NetIQ® iManager Felügyeleti útmutató 2016. január
Jogi közlemény A jogi megjegyzésekkel, védjegyekkel, jogi nyilatkozatokkal, garanciákkal, szabadalmakra vonatkozó szabályokkal, FIPSkompatibilitással, exportálási és egyéb felhasználási korlátozásokkal, illetve az USA kormányát megillető jogokkal kapcsolatban lásd: https://www.netiq.com/company/legal/. Copyright © 2016 NetIQ Corporation, a Micro Focus leányvállalata. Minden jog fenntartva.
Tartalom A könyv és a könyvtár rövid bemutatása A NetIQ vállalatról
9 11
1 Áttekintés
15
2 Az iManager elérése
17
2.1 2.2 2.3 2.4 2.5
A kiszolgálóalapú iManager konzol elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Az iManager-munkaállomás elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 A hozzáférési üzemmódok ismertetése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Hitelesítés EBA-t támogató eDirectory kiszolgálón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Több eDirectory-fa kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3 Navigálás az iManager kezelőfelületén 3.1
3.2
23
Az iManager kezelőfelülete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.1.1 Fejléckeret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1.2 Navigációs keret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.1.3 Tartalomkeret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Különleges karakterek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4 Objektumok tallózása 4.1
4.2
27
Az Objektum nézet használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.1.1 Fa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.1.2 Tallózás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.1.3 Keresés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Az objektumválasztó használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.2.1 Tallózás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.2 Keresés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5 Szerepek és feladatok 5.1 5.2
5.3
37
Navigálás a Szerepek és feladatok nézetben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5.1.1 Objektumok kijelölése és szűrése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Címtárfelügyelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 5.2.1 Objektum másolása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 5.2.2 Objektum létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5.2.3 Objektum törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5.2.4 Objektum módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 5.2.5 Objektum áthelyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5.2.6 Objektum átnevezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Csoportok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5.3.1 Csoport létrehozása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.3.2 Csoport törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.3.3 Csoport módosítása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5.3.4 Csoporttagok módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.3.5 Csoport áthelyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.3.6 Csoport átnevezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.3.7 Saját csoportok megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Tartalom
3
5.4
5.5
5.6
5.7
5.8
Információs pult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.4.1 Kizárás törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.4.2 Felhasználó létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.4.3 Jelszó beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Partíciók és replikák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.5.1 Partíció létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.5.2 Partíció-összefésülés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.5.3 Partíció áthelyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 5.5.4 Replikaadatok megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 5.5.5 Partícióadatok megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 5.5.6 A Szűrt replika varázsló használata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Jogosultságok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.6.1 Az örökölt jogosultságok szűrőjének módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.6.2 Meghatalmazotti jogok módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.6.3 Más objektumokra vonatkozó jogok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5.6.4 Érvényes jogok megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Séma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5.7.1 Attribútum hozzáadása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5.7.2 Attribútumadatok megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5.7.3 Osztály adatainak megtekintése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.7.4 Attribútum létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.7.5 Osztály létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.7.6 Attribútum törlése. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5.7.7 Osztály törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5.7.8 Séma kiterjesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5.7.9 Objektum kiterjesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Felhasználók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.8.1 Felhasználó létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.8.2 Felhasználó törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5.8.3 Fiók letiltása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5.8.4 Fiók engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5.8.5 Felhasználó módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 5.8.6 Felhasználó áthelyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 5.8.7 Felhasználó átnevezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6 Az iManager konfigurálása és testreszabása 6.1
6.2
6.3
6.4
4
57
szerep alapú szolgáltatások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 6.1.1 RBS-objektumok az eDirectory szolgáltatásban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 6.1.2 Az RBS telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 6.1.3 Az RBS eltávolítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 RBS-beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.2.1 A Szerep fül . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 6.2.2 A Feladat fül. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.2.3 A Tulajdonságjegyzék fül . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.2.4 A Modul fül. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 6.2.5 A Kategória fül . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 6.2.6 Plug-in Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 6.2.7 Tagtársítások szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.2.8 Tulajdonosgyűjtemények szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 RBS-jelentéskészítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.3.1 Jelentések létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.3.2 Jelentések használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 iManager-kiszolgáló . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.4.1 Az iManager beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.4.2 Biztonság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.4.3 Megjelenés és használat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 6.4.4 Események naplózása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 6.4.5 Kijelentkezés után átirányítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
NetIQ iManager – felügyeleti útmutató
6.5
6.6
6.7
6.8
6.9
6.4.6 Hitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 6.4.7 RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.4.8 Beépülő modul letöltése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 6.4.9 Egyéb. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.4.10 Tanúsítvány . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Objektum-létrehozási lista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6.5.1 Objektumosztály hozzáadása a létrehozási listához . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6.5.2 Objektumosztály törlése a létrehozási listáról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Beépülő modulok telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6.6.1 Elérhető NetIQ beépülő modulok. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 6.6.2 Telepített NetIQ beépülő modulok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Beépülő modulok letöltése és telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 6.7.1 Ha be van állítva az RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 6.7.2 Beépülő modul eltávolítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.7.3 A beépülő modulok letöltési helyének testreszabása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 E-mail-értesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 6.8.1 Levelezőkiszolgáló beállításai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 6.8.2 Értesítés feladateseményről . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Nézetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 6.9.1 iManager-nézetek megjelenítése és elrejtése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 6.9.2 Az Identity Manager nézet, mint alapértelmezett nézet engedélyezése vagy letiltása az iManager konzolban azokon a kiszolgálókon, amelyekre telepítve van az Identity Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
7 Beállítások 7.1 7.2 7.3 7.4 7.5
91
Kedvencek kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Objektumválasztó. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Objektum nézet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Kezdőnézet beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Nyelv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8 Hibaelhárítás 8.1
8.2 8.3 8.4 8.5 8.6 8.7
95
Hitelesítési problémák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 8.1.1 HTTP 404-es hibák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.1.2 HTTP 500-as hibák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.1.3 601-es hibaüzenetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.1.4 622-es hibaüzenetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 8.1.5 632-es hibaüzenetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8.1.6 634-es hibaüzenetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8.1.7 669-es hibaüzenetek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8.1.8 Fanév mező . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 8.1.9 Bejelentkezés replika nélküli kiszolgálóra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.1.10 Sikertelen hitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.1.11 Lejárt jelszavakra vonatkozó információ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 8.1.12 Környezet nélküli bejelentkezés helyettesítő objektumosztályok és/vagy helyettesítő attribútumok használatával . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 NCP-kiszolgálóobjektumok elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Felhasználói fiókok törlése és létrehozása ugyanazzal a névvel (Windows XP/2000) . . . . . . . . . . 101 A DNS 630-as hibaüzenet jelenik meg, ha a létrehozott tulajdonságjegyzék nevében érvénytelen karakterek szerepelnek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 eDirectory-karbantartási feladatokkal kapcsolatos hibák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Hibakeresési üzenetek engedélyezése a telepítéshez és konfiguráláshoz . . . . . . . . . . . . . . . . . . . 101 A rendszer nem szinkronizálja automatikusan az előzményeket több egyidejű felhasználói bejelentkezés esetén . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Tartalom
5
8.8 8.9 8.10
8.11 8.12 8.13
8.14 8.15 8.16 8.17 8.18 8.19 8.20 8.21 8.22 8.23
Az iManager nem működik a Groupwise 7.0 WebAccess telepítése után (Windows Server 2000/2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Hiányzó attribútum, objektum és érték miatti hibák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Hiányzó szerepek és feladatok a Konfigurálás nézetben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.10.1 Lehetséges hiányzó szerepek vagy feladatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 8.10.2 Annak a lehetséges okai, hogy miért nem jogosult felhasználó . . . . . . . . . . . . . . . . . . . . 103 Az eDirectory és az iManager futtatása egyazon számítógépen (csak Windows rendszeren) . . . . 103 Több beépülő modul telepítésekor „A szolgáltatás nem érhető el” üzenet jelenik meg . . . . . . . . . . 104 Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 8.13.1 A Tomcat elindítása és leállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 8.13.2 Tomcat-portok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 „Az univerzális jelszó állapota nem állapítható meg” hiba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Az iManager-munkaállomás nem jelenít meg bizonyos információkat. . . . . . . . . . . . . . . . . . . . . . . 106 Néha nem működik a Frissítés gomb. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Az iManager beépülő moduljainak telepítése lefagy, vagy nem megy végbe megfelelően . . . . . . . 107 Bejelentkezési probléma a fa IP-címének változásakor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 A Java-halommemória elégtelen mérete sikertelen bejelentkezést eredményez . . . . . . . . . . . . . . 109 Az iManager-munkaállomás böngészőjének bezárása után Java-hibaüzenetek jelennek meg . . . 109 Az iManager és az LDAP eltérő dátumtartományokat használ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Dinamikus csoport módosításakor nem sikerül biztonságos SSL LDAP-környezetet létrehozni . . . 110 Az eDirectory iManager beépülő modulja nem működik, ha az LDAP-kiszolgáló harmadik fél hitelesítésszolgáltató tanúsítványát használja. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
9 iManager-események naplózása 9.1 9.2 9.3 9.4
A Novell-naplózás engedélyezése az iManager konzolban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Az XDAS-naplózás engedélyezése az iManager konzolban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Az XDAS Audit beállítása az iManager programhoz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Naplózás konfigurálása az iManager programhoz harmadik fél tanúsítványaival . . . . . . . . . . . . . . 115
10 Ajánlott eljárások és gyakori kérdések 10.1 10.2 10.3 10.4
10.5 10.6
10.7 10.8
6
117
Biztonsági mentési és visszaállítási lehetőségek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Együttes használat az iManager 2.x és a szerepalapú szolgáltatások korábbi verzióival . . . . . . . . 117 Gyűjtemények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Sikertelen telepítések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 10.4.1 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 10.4.2 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Magas rendelkezésre állás: az iManager futtatása fürtözött környezetben . . . . . . . . . . . . . . . . . . . 119 Teljesítményhangolás. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 10.6.1 Dinamikus csoportok használata az RBS-szel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 10.6.2 Szerep-hozzárendelések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 iManager AppArmor-profil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 További Tomcat-memória kiosztása Windowsban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
A Az iManager programmal kapcsolatos biztonsági problémák A.1 A.2 A.3 A.4 A.5 A.6 A.7
111
123
Biztonságos LDAP-tanúsítványok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Önállóan aláírt tanúsítványok. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Engedélyezett felhasználók és csoportok az iManager konzolban . . . . . . . . . . . . . . . . . . . . . . . . . 125 A felhasználónév felfedezésének megakadályozása. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Tomcat-beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Titkosított attribútumok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Biztonságos kapcsolatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
NetIQ iManager – felügyeleti útmutató
B NetIQ beépülő modulok
129
Tartalom
7
8
NetIQ iManager – felügyeleti útmutató
A könyv és a könyvtár rövid bemutatása A Felügyeleti útmutató fogalmi információkat tartalmaz a NetIQ iManager (iManager) termékkel kapcsolatban. A könyv terminológiai meghatározásokat és megvalósítási forgatókönyveket tartalmaz. A NetIQ iManager – felügyeleti útmutató legfrissebb verziója a NetIQ iManager dokumentációit tartalmazó webhelyen (https://www.netiq.com/documentation/imanager-3/) megtalálható angol nyelvű verzió.
Kiknek készült az útmutató? A jelen útmutató hálózati rendszergazdák számára készült.
A könyvtárban megtalálható egyéb információk A könyvtárban az alábbi információforrások találhatók meg: Telepítési útmutató Az iManager telepítési lépéseinek ismertetése. A könyv hálózati rendszergazdák számára készült.
A könyv és a könyvtár rövid bemutatása
9
10
NetIQ iManager – felügyeleti útmutató
A NetIQ vállalatról Globális jelenlétű szoftverfejlesztő társaságunk főként a számítógépes munkakörnyezetekre leginkább jellemző három területen – a változás, az összetettség és a kockázat terén – felmerülő feladatok kezelésére kínál megoldásokat.
Vállalatunk nézőpontja A változáshoz való alkalmazkodás, az összetettség és a kockázatok kezelése nem új feladat Mégpedig annyira nem újak, hogy talán ezek a változók jelentik a legnagyobb akadályt a fizikai, a virtuális és a felhőalapú számítógépes környezetek biztonságos felmérésének, figyelésének és kezelésének szabályozhatósága terén. A létfontosságú vállalati szolgáltatások hatékonyabb és gyorsabb üzemeltetése Meggyőződésünk, hogy minden informatikai szervezetnek a lehető legnagyobb mértékű szabályozhatóságra van szüksége ahhoz, hogy időszerűen és költséghatékonyan tudja biztosítani szolgáltatásait. Ahogy a szervezet változik és a kezelésére felhasznált technológiák ezzel párhuzamosan szükségszerűen egyre összetettebbek lesznek, a szervezetre egyre nagyobb nyomást gyakorolnak az olyan állandó feladatok, mint a változás és az összetettség kezelése.
Vállalatunk filozófiája Amit nyújtunk, nem csupán szoftver – intelligens megoldás Annak érdekében, hogy megbízható szabályozási megoldást nyújthassunk, első lépésként arra törekszünk, hogy megismerjük azokat a valós helyzeteket, amelyekben az Önéhez hasonló informatikai szervezetek működnek nap mint nap. Ez az egyetlen módja annak, hogy olyan gyakorlatban alkalmazható, intelligens informatikai megoldásokat fejleszthessünk ki, amelyek igazolt és mérhető eredményeket biztosítanak. Ez pedig jóval lényegesebb számunkra, mint hogy csupán szoftvereket adjunk el. A mi küldetésünk az Ön sikerének elősegítése Törekvéseink középpontjában mindenekelőtt az Ön sikere áll. Termékeink kialakításától kezdve az Ön szervezeténél való bevezetésükig folyamatosan szem előtt tartjuk, hogy olyan informatikai megoldásokat szeretne, amelyek a lehető legjobban együttműködnek a meglévő eszközeivel, hogy a bevezetést követően is igényt tart a folyamatos támogatásra és oktatásra, valamint hogy olyan fejlesztőkre van szüksége, akikkel valóban könnyű együtt dolgozni. A lényeg mindebben, hogy az Ön sikere a mi sikerünk is.
Megoldásaink Azonosság- és hozzáférés-szabályozás Hozzáférés-kezelés Biztonságkezelés
A NetIQ vállalatról
11
Rendszer- és alkalmazáskezelés Terheléskezelés Szolgáltatáskezelés
Értékesítési ügyfélszolgálatunk elérhetőségei A termékekkel, árakkal és szoftverfunkciókkal kapcsolatos kérdéseivel forduljon helyi partnercégünkhöz. Ha erre nincs lehetősége, keresse fel értékesítési tanácsadó munkatársainkat. Elérhetőségek világszerte:
www.netiq.com/about_netiq/officelocations.asp
Az Egyesült Államokban és Kanadában:
1-888-323-6768
E-mail:
[email protected]
Webhely:
www.netiq.com
A technikai támogatás elérhetőségei Ha valamely termékünkkel kapcsolatos konkrét problémát szeretne bejelenteni, forduljon technikai támogatási munkatársainkhoz. Elérhetőségek világszerte:
www.netiq.com/support/contactinfo.asp
Észak- és Dél-Amerikában:
1-713-418-5555
Európában, a Közel-Keleten és Afrikában:
+353 (0) 91-782 677
E-mail:
[email protected]
Webhely:
www.netiq.com/support
A dokumentációhoz kapcsolódó támogatás elérhetősége Fontos számunkra, hogy olyan dokumentációt nyújtsunk, amellyel Ön teljes mértékben elégedett lehet. Ha javaslata van arra, hogyan tökéletesíthetnénk dokumentumainkat, kattintson az Add Comment (Megjegyzés hozzáadása) hivatkozásra a dokumentációs anyagok www.netiq.com/ documentation címen megtalálható HTML-verzióiban az oldalak alján. A javaslatokat e-mailben is elküldheti nekünk a következő címre:
[email protected]. Észrevételeit szívesen vesszük és előre is köszönjük!
Bekapcsolódás az online felhasználóközösségbe A NetIQ vállalat Qmunity nevű online közössége olyan, együttműködésre alapuló hálózat, amelyen keresztül kapcsolatba léphet a szakterületén dolgozó más felhasználókkal és a NetIQ szakértőivel. Azáltal, hogy közvetlenül hozzáférhetővé teszi az információt, hasznos hivatkozásokat nyújt a
12
NetIQ iManager – felügyeleti útmutató
megoldandó problémákhoz, és a NetIQ szakértőit is elérhető közelségbe hozza. A Qmunity biztosítja Önnek mindazokat az ismereteket, amelyekkel kiaknázhatja a meglévő informatikai eszközeiben rejlő összes lehetőséget. A részletekért látogasson el a http://community.netiq.com webhelyre.
A NetIQ vállalatról
13
14
NetIQ iManager – felügyeleti útmutató
1
Áttekintés
1
A NetIQ iManager egy olyan webalapú felügyeleti konzol, amellyel biztonságos, testre szabott módon érheti el a hálózati felügyeleti eszközöket és tartalmat szinte bárhonnan, ahol rendelkezésére áll internet-hozzáférés és egy webböngésző. Az iManager az alábbi szolgáltatásokat nyújtja: A NetIQ eDirectory objektumainak, sémáinak, partícióinak és replikáinak felügyelete egyetlen helyről Számos más hálózati erőforrás felügyelete egyetlen helyről Sok egyéb NetIQ- és Novell-termék kezelése iManager beépülő modulokkal szerep alapú szolgáltatások (RBS) delegált felügyelethez Az iManager egy webalapú eszköz, ezért az ügyfélalapú felügyeleti eszközökkel szemben számos előnye van: A verziófrissítések az összes adminisztratív felhasználó számítógépén egyszerre telepíthetők a kiszolgálóról Az iManager megváltozott megjelenése és funkciói azonnal elérhetők minden adminisztratív felhasználó számára Nincs szükség további felügyeleti portok megnyitására a távoli hozzáféréshez. Az iManager a szabványos 80-as, illetve 443-as HTTP-portot használja. Az iManager konzollal elkerülheti a nem szabványos HTTP-portokat. Nincs szükség felügyeleti ügyfélszoftver letöltésére és fenntartására. Nincs szükség az ügyfélszoftver és a kiszolgálószoftver szinkronizálására.
Áttekintés
15
16
NetIQ iManager – felügyeleti útmutató
2
Az iManager elérése
2
Az iManager konzolt és az általa biztosított valamennyi szolgáltatást bármely támogatott webböngészővel elérheti. Az iManager konzolhoz hozzáférhet a felsorolásban nem szereplő webböngészővel is, de a hivatalosan nem támogatott böngészők használatakor nem garantáljuk az összes funkció működőképességét. FONTOS: A jelen verzió által támogatott webböngészőkről a NetIQ iManager telepítési útmutatójában tájékozódhat. Bizonyos iManager-varázslók és a súgó működéséhez elengedhetetlen a webböngészőben az előugró ablakok engedélyezése. Ha külön alkalmazással blokkolja az előugró ablakokat, tiltsa le a blokkolást az iManager használata közben, vagy engedélyezze az iManager programot szolgáltató állomás számára az előugró ablakok megjelenítését. Ha úgy állította be a webböngészőt, hogy ne jelenítse meg a webhelyek képeit, az iManager kezelőfelülete áttekinthetetlenné és használhatatlanná válhat. Az iManager konzol elérése az iManager verziójától (kiszolgálóalapú vagy munkaállomás) és az azt futtató platformtól függően változik. Az iManager konzol telepítéséről a NetIQ iManager – telepítési útmutatóban olvashat bővebben. Ez a szakasz a következő témaköröket tartalmazza: „A kiszolgálóalapú iManager konzol elérése”, 2.1. szakasz (17. oldal) „Az iManager-munkaállomás elérése”, 2.2. szakasz (18. oldal) „A hozzáférési üzemmódok ismertetése”, 2.3. szakasz (18. oldal) „Hitelesítés EBA-t támogató eDirectory kiszolgálón”, 2.4. szakasz (19. oldal) „Több eDirectory-fa kezelése”, 2.5. szakasz (20. oldal)
2.1
A kiszolgálóalapú iManager konzol elérése A kiszolgálóalapú iManager konzol elérése: 1 Írja be a következők valamelyikét a támogatott webböngésző URL-címmezőjébe.
Az iManager elérése a Novell Open Enterprise Server (OES) platformon: Biztonságos URL-cím: https://
/nps/iManager.html Az iManager elérése nem OES platformon: Biztonságos URL-cím: https://:8443/nps/iManager.html MEGJEGYZÉS: Az iManager által támogatott webkiszolgálók: Tomcat 5 és 5.5. Nem OES platformokon meg kell adnia a Tomcat-portot az URL-címben. A példákban a IPv4- és IPv6-cím egyaránt lehet. Amikor például az iManager konzolt az OES platformon éri el, az URL a következők bármelyike lehet: IPv4: https://127.0.0.1/nps/iManager.html IPv6: https://[2001:db8::6]/nps/iManager.html
Az iManager elérése
17
Bár egyes platformokon működhetnek kismértékben eltérő iManager URL-címek, a NetIQ a konzisztencia miatt ezeknek az URL-címeknek a használatát ajánlja. 2 Jelentkezzen be a felhasználónév, jelszó és fanév megadásával.
2.2
Az iManager-munkaállomás elérése Az iManager-munkaállomás elérése: 1 Futtassa az iManager-munkaállomást elindító megfelelő parancsfájlt.
Linux: Lépjen az imanager/bin könyvtárba, és futtassa az ./iManager.sh parancsfájlt. MEGJEGYZÉS: Ha a későbbiekben nem gyökérszintű felhasználóként szeretné futtatni az iManager-munkaállomást, akkor az első alkalommal se gyökérszintű felhasználóként futtassa. Windows: Futtassa az imanager\bin\iManager.bat parancsfájlt. 2 Jelentkezzen be a felhasználónév, jelszó és fanév megadásával.
2.3
A hozzáférési üzemmódok ismertetése Az iManager konzol indításakor a kapott jogosultságainak megfelelő hozzáférési üzemmódot kap. Az iManager konzol három hozzáférési üzemmódot biztosít. Az aktuális üzemmód megjelenik az iManager kezdőlapján. Korlátlan hozzáférés: Ez az RBS konfigurálása előtti alapértelmezett üzemmód. Ebben az üzemmódban valamennyi telepített szerep és feladat megjelenik. Bár minden szerep és feladat látható, a hitelesített felhasználó csak a szükséges jogosultságok megléte esetén használhatja a feladatokat. A config.xml fájlhoz hozzáadhat egy beállítást, amellyel abban az esetben is kikényszerítheti a korlátlan hozzáférést, ha szerep alapú szolgáltatások vannak telepítve. Ha korlátlan hozzáférést szeretne kikényszeríteni minden felhasználó számára, adja hozzá ezt a beállítást a \webapps\nps\WEB-INF\config.xml fájlhoz, majd indítsa újra a Tomcat kiszolgálót: <setting>
További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. MEGJEGYZÉS: Ha az iManager konzolt korlátlan üzemmódban használja, általában a következő üzenetet láthatja az iManager kezdőlapján: Megjegyzés: Néhány szerep és feladat nem elérhető. Ha a Részletek lehetőségre kattint, több feladatnál is megjelenhet A jelenlegi hitelesítők nem támogatják üzenet, annak ellenére, hogy a feladatok működése megfelelő. Ez az üzenet félrevezető, és az iManager az RBS konfigurálása után eltávolítja az üzenetet. Hozzárendelt hozzáférés: Ez az üzemmód, amelyben csak a hitelesített felhasználóhoz hozzárendelt szerepek és feladatok jelennek meg, teljes mértékben kihasználja a szerep alapú szolgáltatások által biztosított technológia előnyeit.
18
NetIQ iManager – felügyeleti útmutató
Gyűjteménytulajdonos: Ebben az üzemmódban a gyűjtemény összes szerepe és feladata megjelenik. A gyűjtemény tulajdonosaként akkor is használhatja a gyűjteményhez tartozó összes szerepet és feladatot, ha meghatározott szerepek nincsenek hozzárendelve Önhöz. Az üzemmód használatához telepítve kell lennie a szerep alapú szolgáltatásoknak. Ha egy csoportot vagy felhasználót gyűjteménytulajdonosként vesz fel, azzal RBS-jogosultságokat még nem rendel hozzá a csoporthoz vagy felhasználóhoz. Jogok hozzárendeléséhez az RBS-szerepeket explicit módon kell hozzárendelnie, vagy meghatalmazottakat kell kineveznie. MEGJEGYZÉS: Ha egy csoporthoz gyűjtemény van hozzárendelve, a csoport minden tagja a gyűjtemény tulajdonosává válik. A gyűjtemény tulajdonosa megtekintheti az összes szerepet és feladatot, függetlenül a szereptagságtól.
2.4
Hitelesítés EBA-t támogató eDirectory kiszolgálón EBA-t támogató eDirectory EBA-t támogató iManager konzolról történő eléréséhez az EBA hitelesítésszolgáltatói tanúsítványnak az iManager konzol EBA megbízható tanúsítványok tárolójában kell lennie. Az .eba.p12 fájl tartalmazza a fa EBA hitelesítésszolgáltatói tanúsítványát. Az EBA hitelesítésszolgáltatói tanúsítvány iManager konzolt futtató számítógépre történő letöltéséhez használja az ebaclientinit parancsot. Az ebaclientinit egy, az iManager konzol telepítőcsomagjába integrált új parancssori segédprogram. Az ebaclientinit futtatásakor a segédprogram létrehoz egy.eba.p12 nevű fájlt az adott felhasználó és fa számára. Ez egy rejtett fájl, amely Linux rendszerben a felhasználó kezdőkönyvtárában ($HOME), Windows rendszerben pedig a felhasználó profilkönyvtárában (%USERPROFILE%) található. FONTOS: Az EBA megköveteli az idő szinkronizálását az összes EBA-t támogató kiszolgálón és ügyfélen az eDirectory-környezetben. Ha nem szinkronizálja az időt, előfordulhat, hogy az EBA nem működik megfelelően. A következő táblázat az ebaclientinit segédprogramban elérhető parancssori kapcsolókat tartalmazza: Parancssori kapcsolók
Leírás
--user-dn
A felhasználó megkülönböztető neve (DN) pontformátumban.
--password
Az EBA-t használó felhasználó jelszava.
--address
A fa NCP-kiszolgálójának címe. A szintaxis a következő: :<port>.
Például: ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524 A platformtól függően az ebaclientinit segédprogramot a következő módszerek valamelyikével futtathatja: Linux: Az iManager Linuxon novlwww felhasználóként fut. Ezért az ebaclientinit segédprogramot novlwww felhasználóként futtassa a következő paranccsal: sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/ var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls
Az iManager elérése
19
Windows: Hajtsa végre a következő műveleteket: 1 Jelentkezzen be az iManager segédprogramba bármilyen felhasználóként a Rendszer
felhasználó kivételével. 2 Futtassa az ebaclientinit segédprogramot a következő helyről: C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe -mechanism ebatls.
Ezzel az .eba.p12 fájl a felhasználó kezdőkönyvtárába kerül. 3 Másolja az .eba.p12 fájlt a C:\Windows\System32\config\systemprofile könyvtárba.
Erre azért van szükség, mert az iManager Rendszer felhasználóként fut Windowson. Az ebaclientinit segédprogramot a psexec eszközzel is futtathatja Rendszer felhasználóként. 1 A psexec eszközt a Microsoft letöltési weblapjáról töltheti le. 2 A parancssorban lépjen a psexec eszközt tartalmazó könyvtárba, és futtassa a következő
parancsot: psexec -i -s -d cmd 3 Futtassa a parancssorban az ebaclientinit segédprogramot a következő paranccsal: C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe -mechanism ebatls
MEGJEGYZÉS: Ha az iManager nem találja az EBA hitelesítésszolgáltatói tanúsítványt a fához az .eba.p12 fájlban, vagy ha nincs .eba.p12 fájl, az iManager EBA beépülő modulja kéri az sadmin hitelesítő adatait az EBA hitelesítésszolgáltatóként működő kiszolgálóhoz. A NetIQ azonban nem javasolja az sadmin használatát.
2.5
Több eDirectory-fa kezelése Az iManager konzol egyszerű módot kínál több eDirectory-fa kezelésére egyetlen kezelőfelületről. Kiválaszthatja azt a fát, amelyhez csatlakozni szeretne, és válthat is azon fák között, amelyekbe be van jelentkezve. Miután csatlakozott egy fához, az iManager elérhetővé teszi a fára jellemző tartalmakat, például a fa felügyeletét és a kapcsolódó feladatokat, valamint lehetővé teszi a szükséges beállítások konfigurálását. Az egyéb konfigurációs beállításoknál az alapértelmezett beállításokra támaszkodik. Egyszerre akár 20 eDirectory-fába is bejelentkezhet. Több eDirectory-kapcsolat kezelése: 1 Indítsa el az iManager konzolt. 2 Jelentkezzen be egy eDirectory-fába rendszergazdaként, a megfelelő jogosultságokkal.
A sikeres bejelentkezést követően az iManager konzol megjeleníti a Kapcsolatok kezelése ikont az iManager kezelőfelületének felső sávjában, a Súgó ikon bal oldalán. 3 Kattintson a Kapcsolatok kezelése ikonra.
Az oldalon megjelenik a bejelentkezési űrlap. Ha más fákhoz is csatlakozott, az iManager felsorolja a bejelentkezett fákat az Aktív kapcsolatok területen. 4 Ha egy másik fába szeretne bejelentkezni, válassza ki azt a listából, és adja meg a
bejelentkezési hitelesítő adatokat és a fa IP-címét vagy nevét. 5 Kattintson a Bejelentkezés gombra.
20
NetIQ iManager – felügyeleti útmutató
Megjelenik az iManager konzol kezdőlapja. Ha szeretné ellenőrizni, hogy az oldalon a megfelelő információk jelennek-e meg a fához, nézze meg az oldal bal felső részét. Látni fogja a fába való bejelentkezéskor használt felhasználónevet és a fa nevét, amelybe bejelentkezett. 6 Ismételje meg a 3–5. lépéseket mindegyik fánál, amelynek kezelni szeretné a kapcsolatait. 7 Ha ki szeretne jelentkezni egy olyan fából, amelybe be van jelentkezve, kattintson a kijelentkezés ikonjára, amely az Aktív kapcsolatok listában található fa bal oldalán.
Az iManager elérése
21
22
NetIQ iManager – felügyeleti útmutató
3
Navigálás az iManager kezelőfelületén
3
Ez a szakasz azt ismerteti, hogy miként navigálhat a NetIQ iManager kezelőfelületén. „Az iManager kezelőfelülete”, 3.1. szakasz (23. oldal) „Különleges karakterek”, 3.2. szakasz (26. oldal)
3.1
Az iManager kezelőfelülete Az iManager konzol kezelőfelülete három fő területből vagy keretből áll. Fejléckeret Navigációs keret Tartalomkeret ábra 3-1 Az iManager kezelőfelülete az alapértelmezett Szerepek és feladatok nézettel
MEGJEGYZÉS: Amikor az iManager konzolon navigál, csak a kezelőfelület gombjait használja. Ne használja a webböngésző navigációs gombjait (a Vissza, a Tovább stb. gombokat). Az alapértelmezett nézet módosítása a beállításoknál: „Kezdőnézet beállítása”, 92. oldal.
Navigálás az iManager kezelőfelületén
23
3.1.1
Fejléckeret A fejléckeret egy nagy, statikus keret, amely az iManager konzol kezelőfelületének tetején található. Ikonokat tartalmaz, amelyekkel az iManager különböző nézetei érhetők el. A nézet navigációs és tartalomkeretekből tevődik össze, és meghatározott felügyeleti funkciókat biztosít. Az alapértelmezett Szerepek és feladatok nézetben például kiválaszthat egy adott feladatot a navigációs keretben, majd elvégezheti a kiválasztott feladatot a tartalomkeretben. ábra 3-2 iManager-fejléckeret
Az iManager konzol fejléckerete a következő ikonokat tartalmazza:
Kezdőlap: a tartalomkeret visszaállítása az alapértelmezett nézetre (a 3-1. ábrának megfelelően). Kilépés: kilépés az összes eDirectory-fából.
Szerepek és feladatok: ebben a nézetben azok a feladatok jelennek meg a navigációs keretben, amelyeknek Ön jogosult az elvégzésére. Ez az iManager alapértelmezett nézete. További információ: 5. Fejezet, „Szerepek és feladatok”, 37. oldal.
Objektumok megtekintése: ez a nézet objektumböngészési és -keresési funkciókat tartalmaz, így többek között egy, a ConsoleOne-ban használthoz hasonló fanézetet is. További információ: 4. Fejezet, „Objektumok tallózása”, 27. oldal.
Konfiguráció: ez a nézet szerep alapú szolgáltatásokat, iManager kiszolgálót, Objektumlétrehozási listát, beépülőmodul-telepítési lehetőséget, valamint e-mail-értesítést és nézeteket tartalmaz, amelyek mindegyikét az igények szerint konfigurálhatja.
Kedvencek: ebben a nézetben a Beállítások > Kedvencek lapon kiválasztott leggyakoribb feladatok jelennek meg.
Beállítások: ebben a nézetben adhatja meg a leggyakoribb feladatok beállítását, az Objektumválasztó megjelenítési módját, az Objektum nézet megjelenítési módját, valamint azt, hogy milyen nézet legyen látható, miután bejelentkezett az iManager konzolba, és hogy milyen nyelven jelenjen meg a konzol.
Kapcsolatok kezelése: ebben a nézetben jelennek meg azok az eDirectory-fák, amelyekbe bejelentkezett.
Súgó: az aktuális tartalomkeretnek megfelelő környezetfüggő súgó megjelenítése.
Ezenkívül a rendszer a fejléckeretben azonosítja az aktuális hitelesített felhasználót és a fanevet az iManager konzolon a bal felső sarokban. Az iManager konzol alapértelmezett nézetének megváltoztatásáról információt a következő szakaszban talál: 6. Fejezet, „Az iManager konfigurálása és testreszabása”, 57. oldal.
24
NetIQ iManager – felügyeleti útmutató
3.1.2
Navigációs keret A navigációs keret az iManager konzol kezelőfelületének bal oldalán található. A jelenleg kiválasztott nézettel kapcsolatos feladat- és funkcióbeállításokat jelenít meg. Az alapértelmezett Szerepek és feladatok nézetben például azok a feladatok jelennek meg, amelyeknek Ön jogosult az elvégzésére. A feladatok kategóriákba vannak rendezve. A kategóriák és feladatok listája a telepített beépülő moduloktól és az Önnek mint hitelesített iManager-felhasználónak biztosított jogosultságoktól függően változik. ábra 3-3 A navigációs keret tartalma a Szerepek és feladatok nézetben
A feladatok sorrendjét az egyes kategóriákban a megfelelő iManager beépülő modul szerzője határozza meg. Az alapvető beépülőmodul-feladatok (amelyeket az iManager konzol tartalmaz) általában a más beépülő modulokból származó feladatok előtt jelennek meg.
3.1.3
Tartalomkeret A rendszer a tartalomkeretben biztosítja a meghatározott feladat- vagy objektumkezelő-felületet a navigációs keretben aktuálisan kiválasztott elem alapján.
Navigálás az iManager kezelőfelületén
25
ábra 3-4 Az iManager konzol tartalomnézetének alapértelmezett tartalma
Ha nincs kiválasztva feladat, a tartalomkeretben az iManager konzol kezdőlapja jelenik meg, ahol az iManager konzolbeli hozzáférési jogosultságaival kapcsolatos általános információkat olvashat.
3.2
Különleges karakterek Az iManager konzolban bizonyos karaktereknek különleges jelentőségük van, és csak a fordított perjel (\) escape-karakterrel használhatók: NDAP (eDirectory): pont (.) egyenlőségjel (=) pluszjel (+) fordított perjel (\) LDAP: megkülönböztető nevek (DN) és = + \ @; < > kezdő # kezdő vagy záró szóközök Az LDAP esetében bármely karakter megadható a következőképpen: \xx. További információt az RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html) szabványban olvashat.
26
NetIQ iManager – felügyeleti útmutató
4
Objektumok tallózása
4
Az iManager konzolon lehetséges címtárobjektumok manipulálása és kezelése. Ennek kétféle módja van. Az egyik az, hogy tallózással megkeresi és kiválasztja az objektumokat, amelyekkel dolgozni szeretne, majd meghatározza, milyen feladatot szeretne végrehajtani ezeken az objektumokon (objektum, aztán feladat). A másik módja pedig, hogy kiválasztja az elvégzendő feladatot, aztán meghatározza azokat az objektumokat, amelyekre alkalmazni szeretné (feladat, aztán objektum). A munka elvégzésének mindkét módja megfelelő, és az iManager konzolban azt a módszert használhatja, amelyik Önnek a legkényelmesebb. Az iManager az Objektum nézetet azok számára biztosítja, akik az objektum, aztán feladat módszert kedvelik, az Objektumválasztót pedig azoknak, akik számára a feladat, aztán objektum módszer az előnyösebb. Az Objektumválasztó számos esetben használható a Szerepek és feladatok nézetben. További információ: 5. Fejezet, „Szerepek és feladatok”, 37. oldal. Ez a fejezet a következő szakaszokat tartalmazza: „Az Objektum nézet használata”, 4.1. szakasz (28. oldal) „Az objektumválasztó használata”, 4.2. szakasz (33. oldal) MEGJEGYZÉS: Az iManager konzolon NCP használatára képes fájlrendszerekben támogatott az objektumok tallózása és kiválasztása. Lehetséges a fájlrendszerobjektumok elérése a kiszolgálóval és a kötetobjektumok elérése a könyvtárfán. A fájlrendszerobjektumok tallózása és kiválasztása az Objektum nézetben és az Objektumválasztóban is lehetséges. A fájlrendszerobjektumokhoz rendelkezésre álló tényleges feladatokat a rendszer azonban a külön elérhető NSS iManager beépülő modulban biztosítja. A használt eszközöktől függetlenül az objektumnevek meghatározásához jegyezze meg a következő irányelveket: Ha az alábbi karakterek pontokkal megadott eDirectory-név részei, használjon előttük fordított perjel (\) escape-karaktert. A legtöbb értéknél nincs szükség escape-karakterekre, de ha a név megkülönböztető név vagy relatív megkülönböztető név, akkor szükségesek. pont (.) egyenlőségjel (=) pluszjel (+) fordított perjel (\) Ha az alábbi karakterek annak a névnek a részei, amelyet szeretne megadni a keresésben, írjon eléjük fordított perjel (\) escape-karaktert: csillag (*) fordított perjel (\) Például: Ha meg szeretne találni minden pontot tartalmazó objektumot, használja az = *.* szűrőt a kereséshez
Objektumok tallózása
27
Ha meg szeretne találni minden pluszjelet tartalmazó objektumot, használja az = *+* szűrőt a kereséshez Ha meg szeretne találni minden fordított perjelet tartalmazó objektumot, használja az = *\\* szűrőt a kereséshez
4.1
Az Objektum nézet használata Az Objektum nézetet úgy tervezték, hogy tallózással meg lehessen keresni a könyvtár objektumait. Miután kiválasztotta azokat az objektumokat, amelyekkel dolgozni szeretne, megadhatja, hogy milyen feladatokat szeretne elvégezni ezeken az objektumokon. Nyissa meg az Objektum nézetet a fejléckeret Objektumok megtekintése ikonjával. Objektum nézetben a navigációs keretben a következő fülek jelennek meg, melyek mindegyikében más mód áll rendelkezésre a könyvtárobjektumok tallózására és megkeresésére: Fa Tallózás Keresés
4.1.1
Fa A Fa lapon lehetséges a könyvtárfa tallózása a ConsoleOne™ szoftverhez hasonló módon. A fanézet funkciói a navigációs keret és a tartalomkeret használatával érhetők el. ábra 4-1 A Fa lap az iManager konzol Objektum nézetében
28
NetIQ iManager – felügyeleti útmutató
A fanézet navigációs kerete Fanézetben a navigációs keret a könyvtárszerkezetet az ismerős ConsoleOne formátumban jeleníti meg. A navigációs keretben láthatók a konténerobjektumok, például a kötet (fájlrendszer). A címtárfa tallózásához és a konténerobjektumok kibontásához, illetve összecsukásához kattintson a plusz- és mínuszjelet ábrázoló ikonokra. Alapértelmezés szerint fanézetben konténerenként akár 100 alárendelt objektum is megjeleníthető, de ezt a beállítást módosíthatja az Objektum nézet beállításai menüben.
A fanézet tartalomkerete Ha a navigációs keretben kijelöl egy konténerobjektumot, a tartalomkeretben megjelenik a konténerben lévő összes objektum. A könyvtárobjektumokat ténylegesen a tartalomkeretben lehet kezelni. A tartalomkeret tartalmazza a fejlécet, ahol több rendelkezésre álló művelet közül választhat: Navigációs vezérlőelemek: A tartalomkeret tetején lévő fanézet navigációs vezérlőelemeivel navigálhat a konténerek mentén az aktuális környezetben. Címsor: A tartalomkeret címsorában megjelenik a jelenleg kiválasztott konténerobjektum neve. Kattintson a ceruzát ábrázoló ikonra a konténer tulajdonságainak szerkesztéséhez. Objektumlista fejléce: Itt a következők elérése lehetséges: Menüsáv: A tartalomkeret menüsávjában hozzáférhet az objektumokhoz kapcsolódó végrehajtható műveletkehez. A következő lehetőségek közül választhat: Új: A létrehozási feladatok legördülő menüjének megnyitása. Szerkesztés: A kijelölt objektumok tulajdonságjegyzékének megnyitása az attribútumok módosítása céljából. Ha több azonos típusú objektumot jelöl ki, az összes objektum esetében azonos értéket állíthat be. MEGJEGYZÉS: Levélobjektum tulajdonságjegyzékét is megnyithatja, ha kiválasztja az objektumlistából. Ha kiválaszt egy konténerobjektumot az objektumlistából, megnyílik a kiválasztott konténer, és megjelenik minden alárendelt eleme. A konténerobjektum attribútumainak szerkesztéséhez be kell jelölnie a jelölőnégyzetét, és rá kell kattintania a Szerkesztés lehetőségre. Törlés: A kijelölt objektumok törlése. Az objektum szerkesztésre történő kijelöléséhez jelölje be az objektum jelölőnégyzetét az objektumlistában. Műveletek: A kijelölt objektum esetében támogatott feladatok legördülő menüjének megnyitása. Feladat végrehajtásához válassza ki a kívánt feladatot a legördülő menüből, és adja meg a szükséges adatokat. MEGJEGYZÉS: Ha konfigurálta az RBS-t, a Műveletek menüben csak a hozzárendelt szerepekben lévő feladatok láthatók. Objektumok száma: A menüsortól jobbra a fanézet felsorolja az aktuális oldalon, illetve a kijelölt konténerben található objektumok számát. Az összes kijelölése: A fejlécben található jelölőnégyzet az összes kijelölésére szolgáló jelölőnégyzetként működik az objektumok aktuális oldalán. Rendezés: Közvetlenül az Objektum lista fölött található a Név oszlopfejléc és a rendezés ikonja . Bármelyikre kattintva növekvő vagy csökkenő ábécérendbe rendezheti az objektumokat.
Objektumok tallózása
29
Szűrő definiálása: A fejléc jobb szélén, az objektumszám alatt található az objektumszűrés ikonja . Az ikonra kattintva létrehozhat egy olyan szűrőt, amellyel korlátozhatja az objektumok megjelenítését az objektumlistában. Szükség szerint az objektumok típusa és neve alapján szűrhet. Az összes konténer megjelenítése elemre kattintva megjelenítheti a konténerobjektumokat az
objektumlistában a definiált szűrőtől függetlenül. A Speciális szűrő elemre kattintva megjelenítheti a Speciális szűrő párbeszédpanelt, amelyben szinte bármely objektumattribútummal létrehozhat szűrőt. További információ: „Speciális kiválasztás”, 38. oldal. MEGJEGYZÉS: Ha valamelyik szűrő aktív, a szűrő ikonja színesé válik , és megjelenik az ikon mellett a szűrőbeállítás. Ha speciális szűrőt konfigurál, az iManager pipaikont jelenít meg a szűrőikon mellett. Objektumlista: A tartalomkeret objektumlistájában megjelenik a navigációs keretben kiválasztott konténer összes objektuma. Alapértelmezés szerint az objektumlistában oldalanként 100 objektum jelenik meg, de ezt a beállítást módosíthatja az Objektum nézet beállításai menüben. Egy objektumon történő műveletvégzéshez jelölje be ezt a jelölőnégyzetet, majd jelölje ki a műveletet az objektumlista fejlécében. Az éppen tallózott konténeren történő műveletvégzéshez jelölje ki az (aktuális szintű) objektumot. A dupla pontra kattintva egy szinttel feljebb, a szülőkonténerre léphet. FONTOS: A fanézetben nem támogatott az objektumlista eltérő lapjain lévő objektumok egyidejű kijelölése. Ha egyidejűleg több objektumon szeretne műveletet végrehajtani, használja az Objektum nézet Tallózás lapját. További információ: „Tallózás”, 30. oldal.
4.1.2
Tallózás A Tallózás lap az objektumválasztóhoz hasonló felhasználói felülettel és funkciókkal rendelkező könyvtárböngésző eszköz. A Tallózás felhasználói felületének kezeléséről szóló információkért lásd: „Az objektumválasztó használata”, 33. oldal.
30
NetIQ iManager – felügyeleti útmutató
ábra 4-2 Az iManager Objektum nézetének Tallózás lapja
A Tallózás lap funkciói a navigációs keretben érhetők el. Az alábbi alapvető összetevőket tartalmazza: Objektumszűrő: A navigációs keret felső részén található objektumszűrővel lehet korlátozni az objektumlistában megjelenő elemeket. A definiálása után kattintson az Alkalmaz gombra a szűrő használatához. FONTOS: A Tallózás lapon az objektumszűrés csak a könyvtárobjektumokra alkalmazható. A fájlrendszerobjektumok szűrésére nem alkalmas, de a Tallózás lapon ezek is megjelenhetnek. Az objektumszűrőben az alábbi mezők állnak rendelkezésre: Környezet: kizárólag a meghatározott környezethez tartozó objektumok megjelenítése. Ez megegyezik a konténer objektumlistáról történő megnyitásával. Név: csak a megadott névszűrőnek megfelelő objektumok megjelenítése. Részleges név megadásához használja a csillag (*) helyettesítő karaktert. Például: ldap*, *cert, *server*. Típus: csak a megadott típusú objektumok megjelenítése. MEGJEGYZÉS: Ha kiválaszt egy adott objektumtípust, megjelenik a plusz ikon [+], amellyel meg lehet nyitni a Speciális kiválasztás eszközt a további, attribútumszintű szűrési beállítások meghatározásához. További információ: „Speciális kiválasztás”, 38. oldal. Betöltés/Mentés: Ez a két hivatkozás lehetővé teszi egy előzőleg megadott szűrődefiníció betöltését és a jelenlegi szűrő mentését, hogy újból felhasználható legyen.
Objektumok tallózása
31
Többszörös kijelölés/Egyszeres kijelölés: Az objektumlista jobb oldala fölött található hivatkozás, amelyben át lehet váltani egy és több objektum kijelölése között, hogy a kijelölt objektumon végrehajthassa a feladatot. Az alapértelmezett beállítás az Egyszeres kijelölés. További információ: „Objektumok kijelölése és szűrése”, 37. oldal. Objektumlista: Könyvtárobjektumok listájának megjelenítése az objektumszűrőben megadott feltételek szerint. Alapértelmezés szerint az objektumlistában oldalanként 100 objektum jelenik meg, de ezt a beállítást módosíthatja az Objektum nézet beállításai menüben. Az objektumoldalak közötti navigáláshoz használja az Előző és a Következő gombokat. Az objektumlistában az alábbi módon navigálhat az objektumok között:
Kattintson a konténerobjektum melletti lefelé mutató nyílikonra a konténer megnyitásához és a tartalmának az objektumlistában történő megjelenítéséhez.
Kattintson az objektumlista tetején lévő felfelé mutató nyílikonra a jelenlegi konténer szülőjéhez tartozó tartalom megjelenítéséhez. Így egy szinttel feljebb lép a könyvtárfán.
Jelöljön ki egy objektumot, amely lehet konténer vagy levél, az objektumtípushoz rendelkezésre álló feladatokat tartalmazó ablak megnyitásához. Ha kijelöl egy feladatot, az ahhoz tartozó felhasználói felület megnyílik a tartalomkeretben.
4.1.3
Keresés A Keresés lap hasonló a Tallózás laphoz, de a navigációs keretben a fastruktúra helyett csak a megadott keresés eredményéül kapott objektumok jelennek meg. ábra 4-3 Az iManager Objektum nézetének Keresés lapja
32
NetIQ iManager – felügyeleti útmutató
A Keresés lap a funkciói biztosításához csak a navigációs keretet használja. Az alábbi alapvető összetevőket tartalmazza: Objektumkeresés: A navigációs keret tetején található objektumkeresés lehetővé teszi a keresési feltételek megadását. A megadásuk után kattintson a Keresés gombra a meghatározott keresési művelet végrehajtásához. FONTOS: A Keresés lapon az objektumszűrés csak a könyvtárobjektumokra vonatkozik. A fájlrendszerobjektumok szűrésére nem alkalmas, de a Keresés lapon ezek is megjelenhetnek. A keresést a következő mezőkben definiálhatja: Környezet: a keresési művelet kezdő konténerének meghatározása. Ha azt szeretné, hogy a rendszer a keresést alárendelt konténerekben is elvégezze, válassza a Keresés az alkonténerekben lehetőséget. Név: a keresés objektumnévszűrőjének meghatározása. Részleges név megadásához használja a csillag helyettesítő karaktert. Például: ldap*, *cert, *server*. Típus: a keresés objektumtípus-szűrőjének meghatározása. Az iManager csak a megadott típusú objektumokat jeleníti meg. MEGJEGYZÉS: Ha kiválaszt egy adott objektumtípust, megjelenik a plusz ikon [+], amellyel meg lehet nyitni a Speciális kiválasztás eszközt a további, attribútumszintű szűrési beállítások meghatározásához. További információ: „Speciális kiválasztás”, 38. oldal. Betöltés/Mentés: Ezekkel a hivatkozásokkal lehet betölteni az előzőleg megadott szűrődefiníciót és menteni a jelenlegi keresést, hogy újból felhasználható legyen. Többszörös kijelölés/Egyszeres kijelölés: Az objektumlista jobb oldala fölött található hivatkozás, amellyel át lehet váltani egy és több objektum kijelölése között, hogy a kijelölt objektumon végrehajthassa a feladatot. Az alapértelmezett beállítás az Egyszeres kijelölés. További információ: „Objektumok kijelölése és szűrése”, 37. oldal. Eredménylista: A keresési művelet eredményeinek megjelenítése. Alapértelmezés szerint az objektumlistában oldalanként 100 objektum jelenik meg, de ezt a beállítást módosíthatja az Objektum nézet beállításai menüben. Az eredményoldalak közötti navigáláshoz használja az Előző és a Következő gombokat. Jelöljön ki egy objektumot, amely lehet konténer vagy levél, az objektumtípushoz rendelkezésre álló feladatokat tartalmazó ablak megnyitásához. Ha kijelöl egy feladatot, az ahhoz tartozó felhasználói felület megnyílik a tartalomkeretben. MEGJEGYZÉS: A Keresés lapon nem lehetséges az objektumok tallózása, például konténerobjektumok megnyitása az eredménylistában. Ha ezt szeretné tenni, használja a Fa lapot vagy a Tallózás lapot.
4.2
Az objektumválasztó használata Az objektumválasztóban ki lehet jelölni azokat az objektumokat, amelyekkel dolgozni szeretne a jelenlegi feladatban. Az iManager konzolban ez az eszköz mindig elérhető, amikor kiválaszt egy feladatot vagy műveletet, mielőtt kiválasztaná azokat az objektumokat, amelyekre a feladatot vagy műveletet alkalmazni szeretné. Az objektumválasztót a nagyítóüveg ikonnal nyithatja meg, ahol megjelenik a tartalomkeretben. Az objektumválasztó a saját ablakában nyílik meg, az iManager felső részén.
Objektumok tallózása
33
ábra 4-4 Az iManager objektumválasztója
Az objektumválasztó két fület tartalmaz, ahol megkeresheti a célobjektumokat az elvégzendő feladatokhoz: „Tallózás”, 4.2.1. szakasz (34. oldal) „Keresés”, 4.2.2. szakasz (35. oldal)
4.2.1
Tallózás A Tallózás lapon (alapértelmezett) a könyvtárfán tallózással lehet megkeresni a kívánt objektumokat. Az alábbi alapvető összetevőket tartalmazza: Objektumszűrő: Az objektumválasztó bal oldalán található objektumszűrővel lehet korlátozni, hogy milyen objektumok jelenjenek meg a tartalomlistában. A definiálása után kattintson az Alkalmaz gombra a szűrő használatához. Az objektumszűrőben az alábbi mezők állnak rendelkezésre: Keresés helye: kizárólag a meghatározott környezethez tartozó objektumok megjelenítése. Ez megegyezik a konténer tartalomlistából történő megnyitásával. A következő objektumok keresése: csak a megadott névszűrőnek megfelelő objektumok megjelenítése. Részleges név megadásához használja a csillag (*) helyettesítő karaktert. Például: ldap*, *cert, *server*. Speciális tallózás: Ez a hivatkozás megnyitja a Speciális kiválasztás eszközt, ahol további, attribútumszintű szűrőbeállításokat adhat meg. További információ: „Speciális kiválasztás”, 38. oldal. Feltételek betöltése/Feltételek mentése: Ez a két hivatkozás lehetővé teszi egy előzőleg megadott szűrődefiníció betöltését és a jelenlegi szűrő mentését, hogy újból felhasználható legyen.
34
NetIQ iManager – felügyeleti útmutató
Tartalomlista: Könyvtárobjektumok listájának megjelenítése az objektumszűrőben megadott feltételek szerint. Alapértelmezés szerint az objektumlistában oldalanként 100 objektum jelenik meg, de ezt a számot módosíthatja. Az objektumoldalak közötti navigáláshoz használja az Előző és a Következő gombokat. A tartalomlistában az alábbi módon navigálhat az objektumok között:
Kattintson a konténerobjektum melletti lefelé mutató nyílikonra a konténer megnyitásához és az objektumainak a tartalomlistában történő megjelenítéséhez.
Kattintson az objektumlista tetején lévő felfelé mutató nyílikonra a jelenlegi konténer szülőjéhez tartozó tartalom megjelenítéséhez. Így egy szinttel feljebb lép a könyvtárfán.
Ha kijelöl egy objektumot, az iManager ezen az objektumon fogja elvégezni az aktuális feladatot. Kijelölt objektumok: Ez az összetevő csak akkor jelenik meg, ha több objektumot is kijelöl az aktuális feladathoz. A Kijelölt objektumok mezőben a feladathoz kijelölt objektumok jelennek meg. Ha teljes a lista, kattintson az OK gombra. Ha törölni szeretné a kijelölt objektumok listáját, és elölről kezdeni a kijelölést, kattintson Az összes törlése gombra. Ha szeretne többet megtudni arról, hogyan lehet egy vagy több objektumot kijelölni a feladathoz, olvassa el a következő szakaszt: „Objektumok kijelölése és szűrése”, 37. oldal.
4.2.2
Keresés A Keresés lap lehetővé teszi keresési művelet megadását a könyvtárfán történő végrehajtáshoz és az eredmények megjelenítéséhez. Az alábbi alapvető összetevőket tartalmazza: Objektumkeresés: Az objektumválasztó bal oldalán található objektumkeresési funkcióval meg lehet adni a keresési feltételeket. A megadásuk után kattintson a Keresés gombra a meghatározott keresési művelet végrehajtásához. A keresést a következő mezőkben definiálhatja: Keresés indítási helye: a kezdő konténer megadása a keresési művelethez. Ha azt szeretné, hogy a rendszer a keresést alárendelt konténerekben is elvégezze, válassza ki a Keresés az alkonténerekben lehetőséget. A következő objektumok keresése: a keresés objektumnévszűrőjének definiálása. Részleges név megadásához használja a csillag helyettesítő karaktert. Például: ldap*, *cert, *server*. Speciális tallózás: Ez a hivatkozás megnyitja a Speciális kiválasztás eszközt, ahol további, attribútumszintű keresési beállításokat adhat meg. További információ: „Speciális kiválasztás”, 38. oldal. Feltételek betöltése/Feltételek mentése: Ez a két hivatkozás lehetővé teszi egy előzőleg megadott keresési definíció betöltését és a jelenlegi szűrő mentését, hogy újból felhasználható legyen. Többszörös kijelölés/Egyszeres kijelölés: Az objektumlista jobb oldala fölött található hivatkozás, amellyel át lehet váltani egy és több objektum kijelölése között, hogy a kijelölt objektumon végrehajthassa a feladatot. Az alapértelmezett beállítás az Egyszeres kijelölés. További információ: „Objektumok kijelölése és szűrése”, 37. oldal. Eredménylista: A keresési művelet eredményeinek megjelenítése. Alapértelmezés szerint az eredmények listában oldalanként 100 objektum jelenik meg, de ezt a számot módosíthatja. Az eredményoldalak közötti navigáláshoz használja az Előző és a Következő gombokat. MEGJEGYZÉS: A Keresés lapon nem lehetséges az objektumok tallózása, például konténerobjektumok megnyitása az eredménylistában. Ha ezt szeretné tenni, használja az objektumválasztó Tallózás lapját.
Objektumok tallózása
35
Kijelölt objektumok: Ez az összetevő csak akkor jelenik meg, ha több objektumot is kijelöl az aktuális feladathoz. A Kijelölt objektumok mezőben a feladathoz kijelölt objektumok jelennek meg. Ha teljes a lista, kattintson az OK gombra. Ha törölni szeretné a kijelölt objektumok listáját, és elölről kezdeni a kijelölést, kattintson Az összes törlése gombra. Ha szeretne többet megtudni arról, hogyan lehet egy vagy több objektumot kijelölni a feladathoz, olvassa el a következő szakaszt: „Objektumok kijelölése és szűrése”, 37. oldal.
36
NetIQ iManager – felügyeleti útmutató
5
Szerepek és feladatok
5
A fejléckeretben a Szerepek és feladatok nézetet választja, akkor a navigációs keretben megjelenik az iManager összes rendelkezésre álló szerepe és feladata. Az iManager konzolon a kapcsolódó szerepek és feladatok a kategóriák szerint vannak csoportosítva. Azonban létrehozhat testre szabott kategóriacsoportokat, és hozzájuk rendelhet szerepeket és feladatokat. További információ: „A Kategória fül”, 68. oldal. Ez a szakasz a következő témaköröket tartalmazza: „Navigálás a Szerepek és feladatok nézetben”, 5.1. szakasz (37. oldal) „Címtárfelügyelet”, 5.2. szakasz (41. oldal) „Csoportok”, 5.3. szakasz (43. oldal) „Információs pult”, 5.4. szakasz (45. oldal) „Partíciók és replikák”, 5.5. szakasz (46. oldal) „Jogosultságok”, 5.6. szakasz (49. oldal) „Séma”, 5.7. szakasz (51. oldal) „Felhasználók”, 5.8. szakasz (54. oldal) A fejezet első szakasza a Szerepek és feladatok nézetben való navigálást mutatja be. A további szakaszok az iManager alapvető szerepeiben és feladataiban elérhető feladatokat ismertetik részletesen. Egy adott termékhez tartozó beépülő modulban rendelkezésre álló szerepekre és feladatokra vonatkozó információk a termék dokumentációjában találhatók. A Szerepek és feladatok nézet mellett az iManager Kedvencek nézetét is konfigurálhatja a leggyakrabban használt feladatok megjelenítéséhez. További információ: „Kedvencek kezelése”, 91. oldal.
5.1
Navigálás a Szerepek és feladatok nézetben Az iManager feladatai között egyszerűen lehet navigálni az alábbi, általános lépések követésével: 1 (Navigációs keret) Nyissa meg az elvégezni kívánt feladatot tartalmazó kategóriát. 2 (Navigációs keret) Válassza ki a megfelelő feladatot a kategória feladatlistájából. 3 (Tartalomkeret) Adja meg a szükséges információt a feladat elvégzéséhez. Amikor szükséges,
ez magában foglalja azoknak az objektumoknak a meghatározását, amelyekre a feladatot alkalmazza. Azoknak az objektumoknak a kijelöléséről, amelyekre a feladatot alkalmazni fogja, olvassa el a következő szakaszt: „Objektumok kijelölése és szűrése”, 37. oldal. 4 (Tartalomkeret) Kattintson az OK gombra a feladat elvégzéséhez.
5.1.1
Objektumok kijelölése és szűrése Azoknál a feladatoknál, amelyeket egyszerre több objektumra is lehet alkalmazni (például felhasználó módosítása), a rendszer az iManager konzolon a tartalomkeretben választható lehetőségeket biztosít a kívánt objektumok megkeresésére.
Szerepek és feladatok
37
ábra 5-1 Objektumválasztási lehetőségek a feladatban
Egyetlen objektum kiválasztása Ez az alapértelmezett objektumválasztási lehetőség. Ezzel a lehetőséggel kiválaszthat egy objektumot, amelyre a feladatot alkalmazza. Ha az objektumválasztót használja az objektum megkeresésére, az objektum kiválasztásával automatikusan bezárul az objektumválasztó, és az alkalmazás beilleszti a kiválasztott objektumot a feladat objektumnév mezőjébe. Az objektumválasztóval kapcsolatos további információkért lásd: „Az objektumválasztó használata”, 33. oldal.
Több objektum kiválasztása Ezzel a lehetőséggel módosítja a feladathoz tartozó objektumnév mezőt, hogy egy objektum helyett többet is be tudjon fogadni. A rendszer az objektumválasztót is több objektum kijelölése módban futtatja, hogy egyszerre több objektumot is ki tudjon jelölni. Az objektumválasztóval kapcsolatos további információkért lásd: „Az objektumválasztó használata”, 33. oldal.
Egyszerű kiválasztás Ezzel a lehetőséggel megnyit egy egyszerű keresőeszközt a tartalomkeretben. Ezzel az eszközzel egy meghatározott tulajdonságérték alapján kereshet objektumokat a könyvtárfán. ábra 5-2 Alapszintű objektumszűrő egy feladatban
Az attribútum lista azoknak az attribútumoknak a listáját tartalmazza, amelyeken elvégezheti a keresési műveletet. Az operátor lista különféle kapcsolókat tartalmaz a keresési művelethez. Ha szeretné elrendezni a keresési művelet eredményéül kapott objektumokat, jelölje be Az eredményként kapott objektumok rendezése jelölőnégyzetet.
Az egyszerű kiválasztásra az alábbi korlátok vonatkoznak: A teljes könyvtárfán keres. Keresési feltételként nem lehet helyettesítő karaktert megadni. A tulajdonságértékek megadásakor csak a „kezdődik” és az „egyenlő” szűrőket lehet használni.
Speciális kiválasztás Ezzel a lehetőséggel konfigurálhatóbb környezetben lehet keresni a könyvárban a kívánt objektumokat.
38
NetIQ iManager – felügyeleti útmutató
ábra 5-3 Az iManager speciális kiválasztási felülete
Ezzel a lehetőséggel többféle szempont alapján lehet beállítani a keresési művelethez használt objektumszűrőt. A speciális kiválasztási lehetőségeket az alábbi mezőkben állíthatja be: Objektumtípus: Annak az alap objektumosztálynak a meghatározása, amelyet keres. Például: felhasználó. Konténer: Annak a konténernek a megadása, ahol kezdeni szeretné a keresést. Az alárendelt konténerekben való kereséshez jelölje be az Alkonténerek belefoglalása jelölőnégyzetet. Szűrő: A keresésre alkalmazandó szűrő megadása. Kattintson a Szűrő ikonra egy különálló ablak megnyitásához, ahol definiálhatja a szűrőt. Ha kész a szűrő, kattintson az OK gombra. ábra 5-4 Az iManager Speciális szűrő párbeszédablaka
A Szűrő kezelőfelülete a következő mezőket tartalmazza: Segédosztályok: A keresésbe belefoglalni kívánt kiegészítő osztály megadása.
Szerepek és feladatok
39
Attribútum: Egy attribútum (tulajdonság) megadása, amelyet fel szeretne használni a szűrő részeként. Operátor: A szűrőre alkalmazni kívánt logikai műveleti jel megadása. Az alábbi lehetőségek közül választhat: Érték: A szűrőként használt attribútumérték megadása. A csillagot (*) használhatja helyettesítő karakterként részérték megadásához. Például: sim*, *on. és *imo*. Ezenkívül több attribútumszűrő egymáshoz kapcsolásával szűrőcsoportot hozhat létre. A második attribútumot a + ikonnal adhatja hozzá a listához. Ha több attribútumot tartalmazó szűrőt használ, kapcsolja őket össze logikai AND vagy logikai OR műveleti jellel. A szűrő definiálása után kattintson a Minta, majd az OK gombra. Megjelenik az Objektum módosítása képernyő. Megjeleníti a konténerben lévő objektumokhoz definiált attribútumokat. Megjelennek a listában a közös attribútumértékek. Amin azt az ábra 5-5 szemlélteti, az Utónév, a Vezetéknév és a Teljes név attribútumok közös értékekkel rendelkeznek a meghatározott konténer minden objektumánál. Az üres mezővel rendelkező attribútumok azt jelzik, hogy ezeknek az attribútumoknak nincsenek közös értékeik mindegyik objektumhoz. Ezekhez az attribútumokhoz is megadhat értékeket. ábra 5-5 Az Objektum módosítása képernyő
A következő feladatokat hajthatja végre az attribútumokon, és a konténerben lévő összes objektum frissül: Mellőzés: A módosítások nem frissülnek az objektumokban.
40
NetIQ iManager – felügyeleti útmutató
Csere: A meglévő attribútumérték cseréje a listában. A cseréhez kattintson duplán az értékre, végezze el a módosításokat, és nyomja meg az Enter billentyűt, majd kattintson a Csere gombra. Hozzáadás: Értékek hozzáadása az attribútumhoz. Egy attribútumhoz több értéket is hozzáadhat. Például egynél több utónév tartozik az összes objektumhoz. Eltávolítás: Az attribútumértékek eltávolítása. Attribútumérték(ek) eltávolításához: 1 Ha az attribútumnak több értéke van, akkor először el kell rejtenie a megtartani kívánt értékeket a billentyűzeten található Delete billentyű megnyomásával. Erre azért van szükség, mert az Eltávolítás lehetőséggel a listában megjelenő összes értéket törli. Ezért először el kell rejtenie
azokat az értékeket, amelyeket nem kíván törölni. Az attribútumlistában csak a törlendő értékeket jelenítse meg. 2 Kattintson az Eltávolítás lehetőségre a legördülő listában.
A megadott értékek ekkor törlődnek, és az elrejtett értékek megjelennek a listában.
5.2
Címtárfelügyelet A címtárfelügyelet a címtárfán található objektumok felügyeletét jelenti. Létrehozhatja, szerkesztheti és rendezheti az objektumokat. „Objektum másolása”, 5.2.1. szakasz (41. oldal) „Objektum létrehozása”, 5.2.2. szakasz (42. oldal) „Objektum törlése”, 5.2.3. szakasz (42. oldal) „Objektum módosítása”, 5.2.4. szakasz (42. oldal) „Objektum áthelyezése”, 5.2.5. szakasz (43. oldal) „Objektum átnevezése”, 5.2.6. szakasz (43. oldal) Az eDirectory-objektumokról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
5.2.1
Objektum másolása Létrehozhat egy meglévő objektummal azonos attribútumértékekkel rendelkező új objektumot, vagy az attribútumértékeket az egyik objektumból a másikba másolhatja. 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum másolása elemre. 2 A Másolás forrásobjektuma mezőbe írja be az objektum nevét és környezetét, vagy keresse
meg az objektumválasztóval. 3 A következő lehetőségek közül választhat:
Új objektum létrehozása és attribútumértékek másolása Attribútumértékek másolása meglévő objektumba Azok az attribútumok, amely osztályát az átmásolt objektum nem bővíti, nem lesznek átmásolva. 4 Ha szeretné a hozzáférési szabálygyűjtemény (ACL) jogosultságait ebbe az objektumba másolni, válassza az ACL-jogosultságok másolása lehetőséget.
Ehhez a lépéshez a rendszertől és a hálózati környezettől függően további feldolgozási időre lehet szükség.
Szerepek és feladatok
41
MEGJEGYZÉS: Az objektum másolása művelettel az alábbi objektumattribútumokat nem lehet átmásolni: ACL (kivéve, ha kiválasztja az ACL-jogosultságok másolása lehetőséget) CN DirXML-társítások Nekem mindegy Csoporttagság Tag Biztonsági egyenértékűségek Bármely név attribútum Bármely csak olvasható attribútum Bármely RBS attribútum
5.2.2
Objektum létrehozása 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum létrehozása
elemre. 2 Válassza ki a megjelenő listából az objektumosztályt, majd kattintson az OK gombra. 3 Adja meg a kért információkat a kiválasztott objektumosztálynak megfelelően, majd kattintson az OK gombra.
Ha a Firefoxot használja, kattintson a + jelre az információ megadásához ahelyett, hogy közvetlenül a mezőbe írná be. 4 A megerősítő üzenet megjelenésekor kattintson az OK, a Feladat ismétlése vagy a Módosítás
gombra.
5.2.3
Objektum törlése 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum törlése elemre. 2 Írja be az objektum nevét és környezetét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Megjelenik egy megerősítő üzenet az objektum sikeres törléséről.
5.2.4
Objektum módosítása 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum módosítása
elemre. 2 Írja be az objektum nevét és környezetét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Az Objektum módosítása oldalain megjelennek a kijelölt objektum attribútumai. 3 Módosítsa igény szerint az objektumot, majd kattintson az OK gombra.
Ha a Firefoxot használja, kattintson a + jelre az információ megadásához ahelyett, hogy közvetlenül a mezőbe írná be.
42
NetIQ iManager – felügyeleti útmutató
5.2.5
Objektum áthelyezése 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum áthelyezése
elemre. Írja be az objektum nevét és környezetét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra. 2 Az Áthelyezés a következőbe mezőben válassza ki azt a konténert, ahová át szeretné helyezni
az objektumot. 3 Válassza az Alias létrehozása az áthelyezett objektum helyén lehetőséget, ha aliast szeretne
létrehozni az egyes áthelyezett objektumok régi helyén. 4 Kattintson az OK gombra.
Megjelenik az objektumáthelyezési művelet sikerességét jelző üzenet.
5.2.6
Objektum átnevezése 1 A Szerepek és feladatok területen kattintson a Címtárfelügyelet > Objektum átnevezése elemre. 2 Írja be az objektum nevét és környezetét, vagy keresse meg a keresési funkcióval.
Írja be csak az új objektum nevét. Ne adja meg a környezetet. 3 Ha menteni szeretné a régi nevet, válassza ki ezt a lehetőséget.
Ezáltal a régi nevet a Név tulajdonság egy további, nem hivatalos értékeként menti. A régi név mentésével lehetővé teszi, hogy a felhasználók a név alapján megkeressék az objektumot. Az objektum átnevezése után a régi nevet az Egyéb név mezőben tekintheti meg, az objektum Általános azonosítás lapján. 4 Ha szeretne egy aliast létrehozni az átnevezni kívánt objektum helyén, válassza az Alias létrehozása az átnevezett objektum helyett lehetőséget.
Ezáltal a régi objektumnévtől függő műveletek megszakítás nélkül mindaddig folytatódhatnak, amíg nem frissíti ezeket a műveleteket, hogy az új objektumnevet használják. 5 Kattintson az OK gombra.
Megjelenik az objektumátnevezési művelet sikerességét jelző üzenet.
5.3
Csoportok Ha egy felhasználó csoportot hoz létre, automatikusan a csoport tulajdonosává válik. Rendelkezésre álló csoportműveletek többek között az alábbiak: „Csoport létrehozása”, 5.3.1. szakasz (44. oldal) „Csoport törlése”, 5.3.2. szakasz (44. oldal) „Csoport módosítása”, 5.3.3. szakasz (44. oldal) „Csoporttagok módosítása”, 5.3.4. szakasz (45. oldal) „Csoport áthelyezése”, 5.3.5. szakasz (45. oldal) „Csoport átnevezése”, 5.3.6. szakasz (45. oldal) „Saját csoportok megtekintése”, 5.3.7. szakasz (45. oldal) A csoportobjektumok használatáról és konfigurálásáról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatója (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/ bookinfo.html) tartalmaz.
Szerepek és feladatok
43
5.3.1
Csoport létrehozása 1 A Szerepek és feladatok területen kattintson a Csoportok > Csoport létrehozása elemre. 2 A Csoport létrehozása oldalon adja meg a szükséges információkat, majd kattintson az OK
gombra. Válassza a Dinamikus csoport lehetőséget, ha azt szeretné, hogy az új csoport a dynamicGroup osztályba tartozó dinamikus csoport legyen. A csoport egyébként statikus csoportként vagy Csoport osztályként jön létre. Jelölje be a Tulajdonos beállítása jelölőnégyzetet, hogy a csoportobjektum létrehozója a csoport tulajdonosává váljék. A csoport Tulajdonos attribútumának az iManager konzolba bejelentkezett felhasználó megkülönböztető neve lesz beállítva. Ha nem szeretné megadni a Tulajdonos attribútumot, ne jelölje be a Tulajdonos beállítása jelölőnégyzetet. Válassza a Beágyazott csoport lehetőséget, ha azt szeretné, hogy az új csoport beágyazott csoportként jöjjön létre és a nestedGroupAux kiegészítő osztályba tartozzon. MEGJEGYZÉS: A statikus csoportokat utólag át lehet alakítani dinamikus csoportokká a Csoport módosítása lehetőség használatával. Ezzel kiterjeszti a kiválasztott csoportobjektumot, hogy a dynamicGroupAux osztályba tartozzon. A csoportok beágyazottak vagy dinamikusak lehetnek. Olyan csoportot, amely beágyazott és dinamikus is, nem lehet létrehozni. Statikus csoportot beágyazott csoporttá a Csoport módosítása lehetőséggel alakíthat át. Ezáltal a kiválasztott csoportobjektum a nestedGroupAux osztály tagjává válik.
5.3.2
Csoport törlése 1 A Szerepek és feladatok területen kattintson a Csoportok > Csoport törlése elemre. 2 A Csoport törlése oldalon adja meg annak a csoportobjektumnak a nevét, amelyet törölni szeretne, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
A Csoport törlése oldalon kiválaszthat egyetlen objektumot vagy több objektumot, vagy megadhatja a Speciális kiválasztás lehetőség használatával a törlendő objektumot.
5.3.3
Csoport módosítása 1 A Szerepek és feladatok területen kattintson a Csoportok > Csoport módosítása elemre. 2 A Csoport módosítása oldalon adja meg a csoportobjektum nevét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra. 3 Végezze el a csoportobjektum attribútumain a szükséges módosításokat, és kattintson az OK
gombra. MEGJEGYZÉS: Ha egy statikus csoportot módosít, hogy dinamikussá változtassa, és szerep alapú szolgáltatásokat (RBS) használ, engedélyeznie kell a dynamicGroupAux osztály támogatását. Ehhez nyissa meg a Konfigurálás > iManager-kiszolgáló > Az iManager beállítása > RBS > Dinamikus csoport keresésének típusa menüpontot. Válassza a DynamicGroupObjects&AuxClasses lehetőséget a legördülő menüben, és kattintson a Mentés gombra. Dinamikus csoportot nem konvertálhat beágyazott csoporttá, és ez megfordítva is igaz.
44
NetIQ iManager – felügyeleti útmutató
5.3.4
Csoporttagok módosítása Ez a feladat lehetővé teszi, hogy egyidejűleg azonos módosításokat végezzen a meghatározott csoport összes tagobjektumának attribútumain. 1 A Szerepek és feladatok területen kattintson a Csoportok > Csoport tagjainak módosítása
elemre. 2 A Csoport tagjainak módosítása oldalon adja meg a csoportobjektum nevét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra. 3 Végezze el a tagobjektum attribútumain a szükséges módosításokat, és kattintson az OK
gombra.
5.3.5
Csoport áthelyezése Ez a hivatkozás átirányítja az Objektum áthelyezése feladathoz. További információ: „Objektum áthelyezése”, 43. oldal.
5.3.6
Csoport átnevezése Ez a lehetőség megegyezik az Objektum átnevezése feladattal. További információ: „Objektum átnevezése”, 43. oldal.
5.3.7
Saját csoportok megtekintése Ezen az oldalon azok a csoportok jelennek meg, amelyeknek Ön a tulajdonosa. Itt új csoportot hozhat létre, valamint szerkesztheti vagy törölheti a meglévő csoportokat.
5.4
Információs pult Az információs pult korlátozott számú, felhasználókkal kapcsolatos feladathoz biztosít hozzáférést. A szerep tulajdonosa végrehajthatja az alábbiakat: „Kizárás törlése”, 5.4.1. szakasz (45. oldal) „Felhasználó létrehozása”, 5.4.2. szakasz (46. oldal) „Jelszó beállítása”, 5.4.3. szakasz (46. oldal) A felhasználói objektumokról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
5.4.1
Kizárás törlése A rendszer kizárhatja a felhasználókat, ha túl sokszor adnak meg rossz jelszót, vagy ha lejárt jelszóval próbálnak meg bejelentkezni. 1 A Szerepek és feladatok területen kattintson az Információs pult > Kizárás törlése elemre. 2 A Kizárás törlése oldalon adja meg a felhasználói objektum nevét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Szerepek és feladatok
45
5.4.2
Felhasználó létrehozása Új felhasználói objektum létrehozása: 1 A Szerepek és feladatok területen kattintson az Információs pult > Felhasználó létrehozása
elemre. Írja be a szükséges felhasználói információkat a „Felhasználó létrehozása”, 54. oldal szakaszban ismertetett módon.
5.4.3
Jelszó beállítása 1 A Szerepek és feladatok területen kattintson az Információs pult > Jelszó beállítása elemre. 2 A Jelszó beállítása oldalon adja meg a felhasználói objektum nevét. Tallózzon a felhasználói
objektumhoz az objektumválasztóban, vagy keressen rá az Egyszerű kiválasztás eszközzel. 3 Adja meg az új jelszót a kiválasztott felhasználói objektumhoz (kétszer), majd kattintson az OK
gombra. Válassza az Egyszerű jelszó megadása lehetőséget egy egyszerű jelszó beállításához, ami a natív fájlhozzáféréshez szükséges a Windows* és a Macintosh* rendszer felhasználói számára. Ha engedélyezve van az Univerzális jelszó funkció, akkor ez nem szükséges.
5.5
Partíciók és replikák A partíciókkal és a replikákkal végzett műveletekkel kezelheti az eDirectory fizikai felépítését és elosztását a címtárkiszolgálókon, és az alábbi feladatokat foglalja magában: „Partíció létrehozása”, 5.5.1. szakasz (46. oldal) „Partíció-összefésülés”, 5.5.2. szakasz (47. oldal) „Partíció áthelyezése”, 5.5.3. szakasz (47. oldal) „Replikaadatok megtekintése”, 5.5.4. szakasz (48. oldal) „Partícióadatok megtekintése”, 5.5.5. szakasz (48. oldal) „A Szűrt replika varázsló használata”, 5.5.6. szakasz (48. oldal) Partíciókra és replikákra vonatkozó további információt a NetIQ eDirectory 9.0 felügyeleti útmutatója (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) tartalmaz.
5.5.1
Partíció létrehozása A partíciók logikai felosztást hoznak létre az eDirectory-fán. Ha például kiválaszt egy szervezeti egységet, és új partícióként hozza létre, azzal elválasztja a szervezeti egységet és az összes alárendelt objektumát a szülőpartíciótól. A kiválasztott szervezeti egység lesz az új partíció gyökere. Az új partíció replikái ugyanazokon a kiszolgálókon vannak, mint a szülő replikái, és az új partíción lévő objektumok az új partíció gyökérobjektumához tartoznak. 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Partíció létrehozása
elemre. 2 A Partíció létrehozása oldalon adja meg az új partíció gyökereként használni kívánt konténert, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Megjelenik a partíció-létrehozási művelet sikerességét jelző üzenet.
46
NetIQ iManager – felügyeleti útmutató
5.5.2
Partíció-összefésülés A partíciók összefésülésekor újra egyesíti őket a szülőpartíciójukkal. A partíciók létrehozásával és összefésülésével határozhatja meg a könyvtár logikai felosztását. 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Partíció összefésülése
elemre. 2 A Partíció összefésülése oldalon adja meg, hogy melyik partíciót szeretné összefésülni a szülőjével, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
A partíció meghatározásához adja meg a partíció gyökereként működő konténerobjektumot. Megjelenik a partíció-létrehozási művelet sikerességét jelző üzenet.
5.5.3
Partíció áthelyezése Partíció áthelyezésekor egy, a könyvtárfához tartozó részfát helyezhet át. Ez másként „metszési és oltási” műveletként is ismert. Csak olyan partíciókat helyezhet át, amelyekhez nem tartoznak alárendelt partíciók. Ha vannak alárendelt partíciók, akkor először össze kell fésülnie ezeket az áthelyezési művelet végrehajtása előtt. Partíció áthelyezésekor az eDirectory módosítja a partíció gyökérobjektumára mutató összes hivatkozást. Csak az objektum közös neve marad változatlan; a konténer (és összes alárendeltjének) teljes neve ilyenkor módosul. MEGJEGYZÉS: Partíció áthelyezésekor be kell tartania az eDirectory befoglalási szabályait. Nem helyezhet például egy szervezeti egységet közvetlenül a könyvtárfa gyökere alá, mert a gyökér befoglalási szabályai csak a helység-, ország- vagy szervezetobjektumokat engedélyezik, de a szervezetiegység-objektumokat nem. 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Partíció összefésülése
elemre. 2 A Partíció áthelyezése oldalon adja meg a szükséges információt, és kattintson az OK gombra.
Az áthelyezni kívánt partíciót az Objektum neve mezőben lehet megadni, vagy keresse meg az objektumválasztóval. Az Áthelyezés a következőbe mezőben lehet megadni azt a konténerobjektumot, ahová szeretné áthelyezni a meghatározott partíciót. Az Alias létrehozása az áthelyezett objektum helyén lehetőség választásával a partíció új helyére mutató hivatkozást hoz létre. Ezáltal a régi helytől függő bármely művelet megszakítás nélkül mindaddig folytatódhat, amíg e műveletek új helynek megfelelő frissítése meg nem történik. A felhasználók továbbra is bejelentkezhetnek a hálózatra, és megtalálhatják az objektumokat a könyvtár eredeti helyén. FIGYELEM: Partíciók áthelyezése előtt győződjön meg róla, hogy a könyvtárfa megfelelően van szinkronizálva. Ha bármilyen szinkronizálási hibát tapasztal abban a partícióban, amelyet át szeretne helyezni vagy a célpartícióban, ne hajtsa végre a partíció áthelyezését. Először javítsa ki a szinkronizálási hibákat. Ha nem szeretné, hogy a partíció az áthelyezése után is partíció maradjon, fésülje össze a szülőpartíciójával.
Szerepek és feladatok
47
5.5.4
Replikaadatok megtekintése A replika megtekintésével megismerheti annak jelenlegi állapotát. Az eDirectoryban található replikák a folyamatban lévő particionálási és replikálási műveletektől függően különféle állapotokban lehetnek. 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Replika nézet elemre. 2 A Replika nézet oldalon adja meg azt a kiszolgálót vagy replikát, amelynek szeretné megtekinteni a replikatáblázatát, és kattintson az OK gombra.
A megjelenő táblázat tartalmazza a replika partícióját, típusát, szűrőjét és állapotát. A replikaállapotokra vonatkozó további információt a NetIQ eDirectory 9.0 felügyeleti útmutatója (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) tartalmaz.
5.5.5
Partícióadatok megtekintése 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Partícióadatok megtekintése elemre. 2 A Partícióadatok oldalon adja meg azt a partíciót, amelynek szeretné megtekinteni az adatait, és kattintson az OK gombra.
A partíció meghatározásához adja meg a partíció gyökereként működő konténerobjektumot.
5.5.6
A Szűrt replika varázsló használata A szűrt replikák információk részhalmazát tartalmazzák egy eDirectory-partícióról (objektumokat vagy objektumosztályokat, valamint egy szűrt attribútum- és értékkészletet ezekhez az objektumokhoz). A Szűrt replika varázsló végigvezeti a szűrt replikák kiválasztott kiszolgálón történő konfigurálásának lépésein. 1 A Szerepek és feladatok területen kattintson a Partíciók és replikák > Szűrt replika varázsló
elemre. 2 Adja meg annak a kiszolgálónak a nevét és környezetét, amelyen konfigurálni szeretné a szűrt replikát, vagy keresse meg az objektumválasztóval, és kattintson a Következő gombra. 3 Kattintson a Szűrőkészlet meghatározása lehetőségre a szűrőkészlet osztályainak és attribútumainak a kiválasztott kiszolgálón történő megadásához, majd kattintson a Következő
gombra. A replikációszűrő azokat az eDirectory-osztályokat és -attribútumokat tartalmazza, amelyeket szeretne ennek a kiszolgálónak a szűrt replikakészletében tárolni. 4 Kattintson a Befejezés gombra.
A szűrt replikákról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https:// www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
48
NetIQ iManager – felügyeleti útmutató
5.6
Jogosultságok A jogosultságok az eDirectory-beli meghatalmazotti jogokra és meghatalmazottakra vonatkoznak. Fa létrehozásakor a rendszer az alapértelmezett jogosultságokat rendeli hozzá, amely általános hozzáférést és biztonságot engedélyez a hálózat számára. Az iManager konzolban az alábbi, jogosultságokkal kapcsolatos feladatokat hajthatja végre: „Az örökölt jogosultságok szűrőjének módosítása”, 5.6.1. szakasz (49. oldal) „Meghatalmazotti jogok módosítása”, 5.6.2. szakasz (49. oldal) „Más objektumokra vonatkozó jogok”, 5.6.3. szakasz (50. oldal) „Érvényes jogok megtekintése”, 5.6.4. szakasz (50. oldal) Az eDirectory-jogosultságokról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
5.6.1
Az örökölt jogosultságok szűrőjének módosítása Mind az eDirectory szolgáltatásban, mind a NetWare fájlrendszerben rendelkezésre áll az örökölt jogosultságok szűrője (IRF) mechanizmus a jogosultságok öröklésének blokkolásához az egyes alárendelt elemeken. Ez alól kivételt jelent a rendszergazdai jogosultság, amely a NetWarefájlrendszerben nem blokkolható. Az örökölt jogosultságok szűrőiről további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat. 1 A Szerepek és feladatok nézetben kattintson a Jogosultságok > Örökölt jogosultságok szűrőjének módosítása elemre. 2 Adja meg a teljes nevét annak az objektumnak, amelynél módosítani szeretné az örökölt jogosultságok szűrőjét, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Ezzel megjeleníti az objektumhoz már beállított örökölt jogosultságok szűrőinek listáját. 3 A tulajdonság oldalon szükség szerint módosítsa az örökölt jogosultságok szűrőinek listáját, és kattintson az OK gombra.
A szűrők listájának szerkesztéséhez hozzáférés-vezérlési vagy rendszergazdai jogosultsággal kell rendelkeznie az objektum ACL tulajdonságához. A szűrőkkel beállíthatja, hogy az örökölt jogosultságokat az objektum egészére, az objektum minden tulajdonságára vagy az egyedi tulajdonságokra vonatkozóan szeretné-e blokkolni.
5.6.2
Meghatalmazotti jogok módosítása A meghatalmazott egy olyan objektum, amely meghatározott jogosultságokat kapott egy másik objektumhoz a könyvtárfán. Adott objektum meghatalmazotti listájának módosítása: 1 A Szerepek és feladatok nézetben kattintson a Jogosultságok > Meghatalmazottak módosítása
elemre. 2 Adja meg annak az objektumnak a nevét, amelynek módosítani szeretné a meghatalmazotti listáját, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Ezzel megnyitja az objektumhoz jelenleg hozzárendelt meghatalmazottak listáját. 3 Szükség szerint módosítsa a meghatalmazotti listát, és kattintson az OK gombra.
Meghatalmazott hozzáadásához kattintson a Meghatalmazott hozzáadása gombra.
Szerepek és feladatok
49
Meghatalmazott eltávolításához jelölje be a jelölőnégyzetét, és kattintson a Kijelölt eltávolítása gombra. A meghatalmazottakhoz hozzárendelt jogosultságok módosításához kattintson az adott meghatalmazotthoz tartozó Hozzárendelt jogok hivatkozásra.
5.6.3
Más objektumokra vonatkozó jogok Ez a feladat lehetővé teszi az objektumok azon listájának a megtekintését és módosítását, amelynek az adott objektum a meghatalmazottja. 1 A Szerepek és feladatok területen kattintson a Jogosultságok > Más objektumokra vonatkozó jogosultságok elemre. 2 A Más objektumokra vonatkozó jogok oldalon adja meg a szükséges információkat, és kattintson az OK gombra.
Adja meg az objektum nevét a Meghatalmazott neve mezőben. Határozza meg azt a környezetet a Keresés környezete mezőben, amelyben olyan objektumokat szeretne keresni, amelyek ezzel a meghatalmazottal rendelkeznek. Válassza a Teljes részfa keresése lehetőséget a megadott környezethez tartozó összes konténerben való kereséshez. 3 Szükség szerint módosítsa az objektumlistát, és kattintson az OK gombra.
Másik objektumhoz az Objektum hozzáadása lehetőségre kattintva adhat meghatározott jogosultságokat. Egy objektumhoz hozzárendelt kifejezett jogosultságokat úgy távolíthat el, ha bejelöli a jelölőnégyzetét, és rákattint a Kijelölt eltávolítása gombra. Az objektumhoz hozzárendelt, kifejezett jogokat az objektumhoz tartozó Hozzárendelt jogosultságok hivatkozásra kattintva módosíthatja.
5.6.4
Érvényes jogok megtekintése Az érvényes jogosultságok azon kifejezett és az öröklött jogosultságoknak a kombinációi, amelyeket az objektum a könyvtárfa bármely pontján élvez. Egy objektum más objektumra vonatkozó érvényes jogosultságainak megtekintése: 1 A Szerepek és feladatok területen kattintson a Jogosultságok > Érvényes jogosultságok megtekintése elemre. 2 Adja meg annak a meghatalmazottnak a nevét, akinek szeretné megtekinteni a jogosultságait, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra. 3 Az Objektum neve mezőben adja meg annak az objektumnak a nevét, amelynél szeretné
kiszámítani a meghatalmazott érvényes jogosultságait. Az eDirectory kiszámítja az érvényes jogokat, és megjeleníti őket az Érvényes jogosultságok mezőben. 4 Amikor elkészült, kattintson a Kész gombra.
50
NetIQ iManager – felügyeleti útmutató
5.7
Séma A könyvtárséma megadja, hogy a fában milyen objektumok hozhatók létre (például felhasználók, nyomtatók és csoportok), és mely információkat kötelező megadni az objektum létrehozásakor, illetve melyeket nem. Az iManager konzolon az alábbi, sémával kapcsolatos feladatokat állnak rendelkezésre: „Attribútum hozzáadása”, 5.7.1. szakasz (51. oldal) „Attribútumadatok megtekintése”, 5.7.2. szakasz (51. oldal) „Osztály adatainak megtekintése”, 5.7.3. szakasz (52. oldal) „Attribútum létrehozása”, 5.7.4. szakasz (52. oldal) „Osztály létrehozása”, 5.7.5. szakasz (52. oldal) „Attribútum törlése”, 5.7.6. szakasz (53. oldal) „Osztály törlése”, 5.7.7. szakasz (53. oldal) „Séma kiterjesztése”, 5.7.8. szakasz (53. oldal) „Objektum kiterjesztése”, 5.7.9. szakasz (53. oldal) Az eDirectory-sémákról további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https:// www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
5.7.1
Attribútum hozzáadása Hozzáadhat választható attribútumokat a meglévő osztályokhoz, ha szükségessé vált a szervezet adatainak módosítása, vagy ha fák összefésülését készíti elő. Attribútum hozzáadása meglévő osztályhoz: MEGJEGYZÉS: A kötelező attribútumokat csak az osztályok létrehozásakor lehet meghatározni. A kötelező attribútum olyan attribútum, amelyet kötelező megadni az objektum létrehozásakor. 1 A Szerepek és feladatok területen kattintson a Séma > Attribútum hozzáadása elemre. 2 Válassza ki azt az osztályt, amelyhez szeretne attribútumot hozzáadni, majd kattintson az OK
gombra. 3 Válassza ki a hozzáadni kívánt attribútumokat, és kattintson az OK gombra.
Válassza ki a kívánt attribútumokat az Elérhető, nem kötelező attribútumok listából, majd kattintson a Jobb oldali nyíl gombra az attribútumok hozzáadásához az Ezeknek a nem kötelező attribútumoknak a hozzáadása listához. Használja a Bal oldali nyíl gombot az attribútumok eltávolításához az Ezeknek a nem kötelező attribútumoknak a hozzáadása listából. Az ebben az osztályban létrehozott objektumok most már a hozzáadott tulajdonságokkal rendelkeznek. A hozzáadott tulajdonságok értékeinek beállításához használja az objektum általános Más tulajdonság oldalát.
5.7.2
Attribútumadatok megtekintése Megtekintheti az attribútum strukturális adatait, például az attribútumot használó szintaxist, jelzőket és osztályokat. Attribútum adatainak megtekintése: 1 A Szerepek és feladatok területen kattintson a Séma > Attribútumadatok elemre. 2 Válassza ki azt az attribútumot, amelynek szeretné megismerni az adatait, és kattintson a Megtekintés gombra.
Szerepek és feladatok
51
A tartalomkeretben megjelennek a kiválasztott attribútummal kapcsolatos adatok. 3 Amikor elkészült, kattintson a Bezárás gombra.
5.7.3
Osztály adatainak megtekintése Az Osztályadatok oldalon a kiválasztott osztályra vonatkozó adatok jelennek meg, és lehetővé teszi attribútumok hozzáadását. Az osztály létrehozásakor, amennyiben az osztály egy másik osztálytól attribútumokat örökölt, akkor az örökölt attribútumok úgy vannak besorolva, mint a szülőosztályhoz tartozók. Ha például a szülőosztálynak az Objektumosztály kötelező attribútuma, akkor a kiválasztott osztály kötelező attribútumaként jelenik meg ezen a képernyőn. Osztály adatainak megtekintése: 1 A Szerepek és feladatok területen kattintson a Séma > Osztályadatok elemre. 2 Válassza ki azt az osztályt, amelynek szeretné megismerni az adatait, és kattintson a Megtekintés gombra.
A tartalomkeretben megjelennek a kiválasztott osztállyal kapcsolatos adatok. Egy attribútumnak az osztályhoz adásához válassza az Új attribútum hozzáadása lehetőséget. Az osztály szülőosztályának megjelenítéséhez kattintson az Ősosztály megtekintése lehetőségre. 3 Amikor elkészült, kattintson a Bezárás gombra.
5.7.4
Attribútum létrehozása Meghatározhatja a saját egyéni attribútumtípusait, és hozzáadhatja őket választható attribútumként a meglévő objektumosztályokhoz. Kötelező attribútumokat azonban nem adhat hozzá meglévő osztályokhoz. Attribútum létrehozása: 1 A Szerepek és feladatok területen kattintson a Séma > Attribútum létrehozása menüpontokra. 2 Az attribútum-létrehozási eljárás elvégzéséhez kövesse az Attribútum létrehozása varázsló
lépéseit.
5.7.5
Osztály létrehozása A kiegészítő osztály egy meghatározott objektumhoz, és nem egy egész objektumosztályhoz hozzáadott tulajdonságok (attribútumok) halmaza. Egy levelezőalkalmazás például kiterjesztheti az eDirectory-fa sémáját, hogy magába foglalja az elektronikus levél kiegészítő osztályt, aztán szükség szerint kiterjesztheti az egyes objektumokat ezekkel a tulajdonságokkal. A sémakezelővel meghatározhatja a saját kiegészítő osztályait. Ezt követően kiterjesztheti az egyes objektumokat a kiegészítő osztályokban definiált tulajdonságokkal. Kiegészítő osztály létrehozása: 1 A Szerepek és feladatok területen kattintson a Séma > Osztály létrehozása menüpontokra. 2 Az új osztály definiálásához kövesse az Osztály létrehozása varázsló lépéseit.
52
NetIQ iManager – felügyeleti útmutató
5.7.6
Attribútum törlése Törölheti azokat a nem használt attribútumokat, amelyek nem részei az eDirectory-fa alapsémájának. Ez hasznos lehet két könyvtárfa összefésülése után, vagy ha egy attribútum idővel elavulttá vált. Attribútum törlése: 1 A Szerepek és feladatok területen kattintson a Séma > Attribútum törlése menüpontokra. 2 Válassza ki azt az attribútumot, amelyet törölni szeretne, és kattintson a Törlés gombra.
Csak azok az attribútumok jelennek meg, amelyeket törölhet.
5.7.7
Osztály törlése Törölheti azokat a nem használt osztályokat, amelyek nem részei az eDirectory-fa alapsémájának. Az iManager megakadályozza a jelenleg helyileg replikált partíciókban használt osztályok törlését. Osztály törlése: 1 A Szerepek és feladatok területen kattintson a Séma > Osztály törlése menüpontokra. 2 Válassza ki azt az osztályt, amelyet törölni szeretne, és kattintson a Törlés gombra.
Csak azok az osztályok jelennek meg, amelyek törlése engedélyezett.
5.7.8
Séma kiterjesztése Egy fa sémáját kiterjesztheti új osztály vagy attribútum létrehozásával. Az eDirectory-fa sémájának kiterjesztéséhez rendszergazdai jogosultságokkal kell rendelkeznie a teljes fán. A séma kiterjesztése: 1 A Szerepek és feladatok területen kattintson a Séma > Séma kiterjesztése menüpontokra. 2 Kövesse az ICE varázsló lépéseit az adatok importálása, exportálása, áthelyezése és a
sémafrissítési és összehasonlítási műveletek során.
5.7.9
Objektum kiterjesztése 1 A Szerepek és feladatok területen kattintson a Séma > Objektum kiterjesztése menüpontokra. 2 Határozza meg a kiterjeszteni kívánt objektum nevét és környezetét, és kattintson az OK
gombra. 3 Attól függően, hogy a kiegészítő osztály, amelyet használni szeretne megjelenik-e már az
Aktuális kiegészítőosztály-kiterjesztések szakaszban, kattintson a következők valamelyikére: Igen: Lépjen ki az eljárásból. Ehelyett olvassa el az objektum kiegészítő tulajdonságainak módosítására vonatkozó részt a NetIQ eDirectory felügyeleti útmutatójában (https:// www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html). Nem: Kattintson a Hozzáadás gombra, válassza ki a kiegészítő osztályt, és kattintson az OK gombra. 4 Kattintson a Bezárás gombra.
Több objektumhoz egyszerre is hozzáadhat kiegészítő osztályokat, és egyszerre el is távolíthatja őket. 1 A Szerepek és feladatok területen kattintson a Séma > Objektumkiterjesztések menüpontokra. 2 Kattintson a Több objektum kiválasztása fülre. 2a Kattintson arra az objektumra, amelyet ki szeretne terjeszteni, majd az OK gombra.
Szerepek és feladatok
53
Megjelennek azok a kiegészítőosztály-kiterjesztések, amelyek közösek minden kijelölt objektumban. 2b Kiegészítő osztály hozzáadásához kattintson a Hozzáadás gombra, válassza ki a kívánt kiegészítő osztályt, és kattintson az OK gombra. 2c Meglévő kiegészítő osztály törléséhez válassza ki az osztályt, majd kattintson az Eltávolítás gombra. 3 Az oldalról a Bezárás gombra kattintva léphet ki.
5.8
Felhasználók A felhasználók és a hálózati hozzáférésük kezelése a címtár központi feladata. Az iManager konzolon az alábbi, felhasználókkal kapcsolatos feladatokat állnak rendelkezésre: „Felhasználó létrehozása”, 5.8.1. szakasz (54. oldal) „Felhasználó törlése”, 5.8.2. szakasz (55. oldal) „Fiók letiltása”, 5.8.3. szakasz (55. oldal) „Fiók engedélyezése”, 5.8.4. szakasz (55. oldal) „Felhasználó módosítása”, 5.8.5. szakasz (56. oldal) „Felhasználó áthelyezése”, 5.8.6. szakasz (56. oldal) „Felhasználó átnevezése”, 5.8.7. szakasz (56. oldal) A címtár felhasználói objektumairól további információt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) olvashat.
5.8.1
Felhasználó létrehozása Új felhasználói objektum létrehozása: 1 A Szerepek és feladatok területen kattintson a Felhasználó > Felhasználó létrehozása
menüpontokra. 2 A Felhasználó létrehozása oldalon adja meg legalább a kötelező, felhasználókkal kapcsolatos adatokat, majd kattintson az OK gombra.
Felhasználónév Vezetéknév Környezet Jelszó (kétszer) FONTOS: Ha nem sikerül jelszót megadnia, a rendszer megkérdezi, hogy engedélyezi-e a felhasználónak, hogy jelszó nélkül lépjen be (nem ajánlott), vagy megköveteli a jelszót a belépéshez. Válassza az Egyszerű jelszó megadása lehetőséget egy egyszerű jelszó beállításához, ami a natív fájlhozzáféréshez szükséges a Windows* és a Macintosh* rendszer felhasználói számára. Ha engedélyezve van az Univerzális jelszó funkció, akkor ez nem szükséges.
54
NetIQ iManager – felügyeleti útmutató
Válassza a Másolás sablonból vagy felhasználóobjektumból lehetőséget, ha egy meglévő sablon vagy felhasználói objektum alapján szeretne felhasználót létrehozni. Felhasználói objektumból történő másoláskor az iManager csak az új objektum NDS-jogosultságainak másolását engedélyezi, az NDS-jogosultságokét nem, hogy a felhasználók ne kaphassanak a rendszergazdáéval azonos jogosultságokat. A rendszer létrehozza a felhasználó kezdőkönyvtárát a felhasználói objektum létrehozásakor. A könyvtár helyének megadásához válassza a Kezdőkönyvtár létrehozása lehetőséget. Ha olyan elérési utat ad meg, amely nem létezik, megjelenik egy üzenet arról, hogy a felhasználó kezdőkönyvtára nem jött létre.
5.8.2
Felhasználó törlése Felhasználói objektum törlése: 1 A Szerepek és feladatok területen kattintson a Felhasználók > Felhasználó törlése
menüpontokra. 2 Írja be az objektum nevét és környezetét, vagy keresse meg a keresési funkcióval, és kattintson az OK gombra. 3 Kattintson a Törlés gombra.
Megjelenik a felhasználói objektum törlését jelző megerősítő üzenet.
5.8.3
Fiók letiltása Felhasználói fiók letiltása, hogy a felhasználó ne tudja sikeresen elvégezni a hitelesítést a könyvtárba való belépéshez: MEGJEGYZÉS: Ezzel csak a fiók letiltása utáni hitelesítést lehet megakadályozni. Ha a fiók letiltásakor be volt jelentkezve, a hozzáférése nem változik, amíg ki nem jelentkezik. 1 A Szerepek és feladatok területen kattintson a Felhasználók > Fiók letiltása menüpontokra. 2 Adja meg az objektum nevét és környezetét, vagy keresse meg az objektumot az objektumválasztóval, majd kattintson az OK gombra. 3 Kattintson a Letiltás gombra.
5.8.4
Fiók engedélyezése Előzőleg letiltott felhasználói fiók engedélyezése: 1 A Szerepek és feladatok területen kattintson a Felhasználók > Fiók engedélyezése
menüpontokra. 2 Adja meg az objektum nevét és környezetét, vagy keresse meg az objektumot az objektumválasztóval, majd kattintson az OK gombra. 3 Kattintson az Engedélyezés gombra.
Szerepek és feladatok
55
5.8.5
Felhasználó módosítása Meglévő felhasználói objektum tulajdonságainak módosítása: 1 A Szerepek és feladatok területen kattintson a Felhasználók > Felhasználó módosítása
menüpontokra. 2 Adja meg az objektum nevét és környezetét, vagy keresse meg az objektumot az objektumválasztóval, majd kattintson az OK gombra.
A tartalomkeretben megjelenik a felhasználói objektum tulajdonságjegyzéke. 3 Hajtsa végre a módosításokat, majd kattintson az Alkalmaz vagy az OK gombra a módosítások
mentéséhez.
5.8.6
Felhasználó áthelyezése Felhasználói objektum áthelyezése: 1 A Szerepek és feladatok területen kattintson a Felhasználók > Felhasználó áthelyezése
menüpontokra. 2 Adja meg a szükséges információkat az „Objektum áthelyezése”, 43. oldal szakaszban leírtak
szerint.
5.8.7
Felhasználó átnevezése Felhasználói objektum átnevezése: 1 A Szerepek és feladatok területen kattintson a Felhasználók > Felhasználó átnevezése
menüpontokra. 2 Adja meg a szükséges információkat az „Objektum átnevezése”, 43. oldal szakaszban leírtak
szerint.
56
NetIQ iManager – felügyeleti útmutató
6
Az iManager konfigurálása és testreszabása
6
Ez a szakasz a NetIQ iManager különböző konfigurációs funkcióit ismerteti. Az iManager beállításait a Konfigurálás nézetben adhatja meg. E szakasz témakörei a következők: „szerep alapú szolgáltatások”, 6.1. szakasz (57. oldal) „RBS-beállítások”, 6.2. szakasz (61. oldal) „RBS-jelentéskészítés”, 6.3. szakasz (72. oldal) „iManager-kiszolgáló”, 6.4. szakasz (76. oldal) „Objektum-létrehozási lista”, 6.5. szakasz (84. oldal) „Beépülő modulok telepítése”, 6.6. szakasz (84. oldal) „Beépülő modulok letöltése és telepítése”, 6.7. szakasz (85. oldal) „E-mail-értesítés”, 6.8. szakasz (88. oldal) „Nézetek”, 6.9. szakasz (89. oldal) FONTOS: A szerep alapú szolgáltatások használata nem kötelező, de javasoljuk a beállítását az iManager szoftver optimális használata érdekében. A szerep alapú szolgáltatásokat (RBS) konfigurálni kell az eDirectory-fában, ha használni szeretné a Plug-in Studiót. Az RBS-objektumokat ne a Novell ConsoleOne eszközzel módosítsa vagy törölje. Az RBSobjektumokat csak az iManager konzollal kezelje. Ha szükséges, megakadályozhatja a rendszergazdai vagy gyűjteménytulajdonosi jogosultságokkal nem rendelkező felhasználókat abban, hogy elérjék az iManager Konfigurálás nézetét. További információ a következő témakörökben található: iManager-nézetek: „Nézetek”, 89. oldal. Felhasználói beállítások: „Beállítások”, 91. oldal. Jogosult felhasználók: „Engedélyezett felhasználók és csoportok”, 78. oldal.
6.1
szerep alapú szolgáltatások Az iManager lehetővé teszi, hogy meghatározott feladatköröket rendeljen hozzá a felhasználókhoz, és biztosítsa számukra a feladatkörök ellátásához szükséges eszközöket és jogosultságokat. Ezt a funkciót szerep alapú szolgáltatásoknak (RBS) nevezzük. A szerep alapú szolgáltatások az eDirectory-séma kiterjesztéseinek csoportja. Az RBS több objektumosztályt és attribútumot is definiál, amelyek segítségével a rendszergazdák a szervezeten belüli szerepük szerinti hozzáférést biztosíthatnak a felhasználóknak a felügyeleti feladatokhoz. Ezáltal a felhasználók csak azokhoz a feladatokhoz kapnak hozzáférést, amelyeket el kell végezniük. Az RBS csak azokat a jogosultságokat biztosítja, amelyek a kiosztott feladatok elvégzéséhez szükségesek.
Az iManager konfigurálása és testreszabása
57
MEGJEGYZÉS: A NetIQ iManager szerep alapú szolgáltatásai (RBS) a NetIQ eDirectory hozzáférés-vezérlési lista (ACL) funkcióján alapuló jogosultságokat biztosít. Az ACL-ek lehetővé teszi, hogy a meghatalmazott jogosultságokat kapjon egy meghatározott objektumhoz vagy az alárendelt objektumaihoz. Az ACL-ek kiosztása nem a meghatározott objektumtípusok alapján történik. Minden NetIQ iManager-feladat definiálja az alkalmazandó objektumtípusait és ACL-jeit. Ezekkel az ACL-ekkel azonban lehetséges a felhasználó számára, hogy műveleteket végezzen más objektumtípusokkal az eDirectory API-k vagy más eszközök használatával, például a Novell ConsoleOne vagy az NWAdmin eszközökkel. Az RBS-sel hozhat létre meghatározott szerepeket a szervezeten belül. A szerepek olyan feladatokat tartalmaznak, amelyeket a hozzárendelt felhasználó elvégezhet az iManager konzolon, például új felhasználó létrehozása vagy jelszómódosítás. A feladatok előre hozzá vannak rendelve a szerepekhez, de lecserélhetők, újra kioszthatók vagy teljes egészében eltávolíthatók. Ezenkívül a felhasználók meghatározott hatókörbe tartozó szerepekhez vannak társítva. A hatókör a fa egy olyan konténere, amelyben a felhasználó a feladatok elvégzéséhez szükséges engedélyekkel bír. A szerephez mindhárom társítás – a szerep, a tagok és a hatókör társítása szükséges. Az RBS-szerepobjektumokkal társítás jön létre a felhasználók és a feladatok között. A rendszergazda azáltal biztosít hozzáférést valamely feladathoz, hogy a felhasználót annak a szerepnek a tagjává teszi, amelyhez a feladat hozzá van rendelve. A felhasználókat az alábbi módokon lehet hozzárendelni szerepekhez: Közvetlenül felhasználóként Csoporthoz vagy dinamikus csoporthoz való hozzárendelés útján Ha a felhasználó egy szerephez hozzárendelt csoport vagy dinamikus csoport tagja, akkor hozzáfér a szerephez. Szervezeti szerep hozzárendelésével Ha a felhasználó egy olyan szervezeti szerep tulajdonosa, amelyhez hozzá van rendelve egy szerep, akkor a felhasználó hozzáféréssel rendelkezik a szerephez. Konténer hozzárendelésével A felhasználói objektum hozzáfér minden szerephez, amelyhez a szülőkonténere hozzá van rendelve. Ez más konténereket is magában foglalhat, egészen a fa gyökeréig. Egy felhasználóhoz többször is lehet szerepet társítani, mindegyiket más hatókörrel.
6.1.1
RBS-objektumok az eDirectory szolgáltatásban A következő táblázat az RBS-objektumokat tartalmazza. Az iManager az RBS telepítésekor kiterjeszti az eDirectory-sémát, hogy tartalmazza ezeket az objektumokat. További információ: „Az RBS telepítése”, 60. oldal.
58
NetIQ iManager – felügyeleti útmutató
Objektum rbsCollection
Leírás Konténerobjektum, amely az összes RBS szerep- és modulobjektumot tartalmazza. Az rbsCollection objektumok minden RBS-objektum legfelső szintű konténerei. Egy fának akármennyi rbsCollection objektuma lehet. Ezeknek az objektumoknak vannak tulajdonosai, akik a gyűjtemény felett kezelési jogosultságokkal rendelkező felhasználók. Az rbsCollection objektumokat az alábbi konténerek bármelyikében létre lehet hozni:
Ország Tartomány Hely Szervezet Szervezeti egység rbsRole
A szerep definiálása magában foglalja egy rbsRole objektum létrehozását, és azoknak a feladatoknak a meghatározását, amelyeket a szerepben végre lehet hajtani. Az rbsRole objektumok olyan konténerobjektumok, amelyeket csak rbsCollection konténerben lehet létrehozni. A szerep tagjai lehetnek felhasználók, csoportok, szervezetek, szervezeti szerepek vagy szervezeti egységek, és a szereptagok a fa egy meghatározott hatóköréhez tartozó szerephez vannak társítva. Az rbsTask és az rbsBook objektumok rbsRole objektumokhoz vannak hozzárendelve.
rbsTask
Levélobjektum, amely meghatározott funkciót tartalmaz, mint például a jelszavak visszaállítása. rbsTask objektumok csak rbsModule konténerekben találhatók.
rbsBook (másként tulajdonságjegyzé k)
A jegyzék egy levélobjektum, amely olyan oldalak csoportját jeleníti meg, amely lehetővé teszi a felhasználó számára ugyanolyan típusú objektumok vagy objektumcsoportok tulajdonságainak megtekintését vagy módosítását. A jegyzék minden oldalá van egy fül, amelyre kattintva különböző oldalak tekinthetők meg. Jegyzékobjektum csak rbsModule konténerekben található, és hozzá lehet rendelni egy vagy több szerephez és objektumosztály-típushoz.
rbsScope
ACL-hozzárendelésekhez használt levélobjektum (az egyes felhasználói objektumokhoz való társítás helyett). Az rbsScope objektumok a fának azt a környezetét képviselik, ahol a szoftver végrehajtja a szerepet és társítja az rbsRole objektumokkal. Az öröklés a csoport osztályból történik. A felhasználói objektumokat rbsScope objektumhoz rendelik hozzá. Ezek az objektumok hivatkozással rendelkeznek a fának arra a hatókörére, amelyhez társítva vannak. Az objektumok szükség esetén dinamikusan jönnek létre, és amikor már nincs rájuk szükség, automatikusan törlődnek. Kizárólag rbsRole konténerekben találhatók. FIGYELEM: Soha ne változtassa meg az rbsScope objektumok konfigurációját. Ennek súlyos következményei lennének, és a rendszer meghibásodását okozhatná.
Az iManager konfigurálása és testreszabása
59
Objektum rbsModule
Leírás Olyan konténerobjektumot képvisel, amely rbsTask és rbsBook objektumokat tartalmaz. Az rbsModule objektumok olyan modulnév attribútummal rendelkeznek, amely a feladatokat vagy jegyzékeket definiáló termék nevét képviselik (például eDirectory-karbantartási segédprogramok, NMAS-felügyelet vagy NetIQ tanúsítványkiszolgálói hozzáférés). Az rbsModule objektumokat csak rbsCollection konténerekben lehet létrehozni.
rbs-kategória
A kategória olyan szerepeket és feladatokat csoportosít, amelyek egy meghatározott funkcióra jellemzők. Az iManager 14 alapértelmezett kategóriát tartalmaz: hitelesítés és jelszavak, együttműködés, könyvtár, fájlkezelés, Identity Manager, infrastruktúra, telepítés és frissítés, hálózat, Novell Audit, nyomtatás, biztonság, kiszolgálók, szoftverlicencek és hálózat, használat, felhasználók és csoportok. Az összes kategória kiválasztása megjelenít minden rendelkezésre álló szerepet és feladatot. Új kategóriákat is létrehozhat, és hozzájuk rendelhet szerepeket és feladatokat.
Az RBS-objektumok az eDirectory-fán a következő ábra szerint helyezkednek el: ábra 6-1 Szerep alapú szolgáltatások az eDirectory címtárban
6.1.2
Az RBS telepítése Az RBS-t az iManager beállítása varázslóval lehet telepíteni. 1 Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások
menüpontokra. 2 Válassza Az iManager beállítása lehetőséget. 3 Kövesse a képernyőn megjelenő utasításokat.
60
NetIQ iManager – felügyeleti útmutató
6.1.3
Az RBS eltávolítása Ha a szerep alapú szolgáltatásokra már nincs szükség a fán, az RBS-gyűjtemény objektum biztonságosan törölhető az iManager konzolon. Az RBS-gyűjtemény törlésével automatikusan törli az összes felhasználóiszerep-társítást és -hatókört a fán. Ne törölje az RBS-gyűjteményt más segédprogramokkal, például a ConsoleOne eszközzel. RBS-alapú szolgáltatások eltávolítása: 1 Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások
menüpontokra. 2 Jelölje ki a gyűjteményt, amelyet törölni szeretne. 3 Kattintson a Törlés gombra.
Az RBS-gyűjtemény törlése után az iManager konzolba bejelentkező minden felhasználó hozzárendelt hozzáférési módban lép be, annak ellenére, hogy nincs RBS-gyűjtemény objektum a fán. A korlátozás nélküli módba (az alapértelmezett mód) való visszatérés: 1 A Konfigurálás nézetben kattintson az iManager-kiszolgáló > Az iManager beállítása
menüpontokra. 2 Kattintson az RBS fülre. 3 Jelölje ki a megfelelő fanevet az RBS-falista mezőben, és kattintson a mínusz gombra. 4 Kattintson a Mentés gombra.
MEGJEGYZÉS: Ha az iManager konzolt korlátlan üzemmódban használja, általában a következő üzenetet láthatja az iManager kezdőlapján: Megjegyzés: Néhány szerep és feladat nem elérhető. Ha a Részletek lehetőségre kattint, több feladatnál is megjelenhet A jelenlegi hitelesítők nem támogatják üzenet, annak ellenére, hogy a feladatok működése megfelelő. Ez az üzenet félrevezető, és az iManager az RBS konfigurálása után eltávolítja az üzenetet.
6.2
RBS-beállítások Az RBS-beállítások feladat segítségével teljesen ellenőrizhetők az RBS-objektumok. Ez az RBSobjektumok kezelésének és beállításának központi helye. Az RBS-objektumokat típus szerint listázhatja és módosíthatja. A feladat az RBS rendszerre vonatkozó hasznos információkat is tartalmaz, mint például a gyűjteményben található modulok száma, a telepített modulok száma, a nem telepített modulok száma és a lejárt modulok száma. Bizonyos feladatok lehetővé teszik, hogy egyszerre több objektumon is műveleteket végezzen. Például egyidejűleg több tagot is társíthat egy szerephez, illetve megszüntetheti a társításukat. A Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-konfigurálás menüpontokra az RBS-beállítások oldal tartalomkeretben történő megnyitásához. Az oldal két lapfület tartalmaz: iManager 2.x verziójú gyűjtemény: A jelenlegi RBS-beállítások megjelenítése. iManager 1.x verziójú gyűjtemények: A régebbi RBS-gyűjtemények megjelenítése, amelyeket törölhet, vagy áttelepíthet az iManager 2.x verziójába. Ha az Áttelepítés pontot választja, a varázsló végigvezeti az áthelyezési folyamaton.
Az iManager konfigurálása és testreszabása
61
Az iManager csak azokat a gyűjteményeket jeleníti meg, amelyeknek Ön a tulajdonosa, és a következő információkat tartalmazza az egyes gyűjteményeknél: Modul: A webkiszolgálón található modulok számát jelzi, amelyekbe be van jelentkezve. Telepített: A jelenleg telepített modulok számát jelzi. Lejárt: A jelenleg telepített lejárt modulok számát jelzi. Nem telepített: A rendelkezésre álló, de nem telepített modulok számát jelzi. Ha munkát szeretne végezni egy meghatározott gyűjteménnyel, válassza ki a listából. Ezzel megnyit egy, a gyűjteményre jellemző nézetet, amint azt a ábra 6-2 szemlélteti. ábra 6-2 Munkavégzés RBS-gyűjteményekkel az iManager konzolban
A szakasz fennmaradó része az RBS-gyűjtemény oldal különböző füleit ismerteti, valamint a többi, RBS-hez kapcsolódó feladatot a szerepalapú szolgáltatások kategóriában. „A Szerep fül”, 6.2.1. szakasz (63. oldal) „A Feladat fül”, 6.2.2. szakasz (65. oldal) „A Tulajdonságjegyzék fül”, 6.2.3. szakasz (66. oldal) „A Modul fül”, 6.2.4. szakasz (68. oldal) „A Kategória fül”, 6.2.5. szakasz (68. oldal) „Plug-in Studio”, 6.2.6. szakasz (69. oldal) „Tagtársítások szerkesztése”, 6.2.7. szakasz (71. oldal) „Tulajdonosgyűjtemények szerkesztése”, 6.2.8. szakasz (72. oldal)
62
NetIQ iManager – felügyeleti útmutató
6.2.1
A Szerep fül Az RBS-gyűjtemény Szerep füle lehetővé teszi az RBS-szerepek kezelését a gyűjteményben. Ezen a lapon az alábbi műveleteket végezheti: „Új szerep létrehozása”, 63. oldal „Szerep szerkesztése”, 63. oldal „Szerep törlése”, 63. oldal „Tag hozzárendelésének beállítása”, 64. oldal „Kategória hozzárendelése”, 64. oldal „Leírás hozzáadása egy szerephez”, 64. oldal MEGJEGYZÉS: Szerep kiválasztásához jelölje be a szerep neve mellett, a bal oldalon található jelölőnégyzetet.
Új szerep létrehozása Új szerep létrehozása a gyűjteményben: 1 A Szerep lapon kattintson az Új > iManager-szerep menüpontokra. 2 Kövesse az iManager-szerep varázsló lépéseit.
A varázslóban végigkövetheti a szerep elnevezésének, a feladatok és kategóriák szerephez való hozzárendelésének, valamint a szereptagok és hatókörök szerephez való hozzárendelésnek lépéseit.
Szerep szerkesztése Meglévő szerep szerkesztése a gyűjteményben: 1 A Szerep lapon válassza ki a szerepet, és kattintson a Szerkesztés gombra.
Megjelenik a szerep feladatlistája. 2 Adjon hozzá feladatokat ehhez az oldalhoz, vagy távolítsa el őket igény szerint, és kattintson az OK gombra.
Szerep törlése A gyűjteményhez tartozó szerep törlése: 1 A Szerep lapon válassza ki a szerepet, és kattintson a Törlés gombra.
Megjelenik a következő üzenet: Ez a művelet törli az összes kijelölt szerepet. Folytatja? 2 A szerep törléséhez kattintson az OK gombra.
Az iManager konfigurálása és testreszabása
63
Tag hozzárendelésének beállítása Tag hozzáadása egy meglévő szerephez: 1 A Szerep lapon válassza ki a szerepet, majd kattintson a Műveletek > Taghozzárendelések
menüpontra. 2 Adja meg a tag szükséges adatait, és kattintson a Hozzáadás gombra.
Név: Adja meg vagy az objektumválasztóval keresse meg a kívánt objektumot, amelyet a szerep tagjává szeretne tenni. Hatókör: Adja meg vagy keresse meg az objektumválasztóval azt a konténert, amely meghatározza a hatókört, amelyen belül ennek a tagnak a szerepe használható. 3 A taglistában adja meg, hogyan szeretné az ezzel a szereppel kapcsolatos jogosultságokat hozzárendelni a taghoz, és kattintson az OK gombra.
Jogok hozzárendelése: Utasítja az eDirectory rendszert, hogy automatikusan biztosítsa a tagnak a hozzárendelt szerep betöltéséhez szükséges jogosultságokat. Ha nincs kiválasztva, megtörténik a szerep hozzárendelése a taghoz, de lehet, hogy nem lesznek jogosultságai a szerephez társított összes feladat elvégzésére. A tag jogosultságainak hozzárendelése külön történik. Örökölhető: Válassza a részfa lehetőséget annak jelzéséhez, hogy a tag hatóköre magában foglalja a meghatározott környezethez tartozó összes alkonténert. Válassza az alapobjektum lehetőséget, annak jelzéséhez, hogy a tag csak a meghatározott konténerben töltheti be a szerepet. MEGJEGYZÉS: Ha a felhasználó gyűjteménytulajdonos, és be van állítva a tagtársítás, akkor kezelheti az összes RBS-objektumot a meghatározott hatókörben. Az eDirectory címtárban található RBS-objektumok listájának és a leírásuknak a megtekintéséhez lásd: „RBS-objektumok az eDirectory szolgáltatásban”, 6.1.1. szakasz (58. oldal).
Kategória hozzárendelése Kategória-hozzárendelés hozzáadása meglévő szerephez: 1 A Szerep lapon válassza ki a szerepet, majd kattintson a Műveletek > Kategória-hozzárendelés
menüpontra. Megjelenik a Kategória-hozzárendelés oldal. 2 Válassza ki a kategóriát, és kattintson a jobbra mutató nyílra, hogy hozzárendelje a szerephez. 3 Kattintson az OK gombra.
Leírás hozzáadása egy szerephez Leírás hozzáadása egy meglévő szerephez: 1 A Szerep lapon válassza ki a szerepet, és kattintson a Műveletek > Leírás menüpontokra. 2 Adja meg a leírást a szövegmezőben, és kattintson az OK gombra.
64
NetIQ iManager – felügyeleti útmutató
6.2.2
A Feladat fül A feladat egy olyan beépülő modul, amely meghatározott felügyeleti funkciót hajt végre, például felhasználó létrehozása vagy jelszó beállítása. Az iManager csoportba rendezetten jeleníti meg a feladatokat az ablak bal oldalán lévő navigációs területen. Az RBS-gyűjtemény Feladat lapján az alábbi műveleteket végezheti: „Új feladat létrehozása”, 65. oldal „Feladat törlése”, 65. oldal „Feladat szerep-hozzárendelésének szerkesztése”, 65. oldal „Leírás hozzáadása feladatokhoz”, 65. oldal
Új feladat létrehozása Új feladat létrehozása: 1 A Szerep lapon kattintson az Új > iManager-feladat menüpontokra. 2 Kövesse az iManager-feladat létrehozása varázsló lépéseit.
A varázslóban végigkövetheti azokat a lépéseket, amelyekkel megadhatja a létrehozandó új feladat szükséges adatait. A feladatok Plug-in Studio programban való létrehozásáról lásd: „Új feladat létrehozása a Plug-in Studio programban”, 69. oldal.
Feladat törlése Meglévő feladat törlése: 1 A Feladat lapon válassza ki a feladatot, majd kattintson a Törlés gombra.
Megjelenik a következő üzenet: Ez a művelet törli az összes kijelölt feladatot. Folytatja? 2 Kattintson az OK gombra.
Feladat szerep-hozzárendelésének szerkesztése Annak a szereplistának a szerkesztése, amelyhez feladat van hozzárendelve: 1 A Feladat lapon válassza ki a feladatot, majd kattintson a Műveletek > Szerep-hozzárendelés
menüpontra. 2 A Szerep-hozzárendelés szerkesztése oldalon adjon hozzá szerepeket a Hozzárendelt szerepek mezőhöz, vagy távolítsa el őket, és kattintson az OK gombra.
Leírás hozzáadása feladatokhoz Leírás hozzáadása egy meglévő feladathoz: 1 A Feladat lapon válassza ki a feladatot, majd kattintson a Műveletek > Leírás menüpontra. 2 Adja meg a leírást a szövegmezőben, és kattintson az OK gombra.
Az iManager konfigurálása és testreszabása
65
6.2.3
A Tulajdonságjegyzék fül A tulajdonságjegyzékben megjelennek egy meghatározott objektumtípus módosítható attribútumai. Ezek ugyanahhoz a típushoz tartozó objektum vagy objektumcsoport tulajdonságai. A tulajdonságjegyzékeket hozzá lehet rendelni szerepekhez, és megjelennek a szerep feladatlistájában. A felhasználói objektumokat módosító tulajdonságjegyzék például rendelkezhet olyan oldallal, amelyen megadhatja a felhasználó bejelentkezési parancsfájlját. Egy másik oldalon pedig megváltoztathatja a felhasználó e-mail-címét és telefonszámát. A tulajdonságjegyzék-oldalak a feladatokhoz hasonlók. Azonban ezekben az attribútumokat egyetlen nézetben lehet megjeleníteni és módosítani. Bonyolultabb, varázslóhoz hasonló felhasználói felület egy feladat létrehozásával érhető el. Az RBS-gyűjtemény Tulajdonságjegyzék lapján az alábbi műveleteket végezheti: „Új tulajdonságjegyzék létrehozása”, 66. oldal „Tulajdonságjegyzék törlése.”, 66. oldal „Szerep-hozzárendelés szerkesztése tulajdonságjegyzékben”, 67. oldal „Tulajdonságjegyzék laplistájának módosítása”, 67. oldal „Tulajdonságjegyzék objektumtípus-hozzárendelésének módosítása”, 67. oldal „Tulajdonságjegyzék leírásának hozzáadása/módosítása”, 67. oldal „Az előnyben részesített objektumkiválasztási módszer meghatározása vagy módosítása a tulajdonságjegyzék feladatánál”, 67. oldal
Új tulajdonságjegyzék létrehozása Új tulajdonságjegyzék létrehozása: 1 A Tulajdonságjegyzék lapon kattintson az Új pontra. 2 Kövesse a Tulajdonságjegyzék létrehozása varázsló lépéseit.
A varázslóban követheti azokat a lépéseket, amelyekkel megadhatja a létrehozandó tulajdonságjegyzék szükséges adatait. FONTOS: Az iManager konzolban bizonyos karaktereknek különleges jelentőségük van, és csak a fordított perjel (\) escape-karakterrel használhatók. További információ: „Különleges karakterek”, 3.2. szakasz (26. oldal).
Tulajdonságjegyzék törlése. Tulajdonságjegyzék törlése: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Törlés
gombra. Megjelenik a következő üzenet: Ez a művelet törli az összes kijelölt tulajdonságjegyzéket. Folytatja? 2 Kattintson az OK gombra.
66
NetIQ iManager – felügyeleti útmutató
Szerep-hozzárendelés szerkesztése tulajdonságjegyzékben Annak a szereplistának a szerkesztése, amelyhez tulajdonságjegyzék van hozzárendelve: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Műveletek > Szerep-hozzárendelés menüpontokra. 2 A Szerep-hozzárendelés szerkesztése oldalon adjon hozzá szerepeket a Hozzárendelt szerepek mezőhöz, vagy távolítsa el őket, és kattintson az OK gombra.
Tulajdonságjegyzék laplistájának módosítása Tulajdonságjegyzékhez társított attribútumoldalak módosítása: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Műveletek > Lap lista menüpontokra. 2 A Laplista szerkesztése oldalon adjon hozzá szerepeket a Hozzárendelt lapok mezőhöz, vagy
távolítsa el őket onnan. A lapok sorrendjének módosításához válasszon ki egy lapot, és kattintson a Feljebb vagy a Lejjebb gombra.
Tulajdonságjegyzék objektumtípus-hozzárendelésének módosítása Tulajdonságjegyzékhez társított objektumtípusok listájának módosítása: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Műveletek > Objektumtípus menüpontokra. 2 Az Objektumtípus szerkesztése oldalon adjon hozzá szerepeket a Hozzárendelt objektumtípusok mezőhöz, vagy távolítsa el őket, és kattintson az OK gombra.
Tulajdonságjegyzék leírásának hozzáadása/módosítása Meglévő feladat leírásának hozzáadása/módosítása: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Műveletek > Leírás menüpontokra. 2 Adja meg vagy módosítsa a leírást a szövegmezőben, és kattintson az OK gombra.
Az előnyben részesített objektumkiválasztási módszer meghatározása vagy módosítása a tulajdonságjegyzék feladatánál Az előnyben részesített objektumkiválasztási módszer meghatározása vagy módosítása egy meglévő feladatnál: 1 A Tulajdonságjegyzék lapon válassza ki a tulajdonságjegyzéket, majd kattintson a Műveletek > Célkiválasztó üzemmódja menüpontokra. 2 Az Üzemmód listából válassza ki a megfelelő üzemmódot: egyszeres, többszörös, egyszerű vagy speciális, majd kattintson az OK gombra.
Ekkor egy sikert jelző üzenet jelenik meg. Kattintson az OK gombra. MEGJEGYZÉS: Az iManager alaptartalom modulon végrehajtott módosítások csak a Tomcat újraindítása után lépnek érvénybe.
Az iManager konfigurálása és testreszabása
67
6.2.4
A Modul fül A Modul lap listázza a kiválasztott gyűjteményben jelenleg telepített RBS-modulokat. Minden egyes modul tartalmaz RBS-tulajdonságjegyzékeket és -feladatokat. Ezen az oldalon modulokat vehet fel (ha testre szabott tulajdonságjegyzéket szeretne létrehozni) és törölhet, valamint leírást írhat be a kiválasztott beépülő modulhoz. Az RBS-gyűjtemény Modul lapján az alábbi műveleteket végezheti: „Új beépülő modul hozzáadása”, 68. oldal „RBS-modul törlése”, 68. oldal „Leírás hozzáadása”, 68. oldal
Új beépülő modul hozzáadása Új beépülő modul hozzáadása: 1 A Modul lapon válassza az Új lehetőséget. 2 Adja meg az RBS-modul nevét és a célkörnyezetet, majd kattintson az OK gombra.
Az iManager konzolban megjelenik a modul hozzáadását jelző üzenet.
RBS-modul törlése Meglévő beépülő modul törlése: 1 A Modul lapon válassza ki a törlendő modult, és kattintson a Törlés gombra. 2 A modul törlésének jóváhagyásához kattintson az OK gombra.
Leírás hozzáadása Leírás hozzáadása egy meglévő beépülő modulhoz: 1 A Modul lapon válassza ki a modult, majd kattintson a Műveletek > Leírás menüpontra. 2 Adja meg a modul leírását, és kattintson az OK gombra.
6.2.5
A Kategória fül A kategóriákban a rendszer a kapcsolódó szerepeket és feladatokat csoportosítja. Az RBSgyűjtemény Kategória lapján az alábbi műveleteket végezheti: „Új kategória felvétele”, 68. oldal „Kategória törlése”, 69. oldal „Leírás hozzáadása”, 69. oldal
Új kategória felvétele Leírás hozzáadása egy meglévő beépülő modulhoz: 1 A Kategória lapon válassza az Új lehetőséget.
Ezzel elindítja a Kategória létrehozása varázslót. 2 Adja meg a kategória nevét és leírását (nem kötelező), majd kattintson a Következő gombra.
68
NetIQ iManager – felügyeleti útmutató
3 Válassza ki, hogy milyen szerepeket szeretne társítani az új kategóriához, és kattintson a Következő gombra. 4 Tekintse át az új kategória-összefoglalót, és kattintson a Befejezés gombra.
Kategória törlése Meglévő kategória törlése: 1 A Kategória lapon válassza ki a törlendő modult, és kattintson a Törlés gombra. 2 A kategória törlésének jóváhagyásához kattintson az OK gombra.
Leírás hozzáadása Meglévő kategória leírásának hozzáadása vagy módosítása: 1 A Kategória lapon válassza ki a kategóriát, majd kattintson a Műveletek > Leírás menüpontra. 2 Adja meg a kategória leírását, és kattintson az OK gombra.
6.2.6
Plug-in Studio A Plug-in Studio gyors és könnyű módot kínál a napjában többször is elvégzett feladatok egyszerűsítésére. A Plug-in Studio szoftverrel dinamikusan feladatokat hozhat létre a leggyakrabban végrehajtott műveletekhez. A szoftverben szerkesztheti és törölheti is a feladatokat. Felhasználó módosításához például az Objektum módosítása lehetőség kiválasztása helyett létrehozhat egy dinamikus felhasználói felületet, amelyen szerkesztheti csak a kiválasztott attribútumokat, például az utónevet vagy a címet. Az adatok tárolása a TOMCAT_KEZDŐKÖNYVTÁRA/ webapps/nps/portal/modules/custom könyvtárban történik. MEGJEGYZÉS: A NetIQ javasolja, hogy a Plug-In Studio használata esetén ne futtasson több iManager-kiszolgálót ugyanazon RBS használatával. A Plug-In Studio nem frissíti megfelelően a beépülő modulokat az eDirectory címtárban. A Plug-in Studio-feladatból a következő műveleteket hajthatja végre: „Új feladat létrehozása a Plug-in Studio programban”, 69. oldal „Feladat szerkesztése”, 70. oldal „Feladat törlése”, 70. oldal „Egyéni feladatok másolása”, 71. oldal „Egyéni feladatok exportálása”, 71. oldal „Egyéni feladatok importálása”, 71. oldal
Új feladat létrehozása a Plug-in Studio programban Új feladat létrehozása a Plug-in Studio programban: 1 A Konfigurálás nézetben válassza a Szerep alapú szolgáltatások > Plug-in Studio menüpontot. 2 Kattintson az Új lehetőségre.
Megjelenik a Feladatszerkesztő, amely segít a testre szabott feladatok és tulajdonságoldalak felépítésében.
Az iManager konfigurálása és testreszabása
69
3 Adja meg az objektumtípus és a platform adatait, és kattintson a Következő gombra.
Elérhető osztályok: Adja meg az új feladathoz társított objektumosztályt. Céleszköz: Adja meg azt a platformot, amelyen a feladat végre lesz hajtva. Általában az alapértelmezett kiválasztás (Alapértelmezett) megfelelően működik. Beépülő modul típusa: Adja meg annak a feladatnak a típusát, amelyet létrehoz. Kiegészítő osztályok hozzáadása: Válassza ezt a lehetőséget, ha szeretné a segédosztályok támogatását hozzáadni a feladathoz. 4 A Beépülőmodul-mezők képernyőn adja meg a szükséges adatokat, és kattintson a Telepítés
gombra. Amikor rákattint a Telepítés gombra, az iManager dinamikusan felépíti a feladat .xml-, .jsp-, és Java-fájljait, amelyek végrehajtják a feladatot, majd telepíti ezeket a fájlokat a rendszerbe. Attribútumok: Válassza ki a rendelkezésre álló attribútumok listájából azt az attribútumot, amelyet a feladathoz szeretne társítani. Kattintson duplán az attribútumra, ha szeretné áthelyezni a Beépülőmodul-mezők mezőbe az alapértelmezett vezérlővel. Vezérlők: Megjeleníti az Attribútumok mezőben kiválasztott attribútumhoz rendelkezésre álló vezérlőket. Kattintson duplán a vezérlőre a jelenlegi attribútum Beépülőmodul-mezők mezőbe történő áthelyezéséhez a kiválasztott vezérlővel. Beépülőmodul-mezők: Megjeleníti a feladathoz aktuálisan társított összes attribútumot/ vezérlőt. Ezzel a mezővel eltávolíthat attribútumokat a feladatból, megváltoztathatja az attribútumhoz társított vezérlőt, és módosíthatja a vezérlőtulajdonságokat az attribútumhoz. Beépülő modul tulajdonságai: Lehetővé teszi Beépülőmodul-azonosító megadását, feladat hozzárendelését RBS-gyűjteményhez és feladat hozzárendelését Szerephez. A hozzárendelt szerep meghatározza, hol fog megjelenni a feladat a Szerepek és feladatok navigációs képernyőn.
Feladat szerkesztése Meglévő beépülő modul szerkesztése a Plug-in Studio programban: 1 A Konfigurálás nézetben válassza a Szerep alapú szolgáltatások > Plug-in Studio menüpontot. 2 Válassza ki a feladatot, majd kattintson a Szerkesztés gombra. 3 Módosítsa az „Új feladat létrehozása”, 65. oldal szakaszban ismertetett beállításokat, és kattintson a Telepítés gombra.
Az iManager konzolon megjelenik a beépülő modul sikeres létrehozását és telepítését jelző üzenet.
Feladat törlése Meglévő beépülő modul törlése a Plug-in Studio programban: 1 A Konfigurálás nézetben válassza ki a Szerep alapú szolgáltatások > Plug-in Studio
menüpontot. 2 Válassza ki a beépülő modult a telepített testre szabott beépülő modulok listájából, és kattintson a Törlés gombra.
Megjelenik a következő üzenet: Biztosan törölni szeretné ezt a beépülő modult?
70
NetIQ iManager – felügyeleti útmutató
3 A beépülő modul törléséhez kattintson az OK gombra.
Az iManager konzolon megjelenik a beépülő modul sikeres törlését jelző üzenet.
Egyéni feladatok másolása Meglévő beépülő modul másolása a Plug-in Studio programban: 1 A Konfigurálás nézetben válassza ki a Szerep alapú szolgáltatások > Plug-in Studio
menüpontot. 2 Válassza ki a beépülő modult a telepített egyéni beépülő modulok listájából, és kattintson a Műveletek > Másolás menüpontra. 3 Adja meg a lemásolt beépülő modul nevét, majd kattintson az OK gombra.
Egyéni feladatok exportálása Ezzel a feladattal egyéni feladatokat exportálhat úgy, hogy más iManager-kiszolgálókra is telepíthetők lesznek. 1 A Konfigurálás nézetben válassza ki a Szerep alapú szolgáltatások > Plug-in Studio
menüpontot. 2 Válassza ki az egyéni beépülő modult az exportáláshoz, és kattintson a Műveletek > Exportálás
menüpontra.
Egyéni feladatok importálása Ezzel a feladattal az exportált egyéni feladatokat telepítheti több iManager-kiszolgálóra. 1 A Konfigurálás nézetben válassza ki a Szerep alapú szolgáltatások > Plug-in Studio
menüpontot. 2 Válassza a Műveletek > Importálás menüpontot. 3 Adja meg azt az RBS-gyűjteményt, amelybe szeretné importálni az egyéni beépülő modulokat,
vagy keresse meg az objektumválasztóval. 4 Adja meg, vagy tallózással keresse meg az előzőleg exportált NPM-fájlt. 5 Kattintson az Importálás gombra.
6.2.7
Tagtársítások szerkesztése A tagokat kétféleképpen lehet szerepekhez társítani: Jelöljön ki egy tagot, aztán társítsa a hatókörön belüli szerephez, amint azt a következő szakasz ismerteti: „Tag hozzárendelésének beállítása”, 64. oldal. Jelöljön ki egy szerepet, aztán társítson hozzá tagokat és hatókört az alábbiak szerint. Meglévő szerep hozzárendelése egy kijelölt taghoz 1 A Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > Tagtársítás szerkesztése
menüpontra. 2 Adja meg a tagot, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Megjelenik azoknak a szerepeknek a listája, amelyekhez ez a tag hozzá van rendelve.
Az iManager konfigurálása és testreszabása
71
3 Adja meg a szerepet vagy szerephatókört, amelyet szeretne hozzáadni a taghoz, és kattintson az OK gombra.
Ezeket az adatokat a rendszer az eDirectory szolgáltatásba menti. Bejelentkezés után az újonnan hozzárendelt szolgáltatás a bal oldali oszlopban jelenik meg a tulajdonos tagnál.
6.2.8
Tulajdonosgyűjtemények szerkesztése Ezzel a feladattal változtathatja meg a gyűjteményhez hozzárendelt tulajdonost. 1 A Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > Tulajdonosgyűjtemények szerkesztése menüpontra. 2 Adja meg a gyűjtemény tulajdonosát, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra. 3 Adja hozzá, vagy távolítsa el azokat a gyűjteményeket, amelyeknek ez a személy a tulajdonosa lehet, és kattintson az OK gombra.
6.3
RBS-jelentéskészítés Az RBS-jelentéskészítési funkcióval lehet jelentést generálni a könyvtárban található RBSobjektumokról és azok konfigurációjáról. A jelentések táblázatformátumúak, és exportálhatók más formátumokba és kinyomtathatók. Az RBS-jelentéskészítés az alábbi jelentéseket állítja elő:
6.3.1
Szerep-hozzárendelések
Nem hozzárendelt feladatok
Szerep feladat-hozzárendelései
Nem hozzárendelt kategóriák
Felhasználó szerep-hozzárendelései
Egyéni szerepek
Felhasználó feladat-hozzárendelései
Egyéni feladatok
Szerepjog-hozzárendelések
Egyéni kategóriák
Nem hozzárendelt szerepek
Gyűjtemények
Jelentések létrehozása RBS-jelentés létrehozása: 1 A Konfiguráció nézetben kattintson az RBS-jelentéskészítés pontra.
Minden jelentéstípus feladatként jön létre. 2 Válassza ki a kívánt jelentést, adja meg a szükséges adatokat, és kattintson az OK gombra.
Mindegyik jelentés létrehozásához meg kell adnia néhány kezdeti adatot, például azokat a szerepeket, amelyekhez elő szeretné állítani a hozzárendelt tagok listáját.
72
NetIQ iManager – felügyeleti útmutató
ábra 6-3
6.3.2
Az iManager Konfigurálás nézete a szerep-hozzárendelési feladattal
Jelentések használata Az RBS-jelentéskészítés feladat rendezhető, nyomtatható és exportálható jelentéseket állít elő. A következő ábrán egy iManager-jelentést láthat. ábra 6-4 Szerephez hozzárendelt tagok
Jelentések rendezése Alapértelmezés szerint a jelentésben szereplő elemeket a rendszer ábécé szerint növekvő sorrendbe állítja az első oszlopban. Az iManager konzolon az oszlop neve mellett található kis ikon jelzi, hogy az illető oszlopban lévő elemek alapján vannak sorrendbe állítva az elemek. Az ikon jelzi azt is, hogy a sorrend növekvő vagy csökkenő. Ha másik oszlopban szeretné rendezni az elemeket, kattintson annak az oszlopnak a nevére. A rendezési sorrend megváltoztatásához pedig kattintson annak az oszlopnak a nevére, amelyben rendezte az elemeket.
Az iManager konfigurálása és testreszabása
73
Jelentések nyomtatása Az RBS-jelentéseket könnyen kinyomtathatja a Nyomtatás gombra kattintva. Ezzel megnyitja a böngésző nyomtatási párbeszédablakát, ahol kiválaszthatja a nyomtatót és más nyomtatási beállításokat. Ezzel a funkcióval csak a jelentést tartalmazó böngészőkeretet nyomtatja ki úgy, ahogyan az a keretben látható, tehát mielőtt rákattintana a Nyomtatás gombra, győződjön meg róla, hogy az elemek a megfelelő sorrendben jelennek meg.
Jelentések exportálása A jelentések adatait exportálhatja XML-, CSV- és egyszerű szöveges fájlokba más alkalmazásokban, például táblázatokban vagy adatbázisokban történő felhasználáshoz. Az exportfájlok csak adatokat és a jelentés oszlopait leíró metaadatokat tartalmaznak. Más adatok, például a jelentés címe és dátuma nem szerepel az exportált fájlban. A jelentés adatainak exportálása az aktuális rendezési sorrendnek megfelelően történik. 1 Kattintson az Exportálás gombra. 2 Az RBS-jelentés Exportálás ablakában válassza ki az exportált adatok formátumát, és kattintson az Exportálás gombra. 3 Amikor a böngésző kéri az iManager által létrehozott fájl megnyitását vagy mentését, válassza ki
az előnyben részesített beállítást, és folytassa a művelet végrehajtását a böngészőnek megfelelően. Az alábbiakban ugyanabból az RBS-jelentésből exportált XML-, CSV- és egyszerű szöveges fájlokra láthatunk példákat:
XML: <user>admin.novell Thursday, June 26, 2008 (10:33:17 AM IST) <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container <search-enabled>yes parent sub-directory (novell) <search-for>Dynamic Group Objects up to parent (novell) eDirectory Administration eDirectory Administration.Role Based Service 2.novell <member-type>User <member-object>admin.novell <scope>.MY_TREE.
74
NetIQ iManager – felügyeleti útmutató
true true eDirectory Administration eDirectory Administration.Role Based Service 2.novell <member-type>User <member-object>jdoe.novell <scope>novell true true
CSV: RBS Report Query Settings User:,"admin.novell" Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)" Types:,"User, Group, Dynamic Group, Organizational Role, Container" Dynamic Group Search Settings:, Search Enabled:,"yes" Role Search:,"parent sub-directory (novell)" Role Search:,"Dynamic Group Objects" Container Role Search:,"up to parent (novell)"
RBS-jelentés: Felhasználó szerep-hozzárendelései User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit", admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANILTREE.","true","true", admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Novell Certificate Server Management","Novell Certificate Server Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANILTREE.","true","true", admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",
Az iManager konfigurálása és testreszabása
75
admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANILTREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true", admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",
Egyszerű szöveg: RBS Report Query Settings User: admin.novell Date: Thursday, June 26, 2008 (10:33:17 AM IST) Types: User, Group, Dynamic Group, Organizational Role, Container ------------------------------------------------Dynamic Group Search Settings: Search Enabled: yes Role Search: parent sub-directory (novell) Role Search: Dynamic Group Objects Container Role Search: up to parent (novell) ------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true -------------------------------------------------
6.4
iManager-kiszolgáló Ha nem látja ezt a feladatot, akkor nincs hozzá jogosultsága. Lásd: „Engedélyezett felhasználók és csoportok”, 78. oldal. Ez a témakör a következő információkat tartalmazza: „Az iManager beállítása”, 6.4.1. szakasz (77. oldal) „Biztonság”, 6.4.2. szakasz (77. oldal) „Megjelenés és használat”, 6.4.3. szakasz (78. oldal) „Események naplózása”, 6.4.4. szakasz (79. oldal) „Kijelentkezés után átirányítás”, 6.4.5. szakasz (79. oldal) „Hitelesítés”, 6.4.6. szakasz (79. oldal) „RBS”, 6.4.7. szakasz (81. oldal) „Beépülő modul letöltése”, 6.4.8. szakasz (81. oldal) „Egyéb”, 6.4.9. szakasz (82. oldal) „Tanúsítvány”, 6.4.10. szakasz (82. oldal)
76
NetIQ iManager – felügyeleti útmutató
6.4.1
Az iManager beállítása A config.xml fájlban három beállítás vezérli az iManager biztonságát és az általa az LDAP SSLkapcsolat létrehozásakor használt tanúsítványokat: Security.Keystore.AutoUpdate: Ha az AutoUpdate értéke Igaz, amikor egy felhasználó sikeresen bejelentkezik az iManager konzolba, a rendszer erről az eDirectory-kiszolgálóról a tanúsítványt automatikusan importálhatja az iManager konzoltól függő kulcstárba. Válassza a Fatanúsítvány automatikus importálása biztonságos LDAP használatához beállítást (iManager konfigurálása > Biztonság). Security.Keystore.UpdateAllowAll: Ha az UpdateAllowAll beállítás értéke Igaz, akkor a rendszer minden sikeres felhasználói bejelentkezéskor importálja a tanúsítványt az iManager tanúsítványkulcstárába, vagy frissíti azt. Ha a beállítás értéke hamis, csak jogosult felhasználó bejelentkezésekor történik tanúsítványok importálása/frissítése. Security.Keystore.Priority: A prioritási beállítások tartalmaznak két szót, amelyek meghatározzák csatlakozáskor a tanúsítványok keresési sorrendjét: rendszer és imanager.A rendszer az alapértelmezett JVM* kulcstárat használja a tanúsítványok megkeresésére az SSL-környezet létrehozásakor. Ha ez nem jár sikerrel, akkor az iManager-kulcstárban keresi. A rendszer és iManager keresési sorrendet valamelyik szónak a bejegyzésből való eltávolításával módosíthatja. Ha tovább szeretné növelni a biztonságot, ne engedélyezze az AutoUpdate funkciót, és csak a rendszerkulcstárat használja. Ebben az esetben a Java-eszközökkel manuálisan kell importálnia azokat a tanúsítványokat, amelyeket az alapértelmezett rendszerkulcstárban szeretne tárolni. Ha letiltja az UpdateAllowAll funkciót, akkor a rendszer a tanúsítványokat csak az iManager sikeres jogosult felhasználói bejelentkezéseiből importálja.
6.4.2
Biztonság Ezek a beállítások a teljes webkiszolgálói konfigurációt érintik, és a rendszer a config.xml fájlba menti őket. Mentheti őket menet közben, vagy rákattinthat egyszer a Mentés gombra, miután végrehajtotta az összes változtatást.
Figyelmeztetés nem biztonságos kapcsolat esetén Válassza ezt a beállítást, ha azt szeretné, hogy a webböngésző és a webkiszolgáló között nem biztonságos kapcsolatot használó felhasználók a következő üzenetet kapják: Nem biztonságos kapcsolatot használ.
Novell Audit engedélyezése Győződjön meg róla, hogy megfelel az Audit előfeltételeinek. Válassza a Novell Audit engedélyezése lehetőséget, aztán a konkrét iManager-naplózási eseményeket, és kattintson a Mentés gombra.
Fatanúsítvány automatikus importálása biztonságos LDAP használatához A biztonságos LDAP-kapcsolatokhoz tanúsítvány szükséges. Ha kiválasztja ezt a funkciót, akkor a rendszer automatikusan importál egy nyilvános fatanúsítványt a biztonságos LDAP használatához.
Az iManager konfigurálása és testreszabása
77
Engedélyezett felhasználók és csoportok Az engedélyezett felhasználók és csoportok azok, amelyek engedélyezettek az iManager konzolban a különféle felügyeleti feladatok elvégzésére. A rendszer az engedélyezett felhasználók adatait a TOMCAT_KEZDŐKÖNYVTÁRA\webapps\nps\WEB-INF\configiman.properties könyvtárba menti. Az iManager telepítési folyamata ezt a fájlt csak akkor hozza létre, ha meg vannak adva a jogosult felhasználók és csoportok adatai, de ezek megadása nem kötelező. Ennek elmulasztása azt eredményezi, hogy bármely felhasználó telepíthet iManager beépülő modulokat, és módosíthatja az iManager-kiszolgáló beállításait (hosszú távon nem ajánlott). Amikor felvesz egy csoportot vagy szervezeti szerepet erre a listára, a csoport vagy a szervezeti szerep minden tagja engedélyezett felhasználóvá válik. Beágyazott csoport hozzáadásakor csak a tagok első szintje támogatott. Dinamikus csoport hozzáadása azonban nem támogatott, mert bármilyen típusú objektum a tagja lehet. Az iManager telepítése után engedélyezett felhasználót, csoportot vagy szervezeti szerepet azok megadásával vagy az Engedélyezett felhasználók és csoportok lista melletti objektumválasztó ikonnal adhat hozzá. Ezzel módosítja a configiman.properties fájlt. Ha a fa minden felhasználóját engedélyezett felhasználóként szeretné kijelölni, írja be az ÖsszesFelhasználó értéket. MEGJEGYZÉS: Csak érvényes felhasználókat vehet fel és menthet az Engedélyezett felhasználók és csoportok listában. Ha érvénytelen felhasználót ad hozzá, és a Mentés gombra kattint, a program egy arról tájékoztató hibaüzenetet jelenít meg, hogy az objektum nem található. Ha csak érvénytelen felhasználókat ad a listához, és a Mentés gombra kattint, a program hibaüzenetet jelenít meg, és az érvénytelen felhasználók listáját automatikusan az ÖsszesFelhasználó bejegyzésre cseréli. Ha nem szeretné, hogy a fa összes felhasználója engedélyezett felhasználó legyen, távolítsa el az ÖsszesFelhasználó bejegyzést a listából, vegye fel a listára a kívánt érvényes felhasználókat, és kattintson a Mentés gombra. FONTOS: Ha első alkalommal telepítette az iManager alkalmazást, akkor az Engedélyezett felhasználók és csoportok lista üres. Rendszergazdai jogosultságú felhasználóként azonnal a listához kell adnia felhasználókat és csoportokat ahhoz, hogy engedélyezetté tegye őket, valamint hogy jogot szerezzen a lista módosítására. Máskülönben esetleg egy rendszergazdai jogosultságokkal nem rendelkező felhasználó ad a listához felhasználókat és csoportokat, aminek következtében övé lesz a lista módosításának joga. Ez esetben ön mint rendszergazdai jogú felhasználó elveszítheti a lista módosításának jogát. A configiman.properties fájlra vonatkozó, biztonsággal kapcsolatos információk megtekintéséhez lásd: „Engedélyezett felhasználók és csoportok az iManager konzolban”, 125. oldal.
6.4.3
Megjelenés és használat A Megjelenés és használat lapon szabhatja testre az iManager kezelőfelületének kinézetét. A rendszer ezeket az adatokat a TOMCAT_KEZDŐKÖNYVTÁRA\webapps\nps\WEB-INF\config.xml könyvtárban tárolja.
Címsornév Írja be szervezete nevét a szövegmezőbe. A szervezet neve a webböngésző címsorában fog megjelenni, az alapértelmezett „NetIQ iManager” szöveg helyett.
78
NetIQ iManager – felügyeleti útmutató
Képek A címsor három képet tartalmaz: a fejléc háttérképét, a fejléc kitöltőképét és a fejléc arculatképét. A saját képeknek meg kell felelniük a kezelőfelületen megadott méreteknek. Az nps/portal/modules/fw/images könyvtárban tárolja a fájlokat. A megfelelő mezőkben adja meg az egyes képek elérési útját.
Navigációs menü színei A menü fejlécének és a balra található navigációs menü hátterének színe testre szabható. Megadható a színek neve vagy a megfelelő hexadecimális számok. A megadott értékeknél a rendszer nem tesz különbséget a kis- és nagybetűk között. Az alapértelmezett színek és képek visszaállításához kattintson a Visszaállítás gombra, vagy a beállítások mentéséhez kattintson a Mentés gombra, hogy azokat a config.xml fájlba mentse.
6.4.4
Események naplózása Az iManager naplózási környezetét az Események naplózása lapon konfigurálhatja. Két naplózási beállítás közül választhat: Naplózási szint: Válassza ki négy lehetőség közül, hogy milyen típusú eseményeket szeretne naplózni: Nincs naplózás, Csak hibák, Hibák és figyelmeztetések, Hibák, figyelmeztetések és hibakeresési információs üzenetek. Válassza ki a naplózás kimeneti beállításait. Naplózás kimenete: Válassza ki három lehetőség közül a naplózott üzenetek célját: Naplózás kimenetének küldése szabványos hibaeszközre, Naplózás kimenetének küldése szabványos kimeneti eszközre és Naplózás kimenetének küldése a Debug.html fájlba. Ezen az oldalon a naplófájl elérési útja és a naplófájl mérete egyaránt megjelenik. Válassza a Nézet lehetőséget a jelenlegi naplófájl HTML formátumban való megjelenítéséhez. Kattintson a Törlés gombra a jelenlegi naplófájl törléséhez és a naplófájl méretének 0 (zéró) bájtosra történő visszaállításához.
6.4.5
Kijelentkezés után átirányítás A Kijelentkezés után átirányítás beállítás bejelölése esetén megadhatja azt az URL-címet, ahová átirányítást kér az iManager alkalmazásból történt kijelentkezés után. Ha ez a beállítás nincs bejelölve, a rendszer kijelentkezteti az iManager konzolból, amikor rákattint a Kilépés gombra. Alapértelmezés szerint a Bejelentkezés oldal jelenik meg. Engedélyezés: A beállítás bejelölésével engedélyezheti a Kijelentkezés után átirányítás szolgáltatást. URL-cím: Adja meg az URL-címet, ahová a rendszer az iManager konzolból való kijelentkezés után átirányítja.
6.4.6
Hitelesítés Az iManager bejelentkezési oldalát a Hitelesítés lapon lehet beállítani. A következő beállítási lehetőségeket tartalmazza:
Az iManager konfigurálása és testreszabása
79
Bejelentkezési adatok megjegyzése (jelszót kivéve): Ha be van jelölve, a felhasználóknak csak a jelszót kell megadniuk a bejelentkezéshez. Biztonságos LDAP használata az automatikus csatlakozáshoz: Ha be van jelölve, az iManager az LDAP-kommunikációt SSL-kapcsolaton végzi. Egyes beépülő modulok, például a dinamikus csoportok és az NMAS csak akkor működnek, ha ez a beállítás engedélyezve van. A beállítás csak az iManager szolgáltatásból való kijelentkezés után lép életbe. Az adott sikertelen bejelentkezés okának elrejtése: Ha be van jelölve, az iManager lecseréli a hitelesítéssel kapcsolatos eDirectory-üzeneteket a következő általános hibaüzenettel: Sikertelen bejelentkezés. Érvénytelen felhasználónév vagy jelszó. További információ: „A felhasználónév felfedezésének megakadályozása”, 125. oldal. Fa kiválasztásának engedélyezése a bejelentkezési lapon: Ha be van jelölve, az iManager bejelentkezési oldalán megjelenik a Fa mező. Ha nem engedélyezi a beállítást, megadott alapértelmezett fanévvel kell rendelkeznie, máskülönben nem jelentkezhet be. Környezet nélküli bejelentkezés: A környezet nélküli bejelentkezés lehetővé teszi a felhasználók számára, hogy pusztán a felhasználónevükkel és jelszavukkal jelentkezzenek be anélkül, hogy ismernék a felhasználói objektum teljes környezetét. Például: .admin.support.sales.netiq. Ha a fán több felhasználónak is ugyanaz a felhasználóneve, a környezet nélküli bejelentkezés lehetővé teszi a felhasználó által megadott konténersorrend-listában a megadott jelszóval talált legelső fiókba történő belépést. A konténerek sorrendjének listáját a felhasználó átrendezheti és beállíthatja. Ha a fán több felhasználónak is ugyanaz a felhasználóneve, egy meghatározott felhasználónévvel történő bejelentkezéshez a felhasználónak meg kell adnia a teljes környezetet, vagy korlátoznia kell a környezet nélküli bejelentkezés keresési konténereinek számát. Válassza a Keresés a gyökértől lehetőséget a felhasználókeresés végrehajtásához a könyvtárfa gyökerétől. Válassza a Keresés a konténerekben lehetőséget egy vagy több olyan konténer megadásához, ahol felhasználóobjektumok találhatók. Az iManager szolgáltatás alapértelmezés szerint nyilvános hozzáférés segítségével csatlakozik, amely nem igényel specifikus hitelesítő adatokat. Megadhat egy specifikus hitelesítő adatokkal rendelkező felhasználót a környezet nélküli kereséshez. Ha nem ad meg felhasználót, akkor az iManager nyilvános felhasználóját használja a rendszer. FONTOS: Ha nyilvános felhasználót ad meg, vegye figyelembe a jelszó elévülésével kapcsolatos beállításokat is. Ha a nyilvános felhasználó jelszava elévülésre van beállítva, és a jelszó lejár, nincs lehetőség a jelszó módosítására a bejelentkezéskor. Az iManager-kiszolgáló időtúllépési beállításai: Ha az iManager-kiszolgálóhoz időtúllépést kíván beállítani, adja meg a Hitelesítés oldalon a megfelelő mezőkben a nap, az óra és a perc értékét. Ha a kiszolgálóhoz nem kíván időtúllépést beállítani, válassza a Soha sincs időtúllépés lehetőséget. Kijelentkezés után átirányítás: Engedélyezze ezt a beállítást a Hitelesítés oldalon, ha az iManager konzolból való kijelentkezés után szeretné, hogy a rendszer a kívánt oldalra irányítsa át. A kívánt URL-címet az URL-cím: mezőben kell megadnia. Ha nem ad meg semmilyen URL-címet, a rendszer kijelentkezteti az iManager konzolból, amikor rákattint a Kilépés gombra. Alapértelmezés szerint a Bejelentkezés oldal jelenik meg.
80
NetIQ iManager – felügyeleti útmutató
6.4.7
RBS A Szerepalapú szolgáltatások (RBS) az eDirectory szolgáltatáson belül jogosultságokat adnak a feladatok elvégzésére. Amikor hozzárendel egy szerepet egy felhasználóhoz, akkor az RBS alapértelmezés szerint megadja a szerepnek megfelelő feladatok végrehajtásához szükséges jogosultságokat. Az RBS lapon az alábbi beállításokat adhatja meg: Dinamikus csoportok engedélyezése: Ha be van jelölve, az RBS engedélyezi, hogy dinamikus csoportok egy szerep tagjai legyenek. A dinamikus csoportokról a NetIQ felügyeleti útmutatójában található további információ. Szerepek megjelenítése a birtokolt gyűjteményekben: Ha be van jelölve, a gyűjteménytulajdonosok láthatják az összes szerepet és feladatot, tagságtól függetlenül. Törölje ennek a lehetőségnek a kijelölését, ha azt szeretné, hogy a gyűjteménytulajdonosok csak a hozzájuk rendelt szerepeket láthassák. Szerepfelderítési tartomány: Annak a jelzése, hogy a fa mely részében fogja megkeresni az iManager szolgáltatás azokat a szerepeket, amelyek hozzá vannak rendelve valamely taghoz. Szülő: Az iManager konzolban a rendszer a szülőtárolóig keresi a dinamikus csoportokat. Partíció: Az iManager konzolban a rendszer az első eDirectory-partícióig keresi a dinamikus csoportokat. Gyökér: Az iManager konzolban a teljes fán történik a dinamikus csoportok keresése. Dinamikus csoportok Discovery tartománya: Annak a jelzése, hogy hol keressen az iManager dinamikuscsoport-tagságot. A program ezután ellenőrzi a szereptagságot a talált dinamikus csoportokban. Szülő: Az iManager konzolban a felhasználó szülőkonténerében történik a szerepek keresése. Partíció: Az iManager konzolban az első eDirectory-partícióig történik a szerepek keresése. Gyökér: Az iManager konzolban az egész fán történik a szerepek keresése. Dinamikus csoport keresésének típusa: Annak megadása, hogy a program milyen típusú dinamikus csoportokban keressen szereptagságot. A Csak dinamikus csoportokban keresési típusban a dinamikus csoport osztálytípusba tartozó objektumok keresése történik. A Dinamikus csoportok és kisegítőosztályok beállítással a dynamicGroup osztálytípusú vagy dynamicGroupAux osztállyal kibővített objektumok keresése történik. Ebbe beletartoznak azok a csoportobjektumok, amelyeket később alakítottak át dinamikus csoporttá. RBS-falista: A rendszer automatikusan kitölti az eDirectory-fa nevével, amikor gyűjteménytulajdonos vagy szereptag végez hitelesítést. Ha egy eDirectory-fából eltávolítják az RBS-t, távolítsa el a fához tartozó bejegyzést a listából annak érdekében, hogy visszatérjen a Nem hozzárendelt hozzáférési üzemmódba.
6.4.8
Beépülő modul letöltése A Beépülő modul letöltése lapon az alábbi beállításokat adhatja meg: Az új NetIQ beépülő modulokat (NPM) a Novell letöltési webhelyén kérdezheti le: Azt jelzi, hogy az iManager-kiszolgálónak a NetIQ letöltési webhelyén (http://download.novell.com/ index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keyword s=iManager&x=23&y=4) kell lekérdeznie az új beépülő modulokat (NPM-eket).
Az iManager konfigurálása és testreszabása
81
Két választókapcsoló lehetővé teszi a lekérdezés konfigurálását minden elérhető NPM-hez vagy frissítések keresését csak a már telepített NPM-ekhez. Beépülő modulok letöltése egyéni webhelyről: A beépülő modulokat úgy töltheti le egyéni webhelyről, ha megadja az egyéni webhely URL-címét a Letöltési webhely URL-címe mezőben a Beépülő modul letöltése oldalon. Beépülő modulok letöltése proxyn keresztül: Ha az iManager-kiszolgálók a tűzfalproxy alatt futnak, az ügyfél az internetet proxykiszolgálón keresztül éri el. Csak a HTTP-proxy támogatott. Ez egy webproxys HTTP-elérés. A beépülő modulok letöltéséhez a felhasználónak az alábbi műveleteket kell elvégeznie a Beépülő modul letöltése oldalon: 1 Válassza a Proxy engedélyezése lehetőséget. 2 Töltse ki az alábbi mezőket:
Proxyállomás: Adja meg a proxyállomás IP-címét ebben a mezőben. Proxyport: Adja meg a proxyportszámot ebben a mezőben. Felhasználónév: Adja meg a felhasználó nevét ebben a mezőben. Jelszó: Adja meg a jelszót ebben a mezőben. Jelszó ismét: Írja be azt a jelszót, amit a Jelszó mezőben megadott. FONTOS: Az iManager beépülő moduljai nem kompatibilisek az iManager korábbi verzióival. Továbbá minden olyan egyéni beépülő modult, amelyet az iManager konzollal szeretne használni, újra kell fordítani az iManager-környezetben.
6.4.9
Egyéb Az Egyéb lapon az alábbi beállításokat adhatja meg: [this] engedélyezése: Ez a beállítás figyelmen kívül hagyható. Azért adták az iManager szolgáltatáshoz, hogy néhány belső csapat módosíthassa a saját objektumaikat. A [this] egy attribútum a fán, amellyel specifikus önszervező funkció állítható be. Ha a [this] engedélyezve van, akkor a fán lévő összes eDirectory-kiszolgálónak legalább 8.6.2-es verziójúnak kell lennie. eGuide URL-címe: Megadja az eGuide URL-címét. Ezt a fejlécben lévő eGuide indítógombhoz, és az eGuide szerep- és feladatkezelési feladatokhoz használja a rendszer. Lehet teljes URL-cím (például https://sajat.dns.nev/eGuide/servlet/eGuide) vagy az EMFRAME_SERVER kulcsszó. Az EMFRAME_SERVER kulcsszó választása esetén az eMFrame azon a kiszolgálón fogja keresni az eGuide szolgáltatást, ahol az eMFrame található. Az eGuide útmutatóra vonatkozó további információkat lásd a Novell eGuide dokumentációjának webhelyén (http://www.novell.com/documentation/eguide212/index.html).
6.4.10
Tanúsítvány A biztonsági követelményeknek megfelelő rejtjelezési szint kiválasztásához kattintson a Tanúsítvány fülre. Az iManager konzolon az alábbi tanúsítványok állnak rendelkezésre: RSA: A tanúsítvány 2048 bites RSA-kulcspárt használ. Az iManager konzolon az RSA-hoz az alábbi rejtjelezési szintek engedélyezettek: NINCS: Bármilyen típusú titkosítás engedélyezése. ALACSONY: 56 bites vagy 64 bites titkosítás engedélyezése.
82
NetIQ iManager – felügyeleti útmutató
KÖZEPES: 128 bites titkosítás engedélyezése. MAGAS: 128 bitnél nagyobb titkosítás engedélyezése. ECDSA 256: A tanúsítvány secp256r1 görbén alapuló ECDSA kulcspárt használ. Az iManager szolgáltatásban az ECDSA 256 típushoz csak egy rejtjelezési szint engedélyezett: CSAK SUITEB 128: Bármilyen rejtjelezési típus engedélyezett. ECDSA 384: A tanúsítvány secp384r1 görbén alapuló ECDSA kulcspárt használ. SUITEB 128: Bármilyen rejtjelezési típus engedélyezett. SUITEB 192: 56 bites vagy 64 bites rejtjelezés engedélyezése. Alapértelmezés szerint az RSA tanúsítvány és hozzá a NINCS rejtjelszint van kiválasztva. ECDSAtanúsítványoknál az iManager csak Suite B rejtjelek választását engedi. Ne feledje, hogy ha másik tanúsítványt választ ki, a módosítás életbe lépéséhez újra kell indítani a Tomcat kiszolgálót. FONTOS: Alapértelmezés szerint a Firefoxban az ALACSONY rejtjelezési szint nem engedélyezett. Az ALACSONY rejtjelezési algoritmusok engedélyezése a Firefox böngészőben: 1 Nyissa meg a Firefoxot, írja be a címsávba az about:config kifejezést, és nyomja le az Enter
billentyűt. 2 (Feltételes) Ha figyelmeztetés jelenik meg, kattintson az Óvatos leszek, megígérem! gombra,
hogy továbbléphessen az about:config oldalra. 3 Az about:config oldalon, a Beállítás neve lista alatt kattintson duplán a security.ssl3.rsa_rc4_128_md5 beállításra, és változtassa meg az értékét Igaz értékre.
Ezzel engedélyezi az ALACSONY rejtjelezési algoritmusokat a Firefox böngészőben. A Tanúsítvány fül szándékosan nem érhető el az OES-ben. Manuálisan kell módosítania a rejtjelezési szintet a vhost-ssl.conf fájlban. 1 Lépjen az /etc/apache2/vhosts.d/vhost-ssl.conf fájlra, és a támogatott rejtjelezési szint alapján módosítsa az SSLCipherSuite paramétert.
A csak MAGAS rejtjelezési szint beállításához például módosítsa az SSLCipherSuite paramétert az alábbiak szerint: ----------------------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL --------------------------
A rejtjelezési szintek módosításához használhatja a következő előtagokat: + : rejtjeleket ad hozzá a rejtjelek listájához, és a lista aktuális helyére húzza őket. - : eltávolít egy rejtjelet a listáról (később újra hozzá lehet adni). ! : teljesen eltávolít egy rejtjelet a listáról (később nem lehet újra hozzáadni). További információért lásd az Apache modul mod_ssl (http://httpd.apache.org/docs/2.0/mod/ mod_ssl.html) dokumentációját.
Az iManager konfigurálása és testreszabása
83
6.5
Objektum-létrehozási lista Amikor létrehoz egy objektumot, a rendszer regisztrálja az objektumosztályok előre konfigurált listáját az Objektum létrehozása feladatban. Az objektum-létrehozási lista kategória a következő feladatokat tartalmazza: „Objektumosztály hozzáadása a létrehozási listához”, 6.5.1. szakasz (84. oldal) „Objektumosztály törlése a létrehozási listáról”, 6.5.2. szakasz (84. oldal)
6.5.1
Objektumosztály hozzáadása a létrehozási listához Ezzel a feladattal adhat hozzá további objektumokat az objektum-létrehozási listához, amely az iManager konzolon a Címtárfelügyelet > Objektum létrehozása feladattal létrehozható objektumoknak a listája. 1 A Konfigurálás nézetben kattintson az Objektum-létrehozási lista > Objektumosztály hozzáadása a létrehozási listához menüpontra. 2 Jelölje be az objektumot, amelyet hozzá szeretne adni, és kattintson a Következő gombra. 3 Tekintse át az XML-definíciós adatokat, és kattintson a Befejezés gombra az .xml-fájl
létrehozásához.
6.5.2
Objektumosztály törlése a létrehozási listáról Ezzel a feladattal törölhet objektumokat az objektum-létrehozási listáról, amely az iManager konzolon a Címtárfelügyelet > Objektum létrehozása feladattal létrehozható objektumoknak a listája. 1 A Konfigurálás nézetben kattintson az Objektum-létrehozási lista > Objektumosztály törlése a létrehozási listáról menüpontra. 2 Jelölje be az objektumot, amelyet törölni szeretne, és kattintson a Következő gombra. 3 Tekintse át az XML-definíciós adatokat, és kattintson a Befejezés gombra az objektum
törléséhez az objektum-létrehozási listáról.
6.6
Beépülő modulok telepítése Ha nem látja ezt a szerepet az iManager kezelőfelületén, akkor valószínűleg nem engedélyezett felhasználó. Lásd: „Engedélyezett felhasználók és csoportok”, 78. oldal. Az iManager konzolban kétféle modul található: NetIQ beépülő modul (NPM): Ezek az iManager beépülő moduljainak fájljait tartalmazó archívumok. Amikor az Elérhető NetIQ beépülő modulok feladattal telepít egy NPM-et, akkor egy, az iManager funkcióit bővítő beépülő modult telepít. RBS-modul: Ezek olyan eDirectory szolgáltatásbeli objektumok, amelyek RBS-feladatokat és RBSjegyzékobjektumokat tartalmaznak. Miután konfigurálta a szerep alapú szolgáltatásokat az eDirectory-fán, kattintson a Konfigurálás > RBS-beállítások menüpontra az RBS modul NPM utáni telepítéséhez, hogy a beépülő modulhoz társított új feladatok elérhetővé váljanak a használatra. A modultelepítés csak az NPM-re vonatkozik. Az iManager-telepítési eljárás alatti NPM-telepítésekre vonatkozó információ elolvasásához lásd „Az iManager beépülő modulok telepítésének ismertetése” című szakaszt a NetIQ iManager telepítési útmutatójában.
84
NetIQ iManager – felügyeleti útmutató
6.6.1
Elérhető NetIQ beépülő modulok Az Elérhető NetIQ beépülő modulok (NPM) oldal felsorolja az összes rendelkezésre álló NPM-et, melyeket a csomagok könyvtára vagy a letöltési webhely tartalmaz. További információ: „Beépülő modul letöltése”, 81. oldal. Az egyes modulok neve, verziószáma és leírása a hozzájuk tartozó jegyzékfájlban található. A beépülő modulok elrejthetők, ha kiválasztja a modulokat, és rákattint az Elrejtés gombra. Megadhatja akár az összes beépülő modul elrejtését is, ha nem szeretné, hogy a kezdőlapon megjelenjen az Új iManager NPM-ek érhetők el a következőhöz: Telepítés értesítés. A rejtett beépülő modulok listáját megtekintheti a Rejtett elemek megjelenítése gombra kattintva is. Ha szükséges, meg is szüntetheti a beépülő modulok elrejtését.
6.6.2
Telepített NetIQ beépülő modulok Ez a lista az iManager konzolban telepített NPM-eket tartalmazza. Minden NPM-nek szerepel a neve, a helyi verziószáma, és az aktuális jegyzékfájlban található leírása. Az iManager nem tartalmazza az összes beépülő modult az alaptermék részeként. Az iManager beépülő modulok többségét külön le kell töltenie. Az iManager konzollal szállított base.npm modul azonban tartalmazza az alábbi beépülő modulokat: Címtárfelügyelet Partíciók és replikák Információs pult Séma Jogosultságok Felhasználók Csoportok További információ: 5. Fejezet, „Szerepek és feladatok”, 37. oldal. FONTOS: A megfelelő működéshez a beépülő modul verziójának kompatibilisnek kell lennie azzal az iManager-verzióval, amelyen fut. Az adott beépülő modulhoz kapcsolódó iManagerverziókövetelményekről olvassa el a megfelelő termékdokumentációt. Az iManager beépülő moduljai nem kompatibilisek például az iManager korábbi verzióival. Továbbá minden olyan egyéni beépülő modult, amelyet az iManager konzollal szeretne használni, újra kell fordítani az iManager-környezetben.
6.7
Beépülő modulok letöltése és telepítése Az iManager konzollal letöltheti és telepítheti a meglévő és új beépülő modulok frissítéseit. Az iManager konzolban heti rendszerességgel történik a NetIQ letöltési webhelyéről a beépülő modulok automatikus lekérdezése. MEGJEGYZÉS: Az iManager-kiszolgálók között nincs beépülőmodul-replikáció. Javasoljuk, hogy telepítse a szükséges beépülő modulokat az összes iManager-kiszolgálóra.
Az iManager konfigurálása és testreszabása
85
Egy vagy több beépülő modul letöltése és telepítése: 1 Indítsa el az iManager konzolt, és jelentkezzen be. 2 A Konfigurálás nézetben kattintson a Beépülő modul telepítése > Elérhető NetIQ beépülő modulok menüpontra.
A tartalomkeretben megjelenik az összes rendelkezésre álló iManager beépülő modul. Az iManager konzolban a Novell letöltési webhelyének automatikus ellenőrzése hetente egyszer történik a beépülő modulok kereséséhez. A Frissítés hivatkozásra kattintva azonban bármikor frissítheti a listát. 3 (Nem kötelező) Ha letöltött egy beépülő modult, vagy a helyil számítógépen rendelkezésére állt egy, amelyet telepíteni szeretne, kattintson a Hozzáadás gombra, majd tallózzon a megfelelő
beépülő modul NPM-fájljához. 4 Kattintson az OK gombra.
Ezzel visszatér az Elérhető NetIQ beépülő modulok oldalra. 5 Válassza ki a kívánt beépülő modult, és kattintson a Telepítés gombra.
A fájl helye alapján megállapítható, hogy a beépülő modul a helyi könyvtárból vagy a Novell letöltési webhelyéről származik. Ha a kijelöltek között van legalább egy olyan beépülő modul, amelynek a telepítéshez megadott Fájl helye beállítása NetIQ-letöltések, akkor megjelenik a NetIQ iManager beépülő modulok Licencszerződés oldala. A telepítés folytatásához kattintson az Elfogadom elemre, majd az OK gombra. MEGJEGYZÉS: A beépülő moduloknak a Novell letöltési webhelyéről történő telepítése a kapcsolati sebességtől és a telepített beépülő modulok számától függően több percig is eltarthat. Az állapotsáv jelzi a letöltéshez szükséges időt. 6 A telepítés befejezése után indítsa újra a Tomcat kiszolgálót.
A Tomcat teljes inicializálása esetenként több percet is igénybe vehet. Várjon legalább 5 percet, mielőtt megpróbálna bejelentkezni az iManager konzolba. További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. 7 Ellenőrizze, hogy megjelenik-e az új szerep a Szerepek és feladatok oldalon.
Tagoknak az új szerephez való hozzáadásához használja a Tag hozzárendelésének módosítása feladatot.
6.7.1
Ha be van állítva az RBS FONTOS: Meglévő beépülő modul újratelepítéséhez először törölje az eDirectory szolgáltatásból a beépülő modulhoz tartozó rbsModule objektumot a Modulkonfiguráció > RBS-modul törlése feladattal. 1 A Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások
menüpontra. Az elavult modulokat a 2.x verziójú gyűjtemények lapon található táblázat jeleníti meg. 2 Frissítésükhöz jelölje ki a frissíteni kívánt gyűjteményhez tartozó Lejárt oszlopban a megfelelő
számot. Ekkor megjelenik a lejárt modulok listája. 3 Jelölje ki a frissítendő modulokat, és kattintson a táblázat tetején található Frissítés
hivatkozásra.
86
NetIQ iManager – felügyeleti útmutató
6.7.2
Beépülő modul eltávolítása 1 A Konfigurálás nézetben kattintson a Beépülő modul telepítése > Telepített NetIQ beépülő modulok menüpontra. 2 Jelölje ki a beépülő modult, és kattintson az Eltávolítás gombra. 3 Indítsa újra a Tomcat kiszolgálót.
További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. A beépülő modulok manuális eltávolításának lépései a TID #7006125 (http://www.novell.com/ support/ search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1 &dialogID=790607&stateId=0%200%20792657) számú dokumentumban érhetők el.
6.7.3
A beépülő modulok letöltési helyének testreszabása Ha egy proxykiszolgáló vagy tűzfal megakadályozza, hogy az iManager kapcsolódjon a NetIQ letöltési webhelyéhez, létrehozhat egy beépülőmodul-letöltési tárat. Ez lehetővé teszi beépülő modulok helyi webkiszolgálón vagy a fájlrendszer egy közös helyén történő tárolását. Ennek legjobb módja, ha a Letöltési webhely (http://www.novell.com/products/consoles/imanager/ iman_mod_desc.xml) XML-leíró fájlját használja sablonként. Az iManager leíró fájljára vonatkozó további információ elolvasásához lásd „Az iManager beépülő modulok telepítésének ismertetése” című szakaszt a NetIQ iManager telepítési útmutatójában. A helyi beépülőmodul-tár telepítéséhez mentse helyileg a leírófájlt, aztán nyissa meg a fájlt, majd másolja le minden olyan beépülő modul URL-címét, amelyet helyileg elérhetővé szeretne tenni, és illessze be a webböngésző címsorába a fájl letöltéséhez. Az összes kívánt beépülő modul letöltése után szerkessze a leírófájl helyi másolatát, hogy abban mindegyik letöltött beépülő modul új URLcíme szerepeljen. A beépülő modul URL-címe lehet egy HTTP-hivatkozás vagy fájlrendszer-hivatkozás. Például:
Windows-fájlrendszer
Linux-fájlrendszer
HTTP-hivatkozás
Helyi leírófájl megadása Egyéni leírófájlt megadhat az iManager telepítésekor vagy azután is. A telepítési eljárás során az iManager beépülőmodul-letöltési URL-címét át lehet irányítani egyéni leírófájlra. Ehhez egyszerűen változtassa meg az URL-címet A letöltendő és telepítendő beépülő modulok kiválasztása oldalon az egyéni leírófájl helyére, és kattintson az Ugrás gombra.
Az iManager konfigurálása és testreszabása
87
MEGJEGYZÉS: Ha a Beépülő modul letöltése területen megjelenik a Nem találhatók beépülő modulok, vagy nem érhető el a kiszolgáló üzenet, akkor a következő feltételek egyike vagy mindkettő fennállhat: nincsenek elérhető frissített beépülő modulok a Novell letöltési webhelyén, vagy nem sikerült csatlakozni a letöltéshez. novell.com webhelyhez a telepítőprogramból. Ellenőrizze az internetkapcsolatát. Az iManager telepítése után módosíthatja a beépülő modul letöltési URL-címét a \webapps\nps\WEB-INF\config.xml fájl módosításával. Például:
Windows-fájlrendszer <setting>
Linux-fájlrendszer <setting>
HTTP-hivatkozás <setting>
FONTOS: Ha az iManager-munkaállomást használja egyéni beépülő modul URL-címének SSL kapcsolaton (HTTPS) keresztüli elérésére, akkor importálja a cél webkiszolgáló tanúsítványát, vagy nem fog tudni biztonságos kapcsolatot létesíteni.
6.8
E-mail-értesítés Ez a szerep lehetővé teszi beépülő modultól függő feladatok kiválasztását, amelyekről a felhasználók szeretnének értesítést kapni az adott feladat előfordulásakor. A feladatokat maga a beépülő modul állítja be. Eldöntheti, hogy kér-e értesítést, és megadhatja, hogy ki kapjon még értesítést a kiválasztott eseményekről. Az első feladat a levelezési kiszolgáló telepítése. TIPP: A beállításoktól függően rengeteg e-mailt kaphat!
88
NetIQ iManager – felügyeleti útmutató
6.8.1
Levelezőkiszolgáló beállításai A levelezőkiszolgáló konfigurációja megadja az eseményértesítéshez szükséges SMTPkiszolgálóbeállításokat. 1 A Konfigurálás nézetben kattintson az Értesítés e-mailben > Levelezőkiszolgáló beállításai
menüpontra. 2 Adja meg a levelezési kiszolgáló beállításait, és kattintson az OK gombra.
Feladó címe: Az iManager e-mail-üzeneteinek Feladó mezőjében szereplő cím megadása. Elsődleges levelezőkiszolgáló: A levelezőkiszolgáló IP-címének vagy kiszolgálónevének (például: smtp.novell.com) megadása. Az iManager számára az SMTP-kiszolgáló eléréséhez szükséges felhasználónevet és jelszót is meg kell adnia. Másodlagos levelezőkiszolgáló: Nem kötelező másodlagos levelezési kiszolgáló megadása. Adja meg ugyanazokat az adatokat, mint az elsődleges levelezési kiszolgálónál.
6.8.2
Értesítés feladateseményről Azok a beépülő modulok, amelyeknek a feladatai fel vannak sorolva az .xml-fájljaikban, automatikusan regisztrálják a feladateseményeket ezen az oldalon. 1 A Konfigurálás nézetben kattintson az Értesítés e-mailben > Értesítés feladateseményről
menüpontra. 2 Az E-mail cím mezőben adja meg azokat az e-mail-címeket vesszővel elválasztva, amelyeken
fogadni szeretné ezt az értesítést. 3 Jelöljön ki egy eseményt.
Megjelenik a Feladatesemény-tulajdonságok képernyő. 4 Adja meg az e-mail tárgyát és az üzenetet a megfelelő mezőkben. 5 A További e-mail címek mezőbe írja be (vesszővel elválasztva) azokat a további e-mail címeket,
amelyekre értesítést szeretne küldeni. 6 Válassza az Alapértelmezett címek figyelmen kívül hagyása, és csak ezen címek értesítése
lehetőséget, ha azt szeretné, hogy a rendszer figyelmen kívül hagyja a 2. lépésben szereplő email-címeket, és hogy csak az ezen a lapon szereplő e-mail-címekre küldje az üzeneteket.
6.9
Nézetek Ha nem látja ezt a szerepet az iManager kezelőfelületén, akkor valószínűleg nem engedélyezett felhasználó. Lásd: „Engedélyezett felhasználók és csoportok”, 78. oldal. Az iManager-nézetek az iManager fejléckeretének gombjaival elérhető felügyeleti csomagok. Lehet, hogy nem szeretné engedélyezni a felhasználók számára bizonyos nézetek elérését, például az Objektumok megtekintése vagy a Konfigurálás nézetekét. Alapértelmezés szerint minden nézet a szülőcsoport beállításait örökli.
6.9.1
iManager-nézetek megjelenítése és elrejtése 1 A Konfigurálás nézetben kattintson a Nézetek > iManager-nézetek menüpontra. 2 Adja meg azt a konténert, amelynél korlátozni szeretné a nézetek elérését, vagy keresse meg az objektumválasztóval, és kattintson az OK gombra.
Az iManager konfigurálása és testreszabása
89
3 Adja meg a megfelelő nézetbeállításokat, és kattintson az OK gombra.
Háromféle nézetbeállításból választhat: Nincs beállítás: nincs megadva a nézetállapot. Ez az alapértelmezett beállítás. Elrejtés: a nézet elrejtése. Megjelenítés: a nézet mutatása. Válassza Az objektum szülőkonténereinek beolvasása lehetőséget, hogy a rendszer az objektum szülőkonténeréhez megadott beállításokat használja ehhez az objektumhoz. Ha be van jelölve, a szülőbeállítások fognak elsőbbséget élvezni az objektum helyi beállításaival szemben.
6.9.2
Az Identity Manager nézet, mint alapértelmezett nézet engedélyezése vagy letiltása az iManager konzolban azokon a kiszolgálókon, amelyekre telepítve van az Identity Manager iManager-nézetek engedélyezése: 1 Állítsa le a Tomcat kiszolgálót. 2 Nyissa meg a /var/opt/novell/iManager/nps/WEB-INF/config.xml fájlt. 3 Adja meg az alábbi beállítási adatokat az xml-fájlban: <setting> 4 Indítsa el a Tomcat kiszolgálót.
MEGJEGYZÉS: Alapértelmezés szerint az „IS_IDM_VIEW_AS_DEFAULT” beállítása „true”. iManager-nézetek letiltása: 1 Állítsa le a Tomcat kiszolgálót. 2 Nyissa meg a /var/opt/novell/iManager/nps/WEB-INF/config.xml fájlt. 3 Adja meg az alábbi beállítási adatokat az xml-fájlban: <setting> 4 Indítsa el a Tomcat kiszolgálót.
90
NetIQ iManager – felügyeleti útmutató
7
Beállítások
7
A Beállítások nézetben lehet megadni az iManager megjelenésével és használatával kapcsolatos beállításokat. A nézetben az alábbi feladatokhoz férhet hozzá: „Kedvencek kezelése”, 7.1. szakasz (91. oldal) „Objektumválasztó”, 7.2. szakasz (91. oldal) „Objektum nézet”, 7.3. szakasz (92. oldal) „Kezdőnézet beállítása”, 7.4. szakasz (92. oldal) „Nyelv”, 7.5. szakasz (93. oldal)
7.1
Kedvencek kezelése A Kedvencek nézet beállítása, ahol egy speciális nézetben együtt jelennek meg a személyre szabott, gyakran használt feladatok. 1 A Beállítások nézetben kattintson a Kedvencek kezelése elemre. 2 Jelölje ki a kívánt feladatokat a Feladatok mezőben, és helyezze át őket a Kedvencek mezőbe.
Kattintson duplán a feladatokra az áthelyezésükhöz, vagy jelölje ki őket, és helyezze át őket a nyílikonokkal. Jelölje be A kedvencek legyenek a kezdeti nézet lehetőséget, hogy a kedvencek nézetet használja az iManager kezdőlapjaként. 3 Kattintson az OK gombra.
7.2
Objektumválasztó Az objektumválasztó beállításainak megadása: Ablakméret: Az objektumválasztó ablak szélességének, magasságának és bal oldali oszlopszélességének megadása képpontban. Felhasználó által megadott alapbeállítások: Az objektumválasztó alapértelmezett beállításainak megadása, többek között az alábbiaké: Indítási üzemmód: annak a megadása, hogy kezdéskor a Tallózás lap vagy a Keresés lap jelenjen-e meg. Találatok laponkénti száma: a laponként megjelenített találatok számának megadása. Indítási környezet: annak az alapértelmezett konténernek a megadása, amely megjelenik az objektumválasztó megnyitásakor. Keresés indításkor: a kezdeti keresési műveletek megadása, ha az objektumválasztó a Keresés lappal nyílik meg. Alárendeltek számának megjelenítése: az objektumválasztóban a konténerobjektumok mellett az objektumok teljes számának megjelenítése vagy a megjelenítés letiltása. Ha ki van választva, az iManager konzolon megjelenik az alsóbb szintű objektumok száma a konténer neve mellett, zárójelben.
Beállítások
91
MEGJEGYZÉS: Az alsóbb szintű objektumok számának meghatározásakor a rendszer nem veszi figyelembe az Ön hozzárendelt jogosultságait, ezért a megjelenő objektumszám különböző lehet a megadott számtól.
7.3
Objektum nézet Az Objektum nézet beállításainak megadása: Oszlopszélesség: Az Objektum nézet oszlopszélességének megadása képpontban. Indítási üzemmód: Annak megadása, hogy először a Tallózás, a Keresés vagy a Fa fül jelenjen meg. Kijelölési mód: Az Objektum nézet kezdeti objektumkiválasztási módjának megadása: egy objektum vagy több objektum. Navigációs ablaktábla (bal oldal): A navigációs keretben megjelenített keresési eredmények számának megadása. Ez a beállítás az Objektum nézet minden lapjára vonatkozik. Érvényes beállítások tartománya: 1–500. Fatartalom ablaktáblája (jobb oldal): A tartalomkeretben egy oldalon megjelenített keresési eredmények számának megadása. Ez a beállítás az Objektum nézetben csak a Fa lapra vonatkozik. Érvényes beállítások tartománya: 1–500. Indítási környezet: Annak az alapértelmezett könyvtárkonténernek a megadása, amellyel az Objektum nézet megnyílik. Megnyithatja az utolsóként használt konténernél, vagy megnyithatja mindig ugyanannál a konténernél. Keresés indításkor: A kezdeti keresési műveletek megadása, amikor az Objektum nézet a Keresés lappal nyílik meg. Alárendeltek számának megjelenítése: Az objektumválasztóban a konténerobjektumok mellett az objektumok teljes számának megjelenítése vagy a megjelenítés letiltása. Ha ki van választva, az iManager konzolon megjelenik az alsóbb szintű objektumok száma a konténer neve mellett, zárójelben. Ez a Fa lap navigációs keretére és a Tallózás és keresés lap eredmények ablakára is vonatkozik az Objektum nézetben. MEGJEGYZÉS: Az alsóbb szintű objektumok számának meghatározásakor a rendszer nem veszi figyelembe az Ön hozzárendelt jogosultságait, ezért a megjelenő objektumszám különböző lehet a megadott számtól.
7.4
Kezdőnézet beállítása Az iManager konzolba történő első bejelentkezéskor megjelenő nézet megadása. Ha semmi sincs kiválasztva, a Szerepek és feladatok nézet alapértelmezetten a kezdőnézetet jeleníti meg. A kiválasztott nézettől függ, hogy mi jelenik meg az iManager konzolba történő bejelentkezés után.
92
NetIQ iManager – felügyeleti útmutató
7.5
Nyelv Az iManager megjelenítési nyelvének megadása. Be kell jelölnie a jelölőnégyzetet, ha azt szeretné, hogy az iManager a többi munkamenetben is megjegyezze a nyelvi beállítást. A nyelvi beállítás véglegesítéséhez állítsa be a webböngészőben az előnyben részesített alapértelmezett nyelvet. MEGJEGYZÉS: A beépülő modulok nem fognak megfelelően működni, ha a webböngésző nyelvi beállításaiban megjelenített első nyelv (legfelső helyen) nem az iManager által támogatott nyelvre van beállítva. A problémák elkerülése érdekében kattintson a webböngészőben az Eszközök > Beállítások > Nyelvek menüpontra, vagy más hasonló pontokra, és állítsa be az elsőként előnyben részesített nyelvet egy támogatott nyelvre.
Beállítások
93
94
NetIQ iManager – felügyeleti útmutató
8
Hibaelhárítás
8
Ebben a szakaszban néhány hibaelhárítási tippet olvashat, amelyek a NetIQ iManager-tesztelésének eredményeként keletkeztek. Ezeket a tippeket ábécésorrendben a következő témakörökben találja: „Hitelesítési problémák”, 8.1. szakasz (96. oldal) „NCP-kiszolgálóobjektumok elérése”, 8.2. szakasz (100. oldal) „Felhasználói fiókok törlése és létrehozása ugyanazzal a névvel (Windows XP/2000)”, 8.3. szakasz (101. oldal) „A DNS 630-as hibaüzenet jelenik meg, ha a létrehozott tulajdonságjegyzék nevében érvénytelen karakterek szerepelnek”, 8.4. szakasz (101. oldal) „eDirectory-karbantartási feladatokkal kapcsolatos hibák”, 8.5. szakasz (101. oldal) „Hibakeresési üzenetek engedélyezése a telepítéshez és konfiguráláshoz”, 8.6. szakasz (101. oldal) „A rendszer nem szinkronizálja automatikusan az előzményeket több egyidejű felhasználói bejelentkezés esetén”, 8.7. szakasz (102. oldal) „Az iManager nem működik a Groupwise 7.0 WebAccess telepítése után (Windows Server 2000/2003)”, 8.8. szakasz (102. oldal) „Hiányzó attribútum, objektum és érték miatti hibák”, 8.9. szakasz (102. oldal) „Hiányzó szerepek és feladatok a Konfigurálás nézetben”, 8.10. szakasz (103. oldal) „Az eDirectory és az iManager futtatása egyazon számítógépen (csak Windows rendszeren)”, 8.11. szakasz (103. oldal) „Több beépülő modul telepítésekor „A szolgáltatás nem érhető el” üzenet jelenik meg”, 8.12. szakasz (104. oldal) „Tomcat”, 8.13. szakasz (105. oldal) „„Az univerzális jelszó állapota nem állapítható meg” hiba”, 8.14. szakasz (106. oldal) „Az iManager-munkaállomás nem jelenít meg bizonyos információkat”, 8.15. szakasz (106. oldal) „Néha nem működik a Frissítés gomb”, 8.16. szakasz (107. oldal) „Az iManager beépülő moduljainak telepítése lefagy, vagy nem megy végbe megfelelően”, 8.17. szakasz (107. oldal) „Bejelentkezési probléma a fa IP-címének változásakor”, 8.18. szakasz (108. oldal) „A Java-halommemória elégtelen mérete sikertelen bejelentkezést eredményez”, 8.19. szakasz (109. oldal) „Az iManager-munkaállomás böngészőjének bezárása után Java-hibaüzenetek jelennek meg”, 8.20. szakasz (109. oldal) „Az iManager és az LDAP eltérő dátumtartományokat használ”, 8.21. szakasz (109. oldal) „Dinamikus csoport módosításakor nem sikerül biztonságos SSL LDAP-környezetet létrehozni”, 8.22. szakasz (110. oldal) „Az eDirectory iManager beépülő modulja nem működik, ha az LDAP-kiszolgáló harmadik fél hitelesítésszolgáltató tanúsítványát használja.”, 8.23. szakasz (110. oldal)
Hibaelhárítás
95
8.1
Hitelesítési problémák A hitelesítés bonyolult témakör, és a jelenlegi hálózati infrastruktúrája hatással lehet a kezdeti iManager-bejelentkezés sikerességére. A következő tények a segítségére lehetnek a hitelesítéssel kapcsolatos nehézségek minimalizálásában. A hitelesítéssel kapcsolatos témakörökre vonatkozó további információt a NetIQ Modular Authentication Service (NMAS – NetIQ moduláris hitelesítési szolgáltatás) dokumentációjában (https://www.netiq.com/documentation/edir88/nmas88/data/ bookinfo.html) és a NetIQ eDirectory-dokumentációban (https://www.netiq.com/documentation/ edir88/) olvashat. Az iManager-hitelesítés egy platformtól függő művelet, ami azt jelenti, hogy a platformtól függően, amelyen az iManager fut, másképpen működik. Linux- és Windows-kiszolgálók: Ha az iManager Linux- vagy Windows-kiszolgálón fut, akkor az eDirectory örökölt hitelesítési módszert és a szokásos eDirectory-jelszót használja. Ez a módszer támogatja az eDirectory univerzális jelszó beállítását, de az egyszerű jelszó lehetőséget nem. iManager-munkaállomás: Az iManager-munkaállomás egy ügyfél-munkaállomáson fut, amely lehet Linux vagy Windows, és az NMAS-ügyfelet használja, amellyel lehetséges univerzális jelszó használata, ha be van állítva. Az iManager a kezdeti iManager-hitelesítési folyamathoz nem használ LDAP-ot. Az eDirectory gyártóspecifikus hitelesítési protokollját alkalmazza. A kezdeti hitelesítést követően azonban az iManager szükség szerint képes LDAP-kapcsolatokat létesíteni az eDirectory szolgáltatással, hogy támogassa azoknak a telepített beépülő moduloknak az LDAP-hozzáférését, amelyek számára ez szükséges. Az iManager konzolon nem támogatott az eDirectory egyszerű jelszavával történő hitelesítés. Az iManager konzolba történő hitelesítéskor az alábbi hibaüzeneteket kaphatja. Minden hibaüzeneti szakasz ismerteti a lehetséges okokat. „HTTP 404-es hibák”, 8.1.1. szakasz (97. oldal) „HTTP 500-as hibák”, 8.1.2. szakasz (97. oldal) „601-es hibaüzenetek”, 8.1.3. szakasz (97. oldal) „622-es hibaüzenetek”, 8.1.4. szakasz (97. oldal) „632-es hibaüzenetek”, 8.1.5. szakasz (98. oldal) „634-es hibaüzenetek”, 8.1.6. szakasz (98. oldal) „669-es hibaüzenetek”, 8.1.7. szakasz (98. oldal) „Fanév mező”, 8.1.8. szakasz (98. oldal) „Bejelentkezés replika nélküli kiszolgálóra”, 8.1.9. szakasz (99. oldal) „Sikertelen hitelesítés”, 8.1.10. szakasz (99. oldal) „Lejárt jelszavakra vonatkozó információ”, 8.1.11. szakasz (99. oldal) „Környezet nélküli bejelentkezés helyettesítő objektumosztályok és/vagy helyettesítő attribútumok használatával”, 8.1.12. szakasz (99. oldal)
96
NetIQ iManager – felügyeleti útmutató
8.1.1
HTTP 404-es hibák Ha 404-es hibajelzést kap, amikor első alkalommal próbálja elérni az iManager konzolt, akkor ellenőrizze, hogy az Apache milyen portokon fut. Attól függően, hogy miként telepítette az iManager konzolt, és hogy az Apache vagy az IIS használatát választotta, a konfigurációs fájl helye eltérő. Az Apache kiszolgáló a httpd.conf fájlt vagy az ssl.conf fájlt használja. Az IIS-portbeállításokról a Microsoft dokumentációjában talál információt.
8.1.2
HTTP 500-as hibák Ha belső kiszolgálóhibáról vagy kiszolgáló oldali programhibáról (nem érhető el, vagy frissítés alatt áll) kap értesítést, akkor az iManager a következő két probléma valamelyikébe ütközött a Tomcat kiszolgálót illetően: A Tomcat újraindítás után nem inicializálódott teljesen. A Tomcat nem indult el. Várjon néhány percig, és próbálja újra elérni az iManager konzolt. Ha továbbra is ugyanazt a hibát tapasztalja, ellenőrizze a Tomcat állapotát.
A Tomcat állapotának ellenőrzése 1 Indítsa újra a Tomcat kiszolgálót.
További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. 2 Ellenőrizze a Tomcat naplóiban a hibákat.
A naplófájl a $tomcat_home$/logs könyvtárban található UNIX, Linux és Windows platformokon. UNIX és Linux rendszerekben a naplók neve catalina.out vagy localhost_log.date.txt. Windows rendszerekben a naplófájlok neve stderr és stdout.
8.1.3
601-es hibaüzenetek A megadott objektumnév nem található a megadott környezetben. Néhány lehetséges ok: Le lehet tiltva a környezet nélküli bejelentkezés. Lehet, hogy a felhasználói objektum, nincs a beállított keresési konténerek listájában. Kérje meg a rendszergazdát, hogy adja hozzá a felhasználói helyet a környezet nélküli bejelentkezési keresési konténerekhez, vagy jelentkezzen be a teljes környezet megadásával.
8.1.4
622-es hibaüzenetek Az NDS-jelszót letiltották az univerzális jelszóházirendben. Ezt a 222-es hibaüzenet is jelezheti. Ezt az iManager-munkaállomással kapcsolatos hibát elkerülheti az ügyfél telepítésével, amely lehetővé teszi az iManager számára az univerzális jelszó-hitelesítési módszer használatát az eDirectory örökölt hitelesítési módja helyett.
Hibaelhárítás
97
8.1.5
632-es hibaüzenetek Ez egy rendszerhiba, amelynek több lehetséges oka (http://www.novell.com/documentation/nwec/) van.
8.1.6
634-es hibaüzenetek A célkiszolgálón nem található meg a forráskiszolgáló által kért másolat, vagy a forráskiszolgálón nincsenek a kérésnek megfelelő objektumok, és nincsenek olyan átirányításai, amelyek alapján kereshetné az objektumot. Néhány lehetséges ok: Helytelen fát vagy IP-címet adott meg. Ha az IP-címet használja, és az eDirectory címtárat nem a szabványos (524) portra telepítette, a portot is adja meg. Az iManager konzollal nem lehet megtalálni a fát vagy az IP-címet a rendelkezésre álló időn belül. Ha a fa nevével nem sikerül, használja az IP-címet.
8.1.7
669-es hibaüzenetek Érvénytelen jelszót használtak; nem sikerült a hitelesítés; a rendszer az egyik kiszolgálóról a másikra próbált szinkronizálni, de a célkiszolgáló adatbázisa zárolva volt; vagy probléma adódott a távoli azonosítóval vagy a nyilvános kulccsal. Néhány lehetséges ok: Érvénytelen jelszót írt be Több felhasználónak is ugyanaz a felhasználóneve a fán. Környezet nélküli bejelentkezéskor a rendszer a megadott jelszóval az elsőnek talált felhasználói fiókba próbál bejelentkezni. Ebben az esetben adja meg a teljes környezetet bejelentkezéskor, vagy korlátozza azoknak a keresési konténereknek a számát, amelyekben a rendszer környezet nélküli bejelentkezéskor keres.
8.1.8
Fanév mező Ha az eDirectory az alapértelmezett 524-es porton kívül másikra is telepítve van és ott is fut, a bejelentkezéshez használhatja az eDirectory-kiszolgáló IP-címét vagy DNS-nevét, ha a portot is megadja. Például: IPv4-címhez: https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
IPv6-címhez: https://[2001:db8::6]:1080/nps/servlet/ webacc?taskId=fw.Startup&forceMaster=true
Ha bejelentkezéshez a fanevet használja, akkor nem kell megadnia a portot. A Fanév mező lehetséges értékei a fa neve, a kiszolgáló IP-címe vagy a kiszolgáló DNS-neve. A legjobb eredmény érdekében használja az IP-címet.
98
NetIQ iManager – felügyeleti útmutató
8.1.9
Bejelentkezés replika nélküli kiszolgálóra Szükség esetén az iManager olyan kiszolgálóval is be tud jelentkezni az eDirectory-fába, amely nem tárol eDirectory-replikát. Ehhez az iManager a sikeres bejelentkezéshez szükséges adatokat tároló csatlakozási gyorsítótárat tart fenn. A csatlakozási gyorsítótár feltöltéséhez az eDirectory-fába történő első bejelentkezéskor be kell jelentkeznie a replika gazdagépeként működő kiszolgálón. Ha újraindítja a Tomcat vagy az iManager kiszolgálót, azzal törli a csatlakozási gyorsítótárat, tehát amikor ezen események valamelyike után az iManager először bejelentkezik, be kell jelentkeznie egy, a replika gazdagépeként működő kiszolgálón.
8.1.10
Sikertelen hitelesítés Bejelentkezési hibák sokféle okból előfordulhatnak. A hitelesítési hibaüzenetekkel a „Hitelesítési problémák”, 96. oldal szakasz foglalkozik. Az iManager által a sikertelen hitelesítési kísérletek alkalmával megjelenített hibaüzenetek korlátozására vonatkozó információkat „A felhasználónév felfedezésének megakadályozása”, 125. oldal szakaszban olvashat.
8.1.11
Lejárt jelszavakra vonatkozó információ A jelszavak lejártakor a felhasználók erről tájékoztatást kapnak. A felhasználók azonban nem mindig vannak tudatában annak, hogy a lejárat utáni bejelentkezési lehetőségek bizonyos műveletetek végzésekor, például dinamikus csoport módosításakor, egyszerű kereséskor és egyszerű jelszó beállításakor, gyorsan elfogyhatnak. Ezek a műveletek további lejárat utáni bejelentkezési lehetőségeket fogyasztanak minden alkalommal, amikor egy felhasználó műveletet végez. Nagyon ajánlott megkérni a felhasználókat, hogy változtassák meg a jelszavukat, amikor a rendszer ezt első alkalommal kéri.
8.1.12
Környezet nélküli bejelentkezés helyettesítő objektumosztályok és/vagy helyettesítő attribútumok használatával A helyettesítő objektumtípussal történő környezet nélküli bejelentkezést engedélyezéséhez tegye az alábbiakat: 1 Nyissa meg az iManager konzolt, és tallózzon a Konfigurálás > iManager-kiszolgáló > Az iManager beállítása > Hitelesítés menüpontra.
Ha nem látja ezt a feladatot, akkor nincs hozzá jogosultsága. Lásd: „Engedélyezett felhasználók és csoportok”, 78. oldal. 2 Adja meg a Nyilvános felhasználónév és a Jelszó beállítását annak a felhasználónak, aki
jogosult a kívánt attribútumok olvasására. 3 Módosítsa a \webapps\nps\WEB-INF\config.xml fájlt, hogy szerepeljen benne egy <Setting> tulajdonság, amely felsorolja a környezet nélküli kereséshez
hozzáadni kívánt attribútumokat, és indítsa újra a Tomcat kiszolgálót. További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. A következő XML-példa az Alias és a User objektumokat adja hozzá a környezet nélküli kereséshez:
Hibaelhárítás
99
<setting>
Ugyanígy a következő XML-példa engedélyezi a felhasználóknak, hogy bejelentkezzenek a CN vagy a uniqueID attribútummal: <setting>
FONTOS A fenti példában helyettesítse be a treename attribútumot a megfelelő könyvtárfa kisbetűvel írt nevével. Ha menti az iManager-kiszolgáló valamely beállítását Az iManager beállítása feladatból, miután szerkesztette a config.xml fájlt, győződjön meg róla, hogy a fanév még mindig kisbetűs, vagy a személyre szabott, környezet nélküli bejelentkezés nem lesz sikeres.
8.2
NCP-kiszolgálóobjektumok elérése Az NCP-kiszolgálóobjektumok teljesítményének javításához le kell tiltani az Index helyének módosítása beállítást.
Az Index helyének módosítása beállítás letiltása: 1 Nyissa meg a config.xml fájlt a /webapps/nps/WEB-INF/ config.xml elérési útról. 2 Adja hozzá az alábbi tartalmat a config.xml fájlhoz. <setting> 3 Mentse a módosításokat, és indítsa újra a Tomcat kiszolgálót.
További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. MEGJEGYZÉS: Az NCP-kiszolgálóobjektumok indexeinek módosításához kattintson a Szerepek és feladatok > eDirectory-karbantartás > Indexek > NCP-kiszolgálóobjektum > Indexek > Index helyének módosítása menüpontokra.
100
NetIQ iManager – felügyeleti útmutató
8.3
Felhasználói fiókok törlése és létrehozása ugyanazzal a névvel (Windows XP/2000) Ha törölt egy vagy több windowsos felhasználói fiókot, aztán újra létrehozta őket ugyanazzal a névvel, tegye az alábbiakat az iManager-munkaállomás használatához az újra létrehozott fiókkal: 1 Jelentkezzen be a Rendszergazda csoport tagjaként. 2 Vegye tulajdonba a \system32\novell\nici\felhasználónév könyvtárat. Az abszolút elérési
út Windows 2000 és Windows XP rendszeren különböző. 3 Törölje a mappát.
Amikor a felhasználó legközelebb bejelentkezik, ez a mappa automatikusan újra létrejön az újra létrehozott felhasználói fiók Novell Nemzetközi Kriptográfiai Infrastruktúra (NICI) kulcsainak használatával, és a felhasználó ezután futtathatja az iManager-munkaállomást.
8.4
A DNS 630-as hibaüzenet jelenik meg, ha a létrehozott tulajdonságjegyzék nevében érvénytelen karakterek szerepelnek Ha létrehoz egy tulajdonságjegyzéket, és különleges karaktereket ad meg a nevében, amelyek érvénytelenek, ez a 603-as DNS-hibaüzenetet eredményezheti. A tulajdonságjegyzék elnevezéséről további információkért lásd: „Új tulajdonságjegyzék létrehozása”, 66. oldal.
8.5
eDirectory-karbantartási feladatokkal kapcsolatos hibák Az eDirectory karbantartási feladatainak futtatása megköveteli a szerep alapú szolgáltatások (RBS) konfigurálását az iManager konzolon a felügyelt fához. Az RBS-konfigurálási információkat lásd: 4. Fejezet, „Objektumok tallózása”, 27. oldal. További információért olvassa el Az eDirectory felügyeleti eszközkészlete című szakaszt a NetIQ eDirectory 9.0 felügyeleti útmutatójában (https://www.netiq.com/documentation/edirectory-9/ edir_admin/data/bookinfo.html).
8.6
Hibakeresési üzenetek engedélyezése a telepítéshez és konfiguráláshoz Ha nem sikerül a telepítés, engedélyeznie kell néhány hibaelhárítási üzenetet, amelyek segítenek meghatározni a hiba okát. Linux: Exportálja a LAX_DEBUG=true beállítást abból a terminál-munkamenetből, amelyből az iManager InstallAnywhere programot indította. Windows: Tartsa lenyomva a Ctrl billentyűt az iManager InstallAnywhere program indításakor, és tartsa lenyomva, amíg meg nem jelenik a hibaelhárítási képernyő.
Hibaelhárítás
101
8.7
A rendszer nem szinkronizálja automatikusan az előzményeket több egyidejű felhasználói bejelentkezés esetén Ha ugyanannak a böngészőnek használja két példányát (például két Firefox böngészőt használ, de Internet Explorert nem), azzal elkerüli a problémát. Az előzményjegyzék meg lesz osztva a két példány között.
8.8
Az iManager nem működik a Groupwise 7.0 WebAccess telepítése után (Windows Server 2000/ 2003) IIS 5 vagy 6 programmal rendelkező Windows 2000 és 2003 Server rendszeren a Groupwise 7.0 WebAccess program IIS-hez történő telepítésekor automatikusan települ a Tomcat 5.5 is. Az iManager telepítésének kezdetekor az iManager telepítője érzékeli, hogy az IIS és a Tomcat elérhetők-e. A telepítő jelzi, ha az iisadmin szolgáltatás nem állítható le. A telepítés vége felé a telepítő jelzi, ha a Tomcat nem indítható el. A telepítés után a GroupWise WebAccess továbbra is működik, de az iManager nem (HTTP 404: A lap nem található). Megoldás: Ne telepítse az iManager és a Groupwise alkalmazást ugyanarra a kiszolgálóra.
8.9
Hiányzó attribútum, objektum és érték miatti hibák Ha nagy kiterjedésű telepítés esetén szinkronizálási késések tapasztalhatók, akkor kényszerítheti az iManager konzolt, hogy kommunikáljon a mesterpéldánnyal. Ez biztosítja, hogy hozzáférjen minden mostanában hozzáadott vagy módosított attribútumhoz, objektumhoz és értékhez. Ez nem ajánlott az iManager rendszeres használatakor, de szinkronizálási késések esetében segíthet. A paraméter használatához az iManager konzolba való bejelentkezéskor adja hozzá az &forceMaster=true parancsot az URL-cím végéhez a bejelentkezési oldal betöltése után. Ezt a beállítást a TOMCAT_KEZDŐKÖNYVTÁRA\webapps\nps\WEB-INF\config.xml fájlban is lehet engedélyezni. Például: IPv4-címhez: https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
IPv6-címhez: https://[2001:db8::6]:1080/nps/servlet/ webacc?taskId=fw.Startup&forceMaster=true
A config.xml fájl bármilyen módosítása után újra kell indítania a Tomcat kiszolgálót. További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal.
102
NetIQ iManager – felügyeleti útmutató
8.10
Hiányzó szerepek és feladatok a Konfigurálás nézetben Ha a Konfigurálás nézetben nem láthatók a következő feladatok és szerepek, akkor ellenőrizze, hogy jogosult felhasználó-e. További információ: „Engedélyezett felhasználók és csoportok”, 78. oldal.
8.10.1
Lehetséges hiányzó szerepek vagy feladatok iManager-feladatok beállítása Objektum-létrehozási lista szerep Beépülőmodul-telepítési szerep Elektronikuslevél-értesítési szerep Szerep megtekintése
8.10.2
Annak a lehetséges okai, hogy miért nem jogosult felhasználó Átnevezte a fát. Szerkessze a configiman.properties fájlt, és módosítsa a fa nevét minden felhasználónál. Az iManager telepítésekor a jogosult felhasználóhoz megadott adatok helytelenek voltak. Szerkessze a configiman.properties fájlt, és adja hozzá a megfelelő felhasználónevet és a fanevet. A configiman.properties fájl ismeretlen okból sérült. Törölje a configiman.properties fájlt, és hozza létre újra a megfelelő adatokkal, vagy jelentkezzen be az iManager konzolba, és kattintson a Konfigurálás nézet > iManagerkiszolgáló > Az iManager beállítása menüpontokra. Adja meg a Biztonság lapon a rendszer jogosult felhasználóit a fa tallózásával, vagy ha biztos a felhasználó teljes elérési útjában, manuálisan. A configiman.properties fájl engedélyei megváltoztak, és megakadályozzák az iManager programot a fájl olvasásában. Módosítsa a fájl engedélyeit, hogy egyezzenek az azonos könyvtárban lévő fájlokéval. A rendszergazda nem vette fel engedélyezett felhasználóként. Kérje meg a rendszergazdát, hogy adja hozzá az engedélyezett felhasználók listájához. További információ: „Engedélyezett felhasználók és csoportok”, 78. oldal.
8.11
Az eDirectory és az iManager futtatása egyazon számítógépen (csak Windows rendszeren) Ha az iManager konzolt az eDirectory előtt telepítette, az alábbiakhoz hasonló hibaüzenetek jelenhetnek meg az iManager LDAP(S) vagy a HTTP(S) eDirectory elérésére történő használatakor. -340 error when trying to access encrypted attributes with iManager (hiba történt, amikor titkosított attribútumokat próbált elérni az iManager konzollal) LDAP : SSL_CTX_use_KMO failed. Error stack: error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type (err = -1418)
Hibaelhárítás
103
HTTP : 0016 TLS operation failed, err: 1, result: -1 -- HTTP : -error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher HTTP : 0017 TLS operation failed, err: 1, result: -1 -- HTTP : -error:1406B0BD:SSL routines:GET_CLIENT_MASTER_KEY:no p rivatekey HTTP : Unable to access server certificate and key, handshakes will fail (kiszolgálói tanúsítvány és kulcs nem érhető el, a kézfogások sikertelenek lesznek)-- HTTP : -- error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type (hibás csomagtípus) Limber : Error while setting NCP Key Material Name SSL CertificateDNS to server, Err: failed, -340 (0xfffffeac)... Limber : Error During syncKeyMaterialInfo -340 (0xfffffeac)
Lehetséges, hogy az eDirectory kezdeti rendszerbeállítása nem történt meg. Az eDirectory konzolt telepítő és az eDirectory-kiszolgálót futtató felhasználónak egyeztetnie kell az eDirectory konfigurációját. Általánosságban, az eDirectory telepítése rendszergazdai jogosultságokkal történik, a futtatása pedig RENDSZER jogokkal. Ezt a problémát el lehet manuálisan hárítani, de ehhez szükséges megérteni az eDirectory, az iManager, az NICI és más jelenleg telepített termékek működését. El kell döntenie, hogy biztonságos-e az alábbi lépések követése. Ezenkívül ellenőriznie kell a termék dokumentációjában és függőségeiben azt is, hogy használ-e bármilyen hosszú távon titkosított adatot vagy titkot. Ha az eDirectory címtárat és az iManager konzolt ugyanarra a számítógépre telepíti, az eDirectory telepítése után beállíthatja manuálisan az eDirectory címtárat. MEGJEGYZÉS: Ha az eDirectory címtárat egy korábbi alkalommal telepítette, és sikeresen futott a jelenlegi gépen, akkor ne végezze el az eDirectory manuális konfigurálását. 1 Jelentkezzen be rendszergazdaként. 2 Állítsa le az eDirectory-kiszolgálót és a Tomcat szolgáltatást.
Állítson le minden olyan egyéb szolgáltatást is, amely az NICI-t használja. 3 Vegye tulajdonba a %systemroot%\system32\novell\NICI\SYSTEM könyvtárat.
Ezt a fájltulajdonságokban a Biztonság > Speciális beállítások menüben teheti meg. 4 Mentse a SYSTEM könyvtár tartalmát egy biztonsági másolati könyvtárba. 5 Törölje a SYSTEM könyvtár tartalmát. 6 Másolja át a %systemroot%\system32\novell\NICI\Administrator könyvtár tartalmát a %systemroot%\system32\novell\NICI\SYSTEM könyvtárba. 7 Alaphelyzetbe állíthatja a %systemroot%\system32\novell\NICI\SYSTEM könyvtárnak és a
tartalmának az engedélyeit, hogy csak a SYSTEM rendelkezzen hozzáféréssel. 8 Indítsa újra az NDS-kiszolgálót és a Tomcat szolgáltatásokat és minden más szolgáltatást, amit
esetleg leállított.
8.12
Több beépülő modul telepítésekor „A szolgáltatás nem érhető el” üzenet jelenik meg Ez akkor fordulhat elő, ha egyszerre több beépülő modul telepítését választja. A beépülő modulok telepítése több percen át folytatódik, de a böngészőoldalon időtúllépés történik, és megjelenik az 503-as hibaüzenet. Bár valószínűleg csak várnia kell, a beépülő modulok telepítését figyelheti a Tomcat naplófájljaiban.
104
NetIQ iManager – felügyeleti útmutató
8.13
Tomcat A Tomcat kiszolgálóra vonatkozó alábbi általános információk hasznosak lehetnek a hibaelhárítás során.
8.13.1
A Tomcat elindítása és leállítása A következő táblázat az iManager által támogatott platformokon a Tomcat elindításának és leállításának módját ismerteti táblázat 8-1 A Tomcat leállítása és elindítása
8.13.2
Platform
Újraindítás módja
Linux
Írja be az /etc/init.d/novell-tomcat8 stop, majd pedig az /etc/ init.d/novell-tomcat8 start parancsot.
iManagermunkaállomás
Állítsa le és indítsa újra az iManager-munkaállomást.
Windows
Állítsa le, majd indítsa el a Tomcat szolgáltatást.
Tomcat-portok Ha az iManager konzolra való frissítéskor portütközéseket tapasztal, vagy szeretné megismerni a Tomcat által használt portokat, olvassa el az adott platformra vonatkozó információkat ebben a szakaszban.
Linux A Tomcat-portokat a /var/opt/novell/tomcat8/conf/server.xml fájlban tekintheti meg. A fájl nem SSL-port szakaszának kezdete az Adjon meg egy nem SSL Coyote HTTP/1.1-es összekötőt az n porton, míg az SSL-port szakasz kezdete az Adjon meg egy SSL Coyote HTTP/ 1.1-es összekötőt az n porton.
Windows A Windows lehetővé teszi az összes fájl más helyre telepítését. Ha a Tomcat telepítésekor elfogadta az alapértelmezett helyet, akkor a Tomcat konfigurációs fájlja a gyökérkönyvtár\novell\tomcat8\conf\server.xml könyvtárban lesz. Ha nem találja a konfigurációs fájlt, keresse meg a Windows beállításjegyzékében a Tomcatbeállításokat.
Hibaelhárítás
105
8.14
„Az univerzális jelszó állapota nem állapítható meg” hiba Ha UNIX rendszerben egy eDirectory-kiszolgáló úgy van konfigurálva, hogy SSL-t használjon az LDAP-kommunikációhoz, a következő hibaüzenetet kaphatja, amikor az iManager konzolban az egyszerű jelszó beállításának lehetőségét választja: Az univerzális jelszó állapota nem állapítható meg
A hiba elhárításához futtassa az /usr/bin/nmasinst/nmasinst segédprogramot az eDirectorykiszolgálón. Ez a segédprogram lehetővé teszi bejelentkezési módszerek telepítését az eDirectory programba egy UNIX gépről, és szükséges az univerzális jelszó funkció futtatásához. További információkért olvassa el az NMAS fejezetet az eDirectory 9.0 felügyeleti útmutatójában.
8.15
Az iManager-munkaállomás nem jelenít meg bizonyos információkat Előfordulhat, hogy az iManager a Frissítés gombra kattintás után nem jeleníti meg a hibaüzeneteket, és nem tölt be oldalakat, például a Fanézetet, az Objektumtallózót és az Objektumok létrehozását. A hiba oka, hogy a XULRunner böngésző-gyorsítótára régi, az iManager-munkaállomás előző buildjéből származó adatokat tartalmaz. Megoldás: Törölje manuálisan az adatokat a böngésző-gyorsítótárból.
Windows esetén: 1 Lépjen ki az iManager alkalmazásból. 2 Tallózzon a C:\Users\\AppData\\Mozilla\eclipse\Cache
könyvtárhoz (az elérési út a konfigurációtól és az operációs rendszertől függően eltérő). 3 Törölje az összes adatot a Cache könyvtárból. 4 Indítsa újra az iManager alkalmazást.
Linux esetén: 1 Lépjen ki az iManager alkalmazásból. 2 Tallózással keresse meg a következők egyikét:
/root/.mozilla/eclipse/Cache (a gyökérszintű felhasználóhoz) /$HOME/.mozilla/eclipse/Cache (nem gyökérszintű felhasználóhoz) 3 Törölje az összes adatot a Cache könyvtárból. 4 Indítsa újra az iManager alkalmazást.
106
NetIQ iManager – felügyeleti útmutató
8.16
Néha nem működik a Frissítés gomb Néha a Frissítés gomb különböző oldalakon nem működik, amikor rákattint. Megoldás: 1 Jelentkezzen ki az iManager konzolból. 2 Törölje a böngésző gyorsítótárát.
Internet Explorer esetén: 1. Kattintson az Eszközök > Internetbeállítások parancsra. Megjelenik az Internetbeállítások párbeszédpanel. 2. Az Általános lap Böngészési előzmények területén kattintson a Törlés gombra. Firefox esetén: 1. Nyomja le az Alt + F > billentyűkombinációt. Válassza az Előzmények menüpontot, majd kattintson az Előzmények törlése parancsra. 2. Jelölje be a Gyorsítótár jelölőnégyzetet, és kattintson a Törlés most gombra. 3 Jelentkezzen be az iManager alkalmazásba.
8.17
Az iManager beépülő moduljainak telepítése lefagy, vagy nem megy végbe megfelelően Az iManager beépülő moduljainak telepítése során előfordulhat, hogy a beépülő modul telepítése lefagy, vagy nem megy végbe megfelelően. Megoldás
A különálló iManager konzol esetén: 1 Jelentkezzen ki az iManager konzolból. 2 Törölje a böngésző gyorsítótárát.
Az Internet Explorer esetén tegye az alábbiakat: 1. Kattintson az Eszközök > Internetbeállítások parancsra. Megjelenik az Internetbeállítások párbeszédpanel. 2. Az Általános lap Böngészési előzmények területén kattintson a Törlés gombra. A Firefox esetén tegye az alábbiakat: 1. Nyomja le az Alt + F > billentyűkombinációt. Válassza az Előzmények menüpontot. 2. Kattintson az Előzmények törlése parancsra. 3. Jelölje be a Gyorsítótár jelölőnégyzetet, és kattintson a Törlés most gombra. 3 Jelentkezzen be az iManager alkalmazásba. 4 Telepítse újra a beépülő modulokat.
Az iManager-munkaállomás esetén: Windows esetén: 1. Lépjen ki az iManager alkalmazásból.
Hibaelhárítás
107
2. Tallózzon a C:\Users\\AppData\\Mozilla\eclipse\Cache könyvtárhoz (az elérési út a konfigurációtól és az operációs rendszertől függően eltérő). 3. Törölje az összes adatot a Cache könyvtárból. 4. Indítsa újra az iManager alkalmazást. Linux esetén: 1. Lépjen ki az iManager alkalmazásból. 2. Tallózással keresse meg a következők egyikét: /root/.mozilla/eclipse/Cache (a gyökérszintű felhasználóhoz) /$HOME/.mozilla/eclipse/Cache (nem gyökérszintű felhasználóhoz) 3. Törölje az összes adatot a Cache könyvtárból. 4. Indítsa újra az iManager alkalmazást.
8.18
Bejelentkezési probléma a fa IP-címének változásakor Fontolja meg az alábbi forgatókönyvet: 1 Az IP-címe <xxx.xx.xx.xx>, konfigurálta az eDirectory címtárat rajta, a fa neve padig <XXX_FA>. 2 Rendelkezik egy bejelentkezési gyorsítótárral, amely leképezi az <XXX_FA> fát az <xxx.xx.xx.xx> címre. 3 A hálózat áthelyezése miatt új IP-címet kapott: , konfigurálta rajta az eDirectory címtárat, és a fanév ugyanaz marad (<XXX_FA>). 4 Egy másik felhasználó használatba vette a korábbi IP-címét (<xxx.xx.xx.xx>), és egy új eDirectory-fát konfigurált: .
Ha most az <XXX_FA> fanévvel jelentkezik be az iManager alkalmazásba, az fába fog bejelentkezni, mert az <XXX_FA> az <xxx.xx.xx.xx> címre van leképezve, de az <xxx.xx.xx.xx> cím jelenleg az fával van konfigurálva. Megoldás: Windows esetén: 1. Lépjen a ...\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\ könyvtárba. 2. Nyissa meg a config.xml fájlt. 3. Keresse meg a fájlban a Cached-Tree beállítást, és törölje a Tree Name értékét a beállítások közül. 4. Törölje a fanevével kezdődő beállítást. Linux esetén, 1. Lépjen a /var/opt/novell/iManager/nps/WEB-INF könyvtárba. 2. Nyissa meg a config.xml fájlt. 3. Keresse meg a fájlban a Cached-Tree beállítást, és törölje a Tree Name értékét a beállítások közül. 4. Törölje a fanevével kezdődő beállítást.
108
NetIQ iManager – felügyeleti útmutató
8.19
A Java-halommemória elégtelen mérete sikertelen bejelentkezést eredményez A Tomcat szoftvert futtató Linux-kiszolgálón a halommemória méretének növeléséhez állítsa le a Tomcat programot, és nyisson meg egy terminálablakot. A terminálablakban futtassa a következő parancsot, és indítsa újra a Tomcat programot: export CATALINA_OPTS="-Xms128m -Xmx1024m"
A Tomcat programot futtató Windows-kiszolgálón a halommemória méretének növeléséhez hozzon létre egy új környezeti változót JAVA_OPTS névvel, és állítsa be a változót az -Xms128m -Xmx1024m értékre, majd indítsa újra a Tomcat szolgáltatást. A Tomcat leállításáról és újraindításáról lásd: „A Tomcat elindítása és leállítása”, 105. oldal.
8.20
Az iManager-munkaállomás böngészőjének bezárása után Java-hibaüzenetek jelennek meg Miután kijelentkezett az iManager programból, amikor bezárja a böngészőt, a következő Javahibaüzenet jelenik meg. # # An unexpected error has been detected by Java Runtime Environment: # #
SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872
# # Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86) # Problematic frame: # C
[libmozjs.so+0x2944]
strftime+0x2944
Megoldás: Hagyja figyelmen kívül a hibaüzenetet és a hs_err_pid####.log fájlokat, mivel nincsenek hatással az iManager-munkaállomásra.
8.21
Az iManager és az LDAP eltérő dátumtartományokat használ Ha létrehoz egy attribútumot az iManager programban a Time szintaxissal, kitölti az attribútumértéket, majd rákeres az értékre az LDAP használatával, az LDAP más értéket ad vissza, mint amit az iManager kitöltött. Az iManager és az LDAP natív módon tárolják a dátumértékeket a 32 bites aláíratlan egész szám első 31 bitjén. A két alkalmazás azonban másként értelmezi az egész számban a legjelentősebb bitet (MSB), mivel az iManager az MSB-ben az 1970 előtti dátumokat tárolja, az LDAP viszont a 2038 utániakat. Ezért az iManager által használt dátumtartomány az 1903–2038 közötti, míg az LDAP által használt az 1970–2106 közötti.
Hibaelhárítás
109
8.22
Dinamikus csoport módosításakor nem sikerül biztonságos SSL LDAP-környezetet létrehozni Ha az eDirectory címtárat nem alapértelmezett LDAP-porttal konfigurálja, az iManager konzolon a következő hibaüzenet jelenik meg dinamikus csoport Dinamikus lapon történő módosításakor. Creating Secure SSL LDAP Context Failed
A probléma megoldásához adja hozzá az LDAP-kiszolgáló IP-címét az LDAP URL-címhez az ldapInterfaces attribútumban az ldapconfig segédprogrammal vagy az iManager LDAP beépülő moduljával.
8.23
Az eDirectory iManager beépülő modulja nem működik, ha az LDAP-kiszolgáló harmadik fél hitelesítésszolgáltató tanúsítványát használja. Az iManager Java-kulcstára alapértelmezésben csak a fa hitelesítésszolgáltatójának tanúsítványaival rendelkezik, harmadik fél hitelesítésszolgáltató tanúsítványaival nem. Ezért sokféle beépülő modul, többek között a csoportok, az NMAS és a jelszóházirend nem tud LDAPS protokollal csatlakozni az eDirectory címtárhoz, és hibaüzeneteket jelenít meg, ha az eDirectory harmadik fél hitelesítésszolgáltató által kibocsátott tanúsítványt használ. A probléma megoldásához kövesse az alábbi lépéseket: Linux: 1. Importálja a külső hitelesítésszolgáltató tanúsítványát a JRE kulcstárfájljába, a következő helyre: /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts A külső hitelesítésszolgáltatói tanúsítványok importálásáról további információért lásd: „Biztonságos LDAP-tanúsítványok”, A.1. szakasz (123. oldal). 2. Indítsa újra a Tomcat szolgáltatást. Windows: 1. Importálja a külső hitelesítésszolgáltató tanúsítványát a JRE kulcstárfájljába, a következő helyre: C:\Program Files\Novell\jre\lib\security\cacerts A külső hitelesítésszolgáltatói tanúsítványok importálásáról további információért lásd: „Biztonságos LDAP-tanúsítványok”, A.1. szakasz (123. oldal). 2. Indítsa újra a Tomcat szolgáltatást.
110
NetIQ iManager – felügyeleti útmutató
9
iManager-események naplózása
9
Az iManager-események naplózására használja a Novell Audit szolgáltatást. További információ a Novell Audit 2.0 felügyeleti útmutatójában (http://www.novell.com/documentation/novellaudit20/ index.html) található. Az Audit használatához az alábbi előfeltételeket kell teljesítenie:
Kiszolgáló (Windows, Linux) az Auditot tartalmazó könyvtárfában. Novell Audit platformügynök az iManager-kiszolgálóra vagy az iManager-munkaállomásra telepítve, és úgy konfigurálva, hogy a biztonságos naplózási kiszolgálóra mutasson. Az Audit az alábbi eseményekkel kapcsolatos adatokat rögzíti: táblázat 9-1 iManager-események
9.1
Eseményazonosító
Esemény neve
Leírás
150013
Jogosult felhasználó hozzáadva
Egy jogosult felhasználó hozzá lett adva az eDirectory címtárhoz
150004
Sikeres bejelentkezés
Az iManager konzolról az eDirectory címtárba történő bejelentkezés sikerült
150009
Sikeres NPM-telepítés
Az NPM telepítése sikerült
150001
Az iManager indítása
A Tomcat elindult
150011
Sikertelen SSL-kapcsolat
Nem sikerült létrehozni az SSL-kapcsolatot az eDirectoryhoz
150006
Kijelentkezés
Kijelentkezett az iManager konzolból
150012
Módosított konfiguráció
A konfiguráció módosult
150015
Sikeres NPM-feltöltés
Az NPM feltöltése sikerült
150006
Sikertelen bejelentkezés
Az iManager konzolról az eDirectory címtárba történő bejelentkezés nem sikerült
150010
Sikertelen NPM-telepítés
Az NPM telepítése nem sikerült
150002
Az iManager leállítása
A Tomcat leállt
A Novell-naplózás engedélyezése az iManager konzolban A Novell Audit konfigurálásához tegye az alábbiakat: 1 Telepítse az iManager 3.0-s verzióját. 2 Jelentkezzen be az iManager konzolba, navigáljon a Konfigurálás > iManager-kiszolgáló>Az iManager beállítása menüpontra, és kattintson a Jogosult felhasználók hozzáadása elemre.
iManager-események naplózása
111
3 Válassza a NetIQ Audit engedélyezése lehetőséget, majd a naplózni kívánt iManager-
eseményeket. 4 Az eDirectory 9.0 telepítési csomagjából telepítse a Platform ügynököt.
MEGJEGYZÉS: Ha a kiszolgáló már használja a nauditpa.jar fájlt, hajtsa végre a következő lépéseket: Ne módosítsa a logevent fájlt (hagyja ki az 5. lépést). Ne módosítsa a naudit mappa tulajdonosát. Adja hozzá a novlwww felhasználót az idvadmin csoporthoz, és hozzon létre egy .profile fájlt a novlwww felhasználóhoz a következő umask beállítással: 0002. 5 A platformnak megfelelően módosítsa a logevent fájlt.
Linux: Hajtsa végre a következő műveleteket: 1. Szerkessze a következő bejegyzéseket az /etc/logevent.conf fájlban: LogHost=IP_Address_of_secure_logging_server JLogCacheDir=/var/opt/novell/naudit/jcache JLogCachePort=1287 LogCachePort=1288 LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jar LogMaxBigData=8192 LogEnginePort=1289 LogCacheUnload=no LogCacheSecure=no LogCacheLimitAction=keep logging
2. (Feltételes) Hozza létre manuálisan az naudit mappát a /var/opt/novell/ helyen. Változtassa meg a /var/opt/novell/naudit mappa tulajdonjogát a novlwww értékre a következő parancs futtatásával: chown -R novlwww:novlwww naudit/
Windows: Szerkessze a logevent.cfg következő bejegyzéseit a C:\Windows helyről: LogHost=IP_Address_of_secure_logging_server JLogCacheDir=/var/opt/novell/naudit/jcache JLogCachePort=1287 LogCachePort=1288 LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jar LogMaxBigData=8192 LogEnginePort=1289 LogCacheUnload=no LogCacheSecure=no LogCacheLimitAction=keep logging 6 A platformtól függően törölje az imanager_logging.xml fájl következő bejegyzéseinek
megjegyzésjeleit: Linux: Törölje az bejegyzés megjegyzésjelét. Az imanager_logging.xml fájl a /var/opt/novell/iManager/nps/WEB-INF/ könyvtárban található. Windows: Törölje az bejegyzés megjegyzésjelét. Az imanager_logging.xml fájl a C:\Program Files (x86)\Novell\Tomcat\webapps\nps\WEB-INF\ könyvtárban található. 7 Indítsa újra a Tomcat kiszolgálót.
112
NetIQ iManager – felügyeleti útmutató
8 Ellenőrizze, hogy megtörtént-e az események mentése a naplózó kiszolgálóra.
Linux: Állítsa le a jcache gyorsítótárat, és indítsa újra a Tomcat kiszolgálót. Generáljon eseményeket, és ellenőrizze a naplózó kiszolgálót. Windows: Generáljon eseményeket, és ellenőrizze a naplózó kiszolgálót.
9.2
Az XDAS-naplózás engedélyezése az iManager konzolban Az XDAS Audit alapértelmezés szerint az iManager része. Az XDAS Audit az alábbi eseményekkel kapcsolatos adatokat rögzíti: Jogosult felhasználó hozzáadva Sikeres bejelentkezés Sikeres NPM-telepítés Az iManager indítása Sikertelen SSL-kapcsolat Kijelentkezés Módosított konfiguráció Sikeres NPM-feltöltés Sikertelen bejelentkezés Sikertelen NPM-telepítés Az iManager leállítása Az XDAS Audit engedélyezése az iManager konzolhoz: 1 Jelentkezzen be az iManager alkalmazásba. 2 Kattintson a Konfigurálás > iManager-kiszolgáló > Az iManager beállítása menüpontra. 3 Az iManager beállítása oldal Biztonság lapján válassza az XDAS Audit engedélyezése
lehetőséget. 4 Válassza ki azokat az eseményeket, amelyeket rögzíteni szeretne, és kattintson a Mentés
gombra.
9.3
Az XDAS Audit beállítása az iManager programhoz A táblázat 9-2 tartalmazza az xdasconfig.properties fájl alapértelmezett helyét különböző operációs rendszerekben. A fájlt a követelményeknek megfelelően testre szabhatja. táblázat 9-2 Az XDAS konfigurációs fájl helye
Operációs Rendszer
Fájl
Linux
/var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml
Windows
c:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\imanager_logging.xml
Linux- és Windowsmunkaállomás
\imanager\tomcat\webapps\nps\WEBINF\imanager_logging.xml
iManager-események naplózása
113
A táblázat 9-3 az XDAS konfigurációs fájlokat tartalmazza. táblázat 9-3 XDAS konfigurációs fájl
Lehetőségek
Név
Syslog-naplóíró
syslog
Gördülőfájl-naplóíró
file_appender
A következő táblázat tartalmazza az imanager_logging.xml fájlban található összes beállítás magyarázatát. táblázat 9-4 Syslog-beállítások
Beállítás
Leírás
syslogHost
Annak az állomásnak az IP-címe, amelyiken az Auditkiszolgáló fut.
syslogProtocol
A kommunikációhoz használandó protokoll (UDP/ TCP/SSL).
syslogSslKeystoreFile
A kulcstárolófájl helye.(Csak SSL-hez használt).
syslogSslKeystorePassword
Jelszó a kulcstárolófájlhoz.(Csak SSL-hez használt).
Küszöb
A Syslog-naplóíróban engedélyezett minimális naplózási szint megadása. Jelenleg az INFO naplózási szint a támogatott.
Facility=USER
A szolgáltatás típusának megadása. A szolgáltatás az üzenet osztályozására használatos. Jelenleg a USER szolgáltatás támogatott. Az értékeket meg lehet adni nagy- és kisbetűvel.
Elrendezés
A Syslog-naplóíró elrendezési beállítása.
táblázat 9-5 Fájlnaplóíró beállításai
114
Beállítás
Leírás
File= ${catalina.home}/logs/imanager.log
A fájlnaplóíró naplófájljának alapértelmezett helye.
MaxFileSize=10MB
A fájlnaplóíró naplófájljának maximális mérete MBban. Ezt az értéket az ügyfél által megengedett maximális méretre állítsa be.
MaxBackupIndex=10
A fájlnaplóíró biztonságimásolat-fájljainak maximális számát határozza meg. A biztonságimásolat-fájlok maximális száma 10 lehet. Ha a MaxBackupIndex értékének beállítása 0, nem jön létre biztonságimásolat-fájl.
layout class=org.apache.log4j.PatternLayout
A fájlnaplóíró elrendezési beállítása.
ConversionPattern="%t %d %-5p [%c:%M] %m%n”
A fájlnaplóíró elrendezési beállítása.
NetIQ iManager – felügyeleti útmutató
Az átváltási mintázatokra vonatkozó információkat és a leírásukat a logging.apache.org webhelyen találja. A Syslog-naplóíró engedélyezéséhez végezze el a következő módosításokat az imanager_logging.xml fájlban: 1 Szerkessze a következő bejegyzéseket: <param name="Facility" value="user"/> <param name="syslogHost" value=" 192.168.1.5:1468 "/ <param name="syslogProtocol" value="tcp"/> <param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/ mykeystore.jks"/> param name="syslogSslKeystorePassword" value="novell"/> <param name="Threshold" value="INFO"/> 2 Jelentkezzen be az iManager konzolba, és módosítsa a naplózási eseményeket.
A fájlnaplóíró engedélyezéséhez végezze el a következő módosításokat az imanager_logging.xml fájlban: 1 Szerkessze a következő bejegyzéseket: <param name="File" value="${catalina.home}/logs/imanager.log"/> <param name="Append" value="true" /> <param name="MaxFileSize" value="10MB" /> <param name="MaxBackupIndex" value="10" />
A Fájl értéket testre szabhatja a következő platformok mindegyikén: Linux: /home/imanager.log Windows: C:\\\\imanager.log 2 Válassza ki a kívánt eseményt az iManager konzolban, és mentse a változtatásokat.
MEGJEGYZÉS: A rendszer többször is naplózta a sikertelen XDAS-eseményt, mert több belső próbálkozás is történt LDAP-kapcsolat kialakítására.
9.4
Naplózás konfigurálása az iManager programhoz harmadik fél tanúsítványaival 1 Engedélyezze az NAudit szolgáltatást az iManager konzolban. További információ: „A Novell-
naplózás engedélyezése az iManager konzolban”, 9.1. szakasz (111. oldal). 2 Írja be a következő parancsot az iManager-események Audit-kiszolgálón történő naplózásához
naplózóalkalmazás-tanúsítvány létrehozásához: audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem 3 Másolja a generált tanúsítványfájlokat (imanicert.pem és imanipkey.pem) az iManager-
kiszolgáló megfelelő mappáiba.
iManager-események naplózása
115
Windows esetén: c:\windows\imanicert.pem c:\windows\imanipkey.pem Linux esetén: /etc/imanicert.pem /etc/imanipkey.pem 4 Indítsa újra a Tomcat kiszolgálót.
116
NetIQ iManager – felügyeleti útmutató
10
Ajánlott eljárások és gyakori kérdések
10
Ez a szakasz a következő témákra vonatkozó ajánlásokat tartalmaz néhány szakértőnktől. Ha valami olyasmit talál, ami az Ön számára bevált, kérjük, ossza meg a Cool Solutions (http://www.novell.com/ coolsolutions) közösségben. „Biztonsági mentési és visszaállítási lehetőségek”, 10.1. szakasz (117. oldal) „Együttes használat az iManager 2.x és a szerepalapú szolgáltatások korábbi verzióival”, 10.2. szakasz (117. oldal) „Gyűjtemények”, 10.3. szakasz (118. oldal) „Sikertelen telepítések”, 10.4. szakasz (118. oldal) „Magas rendelkezésre állás: az iManager futtatása fürtözött környezetben”, 10.5. szakasz (119. oldal) „Teljesítményhangolás”, 10.6. szakasz (120. oldal) „iManager AppArmor-profil”, 10.7. szakasz (121. oldal) „További Tomcat-memória kiosztása Windowsban”, 10.8. szakasz (121. oldal)
10.1
Biztonsági mentési és visszaállítási lehetőségek Az iManager nem tartalmaz automatikus biztonsági mentési és visszaállítási funkciókat. Az iManager két részből áll: a helyi fájlokból a kiszolgálón és a szerepalapú szolgáltatások objektumaiból az eDirectory programban. Az iManager teljes biztonsági mentéséhez ellenőrizze, hogy rendelkezik-e érvényes biztonsági másolattal az RBS-gyűjteményről és a fa összes alárendelt objektumáról akár replikaredundancia formájában vagy eDirectory biztonsági másolatként. A fájlrendszer összes helyi iManager-fájlját a Tomcat könyvtár tárolja. Amennyiben rendelkezik biztonsági másolattal a Tomcat könyvtárról, az összes iManager-tartalom megőrződik. Ha a Tomcat könyvtár valahogy megsérülne a kiszolgálón, a Tomcat kiszolgáló leállításával és a könyvtár újramásolásával helyreállíthatja az iManager programot. Ha nem használ RBS-t, csak a Tomcat könyvtár biztonsági mentésére van szükség.
10.2
Együttes használat az iManager 2.x és a szerepalapú szolgáltatások korábbi verzióival Frissítse az RBS-gyűjteményt a 2.7-es verzióra. Egyébként, ha az iManager konzolt az iManager korábbi, 2.x verziójából származó RBS-gyűjteménnyel rendelkező fa elérésére használja, nem fogja látni az összes szerepet és feladatot, amelyeknek meg kellene jelenniük. 1 A Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások
menüpontokra. 2 Kattintson a hivatkozásra a Lejárt oszlopban annál a modulnál, amelynek szükségessé vált a
frissítése.
Ajánlott eljárások és gyakori kérdések
117
3 A Lejárt modulok oldalon válasszon ki egy modult, és kattintson a Frissítés gombra.
Megjelenik a sikeres frissítést megerősítő üzenet. A frissített beépülő modulok az iManager 2.x minden verziójában láthatók.
10.3
Gyűjtemények Fontos felismerni, hogy egyetlen konfiguráció nem minden vállalat számára ideális. Egy fában több gyűjtemény meglétét csak akkor javasoljuk, ha földrajzi vagy funkcionális szervezeteket alkalmazó hierarchikus struktúrát használ, amelynek minden helyén más a rendszergazda. Az alábbiakban a leggyakoribb helyzetek szerepelnek, valamint javaslatok az ezeknek megfelelő gyűjtemények kezeléséhez: Földrajzi hely alapú szervezetet tükröző hierarchikus fa Hozzon létre egy gyűjteményt minden földrajzi helyen, és telepítsen helyenként egy vagy több iManager-kiszolgálót. A bejelentkezési idő rövidebb, a fa navigációja pedig egyszerűbb. Minden földrajzi hely rendszergazdája a megadott hely gyűjteményét kezeli. A vállalat szervezeti struktúráját tükröző hierarchikus fa Hozzon létre egy gyűjteményt a szervezet szintjén, és telepítse egy vagy több iManagerkiszolgálót, ahogyan a vállalat mérete megkívánja. Csak egy gyűjteményt kezel. Lapos fa, amelyben minden objektum egy különálló konténerben található Hozzon létre egy gyűjteményt a különálló konténer testvéreként, és telepítsen egy vagy több iManager-kiszolgálót, ahogyan a vállalat mérete megkívánja. Csak egy gyűjteményt kezel.
10.4
Sikertelen telepítések A sikertelen telepítések elkerülése érdekében győződjön meg róla, hogy frissítette az operációs rendszert a legújabb verzióra, és hogy megfelel minden rendszerkövetelménynek. További információkért olvassa el „Az iManager telepítésének előfeltételei és szempontjai” szakaszt a NetIQ iManager telepítési útmutatójában. Sikertelen telepítés helyreállításához mérje fel a problémát a telepítéskor generált hibaüzenet alapján. „Windows”, 10.4.1. szakasz (118. oldal) „Linux”, 10.4.2. szakasz (119. oldal)
10.4.1
Windows 1 Ha a hiba létrejöttében szerepet játszott ezeknek az összetevőknek valamelyike, ellenőrizze a
megadott naplófájlokban a hibákat: NICI: telepítési könyvtár\temp\wcniciu0.log Tomcat: tomcat telepítési könyvtára\Apache_Tomcat_InstallLog.log. Például: C:\Program Files\Novell\Tomcat\Apache_Tomcat_InstallLog.log. 2 Ellenőrizze az iManager telepítési naplófájljában (C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\logs\install\iManager_Install_3.0.0_InstallLog.log), hogy vannak-e hibák. 3 Ha a naplófájl nem tartalmaz elég információt a probléma azonosításához, futtassa újra a
telepítést hibakeresési módban.
118
NetIQ iManager – felügyeleti útmutató
A telepítőprogram hibakeresési kimenetének megtekintéséhez vagy rögzítéséhez nyissa meg és másolja át a konzol kimenetét egy szövegfájlba, hogy később megvizsgálhassa. 3a Közvetlenül a telepítőprogram indítása után tartsa lenyomva a Ctrl billentyűt, amíg meg
nem jelenik egy konzolablak. 3b A telepítés befejeződése után kattintson a konzolablak bal felső sarkában lévő ikonra, és válassza a Tulajdonságok > Elrendezés menüpontot. 3c Módosítsa a puffer méretét 3000-re, és kattintson az OK gombra. 3d Az Elrendezés ablakban kattintson a Szerkesztés > Az összes kijelölése > Szerkesztés > Másolás menüpontokra. 3e Nyisson meg egy szövegszerkesztő programot, és illessze be a hibakeresési adatokat. 4 Azonosítsa és javítsa ki a hibákat vagy veremkivonatokat, és futtassa újra a telepítőprogramot.
10.4.2
Linux 1 Ellenőrizze az iManager telepítési naplófájlját (/var/log/ NetIQ_iManager_3.0.0_InstallLog.log), hogy tartalmaz-e hibákat. 2 Ha a naplófájl nem tartalmaz elég információt a probléma azonosításához, futtassa újra a
telepítést hibakeresési módban. A parancssorba írja be a következőt: export LAX_DEBUG=true
3 Azonosítsa és javítsa ki a hibákat vagy veremkivonatokat, és futtassa újra a telepítőprogramot.
10.5
Magas rendelkezésre állás: az iManager futtatása fürtözött környezetben Bár az iManager egy munkamenet-alapú eszköz, amelyet feladatátvételi funkció nélkül biztosítunk, futtathatja fürtözött környezetben is. A fürtözéssel kapcsolatban további információért lásd az OES fürtözési dokumentációját (http://www.novell.com/documentation/oes/cluster-services.html#clusterservices). 1 Telepítse és konfigurálja az iManager programot a fürtnek azon a csomópontján, ahová a
virtuális IP-címet áthelyezte (vagyis az aktív/aktív fürtön). Ha az iManager programot futtató csomópont meghibásodik, akkor a NetIQ fürtszolgáltatásai felderítik a csomóponti hibát, és áthelyezik (újra betöltik) a virtuális IP-címet a fürt egy másik csomópontjára. 2 A NetIQ fürtszolgáltatásaival biztosított Generic_IP_Service sablonnal hozzon létre egy új,
iManager nevű fürterőforrást. Ez a fürterőforrás egy olyan virtuális IP-címet használ, amely mozog a fürt csomópontjai között. Új fürterőforrás létrehozásakor a varázsló végigvezeti a betöltési parancsfájl és az eltávolítási parancsfájl létrehozásának lépésein. 3 Ellenőrizze a betöltési és az eltávolítási parancsfájlt.
A betöltési parancsfájl csak a következő sorokat tartalmazhatja (minden más sort megjegyzésjellel kell ellátni): . /opt/novell/ncs/lib/ncsfuncs
exit_on_error add_secondary_ipaddress xxx.xxx.xxx.xxx
Ajánlott eljárások és gyakori kérdések
119
exit 0
Az eltávolítási parancsfájl csak a következő sorokat tartalmazhatja (minden más sort megjegyzésjellel kell ellátni): . /opt/novell/ncs/lib/ncsfuncs ignore_error del_secondary_ipaddress xxx.xxx.xxx.xxx exit 0 4 Tallózzon az iManager URL-címére.
Az iManager szolgáltatásai már magas rendelkezésre állásúak. Az élő munkameneteknél azonban nincs feladatátvétel. Ha egy szolgáltatás a felhasználói műveletek közben hibásodik meg, a felhasználóknak újra el kell végezniük a hitelesítést, és újra kell indítaniuk a megszakított műveleteket. Mivel az iManager és a Tomcat már fut (aktív/aktív) a többi csomóponton, ezeknek az alkalmazásoknak nincs betöltési idejük, ha a NetIQ fürtszolgáltatásainak más csomópontra kell áthelyezniük (mozgatniuk) a virtuális IP-címet. Az aktív/inaktív fürt használatának kevés előnye van, mert sokkal több konfigurációra van szükség, és minden feladatátvételnél ki kell várnia a teljes betöltési időt. Ha az iManager programot tényleg aktív/inaktív fürtözött erőforrásként szeretné konfigurálni, létre kell hoznia egy olyan fürterőforrást, amely betölti és kiüríti az iManagert és a függőségeit (például a Tomcat programot). Ezután az iManager programnak ezt az azonos konfigurációját el kell végeznie minden olyan csomóponton, ahol az iManagert magas rendelkezésre állásúvá szeretné tenni.
10.6
Teljesítményhangolás Az alábbiakban a sebességet és a hatékonyságot növelő tippeket olvashat.
10.6.1
Dinamikus csoportok használata az RBS-szel Tiltsa le a dinamikus csoportok támogatását az RBS szolgáltatásban, ha nem használja ezt a funkciót. Alapértelmezés szerint a dinamikus csoportok támogatása engedélyezve van, és használatakor a kiterjedt kereséseknek köszönhetően jelentős terhelést jelent az erőforrások számára. 1 A Konfigurálás nézetben kattintson az iManager-kiszolgáló > Az iManager beállítása
menüpontokra. 2 Kattintson az RBS fülre, aztán törölje a Dinamikus csoportok engedélyezése beállítás
kijelölését.
10.6.2
Szerep-hozzárendelések Ha ötnél több felhasználót rendelt hozzá ugyanahhoz a hatókörhöz tartozó szerephez, fontolja meg csoportobjektumok használatát a szerep-hozzárendelések számának csökkentéséhez és az RBS hatékonyabb felügyeletéhez. Ezáltal kevesebb objektumot kell frissítenie, és kezelheti a csoportobjektumot tagok hozzáadásával és eltávolításával. Vegye fontolóra dinamikus csoportobjektumok használatát is. Dinamikus csoport keresési feltételeinek való megfeleléshez létrehozhat felhasználói objektumokat.
120
NetIQ iManager – felügyeleti útmutató
10.7
iManager AppArmor-profil A Novell Open Enterprise Server – Linux tartalmaz egy AppArmor-profilt az iManager konzolhoz. A profil neve etc.opt.novell.tomcat5.init.d.tomcat5, a telepítési helye pedig /etc/apparmor/ profiles/extras/iManager. Az iManager AppArmor-profil alapértelmezés szerint nincs engedélyezve. Az engedélyezéséhez másolja a profilt az /etc/apparmor.d mappába. Az AppArmor szolgáltatásról és az AppArmor-profilokról bővebben a Novell AppArmor dokumentációjában (http://www.novell.com/documentation/apparmor/) olvashat.
10.8
További Tomcat-memória kiosztása Windowsban 1 Lépjen a Tomcat/bin mappába (például c:\Program Files\Novell\Tomcat\bin). 2 Kattintson a jobb gombbal a tomcat7w.exe fájlra. 3 Nyissa meg a Tomcat7 tulajdonságai ablakot. 4 Kattintson a Java fülre. 5 Adja meg a kezdeti és a maximális memóriakészlet méretét.
FONTOS: A kezdeti és a maximális memóriakészlet méreteként kisebb értéket adjon meg, mint a gép fizikai RAM memóriájának mérete, másként több teljesítményprobléma jelentkezhet. 6 Kattintson az Alkalmaz, majd az OK gombra. 7 Indítsa újra a Tomcat szolgáltatást.
TIPP: Az új beállítás ellenőrzéséhez lépjen a Tomcat kiszolgáló URL-címére, és kattintson a Kiszolgáló állapota elemre.
Ajánlott eljárások és gyakori kérdések
121
122
NetIQ iManager – felügyeleti útmutató
A
Az iManager programmal kapcsolatos biztonsági problémák
A
Ez a szakasz az iManager lehetséges biztonsági problémáival kapcsolatos tudnivalókat ismerteti, és a következő témaköröket tartalmazza: „Biztonságos LDAP-tanúsítványok”, A.1. szakasz (123. oldal) „Önállóan aláírt tanúsítványok”, A.2. szakasz (124. oldal) „Engedélyezett felhasználók és csoportok az iManager konzolban”, A.3. szakasz (125. oldal) „A felhasználónév felfedezésének megakadályozása”, A.4. szakasz (125. oldal) „Tomcat-beállítások”, A.5. szakasz (126. oldal) „Titkosított attribútumok”, A.6. szakasz (126. oldal) „Biztonságos kapcsolatok”, A.7. szakasz (126. oldal)
A.1
Biztonságos LDAP-tanúsítványok Az iManager programban felhasználói beavatkozás nélkül, a háttérben lehetséges a biztonságos LDAP-kapcsolatok létrehozása. Ha az LDAP-kiszolgáló tanúsítványa bármilyen okból frissül (például új szervezeti hitelesítésszolgáltató miatt), az iManager automatikusan lekéri az új tanúsítványt a hitelesített kapcsolaton keresztül, és importálja a saját kulcstáradatbázisába. Ha ez nem megfelelően történik, törölje az iManager által használt személyes kulcstárat, hogy az iManager programnak és a Tomcat szolgáltatásnak újra létre kelljen hoznia az adatbázist, és be kelljen szereznie a tanúsítványt: 1 Állítsa le a Tomcat kiszolgálót. 2 Törölje a TOMCAT_KEZDŐKÖNYVTÁRA\webapps\nps\WEB-INF\iMKS fájlt. 3 Indítsa újra a Tomcat kiszolgálót.
További információ a Tomcat újraindításáról: „A Tomcat elindítása és leállítása”, 105. oldal. 4 Nyissa meg az iManager konzolt egy böngészőben, és jelentkezzen be ismét a fába a
tanúsítvány automatikus újbóli beszerzéséhez és az adatbázistár létrehozásához. A szükséges tanúsítványt manuálisan is importálhatja a Tomcat alapértelmezett JVM-kulcstárába a JDK-ban elérhető kulcseszköz-tanúsítványkezelő segédprogrammal. Biztonságos SSL-kapcsolatok létrehozásakor az iManager először a JVM alapértelmezett kulcstárával próbálkozik, majd az iManager kulcstáradatbázisával. Miután DER formátumban mentette az eDirectory-tanúsítványt, importálja a megbízható gyökértanúsítványt az iManager kulcstárába. Ahhoz, hogy ezt megtegye JDK-ra van szükség a kulcseszköz használatához. Ha a JRE programot az iManager konzollal telepítette, le kell töltenie a JDK csomagot a kulcseszköz használatához.
Az iManager programmal kapcsolatos biztonsági problémák
123
MEGJEGYZÉS: A .der tanúsítványfájlok létrehozásáról lásd a „Megbízható gyökér- vagy nyilvános kulcsú tanúsítvány exportálása” (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/ b1j4t6zc.html) szakaszt A NetIQ-tanúsítványkiszolgáló felügyeleti útmutatójában. A megbízható gyökértanúsítványt kell exportálnia. 1 Nyisson meg egy parancsablakot. 2 Váltson át arra a \bin könyvtárra, ahová a JDK csomagot telepítette.
Windows rendszerben például a következő parancsot kell megadnia: cd j2sdk1.5.0_11\bin 3 Importálja a tanúsítványt a kulcstárba a kulcseszközzel a következő kulcseszközparancsok
végrehajtásával (platformtól függően): Linux keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der keystore [full_path]/jre/lib/security/cacerts
Windows keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der keystore [full_path]\jre\lib\security\cacerts
Helyettesítse be az alias_name értékét ennek a tanúsítványnak az egyedi nevével, és foglalja bele a teljes elérési utat a trustedrootcert.der és a cacerts fájlokhoz. A parancsban megadott utolsó elérési út a kulcstár helyét határozza meg. Ez rendszerről rendszerre eltérő, mivel az iManager telepítési helyén alapul. Az alábbiakban az iManager alapértelmezett helyeire látunk példákat Windows és Linux rendszerben: Windows rendszerben: C:\Program Files\Novell\jre\lib\security\cacerts Linux rendszerben: /<JAVA_KEZDŐKÖNYVTÁRA>/jre/lib/security/cacerts 4 Adja meg a changeit parancsot a kulcstár jelszavához. 5 Kattintson az Igen gombra, ha szeretné megbízhatóvá tenni a tanúsítványt.
MEGJEGYZÉS: Ezt az eljárást meg kell ismételnie minden eDirectory-fánál, amelyhez hozzá fog férni az iManager konzollal. Ha az LDAP úgy van konfigurálva, hogy a fa szervezeti hitelesítésszolgáltatója által nem aláírt tanúsítványt használjon, akkor importálnia kell a tanúsítvány megbízható gyökerét. Erre például akkor szükséges, ha az LDAP a VeriSign* által aláírt tanúsítvány használatára van konfigurálva.
A.2
Önállóan aláírt tanúsítványok Az iManager tartalmaz egy ideiglenes, önállóan aláírt tanúsítványt, amelyet Ön az iManager Linux és Windows platformokra való telepítésekor használ. Ez a tanúsítvány egy évig érvényes. További információkért olvassa el „Az iManager telepítésének előfeltételei és szempontjai” szakaszt a NetIQ iManager telepítési útmutatójában.
124
NetIQ iManager – felügyeleti útmutató
A.3
Engedélyezett felhasználók és csoportok az iManager konzolban Az engedélyezett felhasználók és csoportok azok, amelyek engedélyezettek az iManager konzolban a különféle felügyeleti feladatok elvégzésére. Az engedélyezett felhasználók és csoportok meghatározásáról és konfigurálásáról további információkért lásd: „Engedélyezett felhasználók és csoportok”, 78. oldal. Az engedélyezett felhasználók és csoportok adatait a rendszer a configiman.properties fájlban tárolja, amelyet biztosítani kell a jogosulatlan módosítással szemben. Ehhez módosítsa a hozzáférés-vezérlőket a configiman.properties fájlban azoknak a felhasználóknak a korlátozásához, akik jogosultak a fájl manuális szerkesztésére. MEGJEGYZÉS: Ha nem adja meg a jogosult felhasználókat és csoportokat, és ezért nem jön létre a configiman.properties fájl, vagy ha jogosult felhasználóként és csoportként az AllUser értéket adja meg, akkor bármely felhasználó telepítheti az iManager beépülő moduljait, és módosíthatja annak kiszolgálói beállításait. Ez a kiszolgálóalapú iManager-környezetekben biztonsági kockázatot jelent.
A.4
A felhasználónév felfedezésének megakadályozása Bizonyos telepítések esetén az eDirectory-kiszolgálót tűzfal védi, de az iManager-kiszolgáló kifelé nyitott, hogy lehetővé tegye a felügyeletet otthonról vagy útközben. Az iManager elérése a bejelentkezési képernyőn a Felhasználónév, a Jelszó és a Fanév mezők kitöltésével lehetséges. Ilyen telepítések esetén gyakran ajánlatos fokozott biztonság beállítása a rendszerre vonatkozó adatok felfedésének megakadályozása érdekében. A szabványos iManager-konfigurációknál az érvénytelen felhasználónevekre és jelszavakra vonatkozó eDirectory-üzenetek megjelennek az iManager konzollal végzett hitelesítéskor. Ezek az üzenetek akaratlanul is túl sok információt nyújthatnak az esetleges hackerek számára. Ennek elkerüléséhez az iManager tartalmaz olyan beállítási lehetőséget, amellyel el lehet rejteni a sikertelen bejelentkezés konkrét okát. Ha engedélyezve van, a következő hibaüzeneteket a rendszer egy általános hibaüzenettel helyettesíti, amely a következő: Bejelentkezési hiba. Érvénytelen felhasználónév vagy jelszó. Érvénytelen felhasználónév (-601) Hibás jelszó (-669) Lejárt jelszó vagy letiltott fiók (-220) A beállítás engedélyezéséhez nyissa meg a Konfiguráció nézetet, és kattintson az iManagerkiszolgáló > Az iManager beállítása menüpontokra. A Hitelesítés lapon válassza Az adott sikertelen bejelentkezés okának elrejtése lehetőséget. Ezzel az Authenticate.Form.HideLoginFailReason=true beállítást adja meg az iManager config.xml fájljában. Ezenkívül az iManager konzolban nem támogatott a csillag (*) karakter használata helyettesítő karakterként a Felhasználónév mezőben. Ez megakadályozza a nem jogosult felhasználókat abban, hogy érvényes felhasználóneveket fedezzenek fel. Ez a lehetséges szolgáltatásmegtagadási támadásokat is megakadályozza, amelyek célja az eDirectory-kiszolgáló túlterhelése a helyettesítő karakterrel (*) végzett folyamatos bejelentkezési próbálkozással, amely arra kényszeríti az eDirectory-kiszolgálót, hogy megkeresse és visszaadja az összes felhasználónevet.
Az iManager programmal kapcsolatos biztonsági problémák
125
A.5
Tomcat-beállítások Mivel az iManager a Tomcat kiszolgáló oldali programkonténereit használja, az iManager rendszergazdáinak az átfogó biztonsági stratégiájuk részeként tudatában kell lenniük az ezekkel az erőforrásokkal kapcsolatos, titkosításra vonatkozó konfigurációs lehetőségeknek. Különösen a rejtjelcsomagok és a megbízható tanúsítványok érdekesek, amelyek közvetlen hatással bírnak a titkosítás alapvető szintjére. A Tomcat-környezet konfigurálásakor vegye figyelembe a következő szabályokat: Ne használjon SSL 2.0-s rejtjelcsomagokat, amelyek elavultak, és a biztonságuk nem garantált. Üzemi környezetben ne használjon NULL rejtjelcsomagot. Ne használjon LOW vagy EXPORT minőségűként osztályozott rejtjelcsomagot, mert ezek nem olyan biztonságosak. Rendszeresen vizsgálja felül a megbízható tanúsítványok listáját, és korlátozza az elfogadott hitelesítésszolgáltatók listáját azokra, amelyeket valójában használ. A Tomcat kiszolgálóra vonatkozó további információ az Apache Tomcat dokumentációjának webhelyén (http://tomcat.apache.org/tomcat-4.1-doc/index.html) érhető el. MEGJEGYZÉS: Az iManager adatértelmezési és -felhasználási módjának köszönhetően nincsenek ismeret kockázatai HTML-alapú támadásnak, például a helyközi, parancsfájlt alkalmazó támadások használatának.
A.6
Titkosított attribútumok Az iManager képes biztonságosan olvasni az eDirectory 8.8 titkosított attribútumait. Az iManager azonban az attribútumok titkosításának meghatározási módja miatt nem módosítja vagy törli biztonságosan ezeket a titkosított attribútumokat. Ennek a hatása, amely alapvető szintű adatok felfedését eredményezheti, a következőhöz hasonló szokásos hálózati biztonsági gyakorlatok követésével csökkenthető: Az összes iManager-kiszolgáló elhelyezése tűzfal mögött Az iManager-kiszolgálók fizikai elhelyezése a hozzájuk társított eDirectory-kiszolgálók közelében Az iManager- és az eDirectory-kiszolgálók fizikai biztosítása A távoli rendszergazdáktól VPN használatának megkövetelése az iManager- és az eDirectorykiszolgálók elérésére
A.7
Biztonságos kapcsolatok Bár az iManager biztonságos HTTP (SSL) kapcsolatot használ az ügyfelekkel történő kommunikációhoz, valamint biztonságos LDAP-kapcsolatokat az iManager- és az eDirectorykiszolgálók között, az iManager a titkosított attribútumok kivételével nem használ biztonságos NCPkapcsolatot az iManager- és az eDirectory-kiszolgálók közötti kommunikációhoz. Ez a Mobil iManager által használt NCP-kapcsolatokra is igaz. Ennek a hatása, amely alapvető szintű adatok felfedését eredményezheti, a következőhöz hasonló szokásos hálózati biztonsági gyakorlatok követésével csökkenthető: Az összes iManager-kiszolgáló elhelyezése tűzfal mögött
126
NetIQ iManager – felügyeleti útmutató
Az iManager-kiszolgálók fizikai elhelyezése a hozzájuk társított eDirectory-kiszolgálók közelében Az iManager- és az eDirectory-kiszolgálók fizikai biztosítása A távoli rendszergazdáktól VPN használatának megkövetelése az iManager- és az eDirectorykiszolgálók elérésére MEGJEGYZÉS: Az alapvető szintű titkosítástól függetlenül az iManager hitelesítési folyamatában a jelszavak mindig titkosítottak és védettek.
Az iManager programmal kapcsolatos biztonsági problémák
127
128
NetIQ iManager – felügyeleti útmutató
B
NetIQ beépülő modulok
B
Az iManager a base.npm beépülő modul részeként tartalmazza a következő szerepeket. A további beépülő modulokat különállóan kell letölteni. Címtárfelügyelet Partíciók és replikák Információs pult Séma Jogosultságok Felhasználók Csoportok Az iManager beépülő moduljait legjobb az iManager konzolon belül megkeresni és letölteni az Elérhető NetIQ beépülő modulok oldalon. Vagy a NetIQ letöltési webhelyéről (https://dl.netiq.com/ index.jsp) is letöltheti a beépülő modulokat. A keresési feltételek megadásakor válassza az iManager programot. Ezenkívül a NetIQ alkalmanként frissítéseket bocsát ki az iManager beépülő moduljaihoz. Ezek a frissítések a NetIQ iManager beépülő moduljainak letöltési webhelyén (https://www.netiq.com/ support/imanager/plugins/) érhetők el. Az iManager alapvető beépülő moduljai csak a teljes iManager-szoftverletöltés részeként érhetők el (például az eDirectory felügyeleti beépülő moduljai). Ha nincsenek konkrét frissítések ezekhez a beépülő modulokhoz, akkor csak a teljes iManager termék részeként tölthetők le és telepíthetők. Az iManager beépülő moduljainak letöltésére vonatkozó további információ elolvasásához lásd „Az iManager beépülő modulok telepítésének ismertetése” című szakaszt a NetIQ iManager telepítési útmutatójában. MEGJEGYZÉS: Alapértelmezés szerint a rendszer nem replikálja a beépülő modulokat az iManagerkiszolgálókon. A NetIQ szolgáltatáshoz javasoljuk, hogy telepítse a szükséges beépülő modulokat az összes iManager-kiszolgálóra.
NetIQ beépülő modulok
129