Ak sa vám táto úloha nezobrazuje, nie ste oprávneným používateľom. Pozrite časť Autorizovaní používatelia a skupiny. Táto téma obsahuje nasledujúce informácie:
V súbore config.xml existujú tri nastavenia, ktoré ovládajú zabezpečenie a certifikáty, ktoré sa používajú, keď aplikácia iManager vytvára pripojenie LDAP SSL:
Security.Keystore.AutoUpdate: Ak je v čase, keď sa používateľ úspešne prihlási do aplikácie iManager, hodnota položky AutoUpdate „True“, certifikát z daného servera služby eDirectory môže byť automaticky importovaný do ukladacieho priestoru kľúčov špecifického pre aplikáciu iManager. Vyberte nastavenie Certifikát stromu automatického importu pre zabezpečený protokol LDAP (Konfigurovať aplikáciu iManager > Zabezpečenie).
Security.Keystore.UpdateAllowAll: Ak je hodnota položky UpdateAllowAll „True“, akékoľvek úspešné prihlásenie používateľa importuje/inovuje certifikát do ukladacieho priestoru kľúčov aplikácie iManager. Ak má nastavenie hodnotu „false“, certifikáty importuje/inovuje iba prihlásenie overeného používateľa.
Security.Keystore.Priority: Nastavenie priority obsahuje dve slová, ktoré definujú poradie vyhľadávania certifikátov počas pripojenia: system a imanager.Položka system používa pri vytvorení kontextu SSL na vyhľadanie certifikátov predvolený ukladací priestor kľúčov JVM*. Ak táto akcia zlyhá, prejde do ukladacieho priestoru kľúčov aplikácie iManager.
Zmeniť poradie vyhľadávania slov system a iManager môžete odstránením jedného z týchto slov z nastavenia.
Na ďalšie zvýšenie zabezpečenia nepovoľte funkciu AutoUpdate a použite iba systémový ukladací priestor kľúčov. Ak vykonáte túto akciu, musíte manuálne importovať certifikáty, ktoré chcete umiestniť v predvolenom systémovom ukladacom priestore kľúčov, pomocou nástrojov, ktoré sú súčasťou prostredia Java. Ak zakážete položku UpdateAllowAll, importy certifikátov sa vykonávajú iba pri úspešnom prihlásení overeného používateľa do aplikácie iManager.
Tieto nastavenia ovplyvňujú celú konfiguráciu webového servera a sú uložené v súbore config.xml. Zmeny, ktoré vykonáte, môžete ukladať postupne alebo môžete kliknutím na položku Uložiť uložiť všetky zmeny naraz.
Túto možnosť vyberte, ak chcete, aby sa používateľom bez zabezpečeného pripojenia medzi webovým prehľadávačom a webovým serverom zobrazovalo nasledujúce upozornenie: Používate nezabezpečené pripojenie.
Uistite sa, že spĺňate Predpoklady na využívanie kontroly Audit. Vyberte možnosť Povoliť kontrolu Novell Audit a vyberte konkrétne udalosti denníkov aplikácie iManager a potom kliknite na tlačidlo Uložiť.
Pripojenia prostredníctvom zabezpečeného protokolu LDAP vyžadujú certifikát. Ak vyberiete túto funkciu, systém automaticky importuje certifikát verejného stromu pre zabezpečený protokol LDAP.
Oprávnení používatelia a skupiny sú tie subjekty, ktorým iManager povoľuje vykonávať rôzne jeho správcovské úlohy. Údaje autorizovaných používateľov sú uložené v súbore TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties. Proces inštalácie aplikácie iManager vytvára tento súbor iba v prípade, že sú zadané informácie o overenom používateľovi a skupine. Nie je to však vyžadované. Následkom nevykonania tejto akcie je, že aplikácia iManager povolí ľubovoľnému používateľovi inštalovať doplnky aplikácie iManager a upravovať nastavenia servera aplikácie iManager (z dlhodobého hľadiska sa to neodporúča.)
Keď sa do zoznamu pridá skupina alebo organizačná rola, všetci členovia skupiny alebo organizačnej roly sa stanú overenými používateľmi. Pridávanie vnorenej skupiny podporuje iba členov prvej úrovne. Pridávanie dynamickej skupiny však nie je podporované, pretože táto môže mať ako členov akékoľvek typy objektov.
Po nainštalovaní aplikácie iManager môžete pridať overeného používateľa, skupinu alebo organizačnú rolu zadaním alebo použitím ikony funkcie Výberu objektu vedľa zoznamu Autorizovaní používatelia a skupiny. Táto akcia upravuje súbor configiman.properties.
Ak chcete určiť všetkých používateľov stromu ako overených používateľov, zadajte AllUsers.
POZNÁMKA:Do zoznamu Autorizovaní používatelia a skupiny môžete pridávať a ukladať iba platných používateľov. Ak pridáte neplatných používateľov a kliknete na položku Uložiť, zobrazí sa chybové hlásenie o tom, že objekt sa nenašiel. Ak do zoznamu pridáte iba neplatných používateľov a kliknete na položku Uložiť, zobrazí sa chybové hlásenie a zoznam neplatných používateľov sa automaticky nahradí hodnotou AllUsers. Ak nechcete, aby boli všetci používatelia stromu autorizovanými používateľmi, odstráňte hodnotu AllUsers zo zoznamu, pridajte požadovaných platných používateľov do zoznamu a kliknite na položku Uložiť.
DÔLEŽITÉ:Ak ste inštalovali aplikáciu iManager po prvýkrát, zoznam Autorizovaní používatelia a skupiny je prázdny. Ako používateľ s oprávneniami správcu musíte okamžite pridať používateľov a skupiny do zoznamu, aby sa stali autorizovanými, a aby ste získali práva na úpravu zoznamu. Ak to neurobíte, používateľov a skupiny môže do zoznamu pridať iný používateľ bez oprávnení správcu, na základe čoho tento používateľ získa práva na úpravu zoznamu. Vy ako správca tak môžete stratiť práva na úpravu zoznamu.
Informácie súvisiace so zabezpečením súboru configiman.properties nájdete v časti Autorizovaní používatelia a skupiny aplikácie iManager.
Karta Vzhľad a prostredie vám umožňuje prispôsobovať vzhľad rozhrania aplikácie iManager. Tieto informácie sú uložené v súbore TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
V tomto textovom poli zadajte názov svojej organizácie. Zobrazuje sa potom v záhlaví webového prehľadávača namiesto predvoleného textu (NetIQ iManager).
Záhlavie obsahuje tri obrázky: obrázok pozadia hlavičky, obrázok výplne hlavičky a obrázok značky hlavičky. Vaše vlastné obrázky musia zodpovedať rozmerom predpísaným v rozhraní.
Tieto súbory uložte v umiestnení nps/portal/modules/fw/images. V príslušnom textovom poli zadajte cestu pre každý obrázok.
Môžete prispôsobiť farbu hlavičky ponuky a pozadia navigačnej ponuky na ľavej strane.
Môžete zadať názvy farieb alebo hexadecimálne čísla. Pri hodnotách sa nerozlišujú malé a veľké písmená. Kliknite na tlačidlo Vynulovať, ak chcete obnoviť predvolené farby a obrázky, alebo kliknite na tlačidlo Uložiť na uloženie nastavení do súboru config.xml.
Karta Udalosti zapisovania do denníka vám umožňuje konfigurovať prostredie denníkov aplikácie iManager. K dispozícii sú dve nastavenia zapisovania do denníka:
Úroveň zapisovania do denníka: Vyberte typy správ, ktoré chcete ukladať do denníka, z týchto štyroch možností: Nezapisovať do denníka, Iba chyby, Chyby a upozornenia a Chyby, upozornenia a hlásenia s informáciami o ladení.
Vyberte nastavenia výstupu denníka.
Výstup zapisovania do denníka: Vyberte cieľové umiestnenie pre hlásenia zapísané do denníka z týchto troch možností: Odoslať výstup denníka na zariadenie pre štandardné chyby, Odoslať výstup denníka na štandardné výstupné zariadenie a Odoslať výstup denníka do súboru Debug.html.
Na tejto stránke sa zobrazí cesta k súboru denníka a jeho veľkosť. Vyberte položku Zobraziť na zobrazenie aktuálneho súboru denníka vo formáte HTML. Vyberte položku Vymazať na vymazanie aktuálneho súboru denníka a vynulovanie veľkosti súboru denníka na 0 (nula) bajtov.
Výber voľby Presmerovanie po odhlásení vám umožňuje zadať adresu URL, na ktorú sa má vykonať presmerovanie po odhlásení z aplikácie iManager. Ak ste túto možnosť nevybrali, po kliknutí na položku Skončiť budete ohlásení z aplikácie iManager. Predvolene sa zobrazí stránka na prihlásenie.
Zapnúť: Túto možnosť vyberte, ak chcete zapnúť funkciu Presmerovanie po odhlásení.
Adresa URL: Zadajte adresu URL, na ktorú budete presmerovaní po odhlásení sa z aplikácie iManager.
Karta Overenie nastavuje prihlasovaciu stránku aplikácie iManager. Obsahuje nasledujúce možnosti:
Zapamätať si prihlasovacie poverenia: Ak je vybratá táto možnosť, používatelia musia na prihlásenie zadať iba heslo.
Použiť možnosť Secure LDAP na automatické pripojenie: Ak je vybratá táto možnosť, aplikácia iManager vykonáva komunikácie LDAP pomocou protokolu SSL. Ak táto možnosť nie je vybratá, nebudú fungovať niektoré doplnky, napríklad doplnky Dynamic Groups a NMAS. Toto nastavenie sa prejaví až po odhlásení z aplikácie iManager.
Skryť konkrétnu príčinu neúspešného prihlásenia: Ak je vybratá táto možnosť, aplikácia iManager nahradí hlásenia súvisiace s overením služby eDirectory všeobecným chybovým hlásením s nasledovným textom: Neúspešné prihlásenie. Neplatné meno používateľa alebo heslo. Ďalšie informácie nájdete v časti Zabránenie zisťovaniu mien používateľov.
Povoliť výber stromu na stránke pre prihlásenie: Ak je vybratá táto možnosť, prihlasovacia stránka aplikácie iManager zobrazuje pole Strom. Ak táto možnosť nie je vybratá, budete musieť mať zadaný predvolený názov stromu, inak sa nebude možné prihlásiť.
Prihlásenie bez kontextu: Prihlásenie bez kontextu umožňuje používateľom prihlásiť sa iba pomocou mena používateľa a hesla bez toho, aby museli poznať celý svoj kontext objektu používateľa. Napríklad: .admin.support.sales.netiq.
Ak sú v strome prihlásení viacerí používatelia s tým istým menom používateľa, prihlásenie bez kontextu vám umožňuje prihlásiť sa tak, že použije konto prvého používateľa na nájdenie zadaného hesla v zozname poradia kontajnerov, ktorý určil používateľ. Používateľ môže zmeniť usporiadanie a nastaviť zoznam poradia kontajnerov.
Ak sú v strome prihlásení viacerí používatelia s tým istým menom používateľa, používateľ by mal pri prihlasovaní zadať úplný kontext alebo obmedziť kontajnery vyhľadávania, ktoré sú prehľadávané prihlásením bez kontextu.
Možnosť Hľadať od koreňa vyberte, ak chcete vykonať používateľské vyhľadávanie od koreňa stromu adresárov. Možnosť Hľadať v kontajneroch vyberte, ak chcete zadať jeden alebo viacero kontajnerov, v ktorých možno nájsť objekty používateľa.
V predvolenom nastavení je aplikácia iManager prepojená s verejným prístupom bez požiadavky na konkrétne prihlasovacie údaje. Ak chcete vyhľadávať bez kontextu, môžete zadať používateľa s konkrétnymi povereniami. Ak nezadáte používateľa, použije sa verejný používateľ aplikácie iManager.
DÔLEŽITÉ:Ak zadáte verejného používateľa, dôkladne zvážte dôsledky pre nastavení skončenia platnosti hesla. Ak je pre verejného používateľa nastavené skončenie platnosti hesla, po skončení jeho platnosti nebudete mať pri prihlasovaní možnosť zmeniť heslo.
Nastavenie časového limitu servera aplikácie iManager: Ak chcete, aby po určitom čase uplynul časový limit servera aplikácie iManager, zadajte počet dní, hodín a minút do príslušných polí na stránke Overenie.
Ak nechcete pre server nastaviť časový limit, vyberte možnosť Žiadny časový limit.
Presmerovanie po odhlásení: Na stránke Overenie musíte zapnúť toto nastavenie, ak chcete byť po odhlásení z aplikácie iManager presmerovaní na požadovanú stránku. Musíte zadať požadovanú adresu URL v poli Adresa URL:. Ak nezadáte žiadnu adresu URL, po kliknutí na položku Skončiť budete odhlásení z aplikácie iManager. Predvolene sa zobrazí stránka na prihlásenie.
Služba RBS (Role-Based Services) priraďuje práva v rámci služby eDirectory na vykonávanie úloh. Keď k používateľovi priradíte rolu, služba RBS predvolene priradí práva potrebné na vykonanie úloh v rámci tejto roly.
Karta RBS vám umožňuje konfigurovať tieto nastavenia:
Povoliť dynamické skupiny: Ak je vybratá táto možnosť, služba RBS umožní dynamickým skupinám byť členom roly. Ďalšie informácie o dynamických skupinách nájdete v príručke NetIQ eDirectory Administration Guide.
Zobraziť roly vo vlastnených kolekciách: Ak je vybratá táto možnosť, vlastníci kolekcie vidia všetky roly a úlohy bez ohľadu na to, či sú ich členom. Zrušením výberu tejto možnosti vynútite, aby vlastníci kolekcií videli iba svoje priradené roly.
Doména pre vyhľadávanie rolí: Označuje miesto v strome aplikácie iManager, kde sa majú vyhľadávať roly priradené k členovi.
Nadradené: aplikácia iManager vyhľadáva dynamické skupiny po nadradený kontajner.
Oddiel: aplikácia iManager vyhľadáva dynamické skupiny po prvý oddiel služby eDirectory.
Koreň: aplikácia iManager vyhľadáva dynamické skupiny v celom strome.
Doména pre vyhľadávanie dynamických skupín: Označuje, kde v strome aplikácie iManager vyhľadáva členstvo v dynamickej skupine. Členstvo v role sa potom kontroluje v nájdenej dynamickej skupine.
Nadradené: aplikácia iManager vyhľadáva roly v nadradenom kontajneri používateľa.
Oddiel: aplikácia iManager vyhľadáva roly po prvý oddiel služby eDirectory.
Koreň: aplikácia iManager vyhľadáva roly v celom strome.
Typ vyhľadávania dynamických skupín: Vyberie typ dynamických skupín, v ktorom sa má vyhľadať členstvo roly.
Iba dynamické skupiny: vyhľadá objekty, ktoré majú typ triedy Dynamická skupina.
Objekty dynamickej skupiny a pomocné triedy: vyhľadá objekty, ktorých typ triedy je dynamicGroup alebo ktoré boli rozšírené triedou dynamicGroupAux. Zahŕňa to aj objekty skupiny, ktoré boli neskôr skonvertované na dynamické skupiny.
Zoznam stromov RBS: Automaticky vyplnené v názve stromu služby eDirectory po overení vlastníka kolekcie alebo člena roly. Ak sa zo stromu služby eDirectory odstráni služba RBS, odstráňte túto položku stromu zo zoznamu, aby ste sa vrátili do režimu nepriradeného prístupu.
Karta Prevzatie doplnku vám umožňuje konfigurovať tieto nastavenia:
Skontrolovať na lokalite súčastí na prevzatie dostupnosť nových modulov NPM (NetIQ Plug-in Module): Určuje, že server aplikácie iManager by mal skontrolovať na lokalite pre prevzatie NetIQ dostupnosť nových modulov doplnkov (NPM).
Dva prepínače vám umožňujú konfigurovať dotaz pre každý dostupný modul NPM alebo kontrolovať iba aktualizácie už nainštalovaných modulov NPM.
Prevzatie modulov doplnkov z vlastnej lokality: Moduly doplnkov môžete prevziať z vlastnej lokality zadaním adresy URL vlastnej lokality v poli Adresa URL na prevzatie na stránke prevzatia doplnkov.
Prevzatie modulov doplnkov cez server proxy: Ak sú servery aplikácie iManager spustené na serveri proxy s bránou firewall, klient môže získať prístup na Internet cez server proxy. Podporovaný je iba server proxy HTTP. Je to webový server proxy HTTP. Na prevzatie doplnkov musí používateľ na stránke Prevzatie doplnkov vykonať nasledovné:
Vyberte položku Povoliť proxy.
Zadajte do nasledujúcich polí:
Hostiteľ proxy: v tomto poli zadajte adresu IP hostiteľa servera proxy.
Port proxy: v tomto poli zadajte číslo portu servera proxy.
Meno používateľa: v tomto poli zadajte meno používateľa.
Heslo: v tomto poli zadajte heslo.
Znova zadajte heslo: do tohto poľa zadajte heslo, ktoré ste zadali v poli Heslo.
DÔLEŽITÉ:Doplnky aplikácie iManager nie sú kompatibilné s predchádzajúcimi verziami aplikácie iManager. Okrem toho všetky vlastné doplnky, ktoré chcete s aplikáciou iManager používať, musíte znova skompilovať v prostredí aplikácie iManager.
Karta Rôzne vám umožňuje konfigurovať tieto nastavenia:
Povoliť [toto]: Túto možnosť môžete bezpečne ignorovať. Možnosť Povoliť [toto] bola pridaná do aplikácie iManager, aby bolo možné povoliť niektorým interným tímom upravovať vlastné objekty. Atribút [toto] je atribútom stromu, ktorý umožňuje špecifické funkcie vlastnej správy. Ak je zapnutý atribút [toto], všetky servery služby eDirectory v strome musia mať verziu 8.6.2 alebo novšiu.
Adresa URL aplikácie eGuide: Určuje adresu URL aplikácie eGuide. Používa sa pre tlačidlo spustenia aplikácie eGuide v hlavičke a v úlohách správy rolí a úloh aplikácie eGuide. Musí to byť úplná adresa URL, napríklad: https://my.dns.name/eGuide/servlet/eGuide alebo kľúčové slovo EMFRAME_SERVER. Použitie kľúčového slova EMFRAME_SERVER spôsobí, že nástroj eMFrame bude hľadať príručku eGuide na tom istom serveri, kde je umiestnený aj nástroj eMFrame.
Ďalšie informácie o aplikácii eGuide nájdete na webovej lokalite dokumentácie Novell eGuide.
Na výber úrovne šifry na základe svojich požiadaviek na zabezpečenie použite kartu Certifikát. Aplikácia iManager poskytuje tieto certifikáty, z ktorých možno vybrať:
RSA: Certifikát používa 2048-bitový pár kľúčov RSA. Aplikácia iManager povoľuje nasledujúce úrovne šifry RSA:
ŽIADNA: umožňuje akýkoľvek typ šifry.
NÍZKA: umožňuje 56-bitovú alebo 64-bitovú šifru.
STREDNÁ: umožňuje 128-bitovú šifru.
VYSOKÁ: umožňuje vyššiu než 128-bitovú šifru.
ECDSA 256: Certifikát používa pár kľúčov ECDSA s krivkou secp256r1. Aplikácia iManager povoľuje iba jednu úroveň šifry pre ECDSA 256:
IBA SUITEB 128: umožňuje akýkoľvek typ šifry.
ECDSA 384: Certifikát používa pár kľúčov ECDSA s krivkou secp384r1.
SUITEB 128: umožňuje akýkoľvek typ šifry.
SUITEB 192: umožňuje 56-bitovú alebo 64-bitovú šifru.
Predvolene je vybratá množina RSA a nastavená je úroveň šifry ŽIADNA. Pre certifikáty ECDSA umožňuje aplikácia iManager iba šifry Suite B. Ak zmeníte certifikát, reštartujte server Tomcat, aby sa zmena prejavila.
DÔLEŽITÉ:Prehľadávač Firefox predvolene nepovoľuje úroveň šifry NÍZKA.
Ak chcete povoliť algoritmy úrovne šifry NÍZKA v prehľadávači Firefox:
Otvorte prehľadávač Firefox, v paneli adresy zadajte about:config a potom stlačte kláves Enter.
(Podmienené iným krokom) Ak sa zobrazí upozornenie, kliknite na položku Budem opatrný na pokračovanie na stránku about:config.
Na stránke about:config pod zoznamom Názov predvoľby dvakrát kliknite na predvoľbu security.ssl3.rsa_rc4_128_md5, čím zmení svoju hodnotu na „True“.
Toto umožňuje použitie algoritmov šifry úrovne NÍZKA v prehľadávači Firefox.
Karta Certifikáty nie je platforme OES zámerne k dispozícii. Musíte manuálne zmeniť úrovne šifry v súbore vhost-ssl.conf.
Prejdite na súbor /etc/apache2/vhosts.d/vhost-ssl.conf a upravte parameter SSLCipherSuite podľa svojej podporovanej úrovne šifry.
Napríklad ak chcete konfigurovať iba úroveň šifry VYSOKÁ, upravte parameter SSLCipherSuite nasledovne:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
Na úpravu úrovní šifry môžete použiť nasledujúce predpony:
+ : pridá šifry do zoznamu šifier a presunie ich do aktuálneho umiestnenia v zozname.
- : odstráni šifru zo zoznamu (neskôr môže byť opäť pridaná).
! : úplne odstráni šifru zo zoznamu (neskôr už nemôže byť znova pridaná).
Ďalšie informácie nájdete v dokumentácii pre Apache Module mod_ssl.