Конфигурация iManager

Параметры конфигурации iManager хранятся в файле webapps/nps/WEB-INF/config.xml.

Примечание: можно сохранять каждый введенный параметр или щелкнуть кнопку "Сохранить" после ввода всех изменений на различных страницах-вкладках.

Защита
Данная страница безопасности содержит следующие параметры:

При использовании незащищенного соединения
Выберите этот параметр, если необходимо выводить сообщение "Выполняется попытка получить доступ к NetIQ iManager с помощью незащищенного соединения". для пользователей.

Автоимпорт сертификата дерева для защищенного соединения LDAP
Для защищенных соединений LDAP необходим сертификат. Если выбрана эта функция, система автоматически импортирует сертификат общедоступного дерева для защищенного соединения LDAP.

Авторизованные пользователи и группы
Авторизованными пользователями и группами являются пользователи, обладающие правами на выполнение различных административных задач. Данные об авторизованных пользователях хранятся в файле webapps/nps/WEB-INF/configiman.properties. Это файл автоматически создается при установке.

С помощью этого параметра можно внести изменения в файл configiman.properties. В указываемые имена должно быть включено имя дерева (например admin.novell.mytree). Чтобы указать, что все пользователи должны считаться авторизованными, введите AllUsers.

Кроме того, в список можно добавлять статические и вложенные группы, а также организационные функции, что позволит сделать всех членов группы или организации авторизованными пользователями.

Примечание. При добавлении вложенной группы в список авторизованных пользователей и групп авторизованными пользователями становятся только члены группы первого уровня. Динамическую группу невозможно авторизовать.

Примечание. В список авторизованных пользователей и групп можно добавлять записи только допустимых пользователей, а также сохранять их. После добавления недопустимого пользователя и нажатия кнопки "Сохранить" выведется сообщение об ошибке со сведениями о том, что объект не найден. Если в список добавлены только недопустимые пользователи и нажата кнопка "Сохранить", выведется сообщение об ошибке, а список недопустимых пользователей автоматически заменится на AllUsers. Если нет необходимости в авторизации всех пользователей дерева, удалите AllUsers из списка, добавьте записи допустимых пользователей и нажмите кнопку "Сохранить".

Важно. После первой установки приложения iManager список авторизованных пользователей и групп будет пуст. Администраторам необходимо немедленно добавить пользователей и группы в список с целью их авторизации, чтобы обладать правами на изменение списка. В противном случае пользователь, не являющийся администратором, может добавить пользователей и группы в список и получить права на его изменение. В этом случае администратор может утратить подобные права.

Аудит

1. Перед включением аудита импортируйте файл формата Nsure® Audit, который позволяет серверу аудита протоколировать события в требуемом формате.
1. Найдите файл IMAN_EN.lsc в одном из указанных ниже расположений, где установлен сервер iManager.
• C:\Program Files\Novell\Tomcat\webapps\nps\support\audit (для Windows)
• /var/opt/novell/tomcat5/webapps/nps/support/audit (для Linux)
2. Скопируйте этот файл во временную папку на локальном компьютере.
2. В iManager выберите "Функции и задачи" Auditing and Logging ("Аудит и протоколирование") > Logging Server Options > ("Параметры сервера протоколирования").
3. Найдите объект Logging Server ("Сервер протоколирования") и нажмите кнопку "ОК". Откроется страница параметров сервера протоколирования.
4. Откройте вкладку Log Applications ("Приложения журнала").
5. Выберите имя контейнера и в меню действий приложения нажмите кнопку "Создать". Откроется диалоговое окно New Log Application ("Новое приложение для протоколирования").
6. Введите имя в поле Log Application Name ("Имя приложения для протоколирования") (например, iManagerInst).
7. Найдите файл IMAN_EN.lsc на локальном компьютере или там, где установлен сервер (см. шаг 1), и нажмите кнопку "ОК" для сохранения нового объекта Log Application ("Приложение для протоколирования").
8. На странице параметров сервера протоколирования в разделе Applications ("Приложения") щелкните ссылку Log Application Name ("Имя приложения для протоколирования") (выведется имя, указанное в шаге 7). Откроется страница изменения объекта.
9. Откройте меню "Настройка" > Events ("События").
10. Выберите события iManager из несгруппированного списка, нажмите кнопку "Применить", а затем — "ОК".
11. Чтобы изменения вступили в силу, перезагрузите Audit Secure Logging Server ("Защищенный сервер протоколирования").
12. Откройте меню "Настройка" > "Сервер iManager" > "Настройка iManager". Откроется страница настройки iManager.
13. Выберите решение аудита для записи в журнал событий, выбранных для аудита.

    Доступны следующие варианты:

    • NetIQ Audit
    • XDAS Audit
    
    Примечание. Если отменить выбор параметра аудита, выбранные события останутся отмеченными (чтобы можно было повторить выбор при следующем включении аудита), но они не будут учитываться и будут неактивны, указывая, что аудит отключен.

Внешний вид
На данной странице можно настроить внешний вид iМanager.

Имя строки заголовка
Введите название организации в это поле. Оно появится в заголовке веб-браузера вместо стандартного текста "NetIQ iManager".

Изображения
В строке заголовка используются три изображения: фон заголовка, заливка заголовка и логотип. Ваши собственные рисунки должны соответствовать размерам, указанным в интерфейсе.

Сохраните эти файлы в каталоге nps/portal/modules/fw/images. Введите путь к каждому рисунку в соответствующем текстовом поле.

Цвета меню навигации
Можно задать цвет заголовка и фон меню навигации слева.

Можно вводить названия цветов или шестнадцатеричные числа. При вводе значений регистр может не учитываться. Щелкните кнопку "Сброс", чтобы вернуть цвет, использовавшийся по умолчанию. Информация о настройке внешнего вида экрана хранится в файле webapps/nps/WEB-INF/config.xml.

Протоколирование событий

Уровень протоколирования
Выберите уровень протоколирования в журнале отладки веб-сервера: "Без протоколирования", "Ошибки", "Предупреждения" или "Информационные сообщения".

Выходные данные журнала
Выберите параметр, показывающий, куда отправляется вывод журнала: на стандартное устройство ошибок, на стандартное устройство вывода, либо в файл Debug.HTML. На этой странице показан путь к файлу журнала и размер этого файла.

Просмотр: Щелкните эту кнопку, чтобы просмотреть файл журнала.

Очистить: Щелкните эту кнопку, чтобы очистить файл журнала. После этого размер файла журнала будет равен 0 (ноль) байт.

Аутентификация
Настройка аутентификации влияет на страницу регистрации в iManager.

Запомнить учетные данные регистрации
Если выбран этот параметр, для регистрации требуется только пароль.

Использовать защищенный LDAP для автоматического соединения
Этот параметр определяет, будет ли iМanager соединяться через LDAP, SSL или через LDAP с открытым текстом. Если этот параметр не выбран, некоторые подключаемые модули, например Dynamic Groups и NMAS™, не работают. Эта настройка не действует до выхода из iManager.

Скрывать конкретные причины неудачной регистрации в системе
Вместо сообщений системы аутентификации eDirectory будет показываться общее сообщение:Ошибка регистрации. Неверное имя пользователя или пароль. Позволяет предотвратить несанкционированный доступ.

Разрешить выбор имени дерева на странице регистрации
Если выбран этот параметр, на странице регистрации отображается текстовое поле "Дерево". Если этот параметр не выбран, необходимо использовать стандартное имя дерева.

Бесконтекстная регистрация
Бесконтекстный вход позволяет пользователям входить в систему только с именем пользователя и паролем без знания или понимания всего контекста объекта "Пользователь". Например, admin.support.

Если в дереве имеется несколько пользователей с одинаковым именем, то при бесконтекстной регистрации регистрируется первая найденная учетная запись с введенным паролем. В данном случае пользователь при регистрации должен указать полный контекст или ограничить число контейнеров, в которых производится поиск при бесконтекстной регистрации.

Выберите параметр "Контейнеры поиска" и укажите контейнеры, в которых могут располагаться объекты "Пользователь", или выберите параметр "Поиск из корневого каталога", чтобы при бесконтекстной регистрации поиск происходил от корня дерева.

• Контейнеры для поиска
  Контейнеры, поиск которых должен выполняться iManager для нахождения определенного пользователя в указанном порядке. Порядок поиска контейнеров можно изменить с помощью кнопок со стрелками вверх и вниз. iManager выполняет поиск пользователя согласно порядку списка контейнера.
• Имя пользователя с общими правами доступа (Public)
  По умолчанию iManager подключается с правами общего доступа, не требуя никаких учетных данных. При необходимости для бесконтекстного поиска можно задать пользователя с конкретными учетными данными. Если пользователь не указан, в iManager будет использоваться пользователь с общими правами доступа.
  
  Правильный синтаксис имени пользователя с общими правами доступа: имя_пользователя.контекст (например admin.novell).
  
  Внимание: если задан пользователь с общими правами доступа, внимательно ознакомьтесь с действием параметров, устанавливающих истечение срока действия пароля. Если для пользователя с общими правами доступа установлен ограниченный срок действия пароля, то по истечении этого срока изменить пароль этого пользователя при входе в систему невозможно.
  
• Пароль пользователя с общими правами доступа
  Это пароль пользователя, определенного в поле "Имя пользователя с общими правами доступа". Пароль хранится незашифрованным в виде обычного текста.
• Повторно введите пароль
  Повторный ввод для проверки правильности.

Настройки истечения времени ожидания сервера iManager

• Если необходимо, что время ожидания сервера iManager истекало через определенный период, укажите количество дней, часов и минут в соответствующих полях.
• Если требуется, чтобы время ожидания не истекало, выберите параметр Never Timeout ("Время ожидания никогда не истекает").

Перенаправление после выхода из системы

Выбор параметра "Перенаправление после выхода из системы" позволяет указать URL-адрес, на который будет произведено перенаправление после выхода из iManager. Если этот параметр не выбран, после выхода из iManager по умолчанию отображается страница входа.

Включить: Выберите этот параметр, чтобы включить функцию "Перенаправление после выхода из системы".

URL-адрес: Укажите URL-адрес, на который будет произведено перенаправление после выхода.

Сервис административных функций

Сервис административных функций (RBS) назначает права на выполнение задач в eDirectory™. Для выполнения определенных операций необходимо иметь права в дереве eDirectory. Когда Вы присваиваете функцию пользователю, сервис административных функций присваивает права, необходимые для выполнения задач этой функции.

Предложить неограниченный доступ
После настройки RBS и создания объекта "Коллекция" в дереве iManager каждый раз при входе отображается режим "Доступ владельца коллекции" или "Назначенный доступ". Если для устранения проблем необходимо пропустить RBS, можно принудительно использовать iManager в неограниченном режиме.

Внимание. Не рекомендуется выбирать параметр "Использовать неограниченный доступ". Это позволит даже неавторизованным пользователям просматривать все роли и задачи других пользователей.
Этот параметр должен использоваться исключительно при устранении проблем. Не рекомендуется использовать его на постоянной основе.

Разрешить динамические группы
Выбор параметра "Разрешить динамические группы" позволяет сервису административных функций назначать функции динамическим группам.

Примечание. Если объекту не назначена ни одна роль, невозможно выполнить преобразование из обычной группы в динамическую и наоборот.

Отображать роли в коллекциях владельцев

Выбор этого параметра позволяет владельцам коллекций просматривать все роли и задачи, членами которых они являются. Если этот параметр не задан, владельцы смогут видеть только назначенные им функции.

Щелкните стрелку, чтобы открыть следующие списки:

• Домен обнаружения функций
  Этот параметр определяет, в какой части дерева iМanager будет искать функции, назначенные объекту "Контейнер".
  • Родительский: поиск функций в родительском контейнере пользователя.
  • Раздел: поиск функций до первого пользовательского раздела eDirectory.
  • Корень: поиск функций по всему дереву.
• Домен обнаружения динамических групп
  Указывает, в какой части дерева iМanager будет искать членство в динамической группе. В найденных динамических группах проверяется принадлежность к роли.
  • Родительский: поиск динамических групп до родительского контейнера.
  • Раздел: поиск динамических групп до первого раздела eDirectory.
  • Корень: поиск динамических групп по всему дереву до самого корня.
• Типы объектов для поиска динамических групп
  Показывает, в каких динамических группах должен выполняться поиск принадлежности к роли.
  • Только объекты "Динамическая группы": поиск объектов, имеющие тип класса "Динамическая группа".
  • Объекты "Динамическая Группа" и дополнительные классы: поиск объектов класса dynamicgroup и класса dynamicgroupaux. Это включает объекты "Группа", которые позже были преобразованы в динамические группы.
• Список деревьев сервиса административных функций
  Когда владелец коллекции или носитель функции успешно проходит аутентификацию, в этом параметре автоматически устанавливается имя дерева eDirectory. Таким образом, фактически отслеживаются деревья eDirectory, где был сконфигурирован сервис административных функций. Если сервис административных функций удаляется из дерева eDirectory, удалите это дерево из списка, чтобы вернуться в режим "Неназначенный доступ".

Загрузка подключаемых модулей

Параметры загрузки подключаемых модулей NetIQ
Панель параметров загрузки подключаемых модулей NetIQ содержит указанные ниже параметры загрузки, позволяющие вам своевременно получать информацию об обновленных подключаемых модулях.

Запросить сайт загрузки новых подключаемых модулей NetIQ (NPM).

Для загрузки подключаемых модулей NetIQ выберите один из указанных ниже параметров.

• Novell Download site ("Центр загрузки Novell"): выберите этот параметр, чтобы загружать подключаемые модули с веб-сайта центра загрузки Novell.
• Custom download site ("Произвольный веб-сайт загрузки"): выберите этот параметр, чтобы загружать подключаемые модули с произвольного веб-сайта. Укажите URL-адрес такого веб-сайта в поле Download URL ("URL-адрес для загрузки").

Show every available plug-in ("Показывать все подключаемые модули"): отображение всех подключаемых модулей, доступных на указанном веб-сайте.

Show only updates to installed plug-ins ("Показывать только обновления для установленных подключаемых модулей"): отображение только обновлений, доступных на указанном веб-сайте.

Список подключаемых модулей NetIQ представлен на странице "Доступные подключаемые модули NetIQ".

Прокси
Если серверы iManager работают за прокси межсетевого экрана, для доступа в Интернет клиентам следует указать прокси-сервер. Поддерживается только. Это — HTTP веб-прокси. Для загрузки подключаемых модулей через прокси заполните следующие поля:

Включить прокси: Выберите этот параметр, чтобы включить функцию прокси.
Хост прокси: Укажите IP-адрес хоста прокси.
Порт прокси: Укажите номер порта прокси.
Имя пользователя: укажите имя пользователя прокси-сервера.
Пароль: укажите пароль прокси-сервера.
Повторите пароль: укажите пароль прокси-сервера повторно.

Прочее

Включить [этот]
На этот параметр можно не обращать внимания. Параметр "Включить [Этот]" был добавлен в iManager, чтобы разрешить группам NetIQ вносить изменения в их собственные объекты. [атрибут] – это атрибут в дереве, разрешающий определенные функции самоадминистрирования. Если [атрибут] активирован, все серверы в дереве должны быть версии 8.6.2 или более поздней.

URL-адрес eGuide
URL-адрес для eGuide. Этот адрес используется при нажатии кнопки запуска eGuide в заголовке, а также в задачах администрирования функций и задач eGuide. Необходимо полностью указать URL-адрес (например https://my.dns.name/eGuide/servlet/eGuide) или ключевое слово EMFRAME_SERVER. Если используется ключевое слово EMFRAME_SERVER, поиск eGuide осуществляется на том же сервере, где находится eMFrame.

Сертификат

Для выбора уровня шифра в зависимости от требований к безопасности воспользуйтесь вкладкой "Сертификат".

Алгоритм открытого ключа сертификата

iManager предоставляет указанные ниже сертификаты:

• RSA: для данного сертификата используется пара 2048-битных ключей RSA.
• ECDSA 256 : для данного сертификата используется пара ключей ECDSA с кривой secp256r1.
• ECDSA 384 : для данного сертификата используется пара ключей ECDSA с кривой secp384r1.

Комплект шифров

В зависимости от выбранного вами сертификата iManager позволяет настроить указанные ниже комплекты шифров. Для сертификатов ECDSA iManager позволяет настроить только шифры Suite B.

RSA

• НЕТ — позволяет использовать любой тип шифра.
  
• НИЗКИЙ — позволяет использовать 26-разрядный или 64-разрядный шифр.
  
• СРЕДНИЙ — позволяет использовать 128-разрядный шифр.
  
• ВЫСОКИЙ — позволяет использовать шрифты более 128 разрядов.
  

ECDSA 256

• ТОЛЬКО SUITEB 128: позволяет настроить 128-битный шифр.
  

ECDSA 384

• SUITEB 128: позволяет настроить 128-битный шифр или 256-битный шифр.
  
• SUITEB 192: позволяет настроить 256-битный шифр.
  

По умолчанию выбран RSA, а для уровня шифра задано значение "NONE (ОТСУСТВУЕТ)". При изменении сертификата необходимо перезапустить сервер Tomcat, чтобы это изменение вступило в силу.

Дополнительную информацию об изменении уровней шифра в Mozilla Firefox см. в разделе Сертификат документа "NetIQ iManager Administration Guide (Руководство по администрированию NetIQ iManager)".

Информацию о товарных знаках NetIQ см. на веб-сайте http://www.netiq.com/company/legal/.