Konfigurace aplikace iManager

Nastavení konfigurace aplikace NetIQ iManager jsou uložena v souboru webapps/nps/WEB-INF/config.xml.

POZNÁMKA: Můžete buď ukládat průběžně, nebo klepnout na tlačítko Uložit po provedení všech požadovaných změn na jednotlivých stránkách s kartami.

Zabezpečení
Stránka zabezpečení obsahuje následující funkce:

Při použití nezabezpečeného připojení
Tuto možnost vyberte, chcete-li varovat uživatele zprávou „Připojujete se k aplikaci NetIQ iManager pomocí nezabezpečeného připojení“.

Certifikát pro automatický import stromu pro zabezpečený protokol LDAP
Zabezpečená připojení protokolem LDAP vyžadují certifikát. Pokud vyberete tuto funkci, systém automaticky importuje veřejný certifikát stromu pro zabezpečený protokol LDAP.

Ověření uživatelé a skupiny
Ověřenými uživateli a skupinami jsou uživatelé, kteří mohou spouštět různé úlohy správy. Ověřené údaje uživatelů jsou uloženy na adrese webapps/nps/WEB-INF/configiman.properties. Tento soubor je automaticky vytvořen během instalace.

Pomocí této možnosti můžete upravit soubor configiman.properties. U zadaných názvů musí být uveden i název stromu (například admin.novell.mytree). Chcete-li, aby oprávněnými uživateli byli všichni uživatelé, zadejte hodnotu AllUsers.

Také můžete do seznamu přidat statické a vnořené skupiny a organizační role, takže se všichni členové skupiny nebo organizace stanou ověřenými uživateli.

Poznámka: Je-li vnořená skupina přidána do seznamu Ověření uživatelé a skupiny, stanou se ověřenými uživateli pouze členové skupiny na první úrovni. Dynamická skupina se nemůže stát ověřenou skupinou.

Poznámka: Do seznamu Ověření uživatelé a skupiny můžete přidávat a ukládat pouze platné uživatele. Pokud přidáte neplatné uživatele a klepnete na tlačítko Uložit, zobrazí se chybová zpráva, že objekt nebyl nalezen. Jestliže do seznamu přidáte pouze neplatné uživatele a klepnete na tlačítko Uložit, zobrazí se chybová zpráva a seznam neplatných uživatelů bude automaticky nahrazen hodnotou AllUsers. Pokud nechcete, aby byli všichni uživatelé stromu ověření, odeberte hodnotu AllUsers ze seznamu, přidejte do něj požadované platné uživatele a klepněte na tlačítko Uložit.

Důležité: Pokud jste nainstalovali aplikaci iManager poprvé, bude seznam Ověření uživatelé a skupiny prázdný. Jako uživatel admin musíte okamžitě přidat do seznamu uživatele a skupiny, abyste je tak ověřili a získali práva ke změně seznamu. V opačném případě by mohl uživatele a skupiny do seznamu přidat uživatel, který není admin, čímž by získal práva ke změně seznamu. Vy (jako uživatel admin) byste práva ke změně seznamu ztratili.

Auditování

1. Před zapnutím auditování proveďte import souboru formátování auditování Nsure®, který serveru auditování umožňuje formátovat protokolované události.
1. Vyhledejte soubor IMAN_EN.lsc v jednom z následujících umístění, ve kterém je nainstalován server aplikace iManager.
• Sys:\tomcat\5.0\webapps\nps\support\audit (pro systém NetWare)
• C:\Program Files\Novell\Tomcat\webapps\nps\support\audit (pro systém Windows)
• /var/opt/novell/tomcat5/webapps/nps/support/audit (pro systém Linux)
2. Zkopírujte tento soubor do dočasného umístění v místním počítači.
2. V aplikaci iManager klepněte na možnosti Role a úlohy > Auditing and Logging (Auditování a protokolování) > Logging Server Options (Možnosti protokolovacího serveru).
3. Vyhledejte objekt Logging Server (Protokolovací server) a klepněte na tlačítko OK. Zobrazí se stránka Logging Server Options (Možnosti protokolovacího serveru).
4. Klepněte na kartu Log Applications (Aplikace protokolu).
5. Vyberte možnost Název kontejneru a potom v nabídce Akce aplikace klepněte na příkaz Nová. Zobrazí se dialogové okno New Log Application (Nová aplikace protokolu).
6. Zadejte název aplikace protokolu (například iManagerInst).
7. Vyhledejte soubor IMAN_EN.lsc v místním počítači nebo v umístění serveru (viz krok 1) a potom klepnutím na tlačítko OK uložte nový objekt aplikace protokolu.
8. Na stránce Logging Server Options (Možnosti protokolovacího serveru) klepněte v části Applications (Aplikace) na odkaz obsahující název aplikace protokolu (který jste zadali v kroku 7). Zobrazí se stránka Změnit objekt.
9. Klepněte na možnosti Konfigurovat > Events (Události).
10. V seznamu Neseskupeno vyberte položku Události aplikace iManager, klepněte na tlačítko Použít a potom klepněte na tlačítko OK.
11. Restartujte (spusťte znovu) Audit Secure Logging Server (Zabezpečený protokolovací server auditu), aby se změny projevily.
12. Klepněte na možnosti Konfigurovat > Server aplikace iManager > Konfigurovat aplikaci iManager. Zobrazí se stránka Konfigurovat aplikaci iManager.
13. Vyberte možnost Povolit aplikaci NetIQ Audit, aby byly protokolovány všechny vybrané události.
    Poznámka: Pokud zrušíte výběr možnosti Povolit aplikaci NetIQ Audit, budou zaškrtnutí u vybraných událostí ponechána, abyste byli upozorněni na předvolby v případě, že později znovu aktivujete auditování, avšak vybrané události budou neaktivní (zobrazeny šedě), což indikuje, že veškeré auditování je vypnuto.

Vzhled a chování
Na této stránce můžete upravit vzhled aplikace iManager.

Název záhlaví
Do tohoto textového pole zadejte název organizace. Zobrazí se v záhlaví webového prohlížeče místo výchozího textu „NetIQ iManager“.

Obrázky
Záhlaví obsahuje tři obrázky: obrázek pozadí, obrázek výplně a obrázek značky. Vaše vlastní obrázky musí odpovídat rozměrům uvedeným v rozhraní.

Tyto soubory uložte ve složce nps/portal/modules/fw/images. Do příslušných textových polí zadejte cestu k jednotlivým obrázkům.

Barvy navigační oblasti
Můžete si přizpůsobit barvu hlavičky nabídky a pozadí navigační nabídky na levé straně.

Můžete zadat název barvy nebo odpovídající šestnáctkovou hodnotu. Není nutné rozlišovat velká a malá písmena. Chcete-li obnovit výchozí barvu, klepněte na tlačítko Obnovit. Informace o vzhledu a chování jsou uloženy v souboru webapps/nps/WEB-INF/config.xml.

Události protokolování

Úroveň protokolování
Vyberte úroveň protokolování pro ladění webového serveru:. Bez protokolování, Chyby, Upozornění a Informační zprávy.

Výstup protokolování
Vyberte požadovanou možnost a označte, zda chcete výstup protokolu odesílat do standardního chybového zařízení, standardního výstupního zařízení nebo do souboru Debug.HTML. Na této stránce se zobrazuje cesta k souboru protokolu a jeho velikost.

Zobrazit: Klepnutím na toto tlačítko zobrazíte soubor protokolu.

Vymazat: Klepnutím na toto tlačítko vymažete veškerá data v souboru protokolu. Velikost souboru protokolu bude obnovena na 0 bajtů.

Ověřování
Konfigurace ověřování ovlivňuje přihlašovací stránku aplikace iManager.

Zapamatovat přihlašovací pověření
Pokud vyberete tuto možnost, bude požadováno pouze heslo.

Používat zabezpečený protokol LDAP pro automatické připojení
Toto nastavení určí, zda aplikace iManager bude komunikovat prostřednictvím protokolu LDAP, SSL nebo prostého textu LDAP. Některé moduly plug-in, například Dynamické skupiny a NMAS™, nefungují v případě, že tato možnost není vybrána. Toto nastavení se projeví až po odhlášení z aplikace iManager.

Skrýt důvod neúspěšného přihlášení
Nahradí zprávy ověřování aplikace eDirectory obecnou chybovou zprávou: Neúspěšné přihlášení. Neplatné uživatelské jméno nebo heslo. Pomáhá zabránit neoprávněnému přístupu.

Povolit výběr stromu na stránce Přihlášení
Vyberete-li tuto možnost, zobrazí se na přihlašovací stránce textové pole Strom. Pokud tuto možnost nevyberete, je nutné, aby byl nastaven výchozí název stromu. Jinak se nebudete moci přihlásit.

Bezkontextové přihlášení
Bezkontextové přihlášení umožňuje uživatelům přihlásit se pouze pomocí uživatelského jména a hesla. Není nutné znát úplný kontext objektu uživatele. Například admin.support.

Pokud se ve stromu nachází více uživatelů se stejným uživatelským jménem, provede se při bezkontextovém přihlášení pokus o přihlášení pomocí prvního nalezeného uživatelského účtu se zadaným heslem. V tomto případě by měl uživatel při přihlašování zadat úplný kontext, nebo omezit kontejner, který je při bezkontextovém přihlášení prohledáván.

Vyberte prohledávané kontejnery a určete kontejnery pro hledání objektů uživatelů při přihlášení, nebo zvolte možnost hledání od kořenu, která umožňuje při bezkontextovém přihlášení hledat od kořenu stromu.

• Prohledávané kontejnery
  Kontejnery, které má aplikace iManager prohledat v daném pořadí při hledání konkrétního uživatele. Pořadí prohledávání kontejnerů můžete upravit pomocí tlačítek se šipkami nahoru a dolů. Aplikace iManager hledá uživatele na základě pořadí v seznamu kontejnerů.
• Veřejné uživatelské jméno
  Ve výchozím nastavení se aplikace iManager připojuje veřejně a nevyžaduje žádná specifická pověření. V případě potřeby je možné zadat uživatele se specifickými pověřeními k provádění vyhledávání bez kontextu. Pokud nezadáte uživatele, bude použit veřejný uživatel aplikace iManager.
  
  Správná syntaxe pro veřejné uživatelské jméno je uživatelské_jméno.kontext, například admin.novell.
  
  DŮLEŽITÉ: Při zadávání veřejného uživatele zvažte důkladně důsledky nastavení vypršení platnosti hesla. Pokud je u veřejného uživatele použito nastavení vypršení platnosti hesla, nemáte v případě vypršení jeho platnosti možnost změnit je během přihlášení.
  
• Heslo veřejného uživatelského jména
  Heslo uživatele určeného v poli Veřejné uživatelské jméno. Heslo je uloženo nezašifrované jako prostý text.
• Opakovat heslo
  Zadejte znovu stejné heslo.

Nastavení časového limitu serveru iManager

• Chcete-li nastavit určitý časový limit serveru aplikace iManager, zadejte počet dnů, hodin a minut do příslušných polí.
• Chcete-li, aby nikdy nedošlo k vypršení časového limitu serveru, vyberte možnost Nikdy nevyčerpat časový limit.

Přesměrování po odhlášení

Výběrem možnosti Přesměrování po odhlášení můžete zadat adresu URL, na kterou chcete být přesměrováni po odhlášení z programu iManager. Pokud jste tuto možnost nevybrali, po klepnutí na tlačítko Konec se odhlásíte z programu iManager a ve výchozím nastavení se zobrazí přihlašovací stránka.

Povolit: Výběrem této možnosti povolíte funkci Přesměrování po odhlášení.

Adresa URL: Zadejte adresu URL, na niž chcete být po odhlášení přesměrováni.

Systém Služby založené na rolích

Systém Služby založené na rolích přiřazuje v rámci služby eDirectory™ práva k provádění úloh. Chcete-li provést určitou úlohu, musíte mít ve stromu služby eDirectory odpovídající práva. Pokud uživateli přiřadíte roli, systém Služby založené na rolích přiřadí práva nezbytná k provádění úloh této role.

Vynutit neomezený přístup
Po konfiguraci služby RBS a vytvoření objektu kolekce ve stromu pro aplikaci iManager uvidíte při každém přihlášení nastavení režimu na Přístup vlastníka kolekce nebo Přiřazený přístup. Jestliže chcete systém Služby založené na rolích obejít z důvodu řešení problémů, můžete nastavit program iManager na použití neomezeného režimu.

DŮLEŽITÉ: Výběr možnosti Vynutit neomezený přístup umožní neoprávněnému uživateli zobrazit všechny role a úlohy jiných uživatelů. Toto nastavení se nedoporučuje.
Mělo by být použito pouze pro účely řešení problémů a nemělo by být používáno jako dlouhodobé řešení.

Zapnout dynamické skupiny
Výběr možnosti Zapnout dynamické skupiny povolí systému Služby založené na rolích umožnit dynamickým skupinám, aby se staly členy role.

POZNÁMKA: Pokud daný objekt má nějaká přiřazení rolí, nelze skupinu převést na dynamickou skupinu a naopak.

Zobrazit role ve vlastněných kolekcích

Výběrem této možnosti umožníte vlastníkům kolekcí zobrazit všechny role a úlohy, a zda jsou jejich členy. Pokud tuto možnost nevyberete, zobrazí se vlastníkům pouze role, které jim jsou přiřazeny.

Chcete-li zobrazit následující seznamy, klepněte na šipky u příslušného rozevíracího seznamu:

• Doména zjišťování rolí
  Určuje umístění ve stromu, ve kterém má aplikace iManager vyhledat role přiřazené objektu kontejneru.
  • Nadřazený: Aplikace bude hledat role v nadřazeném kontejneru uživatele.
  • Oddíl: Aplikace bude hledat role přiřazené v prvním oddílu služby eDirectory uživatele.
  • Kořen: Aplikace bude hledat role v celém stromě.
• Doména zjišťování dynamických skupin
  Určuje umístění ve stromu, ve kterém má aplikace iManager vyhledat členství v dynamických skupinách. Členství rolí je kontrolováno v nalezených dynamických skupinách.
  • Nadřazený: Aplikace bude hledat dynamické skupiny v nadřazeném kontejneru.
  • Oddíl: Aplikace bude hledat dynamické skupiny v prvním oddílu služby eDirectory.
  • Kořen: Aplikace bude hledat dynamické skupiny v celém stromě, počínaje kořenem.
• Typ vyhledávání dynamických skupin
  Určuje typ dynamických skupin, ve kterých by mělo být vyhledáno členství rolí.
  • Pouze objekty dynamických skupin: Budou vyhledávány objekty s typem třídy dynamicGroup.
  • Objekty dynamických skupin a pomocné třídy: Budou vyhledávány objekty s typem třídy dynamicGroup a objekty rozšířené pomocí třídy dynamicGroupAux. Sem patří i objekty skupin, které byly později převedeny na dynamické skupiny.
• Seznam stromu systému Služby založené na rolích
  Když vlastník kolekce nebo člen role provede ověření, naplní se toto nastavení automaticky názvem stromu služby eDirectory. Dochází tak k efektivnímu sledování stromů služby eDirectory, v nichž byly nakonfigurovány služby založené na rolích. Pokud jsou služby založené na rolích ze stromu služby eDirectory odebrány, odeberte položku tohoto stromu z tohoto seznamu. Přejde tak do režimu Nepřiřazený přístup.

Stažení modulu plug-in

Nastavení stažení modulu plug-in NetIQ
Podokno Nastavení stažení modulu plug-in NetIQ poskytuje následující možnosti stahování, které vás průběžně informují o aktualizovaných modulech plug-in.

Vyhledat server se soubory nových modulů NPM (NetIQ Plug-in Module) ke stažení

Vyberte jednu z následujících možností stahování modulů NetIQ.

• Server Novell se soubory ke stažení: Tuto možnost vyberte, chcete-li stahovat moduly plug-in ze serveru společnosti Novell pro stahování.
• Vlastní server se soubory ke stažení: Tuto možnost vyberte, chcete-li stahovat moduly plug-in z vlastního serveru. Zadejte adresu URL vlastního serveru do pole Adresa URL ke stahování.

Zobrazit všechny dostupné moduly plug-in: Touto možností zobrazíte všechny moduly plug-in, které jsou dostupné na vybraném serveru.

Zobrazit pouze aktualizace pro nainstalované moduly plug-in: Touto možností zobrazíte pouze aktualizace, které jsou dostupné na vybraném serveru.

Seznam modulů NPM je uveden na stránce Dostupné modely plug-in NetIQ.

Server proxy
Pokud jsou servery iManager spuštěny za serverem proxy brány firewall, může klient získat přístup k Internetu prostřednictvím serveru proxy. Je podporován pouze server proxy HTTP. Jde o webový server proxy HTTP. Chcete-li stáhnout moduly plug-in přes server proxy, vyplňte následující pole:

Zapnout server proxy: Výběrem této možnost zapnete funkci Proxy.
Hostitel serveru proxy: Zadejte adresu IP hostitele serveru proxy.
Port serveru proxy: Zadejte číslo portu serveru proxy.
Uživatelské jméno: Zadejte uživatelské jméno pro server proxy.
Heslo: Zadejte heslo pro server proxy.
Opakovat heslo: Zadejte heslo pro server proxy ještě jednou.

Různé

Povolit [toto]
Tuto možnost můžete ignorovat. Možnost Povolit [toto] byla přidána do aplikace iManager proto, aby umožňovala týmům společnosti NetIQ upravovat vlastní objekty. [toto] je atribut stromu, který umožňuje specifické funkce samostatné správy. Je-li položka [toto] povolena, musí všechny servery ve stromu používat verzi 8.6.2 nebo novější.

Adresa URL aplikace eGuide
Určuje adresu URL aplikace eGuide. Tato adresa je použita u tlačítka pro spuštění aplikace eGuide v záhlaví a v roli aplikace eGuide a úlohách pro správu úloh. Musí se jednat o úplnou adresu URL (například https://my.dns.name/eGuide/servlet/eGuide) nebo klíčové slovo EMFRAME_SERVER. Při použití klíčového slova EMFRAME_SERVER bude modul eMFrame vyhledávat aplikaci eGuide na stejném serveru, na kterém je umístěn modul eMFrame.

Certifikát

Pomocí karty Certifikát lze na základě vašich požadavků na zabezpečení vybrat úroveň šifer.

Algoritmus certifikátu veřejného klíče

Aplikace iManager nabízí následující certifikáty:

• RSA – Certifikát používá 2048bitový pár klíčů RSA
• ECDSA 256 – Certifikát používá pár klíčů ECDSA s křivkou secp256r1.
• ECDSA 384 – Certifikát používá pár klíčů ECDSA s křivkou secp384r1.

Šifrovací sada

Podle toho, jaký algoritmus certifikátu veřejného klíče zvolíte, aplikace iManager umožní konfiguraci úrovně šifry pro komunikaci TLS. Pro certifikáty ECDSA aplikace iManager umožňuje pouze šifry sady Suite B.

RSA

• ŽÁDNÉ – Umožňuje jakýkoli druh šifry.
  
• NÍZKÉ – Umožňuje 56bitovou nebo 64bitovou šifru.
  
• STŘEDNÍ – Umožňuje 128bitovou šifru.
  
• VYSOKÉ – Umožňuje vyšší než 128bitové šifry.
  

ECDSA 256

• POUZE SUITEB 128 – Umožňuje 128bitovou šifru.
  

ECDSA 384

• SUITEB 128 – Umožňuje 128bitovou nebo 256bitovou šifru.
  
• SUITEB 192 – Umožňuje 256bitovou šifru.
  

Ve výchozím nastavení je vybráno šifrování RSA a úroveň šifry je nastavena na hodnotu ŽÁDNÉ. Jestliže změníte certifikát, zajistěte restartování serveru Tomcat, aby změny začaly platit.

Více informací o změnách úrovní šifer v prohlížeči Mozilla Firefox naleznete v části Certifikát Příručka pro správu NetIQ iManager Administration Guide.

Další informace o ochranných známkách společnosti NetIQ naleznete na adrese http://www.netiq.com/company/legal/.