Konfigurieren von iManager

Die NetIQ iManager-Konfigurationseinstellungen werden in der Datei „webapps/nps/WEB-INF/config.xml“ gespeichert.

HINWEIS: Sie können entweder nach jeder vorgenommenen Einstellung speichern oder einmal auf "Speichern" klicken, nachdem Sie alle Änderungen auf den verschiedenen Seiten und Registerkarten durchgeführt haben.

Sicherheit
Die Sicherheitsseite enthält die folgenden Funktionen:

Bei Verwendung einer unsicheren Verbindung Meldung anzeigen
Wählen Sie diese Option aus, wenn Sie die Nachricht „Sie greifen mit einer unsicheren Verbindung auf NetIQ iManager zu“ als Warnhinweis für Benutzer einblenden möchten.

Baumzertifikat für sicheres LDAP automatisch importieren
Für eine sichere LDAP-Verbindung ist ein Zertifikat erforderlich. Wenn Sie diese Funktion auswählen, importiert das System automatisch ein öffentliches Baumzertifikat für sicheres LDAP.

Autorisierte Benutzer und Gruppen
Als autorisierte Benutzer und Gruppen werden die Benutzer bezeichnet, die verschiedene administrative Aufgaben erledigen können. Die Daten der autorisierten Benutzer werden gespeichert in webapps/nps/WEB-INF\configiman.properties. Diese Datei wird automatisch während der Installation angelegt.

Mit dieser Option können Sie die Datei "configiman.properties" ändern. Der festgelegte Name muss auch den Baumnamen enthalten (Beispiel: admin.novell.mytree). Wenn Sie alle Benutzer als autorisierte Benutzer angeben möchten, geben Sie "AllUsers" ein.

Sie können auch statische und verschachtelte Gruppen sowie organisatorische Rollen zur Liste hinzufügen, um alle Mitglieder einer Gruppe als Nutzer zu autorisieren.

Hinweis: Wenn eine verschachtelte Gruppe zur Liste der autorisierten Nutzer und Gruppen hinzugefügt wird, werden nur die Mitglieder der ersten Ebene als autorisierte Benutzer eingerichtet. Eine dynamische Gruppe kann nicht autorisiert werden.

Hinweis: Sie können nur gültige Benutzer zu der autorisierten Benutzer- und Gruppenliste hinzufügen. Wenn Sie ungültige Benutzer hinzufügen und auf "Speichern" klicken, wird eine Fehlermeldung angezeigt, die besagt, dass das Objekt nicht gefunden werden konnte. Wenn Sie nur ungültige Benutzer zu der Liste hinzufügen und auf "Speichern" klicken, wird die Fehlermeldung angezeigt und die Liste der ungültigen Benutzer wird automatisch durch "AllUsers" ersetzt. Wenn Sie nicht möchten, dass alle Benutzer des Baumes autorisierte Benutzer sind, entfernen Sie "AllUsers" aus der Liste, fügen Sie die gewünschten gültigen Benutzer hinzu und klicken Sie auf "Speichern".

Wichtig: Wenn Sie iManager zum ersten Mal installiert haben, ist die Liste der autorisierten Benutzer und Gruppen leer. Als Admin-Benutzer müssen Sie der Liste sofort Benutzer und Gruppen hinzufügen, um diese zu autorisieren und um die Rechte zur Bearbeitung der Liste zu erhalten. Anderenfalls kann es passieren, dass ein Benutzer ohne Admin-Rechte Benutzer und Gruppen zur Liste hinzufügt und so die Rechte zur Bearbeitung der Liste erhält. Sie (Admin) könnten die Rechte zur Bearbeitung der Liste verlieren.

Revision

1. Importieren Sie vor der Aktivierung der Revision die Nsure® Audit-Formatierungsdatei. Diese Datei ermöglicht dem Revisionsserver die Formatierung von Protokollierereignissen.
1. Suchen Sie die Datei "IMAN_EN.lsc" in einem der folgenden Verzeichnisse auf einem Computer, auf dem iManager-Server installiert ist.
• C:\Programme\Novell\Tomcat\webapps\nps\support\audit (Windows)
• /var/opt/novell/tomcat5/webapps/nps/support/audit (Linux)
2. Kopieren Sie diese Datei in ein temporäres Verzeichnis auf dem lokalen Computer.
2. Klicken Sie in iManager auf "Rollen und Aufgaben" > "Auditing and Logging" (Revision und Protokollierung) > "Logging Server Options" (Protokollserveroptionen).
3. Wählen Sie das Objekt "Logging Server" (Protokollserver) aus und klicken Sie auf "OK". Die Seite "Logging Server Options" (Protokollserveroptionen) wird angezeigt.
4. Klicken Sie auf die Registerkarte "Log Applications" (Protokollanwendungen).
5. Wählen Sie "Containername" aus und klicken Sie unter Application Actions Menu (Anwendungsaktionsmenü) auf "Neu". Das Dialogfeld "New Log Application" (Neue Protokollanwendung) wird geöffnet.
6. Geben Sie einen Namen für den "Log Application Name" (Protokollanwendungsname) ein (z. B. iManagerInst).
7. Wählen Sie die Datei "IMAN_EN.lsc" auf dem lokalen Computer oder im entsprechenden Serververzeichnis (siehe Schritt 1) aus und klicken Sie auf "OK", um das neue Protokollanwendungsobjekt zu speichern.
8. Klicken Sie auf der Seite "Logging Server Options" (Protokollserveroptionen) unter "Applications" (Anwendungen) auf den Link mit dem in Schritt 7 angegebenen "Log Application Name" (Protokollanwendungsname). Die Seite "Objekt bearbeiten" wird angezeigt.
9. Klicken Sie auf "Konfigurieren" > "Events" (Ereignisse).
10. Wählen Sie in der Liste "Not grouped" (Nicht gruppiert) den Eintrag " iManager Events" (iManager-Ereignisse) aus und klicken Sie dann auf "Anwenden" und auf "OK".
11. Starten Sie den Audit Secure Logging Server (Audit Secure Logging-Server) neu, damit die Änderungen wirksam werden.
12. Klicken Sie auf "Konfigurieren" > "iManager-Server" > "iManager konfigurieren". Die Seite "iManager konfigurieren" wird angezeigt.
13. Wählen Sie die Revisionslösung aus, mit der die für die Revision ausgewählten Ereignisse protokolliert werden sollen.

    Die Optionen sind:

    • NetIQ-Revision
    • XDAS-Revision
    
    Hinweis: Wenn Sie die Auswahl der Revisionsoption aufheben, behalten die ausgewählten Ereignisse ihre Markierung bei, damit sie bei erneuter Aktivierung der Revision sofort wieder verfügbar sind. Um anzuzeigen, dass die Revision deaktiviert ist, werden sie jedoch abgeblendet dargestellt.

Erscheinungsbild
Auf dieser Seite passen Sie das Erscheinungsbild von iManager an.

Name der Titelleiste
Geben Sie in diesem Textfeld den Namen Ihrer Organisation ein. Er wird in der Titelleiste des Webbrowsers anstelle des Standardtexts (NetIQ iManager) angezeigt.

Bilder
Die Titelleiste enthält drei Bilder: das Header-Hintergrundbild, das Header-Füllbild und das Header-Branding-Bild. Ihre eigenen Bilder müssen den auf der Benutzeroberfläche vorgegebenen Dimensionen entsprechen.

Speichern Sie diese Dateien unter "nps/portal/modules/fw/images". Geben Sie den Pfad für jedes Bild in seinem jeweiligen Textfeld ein.

Farben des Navigationsmenüs
Sie können die Farbe des Menütitels und den Hintergrund des Navigationsmenüs auf der linken Seite anpassen.

Hierfür können Sie entweder die Namen der Farben oder hexadezimale Zahlen eingeben. Bei der Eingabe muss nicht zwischen Groß- und Kleinbuchstaben unterschieden werden. Klicken Sie auf die Schaltfläche "Zurücksetzen", um die Farbe auf die Standardeinstellungen zurückzusetzen. Informationen zum Erscheinungsbild werden in der Datei "webapps/nps/WEB-INF/config.xml" gespeichert.

Protokollierereignisse

Protokollierumfang
Wählen Sie einen Protokollierumfang für die Fehlerbehebung beim Webserver: "Keine Protokollierung", "Fehler", "Warnmeldungen" und "Informationsmeldungen".

Protokollausgabe
Wählen Sie die gewünschte Option, um anzugeben, ob die Protokollausgabe an das Standardfehlergerät, das Standardausgabegerät oder die Datei "Debug.html" gesendet werden soll. Auf dieser Seite werden der Pfad und die Größe der Protokolldatei angezeigt.

Anzeigen: Klicken Sie auf diese Schaltfläche, um die Protokolldatei anzuzeigen.

Löschen: Klicken Sie auf diese Schaltfläche, um alle Daten aus der Protokolldatei zu löschen. Die Protokolldateigröße wird auf 0 Byte (Null) zurückgesetzt.

Authentifizierung
Die Konfiguration der Authentifizierung wirkt sich auf die Anmeldeseite von iManager aus.

Anmeldeinformationen (ausgenommen Passwort) speichern
Bei Auswahl dieser Option brauchen Sie nur das Passwort einzugeben, um sich anzumelden.

Sicheres LDAP für automatische Verbindung verwenden
Mit dieser Einstellung wird festgelegt, ob iManager über LDAP, SSL oder LDAP-Klartext kommuniziert. Manche Plugins, wie zum Beispiel dynamische Gruppen und NMAS™, funktionieren nicht, wenn diese Option nicht aktiviert ist. Diese Einstellung wird erst wirksam, wenn Sie sich aus iManager abmelden.

Genauen Grund für Fehler bei Anmeldung nicht anzeigen
Ersetzt authentifizierungsbezogene eDirectory-Meldungen mit einer generischen Fehlermeldung, die folgendermaßen lautet: Fehler bei der Anmeldung. Ungültiger Benutzername oder ungültiges Passwort. Damit kann der nicht autorisierte Zugriff verhindert werden.

Auswahl des Baumnamens aktivieren
Bei Auswahl dieser Option wird das Textfeld "Baum" auf der Anmeldeseite angezeigt. Wenn Sie diese Option nicht auswählen, benötigen Sie einen Standardbaumnamen. Andernfalls können Sie sich nicht anmelden.

Kontextlose Anmeldung
Bei der kontextlosen Anmeldung können Benutzer sich mit dem Benutzernamen und Passwort anmelden, ohne den vollständigen Kontext ihres Benutzerobjekts zu kennen. Beispielsweise: admin.support.

Wenn der Baum mehrere Benutzer mit demselben Benutzernamen enthält, wird bei der kontextlosen Anmeldung versucht, die Anmeldung unter Verwendung des ersten gefundenen Benutzerkontos mit dem angegebenen Passwort durchzuführen. In diesem Fall sollte der Benutzer bei der Anmeldung den vollständigen Kontext eingeben oder den Suchcontainer beschränken, der bei der kontextosen Anmeldung durchsucht wird.

Wählen Sie die Option "Container durchsuchen" aus und geben Sie die Container an, in denen Benutzerobjekte für die Anmeldung gefunden werden können. Sie können auch die Option "Von 'root' ausgehend suchen" auswählen, um bei der kontextlosen Anmeldung ab dem Stamm des Baums zu suchen.

• Zu durchsuchende Container
  Der iManager des Containers sucht nach einem bestimmten Nutzer in der angegebenen Reihenfolge. Sie können die Containersuche ändern, indem Sie die UNTEN- und OBEN-Pfeile verwenden. iManager sucht nach einem Benutzer basierend auf der Reihenfolge in der Containerliste.
• Öffentlicher Benutzername
  Standardmäßig stellt iManager eine Verbindung mit öffentlichem Zugriff her, wofür kein bestimmter Berechtigungsnachweis erforderlich ist. Falls Sie es wünschen, können Sie einen Benutzer mit einem bestimmten Berechtigungsnachweis angeben, der die kontextlose Suche durchführen soll. Der öffentliche iManager-Benutzer wird verwendet, wenn Sie keinen bestimmten Benutzer angeben.
  
  Die korrekte Syntax für den öffentlichen Benutzernamen lautet: benutzername.kontext, zum Beispiel admin.novell.
  
  WICHTIG: Wenn Sie einen öffentlichen Benutzer angeben, sollten Sie unbedingt auf die Auswirkungen achten, die sich für die Einstellungen zum Ablaufen des Passworts ergeben. Wenn festgelegt ist, dass das Passwort des öffentlichen Benutzers abläuft, haben Sie nach Ablauf des Passworts keine Möglichkeit mehr, es bei der Anmeldung zu ändern.
  
• Öffentliches Benutzerpasswort
  Das Passwort für den unter "Öffentlicher Benutzername" angegebenen Benutzer. Das Passwort wird unverschlüsselt im Klartext gespeichert.
• Passwort wiederholen
  Wiederholen Sie das Passwort, um eine exakte Eingabe zu gewährleisten.

iManager-Server-Zeitüberschreitungseinstellungen

• Wenn Sie eine Zeitüberschreitung für den iManager-Server festlegen möchten, geben Sie die Anzahl der Tage, Stunden und Minuten in die entsprechenden Felder ein.
• Wenn Sie keine Zeitüberschreitung einrichten möchten, wählen Sie die Option "Keine Zeitüberschreitung" aus.

Umleitung nach Abmeldung

Bei Auswahl der Option “Umleitung nach Abmeldung” können Sie die URL angeben, zu der Sie beim Abmelden aus iManager weitergeleitet werden. Wenn diese Option nicht ausgewählt wurde, werden Sie beim Klicken auf "Beenden" von iManager abgemeldet und standardmäßig wird die Anmeldeseite angezeigt.

Aktivieren: Wählen Sie diese Option, um die Funktion "Umleitung nach Abmeldung" zu aktivieren.

URL: Geben Sie die URL für die Umleitung ein, die nach der Abmeldung erfolgen soll.

RBS

Die rollenbasierten Services (RBS) weisen innerhalb von eDirectory™ die Rechte zu, die zur Durchführung von Aufgaben erforderlich sind. Um bestimmte Vorgänge durchzuführen, müssen Sie im eDirectory-Baum über bestimmte Rechte verfügen. Wenn Sie einem Benutzer eine Rolle zuweisen, weist RBS die Rechte zu, die zur Durchführung der Aufgaben dieser Rolle erforderlich sind.

Uneingeschränkten Zugriff erzwingen
Nach der Konfiguration von RBS und der Erstellung eines Sammlungsobjekts im Baum für iManager sehen Sie, dass der Modus bei jeder Ihrer Anmeldungen auf "Sammlungseigentümerzugriff" oder "Beauftragungszugriff" eingestellt ist. Wenn Sie die rollenbasierten Services zum Zweck der Fehlersuche umgehen möchten, können Sie iManager zwingen, den uneingeschränkten Modus zu verwenden.

WICHTIG: Wenn "Uneingeschränkten Zugriff erzwingen" ausgewählt ist, kann auch ein unbefugter Benutzer alle Rollen und Aufgaben anderer Benutzer sehen. Dies sollte nach Möglichkeit vermieden werden.
Diese Option sollte nur für die Fehlersuche verwendet werden und nicht als längerfristige Lösung.

Dynamische Gruppen aktivieren
Wählen Sie die Option "Dynamische Gruppen aktivieren" aus, damit RBS Dynamische Gruppen als Mitglieder einer Rolle zulässt.

HINWEIS: Eine Gruppe kann nicht in eine dynamische Gruppe oder umgekehrt umgewandelt werden, wenn das Objekt Rollenzuweisungen besitzt.

Rollen in eigenen Sammlungen anzeigen

Wählen Sie diese Option aus, damit Sammlungseigentümer alle Rollen und Aufgaben sehen können, in denen sie Mitglied sind. Wählen Sie diese Option nicht aus, sehen die Eigentümer nur die ihnen zugewiesenen Rollen.

Klicken Sie auf die Pfeile, um die folgenden Dropdown-Listen anzuzeigen:

• Domäne zur Rollenentdeckung
  Diese Option gibt an, wo iManager im Baum nach Rollen suchen soll, die einem Containerobjekt zugewiesen wurden.
  • Übergeordnete Einheit: Sucht nach Rollen im übergeordneten Container des Benutzers.
  • Partition: Sucht nach zugewiesenen Rollen aufwärts bis zur ersten eDirectory-Partition eines Benutzers.
  • Stamm: Sucht nach Rollen im gesamten Baum.
• Domäne zur Entdeckung dynamischer Gruppen
  Mit dieser Option wird angegeben, wo im Baum iManager nach der Mitgliedschaft in dynamischen Gruppen suchen soll. Die Rollenmitgliedschaft wird in den gefundenen dynamischen Gruppen überprüft.
  • Übergeordnete Einheit: Sucht nach dynamischen Gruppen aufwärts bis zum übergeordneten Container.
  • Partition: Sucht nach dynamischen Gruppen aufwärts bis zur ersten eDirectory-Partition.
  • Stamm: Durchsucht den gesamten Baum nach dynamischen Gruppen (bis zum Stamm).
• Suchtyp für dynamische Gruppen
  Gibt an, welcher Typ dynamischer Gruppen im Hinblick auf die Rollenmitgliedschaft durchsucht werden soll.
  • Nur dynamische Gruppenobjekte: Sucht nach Objekten, die dem Klassentyp "dynamicGroup" entsprechen.
  • Dynamische Gruppen und Zusatzklassen: Sucht nach Objekten, die entweder dem Klassentyp dynamicGroup entsprechen oder mit der Klasse dynamicGroupAux erweitert wurden. Dies umfasst auch Gruppenobjekte, die später in dynamische Gruppen umgewandelt wurden.
• RBS-Baumliste
  Wenn ein Sammlungseigentümer oder ein Rollenmitglied authentifiziert wird, wird für diese Einstellung automatisch der Name des eDirectory-Baums übernommen. Auf diese Weise erfolgt eine effektive Nachverfolgung der eDirectory-Bäume, in denen RBS konfiguriert wurde. Wenn RBS aus einem eDirectory-Baum entfernt wird, müssen Sie den Eintrag dieses Baums aus dieser Liste entfernen, um zum Modus für nicht zugewiesenen Zugriff zurückzukehren.

Plugin-Download

Einstellungen für das Herunterladen von NetIQ-Plugin-Modulen
Im Fenster „Einstellungen für das Herunterladen von NetIQ-Plugin-Modulen“ stehen die folgenden Optionen für das Herunterladen zur Verfügung, mit deren Hilfe Sie über aktualisierte Plugins informiert bleiben.

NetIQ-Site zum Herunterladen auf neue NetIQ-Plugin-Module (NPM) überprüfen.

Wählen Sie eine der folgenden Optionen, um NetIQ-Plugin-Module herunterzuladen.

• Novell-Site zum Herunterladen: Wählen Sie diese Option, um die Plugin-Module von der Novell-Site herunterzuladen.
• Benutzerdefinierte Site zum Herunterladen: Wählen Sie diese Option, um Plugin-Module von einer benutzerdefinierten Site herunterzuladen. Geben Sie die URL der benutzerdefinierten Site in das Feld "Download-URL" ein.

Jedes verfügbare Plugin anzeigen: Diese Option zeigt alle Plugins an, die auf der ausgewählten Site verfügbar sind.

Nur Updates für installierte Plugins anzeigen: Diese Option zeigt nur die Updates an, die auf der ausgewählten Site verfügbar sind.

Eine Liste von NPMs befindet sich auf der Seite „Verfügbare NetIQ-Plugins“.

Proxy
Wenn iManager-Server unter dem Firewall-Proxy ausgeführt werden, kann der Client über einen Proxyserver auf das Internet zugreifen. Nur HTTP-Proxy wird unterstützt. Es handelt sich um ein Web-Proxy-HTTP. Füllen Sie zum Herunterladen der Plugins die folgenden Felder aus:

Proxy aktivieren: Wählen Sie diese Option aus, um die Proxy-Funktion zu aktivieren.
Proxy-Host: Geben Sie die IP-Adresse des Proxy-Hosts an.
Proxy-Port: Geben Sie die Proxy-Portnummer an.
Benutzername: Geben Sie den Proxy-Benutzernamen ein.
Passwort: Geben Sie das Proxy-Passwort ein.
Passwort wiederholen: Geben Sie das Proxy-Passwort erneut ein.

Verschiedenes

[Dies] aktivieren
Diese Option können Sie ignorieren. Die Option „[dies] aktivieren“ wurde in iManager aufgenommen, um NetIQ-Teams das Bearbeiten ihrer eigenen Objekte zu ermöglichen. "[dies]" ist ein Attribut in dem Baum, das eine bestimmte Selbstverwaltungsfunktionalität aktiviert. Wenn "[dies]" aktiviert ist, müssen alle Server in dem Baum die Version 8.6.2 oder eine höhere Version aufweisen.

eGuide-URL
Gibt die URL für eGuide an. Diese Einstellung wird im Vorspann der eGuide-Startschaltfläche sowie in den Verwaltungsaufgaben der eGuide-Rollen und Aufgaben verwendet. Hierbei muss es sich um die vollständige URL handeln (z. B. https://my.dns.name/eGuide/servlet/eGuide) oder um das Schlüsselwort EMFRAME_SERVER. Die Verwendung von EMFRAME_SERVER veranlasst eMFrame, nach eGuide auf demselben Server zu suchen, auf dem sich auch eMFrame befindet.

Zertifikat

Auf der Registerkarte „Zertifikat“ können Sie je nach Sicherheitsanforderung eine geeignete Cipher-Einschränkungsstufe auswählen.

Algorithmus für öffentlichen Zertifikatschlüssel

iManager bietet folgende Zertifikate:

• RSA: Das Zertifikat verwendet ein 2048-RSA-Schlüsselpaar.
• ECDSA 256: Das Zertifikat verwendet ein ECDSA-Schlüsselpaar mit Kurve „secp256r1“.
• ECDSA 384: Das Zertifikat verwendet ein ECDSA-Schlüsselpaar mit Kurve „secp384r1“.

Cipher-Suite

Je nach ausgewähltem Zertifikat lässt iManager die Konfiguration der folgenden Cipher-Suites zu: Für ECDSA-Zertifikate lässt iManager nur Suite-B-Ciphers zu.

RSA

• KEINE - Lässt einen beliebigen Cipher zu.
  
• NIEDRIG - Lässt einen 56- oder 64-Bit-Cipher zu.
  
• MITTEL - Lässt einen 128-Bit-Cipher zu.
  
• HOCH - Lässt Ciphers mit mehr als 128 Bit zu.
  

ECDSA 256

• NUR SUITEB 128 - Lässt einen 128-Bit-Cipher zu.
  

ECDSA 384

• SUITEB 128 - Lässt einen 128-Bit- oder einen 256-Bit-Cipher zu.
  
• SUITEB 192 - Lässt einen 256-Bit-Cipher zu.
  

Standardmäßig ist „RSA“ ausgewählt und die Cipher-Stufe auf „KEINE“ festgelegt. Stellen Sie nach einer Änderung des Zertifikats sicher, dass der Tomcat-Server neu gestartet wird, damit die Änderungen übernommen werden.

Weitere Informationen zum Ändern der Cipher-Stufen in Mozilla Firefox finden Sie im Abschnitt Zertifikat im NetIQ iManager Administration Guide (NetIQ iManager-Verwaltungshandbuch).

Weitere Informationen zu den Marken von NetIQ finden Sie im Internet unter http://www.netiq.com/company/legal/.