NetIQ · 2018-05-03 · Informacje o niniejszym podręczniku i bibliotece 7 Informacje o firmie...

NetIQ® iManagerPodręcznik administracji

Luty 2018 r.

Informacje prawne

Informacje prawne, na temat znaków towarowych, zrzeczeń, gwarancji, eksportu i innych ograniczeń użytkowania, praw rządu Stanów Zjednoczonych, zasad dotyczących patentów oraz zgodności ze standardem FIPS można znaleźć na stronie https://www.netiq.com/company/legal/.

Copyright © 2018 NetIQ Corporation, spółka Micro Focus. Wszelkie prawa zastrzeżone.

https://www.netiq.com/company/legal/

https://www.netiq.com/company/legal/

Informacje o niniejszym podręczniku i bibliotece 7Informacje o firmie NetIQ Corporation 9

1 Omówienie 13

2 Uzyskiwanie dostępu do programu iManager 15

Uzyskiwanie dostępu do serwerowej wersji programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Uzyskiwanie dostępu do programu iManager Workstation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Omówienie trybów dostępu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Zarządzanie wieloma drzewami eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3 Poruszanie się w obrębie interfejsu programu iManager 21

Interfejs programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Ramka nagłówka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Ramka nawigacyjna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Ramka zawartości . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Znaki specjalne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4 Przeglądanie obiektów 25

Używanie widoku obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Drzewo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Przeglądanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Znajdź . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Korzystanie z selektora obiektów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Przeglądanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Znajdź . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

5 Role i zadania 37

Poruszanie się w widoku Role i zadania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Wybieranie i filtrowanie obiektów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Administrowanie katalogiem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Kopiowanie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Tworzenie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Usuwanie obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Modyfikowanie obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Przenoszenie obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Zmienianie nazwy obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Tworzenie grupy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Usuwanie grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Modyfikowanie grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Modyfikowanie członków grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Przenieś grupę . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Zmień nazwę grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Wyświetlanie grup użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Centrum pomocy technicznej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Usuwanie blokady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Tworzenie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Ustawianie hasła . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Partycje i repliki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Tworzenie partycji. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Łączenie partycji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Przenoszenie partycji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Przeglądanie informacji o replikach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Wyświetlanie informacji o partycji. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Korzystanie z Kreatora repliki filtrowanej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Prawa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Modyfikowanie filtru uprawnień dziedziczonych. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Modyfikowanie praw dysponentów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Prawa do innych obiektów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Wyświetlanie praw efektywnych. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Schemat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Dodawanie atrybutu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Wyświetlanie informacji dotyczących atrybutów. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Wyświetlanie informacji o klasie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Tworzenie atrybutu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Tworzenie klasy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Usuwanie atrybutu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Usuwanie klasy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Rozszerzanie schematu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Rozszerzanie obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

użytkownicy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Tworzenie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Usuwanie użytkownika. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Wyłączanie konta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Włączanie konta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Modyfikowanie użytkownika. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Przenoszenie użytkownika. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Zmiana nazwy użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6 Konfigurowanie i dostosowywanie programu iManager 57

Usługi oparte na rolach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Obiekty RBS w usłudze eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Instalowanie usług RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Usuwanie usługi RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Konfiguracja usługi RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Karta Rola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Karta Zadanie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Karta Książka właściwości. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Karta Moduł . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Karta Kategoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Studio dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Edytowanie skojarzeń członków. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Edytowanie kolekcji właścicieli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Raporty RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Tworzenie raportów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Korzystanie z raportów. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Serwer programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Konfigurowanie programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Zabezpieczenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Wygląd i działanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Zdarzenia zapisu dziennika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Uwierzytelnianie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Pobieranie dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Różne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Certyfikat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Lista tworzenia obiektów. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Dodawanie klasy obiektów do listy tworzenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Usuwanie klasy obiektu z listy tworzenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Instalowanie modułów dodatków typu plug-in. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Dostępne moduły dodatków typu plug-in firmy NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Zainstalowane moduły dodatków typu plug-in firmy NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Pobieranie i instalowanie modułów dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Skonfigurowane usługi RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Odinstalowywanie modułu dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Dostosowywanie lokalizacji pobierania dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Powiadomienie pocztą e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Konfigurowanie serwera poczty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Powiadomienie o zdarzeniu zadania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Widoki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Pokazywanie i ukrywanie widoków programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Włączanie i wyłączanie widoku Identity Manager jako domyślnego widoku w programie iManager na serwerach z zainstalowanym oprogramowaniem Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

7 Preferencje 91

Zarządzaj Ulubionymi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Selektor obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Widok obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Ustaw widok początkowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Język. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

8 Rozwiązywanie problemów 95

Problemy związane z uwierzytelnianiem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Błędy HTTP 404 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Błędy HTTP 500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Komunikaty o błędach 601. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Komunikaty o błędach 622. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Komunikaty o błędach 632. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Komunikaty o błędach 634. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Komunikaty o błędach 669. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Pole nazwy drzewa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Logowanie się do serwera bez repliki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Problemy z uwierzytelnianiem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Informacje o utracie ważności hasła . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub alternatywnych atrybutów99

Uzyskiwanie dostępu do obiektów serwera NCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy Windows XP/2000)101Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z nieprawidłowymi znakami w nazwie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Błędy dotyczące zadania eDirectory — utrzymanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Włączanie komunikatów debugowania dla instalacji i konfiguracji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi logowaniami użytkowników102Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Błędy związane z brakiem atrybutu, obiektu lub wartości . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Brakujące role lub zadania w widoku Konfiguruj. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Role i zadania, których może brakować. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Możliwe przyczyny utraty statusu autoryzowanego użytkownika. . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows)103Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in.104Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Uruchamianie i zatrzymywanie serwera Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Porty serwera Tomcat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Błąd “Nie można określić stanu hasła uniwersalnego” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Program iManager Workstation nie wyświetla informacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Czasami przycisk Odśwież nie działa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie są poprawnie instalowane107Problem z logowaniem po zmianie adresu IP drzewa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty Java . . . . . . . . . . . . . . . . . . . . 108Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager Workstation . . . . . . . . . . . . 109Inne zakresy dat używane w programie iManager i katalogu LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy dynamicznej109Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

9 Przeprowadzanie audytu zdarzeń programu iManager 111

Włączanie audytu Novell w programie iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Włączanie audytu XDAS w programie iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Konfigurowanie audytu XDAS dla programu iManager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Włączanie przeprowadzania audytu CEF w programie iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Konfigurowanie przeprowadzania audytu CEF dla programu iManager . . . . . . . . . . . . . . . . . . . . . 117Konfigurowanie audytu dla programu iManager przy użyciu certyfikatów zewnętrznych . . . . . . . . . . . . . . 119Konfigurowanie audytu dla programu iManager w trybie rygorystycznym . . . . . . . . . . . . . . . . . . . . . . . . . 119

10 Najlepsze rozwiązania i typowe pytania 121

Opcje tworzenia kopii zapasowych i przywracania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na rolach (RBS)121Kolekcje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Nieudane instalacje. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122System Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Dostrajanie wydajności . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Wyłączanie obsługi grup dynamicznych dla usług RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Przypisania ról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Profil oprogramowania AppArmor dla programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows . . . . . . . . . . . . . . . . . . . . . . 124

A Problemy związane z zabezpieczeniami w programie iManager 125

Bezpieczne certyfikaty LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Certyfikaty samopodpisane. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Autoryzowani użytkownicy i autoryzowane grupy programu iManager. . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Zapobieganie wykrywaniu nazwy użytkownika. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Ustawienia serwera Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Szyfrowane atrybuty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Bezpieczne połączenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

B Moduły dodatków typu plug-in firmy NetIQ 131

Informacje o niniejszym podręczniku i bibliotece 7

Informacje o niniejszym podręczniku i bibliotece

Podręcznik administracji zawiera informacje koncepcyjne dotyczące produktu NetIQ iManager (iManager). Podano w nim definicje terminów oraz przedstawiono scenariusze implementacji.

Najnowszą wersję Podręcznika administracji programu NetIQ iManager zawiera angielska wersja dokumentacji dostępna online w witrynie z dokumentacją programu NetIQ iManager (https://www.netiq.com/documentation/imanager-31/).

Docelowi odbiorcyTen podręcznik jest przeznaczony dla administratorów sieci.

Inne informacje w biblioteceBiblioteka udostępnia następujące zasoby informacyjne:

Podręcznik instalacji

Opisuje procedurę instalowania programu iManager. Jest on przeznaczony dla administratorów sieci.

https://www.netiq.com/documentation/imanager-31/

Informacje o firmie NetIQ Corporation

Jesteśmy globalnym przedsiębiorstwem zajmującym się tworzeniem oprogramowania. Nasze działania mają na celu sprostanie trzem podstawowym wyzwaniom związanym ze środowiskiem naszych Klientów: zmianom, złożoności i ryzyku — pragniemy pomóc im w przezwyciężeniu tych przeszkód.

Nasz punkt widzeniaPrzystosowywanie się do zmian oraz zarządzanie złożonością i ryzykiem to nic nowego

Ze wszystkich wyzwań, jakim muszą sprostać nasi Klienci, te trzy są w istocie najważniejszymi czynnikami ograniczającymi możliwość kontroli fizycznych, wirtualnych i chmurowych środowisk obliczeniowych — ich analizowania i monitorowania oraz zarządzania nimi w bezpieczny sposób.

Krytyczne usługi biznesowe: lepiej i szybciej

Wierzymy, że zapewnienie organizacjom IT maksymalnego możliwego poziomu kontroli to jedyny sposób na zagwarantowanie im możliwości efektywnego i zharmonizowanego czasowo świadczenia usług. Nacisk związany ze zmianami i poziomem złożoności nasila się przez cały czas wraz z nieustanną ewolucją organizacji i rosnącą złożonością technologii niezbędnych do zarządzania nimi.

Nasza filozofiaSprzedajemy inteligentne rozwiązania, nie samo oprogramowanie

W celu zapewnienia niezawodnej kontroli musimy najpierw poznać rzeczywiste sytuacje, z którymi organizacje IT stykają się każdego dnia. Tylko ta metoda działania pozwala opracować praktyczne, inteligentne rozwiązania IT gwarantujące uzyskanie sprawdzonych, wymiernych rezultatów. To znacznie bardziej satysfakcjonujące niż zwykła sprzedaż oprogramowania.

Sukces naszych Klientów to nasza pasja

Sukces naszych Klientów to punkt centralny naszej działalności biznesowej. Wiemy, że na każdym etapie powstawania produktu — od projektu po wdrożenie — potrzebują oni rozwiązań IT umożliwiających bezproblemową współpracę i integrację z już istniejącymi systemami, potrzebują stabilnego wsparcia i szkoleń powdrożeniowych, a wreszcie — kogoś, z kim naprawdę łatwo wprowadzić wymaganą zmianę. Końcowy rezultat może być tylko jeden: jeśli nasz Klient osiągnie sukces, osiągniemy go wszyscy.

Nasze rozwiązania Nadzór nad tożsamością i dostępem

Zarządzanie dostępem

Informacje o firmie NetIQ Corporation 9

Zarządzanie zabezpieczeniami

Zarządzanie systemami i aplikacjami

Zarządzanie obciążeniami

Zarządzanie usługami

Kontakt ze wsparciem ds. sprzedażyW razie pytań dotyczących produktów, cen i możliwości należy się skontaktować z lokalnym partnerem. Jeśli nie jest to możliwe, należy się skontaktować z naszym zespołem wsparcia ds. sprzedaży.

Kontakt z usługami wsparcia Technical SupportW przypadku problemów z produktem należy się skontaktować z naszym zespołem ds. usług wsparcia Technical Support.

Kontakt ze wsparciem ds. dokumentacjiNaszym celem jest dostarczanie dokumentacji, która spełnia potrzeby użytkowników. W razie propozycji ulepszeń należy kliknąć opcję Add Comment (Dodaj komentarz) u dołu dowolnej strony zawierającej wersję HTML dokumentacji opublikowanej w witrynie www.netiq.com/documentation. Można też wysłać wiadomość e-mail na adres [email protected]. Cenimy opinie naszych Klientów, dlatego z niecierpliwością czekamy na komentarze.

Świat: www.netiq.com/about_netiq/officelocations.asp

Stany Zjednoczone i Kanada: 1-888-323-6768

Adres e-mail: [email protected]

Witryna WWW: www.netiq.com

Świat: www.netiq.com/support/contactinfo.asp

Ameryka Północna i Południowa: 1-713-418-5555

Europa, Bliski Wschód i Afryka: +353 (0) 91-782 677

Adres e-mail: [email protected]

Witryna WWW: www.netiq.com/support

10 Informacje o firmie NetIQ Corporation

http://www.netiq.com/about_netiq/officelocations.asp

mailto:[email protected]

http://www.netiq.com

http://www.netiq.com/support/contactinfo.asp


http://www.netiq.com/support

http://www.netiq.com/documentation


Kontakt ze wspólnotą użytkowników w trybie onlineQmunity — wspólnota firmy NetIQ w trybie online — to sieć współpracy łącząca użytkowników oraz ekspertów firmy NetIQ. Dzięki dostępowi do aktualniejszych informacji, przydatnych łączy do zasobów pomocy oraz ekspertów firmy NetIQ wspólnota Qmunity pomaga opanować wiedzę niezbędną do pełnego wykorzystania potencjału poczynionych inwestycji IT. Więcej informacji można znaleźć w witrynie http://community.netiq.com.

Informacje o firmie NetIQ Corporation 11

http://community.netiq.com

1

Omówienie 13

1Omówienie

NetIQ iManager to internetowa konsola administracyjna, która zapewnia bezpieczny, dostosowany do indywidualnych potrzeb dostęp do programów narzędziowych służących do administrowania siecią oraz do danych z praktycznie dowolnego miejsca, w którym można skorzystać z Internetu i przeglądarki internetowej.

Program iManager łączy w sobie:

pojedynczy punkt administrowania obiektami, schematami, partycjami i replikami usługi NetIQ eDirectory;

funkcje centrum administrowania wieloma innymi zasobami sieciowymi;

możliwości zarządzania wieloma innymi produktami firm NetIQ i Novell przy użyciu dodatków typu plug-in programu iManager;

usługi oparte na rolach (RBS) umożliwiające delegowanie zadań administracyjnych.

Ponieważ program iManager jest narzędziem opartym na sieci Web, ma przewagę nad klienckimi narzędziami administracyjnymi w kilku aspektach:

Możliwość jednoczesnego uaktualniania wszystkich użytkowników administracyjnych z poziomu serwera.

Zmiany wyglądu, sposobu działania i funkcjonalności programu iManager są natychmiast dostępne dla wszystkich użytkowników administracyjnych.

Nie ma potrzeby otwierania dodatkowych portów administracyjnych do celów dostępu zdalnego. Program iManager korzysta ze standardowych portów HTTP (80/443).. Program iManager umożliwia komunikację przez niestandardowe porty HTTP.

Nie ma potrzeby pobierania i utrzymywania klienta administracyjnego.

Nie ma potrzeby synchronizowania oprogramowania klienta ze zmianami oprogramowania serwera.

2 2Uzyskiwanie dostępu do programu iManager

Program iManager, wraz z całym zestawem swych funkcji, jest dostępny z dowolnej obsługiwanej przeglądarki internetowej. Dostęp do programu iManager można również uzyskać za pomocą przeglądarki internetowej niewymienionej na liście obsługiwanych przeglądarek, ale w przypadku przeglądarek, które nie są oficjalnie obsługiwane, nie można zagwarantować uzyskania pełnej funkcjonalności.

WAŻNE: Informacje na temat przeglądarek obsługiwanych przez tę wersję zawiera Podręcznik instalacji programu NetIQ iManager.

Do poprawnego działania niektórych kreatorów i funkcji pomocy programu iManager konieczne jest włączenie okien podręcznych w przeglądarce internetowej. Jeśli używana jest aplikacja, która blokuje okna podręczne, należy wyłączyć funkcję blokowania na czas pracy w programie iManager lub zezwolić na wyświetlanie okien podręcznych pochodzących od hosta programu iManager.

Jeśli przeglądarka internetowa została skonfigurowana tak, aby nie były wyświetlane obrazy z witryn WWW, interfejs programu iManager może być zniekształcony i niemożliwy do użytku.

Sposób uzyskiwania dostępu do programu iManager różni się w zależności od wersji programu iManager (wersja serwerowa lub Workstation) oraz platformy, na której ten program jest uruchamiany. Informacje na temat instalowania programu iManager zawiera Podręcznik instalacji programu NetIQ iManager.

Ta część zawiera omówienie następujących zagadnień:

„Uzyskiwanie dostępu do serwerowej wersji programu iManager” na stronie 15

„Uzyskiwanie dostępu do programu iManager Workstation” na stronie 16

„Omówienie trybów dostępu” na stronie 16

„Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBA” na stronie 17

„Zarządzanie wieloma drzewami eDirectory” na stronie 18

Uzyskiwanie dostępu do serwerowej wersji programu iManager

Aby uzyskać dostęp do serwerowej wersji programu iManager:

1 Wprowadź jeden z następujących adresów w polu adresu URL obsługiwanej przeglądarki internetowej.

Aby uzyskać dostęp do autonomicznej wersji programu iManager:

Bezpieczny adres URL: https:// <adres ip serwera>:8443/nps/iManager.html

UWAGA: Wymagania programu iManager dotyczące serwera sieci Web obejmują tylko serwer Tomcat 8. Należy określić port Tomcat w adresie URL w przeglądarce.

Uzyskiwanie dostępu do programu iManager 15

W poniższych przykładach adres IP w parametrze <adres IP serwera> może być w formacie IPv4 lub IPv6. Na przykład podczas uzyskiwania dostępu do programu iManager adres URL może być następujący:

IPv6: https://[2001:db8::6]/nps/iManager.html

Wprawdzie nieznacznie różniące się adresy URL programu iManager mogą działać na niektórych platformach, jednak firma NetIQ zaleca używanie tych adresów w celu zachowania spójności.

2 Zaloguj się przy użyciu swojej nazwy użytkownika, hasła i nazwy drzewa lub adresu IP.

Uzyskiwanie dostępu do programu iManager Workstation

Aby uzyskać dostęp do programu iManager Workstation:

1 Wykonaj odpowiedni skrypt startowy programu iManager Workstation.

Linux: Przejdź do katalogu imanager/bin i wykonaj polecenie ./iManager.sh.

UWAGA: Jeśli w przyszłości program iManager Workstation ma być uruchamiany przez użytkownika niebędącego administratorem, nie należy za pierwszym razem uruchamiać programu z uprawnieniami administratora.

Windows: Wykonaj polecenie imanager\bin\iManager.bat.

2 Zaloguj się przy użyciu swojej nazwy użytkownika, hasła i nazwy drzewa lub adresu IP.

Omówienie trybów dostępuPodczas uruchamiania programu iManager tryb dostępu jest przyznawany na podstawie praw przypisanych użytkownikowi. W programie iManager istnieją trzy tryby dostępu. Bieżący tryb jest wyświetlany na stronie domowej programu iManager.

Dostęp bez ograniczeń: Jest to tryb domyślny do czasu skonfigurowania usług RBS. W tym trybie są wyświetlane wszystkie zainstalowane role i zadania. Mimo że wszystkie role i zadania są widoczne, do wykonywania zadań uwierzytelniony użytkownik nadal potrzebuje niezbędnych praw.

Dostępne jest ustawienie, które można dodać do pliku config.xml, powodujące wymuszenie dostępu bez ograniczeń nawet w przypadku zainstalowania usług opartych na rolach. Aby wymusić dostęp bez ograniczeń dla wszystkich użytkowników, należy dodać to ustawienie do pliku <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml, a następnie ponownie uruchomić serwer Tomcat:

<setting>

<name><![CDATA[RBS.forceUnrestricted]]></name>

<value><![CDATA[true]]></value>

</setting>

Informacje o ponownym uruchamianiu serwera Tomcat można znaleźć w części „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 105.

16 Uzyskiwanie dostępu do programu iManager

UWAGA: Gdy program iManager jest używany w trybie Bez ograniczeń, na stronie domowej tego programu jest zwykle widoczny następujący komunikat: Uwaga: Niektóre role i zadania są niedostępne.Kliknięcie przycisku Wyświetl szczegóły może w przypadku kilku zadań spowodować wyświetlenie komunikatu Brak obsługi przez bieżące procesy uwierzytelniające, nawet jeśli te zadania działają poprawnie. Ten komunikat wprowadza w błąd i dlatego jest usuwany przez program iManager po skonfigurowaniu usług RBS przez użytkownika.

Przypisany dostęp: Wyświetlane są tylko role i zadania przypisane do uwierzytelnionego użytkownika. W tym trybie w pełni wykorzystywana jest technologia usług opartych na rolach (RBS).

Właściciel kolekcji: Wyświetlane są wszystkie role i zadania zainstalowane w kolekcji. Właściciel kolekcji — nawet bez przypisanych konkretnych ról — może korzystać ze wszystkich ról i zadań w kolekcji. Aby można było korzystać z tego trybu, muszą być zainstalowane usługi oparte na rolach. Dodanie grupy lub użytkownika jako właściciela kolekcji nie powoduje przypisania żadnych praw RBS. Aby przypisać prawa, należy wykonać jawne przypisanie roli RBS lub przypisanie dysponenta.

UWAGA: Gdy kolekcja jest przypisywana do grupy, wszyscy członkowie tej grupy stają się właścicielami tej kolekcji. Właściciel kolekcji ma dostęp do wszystkich ról i zadań, niezależnie od członkostwa w rolach.

Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBA

Aby uzyskać dostęp do katalogu eDirectory obsługującego funkcję EBA z poziomu programu iManager obsługującego funkcję EBA, certyfikat ośrodka certyfikacji EBA musi się znajdować w magazynie zaufanych certyfikatów EBA programu iManager. Plik .eba.p12 zawiera certyfikat ośrodka certyfikacji EBA dla drzewa. Aby pobrać certyfikat ośrodka certyfikacji EBA na komputer z programem iManager, należy użyć programu narzędziowego ebaclientinit. ebaclientinit to nowy program narzędziowy wiersza poleceń dołączony do pakietu instalacyjnego programu iManager.

Po uruchomieniu program narzędziowy ebaclientinit generuje plik .eba.p12 dla określonego użytkownika w określonym drzewie. Ten plik jest ukryty i znajduje się w katalogu domowym użytkownika ($HOME) w systemie Linux lub katalogu profilu użytkownika (%USERPROFILE%) w systemie Windows.

WAŻNE: Funkcja EBA wymaga synchronizacji czasu na wszystkich serwerach i klientach obsługujących funkcję EBA w środowisku eDirectory. Jeśli czas nie zostanie zsynchronizowany, funkcja EBA może nie działać prawidłowo.

W poniższej tabeli wymieniono opcje wiersza poleceń dostępne w programie narzędziowym ebaclientinit:

Przykład: ebaclientinit --mechanism ebatls --user-dn jan.foo.org --password h@s&o --address 111.111.11.1:524

Opcje wiersza poleceń Opis

--user-dn W pełni kwalifikowana nazwa użytkownika w formacie kropkowym.

--hasło Hasło użytkownika obsługującego funkcję EBA.

--adres Adres serwera NCP w drzewie. Składnia to <adres IP>:<port>.


W zależności od platformy program narzędziowy ebaclientinit można uruchomić, korzystając z jednej z poniższych metod:

Linux: Program iManager jest uruchamiany jako użytkownik novlwww w systemie Linux. W związku z tym należy uruchomić program narzędziowy ebaclientinit jako użytkownik novlwww za pomocą następującego polecenia:

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

RHEL: W systemie RHEL należy użyć następującego polecenia:

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/:/opt/novell/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

Windows: Wykonaj następujące czynności:

1 Zaloguj się w programie iManager jako dowolny użytkownik inny niż System.

2 Uruchom program narzędziowy ebaclientinit za pomocą polecenia C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls.

Spowoduje to umieszczenie pliku .eba.p12 w katalogu profilu użytkownika.

3 Skopiuj plik .eba.p12 do katalogu C:\Windows\System32\config\systemprofile.

Jest to konieczne, ponieważ w systemie Windows program iManager jest uruchamiany jako użytkownik novlwww.

Można też uruchomić program narzędziowy ebaclientinit za pomocą narzędzia psexec jako użytkownik system.

1 Pobierz narzędzie psexec ze strony pobierania firmy Microsoft.

2 W wierszu poleceń przejdź do katalogu zawierającego narzędzie psexec i uruchom następujące polecenie:

psexec -i -s -d cmd

3 W wierszu poleceń uruchom program narzędziowy ebaclientinit za pomocą następującego polecenia:

C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls

UWAGA: Jeśli program iManager nie odnajdzie certyfikatu ośrodka certyfikacji EBA dla drzewa w pliku .eba.p12 lub plik .eba.p12 nie istnieje, dodatek typu plug-in EBA programu iManager monituje o podanie poświadczeń konta sadmin serwera funkcjonującego jako ośrodek certyfikacji EBA. Firma NetIQ nie zaleca jednak stosowania konta sadmin.

Zarządzanie wieloma drzewami eDirectory Program iManager oferuje łatwą metodę zarządzania wieloma drzewami eDirectory w jednym interfejsie. Można zalogować się do drzewa, z którym ma zostać nawiązane połączenie, a także przełączać się między drzewami, w których jest się obecnie zalogowanym użytkownikiem. Po nawiązaniu połączenia z drzewem program iManager udostępnia zawartość właściwą dla tego

18 Uzyskiwanie dostępu do programu iManager

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

drzewa, na przykład operacje administrowania i zadania, a także pozwala skonfigurować wymagane opcje. Pozostałe opcje konfiguracji są oparte na ustawieniach domyślnych. Można zalogować się jednocześnie w maksymalnie 20 drzewach eDirectory.

Aby zarządzać wieloma połączeniami eDirectory:

1 Uruchom program iManager.

2 Zaloguj się do drzewa eDirectory jako administrator z odpowiednimi prawami.

Po pomyślnym zalogowaniu na pasku górnym w interfejsie programu iManager zostanie wyświetlona ikona Zarządzaj połączeniami przed ikoną Pomoc.

3 Kliknij ikonę Zarządzaj połączeniami.

W programie iManager zostanie wyświetlona strona Zarządzaj połączeniami, zawierająca listę obecnie zalogowanych drzew. Z poziomu tej strony można też zalogować się do innego drzewa eDirectory.

4 Aby przełączyć się do innego drzewa, kliknij odpowiednie drzewo na liście.

5 Aby zalogować się do innego drzewa, kliknij opcję Zaloguj się do innego drzewa katalogu, podaj nazwę użytkownika, hasło i nazwę drzewa lub adres IP, a następnie kliknij opcję Zaloguj się.

Zostanie wyświetlona strona domowa programu iManager. Aby sprawdzić, czy na stronie są wyświetlane poprawne informacje dla danego drzewa, spójrz na prawą górną część strony. Jest tam wyświetlana nazwa użytkownika użyta do logowania w danym drzewie oraz nazwa drzewa, w którym jest aktywne logowanie.

6 Powtórz kroki od 3 do 5 dla każdego drzewa, którego połączeniem chcesz zarządzać.

7 Aby wylogować się z poszczególnych zalogowanych drzew, klikaj ikony wylogowania wyświetlane obok odpowiednich drzew wymienionych na stronie Zarządzaj połączeniami.


3 3Poruszanie się w obrębie interfejsu programu iManager

W tej części opisano sposób poruszania się w obrębie interfejsu programu NetIQ iManager.

„Interfejs programu iManager” na stronie 21

„Znaki specjalne” na stronie 24

Interfejs programu iManagerInterfejs programu iManager składa się z trzech głównych regionów, czyli ramek.

Ramka nagłówka

Ramka nawigacyjna

Ramka zawartości

Rysunek 3-1 Interfejs programu iManager w widoku domyślnym Role i zadania

UWAGA: Poruszając się w obrębie programu iManager, należy używać wyłącznie przycisków wchodzących w skład interfejsu. Nie należy używać przycisków nawigacyjnych przeglądarki internetowej (Wstecz, Dalej itd.).

Aby uzyskać informacje na temat zmieniania domyślnego widoku w preferencjach, patrz „Ustaw widok początkowy” na stronie 92.

Poruszanie się w obrębie interfejsu programu iManager 21

Ramka nagłówka

Ramka nagłówka jest największą ramką statyczną, zajmującą górną część interfejsu programu iManager. Zawiera ona ikony, za pomocą których można uzyskiwać dostęp do różnych widoków programu iManager. Widok jest kombinacją ramki nawigacyjnej i ramki zawartości, zapewniającą określone funkcje zarządzania. Na przykład widok domyślny Role i zadania umożliwia wybranie określonego zadania w ramce nawigacyjnej, a następnie wykonanie wybranego zadania w ramce zawartości.

Rysunek 3-2 Ramka nagłówka programu iManager

Ramka nagłówka programu iManager zawiera następujące ikony:

Strona domowa: powoduje powrót do widoku domyślnego ramki zawartości (takiego jak na rysunku 3-1).

Koniec pracy: powoduje wylogowanie ze wszystkich drzew eDirectory.

Role i zadania: w ramce nawigacyjnej tego widoku są wyświetlane wszystkie zadania, do wykonywania których użytkownik ma uprawnienia. Jest to widok domyślny programu iManager. Aby uzyskać więcej informacji, zobacz Rozdział 5, „Role i zadania”, na stronie 37.

Obiekty: ten widok zawiera funkcje przeglądania i wyszukiwania służące do znajdowania obiektów, w tym funkcję Widok drzewa podobną do stosowanej w programie ConsoleOne. Aby uzyskać więcej informacji, zobacz Rozdział 4, „Przeglądanie obiektów”, na stronie 25.

Konfiguruj: ten widok zawiera funkcje Usługi oparte na rolach, Serwer programu iManager, Lista tworzenia obiektów, Instalacja dodatku typu plug-in, Powiadomienie pocztą e-mail oraz Widoki, z których wszystkie można w dowolny sposób konfigurować.

Ulubione: ten widok zawiera najczęściej wykonywane zadania, wybierane na stronie Preferencje > Ulubione.

Preferencje: ten widok umożliwia określanie preferencji zgodnie z najczęściej wykonywanymi zadaniami, sposobem wyświetlania selektora obiektów, sposobem wyświetlania widoku obiektu, widokiem wyświetlanym po zalogowaniu się do programu iManager oraz językiem interfejsu programu iManager.

Zarządzaj połączeniami: w tym widoku są wyświetlane wszystkie zalogowane drzewa eDirectory.

Pomoc: powoduje wyświetlenie pomocy kontekstowej odpowiedniej dla bieżącej ramki zawartości.

Oprócz tego w ramce Nagłówek identyfikowany jest obecnie uwierzytelniony w programie iManager użytkownik wraz z nazwą drzewa (w lewej górnej części).

Informacje o sposobie zmiany widoku domyślnego programu iManager można znaleźć w części Rozdział 6, „Konfigurowanie i dostosowywanie programu iManager”, na stronie 57.

Ramka nawigacyjna

Ramka nawigacyjna znajduje się z lewej strony interfejsu programu iManager. Są w niej wyświetlane opcje zadań i funkcji związanych z aktualnie wybranym widokiem. Na przykład w widoku domyślnym Role i zadania są wyświetlane wszystkie zadania, do wykonywania których użytkownik jest

22 Poruszanie się w obrębie interfejsu programu iManager

uprawniony. Zadania są zorganizowane w kategorie. Lista kategorii i zadań różni się w zależności od zainstalowanych dodatków typu plug-in oraz praw przyznanych użytkownikowi jako uwierzytelnionemu użytkownikowi programu iManager.

Rysunek 3-3 Zawartość ramki nawigacyjnej w widoku Role i zadania

Kolejność zadań w każdej kategorii jest ustalana przez autora odpowiedniego dodatku typu plug-in programu iManager. Zadania podstawowych dodatków typu plug-in (dołączonych do programu iManager) są zwykle wyświetlane przed zadaniami z innych dodatków typu plug-in.

Ramka zawartości

Ramka zawartości zawiera interfejs określonego zadania lub obiektu, na podstawie zadania wybranego aktualnie w ramce nawigacyjnej.

Rysunek 3-4 Zawartość domyślna ramki zawartości programu iManager

Poruszanie się w obrębie interfejsu programu iManager 23

Gdy nie jest wybrane żadne zadanie, w ramce zawartości są wyświetlane ogólne informacje związane z prawami dostępu użytkownika w programie iManager.

Znaki specjalneNiektóre znaki mają w programie iManager znaczenie specjalne i dlatego należy wpisywać je razem z ukośnikiem odwrotnym (\):

NDAP (eDirectory):

Kropka (.)

Znak równości (=)

Znak plus (+)

Ukośnik odwrócony (\)

LDAP:

Nazwy w pełni kwalifikowane oraz znaki =, +, \, @;, <, >

Początkowy znak #

Początkowe i końcowe spacje

W przypadku protokołu LDAP do określenia dowolnego znaku można użyć sekwencji \xx. Więcej informacji można znaleźć w dokumencie RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html).

24 Poruszanie się w obrębie interfejsu programu iManager

http://www.faqs.org/rfcs/rfc2253.html

4 4Przeglądanie obiektów

Program iManager umożliwia manipulowanie i zarządzanie obiektami katalogu. Istnieją dwa podejścia do wykonywania tych czynności. Pierwsze — można wyszukać metodą przeglądania i wybrać obiekty, na których ma zostać wykonane zadanie, a następnie określić to zadanie (obiekt-zadanie). Drugie — można wybrać zadanie do wykonania, a następnie określić obiekty, na których to zadanie ma zostać wykonane (zadanie-obiekt). Obie metody są prawidłowe, a program iManager umożliwia użycie metody, która jest najwygodniejsza dla użytkownika.

Program iManager udostępnia widok obiektu dla zwolenników szkoły obiekt-zadanie oraz selektor obiektów dla zwolenników szkoły zadanie-obiekt. Selektor obiektów jest szeroko stosowany w widoku Role i zadania. Aby uzyskać więcej informacji, zobacz Rozdział 5, „Role i zadania”, na stronie 37.

Ten rozdział zawiera następujące części:

„Używanie widoku obiektu” na stronie 26

„Korzystanie z selektora obiektów” na stronie 32

UWAGA: Program iManager obsługuje przeglądanie i wybieranie obiektów w systemie plików z obsługą protokołu NCP. Dostęp do obiektów systemu plików można uzyskać za pośrednictwem obiektu serwera i obiektu wolumenu w drzewie katalogu.

Możliwość przeglądania i wybierania obiektów systemu plików jest dostępna zarówno w widoku obiektu, jak i w selektorze obiektów. Rzeczywiste zadania, jakie można wykonywać na obiektach systemu plików, są zapewniane przez dodatek typu plug-in usług NSS do programu iManager, który jest dostępny osobno.

Bez względu na to, jakie narzędzie jest używane, podczas określania nazw obiektów należy postępować zgodnie z następującymi wskazówkami:

Jeśli następujące znaki są częścią nazwy usługi eDirectory zawierającej kropki, to wymagają użycia ukośnika odwróconego (\). Używanie ukośnika odwróconego nie jest konieczne w przypadku większości wartości, ale należy go używać w nazwach w pełni kwalifikowanych i nazwach względnych.

Kropka (.)

Znak równości (=)

Znak plus (+)


Jeśli następujące znaki są częścią nazwy, która ma zostać określona w wyszukiwaniu, to wymagają użycia ukośnika odwróconego (\).

Gwiazdka (*)


Na przykład:

Aby wyszukać wszystkie obiekty zawierające kropkę, należy użyć sekwencji =*.* w filtrze wyszukiwania.

Przeglądanie obiektów 25

Aby wyszukać wszystkie obiekty zawierające znak plus, należy użyć sekwencji =*+* w filtrze wyszukiwania.

Aby wyszukać wszystkie obiekty zawierające ukośnik odwrócony, należy użyć sekwencji =*\\* w filtrze wyszukiwania.

Używanie widoku obiektuWidok obiektu umożliwia przeglądanie i wyszukiwanie obiektów w katalogu. Po wybraniu obiektów, na których mają zostać wykonane zadania, można określić te zadania. Aby otworzyć widok obiektu, należy wybrać ikonę Wyświetl obiekty w ramce nagłówka.

Ramka nawigacyjna widoku obiektu zawiera następujące karty, z których każda zapewnia inną metodę przeglądania i wyszukiwania obiektów katalogu:

Drzewo

Przeglądanie

Znajdź

Drzewo

Karta Drzewo umożliwia przeglądanie drzewa katalogu, którego wygląd i sposób działania przypomina funkcję dostępną w programie ConsoleOne™. Funkcje widoku drzewa są udostępniane zarówno przez ramkę nawigacyjną, jak i ramkę zawartości.

Rysunek 4-1 Karta Drzewo w widoku obiektu programu iManager

26 Przeglądanie obiektów

Ramka nawigacyjna widoku drzewa

W ramce nawigacyjnej widoku drzewa jest wyświetlana struktura katalogów w znanym formacie programu ConsoleOne. W ramce nawigacyjnej są wyświetlane obiekty kontenerów, w tym obiekty wolumenów (systemu plików). Klikając ikony ze znakami plus i minus, można rozwijać i zwijać obiekty kontenerów oraz przeglądać drzewo katalogu.

Domyślnie w widoku drzewa jest wyświetlane do 100 obiektów podrzędnych dla każdego kontenera, ale ustawienie to można zmienić w oknie Preferencje widoku obiektu.

Ramka zawartości widoku drzewa

Wybranie jednego z obiektów kontenerów w ramce nawigacyjnej powoduje wyświetlenie wszystkich obiektów zawartych w tym kontenerze w ramce zawartości. Ramka zawartości to miejsce manipulowania obiektami katalogu. Zawiera ona nagłówek, z którego można wybierać dostępne czynności:

Elementy ścieżki przejścia: W górnej części ramki zawartości widoku drzewa jest dostępna funkcja ścieżki przejścia, która umożliwia poruszanie się po kontenerach w bieżącym kontekście.

Pasek tytułu: Na pasku tytułu ramki zawartości jest wyświetlana nazwa obecnie wybranego obiektu kontenera. Klikając ikonę ołówka, można poddać edycji właściwości tego kontenera.

Nagłówek listy obiektów: Nagłówek listy obiektów zapewnia dostęp do następujących elementów:

Pasek menu: pasek menu ramki zawartości zapewnia dostęp do możliwych do wykonywania czynności związanych z obiektem. Dostępne są następujące opcje:

Nowy: otwiera menu rozwijane zadań tworzenia.

Edycja: otwiera książkę właściwości dla zaznaczonych obiektów, umożliwiając zmodyfikowanie ich atrybutów. Wybranie wielu obiektów tego samego typu umożliwia ustawienie atrybutów dla wszystkich obiektów na tę samą wartość.

UWAGA: Książkę właściwości obiektu liścia można też otworzyć, wybierając ją na liście obiektów. Wybranie obiektu kontenera na liście obiektów powoduje otwarcie wybranego kontenera i wyświetlenie wszystkich jego obiektów podrzędnych. Aby poddać edycji atrybuty obiektu kontenera, należy zaznaczyć odpowiadające mu pole wyboru i kliknąć przycisk Edycja.

Usuń: Usuwa zaznaczone obiekty. Aby wybrać obiekt do edycji, należy zaznaczyć odpowiadające mu pole wyboru na liście obiektów.

Czynności: otwiera menu rozwijane obsługiwanych zadań dla zaznaczonych obiektów. Aby wykonać zadanie, należy je wybrać z menu rozwijanego, a następnie podać wymagane informacje.

UWAGA: Jeśli są skonfigurowane usługi RBS, w menu Czynności są wyświetlane tylko zadania w rolach przypisanych użytkownikowi.

Liczba obiektów: z prawej strony paska menu widoku drzewa jest wyświetlana liczba obiektów na bieżącej stronie oraz całkowita liczba obiektów w wybranym kontenerze.

Zaznacz wszystko: pole wyboru w nagłówku pełni funkcję pola wyboru „zaznacz wszystko” dla bieżącej strony obiektów.

Sortuj: bezpośrednio nad listą obiektów znajduje się nagłówek kolumny Nazwa oraz ikona sortowania. Klikanie dowolnego z tych elementów powoduje przełączanie sortowania obiektów między rosnącą a malejącą kolejnością alfabetyczną.


Zdefiniuj filtr: na prawym końcu nagłówka, pod liczbą obiektów, znajduje się ikona filtru obiektów. Wybranie tej ikony umożliwia utworzenie filtru ograniczającego obiekty wyświetlane na liście obiektów. Obiekty można filtrować według typów i nazw, zgodnie z potrzebami.

Wybranie opcji Pokaż wszystkie kontenery powoduje wyświetlenie obiektów kontenerów na liście obiektów bez względu na zdefiniowany filtr.

Wybranie opcji Filtr zaawansowany powoduje otwarcie okna dialogowego Filtr zaawansowany, w którym można utworzyć filtr, używając niemal dowolnego atrybutu obiektu. Aby uzyskać więcej informacji, zobacz „Wybór zaawansowany” na stronie 39.

UWAGA: Gdy filtr jest aktywny, jego ikona staje się kolorowa , a obok ikony jest wyświetlone ustawienie filtru. Jeśli zostanie skonfigurowany filtr zaawansowany, program iManager wyświetla ikonę znacznika wyboru obok ikony filtru.

Lista obiektów: Na liście obiektów w ramce zawartości są wyświetlane wszystkie obiekty zawarte w kontenerze wybranym obecnie w ramce nawigacyjnej. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale ustawienie to można zmienić w oknie Preferencje widoku obiektu.

Aby wykonać czynność na obiekcie, należy zaznaczyć odpowiadające mu pole wyboru, a następnie wybrać odpowiednią czynność z nagłówka listy obiektów. Aby wykonać czynność na przeglądanym obecnie kontenerze, należy wybrać obiekt Poziom bieżący.

Aby przejść o jeden poziom w górę do kontenera nadrzędnego, należy wybrać obiekt podwójnej kropki.

WAŻNE: Widok drzewa nie obsługuje wybierania obiektów z wielu stron na liście obiektów. Aby to zrobić, należy użyć karty Przeglądaj widoku obiektu, która pozwala wykonać czynność na wielu obiektach. Aby uzyskać więcej informacji, zobacz „Przeglądanie” na stronie 28.

Przeglądanie

Karta Przeglądaj udostępnia narzędzie przeglądania katalogów za pomocą interfejsu użytkownika i funkcji podobnych do selektora obiektów. Informacje o poruszaniu się po interfejsie użytkownika funkcji Przeglądaj można znaleźć w części „Korzystanie z selektora obiektów” na stronie 32.


Rysunek 4-2 Karta Przeglądaj w widoku obiektu programu iManager

Funkcje karty Przeglądaj są udostępniane jedynie przez ramkę nawigacyjną. Zawiera ona następujące składniki podstawowe:

Filtr obiektów: Znajdujący się w górnej części ramki nawigacyjnej filtr obiektów umożliwia ograniczanie obiektów wyświetlanych na liście obiektów. Aby po zdefiniowaniu filtru użyć go, należy kliknąć przycisk Zastosuj.

WAŻNE: Filtrowanie obiektów na karcie Przeglądaj obejmuje tylko obiekty katalogu. Funkcja ta nie filtruje obiektów systemu plików, nawet jeśli są one widoczne na karcie Przeglądaj.

W filtrze obiektów są używane następujące pola:

Kontekst: powoduje wyświetlanie tylko obiektów w określonym kontekście. Efekt jest identyczny z otwarciem kontenera z poziomu listy obiektów.

Nazwa: powoduje wyświetlanie tylko tych obiektów, które odpowiadają określonemu filtrowi nazwy. Aby określić nazwę częściową, należy użyć gwiazdki (*) jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Typ: powoduje wyświetlanie tylko obiektów określonego typu.

UWAGA: Wybranie określonego typu obiektu powoduje pojawienie się ikony plus [+], umożliwiającej otwarcie narzędzia Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Aby uzyskać więcej informacji, zobacz „Wybór zaawansowany” na stronie 39.

Załaduj/Zapisz: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji filtru oraz zapisanie bieżącego filtru do ponownego użycia.


Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy obiektów, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Aby uzyskać więcej informacji, zobacz „Wybieranie i filtrowanie obiektów” na stronie 38.

Lista obiektów: Zawiera listę obiektów katalogu, tak jak definiują kryteria filtru obiektów. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale wartość tę można zmienić w oknie Preferencje widoku obiektu. Poruszanie się między stronami obiektów umożliwiają przyciski Poprzednia i Dalej. Pomiędzy obiektami na liście obiektów można się poruszać w następujący sposób:

Aby otworzyć kontener i wyświetlić jego obiekty na liście obiektów, należy wybrać ikonę ze strzałką w dół obok obiektu tego kontenera.

Aby wyświetlić zawartość obiektu nadrzędnego bieżącego kontenera, należy wybrać ikonę ze strzałką w górę w górnej części listy obiektów. Spowoduje to przejście o jeden poziom do góry w drzewie katalogu.

Wybranie obiektu — kontenera lub liścia — powoduje otwarcie okna zawierającego zadania dostępne dla tego typu obiektu. Wybranie zadania powoduje otwarcie interfejsu zadania w ramce zawartości.

Znajdź

Karta Szukaj jest podobna do karty Przeglądaj, ale zamiast wyświetlać strukturę drzewa w ramce nawigacyjnej, zawiera tylko te obiekty, które są wynikiem określonego wyszukiwania.


Rysunek 4-3 Karta Szukaj w widoku obiektu programu iManager

Funkcje karty Szukaj są udostępniane jedynie przez ramkę nawigacyjną. Zawiera ona następujące składniki podstawowe:

Wyszukiwanie obiektu: Znajdująca się w górnej części ramki nawigacyjnej funkcja wyszukiwania obiektów umożliwia definiowanie kryteriów wyszukiwania. Aby po zdefiniowaniu kryteriów wykonać określoną operację wyszukiwania, należy kliknąć przycisk Szukaj.

WAŻNE: Filtrowanie obiektów na karcie Szukaj obejmuje tylko obiekty katalogu. Funkcja ta nie filtruje obiektów systemu plików, nawet jeśli są one widoczne na karcie Szukaj.

Wyszukiwanie można zdefiniować przy użyciu następujących pól:

Kontekst: określa kontener początkowy dla operacji wyszukiwania. Jeśli podczas wyszukiwania mają być uwzględniane kontenery podrzędne, należy wybrać opcję Przeszukaj kontenery podrzędne.

Nazwa: definiuje filtr nazwy obiektu dla tego wyszukiwania. Aby określić nazwę częściową, należy użyć gwiazdki jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Typ: definiuje filtr typu obiektu dla tego wyszukiwania. Program iManager wyświetla tylko obiekty określonego typu.


UWAGA: Wybranie określonego typu obiektu powoduje pojawienie się ikony plus [+], umożliwiającej otwarcie narzędzia Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Aby uzyskać więcej informacji, zobacz „Wybór zaawansowany” na stronie 39.

Załaduj/Zapisz: te łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji wyszukiwania oraz zapisanie bieżącego wyszukiwania do ponownego użycia.

Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy wyników, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Aby uzyskać więcej informacji, zobacz „Wybieranie i filtrowanie obiektów” na stronie 38.

Lista wyników: Zawiera wyniki operacji wyszukiwania. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale wartość tę można zmienić w oknie Preferencje widoku obiektu. Poruszanie się między stronami wyników umożliwiają przyciski Poprzednia i Dalej. Wybranie obiektu — kontenera lub liścia — powoduje otwarcie okna zawierającego zadania dostępne dla tego typu obiektu. Wybranie zadania powoduje otwarcie interfejsu zadania w ramce zawartości.

UWAGA: Karta Szukaj nie umożliwia poruszania się po obiektach, na przykład otwierania obiektów kontenerów, na liście wyników. Aby to zrobić, należy użyć karty Drzewo lub Przeglądaj.

Korzystanie z selektora obiektówSelektor obiektów umożliwia wybieranie obiektów, na których ma zostać wykonane bieżące zadanie. Program iManager udostępnia to narzędzie w każdej sytuacji, w której użytkownik wybiera zadanie lub czynność przed określeniem obiektów, do których zadanie lub czynność ma zostać zastosowana.

Dostęp do selektora obiektów można uzyskać, wybierając ikonę szkła powiększającego w dowolnym miejscu, w którym pojawi się ona w ramce zawartości. Selektor obiektów jest otwierany w osobnym oknie na wierzchu programu iManager.


Rysunek 4-4 Selektor obiektów programu iManager

Selektor obiektów zawiera dwie karty umożliwiające wyszukiwanie obiektów docelowych dla wykonywanego zadania:

„Przeglądanie” na stronie 33

„Znajdź” na stronie 34

Przeglądanie

Karta Przeglądaj (domyślna) umożliwia poruszanie się po drzewie katalogu w celu wyszukiwania żądanych obiektów. Zawiera ona następujące składniki podstawowe:

Filtr obiektów: Znajdujący się z lewej strony selektora obiektów filtr obiektów umożliwia ograniczanie obiektów wyświetlanych na liście zawartości. Aby po zdefiniowaniu filtru użyć go, należy kliknąć przycisk Zastosuj. W filtrze obiektów są używane następujące pola:

Szukaj w: powoduje wyświetlanie tylko obiektów w określonym kontekście. Efekt jest identyczny z otwarciem kontenera z poziomu listy zawartości.

Szukaj obiektów o nazwach: powoduje wyświetlanie tylko tych obiektów, które odpowiadają określonemu filtrowi nazwy. Aby określić nazwę częściową, należy użyć gwiazdki (*) jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.


Przeglądanie zaawansowane: to łącze otwiera narzędzie Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Aby uzyskać więcej informacji, zobacz „Wybór zaawansowany” na stronie 39.

Załaduj kryteria/Zapisz kryteria: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji filtru oraz zapisanie bieżącego filtru do ponownego użycia.

Lista zawartości: Zawiera listę obiektów katalogu, tak jak definiują kryteria filtru obiektu. Domyślnie na jednej stronie listy obiektów jest wyświetlanych 100 obiektów, ale liczbę tę można w razie potrzeby zmienić. Poruszanie się między stronami obiektów umożliwiają przyciski Poprzednia i Dalej. Pomiędzy obiektami na liście zawartości można się poruszać w następujący sposób:

Aby otworzyć kontener i wyświetlić jego obiekty na liście zawartości, należy wybrać ikonę ze strzałką w dół obok obiektu tego kontenera.

Aby wyświetlić zawartość obiektu nadrzędnego bieżącego kontenera, należy wybrać ikonę ze strzałką w górę w górnej części listy obiektów. Spowoduje to przejście o jeden poziom do góry w drzewie katalogu.

Wybranie obiektu powoduje zidentyfikowanie go przez program iManager jako obiektu, na którym ma zostać wykonane bieżące zadanie.

Wybrane obiekty: Ten składnik pojawia się tylko w przypadku wybierania wielu obiektów dla bieżącego zadania. W polu Wybrane obiekty jest wyświetlana lista obiektów wybranych aktualnie dla zadania. Gdy lista jest już kompletna, należy kliknąć przycisk OK. Aby opróżnić listę wybranych obiektów i zacząć od początku, należy kliknąć przycisk Wyczyść wszystko.

Więcej informacji o wybieraniu jednego lub wielu obiektów dla zadania można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 38.

Znajdź

Karta Szukaj umożliwia określenie operacji wyszukiwania do wykonania na drzewie katalogu i wyświetlenie rezultatów. Zawiera ona następujące składniki podstawowe:

Wyszukiwanie obiektu: Znajdująca się z lewej strony selektora obiektów funkcja wyszukiwania obiektów umożliwia definiowanie kryteriów wyszukiwania. Aby po zdefiniowaniu kryteriów wykonać określoną operację wyszukiwania, należy kliknąć przycisk Szukaj. Wyszukiwanie można zdefiniować przy użyciu następujących pól:

Rozpocznij wyszukiwanie w: określa kontener początkowy dla operacji wyszukiwania. Jeśli podczas wyszukiwania mają być uwzględniane kontenery podrzędne, należy wybrać opcję Przeszukaj kontenery podrzędne.

Szukaj obiektów o nazwach: definiuje filtr nazwy obiektu dla tego wyszukiwania. Aby określić nazwę częściową, należy użyć gwiazdki jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Przeglądanie zaawansowane: to łącze otwiera narzędzie Wybór zaawansowany, w którym można określić dodatkowe ustawienia wyszukiwania na poziomie atrybutów. Aby uzyskać więcej informacji, zobacz „Wybór zaawansowany” na stronie 39.

Załaduj kryteria/Zapisz kryteria: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji wyszukiwania oraz zapisanie bieżącego wyszukiwania do ponownego użycia.

Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy wyników, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Aby uzyskać więcej informacji, zobacz „Wybieranie i filtrowanie obiektów” na stronie 38.


Lista wyników: Zawiera wyniki operacji wyszukiwania. Domyślnie na jednej stronie listy wyników jest wyświetlanych 100 obiektów, ale liczbę tę można w razie potrzeby zmienić. Poruszanie się między stronami wyników umożliwiają przyciski Poprzednia i Dalej.

UWAGA: Karta Szukaj nie umożliwia poruszania się po obiektach, na przykład otwierania obiektów kontenerów, na liście wyników. Aby to zrobić, należy użyć karty Przeglądaj selektora obiektów.

Wybrane obiekty: Ten składnik pojawia się tylko w przypadku wybierania wielu obiektów dla bieżącego zadania. W polu Wybrane obiekty jest wyświetlana lista obiektów wybranych aktualnie dla zadania. Gdy lista jest już kompletna, należy kliknąć przycisk OK. Aby opróżnić listę wybranych obiektów i zacząć od początku, należy kliknąć przycisk Wyczyść wszystko.

Więcej informacji o wybieraniu jednego lub wielu obiektów dla zadania można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 38.


5 5Role i zadania

Wybranie opcji Role i zadania w ramce nagłówka powoduje wyświetlenie w ramce nawigacyjnej wszystkich ról i zadań dostępnych w programie iManager. Program iManager grupuje powiązane role i zadania w kategorie. Możliwe jest jednak tworzenie niestandardowych grup kategorii oraz przypisywanie do nich ról i zadań. Aby uzyskać więcej informacji, zobacz „Karta Kategoria” na stronie 68.

Ta część zawiera omówienie następujących zagadnień:

„Poruszanie się w widoku Role i zadania” na stronie 37

„Administrowanie katalogiem” na stronie 40

„Grupy” na stronie 43

„Centrum pomocy technicznej” na stronie 45

„Partycje i repliki” na stronie 45

„Prawa” na stronie 48

„Schemat” na stronie 50

„użytkownicy” na stronie 53

W pierwszej części tego rozdziału przedstawiono sposób poruszania się w widoku Role i zadania. Pozostałe części zawierają szczegółowe opisy zadań dostępnych w podstawowym zestawie ról i zadań programu iManager. Informacje o rolach i zadaniach dostępnych w dodatku typu plug-in specyficznym dla produktu można znaleźć w dokumentacji tego produktu.

Oprócz widoku Role i zadania w programie iManager można też skonfigurować widok Ulubione, w którym są wyświetlane najczęściej używane zadania. Aby uzyskać więcej informacji, zobacz „Zarządzaj Ulubionymi” na stronie 91.

Poruszanie się w widoku Role i zadaniaPoruszanie się po zadaniach w programie iManager jest prostym procesem, który obejmuje następujące kroki ogólne:

1 (Ramka nawigacyjna) Otwórz kategorię zawierającą żądane zadanie.

2 (Ramka nawigacyjna) Wybierz żądane zadanie z listy zadań danej kategorii.

3 (Ramka zawartości) Podaj informacje wymagane do wykonania zadania. W niektórych przypadkach może to obejmować określenie obiektów, do których ma zostać zastosowane zadanie.

Informacje o wybieraniu obiektów, do których ma zostać zastosowane zadanie, można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 38.

4 (Ramka zawartości) Kliknij przycisk OK, aby wykonać zadanie.

Role i zadania 37

Wybieranie i filtrowanie obiektów

W przypadku zadań, które można stosować do więcej niż jednego obiektu jednocześnie (na przykład Modyfikuj użytkownika), program iManager udostępnia opcje (wybierane w ramce zawartości) umożliwiające wyszukiwanie żądanych obiektów.

Rysunek 5-1 Opcje wybierania obiektów w zadaniu

Wybierz jeden obiekt

Jest to domyślna metoda wybierania obiektów. Opcja Wybierz jeden obiekt umożliwia określenie jednego obiektu, do którego ma zostać zastosowane zadanie. Gdy do wyszukiwania obiektu jest używany selektor obiektów, wybranie obiektu powoduje automatyczne zamknięcie selektora obiektów i wstawienie wybranego obiektu do pola nazwy obiektu zadania. Więcej informacji o selektorze obiektów można znaleźć w części „Korzystanie z selektora obiektów” na stronie 32.

Wybierz kilka obiektów

Opcja Wybierz kilka obiektów powoduje zmodyfikowanie pola nazwy obiektu zadania, tak aby akceptowało listę obiektów zamiast tylko jednego obiektu. Selektor obiektów również działa w trybie wielu obiektów, umożliwiając wybranie więcej niż jednego obiektu jednocześnie. Więcej informacji o selektorze obiektów można znaleźć w części „Korzystanie z selektora obiektów” na stronie 32.

Wybór prosty

Opcja Wybór prosty powoduje otwarcie podstawowego narzędzia podstawowego w ramce zawartości. Za pomocą tego narzędzia można wyszukiwać obiekty w drzewie katalogu na podstawie określonej wartości właściwości.

Rysunek 5-2 Podstawowy filtr obiektów w zadaniu

Lista atrybut zawiera atrybuty, na których można wykonywać operację wyszukiwania.

Lista operator zawiera różne operatory, których można używać w operacji wyszukiwania.

Jeśli obiekty zwrócone w wyniku operacji wyszukiwania mają być sortowane, należy zaznaczyć pole wyboru Sortuj obiekty wynikowe.

Z opcją Wybór prosty są związane następujące ograniczenia:

Przeszukiwane jest całe drzewo katalogu.

38 Role i zadania

Nie są obsługiwane znaki wyrażeń regularnych w kryteriach wyszukiwania.

Obsługiwane są tylko filtry „Rozpoczyna się od” oraz „Równe” dla wartości właściwości.

Wybór zaawansowany

Opcja Wybór zaawansowany zapewnia bardziej konfigurowalne środowisko wyszukiwania żądanych obiektów w katalogu.

Opcja Wybór zaawansowany zapewnia bardziej szczegółową kontrolę nad filtrem obiektów używanym podczas operacji wyszukiwania. Opcje wyboru zaawansowanego można konfigurować przy użyciu następujących pól:

Typ obiektu: Określa wyszukiwaną klasę bazową obiektu. Na przykład: Użytkownik.

Kontener: Określa kontener, od którego ma się rozpocząć wyszukiwanie. Aby przeszukiwać kontenery podrzędne, należy wybrać opcję Uwzględnij kontenery podrzędne.

Filtr: Określa filtr, jaki ma zostać zastosowany do wyszukiwania. Wybranie ikony filtru powoduje otwarcie osobnego okna, w którym można zdefiniować filtr. Po ukończeniu definiowania filtru należy kliknąć przycisk OK.

Interfejs filtru zawiera następujące pola:

Klasy pomocnicze: Określa klasę pomocniczą do uwzględnienia w wyszukiwaniu.

Atrybut: Określa atrybut (właściwość), który ma zostać użyty jako część filtru.

Operator: Określa operator logiczny do zastosowania w filtrze. Dostępne są następujące opcje

Wartość: Określa wartość atrybutu używaną w charakterze filtru. Aby wskazać część wartości, można użyć gwiazdki (*) jako znaku wyrażenia regularnego. Na przykład: kowal*, *ski i *walsk*.

Ponadto można połączyć wiele filtrów atrybutów w grupę filtrów, używając ikony + w celu dodania drugiego atrybutu do listy. W przypadku używania wielu filtrów atrybutów należy je połączyć za pomocą operatorów logicznych AND lub OR.

Po zdefiniowaniu filtru, kliknięciu opcji Podgląd, a następnie kliknięciu przycisku OK zostanie wyświetlony ekran Modyfikuj obiekt. Są na nim wyświetlane atrybuty zdefiniowane dla obiektów w kontenerze. Wymienione są także wspólne wartości atrybutów. Na przykład, tak jak widać poniżej (Rysunek 5-3), atrybuty Imię, Nazwisko i Pełna nazwa mają wspólne wartości dla wszystkich obiektów w określonym kontenerze. Atrybuty, których pola są puste, nie zawierają wspólnej wartości dla wszystkich obiektów. Do tych atrybutów można również dodawać wartości.

Role i zadania 39

Rysunek 5-3 Ekran Modyfikuj obiekt

Można wykonać następujące zadania z atrybutami i wszystkie obiekty w kontenerze zostaną zaktualizowane:

Zignoruj: Opcja powodująca, że zmiany obiektów nie są aktualizowane.

Zastąp: Opcja umożliwiająca zastąpienie istniejącej wartości atrybutu na liście. Aby zastąpić, należy kliknąć dwukrotnie wartość, wprowadzić zmiany i nacisnąć klawisz Enter. > Następnie kliknij Zastąp.

Dodaj: Opcja umożliwiająca dodawanie wartości do atrybutu. Można dodać więcej niż jedną wartość do atrybutu. Na przykład, więcej niż jedno imię dla wszystkich obiektów.

Usuń. Opcja umożliwiająca usuwanie wartości atrybutów. Aby usunąć wartość atrybutu:

1 Jeśli atrybut ma więcej niż jedną wartość, najpierw musisz ukryć wartości, które nie mają zostać usunięte, naciskając klawisz Delete na klawiaturze. Jest to wymagane, ponieważ opcja Usuń powoduje usunięcie wszystkich wartości widocznych na liście. Więc w pierwszej kolejności musisz ukryć wartości, których nie chcesz usunąć.

Jedynie wartości przeznaczone do usuniecia są wyświetlone na liście atrybutów.

2 Kliknij opcję Usuń na liście rozwijanej.

Określone wartości zostaną usunięte i ukryte wartości pojawią się na liście.

Administrowanie katalogiemAdministrowanie katalogiem polega między innymi na zarządzaniu obiektami w drzewie katalogu. Obiekty można tworzyć, edytować i organizować.

„Kopiowanie obiektu” na stronie 41

„Tworzenie obiektu” na stronie 41

40 Role i zadania

„Usuwanie obiektu” na stronie 42

„Modyfikowanie obiektu” na stronie 42

„Przenoszenie obiektu” na stronie 42

„Zmienianie nazwy obiektu” na stronie 42

Więcej informacji o obiektach eDirectory zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Kopiowanie obiektu

Możliwe jest utworzenie nowego obiektu z takimi samymi wartościami atrybutów jak w istniejącym obiekcie albo skopiowanie wartości atrybutów z jednego obiektu do drugiego.

1 W widoku Role i zadania kliknij kolejno Administrowanie Katalogiem > Kopiuj obiekt.

2 W polu Obiekt będący źródłem kopii wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów.

3 Wybierz jedną z następujących opcji:

Utwórz nowy obiekt i skopiuj wartości atrybutów

Skopiuj wartości atrybutów do istniejącego obiektu

Atrybuty, których klasy nie są rozszerzane przez kopiowany obiekt, nie są kopiowane.

4 Aby skopiować prawa listy kontroli dostępu (ACL) do tego obiektu, zaznacz pole wyboru Skopiuj prawa ACL.

Wykonanie tego etapu może zabrać więcej czasu, zależnie od systemu i środowiska sieciowego.

UWAGA: Operacja kopiowania obiektu nie powoduje skopiowania następujących atrybutów obiektu:

ACL (jeśli nie wybrano opcji Skopiuj prawa ACL)

CN

Skojarzenia DirXML

Równorzędny ze mną

Przynależność do grupy

Członek

Poziomy zabezpieczeń

Dowolny atrybut nazewnictwa

Dowolny atrybut tylko do odczytu

Dowolny atrybut RBS

Tworzenie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Utwórz obiekt.

2 Z wyświetlonej listy wybierz klasę obiektu, a następnie kliknij przycisk OK.

3 Podaj wymagane informacje, zależnie od wybranej klasy obiektu, a następnie kliknij przycisk OK.

Role i zadania 41

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html


Jeśli używasz przeglądarki Firefox, kliknij symbol + w celu dodania informacji zamiast wpisywać je bezpośrednio w polu.

4 Po wyświetleniu komunikatu potwierdzenia kliknij przycisk OK, Powtórz zadanie lub Modyfikuj.

Usuwanie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Usuń obiekt.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym usunięciu obiektu.

Modyfikowanie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Modyfikuj obiekt.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Na stronie Modyfikuj obiekt zostaną wyświetlone strony zawierające atrybuty wybranego obiektu.

3 Zmodyfikuj obiekt zgodnie z potrzebami, a następnie kliknij przycisk OK.

Jeśli używasz przeglądarki Firefox, kliknij symbol + w celu dodania informacji zamiast wpisywać je bezpośrednio w polu.

Przenoszenie obiektu

1 W widoku Role i zadania wybierz kolejno Administrowanie katalogiem > Przenieś obiekt.

Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

2 W polu Przesuń do wybierz kontener, do którego ma zostać przeniesiony obiekt.

3 Zaznacz pole wyboru Utwórz alias w miejscu przeniesionego obiektu, aby dla każdego przenoszonego obiektu utworzyć alias w starej lokalizacji.

4 Kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji przeniesienia obiektu.

Zmienianie nazwy obiektu

1 W widoku Role i zadania wybierz kolejno Administrowanie katalogiem > Zmień nazwę obiektu.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu funkcji wyszukiwania.

Wpisz samą nazwę nowego obiektu i nie dołączaj kontekstu.

3 Aby zapisać starą nazwę, wybierz opcję zapisania tej nazwy.

Spowoduje to zapisanie starej nazwy jako dodatkowej, nieoficjalnej wartości właściwości Nazwa. Zapisanie starej nazwy umożliwia użytkownikom wyszukiwanie obiektu oparte na tej nazwie. Po zmianie nazwy obiektu można wyświetlić starą nazwę w polu Inna nazwa na karcie Identyfikacja ogólna tego obiektu.

4 Zaznacz pole wyboru Utwórz alias w miejsce obiektu o zmienionej nazwie, jeśli ma zostać utworzony alias dla obiektu, któremu nadajesz nazwę.

42 Role i zadania

Dzięki temu wszystkie operacje odnoszące się do starej nazwy obiektu będą w dalszym ciągu funkcjonowały aż do ich aktualizacji w celu uwzględnienia nowej nazwy.


Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji zmiany nazwy obiektu.

GrupyUżytkownik, który utworzył grupę, automatycznie staje się jej właścicielem. Dostępne operacje na grupach obejmują:

„Tworzenie grupy” na stronie 43

„Usuwanie grupy” na stronie 44

„Modyfikowanie grupy” na stronie 44

„Modyfikowanie członków grupy” na stronie 44

„Przenieś grupę” na stronie 44

„Zmień nazwę grupy” na stronie 44

„Wyświetlanie grup użytkownika” na stronie 44

Więcej informacji o używaniu i konfigurowaniu obiektów grup zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Tworzenie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Utwórz grupę.

2 Na stronie Utwórz grupę podaj wymagane informacje, a następnie kliknij przycisk OK.

Zaznacz pole wyboru Grupa dynamiczna, aby nowa grupa była grupą dynamiczną o typie klasy Grupa dynamiczna. W przeciwnym razie grupa zostanie utworzona jako grupa statyczna o typie klasy Grupa.

Zaznacz pole wyboru Ustaw właściciela, aby ustawić twórcę obiektu grupy jako właściciela grupy. Atrybut Właściciel grupy zostanie ustawiony na nazwę w pełni kwalifikowaną użytkownika zalogowanego do programu iManager. Aby pozostawić atrybut Właściciel niezdefiniowany, usuń zaznaczenie pola wyboru Ustaw właściciela.

Wybierz opcję Grupa zagnieżdżona, aby nowa grupa stała się grupą zagnieżdżoną — została utworzona z klasą pomocniczą nestedGroupAux.

UWAGA: Grupę statyczną można po fakcie przekształcić na grupę dynamiczną, używając opcji Modyfikowanie grupy. Spowoduje to rozszerzenie wybranego obiektu grupy tak, aby należał do klasy dynamicGroupAux.

Grupa może być albo zagnieżdżona, albo dynamiczna. Nie można utworzyć grupy, która jest jednocześnie zagnieżdżona i dynamiczna.

Grupę statyczną można przekonwertować na zagnieżdżoną, korzystając z opcji Modyfikuj grupę. Spowoduje to, że wybrany obiekt grupy będzie należał do klasy nestedGroupAux.

Role i zadania 43



Usuwanie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Usuń grupę.

2 Na stronie Usuń grupę podaj nazwę obiektu grupy przeznaczonego do usunięcia lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Strona Usuń obiekt umożliwia określenie obiektu do usunięcia przy użyciu opcji Wybierz jeden obiekt, Wybierz kilka obiektów lub Wybór zaawansowany.

Modyfikowanie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Modyfikuj grupę.

2 Na stronie Modyfikuj grupę podaj nazwę obiektu grupy lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Wprowadź żądane zmiany atrybutów obiektu grupy, a następnie kliknij przycisk OK.

UWAGA: Jeśli grupa statyczna zostanie zmieniona w grupę dynamiczną, a używane są usługi RBS, należy włączyć obsługę klasy dynamicGroupAux. W tym celu należy otworzyć stronę Konfiguruj > Serwer programu iManager > Konfiguruj program iManager > RBS > Typ wyszukiwania grup dynamicznych. Z menu rozwijanego należy wybrać pozycję DynamicGroupObjects&AuxClasses, a następnie kliknąć przycisk Zapisz.

Nie można konwertować grup dynamicznych na zagnieżdżone ani odwrotnie.

Modyfikowanie członków grupy

To zadanie umożliwia jednoczesne wprowadzanie identycznych modyfikacji do atrybutów wszystkich obiektów członkowskich określonej grupy.

1 W widoku Role i zadania wybierz kolejno Grupy > Modyfikuj członków grupy.

2 Na stronie Modyfikuj członków grupy podaj nazwę obiektu grupy lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Wprowadź żądane zmiany atrybutów obiektu członkowskiego, a następnie kliknij przycisk OK.

Przenieś grupę

To łącze powoduje przekierowanie do zadania Przenieś obiekt. Aby uzyskać więcej informacji, zobacz „Przenoszenie obiektu” na stronie 42.

Zmień nazwę grupy

Jest to opcja o działaniu identycznym z zadaniem Zmień nazwę obiektu. Aby uzyskać więcej informacji, zobacz „Zmienianie nazwy obiektu” na stronie 42.

Wyświetlanie grup użytkownika

Na tej stronie wyświetlane są grupy, których właścicielem jest użytkownik. Można na niej tworzyć nowe grupy oraz edytować lub usuwać istniejące.

44 Role i zadania

Centrum pomocy technicznejCentrum pomocy technicznej zapewnia dostęp do ograniczonej liczby zadań związanych z użytkownikami. Użytkownik posiadający tę rolę może wykonywać następujące czynności:

„Usuwanie blokady” na stronie 45

„Tworzenie użytkownika” na stronie 45

„Ustawianie hasła” na stronie 45

Więcej informacji o obiektach użytkowników zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Usuwanie blokady

Konto użytkownika może zostać zablokowane, jeśli użytkownik wprowadzi nieprawidłowe hasło zbyt wiele razy lub podejmie próbę zalogowania się przy użyciu hasła, które utraciło ważność.

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Usuń blokadę.

2 Na stronie Usuń blokadę podaj nazwę obiektu użytkownika lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Tworzenie użytkownika

Aby utworzyć nowy obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Utwórz użytkownika.

Podaj wymagane informacje dotyczące użytkownika, zgodnie z opisem w części „Tworzenie użytkownika” na stronie 53.

Ustawianie hasła

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Ustaw hasło.

2 Na stronie Ustaw hasło określ nazwę obiektu użytkownika. Przejdź do obiektu użytkownika za pomocą selektora obiektu lub wyszukaj go za pomocą funkcji Wybór prosty.

3 Podaj nowe hasło dla wybranego obiektu użytkownika (dwukrotnie), a następnie kliknij przycisk OK.

Zaznacz pole wyboru Ustaw hasło proste, aby zdefiniować hasło proste, które jest wymagane do dostępu do plików macierzystych przez użytkowników systemów Windows* i Macintosh*. Nie jest ono wymagane w przypadku włączenia hasła uniwersalnego.

Partycje i replikiOperacje na partycjach i replikach umożliwiają zarządzanie fizyczną strukturą usługi eDirectory oraz jej dystrybucją na serwerach katalogowych i obejmują następujące zadania:

„Tworzenie partycji” na stronie 46

„Łączenie partycji” na stronie 46

„Przenoszenie partycji” na stronie 46

Role i zadania 45



„Przeglądanie informacji o replikach” na stronie 47

„Wyświetlanie informacji o partycji” na stronie 47

„Korzystanie z Kreatora repliki filtrowanej” na stronie 48

Informacje o partycjach i replikach zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Tworzenie partycji

Partycje są logicznymi obszarami drzewa eDirectory. Na przykład po wybraniu jednostki organizacyjnej i utworzeniu jej jako nowej partycji, jednostka ta, wraz ze wszystkimi swymi obiektami podrzędnymi, zostanie oddzielona od partycji nadrzędnej. Wybrana jednostka stanie się obiektem głównym nowej partycji. Repliki nowej partycji będą znajdować się na tych samych serwerach co repliki partycji nadrzędnej, a obiekty nowej partycji będą należeć do obiektu głównego nowej partycji.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Utwórz partycję.

2 Na stronie Utwórz partycję określ kontener, który ma zostać obiektem głównym nowej partycji, lub znajdź kontener przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji tworzenia partycji.

Łączenie partycji

Łączenie partycji powoduje faktyczne ponowne połączenie jej z partycją nadrzędną. Tworzenie i łączenie partycji jest sposobem określania podziału katalogu na obszary logiczne.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Połącz partycję.

2 Na stronie Połącz partycję określ partycję przeznaczoną do połączenia z jej partycją nadrzędną lub znajdź partycję przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Aby określić partycję, określ obiekt kontenera pełniący funkcję obiektu głównego partycji.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji tworzenia partycji.

Przenoszenie partycji

Przenoszenie partycji pozwala przenieść drzewo podrzędne w drzewie katalogu. Operacja ta nosi też nazwę obcięcia i szczepienia. Można przenosić tylko te partycje, które nie mają partycji podrzędnych. Jeśli istnieją partycje podrzędne, to przed wykonaniem operacji przeniesienia należy je najpierw połączyć.

Po przeniesieniu partycji drzewo eDirectory zmienia wszystkie odwołania do głównego obiektu tej partycji. Nazwa zwykła obiektu pozostaje niezmieniona, ale zmienia się pełna nazwa kontenera (i wszystkich jego elementów podrzędnych).

46 Role i zadania


UWAGA: Przenosząc partycję, należy przestrzegać reguł przynależności drzewa eDirectory. Na przykład nie można przenieść jednostki organizacyjnej bezpośrednio do katalogu głównego drzewa katalogu, ponieważ reguły zawartości katalogu głównego zezwalają jedynie na obiekty typu Umiejscowienie, Kraj lub Organizacja, ale nie typu Jednostka organizacyjna.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Połącz partycję.

2 Na stronie Przenieś partycję podaj wymagane informacje, a następnie kliknij przycisk OK.

W polu Nazwa obiektu określ partycję przeznaczoną do przeniesienia lub znajdź ją za pomocą selektora obiektów.

W polu Przesuń do określ obiekt kontenera, do którego ma zostać przeniesiona określona partycja.

Opcja Utwórz alias w miejscu przeniesionego obiektu umożliwia utworzenie wskaźnika do nowej lokalizacji partycji. Dzięki temu wszystkie operacje odnoszące się do starej lokalizacji będą w dalszym ciągu funkcjonowały aż do ich aktualizacji w celu uwzględnienia nowego położenia. Użytkownicy będą mogli nadal logować się do sieci i znajdować obiekty w pierwotnym położeniu katalogu.

OSTRZEŻENIE: Przed przeniesieniem partycji należy upewnić się, że synchronizacja drzewa katalogu odbywa się poprawnie. Jeśli występują błędy podczas synchronizowania partycji, która ma zostać przeniesiona, lub partycji docelowej, nie należy przenosić partycji. Najpierw należy usunąć błędy synchronizacji. Jeśli przeniesiona partycja nie powinna być nadal oddzielną partycją, po przeniesieniu należy połączyć ją z partycją nadrzędną.

Przeglądanie informacji o replikach

Wyświetlenie informacji o replice umożliwia poznanie jej bieżącego stanu. W zależności od przeprowadzanych operacji dotyczących partycji lub jej samej, replika eDirectory może znajdować się w różnych stanach.

1 W widoku Role i zadania kliknij kolejno Partycje i repliki > Widok repliki.

2 Na stronie Widok repliki określ partycję lub serwer, dla którego ma zostać wyświetlona tabela partycji, a następnie kliknij przycisk OK.

Zostanie wyświetlona tabela z informacjami o partycji, typie, filtrze i stanie repliki. Informacje na temat stanów repliki zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Wyświetlanie informacji o partycji

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Wyświetl informacje o partycji.

2 Na stronie Informacje dotyczące partycji określ partycję, dla której mają zostać wyświetlone informacje, a następnie kliknij przycisk OK.

Aby określić partycję, określ obiekt kontenera pełniący funkcję obiektu głównego partycji.

Role i zadania 47


Korzystanie z Kreatora repliki filtrowanej

Repliki filtrowane zawierają filtrowany podzbiór informacji z partycji eDirectory (obiekty lub klasy obiektów oraz filtrowany zestaw atrybutów i wartości dla tych obiektów). Kreator repliki filtrowanej prowadzi użytkownika przez proces konfiguracji replik filtrowanych na wybranym serwerze.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Kreator repliki filtrowanej.

2 Podaj nazwę i kontekst serwera, na którym ma zostać skonfigurowana replika filtrowana, lub znajdź serwer przy użyciu selektora obiektów, a następnie kliknij przycisk Dalej.

3 Kliknij przycisk Zdefiniuj zestaw filtru, aby określić klasy i atrybuty zestawu filtru na wybranym serwerze, a następnie kliknij przycisk Dalej.

Filtr replikacji obejmuje zestaw klas i atrybutów eDirectory, które mają się znaleźć w zestawie replik filtrowanych na tym serwerze.

4 Kliknij przycisk Zakończ.

Więcej informacji na temat replik filtrowanych zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

PrawaPrawa są związane z prawami dysponentów eDirectory i dysponentami. Domyślne prawa przypisywane podczas tworzenia drzewa umożliwiają ogólny dostęp do sieci z zachowaniem zabezpieczeń. Program iManager umożliwia wykonywanie następujących zadań związanych z prawami:

„Modyfikowanie filtru uprawnień dziedziczonych” na stronie 48

„Modyfikowanie praw dysponentów” na stronie 49

„Prawa do innych obiektów” na stronie 49

„Wyświetlanie praw efektywnych” na stronie 50

Więcej informacji o prawach usługi eDirectory zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Modyfikowanie filtru uprawnień dziedziczonych

Zarówno usługa eDirectory, jak i system plików NetWare zawierają mechanizm o nazwie Filtr uprawnień dziedziczonych (IRF), który umożliwia blokowanie dziedziczenia uprawnień dla poszczególnych elementów podrzędnych. Jedynym wyjątkiem jest wykluczenie możliwości blokowania uprawnień nadzorcy w systemie plików NetWare.

Więcej informacji na temat filtrów praw dziedziczonych zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

1 W widoku Role i zadania wybierz kolejno Prawa > Modyfikuj filtr uprawnień dziedziczonych.

2 Podaj pełną nazwę obiektu, którego filtr uprawnień dziedziczonych ma zostać zmodyfikowany, lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista filtrów uprawnień dziedziczonych, które zostały dotychczas ustawione dla tego obiektu.

48 Role i zadania







3 Na stronie właściwości wprowadź odpowiednie zmiany na liście filtrów praw dziedziczonych, a następnie kliknij przycisk OK.

Do edytowania listy filtrów niezbędne jest posiadanie praw nadzorcy lub kontroli dostępu do właściwości ACL obiektu. Można ustawić filtry blokujące uprawnienia dziedziczone do obiektu jako całości albo do wszystkich lub wybranych właściwości obiektu.

Modyfikowanie praw dysponentów

Dysponent to obiekt, któremu przyznano bezpośrednie prawa do innego obiektu w drzewie katalogu. Aby zmodyfikować listę dysponentów danego obiektu:

1 W widoku Role i zadania wybierz kolejno Prawa > Modyfikuj dysponentów.

2 Podaj nazwę obiektu, którego lista dysponentów ma zostać wyświetlona, lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Spowoduje to otwarcie listy dysponentów przypisanych aktualnie do obiektu.

3 Zmodyfikuj listę dysponentów zgodnie z potrzebami, a następnie kliknij przycisk OK.

Aby dodać dysponenta, kliknij przycisk Dodaj dysponenta.

Aby usunąć dysponenta, zaznacz odpowiadające mu pole wyboru i kliknij przycisk Usuń zaznaczone.

Aby zmodyfikować przypisanie praw dysponenta, wybierz łącze Przydzielone prawa dla tego dysponenta.

Prawa do innych obiektów

To zadanie umożliwia wyświetlanie i modyfikowanie listy obiektów, dla których obiekt jest dysponentem.

1 W widoku Role i zadania wybierz kolejno Prawa > Prawa do innych obiektów.

2 Na stronie Prawa do innych obiektów podaj wymagane informacje, a następnie kliknij przycisk OK.

W polu Nazwa dysponenta podaj nazwę obiektu.

W polu Kontekst do wyszukiwania określ kontekst, w jakim mają być wyszukiwane obiekty mające tego dysponenta.

Aby przeszukać wszystkie kontenery w określonym kontekście, zaznacz pole wyboru Przeszukaj całe drzewo podrzędne.

3 Zmodyfikuj listę obiektów zgodnie z potrzebami, a następnie kliknij przycisk OK.

Aby dodać bezpośrednie prawa do innego obiektu, kliknij przycisk Dodaj obiekt.

Aby usunąć bezpośrednie prawa do innego obiektu, zaznacz odpowiadające mu pole wyboru i kliknij przycisk Usuń zaznaczone.

Aby zmodyfikować bezpośrednie prawa przyznane obiektowi, wybierz łącze Przydzielone prawa dla tego obiektu.

Role i zadania 49

Wyświetlanie praw efektywnych

Prawa efektywne to kombinacja praw bezpośrednich i praw dziedziczonych, jakie ma obiekt w dowolnym punkcie drzewa katalogu. Aby wyświetlić efektywne prawa obiektu do innego obiektu:

1 W widoku Role i zadania wybierz kolejno Prawa > Wyświetl prawa efektywne.

2 Podaj nazwę dysponenta, którego prawa mają zostać wyświetlone, lub znajdź dysponenta przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 W polu Nazwa obiektu podaj nazwę obiektu, dla którego mają zostać obliczone prawa efektywne dysponenta.

Usługa eDirectory obliczy prawa efektywne i wyświetli je w polu Prawa efektywne.

4 Po zakończeniu kliknij przycisk Gotowe.

SchematSchemat katalogu definiuje typy obiektów, które można tworzyć w danym drzewie (takie jak Użytkownicy, Drukarki i Grupy) i określa, które informacje są wymagane, a które opcjonalne w chwili tworzenia obiektu. Program iManager umożliwia wykonywanie następujących zadań związanych ze schematami:

„Dodawanie atrybutu” na stronie 50

„Wyświetlanie informacji dotyczących atrybutów” na stronie 51

„Wyświetlanie informacji o klasie” na stronie 51

„Tworzenie atrybutu” na stronie 51

„Tworzenie klasy” na stronie 52

„Usuwanie atrybutu” na stronie 52

„Usuwanie klasy” na stronie 52

„Rozszerzanie schematu” na stronie 52

„Rozszerzanie obiektu” na stronie 52

Więcej informacji o schematach eDirectory zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Dodawanie atrybutu

Istnieje możliwość dodawania atrybutów opcjonalnych do istniejących klas, jeśli zmieni się struktura informacji używanych przez organizację, a także w czasie przygotowania do łączenia drzew. Aby dodać atrybut do istniejącej klasy:

UWAGA: Atrybuty obowiązkowe można definiować tylko w trakcie procesu tworzenia klasy. Atrybut obowiązkowy to taki, którego wartość musi zostać określona podczas tworzenia obiektu.

1 W widoku Role i zadania wybierz kolejno Schemat > Dodaj atrybut.

2 Wybierz klasę, do której ma zostać dodany atrybut, a następnie kliknij przycisk OK.

3 Wybierz atrybuty do dodania, a następnie kliknij przycisk OK.

50 Role i zadania



Wybierz żądane atrybuty z listy Dostępne atrybuty opcjonalne, a następnie kliknij strzałkę w prawo, aby dodać te atrybuty do listy Dodaj następujące atrybuty opcjonalne. Aby usunąć atrybuty z listy Dodaj następujące atrybuty opcjonalne, użyj strzałki w lewo.

Nowo utworzone obiekty należące do tej klasy będą zawierać właściwość, która została dodana. Aby ustawić wartości dodanych właściwości, użyj dla obiektu standardowej strony właściwości Inne.

Wyświetlanie informacji dotyczących atrybutów

Istnieje możliwość wyświetlenia szczegółów strukturalnych dotyczących atrybutu, takich jak składnia, flagi i klasy używające atrybutu. Aby wyświetlić informacje dotyczące atrybutu:

1 W widoku Role i zadania wybierz kolejno Schemat > Informacje dotyczące atrybutu.

2 Wybierz atrybut, którego informacje mają zostać wyświetlone, a następnie kliknij przycisk Widok.

W ramce zawartości zostaną wyświetlone informacje dotyczące wybranego atrybutu.

3 Po zakończeniu kliknij przycisk Zamknij.

Wyświetlanie informacji o klasie

Strona Informacje o klasie zawiera informacje dotyczące wybranej klasy i umożliwia dodawanie atrybutów. Jeśli podczas tworzenia klasy określono, że klasa będzie dziedziczyć atrybuty innej klasy, atrybuty dziedziczone są klasyfikowane w taki sam sposób, jak w klasie nadrzędnej. Jeśli na przykład klasa obiektu jest obowiązkowym atrybutem klasy nadrzędnej, atrybut ten jest wyświetlany jako atrybut obowiązkowy wybranej klasy.

Aby wyświetlić informacje o klasie:

1 W widoku Role i zadania wybierz kolejno Schemat > Informacje o klasie.

2 Wybierz klasę, której informacje mają zostać wyświetlone, a następnie kliknij przycisk Widok.

W Ramce zawartości zostaną wyświetlone informacje dotyczące wybranej klasy. Aby dodać atrybut do klasy, wybierz przycisk Dodaj nowy atrybut. Aby wyświetlić klasę nadrzędną tej klasy, kliknij przycisk Wyświetl klasę nadrzędną.

3 Po zakończeniu kliknij przycisk Zamknij.

Tworzenie atrybutu

Istnieje możliwość definiowania niestandardowych typów atrybutów i dodawania ich jako atrybutów opcjonalnych do istniejących klas obiektów. Nie można jednak dodawać atrybutów obowiązkowych do istniejących klas. Aby utworzyć atrybut:

1 W widoku Role i zadania wybierz kolejno Schemat > Utwórz atrybut.

2 Postępuj zgodnie z krokami Kreatora tworzenia atrybutów, aby ukończyć procedurę tworzenia atrybutu.

Role i zadania 51

Tworzenie klasy

Klasa pomocnicza to zbiór właściwości (atrybutów), które są dodawane do określonego obiektu zamiast do całej klasy obiektów. Aplikacja poczty elektronicznej może na przykład rozszerzyć schemat drzewa eDirectory tak, aby znalazła się w nim klasa pomocnicza Właściwości poczty e-mail, a następnie rozszerzyć odpowiednio poszczególne obiekty o te właściwości.

Za pomocą Menedżera schematu można definiować własne klasy pomocnicze. Następnie można rozszerzać poszczególne obiekty, dodając właściwości zdefiniowane w klasach pomocniczych. Aby utworzyć klasę pomocniczą:

1 W widoku Role i zadania wybierz kolejno Schemat > Utwórz klasę.

2 Postępuj zgodnie z krokami Kreatora tworzenia klasy, aby zdefiniować nową klasę.

Usuwanie atrybutu

Możliwe jest usuwanie nieużywanych atrybutów, które nie należą do podstawowego schematu drzewa eDirectory. Może to być pomocne po scaleniu dwóch drzew katalogu lub jeśli atrybut stał się z czasem przestarzały. Aby usunąć atrybut:

1 W widoku Role i zadania wybierz kolejno Schemat > Usuń atrybut.

2 Wybierz atrybut, który chcesz usunąć, a następnie kliknij przycisk Usuń.

Wyświetlane są tylko te atrybuty, które można usuwać.

Usuwanie klasy

Możliwe jest usuwanie nieużywanych klas, które nie należą do podstawowego schematu drzewa eDirectory. Program iManager nie zezwala na usuwanie klas aktualnie używanych w lokalnie replikowanych partycjach. Aby usunąć klasę:

1 W widoku Role i zadania wybierz kolejno Schemat > Usuń klasę.

2 Wybierz klasę, którą chcesz usunąć, a następnie kliknij przycisk Usuń.

Wyświetlane są jedynie te klasy, które można usunąć.

Rozszerzanie schematu

Schemat drzewa można rozszerzyć, tworząc nową klasę lub nowy atrybut. Do rozszerzenia schematu drzewa eDirectory wymagane są uprawnienia administratora/nadzorcy dla całego drzewa. Aby rozszerzyć schemat:

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerz schemat.

2 Postępuj zgodnie z instrukcjami Kreatora ICE, aby wykonać operację importu, eksportu, migracji danych lub aktualizacji i porównania schematu.

Rozszerzanie obiektu

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerzenia obiektu.

2 Określ nazwę i kontekst obiektu, który ma zostać rozszerzony, a następnie kliknij przycisk OK.

52 Role i zadania

3 Kliknij jedną z następujących opcji zależnie od tego, czy klasa pomocnicza, która ma zostać użyta, znajduje się na liście Bieżące rozszerzenia klasy pomocniczej:

Tak: Zakończenie tej procedury. Zobacz Modifying an Object’s Auxiliary Properties (Modyfikowanie właściwości pomocniczych obiektu) w dokumencie NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Nie: Kliknij przycisk Dodaj, wybierz klasę pomocniczą, a następnie kliknij przycisk OK.

4 Kliknij przycisk Zamknij.

Można też dodawać lub usuwać klasy pomocnicze wielu obiektów jednocześnie.

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerzenia obiektu.

2 Kliknij kartę Wybierz kilka obiektów.

2a Wybierz obiekty do rozszerzenia, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista rozszerzeń klas pomocniczych, które są wspólne dla wszystkich zaznaczonych obiektów.

2b Aby dodać klasę pomocniczą, kliknij przycisk Dodaj, wybierz odpowiednią klasę pomocniczą, a następnie kliknij przycisk OK.

2c Aby usunąć istniejącą klasę pomocniczą, zaznacz tę klasę, a następnie kliknij przycisk Usuń.

3 Kliknij przycisk Zamknij, aby zamknąć stronę.

użytkownicyZarządzanie użytkownikami i ich dostępem do sieci jest głównym celem katalogu. Program iManager umożliwia wykonywanie następujących zadań związanych z użytkownikami.

„Tworzenie użytkownika” na stronie 53

„Usuwanie użytkownika” na stronie 54

„Wyłączanie konta” na stronie 54

„Włączanie konta” na stronie 55

„Modyfikowanie użytkownika” na stronie 55

„Przenoszenie użytkownika” na stronie 55

„Zmiana nazwy użytkownika” na stronie 55

Więcej informacji na temat obiektów użytkowników w katalogu zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Tworzenie użytkownika

Aby utworzyć nowy obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownik > Utwórz użytkownika.

2 Na stronie Utwórz użytkownika podaj co najmniej wymagane informacje związane z użytkownikiem, a następnie kliknij przycisk OK.

Nazwa użytkownika

Nazwisko

Role i zadania 53





Kontekst

Hasło (dwukrotnie)

WAŻNE: Jeśli nie zostanie podane hasło, pojawi się monit o zezwolenie użytkownikowi na logowanie się bez użycia hasła (niezalecane) lub ustawienie wymagania hasła do zalogowania.

Zaznacz pole wyboru Ustaw hasło proste, aby zdefiniować hasło proste, które jest wymagane do dostępu do plików macierzystych przez użytkowników systemów Windows* i Macintosh*. Nie jest ono wymagane w przypadku włączenia hasła uniwersalnego.

Zaznacz pole wyboru Kopiuj z obiektu typu Szablon lub Użytkownik, aby utworzyć użytkownika na podstawie istniejącego obiektu użytkownika lub szablonu. Podczas kopiowania obiektu użytkownika program iManager umożliwia tworzenie wyłącznie kopii praw NDS nowego obiektu, a nie kopii praw NDS, aby uniemożliwić użytkownikom uzyskanie takich samych praw jak administrator.

Zaznacz pole wyboru Utwórz katalog domowy, aby określić lokalizację katalogu domowego użytkownika, tworzonego podczas tworzenia obiektu użytkownika. W przypadku podania nieistniejącej ścieżki zostanie wyświetlony komunikat z informacją, że katalog domowy użytkownika nie został utworzony.

Usuwanie użytkownika

Aby usunąć obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Usuwanie użytkownika.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu funkcji wyszukiwania, a następnie kliknij przycisk OK.

3 Kliknij przycisk Usuń.

Zostanie wyświetlone potwierdzenie informujące o usunięciu obiektu użytkownika.

Wyłączanie konta

Aby wyłączyć konto użytkownika, uniemożliwiając w ten sposób użytkownikowi uwierzytelnianie się w katalogu:

UWAGA: Wykonanie tego zadania uniemożliwia jedynie uwierzytelnianie użytkownika po wyłączeniu konta. Jeśli w momencie wyłączenia konta użytkownik jest zalogowany, będzie miał nadal dostęp do konta do momentu wylogowania się.

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Wyłącz konto.

2 Podaj nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Kliknij przycisk Wyłącz.

54 Role i zadania

Włączanie konta

Aby włączyć wcześniej wyłączone konto użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Włącz konto.


3 Kliknij przycisk Włącz.

Modyfikowanie użytkownika

Aby zmodyfikować właściwości istniejącego obiektu użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Modyfikuj użytkownika.


W ramce zawartości zostanie wyświetlona książka właściwości obiektu użytkownika.

3 Wprowadź zmiany, a następnie kliknij przycisk Zastosuj lub OK, aby je zapisać.

Przenoszenie użytkownika

Aby przenieść obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Przenieś użytkownika.

2 Podaj wymagane informacje, zgodnie z opisem w części „Przenoszenie obiektu” na stronie 42.

Zmiana nazwy użytkownika

Aby zmienić nazwę obiektu użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Zmień nazwę użytkownika.

2 Podaj wymagane informacje, zgodnie z opisem w części „Zmienianie nazwy obiektu” na stronie 42.

Role i zadania 55

6 6Konfigurowanie i dostosowywanie programu iManager

W tej części opisano różne funkcje konfiguracji programu NetIQ iManager. Konfigurację programu iManager przeprowadza się w widoku Konfiguruj. W tej części omówiono następujące zagadnienia:

„Usługi oparte na rolach” na stronie 57

„Konfiguracja usługi RBS” na stronie 61

„Raporty RBS” na stronie 71

„Serwer programu iManager” na stronie 75

„Lista tworzenia obiektów” na stronie 83

„Instalowanie modułów dodatków typu plug-in” na stronie 84

„Pobieranie i instalowanie modułów dodatków typu plug-in” na stronie 85

„Powiadomienie pocztą e-mail” na stronie 88

„Widoki” na stronie 89

WAŻNE: Korzystanie z usług opartych na rolach (RBS) jest opcjonalne, jednak zaleca się ich skonfigurowanie w celu zapewnienia optymalnego użytkowania programu iManager. Usługi RBS muszą zostać skonfigurowane w drzewie eDirectory, aby możliwe było korzystanie z programu Studio dodatków typu plug-in.

Do modyfikowania i usuwania obiektów usług RBS nie należy używać programu Novell ConsoleOne. Obiektami RBS należy zarządzać wyłącznie przy użyciu programu iManager.

W razie potrzeby można uniemożliwić dostęp do widoku Konfiguruj programu iManager użytkownikom niebędącym administratorami ani właścicielami kolekcji. Więcej informacji można znaleźć w następujących tematach:

Widoki programu iManager: „Widoki” na stronie 89.

Preferencje użytkownika: „Preferencje” na stronie 91

Użytkownicy autoryzowani: „Autoryzowani użytkownicy i grupy” na stronie 77.

Usługi oparte na rolachKorzystając z programu iManager, użytkownik może przypisywać użytkownikom określone zakresy odpowiedzialności i udostępniać im narzędzia (wraz z odpowiednimi prawami) niezbędne do wykonywania czynności w ramach tych zakresów odpowiedzialności. Technika ta stanowi istotę usług opartych na rolach (RBS).

Usługi oparte na rolach to zbiór rozszerzeń schematu eDirectory. Usługi RBS definiują kilka klas i atrybutów obiektów zapewniających administratorom mechanizm, za pomocą którego mogą przyznawać użytkownikom dostęp do zadań z zakresu zarządzania na podstawie ról poszczególnych użytkowników w organizacji. W ten sposób poszczególnym użytkownikom można przyznać dostęp tylko do tych zadań, które powinni wykonywać. Usługi RBS dają użytkownikom jedynie prawa wymagane do wykonywania przypisanych im zadań.

Konfigurowanie i dostosowywanie programu iManager 57

UWAGA: Usługi oparte na rolach (RBS) w programie NetIQ iManager przyznają prawa na podstawie listy kontroli dostępu usługi NetIQ eDirectory. Listy kontroli dostępu umożliwiają przyznawanie dysponentowi praw do konkretnego obiektu lub jego obiektów podrzędnych. Prawa list kontroli dostępu nie są przyznawane na podstawie typów poszczególnych obiektów. Każde zadanie programu NetIQ iManager definiuje odpowiadające mu typy obiektów i niezbędne listy kontroli dostępu. Te listy kontroli dostępu umożliwiają jednak użytkownikowi wykonywanie tych operacji z innymi typami obiektów za pośrednictwem interfejsów API usługi eDirectory lub innych narzędzi, takich jak Novell ConsoleOne lub NWAdmin.

Za pomocą usług RBS można utworzyć w organizacji określone role obejmujące zadania, które przypisany użytkownik może wykonywać w programie iManager, takie jak tworzenie nowego użytkownika czy zmiana hasła. Zadania są wstępnie przypisane do ról, ale można je zastąpić, przypisać ponownie lub usunąć.

Co więcej, użytkownicy są skojarzeni z rolami w określonym zakresie, będącym kontenerem w drzewie, w obrębie którego użytkownik ma uprawnienia do wykonywania zadania. Rola wymaga tego trzystopniowego skojarzenia roli, członków i zakresu, aby była kompletna.

Obiekt roli RBS tworzy skojarzenie między użytkownikami i zadaniami. Administrator przyznaje użytkownikowi dostęp do zadania, określając go jako członka roli, do której dane zadanie jest przypisane.

Użytkownika można przypisać do roli następującymi sposobami:

Bezpośrednio jako użytkownika

Za pomocą przypisań grup i grup dynamicznych

Jeśli użytkownik jest członkiem grupy lub grupy dynamicznej przypisanej do roli, ma on dostęp do tej roli.

Za pomocą przypisań ról organizacyjnych

Jeśli użytkownik pełni rolę organizacyjną, do której przypisano rolę, ma on dostęp do tej roli.

Za pomocą przypisania kontenera

Obiekt użytkownika ma dostęp do wszystkich ról, do których jest przypisany jego kontener nadrzędny. Może to również dotyczyć innych kontenerów nadrzędnych w drzewie.

Użytkownik może być kojarzony z rolą wiele razy — za każdym razem z uwzględnieniem innego zakresu.

Obiekty RBS w usłudze eDirectory

Poniższa tabela zawiera listę obiektów RBS. Po zainstalowaniu usług RBS program iManager rozszerza schemat eDirectory, aby uwzględnić te obiekty. Aby uzyskać więcej informacji, zobacz „Instalowanie usług RBS” na stronie 60.

58 Konfigurowanie i dostosowywanie programu iManager

Obiekt Opis

rbsCollection Obiekt kontenera, w którym znajdują się wszystkie obiekty roli i modułu RBS.

Obiekty rbsCollection są kontenerami najwyższego poziomu dla wszystkich obiektów RBS. Drzewo może zawierać dowolną liczbę obiektów rbsCollection. Obiekty te mają właścicieli, którymi są użytkownicy posiadający prawa do zarządzania daną kolekcją.

Obiekty rbsCollection można tworzyć w następujących kontenerach:

Kraj

Domena

Umiejscowienie

Organizacja

Jednostka organizacyjna

rbsRole Definiowanie ról obejmuje utworzenie obiektu rbsRole i określenie zadań możliwych do wykonania w ramach danej roli.

Obiekty rbsRole to obiekty kontenera, które można tworzyć tylko w kontenerze rbsCollection.

Członkami roli mogą być użytkownicy, grupy, organizacje, role organizacyjne lub jednostki organizacyjne. Członkowie są przypisywani do roli w określonym zakresie drzewa. Obiekty rbsTask i rbsBook są przypisywane do obiektów rbsRole.

rbsTask Obiekt liścia zawierający określoną funkcję (np. resetowanie haseł logowania).

Obiekty rbsTask znajdują się tylko w kontenerach rbsModule.

rbsBook (zwany inaczej książką właściwości)

Książka jest obiektem liścia służącym do wyświetlania grupy stron, które umożliwiają użytkownikowi przeglądanie i modyfikowanie właściwości obiektu lub zbioru obiektów tego samego typu. Każda strona książki zawiera kartę, której kliknięcie umożliwia wyświetlenie innej strony.

Obiekt książki znajduje się tylko w kontenerach rbsModule i może być przypisany do jednej lub wielu ról oraz do jednego lub wielu typów klas obiektów.

rbsScope Obiekt liścia używany w celu dokonywania przypisań listy kontroli dostępu (ACL) zamiast tworzenia przypisań dla każdego obiektu użytkownika. Obiekty rbsScope reprezentują kontekst w drzewie, w którym pełniona jest rola, i są skojarzone z obiektami rbsRole. Są one dziedziczone po klasie Grupa. Obiekty użytkownika są przypisywane do obiektu rbsScope. Obiekty te zawierają odwołania do zakresu drzewa, z którym są skojarzone.

Obiekty te są tworzone dynamicznie w razie potrzeby i automatycznie usuwane, kiedy nie są już potrzebne. Obiekty tego typu znajdują się tylko w kontenerach rbsRole.

OSTRZEŻENIE: Konfiguracji obiektu rbsScope nie należy nigdy zmieniać. Działanie takie może mieć poważne następstwa i doprowadzić nawet do awarii systemu.


Poniższy rysunek przedstawia rozmieszczenie obiektów RBS w drzewie eDirectory.

Rysunek 6-1 Usługi oparte na rolach w drzewie eDirectory

Instalowanie usług RBS

Usługi RBS są instalowane przy użyciu Kreatora konfiguracji programu iManager.

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Konfiguracja usług RBS.

2 Wybierz opcję Konfiguruj program iManager.

3 Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

rbsModule Reprezentuje obiekt kontenera zawierający obiekty rbsTask i rbsBook. Obiekty rbsModule zawierają atrybut nazwy modułu, który reprezentuje nazwę produktu definiującego zadania lub książki (na przykład eDirectory Maintenance Utilities, NMAS Management lub NetIQ Certificate Server Access).

Obiekty rbsModule można tworzyć tylko w kontenerach rbsCollection.

rbsCategory Kategoria grupuje role i zadania specyficzne dla określonej funkcji. W programie iManager dostępnych jest 14 kategorii domyślnych: Uwierzytelnianie i hasła, Współpraca, Katalog, Zarządzanie plikami, Identity Manager, Infrastruktura, Instaluj/Aktualizuj, Sieć, Novell Audit, Drukowanie, Zabezpieczenia, Serwery, Licencje na oprogramowanie i korzystanie z sieci oraz Użytkownicy i grupy.

Opcja wyboru Wszystkie kategorie służy do wyświetlania wszystkich dostępnych ról i zadań.

Możliwe jest również tworzenie nowych kategorii i przypisywanie do nich ról i zadań.

Obiekt Opis


Usuwanie usługi RBS

Jeśli usługi oparte na rolach nie są już potrzebne w drzewie, obiekt kolekcji RBS można bezpiecznie usunąć za pomocą programu iManager. Usunięcie kolekcji RBS powoduje również automatyczne wyczyszczenie wszystkich przypisań ról użytkowników i zakresów w drzewie. Nie należy usuwać kolekcji RBS przy użyciu innych narzędzi, takich jak program ConsoleOne.

Aby usunąć usługi oparte na rolach:


2 Wybierz kolekcję do usunięcia.

3 Kliknij przycisk Usuń.

Po usunięciu kolekcji RBS wszyscy użytkownicy logujący się do programu iManager będą nadal korzystali z trybu Przypisany dostęp, nawet jeśli w drzewie nie ma żadnego obiektu kolekcji RBS.

Aby przełączyć się z powrotem do trybu Bez ograniczeń (trybu domyślnego):

1 W widoku Konfiguruj wybierz kolejno Serwer programu iManager > Konfiguruj program iManager.

2 Wybierz kartę RBS.

3 W polu Lista drzew RBS wybierz odpowiednią nazwę drzewa, a następnie kliknij przycisk ze znakiem minus.

4 Kliknij przycisk Zapisz.

UWAGA: Gdy program iManager jest używany w trybie Bez ograniczeń, na stronie domowej tego programu jest zwykle widoczny następujący komunikat: Uwaga: Niektóre role i zadania są niedostępne.Kliknięcie przycisku Wyświetl szczegóły może w przypadku kilku zadań spowodować wyświetlenie komunikatu Brak obsługi przez bieżące procesy uwierzytelniające, nawet jeśli te zadania działają poprawnie. Ten komunikat wprowadza w błąd i dlatego jest usuwany przez program iManager po skonfigurowaniu usług RBS przez użytkownika.

Konfiguracja usługi RBSZadanie Konfiguracja usługi RBS zapewnia pełną kontrolę nad obiektami usługi RBS. Jest to centralne miejsce służące do zarządzania obiektami RBS i ich konfigurowania. Obiekty RBS można wyświetlać i modyfikować według typu. To zadanie dostarcza również użytecznych informacji o systemie usługi RBS, takich jak: liczba modułów w kolekcji, liczba zainstalowanych, liczba niezainstalowanych i liczba nieaktualnych modułów. Niektóre zadania można wykonywać jednocześnie na wielu obiektach. Na przykład można naraz przypisać wielu członków do roli lub cofnąć przypisanie wielu członków do roli.

W widoku Konfiguruj należy wybrać kolejno Usługi oparte na rolach > Konfiguracja usług RBS, aby otworzyć stronę Konfiguracja usług RBS w ramce zawartości.

Strona zawiera dwie karty:

Kolekcja programu iManager 2.x: Zawiera bieżące kolekcje RBS.

Kolekcje programu iManager 1.x: Zawiera starsze kolekcje RBS, które można usunąć lub poddać migracji do kolekcji programu iManager 2x. W przypadku wybrania opcji Migracja, kreator poprowadzi użytkownika przez kolejne kroki procesu migracji.


Program iManager wyświetla tylko te kolekcje, których właścicielem jest użytkownik, a dla każdej kolekcji wyświetla następujące informacje:

Moduł — wskazuje liczbę modułów znajdujących się na serwerze sieci Web, na którym użytkownik jest zalogowany.

Zainstalowano — wskazuje liczbę modułów, które są obecnie zainstalowane.

Nieaktualny — wskazuje liczbę nieaktualnych modułów, które są obecnie zainstalowane.

Niezainstalowany — wskazuje liczbę modułów, które są dostępne, ale nie są zainstalowane.

Aby pracować z konkretną kolekcją, należy wybrać ją z listy. Spowoduje to otwarcie widoku specyficznego dla kolekcji, takiego jak przedstawiony na: Rysunek 6-2.

Rysunek 6-2 Praca z kolekcjami RBS w programie iManager

Dalej w tej części opisano różne karty dostępne na stronie Kolekcja RBS, a także inne zadania związane z usługami RBS w kategorii Usługi oparte na rolach.

„Karta Rola” na stronie 62

„Karta Zadanie” na stronie 64

„Karta Książka właściwości.” na stronie 65

„Karta Moduł” na stronie 67

„Karta Kategoria” na stronie 68

„Studio dodatków typu plug-in” na stronie 68

„Edytowanie skojarzeń członków” na stronie 71

„Edytowanie kolekcji właścicieli” na stronie 71

Karta Rola

Karta Rola na stronie Kolekcja RBS umożliwia zarządzanie rolami RBS w kolekcji. Na karcie tej można wykonywać następujące czynności:

„Tworzenie nowej roli” na stronie 63

„Edytowanie roli” na stronie 63

„Usuwanie roli” na stronie 63

„Ustawianie skojarzenia członka” na stronie 63

„Przypisywanie kategorii” na stronie 64

„Dodawanie opisu do roli” na stronie 64


UWAGA: Aby wybrać rolę, należy zaznaczyć pole wyboru z lewej strony nazwy roli.

Tworzenie nowej roli

Aby utworzyć nową rolę w kolekcji:

1 Na karcie Rola wybierz kolejno Nowy > Rola programu iManager.

2 Wykonaj kroki Kreatora tworzenia roli iManager.

Kreator prowadzi użytkownika przez procesy nadawania nazwy roli, przypisywania zadań i kategorii do roli oraz przypisywania członków roli i zakresów do roli.

Edytowanie roli

Aby poddać edycji istniejącą rolę w kolekcji:

1 Na karcie Rola wybierz rolę, a następnie kliknij przycisk Edycja.

Zostanie wyświetlona lista zadań roli.

2 W zależności od potrzeb dodaj lub usuń zadanie z tej strony, a następnie kliknij przycisk OK.

Usuwanie roli

Aby usunąć rolę z kolekcji:

1 Na karcie Rola wybierz rolę, a następnie kliknij przycisk Usuń.

Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych ról. Czy chcesz kontynuować?

2 Kliknij przycisk OK, aby usunąć rolę.

Ustawianie skojarzenia członka

Aby dodać członka do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie wybierz kolejno Czynności > Skojarzenia członków.

2 Podaj wymagane informacje dotyczące członka, a następnie kliknij przycisk Dodaj.

Nazwa: Określ żądany obiekt, który ma zostać członkiem roli, lub znajdź go przy użyciu selektora obiektów.

Zakres: Określ kontener definiujący zakres, w którym ten członek może wykonywać rolę, lub znajdź kontener przy użyciu selektora obiektów.

3 Na liście członków określ sposób przypisywania do członka praw związanych z tą rolą, a następnie kliknij przycisk OK.

Przypisz prawa: Zleca usłudze eDirectory automatyczne przyznawanie praw członka niezbędnych do wykonywania przypisanej roli. Jeśli opcja ta nie zostanie zaznaczona, członkowi zostanie przypisana rola, ale może on nie mieć praw do wykonywania wszystkich zadań skojarzonych z tą rolą. Przypisania praw członka są obsługiwane osobno.

Z możliwością dziedziczenia: Wybierz opcję drzewo podrzędne, aby wskazać, że zakres członka obejmuje wszystkie kontenery podrzędne w określonym kontekście. Wybierz opcję obiekt podstawowy, aby wskazać, że członek może wykonywać rolę tylko w określonym kontenerze.


UWAGA: Jeśli użytkownik jest właścicielem kolekcji i ma ustawione skojarzenie członka, może zarządzać wszystkimi obiektami RBS w zdefiniowanym zakresie. Listę obiektów RBS w katalogu eDirectory wraz z ich opisami zawiera „Obiekty RBS w usłudze eDirectory” na stronie 58.

Przypisywanie kategorii

Aby dodać przypisanie kategorii do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie wybierz kolejno Czynności > Przypisanie kategorii.

Zostanie wyświetlona strona Przypisanie kategorii.

2 Wybierz kategorię, a następnie kliknij strzałkę w prawo, aby przypisać ją do roli.


Dodawanie opisu do roli

Aby dodać opis do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie kliknij kolejno Czynności > Opis.

2 Podaj opis w polu tekstowym, a następnie kliknij przycisk OK.

Karta Zadanie

Zadanie jest dodatkiem typu plug-in, służącym do wykonywania odrębnej funkcji zarządzania, na przykład tworzenia użytkownika lub ustawiania hasła. Program iManager wyświetla zadania według grup w obszarze nawigacyjnym w lewej części okna.

Karta Zadanie na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Tworzenie nowego zadania” na stronie 64

„Usuwanie zadania” na stronie 64

„Edytowanie przypisania roli zadania” na stronie 65

„Dodawanie opisu do zadania” na stronie 65

Tworzenie nowego zadania

Aby utworzyć nowe zadanie:

1 Na karcie Zadanie wybierz kolejno Nowy > Zadanie programu iManager.

2 Wykonaj kroki kreatora Utwórz zadanie programu iManager.

Kreator prowadzi użytkownika przez proces podawania wymaganych szczegółów dotyczących tworzonego zadania.

Aby uzyskać informacje na temat tworzenia zadań w programie Studio dodatków typu plug-in, patrz „Tworzenie nowego zadania w programie Studio dodatków typu plug-in” na stronie 69.

Usuwanie zadania

Aby usunąć istniejące zadanie:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz przycisk Usuń.


Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych zadań. Czy chcesz kontynuować?


Edytowanie przypisania roli zadania

Aby poddać edycji listę ról, do których zadanie jest przypisane:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz kolejno Czynności > Przydział roli.

2 Na stronie Edytuj przypisanie roli dodaj lub usuń role z pola Przypisane role, a następnie kliknij przyciskOK.

Dodawanie opisu do zadania

Aby dodać opis do istniejącego zadania:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis w polu tekstowym, a następnie kliknij przycisk OK.

Karta Książka właściwości.

W książce właściwości są wyświetlane atrybuty określonego typu obiektu, które użytkownik może modyfikować. Są to właściwości obiektu lub zbioru obiektów tego samego typu.

Książki właściwości mogą być przypisywane do ról i wyświetlane na liście zadań dla roli. Na przykład książka właściwości służąca do modyfikowania atrybutów obiektu użytkownika może zawierać stronę pozwalającą na określenie skryptu logowania użytkownika. Inna strona tej książki może umożliwiać zmianę adresu e-mail i numeru telefonu użytkownika.

Strony książki właściwości są podobne do zadań. Jednakże są przeznaczone do wyświetlania i modyfikowania atrybutów w pojedynczym widoku. Aby wykonywać te operacje w bardziej złożonym, podobnym do kreatora interfejsie użytkownika, należy utworzyć zadanie.

Karta Książka właściwości na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Tworzenie nowej książki właściwości” na stronie 65

„Usuwanie książki właściwości” na stronie 66

„Edytowanie przypisania roli w książce właściwości” na stronie 66

„Modyfikowanie listy stron książki właściwości” na stronie 66

„Modyfikowanie przypisania typu obiektu książki właściwości” na stronie 66

„Dodawanie lub modyfikowanie opisu książki właściwości” na stronie 66

„Definiowanie/modyfikowanie preferowanej metody wybierania obiektów dla zadania w książce właściwości” na stronie 67

Tworzenie nowej książki właściwości

Aby utworzyć nową książkę właściwości:

1 Na karcie Książka właściwości wybierz przycisk Nowy.

2 Wykonaj kroki kreatora Utwórz książkę właściwości.


Kreator prowadzi użytkownika przez proces podawania wymaganych szczegółów dotyczących tworzonej książki właściwości.

WAŻNE: Niektóre znaki mają w programie iManager znaczenie specjalne i dlatego należy wpisywać je razem z ukośnikiem odwrotnym (\): Aby uzyskać więcej informacji, zobacz „Znaki specjalne” na stronie 24.

Usuwanie książki właściwości

Aby usunąć książkę właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz przycisk Usuń.

Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych książek właściwości. Czy chcesz kontynuować?


Edytowanie przypisania roli w książce właściwości

Aby zmodyfikować listę ról, do których książka właściwości jest przypisana:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Przydział roli.

2 Na stronie Edytuj przypisanie roli dodaj lub usuń role z pola Przypisane role, a następnie kliknij przyciskOK.

Modyfikowanie listy stron książki właściwości

Aby zmodyfikować strony atrybutów skojarzone z książką właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Lista stron.

2 Na stronie Edytuj listę stron dodaj lub usuń role w polu Przypisane strony. Aby zmienić kolejność stron, zaznacz stronę i kliknij przycisk Przenieś w górę lub Przenieś > w dół.

Modyfikowanie przypisania typu obiektu książki właściwości

Aby zmodyfikować listę typów obiektów skojarzonych z książką właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Rodzaj obiektu.

2 Na stronie Edytuj typ obiektu dodaj lub usuń role z pola Przypisane typy obiektów, a następnie kliknij przyciskOK.

Dodawanie lub modyfikowanie opisu książki właściwości

Aby dodać lub zmodyfikować opis w istniejącym zadaniu:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno Czynności > Opis.

2 Podaj lub zmień opis w polu tekstowym, a następnie kliknij przycisk OK.


Definiowanie/modyfikowanie preferowanej metody wybierania obiektów dla zadania w książce właściwości

Aby zdefiniować lub zmodyfikować preferowaną metodę wybierania obiektów dla istniejącego zadania:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Tryb wybierania obiektów docelowych.

2 Z listy Tryb wybierz odpowiedni tryb — Pojedynczy, Wielokrotny, Prosta lub Zaawansowane — a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat o pomyślnej zmianie. Kliknij przycisk OK.

UWAGA: Aby zmiany modułu Podstawowa zawartość programu iManager zostały uwzględnione, należy uruchomić ponownie serwer Tomcat.

Karta Moduł

Na stronie Moduł jest wyświetlana lista modułów RBS zainstalowanych obecnie w wybranej kolekcji. Każdy moduł zawiera książki właściwości i zadania RBS. Na stronie tej można dodawać (w celu tworzenia niestandardowych książek właściwości) i usuwać moduły, a także można wpisywać opis wybranego modułu dodatków typu plug-in.

Karta Moduł na stronie kolekcja RBS umożliwia wykonywanie następujących operacji:

„Dodawanie nowego modułu dodatków typu plug-in” na stronie 67

„Usuwanie modułu RBS” na stronie 67

„Dodawanie opisu” na stronie 67

Dodawanie nowego modułu dodatków typu plug-in

Aby dodać nowy moduł dodatków typu plug-in:

1 Na karcie Moduł wybierz przycisk Nowy.

2 Podaj nazwę i kontekst docelowy modułu RBS, a następnie kliknij przycisk OK.

Program iManager wyświetli komunikat informujący o dodaniu modułu.

Usuwanie modułu RBS

Aby usunąć istniejący moduł dodatków typu plug-in:

1 Na karcie Moduł wybierz moduł do usunięcia, a następnie wybierz przycisk Usuń.

2 Kliknij przycisk OK, aby potwierdzić usunięcie modułu.

Dodawanie opisu

Aby dodać opis do istniejącego modułu dodatków typu plug-in:

1 Na karcie Moduł wybierz moduł, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis modułu, a następnie kliknij przycisk OK.


Karta Kategoria

Na karcie Kategoria są pogrupowane powiązane role i zadania. Karta Kategoria na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Dodawanie nowej kategorii” na stronie 68

„Usuwanie kategorii” na stronie 68

„Dodawanie opisu” na stronie 68

Dodawanie nowej kategorii

Aby dodać opis do istniejącego modułu dodatków typu plug-in:

1 Na karcie Kategoria wybierz przycisk Nowy.

Spowoduje to uruchomienie Kreatora tworzenia kategorii.

2 Podaj nazwę i opis (opcjonalnie) kategorii, a następnie kliknij przycisk Dalej.

3 Wybierz role, które mają zostać skojarzone z nową kategorią, a następnie kliknij przycisk Dalej.

4 Przejrzyj podsumowanie nowej kategorii, a następnie kliknij przycisk Zakończ.

Usuwanie kategorii

Aby usunąć istniejącą kategorię:

1 Na karcie Kategoria wybierz kategorię do usunięcia, a następnie kliknij przycisk Usuń.

2 Kliknij przycisk OK, aby potwierdzić usunięcie kategorii.

Dodawanie opisu

Aby dodać lub zmodyfikować opis istniejącej kategorii:

1 Na karcie Kategoria wybierz kategorię, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis kategorii, a następnie kliknij przycisk OK.

Studio dodatków typu plug-in

Studio dodatków typu plug-in oferuje szybki i prosty sposób usprawnienia obsługi zadań wykonywanych kilka razy dziennie. Za pomocą Studia dodatków plug-in można dynamicznie tworzyć zadania dla najczęściej wykonywanych operacji. Można w nim również tworzyć, edytować i usuwać zadania.

Na przykład aby zmodyfikować użytkownika, można — zamiast wybierać polecenie Modyfikuj obiekt — utworzyć dynamiczny interfejs użytkownika, aby edytować tylko wybrane atrybuty, takie jak imię lub tytuł. Dane są przechowywane w katalogu TOMCAT_HOME/webapps/nps/portal/modules/custom.

UWAGA: Firma NetIQ zaleca, aby podczas używania Studia dodatków plug-in nie uruchamiać wielu serwerów programu iManager przy użyciu tych samych usług opartych na rolach. Studio dodatków plug-in nie aktualizuje poprawnie dodatków typu plug-in w usłudze eDirectory.


Za pomocą programu Studio dodatków typu plug-in można wykonywać następujące operacje:

„Tworzenie nowego zadania w programie Studio dodatków typu plug-in” na stronie 69

„Edytowanie zadania” na stronie 70

„Usuwanie zadania” na stronie 70

„Kopiowanie zadań niestandardowych” na stronie 70

„Eksportowanie zadań niestandardowych” na stronie 70

„Importowanie zadań niestandardowych” na stronie 70

Tworzenie nowego zadania w programie Studio dodatków typu plug-in

Aby utworzyć nowe zadanie za pomocą programu Studio dodatków typu plug-in:

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Studio dodatków typu plug-in.

2 Wybierz przycisk Nowy.

Zostanie wyświetlony kreator zadań, który pomaga utworzyć niestandardowe zadania i strony właściwości.

3 Określ typ obiektu i informacje o platformie, a następnie kliknij przycisk Dalej.

Dostępne klasy: Określ klasę obiektu skojarzoną z nowym zadaniem.

Urządzenie docelowe: Określ platformę, na której jest używane zadanie. Zazwyczaj wybór domyślny (opcja Domyślny) działa poprawnie.

Typ dodatku plug-in: Określ typ tworzonego zadania.

Dodaj klasy pomocnicze: Wybierz tę opcję, aby dodać obsługę klas pomocniczych do zadania.

4 Na ekranie Pola dodatku typu plug-in podaj wymagane informacje, a następnie kliknij przycisk Instaluj.

Po kliknięciu przycisku Instaluj program iManager dynamicznie utworzy plik XML, plik JSP i pliki Java, służące do wykonywania zadania, a następnie zainstaluje te pliki w systemie.

Atrybuty: Z listy dostępnych atrybutów wybierz atrybut, który ma zostać skojarzony z zadaniem.

Kliknij atrybut dwukrotnie, aby przenieść go do pola Pola dodatku typu plug-in, używając formantu domyślnego.

Przyciski: Wyświetla wszystkie dostępne formanty dla atrybutu wybranego w polu Atrybuty.

Kliknij formant dwukrotnie, aby przenieść bieżący atrybut do pola Pola dodatku typu plug-in, używając wybranego formantu.

Pola dodatku typu plug-in: Zawiera każdy atrybut/formant skojarzony aktualnie z zadaniem. Za pomocą tego pola można usuwać atrybuty z zadania, zmieniać formanty skojarzone z atrybutem oraz modyfikować właściwości formantu dla atrybutu.

Właściwości dodatku typu plug-in: Umożliwia określenie identyfikatora dodatku typu plug-in, przypisanie zadania do kolekcji RBS oraz przypisanie zadania do roli. Przypisana rola określa miejsce wyświetlania tego zadania w ramce nawigacyjnej widoku Role i zadania.


Edytowanie zadania

Aby poddać edycji istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz zadanie, a następnie kliknij przycisk Edycja.

3 Zmodyfikuj ustawienia opisane w części„Tworzenie nowego zadania” na stronie 64, a następnie kliknij przycisk Instaluj.

Program iManager wyświetli komunikat potwierdzenia informujący o pomyślnym utworzeniu i zainstalowaniu dodatku typu plug-in.

Usuwanie zadania

Aby usunąć istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz dodatek z listy zainstalowanych niestandardowych dodatków typu plug-in, a następnie kliknij przycisk Usuń.

Zostanie wyświetlony komunikat: Czy na pewno chcesz usunąć ten dodatek?

3 Kliknij przycisk OK, aby usunąć dodatek typu plug-in.

Program iManager wyświetli komunikat potwierdzenia informujący o pomyślnym usunięciu dodatku typu plug-in.

Kopiowanie zadań niestandardowych

Aby skopiować istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz dodatek z listy zainstalowanych niestandardowych dodatków typu plug-in, a następnie kliknij kolejno Czynności > Kopiuj.

3 Podaj nazwę kopiowanego dodatku typu plug-in, a następnie kliknij przycisk OK.

Eksportowanie zadań niestandardowych

To zadanie służy do eksportowania swoich zadań niestandardowych, aby umożliwić ich wdrażanie na innych serwerach iManager.


2 Wybierz niestandardowy dodatek typu plug-in do wyeksportowania, a następnie kliknij kolejno Czynności > Eksportuj.

Importowanie zadań niestandardowych

To zadanie służy do wdrażania wyeksportowanych zadań niestandardowych na wielu serwerach programu iManager.


2 Wybierz kolejno Czynności > Importuj.


3 Określ kolekcję RBS, do której mają zostać zaimportowanie niestandardowe dodatki typu plug-in, lub znajdź ją przy użyciu selektora obiektów.

4 Określ lub wyszukaj za pomocą funkcji przeglądania wcześniej wyeksportowany plik modułu NPM.

5 Kliknij przycisk Importuj.

Edytowanie skojarzeń członków

Istnieją dwie metody kojarzenia członków z rolami:

Wybór członka, a następnie skojarzenie go z rolą w zakresie, zgodnie z opisem w rozdziale „Ustawianie skojarzenia członka” na stronie 63.

Wybór roli, a następnie skojarzenie z nią członków i zakresu, zgodnie z opisem poniżej.

Aby przypisać istniejącą rolę do wybranego zadania:

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Edytuj skojarzenie członka.

2 Określ członka lub znajdź go za pomocą selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista ról, do których jest przypisany ten członek.

3 Określ rolę i zakres roli, jakie mają zostać dodane do tego członka, a następnie kliknij przycisk OK.

Dane te zostaną zapisane w katalogu eDirectory. Po zalogowaniu się nowo przypisana rola będzie wyświetlana w lewej kolumnie członka będącego właścicielem tej roli.

Edytowanie kolekcji właścicieli

To zadanie służy do zmiany właściciela przypisanego do kolekcji.

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Edytuj kolekcje właściciela.

2 Określ właściciela kolekcji lub znajdź go za pomocą selektora obiektów, a następnie kliknij przycisk OK.

3 Dodaj lub usuń kolekcje, których ta osoba może być właścicielem, a następnie kliknij przycisk OK.

Raporty RBSFunkcja raportów RBS umożliwia generowanie i konfigurowanie raportów dotyczących obiektów RBS w katalogu. Raporty są tworzone w postaci wykresów, przy czym można je eksportować do innych formatów i drukować. Funkcja raportów RBS umożliwia generowanie następujących raportów:

Przypisania ról Nieprzypisane zadania

Przypisania zadań roli Nieprzypisane kategorie

Przypisania roli użytkowników Niestandardowe role

Przypisania zadań użytkowników Niestandardowe zadania

Przypisania praw do roli Niestandardowe kategorie

Nieprzypisane role Kolekcje


Tworzenie raportów

Aby utworzyć raport RBS:

1 W widoku Konfiguruj wybierz opcję Raporty RBS.

Każdy typ raportu jest implementowany jako zadanie.

2 Wybierz żądany raport, podaj wymagane informacje, a następnie kliknij przycisk OK.

Przed utworzeniem każdego raportu wymagane jest podanie określonych informacji, na przykład ról, dla których ma zostać utworzona lista przypisanych członków.

Rysunek 6-3 Widok Konfiguruj programu iManager zawierający zadanie Przypisania ról

Korzystanie z raportów

Zadania raportów RBS umożliwiają generowanie raportów, które można sortować, drukować i eksportować. Na poniższej ilustracji widoczny jest przykładowy raport programu iManager.

Rysunek 6-4 Członkowie przypisani do roli


Sortowanie raportów

Elementy listy w raporcie są domyślnie sortowane alfabetycznie według pierwszej kolumny w kolejności rosnącej. Aby wskazać kolumnę stanowiącą podstawę sortowania elementów, w programie iManager przy nazwie takiej kolumny jest wyświetlana mała ikona, która wskazuje również porządek sortowania. Aby zmienić kolumnę, według której sortowane są elementy, należy kliknąć nazwę odpowiedniej kolumny. Aby zmienić porządek sortowania, należy kliknąć nazwę kolumny, według której aktualnie posortowane są elementy.

Drukowanie raportów

Raporty RBS można łatwo drukować, klikając przycisk Drukuj. W przeglądarce zostanie wówczas wyświetlone okno dialogowe funkcji drukowania, w którym można wybrać drukarkę i inne opcje wydruku. Funkcja ta pozwala wydrukować jedynie ramkę zawierającą raport, przy czym wydrukowany raport będzie wyglądać identycznie jak raport wyświetlany w ramce, więc przed kliknięciem przycisku Drukuj należy upewnić się, że elementy zostały posortowane w odpowiedniej kolejności.

Eksportowanie raportów

Dane raportu można wyeksportować do pliku w formacie XML, CSV lub jako zwykły tekst, co umożliwia korzystanie z nich w innych aplikacjach, takich jak arkusze kalkulacyjne i bazy danych. Pliki eksportu zawierają jedynie dane i metadane niezbędne do opisania kolumn raportu. Inne informacje, takie jak tytuł raportu i data, nie są eksportowane. Porządek sortowania wyeksportowanych elementów raportu jest taki sam jak bieżący porządek sortowania elementów na ekranie.

1 Kliknij przycisk Eksportuj.

2 W oknie Eksport raportu RBS wybierz format eksportowanych danych, a następnie kliknij przycisk Eksportuj.

3 Gdy w przeglądarce pojawi się monit o otwarcie lub zapisanie pliku wygenerowanego przez program iManager, wybierz preferowaną opcję i wykonaj operacje, jakich wymaga przeglądarka.

Poniżej podano przykłady plików w formacie XML, CSV i zwykłego tekstu, które zostały utworzone w wyniku eksportu tego samego raportu RBS:

Plik w formacie XML:

<?xml version="1.0"?> <rbs-report> <rbs-report-header> <user>admin.novell</user> <report-time>Thursday, June 26, 2008 (10:33:17 AM IST)</report-time> <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container</selected-member-types> <dynamic-group> <search-enabled>yes</search-enabled> <role-search>parent sub-directory (novell)</role-search> <search-for>Dynamic Group Objects</search-for> </dynamic-group> <container-role-search>up to parent (novell)</container-role-search> </rbs-report-header> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-


object> <member-type>User</member-type> <member-object>admin.novell</member-object> <scope>.MY_TREE.</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>jdoe.novell</member-object> <scope>novell</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> </rbs-report>

Plik w formacie CSV:

RBS Report Query SettingsUser:,"admin.novell"Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)"Types:,"User, Group, Dynamic Group, Organizational Role, Container"Dynamic Group Search Settings:,Search Enabled:,"yes"Role Search:,"parent sub-directory (novell)"Role Search:,"Dynamic Group Objects"Container Role Search:,"up to parent (novell)"

Raport RBS: Przypisania roli użytkowników

User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit",admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Server Management","Novell Certificate Server


Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",

Zwykły tekst:

RBS Report Query SettingsUser: admin.novellDate: Thursday, June 26, 2008 (10:33:17 AM IST)Types: User, Group, Dynamic Group, Organizational Role, Container-------------------------------------------------Dynamic Group Search Settings: Search Enabled: yesRole Search: parent sub-directory (novell)Role Search: Dynamic Group ObjectsContainer Role Search: up to parent (novell)-------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true-------------------------------------------------

Serwer programu iManagerZadanie to jest widoczne tylko dla autoryzowanych użytkowników. Zobacz „Autoryzowani użytkownicy i grupy” na stronie 77. Ten temat zawiera następujące informacje:

„Konfigurowanie programu iManager” na stronie 76

„Zabezpieczenia” na stronie 76

„Wygląd i działanie” na stronie 77

„Zdarzenia zapisu dziennika” na stronie 78

„Uwierzytelnianie” na stronie 79

„RBS” na stronie 80

„Pobieranie dodatków typu plug-in” na stronie 81


„Różne” na stronie 82

„Certyfikat” na stronie 82

Konfigurowanie programu iManager

Plik config.xml zawiera trzy ustawienia umożliwiające konfigurowanie zabezpieczeń i certyfikatów używanych podczas tworzenia połączeń LDAP SSL w programie iManager:

Security.Keystore.AutoUpdate: Jeśli ustawienie AutoUpdate będzie miało wartość True i użytkownik pomyślne zaloguje się do programu iManager, certyfikat z tego serwera eDirectory może zostać zaimportowany automatycznie do magazynu kluczy programu iManager. Należy wybrać ustawienie Automatycznie importuj certyfikat drzewa dla bezpiecznego połączenia LDAP (Konfiguruj program iManager > Zabezpieczenia).

Security.Keystore.UpdateAllowAll: Jeśli ustawienie Security.Keystore.UpdateAllowAll będzie miało wartość True, certyfikat zostanie zaimportowany do magazynu kluczy programu iManager lub zaktualizowany po każdej pomyślnej operacji zalogowania dowolnego użytkownika. Jeśli to ustawienie będzie miało wartość false, operacje importu lub aktualizacji certyfikatów będą wykonywane tylko po zalogowaniu się autoryzowanego użytkownika.

Security.Keystore.Priority: Wartość ustawienia Priority składa się z dwóch słów, które określają porządek wyszukiwania certyfikatów w czasie połączenia: system oraz imanager. system oznacza, że po utworzeniu kontekstu SSL certyfikaty należy lokalizować przy użyciu domyślnego magazynu kluczy maszyny JVM*. W przypadku niepowodzenia wyszukiwanie będzie kontynuowane w magazynie kluczy programu iManager.

Porządek wyszukiwania można zmienić, usuwając z wartości ustawienia słowo system lub iManager.

Aby zwiększyć poziom zabezpieczeń, należy wyłączyć ustawienie AutoUpdate i korzystać jedynie z systemowego magazynu kluczy. W takim przypadku należy ręcznie zaimportować odpowiednie certyfikaty do domyślnego systemowego magazynu kluczy przy użyciu narzędzi dostarczanych z oprogramowaniem Java. Jeśli ustawienie UpdateAllowAll zostanie wyłączone, certyfikaty będą importowane tylko w wyniku pomyślnego zalogowania się autoryzowanego użytkownika w programie iManager.

Zabezpieczenia

Podane ustawienia mają wpływ na konfigurację całego serwera sieci Web i są zapisywane w pliku config.xml. Ustawienia można zapisywać w miarę ich wprowadzania lub po wprowadzeniu wszystkich zmian (klikając przycisk Zapisz).

Ostrzegaj o niezabezpieczonych połączeniach

Tę opcję należy wybrać, jeśli użytkownicy korzystający z niezabezpieczonego połączenia między przeglądarką internetową a serwerem sieci Web mają otrzymywać następujące ostrzeżenie: Używasz niezabezpieczonego połączenia.

Automatycznie importuj certyfikat drzewa dla bezpiecznego połączenia LDAP

Bezpieczne połączenia LDAP wymagają certyfikatu. Po wybraniu tej funkcji system będzie automatycznie importować publiczny certyfikat drzewa dla bezpiecznego protokołu LDAP.


Autoryzowani użytkownicy i grupy

Gdy użytkownik lub grupa są autoryzowane, oznacza to, że program iManager zezwala na wykonywanie różnych zadań administracyjnych temu użytkownikowi lub tej grupie. Dane użytkowników autoryzowanych są zapisywane w pliku TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties. Ten plik jest tworzony w trakcie procesu instalacji programu iManager tylko w przypadku, gdy zostaną podane informacje o użytkownikach i grupach autoryzowanych. Jego utworzenie nie jest jednak wymagane. Jeśli nie zostaną podane wymagane informacje, program iManager zezwala wszystkim użytkownikom na instalowanie dodatków typu plug-in programu iManager i modyfikowanie ustawień serwera programu iManager (nie jest to zalecane na dłuższą metę).

W przypadku dodania grupy lub roli organizacyjnej do tej listy wszyscy członkowie tej grupy lub roli organizacyjnej stają się autoryzowanymi użytkownikami. Dodawanie grupy zagnieżdżonej jest obsługiwane tylko dla pierwszego poziomu członków. Dodawanie grupy dynamicznej nie jest obsługiwane, ponieważ jej członkami mogą być obiekty dowolnych typów.

Po zainstalowaniu programu iManager można dodawać autoryzowane elementy — użytkowników, grupy i role organizacyjne — określając je albo używając ikony selektora obiektu obok listy Autoryzowani użytkownicy i grupy. Spowoduje to zmodyfikowanie pliku configiman.properties.

Aby wyznaczyć wszystkich użytkowników drzewa jako autoryzowanych, należy wpisać AllUsers.

UWAGA: Do listy Autoryzowani użytkownicy i grupy można dodawać i zapisywać na niej tylko prawidłowych użytkowników. Jeśli do listy zostaną dodani nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie z informacją, że nie można odnaleźć obiektu. Jeśli do listy zostaną dodani tylko nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie, a lista nieprawidłowych użytkowników zostanie automatycznie zastąpiona wpisem AllUsers. Jeśli nie wszyscy użytkownicy drzewa mają być autoryzowani, należy usunąć wpis AllUsers z listy, a następnie dodać do niej żądanych prawidłowych użytkowników i kliknąć przycisk Zapisz.

WAŻNE: Po zainstalowaniu programu iManager po raz pierwszy lista Autoryzowani użytkownicy i grupy jest pusta. Użytkownik administracyjny musi niezwłocznie dodać użytkowników i grupy do listy, aby je autoryzować i zachować prawa do modyfikowania tej listy. W przeciwnym razie prawa do modyfikowania tej listy może uzyskać użytkownik nieadministracyjny, dodając do niej użytkowników i grupy. Użytkownik będący administratorem może utracić te prawa.

Informacje związane z zabezpieczeniami dotyczące pliku configiman.properties można znaleźć w części „Autoryzowani użytkownicy i autoryzowane grupy programu iManager” na stronie 127.

Włączanie programu NetIQ Audit

Należy się upewnić, że zostały spełnione wymagania wstępne programu Audit. Należy zaznaczyć opcję Włącz program NetIQ Audit i wybrać odpowiednie zdarzenia zapisu dziennika programu iManager, a następnie kliknąć przycisk Zapisz.

Wygląd i działanie

Karta Wygląd i działanie umożliwia dostosowywanie wyglądu interfejsu programu iManager. Informacje te są przechowywane w pliku TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.


Nazwa tytułu

W tym polu tekstowym należy podać nazwę organizacji. Będzie ona wyświetlana na pasku tytułu przeglądarki internetowej zamiast tekstu domyślnego (NetIQ iManager).

Kolor paska tytułu

Kolor paska tytułu można dostosować:

Kolor tytułu: Umożliwia wybranie koloru, w którym nazwa organizacji będzie wyświetlana na pasku tytułu.

Kolor lewy: Umożliwia wybranie koloru lewego panelu paska tytułu.

Kolor prawy: Umożliwia wybranie koloru prawego panelu paska tytułu.

Kolor można wybrać, wpisując wartości szesnastkowe w polu tekstowym. Wielkość liter nie jest w tym przypadku uwzględniana.

Lokalizacja obrazu logo

Pasek tytułu może również zawierać logo organizacji. Własne logo muszą być zgodne w wymiarami podanymi w interfejsie.

Obrazy logo należy przechowywać w położeniu /portal/modules/fw/images. Ścieżkę do każdego z obrazów należy wprowadzić w odpowiadającym mu polu.

Domyślnie logo nie jest wyświetlane w nagłówku. Zaznacz pole wyboru Wyświetlanie logo w nagłówku jest opcjonalne. Usuń zaznaczenie pola, aby ukryć obraz, aby wyświetlić logo w nagłówku.

Kliknij przycisk Resetuj, aby przywrócić domyślne kolory i obrazy.

Kliknij przycisk Zapisz, aby zapisać ustawienia. Wszystkie zmiany można obejrzeć na podglądzie w sekcji Podgląd.

Zdarzenia zapisu dziennika

Karta Zdarzenia zapisu dziennika umożliwia konfigurowanie środowiska zapisu dziennika programu iManager. Dostępne są dwa ustawienia zapisu dziennika:

Poziom zapisu do dziennika: Można wybrać jedną z czterech opcji odpowiadających typom komunikatów, które mają być zapisywane w dzienniku: Bez zapisu dziennika, Błędy, Błędy i ostrzeżenia oraz Błędy, ostrzeżenia i komunikaty informacyjne debugowania.

UWAGA: Opcje Wyświetl dziennik debugowania oraz Wyczyść dziennik debugowania będą widoczne w nagłówku programu iManager, jeśli opcja Poziom zapisu dziennika jest ustawiona na Błędy, ostrzeżenia i komunikaty informacyjne debugowania.

Należy wybrać opcje wyprowadzania danych zapisu dziennika.

Dane zapisywane w dzienniku: Można wybrać jedną z trzech opcji miejsca docelowego komunikatów zapisywanych w dzienniku: Wyślij dane wyjściowe zapisu dziennika do standardowego urządzenia błędów, Wyślij dane wyjściowe zapisu dziennika do standardowego urządzenia wyjściowego lub Wyślij dane wyjściowe zapisu dziennika do pliku Debug.html.


Na tej stronie wyświetlana jest ścieżka do pliku dziennika oraz jego rozmiar. Aby wyświetlić bieżący plik dziennika w formacie HTML, należy kliknąć przycisk Widok. Aby wyczyścić bieżący plik dziennika i zresetować rozmiar pliku dziennika do 0 (zera) bajtów, należy kliknąć przycisk Wyczyść.

Uwierzytelnianie

Karta Uwierzytelnienie służy do konfigurowania strony logowania programu iManager. Zawiera ona następujące opcje:

Zapamiętaj informacje logowania: Po zaznaczeniu tej opcji użytkownicy będą musieli wprowadzać jedynie hasło, aby się zalogować.

Używaj bezpiecznego protokołu LDAP przy połączeniach automatycznych: Po zaznaczeniu tej opcji program iManager będzie przeprowadzać komunikacje LDAP przy użyciu protokołu SSL. Niektóre dodatki typu plug-in — na przykład Grupy dynamiczne i NMAS — nie działają, gdy ta opcja nie jest zaznaczona. Ustawienie to nie będzie uwzględniane, dopóki użytkownik nie wyloguje się z programu iManager.

Ukryj określoną przyczynę niepowodzenia logowania: Po zaznaczeniu tej opcji program iManager zastępuje komunikaty usługi eDirectory dotyczące uwierzytelniania ogólnym komunikatem o błędzie o treści: Niepowodzenie logowania. Nieprawidłowa nazwa użytkownika lub hasło. Aby uzyskać więcej informacji, zobacz „Zapobieganie wykrywaniu nazwy użytkownika” na stronie 127.

Zezwalaj na wybór drzewa na stronie logowania: Po zaznaczeniu tej opcji na stronie logowania programu iManager jest wyświetlane pole Drzewo. Jeśli ta opcja nie zostanie zaznaczona, musi być ustawiona domyślna nazwa drzewa; w przeciwnym razie nie będzie można się zalogować.

Logowanie bezkontekstowe: Logowanie bezkontekstowe umożliwia użytkownikom logowanie się przy użyciu samej nazwy użytkownika i hasła, bez wymagania znajomości pełnego kontekstu ich obiektu użytkownika. Przykład: .admin.support.sales.netiq.

Jeśli w drzewie istnieje wielu użytkowników o tej samej nazwie, logowanie bezkontekstowe pozwala zalogować się przy użyciu pierwszego znalezionego konta użytkownika z podanym hasłem na liście kolejności kontenerów określonej przez użytkownika. Użytkownik może zmieniać i definiować listę kolejności kontenerów.

Jeśli w drzewie istnieje wielu użytkowników o tej samej nazwie, zalogowanie się przy użyciu konkretnej nazwy użytkownika wymaga albo podania pełnego kontekstu, albo ograniczenia kontenerów wyszukiwania, które przeszukuje funkcja logowania bezkontekstowego.

Opcja Szukaj począwszy od folderu głównego powoduje przeprowadzenie wyszukiwania użytkownika, począwszy od folderu głównego drzewa katalogu. Opcja Szukaj w kontenerach umożliwia określenie jednego lub większej liczby kontenerów, w których można znaleźć obiekty użytkowników.

Domyślnie program iManager nawiązuje połączenie w trybie dostępu publicznego, który nie wymaga żadnych konkretnych poświadczeń. Możliwe jest jednak określenie użytkownika z konkretnymi poświadczeniami do przeprowadzania wyszukiwania bezkontekstowego. Jeśli użytkownik nie zostanie zdefiniowany, program iManager użyje użytkownika publicznego.

WAŻNE: W przypadku określenia użytkownika publicznego należy dokładnie rozważyć skutki ustawień dotyczących utraty ważności hasła. Jeśli zostanie ustawiona ważność hasła użytkownika publicznego, nie będzie możliwości zmiany tego hasła podczas logowania, gdy ważność hasła wygaśnie.


Ustawienia limitu czasu serwera programu iManager: Aby serwer programu iManager osiągał limit czasu po upłynięciu żądanego okresu, podaj liczbę dni, godzin i minut w odpowiednich polach na stronie Uwierzytelnianie.

Aby serwer nie osiągał limitu czasu, wybierz opcję Bez limitu czasu.

Przekierowanie po wylogowaniu: Aby po wylogowaniu z programu iManager następowało przekierowanie do żądanej strony, należy włączyć tę opcję na stronie Uwierzytelnianie. Wymagane jest określenie żądanego adresu URL w polu Adres URL. Jeśli nie jest podany żaden adres URL, kliknięcie przycisku Koniec pracy powoduje wylogowanie z programu iManager. Domyślnie jest wyświetlana strona logowania.

Przekierowanie po wylogowaniu

Opcja Przekierowanie po wylogowaniu umożliwia określenie adresu URL, do którego ma nastąpić przekierowanie po wylogowaniu z programu iManager. Jeśli ta opcja nie jest zaznaczona, kliknięcie przycisku Koniec pracy powoduje wylogowanie z programu iManager. Domyślnie jest wyświetlana strona logowania.

Włączanie: Tę opcję należy zaznaczyć, aby włączyć funkcję Przekierowanie po wylogowaniu.

Adres URL. Należy określić adres URL, do którego ma nastąpić przekierowanie po wylogowaniu z programu iManager.

RBS

Usługi oparte na rolach (RBS) służą do przypisywania praw do wykonywania zadań w usłudze eDirectory. Gdy użytkownikowi jest przypisywana rola, usługi RBS domyślnie przypisują prawa niezbędne do wykonywania zadań powiązanych z tą rolą.

Karta RBS umożliwia konfigurowanie następujących ustawień:

Włącz grupy dynamiczne: Po zaznaczeniu tej opcji usługi RBS zezwalają na członkostwo grup dynamicznych w rolach. Więcej informacji na temat grup dynamicznych zawiera dokument NetIQ eDirectory Administration Guide (Podręcznik administracji NetIQ eDirectory).

Pokaż role w posiadanych kolekcjach: Po zaznaczeniu tej opcji właściciele kolekcji będą widzieć wszystkie role i zadania bez względu na to, czy są ich członkami czy nie. Odznaczenie tej opcji spowoduje, że właściciele będą widzieć tylko role przypisane do siebie.

Domena wykrywania ról: Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać ról przypisanych do członka.

Nadrzędny: program iManager będzie szukać grup dynamicznych w górę drzewa, do poziomu kontenera nadrzędnego.

Partycja: program iManager będzie szukać grup dynamicznych w górę drzewa, do poziomu pierwszej partycji eDirectory.

Katalog główny: program iManager będzie szukać grup dynamicznych w całym drzewie.

Domena wykrywania grup dynamicznych: Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać członkostwa w grupie dynamicznej. W znalezionych grupach dynamicznych jest wówczas sprawdzane członkostwo w rolach.

Nadrzędny: program iManager będzie szukać ról w kontenerze nadrzędnym użytkownika.


https://www.netiq.com/documentation/edirectory-9/edir_admin/

https://www.netiq.com/documentation/edirectory-9/edir_admin/

Partycja: program iManager będzie szukać ról w górę drzewa, do poziomu pierwszej partycji eDirectory.

Katalog główny: program iManager będzie szukać ról w całym drzewie.

Typ wyszukiwania grup dynamicznych: Umożliwia wybranie typu grup dynamicznych, w których ma być wyszukiwane członkostwo w roli.

Tylko grupy dynamiczne: Wyszukiwanie obiektów o typie klasy Grupa dynamiczna.

Obiekty grup dynamicznych i klasy pomocnicze: Wyszukiwanie obiektów o typie klasy Grupa dynamiczna oraz obiektów rozszerzonych przy użyciu klasy Pomocnicza grupa dynamiczna. Dotyczy to obiektów grup, które zostały później przekształcone w grupy dynamiczne.

Lista drzew RBS: Ustawienie przyjmujące automatycznie wartość nazwy drzewa eDirectory podczas uwierzytelniania właściciela kolekcji lub członka roli. Jeżeli usługi RBS zostaną usunięte z drzewa eDirectory, w celu przywrócenia trybu nieprzypisanego dostępu należy usunąć z listy nazwę tego drzewa.

Pobieranie dodatków typu plug-in

Karta Pobieranie dodatków typu plug-in umożliwia konfigurowanie następujących ustawień:

Wykonaj zapytanie w witrynie pobierania, aby wyszukać nowe moduły dodatków typu plug-in firmy NetIQ (NPM). Wskazuje, że serwer programu iManager ma wykonywać zapytanie w witrynie pobierania firmy NetIQ (http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4) w celu wyszukania nowych modułów dodatków typu plug-in (NPM).

Dwa przyciski radiowe umożliwiają skonfigurowanie zapytania dla każdego dostępnego modułu NPM lub tylko dla aktualizacji już zainstalowanych modułów NPM.

Pobieranie modułów dodatków typu plug-in z witryny niestandardowej. Aby pobierać moduły dodatków typu plug-in z witryny niestandardowej, należy podać adres URL tej witryny w polu Adres URL pobierania na stronie Pobieranie dodatków typu plug-in.

Pobieranie modułów dodatków typu plug-in przez serwer proxy. Jeśli serwery programu iManager są uruchomione na serwerze proxy zapory sieciowej, klient ma dostęp do Internetu za pośrednictwem serwera proxy. Obsługiwany jest tylko serwer proxy HTTP. To jest protokół HTTP serwera proxy sieci Web. Aby pobrać dodatki typu plug-in, użytkownik musi wykonać następujące czynności na stronie Pobieranie dodatków typu plug-in:

1 Zaznacz opcję Włącz serwer proxy.

2 Wypełnij następujące pola:

Host serwera proxy — w tym polu należy podać adres IP hosta serwera proxy.

Port serwera proxy — w tym polu należy podać numer portu serwera proxy.

Nazwa użytkownika — w tym polu należy podać nazwę użytkownika.

Hasło — w tym polu należy podać hasło.

Wprowadź hasło ponownie — w tym polu należy podać to samo hasło, które zostało wprowadzone w polu Hasło.

WAŻNE: Dodatki typu plug-in programu iManager nie są zgodne z poprzednimi wersjami programu iManager. Ponadto wszelkie niestandardowe dodatki typu plug-in, które mają zostać użyte w programie iManager , muszą zostać skompilowane ponownie w środowisku programu iManager


http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

Różne

Karta Inne umożliwia konfigurowanie następujących ustawień:

Włącz [to]: Tę opcję można zignorować. Opcja Włącz [to] została dodana do programu iManager w celu umożliwienia zespołom wewnętrznym modyfikacji ich własnych obiektów. Wartość [to] jest atrybutem drzewa, który włącza określone funkcje samodzielnego zarządzania. Włączenie argumentu [to] wymaga, aby wszystkie serwery usługi eDirectory w drzewie miały wersję 8.6.2 lub wyższą.

Adres URL usługi eGuide: Określa adres URL serwera eGuide. Jest on używany w przycisku uruchamiania usługi eGuide znajdującym się w nagłówku oraz w zadaniach związanych z zarządzaniem rolami i zadaniami tej usługi. Musi to być pełny adres URL (na przykład https://moja.nazwa.dns/eGuide/servlet/eGuide) lub słowo kluczowe EMFRAME_SERVER. W przypadku użycia słowa kluczowego EMFRAME_SERVER usługa eMFrame szuka oprogramowania eGuide na serwerze, na którym sama się znajduje.

Więcej informacji na temat usługi eGuide można uzyskać w witrynie sieci Web firmy Novell zawierającej dokumentację tego oprogramowania (http://www.novell.com/documentation/eguide212/index.html).

Certyfikat

Aby wybrać poziom szyfru na podstawie wymagań dotyczących zabezpieczeń, należy użyć karty Certyfikat. Program iManager udostępnia następujące certyfikaty:

RSA: Certyfikat używa pary 2048-bitowych kluczy RSA. Program iManager udostępnia następujące poziomy szyfrowania dla algorytmu RSA:

BRAK — zezwala na dowolny typ szyfru.

NISKIE — zezwala na szyfr 56- lub 64-bitowy.

ŚREDNIE — zezwala na szyfr 128-bitowy.

WYSOKIE — zezwala na szyfry większe niż 128-bitowe.

ECDSA 256: Certyfikat używa pary kluczy ECDSA z krzywą secp256r1. Program iManager zezwala na tylko jeden poziom szyfrowania w przypadku algorytmu ECDSA 256:

TYLKO SUITEB 128 — zezwala na dowolny typ szyfru.

ECDSA 384: Certyfikat używa pary kluczy ECDSA z krzywą secp384r1.

UWAGA: Domyślnie język Java nie obsługuje szyfrowania algorytmem AES przy użyciu klucza 256-bitowego. Aby korzystać z certyfikatów ECDSA 384, wykonaj następujące czynności:

1. Pobierz i wyodrębnij oprogramowanie Java Cryptography Extension (JCE) Unlimited Strength Policy Files 8.

2. Zastąp pliki local_policy.jar i US_export_policy.jar w folderze zabezpieczeń Java (jdk1.8.xx/jre/lib/security) odpowiednio wyodrębnionymi plikami.

3. Uruchom ponownie serwer Tomcat.

SUITEB 128 — zezwala na dowolny typ szyfru.

SUITEB 192 — zezwala na szyfr 56- lub 64-bitowy.

Domyślnie jest wybrany algorytm RSA, a poziom szyfrowania jest ustawiony na BRAK. W przypadku certyfikatów ECDSA program iManager zezwala tylko na szyfrowanie Suite B. Po zmianie certyfikatu należy uruchomić ponownie serwer Tomcat, aby zmiana odniosła efekt.


http://www.novell.com/documentation/eguide212/index.html

http://www.novell.com/documentation/eguide212/index.html

WAŻNE: Domyślnie przeglądarka Firefox nie zezwala na poziom szyfrowania NISKIE.

Aby włączyć algorytmy o poziomie szyfrowania NISKIE w przeglądarce Firefox:

1 Otwórz przeglądarkę Firefox, wpisz about:config na pasku lokalizacji, a następnie naciśnij klawisz Enter.

2 (Warunkowo) W przypadku pojawienia się ostrzeżenia kliknij przycisk Zachowam ostrożność, obiecuję!, aby przejść na stronę about:config.

3 Na stronie about:config na liście Nazwa kliknij dwukrotnie preferencję security.ssl3.rsa_rc4_128_md5, aby zmienić wartość na True.

Spowoduje to włączenie algorytmów o poziomie szyfrowania NISKIE w przeglądarce Firefox.

Aby na przykład skonfigurować poziom szyfrowania WYSOKIE, należy zmodyfikować parametr SSLCipherSuite w następujący sposób:

<VirtualHost _default_:443> -------------- ----------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- ---------------<VirtualHost>

Do modyfikowania poziomów szyfrowania można używać następujących prefiksów:

+ : dodaje szyfry do listy szyfrów i umieszcza je w bieżącym położeniu na liście.

- : usuwa szyfr z listy (z możliwością dodania go później).

! : całkowicie eliminuje szyfr z listy (bez możliwości dodania go później).

Więcej informacji można uzyskać w dokumentacji modułu serwera Apache mod_ssl (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html).

Lista tworzenia obiektówUtworzenie obiektu powoduje zarejestrowanie wstępnie skonfigurowanej listy klas obiektów z zadaniem Utwórz obiekt. Kategoria Lista tworzenia obiektów zawiera następujące zadania:

„Dodawanie klasy obiektów do listy tworzenia” na stronie 83

„Usuwanie klasy obiektu z listy tworzenia” na stronie 84

Dodawanie klasy obiektów do listy tworzenia

To zadanie umożliwia dodawanie kolejnych obiektów do listy tworzenia obiektów — listy obiektów, które można tworzyć w programie iManager, używając zadania Administrowanie katalogiem > Utwórz obiekt.

1 W widoku Konfiguruj wybierz kolejno Lista tworzenia obiektów > Dodaj klasę obiektu do listy tworzenia.

2 Wybierz obiekt, który chcesz dodać, a następnie kliknij przycisk Dalej.

3 Przejrzyj informacje o definicji pliku XML, a następnie kliknij przycisk Zakończ, aby utworzyć plik xml.


http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

Usuwanie klasy obiektu z listy tworzenia

To zadanie umożliwia usuwanie obiektu z listy tworzenia obiektów — listy obiektów, które można tworzyć w programie iManager, używając zadania Administrowanie katalogiem > Utwórz obiekt.

1 W widoku Konfiguruj wybierz kolejno opcje Lista tworzenia obiektów > Usuń klasę obiektu z listy tworzenia.

2 Wybierz obiekt, który chcesz usunąć, a następnie kliknij przycisk Dalej.

3 Przejrzyj informacje o definicji pliku xml, a następnie kliknij przycisk Zakończ, aby usunąć obiekt z listy tworzenia obiektów.

Instalowanie modułów dodatków typu plug-inTa rola jest wyświetlana w programie iManager tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 77.

W programie iManager używane są dwa typy modułów:

Moduły dodatków typu plug-in firmy NetIQ (NPM): Takie moduły są archiwami, które zawierają pliki dodatków typu plug-in przeznaczonych dla programu iManager. Przy instalacji modułu NPM za pomocą zadania Dostępne moduły dodatków typu plug-in firmy NetIQ w programie iManager instalowany jest dodatek typu plug-in mający na celu zwiększenie funkcjonalności programu.

Moduły RBS: Takie moduły są obiektami w drzewie eDirectory™, które zawierają obiekty zadań RBS oraz książek RBS. Jeśli w drzewie eDirectory skonfigurowano usługi oparte na rolach, należy kliknąć polecenie Konfiguruj > Konfiguracja usług RBS w celu zainstalowania modułu RBS po module NPM, tak aby umożliwić używanie nowych zadań skojarzonych z tym dodatkiem typu plug-in.

Rola Instalacja modułu dotyczy tylko modułów NPM. Informacje o instalowaniu modułów NPM w ramach procesu instalacji programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

Dostępne moduły dodatków typu plug-in firmy NetIQ

Strona Dostępne moduły dodatków typu plug-in (NPM) firmy NetIQ zawiera listę dostępnych modułów NPM znajdujących się w katalogu pakietów lub w witrynie pobierania. Aby uzyskać więcej informacji, zobacz „Pobieranie dodatków typu plug-in” na stronie 81. Nazwy, wersje i opisy poszczególnych modułów znajdują się w odpowiadających im plikach manifestu.

Dodatki typu plug-in można ukryć przez zaznaczenie ich modułów i kliknięcie przycisku Ukryj. Można też ukryć wszystkie moduły dodatków typu plug-in — na stronie domowej nie będzie wówczas wyświetlana informacja Nowe moduły NPM programu iManager są dostępne do zainstalowania.

Można też wyświetlić listę ukrytych modułów dodatków typu plug-in, klikając przycisk Pokaż ukryte. W razie potrzeby można wyświetlić ukryte moduły dodatków typu plug-in.


Zainstalowane moduły dodatków typu plug-in firmy NetIQ

Na tej liście widoczne są moduły NPM zainstalowane w programie iManager. Z każdym modułem NPM na liście wyświetlana jest jego nazwa, wersja lokalna oraz opis znalezione w bieżących plikach manifestu.

Podstawowa wersja produktu iManager nie zawiera wszystkich modułów dodatków typu plug-in. Większość dodatków typu plug-in programu iManager należy pobrać oddzielnie. Następujące dodatki typu plug-in są jednak zawarte w pliku base.npm dostarczanym wraz z programem iManager:

Administrowanie katalogiem

Partycje i repliki

Centrum pomocy technicznej

Schemat

Prawa

użytkownicy

Grupy

Aby uzyskać więcej informacji, zobacz Rozdział 5, „Role i zadania”, na stronie 37.

WAŻNE: Do poprawnego działania wymagane jest, aby wersja modułu dodatków typu plug-in była zgodna z wersją programu iManager, z którą współpracuje. Informacje na temat wymagań konkretnego modułu dodatków typu plug-in dotyczących wersji programu iManager można znaleźć w dokumentacji określonego produktu.

Na przykład dodatki typu plug-in programu iManager nie są zgodne z poprzednimi wersjami programu iManager. Ponadto wszelkie niestandardowe dodatki typu plug-in, które mają zostać użyte w programie iManager , muszą zostać skompilowane ponownie w środowisku programu iManager

Pobieranie i instalowanie modułów dodatków typu plug-in

Program iManager umożliwia pobieranie i instalowanie aktualizacji istniejących i nowych dodatków plug-in z poziomu programu iManager. Program iManager raz w tygodniu automatycznie odpytuje witrynę pobierania firmy NetIQ w poszukiwaniu dodatków typu plug-in.

UWAGA: Moduły dodatków typu plug-in nie są replikowane między serwerami programu iManager. Zaleca się instalowanie żądanych modułów dodatków typu plug-in na każdym serwerze iManager.

Aby pobrać i zainstalować jeden lub większą liczbę dodatków typu plug-in:

1 Uruchom program iManager i zaloguj się.

2 W widoku Konfiguruj wybierz kolejno opcje Instalacja dodatku typu plug-in > Dostępne moduły dodatków typu plug-in firmy NetIQ.

W ramce zawartości wyświetlana jest lista wszystkich dostępnych dodatków plug-in programu iManager. Program iManager raz w tygodniu automatycznie sprawdza witrynę sieci Web pobierania firmy Novell w poszukiwaniu dodatków plug-in. Listę można jednak zaktualizować w dowolnym czasie, klikając łącze Odśwież.


3 (Opcjonalnie) Jeśli dodatek plug-in, który ma zostać zainstalowany, został pobrany lub jest dostępny lokalnie, kliknij przycisk Dodaj, a następnie odszukaj odpowiedni plik dodatku typu plug-in NPM.


Spowoduje to powrót do strony Dostępne moduły dodatków typu plug-in firmy NetIQ.

5 Wybierz żądany plik dodatku typu plug-in , a następnie kliknij przycisk Instaluj.

Położenie pliku wskazuje, czy dodatek typu plug-in pochodzi z katalogu lokalnego, czy z witryny pobierania firmy Novell. Jeśli co najmniej jeden dodatek typu plug-in wybrany do zainstalowania ma w polu Lokalizacja plików wartość Pobieranie plików NetIQ, zostanie wyświetlona strona Moduły dodatków typu plug-in programu NetIQ iManager — umowa licencyjna. Aby kontynuować instalację, należy zaznaczyć opcję Zgadzam się i kliknąć przycisk OK.

UWAGA: Instalowanie dodatku typu plug-in z witryny pobierania firmy Novell może potrwać kilka minut w zależności od szybkości połączenia i liczby instalowanych dodatków. Czas pobierania jest wskazywany przez pasek stanu.

6 Gdy instalacja dobiegnie końca, należy uruchomić ponownie serwer Tomcat.

Pełne inicjalizowanie serwera Tomcat może czasami potrwać kilka minut. Przed podjęciem próby zalogowania się do programu iManager należy odczekać co najmniej pięć minut.


7 Sprawdź, czy nowa rola jest wyświetlana na stronie Role i zadania.

Aby dodać członków do nowej roli, skorzystaj z zadania Modyfikuj skojarzenie członka.

Skonfigurowane usługi RBS

WAŻNE: Aby ponownie zainstalować istniejący dodatek typu plug-in, należy najpierw usunąć obiekt rbsModule tego dodatku z usługi eDirectory, korzystając z zadania Konfiguracja modułu > Usuń moduł RBS.


W tabeli na karcie Kolekcje 2.x zostaną wyświetlone wszystkie nieaktualne moduły.

2 Aby je zaktualizować, wybierz w kolumnie Nieaktualny liczbę odpowiadającą kolekcji, która ma zostać zaktualizowana.

Zostanie wyświetlona lista nieaktualnych modułów.

3 Wybierz moduły, które mają zostać zaktualizowane, a następnie kliknij przycisk Aktualizuj u góry tabeli.

Odinstalowywanie modułu dodatków typu plug-in

1 W widoku Konfiguruj wybierz kolejno opcje Instalacja dodatku typu plug-in > Zainstalowane moduły dodatków typu plug-in firmy NetIQ.

2 Wybierz dodatek plug-in, a następnie kliknij opcję Odinstaluj.

3 Uruchom ponownie serwer Tomcat.



Kroki opisujące proces ręcznego usuwania modułu dodatków typu plug-in są dostępne w dokumencie TID #7006125 (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657).

Dostosowywanie lokalizacji pobierania dodatków typu plug-in

Jeśli serwer proxy lub zapora sieciowa uniemożliwia programowi iManager kontaktowanie się z witryną pobierania firmy NetIQ, można utworzyć repozytorium pobierania dodatków typu plug-in. Umożliwia to przechowywanie modułów dodatków typu plug-in na lokalnym serwerze sieci Web lub w zwykłej lokalizacji systemu plików.

Najlepszym sposobem wykonania tej czynności jest użycie pliku deskryptora XML z witryny pobierania (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml) jako szablonu. Więcej informacji o pliku deskryptora programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

Aby skonfigurować lokalne repozytorium dodatków typu plug-in, należy zapisać lokalnie plik deskryptora, a następnie otworzyć ten plik i skopiować adres URL każdego modułu dodatków typu plug-in, który ma zostać udostępniony lokalnie, i wkleić go na pasku adresu przeglądarki internetowej w celu pobrania pliku. Po pobraniu wszystkich żądanych modułów dodatków typu plug-in należy poddać edycji kopię lokalną pliku deskryptora w celu uwzględnienia nowego adresu URL dla każdego pobranego modułu dodatków typu plug-in.

Adres URL modułu dodatków typu plug-in może być łączem HTTP lub lokalizacją systemu plików. Na przykład:

System plików Windows

<url><![CDATA[file:///c:\iManager_plugins\NMAS.npm]]></url>

System plików Linux

<url><![CDATA[file:///home/admin/iManager_plugins/NMAS.npm]]></url>

Łącze HTTP

<url><![CDATA[http://192.168.0.136/iManager_plugins/NMAS.npm]]></url>

Określanie lokalnego pliku deskryptora

Niestandardowy plik deskryptora można określić podczas instalacji programu iManager lub już po zainstalowaniu tego programu.

Podczas procesu instalacji adres URL pobierania dodatku typu plug-in programu iManager można przekierować do niestandardowego pliku deskryptora. W tym celu wystarczy zmienić adres URL na stronie „Wybierz dodatki typu plug-in do pobrania i zainstalowania” na lokalizację niestandardowego pliku deskryptora, a następnie kliknąć przycisk Uruchom.


http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657

http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

UWAGA: Jeśli w obszarze Pobieranie dodatków typu plug-in zostanie wyświetlony komunikat Nie znaleziono żadnego modułu dodatkowego lub serwer jest niedostępny możliwe, że wystąpił jeden lub oba następujące warunki: W witrynie pobierania firmy Novell nie są dostępne żadne zaktualizowane dodatki typu plug-in lub nawiązanie połączenia z adresem download. novell.com przez program instalacyjny nie powiodło się. Sprawdź dostępność połączenia internetowego.

Gdy program iManager jest już zainstalowany, adres URL pobierania modułu dodatków typu plug-in można zmienić, modyfikując plik <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml. Na przykład:

System plików Windows

<setting>

<name><![CDATA[ModuleDownloadDescriptorURL]]></name>

<value><![CDATA[file:///c:\iManager_plugins\custom.xml]]></value>

</setting>

System plików Linux

<setting>


<value><![CDATA[file:///home/admin/iManager_plugins/custom.xml]]></value>

</setting>

Łącze HTTP

<setting>


<value><![CDATA[http://192.168.0.136/iManager_plugins/custom.xml]]></value>

</setting>

WAŻNE: W przypadku uzyskiwania dostępu do niestandardowego adresu URL dodatków typu plug-in za pomocą połączenia SSL (HTTPS) w programie iManager Workstation należy się upewnić, że został zaimportowany certyfikat docelowego serwera sieci Web. W przeciwnym razie nie będzie możliwe ustanowienie bezpiecznego połączenia.

Powiadomienie pocztą e-mailTa rola umożliwia wybór zadań specyficznych dla danego dodatku typu plug-in, o których wystąpieniu użytkownik chce być zawsze powiadamiany. Zadania są konfigurowane przez sam dodatek typu plug-in. Użytkownik decyduje, czy ma być powiadamiany, i określa, kto powinien otrzymywać powiadomienia o wybranych zdarzeniach. Najpierw należy skonfigurować serwer poczty.

WSKAZÓWKA: W zależności od wybranych opcji można odbierać znaczną liczbę wiadomości e-mail!


Konfigurowanie serwera poczty

W konfiguracji serwera poczty określane są ustawienia serwera SMTP dla powiadomienia o zdarzeniu.

1 W widoku Konfiguruj wybierz kolejno opcje Powiadomienie pocztą e-mail > Konfiguracja serwera poczty.

2 Określ ustawienia serwera poczty, a następnie kliknij przycisk OK.

Od adres: Określa adres widoczny w polu Od wiadomości e-mail programu iManager.

Główny serwer poczty: Określa adres IP lub nazwę serwera (np. smtp.novell.com) serwera poczty. Należy też podać nazwę użytkownika i hasło, za pomocą których program iManager będzie uzyskiwać dostęp do serwera SMTP.

Wtórny serwer poczty: Określa opcjonalny zapasowy serwer poczty. Należy podać te same informacje, co w przypadku głównego serwera poczty.

Powiadomienie o zdarzeniu zadania

Zdarzenia zadań widoczne na tej stronie są rejestrowane automatycznie przez dodatki typu plug-in, dla których istnieje lista zadań w odpowiednim pliku xml.

1 W widoku Konfiguruj wybierz kolejno Powiadomienie pocztą e-mail > Powiadomienie o zdarzeniu zadania.

2 W polu Adres e-mail określ adresy e-mail (rozdzielając je przecinkami), które mają otrzymywać to powiadomienie.

3 Wybrać zdarzenie

Zostanie wyświetlony ekran Właściwości zdarzenia zadania.

4 W odpowiednich polach określ temat wiadomości e-mail oraz wiadomość e-mail.

5 W polu Dodatkowy adres e-mail wpisz wszystkie dodatkowe adresy e-mail (rozdzielając je przecinkami), które mają być powiadamiane.

6 Zaznacz pole wyboru Zastąp wartość domyślną i wysyłaj powiadomienia tylko na te adresy, jeśli wiadomość ma ignorować listę adresów e-mail podaną w kroku 2 i być wysyłana tylko na adresy e-mail określone na tej stronie.

WidokiTa rola jest wyświetlana w programie iManager tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 77.

Widoki programu iManager to strony służące do zarządzania, dostępne za pomocą przycisków w ramce nagłówka programu iManager. Istnieje możliwość uniemożliwienia użytkownikom dostępu do niektórych widoków, takich jak Wyświetl obiekty lub Konfiguruj.

Domyślnie wszystkie widoki dziedziczą ustawienia obiektu nadrzędnego.

Pokazywanie i ukrywanie widoków programu iManager

1 W widoku Konfiguruj wybierz kolejno Widoki > Widoki programu iManager.

2 Określ (lub znajdź przy użyciu selektora obiektów) kontener, w którym ma zostać ograniczony dostęp do widoków, a następnie kliknij przycisk OK.


3 Określ odpowiednie ustawienia widoków, a następnie kliknij przycisk OK.

Dostępne są do wyboru trzy ustawienia widoków:

Nie ustawiaj: nie ustawia wyraźnie stanu widoku. Jest to ustawienie domyślne.

Ukryj: ukrywa widok.

Pokaż: wyświetla widok.

Zaznacz pole wyboru Odczytuj kontenery nadrzędne tego obiektu, aby użyć ustawień kontenera nadrzędnego obiektu dla tego obiektu. Po zaznaczeniu tego pola ustawienia kontenera nadrzędnego będą miały pierwszeństwo przed ustawieniami lokalnymi obiektu.

Włączanie i wyłączanie widoku Identity Manager jako domyślnego widoku w programie iManager na serwerach z zainstalowanym oprogramowaniem Identity Manager

Aby włączyć widoki programu iManager:

1 Zatrzymaj serwer Tomcat.

2 Otwórz plik /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 Dodaj następujące szczegóły konfiguracji w pliku XML:

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[true]]></value>

</setting>

4 Uruchom serwer Tomcat.

UWAGA: Domyślnie parametr „IS_IDM_VIEW_AS_DEFAULT” jest ustawiony na „true”.

Aby wyłączyć widoki programu iManager:

1 Zatrzymaj serwer Tomcat.

2 Otwórz plik /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 Dodaj następujące szczegóły konfiguracji w pliku XML:

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[false]]></value>

</setting>

4 Uruchom serwer Tomcat.


7 7Preferencje

Widok Preferencje umożliwia konfigurowanie ustawień programu iManager związanych z jego wyglądem i sposobem działania. Zapewnia on dostęp do następujących zadań:

„Zarządzaj Ulubionymi” na stronie 91

„Selektor obiektu” na stronie 91

„Widok obiektu” na stronie 92

„Ustaw widok początkowy” na stronie 92

„Język” na stronie 92

Zarządzaj UlubionymiUmożliwia skonfigurowanie widoku Ulubione — specjalnego widoku, w którym jest wyświetlany niestandardowy zbiór często używanych zadań.

1 W widoku Preferencje wybierz zadanie Zarządzaj ulubionymi.

2 Wybierz żądane zadania w polu Zadania, a następnie przenieś je do pola Ulubione.

Aby przenieść zadanie, należy je kliknąć dwukrotnie, lub należy je zaznaczyć, a następnie użyć ikon ze strzałkami.

Zaznacz pole wyboru Ustaw widok Ulubione jako mój widok początkowy, aby używać widoku Ulubione jako strony domowej programu iManager.


Selektor obiektuUmożliwia skonfigurowanie ustawień selektora obiektów:

Rozmiar okna: Umożliwia określenie (w pikselach) szerokości i wysokości okna oraz szerokości lewej kolumny selektora obiektów.

Wartości domyślne określone przez użytkownika: Umożliwia określenie ustawień domyślnych selektora obiektów, w tym następujących:

Tryb startowy: określa, jaka karta jest wyświetlana na początku — Przeglądaj czy Szukaj.

Wyników na stronę: określa liczbę wyników wyświetlanych na stronie.

Kontekst początkowy: określa kontener domyślny, w którym jest otwierany selektor obiektów.

Wyszukaj przy starcie: określa początkowe czynności wyszukiwania, gdy selektor obiektów jest otwierany na karcie Szukaj.

Pokaż liczbę podrzędnych: włącza/wyłącza wyświetlanie całkowitej liczby obiektów obok każdego obiektu kontenera wyświetlanego w selektorze obiektów. Po zaznaczeniu tej opcji program iManager wyświetla liczbę obiektów podrzędnych w nawiasie obok nazwy każdego kontenera.

Preferencje 91

UWAGA: Podczas obliczania liczby obiektów podrzędnych nie są brane pod uwagę przypisane prawa użytkownika, zatem liczba obiektów widocznych dla użytkownika może się różnić od podanej liczby.

Widok obiektuUmożliwia skonfigurowanie ustawień widoku obiektu:

Szerokość kolumny: Określa szerokość kolumny widoku obiektu w pikselach.

Tryb startowy: Określa, jaka karta jest wyświetlana na początku — Przeglądaj czy Szukaj lub Drzewo.

Tryb wyboru: Określa początkowy tryb wyboru obiektów w widoku obiektu: jeden obiekt lub wiele obiektów.

Okienko nawigacyjne (lewa strona): Określa liczbę wyników wyświetlanych w ramce nawigacyjnej. To ustawienie ma zastosowanie do wszystkich kart w widoku obiektu. Prawidłowe ustawienia należą do przedziału od 1 do 500.

Okienko zawartości drzewa (prawa strona) Określa liczbę wyników wyświetlanych na stronie w ramce zawartości. To ustawienie ma zastosowanie tylko do karty Drzewo w widoku obiektu. Prawidłowe ustawienia należą do przedziału od 1 do 500.

Kontekst początkowy: Określa domyślny kontener katalogu, w którym jest otwierany widok obiektu. Można ustawić opcję otwierania go w ostatnio używanym kontenerze lub każdorazowego otwierania go w tym samym kontenerze.

Wyszukaj przy starcie: Określa początkowe czynności wyszukiwania, gdy widok obiektu jest otwierany na karcie Szukaj.

Pokaż liczbę podrzędnych: Włącza/wyłącza wyświetlanie całkowitej liczby obiektów obok każdego obiektu kontenera wyświetlanego w selektorze obiektów. Po zaznaczeniu tej opcji program iManager wyświetla liczbę obiektów podrzędnych w nawiasie obok nazwy każdego kontenera.

Dotyczy to ramki nawigacyjnej na karcie Drzewo oraz okna wyników na kartach Przeglądaj i Szukaj w widoku obiektu.

UWAGA: Podczas obliczania liczby obiektów podrzędnych nie są brane pod uwagę przypisane prawa użytkownika, zatem liczba obiektów widocznych dla użytkownika może się różnić od podanej liczby.

Ustaw widok początkowyUmożliwia określenie widoku wyświetlanego przy pierwszym zalogowaniu się do programu iManager. Jeśli nie zostanie wybrana żadna opcja, domyślnym widokiem początkowym jest widok Role i zadania. Wybrana opcja określa widok początkowy po zalogowaniu się do programu iManager.

JęzykUmożliwia określenie języka, w którym ma być wyświetlany program iManager. Należy zaznaczyć to pole wyboru, aby zapamiętać język między sesjami programu iManager. Aby ustawienie języka było ustawieniem trwałym, należy ustawić preferowany język w przeglądarce internetowej.

92 Preferencje

UWAGA: Dodatki typu plug-in nie mogą działać poprawnie, jeśli pierwszy język (na najwyższej pozycji) ustawiony w przeglądarce internetowej nie jest obsługiwany przez program iManager.

Aby uniknąć problemów, w przeglądarce internetowej należy wybrać kolejno Narzędzia > Opcje > Języki (lub podobną sekwencję), a następnie jako pierwszy preferowany język na liście ustawić obsługiwany język.

Preferencje 93

8 8Rozwiązywanie problemów

Ta część zawiera wskazówki dotyczące rozwiązywania problemów opracowane podczas testów programu iManager przeprowadzonych przez firmę NetIQ. Wskazówki zostały zestawione w kolejności alfabetycznej w następujących tematach:

„Problemy związane z uwierzytelnianiem” na stronie 96

„Uzyskiwanie dostępu do obiektów serwera NCP” na stronie 100

„Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy Windows XP/2000)” na stronie 101

„Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z nieprawidłowymi znakami w nazwie” na stronie 101

„Błędy dotyczące zadania eDirectory — utrzymanie” na stronie 101

„Włączanie komunikatów debugowania dla instalacji i konfiguracji” na stronie 101

„Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi logowaniami użytkowników” na stronie 102

„Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003)” na stronie 102

„Błędy związane z brakiem atrybutu, obiektu lub wartości” na stronie 102

„Brakujące role lub zadania w widoku Konfiguruj” na stronie 103

„Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows)” na stronie 103

„Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in.” na stronie 104

„Tomcat” na stronie 105

„Błąd “Nie można określić stanu hasła uniwersalnego”” na stronie 105

„Program iManager Workstation nie wyświetla informacji” na stronie 106

„Czasami przycisk Odśwież nie działa” na stronie 106

„Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie są poprawnie instalowane” na stronie 107

„Problem z logowaniem po zmianie adresu IP drzewa” na stronie 108

„Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty Java” na stronie 108

„Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager Workstation” na stronie 109

„Inne zakresy dat używane w programie iManager i katalogu LDAP” na stronie 109

„Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy dynamicznej” na stronie 109

„Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacji” na stronie 110

Rozwiązywanie problemów 95

Problemy związane z uwierzytelnianiemKwestie związane z uwierzytelnianiem są złożone, a na możliwość pomyślnego wykonania pierwszego logowania do programu iManager może wpływać istniejąca infrastruktura sieciowa. Następujące informacje mogą pomóc zminimalizować trudności związane z uwierzytelnianiem. Więcej informacji dotyczących uwierzytelniania można znaleźć w dokumentacji usługi NetIQ Modular Authentication Service (NMAS) (https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html) i dokumentacji usługi NetIQ eDirectory (https://www.netiq.com/documentation/edir88/).

Uwierzytelnianie w programie iManager jest operacją zależną od platformy, co oznacza, że działa ono odmiennie w zależności od platformy, na jakiej jest uruchomiony program iManager.

Serwery Linux i Windows: Gdy program iManager jest uruchomiony na serwerze Linux lub Windows, korzysta ze starszego mechanizmu uwierzytelniania usługi eDirectory oraz zwykłego hasła usługi eDirectory. Ten mechanizm obsługuje opcję hasła uniwersalnego usługi eDirectory, ale nie obsługuje opcji hasła prostego.

Program iManager Workstation: Program iManager Workstation jest uruchamiany na stacji roboczej klienta (z systemem Linux lub Windows) i korzysta z klienta usług NMAS, który umożliwia mu używanie hasła uniwersalnego (jeśli zostało skonfigurowane).

Program iManager nie używa protokołu LDAP podczas procesu uwierzytelniania wstępnego w programie iManager. Korzysta on z zastrzeżonego protokołu uwierzytelniania usługi eDirectory. Jednak po uwierzytelnieniu wstępnym program iManager może tworzyć połączenia LDAP z usługą eDirectory, potrzebne do obsługi dostępu do katalogu przez zainstalowane dodatki typu plug-in, które wymagają dostępu LDAP.

Program iManager nie obsługuje uwierzytelniania za pomocą hasła prostego usługi eDirectory.

Podczas uwierzytelniania w programie iManager można napotkać następujące komunikaty o błędach. W częściach dotyczących poszczególnych komunikatów omówiono możliwe przyczyny.

„Błędy HTTP 404” na stronie 96

„Błędy HTTP 500” na stronie 97

„Komunikaty o błędach 601” na stronie 97





„Pole nazwy drzewa” na stronie 98

„Logowanie się do serwera bez repliki” na stronie 99

„Problemy z uwierzytelnianiem” na stronie 99

„Informacje o utracie ważności hasła” na stronie 99

„Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub alternatywnych atrybutów” na stronie 99

Błędy HTTP 404

Jeśli podczas pierwszej próby uzyskania dostępu do programu iManager wystąpi błąd 404, należy sprawdzić porty, na których działa serwer Apache. Lokalizacje plików konfiguracji będą się różniły w zależności od sposobu zainstalowania programu iManager oraz tego, jaki serwer został wybrany do użycia — Apache czy IIS. Serwer Apache używa pliku httpd.conf lub ssl.conf. Informacje na temat ustawień portu serwera IIS można znaleźć w dokumentacji firmy Microsoft.

96 Rozwiązywanie problemów

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/

Błędy HTTP 500

Jeśli zostanie wyświetlony błąd wewnętrzny serwera lub błąd kontenera serwletu (o niedostępności lub trwającym uaktualnianiu), oznacza to, że w programie iManager wystąpił jeden z dwóch następujących problemów z serwletem Tomcat:

Serwer Tomcat nie został w pełni zainicjowany po ponownym uruchomieniu.

Uruchomienie serwera Tomcat nie powiodło się.

Odczekaj kilka minut i spróbuj ponownie uzyskać dostęp do programu iManager. Jeśli te komunikaty o błędach będą nadal wyświetlane, należy zweryfikować stan serwera Tomcat.

Sprawdzanie stanu serwletu Tomcat



2 Sprawdź, czy w dziennikach serwletu Tomcat zostały zapisane jakieś błędy.

Plik dziennika znajduje się w katalogu $tomcat_home$/logs na platformach UNIX, Linux i Windows. W systemach UNIX i Linux pliki dziennika noszą nazwę catalina.out lub localhost_log.data.txt , a w systemie Windows — stderr i stdout.

Komunikaty o błędach 601

Wprowadzonej nazwy nie można znaleźć w określonym kontekście.

Oto niektóre możliwe przyczyny:

Logowanie bezkontekstowe może być wyłączone.

Lista kontenerów wyszukiwania może nie zawierać Twojego obiektu użytkownika. Poproś administratora o dodanie Twojej lokalizacji użytkownika do kontenerów wyszukiwania logowania bezkontekstowego albo zaloguj się z pełnym kontekstem.


Hasło NDS zostało wyłączone w założeniach hasła uniwersalnego. Może się to też objawiać komunikatem o błędzie 622.

Błędu tego można uniknąć za pomocą programu iManager Workstation, instalując klienta usług , który umożliwia programowi iManager używanie mechanizmu uwierzytelniania z hasłem uniwersalnym zamiast starszego procesu uwierzytelniania usługi eDirectory.


Ten błąd to awaria systemu, która może mieć kilka możliwych przyczyn (http://www.novell.com/documentation/nwec/).


http://www.novell.com/documentation/nwec/


Na serwerze docelowym nie ma kopii tego, czego żąda serwer źródłowy, albo na serwerze źródłowym nie ma obiektów zgodnych z żądaniem ani odwołań, przy użyciu których można by szukać obiektu.


Wprowadzono niepoprawne drzewo lub niepoprawny adres IP. Jeśli używany jest adres IP, należy pamiętać o uwzględnieniu portu, gdy usługa eDirectory jest zainstalowana na porcie niestandardowym (innym niż 524).

Program iManager nie może znaleźć drzewa lub adresu IP i dochodzi do przekroczenia limitu czasu. Jeśli użycie nazwy drzewa nie daje efektów, należy użyć adresu IP.


Użyto błędnego hasła, nie powiodło się uwierzytelnienie, jeden serwer próbował się zsynchronizować z innym, ale baza danych serwera docelowego była zablokowana, albo występuje problem ze zdalnym identyfikatorem lub kluczem publicznym.


Wprowadzono nieprawidłowe hasło

W drzewie znajduje się wielu użytkowników o tej nazwie. Logowanie bezkontekstowe polega na logowaniu przy użyciu pierwszego napotkanego konta użytkownika i podanego hasła. W tym przypadku należy podać pełny kontekst podczas logowania albo ograniczyć kontenery wyszukiwane w ramach logowania bezkontekstowego.

Pole nazwy drzewa

Jeśli usługa eDirectory jest zainstalowana i uruchomiona na innym porcie niż domyślny port 524, zalogowanie się przy użyciu adresu IP lub nazwy DNS serwera eDirectory jest możliwe pod warunkiem podania również portu. Przykłady:

Adres IPv4:

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Adres IPv6:

https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Podczas logowania przy użyciu nazwy drzewa nie trzeba podawać portu.

W polu nazwy drzewa można podać nazwę drzewa, adres IP serwera lub nazwę DNS serwera. Zaleca się używanie adresu IP.


Logowanie się do serwera bez repliki

W razie potrzeby program iManager może zalogować się w drzewie eDirectory przy użyciu serwera niezawierającego repliki eDirectory. W tym celu program iManager przechowuje pamięć podręczną połączenia zawierającą informacje potrzebne do pomyślnego zalogowania się. Aby wypełnić pamięć podręczną połączenia, przy pierwszym logowaniu się w drzewie eDirectory za pomocą programu iManager użytkownik musi użyć serwera zawierającego replikę.

Ponowne uruchomienie serwera Tomcat lub serwera programu iManager powoduje wyczyszczenie pamięci podręcznej połączenia, zatem przy pierwszym logowaniu się za pomocą programu iManager po wystąpieniu jednego z tych zdarzeń należy użyć serwera zawierającego replikę.

Problemy z uwierzytelnianiem

Istnieją różne przyczyny błędów logowania. Komunikaty o błędach uwierzytelniania zostały opisane w części „Problemy związane z uwierzytelnianiem” na stronie 96.

Informacje o ograniczaniu liczby komunikatów o błędach wyświetlanych przez program iManager przy niepomyślnej próbie uwierzytelnienia znajdują się w części „Zapobieganie wykrywaniu nazwy użytkownika” na stronie 127.

Informacje o utracie ważności hasła

Po wygaśnięciu ważności hasła wyświetlany jest odpowiedni komunikat dla użytkownika. Użytkownicy mogą jednak nie być świadomi, że ich logowania dodatkowe mogą zostać szybko wyczerpane w zależności od określonych operacji, takich jak modyfikowanie grup dynamicznych, wyszukiwanie proste, czy też ustawianie prostego hasła.

Operacje te wykorzystują kolejne dodatkowe logowania przy każdym wykonywanym przez użytkownika zadaniu. Zdecydowanie zalecane jest zachęcanie użytkowników do zmiany swoich haseł przy pierwszym otrzymanym przez nich powiadomieniu na ten temat.

Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub alternatywnych atrybutów

Aby włączyć uwierzytelnianie bezkontekstowe przy użyciu alternatywnego typu obiektu, wykonaj następujące czynności:

1 Otwórz program iManager, a następnie wybierz kolejno Konfiguruj > Serwer programu iManager > Konfiguruj program iManager > Uwierzytelnienie.

Zadanie to jest widoczne tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 77.

2 W polach Nazwa użytkownika publicznego i Hasło wprowadź wartości odpowiadające użytkownikowi, który ma prawa do odczytu żądanych atrybutów.

3 Zmodyfikuj plik <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml, dołączając właściwość <Setting> zawierającą listę atrybutów, które chcesz dodać do wyszukiwania bezkontekstowego, a następnie ponownie uruchom serwer Tomcat.


Na przykład następujący plik XML powoduje dodanie obiektów Alias i Użytkownik do wyszukiwania bezkontekstowego:


<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name> <value><![CDATA[User]]></value> <value><![CDATA[Alias]]></value></setting>

Podobnie następujący plik XML umożliwia użytkownikom logowanie się przy użyciu atrybutu CN lub uniqueID:

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name> <value><![CDATA[CN]]></value> <value><![CDATA[uniqueID]]></value></setting>

WAŻNE:

W znajdującym się powyżej kodzie źródłowym zastąp łańcuch treename nazwą odpowiedniego drzewa katalogów (zapisaną małymi literami).

W przypadku zapisania dowolnych ustawień programu iManager Server z poziomu zadania Konfiguruj program iManager po zmodyfikowaniu pliku config.xml upewnij się, że nazwa drzewa jest zapisana małymi literami. W przeciwnym razie niestandardowe logowanie bezkontekstowe nie powiedzie się.

Uzyskiwanie dostępu do obiektów serwera NCPAby poprawić wydajność obiektów serwera NCP, należy wyłączyć opcję Modyfikuj położenie indeksu.

Aby wyłączyć opcję Modyfikuj położenie indeksu:

1 Otwórz plik config.xml dostępny w położeniu <KATALOG_DOMOWY_SERWERA_TOMCAT>/webapps/nps/WEB-INF/config.xml.

2 Dodaj następującą treść do pliku config.xml.

<setting> <name><![CDATA[IndexManagerPlugin_ModifyObjectTask_Disabled]]></name> <value><![CDATA[true]]></value></setting>

3 Zapisz zmiany i ponownie uruchom serwer Tomcat.


UWAGA: Aby zmodyfikować indeksy obiektów serwera NCP, wybierz kolejno opcje Role i zadania > eDirectory - utrzymanie > Indeksy > Obiekt serwera NCP > Indeksy > Modyfikuj położenie indeksu.


Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy Windows XP/2000)

Jeśli usunięto jedno lub większą liczbę kont użytkowników systemu Windows, a następnie utworzono je ponownie pod tymi samymi nazwami, należy wykonać następujące czynności, aby używać programu iManager Workstation z ponownie utworzonym kontem:

1 Zaloguj się jako członek grupy Administratorzy.

2 Przejmij na własność katalog \system32\novell\nici\nazwa_uzytkownika. Ścieżka bezwzględna różni się między systemami Windows 2000 i Windows XP.

3 Usuń katalog.

Przy następnym zalogowaniu się użytkownika ten folder zostanie automatycznie utworzony ponownie przy użyciu kluczy Novell International Cryptographic Infrastructure (NICI) ponownie utworzonego konta użytkownika i użytkownik będzie mógł uruchomić program iManager Workstation.

Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z nieprawidłowymi znakami w nazwie

Jeśli podczas tworzenia książki właściwości zostaną użyte w jej nazwie nieprawidłowe znaki specjalne, może zostać zwrócony komunikat o błędzie DNS (numer błędu: 603). Więcej informacji o nadawaniu nazwy książce właściwości można znaleźć w części „Tworzenie nowej książki właściwości” na stronie 65.

Błędy dotyczące zadania eDirectory — utrzymanieAby można było uruchamiać zadania eDirectory — utrzymanie, należy skonfigurować usługi oparte na rolach (RBS) przy użyciu programu iManager dla drzewa, względem którego wykonywane są czynności administracyjne. Informacje o konfigurowaniu usług RBS można znaleźć w sekcji Rozdział 4, „Przeglądanie obiektów”, na stronie 25.

Więcej informacji zawiera część The eDirectory Management Toolbox (Przybornik zarządzania usługą eDirectory) w dokumencie NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Włączanie komunikatów debugowania dla instalacji i konfiguracji

Jeśli instalacja się nie powiedzie, należy włączyć niektóre komunikaty debugowania, które umożliwiają stwierdzenie przyczyny problemu.

System Linux: należy wyeksportować parametr LAX_DEBUG=true w sesji terminalowej, z której jest uruchamiany program iManager InstallAnywhere.

System Windows: podczas uruchamiania programu iManager InstallAnywhere należy przytrzymać naciśnięty klawisz Ctrl, aż do momentu wyświetlenia ekranu debugowania.




Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi logowaniami użytkowników

Problemu tego można uniknąć, używając dwóch wystąpień tej samej przeglądarki (na przykład programu Firefox, ale nie programu Internet Explorer). Książka historii jest współużytkowana przez dwie instancje.

Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003)

W systemach Windows 2000 oraz 2003 Server z oprogramowaniem IIS w wersji 5 lub 6 zainstalowanie programu Groupwise 7.0 WebAccess w usłudze IIS powoduje automatyczne zainstalowanie serwera Tomcat 5.5.

Przy rozpoczynaniu instalacji programu iManager program instalacyjny wykrywa, że dostępne do użycia jest oprogramowanie IIS oraz Tomcat. Program instalacyjny zgłasza brak możliwości zatrzymania usługi iisadmin. Przy końcu instalacji program instalacyjny zgłasza brak możliwości uruchomienia serwera Tomcat.

Po zakończeniu instalacji program GroupWise WebAccess nadal działa, ale nie działa program iManager (HTTP 404: Nie odnaleziono strony).

Obejście: Nie należy instalować programów iManager oraz Groupwise na tym samym serwerze.

Błędy związane z brakiem atrybutu, obiektu lub wartości

W przypadku opóźnień synchronizacji w dużej instalacji można wymusić łączenie się programu iManager z repliką główną. Dzięki temu można uzyskać dostęp do dowolnych atrybutów, obiektów i wartości, które zostały ostatnio dodane lub zmodyfikowane. Nie jest to zalecane w przypadku standardowego korzystania z programu iManager, ale może być przydatne, gdy występują opóźnienia synchronizacji.

Aby użyć tego parametru podczas logowania się do programu iManager, należy dodać polecenie &forceMaster=true na końcu adresu URL po załadowaniu strony logowania. To ustawienie można też włączyć w pliku TOMCAT_HOME\webapps\nps\WEB-INF\config.xml. Można na przykład:

Adres IPv4:

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Adres IPv6:

https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Po wprowadzeniu jakichkolwiek zmian w pliku config.xml należy uruchomić ponownie serwer Tomcat. Informacje o ponownym uruchamianiu serwera Tomcat można znaleźć w części „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 105.


Brakujące role lub zadania w widoku KonfigurujJeśli poniższe role lub zadania nie są dostępne w widoku Konfiguruj, należy upewnić się, że pracuje się jako użytkownik autoryzowany. Aby uzyskać więcej informacji, zobacz „Autoryzowani użytkownicy i grupy” na stronie 77.

Role i zadania, których może brakować

Zadanie Konfiguruj program iManager

Rola Lista tworzenia obiektów

Rola Instalacja dodatku typu plug-in

Rola Powiadomienie pocztą e-mail

Rola Widok

Możliwe przyczyny utraty statusu autoryzowanego użytkownika

Zmieniono nazwę drzewa.

Należy poddać edycji plik configiman.properties i zmienić nazwę drzewa dla każdego użytkownika.

Informacje wprowadzone podczas instalacji programu iManager dla autoryzowanego użytkownika były niepoprawne.

Należy zmodyfikować plik configiman.properties i dodać poprawną nazwę użytkownika z uwzględnieniem nazwy drzewa.

Plik configiman.properties jest uszkodzony z nieznanych przyczyn.

Należy usunąć plik configiman.properties i utworzyć go ponownie z poprawnymi informacjami lub zalogować się w programie iManager i wybrać kolejno widok Konfiguruj > Serwer programu iManager > Konfiguruj program iManager. Na stronie Zabezpieczenia należy dodać do systemu autoryzowanych użytkowników, przeglądając drzewo lub ręcznie wprowadzając pełną ścieżkę do użytkownika.

Uprawnienia do pliku configiman.properties zostały zmienione, aby uniemożliwić odczyt pliku przez program iManager.

Należy zmienić uprawnienia do pliku na takie same, jak do innych plików w tym katalogu.

Administrator nie dodał bieżącego użytkownika jako użytkownika autoryzowanego.

Należy poprosić o dodanie do listy autoryzowanych użytkowników. Aby uzyskać więcej informacji, zobacz „Autoryzowani użytkownicy i grupy” na stronie 77.

Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows)

Jeśli program iManager został zainstalowany przed usługą eDirectory, to podczas uzyskiwania dostępu do usługi eDirectory za pomocą programu iManager bądź protokołów LDAP(S) lub HTTP(S) mogą wystąpić następujące błędy.

-340 error when trying to access encrypted attributes with iManager


LDAP : SSL_CTX_use_KMO failed. Error stack: error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type (err = -1418)

HTTP : 0016 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

HTTP : 0017 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1406B0BD:SSL routines:GET_CLIENT_MASTER_KEY:no p rivatekey

HTTP : Unable to access server certificate and key, handshakes will fail -- HTTP : -- error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type

Limber : Error while setting NCP Key Material Name SSL CertificateDNS to server, Err: failed, -340 (0xfffffeac)... Limber : Error During syncKeyMaterialInfo -340 (0xfffffeac)

Być może nie została wykonana początkowa konfiguracja systemu w usłudze eDirectory. Użytkownik, który zainstalował usługę eDirectory, oraz użytkownik, który uruchamia serwer usługi eDirectory, muszą skoordynować konfigurację usługi eDirectory. Zazwyczaj usługa eDirectory jest instalowana w trybie administratora i uruchamiana w trybie SYSTEM. Możliwe jest ręczne naprawienie tego problemu, ale wymaga to dobrej znajomości usługi eDirectory, programu iManager i infrastruktury NICI oraz innych aktualnie zainstalowanych programów. Konieczne jest ustalenie, czy można bezpiecznie wykonać poniższe kroki. Należy też sprawdzić dokumentację produktu i produktów, od których jest zależny, aby dowiedzieć się, czy są używane długoterminowe zaszyfrowane dane lub klucze tajne.

Jeśli usługa eDirectory i program iManager są zainstalowane na tym samym komputerze, można ręcznie skonfigurować usługę eDirectory po jej zainstalowaniu.

UWAGA: Nie należy tego robić, jeśli usługa eDirectory została zainstalowana wcześniej i została pomyślnie uruchomiona na bieżącym komputerze.

1 Zaloguj się jako administrator.

2 Zatrzymaj serwer usługi eDirectory oraz usługę Tomcat.

Zatrzymaj też wszelkie inne usługi używające infrastruktury NICI.

3 Przejmij na własność katalog %systemroot%\system32\novell\NICI\SYSTEM.

Można to zrobić we właściwościach pliku — Zabezpieczenia > Opcje zaawansowane.

4 Zapisz zawartość katalogu SYSTEM w katalogu zapasowym.

5 Usuń zawartość katalogu SYSTEM.

6 Skopiuj zawartość katalogu %systemroot%\system32\novell\NICI\Administrator do katalogu %systemroot%\system32\novell\NICI\SYSTEM.

7 Można zresetować uprawnienia do katalogu %systemroot%\system32\novell\NICI\SYSTEM i jego zawartości, tak aby dostęp do niego był możliwy tylko w trybie SYSTEM.

8 Uruchom ponownie serwer NDS i usługi Tomcat oraz wszelkie inne zatrzymane usługi.

Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in.

Ta sytuacja ma miejsce po wybraniu kilku dodatków typu plug-in do zainstalowania w tym samym czasie. Instalacja dodatków typu plug-in jest kontynuowana przez kilka minut, po czym przekraczany jest limit czasu strony przeglądarki i zwracany jest błąd 503.

Konieczne jest odczekanie bez podejmowania żadnych czynności. Instalację dodatków typu plug-in można monitorować za pośrednictwem plików dziennika serwera Tomcat.


Tomcat Następujące informacje ogólne dotyczące serwera Tomcat mogą być pomocne podczas rozwiązywania problemów.

Uruchamianie i zatrzymywanie serwera Tomcat

W poniższej tabeli opisano sposób uruchamiania i zatrzymywania serwera Tomcat na platformach obsługiwanych przez program iManager

Tabela 8-1 Zatrzymywanie i uruchamianie serwera Tomcat

Porty serwera Tomcat

Jeśli podczas uaktualniania programu iManager występują konflikty portów lub konieczna jest znajomość portów używanych przez serwer Tomcat, należy zapoznać się z przedstawionymi w tej części informacjami specyficznymi dla platformy.

Linux

Należy przejrzeć porty serwera Tomcat w pliku /var/opt/novell/tomcat8/conf/server.xml.

Sekcja pliku dotycząca portu nieużywającego protokołu SSL zaczyna się od Define a non-SSL Coyote HTTP/1.1 Connector on port n, a sekcja dotycząca protokołu SSL — od Define an SSL Coyote HTTP/1.1 Connector on port n.

Windows

W systemie Windows można zmieniać położenia wszystkich plików. Jeśli podczas instalowania programu iManager zaakceptowano ustawienia domyślne, plików konfiguracji serwera Tomcat należy szukać w pliku rootdir\novell\tomcat8\conf\server.xml.

Jeśli nie można znaleźć danego pliku konfiguracji, należy przeszukać rejestr systemu Windows pod kątem ustawień serwera Tomcat.

Błąd “Nie można określić stanu hasła uniwersalnego”Jeśli usługa eDirectory na serwerze UNIX ma skonfigurowaną komunikację z serwerem LDAP przy użyciu protokołu SSL, po wybraniu w programie iManager opcji Hasło proste może zostać wyświetlony następujący komunikat:

Nie można określić stanu hasła uniwersalnego

System operacyjny Polecenie ponownego uruchomienia

System Linux Wprowadź polecenie /etc/init.d/novell-tomcat8 stop, a następnie /etc/init.d/novell-tomcat8 start.

iManager Workstation

Zamknij, a następnie uruchom ponownie program iManager Workstation.

Windows Zatrzymaj i uruchom usługę Tomcat.


Aby usunąć ten błąd, należy uruchomić program narzędziowy /usr/bin/nmasinst/nmasinst na serwerze eDirectory. Narzędzie to umożliwia zainstalowanie metod logowania do drzewa eDirectory z komputera z systemem UNIX i jest ono niezbędne do działania funkcji hasła uniwersalnego.

Więcej informacji zawiera rozdział dotyczący usługi NMAS w dokumencie eDirectory 9.0 Administration Guide (Podręcznik administracji eDirectory 9.0).

Program iManager Workstation nie wyświetla informacji

Program iManager Workstation może nie wyświetlać komunikatów o błędach, zamiast tego ładując strony takie jak Widok drzewa, Przeglądanie obiektów, Tworzenie obiektów, a także może wyświetlać stronę po kliknięciu przycisku Odśwież. Może się tak zdarzyć, gdy pamięć podręczna przeglądarki XULRunner zawiera stare dane z poprzedniej kompilacji programu iManager Workstation.

Obejście: należy ręcznie wyczyścić dane z pamięci podręcznej przeglądarki.

Windows:

1 Wyjdź z programu iManager.

2 Przejdź do katalogu C:\Użytkownicy\<nazwa_użytkownika>\AppData\<profil>\Mozilla\eclipse\Cache. Ścieżka ta zależy od konfiguracji i systemu operacyjnego.

3 Usuń wszystkie dane z katalogu Cache.

4 Ponownie uruchom program iManager.

Linux:

1 Wyjdź z programu iManager.

2 Przejdź do następującego katalogu:

/root/.mozilla/eclipse/Cache (użytkownik root)

/$HOME/.mozilla/eclipse/Cache (użytkownik inny niż root)

3 Usuń wszystkie dane z katalogu Cache.

4 Ponownie uruchom program iManager.

Czasami przycisk Odśwież nie działaCzasami przycisk Odśwież na niektórych stronach nie działa po kliknięciu.

Obejście:

1 Wyloguj się z programu iManager.

2 Wyczyść pamięć podręczną przeglądarki.

W przeglądarce Internet Explorer:

1. Kliknąć menu Narzędzia > Opcje internetowe. Zostanie wyświetlone okno dialogowe Opcje internetowe.

2. Na karcie Ogólne w obszarze Historia przeglądania kliknij przycisk Usuń.


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4qnr9.html



W przeglądarce Firefox:

1. Naciśnij klawisze Alt + F > . Wybierz opcję Historia i kliknij opcję Wyczyść ostatnią historię.

2. Wybierz opcję Pamięć podręczna i kliknij przycisk Wyczyść teraz.

3 Zaloguj się do programu iManager.

Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie są poprawnie instalowane

Podczas instalowania dodatków typu plug-in programu iManager niekiedy instalacja zawiesza się lub dodatki nie są poprawnie instalowane.

Obejście

W przypadku autonomicznej instalacji programu iManager:

1 Wyloguj się z programu iManager.

2 Wyczyść pamięć podręczną przeglądarki.

W przeglądarce Internet Explorer wykonaj następujące czynności:

1. Kliknąć menu Narzędzia > Opcje internetowe. Zostanie wyświetlone okno dialogowe Opcje internetowe.

2. Na karcie Ogólne w obszarze Historia przeglądania kliknij przycisk Usuń.

W przeglądarce Firefox wykonaj następujące czynności:

1. Naciśnij klawisze Alt + F > i wybierz opcję Historia.

2. Kliknij przycisk Wyczyść ostatnią historię.

3. Wybierz opcję Pamięć podręczna i kliknij przycisk Wyczyść teraz.


4 Ponownie zainstaluj dodatki typu plug-in.

W przypadku programu iManager Workstation:

Windows:

1. Wyjdź z programu iManager.

2. Przejdź do katalogu C:\Użytkownicy\<nazwa_użytkownika>\AppData\<profil>\Mozilla\eclipse\Cache. Ścieżka ta zależy od konfiguracji i systemu operacyjnego.

3. Usuń wszystkie dane z katalogu Cache.

4. Ponownie uruchom program iManager.

Linux:

1. Wyjdź z programu iManager.

2. Przejdź do następującego katalogu:

/root/.mozilla/eclipse/Cache (użytkownik root)

/$HOME/.mozilla/eclipse/Cache (użytkownik inny niż root)


3. Usuń wszystkie dane z katalogu Cache.

4. Ponownie uruchom program iManager.

Problem z logowaniem po zmianie adresu IP drzewaRozważmy następujący scenariusz:

1 Adres IP to <xxx.xx.xx.xx>. Skonfigurowano pod nim usługę eDirectory. Drzewo ma nazwę <DRZEWO_XXX>.

2 Jest używana pamięć podręczna logowania mapująca nazwę <DRZEWO_XXX> na adres <xxx.xx.xx.xx>.

3 Z powodu przeniesienia sieci adres IP zmienił się na <yyy.yy.yy.yy>. Skonfigurowano pod nim usługę eDirectory, a nazwa drzewa pozostała taka sama (<DRZEWO_XXX>).

4 Inny użytkownik przejął poprzedni adres IP <xxx.xx.xx.xx> i skonfigurował nowe drzewo eDirectory jako <DRZEWO_YYY>.

W przypadku logowania w programie iManager przy użyciu nazwy drzewa <DRZEWO_XXX> nastąpi teraz zalogowanie do drzewa <DRZEWO_YYY>, ponieważ nazwa <DRZEWO_XXX> jest mapowana na adres <xxx.xx.xx.xx>, ale adres <xxx.xx.xx.xx> jest obecnie skonfigurowany do obsługi drzewa <DRZEWO_YYY>.

Obejście:

Windows,

1. Przejdź do katalogu ...\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\.

2. Otwórz plik config.xml.

3. Wyszukaj w tym pliku ustawienie Cached-Tree i usuń używaną nazwę drzewa z tego ustawienia.

4. Usuń ustawienie zaczynające się od używanej nazwy drzewa.

Linux,

1. Przejdź do katalogu /var/opt/novell/iManager/nps/WEB-INF.

2. Otwórz plik config.xml.

3. Wyszukaj w tym pliku ustawienie Cached-Tree i usuń używaną nazwę drzewa z tego ustawienia.

4. Usuń ustawienie zaczynające się od używanej nazwy drzewa.

Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty Java

Aby zwiększyć rozmiar sterty na serwerze Linux z oprogramowaniem Tomcat, zatrzymaj usługę Tomcat i otwórz okno terminala. Uruchom następujące polecenie w oknie terminala, a następnie ponownie uruchom serwer Tomcat:

export CATALINA_OPTS="-Xms128m -Xmx1024m"

Aby zwiększyć rozmiar sterty na serwerze Windows z oprogramowaniem Tomcat, zatrzymaj usługę Tomcat, utwórz nową zmienną środowiskową o nazwie JAVA_OPTS, ustaw jej wartość na -Xms128m -Xmx1024m, a następnie ponownie uruchom usługę Tomcat.


Aby uzyskać informacje o zatrzymywaniu i uruchamianiu usługi Tomcat, zobacz „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 105.

Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager Workstation

Po wylogowaniu się z programu iManager i zamknięciu przeglądarki jest wyświetlany następujący komunikat o błędzie Java.

#

# An unexpected error has been detected by Java Runtime Environment:

#

# SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872

#

# Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86)

# Problematic frame:

# C [libmozjs.so+0x2944] strftime+0x2944

Obejście: zignoruj ten komunikat o błędzie i zawartość plików hs_err_pid####.log, ponieważ nie mają one wpływu na program iManager Workstation.

Inne zakresy dat używane w programie iManager i katalogu LDAP

W przypadku utworzenia w programie iManager atrybutu w oparciu o składnię czasu, wypełnienia wartości atrybutu, a następnie wyszukania tej wartości za pomocą katalogu LDAP katalog LDAP zwraca inną wartość niż wypełniona przez program iManager.

Zarówno program iManager, jak i katalog LDAP przechowują wartości dat przy użyciu pierwszych 31 bitów z 32-bitowej liczby całkowitej bez znaku. Jednak aplikacje te inaczej interpretują najbardziej znaczący bit w przechowywanej wartości całkowitej. Program iManager oznacza tym bitem daty sprzed roku 1970, podczas gdy katalog LDAP oznacza nim daty po roku 2038. Z tego powodu w programie iManager są przechowywane daty z zakresu 1903–2038, a w protokole LDAP — z zakresu 1970–2106.

Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy dynamicznej

Jeśli usługa eDirectory jest skonfigurowana z innym niż domyślny portem LDAP, program iManager wyświetla następujący komunikat o błędzie podczas modyfikowania grupy dynamicznej na karcie Dynamiczne.

Creating Secure SSL LDAP Context Failed


Aby rozwiązać ten problem, należy dodać adres IP serwera LDAP do adresu URL serwera LDAP w atrybucie ldapInterfaces, używając programu narzędziowego ldapconfig lub dodatku typu plug-in LDAP programu iManager.

Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacji

Magazyn kluczy Java programu iManager zawiera domyślnie tylko certyfikaty ośrodka certyfikacji drzewa — nie zawiera certyfikatów zewnętrznych ośrodków certyfikacji. Z tego powodu dodatki typu plug-in takie jak Grupy, NMAS czy Zasady haseł nie mogą łączyć się z usługą eDirectory przy użyciu protokołu LDAP. Gdy usługa eDirectory korzysta z certyfikatu wystawionego przez zewnętrzny urząd certyfikacji, są wyświetlane komunikaty o błędach.

Aby rozwiązać ten problem, wykonaj następujące czynności:

Linux:

1. Zaimportuj certyfikat zewnętrznego ośrodka certyfikacji do magazynu kluczy JRE w następującym położeniu: /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts.

Aby uzyskać więcej informacji o importowaniu certyfikatów zewnętrznych ośrodków certyfikacji, zobacz „Bezpieczne certyfikaty LDAP” na stronie 125.

2. Uruchom ponownie usługę Tomcat.

Windows:

1. Zaimportuj certyfikat zewnętrznego ośrodka certyfikacji do magazynu kluczy JRE w następującym położeniu: C:\Program Files\Novell\jre\lib\security\cacerts.

Aby uzyskać więcej informacji o importowaniu certyfikatów zewnętrznych ośrodków certyfikacji, zobacz „Bezpieczne certyfikaty LDAP” na stronie 125.

2. Uruchom ponownie usługę Tomcat.


9 9Przeprowadzanie audytu zdarzeń programu iManager

Do przeprowadzania audytu zdarzeń programu iManager służy oprogramowanie Novell Audit. Więcej informacji można znaleźć w dokumencie Novell Audit 2.0 Administration Guide (http://www.novell.com/documentation/novellaudit20/index.html) (Podręcznik administracji oprogramowania Novell Audit 2.0).

Usługa Audit ma następujące wymagania wstępne:

Serwer (Windows, Linux) w drzewie katalogu z usługą Audit.

Agent platformy Novell Audit zainstalowany na serwerze programu iManager lub na pulpicie programu iManager Workstation i skonfigurowany tak, aby wskazywał na serwer bezpiecznego gromadzenia dzienników.

Usługa Audit przechwytuje dane dotyczące następujących zdarzeń:

Tabela 9-1 Zdarzenia programu iManager

Identyfikator zdarzenia

Nazwa zdarzenia Opis

150013 Dodanie autoryzowanego użytkownika

Dodano autoryzowanego użytkownika do usługi eDirectory.

150004 Pomyślne zalogowanie Pomyślnie zalogowano się w usłudze eDirectory z programu iManager.

150009 Pomyślna instalacja modułu NPM

Pomyślnie zainstalowano moduł NPM.

150001 Uruchomienie programu iManager

Uruchomiono serwer Tomcat.

150011 Niepowodzenie połączenia SSL

Nie powiodło się nawiązanie połączenia SSL z usługą eDirectory.

150006 Wylogowywanie Wylogowano się z programu iManager.

150012 Zmiana konfiguracji Konfiguracja uległa zmianie.

150015 Pomyślne przekazanie modułu NPM

Pomyślnie przekazano moduł NPM.

150006 Niepowodzenie logowania Nie powiodło się zalogowanie w usłudze eDirectory z programu iManager.

150010 Niepowodzenie instalacji modułu NPM

Nie powiodło się zainstalowanie modułu NPM.

150002 Zamknięcie programu iManager

Serwer Tomcat został zatrzymany.

Przeprowadzanie audytu zdarzeń programu iManager 111

http://www.novell.com/documentation/novellaudit20/index.html

http://www.novell.com/documentation/novellaudit20/index.html

Włączanie audytu Novell w programie iManagerAby skonfigurować program Novell Audit, wykonaj następujące czynności:

1 Zainstaluj program iManager 3.1.

2 Zaloguj się w programie iManager, wybierz kolejno opcje Konfiguruj > Serwer programu iManager > Konfiguruj program iManager i kliknij opcję Dodaj autoryzowanych użytkowników.

3 Wybierz opcję Włącz program NetIQ Audit i wybierz wymagane zdarzenia programu iManager do audytu.

4 Zainstaluj program Platform Agent z pakietu instalacyjnego eDirectory 9.1.

UWAGA: Jeśli serwer ma już odbiorcę pliku nauditpa.jar, wykonaj następujące czynności:

Nie modyfikuj pliku logevent (pomiń krok 5).

Nie zmieniaj praw własności do folderu naudit.

Dodaj użytkownika novlwww do grupy idvadmin i utwórz plik .profile dla użytkownika novlwww z ustawieniem umask o wartości 0002.

5 Zmień plik logevent odpowiednio do używanej platformy.

Linux: Wykonaj następujące czynności:

1. Zmodyfikuj następujące wpisy w pliku /etc/logevent.conf:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

2. (Warunkowo) Ręcznie utwórz folder naudit w położeniu /var/opt/novell/.

Zmień uprawnienie na novlwww dla folderu /var/opt/novell/naudit, uruchamiając następujące polecenie:

chown -R novlwww:novlwww naudit/

Windows: Zmodyfikuj następujące wpisy w pliku logevent.cfg w położeniu C:\Windows:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

6 W zależności od platformy usuń oznaczenie komentarza z następujących wpisów w pliku imanager_logging.xml:

Linux: Usuń oznaczenie komentarza z wpisu <appender-ref ref="NAUDIT_APPENDER"/>.

112 Przeprowadzanie audytu zdarzeń programu iManager

Plik imanager_logging.xml znajduje się w katalogu /var/opt/novell/iManager/nps/WEB-INF/.

Windows: Usuń oznaczenie komentarza z wpisu <appender-ref ref="NAUDIT_APPENDER"/>.

Plik imanager_logging.xml znajduje się w katalogu C:\Program Files (x86)\Novell\Tomcat\webapps\nps\WEB-INF\.

UWAGA: Wykonaj kroki od Krok 7 do Krok 9, jeśli używasz programu iManager 3.0 SP3 lub nowszego. Jeśli używasz jednej z poprzednich wersji programu iManager, przejdź do kroku Krok 10.

7 Utwórz certyfikat użytkownika dla programu iManager przy użyciu usługi eDirectory. Więcej informacji zawiera rozdział Creating User Certificates (Tworzenie certyfikatów użytkownika) w dokumencie NetIQ eDirectory Administration Guide (Podręcznik administracji NetIQ eDirectory).

8 Wyeksportuj certyfikat do formatu PFX. Więcej informacji zawiera rozdział Importing a Public Key Certificate into a User Object (Importowanie certyfikatu klucza publicznego do obiektu użytkownika) w dokumencie NetIQ eDirectory Administration Guide (Podręcznik administracji NetIQ eDirectory).

9 Wyodrębnij klucz prywatny do pliku imanipkey.pem, a certyfikat — do pliku imanicert.pem. Skopiuj wygenerowane pliki certyfikatów (imanicert.pem i imanipkey.pem) do odpowiednich folderów serwera iManager.

Windows:

c:\windows\imanicert.pem

c:\windows\imanipkey.pem

Linux:

/etc/imanicert.pem

/etc/imanipkey.pem

Użyj następującego polecenia, aby wyodrębnić klucz prywatny i certyfikat:

Aby wyodrębnić klucz prywatny: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

Aby wyodrębnić certyfikat: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem


11 Sprawdź, czy zdarzenia są rejestrowane na serwerze gromadzenia dzienników.

Linux: Zatrzymaj usługę jcache i ponownie uruchom serwer Tomcat. Wygeneruj zdarzenia i sprawdź zawartość serwera gromadzenia dzienników.

Windows: Wygeneruj zdarzenia i sprawdź zawartość serwera gromadzenia dzienników.

Włączanie audytu XDAS w programie iManagerProgram XDAS Audit jest domyślnie dołączany do programu iManager. Program XDAS Audit przechwytuje dane dotyczące następujących zdarzeń:

Dodanie autoryzowanego użytkownika

Pomyślne zalogowanie

Pomyślna instalacja modułu NPM

Uruchomienie programu iManager


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u6ox


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u94z



Niepowodzenie połączenia SSL

Wylogowywanie

Zmiana konfiguracji

Pomyślne przekazanie modułu NPM

Niepowodzenie logowania

Niepowodzenie instalacji modułu NPM

Zamknięcie programu iManager

Aby włączyć program XDAS Audit dla programu iManager:


2 Kliknij kolejno opcje Konfiguruj > Serwer programu iManager > Konfiguruj program iManager.

3 Na stronie Konfiguruj program iManager na karcie Zabezpieczenia wybierz opcję Włącz program XDAS Audit.

4 Zaznacz zdarzenia, które chcesz rejestrować, a następnie kliknij przycisk Zapisz.

Konfigurowanie audytu XDAS dla programu iManagerTabela 9-2 zawiera domyślne położenie pliku xdasconfig.properties w różnych systemach operacyjnych. Ten plik można dostosować do własnych wymagań.

Tabela 9-2 Położenie pliku konfiguracyjnego programu XDAS

Tabela 9-3 zawiera pliki konfiguracyjne programu XDAS.

Tabela 9-3 Plik konfiguracyjny programu XDAS

W poniższej tabeli opisano ustawienia zawarte w pliku imanager_logging.xml.

Tabela 9-4 Ustawienia dziennika systemowego

System operacyjny Plik

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Stacje robocze z systemami Linux i Windows

<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Opcje Nazwa

Moduł dołączający dziennika systemowego syslog

Moduł dołączający pliku ciągłego użytkowania file_appender

Ustawianie Opis

syslogHost Adres IP hosta, na którym uruchomiono serwer programu Audit.


Tabela 9-5 Ustawienia modułu dołączającego pliku

Informacje o wzorcach konwersji i ich opisy można znaleźć na stronie logging.apache.org.

Aby włączyć moduł dołączający dziennika systemowego (Syslog), wprowadź następujące zmiany w pliku imanager_logging.xml:

1 Zmodyfikuj następujące wpisy:

<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

syslogProtocol Protokół, którego należy używać do komunikacji (UDP/TCP/SSL).

syslogSslKeystoreFile Położenie pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

syslogSslKeystorePassword Hasło do pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

Threshold Określa minimalny poziom dziennika dopuszczalny w module dołączającym dziennika systemowego. Obecnie jest obsługiwany poziom dziennika INFO.

Facility=USER Określa typ funkcji. Funkcja pomaga klasyfikować komunikat. Obecnie jest obsługiwana funkcja USER. Te wartości można podać przy użyciu małych lub wielkich liter.

Layout Ustawienie układu modułu dołączającego dziennika systemowego.

Ustawianie Opis

File= ${catalina.home}/logs/imanager.log Domyślne położenie pliku dziennika dla modułu dołączającego pliku.

MaxFileSize=10MB Maksymalny rozmiar (w MB) pliku dziennika dla modułu dołączającego pliku. Należy ustawić maksymalny rozmiar dopuszczany przez klienta.

MaxBackupIndex=10 Określa maksymalną liczbę plików kopii zapasowej dla modułu dołączającego pliku. Maksymalna liczba plików kopii zapasowej wynosi 10. Ustawienie wartości MaxBackupIndex na 0 powoduje, że nie są tworzone żadne pliki kopii zapasowej.

layout class=org.apache.log4j.PatternLayout Ustawienie układu modułu dołączającego pliku.

ConversionPattern="%t %d %-5p [%c:%M] %m%n” Ustawienie układu modułu dołączającego pliku.

Ustawianie Opis


logging.apache.org

<param name="Threshold" value="INFO"/>

2 Zaloguj się w programie iManager i zmień zdarzenia dziennika.

Aby włączyć moduł dołączający pliku, wprowadź następujące zmiany w pliku imanager_logging.xml:


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

Wartość File można dostosować na następujących platformach:

Linux: /home/imanager.log

Windows: C:\\<directory>\\imanager.log

2 Wybierz odpowiednie zdarzenie programu iManager i zapisz zmiany.

UWAGA: Zdarzenie XDAS dotyczące niepowodzenia nawiązania połączenia SSL jest rejestrowane wiele razy, ponieważ wewnętrznie program wielokrotnie próbuje nawiązać połączenie LDAP.

Włączanie przeprowadzania audytu CEF w programie iManager

Funkcja przeprowadzania audytu CEF (Common Event Format) jest domyślnie dołączona do programu iManager. Funkcja przeprowadzania audytu CEF przechwytuje dane dotyczące następujących zdarzeń:

Dodanie autoryzowanego użytkownika

Pomyślne zalogowanie

Pomyślna instalacja modułu NPM

Uruchomienie programu iManager

Niepowodzenie połączenia SSL

Wylogowywanie

Zmiana konfiguracji

Pomyślne przekazanie modułu NPM

Niepowodzenie logowania

Niepowodzenie instalacji modułu NPM

Zamknięcie programu iManager

Aby włączyć przeprowadzanie audytu XDAS dla programu iManager:


2 Kliknij kolejno opcje Konfiguruj > Serwer programu iManager > Konfiguruj program iManager.


3 Na stronie Konfiguruj program iManager na karcie Zabezpieczenia wybierz opcję Włącz program CEF Audit.

4 Zaznacz zdarzenia, które chcesz rejestrować, a następnie kliknij przycisk Zapisz.

Konfigurowanie przeprowadzania audytu CEF dla programu iManager

Tabela 9-2 zawiera domyślne położenie pliku auditconfig.properties w różnych systemach operacyjnych. Ten plik można dostosować do własnych wymagań.

Tabela 9-6 Położenie pliku konfiguracyjnego CEF

Tabela 9-3 zawiera listę plików konfiguracyjnych CEF.

Tabela 9-7 Plik konfiguracyjny CEF

W poniższej tabeli opisano ustawienia zawarte w pliku imanager_logging.xml.

Tabela 9-8 Ustawienia dziennika systemowego

System operacyjny Plik

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Stacje robocze z systemami Linux i Windows

<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Opcje Nazwa

Moduł dołączający dziennika systemowego CEFSyslog

Moduł dołączający pliku ciągłego użytkowania CEF_FILE_APPENDER

Ustawianie Opis

syslogHost Adres IP hosta, na którym uruchomiono serwer programu Audit.

syslogProtocol Protokół, którego należy używać do komunikacji (UDP/TCP/SSL).

syslogSslKeystoreFile Położenie pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

syslogSslKeystorePassword Hasło do pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

Threshold Określa minimalny poziom dziennika dopuszczalny w module dołączającym dziennika systemowego. Obecnie jest obsługiwany poziom dziennika INFO.


Tabela 9-9 Ustawienia modułu dołączającego pliku

Informacje o wzorcach konwersji i ich opisy można znaleźć na stronie logging.apache.org.

Aby włączyć moduł dołączający CEFSyslog, wprowadź następujące zmiany w pliku imanager_logging.xml:


<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 Zaloguj się w programie iManager i zmień zdarzenia dziennika.

Aby włączyć moduł dołączający pliku, wprowadź następujące zmiany w pliku imanager_logging.xml:


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

Facility=USER Określa typ funkcji. Funkcja pomaga klasyfikować komunikat. Obecnie jest obsługiwana funkcja USER. Te wartości można podać przy użyciu małych lub wielkich liter.

Layout Ustawienie układu modułu dołączającego dziennika systemowego.

Ustawianie Opis

File= ${catalina.home}/logs/imanager_cef.log Domyślne położenie pliku dziennika dla modułu dołączającego pliku.

MaxFileSize=10MB Maksymalny rozmiar (w MB) pliku dziennika dla modułu dołączającego pliku. Należy ustawić maksymalny rozmiar dopuszczany przez klienta.

MaxBackupIndex=10 Określa maksymalną liczbę plików kopii zapasowej dla modułu dołączającego pliku. Maksymalna liczba plików kopii zapasowej wynosi 10. Ustawienie wartości MaxBackupIndex na 0 powoduje, że nie są tworzone żadne pliki kopii zapasowej.

layout class=org.apache.log4j.PatternLayout Ustawienie układu modułu dołączającego pliku.

ConversionPattern="%d{MMM dd yyyy HH:mm:ss} %m%n”

Ustawienie układu modułu dołączającego pliku.

Ustawianie Opis


logging.apache.org

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

Wartość File można dostosować na następujących platformach:

Linux: /home/imanager_cef.log

Windows: C:\\<directory>\\imanager_cef.log

2 Wybierz odpowiednie zdarzenie programu iManager i zapisz zmiany.

UWAGA: Zdarzenie CEF dotyczące niepowodzenia nawiązania połączenia SSL jest rejestrowane wiele razy, ponieważ wewnętrznie program wielokrotnie próbuje nawiązać połączenie LDAP.

Konfigurowanie audytu dla programu iManager przy użyciu certyfikatów zewnętrznych

1 Włącz program NAudit w programie iManager. Aby uzyskać więcej informacji, zobacz „Włączanie audytu Novell w programie iManager” na stronie 112.

2 Wpisz następujące polecenie, aby utworzyć certyfikat aplikacji rejestrującej na potrzeby przeprowadzania audytu zdarzeń programu iManager na serwerze Audit:

audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f -bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem

3 Skopiuj wygenerowane pliki certyfikatów (imanicert.pem i imanipkey.pem) do odpowiednich folderów serwera iManager.

Windows:



Linux:

/etc/imanicert.pem

/etc/imanipkey.pem


Konfigurowanie audytu dla programu iManager w trybie rygorystycznym

1 Utwórz certyfikat użytkownika dla programu iManager przy użyciu usługi eDirectory. Więcej informacji zawiera rozdział Creating User Certificates (Tworzenie certyfikatów użytkownika) w dokumencie NetIQ eDirectory Administration Guide (Podręcznik administracji NetIQ eDirectory).

2 Wyeksportuj certyfikat do formatu PFX. Więcej informacji zawiera rozdział Importing a Public Key Certificate into a User Object (Importowanie certyfikatu klucza publicznego do obiektu użytkownika) w dokumencie NetIQ eDirectory Administration Guide (Podręcznik administracji NetIQ eDirectory).

3 Wyodrębnij klucz prywatny do pliku imanipkey.pem, a certyfikat — do pliku imanicert.pem. Skopiuj wygenerowane pliki certyfikatów (imanicert.pem i imanipkey.pem) do odpowiednich folderów serwera iManager.


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u6ox





Windows:



Linux:

/etc/imanicert.pem

/etc/imanipkey.pem

Użyj następującego polecenia, aby wyodrębnić klucz prywatny i certyfikat:

Aby wyodrębnić klucz prywatny: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

Aby wyodrębnić certyfikat: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem

4 Skopiuj certyfikat ośrodka certyfikacji (SSCert.pem) serwera eDirectory z katalogu /var/opt/novell/eDirectory/data i dodaj go do pliku magazynu kluczy łącznika Audit przy użyciu następującego polecenia:

/keytool -importcert -file SSCert.pem -keystore audit_keystore -alias "eDir-CA"

5 Zaimportuj plik audit_keystore do łącznika Audit ustawionego na tryb rygorystyczny na serwerze Sentinel.

6 Skonfiguruj program iManager do przeprowadzania audytu i ponownie uruchom serwer Tomcat. Aby uzyskać więcej informacji, zobacz „Włączanie audytu Novell w programie iManager” na stronie 112.


10 10Najlepsze rozwiązania i typowe pytania

Ta część zawiera zalecenia naszych ekspertów dotyczące przedstawionych poniżej tematów. Jeśli znajdziesz jakieś wartościowe rozwiązanie, podziel się nim z nami w witrynie Cool Solutions (http://www.novell.com/coolsolutions).

„Opcje tworzenia kopii zapasowych i przywracania” na stronie 121

„Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na rolach (RBS)” na stronie 121

„Kolekcje” na stronie 122

„Nieudane instalacje” na stronie 122

„Dostrajanie wydajności” na stronie 123

„Profil oprogramowania AppArmor dla programu iManager” na stronie 124

„Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows” na stronie 124

Opcje tworzenia kopii zapasowych i przywracaniaProgram iManager nie jest wyposażony w żadną funkcję automatycznego tworzenia kopii zapasowych i przywracania. W skład programu iManager wchodzą dwa elementy: pliki lokalne na serwerze i obiekty usług opartych na rolach (RBS) w usłudze eDirectory.

Aby wykonać pełną kopię zapasową programu iManager, trzeba mieć poprawną kopię zapasową kolekcji RBS i wszystkich podrzędnych obiektów w drzewie, za sprawą repliki nadmiarowej lub rozwiązania kopii zapasowej eDirectory.

Wszystkie lokalne pliki programu iManager w systemie plików są przechowywane katalogu Tomcat. Dopóki użytkownik dysponuje kopią zapasową katalogu Tomcat, całą zawartość związana z programem iManager jest zachowywana. Jeśli katalog Tomcat zostanie w jakiś sposób naruszona na serwerze, program iManager można przywrócić, wyłączając program Tomcat i ponowne kopiując ten katalog. Jeśli nie są używane usługi RBS, wystarczy utworzyć kopię zapasową katalogu Tomcat.

Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na rolach (RBS)

Należy zaktualizować kolekcję RBS do wersji 2.7. W przeciwnym razie w przypadku dostępu za pomocą programu iManager do drzewa zawierającego kolekcję RBS z poprzedniej wersji programu iManager 2.x nie będą widoczne wszystkie role i zadania, które powinny zostać wyświetlone.

1 W widoku Konfiguruj kliknij kolejno Usługi oparte na rolach > Konfiguracja usług RBS.

2 Kliknij łącze w kolumnie Nieaktualny dla modułu, który wymaga aktualizacji.

3 Na stronie Nieaktualne moduły zaznacz moduł, a następnie kliknij przycisk Aktualizuj.

Zostanie wyświetlony komunikat potwierdzający pomyślne przeprowadzenie aktualizacji.

Zaktualizowane moduły typu plug-in są widoczne we wszystkich wersjach programu iManager 2.x.

Najlepsze rozwiązania i typowe pytania 121

http://www.novell.com/coolsolutions

Kolekcje Dobrze jest wiedzieć, że nie ma jednej idealnej konfiguracji dla wszystkich firm. Wielokrotne kolekcje w drzewie zalecamy tylko w przypadku używania struktury hierarchicznej z organizacjami geograficznymi lub funkcjonalnymi mającymi różnych administratorów w każdej lokalizacji. Poniżej przedstawiono najczęściej spotykane sytuacje wraz z sugestiami w zakresie zarządzania odpowiadającymi im kolekcjami:

Drzewo hierarchiczne o układzie odzwierciedlającym organizację geograficzną

Należy utworzyć po jednej kolekcji w każdej lokalizacji geograficznej i zastosować co najmniej jeden serwer iManager na lokalizację. Czas logowania jest krótszy i upraszcza się poruszanie po drzewie. Każdy administrator lokalizacji geograficznej zarządza kolekcją określonej lokalizacji.

Drzewo hierarchiczne odzwierciedlające strukturę organizacyjną firmy

Należy utworzyć jedną kolekcję na tym samym poziomie co organizacja i zastosować jeden lub kilka serwerów iManager w zależności od wielkości firmy. Do zarządzania jest tylko jedna kolekcja.

Płaskie drzewo, w którym każdy obiekt jest w innym kontenerze

Należy utworzyć jedną kolekcję jako równorzędną w stosunku do kontenera unikatowego i zastosować jeden lub kilka serwerów iManager w zależności od wielkości firmy. Do zarządzania jest tylko jedna kolekcja.

Nieudane instalacjeAby uniknąć nieudanych instalacji, należy pamiętać o aktualizowaniu systemu operacyjnego do najnowszej wersji i dbać o to, aby były spełnione wszystkie wymagania systemowe. Więcej informacji można znaleźć w części „Wymagania wstępne i zagadnienia do rozważenia związane z instalowaniem programu iManager” w Podręczniku instalacji programu NetIQ iManager.

Aby odzyskać sprawność po nieudanej instalacji, należy rozpoznać problem na podstawie komunikatu o błędzie wygenerowanego w trakcie instalacji.

„Windows” na stronie 122

„System Linux” na stronie 123

Windows

1 Jeśli błąd jest związany z jednym z następujących składników, sprawdź wskazane pliki dzienników pod kątem błędów:

NICI: katalog instalacji\temp\wcniciu0.log

Tomcat: katalog instalacyjny serwera tomcat\Apache_Tomcat_InstallLog.log. Na przykład: C:\Program Files\Novell\Tomcat\Apache_Tomcat_InstallLog.log.

2 Poszukaj błędów w pliku dziennika instalacji programu iManager (C:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\logs\install\iManager_Install_3.1.0_InstallLog.log).

3 Jeśli plik dziennika nie zawiera wystarczających informacji, które umożliwiałyby zidentyfikowanie problemu, uruchom ponownie instalację w trybie debugowania.

122 Najlepsze rozwiązania i typowe pytania

Aby wyświetlić lub przechwycić wyniki debugowania programu instalacyjnego, otwórz konsolę i skopiuj jej zawartość do pliku tekstowego (do późniejszego wglądu).

3a Zaraz po uruchomieniu programu instalacyjnego naciśnij i przytrzymaj klawisz Ctrl do momentu pojawienia się okna konsoli.

3b Po ukończeniu instalacji kliknij ikonę w lewym górnym rogu okna konsoli i wybierz kolejno Właściwości > Układ.

3c Zmień rozmiar buforu na 3000, a następnie kliknij przycisk OK.

3d W oknie Układ wybierz kolejno Edycja > Zaznacz wszystko > Edycja > Kopiuj.

3e Otwórz dowolny edytor tekstów i wklej do niego wyniki debugowania.

4 Zidentyfikuj i popraw wszelkie błędy, przeglądając wyciągi stosu, a następnie uruchom ponownie instalację.

System Linux

1 Poszukaj błędów w pliku dziennika instalacji programu iManager (/var/log/NetIQ_iManager_3.1.0_InstallLog.log).

2 Jeśli plik dziennika nie zawiera wystarczających informacji, które umożliwiałyby zidentyfikowanie problemu, uruchom ponownie instalację w trybie debugowania.

Wpisz następujące polecenie w wierszu poleceń:

export LAX_DEBUG=true

3 Zidentyfikuj i popraw wszelkie błędy, przeglądając ślady stosu, a następnie uruchom ponownie instalację.

Dostrajanie wydajnościPoniżej znajdują się wskazówki pozwalające zwiększyć szybkość i wydajność pracy.

Wyłączanie obsługi grup dynamicznych dla usług RBS

Obsługę grup dynamicznych dla usług RBS należy wyłączyć, jeśli funkcja ta nie jest używana. Domyślnie funkcja Grupy dynamiczne jest włączona i jej używanie znacząco obciąża zasoby ze względu na rozległe wyszukiwania, które przeprowadza.

1 W widoku Konfiguruj wybierz kolejno Serwer programu iManager > Konfiguruj program iManager.

2 Wybierz kartę RBS, a następnie odznacz opcję Włącz grupy dynamiczne.

Przypisania ról

Jeśli przypisano więcej niż pięciu użytkowników do jednej roli w tym samym zakresie, należy rozważyć zastosowanie obiektów grup w celu zmniejszenia liczby przypisań ról i podniesienia skuteczności zarządzania usługami RBS. Będzie wówczas mniej obiektów do aktualizowania i możliwe będzie zarządzanie obiektem grupy przez dodawanie i usuwanie członków.

Należy też rozważyć stosowanie obiektów grup dynamicznych. Obiekty użytkowników można tak skonfigurować, aby odpowiadały kryteriom wyszukiwania grup dynamicznych.

Najlepsze rozwiązania i typowe pytania 123

Profil oprogramowania AppArmor dla programu iManager

Program Novell Open Enterprise Server dla systemu Linux zawiera profil AppArmor dla programu iManager. Profil ten nosi nazwę etc.opt.novell.tomcat5.init.d.tomcat5 i jest zainstalowany w katalogu /etc/apparmor/profiles/extras/iManager.

Profil oprogramowania AppArmor dla programu iManager nie jest domyślnie włączony. Aby go włączyć, należy go skopiować do folderu /etc/apparmor.d.

Więcej informacji o oprogramowaniu AppArmor i profilach oprogramowania AppArmor można znaleźć w dokumentacji Novell AppArmor (http://www.novell.com/documentation/apparmor/).

Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows

1 Przejdź do folderu Tomcat/bin (na przykład c:\Program Files\Novell\Tomcat\bin).

2 Kliknij prawym przyciskiem myszy plik tomcat8w.exe.

3 Otwórz okno Właściwości: Tomcat8.

4 Kliknij kartę Java.

5 Określ początkowy i maksymalny rozmiar puli pamięci.

WAŻNE: Upewnij się, że początkowy i maksymalny rozmiar puli pamięci jest mniejszy niż ilość fizycznej pamięci RAM, aby zapobiec problemom z wydajnością.

6 Kliknij przycisk Zastosuj, a następnie przycisk OK.

7 Uruchom ponownie usługę Tomcat.

WSKAZÓWKA: Aby zweryfikować nowe ustawienia, przejdź pod adres URL serwera Tomcat i kliknij opcję Stan serwera.

124 Najlepsze rozwiązania i typowe pytania

http://www.novell.com/documentation/apparmor/

A AProblemy związane z zabezpieczeniami w programie iManager

W tej części podano informacje o potencjalnych problemach dotyczących zabezpieczeń w programie iManager. Zawiera ona informacje na następujące tematy:

„Bezpieczne certyfikaty LDAP” na stronie 125

„Certyfikaty samopodpisane” na stronie 126

„Autoryzowani użytkownicy i autoryzowane grupy programu iManager” na stronie 127

„Zapobieganie wykrywaniu nazwy użytkownika” na stronie 127

„Ustawienia serwera Tomcat” na stronie 128

„Szyfrowane atrybuty” na stronie 128

„Bezpieczne połączenia” na stronie 128

Bezpieczne certyfikaty LDAPProgram iManager może tworzyć bezpieczne połączenia LDAP za kulisami bez jakiejkolwiek interwencji użytkownika. Jeśli certyfikat SSL serwera LDAP zostanie zaktualizowany z jakiegokolwiek powodu (na przykład z powodu nowego wewnętrznego ośrodka certyfikacji), program iManager powinien automatycznie pobrać nowy certyfikat przy użyciu uwierzytelnionego połączenia i zaimportować go do swojej bazy danych magazynu kluczy.

Jeśli nie zostanie to wykonane poprawnie, należy usunąć magazyn kluczy prywatnych, którego używa program iManager, aby wymusić ponowne utworzenie bazy danych przez program iManager i serwer Tomcat oraz ponowne pobranie certyfikatu:

1 Zamknij serwer Tomcat.

2 Usuń plik TOMCAT_HOME\webapps\nps\WEB-INF\iMKS.



4 Otwórz program iManager w przeglądarce i zaloguj się z powrotem do drzewa, aby automatycznie pobrać ponownie nowy certyfikat i ponownie utworzyć bazę danych magazynu.

Ewentualnie możesz również ręcznie zaimportować wymagany certyfikat do domyślnego magazynu kluczy maszyny JVM serwera Tomcat, używając narzędzia do zarządzania certyfikatami keytool z pakietu JDK. Tworząc bezpieczne połączenia SSL, program iManager próbuje najpierw domyślnego magazynu kluczy maszyny JVM, a następnie używa bazy danych magazynu kluczy programu iManager.

Po zapisaniu certyfikatu usługi eDirectory w formacie DER należy zaimportować zaufany certyfikat główny do magazynu kluczy programu iManager. Aby to zrobić, potrzebne jest narzędzie do keytool z pakietu JDK. Jeśli z programem iManager zainstalowano środowisko JRE, należy pobrać pakiet JDK, aby móc skorzystać z narzędzia keytool.

Problemy związane z zabezpieczeniami w programie iManager 125

UWAGA: Informacje o tworzeniu pliku certyfikatu DER można znaleźć w części Eksportowanie zaufanego certyfikatu głównego lub certyfikatu klucza publicznego. Konieczne będzie wyeksportowanie zaufanego certyfikatu głównego.

1 Otwórz okno wiersza poleceń.

2 Przejdź do katalogu \bin, w którym został zainstalowany pakiet JDK.

3 Zaimportuj certyfikat do magazynu kluczy za pomocą narzędzia keytool, wykonując następujące polecenia (zależne od platformy):

Linux

keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts

Windows

keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts

W miejsce ciągu nazwa_aliasu wpisz unikatową nazwę tego certyfikatu i pamiętaj, aby użyć pełnej ścieżki do plików trustedrootcert.der i cacerts.

Druga ścieżka polecenia określa lokalizację magazynu kluczy. Ścieżki te są różne w różnych systemach, ponieważ określają położenie katalogu, w którym zainstalowano program iManager. Poniżej przedstawiono przykłady domyślnych położeń programu iManager w systemach Windows i Linux:

Windows: C:\Program Files\Novell\jre\lib\security\cacerts

Linux: /<JAVA_HOME>/jre/lib/security/cacerts

4 Wprowadź hasło magazynu kluczy: changeit.

5 Kliknij przycisk Tak, aby określić ten certyfikat jako zaufany.

UWAGA: Ten proces należy powtórzyć dla każdego drzewa eDirectory, do którego dostęp będzie uzyskiwany za pomocą programu iManager. Jeśli protokół LDAP został skonfigurowany do używania certyfikatu, który nie został podpisany przez wewnętrzny ośrodek certyfikacji drzewa, należy zaimportować zaufany certyfikat główny tego certyfikatu. Jest to wymagane na przykład w przypadku gdy protokół LDAP został skonfigurowany do używania certyfikatu podpisanego przez urząd VeriSign*.

Certyfikaty samopodpisaneProgram iManager zawiera tymczasowy, samopodpisany certyfikat używany podczas instalowania programu iManager na platformie Linux lub Windows. Okres ważności tego certyfikatu to jeden rok. Więcej informacji można znaleźć w części „Wymagania wstępne i zagadnienia do rozważenia związane z instalowaniem programu iManager” w Podręczniku instalacji programu NetIQ iManager.

126 Problemy związane z zabezpieczeniami w programie iManager

https://www.netiq.com/documentation/edirectory-91/edir_admin/data/b1j4t6zc.html

https://www.netiq.com/documentation/edirectory-91/edir_admin/data/b1j4t6zc.html

Autoryzowani użytkownicy i autoryzowane grupy programu iManager

Gdy użytkownik lub grupa są autoryzowane, oznacza to, że program iManager zezwala na wykonywanie różnych zadań administracyjnych temu użytkownikowi lub tej grupie. Aby uzyskać więcej informacji o określaniu i konfigurowaniu użytkowników i grup autoryzowanych, zobacz „Autoryzowani użytkownicy i grupy” na stronie 77.

Dane autoryzowanych użytkowników i grup są przechowywane w pliku configiman.properties, który należy zabezpieczyć, aby zapobiec jego nieautoryzowanej modyfikacji. W tym celu należy zmodyfikować kontrolę dostępu do pliku configiman.properties, tak aby ograniczyć zakres użytkowników, którzy mogą ręcznie edytować plik.

UWAGA: Jeśli nie zostanie określony użytkownik autoryzowany lub grupa autoryzowana (przez co nie zostanie utworzony plik configiman.properties) lub zostaną one określone z ustawieniem AllUsers, wszyscy użytkownicy będą mogli instalować dodatki typu plug-in programu iManager oraz modyfikować ustawienia serwera programu iManager. Stanowi to zagrożenie bezpieczeństwa w przypadku serwerowych środowisk programu iManager.

Zapobieganie wykrywaniu nazwy użytkownikaW niektórych instalacjach serwer usługi eDirectory jest chroniony zaporą sieciową, ale serwer programu iManager jest otwarty na świat zewnętrzny, umożliwiając wykonywanie zadań zarządzania z domu lub w trakcie podróży. Dostęp do programu iManager jest kontrolowany za pomocą pól Nazwa użytkownika, Hasło i Nazwa drzewa na ekranie logowania. W takich instalacjach często pożądane jest zwiększenie poziomu zabezpieczeń w celu uniknięcia ujawnienia informacji o systemie.

W standardowych konfiguracjach programu iManager podczas uwierzytelniania przekazywane są komunikaty usługi eDirectory związane z nieprawidłowymi nazwami użytkowników i hasłami. Komunikaty te mogą niezamierzenie dostarczać zbyt wiele informacji potencjalnym crackerom. Aby tego uniknąć, program iManager zawiera opcję konfiguracji umożliwiającą ukrycie określonej przyczyny niepowodzenia logowania. Po jej włączeniu następujące komunikaty o błędach zostają zastąpione ogólnym komunikatem o błędzie o treści: Niepowodzenie logowania. Nieprawidłowa nazwa użytkownika lub hasło.

Nieprawidłowa nazwa użytkownika (-601)

Nieprawidłowe hasło (-669)

Wygasłe hasło lub konto wyłączone (-220)

Aby włączyć to ustawienie, należy otworzyć widok Konfiguruj, a następnie wybrać kolejno Serwer programu iManager > Konfiguruj program iManager. Na karcie Uwierzytelnienie należy zaznaczyć pole wyboru Ukryj określoną przyczynę niepowodzenia logowania. Spowoduje to ustawienie parametru Authenticate.Form.HideLoginFailReason=true w pliku config.xml programu iManager.

Ponadto program iManager nie obsługuje gwiazdek (*) jako znaków wyrażenia regularnego w polu Nazwa użytkownika. Uniemożliwia to nieautoryzowanym użytkownikom wykrywanie prawidłowych nazw użytkowników. Zapobiega to też możliwym atakom typu „odmowa usługi”, które polegają na przeciążaniu serwera usługi eDirectory przez ciągłe próby zalogowania się przy użyciu tylko znaku wyrażenia regularnego (*), co wymusza na usłudze eDirectory wyszukanie i zwrócenie wszystkich pasujących nazw użytkowników.


Ustawienia serwera TomcatPonieważ program iManager używa kontenera serwletu Tomcat, administratorzy programu iManager powinni pamiętać o opcjach konfiguracji związanych z szyfrowaniem tych zasobów jako o części ogólnej strategii zabezpieczeń. Szczególną uwagę należy tu zwrócić na mechanizmy szyfrowania i zaufane certyfikaty, które mają bezpośredni wpływ na jakość szyfrowania transmisji przewodowej. Podczas konfigurowania środowiska Tomcat należy rozważyć następujące zasady:

Nie należy używać mechanizmów szyfrowania SSL 2.0, które są nieaktualne i nie gwarantują bezpieczeństwa.

Nie należy używać mechanizmu szyfrowania NULL w środowisku produkcyjnym.

Nie należy używać mechanizmów szyfrowania zaklasyfikowanych jako mechanizmy o jakości LOW (niska) lub EXPORT (eksport), ponieważ są one mniej bezpieczne.

Należy sprawdzać regularnie listę zaufanych certyfikatów oraz ograniczyć listę zaakceptowanych ośrodków certyfikacji tylko do tych, które są rzeczywiście używane.

Dodatkowe informacje o serwerze Tomcat są dostępne w witrynie z dokumentacją serwera Apache Tomcat w sieci Web (http://tomcat.apache.org/tomcat-8.0-doc/).

Szyfrowane atrybutyProgram iManager może bezpiecznie odczytywać szyfrowane atrybuty usługi eDirectory. Jednak ze względu na sposób określania, czy atrybut jest szyfrowany, program iManager nie modyfikuje ani nie usuwa bezpiecznie tych atrybutów. Wpływ tej cechy, który może powodować ujawnienie danych transmitowanych przewodowo, można obniżyć przez zwykłe działania związane z zabezpieczeniem sieci, takie jak:

Umieszczanie wszystkich serwerów programu iManager za zaporą sieciową.

Umieszczanie serwerów programu iManager fizycznie w pobliżu skojarzonych z nimi serwerów usługi eDirectory

Fizyczne zabezpieczanie serwerów programu iManager i serwerów usługi eDirectory

Wymaganie od administratorów zdalnych używania sieci VPN do uzyskiwania dostępu do serwerów programu iManager i serwerów usługi eDirectory.

Bezpieczne połączeniaMimo że program iManager korzysta z bezpiecznego protokołu HTTP (SSL) do komunikacji z klientami i zabezpiecza połączenia LDAP między serwerami programu iManager i serwerami usługi eDirectory, to nie korzysta (za wyjątkiem odczytu szyfrowanych atrybutów) z bezpiecznych połączeń NCP do komunikacji między serwerami programu iManager a serwerami usługi eDirectory.

To samo dotyczy połączenia NCP używanego przez program Mobile Manager. Wpływ tej cechy, który może powodować ujawnienie danych transmitowanych przewodowo, można obniżyć przez zwykłe działania związane z zabezpieczeniem sieci, takie jak:

Umieszczanie wszystkich serwerów programu iManager za zaporą sieciową.

Umieszczanie serwerów programu iManager fizycznie w pobliżu skojarzonych z nimi serwerów usługi eDirectory

128 Problemy związane z zabezpieczeniami w programie iManager

http://tomcat.apache.org/tomcat-8.0-doc/

http://tomcat.apache.org/tomcat-8.0-doc/

Fizyczne zabezpieczanie serwerów programu iManager i serwerów usługi eDirectory

Wymaganie od administratorów zdalnych używania sieci VPN do uzyskiwania dostępu do serwerów programu iManager i serwerów usługi eDirectory.

UWAGA: Bez względu na używane szyfrowanie transmisji przewodowej hasła są zawsze szyfrowane i chronione w ramach procesu uwierzytelniania w programie iManager.


B

Moduły dodatków typu plug-in firmy NetIQ 131

BModuły dodatków typu plug-in firmy NetIQ

Program iManager jest dostarczony z następującymi rolami będącymi częścią dodatku plug-inbase.npm. Dodatkowe moduły dodatków typu plug-in należy pobrać osobno.

Administrowanie katalogiem

Partycje i repliki

Centrum pomocy technicznej

Schemat

Prawa

użytkownicy

Grupy

Najlepszym miejscem na wyszukiwanie i pobieranie dodatków typu plug-in programu iManager jest strona Dostępne moduły dodatków typu plug-in firmy NetIQ tego programu. Można też pobierać dodatki typu plug-in ze strony pobierania firmy NetIQ (https://dl.netiq.com/index.jsp). W kryteriach wyszukiwania należy wybrać program iManager jako produkt.

Firma NetIQ czasami wydaje aktualizacje dodatków typu plug-in programu iManager. Aktualizacje te są udostępniane w witrynie pobierania dodatków typu plug-in programu NetIQ iManager (https://www.netiq.com/support/imanager/plugins/).

Podstawowe dodatki typu plug-in programu iManager są dostępne tylko jako część pełnego oprogramowania iManager do pobrania. O ile nie są dostępne określone aktualizacje tych dodatków typu plug-in, można je pobierać i instalować tylko z całym produktem iManager.

Więcej informacji o pobieraniu dodatków typu plug-in programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

UWAGA: Domyślnie moduły dodatków typu plug-in nie są replikowane między serwerami iManager. Firma NetIQ zaleca instalowanie żądanych modułów dodatków typu plug-in na każdym serwerze iManager.

https://dl.netiq.com/index.jsp

https://www.netiq.com/support/imanager/plugins/

NetIQ · 2018-05-03 · Informacje o niniejszym podręczniku i bibliotece 7 Informacje o firmie...

Documents

Transcript of NetIQ · 2018-05-03 · Informacje o niniejszym podręczniku i bibliotece 7 Informacje o firmie...