mensagens registradas, dentre as três opções: Enviar Saída do Registro para Dispositivo de Erro Padrão, Enviar Saída de Registro para Dispositivo de Saída Padrão e Enviar Saída de Registro para Arquivo Debug.html.
O caminho e o tamanho do arquivo de registro são exibidos nesta página. Selecione Ver para exibir o arquivo de registro atual em formato HTML. Selecione Limpar para limpar o arquivo de registro atual e redefinir o tamanho do arquivo de registro para 0 (zero) bytes.
Se selecionar a opção Redirecionamento Após Logout, você poderá especificar o URL para o qual deseja ser redirecionado depois de efetuar logout do iManager. Se você não tiver selecionado essa opção, quando clicar em Sair, efetuará o logout do iManager. Por padrão, a página Login é exibida.
Habilitar: Selecione essa opção para habilitar o recurso Redirecionamento Após Logout.
URL: Especifique a URL para a qual você será redirecionado após efetuar o logout do iManager.
A guia Autenticação configura a página de login do iManager. Ela contém as seguintes opções:
Lembrar credenciais de login: Quando selecionada, os usuários devem digitar uma senha para efetuar login.
Usar LDAP Seguro para Conexão Automática: Quando selecionada, o iManager executa comunicações LDAP com SSL. Alguns plug-ins, como Grupos Dinâmicos e NMAS, não funcionarão se essa opção não estiver selecionada. Essa configuração só terá efeito quando você efetuar logout do iManager.
Ocultar motivo específico da falha no login: Quando selecionada, o iManager substitui mensagens relacionadas à autenticação do eDirectory por uma mensagem de erro genérica que diz o seguinte: Falha no login. Nome de Usuário ou Senha Inválidos. Para obter mais informações, consulte Impedindo a descoberta de nome de usuário.
Permitir seleção de 'Árvore' na página de Login: Quando selecionada, a página de login do iManager exibe o campo Árvore. Se você não selecionar esta opção, deverá haver um nome de árvore padrão especifica ou não será possível efetuar login.
Login sem contexto: O login sem contexto permite que os usuários efetuem login apenas com um nome de usuário e senha, sem precisar conhecer todo o contexto do objeto Usuário. Por exemplo, .admin.support.sales.netiq.
Se houver vários usuários com o mesmo nome de usuário na árvore, será possível efetuar login por meio do login sem contexto, que usará a primeira conta do usuário que encontrar e a senha fornecida dentro da lista de ordem de container especificada pelo usuário. O usuário pode reorganizar e definir a lista de ordem de container.
Se houver vários usuários com o mesmo nome de usuário na árvore, para efetuar o login com um nome de usuário específico, o usuário deverá fornecer o contexto completo ao efetuar login ou limitar os containers de pesquisa nos quais o login sem contexto realiza a pesquisa.
Selecione Pesquisar da Raiz para executar a pesquisa de usuário a partir da raiz da árvore de diretório. Selecione Pesquisar Containers para especificar um ou mais containers onde objetos Usuário podem ser encontrados.
Por padrão, o iManager é conectado com acesso público e, portanto, não exige credenciais específicas. Você pode especificar um usuário com credenciais específicas para realizar a pesquisa sem contexto. O usuário público do iManager será usado se você não especificar um usuário.
IMPORTANTE:Se você especificar um usuário público, examine cuidadosamente as implicações das configurações de vencimento da senha. Se o vencimento da senha estiver definido para o usuário público, você não poderá mudá-la durante o login após ela ter vencido.
Configurações de Tempo de Espera do Servidor iManager: Se você desejar que o tempo de espera do servidor iManager se esgote após um determinado período, especifique o número de dias, horas e minutos nos respectivos campos da página Autenticação.
Se desejar que o tempo de espera do servidor nunca se esgote, selecione a opção Nunca Esgotar Tempo de Espera.
Redirecionamento Após Logout: Na página Autenticação, você pode habilitar essa opção se quiser ser redirecionado a uma página desejada após sair do iManager. Você precisa especificar a URL desejada no campo URL. Se você não especificar uma URL, quando clicar em Sair, sairá do iManager. Por padrão, a página Login é exibida.
RBS (Role-Based Service - Serviço Baseado na Função) designa os direitos do eDirectory™ para a execução de tarefas. Quando você designa uma função a um usuário, o RBS designa por padrão os direitos necessários para a execução das tarefas incluídas nessa função.
A guia RBS permite que você configure as seguintes definições:
Habilitar Grupos Dinâmicos: Quando selecionada, o RBS permite que grupos dinâmicos sejam membros de uma função. Para obter mais informações sobre grupos dinâmicos, consulte o NetIQ eDirectory Administration Guide (Guia de administração do eDirectory).
Mostrar Funções em Coleções de Propriedade: Quando selecionada, os proprietários de coleção veem todas as funções e tarefas, sejam ou não membros delas. Anule essa seleção para forçar os proprietários de coleção a verem somente funções atribuídas a eles.
Domínio de Descoberta de Função: Indica em que local da árvore o iManager deverá pesquisar funções atribuídas a um membro.
Pai, o iManager pesquisa Grupos Dinâmicos até o container pai.
Partição, o iManager pesquisa Grupos Dinâmicos até a primeira partição do eDirectory.
Raiz, o iManager pesquisa Grupos Dinâmicos na árvore inteira.
Domínio de Descoberta de Grupo Dinâmico: Indica em que local da árvore o iManager deverá pesquisar a participação do Grupo Dinâmico. A participação na função é verificada nos Grupos Dinâmicos encontrados.
Pai, o iManager pesquisa funções no container pai do usuário.
Partição, o iManager pesquisa funções até a primeira partição do eDirectory.
Raiz, o iManager pesquisa funções na árvore inteira.
Tipo de pesquisa de Grupo Dinâmico: Seleciona o tipo de Grupo Dinâmico cuja participação na função deve ser pesquisada.
Grupos Dinâmicos somente - pesquisa objetos do tipo de classe Grupo Dinâmico.
Objetos Grupo Dinâmico e Classes Auxiliares - pesquisa objetos que sejam do tipo de classe dynamicGroup ou que tenham sido estendidos com a classe dynamicGroupAux. Isso inclui objetos Grupo que foram convertidos posteriormente em Grupos Dinâmicos.
Lista de Árvores RBS Preenchida automaticamente com o nome da árvore do eDirectory quando um proprietário de coleção ou membro da função é autenticado. Se o RBS for removido de uma árvore do eDirectory, remova a entrada dessa árvore da lista para retornar ao modo Acesso Não Designado.
A guia Download de Plug-in permite que você configure as seguintes definições:
Consulte o site de download da Novell para saber sobre novos Módulos de Plug-in da NetIQ (NPM): Indica que o Servidor do iManager deve consultar o NetIQ Download site (Site de Download da NetIQ) para saber se há novos módulos de plug-in (NPMs).
Dois botões de rádio permitem que você configure a consulta para cada NPM disponível ou consulte apenas atualizações para NPMs já instalados.
Fazer download dos módulos de plug-in de um site personalizado: Você pode fazer download dos módulos de plug-in a partir de um site personalizado especificando o URL do site personalizado no campo URL de Download, na página Download do Plug-in.
Fazendo download dos módulos de plug-in por meio de proxy: Se Servidores iManager estiverem sendo executados sob o proxy do firewall, o cliente poderá acessar a Internet por meio de um servidor proxy. Só há suporte para Proxy HTTP. É um proxy HTTP da web. Para fazer o download dos plug-ins, o usuário precisa fazer o seguinte na página Download do Plug-in:
Selecione Habilitar Proxy.
Preencha os campos a seguir:
Host de Proxy: Especifique o endereço IP do host de proxy neste campo.
Porta Proxy: Especifique o número da porta de proxy neste campo.
Nome de usuário: Especifique o nome de usuário neste campo.
Senha: Especifique a senha neste campo.
Redigite a Senha: Especifique a senha que você especificou no campo Senha neste campo.
IMPORTANTE:Os plug-ins do iManager não são compatíveis com versões anteriores do iManager. Além disso, todos os plug-ins personalizados que você desejar usar com o iManager deverão ser recompilados no ambiente do iManager
A guia Misc permite que você configure as seguintes definições:
Habilitar [this]: Você pode ignorar essa opção com segurança. A opção Habilitar [this] foi adicionada ao iManager para permitir que algumas equipes internas modificassem seus próprios objetos. [this] é um atributo da árvore que habilita uma funcionalidade específica de autogerenciamento. Se [this] estiver ativado, a versão de todos os servidores eDirectory da árvore deverá ser 8.6.2 ou posterior.
URL do EGuide: Especifica o URL do eGuide. É usado no botão de inicialização do eGuide no cabeçalho e nas tarefas de gerenciamento de funções e tarefas do eGuide. A URL deve ser completa, por exemplo, https://meu.nome.dns/eGuide/servlet/eGuide ou a palavra-chave EMFRAME_SERVER. O uso de EMFRAME_SERVER faz com que o eMFrame procure o eGuide no mesmo servidor em que o eMFrame está localizado.
Para obter mais informações sobre o eGuide, consulte o site da Web da documentação do Novell eGuide.
Para escolher o nível de cifra com base em seu requisito de segurança, use a guia Certificado. O iManager fornece os seguintes certificados para sua escolha:
RSA: O certificado usa um par de chaves RSA 2048. O iManager permite os seguintes níveis de cifra para RSA:
NENHUM: Permite qualquer tipo de cifra.
BAIXO: Permite uma cifra 56 ou 64 bits.
MÉDIO: Permite uma cifra de 128 bits.
ALTO: Permite cifras superiores a 128 bits.
ECDSA 256: O certificado usa um par de chaves ECDSA com curva secp256r1. O iManager permite apenas um nível de cifra para ECDSA 256:
SOMENTE SUITEB 128: Permite qualquer tipo de cifra.
ECDSA 384: O certificado usa um par de chaves ECDSA com curva secp384r1.
SUITEB 128: Permite qualquer tipo de cifra.
SUITEB 192: Permite uma cifra de 56 bits ou de 64 bits.
Por padrão, o RSA é selecionado e o nível da cifra é definido como NENHUM. Para certificados ECDSA, o iManager permite apenas cifras Suíte B. Se você mudar o certificado, certifique-se de que o servidor Tomcat seja reiniciado para que a mudança entre em vigor.
IMPORTANTE:Por padrão, o Firefox não permite o nível de cifra BAIXO.
Para habilitar algoritmos de cifra BAIXO em seu browser Firefox:
Abra o Firefox, digite about:config na barra de locais e pressione Enter.
(Condicional) Se um aviso aparecer, clique no botão Terei cuidado, eu prometo! para continuar na página about:config.
Na página about:config, na lista Nome da Preferência, clique duas vezes na preferência security.ssl3.rsa_rc4_128_md5 para mudar o valor para Verdadeiro.
Isso habilita os algoritmos de cifra BAIXO em seu browser Firefox.
Por padrão, a guia Certificado não está disponível no OES. É necessário mudar manualmente os níveis de cifra no arquivo vhost-ssl.conf.
Acesse o arquivo /etc/apache2/vhosts.d/vhost-ssl.conf, modifique o parâmetro SSLCipherSuite com base em seu suporte do nível de cifra.
Por exemplo, para configurar apenas o nível de cifra ALTO , modifique o parâmetro SSLCipherSuite da seguinte maneira:
<VirtualHost _default_:443> -------------- ---------------- SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- --------------- <VirtualHost>
Você pode usar os seguintes prefixos para modificar os níveis de cifra:
+ : adiciona cifras à lista de cifras e as insere no local atual na lista.
- : remove uma cifra da lista (pode ser adicionada novamente depois).
! : elimina completamente uma cifra da lista (não pode ser adicionada novamente depois).
Para obter mais informações, consulte a documentação Apache Module mod_ssl.