Если эта задача не видна, вы не являетесь авторизованным пользователем. См. раздел Авторизованные пользователи и группы. Данный раздел содержит указанные ниже сведения.
В файле config.xml есть три параметра, управляющих защитой и сертификатами, используемыми при создании в iManager соединения LDAP SSL.
Security.Keystore.AutoUpdate. Если при успешной регистрации пользователя в iManager параметр AutoUpdate имеет значение Истина, то сертификат этого сервера eDirectory может автоматически импортироваться в хранилище ключей iManager. Установите флажок Автоимпорт сертификата дерева для защищенного соединения LDAP (Настройка iManager > Защита).
Security.Keystore.UpdateAllowAll. Если параметр UpdateAllowAll имеет значение Истина, любой успешный вход пользователя в систему приводит к импорту или обновлению сертификата в хранилище ключей сертификатов iManager. Если этот параметр имеет значение False, импорт или обновление сертификата будет происходить только при регистрации авторизованных пользователей.
Security.Keystore.Priority. Параметр Priority содержит два слова, определяющих порядок поиска сертификатов во время соединения: system и imanager.Слово system предполагает, что для поиска сертификатов при созданном контексте SSL используется хранилище ключей JVM* по умолчанию. Если такого хранилища нет, выбирается хранилище iManager.
Порядок поиска system и iManager можно изменить, удалив из записи любое слово.
Для дальнейшего укрепления защиты следует запретить автообновление и использовать только системное хранилище ключей. В этом случае необходимо будет вручную импортировать сертификаты, которые нужно поместить в системное хранилище ключей по умолчанию, с помощью инструментов, поставляемых с Java. Если снять флажок "Разрешить обновление всего" (UpdateAllowAll), то импорт сертификатов произойдет, только если в iManager зарегистрировался авторизованный пользователь.
Эти параметры влияют на конфигурацию всего веб-сервера и хранятся в файле config.xml. При внесении изменений в конфигурацию можно сразу сохранять их или нажать кнопку Сохранить после внесения всех изменений.
Выберите этот параметр, если хотите, чтобы при использовании незащищенного соединения между веб-навигатором и веб-сервером появлялось предупреждение Используется незащищенное соединение.
Убедитесь в том, что выполнены предварительные условия аудита Задайте параметр "Включить аудит Novell", выберите события для протоколирования в iManager и нажмите кнопку Сохранить.
Для защищенных соединений LDAP необходим сертификат. Если выбрана эта функция, система автоматически импортирует сертификат общедоступного дерева для защищенного соединения LDAP.
Авторизованные пользователи и группы — это пользователи и группы, которым в iManager разрешено выполнять различные административные задачи. Данные об авторизованных пользователях хранятся в файле TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties . При установке iManager этот файл создается, только если предоставлена информация об авторизованных пользователях и группах, однако делать это необязательно. Если данные не предоставлены, iManager разрешает всем пользователям устанавливать подключаемые модули iManager и изменять параметры сервера iManager (не рекомендуется в долгосрочной перспективе).
Когда организационная функция или группа добавляется в этот список, все члены группы или организационной функции становятся авторизованными пользователями. Добавление вложенной группы поддерживает только членов первого уровня. Добавление динамических групп не поддерживается, поскольку они могут включать объекты любого типа.
После установки iManager можно добавить авторизованного пользователя, группу или организационную функцию, указав их имена или используя значок выбора объектов рядом со списком Авторизованные пользователи и группы. При этом вносятся изменения в файл configiman.properties.
Чтобы определить всех пользователей дерева как авторизованных, введите значение AllUsers.
ПРИМЕЧАНИЕ.В списке Авторизованные пользователи и группы: можно добавлять и сохранять записи только допустимых пользователей. После добавления недопустимого пользователя и нажатия кнопки Сохранить выведется сообщение об ошибке со сведениями о том, что объект не найден. Если в список добавлены только недопустимые пользователи и нажата кнопка Сохранить, выведется сообщение об ошибке, а список недопустимых пользователей автоматически будет заменен на значение AllUsers. Если нет необходимости в авторизации всех пользователей дерева, удалите значение AllUsers из списка, добавьте записи допустимых пользователей и нажмите кнопку Сохранить.
ВАЖНО.После первой установки приложения iManager список авторизованных пользователей и групп будет пуст. Администраторам необходимо немедленно добавить пользователей и группы в список с целью их авторизации, чтобы обладать правами на изменение списка. В противном случае пользователь, не являющийся администратором, может добавить пользователей и группы в список и получить права на его изменение. В этом случае администратор может утратить подобные права.
Информацию о файле configiman.properties, имеющую отношение к обеспечению безопасности, см. в разделе Авторизованные пользователи и группы iManager.
На вкладке Внешний вид можно настроить вид интерфейса iManager. Эта информация хранится в файле TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
Введите в это текстовое поле название своей организации. Оно будет появляться в строке заголовка веб-навигатора вместо стандартного текста (NetIQ iManager).
Строка заголовка содержит три изображения: фоновое изображение заголовка, изображение-заполнитель и изображение-маркер. Ваши собственные изображения должны соответствовать размерам, указанным в интерфейсе.
Сохраните эти файлы в каталоге nps/portal/modules/fw/images. Введите путь к каждому изображению в соответствующее текстовое поле.
Можно задать цвет заголовка и фон меню навигации слева.
Для этого можно использовать названия цветов или шестнадцатеричные числа. Регистр символов при вводе не учитывается. Нажмите кнопку Сброс, чтобы восстановить цвета и рисунки по умолчанию, или кнопку Сохранить, чтобы сохранить настройки в файле config.xml.
На вкладке Протоколирование событий можно настроить среду протоколирования iManager. Эта вкладка предоставляет доступ к двум параметрам протоколирования.
"Уровень протоколирования". Выберите типы сообщений, которые требуется протоколировать. Доступны четыре варианта: Без протоколирования, только Ошибки, Ошибки и предупреждения и Ошибки, предупреждения и информационные сообщения.
Задайте параметры выходных данных протоколирования.
Выходные данные протоколирования. Выберите контекст назначения протоколируемых сообщений. Доступны три варианта: Отправить выходные данные протоколирования на стандартное устройство ошибок, Отправить выходные данные протоколирования на стандартное устройство вывода и Отправить выходные данные протоколирования в файл Debug.html.
На этой странице отображается путь к файлу журнала и размер этого файла. Чтобы просмотреть текущий файл журнала в формате HTML, выполните команду Просмотр. Чтобы очистить текущий файл журнала и обнулить его размер, выполните команду Очистить.
Выбор параметра Перенаправление после разрегистрации позволяет указать URL-адрес, на который будет произведено перенаправление после выхода из iManager. Если этот параметр не выбран, при нажатии кнопки "Выход" выполняется выход из iManager. По умолчанию отображается страница входа.
Включить: Выберите этот параметр, чтобы включить функцию "Перенаправление после разрегистрации".
URL: Укажите URL-адрес, на который будет произведено перенаправление после выхода из iManager.
На вкладке Аутентификация можно настроить страницу регистрации iManager. Эта вкладка предоставляет доступ к указанным ниже параметрам.
Запомнить учетные данные регистрации. Если этот параметр задан, для регистрации необходимо ввести только пароль.
Использовать защищенный LDAP для автоподключения. Если этот параметр задан, iManager при взаимодействии по протоколу LDAP использует протокол SSL. Если этот параметр не выбран, некоторые подключаемые модули, например Dynamic Groups и NMAS, не работают. Изменение этого параметра не вступает в силу до выхода из iManager.
Скрывать конкретную причину ошибки при регистрации. Если этот параметр задан, iManager заменяет сообщения eDirectory, связанные с аутентификацией, следующим универсальным сообщением: Ошибка регистрации. Неправильное имя пользователя или пароль. Дополнительные сведения см. в разделе Предотвращение обнаружения имени пользователя.
Разрешить выбор дерева на странице регистрации. Если этот параметр задан, на странице регистрации iManager отображается поле Дерево. Если этот параметр не задан, необходимо использовать стандартное имя дерева, в противном случае выполнить регистрацию не удастся.
"Бесконтекстная регистрация". Бесконтекстный вход позволяет пользователям входить в систему только с именем пользователя и паролем без знания всего контекста объекта "Пользователь". Пример: .admin.support.sales.netiq.
Если в дереве имеется несколько пользователей с одинаковым именем, то при бесконтекстной регистрации выполняется вход с использованием первой найденной в списке контейнеров, указанном пользователем, учетной записи пользователя с введенным паролем. Пользователь может изменить порядок списка контейнеров.
Если в дереве имеется несколько пользователей с одинаковым именем, пользователь при входе должен указать полный контекст или ограничить число контейнеров, в которых производится поиск при бесконтекстной регистрации.
Чтобы выполнить поиск пользователя, начиная с корня дерева каталога, задайте параметр Поиск от корня. Чтобы указать один или несколько контейнеров, в которых могут быть найдены объекты "Пользователь", задайте параметр Контейнеры поиска.
По умолчанию iManager подключается с правами общего доступа, не требуя никаких учетных данных. При желании для бесконтекстного поиска можно указать пользователя с определенными учетными данными. Если пользователь не указан, в iManager будет использоваться пользователь с общими правами доступа.
ВАЖНО.Если задан пользователь с общими правами доступа, внимательно ознакомьтесь с особенностями параметров, устанавливающих истечение срока действия пароля. Если для пользователя с общими правами доступа установлен ограниченный срок действия пароля, то по истечении этого срока будет невозможно изменить пароль этого пользователя при регистрации.
Настройки истечения времени ожидания сервера iManager: Если необходимо, чтобы время ожидания сервера iManager истекало через определенный период, укажите количество дней, часов и минут в соответствующих полях на странице "Аутентификация".
Если требуется, чтобы время ожидания не истекало, выберите параметр Never Timeout ("Время ожидания никогда не истекает").
Перенаправление после разрегистрации: Этот параметр на странице "Аутентификация" позволяет указать URL-адрес, на который будет произведено перенаправление после выхода из iManager. Укажите этот URL-адрес в поле URL-адрес. Если URL-адрес не указан, при нажатии кнопки "Выход" выполняется выход из iManager. По умолчанию отображается страница входа.
Сервис административных функций (RBS, Role-Based Services) назначает права на выполнение задач в eDirectory. Когда пользователю назначается функция, сервис административных функций по умолчанию предоставляет ему права, необходимые выполнения задач этой функции.
На вкладке RBS можно настроить указанные ниже параметры.
"Разрешить динамические группы". Если этот параметр задан, сервис административных функций разрешает динамическим группам быть членами функции. Дополнительные сведения о динамических группах см. в руководстве по администрированию NetIQ eDirectory.
"Отображать функции в коллекциях владельцев". Если этот параметр задан, владельцы коллекций могут видеть все функции и задачи независимо от того, являются ли они их членами или нет. Если этот параметр не задан, владельцы коллекций могут видеть только свои назначенные функции.
"Домен обнаружения функций". Этот параметр определяет, в какой части дерева iManager будет искать функции, назначенные члену.
Родитель: iManager ищет динамические группы до родительского контейнера.
Раздел: iManager ищет динамические группы до первого раздела eDirectory.
Корень: iManager ищет динамические группы по всему дереву.
"Домен обнаружения динамических групп". Этот параметр определяет, в какой части дерева iManager будет искать членство в динамической группе. После этого в найденных динамических группах проверяется принадлежность к функции.
"Родительский": iManager ищет функции в родительском контейнере пользователя.
Раздел: iManager ищет функции до первого раздела eDirectory.
Корень: iManager ищет функции по всему дереву.
"Тип поиска динамических групп". Этот параметр определяет тип динамических групп, в которых должен быть выполнен поиск принадлежности к функции.
Поиск только динамических групп: выполняется поиск объектов класса "Динамическая группа".
Объекты "Динамическая группа" и дополнительные классы: выполняется поиск объектов класса dynamicGroup или объектов класса dynamicGroupAux. В их число входят объекты "Группа", которые позже были преобразованы в динамические группы.
"Список деревьев RBS". Этот список автоматически заполняется именами деревьев eDirectory при аутентификации владельца коллекции или члена функции. Если сервис административных функций удаляется из дерева eDirectory, удалите соответствующее дерево из списка, чтобы вернуться в режим "Неназначенный доступ".
На вкладке Загрузка подключаемых модулей можно настроить указанные ниже параметры.
Проверять наличие новых подключаемых модулей NetIQ (NPM) в центре загрузки Novell. Этот параметр определяет, должен ли сервер iManager запрашивать информацию о наличии новых подключаемых модулей (NPM) в центре загрузки NetIQ.
Две кнопки-переключателя позволяют настроить эту функцию так, чтобы запрашивалась информация обо всех доступных модулях NPM или только об обновлениях уже установленных модулей NPM.
Загружать подключаемые модули с произвольного веб-сайта. Можно загружать подключаемые модули с произвольного веб-сайта, указав его адрес в поле "URL-адрес для загрузки".
Загрузка подключаемых модулей через прокси-сервер. Если серверы iManager работают за прокси межсетевого экрана, для доступа в Интернет клиентам следует указать прокси-сервер. Поддерживается только. Это — HTTP веб-прокси. Для загрузки подключаемых модулей необходимо на странице "Загрузка подключаемых модулей" выполнить следующие действия:
Установите флажок Включить прокси.
Заполните следующие поля.
Хост прокси: укажите IP-адрес прокси-сервера.
Порт прокси: укажите номер порта прокси-сервера.
Имя пользователя: укажите имя пользователя.
Пароль: укажите пароль.
Введите пароль еще раз: еще раз укажите пароль, введенный в поле Пароль.
ВАЖНО.Подключаемые модули iManager несовместимы с предыдущими версиями iManager. Кроме того, пользовательские подключаемые модули, которые требуется использовать с iManager, должны быть перекомпилированы в среде iManager
На вкладке Прочее можно настроить следующие параметры.
Разрешить элемент "[Этот]". На этот параметр можно не обращать внимания. Он был добавлен в iManager, чтобы разрешить некоторым внутренним группам вносить изменения в их собственные объекты. [Этот] — это атрибут в дереве, разрешающий определенные функции самоадминистрирования. Если атрибут [этот] включен, все серверы eDirectory в дереве должны быть версии 8.6.2 или более поздней.
"URL-адрес eGuide". Данный параметр определяет URL-адрес eGuide. Этот адрес используется при нажатии кнопки запуска eGuide в заголовке, а также в задачах администрирования функций и задач eGuide. Необходимо указать полный URL-адрес (например, https://my.dns.name/eGuide/servlet/eGuide) или ключевое слово EMFRAME_SERVER. Если используется ключевое слово EMFRAME_SERVER, поиск eGuide осуществляется на том же сервере, где находится eMFrame.
Дополнительные сведения о eGuide см. на веб-сайте документации на Novell eGuide.
Чтобы выбрать уровень шифрования, основанный на требованиях безопасности, используйте вкладку Сертификат. Консоли iManager доступны следующие типы сертификатов.
RSA: Для данного сертификата используется пара 2048-битных ключей RSA. iManager позволяет настроить следующие уровни шифрования для варианта RSA.
НЕТ — позволяет использовать любой тип шифра.
НИЗКИЙ — позволяет использовать 56-разрядный или 64-разрядный шифр.
СРЕДНИЙ — позволяет использовать 128-разрядный шифр.
ВЫСОКИЙ — позволяет использовать шифры более 128 разрядов.
ECDSA 256: для данного сертификата используется пара ключей ECDSA с кривой secp256r1. iManager позволяет использовать только один уровень шифрования для ECDSA 256.
ТОЛЬКО SUITEB 128 — позволяет использовать любой тип шифра.
ECDSA 384: для данного сертификата используется пара ключей ECDSA с кривой secp384r1.
SUITEB 128: позволяет использовать любой тип шифра.
SUITEB 192 — позволяет использовать 56-разрядный или 64-разрядный шифр.
По умолчанию выбран тип RSA и уровень шифрования ОТСУТСТВУЕТ. Для сертификатов ECDSA iManager позволяет настроить только шифры Suite B. При изменении сертификата необходимо перезапустить сервер Tomcat, чтобы это изменение вступило в силу.
ВАЖНО.По умолчанию Firefox не позволяет использовать уровень шифрования НИЗКИЙ.
Чтобы включить уровень шифрования НИЗКИЙ в веб-навигаторе Firefox, выполните следующие действия:
Откройте Firefox, введите в адресной строке команду about:config и нажмите клавишу Enter.
(Зависимый шаг) Если появляется предупреждение, нажмите кнопку I'll be careful, I promise! (Я буду действовать осторожно, обещаю!) для перехода на страницу about:config.
На странице about:config в списке Preference Name дважды щелкните параметр security.ssl3.rsa_rc4_128_md5, чтобы изменить его значение на True.
Это включает НИЗКИЙ уровень шифрования в веб-навигаторе Firefox.
По умолчанию вкладка Сертификат недоступна в OES. Необходимо вручную изменить уровень шифрования в файле vhost-ssl.conf.
Откройте файл /etc/apache2/vhosts.d/vhost-ssl.conf и измените значение параметра SSLCipherSuite в соответствии с выбранным уровнем шифрования.
Например, чтобы настроить только ВЫСОКИЙ уровень шифрования, измените значение параметра SSLCipherSuite следующим образом:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
Чтобы изменить уровни шифрования, можно использовать следующие префиксы:
+ : добавляет уровни шифрования и перемещает их в текущее место в списке.
- : удаляет уровень шифрования из списка (позднее его можно снова добавить).
! : полностью удаляет уровень шифрования из списка без возможности добавить позднее.
Дополнительную информацию см. в документации модуля Apache mod_ssl: