Konfiguracja programu iManager

Konfigurowanie programu iManager

Ustawienia konfiguracji programu NetIQ iManager są zapisane w pliku webapps/nps/WEB-INF/config.xml.

UWAGA: Ustawienia można zapisywać w miarę ich wprowadzania lub po wprowadzeniu wszystkich zmian na stronach z kartami.

Zabezpieczenia
Na stronie zabezpieczeń są dostępne następujące funkcje:

Przy korzystaniu z niezabezpieczonego połączenia wyświetl komunikat
Po zaznaczeniu tej opcji będzie wyświetlany komunikat „Uzyskujesz dostęp do programu NetIQ iManager przy użyciu niezabezpieczonego połączenia” ostrzegający użytkowników.

Automatycznie importuj certyfikat drzewa dla bezpiecznego połączenia LDAP
Bezpieczne połączenia LDAP wymagają certyfikatu. Po wybraniu tej funkcji system będzie automatycznie importować publiczny certyfikat drzewa dla bezpiecznego protokołu LDAP.

Autoryzowani użytkownicy i grupy
Autoryzowani użytkownicy i grupy to użytkownicy, którzy mogą wykonywać różne zadania administracyjne. Informacje o użytkownikach autoryzowanych są zapisywane w pliku webapps/nps/WEB-INF/configiman.properties. Plik ten jest tworzony automatycznie podczas instalacji.

Ta opcja umożliwia modyfikację pliku configiman.properties. Podawane nazwy muszą obejmować nazwę drzewa (na przykład admin.novell.mojedrzewo). Aby wszyscy użytkownicy byli autoryzowani, należy wpisać AllUsers.

Do listy można też dodać grupy statyczne i zagnieżdżone oraz rolę organizacyjną, aby wszyscy członkowie grupy/organizacji stali się użytkownikami autoryzowanymi.

Uwaga: Jeśli do listy Autoryzowani użytkownicy i grupy zostanie dodana grupa zagnieżdżona, tylko członkowie pierwszego poziomu grupy staną się użytkownikami autoryzowanymi. Nie można autoryzować grupy dynamicznej.
Uwaga: Listę Autoryzowani użytkownicy i grupy można zapisać tylko po dodaniu do niej prawidłowych użytkowników. Jeśli do listy zostaną dodani nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie z informacją, że nie można odnaleźć obiektu. Jeśli do listy zostaną dodani tylko nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie, a lista nieprawidłowych użytkowników zostanie automatycznie zastąpiona wpisem AllUsers. Jeśli nie wszyscy użytkownicy drzewa mają być autoryzowani, należy usunąć wpis AllUsers z listy, a następnie dodać do niej żądanych prawidłowych użytkowników i kliknąć przycisk Zapisz.
Ważne: Po zainstalowaniu programu iManager po raz pierwszy lista Autoryzowani użytkownicy i grupy jest pusta. Użytkownik administracyjny musi niezwłocznie dodać użytkowników i grupy do listy, aby je autoryzować i zachować prawa do modyfikowania tej listy. W przeciwnym razie prawa do modyfikowania tej listy może uzyskać użytkownik nieadministracyjny, dodając do niej użytkowników i grupy. Użytkownik będący administratorem może utracić te prawa.

Audyt

Przed włączeniem opcji audytu zaimportuj plik formatowania usługi Nsure® Audit umożliwiający formatowanie zdarzeń zapisu dziennika przez serwer audytu.

Odszukaj plik IMAN_EN.lsc w jednym z następujących miejsc, w którym jest zainstalowany serwer programu iManager.

Sys:\tomcat\5.0\webapps\nps\support\audit (w systemie NetWare)
C:\Program Files\Novell\Tomcat\webapps\nps\support\audit (w systemie Windows)
/var/opt/novell/tomcat5/webapps/nps/support/audit (w systemie Linux)

Skopiuj ten plik do tymczasowego położenia na komputerze lokalnym.

W programie iManager kliknij kolejno Role i zadania > Audyt i zapis dziennika > Opcje serwera zapisu dziennika.

Przejdź do obiektu serwera zapisu dziennika i kliknij przycisk OK. Zostanie wyświetlona strona Opcje serwera zapisu dziennika.

Kliknij kartę Aplikacje zapisu dziennika.

Wybierz nazwę kontenera, a następnie w menu Działania aplikacji kliknij polecenie Nowe. Zostanie wyświetlone okno dialogowe Nowa aplikacja zapisu dziennika.

Podaj nazwę aplikacji zapisu dziennika (na przykład iManagerInst).

Przejdź do pliku IMAN_EN.lsc na komputerze lokalnym bądź z położenia na serwerze (zobacz Krok 1), a następnie kliknij przycisk OK, aby zapisać nowy obiekt aplikacji zapisu dziennika.

Na stronie Opcje serwera zapisu dziennika, w obszarze Aplikacje kliknij łącze nazwy aplikacji zapisu dziennika (określonej w Kroku 7). Zostanie wyświetlona strona Modyfikuj obiekt.

Kliknij opcję Konfiguruj > Zdarzenia.

Z listy Niezgrupowane wybierz pozycję Zdarzenia programu iManager, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.

Uruchom ponownie (załaduj ponownie) serwer bezpiecznego zapisu dziennika audytu, aby zmiany zostały uwzględnione.

Kliknij opcję Konfiguruj > Serwer programu iManager > Konfiguruj program iManager. Zostanie wyświetlona strona Konfiguruj program iManager.

Zaznacz opcję Włącz program NetIQ Audit, aby zapisywać w dzienniku wybrane zdarzenia.
Uwaga: po usunięciu zaznaczenia opcji Włącz program NetIQ Audit wybrane zdarzenia pozostaną zaznaczone (aby przypomnieć użytkownikowi jego preferencje przy następnym uaktywnieniu audytu), ale będą nieaktywne (oznaczone na szaro), wskazując, że wszystkie funkcje audytu są wyłączone.

Wygląd i działanie
Ta strona pozwala dostosować wygląd interfejsu programu iManager.

Nazwa na pasku tytułu
W tym polu tekstowym należy wpisać nazwę organizacji. Będzie ona wyświetlana na pasku tytułu przeglądarki sieci Web zamiast tekstu domyślnego: NetIQ iManager.

Obrazy
Pasek tytułu zawiera trzy obrazy: obraz tła nagłówka, obraz wypełnienia nagłówka i obraz ramowy nagłówka. Obrazy użytkownika muszą mieć wymiary podane w interfejsie.

Pliki należy zapisać w katalogu nps/portal/modules/fw/images. Ścieżkę do każdego z obrazów należy wprowadzić w odpowiadającym mu polu.

Kolory menu nawigacyjnego
Istnieje możliwość dostosowania kolorów nagłówka i tła menu nawigacyjnego z lewej strony.

Wprowadzać można nazwy kolorów lub odpowiadające im liczby w systemie szesnastkowym. Wielkość liter we wpisach może nie być uwzględniana. Kliknięcie przycisku Resetuj spowoduje przywrócenie koloru domyślnego. Informacje dotyczące wyglądu i działania są zapisywane w pliku webapps/nps/WEB-INF/config.xml.

Zdarzenia zapisu dziennika

Poziom zapisu do dziennika
Należy wybrać jeden z poziomów zapisu do dziennika na potrzeby debugowania serwera sieci Web: Bez zapisu dziennika, Błędy, Ostrzeżenia lub Informacje.

Dane wyjściowe zapisu dziennika
Należy wybrać odpowiednią opcję w celu określenia, czy dane wyjściowe dziennika mają być wysyłane do standardowego urządzenia błędów, standardowego urządzenia wyjściowego lub do pliku Debug.HTML. Na tej stronie wyświetlana jest ścieżka do pliku dziennika oraz jego rozmiar.

Wyświetl Kliknięcie tego przycisku umożliwia wyświetlenie pliku dziennika.
Wyczyść Kliknięcie tego przycisku umożliwia wyczyszczenie wszystkich danych z pliku dziennika. Rozmiar pliku dziennika jest ustawiany na wartość 0 bajtów.

Uwierzytelnianie
Konfiguracja uwierzytelnienia ma wpływ na stronę logowania programu iManager.

Zapamiętaj informacje logowania
Jeśli ta opcja zostanie zaznaczona, będzie wymagane tylko hasło.

Używaj bezpiecznego protokołu LDAP przy połączeniach automatycznych
To ustawienie określa, czy program iManager będzie komunikować się przy użyciu protokołu LDAP SSL, czy też czystego tekstu w protokole LDAP. Niektóre dodatki typu plug-in, np. grupy dynamiczne i usługa NMAS™, nie działają, gdy ta opcja jest zaznaczona. Ustawienie to nie będzie uwzględniane, dopóki użytkownik nie wyloguje się z programu iManager.

Ukryj określoną przyczynę niepowodzenia logowania
Zastępuje komunikaty usługi eDirectory dotyczące uwierzytelniania ogólnym komunikatem o błędzie o treści: Niepowodzenie logowania. Nieprawidłowa nazwa użytkownika lub hasło. Zapobiega to nieupoważnionemu dostępowi.

Zezwalaj na wybór drzewa na stronie logowania
Po zaznaczeniu tej opcji pole tekstowe Drzewo będzie wyświetlane na stronie logowania. Jeśli ta opcja nie zostanie zaznaczona, musi być ustawiona domyślna nazwa drzewa, gdyż w przeciwnym razie nie będzie można się zalogować.

Logowanie bezkontekstowe
Logowanie bezkontekstowe umożliwia użytkownikom logowanie się tylko przy użyciu nazwy użytkownika i hasła, bez wymagania znajomości ani rozumienia pełnego kontekstu ich obiektu użytkownika (na przykład admin.support).

Jeśli w drzewie istnieje wielu użytkowników o tej samej nazwie użytkownika, logowanie bezkontekstowe próbuje wykonać logowanie z użyciem podanego hasła dla pierwszego znalezionego konta użytkownika. W tym przypadku użytkownik powinien podać pełny kontekst podczas logowania albo ograniczyć kontenery wyszukiwane w ramach logowania bezkontekstowego.

Należy zaznaczyć opcję Szukaj w kontenerach i określić kontenery, w których można znaleźć obiekty użytkowników na potrzeby logowania, lub zaznaczyć opcję Szukaj począwszy od folderu głównego, aby na potrzeby logowania bezkontekstowego wyszukiwanie odbywało się począwszy od głównego folderu drzewa.

Kontenery do przeszukania
Kontenery, które muszą zostać przeszukane w podanej kolejności przez program iManager w celu odnalezienia określonego użytkownika. Kolejność przeszukiwania kontenerów można zmieniać, korzystając ze strzałek w górę i w dół. Program iManager wyszukuje użytkownika na podstawie kolejności na liście kontenerów.

Nazwa użytkownika publicznego
Domyślnie program iManager nawiązuje połączenie w trybie dostępu publicznego, który nie wymaga żadnych konkretnych poświadczeń. Możliwe jest jednak określenie użytkownika z konkretnymi poświadczeniami do przeprowadzania wyszukiwania bezkontekstowego. Jeśli użytkownik nie zostanie zdefiniowany, program iManager użyje użytkownika publicznego.

Poprawna składnia publicznej nazwy użytkownika to nazwa_użytkownika.kontekst (na przykład admin.novell).

WAŻNE: W przypadku określenia użytkownika publicznego należy dokładnie rozważyć skutki ustawień dotyczących utraty ważności hasła. Jeśli zostanie ustawiona ważność hasła użytkownika publicznego, nie będzie możliwości zmiany tego hasła podczas logowania, gdy ważność hasła wygaśnie.

Hasło użytkownika publicznego
Hasło użytkownika określonego w polu Nazwa użytkownika publicznego. Hasło jest zapisywane czystym tekstem, niezaszyfrowane.

Wprowadź hasło ponownie
Należy ponownie wpisać hasło, aby je potwierdzić.

Ustawienia limitu czasu serwera programu iManager

Aby serwer programu iManager osiągał limit czasu po upłynięciu żądanego okresu, podaj liczbę dni, godzin i minut w odpowiednich polach.

Aby serwer nie osiągał limitu czasu, wybierz opcję Bez limitu czasu.

Przekierowanie po wylogowaniu
Wybranie opcji Przekierowanie po wylogowaniu umożliwia określenie adresu URL, na który ma nastąpić przekierowanie po wylogowaniu z programu iManager. Jeśli ta opcja nie zostanie wybrana, kliknięcie opcji Koniec pracy spowoduje wylogowanie z programu iManager i domyślnie wyświetlona zostanie strona logowania.

Włącz Tę opcję należy wybrać, aby włączyć funkcję Przekierowanie po wylogowaniu.
URL Należy określić adres URL, na który ma nastąpić przekierowanie po wylogowaniu.

RBS

Usługi oparte na rolach (RBS) służą do przypisywania praw do wykonywania zadań w usłudze eDirectory™. Do wykonywania określonych czynności niezbędne są odpowiednie uprawnienia w drzewie eDirectory. Gdy użytkownikowi przypisywana jest rola, usługi RBS przypisują uprawnienia niezbędne do wykonywania zadań powiązanych z tą rolą.

Wymuś dostęp bez ograniczeń
Po skonfigurowaniu usług opartych na rolach i utworzeniu obiektu kolekcji w drzewie na potrzeby programu iManager, podczas kolejnych logowań użytkownika tryb ustawiony jest na wartość Dostęp właściciela kolekcji lub Przypisany dostęp. Aby obejść usługi RBS na potrzeby rozwiązywania problemów, można wymusić w programie iManager używanie trybu Bez ograniczeń.
OSTRZEŻENIE: W przypadku wybrania opcji Wymuś dostęp bez ograniczeń nawet nieupoważnieni użytkownicy będą mogli przeglądać wszystkie role i zadania innych użytkowników, co nie jest zalecane.
To rozwiązanie powinno być używane tylko na potrzeby rozwiązywania problemów i powinno być stosowane jedynie tymczasowo.
Włącz grupy dynamiczne
Wybranie opcji Włącz grupy dynamiczne umożliwia zezwalanie przez usługi oparte na rolach na członkostwo grup dynamicznych w rolach.

UWAGA: Jeśli obiekt ma jakiekolwiek przypisania ról, nie można przekonwertować grupy na grupę dynamiczną (i odwrotnie).

Pokaż role w posiadanych kolekcjach

Jeśli ta opcja zostanie zaznaczona, właścicielom kolekcji będą wyświetlane wszystkie role i zadania, w których są członkami. Jeśli nie zostanie zaznaczona, właściciele będą widzieć tylko role, które zostały im przypisane.

Po kliknięciu strzałek list rozwijanych zostaną wyświetlone następujące opcje:

Domena wykrywania ról
Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać ról przypisanych do obiektu kontenera.

Nadrzędny: role są wyszukiwane w kontenerze nadrzędnym użytkownika.

Partycja: role są wyszukiwane do poziomu pierwszej partycji eDirectory użytkownika.

Katalog główny: role są wyszukiwane w całym drzewie.

Domena wykrywania grup dynamicznych
Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać członków grup dynamicznych. W znalezionych grupach dynamicznych jest wówczas sprawdzane członkostwo w rolach.

Nadrzędny: grupy dynamiczne są wyszukiwane do poziomu kontenera nadrzędnego.

Partycja: grupy dynamiczne są wyszukiwane do poziomu pierwszej partycji eDirectory.

Katalog główny: grupy dynamiczne są wyszukiwane w całym drzewie, do poziomu katalogu głównego.

Typ wyszukiwania grup dynamicznych
Umożliwia wskazanie, jakiego typu grupy dynamiczne mają być przeszukiwane pod kątem członkostwa w rolach.

Tylko obiekty grup dynamicznych: wyszukiwane są obiekty o typie klasy Grupa dynamiczna.

Obiekty grup dynamicznych i klasy pomocnicze: wyszukiwane są obiekty o typie klasy Grupa dynamiczna lub obiekty rozszerzone przy użyciu klasy Pomocnicza grupa dynamiczna. Dotyczy to obiektów grup, które zostały później przekształcone w grupy dynamiczne.

Lista drzew RBS
Podczas uwierzytelniania właściciela kolekcji lub członka roli to ustawienie automatycznie przyjmuje wartość nazwy drzewa eDirectory. Pozwala to skutecznie śledzić drzewa eDirectory, dla których skonfigurowano usługi RBS. Jeżeli usługi RBS zostaną usunięte z drzewa eDirectory, w celu przywrócenia trybu nieprzypisanego dostępu należy usunąć z listy nazwę tego drzewa.

Pobieranie dodatków typu plug-in

Ustawienia pobierania modułu dodatków typu plug-in firmy NetIQ
W okienku Ustawienia pobierania modułu dodatków typu plug-in firmy NetIQ są dostępne następujące opcje zapewniające użytkownikowi informacje o aktualizacjach dodatków typu plug-in.

Wykonaj zapytanie w witrynie pobierania, aby wyszukać nowe moduły dodatków typu plug-in firmy NetIQ (NPM).
Wybierz jedną z następujących opcji, aby pobrać moduły dodatków typu plug-in firmy NetIQ.

Witryna pobierania firmy Novell. Wybierz tę opcję, aby pobrać moduły dodatków typu plug-in z witryny pobierania firmy Novell.

Niestandardowa witryna pobierania. Wybierz tę opcję, aby pobrać moduły dodatków typu plug-in z witryny niestandardowej. Podaj adres URL witryny niestandardowej w polu Adres URL pobierania.

Pokaż każdy dostępny dodatek typu plug-in. Po wybraniu tej opcji zostaną wyświetlone wszystkie dodatki typu plug-in dostępne w wybranej witrynie.

Pokaż tylko aktualizacje dla zainstalowanych dodatków typu plug-in. Po wybraniu tej opcji zostaną wyświetlone tylko aktualizacje dostępne w wybranej witrynie.

Lista dodatków typu plug-in firmy NetIQ (NPM) jest dostępna na stronie dostępnych dodatków typu plug-in firmy NetIQ.
Pełnomocnictwo
Jeśli serwery programu iManager są uruchomione na serwerze proxy zapory sieciowej, klient ma dostęp do Internetu za pośrednictwem serwera proxy. Obsługiwany jest tylko serwer proxy HTTP. To jest protokół HTTP serwera proxy sieci Web. Aby pobrać dodatki typu plug-in za pośrednictwem serwera proxy, należy wypełnić następujące pola:

Włącz serwer proxy Tę opcję należy wybrać, aby włączyć funkcję serwera proxy.
Host serwera proxy Należy podać adres IP hosta serwera proxy.
Port serwera proxy Należy podać numer portu serwera proxy.
Nazwa użytkownika Należy podać nazwę użytkownika serwera proxy.
Hasło Należy podać hasło serwera proxy.
Wprowadź hasło ponownie Należy ponownie podać hasło serwera proxy.

Inne

Włącz [to]
Tę opcję można zignorować. Opcja Włącz [to] została dodana do programu iManager, aby umożliwić zespołom firmy NetIQ modyfikowanie ich własnych obiektów. Wartość [to] jest atrybutem drzewa, który włącza określone funkcje samodzielnego zarządzania. Włączenie argumentu [to] wymaga, aby wszystkie serwery w drzewie miały wersję 8.6.2 lub wyższą.

Adres URL usługi eGuide
Określa adres URL serwera eGuide. Jest on używany w przycisku uruchamiania usługi eGuide znajdującym się w nagłówku oraz w zadaniach związanych z zarządzaniem rolami i zadaniami tej usługi. Musi to być pełny adres URL (np. https://moja.nazwa.dns/eGuide/servlet/eGuide) lub słowo kluczowe EMFRAME_SERVER. W tym drugim przypadku usługa eMFrame będzie szukać usługi eGuide na serwerze, na którym sama się znajduje.

Certyfikat

Na karcie Certyfikat można wybrać poziom szyfru na podstawie wymagań dotyczących zabezpieczeń.

Algorytm klucza publicznego certyfikatu

Program iManager zapewnia następujące certyfikaty:

RSA — certyfikat używa pary 2048-bitowych kluczy RSA.

ECDSA 256 — certyfikat używa pary kluczy ECDSA z krzywą secp256r1.

ECDSA 384 — certyfikat używa pary kluczy ECDSA z krzywą secp384r1.

Mechanizm szyfrowania

Na podstawie wybranego certyfikatu program iManager umożliwia skonfigurowanie następujących mechanizmów szyfrowania: W przypadku certyfikatów ECDSA program iManager zezwala tylko na szyfrowanie Suite B.

RSA

BRAK — zezwala na dowolny typ szyfru.

NISKI — zezwala na szyfr 56- lub 64-bitowy.

ŚREDNI — zezwala na szyfr 128-bitowy.

WYSOKI — zezwala na szyfry większe niż 128-bitowe.

ECDSA 256

TYLKO SUITEB 128 — zezwala na szyfr 128-bitowy.

ECDSA 384

SUITEB 128 — zezwala na szyfr 128- lub 256-bitowy.

SUITEB 192 — zezwala na szyfr 256-bitowy.

Domyślnie jest wybrany szyfr RSA, a poziom szyfru jest ustawiony na BRAK. Po zmianie certyfikatu należy uruchomić ponownie serwer Tomcat, aby zmiana odniosła efekt.

Więcej informacji o zmianie poziomów szyfru w programie Mozilla Firefox można znaleźć w sekcji Certyfikat w Podręczniku administrowania programem NetIQ iManager.

Informacje o znakach towarowych firmy NetIQ można znaleźć na stronie http://www.netiq.com/company/legal/.