Podręczniku administrowania programem NetIQ iManager · 2016-05-17 · Informacje o niniejszym...

NetIQ® iManager Podręcznik administracji

Styczeń 2016

Informacje prawne

Informacje prawne, na temat znaków towarowych, zrzeczeń, gwarancji, eksportu i innych ograniczeń użytkowania, praw rządu Stanów Zjednoczonych, zasad dotyczących patentów oraz zgodności ze standardem FIPS można znaleźć na stronie https://www.netiq.com/company/legal/.

Copyright © 2016 NetIQ Corporation, spółka Micro Focus. Wszelkie prawa zastrzeżone.

https://www.netiq.com/company/legal/

https://www.netiq.com/company/legal/

Spis treści

Informacje o niniejszym podręczniku i bibliotece 9Informacje o firmie NetIQ Corporation 11

1 Omówienie 15

2 Uzyskiwanie dostępu do programu iManager 17

2.1 Uzyskiwanie dostępu do serwerowej wersji programu iManager. . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.2 Uzyskiwanie dostępu do programu iManager Workstation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.3 Omówienie trybów dostępu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.4 Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBA . . . . . . . . . . . . . . . . . . . . . . . . 192.5 Zarządzanie wieloma drzewami eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3 Poruszanie się w obrębie interfejsu programu iManager 23

3.1 Interfejs programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.1.1 Ramka nagłówka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.1.2 Ramka nawigacyjna. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.1.3 Ramka zawartości . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.2 Znaki specjalne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4 Przeglądanie obiektów 27

4.1 Używanie widoku obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284.1.1 Drzewo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284.1.2 Przeglądanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.1.3 Znajdź . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.2 Korzystanie z selektora obiektów. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334.2.1 Przeglądanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.2.2 Znajdź . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

5 Role i zadania 37

5.1 Poruszanie się w widoku Role i zadania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375.1.1 Wybieranie i filtrowanie obiektów. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

5.2 Administrowanie katalogiem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415.2.1 Kopiowanie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415.2.2 Tworzenie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.2.3 Usuwanie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.2.4 Modyfikowanie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.2.5 Przenoszenie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.2.6 Zmienianie nazwy obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.3 Grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.3.1 Tworzenie grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.3.2 Usuwanie grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.3.3 Modyfikowanie grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.3.4 Modyfikowanie członków grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.3.5 Przenieś grupę. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.3.6 Zmień nazwę grupy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.3.7 Wyświetlanie grup użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Spis treści 3

4 Pod

5.4 Centrum pomocy technicznej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.4.1 Usuwanie blokady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.4.2 Tworzenie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.4.3 Ustawianie hasła . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

5.5 Partycje i repliki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.5.1 Tworzenie partycji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.5.2 Łączenie partycji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.5.3 Przenoszenie partycji. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.5.4 Przeglądanie informacji o replikach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485.5.5 Wyświetlanie informacji o partycji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485.5.6 Korzystanie z Kreatora repliki filtrowanej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.6 Prawa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485.6.1 Modyfikowanie filtru uprawnień dziedziczonych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.6.2 Modyfikowanie praw dysponentów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.6.3 Prawa do innych obiektów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.6.4 Wyświetlanie praw efektywnych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.7 Schemat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505.7.1 Dodawanie atrybutu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.7.2 Wyświetlanie informacji dotyczących atrybutów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.7.3 Wyświetlanie informacji o klasie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.7.4 Tworzenie atrybutu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.7.5 Tworzenie klasy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.7.6 Usuwanie atrybutu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.7.7 Usuwanie klasy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.7.8 Rozszerzanie schematu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535.7.9 Rozszerzanie obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

5.8 użytkownicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535.8.1 Tworzenie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.8.2 Usuwanie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.8.3 Wyłączanie konta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.8.4 Włączanie konta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.8.5 Modyfikowanie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.8.6 Przenoszenie użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.8.7 Zmiana nazwy użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6 Konfigurowanie i dostosowywanie programu iManager 57

6.1 Usługi oparte na rolach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576.1.1 Obiekty RBS w usłudze eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.1.2 Instalowanie usług RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606.1.3 Usuwanie usługi RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

6.2 Konfiguracja usługi RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616.2.1 Karta Rola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.2.2 Karta Zadanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656.2.3 Karta Książka właściwości. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666.2.4 Karta Moduł . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686.2.5 Karta Kategoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686.2.6 Studio dodatków typu plug-in. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 696.2.7 Edytowanie skojarzeń członków . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.2.8 Edytowanie kolekcji właścicieli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

6.3 Raporty RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726.3.1 Tworzenie raportów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726.3.2 Korzystanie z raportów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.4 Serwer programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766.4.1 Konfigurowanie programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776.4.2 Zabezpieczenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776.4.3 Wygląd i działanie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786.4.4 Zdarzenia zapisu dziennika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796.4.5 Przekierowanie po wylogowaniu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

ręczniku administrowania programem NetIQ iManager

6.4.6 Uwierzytelnianie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806.4.7 RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816.4.8 Pobieranie dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826.4.9 Różne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826.4.10 Certyfikat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

6.5 Lista tworzenia obiektów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846.5.1 Dodawanie klasy obiektów do listy tworzenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846.5.2 Usuwanie klasy obiektów z listy tworzenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

6.6 Instalowanie modułów dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856.6.1 Dostępne moduły dodatków typu plug-in firmy NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856.6.2 Zainstalowane moduły dodatków typu plug-in firmy NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . 85

6.7 Pobieranie i instalowanie modułów dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866.7.1 Skonfigurowane usługi RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876.7.2 Odinstalowywanie modułu dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876.7.3 Dostosowywanie lokalizacji pobierania dodatków typu plug-in . . . . . . . . . . . . . . . . . . . . . . 87

6.8 Powiadomienie pocztą e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896.8.1 Konfigurowanie serwera poczty. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896.8.2 Powiadomienie o zdarzeniu zadania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

6.9 Widoki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906.9.1 Pokazywanie i ukrywanie widoków programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . 906.9.2 Włączanie i wyłączanie widoku Identity Manager jako domyślnego widoku w

programie iManager na serwerach z zainstalowanym oprogramowaniem Identity Manager .90

7 Preferencje 93

7.1 Zarządzaj Ulubionymi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937.2 Selektor obiektu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937.3 Widok obiektu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947.4 Ustaw widok początkowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947.5 Język . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

8 Rozwiązywanie problemów 97

8.1 Problemy związane z uwierzytelnianiem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988.1.1 Błędy HTTP 404 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988.1.2 Błędy HTTP 500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998.1.3 Komunikaty o błędach 601 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998.1.4 Komunikaty o błędach 622 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998.1.5 Komunikaty o błędach 632 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998.1.6 Komunikaty o błędach 634 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008.1.7 Komunikaty o błędach 669 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008.1.8 Pole nazwy drzewa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008.1.9 Logowanie się do serwera bez repliki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018.1.10 Problemy z uwierzytelnianiem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018.1.11 Informacje o utracie ważności hasła . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018.1.12 Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub

alternatywnych atrybutów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018.2 Uzyskiwanie dostępu do obiektów serwera NCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028.3 Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy

Windows XP/2000). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1038.4 Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z

nieprawidłowymi znakami w nazwie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1038.5 Błędy dotyczące zadania eDirectory — utrzymanie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1038.6 Włączanie komunikatów debugowania dla instalacji i konfiguracji. . . . . . . . . . . . . . . . . . . . . . . . . . 1038.7 Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi

logowaniami użytkowników . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Spis treści 5

6 Pod

8.8 Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

8.9 Błędy związane z brakiem atrybutu, obiektu lub wartości . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048.10 Brakujące role lub zadania w widoku Konfiguruj . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

8.10.1 Role i zadania, których może brakować . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1058.10.2 Możliwe przyczyny utraty statusu autoryzowanego użytkownika . . . . . . . . . . . . . . . . . . . 105

8.11 Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

8.12 Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

8.13 Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078.13.1 Uruchamianie i zatrzymywanie serwera Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078.13.2 Porty serwera Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

8.14 Błąd “Nie można określić stanu hasła uniwersalnego”. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1088.15 Program iManager Workstation nie wyświetla informacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1088.16 Czasami przycisk Odśwież nie działa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1098.17 Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie

są poprawnie instalowane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1098.18 Problem z logowaniem po zmianie adresu IP drzewa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1108.19 Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty Java . . . . . . . . . . . . . . . 1118.20 Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager Workstation . . . . . . 1118.21 Inne zakresy dat używane w programie iManager i katalogu LDAP . . . . . . . . . . . . . . . . . . . . . . . . 1128.22 Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy

dynamicznej . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1128.23 Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania

na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacji . . . . . . . . . . . 112

9 Przeprowadzanie audytu zdarzeń programu iManager 115

9.1 Włączanie audytu Novell w programie iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1169.2 Włączanie audytu XDAS w programie iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1179.3 Konfigurowanie audytu XDAS dla programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1179.4 Konfigurowanie audytu dla programu iManager przy użyciu certyfikatów zewnętrznych. . . . . . . . . 120

10 Najlepsze rozwiązania i typowe pytania 121

10.1 Opcje tworzenia kopii zapasowych i przywracania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12110.2 Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na

rolach (RBS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12110.3 Kolekcje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12210.4 Nieudane instalacje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

10.4.1 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12210.4.2 System Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

10.5 Wysoka dostępność: Uruchamianie programu iManager w środowisku klastrowym. . . . . . . . . . . . 12310.6 Dostrajanie wydajności . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

10.6.1 Używanie grup dynamicznych z usługami RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12410.6.2 Przypisania ról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

10.7 Profil oprogramowania AppArmor dla programu iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12510.8 Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows. . . . . . . . . . . . . . . . . 125

A Problemy związane z zabezpieczeniami w programie iManager 127

A.1 Bezpieczne certyfikaty LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127A.2 Certyfikaty samopodpisane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

ręczniku administrowania programem NetIQ iManager

A.3 Autoryzowani użytkownicy i autoryzowane grupy programu iManager . . . . . . . . . . . . . . . . . . . . . . 129A.4 Zapobieganie wykrywaniu nazwy użytkownika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129A.5 Ustawienia serwera Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130A.6 Szyfrowane atrybuty. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130A.7 Bezpieczne połączenia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

B Moduły dodatków typu plug-in firmy NetIQ 133

Spis treści 7

8 Podręczniku administrowania programem NetIQ iManager

Informacje o niniejszym podręczniku i bibliotece

Podręcznik administracji zawiera informacje koncepcyjne dotyczące produktu NetIQ iManager (iManager). Podano w nim definicje terminów oraz przedstawiono scenariusze implementacji.

Najnowszą wersję Podręcznika administracji programu NetIQ iManager zawiera angielska wersja dokumentacji dostępna online w witrynie z dokumentacją programu NetIQ iManager (https://www.netiq.com/documentation/imanager-3/).

Docelowi odbiorcyTen podręcznik jest przeznaczony dla administratorów sieci.

Inne informacje w biblioteceBiblioteka udostępnia następujące zasoby informacyjne:

Podręcznik instalacji

Opisuje procedurę instalowania programu iManager. Jest on przeznaczony dla administratorów sieci.

Informacje o niniejszym podręczniku i bibliotece 9

https://www.netiq.com/documentation/imanager-3/

Informacje o firmie NetIQ Corporation

Jesteśmy globalnym przedsiębiorstwem zajmującym się tworzeniem oprogramowania. Nasze działania mają na celu sprostanie trzem podstawowym wyzwaniom związanym ze środowiskiem naszych Klientów: zmianom, złożoności i ryzyku — pragniemy pomóc im w przezwyciężeniu tych przeszkód.

Nasz punkt widzeniaPrzystosowywanie się do zmian oraz zarządzanie złożonością i ryzykiem to nic nowego

Ze wszystkich wyzwań, jakim muszą sprostać nasi Klienci, te trzy są w istocie najważniejszymi czynnikami ograniczającymi możliwość kontroli fizycznych, wirtualnych i chmurowych środowisk obliczeniowych — ich analizowania i monitorowania oraz zarządzania nimi w bezpieczny sposób.

Krytyczne usługi biznesowe: lepiej i szybciej

Wierzymy, że zapewnienie organizacjom IT maksymalnego możliwego poziomu kontroli to jedyny sposób na zagwarantowanie im możliwości efektywnego i zharmonizowanego czasowo świadczenia usług. Nacisk związany ze zmianami i poziomem złożoności nasila się przez cały czas wraz z nieustanną ewolucją organizacji i rosnącą złożonością technologii niezbędnych do zarządzania nimi.

Nasza filozofiaSprzedajemy inteligentne rozwiązania, nie samo oprogramowanie

W celu zapewnienia niezawodnej kontroli musimy najpierw poznać rzeczywiste sytuacje, z którymi organizacje IT stykają się każdego dnia. Tylko ta metoda działania pozwala opracować praktyczne, inteligentne rozwiązania IT gwarantujące uzyskanie sprawdzonych, wymiernych rezultatów. To znacznie bardziej satysfakcjonujące niż zwykła sprzedaż oprogramowania.

Sukces naszych Klientów to nasza pasja

Sukces naszych Klientów to punkt centralny naszej działalności biznesowej. Wiemy, że na każdym etapie powstawania produktu — od projektu po wdrożenie — potrzebują oni rozwiązań IT umożliwiających bezproblemową współpracę i integrację z już istniejącymi systemami, potrzebują stabilnego wsparcia i szkoleń powdrożeniowych, a wreszcie — kogoś, z kim naprawdę łatwo wprowadzić wymaganą zmianę. Końcowy rezultat może być tylko jeden: jeśli nasz Klient osiągnie sukces, osiągniemy go wszyscy.

Nasze rozwiązania Nadzór nad tożsamością i dostępem

Zarządzanie dostępem

Informacje o firmie NetIQ Corporation 11

Zarządzanie zabezpieczeniami

Zarządzanie systemami i aplikacjami

Zarządzanie obciążeniami

Zarządzanie usługami

Kontakt ze wsparciem ds. sprzedażyW razie pytań dotyczących produktów, cen i możliwości należy się skontaktować z lokalnym partnerem. Jeśli nie jest to możliwe, należy się skontaktować z naszym zespołem wsparcia ds. sprzedaży.

Kontakt z usługami wsparcia Technical SupportW przypadku problemów z produktem należy się skontaktować z naszym zespołem ds. usług wsparcia Technical Support.

Kontakt ze wsparciem ds. dokumentacjiNaszym celem jest dostarczanie dokumentacji, która spełnia potrzeby użytkowników. W razie propozycji ulepszeń należy kliknąć opcję Add Comment (Dodaj komentarz) u dołu dowolnej strony zawierającej wersję HTML dokumentacji opublikowanej w witrynie www.netiq.com/documentation. Można też wysłać wiadomość e-mail na adres [email protected]. Cenimy opinie naszych Klientów, dlatego z niecierpliwością czekamy na komentarze.

Świat: www.netiq.com/about_netiq/officelocations.asp

Stany Zjednoczone i Kanada: 1-888-323-6768

Adres e-mail: [email protected]

Witryna WWW: www.netiq.com

Świat: www.netiq.com/support/contactinfo.asp

Ameryka Północna i Południowa: 1-713-418-5555

Europa, Bliski Wschód i Afryka: +353 (0) 91-782 677

Adres e-mail: [email protected]

Witryna WWW: www.netiq.com/support


http://www.netiq.com/about_netiq/officelocations.asp

mailto:[email protected]

http://www.netiq.com

http://www.netiq.com/support/contactinfo.asp


http://www.netiq.com/support

http://www.netiq.com/documentation


Kontakt ze wspólnotą użytkowników w trybie onlineQmunity — wspólnota firmy NetIQ w trybie online — to sieć współpracy łącząca użytkowników oraz ekspertów firmy NetIQ. Dzięki dostępowi do aktualniejszych informacji, przydatnych łączy do zasobów pomocy oraz ekspertów firmy NetIQ wspólnota Qmunity pomaga opanować wiedzę niezbędną do pełnego wykorzystania potencjału poczynionych inwestycji IT. Więcej informacji można znaleźć w witrynie http://community.netiq.com.

Informacje o firmie NetIQ Corporation 13

http://community.netiq.com

1 1Omówienie

NetIQ iManager to internetowa konsola administracyjna, która zapewnia bezpieczny, dostosowany do indywidualnych potrzeb dostęp do programów narzędziowych służących do administrowania siecią oraz do danych z praktycznie dowolnego miejsca, w którym można skorzystać z Internetu i przeglądarki internetowej.

Program iManager łączy w sobie:

pojedynczy punkt administrowania obiektami, schematami, partycjami i replikami usługi NetIQ eDirectory;

funkcje centrum administrowania wieloma innymi zasobami sieciowymi;

możliwości zarządzania wieloma innymi produktami firm NetIQ i Novell przy użyciu dodatków typu plug-in programu iManager;

usługi oparte na funkcjach (RBS) umożliwiające delegowanie zadań administracyjnych.

Ponieważ program iManager jest narzędziem opartym na sieci Web, ma przewagę nad klienckimi narzędziami administracyjnymi w kilku aspektach:

Możliwość jednoczesnego uaktualniania wszystkich użytkowników administracyjnych z poziomu serwera.

Zmiany wyglądu, sposobu działania i funkcjonalności programu iManager są natychmiast dostępne dla wszystkich użytkowników administracyjnych.

Nie ma potrzeby otwierania dodatkowych portów administracyjnych do celów dostępu zdalnego. Program iManager korzysta ze standardowych portów HTTP (80/443).. Program iManager umożliwia komunikację przez niestandardowe porty HTTP.

Nie ma potrzeby pobierania i utrzymywania klienta administracyjnego.

Nie ma potrzeby synchronizowania oprogramowania klienta ze zmianami oprogramowania serwera.

Omówienie 15

2 2Uzyskiwanie dostępu do programu iManager

Program iManager, wraz z całym zestawem swych funkcji, jest dostępny z dowolnej obsługiwanej przeglądarki internetowej. Dostęp do programu iManager można również uzyskać za pomocą przeglądarki internetowej niewymienionej na liście obsługiwanych przeglądarek, ale w przypadku przeglądarek, które nie są oficjalnie obsługiwane, nie można zagwarantować uzyskania pełnej funkcjonalności.

WAŻNE: Informacje na temat przeglądarek obsługiwanych przez tę wersję zawiera Podręcznik instalacji programu NetIQ iManager.

Do poprawnego działania niektórych kreatorów i funkcji pomocy programu iManager konieczne jest włączenie okien podręcznych w przeglądarce internetowej. Jeśli używana jest aplikacja, która blokuje okna podręczne, należy wyłączyć funkcję blokowania na czas pracy w programie iManager lub zezwolić na wyświetlanie okien podręcznych pochodzących od hosta programu iManager.

Jeśli przeglądarka internetowa została skonfigurowana tak, aby nie były wyświetlane obrazy z witryn WWW, interfejs programu iManager może być zniekształcony i niemożliwy do użytku.

Sposób uzyskiwania dostępu do programu iManager różni się w zależności od wersji programu iManager (wersja serwerowa lub Workstation) oraz platformy, na której ten program jest uruchamiany. Informacje na temat instalowania programu iManager zawiera Podręcznik instalacji programu NetIQ iManager.

Ta część zawiera omówienie następujących zagadnień:

Sekcja 2.1, „Uzyskiwanie dostępu do serwerowej wersji programu iManager” na stronie 17

Sekcja 2.2, „Uzyskiwanie dostępu do programu iManager Workstation” na stronie 18

Sekcja 2.3, „Omówienie trybów dostępu” na stronie 18

Sekcja 2.4, „Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBA” na stronie 19

Sekcja 2.5, „Zarządzanie wieloma drzewami eDirectory” na stronie 21

2.1 Uzyskiwanie dostępu do serwerowej wersji programu iManagerAby uzyskać dostęp do serwerowej wersji programu iManager:

1 Wprowadź jeden z następujących adresów w polu adresu URL obsługiwanej przeglądarki internetowej.

Aby uzyskać dostęp do programu iManager na platformie Novell Open Enterprise Server (OES):

Bezpieczny adres URL: https:// <adres ip serwera>/nps/iManager.html

Aby uzyskać dostęp do programu iManager na platformie innej niż OES:

Bezpieczny adres URL: https:// <adres ip serwera>:8443/nps/iManager.html

Uzyskiwanie dostępu do programu iManager 17

UWAGA: Wymagania programu iManager dotyczące serwera sieci Web obejmują tylko serwer Tomcat 5 i 5.5. Na platformach innych niż OES należy określić port serwera Tomcat w adresie URL.

W poniższych przykładach adres IP w parametrze <adres IP serwera> może być w formacie IPv4 lub IPv6. Na przykład podczas uzyskiwania dostępu do programu iManager na platformie OES adres URL może mieć dowolną z następujących postaci:

IPv4: https://127.0.0.1/nps/iManager.html

IPv6: https://[2001:db8::6]/nps/iManager.html

Wprawdzie nieznacznie różniące się adresy URL programu iManager mogą działać na niektórych platformach, jednak firma NetIQ zaleca używanie tych adresów w celu zachowania spójności.

2 Zaloguj się przy użyciu swojej nazwy użytkownika, hasła i nazwy drzewa.

2.2 Uzyskiwanie dostępu do programu iManager WorkstationAby uzyskać dostęp do programu iManager Workstation:

1 Wykonaj odpowiedni skrypt startowy programu iManager Workstation.

Linux: Przejdź do katalogu imanager/bin i wykonaj polecenie ./iManager.sh.

UWAGA: Jeśli w przyszłości program iManager Workstation ma być uruchamiany przez użytkownika niebędącego administratorem, nie należy za pierwszym razem uruchamiać programu z uprawnieniami administratora.

Windows: Wykonaj polecenie imanager\bin\iManager.bat.

2 Zaloguj się przy użyciu swojej nazwy użytkownika, hasła i nazwy drzewa.

2.3 Omówienie trybów dostępuPodczas uruchamiania programu iManager tryb dostępu jest przyznawany na podstawie praw przypisanych użytkownikowi. W programie iManager istnieją trzy tryby dostępu. Bieżący tryb jest wyświetlany na stronie domowej programu iManager.

Dostęp bez ograniczeń: Jest to tryb domyślny do czasu skonfigurowania usług RBS. W tym trybie wyświetlane są wszystkie zainstalowane funkcje i zadania. Mimo że wszystkie funkcje i zadania są widoczne, do korzystania z nich przez uwierzytelnionych użytkowników konieczne są odpowiednie prawa.

Istnieje ustawienie, które można dodać do pliku config.xml, umożliwiające wymuszenie dostępu bez ograniczeń, nawet po zainstalowaniu usług opartych na rolach. Aby wymusić dostęp bez ograniczeń dla wszystkich użytkowników, należy dodać następujące ustawienie do pliku <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml, a następnie ponownie uruchomić serwer Tomcat:

<setting>

<name><![CDATA[RBS.forceUnrestricted]]></name>

<value><![CDATA[true]]></value>


</setting>

Informacje o ponownym uruchamianiu serwera Tomcat można znaleźć w części „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 107.

UWAGA: Gdy program iManager jest używany w trybie Bez ograniczeń, na stronie domowej tego programu jest zwykle widoczny następujący komunikat: Uwaga: Niektóre role i zadania są niedostępne.Kliknięcie przycisku Wyświetl szczegóły może w przypadku kilku zadań spowodować wyświetlenie komunikatu Brak obsługi przez bieżące procesy uwierzytelniające, nawet jeśli te zadania działają poprawnie. Ten komunikat wprowadza w błąd i dlatego jest usuwany przez program iManager po skonfigurowaniu usług RBS przez użytkownika.

Przypisany dostęp: Wyświetlane są tylko funkcje i zadania przypisane do uwierzytelnionego użytkownika. W tym trybie w pełni wykorzystywana jest technologia usług opartych na rolach (RBS).

Właściciel kolekcji: Wyświetlane są wszystkie funkcje i zadania zainstalowane w kolekcji. Właściciel kolekcji — nawet bez przypisanych konkretnych ról — może korzystać ze wszystkich ról i zadań w kolekcji. Aby można było korzystać z tego trybu, muszą być zainstalowane usługi oparte na rolach. Dodanie grupy lub użytkownika jako właściciela kolekcji nie powoduje przypisania żadnych praw RBS. Aby przypisać prawa, należy wykonać jawne przypisanie roli RBS lub przypisanie dysponenta.

UWAGA: Gdy kolekcja jest przypisywana do grupy, wszyscy członkowie tej grupy stają się właścicielami tej kolekcji. Właściciel kolekcji ma dostęp do wszystkich ról i zadań, niezależnie od członkostwa w rolach.

2.4 Uwierzytelnianie na serwerze eDirectory obsługującym funkcję EBAAby uzyskać dostęp do katalogu eDirectory obsługującego funkcję EBA z poziomu programu iManager obsługującego funkcję EBA, certyfikat ośrodka certyfikacji EBA musi się znajdować w magazynie zaufanych certyfikatów EBA programu iManager. Plik .eba.p12 zawiera certyfikat ośrodka certyfikacji EBA dla drzewa. Aby pobrać certyfikat ośrodka certyfikacji EBA na komputer z programem iManager, należy użyć programu narzędziowego ebaclientinit. ebaclientinit to nowy program narzędziowy wiersza poleceń dołączony do pakietu instalacyjnego programu iManager.

Po uruchomieniu program narzędziowy ebaclientinit generuje plik .eba.p12 dla określonego użytkownika w określonym drzewie. Ten plik jest ukryty i znajduje się w katalogu domowym użytkownika ($HOME) w systemie Linux lub katalogu profilu użytkownika (%USERPROFILE%) w systemie Windows.

WAŻNE: Funkcja EBA wymaga synchronizacji czasu na wszystkich serwerach i klientach obsługujących funkcję EBA w środowisku eDirectory. Jeśli czas nie zostanie zsynchronizowany, funkcja EBA może nie działać prawidłowo.

W poniższej tabeli wymieniono opcje wiersza poleceń dostępne w programie narzędziowym ebaclientinit:


Przykład: ebaclientinit --mechanism ebatls --user-dn jan.foo.org --password h@s&o --address 111.111.11.1:524

W zależności od platformy program narzędziowy ebaclientinit można uruchomić, korzystając z jednej z poniższych metod:

Linux: Program iManager jest uruchamiany jako użytkownik novlwww w systemie Linux. W związku z tym należy uruchomić program narzędziowy ebaclientinit jako użytkownik novlwww za pomocą następującego polecenia:

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

Windows: Wykonaj następujące czynności:

1 Zaloguj się w programie iManager jako dowolny użytkownik inny niż System.

2 Uruchom program narzędziowy ebaclientinit za pomocą polecenia C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls.

Spowoduje to umieszczenie pliku .eba.p12 w katalogu profilu użytkownika.

3 Skopiuj plik .eba.p12 do katalogu C:\Windows\System32\config\systemprofile.

Jest to konieczne, ponieważ w systemie Windows program iManager jest uruchamiany jako użytkownik System.

Można też uruchomić program narzędziowy ebaclientinit za pomocą narzędzia psexec jako użytkownik System.

1 Pobierz narzędzie psexec ze strony pobierania firmy Microsoft.

2 W wierszu poleceń przejdź do katalogu zawierającego narzędzie psexec i uruchom następujące polecenie:

psexec -i -s -d cmd

3 W wierszu poleceń uruchom program narzędziowy ebaclientinit za pomocą następującego polecenia:

C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls

UWAGA: Jeśli program iManager nie odnajdzie certyfikatu ośrodka certyfikacji EBA dla drzewa w pliku .eba.p12 lub plik .eba.p12 nie istnieje, dodatek typu plug-in EBA programu iManager monituje o podanie poświadczeń konta sadmin serwera funkcjonującego jako ośrodek certyfikacji EBA. Firma NetIQ nie zaleca jednak stosowania konta sadmin.

Opcje wiersza poleceń Opis

--user-dn W pełni kwalifikowana nazwa użytkownika w formacie kropkowym.

--hasło Hasło użytkownika obsługującego funkcję EBA.

--adres Adres serwera NCP w drzewie. Składnia to <adres IP>:<port>.


https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

2.5 Zarządzanie wieloma drzewami eDirectory Program iManager oferuje łatwą metodę zarządzania wieloma drzewami eDirectory w jednym interfejsie. Można wybrać drzewo, z którym ma zostać nawiązane połączenie, a także przełączać drzewa, w których obecnie jest się zalogowanym użytkownikiem. Po nawiązaniu połączenia z drzewem program iManager udostępnia zawartość właściwą dla tego drzewa, na przykład operacje administrowania i zadania, a także pozwala skonfigurować wymagane opcje. Pozostałe opcje konfiguracji są oparte na ustawieniach domyślnych. Można zalogować się jednocześnie w maksymalnie 20 drzewach eDirectory.

Aby zarządzać wieloma połączeniami eDirectory:

1 Uruchom program iManager.

2 Zaloguj się do drzewa eDirectory jako administrator z odpowiednimi prawami.

Po pomyślnym zalogowaniu na pasku górnym w interfejsie programu iManager zostanie wyświetlona ikona Zarządzaj połączeniami przed ikoną Pomoc.

3 Kliknij ikonę Zarządzaj połączeniami.

Na stronie zostanie wyświetlony formularz logowania. Jeśli masz połączenia z innymi drzewami, program iManager wyświetli listę drzew, w których jesteś obecnie zalogowanym użytkownikiem, w obszarze Aktywne połączenia.

4 Aby zalogować się w innym drzewie, wybierz je z listy i podaj informacje logowania oraz adres IP albo nazwę drzewa.

5 Kliknij przycisk Zaloguj.

Zostanie wyświetlona strona domowa programu iManager. Aby sprawdzić, czy na stronie są wyświetlane poprawne informacje dla danego drzewa, spójrz na lewą górną część strony. Jest tam wyświetlana nazwa użytkownika użyta do logowania w danym drzewie oraz nazwa drzewa, w którym jest aktywne logowanie.

6 Powtórz kroki od 3 do 5 dla każdego drzewa, którego połączeniem chcesz zarządzać.

7 Aby wylogować się z określonego drzewa, kliknij ikonę wylogowania wyświetlaną na lewo od drzewa w obszarze Aktywne połączenia.


3 3Poruszanie się w obrębie interfejsu programu iManager

W tej części opisano sposób poruszania się w obrębie interfejsu programu NetIQ iManager.

Sekcja 3.1, „Interfejs programu iManager” na stronie 23

Sekcja 3.2, „Znaki specjalne” na stronie 26

3.1 Interfejs programu iManagerInterfejs programu iManager składa się z trzech głównych regionów, czyli ramek.

Ramka nagłówka

Ramka nawigacyjna

Ramka zawartości

Rysunek 3-1 Interfejs programu iManager w widoku domyślnym Role i zadania

UWAGA: Poruszając się w obrębie programu iManager, należy używać wyłącznie przycisków wchodzących w skład interfejsu. Nie należy używać przycisków nawigacyjnych przeglądarki internetowej (Wstecz, Dalej itd.).

Aby uzyskać informacje na temat zmieniania domyślnego widoku w preferencjach, patrz „Ustaw widok początkowy” na stronie 94.

Poruszanie się w obrębie interfejsu programu iManager 23

3.1.1 Ramka nagłówka

Ramka nagłówka jest największą ramką statyczną, zajmującą górną część interfejsu programu iManager. Zawiera ona ikony, za pomocą których można uzyskiwać dostęp do różnych widoków programu iManager. Widok jest kombinacją ramki nawigacyjnej i ramki zawartości, zapewniającą określone funkcje zarządzania. Na przykład widok domyślny Role i zadania umożliwia wybranie określonego zadania w ramce nawigacyjnej, a następnie wykonanie wybranego zadania w ramce zawartości.

Rysunek 3-2 Ramka nagłówka programu iManager

Ramka nagłówka programu iManager zawiera następujące ikony:

Strona domowa: powoduje powrót do widoku domyślnego ramki zawartości (takiego jak na rysunku 3-1).

Koniec pracy: powoduje wylogowanie ze wszystkich drzew eDirectory.

Role i zadania: w ramce nawigacyjnej tego widoku są wyświetlane wszystkie zadania, do wykonywania których użytkownik jest uprawniony. Jest to widok domyślny programu iManager. Więcej informacji znajduje się w: Rozdział 5, „Role i zadania”, na stronie 37.

Wyświetl obiekty: ten widok zawiera funkcje przeglądania i wyszukiwania służące do znajdowania obiektów, w tym funkcję Widok drzewa podobną do stosowanej w programie ConsoleOne. Aby uzyskać więcej informacji, zobacz Rozdział 4, „Przeglądanie obiektów”, na stronie 27.

Konfiguruj: ten widok zawiera funkcje Usługi oparte na rolach, Serwer programu iManager, Lista tworzenia obiektów, Instalacja dodatku typu plug-in, Powiadomienie pocztą e-mail oraz Widoki, z których wszystkie można w dowolny sposób konfigurować.

Ulubione: ten widok zawiera najczęściej wykonywane zadania, wybierane na stronie Preferencje > Ulubione.

Preferencje: ten widok umożliwia użytkownikowi określanie preferencji zgodnie z najczęściej wykonywanymi zadaniami, sposobu wyświetlania selektora obiektów, sposobu wyświetlania widoku obiektu, widoku wyświetlanego po zalogowaniu się do programu iManager, a także języka interfejsu programu iManager.

Zarządzaj połączeniami: ten widok wyświetla wszystkie drzewa eDirectory, w których się zalogowano.

Pomoc: powoduje wyświetlenie pomocy kontekstowej odpowiedniej dla bieżącej ramki zawartości.

Oprócz tego w ramce Nagłówek identyfikowany jest obecnie uwierzytelniony w programie iManager użytkownik wraz z nazwą drzewa (w lewej górnej części).

Informacje o sposobie zmiany widoku domyślnego programu iManager można znaleźć w części Rozdział 6, „Konfigurowanie i dostosowywanie programu iManager”, na stronie 57.


3.1.2 Ramka nawigacyjna

Ramka nawigacyjna znajduje się z lewej strony interfejsu programu iManager. Są w niej wyświetlane opcje zadań i funkcji związanych z aktualnie wybranym widokiem. Na przykład w widoku domyślnym Role i zadania są wyświetlane wszystkie zadania, do wykonywania których użytkownik jest uprawniony. Zadania są zorganizowane w kategorie. Lista kategorii i zadań różni się w zależności od zainstalowanych dodatków typu plug-in oraz praw przyznanych użytkownikowi jako uwierzytelnionemu użytkownikowi programu iManager.

Rysunek 3-3 Zawartość ramki nawigacyjnej w widoku Role i zadania

Kolejność zadań w każdej kategorii jest ustalana przez autora odpowiedniego dodatku typu plug-in programu iManager. Zadania podstawowych dodatków typu plug-in (dołączonych do programu iManager) są zwykle wyświetlane przed zadaniami z innych dodatków typu plug-in.

3.1.3 Ramka zawartości

Ramka zawartości zawiera interfejs określonego zadania lub obiektu, na podstawie zadania wybranego aktualnie w ramce nawigacyjnej.

Poruszanie się w obrębie interfejsu programu iManager 25

Rysunek 3-4 Zawartość domyślna ramki zawartości programu iManager

Gdy nie jest wybrane żadne zadanie, w ramce zawartości są wyświetlane ogólne informacje związane z prawami dostępu użytkownika w programie iManager.

3.2 Znaki specjalneNiektóre znaki mają w programie iManager znaczenie specjalne i dlatego należy wpisywać je razem z ukośnikiem odwrotnym (\):

NDAP (eDirectory):

Kropka (.)

Znak równości (=)

Znak plus (+)

Ukośnik odwrócony (\)

LDAP:

Nazwy w pełni kwalifikowane oraz znaki =, +, \, @;, <, >

Początkowy znak #

Początkowe i końcowe spacje

W przypadku protokołu LDAP do określenia dowolnego znaku można użyć sekwencji \xx. Więcej informacji można znaleźć w dokumencie RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html).


http://www.faqs.org/rfcs/rfc2253.html

4 4Przeglądanie obiektów

Program iManager umożliwia manipulowanie i zarządzanie obiektami katalogu. Istnieją dwa podejścia do wykonywania tych czynności. Pierwsze — można wyszukać metodą przeglądania i wybrać obiekty, na których ma zostać wykonane zadanie, a następnie określić to zadanie (obiekt-zadanie). Drugie — można wybrać zadanie do wykonania, a następnie określić obiekty, na których to zadanie ma zostać wykonane (zadanie-obiekt). Obie metody są prawidłowe, a program iManager umożliwia użycie metody, która jest najwygodniejsza dla użytkownika.

Program iManager udostępnia widok obiektu dla zwolenników szkoły obiekt-zadanie oraz selektor obiektów dla zwolenników szkoły zadanie-obiekt. Selektor obiektów jest szeroko stosowany w widoku Role i zadania. Więcej informacji znajduje się w: Rozdział 5, „Role i zadania”, na stronie 37.

Ten rozdział zawiera następujące części:

Sekcja 4.1, „Używanie widoku obiektu” na stronie 28

Sekcja 4.2, „Korzystanie z selektora obiektów” na stronie 33

UWAGA: Program iManager obsługuje przeglądanie i wybieranie obiektów w systemie plików z obsługą protokołu NCP. Dostęp do obiektów systemu plików można uzyskać za pośrednictwem obiektu serwera i obiektu wolumenu w drzewie katalogu.

Możliwość przeglądania i wybierania obiektów systemu plików jest dostępna zarówno w widoku obiektu, jak i w selektorze obiektów. Rzeczywiste zadania, jakie można wykonywać na obiektach systemu plików, są zapewniane przez dodatek typu plug-in usług NSS do programu iManager, który jest dostępny osobno.

Bez względu na to, jakie narzędzie jest używane, podczas określania nazw obiektów należy postępować zgodnie z następującymi wskazówkami:

Jeśli następujące znaki są częścią nazwy usługi eDirectory zawierającej kropki, to wymagają użycia ukośnika odwróconego (\). Używanie ukośnika odwróconego nie jest konieczne w przypadku większości wartości, ale należy go używać w nazwach w pełni kwalifikowanych i nazwach względnych.

Kropka (.)

Znak równości (=)

Znak plus (+)


Jeśli następujące znaki są częścią nazwy, która ma zostać określona w wyszukiwaniu, to wymagają użycia ukośnika odwróconego (\).

Gwiazdka (*)


Na przykład:

Aby wyszukać wszystkie obiekty zawierające kropkę, należy użyć sekwencji =*.* w filtrze wyszukiwania.

Przeglądanie obiektów 27

Aby wyszukać wszystkie obiekty zawierające znak plus, należy użyć sekwencji =*+* w filtrze wyszukiwania.

Aby wyszukać wszystkie obiekty zawierające ukośnik odwrócony, należy użyć sekwencji =*\\* w filtrze wyszukiwania.

4.1 Używanie widoku obiektuWidok obiektu umożliwia przeglądanie i wyszukiwanie obiektów w katalogu. Po wybraniu obiektów, na których mają zostać wykonane zadania, można określić te zadania. Aby otworzyć widok obiektu, należy wybrać ikonę Wyświetl obiekty w ramce nagłówka.

Ramka nawigacyjna widoku obiektu zawiera następujące karty, z których każda zapewnia inną metodę przeglądania i wyszukiwania obiektów katalogu:

Drzewo

Przeglądanie

Znajdź

4.1.1 Drzewo

Karta Drzewo umożliwia przeglądanie drzewa katalogu, którego wygląd i sposób działania przypomina funkcję dostępną w programie ConsoleOne™. Funkcje widoku drzewa są udostępniane zarówno przez ramkę nawigacyjną, jak i ramkę zawartości.

Rysunek 4-1 Karta Drzewo w widoku obiektu programu iManager


Ramka nawigacyjna widoku drzewa

W ramce nawigacyjnej widoku drzewa jest wyświetlana struktura katalogów w znanym formacie programu ConsoleOne. W ramce nawigacyjnej są wyświetlane obiekty kontenerów, w tym obiekty wolumenów (systemu plików). Klikając ikony ze znakami plus i minus, można rozwijać i zwijać obiekty kontenerów oraz przeglądać drzewo katalogu.

Domyślnie w widoku drzewa jest wyświetlane do 100 obiektów podrzędnych dla każdego kontenera, ale ustawienie to można zmienić w oknie Preferencje widoku obiektu.

Ramka zawartości widoku drzewa

Wybranie jednego z obiektów kontenerów w ramce nawigacyjnej powoduje wyświetlenie wszystkich obiektów zawartych w tym kontenerze w ramce zawartości. Ramka zawartości to miejsce manipulowania obiektami katalogu. Zawiera ona nagłówek, z którego można wybierać dostępne czynności:

Elementy ścieżki przejścia: W górnej części ramki zawartości widoku drzewa jest dostępna funkcja ścieżki przejścia, która umożliwia poruszanie się po kontenerach w bieżącym kontekście.

Pasek tytułu: Na pasku tytułu ramki zawartości jest wyświetlana nazwa obecnie wybranego obiektu kontenera. Klikając ikonę ołówka, można poddać edycji właściwości tego kontenera.

Nagłówek listy obiektów: Nagłówek listy obiektów zapewnia dostęp do następujących elementów:

Pasek menu: pasek menu ramki zawartości zapewnia dostęp do możliwych do wykonywania czynności związanych z obiektem. Dostępne są następujące opcje:

Nowy: otwiera menu rozwijane zadań tworzenia.

Edycja: otwiera książkę właściwości dla zaznaczonych obiektów, umożliwiając zmodyfikowanie ich atrybutów. Wybranie wielu obiektów tego samego typu umożliwia ustawienie atrybutów dla wszystkich obiektów na tę samą wartość.

UWAGA: Książkę właściwości obiektu liścia można też otworzyć, wybierając ją na liście obiektów. Wybranie obiektu kontenera na liście obiektów powoduje otwarcie wybranego kontenera i wyświetlenie wszystkich jego obiektów podrzędnych. Aby poddać edycji atrybuty obiektu kontenera, należy zaznaczyć odpowiadające mu pole wyboru i kliknąć przycisk Edycja.

Usuń: Usuwa zaznaczone obiekty. Aby wybrać obiekt do edycji, należy zaznaczyć odpowiadające mu pole wyboru na liście obiektów.

Czynności: Otwiera menu rozwijane obsługiwanych zadań dla zaznaczonych obiektów. Aby wykonać zadanie, należy je wybrać z menu rozwijanego, a następnie podać wymagane informacje.

UWAGA: Uwaga: Jeśli są skonfigurowane usługi RBS, w menu Czynności są wyświetlane tylko zadania w rolach przypisanych użytkownikowi.

Liczba obiektów: z prawej strony paska menu widoku drzewa jest wyświetlana liczba obiektów na bieżącej stronie oraz całkowita liczba obiektów w wybranym kontenerze.

Zaznacz wszystko: pole wyboru w nagłówku pełni funkcję pola wyboru „zaznacz wszystko” dla bieżącej strony obiektów.

Sortuj: bezpośrednio nad listą obiektów znajduje się nagłówek kolumny Nazwa oraz ikona

sortowania . Klikanie dowolnego z tych elementów powoduje przełączanie sortowania obiektów między rosnącą a malejącą kolejnością alfabetyczną.


Zdefiniuj filtr: na prawym końcu nagłówka, pod liczbą obiektów, znajduje się ikona filtru . Wybranie tej ikony umożliwia utworzenie filtru ograniczającego obiekty wyświetlane na liście obiektów. Obiekty można filtrować według typów i nazw, zgodnie z potrzebami.

Wybranie opcji Pokaż wszystkie kontenery powoduje wyświetlenie obiektów kontenerów na liście obiektów bez względu na zdefiniowany filtr.

Wybranie opcji Filtr zaawansowany powoduje otwarcie okna dialogowego Filtr zaawansowany, w którym można utworzyć filtr, używając niemal dowolnego atrybutu obiektu. Więcej informacji można znaleźć w części „Wybór zaawansowany” na stronie 38.

UWAGA: Gdy filtr jest aktywny, jego ikona staje się kolorowa , a obok ikony jest wyświetlone ustawienie filtru. Jeśli zostanie skonfigurowany filtr zaawansowany, program iManager wyświetla ikonę znacznika wyboru obok ikony filtru.

Lista obiektów: Na liście obiektów w ramce zawartości są wyświetlane wszystkie obiekty zawarte w kontenerze wybranym obecnie w ramce nawigacyjnej. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale ustawienie to można zmienić w oknie Preferencje widoku obiektu.

Aby wykonać czynność na obiekcie, należy zaznaczyć odpowiadające mu pole wyboru, a następnie wybrać odpowiednią czynność z nagłówka listy obiektów. Aby wykonać czynność na przeglądanym obecnie kontenerze, należy wybrać obiekt Poziom bieżący.

Aby przejść o jeden poziom w górę do kontenera nadrzędnego, należy wybrać obiekt podwójnej kropki.

WAŻNE: Widok drzewa nie obsługuje wybierania obiektów z wielu stron na liście obiektów. Aby to zrobić, należy użyć karty Przeglądaj widoku obiektu, która pozwala wykonać czynność na wielu obiektach. Więcej informacji znajduje się w: „Przeglądanie” na stronie 30.

4.1.2 Przeglądanie

Karta Przeglądaj udostępnia narzędzie przeglądania katalogów za pomocą interfejsu użytkownika i funkcji podobnych do selektora obiektów. Informacje o poruszaniu się po interfejsie użytkownika funkcji Przeglądaj można znaleźć w części „Korzystanie z selektora obiektów” na stronie 33.


Rysunek 4-2 Karta Przeglądaj w widoku obiektu programu iManager

Funkcje karty Przeglądaj są udostępniane jedynie przez ramkę nawigacyjną. Zawiera ona następujące składniki podstawowe:

Filtr obiektów: Znajdujący się w górnej części ramki nawigacyjnej filtr obiektów umożliwia ograniczanie obiektów wyświetlanych na liście obiektów. Aby po zdefiniowaniu filtru użyć go, należy kliknąć przycisk Zastosuj.

WAŻNE: Filtrowanie obiektów na karcie Przeglądaj obejmuje tylko obiekty katalogu. Funkcja ta nie filtruje obiektów systemu plików, nawet jeśli są one widoczne na karcie Przeglądaj.

W filtrze obiektów są używane następujące pola:

Kontekst: powoduje wyświetlanie tylko obiektów w określonym kontekście. Efekt jest identyczny z otwarciem kontenera z poziomu listy obiektów.

Nazwa: powoduje wyświetlanie tylko tych obiektów, które odpowiadają określonemu filtrowi nazwy. Aby określić nazwę częściową, należy użyć gwiazdki (*) jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Typ: powoduje wyświetlanie tylko obiektów określonego typu.

UWAGA: Wybranie określonego typu obiektu powoduje pojawienie się ikony plus [+], umożliwiającej otwarcie narzędzia Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Więcej informacji znajduje się w: „Wybór zaawansowany” na stronie 38.

Załaduj/Zapisz: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji filtru oraz zapisanie bieżącego filtru do ponownego użycia.

Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy obiektów, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Więcej informacji znajduje się w: „Wybieranie i filtrowanie obiektów” na stronie 37.


Lista obiektów: Zawiera listę obiektów katalogu, tak jak definiują kryteria filtru obiektów. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale wartość tę można zmienić w oknie Preferencje widoku obiektu. Poruszanie się między stronami obiektów umożliwiają przyciski Poprzednia i Dalej. Pomiędzy obiektami na liście obiektów można się poruszać w następujący sposób:

Aby otworzyć kontener i wyświetlić jego obiekty na liście obiektów, należy wybrać ikonę ze strzałką w dół obok obiektu tego kontenera.

Aby wyświetlić zawartość obiektu nadrzędnego bieżącego kontenera, należy wybrać ikonę ze strzałką w górę w górnej części listy obiektów. Spowoduje to przejście o jeden poziom do góry w drzewie katalogu.

Wybranie obiektu — kontenera lub liścia — powoduje otwarcie okna zawierającego zadania dostępne dla tego typu obiektu. Wybranie zadania powoduje otwarcie interfejsu zadania w ramce zawartości.

4.1.3 Znajdź

Karta Szukaj jest podobna do karty Przeglądaj, ale zamiast wyświetlać strukturę drzewa w ramce nawigacyjnej, zawiera tylko te obiekty, które są wynikiem określonego wyszukiwania.

Rysunek 4-3 Karta Szukaj w widoku obiektu programu iManager

Funkcje karty Szukaj są udostępniane jedynie przez ramkę nawigacyjną. Zawiera ona następujące składniki podstawowe:


Wyszukiwanie obiektu: Znajdująca się w górnej części ramki nawigacyjnej funkcja wyszukiwania obiektów umożliwia definiowanie kryteriów wyszukiwania. Aby po zdefiniowaniu kryteriów wykonać określoną operację wyszukiwania, należy kliknąć przycisk Szukaj.

WAŻNE: Filtrowanie obiektów na karcie Szukaj obejmuje tylko obiekty katalogu. Funkcja ta nie filtruje obiektów systemu plików, nawet jeśli są one widoczne na karcie Szukaj.

Wyszukiwanie można zdefiniować przy użyciu następujących pól:

Kontekst: określa kontener początkowy dla operacji wyszukiwania. Jeśli podczas wyszukiwania mają być uwzględniane kontenery podrzędne, należy wybrać opcję Przeszukaj kontenery podrzędne.

Nazwa: definiuje filtr nazwy obiektu dla tego wyszukiwania. Aby określić nazwę częściową, należy użyć gwiazdki jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Typ: definiuje filtr typu obiektu dla tego wyszukiwania. Program iManager wyświetla tylko obiekty określonego typu.

UWAGA: Wybranie określonego typu obiektu powoduje pojawienie się ikony plus [+], umożliwiającej otwarcie narzędzia Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Więcej informacji znajduje się w: „Wybór zaawansowany” na stronie 38.

Załaduj/Zapisz: te łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji wyszukiwania oraz zapisanie bieżącego wyszukiwania do ponownego użycia.

Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy wyników, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Więcej informacji znajduje się w: „Wybieranie i filtrowanie obiektów” na stronie 37.

Lista wyników: Zawiera wyniki operacji wyszukiwania. Domyślnie na jednej stronie listy obiektów jest wyświetlane 100 obiektów, ale wartość tę można zmienić w oknie Preferencje widoku obiektu. Poruszanie się między stronami wyników umożliwiają przyciski Poprzednia i Dalej. Wybranie obiektu — kontenera lub liścia — powoduje otwarcie okna zawierającego zadania dostępne dla tego typu obiektu. Wybranie zadania powoduje otwarcie interfejsu zadania w ramce zawartości.

UWAGA: Karta Szukaj nie umożliwia poruszania się po obiektach, na przykład otwierania obiektów kontenerów, na liście wyników. Aby to zrobić, należy użyć karty Drzewo lub Przeglądaj.

4.2 Korzystanie z selektora obiektówSelektor obiektów umożliwia wybieranie obiektów, na których ma zostać wykonane bieżące zadanie. Program iManager udostępnia to narzędzie w każdej sytuacji, w której użytkownik wybiera zadanie lub czynność przed określeniem obiektów, do których zadanie lub czynność ma zostać zastosowana.

Dostęp do selektora obiektów można uzyskać, wybierając ikonę szkła powiększającego w dowolnym miejscu, w którym pojawi się ona w ramce zawartości. Selektor obiektów jest otwierany w osobnym oknie na wierzchu programu iManager.


Rysunek 4-4 Selektor obiektów programu iManager

Selektor obiektów zawiera dwie karty umożliwiające wyszukiwanie obiektów docelowych dla wykonywanego zadania:

Sekcja 4.2.1, „Przeglądanie” na stronie 34

Sekcja 4.2.2, „Znajdź” na stronie 35

4.2.1 Przeglądanie

Karta Przeglądaj (domyślna) umożliwia poruszanie się po drzewie katalogu w celu wyszukiwania żądanych obiektów. Zawiera ona następujące składniki podstawowe:

Filtr obiektów: Znajdujący się z lewej strony selektora obiektów filtr obiektów umożliwia ograniczanie obiektów wyświetlanych na liście zawartości. Aby po zdefiniowaniu filtru użyć go, należy kliknąć przycisk Zastosuj. W filtrze obiektów są używane następujące pola:

Szukaj w: powoduje wyświetlanie tylko obiektów w określonym kontekście. Efekt jest identyczny z otwarciem kontenera z poziomu listy zawartości.

Szukaj obiektów o nazwach: powoduje wyświetlanie tylko tych obiektów, które odpowiadają określonemu filtrowi nazwy. Aby określić nazwę częściową, należy użyć gwiazdki (*) jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.


Przeglądanie zaawansowane: to łącze otwiera narzędzie Wybór zaawansowany, w którym można określić dodatkowe ustawienia filtru na poziomie atrybutów. Więcej informacji znajduje się w: „Wybór zaawansowany” na stronie 38.

Załaduj kryteria/Zapisz kryteria: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji filtru oraz zapisanie bieżącego filtru do ponownego użycia.

Lista zawartości: Zawiera listę obiektów katalogu, tak jak definiują kryteria filtru obiektu. Domyślnie na jednej stronie listy obiektów jest wyświetlanych 100 obiektów, ale liczbę tę można w razie potrzeby zmienić. Poruszanie się między stronami obiektów umożliwiają przyciski Poprzednia i Dalej. Pomiędzy obiektami na liście zawartości można się poruszać w następujący sposób:

Aby otworzyć kontener i wyświetlić jego obiekty na liście zawartości, należy wybrać ikonę ze strzałką w dół obok obiektu tego kontenera.

Aby wyświetlić zawartość obiektu nadrzędnego bieżącego kontenera, należy wybrać ikonę ze strzałką w górę w górnej części listy obiektów. Spowoduje to przejście o jeden poziom do góry w drzewie katalogu.

Wybranie obiektu powoduje zidentyfikowanie go przez program iManager jako obiektu, na którym ma zostać wykonane bieżące zadanie.

Wybrane obiekty: Ten składnik pojawia się tylko w przypadku wybierania wielu obiektów dla bieżącego zadania. W polu Wybrane obiekty jest wyświetlana lista obiektów wybranych aktualnie dla zadania. Gdy lista jest już kompletna, należy kliknąć przycisk OK. Aby opróżnić listę wybranych obiektów i zacząć od początku, należy kliknąć przycisk Wyczyść wszystko.

Więcej informacji o wybieraniu jednego lub wielu obiektów dla zadania można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 37.

4.2.2 Znajdź

Karta Szukaj umożliwia określenie operacji wyszukiwania do wykonania na drzewie katalogu i wyświetlenie rezultatów. Zawiera ona następujące składniki podstawowe:

Wyszukiwanie obiektu: Znajdująca się z lewej strony selektora obiektów funkcja wyszukiwania obiektów umożliwia definiowanie kryteriów wyszukiwania. Aby po zdefiniowaniu kryteriów wykonać określoną operację wyszukiwania, należy kliknąć przycisk Szukaj. Wyszukiwanie można zdefiniować przy użyciu następujących pól:

Rozpocznij wyszukiwanie w: określa kontener początkowy dla operacji wyszukiwania. Jeśli podczas wyszukiwania mają być uwzględniane kontenery podrzędne, należy wybrać opcję Przeszukaj kontenery podrzędne.

Szukaj obiektów o nazwach: definiuje filtr nazwy obiektu dla tego wyszukiwania. Aby określić nazwę częściową, należy użyć gwiazdki jako znaku wyrażenia regularnego. Przykłady: ldap*, *cert, *server*.

Przeglądanie zaawansowane: to łącze otwiera narzędzie Wybór zaawansowany, w którym można określić dodatkowe ustawienia wyszukiwania na poziomie atrybutów. Więcej informacji znajduje się w: „Wybór zaawansowany” na stronie 38.

Załaduj kryteria/Zapisz kryteria: te dwa łącza umożliwiają — odpowiednio — załadowanie wcześniej utworzonej definicji wyszukiwania oraz zapisanie bieżącego wyszukiwania do ponownego użycia.

Wybór wielu pozycji/Wybór jednej pozycji: Znajdujące się nad prawą częścią listy wyników, łącze to umożliwia przełączanie między trybem wyboru jednego lub wielu obiektów, na których ma zostać wykonane zadanie. Opcją domyślną jest Wybór jednej pozycji. Więcej informacji znajduje się w: „Wybieranie i filtrowanie obiektów” na stronie 37.


Lista wyników: Zawiera wyniki operacji wyszukiwania. Domyślnie na jednej stronie listy wyników jest wyświetlanych 100 obiektów, ale liczbę tę można w razie potrzeby zmienić. Poruszanie się między stronami wyników umożliwiają przyciski Poprzednia i Dalej.

UWAGA: Karta Szukaj nie umożliwia poruszania się po obiektach, na przykład otwierania obiektów kontenerów, na liście wyników. Aby to zrobić, należy użyć karty Przeglądaj selektora obiektów.

Wybrane obiekty: Ten składnik pojawia się tylko w przypadku wybierania wielu obiektów dla bieżącego zadania. W polu Wybrane obiekty jest wyświetlana lista obiektów wybranych aktualnie dla zadania. Gdy lista jest już kompletna, należy kliknąć przycisk OK. Aby opróżnić listę wybranych obiektów i zacząć od początku, należy kliknąć przycisk Wyczyść wszystko.

Więcej informacji o wybieraniu jednego lub wielu obiektów dla zadania można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 37.


5 5Role i zadania

Wybranie widoku Role i zadania w ramce nagłówka powoduje wyświetlenie w ramce nawigacyjnej wszystkich ról i zadań dostępnych w programie iManager. Program iManager grupuje powiązane role i zadania w kategorie. Możliwe jest jednak tworzenie niestandardowych grup kategorii oraz przypisywanie do nich ról i zadań. Więcej informacji znajduje się w: „Karta Kategoria” na stronie 68.

Ta część zawiera omówienie następujących zagadnień:

Sekcja 5.1, „Poruszanie się w widoku Role i zadania” na stronie 37

Sekcja 5.2, „Administrowanie katalogiem” na stronie 41

Sekcja 5.3, „Grupy” na stronie 43

Sekcja 5.4, „Centrum pomocy technicznej” na stronie 45

Sekcja 5.5, „Partycje i repliki” na stronie 46

Sekcja 5.6, „Prawa” na stronie 48

Sekcja 5.7, „Schemat” na stronie 50

Sekcja 5.8, „użytkownicy” na stronie 53

W pierwszej części tego rozdziału przedstawiono sposób poruszania się w widoku Role i zadania. Pozostałe części zawierają szczegółowe opisy zadań dostępnych w podstawowym zestawie ról i zadań programu iManager. Informacje o rolach i zadaniach dostępnych w dodatku typu plug-in specyficznym dla produktu można znaleźć w dokumentacji tego produktu.

Oprócz widoku Role i zadania w programie iManager można też skonfigurować widok Ulubione, w którym są wyświetlane najczęściej używane zadania. Więcej informacji znajduje się w: „Zarządzaj Ulubionymi” na stronie 93.

5.1 Poruszanie się w widoku Role i zadaniaPoruszanie się po zadaniach w programie iManager jest prostym procesem, który obejmuje następujące kroki ogólne:

1 (Ramka nawigacyjna) Otwórz kategorię zawierającą żądane zadanie.

2 (Ramka nawigacyjna) Wybierz żądane zadanie z listy zadań danej kategorii.

3 (Ramka zawartości) Podaj informacje wymagane do wykonania zadania. W niektórych przypadkach może to obejmować określenie obiektów, do których ma zostać zastosowane zadanie.

Informacje o wybieraniu obiektów, do których ma zostać zastosowane zadanie, można znaleźć w części „Wybieranie i filtrowanie obiektów” na stronie 37.

4 (Ramka zawartości) Kliknij przycisk OK, aby wykonać zadanie.

5.1.1 Wybieranie i filtrowanie obiektów

W przypadku zadań, które można stosować do więcej niż jednego obiektu jednocześnie (na przykład Modyfikuj użytkownika), program iManager udostępnia opcje (wybierane w ramce zawartości) umożliwiające wyszukiwanie żądanych obiektów.

Role i zadania 37

Rysunek 5-1 Opcje wybierania obiektów w zadaniu

Wybierz jeden obiekt

Jest to domyślna metoda wybierania obiektów. Opcja Wybierz jeden obiekt umożliwia określenie jednego obiektu, do którego ma zostać zastosowane zadanie. Gdy do wyszukiwania obiektu jest używany selektor obiektów, wybranie obiektu powoduje automatyczne zamknięcie selektora obiektów i wstawienie wybranego obiektu do pola nazwy obiektu zadania. Więcej informacji o selektorze obiektów można znaleźć w części „Korzystanie z selektora obiektów” na stronie 33.

Wybierz kilka obiektów

Opcja Wybierz kilka obiektów powoduje zmodyfikowanie pola nazwy obiektu zadania, tak aby akceptowało listę obiektów zamiast tylko jednego obiektu. Selektor obiektów również działa w trybie wielu obiektów, umożliwiając wybranie więcej niż jednego obiektu jednocześnie. Więcej informacji o selektorze obiektów można znaleźć w części „Korzystanie z selektora obiektów” na stronie 33.

Wybór prosty

Opcja Wybór prosty powoduje otwarcie podstawowego narzędzia podstawowego w ramce zawartości. Za pomocą tego narzędzia można wyszukiwać obiekty w drzewie katalogu na podstawie określonej wartości właściwości.

Rysunek 5-2 Podstawowy filtr obiektów w zadaniu

Lista atrybut zawiera atrybuty, na których można wykonywać operację wyszukiwania.

Lista operator zawiera różne operatory, których można używać w operacji wyszukiwania.

Jeśli obiekty zwrócone w wyniku operacji wyszukiwania mają być sortowane, należy zaznaczyć pole wyboru Sortuj obiekty wynikowe.

Z opcją Wybór prosty są związane następujące ograniczenia:

Przeszukiwane jest całe drzewo katalogu.

Nie są obsługiwane znaki wyrażeń regularnych w kryteriach wyszukiwania.

Obsługiwane są tylko filtry „Rozpoczyna się od” oraz „Równe” dla wartości właściwości.

Wybór zaawansowany

Opcja Wybór zaawansowany zapewnia bardziej konfigurowalne środowisko wyszukiwania żądanych obiektów w katalogu.


Rysunek 5-3 Interfejs wyboru zaawansowanego w programie iManager

Opcja Wybór zaawansowany zapewnia bardziej szczegółową kontrolę nad filtrem obiektów używanym podczas operacji wyszukiwania. Opcje wyboru zaawansowanego można konfigurować przy użyciu następujących pól:

Typ obiektu: Określa wyszukiwaną klasę bazową obiektu. Na przykład: Użytkownik.

Kontener: Określa kontener, od którego ma się rozpocząć wyszukiwanie. Aby przeszukiwać kontenery podrzędne, należy wybrać opcję Uwzględnij kontenery podrzędne.

Filtr: Określa filtr, jaki ma zostać zastosowany do wyszukiwania. Wybranie ikony filtru powoduje otwarcie osobnego okna, w którym można zdefiniować filtr. Po ukończeniu definiowania filtru należy kliknąć przycisk OK.

Rysunek 5-4 Okno dialogowe Filtr zaawansowany w programie iManager

Interfejs filtru zawiera następujące pola:

Role i zadania 39

Klasy pomocnicze: Określa klasę pomocniczą do uwzględnienia w wyszukiwaniu.

Atrybut: Określa atrybut (właściwość), który ma zostać użyty jako część filtru.

Operator: Określa operator logiczny do zastosowania w filtrze. Dostępne są następujące opcje

Wartość: Określa wartość atrybutu używaną w charakterze filtru. Aby wskazać część wartości, można użyć gwiazdki (*) jako znaku wyrażenia regularnego. Na przykład: kowal*, *ski i *walsk*.

Ponadto można połączyć wiele filtrów atrybutów w grupę filtrów, używając ikony + w celu dodania drugiego atrybutu do listy. W przypadku używania wielu filtrów atrybutów należy je połączyć za pomocą operatorów logicznych AND lub OR.

Po zdefiniowaniu filtru, kliknięciu opcji Podgląd, a następnie kliknięciu przycisku OK zostanie wyświetlony ekran Modyfikuj obiekt. Są na nim wyświetlane atrybuty zdefiniowane dla obiektów w kontenerze. Lista zawiera wspólne wartości atrybutów. Na przykład, tak jak widać poniżej (Rysunek 5-5), atrybuty Imię, Nazwisko i Pełna nazwa mają wspólne wartości dla wszystkich obiektów w określonym kontenerze. Atrybuty, których pola są puste, nie zawierają wspólnej wartości dla wszystkich obiektów. Do tych atrybutów można również dodawać wartości.

Rysunek 5-5 Ekran Modyfikuj obiekt

Można wykonać następujące zadania z atrybutami i wszystkie obiekty w kontenerze zostaną zaktualizowane:

Zignoruj: Opcja powodująca, że zmiany obiektów nie są aktualizowane.


Zastąp: Opcja umożliwiająca zastąpienie istniejącej wartości atrybutu na liście. Aby zastąpić, należy kliknąć dwukrotnie wartość, wprowadzić zmiany i nacisnąć klawisz Enter. > Następnie kliknij Zastąp.

Dodaj: Opcja umożliwiająca dodawanie wartości do atrybutu. Można dodać więcej niż jedną wartość do atrybutu. Na przykład, więcej niż jedno imię dla wszystkich obiektów.

Usuń. Opcja umożliwiająca usuwanie wartości atrybutów. Aby usunąć wartość atrybutu:

1 Jeśli atrybut ma więcej niż jedną wartość, najpierw musisz ukryć wartości, które nie mają zostać usunięte, naciskając klawisz Delete na klawiaturze. Jest to wymagane, ponieważ opcja Usuń powoduje usunięcie wszystkich wartości widocznych na liście. Więc w pierwszej kolejności musisz ukryć wartości, których nie chcesz usunąć.

Jedynie wartości przeznaczone do usuniecia są wyświetlone na liście atrybutów.

2 Kliknij opcję Usuń na liście rozwijanej.

Określone wartości zostaną usunięte i ukryte wartości pojawią się na liście.

5.2 Administrowanie katalogiemAdministrowanie katalogiem polega między innymi na zarządzaniu obiektami w drzewie katalogu. Obiekty można tworzyć, edytować i organizować.

Sekcja 5.2.1, „Kopiowanie obiektu” na stronie 41

Sekcja 5.2.2, „Tworzenie obiektu” na stronie 42

Sekcja 5.2.3, „Usuwanie obiektu” na stronie 42

Sekcja 5.2.4, „Modyfikowanie obiektu” na stronie 42

Sekcja 5.2.5, „Przenoszenie obiektu” na stronie 42

Sekcja 5.2.6, „Zmienianie nazwy obiektu” na stronie 43

Więcej informacji o obiektach eDirectory zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

5.2.1 Kopiowanie obiektu

Możliwe jest utworzenie nowego obiektu z takimi samymi wartościami atrybutów jak w istniejącym obiekcie albo skopiowanie wartości atrybutów z jednego obiektu do drugiego.

1 W widoku Role i zadania kliknij kolejno Administrowanie Katalogiem > Kopiuj obiekt.

2 W polu Obiekt będący źródłem kopii wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów.

3 Wybierz jedną z następujących opcji:

Utwórz nowy obiekt i skopiuj wartości atrybutów

Skopiuj wartości atrybutów do istniejącego obiektu

Atrybuty, których klasy nie są rozszerzane przez kopiowany obiekt, nie są kopiowane.

4 Aby skopiować prawa listy kontroli dostępu (ACL) do tego obiektu, zaznacz pole wyboru Skopiuj prawa ACL.

Wykonanie tego etapu może zabrać więcej czasu, zależnie od systemu i środowiska sieciowego.

Role i zadania 41

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html


UWAGA: Operacja kopiowania obiektu nie powoduje skopiowania następujących atrybutów obiektu:

ACL (jeśli nie wybrano opcji Skopiuj prawa ACL)

CN

Skojarzenia DirXML

Równorzędny ze mną

Przynależność do grupy

Członek

Poziomy zabezpieczeń

Dowolny atrybut nazewnictwa

Dowolny atrybut tylko do odczytu

Dowolny atrybut RBS

5.2.2 Tworzenie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Utwórz obiekt.

2 Z wyświetlonej listy wybierz klasę obiektu, a następnie kliknij przycisk OK.

3 Podaj wymagane informacje, zależnie od wybranej klasy obiektu, a następnie kliknij przycisk OK.

Jeśli używasz przeglądarki Firefox, kliknij symbol + w celu dodania informacji zamiast wpisywać je bezpośrednio w polu.

4 Po wyświetleniu komunikatu potwierdzenia kliknij przycisk OK, Powtórz zadanie lub Modyfikuj.

5.2.3 Usuwanie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Usuń obiekt.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym usunięciu obiektu.

5.2.4 Modyfikowanie obiektu

1 W widoku Role i zadania kliknij kolejno Administrowanie katalogiem > Modyfikuj obiekt.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Na stronie Modyfikuj obiekt zostaną wyświetlone strony zawierające atrybuty wybranego obiektu.

3 Zmodyfikuj obiekt zgodnie z potrzebami, a następnie kliknij przycisk OK.

Jeśli używasz przeglądarki Firefox, kliknij symbol + w celu dodania informacji zamiast wpisywać je bezpośrednio w polu.

5.2.5 Przenoszenie obiektu

1 W widoku Role i zadania wybierz kolejno Administrowanie katalogiem > Przenieś obiekt.


Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

2 W polu Przesuń do wybierz kontener, do którego ma zostać przeniesiony obiekt.

3 Zaznacz pole wyboru Utwórz alias w miejscu przeniesionego obiektu, aby dla każdego przenoszonego obiektu utworzyć alias w starej lokalizacji.

4 Kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji przeniesienia obiektu.

5.2.6 Zmienianie nazwy obiektu

1 W widoku Role i zadania wybierz kolejno Administrowanie katalogiem > Zmień nazwę obiektu.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu funkcji wyszukiwania.

Wpisz samą nazwę nowego obiektu i nie dołączaj kontekstu.

3 Aby zapisać starą nazwę, wybierz opcję zapisania tej nazwy.

Spowoduje to zapisanie starej nazwy jako dodatkowej, nieoficjalnej wartości właściwości Nazwa. Zapisanie starej nazwy umożliwia użytkownikom wyszukiwanie obiektu oparte na tej nazwie. Po zmianie nazwy obiektu można wyświetlić starą nazwę w polu Inna nazwa na karcie Identyfikacja ogólna tego obiektu.

4 Zaznacz pole wyboru Utwórz alias w miejsce obiektu o zmienionej nazwie, jeśli ma zostać utworzony alias dla obiektu, któremu nadajesz nazwę.

Dzięki temu wszystkie operacje odnoszące się do starej nazwy obiektu będą w dalszym ciągu funkcjonowały aż do ich aktualizacji w celu uwzględnienia nowej nazwy.


Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji zmiany nazwy obiektu.

5.3 GrupyUżytkownik, który utworzył grupę, automatycznie staje się jej właścicielem. Dostępne operacje na grupach obejmują:

Sekcja 5.3.1, „Tworzenie grupy” na stronie 44

Sekcja 5.3.2, „Usuwanie grupy” na stronie 44

Sekcja 5.3.3, „Modyfikowanie grupy” na stronie 44

Sekcja 5.3.4, „Modyfikowanie członków grupy” na stronie 45

Sekcja 5.3.5, „Przenieś grupę” na stronie 45

Sekcja 5.3.6, „Zmień nazwę grupy” na stronie 45

Sekcja 5.3.7, „Wyświetlanie grup użytkownika” na stronie 45

Więcej informacji o używaniu i konfigurowaniu obiektów grup zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

Role i zadania 43



5.3.1 Tworzenie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Utwórz grupę.

2 Na stronie Utwórz grupę podaj wymagane informacje, a następnie kliknij przycisk OK.

Zaznacz pole wyboru Grupa dynamiczna, aby nowa grupa była grupą dynamiczną o typie klasy Grupa dynamiczna. W przeciwnym razie grupa zostanie utworzona jako grupa statyczna o typie klasy Grupa.

Zaznacz pole wyboru Ustaw właściciela, aby ustawić twórcę obiektu grupy jako właściciela grupy. Atrybut Właściciel grupy zostanie ustawiony na nazwę w pełni kwalifikowaną użytkownika zalogowanego do programu iManager. Aby pozostawić atrybut Właściciel niezdefiniowany, usuń zaznaczenie pola wyboru Ustaw właściciela.

Wybierz opcję Grupa zagnieżdżona, aby nowa grupa stała się grupą zagnieżdżoną — została utworzona z klasą pomocniczą nestedGroupAux.

UWAGA: Grupę statyczną można po fakcie przekształcić na grupę dynamiczną, używając opcji Modyfikowanie grupy. Spowoduje to rozszerzenie wybranego obiektu grupy tak, aby należał do klasy dynamicGroupAux.

Grupa może być albo zagnieżdżona, albo dynamiczna. Nie można utworzyć grupy, która jest jednocześnie zagnieżdżona i dynamiczna.

Grupę statyczną można przekonwertować na zagnieżdżoną, korzystając z opcji Modyfikuj grupę. Spowoduje to, że wybrany obiekt grupy będzie należał do klasy nestedGroupAux.

5.3.2 Usuwanie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Usuń grupę.

2 Na stronie Usuń grupę podaj nazwę obiektu grupy przeznaczonego do usunięcia lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Strona Usuń obiekt umożliwia określenie obiektu do usunięcia przy użyciu opcji Wybierz jeden obiekt, Wybierz kilka obiektów lub Wybór zaawansowany.

5.3.3 Modyfikowanie grupy

1 W widoku Role i zadania wybierz kolejno Grupy > Modyfikuj grupę.

2 Na stronie Modyfikuj grupę podaj nazwę obiektu grupy lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Wprowadź żądane zmiany atrybutów obiektu grupy, a następnie kliknij przycisk OK.

UWAGA: Jeśli grupa statyczna zostanie zmieniona w grupę dynamiczną, a używane są usługi RBS, należy włączyć obsługę klasy dynamicGroupAux. W tym celu należy otworzyć stronę Konfiguruj > Serwer programu iManager > Konfiguruj program iManager > RBS > Typ wyszukiwania grup dynamicznych. Z menu rozwijanego należy wybrać pozycję DynamicGroupObjects&AuxClasses, a następnie kliknąć przycisk Zapisz.

Nie można konwertować grup dynamicznych na zagnieżdżone ani odwrotnie.


5.3.4 Modyfikowanie członków grupy

To zadanie umożliwia jednoczesne wprowadzanie identycznych modyfikacji do atrybutów wszystkich obiektów członkowskich określonej grupy.

1 W widoku Role i zadania wybierz kolejno Grupy > Modyfikuj członków grupy.

2 Na stronie Modyfikuj członków grupy podaj nazwę obiektu grupy lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Wprowadź żądane zmiany atrybutów obiektu członkowskiego, a następnie kliknij przycisk OK.

5.3.5 Przenieś grupę

To łącze powoduje przekierowanie do zadania Przenieś obiekt. Więcej informacji znajduje się w: „Przenoszenie obiektu” na stronie 42.

5.3.6 Zmień nazwę grupy

Jest to opcja o działaniu identycznym z zadaniem Zmień nazwę obiektu. Więcej informacji znajduje się w: „Zmienianie nazwy obiektu” na stronie 43.

5.3.7 Wyświetlanie grup użytkownika

Na tej stronie wyświetlane są grupy, których właścicielem jest użytkownik. Można na niej tworzyć nowe grupy oraz edytować lub usuwać istniejące.

5.4 Centrum pomocy technicznejCentrum pomocy technicznej zapewnia dostęp do ograniczonej liczby zadań związanych z użytkownikami. Użytkownik posiadający tę rolę może wykonywać następujące czynności:

Sekcja 5.4.1, „Usuwanie blokady” na stronie 45

Sekcja 5.4.2, „Tworzenie użytkownika” na stronie 46

Sekcja 5.4.3, „Ustawianie hasła” na stronie 46

Więcej informacji o obiektach użytkowników zawiera dokument NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Podręcznik administracji NetIQ eDirectory 9.0).

5.4.1 Usuwanie blokady

Konto użytkownika może zostać zablokowane, jeśli użytkownik wprowadzi nieprawidłowe hasło zbyt wiele razy lub podejmie próbę zalogowania się przy użyciu hasła, które utraciło ważność.

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Usuń blokadę.

2 Na stronie Usuń blokadę podaj nazwę obiektu użytkownika lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Role i zadania 45



5.4.2 Tworzenie użytkownika

Aby utworzyć nowy obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Utwórz użytkownika.

Podaj wymagane informacje dotyczące użytkownika, zgodnie z opisem w części „Tworzenie użytkownika” na stronie 54.

5.4.3 Ustawianie hasła

1 W widoku Role i zadania wybierz kolejno Centrum pomocy technicznej > Ustaw hasło.

2 Na stronie Ustaw hasło określ nazwę obiektu użytkownika. Przejdź do obiektu użytkownika za pomocą selektora obiektu lub wyszukaj go za pomocą funkcji Wybór prosty.

3 Podaj nowe hasło dla wybranego obiektu użytkownika (dwukrotnie), a następnie kliknij przycisk OK.

Zaznacz pole wyboru Ustaw hasło proste, aby zdefiniować hasło proste, które jest wymagane do dostępu do plików macierzystych przez użytkowników systemów Windows* i Macintosh*. Nie jest ono wymagane w przypadku włączenia hasła uniwersalnego.

5.5 Partycje i replikiOperacje na partycjach i replikach umożliwiają zarządzanie fizyczną strukturą usługi eDirectory oraz jej dystrybucją na serwerach katalogowych i obejmują następujące zadania:

Sekcja 5.5.1, „Tworzenie partycji” na stronie 46

Sekcja 5.5.2, „Łączenie partycji” na stronie 47

Sekcja 5.5.3, „Przenoszenie partycji” na stronie 47

Sekcja 5.5.4, „Przeglądanie informacji o replikach” na stronie 48

Sekcja 5.5.5, „Wyświetlanie informacji o partycji” na stronie 48

Sekcja 5.5.6, „Korzystanie z Kreatora repliki filtrowanej” na stronie 48

Informacje o partycjach i replikach zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

5.5.1 Tworzenie partycji

Partycje są logicznymi obszarami drzewa eDirectory. Na przykład po wybraniu jednostki organizacyjnej i utworzeniu jej jako nowej partycji, jednostka ta, wraz ze wszystkimi swymi obiektami podrzędnymi, zostanie oddzielona od partycji nadrzędnej. Wybrana jednostka stanie się obiektem głównym nowej partycji. Repliki nowej partycji będą znajdować się na tych samych serwerach co repliki partycji nadrzędnej, a obiekty nowej partycji będą należeć do obiektu głównego nowej partycji.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Utwórz partycję.

2 Na stronie Utwórz partycję określ kontener, który ma zostać obiektem głównym nowej partycji, lub znajdź kontener przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji tworzenia partycji.



5.5.2 Łączenie partycji

Łączenie partycji powoduje faktyczne ponowne połączenie jej z partycją nadrzędną. Tworzenie i łączenie partycji jest sposobem określania podziału katalogu na obszary logiczne.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Połącz partycję.

2 Na stronie Połącz partycję określ partycję przeznaczoną do połączenia z jej partycją nadrzędną lub znajdź partycję przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Aby określić partycję, określ obiekt kontenera pełniący funkcję obiektu głównego partycji.

Zostanie wyświetlony komunikat potwierdzenia informujący o pomyślnym wykonaniu operacji tworzenia partycji.

5.5.3 Przenoszenie partycji

Przenoszenie partycji pozwala przenieść drzewo podrzędne w drzewie katalogu. Operacja ta nosi też nazwę obcięcia i szczepienia. Można przenosić tylko te partycje, które nie mają partycji podrzędnych. Jeśli istnieją partycje podrzędne, to przed wykonaniem operacji przeniesienia należy je najpierw połączyć.

Po przeniesieniu partycji drzewo eDirectory zmienia wszystkie odwołania do głównego obiektu tej partycji. Nazwa zwykła obiektu pozostaje niezmieniona, ale zmienia się pełna nazwa kontenera (i wszystkich jego elementów podrzędnych).

UWAGA: Przenosząc partycję, trzeba przestrzegać reguł przynależności drzewa eDirectory. Na przykład nie można przenieść jednostki organizacyjnej bezpośrednio do katalogu głównego drzewa katalogu, ponieważ reguły zawartości katalogu głównego zezwalają jedynie na obiekty typu Umiejscowienie, Kraj lub Organizacja, ale nie typu Jednostka organizacyjna.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Połącz partycję.

2 Na stronie Przenieś partycję podaj wymagane informacje, a następnie kliknij przycisk OK.

W polu Nazwa obiektu określ partycję przeznaczoną do przeniesienia lub znajdź ją za pomocą selektora obiektów.

W polu Przesuń do określ obiekt kontenera, do którego ma zostać przeniesiona określona partycja.

Opcja Utwórz alias w miejscu przeniesionego obiektu umożliwia utworzenie wskaźnika do nowej lokalizacji partycji. Dzięki temu wszystkie operacje odnoszące się do starej lokalizacji będą w dalszym ciągu funkcjonowały aż do ich aktualizacji w celu uwzględnienia nowego położenia. Użytkownicy będą mogli nadal logować się do sieci i znajdować obiekty w pierwotnym położeniu katalogu.

OSTRZEŻENIE: Przed przeniesieniem partycji należy upewnić się, że synchronizacja drzewa katalogu odbywa się poprawnie. Jeśli występują błędy podczas synchronizowania partycji, która ma zostać przeniesiona, lub partycji docelowej, nie należy przenosić partycji. Najpierw należy usunąć błędy synchronizacji. Jeśli przeniesiona partycja nie powinna być nadal oddzielną partycją, po przeniesieniu należy połączyć ją z partycją nadrzędną.

Role i zadania 47

5.5.4 Przeglądanie informacji o replikach

Wyświetlenie informacji o replice umożliwia poznanie jej bieżącego stanu. W zależności od przeprowadzanych operacji dotyczących partycji lub jej samej, replika eDirectory może znajdować się w różnych stanach.

1 W widoku Role i zadania kliknij kolejno Partycje i repliki > Widok repliki.

2 Na stronie Widok repliki określ partycję lub serwer, dla którego ma zostać wyświetlona tabela partycji, a następnie kliknij przycisk OK.

Zostanie wyświetlona tabela z informacjami o partycji, typie, filtrze i stanie repliki. Informacje na temat stanów repliki zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

5.5.5 Wyświetlanie informacji o partycji

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Wyświetl informacje o partycji.

2 Na stronie Informacje dotyczące partycji określ partycję, dla której mają zostać wyświetlone informacje, a następnie kliknij przycisk OK.

Aby określić partycję, określ obiekt kontenera pełniący funkcję obiektu głównego partycji.

5.5.6 Korzystanie z Kreatora repliki filtrowanej

Repliki filtrowane zawierają filtrowany podzbiór informacji z partycji eDirectory (obiekty lub klasy obiektów oraz filtrowany zestaw atrybutów i wartości dla tych obiektów). Kreator repliki filtrowanej prowadzi użytkownika przez proces konfiguracji replik filtrowanych na wybranym serwerze.

1 W widoku Role i zadania wybierz kolejno Partycje i repliki > Kreator repliki filtrowanej.

2 Podaj nazwę i kontekst serwera, na którym ma zostać skonfigurowana replika filtrowana, lub znajdź serwer przy użyciu selektora obiektów, a następnie kliknij przycisk Dalej.

3 Kliknij przycisk Zdefiniuj zestaw filtru, aby określić klasy i atrybuty zestawu filtru na wybranym serwerze, a następnie kliknij przycisk Dalej.

Filtr replikacji obejmuje zestaw klas i atrybutów eDirectory, które mają się znaleźć w zestawie replik filtrowanych na tym serwerze.

4 Kliknij przycisk Zakończ.

Więcej informacji na temat replik filtrowanych zawiera podręcznik Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

5.6 PrawaPrawa są związane z prawami dysponentów eDirectory i dysponentami. Domyślne prawa przypisywane podczas tworzenia drzewa umożliwiają ogólny dostęp do sieci z zachowaniem zabezpieczeń. Program iManager umożliwia wykonywanie następujących zadań związanych z prawami:

Sekcja 5.6.1, „Modyfikowanie filtru uprawnień dziedziczonych” na stronie 49

Sekcja 5.6.2, „Modyfikowanie praw dysponentów” na stronie 49

Sekcja 5.6.3, „Prawa do innych obiektów” na stronie 49

Sekcja 5.6.4, „Wyświetlanie praw efektywnych” na stronie 50





Więcej informacji o prawach usługi eDirectory zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

5.6.1 Modyfikowanie filtru uprawnień dziedziczonych

Zarówno usługa eDirectory, jak i system plików NetWare zawierają mechanizm o nazwie Filtr uprawnień dziedziczonych (IRF), który umożliwia blokowanie dziedziczenia uprawnień dla poszczególnych elementów podrzędnych. Jedynym wyjątkiem jest wykluczenie możliwości blokowania uprawnień nadzorcy w systemie plików NetWare.

Więcej informacji na temat filtrów praw dziedziczonych zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

1 W widoku Role i zadania wybierz kolejno Prawa > Modyfikuj filtr uprawnień dziedziczonych.

2 Podaj pełną nazwę obiektu, którego filtr uprawnień dziedziczonych ma zostać zmodyfikowany, lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista filtrów uprawnień dziedziczonych, które zostały dotychczas ustawione dla tego obiektu.

3 Na stronie właściwości wprowadź odpowiednie zmiany na liście filtrów praw dziedziczonych, a następnie kliknij przycisk OK.

Do edytowania listy filtrów niezbędne jest posiadanie praw nadzorcy lub kontroli dostępu do właściwości ACL obiektu. Można ustawić filtry blokujące uprawnienia dziedziczone do obiektu jako całości albo do wszystkich lub wybranych właściwości obiektu.

5.6.2 Modyfikowanie praw dysponentów

Dysponent to obiekt, któremu przyznano bezpośrednie prawa do innego obiektu w drzewie katalogu. Aby zmodyfikować listę dysponentów danego obiektu:

1 W widoku Role i zadania wybierz kolejno Prawa > Modyfikuj dysponentów.

2 Podaj nazwę obiektu, którego lista dysponentów ma zostać wyświetlona, lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

Spowoduje to otwarcie listy dysponentów przypisanych aktualnie do obiektu.

3 Zmodyfikuj listę dysponentów zgodnie z potrzebami, a następnie kliknij przycisk OK.

Aby dodać dysponenta, kliknij przycisk Dodaj dysponenta.

Aby usunąć dysponenta, zaznacz odpowiadające mu pole wyboru i kliknij przycisk Usuń zaznaczone.

Aby zmodyfikować przypisanie praw dysponenta, wybierz łącze Przydzielone prawa dla tego dysponenta.

5.6.3 Prawa do innych obiektów

To zadanie umożliwia wyświetlanie i modyfikowanie listy obiektów, dla których obiekt jest dysponentem.

1 W widoku Role i zadania wybierz kolejno Prawa > Prawa do innych obiektów.

2 Na stronie Prawa do innych obiektów podaj wymagane informacje, a następnie kliknij przycisk OK.

W polu Nazwa dysponenta podaj nazwę obiektu.

Role i zadania 49




W polu Kontekst do wyszukiwania określ kontekst, w jakim mają być wyszukiwane obiekty mające tego dysponenta.

Aby przeszukać wszystkie kontenery w określonym kontekście, zaznacz pole wyboru Przeszukaj całe drzewo podrzędne.

3 Zmodyfikuj listę obiektów zgodnie z potrzebami, a następnie kliknij przycisk OK.

Aby dodać bezpośrednie prawa do innego obiektu, kliknij przycisk Dodaj obiekt.

Aby usunąć bezpośrednie prawa do innego obiektu, zaznacz odpowiadające mu pole wyboru i kliknij przycisk Usuń zaznaczone.

Aby zmodyfikować bezpośrednie prawa przyznane obiektowi, wybierz łącze Przydzielone prawa dla tego obiektu.

5.6.4 Wyświetlanie praw efektywnych

Prawa efektywne to kombinacja praw bezpośrednich i praw dziedziczonych, jakie ma obiekt w dowolnym punkcie drzewa katalogu. Aby wyświetlić efektywne prawa obiektu do innego obiektu:

1 W widoku Role i zadania wybierz kolejno Prawa > Wyświetl prawa efektywne.

2 Podaj nazwę dysponenta, którego prawa mają zostać wyświetlone, lub znajdź dysponenta przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 W polu Nazwa obiektu podaj nazwę obiektu, dla którego mają zostać obliczone prawa efektywne dysponenta.

Usługa eDirectory obliczy prawa efektywne i wyświetli je w polu Prawa efektywne.

4 Po zakończeniu kliknij przycisk Gotowe.

5.7 SchematSchemat katalogu definiuje typy obiektów, które można tworzyć w danym drzewie (takie jak Użytkownicy, Drukarki i Grupy) i określa, które informacje są wymagane, a które opcjonalne w chwili tworzenia obiektu. Program iManager umożliwia wykonywanie następujących zadań związanych ze schematami:

Sekcja 5.7.1, „Dodawanie atrybutu” na stronie 51

Sekcja 5.7.2, „Wyświetlanie informacji dotyczących atrybutów” na stronie 51

Sekcja 5.7.3, „Wyświetlanie informacji o klasie” na stronie 51

Sekcja 5.7.4, „Tworzenie atrybutu” na stronie 52

Sekcja 5.7.5, „Tworzenie klasy” na stronie 52

Sekcja 5.7.6, „Usuwanie atrybutu” na stronie 52

Sekcja 5.7.7, „Usuwanie klasy” na stronie 52

Sekcja 5.7.8, „Rozszerzanie schematu” na stronie 53

Sekcja 5.7.9, „Rozszerzanie obiektu” na stronie 53

Więcej informacji o schematach eDirectory zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).



5.7.1 Dodawanie atrybutu

Istnieje możliwość dodawania atrybutów opcjonalnych do istniejących klas, jeśli zmieni się struktura informacji używanych przez organizację, a także w czasie przygotowania do łączenia drzew. Aby dodać atrybut do istniejącej klasy:

UWAGA: Atrybuty obowiązkowe można definiować tylko w trakcie procesu tworzenia klasy. Atrybut obowiązkowy to taki, którego wartość musi zostać określona podczas tworzenia obiektu.

1 W widoku Role i zadania wybierz kolejno Schemat > Dodaj atrybut.

2 Wybierz klasę, do której ma zostać dodany atrybut, a następnie kliknij przycisk OK.

3 Wybierz atrybuty do dodania, a następnie kliknij przycisk OK.

Wybierz żądane atrybuty z listy Dostępne atrybuty opcjonalne, a następnie kliknij strzałkę w prawo, aby dodać te atrybuty do listy Dodaj następujące atrybuty opcjonalne. Aby usunąć atrybuty z listy Dodaj następujące atrybuty opcjonalne, użyj strzałki w lewo.

Nowo utworzone obiekty należące do tej klasy będą zawierać właściwość, która została dodana. Aby ustawić wartości dodanych właściwości, użyj dla obiektu standardowej strony właściwości Inne.

5.7.2 Wyświetlanie informacji dotyczących atrybutów

Istnieje możliwość wyświetlenia szczegółów strukturalnych dotyczących atrybutu, takich jak składnia, flagi i klasy używające atrybutu. Aby wyświetlić informacje dotyczące atrybutu:

1 W widoku Role i zadania wybierz kolejno Schemat > Informacje dotyczące atrybutu.

2 Wybierz atrybut, którego informacje mają zostać wyświetlone, a następnie kliknij przycisk Widok.

W ramce zawartości zostaną wyświetlone informacje dotyczące wybranego atrybutu.

3 Po zakończeniu kliknij przycisk Zamknij.

5.7.3 Wyświetlanie informacji o klasie

Strona Informacje o klasie zawiera informacje dotyczące wybranej klasy i umożliwia dodawanie atrybutów. Jeśli podczas tworzenia klasy określono, że klasa będzie dziedziczyć atrybuty innej klasy, atrybuty dziedziczone są klasyfikowane w taki sam sposób, jak w klasie nadrzędnej. Jeśli na przykład klasa obiektu jest obowiązkowym atrybutem klasy nadrzędnej, atrybut ten jest wyświetlany jako atrybut obowiązkowy wybranej klasy.

Aby wyświetlić informacje o klasie:

1 W widoku Role i zadania wybierz kolejno Schemat > Informacje o klasie.

2 Wybierz klasę, której informacje mają zostać wyświetlone, a następnie kliknij przycisk Widok.

W Ramce zawartości zostaną wyświetlone informacje dotyczące wybranej klasy. Aby dodać atrybut do klasy, wybierz przycisk Dodaj nowy atrybut. Aby wyświetlić klasę nadrzędną tej klasy, kliknij przycisk Wyświetl klasę nadrzędną.

3 Po zakończeniu kliknij przycisk Zamknij.

Role i zadania 51

5.7.4 Tworzenie atrybutu

Istnieje możliwość definiowania niestandardowych typów atrybutów i dodawania ich jako atrybutów opcjonalnych do istniejących klas obiektów. Nie można jednak dodawać atrybutów obowiązkowych do istniejących klas. Aby utworzyć atrybut:

1 W widoku Role i zadania wybierz kolejno Schemat > Utwórz atrybut.

2 Postępuj zgodnie z krokami Kreatora tworzenia atrybutów, aby ukończyć procedurę tworzenia atrybutu.

5.7.5 Tworzenie klasy

Klasa pomocnicza to zbiór właściwości (atrybutów), które są dodawane do określonego obiektu zamiast do całej klasy obiektów. Aplikacja poczty elektronicznej może na przykład rozszerzyć schemat drzewa eDirectory tak, aby znalazła się w nim klasa pomocnicza Właściwości poczty e-mail, a następnie rozszerzyć odpowiednio poszczególne obiekty o te właściwości.

Za pomocą Menedżera schematu można definiować własne klasy pomocnicze. Następnie można rozszerzać poszczególne obiekty, dodając właściwości zdefiniowane w klasach pomocniczych. Aby utworzyć klasę pomocniczą:

1 W widoku Role i zadania wybierz kolejno Schemat > Utwórz klasę.

2 Postępuj zgodnie z krokami Kreatora tworzenia klasy, aby zdefiniować nową klasę.

5.7.6 Usuwanie atrybutu

Możliwe jest usuwanie nieużywanych atrybutów, które nie należą do podstawowego schematu drzewa eDirectory. Może to być pomocne po scaleniu dwóch drzew katalogu lub jeśli atrybut stał się z czasem przestarzały. Aby usunąć atrybut:

1 W widoku Role i zadania wybierz kolejno Schemat > Usuń atrybut.

2 Wybierz atrybut, który chcesz usunąć, a następnie kliknij przycisk Usuń.

Wyświetlane są tylko te atrybuty, które można usuwać.

5.7.7 Usuwanie klasy

Możliwe jest usuwanie nieużywanych klas, które nie należą do podstawowego schematu drzewa eDirectory. Program iManager nie zezwala na usuwanie klas aktualnie używanych w lokalnie replikowanych partycjach. Aby usunąć klasę:

1 W widoku Role i zadania wybierz kolejno Schemat > Usuń klasę.

2 Wybierz klasę, którą chcesz usunąć, a następnie kliknij przycisk Usuń.

Wyświetlane są jedynie te klasy, które można usunąć.


5.7.8 Rozszerzanie schematu

Schemat drzewa można rozszerzyć, tworząc nową klasę lub nowy atrybut. Do rozszerzenia schematu drzewa eDirectory wymagane są uprawnienia administratora/nadzorcy dla całego drzewa. Aby rozszerzyć schemat:

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerz schemat.

2 Postępuj zgodnie z instrukcjami Kreatora ICE, aby wykonać operację importu, eksportu, migracji danych lub aktualizacji i porównania schematu.

5.7.9 Rozszerzanie obiektu

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerzenia obiektu.

2 Określ nazwę i kontekst obiektu, który ma zostać rozszerzony, a następnie kliknij przycisk OK.

3 Kliknij jedną z następujących opcji zależnie od tego, czy klasa pomocnicza, która ma zostać użyta, znajduje się na liście Bieżące rozszerzenia klasy pomocniczej:

Tak: Zakończenie tej procedury. Zobacz Modifying an Object’s Auxiliary Properties (Modyfikowanie właściwości pomocniczych obiektu) w Podręczniku administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Nie: Kliknij przycisk Dodaj, wybierz klasę pomocniczą, a następnie kliknij przycisk OK.

4 Kliknij przycisk Zamknij.

Można też dodawać lub usuwać klasy pomocnicze wielu obiektów jednocześnie.

1 W widoku Role i zadania kliknij kolejno Schemat > Rozszerzenia obiektu.

2 Kliknij kartę Wybierz kilka obiektów.

2a Wybierz obiekty do rozszerzenia, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista rozszerzeń klas pomocniczych, które są wspólne dla wszystkich zaznaczonych obiektów.

2b Aby dodać klasę pomocniczą, kliknij przycisk Dodaj, wybierz odpowiednią klasę pomocniczą, a następnie kliknij przycisk OK.

2c Aby usunąć istniejącą klasę pomocniczą, zaznacz tę klasę, a następnie kliknij przycisk Usuń.

3 Kliknij przycisk Zamknij, aby zamknąć stronę.

5.8 użytkownicyZarządzanie użytkownikami i ich dostępem do sieci jest głównym celem katalogu. Program iManager umożliwia wykonywanie następujących zadań związanych z użytkownikami.

Sekcja 5.8.1, „Tworzenie użytkownika” na stronie 54

Sekcja 5.8.2, „Usuwanie użytkownika” na stronie 54

Sekcja 5.8.3, „Wyłączanie konta” na stronie 54

Sekcja 5.8.4, „Włączanie konta” na stronie 55

Sekcja 5.8.5, „Modyfikowanie użytkownika” na stronie 55

Role i zadania 53



Sekcja 5.8.6, „Przenoszenie użytkownika” na stronie 55

Sekcja 5.8.7, „Zmiana nazwy użytkownika” na stronie 55

Więcej informacji na temat obiektów użytkowników w katalogu zawiera Podręcznik administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

5.8.1 Tworzenie użytkownika

Aby utworzyć nowy obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownik > Utwórz użytkownika.

2 Na stronie Utwórz użytkownika podaj co najmniej wymagane informacje związane z użytkownikiem, a następnie kliknij przycisk OK.

Nazwa użytkownika

Nazwisko

Kontekst

Hasło (dwukrotnie)

WAŻNE: Jeśli nie zostanie podane hasło, zostanie wyświetlony monit o zezwolenie użytkownikowi na logowanie się bez użycia hasła (niezalecane) lub ustawienie wymagania hasła do zalogowania się.

Zaznacz pole wyboru Ustaw hasło proste, aby zdefiniować hasło proste, które jest wymagane do dostępu do plików macierzystych przez użytkowników systemów Windows* i Macintosh*. Nie jest ono wymagane w przypadku włączenia hasła uniwersalnego.

Zaznacz pole wyboru Kopiuj z obiektu typu Szablon lub Użytkownik, aby utworzyć użytkownika na podstawie istniejącego obiektu użytkownika lub szablonu. Podczas kopiowania obiektu użytkownika program iManager umożliwia tworzenie wyłącznie kopii praw NDS nowego obiektu, a nie kopii praw NDS, aby uniemożliwić użytkownikom uzyskanie takich samych praw jak administrator.

Zaznacz pole wyboru Utwórz katalog domowy, aby określić lokalizację katalogu domowego użytkownika, tworzonego podczas tworzenia obiektu użytkownika. W przypadku podania nieistniejącej ścieżki zostanie wyświetlony komunikat z informacją, że katalog domowy użytkownika nie został utworzony.

5.8.2 Usuwanie użytkownika

Aby usunąć obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Usuwanie użytkownika.

2 Wpisz nazwę i kontekst obiektu lub znajdź obiekt przy użyciu funkcji wyszukiwania, a następnie kliknij przycisk OK.

3 Kliknij przycisk Usuń.

Zostanie wyświetlone potwierdzenie informujące o usunięciu obiektu użytkownika.

5.8.3 Wyłączanie konta

Aby wyłączyć konto użytkownika, uniemożliwiając w ten sposób użytkownikowi uwierzytelnianie się w katalogu:




UWAGA: Wykonanie tego zadania uniemożliwia jedynie uwierzytelnianie użytkownika po wyłączeniu konta. Jeśli w momencie wyłączenia konta użytkownik jest zalogowany, będzie miał nadal dostęp do konta do momentu wylogowania się.

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Wyłącz konto.

2 Podaj nazwę i kontekst obiektu lub znajdź obiekt przy użyciu selektora obiektów, a następnie kliknij przycisk OK.

3 Kliknij przycisk Wyłącz.

5.8.4 Włączanie konta

Aby włączyć wcześniej wyłączone konto użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Włącz konto.


3 Kliknij przycisk Włącz.

5.8.5 Modyfikowanie użytkownika

Aby zmodyfikować właściwości istniejącego obiektu użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Modyfikuj użytkownika.


W ramce zawartości zostanie wyświetlona książka właściwości obiektu użytkownika.

3 Wprowadź zmiany, a następnie kliknij przycisk Zastosuj lub OK, aby je zapisać.

5.8.6 Przenoszenie użytkownika

Aby przenieść obiekt użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Przenieś użytkownika.

2 Podaj wymagane informacje, zgodnie z opisem w części „Przenoszenie obiektu” na stronie 42.

5.8.7 Zmiana nazwy użytkownika

Aby zmienić nazwę obiektu użytkownika:

1 W widoku Role i zadania wybierz kolejno Użytkownicy > Zmień nazwę użytkownika.

2 Podaj wymagane informacje, zgodnie z opisem w części „Zmienianie nazwy obiektu” na stronie 43.

Role i zadania 55

6 6Konfigurowanie i dostosowywanie programu iManager

W tej części opisano różne funkcje konfiguracji programu NetIQ iManager. Konfigurację programu iManager przeprowadza się w widoku Konfiguruj. W tej części omówiono następujące zagadnienia:

Sekcja 6.1, „Usługi oparte na rolach” na stronie 57

Sekcja 6.2, „Konfiguracja usługi RBS” na stronie 61

Sekcja 6.3, „Raporty RBS” na stronie 72

Sekcja 6.4, „Serwer programu iManager” na stronie 76

Sekcja 6.5, „Lista tworzenia obiektów” na stronie 84

Sekcja 6.6, „Instalowanie modułów dodatków typu plug-in” na stronie 85

Sekcja 6.7, „Pobieranie i instalowanie modułów dodatków typu plug-in” na stronie 86

Sekcja 6.8, „Powiadomienie pocztą e-mail” na stronie 89

Sekcja 6.9, „Widoki” na stronie 90

WAŻNE: Korzystanie z usług opartych na rolach (RBS) jest opcjonalne, jednak zaleca się ich skonfigurowanie w celu zapewnienia optymalnego użytkowania programu iManager. Usługi RBS muszą zostać skonfigurowane w drzewie eDirectory, aby możliwe było korzystanie z programu Studio dodatków typu plug-in.

Do modyfikowania i usuwania obiektów usług RBS nie należy używać programu Novell ConsoleOne. Obiektami RBS należy zarządzać wyłącznie przy użyciu programu iManager.

W razie potrzeby można uniemożliwić dostęp do widoku Konfiguruj programu iManager użytkownikom niebędącym administratorami ani właścicielami kolekcji. Więcej informacji można znaleźć w następujących tematach:

Widoki programu iManager: „Widoki” na stronie 90.

Preferencje użytkownika: „Preferencje” na stronie 93

Użytkownicy autoryzowani: „Autoryzowani użytkownicy i grupy” na stronie 78.

6.1 Usługi oparte na rolachKorzystając z programu iManager, użytkownik może przypisywać użytkownikom określone zakresy odpowiedzialności i udostępniać im narzędzia (wraz z odpowiednimi prawami) niezbędne do wykonywania czynności w ramach tych zakresów odpowiedzialności. Technika ta stanowi istotę usług opartych na rolach (RBS).

Usługi oparte na rolach to zbiór rozszerzeń schematu eDirectory. Usługi RBS definiują kilka klas i atrybutów obiektów zapewniających administratorom mechanizm, za pomocą którego mogą przyznawać użytkownikom dostęp do zadań z zakresu zarządzania na podstawie ról poszczególnych użytkowników w organizacji. W ten sposób poszczególnym użytkownikom można przyznać dostęp tylko do tych zadań, które powinni wykonywać. Usługi RBS dają użytkownikom jedynie prawa wymagane do wykonywania przypisanych im zadań.

Konfigurowanie i dostosowywanie programu iManager 57

UWAGA: Usługi oparte na rolach (RBS) w programie NetIQ iManager przyznają prawa na podstawie listy kontroli dostępu usługi NetIQ eDirectory. Listy kontroli dostępu umożliwiają przyznawanie dysponentowi praw do konkretnego obiektu lub jego obiektów podrzędnych. Prawa list kontroli dostępu nie są przyznawane na podstawie typów poszczególnych obiektów. Każde zadanie programu NetIQ iManager definiuje odpowiadające mu typy obiektów i niezbędne listy kontroli dostępu. Te listy kontroli dostępu umożliwiają jednak użytkownikowi wykonywanie tych operacji z innymi typami obiektów za pośrednictwem interfejsów API usługi eDirectory lub innych narzędzi, takich jak Novell ConsoleOne lub NWAdmin.

Za pomocą usług RBS można utworzyć w organizacji określone role obejmujące zadania, które przypisany użytkownik może wykonywać w programie iManager, takie jak tworzenie nowego użytkownika czy zmiana hasła. Zadania są wstępnie przypisane do ról, ale można je zastąpić, przypisać ponownie lub usunąć.

Co więcej, użytkownicy są skojarzeni z rolami w określonym zakresie, będącym kontenerem w drzewie, w obrębie którego użytkownik ma uprawnienia do wykonywania zadania. Rola wymaga tego trzystopniowego skojarzenia roli, członków i zakresu, aby była kompletna.

Obiekt roli RBS tworzy skojarzenie między użytkownikami i zadaniami. Administrator przyznaje użytkownikowi dostęp do zadania, określając go jako członka roli, do której dane zadanie jest przypisane.

Istnieją następujące sposoby przypisania użytkownika do funkcji:

Bezpośrednio jako użytkownika

Za pomocą przypisań grup i grup dynamicznych

Jeśli użytkownik jest członkiem grupy lub grupy dynamicznej przypisanej do funkcji, ma on dostęp do tej funkcji.

Za pomocą przypisań ról organizacyjnych

Jeśli użytkownik pełni funkcję organizacyjną, do której przypisano funkcję, ma on dostęp do tej funkcji.

Za pomocą przypisania kontenera

Obiekt użytkownika ma dostęp do wszystkich ról, do których jest przypisany jego kontener nadrzędny. Może to również dotyczyć innych kontenerów nadrzędnych w drzewie.

Użytkownik może być kojarzony z rolą wiele razy — za każdym razem z uwzględnieniem innego zakresu.

6.1.1 Obiekty RBS w usłudze eDirectory

Poniższa tabela zawiera listę obiektów RBS. Po zainstalowaniu usług RBS program iManager rozszerza schemat eDirectory, aby uwzględnić te obiekty. Więcej informacji znajduje się w: „Instalowanie usług RBS” na stronie 60.


Obiekt Opis

rbsCollection Obiekt kontenera, w którym znajdują się wszystkie obiekty roli i modułu RBS.

Obiekty rbsCollection są kontenerami najwyższego poziomu dla wszystkich obiektów RBS. Drzewo może zawierać dowolną liczbę obiektów rbsCollection. Obiekty te mają właścicieli, którymi są użytkownicy posiadający prawa do zarządzania daną kolekcją.

Obiekty rbsCollection można tworzyć w następujących kontenerach:

Kraj

Domena

Umiejscowienie

Organizacja

Jednostka organizacyjna

rbsRole Definiowanie ról obejmuje utworzenie obiektu rbsRole i określenie zadań możliwych do wykonania w ramach danej roli.

Obiekty rbsRole to obiekty kontenera, które można tworzyć tylko w kontenerze rbsCollection.

Członkami roli mogą być użytkownicy, grupy, organizacje, role organizacyjne lub jednostki organizacyjne. Członkowie są przypisywani do roli w określonym zakresie drzewa. Obiekty rbsTask i rbsBook są przypisywane do obiektów rbsRole.

rbsTask Obiekt liścia zawierający określoną funkcję (np. resetowanie haseł logowania).

Obiekty rbsTask znajdują się tylko w kontenerach rbsModule.

rbsBook (zwany inaczej książką właściwości)

Książka jest obiektem liścia służącym do wyświetlania grupy stron, które umożliwiają użytkownikowi przeglądanie i modyfikowanie właściwości obiektu lub zbioru obiektów tego samego typu. Każda strona książki zawiera kartę, której kliknięcie umożliwia wyświetlenie innej strony.

Obiekt książki znajduje się tylko w kontenerach rbsModule i może być przypisany do jednej lub wielu ról oraz do jednego lub wielu typów klas obiektów.

rbsScope Obiekt liścia używany w celu dokonywania przypisań listy kontroli dostępu (ACL) zamiast tworzenia przypisań dla każdego obiektu użytkownika. Obiekty rbsScope reprezentują kontekst w drzewie, w którym pełniona jest rola, i są skojarzone z obiektami rbsRole. Są one dziedziczone po klasie Grupa. Obiekty użytkownika są przypisywane do obiektu rbsScope. Obiekty te zawierają odwołania do zakresu drzewa, z którym są skojarzone.

Obiekty te są tworzone dynamicznie w razie potrzeby i automatycznie usuwane, kiedy nie są już potrzebne. Obiekty tego typu znajdują się tylko w kontenerach rbsRole.

OSTRZEŻENIE: Konfiguracji obiektu rbsScope nie należy nigdy zmieniać. Działanie takie może mieć poważne następstwa i doprowadzić nawet do awarii systemu.


Poniższy rysunek przedstawia rozmieszczenie obiektów RBS w drzewie eDirectory.

Rysunek 6-1 Usługi oparte na rolach w drzewie eDirectory

6.1.2 Instalowanie usług RBS

Usługi RBS są instalowane przy użyciu Kreatora konfiguracji programu iManager.

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Konfiguracja usług RBS.

2 Wybierz opcję Konfiguruj program iManager.

3 Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

rbsModule Reprezentuje obiekt kontenera zawierający obiekty rbsTask i rbsBook. Obiekty rbsModule zawierają atrybut nazwy modułu, który reprezentuje nazwę produktu definiującego zadania lub książki (na przykład eDirectory Maintenance Utilities, NMAS Management lub NetIQ Certificate Server Access).

Obiekty rbsModule można tworzyć tylko w kontenerach rbsCollection.

rbsCategory Kategoria grupuje role i zadania specyficzne dla określonej funkcji. W programie iManager dostępnych jest 14 kategorii domyślnych: Uwierzytelnianie i hasła, Współpraca, Katalog, Zarządzanie plikami, Identity Manager, Infrastruktura, Instaluj/Aktualizuj, Sieć, Novell Audit, Drukowanie, Zabezpieczenia, Serwery, Licencje na oprogramowanie i korzystanie z sieci oraz Użytkownicy i grupy.

Opcja wyboru Wszystkie kategorie służy do wyświetlania wszystkich dostępnych ról i zadań.

Możliwe jest również tworzenie nowych kategorii i przypisywanie do nich ról i zadań.

Obiekt Opis


6.1.3 Usuwanie usługi RBS

Jeśli usługi oparte na rolach nie są już potrzebne w drzewie, obiekt kolekcji RBS można bezpiecznie usunąć za pomocą programu iManager. Usunięcie kolekcji RBS powoduje również automatyczne wyczyszczenie wszystkich przypisań ról użytkowników i zakresów w drzewie. Nie należy usuwać kolekcji RBS przy użyciu innych narzędzi, takich jak program ConsoleOne.

Aby usunąć usługi oparte na rolach:


2 Wybierz kolekcję do usunięcia.

3 Kliknij przycisk Usuń.

Po usunięciu kolekcji RBS wszyscy użytkownicy logujący się do programu iManager będą nadal korzystali z trybu Przypisany dostęp, nawet jeśli w drzewie nie ma żadnego obiektu kolekcji RBS.

Aby przełączyć się z powrotem do trybu Bez ograniczeń (trybu domyślnego):

1 W widoku Konfiguruj wybierz kolejno Serwer programu iManager > Konfiguruj program iManager.

2 Wybierz kartę RBS.

3 W polu Lista drzew RBS wybierz odpowiednią nazwę drzewa, a następnie kliknij przycisk ze znakiem minus.

4 Kliknij przycisk Zapisz.

UWAGA: Gdy program iManager jest używany w trybie Bez ograniczeń, na stronie domowej tego programu jest zwykle widoczny następujący komunikat: Uwaga: Niektóre role i zadania są niedostępne.Kliknięcie przycisku Wyświetl szczegóły może w przypadku kilku zadań spowodować wyświetlenie komunikatu Brak obsługi przez bieżące procesy uwierzytelniające, nawet jeśli te zadania działają poprawnie. Ten komunikat wprowadza w błąd i dlatego jest usuwany przez program iManager po skonfigurowaniu usług RBS przez użytkownika.

6.2 Konfiguracja usługi RBSZadanie Konfiguracja usługi RBS zapewnia pełną kontrolę nad obiektami usługi RBS. Jest to centralne miejsce służące do zarządzania obiektami RBS i ich konfigurowania. Obiekty RBS można wyświetlać i modyfikować według typu. To zadanie dostarcza również użytecznych informacji o systemie usługi RBS, takich jak: liczba modułów w kolekcji, liczba zainstalowanych, liczba niezainstalowanych i liczba nieaktualnych modułów. Niektóre zadania można wykonywać jednocześnie na wielu obiektach. Na przykład można naraz przypisać wielu członków do roli lub cofnąć przypisanie wielu członków do roli.

W widoku Konfiguruj należy wybrać kolejno Usługi oparte na rolach > Konfiguracja usług RBS, aby otworzyć stronę Konfiguracja usług RBS w ramce zawartości.

Strona zawiera dwie karty:

Kolekcja programu iManager 2.x: Zawiera bieżące kolekcje RBS.

Kolekcje programu iManager 1.x: Zawiera starsze kolekcje RBS, które można usunąć lub poddać migracji do kolekcji programu iManager 2x. W przypadku wybrania opcji Migracja, kreator poprowadzi użytkownika przez kolejne kroki procesu migracji.


Program iManager wyświetla tylko te kolekcje, których właścicielem jest użytkownik, a dla każdej kolekcji wyświetla następujące informacje:

Moduł — wskazuje liczbę modułów znajdujących się na serwerze sieci Web, na którym użytkownik jest zalogowany.

Zainstalowano — wskazuje liczbę modułów, które są obecnie zainstalowane.

Nieaktualny — wskazuje liczbę nieaktualnych modułów, które są obecnie zainstalowane.

Niezainstalowany — wskazuje liczbę modułów, które są dostępne, ale nie są zainstalowane.

Aby pracować z konkretną kolekcją, należy wybrać ją z listy. Spowoduje to otwarcie widoku specyficznego dla kolekcji, takiego jak przedstawiony na: Rysunek 6-2.

Rysunek 6-2 Praca z kolekcjami RBS w programie iManager

Dalej w tej części opisano różne karty dostępne na stronie Kolekcja RBS, a także inne zadania związane z usługami RBS w kategorii Usługi oparte na rolach.

Sekcja 6.2.1, „Karta Rola” na stronie 63

Sekcja 6.2.2, „Karta Zadanie” na stronie 65

Sekcja 6.2.3, „Karta Książka właściwości.” na stronie 66

Sekcja 6.2.4, „Karta Moduł” na stronie 68

Sekcja 6.2.5, „Karta Kategoria” na stronie 68

Sekcja 6.2.6, „Studio dodatków typu plug-in” na stronie 69

Sekcja 6.2.7, „Edytowanie skojarzeń członków” na stronie 71

Sekcja 6.2.8, „Edytowanie kolekcji właścicieli” na stronie 72


6.2.1 Karta Rola

Karta Rola na stronie Kolekcja RBS umożliwia zarządzanie rolami RBS w kolekcji. Na karcie tej można wykonywać następujące czynności:

„Tworzenie nowej roli” na stronie 63

„Edytowanie roli” na stronie 63

„Usuwanie roli” na stronie 63

„Ustawianie skojarzenia członka” na stronie 64

„Przypisywanie kategorii” na stronie 64

„Dodawanie opisu do roli” na stronie 64

UWAGA: Aby wybrać rolę, należy zaznaczyć pole wyboru z lewej strony nazwy roli.

Tworzenie nowej roli

Aby utworzyć nową rolę w kolekcji:

1 Na karcie Rola wybierz kolejno Nowy > Rola programu iManager.

2 Wykonaj kroki Kreatora tworzenia roli iManager.

Kreator prowadzi użytkownika przez procesy nadawania nazwy roli, przypisywania zadań i kategorii do roli oraz przypisywania członków roli i zakresów do roli.

Edytowanie roli

Aby poddać edycji istniejącą rolę w kolekcji:

1 Na karcie Rola wybierz rolę, a następnie kliknij przycisk Edycja.

Zostanie wyświetlona lista zadań roli.

2 W zależności od potrzeb dodaj lub usuń zadanie z tej strony, a następnie kliknij przycisk OK.

Usuwanie roli

Aby usunąć rolę z kolekcji:

1 Na karcie Rola wybierz rolę, a następnie kliknij przycisk Usuń.

Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych ról. Czy chcesz kontynuować?

2 Kliknij przycisk OK, aby usunąć rolę.


Ustawianie skojarzenia członka

Aby dodać członka do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie wybierz kolejno Czynności > Skojarzenia członków.

2 Podaj wymagane informacje dotyczące członka, a następnie kliknij przycisk Dodaj.

Nazwa: Określ żądany obiekt, który ma zostać członkiem roli, lub znajdź go przy użyciu selektora obiektów.

Zakres: Określ kontener definiujący zakres, w którym ten członek może wykonywać rolę, lub znajdź kontener przy użyciu selektora obiektów.

3 Na liście członków określ sposób przypisywania do członka praw związanych z tą rolą, a następnie kliknij przycisk OK.

Przypisz prawa: Zleca usłudze eDirectory automatyczne przyznawanie praw członka niezbędnych do wykonywania przypisanej roli. Jeśli opcja ta nie zostanie zaznaczona, członkowi zostanie przypisana rola, ale może on nie mieć praw do wykonywania wszystkich zadań skojarzonych z tą rolą. Przypisania praw członka są obsługiwane osobno.

Z możliwością dziedziczenia: Wybierz opcję drzewo podrzędne, aby wskazać, że zakres członka obejmuje wszystkie kontenery podrzędne w określonym kontekście. Wybierz opcję obiekt podstawowy, aby wskazać, że członek może wykonywać rolę tylko w określonym kontenerze.

UWAGA: Jeśli użytkownik jest właścicielem kolekcji i ma ustawione skojarzenie członka, może zarządzać wszystkimi obiektami RBS w zdefiniowanym zakresie. Listę obiektów RBS w katalogu eDirectory wraz z ich opisami zawiera Sekcja 6.1.1, „Obiekty RBS w usłudze eDirectory” na stronie 58.

Przypisywanie kategorii

Aby dodać przypisanie kategorii do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie wybierz kolejno Czynności > Przypisanie kategorii.

Zostanie wyświetlona strona Przypisanie kategorii.

2 Wybierz kategorię, a następnie kliknij strzałkę w prawo, aby przypisać ją do roli.


Dodawanie opisu do roli

Aby dodać opis do istniejącej roli:

1 Na karcie Rola wybierz rolę, a następnie kliknij kolejno Czynności > Opis.

2 Podaj opis w polu tekstowym, a następnie kliknij przycisk OK.


6.2.2 Karta Zadanie

Zadanie jest dodatkiem typu plug-in, służącym do wykonywania odrębnej funkcji zarządzania, na przykład tworzenia użytkownika lub ustawiania hasła. Program iManager wyświetla zadania według grup w obszarze nawigacyjnym w lewej części okna.

Karta Zadanie na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Tworzenie nowego zadania” na stronie 65

„Usuwanie zadania” na stronie 65

„Edytowanie przypisania roli zadania” na stronie 65

„Dodawanie opisu do zadania” na stronie 65

Tworzenie nowego zadania

Aby utworzyć nowe zadanie:

1 Na karcie Zadanie wybierz kolejno Nowy > Zadanie programu iManager.

2 Wykonaj kroki kreatora Utwórz zadanie programu iManager.

Kreator prowadzi użytkownika przez proces podawania wymaganych szczegółów dotyczących tworzonego zadania.

Aby uzyskać informacje na temat tworzenia zadań w programie Studio dodatków typu plug-in, patrz „Tworzenie nowego zadania w programie Studio dodatków typu plug-in” na stronie 69.

Usuwanie zadania

Aby usunąć istniejące zadanie:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz przycisk Usuń.

Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych zadań. Czy chcesz kontynuować?


Edytowanie przypisania roli zadania

Aby poddać edycji listę ról, do których zadanie jest przypisane:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz kolejno Czynności > Przydział roli.

2 Na stronie Edytuj przypisanie roli dodaj lub usuń role z pola Przypisane role, a następnie kliknij przyciskOK.

Dodawanie opisu do zadania

Aby dodać opis do istniejącego zadania:

1 Na karcie Zadanie wybierz zadanie, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis w polu tekstowym, a następnie kliknij przycisk OK.


6.2.3 Karta Książka właściwości.

W książce właściwości są wyświetlane atrybuty określonego typu obiektu, które użytkownik może modyfikować. Są to właściwości obiektu lub zbioru obiektów tego samego typu.

Książki właściwości mogą być przypisywane do ról i wyświetlane na liście zadań dla roli. Na przykład książka właściwości służąca do modyfikowania atrybutów obiektu użytkownika może zawierać stronę pozwalającą na określenie skryptu logowania użytkownika. Inna strona tej książki może umożliwiać zmianę adresu e-mail i numeru telefonu użytkownika.

Strony książki właściwości są podobne do zadań. Jednakże są przeznaczone do wyświetlania i modyfikowania atrybutów w pojedynczym widoku. Aby wykonywać te operacje w bardziej złożonym, podobnym do kreatora interfejsie użytkownika, należy utworzyć zadanie.

Karta Książka właściwości na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Tworzenie nowej książki właściwości” na stronie 66

„Usuwanie książki właściwości” na stronie 66

„Edytowanie przypisania roli w książce właściwości” na stronie 67

„Modyfikowanie listy stron książki właściwości” na stronie 67

„Modyfikowanie przypisania typu obiektu książki właściwości” na stronie 67

„Dodawanie lub modyfikowanie opisu książki właściwości” na stronie 67

„Definiowanie/modyfikowanie preferowanej metody wybierania obiektów dla zadania w książce właściwości” na stronie 67

Tworzenie nowej książki właściwości

Aby utworzyć nową książkę właściwości:

1 Na karcie Książka właściwości wybierz przycisk Nowy.

2 Wykonaj kroki kreatora Utwórz książkę właściwości.

Kreator prowadzi użytkownika przez proces podawania wymaganych szczegółów dotyczących tworzonej książki właściwości.

WAŻNE: Niektóre znaki mają w programie iManager znaczenie specjalne i dlatego należy wpisywać je razem z ukośnikiem odwrotnym (\): Więcej informacji znajduje się w: Sekcja 3.2, „Znaki specjalne” na stronie 26.

Usuwanie książki właściwości

Aby usunąć książkę właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz przycisk Usuń.

Zostanie wyświetlony komunikat: Ta operacja spowoduje usunięcie wszystkich wybranych książek właściwości. Czy chcesz kontynuować?



Edytowanie przypisania roli w książce właściwości

Aby zmodyfikować listę ról, do których książka właściwości jest przypisana:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Przydział roli.

2 Na stronie Edytuj przypisanie roli dodaj lub usuń role z pola Przypisane role, a następnie kliknij przyciskOK.

Modyfikowanie listy stron książki właściwości

Aby zmodyfikować strony atrybutów skojarzone z książką właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Lista stron.

2 Na stronie Edytuj listę stron dodaj lub usuń role w polu Przypisane strony. Aby zmienić kolejność stron, zaznacz stronę i kliknij przycisk Przenieś w górę lub Przenieś > w dół.

Modyfikowanie przypisania typu obiektu książki właściwości

Aby zmodyfikować listę typów obiektów skojarzonych z książką właściwości:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Rodzaj obiektu.

2 Na stronie Edytuj typ obiektu dodaj lub usuń role z pola Przypisane typy obiektów, a następnie kliknij przyciskOK.

Dodawanie lub modyfikowanie opisu książki właściwości

Aby dodać lub zmodyfikować opis w istniejącym zadaniu:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno Czynności > Opis.

2 Podaj lub zmień opis w polu tekstowym, a następnie kliknij przycisk OK.

Definiowanie/modyfikowanie preferowanej metody wybierania obiektów dla zadania w książce właściwości

Aby zdefiniować lub zmodyfikować preferowaną metodę wybierania obiektów dla istniejącego zadania:

1 Na karcie Książka właściwości wybierz książkę właściwości, a następnie wybierz kolejno opcje Czynności > Tryb wybierania obiektów docelowych.

2 Z listy Tryb wybierz odpowiedni tryb — Pojedynczy, Wielokrotny, Prosta lub Zaawansowane — a następnie kliknij przycisk OK.

Zostanie wyświetlony komunikat o pomyślnej zmianie. Kliknij przycisk OK.

UWAGA: Aby zmiany modułu Podstawowa zawartość programu iManager zostały uwzględnione, należy uruchomić ponownie serwer Tomcat.


6.2.4 Karta Moduł

Na stronie Moduł jest wyświetlana lista modułów RBS zainstalowanych obecnie w wybranej kolekcji. Każdy moduł zawiera książki właściwości i zadania RBS. Na stronie tej można dodawać (w celu tworzenia niestandardowych książek właściwości) i usuwać moduły, a także można wpisywać opis wybranego modułu dodatków typu plug-in.

Karta Moduł na stronie kolekcja RBS umożliwia wykonywanie następujących operacji:

„Dodawanie nowego modułu dodatków typu plug-in” na stronie 68

„Usuwanie modułu RBS” na stronie 68

„Dodawanie opisu” na stronie 68

Dodawanie nowego modułu dodatków typu plug-in

Aby dodać nowy moduł dodatków typu plug-in:

1 Na karcie Moduł wybierz przycisk Nowy.

2 Podaj nazwę i kontekst docelowy modułu RBS, a następnie kliknij przycisk OK.

Program iManager wyświetli komunikat informujący o dodaniu modułu.

Usuwanie modułu RBS

Aby usunąć istniejący moduł dodatków typu plug-in:

1 Na karcie Moduł wybierz moduł do usunięcia, a następnie wybierz przycisk Usuń.

2 Kliknij przycisk OK, aby potwierdzić usunięcie modułu.

Dodawanie opisu

Aby dodać opis do istniejącego modułu dodatków typu plug-in:

1 Na karcie Moduł wybierz moduł, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis modułu, a następnie kliknij przycisk OK.

6.2.5 Karta Kategoria

Kategorie grupują powiązane role i zadania. Karta Kategoria na stronie Kolekcja RBS umożliwia wykonywanie następujących operacji:

„Dodawanie nowej kategorii” na stronie 68

„Usuwanie kategorii” na stronie 69

„Dodawanie opisu” na stronie 69

Dodawanie nowej kategorii

Aby dodać opis do istniejącego modułu dodatków typu plug-in:

1 Na karcie Kategoria wybierz przycisk Nowy.

Spowoduje to uruchomienie Kreatora tworzenia kategorii.

2 Podaj nazwę i opis (opcjonalnie) kategorii, a następnie kliknij przycisk Dalej.


3 Wybierz role, które mają zostać skojarzone z nową kategorią, a następnie kliknij przycisk Dalej.

4 Przejrzyj podsumowanie nowej kategorii, a następnie kliknij przycisk Zakończ.

Usuwanie kategorii

Aby usunąć istniejącą kategorię:

1 Na karcie Kategoria wybierz kategorię do usunięcia, a następnie kliknij przycisk Usuń.

2 Kliknij przycisk OK, aby potwierdzić usunięcie kategorii.

Dodawanie opisu

Aby dodać lub zmodyfikować opis istniejącej kategorii:

1 Na karcie Kategoria wybierz kategorię, a następnie wybierz kolejno Czynności > Opis.

2 Podaj opis kategorii, a następnie kliknij przycisk OK.

6.2.6 Studio dodatków typu plug-in

Studio dodatków typu plug-in oferuje szybki i prosty sposób usprawnienia obsługi zadań wykonywanych kilka razy dziennie. Za pomocą Studia dodatków plug-in można dynamicznie tworzyć zadania dla najczęściej wykonywanych operacji. Można w nim również tworzyć, edytować i usuwać zadania.

Na przykład aby zmodyfikować użytkownika, można — zamiast wybierać polecenie Modyfikuj obiekt — utworzyć dynamiczny interfejs użytkownika, aby edytować tylko wybrane atrybuty, takie jak imię lub tytuł. Dane są przechowywane w katalogu TOMCAT_HOME/webapps/nps/portal/modules/custom.

UWAGA: Firma NetIQ zaleca, aby podczas używania Studia dodatków plug-in nie uruchamiać wielu serwerów programu iManager przy użyciu tych samych usług opartych na rolach. Studio dodatków plug-in nie aktualizuje poprawnie dodatków typu plug-in w usłudze eDirectory.

Za pomocą programu Studio dodatków typu plug-in można wykonywać następujące operacje:

„Tworzenie nowego zadania w programie Studio dodatków typu plug-in” na stronie 69

„Edytowanie zadania” na stronie 70

„Usuwanie zadania” na stronie 70

„Kopiowanie zadań niestandardowych” na stronie 71

„Eksportowanie zadań niestandardowych” na stronie 71

„Importowanie zadań niestandardowych” na stronie 71

Tworzenie nowego zadania w programie Studio dodatków typu plug-in

Aby utworzyć nowe zadanie za pomocą programu Studio dodatków typu plug-in:

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Studio dodatków typu plug-in.

2 Wybierz przycisk Nowy.


Zostanie wyświetlony kreator zadań, który pomaga utworzyć niestandardowe zadania i strony właściwości.

3 Określ typ obiektu i informacje o platformie, a następnie kliknij przycisk Dalej.

Dostępne klasy: Określ klasę obiektu skojarzoną z nowym zadaniem.

Urządzenie docelowe: Określ platformę, na której jest używane zadanie. Zazwyczaj wybór domyślny (opcja Domyślny) działa poprawnie.

Typ dodatku plug-in: Określ typ tworzonego zadania.

Dodaj klasy pomocnicze: Wybierz tę opcję, aby dodać obsługę klas pomocniczych do zadania.

4 Na ekranie Pola dodatku typu plug-in podaj wymagane informacje, a następnie kliknij przycisk Instaluj.

Po kliknięciu przycisku Instaluj program iManager dynamicznie utworzy plik XML, plik JSP i pliki Java, służące do wykonywania zadania, a następnie zainstaluje te pliki w systemie.

Atrybuty: Z listy dostępnych atrybutów wybierz atrybut, który ma zostać skojarzony z zadaniem.

Kliknij atrybut dwukrotnie, aby przenieść go do pola Pola dodatku typu plug-in, używając formantu domyślnego.

Przyciski: Wyświetla wszystkie dostępne formanty dla atrybutu wybranego w polu Atrybuty.

Kliknij formant dwukrotnie, aby przenieść bieżący atrybut do pola Pola dodatku typu plug-in, używając wybranego formantu.

Pola dodatku typu plug-in: Zawiera każdy atrybut/formant skojarzony aktualnie z zadaniem. Za pomocą tego pola można usuwać atrybuty z zadania, zmieniać formanty skojarzone z atrybutem oraz modyfikować właściwości formantu dla atrybutu.

Właściwości dodatku typu plug-in: Umożliwia określenie identyfikatora dodatku typu plug-in, przypisanie zadania do kolekcji RBS oraz przypisanie zadania do roli. Przypisana rola określa miejsce wyświetlania tego zadania w ramce nawigacyjnej widoku Role i zadania.

Edytowanie zadania

Aby poddać edycji istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz zadanie, a następnie kliknij przycisk Edycja.

3 Zmodyfikuj ustawienia opisane w części„Tworzenie nowego zadania” na stronie 65, a następnie kliknij przycisk Instaluj.

Program iManager wyświetli komunikat potwierdzenia informujący o pomyślnym utworzeniu i zainstalowaniu dodatku typu plug-in.

Usuwanie zadania

Aby usunąć istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz dodatek z listy zainstalowanych niestandardowych dodatków typu plug-in, a następnie kliknij przycisk Usuń.

Zostanie wyświetlony komunikat: Czy na pewno chcesz usunąć ten dodatek?


3 Kliknij przycisk OK, aby usunąć dodatek typu plug-in.

Program iManager wyświetli komunikat potwierdzenia informujący o pomyślnym usunięciu dodatku typu plug-in.

Kopiowanie zadań niestandardowych

Aby skopiować istniejący dodatek typu plug-in za pomocą programu Studio dodatków typu plug-in:


2 Wybierz dodatek z listy zainstalowanych niestandardowych dodatków typu plug-in, a następnie kliknij kolejno Czynności > Kopiuj.

3 Podaj nazwę kopiowanego dodatku typu plug-in, a następnie kliknij przycisk OK.

Eksportowanie zadań niestandardowych

To zadanie służy do eksportowania swoich zadań niestandardowych, aby umożliwić ich wdrażanie na innych serwerach iManager.


2 Wybierz niestandardowy dodatek typu plug-in do wyeksportowania, a następnie kliknij kolejno Czynności > Eksportuj.

Importowanie zadań niestandardowych

To zadanie służy do wdrażania wyeksportowanych zadań niestandardowych na wielu serwerach programu iManager.


2 Wybierz kolejno Czynności > Importuj.

3 Określ kolekcję RBS, do której mają zostać zaimportowanie niestandardowe dodatki typu plug-in, lub znajdź ją przy użyciu selektora obiektów.

4 Określ lub wyszukaj za pomocą funkcji przeglądania wcześniej wyeksportowany plik modułu NPM.

5 Kliknij przycisk Importuj.

6.2.7 Edytowanie skojarzeń członków

Istnieją dwie metody kojarzenia członków z rolami:

Wybór członka, a następnie skojarzenie go z rolą w zakresie, zgodnie z opisem w rozdziale „Ustawianie skojarzenia członka” na stronie 64.

Wybór roli, a następnie skojarzenie z nią członków i zakresu, zgodnie z opisem poniżej.

Aby przypisać istniejącą rolę do wybranego zadania:

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Edytuj skojarzenie członka.

2 Określ członka lub znajdź go za pomocą selektora obiektów, a następnie kliknij przycisk OK.

Zostanie wyświetlona lista ról, do których jest przypisany ten członek.


3 Określ rolę i zakres roli, jakie mają zostać dodane do tego członka, a następnie kliknij przycisk OK.

Dane te zostaną zapisane w katalogu eDirectory. Po zalogowaniu się nowo przypisana rola będzie wyświetlana w lewej kolumnie członka będącego właścicielem tej roli.

6.2.8 Edytowanie kolekcji właścicieli

To zadanie służy do zmiany właściciela przypisanego do kolekcji.

1 W widoku Konfiguruj wybierz kolejno Usługi oparte na rolach > Edytuj kolekcje właściciela.

2 Określ właściciela kolekcji lub znajdź go za pomocą selektora obiektów, a następnie kliknij przycisk OK.

3 Dodaj lub usuń kolekcje, których ta osoba może być właścicielem, a następnie kliknij przycisk OK.

6.3 Raporty RBSFunkcja raportów RBS umożliwia generowanie i konfigurowanie raportów dotyczących obiektów RBS w katalogu. Raporty są tworzone w postaci wykresów, przy czym można je eksportować do innych formatów i drukować. Funkcja raportów RBS umożliwia generowanie następujących raportów:

6.3.1 Tworzenie raportów

Aby utworzyć raport RBS:

1 W widoku Konfiguruj wybierz opcję Raporty RBS.

Każdy typ raportu jest implementowany jako zadanie.

2 Wybierz żądany raport, podaj wymagane informacje, a następnie kliknij przycisk OK.

Przed utworzeniem każdego raportu wymagane jest podanie określonych informacji, na przykład ról, dla których ma zostać utworzona lista przypisanych członków.

Przypisania ról Nieprzypisane zadania

Przypisania zadań roli Nieprzypisane kategorie

Przypisania roli użytkowników Niestandardowe role

Przypisania zadań użytkowników Niestandardowe zadania

Przypisania praw do roli Niestandardowe kategorie

Nieprzypisane role Kolekcje


Rysunek 6-3 Widok Konfiguruj programu iManager zawierający zadanie Przypisania ról

6.3.2 Korzystanie z raportów

Zadania raportów RBS umożliwiają generowanie raportów, które można sortować, drukować i eksportować. Na poniższej ilustracji widoczny jest przykładowy raport programu iManager.

Rysunek 6-4 Członkowie przypisani do roli

Sortowanie raportów

Elementy listy w raporcie są domyślnie sortowane alfabetycznie według pierwszej kolumny w kolejności rosnącej. Aby wskazać kolumnę stanowiącą podstawę sortowania elementów, w programie iManager przy nazwie takiej kolumny jest wyświetlana mała ikona, która wskazuje również porządek sortowania. Aby zmienić kolumnę, według której sortowane są elementy, należy kliknąć nazwę odpowiedniej kolumny. Aby zmienić porządek sortowania, należy kliknąć nazwę kolumny, według której aktualnie posortowane są elementy.


Drukowanie raportów

Raporty RBS można łatwo drukować, klikając przycisk Drukuj. W przeglądarce zostanie wówczas wyświetlone okno dialogowe funkcji drukowania, w którym można wybrać drukarkę i inne opcje wydruku. Funkcja ta pozwala wydrukować jedynie ramkę zawierającą raport, przy czym wydrukowany raport będzie wyglądać identycznie jak raport wyświetlany w ramce, więc przed kliknięciem przycisku Drukuj należy upewnić się, że elementy zostały posortowane w odpowiedniej kolejności.

Eksportowanie raportów

Dane raportu można wyeksportować do pliku w formacie XML, CSV lub jako zwykły tekst, co umożliwia korzystanie z nich w innych aplikacjach, takich jak arkusze kalkulacyjne i bazy danych. Pliki eksportu zawierają jedynie dane i metadane niezbędne do opisania kolumn raportu. Inne informacje, takie jak tytuł raportu i data, nie są eksportowane. Porządek sortowania wyeksportowanych elementów raportu jest taki sam jak bieżący porządek sortowania elementów na ekranie.

1 Kliknij przycisk Eksportuj.

2 W oknie Eksport raportu RBS wybierz format eksportowanych danych, a następnie kliknij przycisk Eksportuj.

3 Gdy w przeglądarce pojawi się monit o otwarcie lub zapisanie pliku wygenerowanego przez program iManager, wybierz preferowaną opcję i wykonaj operacje, jakich wymaga przeglądarka.

Poniżej podano przykłady plików w formacie XML, CSV i zwykłego tekstu, które zostały utworzone w wyniku eksportu tego samego raportu RBS:

Plik w formacie XML:

<?xml version="1.0"?> <rbs-report> <rbs-report-header> <user>admin.novell</user> <report-time>Thursday, June 26, 2008 (10:33:17 AM IST)</report-time> <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container</selected-member-types> <dynamic-group> <search-enabled>yes</search-enabled> <role-search>parent sub-directory (novell)</role-search> <search-for>Dynamic Group Objects</search-for> </dynamic-group> <container-role-search>up to parent (novell)</container-role-search> </rbs-report-header> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>admin.novell</member-object> <scope>.MY_TREE.</scope>


<rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>jdoe.novell</member-object> <scope>novell</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> </rbs-report>

Plik w formacie CSV:

RBS Report Query SettingsUser:,"admin.novell"Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)"Types:,"User, Group, Dynamic Group, Organizational Role, Container"Dynamic Group Search Settings:,Search Enabled:,"yes"Role Search:,"parent sub-directory (novell)"Role Search:,"Dynamic Group Objects"Container Role Search:,"up to parent (novell)"

Raport RBS: Przypisania roli użytkowników

User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit",admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Server Management","Novell Certificate Server Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",


admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",

Zwykły tekst:

RBS Report Query SettingsUser: admin.novellDate: Thursday, June 26, 2008 (10:33:17 AM IST)Types: User, Group, Dynamic Group, Organizational Role, Container-------------------------------------------------Dynamic Group Search Settings: Search Enabled: yesRole Search: parent sub-directory (novell)Role Search: Dynamic Group ObjectsContainer Role Search: up to parent (novell)-------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true-------------------------------------------------

6.4 Serwer programu iManagerZadanie to jest widoczne tylko dla autoryzowanych użytkowników. Zobacz „Autoryzowani użytkownicy i grupy” na stronie 78. Ten temat zawiera następujące informacje:

Sekcja 6.4.1, „Konfigurowanie programu iManager” na stronie 77

Sekcja 6.4.2, „Zabezpieczenia” na stronie 77

Sekcja 6.4.3, „Wygląd i działanie” na stronie 78

Sekcja 6.4.4, „Zdarzenia zapisu dziennika” na stronie 79

Sekcja 6.4.5, „Przekierowanie po wylogowaniu” na stronie 79

Sekcja 6.4.6, „Uwierzytelnianie” na stronie 80

Sekcja 6.4.7, „RBS” na stronie 81

Sekcja 6.4.8, „Pobieranie dodatków typu plug-in” na stronie 82

Sekcja 6.4.9, „Różne” na stronie 82

Sekcja 6.4.10, „Certyfikat” na stronie 83


6.4.1 Konfigurowanie programu iManager

Plik config.xml zawiera trzy ustawienia umożliwiające konfigurowanie zabezpieczeń i certyfikatów używanych podczas tworzenia połączeń LDAP SSL w programie iManager:

Security.Keystore.AutoUpdate: Jeśli ustawienie AutoUpdate będzie miało wartość True i użytkownik pomyślne zaloguje się do programu iManager, certyfikat z tego serwera eDirectory może zostać zaimportowany automatycznie do magazynu kluczy programu iManager. Należy wybrać ustawienie Automatycznie importuj certyfikat drzewa dla bezpiecznego połączenia LDAP (Konfiguruj program iManager > Zabezpieczenia).

Security.Keystore.UpdateAllowAll: Jeśli ustawienie Security.Keystore.UpdateAllowAll będzie miało wartość True, certyfikat zostanie zaimportowany do magazynu kluczy programu iManager lub zaktualizowany po każdej pomyślnej operacji zalogowania dowolnego użytkownika. Jeśli to ustawienie będzie miało wartość false, operacje importu lub aktualizacji certyfikatów będą wykonywane tylko po zalogowaniu się autoryzowanego użytkownika.

Security.Keystore.Priority: Wartość ustawienia Priority składa się z dwóch słów, które określają porządek wyszukiwania certyfikatów w czasie połączenia: system oraz imanager. system oznacza, że po utworzeniu kontekstu SSL certyfikaty należy lokalizować przy użyciu domyślnego magazynu kluczy maszyny JVM*. W przypadku niepowodzenia wyszukiwanie będzie kontynuowane w magazynie kluczy programu iManager.

Porządek wyszukiwania można zmienić, usuwając z wartości ustawienia słowo system lub iManager.

Aby zwiększyć poziom zabezpieczeń, należy wyłączyć ustawienie AutoUpdate i korzystać jedynie z systemowego magazynu kluczy. W takim przypadku należy ręcznie zaimportować odpowiednie certyfikaty do domyślnego systemowego magazynu kluczy przy użyciu narzędzi dostarczanych z oprogramowaniem Java. Jeśli ustawienie UpdateAllowAll zostanie wyłączone, certyfikaty będą importowane tylko w wyniku pomyślnego zalogowania się autoryzowanego użytkownika w programie iManager.

6.4.2 Zabezpieczenia

Podane ustawienia mają wpływ na konfigurację całego serwera sieci Web i są zapisywane w pliku config.xml. Ustawienia można zapisywać w miarę ich wprowadzania lub po wprowadzeniu wszystkich zmian (klikając przycisk Zapisz).

Ostrzegaj o niezabezpieczonych połączeniach

Tę opcję należy wybrać, jeśli użytkownicy korzystający z niezabezpieczonego połączenia między przeglądarką internetową a serwerem sieci Web mają otrzymywać następujące ostrzeżenie: Używasz niezabezpieczonego połączenia.

Włącz program Novell Audit

Należy się upewnić, że zostały spełnione wymagania wstępne programu Audit. Należy zaznaczyć opcję Włącz program Novell Audit i wybrać odpowiednie zdarzenia zapisu dziennika programu iManager, a następnie kliknąć przycisk Zapisz.


Automatycznie importuj certyfikat drzewa dla bezpiecznego połączenia LDAP

Bezpieczne połączenia LDAP wymagają certyfikatu. Po wybraniu tej funkcji system będzie automatycznie importować publiczny certyfikat drzewa dla bezpiecznego protokołu LDAP.

Autoryzowani użytkownicy i grupy

Gdy użytkownik lub grupa są autoryzowane, oznacza to, że program iManager zezwala na wykonywanie różnych zadań administracyjnych temu użytkownikowi lub tej grupie. Dane użytkowników autoryzowanych są zapisywane w pliku TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties . Ten plik jest tworzony w trakcie procesu instalacji programu iManager tylko w przypadku, gdy zostaną podane informacje o użytkownikach i grupach autoryzowanych. Jego utworzenie nie jest jednak wymagane. Nieutworzenie tego pliku powoduje, że program iManager zezwala każdemu użytkownikowi na instalowanie dodatków typu plug-in programu iManager oraz modyfikowanie ustawień serwera programu iManager. Nie jest to zalecane na dłuższą metę.

W przypadku dodania grupy lub roli organizacyjnej do tej listy wszyscy członkowie tej grupy lub roli organizacyjnej stają się autoryzowanymi użytkownikami. Dodawanie grupy zagnieżdżonej jest obsługiwane tylko dla pierwszego poziomu członków. Dodawanie grupy dynamicznej nie jest obsługiwane, ponieważ jej członkami mogą być obiekty dowolnych typów.

Po zainstalowaniu programu iManager można dodawać autoryzowane elementy — użytkowników, grupy i role organizacyjne — określając je albo używając ikony selektora obiektu obok listy Autoryzowani użytkownicy i grupy. Spowoduje to zmodyfikowanie pliku configiman.properties.

Aby wyznaczyć wszystkich użytkowników drzewa jako autoryzowanych, należy wpisać AllUsers.

UWAGA: Do listy Autoryzowani użytkownicy i grupy można dodawać i zapisywać na niej tylko prawidłowych użytkowników. Jeśli do listy zostaną dodani nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie z informacją, że nie można odnaleźć obiektu. Jeśli do listy zostaną dodani tylko nieprawidłowi użytkownicy, kliknięcie przycisku Zapisz spowoduje wyświetlenie komunikatu o błędzie, a lista nieprawidłowych użytkowników zostanie automatycznie zastąpiona wpisem AllUsers. Jeśli nie wszyscy użytkownicy drzewa mają być autoryzowani, należy usunąć wpis AllUsers z listy, a następnie dodać do niej żądanych prawidłowych użytkowników i kliknąć przycisk Zapisz.

WAŻNE: Po zainstalowaniu programu iManager po raz pierwszy lista Autoryzowani użytkownicy i grupy jest pusta. Użytkownik administracyjny musi niezwłocznie dodać użytkowników i grupy do listy, aby je autoryzować i zachować prawa do modyfikowania tej listy. W przeciwnym razie prawa do modyfikowania tej listy może uzyskać użytkownik nieadministracyjny, dodając do niej użytkowników i grupy. Użytkownik będący administratorem może utracić te prawa.

Informacje związane z zabezpieczeniami dotyczące pliku configiman.properties można znaleźć w części „Autoryzowani użytkownicy i autoryzowane grupy programu iManager” na stronie 129.

6.4.3 Wygląd i działanie

Karta Wygląd i działanie umożliwia dostosowywanie wyglądu interfejsu programu iManager. Informacje te są przechowywane w pliku TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.


Nazwa na pasku tytułu

W tym polu tekstowym należy podać nazwę organizacji. Będzie ona wyświetlana na pasku tytułu przeglądarki internetowej zamiast tekstu domyślnego (NetIQ iManager).

Obrazy

Na pasku tytułu są wyświetlane trzy obrazy: obraz tła nagłówka, obraz wypełnienia nagłówka i obraz ramowy nagłówka. Obrazy użytkownika muszą mieć wymiary podane w interfejsie.

Pliki należy zapisać w katalogu nps/portal/modules/fw/images. Ścieżkę do każdego z obrazów należy wprowadzić w odpowiadającym mu polu.

Kolory menu nawigacyjnego

Istnieje możliwość dostosowania kolorów nagłówka i tła menu nawigacyjnego z lewej strony.

Wprowadzać można nazwy kolorów lub odpowiadające im liczby w systemie szesnastkowym. Wielkość liter nie jest w tym przypadku uwzględniana. Kliknięcie przycisku Resetuj powoduje powrót do domyślnych kolorów i obrazów, a przycisku Zapisz —zapisanie ustawień w pliku config.xml.

6.4.4 Zdarzenia zapisu dziennika

Karta Zdarzenia zapisu dziennika umożliwia konfigurowanie środowiska zapisu dziennika programu iManager. Dostępne są dwa ustawienia zapisu dziennika:

Poziom zapisu do dziennika: Można wybrać jedną z czterech opcji odpowiadających typom komunikatów, które mają być zapisywane w dzienniku: Bez zapisu dziennika, Błędy, Błędy i ostrzeżenia lub Błędy, ostrzeżenia i komunikaty informacyjne debugowania.

Należy wybrać opcje wyprowadzania danych zapisu dziennika.

Dane zapisywane w dzienniku: Można wybrać jedną z trzech opcji miejsca docelowego komunikatów zapisywanych w dzienniku: Wyślij dane wyjściowe zapisu dziennika do standardowego urządzenia błędów, Wyślij dane wyjściowe zapisu dziennika do standardowego urządzenia wyjściowego lub Wyślij dane wyjściowe zapisu dziennika do pliku Debug.html.

Na tej stronie wyświetlana jest ścieżka do pliku dziennika oraz jego rozmiar. Aby wyświetlić bieżący plik dziennika w formacie HTML, należy kliknąć przycisk Widok. Aby wyczyścić bieżący plik dziennika i zresetować rozmiar pliku dziennika do 0 (zera) bajtów, należy kliknąć przycisk Wyczyść.

6.4.5 Przekierowanie po wylogowaniu

Opcja Przekierowanie po wylogowaniu umożliwia określenie adresu URL, do którego ma nastąpić przekierowanie po wylogowaniu z programu iManager. Jeśli ta opcja nie jest zaznaczona, kliknięcie przycisku Koniec pracy powoduje wylogowanie z programu iManager. Domyślnie jest wyświetlana strona logowania.

Włączanie: Tę opcję należy zaznaczyć, aby włączyć funkcję Przekierowanie po wylogowaniu.

Adres URL. Należy określić adres URL, do którego ma nastąpić przekierowanie po wylogowaniu z programu iManager.


6.4.6 Uwierzytelnianie

Karta Uwierzytelnienie służy do konfigurowania strony logowania programu iManager. Zawiera ona następujące opcje:

Zapamiętaj informacje logowania: Po zaznaczeniu tej opcji użytkownicy będą musieli wprowadzać jedynie hasło, aby się zalogować.

Używaj bezpiecznego protokołu LDAP przy połączeniach automatycznych: Po zaznaczeniu tej opcji program iManager będzie przeprowadzać komunikacje LDAP przy użyciu protokołu SSL. Niektóre dodatki typu plug-in — na przykład Grupy dynamiczne i NMAS — nie działają, gdy ta opcja nie jest zaznaczona. Ustawienie to nie będzie uwzględniane, dopóki użytkownik nie wyloguje się z programu iManager.

Ukryj określoną przyczynę niepowodzenia logowania: Po zaznaczeniu tej opcji program iManager zastępuje komunikaty usługi eDirectory dotyczące uwierzytelniania ogólnym komunikatem o błędzie o treści: Niepowodzenie logowania. Nieprawidłowa nazwa użytkownika lub hasło. Więcej informacji znajduje się w: „Zapobieganie wykrywaniu nazwy użytkownika” na stronie 129.

Zezwalaj na wybór drzewa na stronie logowania: Po zaznaczeniu tej opcji na stronie logowania programu iManager jest wyświetlane pole Drzewo. Jeśli ta opcja nie zostanie zaznaczona, musi być ustawiona domyślna nazwa drzewa; w przeciwnym razie nie będzie można się zalogować.

Logowanie bezkontekstowe: Logowanie bezkontekstowe umożliwia użytkownikom logowanie się przy użyciu samej nazwy użytkownika i hasła, bez wymagania znajomości pełnego kontekstu ich obiektu użytkownika. Przykład: .admin.support.sales.netiq.

Jeśli w drzewie istnieje wielu użytkowników o tej samej nazwie, logowanie bezkontekstowe pozwala zalogować się przy użyciu pierwszego znalezionego konta użytkownika z podanym hasłem na liście kolejności kontenerów określonej przez użytkownika. Użytkownik może zmieniać i definiować listę kolejności kontenerów.

Jeśli w drzewie istnieje wielu użytkowników o tej samej nazwie, zalogowanie się przy użyciu konkretnej nazwy użytkownika wymaga albo podania pełnego kontekstu, albo ograniczenia kontenerów wyszukiwania, które przeszukuje funkcja logowania bezkontekstowego.

Opcja Szukaj począwszy od folderu głównego powoduje przeprowadzenie wyszukiwania użytkownika, począwszy od folderu głównego drzewa katalogu. Opcja Szukaj w kontenerach umożliwia określenie jednego lub większej liczby kontenerów, w których można znaleźć obiekty użytkowników.

Domyślnie program iManager nawiązuje połączenie w trybie dostępu publicznego, który nie wymaga żadnych konkretnych poświadczeń. Możliwe jest jednak określenie użytkownika z konkretnymi poświadczeniami do przeprowadzania wyszukiwania bezkontekstowego. Jeśli użytkownik nie zostanie zdefiniowany, program iManager użyje użytkownika publicznego.

WAŻNE: W przypadku określenia użytkownika publicznego należy dokładnie rozważyć skutki ustawień dotyczących utraty ważności hasła. Jeśli zostanie ustawiona ważność hasła użytkownika publicznego, nie będzie możliwości zmiany tego hasła podczas logowania, gdy ważność hasła wygaśnie.

Ustawienia limitu czasu serwera programu iManager: Aby serwer programu iManager osiągał limit czasu po upłynięciu żądanego okresu, podaj liczbę dni, godzin i minut w odpowiednich polach na stronie Uwierzytelnianie.

Aby serwer nie osiągał limitu czasu, wybierz opcję Bez limitu czasu.


Przekierowanie po wylogowaniu: Aby po wylogowaniu z programu iManager następowało przekierowanie do żądanej strony, należy włączyć tę opcję na stronie Uwierzytelnianie. Wymagane jest określenie żądanego adresu URL w polu Adres URL. Jeśli nie jest podany żaden adres URL, kliknięcie przycisku Koniec pracy powoduje wylogowanie z programu iManager. Domyślnie jest wyświetlana strona logowania.

6.4.7 RBS

Usługi oparte na rolach (RBS) służą do przypisywania praw do wykonywania zadań w usłudze eDirectory. Gdy użytkownikowi jest przypisywana rola, usługi RBS domyślnie przypisują prawa niezbędne do wykonywania zadań powiązanych z tą rolą.

Karta RBS umożliwia konfigurowanie następujących ustawień:

Włącz grupy dynamiczne: Po zaznaczeniu tej opcji usługi RBS zezwalają na członkostwo grup dynamicznych w rolach. Więcej informacji na temat grup dynamicznych zawiera Podręcznik administracji NetIQ eDirectory.

Pokaż role w posiadanych kolekcjach: Po zaznaczeniu tej opcji właściciele kolekcji będą widzieć wszystkie role i zadania bez względu na to, czy są ich członkami czy nie. Usunięcie zaznaczenia tej opcji spowoduje, że właściciele będą widzieć tylko role przypisane do siebie.

Domena wykrywania ról: Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać ról przypisanych do członka.

Nadrzędny: program iManager będzie szukać grup dynamicznych w górę drzewa, do poziomu kontenera nadrzędnego.

Partycja: program iManager będzie szukać grup dynamicznych w górę drzewa, do poziomu pierwszej partycji eDirectory.

Katalog główny: program iManager będzie szukać grup dynamicznych w całym drzewie.

Domena wykrywania grup dynamicznych: Umożliwia wskazanie, gdzie w drzewie program iManager ma szukać członkostwa w grupie dynamicznej. W znalezionych grupach dynamicznych jest wówczas sprawdzane członkostwo w rolach.

Nadrzędny: program iManager będzie szukać ról w kontenerze nadrzędnym użytkownika.

Partycja: program iManager będzie szukać ról w górę drzewa, do poziomu pierwszej partycji eDirectory.

Katalog główny: program iManager będzie szukać ról w całym drzewie.

Typ wyszukiwania grup dynamicznych: Umożliwia wybranie typu grup dynamicznych, w których ma być wyszukiwane członkostwo w roli.

Tylko grupy dynamiczne: Wyszukiwanie obiektów o typie klasy Grupa dynamiczna.

Obiekty grup dynamicznych i klasy pomocnicze: Wyszukiwanie obiektów o typie klasy Grupa dynamiczna oraz obiektów rozszerzonych przy użyciu klasy Pomocnicza grupa dynamiczna. Dotyczy to obiektów grup, które zostały później przekształcone w grupy dynamiczne.

Lista drzew RBS: Ustawienie przyjmujące automatycznie wartość nazwy drzewa eDirectory podczas uwierzytelniania właściciela kolekcji lub członka roli. Jeżeli usługi RBS zostaną usunięte z drzewa eDirectory, w celu przywrócenia trybu nieprzypisanego dostępu należy usunąć z listy nazwę tego drzewa.


https://www.netiq.com/documentation/edirectory-9/edir_admin/

https://www.netiq.com/documentation/edirectory-9/edir_admin/

6.4.8 Pobieranie dodatków typu plug-in

Karta Pobieranie dodatków typu plug-in umożliwia konfigurowanie następujących ustawień:

Wykonaj zapytanie w witrynie pobierania, aby wyszukać nowe moduły dodatków typu plug-in firmy NetIQ (NPM). Wskazuje, że serwer programu iManager ma wykonywać zapytanie w witrynie pobierania firmy NetIQ (http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4) w celu wyszukania nowych modułów dodatków typu plug-in (NPM).

Dwa przyciski radiowe umożliwiają skonfigurowanie zapytania dla każdego dostępnego modułu NPM lub tylko dla aktualizacji już zainstalowanych modułów NPM.

Pobieranie modułów dodatków typu plug-in z witryny niestandardowej. Aby pobierać moduły dodatków typu plug-in z witryny niestandardowej, należy podać adres URL tej witryny w polu Adres URL pobierania na stronie Pobieranie dodatków typu plug-in.

Pobieranie modułów dodatków typu plug-in przez serwer proxy. Jeśli serwery programu iManager są uruchomione na serwerze proxy zapory sieciowej, klient ma dostęp do Internetu za pośrednictwem serwera proxy. Obsługiwany jest tylko serwer proxy HTTP. To jest protokół HTTP serwera proxy sieci Web. Aby pobrać dodatki typu plug-in, użytkownik musi wykonać następujące czynności na stronie Pobieranie dodatków typu plug-in:

1 Zaznacz opcję Włącz serwer proxy.

2 Wypełnij następujące pola:

Host serwera proxy — w tym polu należy podać adres IP hosta serwera proxy.

Port serwera proxy — w tym polu należy podać numer portu serwera proxy.

Nazwa użytkownika — w tym polu należy podać nazwę użytkownika.

Hasło — w tym polu należy podać hasło.

Wprowadź hasło ponownie — w tym polu należy podać to samo hasło, które podano w polu Hasło.

WAŻNE: Dodatki typu plug-in programu iManager nie są zgodne z poprzednimi wersjami programu iManager. Ponadto wszelkie niestandardowe dodatki typu plug-in, które mają zostać użyte w programie iManager , muszą zostać skompilowane ponownie w środowisku programu iManager

6.4.9 Różne

Karta Inne umożliwia konfigurowanie następujących ustawień:

Włącz [to]: Tę opcję można zignorować. Opcja Włącz [to] została dodana do programu iManager w celu umożliwienia zespołom wewnętrznym modyfikacji ich własnych obiektów. Wartość [to] jest atrybutem drzewa, który włącza określone funkcje samodzielnego zarządzania. Włączenie argumentu [to] wymaga, aby wszystkie serwery usługi eDirectory w drzewie miały wersję 8.6.2 lub wyższą.

Adres URL usługi eGuide: Określa adres URL serwera eGuide. Jest on używany w przycisku uruchamiania usługi eGuide znajdującym się w nagłówku oraz w zadaniach związanych z zarządzaniem rolami i zadaniami tej usługi. Musi to być pełny adres URL (na przykład https://moja.nazwa.dns/eGuide/servlet/eGuide) lub słowo kluczowe EMFRAME_SERVER. W przypadku użycia słowa kluczowego EMFRAME_SERVER usługa eMFrame szuka oprogramowania eGuide na serwerze, na którym sama się znajduje.


http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

Więcej informacji na temat usługi eGuide można uzyskać w witrynie sieci Web firmy Novell zawierającej dokumentację tego oprogramowania (http://www.novell.com/documentation/eguide212/index.html).

6.4.10 Certyfikat

Aby wybrać poziom szyfru na podstawie wymagań dotyczących zabezpieczeń, należy użyć karty Certyfikat. Program iManager udostępnia następujące certyfikaty:

RSA: Certyfikat używa pary 2048-bitowych kluczy RSA. Program iManager udostępnia następujące poziomy szyfrowania dla algorytmu RSA:

BRAK — zezwala na dowolny typ szyfru.

NISKIE — zezwala na szyfr 56- lub 64-bitowy.

ŚREDNIE — zezwala na szyfr 128-bitowy.

WYSOKIE — zezwala na szyfry większe niż 128-bitowe.

ECDSA 256: Certyfikat używa pary kluczy ECDSA z krzywą secp256r1. Program iManager zezwala na tylko jeden poziom szyfrowania w przypadku algorytmu ECDSA 256:

TYLKO SUITEB 128 — zezwala na dowolny typ szyfru.

ECDSA 384: Certyfikat używa pary kluczy ECDSA z krzywą secp384r1.

SUITEB 128 — zezwala na dowolny typ szyfru.

SUITEB 192 — zezwala na szyfr 56- lub 64-bitowy.

Domyślnie jest wybrany algorytm RSA, a poziom szyfrowania jest ustawiony na BRAK. W przypadku certyfikatów ECDSA program iManager zezwala tylko na szyfrowanie Suite B. Po zmianie certyfikatu należy uruchomić ponownie serwer Tomcat, aby zmiana odniosła efekt.

WAŻNE: Domyślnie przeglądarka Firefox nie zezwala na poziom szyfrowania NISKIE.

Aby włączyć algorytmy o poziomie szyfrowania NISKIE w przeglądarce Firefox:

1 Otwórz przeglądarkę Firefox, wpisz about:config na pasku lokalizacji, a następnie naciśnij klawisz Enter.

2 (Warunkowo) W przypadku pojawienia się ostrzeżenia kliknij przycisk Zachowam ostrożność, obiecuję!, aby przejść na stronę about:config.

3 Na stronie about:config na liście Nazwa kliknij dwukrotnie preferencję security.ssl3.rsa_rc4_128_md5, aby zmienić wartość na True.

Spowoduje to włączenie algorytmów o poziomie szyfrowania NISKIE w przeglądarce Firefox.

Karta Certyfikat celowo nie jest dostępna na serwerze OES. Poziomy szyfrowania należy zmieniać ręcznie w pliku vhost-ssl.conf.

1 Otwórz plik /etc/apache2/vhosts.d/vhost-ssl.conf i zmodyfikuj parametr SSLCipherSuite odpowiednio do obsługiwanego poziomu szyfrowania.

Aby na przykład skonfigurować poziom szyfrowania WYSOKIE, należy zmodyfikować parametr SSLCipherSuite w następujący sposób:


http://www.novell.com/documentation/eguide212/index.html

http://www.novell.com/documentation/eguide212/index.html

<VirtualHost _default_:443> -------------- ----------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- ---------------<VirtualHost>

Do modyfikowania poziomów szyfrowania można używać następujących prefiksów:

+ : dodaje szyfry do listy szyfrów i umieszcza je w bieżącym położeniu na liście.

- : usuwa szyfr z listy (z możliwością dodania go później).

! : całkowicie eliminuje szyfr z listy (bez możliwości dodania go później).

Więcej informacji można uzyskać w dokumentacji modułu serwera Apache mod_ssl (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html).

6.5 Lista tworzenia obiektówPo utworzeniu obiektu wstępnie skonfigurowana lista klas obiektów zostanie zarejestrowana razem z zadaniem Utwórz obiekt. Kategoria Lista tworzenia obiektów zawiera następujące zadania:

Sekcja 6.5.1, „Dodawanie klasy obiektów do listy tworzenia” na stronie 84

Sekcja 6.5.2, „Usuwanie klasy obiektów z listy tworzenia” na stronie 84

6.5.1 Dodawanie klasy obiektów do listy tworzenia

To zadanie umożliwia dodawanie kolejnych obiektów do listy tworzenia obiektów — listy obiektów, które można tworzyć w programie iManager, używając zadania Administrowanie katalogiem > Utwórz obiekt.

1 W widoku Konfiguruj wybierz kolejno Lista tworzenia obiektów > Dodaj klasę obiektu do listy tworzenia.

2 Wybierz obiekt, który chcesz dodać, a następnie kliknij przycisk Dalej.

3 Przejrzyj informacje o definicji pliku XML, a następnie kliknij przycisk Zakończ, aby utworzyć plik xml.

6.5.2 Usuwanie klasy obiektów z listy tworzenia

To zadanie umożliwia usuwanie obiektu z listy tworzenia obiektów — listy obiektów, które można tworzyć w programie iManager, używając zadania Administrowanie katalogiem > Utwórz obiekt.

1 W widoku Konfiguruj wybierz kolejno Lista tworzenia obiektów > Usuń klasę obiektu z listy tworzenia.

2 Wybierz obiekt, który chcesz usunąć, a następnie kliknij przycisk Dalej.

3 Przejrzyj informacje o definicji pliku xml, a następnie kliknij przycisk Zakończ, aby usunąć obiekt z listy tworzenia obiektów.


http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

6.6 Instalowanie modułów dodatków typu plug-inTa rola jest wyświetlana w programie iManager tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 78.

W programie iManager używane są dwa typy modułów:

Moduły dodatków typu plug-in firmy NetIQ (NPM): Takie moduły są archiwami, które zawierają pliki dodatków typu plug-in przeznaczonych dla programu iManager. Przy instalacji modułu NPM za pomocą zadania Dostępne moduły dodatków typu plug-in firmy NetIQ w programie iManager instalowany jest dodatek typu plug-in mający na celu zwiększenie funkcjonalności programu.

Moduły RBS: Takie moduły są obiektami w drzewie eDirectory™, które zawierają obiekty zadań RBS oraz książek RBS. Jeśli w drzewie eDirectory skonfigurowano usługi oparte na rolach, należy kliknąć polecenie Konfiguruj > Konfiguracja usług RBS w celu zainstalowania modułu RBS po module NPM, tak aby umożliwić używanie nowych zadań skojarzonych z tym dodatkiem typu plug-in.

Rola Instalacja modułu dotyczy tylko modułów NPM. Informacje o instalowaniu modułów NPM w ramach procesu instalacji programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

6.6.1 Dostępne moduły dodatków typu plug-in firmy NetIQ

Strona Dostępne moduły dodatków typu plug-in (NPM) firmy NetIQ zawiera listę dostępnych modułów NPM znajdujących się w katalogu pakietów lub w witrynie pobierania. Więcej informacji znajduje się w części „Pobieranie dodatków typu plug-in” na stronie 82. Nazwy, wersje i opisy poszczególnych modułów znajdują się w odpowiadających im plikach manifestu.

Dodatki typu plug-in można ukryć przez zaznaczenie ich modułów i kliknięcie przycisku Ukryj. Można też ukryć wszystkie moduły dodatków typu plug-in — na stronie domowej nie będzie wówczas wyświetlana informacja Nowe moduły NPM programu iManager są dostępne do zainstalowania.

Można też wyświetlić listę ukrytych modułów dodatków typu plug-in, klikając przycisk Pokaż ukryte. W razie potrzeby można ponownie wyświetlić ukryte moduły dodatków typu plug-in.

6.6.2 Zainstalowane moduły dodatków typu plug-in firmy NetIQ

Na tej liście widoczne są moduły NPM zainstalowane w programie iManager. Z każdym modułem NPM na liście wyświetlana jest jego nazwa, wersja lokalna oraz opis znalezione w bieżących plikach manifestu.

Podstawowa wersja produktu iManager nie zawiera wszystkich modułów dodatków typu plug-in. Większość dodatków typu plug-in programu iManager należy pobrać oddzielnie. Następujące dodatki typu plug-in są jednak zawarte w pliku base.npm dostarczanym wraz z programem iManager:

Administrowanie katalogiem

Partycje i repliki

Centrum pomocy technicznej

Schemat

Prawa

użytkownicy

Grupy

Więcej informacji znajduje się w: Rozdział 5, „Role i zadania”, na stronie 37.


WAŻNE: Do poprawnego działania wymagane jest, aby wersja modułu dodatków typu plug-in była zgodna z wersją programu iManager, z którą współpracuje. Informacje na temat wymagań konkretnego modułu dodatków typu plug-in dotyczących wersji programu iManager można znaleźć w dokumentacji określonego produktu.

Na przykład dodatki typu plug-in programu iManager nie są zgodne z poprzednimi wersjami programu iManager. Ponadto wszelkie niestandardowe dodatki typu plug-in, które mają zostać użyte w programie iManager , muszą zostać skompilowane ponownie w środowisku programu iManager

6.7 Pobieranie i instalowanie modułów dodatków typu plug-inProgram iManager umożliwia pobieranie i instalowanie aktualizacji istniejących i nowych dodatków plug-in z poziomu programu iManager. Program iManager raz w tygodniu automatycznie odpytuje witrynę pobierania firmy NetIQ w poszukiwaniu dodatków typu plug-in.

UWAGA: Moduły dodatków typu plug-in nie są replikowane między serwerami programu iManager. Zaleca się instalowanie żądanych modułów dodatków typu plug-in na każdym serwerze iManager.

Aby pobrać i zainstalować jeden lub większą liczbę dodatków typu plug-in:

1 Uruchom program iManager i zaloguj się.

2 W widoku Konfiguruj wybierz kolejno opcje Instalacja dodatku typu plug-in > Dostępne moduły dodatków typu plug-in firmy NetIQ.

W ramce zawartości wyświetlana jest lista wszystkich dostępnych dodatków plug-in programu iManager. Program iManager raz w tygodniu automatycznie sprawdza witrynę sieci Web pobierania firmy Novell w poszukiwaniu dodatków plug-in. Listę można jednak zaktualizować w dowolnym czasie, klikając łącze Odśwież.

3 (Opcjonalnie) Jeśli dodatek plug-in, który ma zostać zainstalowany, został pobrany lub jest dostępny lokalnie, kliknij przycisk Dodaj, a następnie odszukaj odpowiedni plik dodatku typu plug-in NPM.


Spowoduje to powrót do strony Dostępne moduły dodatków typu plug-in firmy NetIQ.

5 Wybierz żądany plik dodatku typu plug-in , a następnie kliknij przycisk Instaluj.

Położenie pliku wskazuje, czy dodatek typu plug-in pochodzi z katalogu lokalnego, czy z witryny pobierania firmy Novell. Jeśli co najmniej jeden dodatek typu plug-in wybrany do zainstalowania ma w polu Lokalizacja plików wartość Pobieranie plików NetIQ, zostanie wyświetlona strona Moduły dodatków typu plug-in programu NetIQ iManager — umowa licencyjna. Aby kontynuować instalację, należy zaznaczyć opcję Zgadzam się i kliknąć przycisk OK.

UWAGA: Instalowanie dodatku typu plug-in z witryny pobierania firmy Novell może potrwać kilka minut w zależności od szybkości połączenia i liczby instalowanych dodatków. Czas pobierania jest wskazywany przez pasek stanu.

6 Gdy instalacja dobiegnie końca, należy uruchomić ponownie serwer Tomcat.

Pełne inicjalizowanie serwera Tomcat może czasami potrwać kilka minut. Przed podjęciem próby zalogowania się do programu iManager należy odczekać co najmniej pięć minut.



7 Sprawdź, czy nowa rola jest wyświetlana na stronie Role i zadania.

Aby dodać członków do nowej roli, skorzystaj z zadania Modyfikuj skojarzenie członka.

6.7.1 Skonfigurowane usługi RBS

WAŻNE: Aby ponownie zainstalować istniejący dodatek typu plug-in, należy najpierw usunąć obiekt rbsModule tego dodatku z usługi eDirectory, korzystając z zadania Konfiguracja modułu > Usuń moduł RBS.


W tabeli na karcie Kolekcje 2.x zostaną wyświetlone wszystkie nieaktualne moduły.

2 Aby je zaktualizować, wybierz w kolumnie Nieaktualny liczbę odpowiadającą kolekcji, która ma zostać zaktualizowana.

Zostanie wyświetlona lista nieaktualnych modułów.

3 Wybierz moduły, które mają zostać zaktualizowane, a następnie kliknij przycisk Aktualizuj u góry tabeli.

6.7.2 Odinstalowywanie modułu dodatków typu plug-in

1 W widoku Konfiguruj wybierz kolejno opcje Instalacja dodatku typu plug-in > Zainstalowane moduły dodatków typu plug-in firmy NetIQ.

2 Wybierz dodatek plug-in, a następnie kliknij opcję Odinstaluj.

3 Uruchom ponownie serwer Tomcat.


Kroki opisujące proces ręcznego usuwania modułu dodatków typu plug-in są dostępne w dokumencie TID #7006125 (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657).

6.7.3 Dostosowywanie lokalizacji pobierania dodatków typu plug-in

Jeśli serwer proxy lub zapora sieciowa uniemożliwia programowi iManager kontaktowanie się z witryną pobierania firmy NetIQ, można utworzyć repozytorium pobierania dodatków typu plug-in. Umożliwia to przechowywanie modułów dodatków typu plug-in na lokalnym serwerze sieci Web lub w zwykłej lokalizacji systemu plików.

Najlepszym sposobem wykonania tej czynności jest użycie pliku deskryptora XML z witryny pobierania (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml) jako szablonu. Więcej informacji o pliku deskryptora programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

Aby skonfigurować lokalne repozytorium dodatków typu plug-in, należy zapisać lokalnie plik deskryptora, a następnie otworzyć ten plik i skopiować adres URL każdego modułu dodatków typu plug-in, który ma zostać udostępniony lokalnie, i wkleić go na pasku adresu przeglądarki internetowej


http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657

http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

w celu pobrania pliku. Po pobraniu wszystkich żądanych modułów dodatków typu plug-in należy poddać edycji kopię lokalną pliku deskryptora w celu uwzględnienia nowego adresu URL dla każdego pobranego modułu dodatków typu plug-in.

Adres URL modułu dodatków typu plug-in może być łączem HTTP lub lokalizacją systemu plików. Na przykład:

System plików Windows

<url><![CDATA[file:///c:\iManager_plugins\NMAS.npm]]></url>

System plików Linux

<url><![CDATA[file:///home/admin/iManager_plugins/NMAS.npm]]></url>

Łącze HTTP

<url><![CDATA[http://192.168.0.136/iManager_plugins/NMAS.npm]]></url>

Określanie lokalnego pliku deskryptora

Niestandardowy plik deskryptora można określić podczas instalacji programu iManager lub już po zainstalowaniu tego programu.

Podczas procesu instalacji adres URL pobierania dodatku typu plug-in programu iManager można przekierować do niestandardowego pliku deskryptora. W tym celu wystarczy zmienić adres URL na stronie „Wybierz dodatki typu plug-in do pobrania i zainstalowania” na lokalizację niestandardowego pliku deskryptora, a następnie kliknąć przycisk Uruchom.

UWAGA: Jeśli w obszarze Pobieranie dodatków typu plug-in zostanie wyświetlony komunikat Nie znaleziono żadnego modułu dodatkowego lub serwer jest niedostępny możliwe, że wystąpił jeden lub oba następujące warunki: W witrynie pobierania firmy Novell nie są dostępne żadne zaktualizowane dodatki typu plug-in lub nawiązanie połączenia z adresem download. novell.com przez program instalacyjny nie powiodło się. Sprawdź dostępność połączenia internetowego.

Gdy program iManager jest już zainstalowany, adres URL pobierania modułu dodatków typu plug-in można zmienić, modyfikując plik <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml. Na przykład:

System plików Windows

<setting>

<name><![CDATA[ModuleDownloadDescriptorURL]]></name>

<value><![CDATA[file:///c:\iManager_plugins\custom.xml]]></value>

</setting>

System plików Linux

<setting>


<value><![CDATA[file:///home/admin/iManager_plugins/custom.xml]]></value>

</setting>


Łącze HTTP

<setting>


<value><![CDATA[http://192.168.0.136/iManager_plugins/custom.xml]]></value>

</setting>

WAŻNE: W przypadku uzyskiwania dostępu do niestandardowego adresu URL dodatków typu plug-in za pomocą połączenia SSL (HTTPS) w programie iManager Workstation należy się upewnić, że został zaimportowany certyfikat docelowego serwera sieci Web. W przeciwnym razie nie będzie możliwe ustanowienie bezpiecznego połączenia.

6.8 Powiadomienie pocztą e-mailTa rola umożliwia wybór zadań specyficznych dla danego dodatku typu plug-in, o których wystąpieniu użytkownik chce być zawsze powiadamiany. Zadania są konfigurowane przez sam dodatek typu plug-in. Użytkownik decyduje, czy ma być powiadamiany, i określa, kto powinien otrzymywać powiadomienia o wybranych zdarzeniach. Najpierw należy skonfigurować serwer poczty.

WSKAZÓWKA: W zależności od wybranych opcji można odbierać znaczną liczbę wiadomości e-mail!

6.8.1 Konfigurowanie serwera poczty

W konfiguracji serwera poczty określane są ustawienia serwera SMTP dla powiadomienia o zdarzeniu.

1 W widoku Konfiguruj wybierz kolejno opcje Powiadomienie pocztą e-mail > Konfiguracja serwera poczty.

2 Określ ustawienia serwera poczty, a następnie kliknij przycisk OK.

Od adres: Określa adres widoczny w polu Od wiadomości e-mail programu iManager.

Główny serwer poczty: Określa adres IP lub nazwę serwera (np. smtp.novell.com) serwera poczty. Należy też podać nazwę użytkownika i hasło, za pomocą których program iManager będzie uzyskiwać dostęp do serwera SMTP.

Wtórny serwer poczty: Określa opcjonalny zapasowy serwer poczty. Należy podać te same informacje, co w przypadku głównego serwera poczty.

6.8.2 Powiadomienie o zdarzeniu zadania

Zdarzenia zadań widoczne na tej stronie są rejestrowane automatycznie przez dodatki typu plug-in, dla których istnieje lista zadań w odpowiednim pliku xml.

1 W widoku Konfiguruj wybierz kolejno Powiadomienie pocztą e-mail > Powiadomienie o zdarzeniu zadania.

2 W polu Adres e-mail określ adresy e-mail (rozdzielając je przecinkami), które mają otrzymywać to powiadomienie.

3 Wybrać zdarzenie


Zostanie wyświetlony ekran Właściwości zdarzenia zadania.

4 W odpowiednich polach określ temat wiadomości e-mail oraz wiadomość e-mail.

5 W polu Dodatkowy adres e-mail wpisz wszystkie dodatkowe adresy e-mail (rozdzielając je przecinkami), które mają być powiadamiane.

6 Zaznacz pole wyboru Zastąp wartość domyślną i wysyłaj powiadomienia tylko na te adresy, jeśli wiadomość ma ignorować listę adresów e-mail podaną w kroku 2 i być wysyłana tylko na adresy e-mail określone na tej stronie.

6.9 WidokiTa rola jest wyświetlana w programie iManager tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 78.

Widoki programu iManager to strony służące do zarządzania, dostępne za pomocą przycisków w ramce nagłówka programu iManager. Istnieje możliwość uniemożliwienia użytkownikom dostępu do niektórych widoków, takich jak Wyświetl obiekty lub Konfiguruj.

Domyślnie wszystkie widoki dziedziczą ustawienia obiektu nadrzędnego.

6.9.1 Pokazywanie i ukrywanie widoków programu iManager

1 W widoku Konfiguruj wybierz kolejno Widoki > Widoki programu iManager.

2 Określ (lub znajdź przy użyciu selektora obiektów) kontener, w którym ma zostać ograniczony dostęp do widoków, a następnie kliknij przycisk OK.

3 Określ odpowiednie ustawienia widoków, a następnie kliknij przycisk OK.

Dostępne są do wyboru trzy ustawienia widoków:

Nie ustawiaj: nie ustawia wyraźnie stanu widoku. Jest to ustawienie domyślne.

Ukryj: ukrywa widok.

Pokaż: wyświetla widok.

Zaznacz pole wyboru Odczytuj kontenery nadrzędne tego obiektu, aby użyć ustawień kontenera nadrzędnego obiektu dla tego obiektu. Po zaznaczeniu tego pola ustawienia kontenera nadrzędnego będą miały pierwszeństwo przed ustawieniami lokalnymi obiektu.

6.9.2 Włączanie i wyłączanie widoku Identity Manager jako domyślnego widoku w programie iManager na serwerach z zainstalowanym oprogramowaniem Identity Manager

Aby włączyć widoki programu iManager:

1 Zatrzymaj serwer Tomcat.

2 Otwórz plik /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 Dodaj następujące szczegóły konfiguracji w pliku XML:


<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[true]]></value>

</setting>

4 Uruchom serwer Tomcat.

UWAGA: Domyślnie parametr „IS_IDM_VIEW_AS_DEFAULT” jest ustawiony na „true”.

Aby wyłączyć widoki programu iManager:

1 Zatrzymaj serwer Tomcat.

2 Otwórz plik /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 Dodaj następujące szczegóły konfiguracji w pliku XML:

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[false]]></value>

</setting>

4 Uruchom serwer Tomcat.


7 7Preferencje

Widok Preferencje umożliwia konfigurowanie ustawień programu iManager związanych z jego wyglądem i sposobem działania. Zapewnia on dostęp do następujących zadań:

Sekcja 7.1, „Zarządzaj Ulubionymi” na stronie 93

Sekcja 7.2, „Selektor obiektu” na stronie 93

Sekcja 7.3, „Widok obiektu” na stronie 94

Sekcja 7.4, „Ustaw widok początkowy” na stronie 94

Sekcja 7.5, „Język” na stronie 95

7.1 Zarządzaj UlubionymiUmożliwia skonfigurowanie widoku Ulubione — specjalnego widoku, w którym jest wyświetlany niestandardowy zbiór często używanych zadań.

1 W widoku Preferencje wybierz zadanie Zarządzaj ulubionymi.

2 Wybierz żądane zadania w polu Zadania, a następnie przenieś je do pola Ulubione.

Aby przenieść zadanie, należy je kliknąć dwukrotnie, lub należy je zaznaczyć, a następnie użyć ikon ze strzałkami.

Zaznacz pole wyboru Ustaw widok Ulubione jako mój widok początkowy, aby używać widoku Ulubione jako strony domowej programu iManager.


7.2 Selektor obiektuUmożliwia skonfigurowanie ustawień selektora obiektów:

Rozmiar okna: Umożliwia określenie (w pikselach) szerokości i wysokości okna oraz szerokości lewej kolumny selektora obiektów.

Wartości domyślne określone przez użytkownika: Umożliwia określenie ustawień domyślnych selektora obiektów, w tym następujących:

Tryb startowy: określa, jaka karta jest wyświetlana na początku — Przeglądaj czy Szukaj.

Wyników na stronę: określa liczbę wyników wyświetlanych na stronie.

Kontekst początkowy: określa kontener domyślny, w którym jest otwierany selektor obiektów.

Wyszukaj przy starcie: określa początkowe czynności wyszukiwania, gdy selektor obiektów jest otwierany na karcie Szukaj.

Pokaż liczbę podrzędnych: włącza/wyłącza wyświetlanie całkowitej liczby obiektów obok każdego obiektu kontenera wyświetlanego w selektorze obiektów. Po zaznaczeniu tej opcji program iManager wyświetla liczbę obiektów podrzędnych w nawiasie obok nazwy każdego kontenera.

Preferencje 93

UWAGA: Podczas obliczania liczby obiektów podrzędnych nie są brane pod uwagę przypisane prawa użytkownika, zatem liczba obiektów widocznych dla użytkownika może się różnić od podanej liczby.

7.3 Widok obiektuUmożliwia skonfigurowanie ustawień widoku obiektu:

Szerokość kolumny: Określa szerokość kolumny widoku obiektu w pikselach.

Tryb startowy: Określa, jaka karta jest wyświetlana na początku — Przeglądaj czy Szukaj lub Drzewo.

Tryb wyboru: Określa początkowy tryb wyboru obiektów w widoku obiektu: jeden obiekt lub wiele obiektów.

Okienko nawigacyjne (lewa strona): Określa liczbę wyników wyświetlanych w ramce nawigacyjnej. To ustawienie ma zastosowanie do wszystkich kart w widoku obiektu. Prawidłowe ustawienia należą do przedziału od 1 do 500.

Okienko zawartości drzewa (prawa strona) Określa liczbę wyników wyświetlanych na stronie w ramce zawartości. To ustawienie ma zastosowanie tylko do karty Drzewo w widoku obiektu. Prawidłowe ustawienia należą do przedziału od 1 do 500.

Kontekst początkowy: Określa domyślny kontener katalogu, w którym jest otwierany widok obiektu. Można ustawić opcję otwierania go w ostatnio używanym kontenerze lub każdorazowego otwierania go w tym samym kontenerze.

Wyszukaj przy starcie: Określa początkowe czynności wyszukiwania, gdy widok obiektu jest otwierany na karcie Szukaj.

Pokaż liczbę podrzędnych: Włącza/wyłącza wyświetlanie całkowitej liczby obiektów obok każdego obiektu kontenera wyświetlanego w selektorze obiektów. Po zaznaczeniu tej opcji program iManager wyświetla liczbę obiektów podrzędnych w nawiasie obok nazwy każdego kontenera.

Dotyczy to ramki nawigacyjnej na karcie Drzewo oraz okna wyników na kartach Przeglądaj i Szukaj w widoku obiektu.

UWAGA: Podczas obliczania liczby obiektów podrzędnych nie są brane pod uwagę przypisane prawa użytkownika, zatem liczba obiektów widocznych dla użytkownika może się różnić od podanej liczby.

7.4 Ustaw widok początkowyUmożliwia określenie widoku wyświetlanego przy pierwszym zalogowaniu się do programu iManager. Jeśli nie zostanie wybrany żaden widok, domyślnie jako widok początkowy zostanie ustawiony widok Role i zadania. Od wybranego widoku zależy, co pojawia się po zalogowaniu się do programu iManager.


7.5 JęzykUmożliwia określenie języka, w którym ma być wyświetlany program iManager. Należy zaznaczyć to pole wyboru, aby zapamiętać język między sesjami programu iManager. Aby ustawienie języka było ustawieniem trwałym, należy ustawić preferowany język w przeglądarce internetowej.

UWAGA: Dodatki typu plug-in nie mogą działać poprawnie, jeśli pierwszy język (na najwyższej pozycji) ustawiony w przeglądarce internetowej nie jest obsługiwany przez program iManager.

Aby uniknąć problemów, w przeglądarce internetowej należy wybrać kolejno Narzędzia > Opcje > Języki (lub podobną sekwencję), a następnie jako pierwszy preferowany język na liście ustawić obsługiwany język.

Preferencje 95

8 8Rozwiązywanie problemów

Ta część zawiera wskazówki dotyczące rozwiązywania problemów opracowane podczas testów programu iManager przeprowadzonych przez firmę NetIQ. Wskazówki zostały zestawione w kolejności alfabetycznej w następujących tematach:

Sekcja 8.1, „Problemy związane z uwierzytelnianiem” na stronie 98

Sekcja 8.2, „Uzyskiwanie dostępu do obiektów serwera NCP” na stronie 102

Sekcja 8.3, „Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy Windows XP/2000)” na stronie 103

Sekcja 8.4, „Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z nieprawidłowymi znakami w nazwie” na stronie 103

Sekcja 8.5, „Błędy dotyczące zadania eDirectory — utrzymanie” na stronie 103

Sekcja 8.6, „Włączanie komunikatów debugowania dla instalacji i konfiguracji” na stronie 103

Sekcja 8.7, „Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi logowaniami użytkowników” na stronie 104

Sekcja 8.8, „Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003)” na stronie 104

Sekcja 8.9, „Błędy związane z brakiem atrybutu, obiektu lub wartości” na stronie 104

Sekcja 8.10, „Brakujące role lub zadania w widoku Konfiguruj” na stronie 105

Sekcja 8.11, „Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows)” na stronie 106

Sekcja 8.12, „Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in.” na stronie 107

Sekcja 8.13, „Tomcat” na stronie 107

Sekcja 8.14, „Błąd “Nie można określić stanu hasła uniwersalnego”” na stronie 108

Sekcja 8.15, „Program iManager Workstation nie wyświetla informacji” na stronie 108

Sekcja 8.16, „Czasami przycisk Odśwież nie działa” na stronie 109

Sekcja 8.17, „Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie są poprawnie instalowane” na stronie 109

Sekcja 8.18, „Problem z logowaniem po zmianie adresu IP drzewa” na stronie 110

Sekcja 8.19, „Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty Java” na stronie 111

Sekcja 8.20, „Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager Workstation” na stronie 111

Sekcja 8.21, „Inne zakresy dat używane w programie iManager i katalogu LDAP” na stronie 112

Sekcja 8.22, „Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy dynamicznej” na stronie 112

Sekcja 8.23, „Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacji” na stronie 112

Rozwiązywanie problemów 97

8.1 Problemy związane z uwierzytelnianiemKwestie związane z uwierzytelnianiem są złożone, a na możliwość pomyślnego wykonania pierwszego logowania do programu iManager może wpływać istniejąca infrastruktura sieciowa. Następujące informacje mogą pomóc zminimalizować trudności związane z uwierzytelnianiem. Więcej informacji dotyczących uwierzytelniania można znaleźć w dokumentacji usługi NetIQ Modular Authentication Service (NMAS) (https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html) i dokumentacji usługi NetIQ eDirectory (https://www.netiq.com/documentation/edir88/).

Uwierzytelnianie w programie iManager jest operacją zależną od platformy, co oznacza, że działa ono odmiennie w zależności od platformy, na jakiej jest uruchomiony program iManager.

Serwery Linux i Windows: Gdy program iManager jest uruchomiony na serwerze Linux lub Windows, korzysta ze starszego mechanizmu uwierzytelniania usługi eDirectory oraz zwykłego hasła usługi eDirectory. Ten mechanizm obsługuje opcję hasła uniwersalnego usługi eDirectory, ale nie obsługuje opcji hasła prostego.

Program iManager Workstation: Program iManager Workstation jest uruchamiany na stacji roboczej klienta (z systemem Linux lub Windows) i korzysta z klienta usług NMAS, który umożliwia mu używanie hasła uniwersalnego (jeśli zostało skonfigurowane).

Program iManager nie używa protokołu LDAP podczas procesu uwierzytelniania wstępnego w programie iManager. Korzysta on z zastrzeżonego protokołu uwierzytelniania usługi eDirectory. Jednak po uwierzytelnieniu wstępnym program iManager może tworzyć połączenia LDAP z usługą eDirectory, potrzebne do obsługi dostępu do katalogu przez zainstalowane dodatki typu plug-in, które wymagają dostępu LDAP.

Program iManager nie obsługuje uwierzytelniania za pomocą hasła prostego usługi eDirectory.

Podczas uwierzytelniania w programie iManager można napotkać następujące komunikaty o błędach. W częściach dotyczących poszczególnych komunikatów omówiono możliwe przyczyny.

Sekcja 8.1.1, „Błędy HTTP 404” na stronie 98

Sekcja 8.1.2, „Błędy HTTP 500” na stronie 99

Sekcja 8.1.3, „Komunikaty o błędach 601” na stronie 99





Sekcja 8.1.8, „Pole nazwy drzewa” na stronie 100

Sekcja 8.1.9, „Logowanie się do serwera bez repliki” na stronie 101

Sekcja 8.1.10, „Problemy z uwierzytelnianiem” na stronie 101

Sekcja 8.1.11, „Informacje o utracie ważności hasła” na stronie 101

Sekcja 8.1.12, „Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub alternatywnych atrybutów” na stronie 101

8.1.1 Błędy HTTP 404

Jeśli podczas pierwszej próby uzyskania dostępu do programu iManager wystąpi błąd 404, należy sprawdzić porty, na których działa serwer Apache. Lokalizacje plików konfiguracji będą się różniły w zależności od sposobu zainstalowania programu iManager oraz tego, jaki serwer został wybrany do użycia — Apache czy IIS. Serwer Apache używa pliku httpd.conf lub ssl.conf. Informacje na temat ustawień portu serwera IIS można znaleźć w dokumentacji firmy Microsoft.


https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/

8.1.2 Błędy HTTP 500

Jeśli zostanie wyświetlony błąd wewnętrzny serwera lub błąd kontenera serwletu (o niedostępności lub trwającym uaktualnianiu), oznacza to, że w programie iManager wystąpił jeden z dwóch następujących problemów z serwletem Tomcat:

Serwer Tomcat nie został w pełni zainicjowany po ponownym uruchomieniu.

Uruchomienie serwera Tomcat nie powiodło się.

Odczekaj kilka minut i spróbuj ponownie uzyskać dostęp do programu iManager. Jeśli te komunikaty o błędach będą nadal wyświetlane, należy zweryfikować stan serwera Tomcat.

Sprawdzanie stanu serwletu Tomcat



2 Sprawdź, czy w dziennikach serwletu Tomcat zostały zapisane jakieś błędy.

Plik dziennika znajduje się w katalogu $tomcat_home$/logs na platformach UNIX, Linux i Windows. W systemach UNIX i Linux pliki dziennika noszą nazwę catalina.out lub localhost_log.data.txt , a w systemie Windows — stderr i stdout.

8.1.3 Komunikaty o błędach 601

Wprowadzonej nazwy nie można znaleźć w określonym kontekście.

Oto niektóre możliwe przyczyny:

Logowanie bezkontekstowe może być wyłączone.

Lista kontenerów wyszukiwania może nie zawierać Twojego obiektu użytkownika. Poproś administratora o dodanie Twojej lokalizacji użytkownika do kontenerów wyszukiwania logowania bezkontekstowego albo zaloguj się z pełnym kontekstem.


Hasło NDS zostało wyłączone w założeniach hasła uniwersalnego. Może się to też objawiać komunikatem o błędzie 622.

Błędu tego można uniknąć za pomocą programu iManager Workstation, instalując klienta usług , który umożliwia programowi iManager używanie mechanizmu uwierzytelniania z hasłem uniwersalnym zamiast starszego procesu uwierzytelniania usługi eDirectory.


Ten błąd to awaria systemu, która może mieć kilka możliwych przyczyn (http://www.novell.com/documentation/nwec/).


http://www.novell.com/documentation/nwec/


Na serwerze docelowym nie ma kopii tego, czego żąda serwer źródłowy, albo na serwerze źródłowym nie ma obiektów zgodnych z żądaniem ani odwołań, przy użyciu których można by szukać obiektu.


Wprowadzono niepoprawne drzewo lub niepoprawny adres IP. Jeśli używany jest adres IP, należy pamiętać o uwzględnieniu portu, gdy usługa eDirectory jest zainstalowana na porcie niestandardowym (innym niż 524).

Program iManager nie może znaleźć drzewa lub adresu IP i dochodzi do przekroczenia limitu czasu. Jeśli użycie nazwy drzewa nie daje efektów, należy użyć adresu IP.


Użyto błędnego hasła, nie powiodło się uwierzytelnienie, jeden serwer próbował się zsynchronizować z innym, ale baza danych serwera docelowego była zablokowana, albo występuje problem ze zdalnym identyfikatorem lub kluczem publicznym.


Wprowadzono nieprawidłowe hasło

W drzewie znajduje się wielu użytkowników o tej nazwie. Logowanie bezkontekstowe polega na logowaniu przy użyciu pierwszego napotkanego konta użytkownika i podanego hasła. W tym przypadku należy podać pełny kontekst podczas logowania albo ograniczyć kontenery wyszukiwane w ramach logowania bezkontekstowego.

8.1.8 Pole nazwy drzewa

Jeśli usługa eDirectory jest zainstalowana i uruchomiona na innym porcie niż domyślny port 524, zalogowanie się przy użyciu adresu IP lub nazwy DNS serwera eDirectory jest możliwe pod warunkiem podania również portu. Przykłady:

Adres IPv4:

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Adres IPv6:

https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Podczas logowania przy użyciu nazwy drzewa nie trzeba podawać portu.

W polu nazwy drzewa można podać nazwę drzewa, adres IP serwera lub nazwę DNS serwera. Zaleca się używanie adresu IP.


8.1.9 Logowanie się do serwera bez repliki

W razie potrzeby program iManager może zalogować się w drzewie eDirectory przy użyciu serwera niezawierającego repliki eDirectory. W tym celu program iManager przechowuje pamięć podręczną połączenia zawierającą informacje potrzebne do pomyślnego zalogowania się. Aby wypełnić pamięć podręczną połączenia, przy pierwszym logowaniu się w drzewie eDirectory za pomocą programu iManager użytkownik musi użyć serwera zawierającego replikę.

Ponowne uruchomienie serwera Tomcat lub serwera programu iManager powoduje wyczyszczenie pamięci podręcznej połączenia, zatem przy pierwszym logowaniu się za pomocą programu iManager po wystąpieniu jednego z tych zdarzeń należy użyć serwera zawierającego replikę.

8.1.10 Problemy z uwierzytelnianiem

Istnieją różne przyczyny błędów logowania. Komunikaty o błędach uwierzytelniania zostały opisane w części „Problemy związane z uwierzytelnianiem” na stronie 98.

Informacje o ograniczaniu liczby komunikatów o błędach wyświetlanych przez program iManager przy niepomyślnej próbie uwierzytelnienia znajdują się w części „Zapobieganie wykrywaniu nazwy użytkownika” na stronie 129.

8.1.11 Informacje o utracie ważności hasła

Po wygaśnięciu ważności hasła wyświetlany jest odpowiedni komunikat dla użytkownika. Użytkownicy mogą jednak nie być świadomi, że ich logowania dodatkowe mogą zostać szybko wyczerpane w zależności od określonych operacji, takich jak modyfikowanie grup dynamicznych, wyszukiwanie proste, czy też ustawianie prostego hasła.

Operacje te wykorzystują kolejne dodatkowe logowania przy każdym wykonywanym przez użytkownika zadaniu. Zdecydowanie zalecane jest zachęcanie użytkowników do zmiany swoich haseł przy pierwszym otrzymanym przez nich powiadomieniu na ten temat.

8.1.12 Logowanie bezkontekstowe przy użyciu alternatywnych klas obiektów i/lub alternatywnych atrybutów

Aby włączyć uwierzytelnianie bezkontekstowe przy użyciu alternatywnego typu obiektu, wykonaj następujące czynności:

1 Otwórz program iManager, a następnie wybierz kolejno Konfiguruj > Serwer programu iManager > Konfiguruj program iManager > Uwierzytelnienie.

Zadanie to jest widoczne tylko dla autoryzowanych użytkowników. Zobacz: „Autoryzowani użytkownicy i grupy” na stronie 78.

2 W polach Nazwa użytkownika publicznego i Hasło wprowadź wartości odpowiadające użytkownikowi, który ma prawa do odczytu żądanych atrybutów.

3 Zmodyfikuj plik <KATALOG_DOMOWY_SERWERA_TOMCAT>\webapps\nps\WEB-INF\config.xml, dołączając właściwość <Setting> zawierającą listę atrybutów, które chcesz dodać do wyszukiwania bezkontekstowego, a następnie ponownie uruchom serwer Tomcat.


Na przykład następujący plik XML powoduje dodanie obiektów Alias i Użytkownik do wyszukiwania bezkontekstowego:


<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name> <value><![CDATA[User]]></value> <value><![CDATA[Alias]]></value></setting>

Podobnie następujący plik XML umożliwia użytkownikom logowanie się przy użyciu atrybutu CN lub uniqueID:

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name> <value><![CDATA[CN]]></value> <value><![CDATA[uniqueID]]></value></setting>

WAŻNE

W znajdującym się powyżej kodzie źródłowym zastąp łańcuch treename nazwą odpowiedniego drzewa katalogów (zapisaną małymi literami).

W przypadku zapisania dowolnych ustawień programu iManager Server z poziomu zadania Konfiguruj program iManager po zmodyfikowaniu pliku config.xml upewnij się, że nazwa drzewa jest zapisana małymi literami. W przeciwnym razie niestandardowe logowanie bezkontekstowe nie powiedzie się.

8.2 Uzyskiwanie dostępu do obiektów serwera NCPAby poprawić wydajność obiektów serwera NCP, należy wyłączyć opcję Modyfikuj położenie indeksu.

Aby wyłączyć opcję Modyfikuj położenie indeksu:

1 Otwórz plik config.xml dostępny w położeniu <KATALOG_DOMOWY_SERWERA_TOMCAT>/webapps/nps/WEB-INF/config.xml.

2 Dodaj następującą treść do pliku config.xml.

<setting> <name><![CDATA[IndexManagerPlugin_ModifyObjectTask_Disabled]]></name> <value><![CDATA[true]]></value></setting>

3 Zapisz zmiany i ponownie uruchom serwer Tomcat.


UWAGA: Aby zmodyfikować indeksy obiektów serwera NCP, wybierz kolejno opcje Role i zadania > eDirectory - utrzymanie > Indeksy > Obiekt serwera NCP > Indeksy > Modyfikuj położenie indeksu.


8.3 Usuwanie i ponowne tworzenie kont użytkowników o tych samych nazwach (systemy Windows XP/2000)Jeśli usunięto jedno lub większą liczbę kont użytkowników systemu Windows, a następnie utworzono je ponownie pod tymi samymi nazwami, należy wykonać następujące czynności, aby używać programu iManager Workstation z ponownie utworzonym kontem:

1 Zaloguj się jako członek grupy Administratorzy.

2 Przejmij na własność katalog \system32\novell\nici\ nazwa_uzytkownika. Ścieżka bezwzględna różni się między systemami Windows 2000 i Windows XP.

3 Usuń katalog.

Przy następnym zalogowaniu się użytkownika ten folder zostanie automatycznie utworzony ponownie przy użyciu kluczy Novell International Cryptographic Infrastructure (NICI) ponownie utworzonego konta użytkownika i użytkownik będzie mógł uruchomić program iManager Workstation.

8.4 Występowanie komunikatu o błędzie DNS 630 podczas tworzenia książki właściwości z nieprawidłowymi znakami w nazwie Jeśli podczas tworzenia książki właściwości zostaną użyte w jej nazwie nieprawidłowe znaki specjalne, może zostać zwrócony komunikat o błędzie DNS (numer błędu: 603). Więcej informacji o nadawaniu nazwy książce właściwości można znaleźć w części „Tworzenie nowej książki właściwości” na stronie 66.

8.5 Błędy dotyczące zadania eDirectory — utrzymanieAby można było uruchamiać zadania eDirectory — utrzymanie, należy skonfigurować usługi oparte na rolach (RBS) przy użyciu programu iManager dla drzewa, względem którego wykonywane są czynności administracyjne. Informacje o konfigurowaniu usług RBS można znaleźć w sekcji Rozdział 4, „Przeglądanie obiektów”, na stronie 27.

Więcej informacji zawiera sekcja The eDirectory Management Toolbox (Przybornik zarządzania usługą eDirectory) w Podręczniku administracji NetIQ eDirectory 9.0 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

8.6 Włączanie komunikatów debugowania dla instalacji i konfiguracjiJeśli instalacja się nie powiedzie, należy włączyć niektóre komunikaty debugowania, które umożliwiają stwierdzenie przyczyny problemu.

System Linux: należy wyeksportować parametr LAX_DEBUG=true w sesji terminalowej, z której jest uruchamiany program iManager InstallAnywhere.

System Windows: podczas uruchamiania programu iManager InstallAnywhere należy przytrzymać naciśnięty klawisz Ctrl, aż do momentu wyświetlenia ekranu debugowania.



8.7 Lista historii nie jest automatycznie synchronizowana między wieloma równoczesnymi logowaniami użytkownikówProblemu tego można uniknąć, używając dwóch wystąpień tej samej przeglądarki (na przykład programu Firefox, ale nie programu Internet Explorer). Książka historii jest współużytkowana przez dwie instancje.

8.8 Program iManager nie działa po zainstalowaniu programu Groupwise 7.0 WebAccess (systemy Windows Server 2000/2003)W systemach Windows 2000 oraz 2003 Server z oprogramowaniem IIS w wersji 5 lub 6 zainstalowanie programu Groupwise 7.0 WebAccess w usłudze IIS powoduje automatyczne zainstalowanie serwera Tomcat 5.5.

Przy rozpoczynaniu instalacji programu iManager program instalacyjny wykrywa, że dostępne do użycia jest oprogramowanie IIS oraz Tomcat. Program instalacyjny zgłasza brak możliwości zatrzymania usługi iisadmin. Przy końcu instalacji program instalacyjny zgłasza brak możliwości uruchomienia serwera Tomcat.

Po zakończeniu instalacji program GroupWise WebAccess nadal działa, ale nie działa program iManager (HTTP 404: Nie odnaleziono strony).

Obejście: Nie należy instalować programów iManager oraz Groupwise na tym samym serwerze.

8.9 Błędy związane z brakiem atrybutu, obiektu lub wartościW przypadku opóźnień synchronizacji w dużej instalacji można wymusić łączenie się programu iManager z repliką główną. Dzięki temu można uzyskać dostęp do dowolnych atrybutów, obiektów i wartości, które zostały ostatnio dodane lub zmodyfikowane. Nie jest to zalecane w przypadku standardowego korzystania z programu iManager, ale może być przydatne, gdy występują opóźnienia synchronizacji.

Aby użyć tego parametru podczas logowania się do programu iManager, należy dodać polecenie &forceMaster=true na końcu adresu URL po załadowaniu strony logowania. To ustawienie można też włączyć w pliku TOMCAT_HOME\webapps\nps\WEB-INF\config.xml . Można na przykład:

Adres IPv4:

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Adres IPv6:

https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Po wprowadzeniu jakichkolwiek zmian w pliku config.xml należy uruchomić ponownie serwer Tomcat. Informacje o ponownym uruchamianiu serwera Tomcat można znaleźć w części „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 107.


8.10 Brakujące role lub zadania w widoku KonfigurujJeśli poniższe role lub zadania nie są dostępne w widoku Konfiguruj, należy upewnić się, że pracuje się jako użytkownik autoryzowany. Więcej informacji znajduje się w: „Autoryzowani użytkownicy i grupy” na stronie 78.

8.10.1 Role i zadania, których może brakować

Zadanie Konfiguruj program iManager

Rola Lista tworzenia obiektów

Rola Instalacja dodatku typu plug-in

Rola Powiadomienie pocztą e-mail

Rola Widok

8.10.2 Możliwe przyczyny utraty statusu autoryzowanego użytkownika

Zmieniono nazwę drzewa.

Należy poddać edycji plik configiman.properties i zmienić nazwę drzewa dla każdego użytkownika.

Informacje wprowadzone podczas instalacji programu iManager dla autoryzowanego użytkownika były niepoprawne.

Należy zmodyfikować plik configiman.properties i dodać poprawną nazwę użytkownika z uwzględnieniem nazwy drzewa.

Plik configiman.properties jest uszkodzony z nieznanych przyczyn.

Należy usunąć plik configiman.properties i utworzyć go ponownie z poprawnymi informacjami lub zalogować się w programie iManager i wybrać kolejno widok Konfiguruj > Serwer programu iManager > Konfiguruj program iManager. Na stronie Zabezpieczenia należy dodać do systemu autoryzowanych użytkowników, przeglądając drzewo lub ręcznie wprowadzając pełną ścieżkę do użytkownika.

Uprawnienia do pliku configiman.properties zostały zmienione, aby uniemożliwić odczyt pliku przez program iManager.

Należy zmienić uprawnienia do pliku na takie same, jak do innych plików w tym katalogu.

Administrator nie dodał bieżącego użytkownika jako użytkownika autoryzowanego.

Należy poprosić o dodanie do listy autoryzowanych użytkowników. Więcej informacji znajduje się w: „Autoryzowani użytkownicy i grupy” na stronie 78.


8.11 Uruchamianie usługi eDirectory i programu iManager na tym samym komputerze (tylko system Windows)Jeśli program iManager został zainstalowany przed usługą eDirectory, to podczas uzyskiwania dostępu do usługi eDirectory za pomocą programu iManager bądź protokołów LDAP(S) lub HTTP(S) mogą wystąpić następujące błędy.

-340 error when trying to access encrypted attributes with iManager

LDAP : SSL_CTX_use_KMO failed. Error stack: error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type (err = -1418)

HTTP : 0016 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

HTTP : 0017 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1406B0BD:SSL routines:GET_CLIENT_MASTER_KEY:no p rivatekey

HTTP : Unable to access server certificate and key, handshakes will fail -- HTTP : -- error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type

Limber : Error while setting NCP Key Material Name SSL CertificateDNS to server, Err: failed, -340 (0xfffffeac)... Limber : Error During syncKeyMaterialInfo -340 (0xfffffeac)

Być może nie została wykonana początkowa konfiguracja systemu w usłudze eDirectory. Użytkownik, który zainstalował usługę eDirectory, oraz użytkownik, który uruchamia serwer usługi eDirectory, muszą skoordynować konfigurację usługi eDirectory. Zazwyczaj usługa eDirectory jest instalowana w trybie administratora i uruchamiana w trybie SYSTEM. Możliwe jest ręczne naprawienie tego problemu, ale wymaga to dobrej znajomości usługi eDirectory, programu iManager i infrastruktury NICI oraz innych aktualnie zainstalowanych programów. Konieczne jest ustalenie, czy można bezpiecznie wykonać poniższe kroki. Należy też sprawdzić dokumentację produktu i produktów, od których jest zależny, aby dowiedzieć się, czy są używane długoterminowe zaszyfrowane dane lub klucze tajne.

Jeśli usługa eDirectory i program iManager są zainstalowane na tym samym komputerze, można ręcznie skonfigurować usługę eDirectory po jej zainstalowaniu.

UWAGA: Nie należy tego robić, jeśli usługa eDirectory została zainstalowana wcześniej i została pomyślnie uruchomiona na bieżącym komputerze.

1 Zaloguj się jako administrator.

2 Zatrzymaj serwer usługi eDirectory oraz usługę Tomcat.

Zatrzymaj też wszelkie inne usługi używające infrastruktury NICI.

3 Przejmij na własność katalog %systemroot%\system32\novell\NICI\SYSTEM.

Można to zrobić we właściwościach pliku — Zabezpieczenia > Opcje zaawansowane.

4 Zapisz zawartość katalogu SYSTEM w katalogu zapasowym.

5 Usuń zawartość katalogu SYSTEM.

6 Skopiuj zawartość katalogu %systemroot%\system32\novell\NICI\Administrator do katalogu %systemroot%\system32\novell\NICI\SYSTEM.

7 Można zresetować uprawnienia do katalogu %systemroot%\system32\novell\NICI\SYSTEM i jego zawartości, tak aby dostęp do niego był możliwy tylko w trybie SYSTEM.

8 Uruchom ponownie serwer NDS i usługi Tomcat oraz wszelkie inne zatrzymane usługi.


8.12 Występowanie komunikatu „Usługa jest niedostępna” podczas instalowania wielu dodatków typu plug-in.Ta sytuacja ma miejsce po wybraniu kilku dodatków typu plug-in do zainstalowania w tym samym czasie. Instalacja dodatków typu plug-in jest kontynuowana przez kilka minut, po czym przekraczany jest limit czasu strony przeglądarki i zwracany jest błąd 503.

Konieczne jest odczekanie bez podejmowania żadnych czynności. Instalację dodatków typu plug-in można monitorować za pośrednictwem plików dziennika serwera Tomcat.

8.13 Tomcat Następujące informacje ogólne dotyczące serwera Tomcat mogą być pomocne podczas rozwiązywania problemów.

8.13.1 Uruchamianie i zatrzymywanie serwera Tomcat

W poniższej tabeli opisano sposób uruchamiania i zatrzymywania serwera Tomcat na platformach obsługiwanych przez program iManager

Tabela 8-1 Zatrzymywanie i uruchamianie serwera Tomcat

8.13.2 Porty serwera Tomcat

Jeśli podczas uaktualniania programu iManager występują konflikty portów lub konieczna jest znajomość portów używanych przez serwer Tomcat, należy zapoznać się z przedstawionymi w tej części informacjami specyficznymi dla platformy.

Linux

Należy przejrzeć porty serwera Tomcat w pliku /var/opt/novell/tomcat8/conf/server.xml.

Sekcja pliku dotycząca portu nieużywającego protokołu SSL zaczyna się od Define a non-SSL Coyote HTTP/1.1 Connector on port n, a sekcja dotycząca protokołu SSL — od Define an SSL Coyote HTTP/1.1 Connector on port n.

System operacyjny Polecenie ponownego uruchomienia

System Linux Wprowadź polecenie /etc/init.d/novell-tomcat8 stop, a następnie /etc/init.d/novell-tomcat8 start.

iManager Workstation

Zamknij, a następnie uruchom ponownie program iManager Workstation.

Windows Zatrzymaj i uruchom usługę Tomcat.


Windows

W systemie Windows można zmieniać położenia wszystkich plików. Jeśli podczas instalowania programu iManager zaakceptowano ustawienia domyślne, plików konfiguracji serwera Tomcat należy szukać w pliku rootdir\novell\tomcat8\conf\server.xml .

Jeśli nie można znaleźć danego pliku konfiguracji, należy przeszukać rejestr systemu Windows pod kątem ustawień serwera Tomcat.

8.14 Błąd “Nie można określić stanu hasła uniwersalnego”Jeśli usługa eDirectory na serwerze UNIX ma skonfigurowaną komunikację z serwerem LDAP przy użyciu protokołu SSL, po wybraniu w programie iManager opcji Hasło proste może zostać wyświetlony następujący komunikat:

Nie można określić stanu hasła uniwersalnegoAby usunąć ten błąd, należy uruchomić program narzędziowy /usr/bin/nmasinst/nmasinst na serwerze eDirectory. Narzędzie to umożliwia zainstalowanie metod logowania do drzewa eDirectory z komputera z systemem UNIX i jest ono niezbędne do działania funkcji hasła uniwersalnego.

Więcej informacji zawiera rozdział dotyczący usługi NMAS w Podręczniku administracji eDirectory 9.0.

8.15 Program iManager Workstation nie wyświetla informacjiProgram iManager Workstation może nie wyświetlać komunikatów o błędach, zamiast tego ładując strony takie jak Widok drzewa, Przeglądanie obiektów, Tworzenie obiektów, a także może wyświetlać stronę po kliknięciu przycisku Odśwież. Może się tak zdarzyć, gdy pamięć podręczna przeglądarki XULRunner zawiera stare dane z poprzedniej kompilacji programu iManager Workstation.

Obejście: należy ręcznie wyczyścić dane z pamięci podręcznej przeglądarki.

Windows:

1 Wyjdź z programu iManager.

2 Przejdź do katalogu C:\Użytkownicy\<nazwa_użytkownika>\AppData\<profil>\Mozilla\eclipse\Cache. Ścieżka ta zależy od konfiguracji i systemu operacyjnego.

3 Usuń wszystkie dane z katalogu Cache.

4 Ponownie uruchom program iManager.

Linux:

1 Wyjdź z programu iManager.

2 Przejdź do następującego katalogu:

/root/.mozilla/eclipse/Cache (użytkownik root)

/$HOME/.mozilla/eclipse/Cache (użytkownik inny niż root)


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4qnr9.html



3 Usuń wszystkie dane z katalogu Cache.

4 Ponownie uruchom program iManager.

8.16 Czasami przycisk Odśwież nie działaCzasami przycisk Odśwież na niektórych stronach nie działa po kliknięciu.

Obejście:

1 Wyloguj się z programu iManager.

2 Wyczyść pamięć podręczną przeglądarki.

W przeglądarce Internet Explorer:

1. Kliknąć menu Narzędzia > Opcje internetowe. Zostanie wyświetlone okno dialogowe Opcje internetowe.

2. Na karcie Ogólne w obszarze Historia przeglądania kliknij przycisk Usuń.

W przeglądarce Firefox:

1. Naciśnij klawisze Alt + F > . Wybierz opcję Historia i kliknij opcję Wyczyść ostatnią historię.

2. Wybierz opcję Pamięć podręczna i kliknij przycisk Wyczyść teraz.

3 Zaloguj się do programu iManager.

8.17 Instalacja dodatku typu plug-in programu iManager zawiesza się lub dodatki typu plug-in nie są poprawnie instalowanePodczas instalowania dodatków typu plug-in programu iManager niekiedy instalacja zawiesza się lub dodatki nie są poprawnie instalowane.

Obejście

W przypadku autonomicznej instalacji programu iManager:

1 Wyloguj się z programu iManager.

2 Wyczyść pamięć podręczną przeglądarki.

W przeglądarce Internet Explorer wykonaj następujące czynności:

1. Kliknąć menu Narzędzia > Opcje internetowe. Zostanie wyświetlone okno dialogowe Opcje internetowe.

2. Na karcie Ogólne w obszarze Historia przeglądania kliknij przycisk Usuń.

W przeglądarce Firefox wykonaj następujące czynności:

1. Naciśnij klawisze Alt + F > i wybierz opcję Historia.

2. Kliknij przycisk Wyczyść ostatnią historię.

3. Wybierz opcję Pamięć podręczna i kliknij przycisk Wyczyść teraz.


4 Ponownie zainstaluj dodatki typu plug-in.


W przypadku programu iManager Workstation:

Windows:

1. Wyjdź z programu iManager.

2. Przejdź do katalogu C:\Użytkownicy\<nazwa_użytkownika>\AppData\<profil>\Mozilla\eclipse\Cache. Ścieżka ta zależy od konfiguracji i systemu operacyjnego.

3. Usuń wszystkie dane z katalogu Cache.

4. Ponownie uruchom program iManager.

Linux:

1. Wyjdź z programu iManager.

2. Przejdź do następującego katalogu:

/root/.mozilla/eclipse/Cache (użytkownik root)

/$HOME/.mozilla/eclipse/Cache (użytkownik inny niż root)

3. Usuń wszystkie dane z katalogu Cache.

4. Ponownie uruchom program iManager.

8.18 Problem z logowaniem po zmianie adresu IP drzewaRozważmy następujący scenariusz:

1 Adres IP to <xxx.xx.xx.xx>. Skonfigurowano pod nim usługę eDirectory. Drzewo ma nazwę <DRZEWO_XXX>.

2 Jest używana pamięć podręczna logowania mapująca nazwę <DRZEWO_XXX> na adres <xxx.xx.xx.xx>.

3 Z powodu przeniesienia sieci adres IP zmienił się na <yyy.yy.yy.yy>. Skonfigurowano pod nim usługę eDirectory, a nazwa drzewa pozostała taka sama (<DRZEWO_XXX>).

4 Inny użytkownik przejął poprzedni adres IP <xxx.xx.xx.xx> i skonfigurował nowe drzewo eDirectory jako <DRZEWO_YYY>.

W przypadku logowania w programie iManager przy użyciu nazwy drzewa <DRZEWO_XXX> nastąpi teraz zalogowanie do drzewa <DRZEWO_YYY>, ponieważ nazwa <DRZEWO_XXX> jest mapowana na adres <xxx.xx.xx.xx>, ale adres <xxx.xx.xx.xx> jest obecnie skonfigurowany do obsługi drzewa <DRZEWO_YYY>.

Obejście:

Windows,

1. Przejdź do katalogu ...\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\.

2. Otwórz plik config.xml.

3. Wyszukaj w tym pliku ustawienie Cached-Tree i usuń używaną nazwę drzewa z tego ustawienia.

4. Usuń ustawienie zaczynające się od używanej nazwy drzewa.

Linux,

1. Przejdź do katalogu /var/opt/novell/iManager/nps/WEB-INF.

2. Otwórz plik config.xml.


3. Wyszukaj w tym pliku ustawienie Cached-Tree i usuń używaną nazwę drzewa z tego ustawienia.

4. Usuń ustawienie zaczynające się od używanej nazwy drzewa.

8.19 Niepowodzenie logowania z powodu niewystarczającego rozmiaru sterty JavaAby zwiększyć rozmiar sterty na serwerze Linux z oprogramowaniem Tomcat, zatrzymaj usługę Tomcat i otwórz okno terminala. Uruchom następujące polecenie w oknie terminala, a następnie ponownie uruchom serwer Tomcat:

export CATALINA_OPTS="-Xms128m -Xmx1024m"

Aby zwiększyć rozmiar sterty na serwerze Windows z oprogramowaniem Tomcat, zatrzymaj usługę Tomcat, utwórz nową zmienną środowiskową o nazwie JAVA_OPTS, ustaw jej wartość na -Xms128m -Xmx1024m, a następnie ponownie uruchom usługę Tomcat.

Aby uzyskać informacje o zatrzymywaniu i uruchamianiu usługi Tomcat, zobacz „Uruchamianie i zatrzymywanie serwera Tomcat” na stronie 107.

8.20 Komunikaty o błędach Java po zamknięciu przeglądarki programu iManager WorkstationPo wylogowaniu się z programu iManager i zamknięciu przeglądarki jest wyświetlany następujący komunikat o błędzie Java.

#

# An unexpected error has been detected by Java Runtime Environment:

#

# SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872

#

# Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86)

# Problematic frame:

# C [libmozjs.so+0x2944] strftime+0x2944

Obejście: zignoruj ten komunikat o błędzie i zawartość plików hs_err_pid####.log, ponieważ nie mają one wpływu na program iManager Workstation.


8.21 Inne zakresy dat używane w programie iManager i katalogu LDAPW przypadku utworzenia w programie iManager atrybutu w oparciu o składnię czasu, wypełnienia wartości atrybutu, a następnie wyszukania tej wartości za pomocą katalogu LDAP katalog LDAP zwraca inną wartość niż wypełniona przez program iManager.

Zarówno program iManager, jak i katalog LDAP przechowują wartości dat przy użyciu pierwszych 31 bitów z 32-bitowej liczby całkowitej bez znaku. Jednak aplikacje te inaczej interpretują najbardziej znaczący bit w przechowywanej wartości całkowitej. Program iManager oznacza tym bitem daty sprzed roku 1970, podczas gdy katalog LDAP oznacza nim daty po roku 2038. Z tego powodu w programie iManager są przechowywane daty z zakresu 1903–2038, a w protokole LDAP — z zakresu 1970–2106.

8.22 Niepowodzenie tworzenia bezpiecznego kontekstu LDAP SSL podczas modyfikowania grupy dynamicznejJeśli usługa eDirectory jest skonfigurowana z innym niż domyślny portem LDAP, program iManager wyświetla następujący komunikat o błędzie podczas modyfikowania grupy dynamicznej na karcie Dynamiczne.

Creating Secure SSL LDAP Context Failed

Aby rozwiązać ten problem, należy dodać adres IP serwera LDAP do adresu URL serwera LDAP w atrybucie ldapInterfaces, używając programu narzędziowego ldapconfig lub dodatku typu plug-in LDAP programu iManager.

8.23 Awaria dodatku typu plug-in programu iManager do usługi eDirectory w przypadku używania na serwerze LDAP certyfikatu wystawionego przez zewnętrzny ośrodek certyfikacjiMagazyn kluczy Java programu iManager zawiera domyślnie tylko certyfikaty ośrodka certyfikacji drzewa — nie zawiera certyfikatów zewnętrznych ośrodków certyfikacji. Z tego powodu dodatki typu plug-in takie jak Grupy, NMAS czy Zasady haseł nie mogą łączyć się z usługą eDirectory przy użyciu protokołu LDAP. Gdy usługa eDirectory korzysta z certyfikatu wystawionego przez zewnętrzny urząd certyfikacji, są wyświetlane komunikaty o błędach.

Aby rozwiązać ten problem, wykonaj następujące czynności:

Linux:

1. Zaimportuj certyfikat zewnętrznego ośrodka certyfikacji do magazynu kluczy JRE w następującym położeniu: /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts.


Aby uzyskać więcej informacji o importowaniu certyfikatów zewnętrznych ośrodków certyfikacji, zobacz Sekcja A.1, „Bezpieczne certyfikaty LDAP” na stronie 127.

2. Uruchom ponownie usługę Tomcat.

Windows:

1. Zaimportuj certyfikat zewnętrznego ośrodka certyfikacji do magazynu kluczy JRE w następującym położeniu: C:\Program Files\Novell\jre\lib\security\cacerts.

Aby uzyskać więcej informacji o importowaniu certyfikatów zewnętrznych ośrodków certyfikacji, zobacz Sekcja A.1, „Bezpieczne certyfikaty LDAP” na stronie 127.

2. Uruchom ponownie usługę Tomcat.


9 9Przeprowadzanie audytu zdarzeń programu iManager

Do przeprowadzania audytu zdarzeń programu iManager służy oprogramowanie Novell Audit. Więcej informacji można znaleźć w podręczniku Novell Audit 2.0 Administration Guide (http://www.novell.com/documentation/novellaudit20/index.html).

Usługa Audit ma następujące wymagania wstępne:

Serwer (Windows, Linux) w drzewie katalogu z usługą Audit.

Agent platformy Novell Audit zainstalowany na serwerze programu iManager lub na pulpicie programu iManager Workstation i skonfigurowany tak, aby wskazywał na serwer bezpiecznego gromadzenia dzienników.

Usługa Audit przechwytuje dane dotyczące następujących zdarzeń:

Tabela 9-1 Zdarzenia programu iManager

Identyfikator zdarzenia

Nazwa zdarzenia Opis

150013 Dodanie autoryzowanego użytkownika

Dodano autoryzowanego użytkownika do usługi eDirectory.

150004 Pomyślne zalogowanie Pomyślnie zalogowano się w usłudze eDirectory z programu iManager.

150009 Pomyślna instalacja modułu NPM

Pomyślnie zainstalowano moduł NPM.

150001 Uruchomienie programu iManager

Uruchomiono serwer Tomcat.

150011 Niepowodzenie połączenia SSL

Nie powiodło się nawiązanie połączenia SSL z usługą eDirectory.

150006 Wylogowywanie Wylogowano się z programu iManager.

150012 Zmiana konfiguracji Konfiguracja uległa zmianie.

150015 Pomyślne przekazanie modułu NPM

Pomyślnie przekazano moduł NPM.

150006 Niepowodzenie logowania Nie powiodło się zalogowanie w usłudze eDirectory z programu iManager.

150010 Niepowodzenie instalacji modułu NPM

Nie powiodło się zainstalowanie modułu NPM.

150002 Zamknięcie programu iManager

Serwer Tomcat został zatrzymany.

Przeprowadzanie audytu zdarzeń programu iManager 115

http://www.novell.com/documentation/novellaudit20/index.html

http://www.novell.com/documentation/novellaudit20/index.html

9.1 Włączanie audytu Novell w programie iManagerAby skonfigurować program Novell Audit, wykonaj następujące czynności:

1 Zainstaluj program iManager 3.0.

2 Zaloguj się w programie iManager, wybierz kolejno opcje Konfiguruj > Serwer programu iManager > Konfiguruj program iManager i kliknij opcję Dodaj autoryzowanych użytkowników.

3 Wybierz opcję Włącz program NetIQ Audit i wybierz wymagane zdarzenia programu iManager do audytu.

4 Zainstaluj program Platform Agent z pakietu instalacyjnego usługi eDirectory 9.0.

UWAGA: Jeśli serwer ma już odbiorcę pliku nauditpa.jar, wykonaj następujące czynności:

Nie modyfikuj pliku logevent (pomiń krok 5).

Nie zmieniaj praw własności do folderu naudit.

Dodaj użytkownika novlwww do grupy idvadmin i utwórz plik .profile dla użytkownika novlwww z ustawieniem umask o wartości 0002.

5 Zmień plik logevent odpowiednio do używanej platformy.

Linux: Wykonaj następujące czynności:

1. Zmodyfikuj następujące wpisy w pliku /etc/logevent.conf:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

2. (Warunkowo) Ręcznie utwórz folder naudit w położeniu /var/opt/novell/.

Zmień uprawnienie na novlwww dla folderu /var/opt/novell/naudit, uruchamiając następujące polecenie:

chown -R novlwww:novlwww naudit/

Windows: Zmodyfikuj następujące wpisy w pliku logevent.cfg w położeniu C:\Windows:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

6 W zależności od platformy usuń oznaczenie komentarza z następujących wpisów w pliku imanager_logging.xml:

Linux: Usuń oznaczenie komentarza z wpisu <appender-ref ref="NAUDIT_APPENDER"/>.


Plik imanager_logging.xml znajduje się w katalogu /var/opt/novell/iManager/nps/WEB-INF/.

Windows: Usuń oznaczenie komentarza z wpisu <appender-ref ref="NAUDIT_APPENDER"/>.

Plik imanager_logging.xml znajduje się w katalogu C:\Program Files (x86)\Novell\Tomcat\webapps\nps\WEB-INF\.


8 Sprawdź, czy zdarzenia są rejestrowane na serwerze gromadzenia dzienników.

Linux: Zatrzymaj usługę jcache i ponownie uruchom serwer Tomcat. Wygeneruj zdarzenia i sprawdź zawartość serwera gromadzenia dzienników.

Windows: Wygeneruj zdarzenia i sprawdź zawartość serwera gromadzenia dzienników.

9.2 Włączanie audytu XDAS w programie iManagerProgram XDAS Audit jest domyślnie dołączany do programu iManager. Program XDAS Audit przechwytuje dane dotyczące następujących zdarzeń:

Dodanie autoryzowanego użytkownika

Pomyślne zalogowanie

Pomyślna instalacja modułu NPM

Uruchomienie programu iManager

Niepowodzenie połączenia SSL

Wylogowywanie

Zmiana konfiguracji

Pomyślne przekazanie modułu NPM

Niepowodzenie logowania

Niepowodzenie instalacji modułu NPM

Zamknięcie programu iManager

Aby włączyć program XDAS Audit dla programu iManager:


2 Kliknij kolejno opcje Konfiguruj > Serwer programu iManager > Konfiguruj program iManager.

3 Na stronie Konfiguruj program iManager na karcie Zabezpieczenia wybierz opcję Włącz program XDAS Audit.

4 Zaznacz zdarzenia, które chcesz rejestrować, a następnie kliknij przycisk Zapisz.

9.3 Konfigurowanie audytu XDAS dla programu iManagerTabela 9-2 zawiera domyślne położenie pliku xdasconfig.properties w różnych systemach operacyjnych. Plik ten można dostosować do własnych wymagań.


Tabela 9-2 Położenie pliku konfiguracyjnego programu XDAS

Tabela 9-3 zawiera pliki konfiguracyjne programu XDAS.

Tabela 9-3 Plik konfiguracyjny programu XDAS

W poniższej tabeli opisano ustawienia zawarte w pliku imanager_logging.xml.

Tabela 9-4 Ustawienia dziennika systemowego

System operacyjny Plik

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Stacje robocze z systemami Linux i Windows

<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Opcje Nazwa

Moduł dołączający dziennika systemowego syslog

Moduł dołączający pliku ciągłego użytkowania file_appender

Ustawianie Opis

syslogHost Adres IP hosta, na którym uruchomiono serwer programu Audit.

syslogProtocol Protokół, którego należy używać do komunikacji (UDP/TCP/SSL).

syslogSslKeystoreFile Położenie pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

syslogSslKeystorePassword Hasło do pliku magazynu kluczy.(Ustawienie używane tylko w przypadku protokołu SSL).

Threshold Określa minimalny poziom dziennika dopuszczalny w module dołączającym dziennika systemowego. Obecnie jest obsługiwany poziom dziennika INFO.

Facility=USER Określa typ funkcji. Funkcja pomaga klasyfikować komunikat. Obecnie jest obsługiwana funkcja USER. Te wartości można podać przy użyciu małych lub wielkich liter.

Layout Ustawienie układu modułu dołączającego dziennika systemowego.


Tabela 9-5 Ustawienia modułu dołączającego pliku

Informacje o wzorcach konwersji i ich opisy można znaleźć na stronie logging.apache.org.

Aby włączyć moduł dołączający dziennika systemowego, wprowadź następujące zmiany w pliku imanager_logging.xml:

1 Zmodyfikuj następujące wpisy:

<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 Zaloguj się w programie iManager i zmień zdarzenia dziennika.

Aby włączyć moduł dołączający pliku, wprowadź następujące zmiany w pliku imanager_logging.xml:

1 Zmodyfikuj następujące wpisy:

<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

Wartość File można dostosować na następujących platformach:

Linux: /home/imanager.log

Windows: C:\\<directory>\\imanager.log

2 Wybierz odpowiednie zdarzenie programu iManager i zapisz zmiany.

Ustawianie Opis

File= ${catalina.home}/logs/imanager.log Domyślne położenie pliku dziennika dla modułu dołączającego pliku.

MaxFileSize=10MB Maksymalny rozmiar (w MB) pliku dziennika dla modułu dołączającego pliku. Należy ustawić maksymalny rozmiar dopuszczany przez klienta.

MaxBackupIndex=10 Określa maksymalną liczbę plików kopii zapasowej dla modułu dołączającego pliku. Maksymalna liczba plików kopii zapasowej wynosi 10. Ustawienie wartości MaxBackupIndex na 0 powoduje, że nie są tworzone żadne pliki kopii zapasowej.

layout class=org.apache.log4j.PatternLayout Ustawienie układu modułu dołączającego pliku.

ConversionPattern="%t %d %-5p [%c:%M] %m%n” Ustawienie układu modułu dołączającego pliku.


logging.apache.org

UWAGA: Zdarzenie XDAS dotyczące niepowodzenia nawiązania połączenia SSL jest rejestrowane wiele razy, ponieważ wewnętrznie program wielokrotnie próbuje nawiązać połączenie LDAP.

9.4 Konfigurowanie audytu dla programu iManager przy użyciu certyfikatów zewnętrznych

1 Włącz program NAudit w programie iManager. Aby uzyskać więcej informacji, zobacz Sekcja 9.1, „Włączanie audytu Novell w programie iManager” na stronie 116.

2 Wpisz następujące polecenie, aby utworzyć certyfikat aplikacji rejestrującej na potrzeby przeprowadzania audytu zdarzeń programu iManager na serwerze Audit:

audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f -bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem

3 Skopiuj wygenerowane pliki certyfikatów (imanicert.pem i imanipkey.pem) do odpowiednich folderów serwera iManager.

Windows:

c:\windows\imanicert.pem

c:\windows\imanipkey.pem

Linux:

/etc/imanicert.pem

/etc/imanipkey.pem



10 10Najlepsze rozwiązania i typowe pytania

Ta część zawiera zalecenia naszych ekspertów dotyczące przedstawionych poniżej tematów. Jeśli znajdziesz jakieś wartościowe rozwiązanie, podziel się nim z nami w witrynie Cool Solutions (http://www.novell.com/coolsolutions).

Sekcja 10.1, „Opcje tworzenia kopii zapasowych i przywracania” na stronie 121

Sekcja 10.2, „Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na rolach (RBS)” na stronie 121

Sekcja 10.3, „Kolekcje” na stronie 122

Sekcja 10.4, „Nieudane instalacje” na stronie 122

Sekcja 10.5, „Wysoka dostępność: Uruchamianie programu iManager w środowisku klastrowym” na stronie 123

Sekcja 10.6, „Dostrajanie wydajności” na stronie 124

Sekcja 10.7, „Profil oprogramowania AppArmor dla programu iManager” na stronie 125

Sekcja 10.8, „Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows” na stronie 125

10.1 Opcje tworzenia kopii zapasowych i przywracaniaProgram iManager nie jest wyposażony w żadną funkcję automatycznego tworzenia kopii zapasowych i przywracania. W skład programu iManager wchodzą dwa elementy: pliki lokalne na serwerze i obiekty usług opartych na rolach (RBS) w usłudze eDirectory.

Aby wykonać pełną kopię zapasową programu iManager, trzeba mieć poprawną kopię zapasową kolekcji RBS i wszystkich podrzędnych obiektów w drzewie, za sprawą repliki nadmiarowej lub rozwiązania kopii zapasowej eDirectory.

Wszystkie lokalne pliki programu iManager w systemie plików są przechowywane katalogu Tomcat. Dopóki użytkownik dysponuje kopią zapasową katalogu Tomcat, całą zawartość związana z programem iManager jest zachowywana. Jeśli katalog Tomcat zostanie w jakiś sposób naruszona na serwerze, program iManager można przywrócić, wyłączając program Tomcat i ponowne kopiując ten katalog. Jeśli nie są używane usługi RBS, wystarczy utworzyć kopię zapasową katalogu Tomcat.

10.2 Współistnienie z poprzednimi wersjami programu iManager 2.x oraz z usługami opartymi na rolach (RBS)Należy zaktualizować kolekcję RBS do wersji 2.7. W przeciwnym razie w przypadku dostępu za pomocą programu iManager do drzewa zawierającego kolekcję RBS z poprzedniej wersji programu iManager 2.x nie będą widoczne wszystkie role i zadania, które powinny zostać wyświetlone.

1 W widoku Konfiguruj kliknij kolejno Usługi oparte na rolach > Konfiguracja usług RBS.

2 Kliknij łącze w kolumnie Nieaktualny dla modułu, który wymaga aktualizacji.

Najlepsze rozwiązania i typowe pytania 121

http://www.novell.com/coolsolutions

3 Na stronie Nieaktualne moduły zaznacz moduł, a następnie kliknij przycisk Aktualizuj.

Zostanie wyświetlony komunikat potwierdzający pomyślne przeprowadzenie aktualizacji.

Zaktualizowane moduły typu plug-in są widoczne we wszystkich wersjach programu iManager 2.x.

10.3 Kolekcje Dobrze jest wiedzieć, że nie ma jednej idealnej konfiguracji dla wszystkich firm. Wielokrotne kolekcje w drzewie zalecamy tylko w przypadku używania struktury hierarchicznej z organizacjami geograficznymi lub funkcjonalnymi mającymi różnych administratorów w każdej lokalizacji. Poniżej przedstawiono najczęściej spotykane sytuacje wraz z sugestiami w zakresie zarządzania odpowiadającymi im kolekcjami:

Drzewo hierarchiczne o układzie odzwierciedlającym organizację geograficzną

Należy utworzyć po jednej kolekcji w każdej lokalizacji geograficznej i zastosować co najmniej jeden serwer iManager na lokalizację. Czas logowania jest krótszy i upraszcza się poruszanie po drzewie. Każdy administrator lokalizacji geograficznej zarządza kolekcją określonej lokalizacji.

Drzewo hierarchiczne odzwierciedlające strukturę organizacyjną firmy

Należy utworzyć jedną kolekcję na tym samym poziomie co organizacja i zastosować jeden lub kilka serwerów iManager w zależności od wielkości firmy. Do zarządzania jest tylko jedna kolekcja.

Płaskie drzewo, w którym każdy obiekt jest w innym kontenerze

Należy utworzyć jedną kolekcję jako równorzędną w stosunku do kontenera unikatowego i zastosować jeden lub kilka serwerów iManager w zależności od wielkości firmy. Do zarządzania jest tylko jedna kolekcja.

10.4 Nieudane instalacjeAby uniknąć nieudanych instalacji, należy pamiętać o aktualizowaniu systemu operacyjnego do najnowszej wersji i dbać o to, aby były spełnione wszystkie wymagania systemowe. Więcej informacji można znaleźć w części „Wymagania wstępne i zagadnienia do rozważenia związane z instalowaniem programu iManager” w Podręczniku instalacji programu NetIQ iManager.

Aby odzyskać sprawność po nieudanej instalacji, należy rozpoznać problem na podstawie komunikatu o błędzie wygenerowanego w trakcie instalacji.

Sekcja 10.4.1, „Windows” na stronie 122

Sekcja 10.4.2, „System Linux” na stronie 123

10.4.1 Windows

1 Jeśli błąd jest związany z jednym z następujących składników, sprawdź wskazane pliki dzienników pod kątem błędów:

NICI: katalog instalacji\temp\wcniciu0.log

Tomcat: katalog instalacyjny serwera tomcat\Apache_Tomcat_InstallLog.log . Na przykład: C:\Program Files\Novell\Tomcat\Apache_Tomcat_InstallLog.log.


2 Poszukaj błędów w pliku dziennika instalacji programu iManager (C:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\logs\install\iManager_Install_3.0.0_InstallLog.log).

3 Jeśli plik dziennika nie zawiera wystarczających informacji, które umożliwiałyby zidentyfikowanie problemu, uruchom ponownie instalację w trybie debugowania.

Aby wyświetlić lub przechwycić wyniki debugowania programu instalacyjnego, otwórz konsolę i skopiuj jej zawartość do pliku tekstowego (do późniejszego wglądu).

3a Zaraz po uruchomieniu programu instalacyjnego naciśnij i przytrzymaj klawisz Ctrl do momentu pojawienia się okna konsoli.

3b Po ukończeniu instalacji kliknij ikonę w lewym górnym rogu okna konsoli i wybierz kolejno Właściwości > Układ.

3c Zmień rozmiar buforu na 3000, a następnie kliknij przycisk OK.

3d W oknie Układ wybierz kolejno Edycja > Zaznacz wszystko > Edycja > Kopiuj.

3e Otwórz dowolny edytor tekstów i wklej do niego wyniki debugowania.

4 Zidentyfikuj i popraw wszelkie błędy, przeglądając wyciągi stosu, a następnie uruchom ponownie instalację.

10.4.2 System Linux

1 Poszukaj błędów w pliku dziennika instalacji programu iManager (/var/log/Novell/iManager_3.0.0_InstallLog.log).

2 Jeśli plik dziennika nie zawiera wystarczających informacji, które umożliwiałyby zidentyfikowanie problemu, uruchom ponownie instalację w trybie debugowania.

Wpisz następujące polecenie w wierszu poleceń:

export LAX_DEBUG=true

3 Zidentyfikuj i popraw wszelkie błędy, przeglądając wyciągi stosu, a następnie uruchom ponownie instalację.

10.5 Wysoka dostępność: Uruchamianie programu iManager w środowisku klastrowymMimo że program iManager jest narzędziem do pracy sesyjnej bez jakichkolwiek funkcji przełączenia awaryjnego można z niego korzystać w środowisku klastrowym. Więcej informacji o klastrowaniu można znaleźć w dokumentacji klastrowania OES (http://www.novell.com/documentation/oes/cluster-services.html#cluster-services).

1 Zainstaluj i skonfiguruj program iManager na tych węzłach w klastrze, na które przenoszony jest wirtualny adres IP (czyli klaster aktywny/aktywny).

Jeśli wystąpi awaria w węźle, na którym działa program iManager, usługi NetIQ Cluster Services wykryją tę awarię i przeniosą (załadują ponownie) wirtualny adres IP na inny węzeł w klastrze.

2 Używając szablonu Generic_IP_Service dostarczanego z usługami NetIQ Cluster Services, utwórz nowy zasób klastra o nazwie iManager.

Zasób ten używa wirtualnego adresu IP, który jest przenoszony między węzłami w klastrze. Tworząc nowy zasób klastra, kreator przechodzi przez proces tworzenia skryptu ładowania i skryptu zwalniania.

3 Sprawdź skrypty ładowania i zwalniania.


http://www.novell.com/documentation/oes/cluster-services.html#cluster-services

Skrypt ładowania powinien zawierać tylko następujące wiersze (wszystkie inne powinny być w komentarzach):

. /opt/novell/ncs/lib/ncsfuncs

exit_on_error add_secondary_ipaddress xxx.xxx.xxx.xxx

exit 0

Skrypt zwalniania powinien zawierać tylko następujące wiersze (wszystkie inne powinny być w komentarzach):

. /opt/novell/ncs/lib/ncsfuncs

ignore_error del_secondary_ipaddress xxx.xxx.xxx.xxx

exit 0

4 Przejdź do adresu URL programu.

Usługi programu iManager są teraz wysokodostępne, jednak żadne trwające sesje nie podlegają przełączaniu awaryjnemu. Jeśli jakaś usługa zostanie przerwana awarią w trakcie działań użytkownika, użytkownik musi przeprowadzić ponowne uwierzytelnianie i ponownie uruchomić przerwane operacje.

Program iManager oraz serwer Tomcat są już uruchomione (aktywny/aktywny) na innych węzłach, dlatego nie trzeba czekać na załadowanie tych aplikacji w przypadku migracji (przenoszenia) przez usługi NetIQ Cluster Services wirtualnego adresu IP na inny węzeł.

Korzyść ze stosowania klastra typu aktywny/pasywny jest niewielka, ponieważ wymaga on dużo więcej konfiguracji, a każde przełączenie awaryjne wiąże się z koniecznością odczekania całego czasu ładowania. Aby rzeczywiście skonfigurować program iManager jako zasób klastra typu aktywny/pasywny, należy utworzyć zasób klastra ładujący i zwalniający program iManager oraz programy, od których on jest zależny (takie jak Tomcat). Identyczną konfigurację programu iManager należy następnie wykonać na wszystkich węzłach, na których program iManager ma być wysokodostępny.

10.6 Dostrajanie wydajnościPoniżej znajdują się wskazówki pozwalające zwiększyć szybkość i wydajność pracy.

10.6.1 Używanie grup dynamicznych z usługami RBS

Obsługę grup dynamicznych dla usług RBS należy wyłączyć, jeśli funkcja ta nie jest używana. Domyślnie funkcja Grupy dynamiczne jest włączona i jej używanie znacząco obciąża zasoby ze względu na rozległe wyszukiwania, które przeprowadza.

1 W widoku Konfiguruj wybierz kolejno Serwer programu iManager > Konfiguruj program iManager.

2 Wybierz kartę RBS, a następnie usuń zaznaczenie opcji Włącz grupy dynamiczne.


10.6.2 Przypisania ról

Jeśli przypisano więcej niż pięciu użytkowników do jednej roli w tym samym zakresie, należy rozważyć zastosowanie obiektów grup w celu zmniejszenia liczby przypisań ról i podniesienia skuteczności zarządzania usługami RBS. Będzie wówczas mniej obiektów do aktualizowania i możliwe będzie zarządzanie obiektem grupy przez dodawanie i usuwanie członków.

Należy też rozważyć stosowanie obiektów grup dynamicznych. Obiekty użytkowników można tak skonfigurować, aby odpowiadały kryteriom wyszukiwania grup dynamicznych.

10.7 Profil oprogramowania AppArmor dla programu iManagerProgram Novell Open Enterprise Server dla systemu Linux zawiera profil AppArmor dla programu iManager. Profil ten nosi nazwę etc.opt.novell.tomcat5.init.d.tomcat5 i jest zainstalowany w katalogu /etc/apparmor/profiles/extras/iManager.

Profil oprogramowania AppArmor dla programu iManager nie jest domyślnie włączony. Aby go włączyć, należy go skopiować do folderu /etc/apparmor.d.

Więcej informacji o oprogramowaniu AppArmor i profilach oprogramowania AppArmor można znaleźć w dokumentacji Novell AppArmor (http://www.novell.com/documentation/apparmor/).

10.8 Przydzielanie dodatkowej pamięci dla serwera Tomcat w systemie Windows

1 Przejdź do folderu Tomcat/bin (na przykład c:\Program Files\Novell\Tomcat\bin).

2 Kliknij prawym przyciskiem myszy plik tomcat7w.exe.

3 Otwórz okno Właściwości: Tomcat7.

4 Kliknij kartę Java.

5 Określ początkowy i maksymalny rozmiar puli pamięci.

WAŻNE: Upewnij się, że początkowy i maksymalny rozmiar puli pamięci jest mniejszy niż ilość fizycznej pamięci RAM, aby zapobiec problemom z wydajnością.

6 Kliknij przycisk Zastosuj, a następnie przycisk OK.

7 Uruchom ponownie usługę Tomcat.

WSKAZÓWKA: Aby zweryfikować nowe ustawienia, przejdź pod adres URL serwera Tomcat i kliknij opcję Stan serwera.


http://www.novell.com/documentation/apparmor/

A AProblemy związane z zabezpieczeniami w programie iManager

W tej części podano informacje o potencjalnych problemach dotyczących zabezpieczeń w programie iManager. Zawiera ona informacje na następujące tematy:

Sekcja A.1, „Bezpieczne certyfikaty LDAP” na stronie 127

Sekcja A.2, „Certyfikaty samopodpisane” na stronie 129

Sekcja A.3, „Autoryzowani użytkownicy i autoryzowane grupy programu iManager” na stronie 129

Sekcja A.4, „Zapobieganie wykrywaniu nazwy użytkownika” na stronie 129

Sekcja A.5, „Ustawienia serwera Tomcat” na stronie 130

Sekcja A.6, „Szyfrowane atrybuty” na stronie 130

Sekcja A.7, „Bezpieczne połączenia” na stronie 131

A.1 Bezpieczne certyfikaty LDAPProgram iManager może tworzyć bezpieczne połączenia LDAP za kulisami bez jakiejkolwiek interwencji użytkownika. Jeśli certyfikat SSL serwera LDAP zostanie zaktualizowany z jakiegokolwiek powodu (na przykład z powodu nowego wewnętrznego ośrodka certyfikacji), program iManager powinien automatycznie pobrać nowy certyfikat przy użyciu uwierzytelnionego połączenia i zaimportować go do swojej bazy danych magazynu kluczy.

Jeśli nie zostanie to wykonane poprawnie, należy usunąć magazyn kluczy prywatnych, którego używa program iManager, aby wymusić ponowne utworzenie bazy danych przez program iManager i serwer Tomcat oraz ponowne pobranie certyfikatu:

1 Zamknij serwer Tomcat.

2 Usuń plik TOMCAT_HOME\webapps\nps\WEB-INF\iMKS .



4 Otwórz program iManager w przeglądarce i zaloguj się z powrotem w drzewie, aby automatycznie pobrać ponownie nowy certyfikat i ponownie utworzyć bazę danych magazynu.

Ewentualnie możesz również ręcznie zaimportować wymagany certyfikat do domyślnego magazynu kluczy maszyny JVM serwera Tomcat, używając narzędzia do zarządzania certyfikatami keytool z pakietu JDK. Tworząc bezpieczne połączenia SSL, program iManager próbuje najpierw domyślnego magazynu kluczy maszyny JVM, a następnie używa bazy danych magazynu kluczy programu iManager.

Problemy związane z zabezpieczeniami w programie iManager 127

Po zapisaniu certyfikatu usługi eDirectory w formacie DER należy zaimportować zaufany certyfikat główny do magazynu kluczy programu iManager. Aby to zrobić, potrzebne jest narzędzie do keytool z pakietu JDK. Jeśli z programem iManager zainstalowano środowisko JRE, należy pobrać pakiet JDK, aby móc skorzystać z narzędzia keytool.

UWAGA: Informacje o tworzeniu pliku certyfikatu DER można znaleźć w części Exporting a Trusted Root or Public Key Certificate (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4t6zc.html) (Eksportowanie zaufanego certyfikatu głównego lub certyfikatu klucza publicznego) w Podręczniku administrowania serwerem certyfikatów NetIQ. Konieczne będzie wyeksportowanie zaufanego certyfikatu głównego.

1 Otwórz okno wiersza poleceń.

2 Przejdź do katalogu \bin, w którym został zainstalowany pakiet JDK.

W systemie Windows należy na przykład wprowadzić następujące polecenie:

cd j2sdk1.5.0_11\bin

3 Zaimportuj certyfikat do magazynu kluczy za pomocą narzędzia keytool, wykonując następujące polecenia (zależne od platformy):

Linux

keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts

Windows

keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts

W miejsce ciągu nazwa_aliasu wpisz unikatową nazwę tego certyfikatu i pamiętaj, aby użyć pełnej ścieżki do plików trustedrootcert.der i cacerts.

Druga ścieżka polecenia określa lokalizację magazynu kluczy. Ścieżki te są różne w różnych systemach, ponieważ określają położenie katalogu, w którym zainstalowano program iManager. Poniżej przedstawiono przykłady domyślnych położeń programu iManager w systemach Windows i Linux:

Windows: C:\Program Files\Novell\jre\lib\security\cacerts

Linux: /<JAVA_HOME>/jre/lib/security/cacerts

4 Wprowadź hasło magazynu kluczy: changeit.

5 Kliknij przycisk Tak, aby określić ten certyfikat jako zaufany.

UWAGA: Ten proces należy powtórzyć dla każdego drzewa eDirectory, do którego dostęp będzie uzyskiwany za pomocą programu iManager. Jeśli protokół LDAP został skonfigurowany do używania certyfikatu, który nie został podpisany przez wewnętrzny ośrodek certyfikacji drzewa, należy zaimportować zaufany certyfikat główny tego certyfikatu. Jest to wymagane na przykład w przypadku gdy protokół LDAP został skonfigurowany do używania certyfikatu podpisanego przez urząd VeriSign*.


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4t6zc.html

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4t6zc.html

A.2 Certyfikaty samopodpisaneProgram iManager zawiera tymczasowy, samopodpisany certyfikat używany podczas instalowania programu iManager na platformie Linux lub Windows. Okres ważności tego certyfikatu to jeden rok. Więcej informacji można znaleźć w części „Wymagania wstępne i zagadnienia do rozważenia związane z instalowaniem programu iManager” w Podręczniku instalacji programu NetIQ iManager.

A.3 Autoryzowani użytkownicy i autoryzowane grupy programu iManagerGdy użytkownik lub grupa są autoryzowane, oznacza to, że program iManager zezwala na wykonywanie różnych zadań administracyjnych temu użytkownikowi lub tej grupie. Aby uzyskać więcej informacji o określaniu i konfigurowaniu użytkowników i grup autoryzowanych, zobacz „Autoryzowani użytkownicy i grupy” na stronie 78.

Dane autoryzowanych użytkowników i grup są przechowywane w pliku configiman.properties, który należy zabezpieczyć, aby zapobiec jego nieautoryzowanej modyfikacji. W tym celu należy zmodyfikować kontrolę dostępu do pliku configman.properties, tak aby ograniczyć zakres użytkowników, którzy mogą ręcznie edytować plik.

UWAGA: Jeśli nie zostanie określony użytkownik autoryzowany lub grupa autoryzowana (przez co nie zostanie utworzony plik configiman.properties) lub zostaną one określone z ustawieniem AllUsers, wszyscy użytkownicy będą mogli instalować dodatki typu plug-in programu iManager oraz modyfikować ustawienia serwera programu iManager. Stanowi to zagrożenie bezpieczeństwa w przypadku serwerowych środowisk programu iManager.

A.4 Zapobieganie wykrywaniu nazwy użytkownikaW niektórych instalacjach serwer usługi eDirectory jest chroniony zaporą sieciową, ale serwer programu iManager jest otwarty na świat zewnętrzny, umożliwiając wykonywanie zadań zarządzania z domu lub w trakcie podróży. Dostęp do programu iManager jest kontrolowany za pomocą pól Nazwa użytkownika, Hasło i Nazwa drzewa na ekranie logowania. W takich instalacjach często pożądane jest zwiększenie poziomu zabezpieczeń w celu uniknięcia ujawnienia informacji o systemie.

W standardowych konfiguracjach programu iManager podczas uwierzytelniania przekazywane są komunikaty usługi eDirectory związane z nieprawidłowymi nazwami użytkowników i hasłami. Komunikaty te mogą niezamierzenie dostarczać zbyt wiele informacji potencjalnym crackerom. Aby tego uniknąć, program iManager zawiera opcję konfiguracji umożliwiającą ukrycie określonej przyczyny niepowodzenia logowania. Po jej włączeniu następujące komunikaty o błędach zostają zastąpione ogólnym komunikatem o błędzie o treści: Niepowodzenie logowania. Nieprawidłowa nazwa użytkownika lub hasło.

Nieprawidłowa nazwa użytkownika (-601)

Nieprawidłowe hasło (-669)

Wygasłe hasło lub konto wyłączone (-220)


Aby włączyć to ustawienie, należy otworzyć widok Konfiguruj, a następnie wybrać kolejno Serwer programu iManager > Konfiguruj program iManager. Na karcie Uwierzytelnienie należy zaznaczyć pole wyboru Ukryj określoną przyczynę niepowodzenia logowania. Spowoduje to ustawienie parametru Authenticate.Form.HideLoginFailReason=true w pliku config.xml programu iManager.

Ponadto program iManager nie obsługuje gwiazdek (*) jako znaków wyrażenia regularnego w polu Nazwa użytkownika. Uniemożliwia to nieautoryzowanym użytkownikom wykrywanie prawidłowych nazw użytkowników. Zapobiega to też możliwym atakom typu „odmowa usługi”, które polegają na przeciążaniu serwera usługi eDirectory przez ciągłe próby zalogowania się przy użyciu tylko znaku wyrażenia regularnego (*), co wymusza na usłudze eDirectory wyszukanie i zwrócenie wszystkich pasujących nazw użytkowników.

A.5 Ustawienia serwera TomcatPonieważ program iManager używa kontenera serwletu Tomcat, administratorzy programu iManager powinni pamiętać o opcjach konfiguracji związanych z szyfrowaniem tych zasobów jako o części ogólnej strategii zabezpieczeń. Szczególną uwagę należy tu zwrócić na mechanizmy szyfrowania i zaufane certyfikaty, które mają bezpośredni wpływ na jakość szyfrowania transmisji przewodowej. Podczas konfigurowania środowiska Tomcat należy rozważyć następujące zasady:

Nie należy używać mechanizmów szyfrowania SSL 2.0, które są nieaktualne i nie gwarantują bezpieczeństwa.

Nie należy używać mechanizmu szyfrowania NULL w środowisku produkcyjnym.

Nie należy używać mechanizmów szyfrowania zaklasyfikowanych jako mechanizmy o jakości LOW (niska) lub EXPORT (eksport), ponieważ są one mniej bezpieczne.

Należy sprawdzać regularnie listę zaufanych certyfikatów oraz ograniczyć listę zaakceptowanych ośrodków certyfikacji tylko do tych, które są rzeczywiście używane.

Dodatkowe informacje o serwerze Tomcat są dostępne w witrynie z dokumentacją serwera Apache Tomcat w sieci Web (http://tomcat.apache.org/tomcat-4.1-doc/index.html).

UWAGA: Ze względu na sposób interpretowania i używania danych przez program iManager nie ma znanych zagrożeń związanych z atakami opartymi na języku HTML, takich jak międzywitrynowe wykonywanie skryptów.

A.6 Szyfrowane atrybutyProgram iManager może bezpiecznie odczytywać szyfrowane atrybuty usługi eDirectory 8.8. Jednak ze względu na sposób określania, czy atrybut jest szyfrowany, program iManager nie modyfikuje ani nie usuwa bezpiecznie tych atrybutów. Wpływ tej cechy, który może powodować ujawnienie danych transmitowanych przewodowo, można obniżyć przez zwykłe działania związane z zabezpieczeniem sieci, takie jak:

Umieszczanie wszystkich serwerów programu iManager za zaporą sieciową.

Umieszczanie serwerów programu iManager fizycznie w pobliżu skojarzonych z nimi serwerów usługi eDirectory

Fizyczne zabezpieczanie serwerów programu iManager i serwerów usługi eDirectory

Wymaganie od administratorów zdalnych używania sieci VPN do uzyskiwania dostępu do serwerów programu iManager i serwerów usługi eDirectory.


http://tomcat.apache.org/tomcat-4.1-doc/index.html

http://tomcat.apache.org/tomcat-4.1-doc/index.html

A.7 Bezpieczne połączeniaMimo że program iManager korzysta z bezpiecznego protokołu HTTP (SSL) do komunikacji z klientami i zabezpiecza połączenia LDAP między serwerami programu iManager i serwerami usługi eDirectory, to nie korzysta (za wyjątkiem odczytu szyfrowanych atrybutów) z bezpiecznych połączeń NCP do komunikacji między serwerami programu iManager a serwerami usługi eDirectory.

To samo dotyczy połączenia NCP używanego przez program Mobile Manager. Wpływ tej cechy, który może powodować ujawnienie danych transmitowanych przewodowo, można obniżyć przez zwykłe działania związane z zabezpieczeniem sieci, takie jak:

Umieszczanie wszystkich serwerów programu iManager za zaporą sieciową.

Umieszczanie serwerów programu iManager fizycznie w pobliżu skojarzonych z nimi serwerów usługi eDirectory

Fizyczne zabezpieczanie serwerów programu iManager i serwerów usługi eDirectory

Wymaganie od administratorów zdalnych używania sieci VPN do uzyskiwania dostępu do serwerów programu iManager i serwerów usługi eDirectory.

UWAGA: Bez względu na używane szyfrowanie transmisji przewodowej hasła są zawsze szyfrowane i chronione w ramach procesu uwierzytelniania w programie iManager.


B BModuły dodatków typu plug-in firmy NetIQ

Program iManager jest dostarczony z następującymi rolami będącymi częścią dodatku plug-inbase.npm. Dodatkowe moduły dodatków typu plug-in należy pobrać osobno.

Administrowanie katalogiem

Partycje i repliki

Centrum pomocy technicznej

Schemat

Prawa

użytkownicy

Grupy

Najlepszym miejscem na wyszukiwanie i pobieranie dodatków typu plug-in programu iManager jest strona Dostępne moduły dodatków typu plug-in firmy NetIQ tego programu. Można też pobierać dodatki typu plug-in ze strony pobierania firmy NetIQ (https://dl.netiq.com/index.jsp). W kryteriach wyszukiwania należy wybrać program iManager jako produkt.

Firma NetIQ czasami wydaje aktualizacje dodatków typu plug-in programu iManager. Aktualizacje te są udostępniane w witrynie pobierania dodatków typu plug-in programu NetIQ iManager (https://www.netiq.com/support/imanager/plugins/).

Podstawowe dodatki typu plug-in programu iManager są dostępne tylko jako część pełnego pakietu pobierania oprogramowania iManager. Są to na przykład administracyjne dodatki typu plug-in usługi eDirectory. O ile nie są dostępne określone aktualizacje tych dodatków typu plug-in, mogą one być pobierane i instalowane tylko z całym produktem iManager.

Więcej informacji o pobieraniu dodatków typu plug-in programu iManager można znaleźć w części „Omówienie instalacji dodatków typu plug-in programu iManager” w Podręczniku instalacji programu NetIQ iManager.

UWAGA: Domyślnie moduły dodatków typu plug-in nie są replikowane między serwerami iManager. Firma NetIQ zaleca instalowanie żądanych modułów dodatków typu plug-in na każdym serwerze iManager.

Moduły dodatków typu plug-in firmy NetIQ 133

https://dl.netiq.com/index.jsp

https://www.netiq.com/support/imanager/plugins/

Podręczniku administrowania programem NetIQ iManager · 2016-05-17 · Informacje o niniejszym...

Documents

Transcript of Podręczniku administrowania programem NetIQ iManager · 2016-05-17 · Informacje o niniejszym...