配置 iManager

NetIQ iManager 配置设置保存在 webapps/nps/WEB-INF/config.xml 中。

注意：您可以在离开时进行保存，也可以在完成不同选项卡页上的所有更改后，再单击“保存”。

安全性
安全性页包含以下功能：

使用不安全的连接时
如果要用“您使用了不安全的连接访问 NetIQ iManager。”讯息来警告用户，请选择此选项。

自动导入安全 LDAP 的树证书
安全 LDAP 连接需要证书。如果选择此功能，系统会自动导入安全 LDAP 的公共树证书。

授权用户和组
授权用户和授权组是可以运行多种管理任务的用户。授权用户数据保存在 webapps/nps/WEB-INF/configiman.properties 中。在安装时会自动创建此文件。

您可以使用此选项来修改 configiman.properties 文件。指定的名称中必须包含此树名（例如，admin.novell.mytree）。要将所有用户都指定为授权用户，请键入 AllUsers。

您还可以向列表中添加静态和嵌套组以及组织角色，使所有组/组织成员成为授权用户。

注意：如果将嵌套组添加到“授权用户和组”列表中，则只有第一级组成员会成为授权用户。您无法为动态组授权。

注意：您只能将有效的用户添加并保存到“授权用户和组”列表中。如果您添加了无效的用户并单击“保存”，则会显示一条错误讯息，表明无法找到该对象。如果您仅将无效的用户添加到该列表中并单击“保存”，则会显示一条错误讯息，并且无效用户的列表会自动替换为“AllUsers”。如果您不希望树中的所有用户都成为授权用户，请从列表中删除“AllUsers”，将所需的有效用户添加到列表中，然后单击“保存”。

重要：如果是初次安装 iManager，则“授权用户和组”列表为空。如果您是 Admin 用户，则必须立即将用户和组添加到列表中，以使其成为授权用户，并使其拥有修改列表的权限。否则，非 Admin 用户可能会将用户和组添加到该列表中，这样他/她就会获得修改列表的权限。而作为 Admin 用户的您则会丧失修改列表的权限。

审计

1. 启用审计之前，导入允许审计服务器格式化日志记录事件的“Nsure® 审计”格式化文件。
1. 从安装 iManager 服务器的以下位置之一找到 IMAN_EN.lsc 文件。
• Sys:\tomcat\5.0\webapps\nps\support\audit（对于 NetWare）
• C:\Program Files\Novell\Tomcat\webapps\nps\support\audit（对于 Windows）
• /var/opt/novell/tomcat5/webapps/nps/support/audit（对于 Linux）
2. 将此文件复制到本地计算机上的一个临时位置。
2. 在 iManager 中，单击“职能和任务”>“Auditing and Logging（审计和日志记录）”>“Logging Server Options（日志记录服务器选项）”。
3. 通过浏览找到“Logging Server（日志记录服务器）”对象，然后单击“确定”。此时将显示“Logging Server Options（日志记录服务器选项）：”页面。
4. 单击“Log Applications（日志应用程序）”选项卡。
5. 选择“树枝名称”，然后在“Application Actions（应用程序操作）”菜单下，单击“新建”。此时将显示“New Log Application（新的日志应用程序）”对话框。
6. 为“Log Application Name（日志应用程序名称）”指定一个名称（如 iManagerInst）。
7. 通过浏览找到本地计算机上的 IMAN_EN.lsc 文件，或从服务器位置找到该文件（请参见第 1 步），然后单击“确定”以保存新的“Log Application（日志应用程序）”对象。
8. 在“Logging Server Options（日志记录服务器选项）：”页面中的“Applications（应用程序）”下，单击“Log Application Name（日志应用程序名称）”（已在第 7 步中指定）链接。此时将显示“修改对象：”页面。
9. 单击“配置”>“Events（事件）”。
10. 从未分组的列表中选择“iManager Events（iManager 事件）”，单击“应用”，然后单击“确定”。
11. 重新启动（或重新装载）“Audit Secure Logging Server（审计安全日志记录服务器）”，以使更改生效。
12. 单击“配置”>“iManager 服务器”>“配置 iManager”。此时将显示“配置 iManager”页面。
13. 选择“启用 NetIQ 审计”以记录选定的所有事件。
    注意：如果取消选择“启用 NetIQ 审计”，您选择的事件会保留其选中标记，以便在稍后重新激活审计时提醒您之前的自选设置，但选中标记将处于禁用状态（显示为灰色），表示已关闭所有审计。

外观
使用此页可以自定义 iManager 的外观。

标题栏名称
在此文本框中键入您的组织的名称。该名称随之会显示在 Web 浏览器的标题栏中以取代默认文本 NetIQ iManager。

映象
标题栏包含三幅映象：标题背景映象、标题填充映象和标题固定设计映象。自己的映象必须符合界面指定的尺寸。

将这些文件存储在 nps/portal/modules/fw/images 中。在每个映象各自的文本字段中键入其路径。

导航菜单颜色
您可以自定义左侧导航菜单的菜单标题和背景的颜色。

可以键入颜色名称或十六进制数字。键入项可以不区分大小写。单击“重设置”按钮可以将颜色改回默认颜色。有关外观的信息保存在 webapps/nps/WEB-INF/config.xml 中。

日志记录事件

日志记录级别
为万维网服务器调试选择一种日志记录级别：“无日志记录”、“错误”、“警告”或“信息讯息”。

日志记录输出
选择所需的选项，指出要将日志输出发送至标准错误设备、标准输出设备还是 Debug.HTML 文件。日志文件路径和日志文件大小都会显示在此页上。

查看：单击此按钮可以查看日志文件。

清除：单击此按钮可以清除日志文件中的所有数据。“日志文件大小”将重置为 0 字节（零）。

鉴定
鉴定配置会影响 iManager 登录页。

记住登录凭证
如果选择此选项，只需要您的口令。

使用安全 LDAP 进行自动连接
此设置将指定 iManager 是通过 LDAP、SSL 还是 LDAP 明文进行通信。如果不选择此选项，有些插件（例如，动态组和 NMAS™）将无法使用。此设置在注销 iManager 后才会生效。

隐藏登录失败的具体原因
将与鉴定有关的 eDirectory 讯息替换为一般性错误讯息，该讯息显示：登录失败。用户名或口令无效。这有助于阻止未授权的访问。

允许“登录”页提供“树”选择
如果选择此选项，则登录页上就会显示“树”文本框。如果不选择此选项，则必须具有默认的树名，否则无法登录。

无环境登录
无环境登录允许用户在不知道或不了解整个用户对象环境的情况下，仅使用用户名和口令登录。例如，admin.support。

如果树中有多个用户使用相同的用户名，则无环境登录将尝试使用所找到的第一个用户帐户和提供的口令进行登录。在此情况下，用户应该提供登录时的完整环境或限制无环境登录搜索的搜索容器。

可以选择“搜索容器”选项并指定包含用户对象的容器进行登录，也可以选择“从根开始搜索”选项以便从树根搜索，进而实现无环境登录。

• 要搜索的容器
  iManager 为找到特定用户而必须按照所提供的顺序进行搜索的树枝。您可以通过使用“向上”和“向下”箭头重新安排树枝搜索顺序。iManager 按照树枝列表的顺序搜索用户。
• 公共用户名
  默认情况下，iManager 会通过公共访问进行连接，不需要特定的凭证。如有需要，您可以指定一个具有特定凭证的用户，用来执行无环境查找的搜索。如果没有指定用户，将使用 iManager 公共用户。
  
  公共用户名的正确语法是 username.context；例如，admin.novell。
  
  重要：如果指定公共用户，请仔细考虑口令失效设置的问题。如果对公共用户的口令设置了失效，则口令失效时，您无法在登录期间更改口令。
  
• 公共用户口令
  在“公共用户名”中指定的用户口令。口令以未加密的明文格式保存。
• 重键入口令
  重键入以确保准确。

iManager 服务器超时设置

• 如果您希望 iManager 服务器在一段时间后超时，请在相应的字段中分别指定天数、小时数和分钟数。
• 如果您不希望服务器超时，请选择“从不超时”选项。

注销后重定向

通过选择“注销后重定向”选项，您可以指定在注销 iManager 后重定向到的 URL。如果未选择此选项，则单击“退出”会注销 iManager，而且会默认显示“登录”页。

启用：选择此选项可以启用“注销后重定向”功能。

URL：指定注销后重定向到的 URL。

RBS

基于角色的服务 (RBS) 可以指派 eDirectory™ 中的权限来执行任务。为完成特定的事项，您必须拥有 eDirectory 树中的权限。当您向某个用户指派角色时，RBS 将会指派必要的权限来执行该角色的任务。

强制不受限访问
在 iManager 的树中配置 RBS 和创建集合对象后，在每次登录时您都会看到设置为“集合拥有者访问”或“指派的访问”的模式。如果希望绕过 RBS 以查错，则可强制 iManager 使用不受限模式。

重要：选择“强制不受限访问”选项甚至将允许未经授权的用户查看其它用户的所有角色和任务，因此不建议使用此选项。
只有在查错时，才应使用此选项，而且不应将此选项用作长期解决方案。

启用动态组
通过选择“启用动态组”选项，可使 RBS 允许动态组成为某一角色的成员。

注意：一旦该对象有任何角色指派，就无法将组转换成动态组，动态组也无法转回成组。

显示拥有集合中的角色

通过选择此选项，集合拥有者可以查看作为其成员的所有角色和任务。如果不选择，拥有者只能看到他们指派的角色。

单击下拉箭头可以查看以下项目的列表：

• 角色发现域
  表示 iManager 要在树中搜索指派给容器对象的角色的位置。
  • 父：搜索用户的父容器中的角色。
  • 分区：在直至用户的第一个 eDirectory 分区的范围内搜索指派的角色。
  • 根：在整个树中搜索角色。
• 动态组发现域
  表示 iManager 要在树中搜索动态组成员资格的位置。在找到的动态组中选中角色成员资格。
  • 父：在直至父容器的范围内搜索动态组。
  • 分区：在直至第一个 eDirectory 分区的范围内搜索动态组。
  • 根：在整个树中（直至树根）搜索动态组。
• 动态组搜索类型
  表示要为角色成员资格搜索的动态组类型。
  • 只搜索动态组对象：搜索 dynamicGroup 类类型的对象。
  • 动态组对象和辅助类：搜索 dynamicGroup 类类型的对象，或以 dynamicGroupAux 类扩展的对象。包括以后转换成动态组的“组”对象。
• RBS 树列表
  当集合拥有者或角色成员进行鉴定时，将使用 eDirectory 树的名称自动填充此设置。这样能有效地跟踪其中配置了 RBS 的 eDirectory 树。如果 RBS 已从某个 eDirectory 树中去除，请去除此列表中该树的项，以返回“未指派访问”模式。

插件下载

NetIQ 插件模块下载设置
“NetIQ 插件模块下载设置”窗格提供下列下载选项，以便您及时了解更新的插件。

在下载站点上查询新的 NetIQ 插件模块 (NPM)。

选择下列选项之一，下载 NetIQ 插件模块。

• Novell 下载站点：选择此选项，从 Novell 下载站点下载插件模块。
• 自定义下载站点：选择此选项，从自定义站点下载插件模块。在“下载 URL”字段中指定自定义站点的 URL。

显示每个可用插件：此选项显示所选站点中的所有可用插件。

只显示已安装插件的更新：此选项只显示所选站点中的可用更新。

“可用 NetIQ 插件”页将显示一个 NPM 列表。

代理
如果 iManager 服务器在防火墙代理下运行，则客户程序可以通过代理服务器访问因特网。仅支持 HTTP 代理。这是万维网代理 HTTP。要通过代理下载插件，请填充下列字段：

启用代理：选择此选项可以启用“代理”功能。
代理主机：指定代理主机的 IP 地址。
代理端口：指定代理的端口号。
用户名：指定代理用户名。
口令：指定代理口令。
重新键入口令：再次指定代理口令。

杂项

启用 [this]
您可以放心地忽略此选项。将“启用 [this]”添加到 iManager，以便 NetIQ 小组能够修改自己的对象。[this] 是树中能够启用特定自我管理功能的一个属性。如果启用了 [this]，则树中的所有服务器必须为 8.6.2 更高版本。

eGuide URL
为 eGuide 指定 URL。此项用于标题的 eGuide 起动按钮，以及 eGuide 角色和任务管理任务。它必须是完整的 URL（例如，https://my.dns.name/eGuide/servlet/eGuide），或关键字 EMFRAME_SERVER。使用 EMFRAME_SERVER 能使 eMFrame 在它所处的同一服务器上查找 eGuide。

证书

使用“证书”选项卡，可以根据安全要求选择加密法级别。

证书公共密钥算法

iManager 可提供下列证书：

• RSA - 该证书使用 2048 RSA 密钥对。
• ECDSA 256 - 该证书使用包含曲线 secp256r1 的 ECDSA 密钥对。
• ECDSA 384 - 该证书使用包含曲线 secp384r1 的 ECDSA 密钥对。

加密法套件

根据您选择的证书，iManager 允许您配置以下加密法套件。对于 ECDSA 证书，iManager 只允许使用套件 B 加密法。

RSA

• 无 - 允许使用任何类型的加密法。
  
• 低位 - 允许使用 56 位或 64 位加密法。
  
• 中位 - 允许使用 128 位加密法。
  
• 高位 - 允许使用大于 128 位加密法。
  

ECDSA 256

• 仅 SUITEB 128 - 允许使用 128 位加密法。
  

ECDSA 384

• SUITEB 128 - 允许使用 128 位加密法或 256 位加密法。
  
• SUITEB 192 - 允许使用 256 位加密法。
  

默认情况下，RSA 处于选中状态，加密法级别设置为“无”。如果您更改了证书，请确保对 Tomcat 服务器进行重启以使更改生效。

有关如何在 Mozilla Firefox 中更改加密法级别的更多信息，请参阅《NetIQ iManager 管理指南》的证书部分 。

有关 NetIQ 商标的信息，请参见 http://www.netiq.com/company/legal/。