如果您看不到此任务,则表示您不是授权用户。请参见授权用户和组。本主题包含以下信息:
config.xml 文件包含三种设置,这些设置可在 iManager 创建 LDAP SSL 连接时控制安全性和所使用的证书:
Security.Keystore.AutoUpdate: 如果 AutoUpdate 的值为 True,则当用户成功登录到 iManager 时,该 eDirectory 服务器的证书可能会自动导入到 iManager 特定的密钥存储区。选择设置自动导入安全 LDAP 的树证书(配置 iManager > 安全性)。
Security.Keystore.UpdateAllowAll: 当 UpdateAllowAll 为 True 时,任何成功的用户登录都会将证书导入/更新到 iManager 证书密钥存储区中。如果设置为 False,则只有授权用户登陆才会导入/更新证书。
Security.Keystore.Priority: 该优先级设置包含两个单词,用于定义连接过程中证书的搜索顺序:system 和 imanager。system 在创建 SSL 环境时使用默认的 JVM* 密钥存储区查找证书。如果查找失败,会转到 iManager 密钥存储区。
您可以通过去除项中的任一 system 和 iManager 来更改它们的搜索顺序。
要进一步加强安全性,请禁用 AutoUpdate 而仅使用系统密钥存储区。在这种情况下,必须使用 Java 随附的工具手动导入要存放在默认系统密钥存储区中的证书。如果禁用 UpdateAllowAll,则仅当 iManager 授权用户成功登录之后,才能执行证书导入。
这些设置影响整个万维网服务器配置,保存在 config.xml 文件中。可以即时保存,也可以在进行所有更改之后单击一次“保存”。
如果希望在万维网浏览器与万维网服务器之间没有安全连接的用户收到以下警告:您使用的是不安全的连接,则选择此选项。
确保已满足 审计的先决条件。选择“启用 Novell 审计”选项及特定的 iManager 日志记录事件,然后单击“保存”。
安全 LDAP 连接需要证书。如果选择此功能,系统会自动导入安全 LDAP 的公共树证书。
授权用户和组是 iManager 允许执行其各项管理任务的用户和组。授权用户数据保存在 TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties 中。只有提供了授权用户和组的信息,iManager 安装过程才会创建此文件,但这项操作不是必需的。若此操作无法执行,会导致 iManager 允许任何用户安装 iManager 插件并修改 iManager 服务器设置(不建议长期使用)。
将组或组织角色添加到此列表时,该组或组织角色的所有成员将成为授权用户。添加嵌套组仅支持第一级成员。但不支持添加动态组,因为这可能会使任何类型的对象成为其成员。
安装 iManager 后,可以通过指定或使用授权用户和组列表旁边的“对象选择器”图标添加授权用户、组或组织角色。这样做将修改 configiman.properties 文件。
要将树的所有用户指定为授权用户,请键入 AllUsers。
注:您只能将有效的用户添加并保存到授权用户和组列表中。如果您添加了无效的用户并单击保存,则会显示一条错误讯息,表明无法找到该对象。如果您仅将无效的用户添加到该列表中并单击保存,则会显示一条错误讯息,并且无效用户的列表会自动替换为 AllUsers。如果您不希望树中的所有用户都成为授权用户,请从列表中去除 AllUsers,将所需的有效用户添加到列表中,然后单击保存。
重要说明:如果是初次安装 iManager,则“授权用户和组”列表为空。如果您是 Admin 用户,则必须立即将用户和组添加到列表中,以使其成为授权用户,并使其拥有修改列表的权限。否则,非 Admin 用户可能会将用户和组添加到该列表中,这样他/她就会获得修改列表的权限。而作为 Admin 用户的您则会丧失修改列表的权限。
有关 configiman.properties 文件的安全性相关信息,请参见iManager 授权用户和组。
通过“外观”选项卡可以自定义 iManager 界面的外观。此信息存储在 TOMCAT_HOME\webapps\nps\WEB-INF\config.xml 中。
在此文本框中指定您的组织名称。该名称随之会显示在 Web 浏览器的标题栏中,会取代默认文本 (NetIQ iManager)。
标题栏包含三幅映象:标题背景映象、标题填充映象和标题固定设计映象。自己的映象必须符合界面指定的尺寸。
将这些文件存储在 nps/portal/modules/fw/images 中。在每个映像各自的文本字段中指定其路径。
您可以自定义左侧导航菜单的菜单标题和背景的颜色。
可以键入颜色名称或十六进制数字。这些项不区分大小写。单击“重设置”将返回默认颜色和映像,或单击“保存”将设置保存到 config.xml 文件。
通过“日志记录事件”选项卡可以配置 iManager 的日志记录环境。有两个日志记录设置:
日志记录级别: 从下列四个选项中选择要记录的讯息类型:无日志记录、仅错误、错误和警告和错误、警告和调试信息。
选择您的日志记录输出选项。
日志记录输出: 从下列三个选项中选择所记录讯息的目标:将日志输出发送到标准错误设备、将日志输出发送到标准输出设备和将日志输出发送到 Debug.html 文件。
日志文件路径和日志文件大小都会显示在此页。选择“查看”以 HTML 格式显示当前的日志文件。选择“清除”以清除当前的日志文件并将日志文件大小重设置为 0(零)字节。
使用注销后重定向选项,可以指定在注销 iManager 后要重定向到的 URL。如果您没有选择此选项,则当您单击“退出”时,将从 iManager 中注销。默认情况下,将显示“登录”页。
启用: 选择此选项可以启用“注销后重定向”功能。
URL: 指定在注销 iManager 后要重定向到的 URL。
通过“鉴定”选项卡可配置 iManager 的登录页。它包含下列选项:
记住登录凭证: 选择后,用户必须只输入口令进行登录。
使用安全 LDAP 进行自动连接: 选择后,iManager 使用 SSL 执行 LDAP 通信。如果未选择此选项,有些插件(例如,动态组和 NMAS)将无法正常工作。此设置在注销 iManager 后才会生效。
隐藏登录失败的具体原因: 选择后,iManager 将与鉴定有关的 eDirectory 讯息替换为一般错误讯息,显示为:登录失败。用户名或口令无效。更多信息请参见防止用户名发现。
允许在“登录”页上选择“树”: 选择后,iManager 登录页将显示“树”字段。如果未选择此选项,则必须指定默认的树名,否则无法登录。
无环境登录: 无环境登录允许用户在不知道整个用户对象环境的情况下,仅使用用户名和口令登录。例如,.admin.support.sales.netiq。
如果在树中有多个用户具有相同的用户名,则无环境登录允许使用在用户指定的树枝顺序列表中使用提供的口令找到的第一个用户帐户登录。用户可以重新排列和设置树枝顺序列表。
如果在树中有多个用户具有相同的用户名,要使用特定用户名登录,用户在登录时应提供完整环境,或限制无环境登录搜索的搜索树枝。
选择“从根搜索”以从目录树的根执行用户搜索。选择“搜索树枝”以指定可以找到用户对象的一个或多个树枝。
默认情况下,iManager 会通过公共访问进行连接,不需要特定的凭证。您可以指定一个具有特定凭证的用户进行搜索,以执行无环境查找。如果没有指定用户,将使用 iManager 公共用户。
重要说明:如果指定公共用户,请仔细考虑口令失效设置的问题。如果对公共用户的口令设置了失效,则口令失效后,您将无法在登录期间更改口令。
iManager 服务器超时设置: 如果您希望 iManager 服务器在一段时间后超时,请在“鉴定”页的相应字段中分别指定天数、小时数和分钟数。
如果您不希望服务器超时,请选择“从不超时”选项。
注销后重定向: 如果要在注销 iManager 后重定向到所需的页,需要在“鉴定”页中启用此选项。您需要在 URL:字段中指定所需的 URL。如果您未指定任何 URL,则当您单击“退出”时,将从 iManager 中注销。默认情况下,将显示“登录”页。
基于角色的服务 (RBS) 可以指派在 eDirectory 中执行任务的权限。当您为某个用户指派角色时,默认情况下,RBS 将会指派必要的权限来执行该角色涉及的任务。
通过“RBS”选项卡可以配置下列设置:
启用动态组: 选择后,RBS 允许动态组成为具备某一角色的成员。有关动态组的更多信息,请参见《NetIQ eDirectory 管理指南》。
显示拥有的集合中的角色: 选择后,集合拥有者可以看到所有角色和任务,无论他们是否是这些角色和任务的成员。取消选择此选项将强制集合拥有者只能看到为其指派的角色。
角色发现域: 指示 iManager 将在树中的哪个位置搜索指派给成员的角色。
父:iManager 在直至父树枝的范围内搜索“动态组”。
分区:iManager 在直至第一个 eDirectory 分区的范围内搜索“动态组”。
根:iManager 在整个树中搜索“动态组”。
动态组发现域: 指示 iManager 将在树中的哪个位置搜索动态组成员资格。在找到的动态组中检查角色成员资格。
父:iManager 在用户的父树枝中搜索角色。
分区:iManager 在直至第一个 eDirectory 分区的范围内搜索角色。
根:iManager 在整个树中搜索角色。
动态组搜索类型: 选择应在哪种动态组类型中搜索角色成员资格。
仅动态组:搜索“动态组”类类型的对象。
动态组对象和辅助类:搜索 dynamicGroup 类类型对象或已使用 dynamicGroupAux 类扩展的对象。这包括后来转换为“动态组”的组对象。
RBS 树列表: 集合拥有者或角色成员进行鉴定时,自动填充 eDirectory 树的名称。如果 RBS 已从某个 eDirectory 树中去除,请去除此列表中该树的项,以返回“未指派访问”模式。
通过“插件下载”选项卡可以配置下列设置:
在 Novell 下载站点上查询新的 NetIQ 插件模块 (NPM): 指示 iManager 服务器应在 NetIQ 下载站点上查询新的插件模块 (NPM)。
通过两个单选按钮可以配置查询每个可用的 NPM 还是只查询对已安装的 NPM 的更新。
从自定义站点下载插件模块: 可以通过在“插件下载”页的“下载 URL”字段中指定自定义站点的 URL,从自定义站点下载插件模块。
通过代理下载插件模块: 如果 iManager 服务器在防火墙代理下运行,则客户程序可以通过代理服务器访问因特网。仅支持 HTTP 代理。这是万维网代理 HTTP。要下载插件,用户需要在“插件下载”页中执行以下操作:
选择启用代理。
在以下字段中输入:
代理主机:在此字段中指定代理主机 IP 地址。
代理端口:在此字段中指定代理端口号。
用户名:在此字段中指定用户名。
口令:在此字段中指定口令。
重键入口令:在此字段中指定在口令字段中指定的口令。
重要说明:iManager 插件与以前版本的 iManager 不兼容。此外,要与 iManager 一起使用的任何自定义插件必须在 iManager 环境中重新编译。
通过“其他”选项卡可以配置下列设置:
启用 [this]: 您可以放心地忽略此选项。将“启用 [this]”添加到 iManager 是为了让一些内部小组能够修改自己的对象。[this] 是树中能够启用特定自我管理功能的一个属性。如果启用了 [this],则树中的所有 eDirectory 服务器必须为 8.6.2 或更高版本。
eGuide URL: 为 eGuide 指定 URL。此项用于标题的 eGuide 起动按钮,以及 eGuide 角色和任务管理任务。它必须是完整的 URL(例如,https://my.dns.name/eGuide/servlet/eGuide),或关键字 EMFRAME_SERVER。使用 EMFRAME_SERVER 将使 eMFrame 在其所在的同一服务器上查找 eGuide。
有关 eGuide 的更多信息,请参见 Novell eDirectory 文档万维网站点。
要根据安全要求选择加密法级别,请使用证书选项卡。iManager 提供以下证书以供选择:
RSA: 此证书使用 2048 RSA 密钥对。对于 RSA,iManager 允许以下加密法级别:
无:允许使用任何类型的加密法。
低:允许使用 56 位或 64 位加密法。
中:允许使用 128 位加密法。
高:允许使用大于 128 位的加密法。
ECDSA 256: 此证书使用包含曲线 secp256r1 的 ECDSA 密钥对。对于 ECDSA 256,iManager 仅允许一个加密法级别:
仅 SUITEB 128:允许使用任何类型的加密法。
ECDSA 384: 此证书使用包含曲线 secp384r1 的 ECDSA 密钥对。
SUITEB 128:允许使用任何类型的加密法。
SUITEB 192:允许使用 56 位或 64 位加密法。
默认情况下,RSA 处于选中状态,加密法级别设置为无。对于 ECDSA 证书,iManager 只允许使用套件 B 加密法。如果您更改了证书,请确保对 Tomcat 服务器进行重启以使更改生效。
重要说明:默认情况下,Firefox 不允许使用低加密法级别。
要在 Firefox 浏览器中启用低加密法算法,请执行以下操作:
打开 Firefox,在地址栏中键入 about:config,然后按 Enter·键。
(条件)如果出现警告,单击我会小心,我保证!按钮以继续打开 about:config 页。
在 about:config 页的“自选设置名称”列表下,双击 security.ssl3.rsa_rc4_128_md5 自选设置,以将值更改为 True。
这将在 Firefox 浏览器中启用低加密法算法。
按照设计,证书选项卡在 OES 上不可用。您需要手动更改 vhost-ssl.conf 文件中的加密法级别。
转到 /etc/apache2/vhosts.d/vhost-ssl.conf 文件,然后根据您的加密法级别支持,修改 SSLCipherSuite 参数。
例如,要仅配置高加密法级别,请修改 SSLCipherSuite 参数,如下所示:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
您可以使用以下前缀修改加密法级别:
+ :将加密法添加到加密法列表,并将其拉到列表中的当前位置。
- :从列表中去除加密法(以后可以再次添加)。
! :从列表中完全终止加密法(以后不能再添加)。
有关更多信息,请参见 Apache Module mod_ssl 文档。