如果沒有看到此任務,則表示您不是授權使用者。請參閱授權使用者與群組。 本小節包含以下資訊:
iManager 建立 LDAP SSL 連接時,在控制安全性和所使用證書的 config.xml 檔案中有三個設定:
Security.Keystore.AutoUpdate: 如果 AutoUpdate 的值為 true,當使用者成功登入到 iManager 後,該 eDirectory 伺服器發出的證書可能會自動輸入到 iManager 特定的 keystore 中。選取「為安全 LDAP 自動輸入網路樹證書」設定 (設定 iManager > )安全性)。
Security.Keystore.UpdateAllowAll: 當 UpdateAllowAll 為 True 時,任何成功的使用者登入都會將證書輸入/更新至 iManager 證書 keyStore 中。如果設定值為 false,則只有授權使用者登入會輸入/更新證書。
Security.Keystore.Priority: 優先順序設定包含兩個定義連接期間證書之搜尋順序的單字:system 和 imanager。system 在建立 SSL 網路位置時使用預設的 JVM* keystore 查找證書。如果查找失敗,會轉至 iManager keystore。
從項目移除 system 或 iManager 可以變更它們的搜尋順序。
為了進一步加強安全性,請不要使用 AutoUpdate,而僅使用系統 keystore。在這種情況下,必須使用 Java 隨附的工具,手動輸入您要儲存於預設系統 keystore 內的證書。如果停用 UpdateAllowAll,則只有在 iManager 授權使用者成功登入時才會輸入證書。
這些設定會影響整個 Web 伺服器組態,而且會儲存在 config.xml 檔案中。 您可以在離開時儲存設定,或是在進行所有變更之後按一下「儲存」。
如果您希望使用者在網頁瀏覽器和 Web 伺服器之間沒有安全連線時,收到下列警告:您使用的是不安全連線,請選取此選項。
請確定您符合 Audit 先決條件。選取「啟用 Novell Audit」選項,並選取特定的 iManager 記錄事件,然後按一下「儲存」。
安全 LDAP 連接需要證書。如果選取此功能,系統會自動輸入公用網路樹證書以確保 LDAP 的安全。
授權使用者與群組是 iManager 允許執行各自不同管理任務的人員。授權使用者資料儲存在 TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties 中。只有在提供授權使用者與群組資訊之後,iManager 安裝程序才會建立此檔案,但是這項操作不是必須的。不執行此操作會導致 iManager 允許任何使用者安裝 iManager 外掛程式及修改 iManager 伺服器設定 (不建議長期使用)。
當此清單新增了群組或組織職能後,該群組或組織職能的所有成員將變成已授權使用者。新增巢狀群組僅支援第一層成員。但是不支援新增動態群組,因為它可以讓任何類別的物件作為其成員。
安裝 iManager 之後,您可以藉由指定或使用Authorized Users and Groups清單旁邊的「物件選擇器」圖示新增授權的使用者、群組或組織職能。執行此動作將會修改 configiman.properties 檔案。
若要將網路樹的所有使用者指定為「授權使用者」,請鍵入 AllUsers。
附註:您只能新增並儲存有效的使用者到「授權使用者與群組」清單。如果新增無效的使用者並按下「儲存」,系統會顯示錯誤訊息,說明找不到該物件。如果只新增無效的使用者到該清單並按下「儲存」,系統會顯示錯誤訊息,而且無效使用者的清單會自動由 AllUsers 取代。如果您不想讓網路樹的所有使用者都成為授權使用者,請從清單移除 AllUsers,然後新增想要的有效使用者至該清單,並按一下「儲存」。
重要:第一次安裝 iManager 時,「授權使用者與群組」清單是空的。做為管理員使用者,您必須立即新增使用者與群組到該清單,讓他們取得授權並擁有修改該清單的權限。否則,非管理員使用者可能透過要求取得修改該清單的權限來新增使用者與群組到該清單。您 (管理員) 可能會失去修改該清單的權限。
如需 configiman.properties 檔案之安全性相關的資訊,請參閱iManager 授權使用者與群組。
「外觀與風格」索引標籤可讓您自訂 iManager 介面的外觀。這份資訊儲存在 TOMCAT_HOME\webapps\nps\WEB-INF\config.xml。
在此文字方塊中指定您的組織名稱。它會顯示在網頁瀏覽器的標題列中,取代預設文字 (NetIQ iManager)。
標題列包含三個影像:標題背景影像、標題填充影像和標題品牌影像。您的影像必須符合介面中指定的尺寸。
將這些檔案儲存在 nps/portal/modules/fw/images 中。在每個影像個別的文字欄位中指定其路徑。
您可以自訂功能表標題的色彩,及左邊導覽功能表的背景。
您可以輸入色彩名稱或 16 進位數字。輸入不區分大小寫。按一下「重設」以返回預設色彩和影像,或按一下「儲存」以儲存設定。到 config.xml 檔案。
「記錄事件」索引標籤可讓您設定 iManager 的記錄環境。有兩種記錄設定:
記錄層級: 從四個選項中選取您要記錄的訊息類型:無記錄、僅有錯誤、錯誤和警告和錯誤、警告和除錯資訊。
選取記錄輸出選項。
記錄輸出: 從三個選項中選取記錄訊息的目的地:傳送記錄輸出至標準錯誤裝置、傳送記錄輸出至標準輸出裝置和傳送記錄輸出至 Debug.html 檔案。
記錄檔路徑和記錄檔大小都會顯示在此頁面中。選取「檢視」,以 HTML 格式顯示目前的記錄。選取「清除」,以清除目前的記錄檔案並將記錄檔案大小重設為 0 (零) 位元組。
「登出後重新導向」選項可讓您指定登出 iManager 後要重新導向至哪個 URL。如果您未選取此選項,當您按一下「離開」時,將登出 iManager。依預設,會顯示「登入」頁面。
啟用︰ 選取此選項即可啟用「登出後重新導向」功能。
URL: 指定登出 iManager 之後要重新導向的 URL。
「驗證」索引標籤會設定 iManager 的登入頁面。它包含下列選項:
記住登入認證: 選取時,使用者必須只能輸入密碼進行登入。
使用安全 LDAP 進行自動連接: 選取時,iManager 會使用 SSL 執行 LDAP 通訊。如果未選取此選項,一些外掛程式 (例如「動態群組」和 NMAS) 將無法運作。此設定在您登出 iManager 之後才會生效。
隱藏登入失敗的特定原因: 選取時,iManager 會以顯示為: 登入失敗的一般錯誤訊息取代與驗證相關的 eDirectory 訊息。使用者名稱或密碼無效」的一般訊息。如需詳細資訊,請參閱避免使用者名稱探查。
允許在登入頁上選取「網路樹」: 選取時,iManager 的登入頁面會顯示「網路樹」欄位。如果不選取此選項,必須指定預設的網路樹名稱,否則無法登入。
無網路位置登入: 無網路位置登入允許使用者在不知道其整個使用者物件網路位置的情況下,僅使用使用者名稱和密碼登入。例如,.admin.support.sales.netiq。
如果有多個使用者在網路樹中具備相同的使用者名稱,無網路位置登入允許藉由使用透過使用者已指定之容器順序清單中提供的密碼所找到的第一個使用者帳號來登入。使用者可重新排列並設定容器順序清單。
如果有多個使用者在網路樹中具備相同的使用者名稱,若要使用特定使用者名稱登入,使用者應該在登入時提供完整網路位置,或限制無網路位置登入搜尋的搜尋容器。
選取「從根部搜尋」,以便從目錄樹根部執行使用者搜尋。選取「搜尋容器」以指定可找到使用者物件的一或多個容器。
根據預設,iManager 會以公用存取連接,不需要特定的身分證明。您可以指定具有特定身分證明的使用者執行無網路位置查詢。如果未指定使用者,則會使用 iManager 公用使用者。
重要:如果指定了公用使用者,請仔細考慮密碼過期設定的問題。如果對公用使用者的密碼設定為過期,則在密碼過期後,您將無法於登入期間變更密碼。
iManager 伺服器逾時設定: 如果您要 iManager 伺服器在特定時間後逾時,請在「驗證」頁面中的各個欄位中指定天數、時數和分鐘數。
如果您不要伺服器逾時,請選取「不逾時」選項。
登出後重新導向: 在「驗證」頁面中,如果您想要在登出 iManager 之後重新導向所需頁面,必須啟用此選項。您必須在「URL:」欄位中指定所需的 URL。如果您未指定任何 URL,當您按一下「離開」時,將登出 iManager。依預設,會顯示「登入」頁面。
「職能服務」(RBS) 指定在 eDirectory 中執行任務的權限。依預設,將職能指定給使用者時,RBS 會指定執行該職能之任務的必要權限。
「RBS」 索引標籤可讓您設定下列設定:
啟用動態群組: 選取時,RBS 可讓動態群組成為職能的成員。如需動態群組的詳細資訊,請參閱《NetIQ eDirectory 管理手冊》。
顯示擁有集合中的職能: 選取時,集合擁有者可看見所有職能和任務,無論他們是否為其成員。刪除此選項,集合擁有者便只可以看見所指定的職能。
職能探查領域: 代表網路樹中 iManager 搜尋指定給成員之職能的位置。
父代︰iManager 會搜尋「動態群組」,直至父容器。
分割區︰iManager 會搜尋「動態群組」,直至第一個 eDirectory 分割區。
根部:iManager 會在整個網路樹中搜尋「動態群組」。
動態群組探查領域: 代表網路樹中 iManager 搜尋動態群組成員的位置。於找到的「動態群組」中選取職能成員資格。
父代︰iManager 會在使用者的父容器中搜尋職能。
分割區︰iManager 會搜尋職能,直至第一個 eDirectory 分割區。
根部:iManager 會在整個網路樹中搜尋職能。
動態群組搜尋類型: 選取要為職能成員搜尋的「動態群組」類型。
僅動態群組︰搜尋「動態群組」類別類型的物件。
動態群組物件和輔助類別:搜尋 dynamicgroup 類別類型的物件,或已經以 dynamicgroupaux 類別延伸的物件。包括稍後轉換為「動態群組」的群組物件。
RBS 網路樹清單: 集合擁有者或職能成員驗證時,自動填入 eDirectory 網路樹的名稱。如果將 RBS 從 eDirectory 網路樹中移除,請移除此清單中的該網路樹項目以返回「未指定的存取」模式。
「外掛程式下載」索引標籤可讓您設定下列設定:
查詢 Novell 下載網站中的新 NetIQ 外掛程式模組 (NPM): 表示 iManager 伺服器應該查詢 NetIQ 下載網站中的新外掛程式模組 (NPM)。
兩個選項按鈕可讓您設定查詢每個可用 NPM,或只查詢已安裝之 NPM 的更新。
從自訂網站下載外掛程式模組: 您可以在「外掛程式下載」頁面中,藉由在「下載 URL」欄位中指定自訂網站的 URL,從自訂網站下載外掛程式模組。
透過 Proxy 下載外掛程式模組: 如果 iManager 伺服器在防火牆代理模式下執行,則用戶端可透過代理伺服器存取網際網路。僅支援 HTTP 代理。這是 Web 代理 HTTP。若要下載外掛程式,使用者必須在「外掛程式下載」頁面中執行下列動作:
選取「啟用 Proxy」。
請輸入下列欄位:
Proxy 主機:在此欄位中指定 Proxy 主機 IP 位址。
Proxy 連接埠:在此欄位中指定 Proxy 連接埠號。
使用者名稱:在此欄位中指定使用者名稱。
密碼:在此欄位中指定密碼。
重新輸入密碼:在此欄位中,指定您已在「密碼」欄位中指定的密碼。
重要:iManager 外掛程式和先前版本的 iManager 不相容。此外,任何您想與 iManager 一起使用的自訂外掛程式,必須在 iManager 環境中重新匯編。
「其他」索引標籤可讓您設定下列設定:
啟用 [此項]: 您可以放心地忽略此選項。「啟用 [此項]」會新增至 iManager,讓一些內部團隊可以修改他們的物件。[此項] 是網路樹中的屬性,可啟用特定的自我管理功能。如果啟用 [此項],網路樹中的所有 eDirectory 伺服器版本必須是 8.6.2 或更新版本。
eGuide URL: 為 eGuide 指定 URL。它用於標題中的 eGuide 啟動按鈕,以及 eGuide 職能和任務管理任務。此 URL 必須是完整的 URL (例如 https://my.dns.name/eGuide/servlet/eGuide) 或關鍵字 EMFRAME_SERVER。使用 EMFRAME_SERVER 將使 eMFrame 尋找 eMFrame 所在的同一部伺服器上的 eGuide。
如需 eGuide 的詳細資訊,請參閱 Novell eGuide 文件網站。
若要根據您的安全性需求選擇加密層級,請使用「證書」索引標籤。iManager 提供下列證書以從中選擇:
RSA: 此證書使用 2048 RSA 金鑰組。iManager 允許下列 RSA 的加密層級:
無:可使用任何加密類型。
低:可使用 56 位元或 64 位元加密。
中:可使用 128 位元加密。
高:可使用高於 128 位元的加密。
ECDSA 256: 此證書使用含曲線 secp256r1 的 ECDSA 金鑰組。iManager 針對 ECDSA 256 僅允許一個加密層級:
僅 SUITEB 128:可使用任何加密類型。
ECDSA 384: 此證書使用含曲線 secp384r1 的 ECDSA 金鑰組。
SUITEB 128:可使用任何加密類型。
SUITEB 192:可使用 56 位元或 64 位元加密。
依預設,系統會選取「RSA」,並將加密層級設定為「無」。針對 ECDSA 證書,iManager 僅允許套件 B 加密。若您變更證書,請確定 Tomcat 伺服器已重新啟動以使變更生效。
重要:依預設,Firefox 不允許「低」加密層級。
若要在 Firefox 瀏覽器中啟用「低」加密演算法:
開啟 Firefox,在位置列中鍵入 about:config,然後按 Enter。
(視情況而定) 如果出現警告,請按一下「我保證會小心!」按鈕以繼續 about:config 頁面。
在 about:config 頁面中,在「優先設定名稱」清單下方,連按兩下「security.ssl3.rsa_rc4_128_md5」優先設定以將值變更為 True。
這會在 Firefox 瀏覽器中啟用「低」加密演算法。
依設計,OES 上無法使用「證書」索引標籤。您需要手動變更 vhost-ssl.conf 檔案中的加密層級。
前往 /etc/apache2/vhosts.d/vhost-ssl.conf 檔案,然後根據您的加密層級支援修改 SSLCipherSuite 參數。
例如,若要僅設定 HIGH 加密層級,請修改 SSLCipherSuite 參數,如下所示:
<VirtualHost _default_:443>
--------------
----------------
SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL
-------------
---------------
<VirtualHost>
您可以使用下列字首以修改加密層級:
+ :將加密方式新增至加密清單,並將其提取至清單中的目前位置。
- :將加密方式從清單中移除 (稍後可再次加回)。
! :將加密方式從清單完全刪除 (稍後無法再次加回)。
如需詳細資訊,請參閱Apache 模組 mod_ssl 文件。