Руководство по администрированию NetIQ iManager · Не...

NetIQ® iManagerРуководство по администрированию

Февраль 2018

Уведомление

Дополнительную юридическую информацию, сведения о товарных знаках, заявлениях об отказах, гарантиях, экспортных ограничениях и ограничениях на использование, правах правительства США, политиках в отношении патентов и соответствии требованиям FIPS (Федеральный стандарт обработки информации) см. на веб-странице https://www.netiq.com/company/legal/.

© NetIQ Corporation, компания Micro Focus, 2018. Все права защищены.

https://www.netiq.com/company/legal/

Об этой книге и библиотеке 7О NetIQ Corporation 9

1 Обзор 13

2 Доступ к iManager 15

Доступ к серверной версии iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Доступ к версии iManager для рабочей станции. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Сведения о режимах доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Аутентификация на сервере eDirectory с поддержкой EBA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Управление несколькими деревьями eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3 Использование интерфейса iManager 21

Интерфейс iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Фрейм заголовка. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Фрейм навигации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Область содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Специальные символы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4 Просмотр объектов 25

Использование раздела просмотра объектов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Вкладка "Дерево" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Вкладка "Просмотр" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Вкладка "Поиск" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Использование инструмента выбора объектов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32"Просмотр" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33"Поиск". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

5 Раздел "Функции и задачи" 37

Основы работы с разделом "Функции и задачи". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Выбор и фильтрация объектов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Администрирование каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Копирование объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Создание объекта. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Удаление объекта. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Изменение объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Перемещение объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Переименование объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Создание группы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Удаление группы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Изменение группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Изменение членов группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44"Перемещение группы" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45"Переименование группы" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Просмотр моих групп . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Служба поддержки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45"Сброс блокировки" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Создание пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Установка пароля . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Разделы и реплики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Создание раздела . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Объединение разделов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47"Перемещение раздела" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Просмотр информации о реплике. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Просмотр информации о разделе. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Использование мастера фильтрованных реплик. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Права . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Изменение фильтра наследуемых прав . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Изменение прав опекунов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Права на другие объекты. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Просмотр действующих прав . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Схема . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Добавление атрибута . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Просмотр информации об атрибуте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Просмотр информации о классе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Создание атрибута . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Создание класса. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Удаление атрибута . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Удаление класса. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Расширение схемы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Расширение объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Пользователи. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Создание пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Удаление пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Запрещение учетной записи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Разрешение учетной записи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Изменение пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Перемещение пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Переименование пользователя. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6 Конфигурирование и настройка iManager 59

Сервис административных функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Объекты RBS в eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Установка сервиса административных функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Удаление сервиса административных функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Конфигурация RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Вкладка "Функция" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Вкладка "Задача" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Вкладка "Книга свойств". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Вкладка "Модуль" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Вкладка "Категория" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Plug-In Studio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Изменение ассоциаций членов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Изменение коллекций владельцев . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Отчеты сервиса административных функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Создание отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Использование отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Сервер iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Настройка iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Безопасность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Внешний вид . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Протоколирование событий. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81"Аутентификация". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Сервис административных функций. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Загрузка подключаемых модулей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Прочее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Сертификат . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Список создаваемых объектов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Добавление класса объектов в список создаваемых объектов . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Удаление класса объектов из списка создаваемых объектов . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Установка подключаемого модуля . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Доступные подключаемые модули NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Установленные подключаемые модули NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Загрузка и установка подключаемых модулей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Действия, выполняемые, если сервис административных функций сконфигурирован . . . . . . . 89Удаление подключаемого модуля . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Настройка места загрузки подключаемых модулей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Оповещения по электронной почте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Конфигурация почтового сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Оповещения о событиях задач . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

"Разделы" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Показ и скрытие разделов iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Включение и отключение использования представления "Identity Manager" в iManager в качестве представления по умолчанию на серверах с включенной функцией Identity Manager. . . . . . . . 93

7 "Параметры" 95

Управление избранным . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Выбор объектов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Просмотр объектов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Установка начального раздела. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Язык . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

8 Поиск и устранение проблем 99

Проблемы при аутентификации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Ошибки HTTP 404. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Ошибки HTTP 500. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Сообщения об ошибке 601 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Сообщения об ошибке 622 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Сообщения об ошибке 632 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Сообщения об ошибке 634 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Сообщения об ошибке 669 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Поле "Имя дерева" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Регистрация на сервере, не содержащем реплику . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Неуспешная аутентификация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Информация о просроченном пароле . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Бесконтекстная регистрация с использованием альтернативных классов объектов или альтернативных атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Доступ к объектам сервера NCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Удаление и повторное создание учетных записей пользователей с одним и тем же именем (Windows XP/2000)105При создании книги свойств с некорректными символами в имени появляется сообщение об ошибке DNS 630 105Ошибки задач обслуживания eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Включение сообщений об отладке для установки и настройки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Протокол автоматически не синхронизируется по нескольким одновременным регистрациям пользователей106После установки Groupwise 7.0 WebAccess (Windows Server 2000/2003) iManager не работает . . . . 106Ошибки отсутствующих атрибутов, объектов и значений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106В разделе "Настройка" не отображаются функции или задачи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Функции и задачи, которые могут отсутствовать . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Возможные причины того, почему вы не являетесь авторизованным пользователем . . . . . . . 107

Запуск eDirectory и iManager на одном компьютере (только Windows). . . . . . . . . . . . . . . . . . . . . . . . . 108При установке нескольких подключаемых модулей появляется сообщение "Сервис недоступен" . . 109Сервер Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Запуск и прекращение работы сервера Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Порты Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Ошибка “Не удалось определить состояние функции универсальных паролей” . . . . . . . . . . . . . . . . 110

Не отображается информация в iManager Workstation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Иногда не работает кнопка "Обновить" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Процесс установки подключаемых модулей перестает отвечать на запросы или подключаемые модули не установлены должным образом. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Проблема со входом при смене IP-адреса дерева . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Недостаточный размер кучи Java приводит к сбою при входе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113После закрытия обозревателя iManager Workstation отображаются сообщения об ошибках Java . . 113iManager и LDAP используют разные диапазоны дат . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Создание контекста Secure SSL LDAP Context при изменении динамической группы заканчивается сбоем114Подключаемый модуль iManager для eDirectory не работает, если сервер LDAP использует сертификат, выданный сторонним центром сертификации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

9 Аудит событий iManager 117

Включение аудита Novell в iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Включение аудита XDAS в iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Настройка XDAS Audit для использования с iManager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Включение аудита CEF в iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Настройка аудита CEF для iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Настройка аудита для iManager с использованием сторонних сертификатов . . . . . . . . . . . . . . . . . . . 125Настройка Audit для iManager в строгом режиме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

10 Передовой опыт и общие вопросы 127

Резервное копирование и восстановление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Совместное использование iManager 2.7 с предыдущими версиями iManager 2.x и сервисами административных функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Коллекции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Сбои при установке. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Настройка производительности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Отключение поддержки динамической группы для RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Назначения функций . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Профиль iManager AppArmor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Выделение дополнительной памяти для Tomcat в Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

A Проблемы обеспечения безопасности iManager 131

Защищенные сертификаты LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Самоподписанные сертификаты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Авторизованные пользователи и группы iManager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Предотвращение обнаружения имени пользователя. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Параметры сервера Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Зашифрованные атрибуты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Защищенные соединения. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

B Подключаемые модули NetIQ 137

Об этой книге и библиотеке 7

Об этой книге и библиотеке

Руководство администратора содержит общие сведения о продукте NetIQ iManager (iManager). В этом руководстве определена терминология и рассмотрены сценарии внедрения.

Последняя версия руководства по администрированию NetIQ iManager доступна на английском языке на веб-сайте электронной документации по NetIQ iManager (https://www.netiq.com/documentation/imanager-31/).

Целевая аудиторияЭто руководство ориентировано на сетевых администраторов.

Другая информация в библиотекеВ данной библиотеке представлены перечисленные ниже информационные ресурсы.

Руководство по установке

Описание процесса установки iManager. Руководство предназначено для администраторов сети.

https://www.netiq.com/documentation/imanager-31/

О NetIQ Corporation

Мы глобальная компания, которая разрабатывает корпоративное программное обеспечение, уделяя основное внимание трем постоянным проблемам в вашей среде: изменениям, сложности и риску. Мы работаем над тем, чтобы помочь вам контролировать их.

Наша точка зренияАдаптация к изменениям и управление сложностью и риском — ничего нового

Из всех проблем, с которыми вы сталкиваетесь, указанные три проблемы, вероятно, являются самыми существенными препятствиями к тому, чтобы получить необходимый вам контроль для безопасного измерения, наблюдения и управления в отношении физических сред, виртуальных сред и сред облачных вычислений.

Обеспечение работы критически важных бизнес-сервисов: лучше и быстрее

Мы считаем, что единственный способ обеспечить своевременное и экономичное предоставление сервисов — предоставить ИТ-организациям максимально возможный контроль. По мере того как организации меняются и технологии, необходимые для управления этими изменениями, становятся все более сложными, постоянные проблемы будут только углубляться.

Наша философияПродавать интеллектуальные решения, а не просто программное обеспечение

Чтобы обеспечить надежный контроль, сначала мы должны понять реальные сценарии, в которых изо дня в день работают ИТ-организации, наподобие вашей. Для нас это единственная возможность разрабатывать практичные, интеллектуальные ИТ-решения, которые обеспечат доказанные и измеримые результаты. И это гораздо более оправдано с точки зрения удовлетворенности результатами работы, чем просто продавать программное обеспечение.

Мы стремимся помочь вам быть более успешными

В своей работе мы ставим ваш успех на первое место. На всех этапах создания продукта — от начала разработки до развертывания — мы понимаем, что вам нужны хорошо работающие ИТ-решения, которые могут беспрепятственно интегрироваться с имеющимися ресурсами, постоянная поддержка и обучение после развертывания, а также люди, с которыми по-настоящему легко работать. Все это ради изменений. И наконец, ваш успех означает наш общий успех.

Наши решения Определение подлинности и управление доступом

Управление доступом

Управление безопасностью

О NetIQ Corporation 9

Управление системами и приложениями

Управление рабочей нагрузкой

Управление сервисами

Контактная информация службы поддержки продажС вопросами о продуктах, ценах и возможностях обращайтесь к местному партнеру. Если вам не удается связаться с партнером, обратитесь в службу поддержки продаж.

Контактная информация службы технической поддержкиС особыми вопросами о продукте обращайтесь в нашу службу технической поддержки.

Контактная информация службы документацииНаша цель — предоставить документацию, которая соответствует вашим потребностям. Если вы хотите поделиться своими предложениями по улучшению, перейдите по ссылке Добавить комментарий в нижней части любой HTML-страницы документации www.netiq.com/documentation. Также можно связаться с нами по электронной почте [email protected]. Мы высоко ценим ваше мнение. Ваши отзывы всегда желанны для нас.

Информация для доступа к интернет-сообществу пользователейQmunity — интерактивное сообщество NetIQ — сеть совместной работы, которая позволяет связаться с вашими коллегами и экспертами по NetIQ. В сообществе Qmunity вы можете получить информацию из первых рук, найти полезные ссылки и ресурсы, пообщаться с

Интернациональный (Worldwide):

www.netiq.com/about_netiq/officelocations.asp

США и Канада: 1-888-323-6768

Электронная почта: [email protected]

Веб-сайт: www.netiq.com

Интернациональный (Worldwide): www.netiq.com/support/contactinfo.asp

Северная и Южная Америка: 1-713-418-5555

Европа, Ближний Восток, Африка: +353 (0) 91-782 677

Электронная почта: [email protected]

Веб-сайт: www.netiq.com/support

10 О NetIQ Corporation

http://www.netiq.com/about_netiq/officelocations.asp

mailto:[email protected]

http://www.netiq.com

http://www.netiq.com/support/contactinfo.asp


http://www.netiq.com/support

http://www.netiq.com/documentation

http://www.netiq.com/documentation



экспертами по NetIQ. Таким образом, у вас есть возможность овладеть знаниями, необходимыми для реализации полного потенциала инвестиций в ИТ, на которые вы полагаетесь. Дополнительную информацию см. на веб-сайте http://community.netiq.com.

О NetIQ Corporation 11

http://community.netiq.com

1

Обзор 13

1Обзор

NetIQ iManager представляет собой веб-консоль администрирования, которая обеспечивает защищенный настраиваемый доступ к программам администрирования сети и ее содержимому практически из любого места при наличии доступа в Интернет и веб-навигатора.

Консоль iManager обеспечивает перечисленные ниже возможности.

Централизованное администрирование объектов NetIQ eDirectory, схемы, разделов и реплик

Централизованное администрирование многих других сетевых ресурсов

Управление многими другими продуктами NetIQ и Novell с помощью подключаемых модулей iManager.

Сервис административных функций (RBS) для передачи полномочий администрирования

Благодаря использованию веб-технологий консоль iManager обладает рядом преимуществ в сравнении с клиентскими средствами администрирования.

Возможность обновления программы на сервере сразу для всех администраторов.

Изменения интерфейса и функциональности iManager сразу становятся доступны всем администраторам.

Открывать дополнительные административные порты для удаленного доступа не требуется. Консоль iManager использует стандартные порты HTTP (80/443).. iManager позволяет использовать нестандартные порты HTTP.

Отсутствует необходимость загружать и обслуживать административную клиентскую программу.

Отсутствует необходимость синхронизировать клиентское ПО с изменениями серверного ПО.

2 2Доступ к iManager

Доступ к iManager и всем его функциям можно осуществлять из любого поддерживаемого веб-навигатора. Доступ к iManager можно получить и через другие веб-навигаторы, но в этом случае нельзя гарантировать поддержку всех возможностей iManager.

ЗАМЕЧАНИЕ. Для получения информации о поддерживаемых веб-навигаторах для этой версии см. руководство по установке NetIQ iManager.

Для правильной работы некоторых мастеров и справки iManager необходимо разрешить в веб-навигаторе показ всплывающих окон. Если при работе с iManager используется приложение, блокирующее появление всплывающих окон, отключите блокирование окон в приложении или явно разрешите открытие всплывающих окон на хосте iManager.

Если в веб-навигаторе заблокирован показ изображений, интерфейс iManager может исказиться и стать непригодным к использованию.

В зависимости от версии iManager (для установки на сервере или на рабочей станции), а также от платформы, на которой она запущена, доступ к ней может осуществляться по-разному. Информацию об установке iManager см. в документе Руководство по установке NetIQ iManager.

Этот раздел содержит указанные ниже темы.

"Доступ к серверной версии iManager" на стр. 15

"Доступ к версии iManager для рабочей станции" на стр. 16

"Сведения о режимах доступа" на стр. 16

"Аутентификация на сервере eDirectory с поддержкой EBA" на стр. 17

"Управление несколькими деревьями eDirectory" на стр. 18

Доступ к серверной версии iManagerЧтобы получить доступ к серверной версии iManager, выполните указанные ниже действия.

1 В поле адреса (URL) поддерживаемого веб-навигатора введите один из приведенных ниже адресов.

Чтобы получить доступ к автономной версии iManager, выполните указанные ниже действия.

Безопасный URL: https:// <IP-адрес_сервера>:8443/nps/iManager.html

ПРИМЕЧАНИЕ. В качестве веб-сервера iManager использует только Tomcat 8. Необходимо указать порт Tomcat в URL-адресе, который вводится в веб-браузер.

В примерах IP-адрес <IP-адрес сервера> может быть адресом IPv4 или IPv6. Например, при доступе к iManager URL-адрес может быть следующим:

IPv6: https://[2001:db8::6]/nps/iManager.html

Доступ к iManager 15

На некоторых платформах можно использовать адреса iManager, слегка отличающиеся от указанных, но при этом нарушается согласованность, поэтому делать это не рекомендуется.

2 Войдите в систему, указав свое имя пользователя, пароль и имя или IP-адрес дерева.

Доступ к версии iManager для рабочей станцииЧтобы получить доступ к версии iManager для рабочей станции, выполните указанные ниже действия.

1 Выполните соответствующий сценарий загрузки версии iManager для рабочей станции.

Linux: Перейдите к каталогу imanager/bin и выполните сценарий./iManager.sh.

ПРИМЕЧАНИЕ. Если в будущем планируется запускать версию iManager для рабочей станции с правами некорневого пользователя, не запускайте ее в первый раз с правами корневого пользователя.

Windows: Выполните команду imanager\bin\iManager.bat.

2 Войдите в систему, указав свое имя пользователя, пароль и имя или IP-адрес дерева.

Сведения о режимах доступаПри запуске консоли iManager пользователю на основе предоставленных ему прав назначается режим доступа. В iManager поддерживаются три режима доступа. Используемый режим отображается на главной странице iManager.

"Неограниченный доступ". Этот режим используется по умолчанию до настройки сервиса административных функций (RBS). В нем можно просматривать все установленные функции и задачи. Хотя все роли и задачи доступны для просмотра, аутентифицированный пользователь должен также иметь необходимые права для выполнения задач.

В файл config.xml можно добавить параметр, включающий режим неограниченного доступа даже при установленном сервисе административных функций. Чтобы включить режим неограниченного доступа для всех пользователей, добавьте в файл <ДОМАШНИЙ_КАТАЛОГ_TOMCAT>\webapps\nps\WEB-INF\config.xml следующий параметр и перезапустите сервер Tomcat:

<setting>

<name><![CDATA[RBS.forceUnrestricted]]></name>

<value><![CDATA[true]]></value>

</setting>

Информацию о перезапуске сервера Tomcat см. в разделе "Запуск и прекращение работы сервера Tomcat" на стр. 109.

ПРИМЕЧАНИЕ. При использовании консоли iManager в режиме неограниченного доступа на основной странице iManager обычно отображается следующее сообщение: Уведомление. Некоторые функции и задачи недоступны. Если в ответ на это нажать кнопку Просмотр информации, для некоторых задач может быть выведено сообщение Не поддерживается

16 Доступ к iManager

текущим аутентификатором, хотя эти задачи работают правильно. Это дезориентирующее сообщение, и iManager удалит его после того, как будет настроен сервис административных функций.

"Назначенный доступ" В этом режиме отображаются только те функции и задачи, которые назначены аутентифицированному пользователю. При этом используются все преимущества технологии сервиса административных функций.

"Владелец коллекции". В этом режиме отображаются все функции и задачи, установленные в коллекции. Владелец коллекции, которому не назначена ни одна роль, может использовать любые роли и выполнять любые действия в коллекции. Для использования этого режима необходимо установить сервис административных функций. При добавлении пользователя или группы пользователей к владельцам коллекции права на сервис административных функций не назначаются. Для назначения прав необходимо выполнить явное назначение административных функций или назначение опекунов.

ПРИМЕЧАНИЕ. Когда коллекция назначается группе, все члены этой группы становятся владельцами коллекции. Владелец коллекции может просматривать все функции и задачи независимо от принадлежности к функции.

Аутентификация на сервере eDirectory с поддержкой EBA

Для доступа к дереву eDirectory с поддержкой EBA из iManager с поддержкой EBA сертификат EBA CA должен находиться в хранилище доверенных сертификатов iManager. Файл .eba.p12 содержит сертификат EBA CA дерева. Для загрузки сертификата EBA CA на компьютер с iManager используйте утилиту ebaclientinit. ebaclientinit — это новая утилита командной строки, входящая в комплект программы установки iManager.

При запуске утилиты ebaclientinit она создает файл .eba.p12 для определенного пользователя и дерева. Этот файл является скрытым и находится в личном каталоге пользователя ($HOME) в Linux или в каталоге профиля пользователя (%USERPROFILE%) в Windows.

ЗАМЕЧАНИЕ. При использовании EBA необходимо, чтобы на всех серверах и клиентах EBA в среде eDirectory было синхронизировано время. Если время не синхронизировано, EBA может работать неправильно.

В следующей таблице перечислены параметры командной строки утилиты ebaclientinit.

Пример: ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524

В зависимости от платформы для запуска ebaclientinit используется один из следующих методов.

Параметры командной строки

Описание

--user-dn Отличительное имя пользователя в формате с точками.

--пароль Пароль пользователя EBA.

--адрес Адрес сервера NCP в дереве. Синтаксис: <IP-адрес >:< порт >.


Linux. В Linux iManager запускается от имени пользователя novlwww. Поэтому запускайте ebaclientinit от имени пользователя novlwww, используя следующую команду.

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

RHEL. В RHEL выполните следующую команду:

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/:/opt/novell/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

Windows. Выполните следующие действия.

1 Выполните вход в iManager от имени любого пользователя, кроме пользователя Система.

2 Запустите утилиту ebaclientinit с помощью команды C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls.

При этом файл .eba.p12 будет помещен в личный каталог пользователя.

3 Скопируйте файл .eba.p12 в папку C:\Windows\System32\config\systemprofile.

Это действие необходимо, поскольку iManager в Windows запускается от имени пользователя novlwww.

Можно также запустить утилиту ebaclientinit с помощью средства psexec от имени пользователя system.

1 Загрузите средство psexec с веб-сайта загрузок Microsoft.

2 Из командной строки перейдите в каталог, содержащий средство psexec, и выполните следующую команду.

psexec -i -s -d cmd

3 Запустите ebaclientinit, введя следующую команду в командной строке:

C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls

ПРИМЕЧАНИЕ. Если iManager не удается найти сертификат EBA CA для дерева в файле .eba.p12 или если файл .eba.p12 отсутствует, подключаемый модуль EBA в iManager выведет запрос на ввод учетных данных sadmin сервера, выполняющего функции центра сертификации EBA. Компания NetIQ не рекомендует использовать sadmin.

Управление несколькими деревьями eDirectory В iManager реализовано удобное управление несколькими деревьями eDirectory в едином интерфейсе. Интерфейс позволяет войти в дерево, к которому нужно подключиться, и переключаться между деревьями, в которые выполнен вход. После подключения к дереву iManager показывает содержимое, соответствующее дереву, такое как средства

18 Доступ к iManager

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

администрирования и задачи дерева, а также позволяет настраивать необходимые параметры. Для других параметров конфигурации используются значения по умолчанию. Одновременно можно входить в систему до 20 деревьев eDirectory.

Управление несколькими подключениями eDirectory

1 Запустите iManager.

2 Войдите в дерево eDirectory как администратор с соответствующими правами.

После успешного входа в iManager отображается значок Управление соединениями перед значком «Справка» в верхней панели интерфейса iManager.

3 Щелкните значок Управление подключениями.

В iManager на странице Управление соединениями отобразится список текущих деревьев, в которые выполнен вход. На странице Управление соединениями можно также войти в другое дерево eDirectory.

4 Чтобы перейти к другому дереву, щелкните его в списке.

5 Чтобы войти в другое дерево, выберите параметр Войти в другое дерево каталогов и укажите имя пользователя, пароль и имя или IP-адрес дерева и нажмите кнопку Войти.

Откроется основная страница iManager. Чтобы убедиться, что на странице отображаются правильные данные дерева, обратите внимание на верхнюю правую часть страницы. Там отображается имя пользователя, использованное для входа в дерево, и имя дерева.

6 Повторите шаги 3–5 для каждого дерева, для которого нужно управлять подключением.

7 Чтобы выполнить выход пользователя, вошедшего в дерево, щелкните значок выхода, который отображается рядом с соответствующим деревом на странице Управление соединениями.


3 3Использование интерфейса iManager

В данном разделе описываются принципы работы с интерфейсом NetIQ iManager.

"Интерфейс iManager" на стр. 21

"Специальные символы" на стр. 24

Интерфейс iManagerИнтерфейс iManager включает три основных области (или фрейма).

Фрейм заголовка

Фрейм навигации

Область содержимого

Рисунок 3-1 Раздел "Функции и задачи", отображаемый по умолчанию в интерфейсе iManager

ПРИМЕЧАНИЕ. При работе с консолью iManager используйте только кнопки ее интерфейса. Не используйте кнопки навигации веб-навигатора ( Назад, Вперед и т.п.).

Информацию об изменении режима просмотра, используемого по умолчанию, см. в разделе "Установка начального раздела" на стр. 97.

Фрейм заголовка

Фрейм заголовка — это преимущественно статическая область, расположенная в верхней части интерфейса iManager. Она содержит значки, предоставляющие доступ к различным разделам iManager. Раздел — это элемент, который объединяет фрейм навигации и область

Использование интерфейса iManager 21

содержимого и позволяет выполнять конкретные функции управления. Например, отображаемый по умолчанию раздел "Функции и задачи" позволяет выбрать задачу в фрейме навигации и выполнить ее в области содержимого.

Рисунок 3-2 Фрейм заголовка iManager

Фрейм заголовка iManager содержит следующие значки.

Основная страница. Данный значок позволяет отобразить в области содержимого раздел по умолчанию (см. рис. 3-1).

Выход. Выход из всех деревьев eDirectory.

Функции и задачи. Если щелкнуть этот значок, во фрейме навигации будут показаны все задачи, которые разрешено выполнять пользователю. Раздел "Функции и задачи" отображается в iManager по умолчанию. Дополнительную информацию см. в разделе Глава 5 на стр. 37: "Раздел "Функции и задачи"".

Объекты. Этот раздел позволяет выполнять просмотр и поиск объектов и включает в себя средство древовидного представления объектов, похожее на аналогичное средство в ConsoleOne. Для получения дополнительной информации см. Глава 4 на стр. 25: "Просмотр объектов".

Настройка. Этот раздел содержит окна «Сервис административных функций», «iManager Server», «Список создаваемых объектов», «Установка подключаемых модулей», «Уведомления по электронной почте» и «Разделы». Все эти окна пользователь может настроить по своему усмотрению.

Избранное. В этом разделе отображаются часто используемые задачи, выбранные на странице «Параметры» > «Избранное».

Параметры. В этом разделе настраиваются параметры, характерные для наиболее часто выполняемых задач, параметры отображения страниц «Выбор объектов» и «Просмотр объектов», вид главного окна iManager после входа в программу и язык интерфейса iManager.

Управление соединениями. В этом разделе отображаются все деревья eDirectory, в которые выполнен вход.

Справка. Этот значок предоставляет доступ к контекстной справочной информации, соответствующей данным в области содержимого.

Кроме того, в области заголовка в левой верхней части отображаются имена пользователя и дерева, в настоящий момент зарегистрированных в iManager.

Информацию об изменении раздела, отображаемого в iManager по умолчанию, см. в разделе Глава 6 на стр. 59: "Конфигурирование и настройка iManager".

Фрейм навигации

Фрейм навигации находится в левой части пользовательского интерфейса iManager. В нем отображаются задачи и функциональные возможности, доступные для раздела, выбранного в текущий момент. Например, для используемого по умолчанию раздела "Функции и задачи" отображаются все задачи, которые разрешено выполнять пользователю. Задачи группируются по категориям. Список категорий и задач зависит от установленных подключаемых модулей и прав, предоставленных пользователю iManager, прошедшему аутентификацию.

22 Использование интерфейса iManager

Рисунок 3-3 Содержимое фрейма навигации при выбранном разделе "Функции и задачи"

Порядок задач в каждой категории задается разработчиком соответствующего подключаемого модуля iManager. Задачи базовых подключаемых модулей (модулей, которые поставляются с iManager) обычно отображаются до задач других подключаемых модулей.

Область содержимого

В области содержимого отображается интерфейс для задачи или объекта, выбранного в фрейме навигации.

Рисунок 3-4 Вид области содержимого iManager по умолчанию

Если задача не выбрана, в области содержимого отображается главная страница iManager с общей информацией об имеющихся правах доступа к iManager.

Использование интерфейса iManager 23

Специальные символыВ iManager некоторые символы имеют специальное назначение и должны дополняться управляющим символом обратной косой черты (\):

NDAP (eDirectory):

Точка (.)

Знак равенства (=)

Знак плюс (+)

Обратная косая черта (\)

LDAP:

Отличительные имена (DN) и = + \ @; < >

Первый символ #

Первый и последний символы пробелов

Для LDAP можно указать любой символ в виде \xx. Дополнительные сведения см. в документе RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html).

24 Использование интерфейса iManager

http://www.faqs.org/rfcs/rfc2253.html

4 4Просмотр объектов

iManager позволяет управлять объектами каталога и осуществлять различные операции над ними. Имеется два способа выполнения операций. Первый способ заключается в том, что пользователь сначала находит и выбирает объекты, нужные ему для работы, а затем указывает задачу, которую требуется выполнить для этих объектов (сначала объект, затем задача). При втором способе пользователь выбирает задачу, которую нужно выполнить, а затем указывает объекты, для которых ее следует выполнить (сначала задача, затем объект). Эти способы эквиваленты. Используйте тот, который кажется более удобным.

Для пользователей, предпочитающих способ "сначала объект, затем задача", в iManager реализован раздел просмотра объектов, а для сторонников способа "сначала задача, затем объект" — инструмент выбора объектов. Инструмент выбора объектов часто используется в разделе "Функции и задачи". Дополнительную информацию см. в разделе Глава 5 на стр. 37: "Раздел "Функции и задачи"".

Эта глава включает указанные ниже разделы.

"Использование раздела просмотра объектов" на стр. 26

"Использование инструмента выбора объектов" на стр. 32

ПРИМЕЧАНИЕ. iManager поддерживает просмотр и выбор объектов в файловой системе с поддержкой NCP. Это позволяет осуществлять доступ к объектам файловой системы через объекты «Сервер» и «Том» в дереве каталогов.

Функции просмотра и выбора объектов файловой системы доступны и в разделе просмотра объектов, и в инструменте выбора объектов. Однако фактические задачи, доступные для объектов файловой системы, реализованы в подключаемом модуле NSS iManager, который распространяется отдельно.

Какое бы инструментальное средство ни использовалось, соблюдайте при указании имен объектов указанные ниже правила.

Если в имя eDirectory с точками входят приведенные ниже символы, перед ними следует использовать обратную косую черту (\). Для большинства значений добавлять служебные символы нет необходимости. Они нужны, только если имя представляет собой характерное или относительное характерное имя.

Точка (.)

Знак равенства (=)

Знак плюс (+)


Если в имя, указываемое при поиске, входят следующие символы, перед ними следует использовать обратную косую черту (\):

Звездочка (*)


Примеры:

Чтобы найти все объекты, содержащие точку, используйте фильтр поиска = *.*.

Просмотр объектов 25

Чтобы найти все объекты, содержащие плюс, используйте фильтр поиска = *+*.

Чтобы найти все объекты, содержащие обратную косую черту, используйте фильтр поиска = *\\*.

Использование раздела просмотра объектовРаздел просмотра объектов позволяет просматривать объекты в каталоге и выполнять их поиск. Как только объекты, нужные для работы, выбраны, можно указать задачи, которые требуется выполнить для этих объектов. Чтобы открыть раздел просмотра объектов, щелкните значок "Просмотр объектов" в фрейме заголовка.

Если выбран раздел просмотра объектов, в фрейме навигации отображаются перечисленные ниже вкладки, поддерживающие различные способы просмотра и поиска объектов в каталоге.

Вкладка "Дерево"

Вкладка "Просмотр"

Вкладка "Поиск"

Вкладка "Дерево"

Вкладка "Дерево" позволяет просматривать дерево каталога с помощью интерфейса, напоминающего интерфейс программы ConsoleOne™. Функциональность раздела "Дерево" основана на использовании элементов фрейма навигации и области содержимого.

Рисунок 4-1 Вкладка "Дерево" в разделе просмотра объектов

26 Просмотр объектов

Фрейм навигации в разделе "Дерево"

Если выбран раздел "Дерево", в фрейме навигации отображается структура каталога в привычном формате ConsoleOne. В фрейме навигации отображается контейнер, в том числе объекты "Том" файловой системы. Для развертывания и свертывания объектов-контейнеров и просмотра дерева каталогов используйте значки "плюс" и "минус".

По умолчанию в разделе "Дерево" отображаются до 100 подчиненных объектов в контейнере. Это значение можно изменить в настройках просмотра объектов.

Область содержимого в разделе "Дерево"

Если выбрать один из объектов-контейнеров в фрейме навигации, в области содержимого будут отображены все объекты в этом контейнере. Фактические операции над объектами, доступными в каталоге, выполняются с помощью области содержимого. Область содержимого включает заголовок, позволяющий выбрать одно из доступных действий.

Путь к текущему файлу. В самом верху области содержимого в разделе "Дерево" отображается путь в структуре. Это позволяет переходить от одного контейнера к другому в текущем контексте.

Строка заголовка. В строке заголовка области содержимого отображается имя объекта-контейнера, выбранного в текущий момент. Чтобы изменить свойства этого контейнера, нажмите значок с карандашом.

Заголовок списка объектов. Заголовок списка объектов предоставляет доступ к указанным ниже элементам.

Строка меню. Строка меню области содержимого предоставляет доступ к действиям, которые можно выполнять над объектами. Ниже перечислены эти действия.

Создать. Открывает раскрывающееся меню задач типа «создать».

Изменить: открывает книгу свойств для выбранных объектов, что позволяет менять их атрибуты. При выборе нескольких объектов одного типа можно установить единое значение атрибута для всех объектов.

ПРИМЕЧАНИЕ. Также можно открыть книгу свойств конечного объекта, выбрав его в списке объектов. При выборе объекта-контейнера из списка этот контейнер открывается, и отображаются все его подчиненные объекты. Для изменения атрибутов объекта-контейнера установите соответствующий флажок и выберите"Изменить".

Удалить: удаляет выбранные объекты. Чтобы выбрать изменяемый объект, установите его флажок в списке объектов.

Действия. Открывает раскрывающееся меню поддерживаемых задач, которые можно выполнить с выбранными объектами. Чтобы выполнить задачу, выберите ее в раскрывающемся меню и укажите необходимые данные.

ПРИМЕЧАНИЕ. Если настроен сервис административных функций, в меню «Действия» отображаются только задачи для ролей, назначенных текущему пользователю.

Количество объектов: справа от строки меню в режиме просмотра дерева указано количество объектов на текущей странице и общее количество объектов в выбранном контейнере.


Выбрать все: этот флажок в заголовке аналогичен такому же флажку на текущей странице объектов.

Сортировка. Непосредственно над списком «Объекты» располагаются заголовок столбца «Имя» и значок сортировки. Если щелкнуть заголовок или значок, порядок сортировки имен объектов по алфавиту изменится на противоположный.

Определить фильтр. В крайней правой части заголовка под счетчиком объектов находится значок фильтра объектов. Этот значок позволяет создать фильтр, ограничивающий количество объектов в списке объектов. Можно создавать фильтры по типу и имени объекта.

Выберите "Показать все контейнеры", чтобы отобразить все объекты-контейнеры в списке независимо от текущего фильтра.

Выберите "Расширенный фильтр", чтобы открыть диалоговое окно "Расширенный фильтр", в котором можно создать фильтр на основе почти любого атрибута объекта. Дополнительную информацию см. в разделе ""Расширенный выбор"" на стр. 39.

ПРИМЕЧАНИЕ. При активации фильтра значок фильтра становится цветным , а рядом с ним отображаются параметры фильтра. Если настроен расширенный фильтр, в iManager рядом со значком фильтра отображается значок флажка .

Список объектов. В списке объектов, который находится в области содержимого, отображаются все объекты, содержащиеся в контейнере, выбранном в фрейме навигации. По умолчанию в списке отображается 100 объектов на страницу, но это значение можно изменить в настройках просмотра объектов.

Чтобы выполнить действие над объектом, установите его флажок и выберите действие в заголовке списка объектов. Чтобы выполнить действие над текущим контейнером, выберите объект текущего уровня.

Чтобы перейти к родительскому контейнеру, выберите объект с двойной точкой.

ЗАМЕЧАНИЕ. Раздел "Дерево" не поддерживает выбор объектов, отображаемых на разных страницах списка объектов. Используйте для этого вкладку "Просмотр", доступную в разделе просмотра объектов. Дополнительную информацию см. в разделе "Вкладка "Просмотр"" на стр. 28.

Вкладка "Просмотр"

Вкладка "Просмотр", напоминающая по интерфейсу и функциональности инструмент выбора объектов, позволяет просматривать содержимое каталога. Информацию об использовании вкладки "Просмотр" см. в разделе "Использование инструмента выбора объектов" на стр. 32.


Рисунок 4-2 Вкладка "Просмотр" в режиме просмотра объектов iManager

Функциональность вкладки "Просмотр" основана на использовании только фрейма навигации. Эта вкладка включает следующие основные компоненты.

Фильтр объектов. Расположенный в верхней части фрейма навигации фильтр объектов позволяет ограничить число объектов, отображаемых в списке объектов. Для использования созданного фильтра нажмите кнопку "Применить".

ЗАМЕЧАНИЕ. Фильтр объектов на вкладке "Просмотр" применяется только к объектам каталога. Объекты файловой системы не фильтруются, даже если они отображаются на вкладке "Просмотр".

Фильтр объектов использует следующие поля.

Контекст. Это поле позволяет отобразить только те объекты, которые находятся в заданном контексте. Использование этого поля аналогично открытию контейнера в списке объектов.

"Имя". Это поле позволяет отобразить только те объекты, которые соответствуют заданному фильтру имен. Для ввода частичного имени используйте звездочку (*). Примеры: ldap*, *cert, *server*.

"Тип". Это поле позволяет отобразить только те объекты, которые имеют указанный тип.

ПРИМЕЧАНИЕ. При выборе определенного типа объектов появляется значок с плюсом [+], с помощью которого можно открыть инструмент расширенного выбора, позволяющий задать дополнительные параметры фильтра на уровне атрибутов. Дополнительную информацию см. в разделе ""Расширенный выбор"" на стр. 39.

"Загрузка" / "Сохранение". Две этих ссылки позволяют соответственно загрузить созданное ранее определение фильтра и сохранить текущий фильтр для повторного использования в будущем.


"Выбор нескольких" / "Выбор одного". Эта ссылка, расположенная справа над списком объектов, позволяет переключаться между режимами выбора одного или нескольких объектов, для которых требуется выполнить ту или иную задачу. По умолчанию используется режим выбора одного объекта. Дополнительную информацию см. в разделе "Выбор и фильтрация объектов" на стр. 37.

Список объектов. В списке объектов отображаются объекты каталога в соответствии с критериями, заданными в фильтре объектов. По умолчанию в списке отображается 100 объектов на страницу, но это значение можно изменить в настройках просмотра объектов. Для перехода между страницами объектов используйте кнопки Назад и Далее. Перемещаться между объектами в списке объектов можно описанными ниже способами.

Щелкните значок со стрелкой вниз, расположенный рядом с объектом-контейнером, чтобы открыть этот контейнер и просмотреть его объекты в списке объектов.

Щелкните значок со стрелкой вверх, расположенный в верхней части списка объектов, чтобы просмотреть содержимое контейнера, родительского по отношению к текущему контейнеру. При этом будет выполнен переход на один уровень вверх в дереве каталогов.

Выберите объект (контейнер или конечный объект), чтобы открыть окно с задачами, доступными для объектов этого типа. При выборе задачи ее пользовательский интерфейс отображается в области содержимого.

Вкладка "Поиск"

Вкладка "Поиск" похожа на вкладку "Просмотр", но вместо отображения структуры дерева в фрейме навигации на этой вкладке отображаются только те объекты, которые были найдены при выполнении поиска с заданными критериями.


Рисунок 4-3 Вкладка "Поиск" в разделе просмотра объектов

Функциональность вкладки "Поиск" основана на использовании только фрейма навигации. Основные компоненты этой вкладки перечислены ниже.

Инструмент поиска объектов. Расположенный в верхней части фрейма навигации инструмент поиска объектов позволяет определить критерии поиска. Чтобы начать поиск с использованием заданных критериев, нажмите кнопку "Поиск".

ЗАМЕЧАНИЕ. Фильтр объектов на вкладке "Поиск" применяется только к объектам каталога. Объекты файловой системы не фильтруются, даже если они отображаются на вкладке "Поиск".

Для определения критериев поиска используются перечисленные ниже поля.

Контекст. Определяет начальный контейнер для операции поиска. Если нужно, чтобы поиск был выполнен и в подчиненных контейнерах, установите флажок Поиск в подчиненных контейнерах.

Имя. Определяет фильтр имен объектов для текущей операции поиска. Для ввода частичного имени используйте звездочку (*). Примеры: ldap*, *cert, *server*.


Тип. Определяет фильтр типов объектов для текущей операции поиска. iManager отображает только те объекты, которые имеют указанный тип.

ПРИМЕЧАНИЕ. При выборе конкретного типа объектов появляется значок с плюсом [+], с помощью которого можно открыть инструмент расширенного выбора, позволяющий задать дополнительные параметры фильтра на уровне атрибутов. Дополнительную информацию см. в разделе ""Расширенный выбор"" на стр. 39.

"Загрузка" / "Сохранить". Эти ссылки позволяют загружать созданное ранее определение операции поиска и сохранять текущее определение для повторного использования в будущем.

"Выбор нескольких" / "Выбор одного". Эта ссылка, расположенная справа над списком результатов поиска, позволяет переключаться между режимами выбора одного или нескольких объектов, для которых требуется выполнить ту или иную задачу. По умолчанию используется режим выбора одного объекта. Дополнительную информацию см. в разделе "Выбор и фильтрация объектов" на стр. 37.

Список результатов. В этом списке отображаются результаты операции поиска. По умолчанию в списке отображается 100 объектов на страницу, но это значение можно изменить в настройках просмотра объектов. Для перехода между страницами результатов используйте кнопки Назад и Далее. Выберите объект (контейнер или конечный объект), чтобы открыть окно с задачами, доступными для объектов этого типа. При выборе задачи ее пользовательский интерфейс отображается в области содержимого.

ПРИМЕЧАНИЕ. Вкладка "Поиск" не позволяет осуществлять манипуляции с объектами в списке результатов (например, открывать объекты-контейнеры). Используйте для этого вкладку "Дерево" или "Просмотр".

Использование инструмента выбора объектовИнструмент выбора объектов позволяет пользователю выбирать объекты, с которыми он хочет работать в текущей задаче. Этот инструмент доступен всегда, когда пользователь выбирает задачу или действие до указания объектов, для которых необходимо выполнить задачу или действие.

Для доступа к инструменту выбора объектов щелкните значок с увеличительным стеклом в области содержимого. Окно инструмента выбора объектов открывается поверх окна iManager.


Рисунок 4-4 Инструмент выбора объектов в iManager

Инструмент выбора объектов содержит две вкладки, позволяющие выбирать целевые объекты для задач, которые требуется выполнить.

""Просмотр"" на стр. 33

""Поиск"" на стр. 34

"Просмотр"

Отображаемая по умолчанию вкладка "Просмотр" позволяет искать нужные объекты в дереве каталога. Ниже перечислены ее основные компоненты.

Фильтр объектов. Расположенный в левой части инструмента выбора объектов фильтр объектов позволяет ограничить число объектов, отображаемых в списке содержимого. Как только фильтр определен, им можно воспользоваться, нажав кнопку "Применить". Ниже перечислены используемые в фильтре объектов поля.

Искать в. Это поле позволяет отобразить только те объекты, которые находятся в заданном контексте. Использование этого поля аналогично открытию контейнера в списке содержимого.

Поиск объектов с именами. Это поле позволяет отобразить только те объекты, которые соответствуют заданному фильтру имен. Для ввода частичного имени используйте звездочку (*). Примеры: ldap*, *cert, *server*.


Расширенный просмотр. Если щелкнуть эту ссылку, будет запущен инструмент расширенного выбора, позволяющий задать дополнительные параметры фильтра на уровне атрибутов. Дополнительную информацию см. в разделе ""Расширенный выбор"" на стр. 39.

"Загрузить критерии" / "Сохранить критерии". Эти ссылки позволяют загружать созданное ранее определение фильтра и сохранять текущий фильтр для повторного использования в будущем.

Список содержимого. В этом списке отображаются объекты каталога в соответствии с критериями, заданными в фильтре объектов. По умолчанию в списке объектов на странице отображается 100 объектов, но это число можно изменить. Для перехода между страницами объектов используйте кнопки Назад и Далее. Перемещаться между объектами в списке содержимого можно описанными ниже способами.

Щелкните значок со стрелкой вниз, расположенный рядом с объектом-контейнером, чтобы открыть этот контейнер и просмотреть его объекты в списке содержимого.

Щелкните значок со стрелкой вверх, расположенный в верхней части списка объектов, чтобы просмотреть содержимое контейнера, родительского по отношению к текущему контейнеру. При этом будет выполнен переход на один уровень вверх в дереве каталогов.

При выборе объекта он определяется в iManager как объект, для которого пользователь хочет выполнить текущую задачу.

Выбранные объекты. Этот компонент отображается только при выборе нескольких объектов для текущей задачи. В поле "Выбранные объекты" указываются объекты, выбранные для задачи в текущий момент. После заполнения списка нажмите кнопку ОК. Если нужно очистить список выбранных объектов и начать его заполнение заново, нажмите кнопку "Очистить все".

Дополнительные сведения о выборе одного или нескольких объектов для задачи см. в разделе "Выбор и фильтрация объектов" на стр. 37.

"Поиск"

Вкладка "Поиск" позволяет определить операцию поиска, которую требуется выполнить для дерева каталогов, и просмотреть результаты поиска. Ниже перечислены ее основные компоненты.

Поиск объектов. Расположенный в левой части средства выбора объектов инструмент поиска объектов позволяет определить критерии поиска. Как только критерии определены, можно выполнить операцию поиска, нажав кнопку "Поиск". Определить операцию поиска можно с помощью перечисленных ниже полей.

"Начать поиск в". Это поле определяет начальный контейнер для операции поиска. Если нужно, чтобы поиск был выполнен и в подчиненных контейнерах, установите флажок Поиск в подчиненных контейнерах.

"Поиск объектов с именами". Это поле определяет фильтр имен объектов для текущей операции поиска. Для ввода частичного имени используйте звездочку (*). Примеры: ldap*, *cert, *server*.


Расширенный просмотр. Если щелкнуть эту ссылку, будет запущен инструмент расширенного выбора, позволяющий задать дополнительные параметры поиска на уровне атрибутов. Дополнительную информацию см. в разделе ""Расширенный выбор"" на стр. 39.

"Загрузить критерии" / "Сохранить критерии". Эти ссылки позволяют загружать созданное ранее определение операции поиска и сохранять текущий фильтр для повторного использования в будущем.

"Выбор нескольких" / "Выбор одного". Эта ссылка, расположенная справа над списком результатов поиска, позволяет переключаться между режимами выбора одного или нескольких объектов, для которых требуется выполнить ту или иную задачу. По умолчанию используется режим выбора одного объекта. Дополнительную информацию см. в разделе "Выбор и фильтрация объектов" на стр. 37.

Список результатов. В этом списке отображаются результаты операции поиска. По умолчанию в списке результатов на странице отображается 100 объектов, но это число можно изменить. Для перехода между страницами результатов используйте кнопки Назад и Далее.

ПРИМЕЧАНИЕ. Вкладка "Поиск" не позволяет осуществлять манипуляции с объектами в списке результатов (например, открывать объекты-контейнеры). Используйте для этого вкладку "Просмотр" в инструменте выбора объектов.

"Выбранные объекты". Этот компонент отображается только при выборе нескольких объектов для текущей задачи. В поле "Выбранные объекты" указываются объекты, выбранные для задачи в текущий момент. После заполнения списка нажмите кнопку ОК. Если нужно очистить список выбранных объектов и начать его заполнение заново, нажмите кнопку "Очистить все".

Дополнительные сведения о выборе одного или нескольких объектов для задачи см. в разделе "Выбор и фильтрация объектов" на стр. 37.


5 5Раздел "Функции и задачи"

Если выбрать в области заголовка раздел «Функции и задачи», в области навигации отобразятся все доступные роли и задачи iManager. iManager группирует родственные функции и задачи по категориям. Пользователи могут создавать собственные группы категорий и назначать им функции и задачи. Дополнительную информацию см. в разделе "Вкладка "Категория"" на стр. 70.

Этот раздел содержит указанные ниже темы.

"Основы работы с разделом "Функции и задачи"" на стр. 37

"Администрирование каталога" на стр. 41

"Группы" на стр. 43

"Служба поддержки" на стр. 45

"Разделы и реплики" на стр. 46

"Права" на стр. 49

"Схема" на стр. 51

"Пользователи" на стр. 54

В первом разделе этой главы приведены базовые сведения об использовании раздела "Функции и задачи". В последующих разделах подробно описаны задачи, доступные в базовом наборе функций и задач iManager. Информацию о функциях и задачах, реализованных в том или ином подключаемом модуле, см. в прилагаемой к нему документации.

Для просмотра задач, используемых чаще всего, можно также настроить раздел "Избранное". Дополнительную информацию см. в разделе "Управление избранным" на стр. 95.

Основы работы с разделом "Функции и задачи"Выполнение задач iManager — простой процесс, включающий перечисленные ниже общие действия.

1 (Фрейм навигации) Откройте категорию, содержащую нужную задачу.

2 (Фрейм навигации) Выберите нужную задачу в списке задач, доступных в данной категории.

3 (Область содержимого) Введите информацию, необходимую для выполнения задачи. Если нужно, укажите объекты, для которых должна быть выполнена задача.

Информацию о выборе объектов, для которых должна быть выполнена задача, см. в разделе "Выбор и фильтрация объектов" на стр. 37.

4 (Область содержимого) Нажмите кнопку ОК, чтобы выполнить задачу.

Выбор и фильтрация объектов

Если задача (например, изменение пользователя) может быть выполнена сразу для нескольких объектов, iManager отображает в области содержимого варианты выбора объектов.

Раздел "Функции и задачи" 37

Рисунок 5-1 Варианты выбора объектов в задаче

"Выбор одного объекта"

Этот способ выбора объектов используется по умолчанию. Он позволяет указать один объект, для которого должна быть выполнена задача. Если поиск объекта осуществляется с помощью инструмента выбора объектов, при выборе объекта этот инструмент автоматически закрывается, а выбранный объект вставляется в поле имени объекта, доступное в задаче. Дополнительные сведения об инструменте выбора объектов см. в разделе "Использование инструмента выбора объектов" на стр. 32.

"Выбор нескольких объектов"

Если используется этот способ выбора объектов, поле имени объекта, доступное в задаче, изменяется так, что в нем могут быть указаны несколько объектов. Инструмент выбора объектов при этом также запускается в режиме выбора нескольких объектов, позволяя выбрать несколько объектов за раз. Дополнительные сведения об инструменте выбора объектов см. в разделе "Использование инструмента выбора объектов" на стр. 32.

"Простой выбор"

Если используется этот способ выбора объектов, в области содержимого открывается простой инструмент поиска, позволяющий выполнять поиск объектов в дереве каталога на основе указанного значения свойства.

Рисунок 5-2 Простой фильтр объектов в задаче

Список attribute содержит список атрибутов, для которых можно выполнить операции поиска.

Список оператор содержит список операторов, которые можно использовать при поиске.

Если необходимо отсортировать объекты в результатах поиска, установите флажок Сортировка результирующих объектов.

Простой выбор имеет следующие ограничения.

Поиск выполняется во всем дереве каталога.

В критериях поиска нельзя использовать универсальные символы.

При указании значений свойств можно использовать только фильтры "начинается с" и "равно".

38 Раздел "Функции и задачи"

"Расширенный выбор"

Этот способ выбора объектов предоставляет доступ к среде поиска объектов в каталоге, поддерживающей более широкие возможности настройки.

Способ расширенного выбора предоставляет более точный контроль над фильтром объектов, используемым при поиске. Настроить параметры расширенного выбора можно с помощью указанных ниже полей.

"Тип объекта". Это поле определяет базовый класс искомых объектов. например "Пользователь".

"Контейнер". Это поле определяет контейнер, с которого будет начат поиск. Если нужно, чтобы поиск был выполнен и в подчиненных контейнерах, установите флажок Включить подконтейнеры.

"Фильтр". Этот элемент определяет фильтр, который будет использован при поиске. Чтобы открыть отдельное окно, позволяющее определить фильтр, щелкните значок «Фильтр» . После определения фильтра нажмите кнопку ОК.

Интерфейс фильтра включает следующие поля.

"Дополнительные классы". Это поле позволяет указать дополнительный класс, который требуется включить в поиск.

"Атрибут". Это поле позволяет указать атрибут (свойство), который нужно использовать в фильтре.

"Оператор". Это поле позволяет указать логический оператор, который нужно применить к фильтру. Имеются следующие варианты.

"Значение". Определяет значение атрибута, используемое в качестве фильтра. Для указания части значения можно использовать звездочку (*). Примеры: smi*, *th, *mit*.

Кроме того, фильтры атрибутов можно объединить в группу фильтров, используя для добавления атрибутов в список значок с плюсом. При использовании нескольких фильтров атрибутов их можно связывать с помощью операций "логическое И" и "логическое ИЛИ".

После определения фильтра нажмите кнопку Предварительный просмотр, затем — кнопку OK. Появится экран «Изменение объекта». На этом экране отображаются атрибуты, заданные для объектов в контейнере. Перечислены также общие значения атрибутов. Например, на Рисунок 5-3 атрибуты «Имя», «Фамилия» и «Полное имя» имеют общие значения для всех объектов в указанном контейнере. Пустые поля атрибутов показывают, что эти атрибуты не имеют общих значений для всех объектов Можно добавить значения для этих атрибутов.


Рисунок 5-3 Экран «Изменение объекта»

С атрибутами можно выполнить следующие действия, приводящие к обновлению всех объектов в контейнере.

Игнорировать: используется для того, чтобы не применять изменения к объектам.

Заменить: используется для замены существующего значения атрибута в списке. Для замены дважды щелкните значение, внесите изменения и нажмите клавишу Enter. Затем нажмите Заменить.

Добавление: добавление значений к атрибуту. К атрибуту можно добавить несколько значений. Например, для всех объектов может использоваться несколько значений имени.

Удалить: удаление значений атрибута. Для удаления значений атрибута выполните следующие действия.

1 Если атрибут имеет несколько значений, необходимо сначала скрыть значения, которые не нужно удалять, используя клавишу Delete. Это необходимо, так как команда Удалить удаляет все отображаемые в списке значения. Поэтому сначала необходимо скрыть значения, которые удалять не нужно.

В списке атрибутов отображаются только значения, которые нужно удалить.

2 В раскрывающемся списке выберите команду Удалить.

Указанные значения будут удалены, а скрытые значения будут перечислены в списке.


Администрирование каталогаАдминистрирование каталога включает в себя управление объектами в дереве каталога. Объекты можно создавать, изменять и упорядочивать.

"Копирование объекта" на стр. 41

"Создание объекта" на стр. 42

"Удаление объекта" на стр. 42

"Изменение объекта" на стр. 42

"Перемещение объекта" на стр. 42

"Переименование объекта" на стр. 43

Дополнительную информацию об объектах eDirectory см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Копирование объекта

Новый объект можно создать (за основу берется существующий объект со своими атрибутами) или получить копированием значений атрибутов из одного объекта в другой.

1 В разделе "Функции и задачи" выберите команду Администрирование каталога > Копирование объекта.

2 В поле Исходный объект для копирования введите имя и контекст объекта или найдите его с помощью инструмента выбора объектов.

3 Выберите один из следующих параметров:

Создание нового объекта и копирование значений атрибутов

Копирование значений атрибутов в существующий объект

Атрибуты, чей класс не расширен копируемым объектом, не копируются.

4 Если в объект необходимо скопировать права из списка управления доступом (ACL), задайте параметр "Копирование прав из списков управления доступом".

Выполнение этого действия может занять некоторое время, зависящее от характеристик системы и сетевого окружения.

ПРИМЕЧАНИЕ. При копировании объекта следующие атрибуты не копируются:

ACL (если не выбран параметр "Копирование прав из списков управления доступом")

CN (общее имя)

DirXML-ассоциации

Эквивалент меня

Членство в группе

Член

Эквиваленты по правам

Любые атрибуты именования

Любые атрибуты, доступные только для чтения

Любые атрибуты сервиса административных функций


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html


Создание объекта

1 В разделе "Функции и задачи" выберите команду Администрирование каталога > Создание объекта.

2 Выберите в появившемся списке класс объекта и нажмите кнопку ОК.

3 Введите запрашиваемую информацию, соответствующую выбранному классу объекта, и нажмите кнопку ОК.

Если используется веб-навигатор Firefox, щелкните символ «+», чтобы добавить эту информацию, а не вводить ее непосредственно в поле.

4 Когда появится подтверждение, нажмите кнопку ОК, Повторить задачу или Изменить.

Удаление объекта

1 В разделе "Функции и задачи" выберите команду Администрирование каталога > Удаление объекта.

2 Введите имя и контекст объекта или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

Появится сообщение, подтверждающее удаление объекта.

Изменение объекта

1 В разделе "Функции и задачи" выберите команду Администрирование каталога > Изменение объекта.

2 Введите имя и контекст объекта или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

На странице изменения объекта будут отображены страницы с атрибутами выбранного объекта.

3 Измените объект в соответствии с требованиями и нажмите кнопку ОК.

Если используется веб-навигатор Firefox, щелкните символ «+», чтобы добавить эту информацию, а не вводить ее непосредственно в поле.

Перемещение объекта

1 В разделе "Функции и задачи" выберите команду Администрирование каталога > Перемещение объекта.

Введите имя и контекст объекта или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

2 В поле Переместить в выберите контейнер, в который нужно переместить объект.

3 Если для каждого перемещаемого объекта необходимо создавать псевдоним на его прежнем месте, установите флажок Создание псевдонима на месте перемещенного объекта.

4 Нажмите кнопку ОК.

Появится сообщение, подтверждающее перемещение объекта.


Переименование объекта

1 В разделе "Функции и задачи" выберите командуАдминистрирование каталога > Переименование объекта.

2 Введите имя и контекст объекта или найдите его с помощью функции поиска.

Введите только имя нового объекта (без контекста).

3 Если необходимо сохранить старое имя объекта, установите соответствующий флажок.

При этом старое имя будет сохранено как дополнительное неофициальное значение свойства "Имя". Сохранение старого имени позволяет выполнять поиск объекта по этому имени. После переименования объекта его старое имя можно просмотреть в поле Другое имя на вкладке Общие (страница "Идентификация") для данного объекта.

4 Если необходимо создать псевдоним для именуемого объекта, установите флажок Создать псевдоним на месте переименованного объекта.

Это позволит выполнять все операции, зависящие от старого имени объекта, до тех пор, пока операции не будут обновлены в соответствии с новым именем объекта.


Появится сообщение, подтверждающее переименование объекта.

ГруппыЛюбой пользователь, создающий группу, автоматически становится владельцем этой группы. Над группами можно выполнять указанные ниже операции.

"Создание группы" на стр. 43

"Удаление группы" на стр. 44

"Изменение группы" на стр. 44

"Изменение членов группы" на стр. 44

""Перемещение группы"" на стр. 45

""Переименование группы"" на стр. 45

"Просмотр моих групп" на стр. 45

Дополнительную информацию об использовании и настройке объектов «Группа» см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Создание группы

1 В разделе "Функции и задачи" выберите команду Группы > Создание группы.

2 На странице создания группы укажите необходимую информацию и нажмите кнопку ОК.

Чтобы сделать новую группу динамической (класс dynamicGroup), задайте параметр Динамическая группа. В противном случае будет создана статическая группа (класс Group).

Чтобы создатель объекта "Группа" стал владельцем группы, установите флажок Сделать владельцем. Атрибуту "Владелец" группы при этом назначается характерное имя пользователя, зарегистрированного в iManager. Чтобы атрибут "Владелец" остался не определен, снимите флажок Сделать владельцем.




Чтобы сделать новую группу вложенной (класс nestedGroupAux), задайте параметр Вложенная группа.

ПРИМЕЧАНИЕ. Статическую группу можно позднее преобразовать в динамическую с помощью команды Изменение группы. При этом выбранный объект "Группа" расширяется до объекта класса dynamicGroupAux.

Группа может быть вложенной или динамической. Нельзя создать группу, которая является одновременно вложенной и динамической.

Статическую группу можно позднее преобразовать во вложенную с помощью функции Изменение группы. При этом выбранный объект группы станет принадлежать к классу nestedGroupAux.

Удаление группы

1 В разделе "Функции и задачи" выберите команду Группы > Удаление группы.

2 На странице удаления группы укажите имя объекта "Группа", который нужно удалить, или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

Для указания объекта, который требуется удалить, на странице удаления группы можно воспользоваться способом выбора одного или нескольких объектов или способом расширенного выбора.

Изменение группы

1 В разделе "Функции и задачи" выберите команду Группы > Изменение группы.

2 На странице изменения группы укажите имя нужного объекта "Группа" или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

3 Измените атрибуты группы в соответствии с требованиями и нажмите кнопку ОК.

ПРИМЕЧАНИЕ. Если статическая группа преобразуется в динамическую и используется сервис административных функций, необходимо включить поддержку класса dynamicGroupAux. Выберите для этого пункт Настройка > Сервер iManager > Настройка iManager > RBS > Тип поиска динамических групп. Выберите в раскрывающемся меню пункт DynamicGroupObjects&AuxClasses и нажмите кнопку Сохранить.

Невозможно преобразовать динамическую группу во вложенную и наоборот.

Изменение членов группы

Эта задача позволяет вносить одинаковые изменения в атрибуты всех объектов, являющихся членами указанной группы.

1 В разделе "Функции и задачи" выберите команду Группы > Изменение членов группы.

2 На странице изменения членов группы укажите имя нужного объекта "Группа" или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

3 Измените атрибуты члена группы в соответствии с требованиями и нажмите кнопку ОК.


"Перемещение группы"

Эта ссылка указывает на задачу перемещения объекта. Дополнительную информацию см. в разделе "Перемещение объекта" на стр. 42.

"Переименование группы"

Эта задача аналогична задаче переименования объекта. Дополнительную информацию см. в разделе "Переименование объекта" на стр. 43.

Просмотр моих групп

На этой странице отображаются группы, владельцем которых является пользователь. Здесь можно создать группу, а также изменить или удалить существующую группу.

Служба поддержкиСлужба поддержки предоставляет доступ к ограниченному числу задач, имеющих отношение к пользователям. Пользователь, владеющий этой функцией, может выполнять указанные ниже действия.

""Сброс блокировки"" на стр. 45

"Создание пользователя" на стр. 45

"Установка пароля" на стр. 46

Дополнительную информацию об объектах «Пользователь» см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

"Сброс блокировки"

Пользователь может быть заблокирован за неоднократный ввод неверного пароля или за попытку зарегистрироваться с просроченным паролем.

1 В разделе "Функции и задачи" выберите команду Служба поддержки > Сброс блокировки.

2 На странице сброса блокировки укажите имя объекта "Пользователь" или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

Создание пользователя

Чтобы создать объект "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Служба поддержки > Создание объекта "Пользователь".

Введите необходимую информацию о пользователе, как описано в разделе "Создание пользователя" на стр. 55




Установка пароля

1 В разделе "Функции и задачи" выберите команду Служба поддержки > Установка пароля.

2 На странице «Установка пароля» укажите имя объекта «Пользователь». Используйте раздел «Выбор объектов» для перехода к объекту «Пользователь» или используйте средство «Простой выбор», чтобы найти этот объект.

3 Введите (дважды) новый пароль для выбранного объекта «Пользователь» и нажмите кнопку ОК.

Задайте параметр Установка простого пароля, чтобы определить простой пароль, необходимый для регистрации пользователей Windows* и Macintosh* в сервисе Native File Access. Если используется функция универсального пароля, простой пароль не требуется.

Разделы и репликиОперации над разделами и репликами позволяют управлять физической структурой eDirectory и распространением eDirectory на серверах каталогов. В их число входят следующие задачи.

"Создание раздела" на стр. 46

"Объединение разделов" на стр. 47

""Перемещение раздела"" на стр. 47

"Просмотр информации о реплике" на стр. 48

"Просмотр информации о разделе" на стр. 48

"Использование мастера фильтрованных реплик" на стр. 48

Дополнительную информацию о разделах и репликах см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Создание раздела

Разделы определяют логическое деление дерева eDirectory. Например, если выбран объект "Подразделение" и необходимо создать на его основе новый раздел, нужно отделить этот объект и все подчиненные ему объекты от его родительского раздела. Выбранный объект "Подразделение" становится корнем нового раздела. Реплики нового раздела находятся на тех же серверах, что и реплики родительского раздела, а объекты нового раздела принадлежат корневому объекту нового раздела.

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Создание раздела.

2 На странице создания раздела укажите контейнер, который будет использоваться в качестве корня нового раздела, или найдите нужный контейнер с помощью инструмента выбора объектов и нажмите кнопку ОК.

Появится сообщение, подтверждающее создание раздела.




Объединение разделов

При выполнении этой задачи раздел объединяется с родительским разделом. Задачи создания и объединения разделов позволяют определить логическое деление каталога.

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Объединение разделов.

2 На странице объединения разделов укажите раздел, который нужно объединить с родительским разделом, или найдите нужный раздел с помощью инструмента выбора объектов и нажмите кнопку ОК.

Чтобы указать раздел, укажите объект-контейнер, являющийся корнем раздела.

Появится сообщение, подтверждающее создание раздела.

"Перемещение раздела"

Задача перемещения раздела позволяет переносить поддерево в дереве каталога. Эту задачу еще называют операцией удаления и пересадки. Перемещать можно только те разделы, которые не имеют подчиненных разделов. Если подчиненные разделы есть, перед перемещением раздела их необходимо объединить.

При перемещении раздела eDirectory изменяет все ссылки на корневой объект раздела. Хотя общее имя объекта остается неизменным, полное имя контейнера (и всех содержащихся в нем подчиненных объектов) изменяется.

ПРИМЕЧАНИЕ. При перемещении раздела необходимо соблюдать правила контейнирования eDirectory. Например, переместить объект "Подразделение" непосредственно в корень текущего дерева нельзя, поскольку правила контейнирования корня допускают перемещение туда лишь объектов "Местонахождение", "Страна" или "Организация", но не "Подразделение".

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Перемещение раздела.

2 На странице перемещения раздела укажите необходимую информацию и нажмите кнопку ОК.

Укажите раздел, который нужно переместить, в поле Имя объекта или найдите его с помощью инструмента выбора объектов.

Поле Переместить в позволяет указать объект-контейнер, в который будет перемещен указанный раздел.

Если задать параметр "Создание псевдонима на месте перемещенного объекта", будет создан указатель на новое расположение раздела. Это позволит выполнять все операции, зависящие от старого расположения, до тех пор, пока операции не будут обновлены в соответствии с новым расположением. Благодаря этому пользователи смогут по-прежнему регистрироваться в сети и находить объекты в старом расположении каталога.

ПРЕДУПРЕЖДЕНИЕ. Перед перемещением раздела убедитесь в правильности синхронизации дерева каталога. Не выполняйте перемещение, если при синхронизации перемещаемого или целевого разделов возникли какие-либо ошибки. Сначала исправьте ошибки синхронизации. Если после перемещения раздела Вы не хотите, чтобы он оставался разделом, объедините его с родительским разделом.


Просмотр информации о реплике

Просмотр информации о реплике позволяет выяснить ее текущее состояние. Реплика eDirectory может иметь различные состояния в зависимости от того, какие операции тиражирования или операции с разделом выполняются.

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Просмотр реплик.

2 На странице просмотра реплик укажите раздел или сервер, таблицу реплик которого нужно просмотреть, и нажмите кнопку ОК.

В появившейся таблице будут приведены данные о реплике: раздел, тип, фильтр и состояние. Дополнительную информацию о состояниях реплик см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Просмотр информации о разделе

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Просмотр информации о разделе.

2 На странице информации о разделе укажите раздел, информацию о котором нужно просмотреть, и нажмите кнопку ОК.

Чтобы указать раздел, укажите объект-контейнер, являющийся корнем раздела.

Использование мастера фильтрованных реплик

Фильтрованные реплики содержат отфильтрованное подмножество данных из раздела eDirectory (объекты или классы объектов вместе с отфильтрованным набором атрибутов и значений этих объектов). Мастер фильтрованных реплик позволяет осуществить настройку фильтрованных реплик на выбранном сервере.

1 В разделе "Функции и задачи" выберите команду Разделы и реплики > Мастер фильтрованных реплик.

2 Укажите имя и контекст сервера, на котором требуется настроить фильтрованную реплику, или найдите его с помощью инструмента выбора объектов и нажмите кнопку Далее.

3 Нажмите кнопку "Определить набор фильтров", задайте классы и атрибуты набора фильтров, установленного на выбранном сервере, и нажмите кнопку Далее.

Фильтр тиражирования содержит набор классов и атрибутов eDirectory, которые можно разместить в наборе фильтрованных реплик данного сервера.

4 Нажмите кнопку Готово.

Дополнительную информацию о фильтрованных репликах см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).







ПраваЗдесь понятие "права" относится к правам опекунов и опекунам eDirectory. Сразу после создания дерева общий доступ к сети и ее защита определяются назначениями прав по умолчанию. В iManager можно выполнять перечисленные ниже задачи, имеющие отношение к правам.

"Изменение фильтра наследуемых прав" на стр. 49

"Изменение прав опекунов" на стр. 49

"Права на другие объекты" на стр. 50

"Просмотр действующих прав" на стр. 50

Дополнительную информацию о правах в eDirectory см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Изменение фильтра наследуемых прав

И eDirectory, и файловая система NetWare поддерживают фильтр наследуемых прав, позволяющий блокировать наследование прав для отдельных подчиненных элементов. Исключение составляет только право "Супервизор", которое нельзя заблокировать в файловой системе NetWare.

Дополнительную информацию о фильтрах наследуемых прав см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

1 В разделе "Функции и задачи" выберите команду Права > Изменение фильтра наследуемых прав.

2 Укажите полное имя объекта, для которого требуется изменить фильтр наследуемых прав, или найдите объект с помощью инструмента выбора объектов и нажмите кнопку ОК.

Будет показан список фильтров наследуемых прав, которые уже определены для данного объекта.

3 На странице свойств измените список фильтров наследуемых прав в соответствии с требованиями и нажмите кнопку ОК.

Для редактирования этого списка необходимо иметь право "Супервизор" или "Управление доступом" на свойство ACL данного объекта. Вы можете определить фильтры, которые будут блокировать наследуемые права в целом, права на все свойства объекта, а также на отдельные свойства.

Изменение прав опекунов

Опекун — это объект, которому явно предоставлены права на выполнение операций над другим объектом в дереве каталога. Чтобы изменить список опекунов для конкретного объекта, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Права > Изменение опекунов.

2 Укажите имя объекта, список опекунов которого нужно просмотреть, или найдите нужный объект с помощью инструмента выбора объектов и нажмите кнопку ОК.

Будет показан список опекунов, назначенных объекту в настоящее время.






3 Измените список опекунов в соответствии с требованиями и нажмите кнопку ОК.

Чтобы добавить опекуна, выполните команду Добавить опекуна.

Чтобы удалить опекуна, установите его флажок и выполните команду Удалить выбранный объект.

Чтобы изменить для опекуна назначения прав, щелкните ссылку Назначенные права.

Права на другие объекты

Эта задача позволяет просматривать и изменять список объектов, для которых конкретный объект является опекуном.

1 В разделе "Функции и задачи" выберите команду Права > Права на другие объекты.

2 На странице прав на другие объекты укажите необходимую информацию и нажмите кнопку ОК.

Введите имя объекта в поле Имя опекуна.

В поле Контекст для поиска укажите контекст, в котором необходимо выполнить поиск объектов, для которых данный объект является опекуном.

Чтобы поиск был выполнен во всех контейнерах в указанном контексте, задайте параметр Поиск во всем поддереве.

3 Измените список объектов в соответствии с требованиями и нажмите кнопку ОК.

Чтобы добавить явные права на другой объект, выполните команду Добавить объект.

Чтобы удалить явные права на объект, установите его флажок и выполните команду Удалить выбранный объект.

Чтобы изменить явные права, предоставленные объекту, щелкните ссылку Назначенные права, соответствующую этому объекту.

Просмотр действующих прав

Действующие права объединяют явные и наследуемые права, которыми объект обладает в той или иной точке дерева каталогов. Чтобы просмотреть действующие права объекта на другой объект, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Права > Просмотр действующих прав.

2 Укажите имя объекта-опекуна, права которого нужно просмотреть, или найдите этот объект с помощью инструмента выбора объектов и нажмите кнопку ОК.

3 В поле "Имя объекта" укажите имя объекта, для которого нужно рассчитать действующие права опекуна.

Действующие права будут рассчитаны и отображены в поле Действующие права.

4 По завершении нажмите кнопку Готово.


СхемаСхема каталога определяет, какие типы объектов могут быть созданы в дереве (например, пользователи, принтеры и группы), а также какая информация является обязательной или необязательной при создании объекта. В iManager можно выполнять следующие задачи, имеющие отношение к схемам.

"Добавление атрибута" на стр. 51

"Просмотр информации об атрибуте" на стр. 52

"Просмотр информации о классе" на стр. 52

"Создание атрибута" на стр. 52

"Создание класса" на стр. 53

"Удаление атрибута" на стр. 53

"Удаление класса" на стр. 53

"Расширение схемы" на стр. 53

"Расширение объекта" на стр. 53

Дополнительную информацию о схеме eDirectory см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Добавление атрибута

К существующим классам можно добавить дополнительные атрибуты, если необходимо изменить информацию об организации или подготовиться к объединению деревьев. Чтобы добавить атрибут к существующему классу, выполните указанные ниже действия.

ПРИМЕЧАНИЕ. Обязательные атрибуты можно определить только при создании класса. Обязательным атрибутом является атрибут, который должен быть задан при создании объекта.

1 В разделе "Функции и задачи" выберите команду Схема > Добавить атрибут.

2 Выберите класс, к которому нужно добавить атрибут, и нажмите кнопку ОК.

3 Выберите атрибуты, которые требуется добавить, и нажмите кнопку ОК.

Выберите нужные атрибуты в списке Доступные необязательные атрибуты и щелкните стрелку вправо, чтобы добавить их в список Добавить эти необязательные атрибуты. Для удаления атрибутов из списка Добавить эти необязательные атрибуты используйте стрелку влево.

Создаваемые объекты данного класса теперь будут содержать добавленные свойства. Чтобы установить значения для добавленных свойств, используйте доступную для объекта общую страницу свойств "Другие".




Просмотр информации об атрибуте

В iManager можно просматривать структурные характеристики атрибута, такие как синтаксис, флаги и классы, использующие атрибут. Чтобы просмотреть информацию об атрибуте, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Схема > Информация об атрибуте.

2 Выберите атрибут, информацию о котором нужно просмотреть, и выполните команду Просмотр.

В области содержимого будет отображена информация о выбранном атрибуте.

3 По завершении нажмите кнопку Закрыть.

Просмотр информации о классе

На странице "Информация о классе" отображается информация о выбранном классе. Здесь же можно к классу добавить атрибуты. Если для класса было задано наследование атрибутов из другого класса, то в процессе создания этого класса наследуемые атрибуты классифицируются таким же образом, как и в родительском классе. Например, если класс объекта является обязательным атрибутом для родительского класса, он отображается в данном окне как обязательный атрибут для выбранного класса.

Чтобы просмотреть информацию о классе, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Схема > Информация о классе.

2 Выберите класс, информацию о котором нужно просмотреть, и выполните команду Просмотр.

В области содержимого будет отображена информация о выбранном классе. Чтобы добавить в класс атрибут, выполните команду Добавление нового атрибута. Чтобы просмотреть родительский класс данного класса, выполните команду Просмотр суперкласса.

3 По завершении нажмите кнопку Закрыть.

Создание атрибута

Вы можете определить собственные настраиваемые типы атрибутов и добавить их в качестве дополнительных атрибутов к существующим классам объектов. Однако к существующим классам нельзя добавлять обязательные атрибуты. Чтобы создать атрибут, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Схема > Создание атрибута.

2 Создайте атрибут, следуя указаниям мастера создания атрибутов.


Создание класса

Дополнительный класс — это набор свойств (атрибутов), которые добавляются не к целому классу объектов, а к конкретному объекту. Например, при использовании приложения электронной почты можно расширить схему дерева eDirectory за счет включения дополнительного класса "Свойства электронной почты" и затем назначить эти свойства конкретным объектам.

С помощью менеджера схемы можно определить собственные дополнительные классы. Затем можно расширить отдельные объекты за счет свойств, определенных в дополнительных классах. Чтобы создать дополнительный класс, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Схема > Создание класса.

2 Определите новый класс, следуя указаниям мастера создания классов.

Удаление атрибута

Неиспользуемые атрибуты, которые не являются частью основной схемы дерева eDirectory, можно удалить. Это может оказаться полезным после объединения двух деревьев каталога или после устаревания атрибута. Чтобы удалить атрибут, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Схема > Удаление атрибута.

2 Выберите атрибут, который требуется удалить, и выполните команду Удалить.

iManager отображает только те атрибуты, которые можно удалить.

Удаление класса

Неиспользуемые классы, которые не являются частью основной схемы дерева eDirectory, можно удалить. iManager не допускает удаления классов, которые в данный момент используются в локально тиражированных разделах. Чтобы удалить класс, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите пункт Схема > Удаление класса.

2 Выберите класс, который требуется удалить, и выполните команду Удалить.

iManager отображает только те классы, которые можно удалить.

Расширение схемы

Схему дерева можно расширить, создав класс или атрибут. Для расширения схемы дерева eDirectory необходимы права администратора или супервизора на все дерево. Чтобы расширить схему, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите пункт Схема > Расширение схемы.

2 С помощью мастера ICE можно выполнять импорт, экспорт и миграцию данных, обновление схемы и операции сравнения.

Расширение объекта

1 В разделе "Функции и задачи" выберите пункт Схема > Расширения объектов.

2 Укажите имя и контекст объекта, который необходимо расширить, и нажмите кнопку ОК.


3 В зависимости от того, находится или нет нужный дополнительный класс в списке "Текущие расширения дополнительного класса", нажмите одну из указанных ниже кнопок.

Да — прекратить процедуру. Вместо этого см. раздел Modifying an Object’s Auxiliary Properties (Изменение дополнительных свойств объекта) документа NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Нет — нажмите кнопку Добавить, выберите дополнительный класс и нажмите кнопку ОК.

4 Нажмите кнопку Закрыть.

Это позволяет также добавлять или удалять дополнительные классы сразу для нескольких объектов.

1 В разделе "Функции и задачи" выберите пункт Схема > Расширения объектов.

2 Щелкните вкладку Выбор нескольких объектов.

2a Укажите объекты, которые необходимо расширить, и нажмите кнопку ОК.

Отображается список расширений дополнительного класса, в котором содержатся общие для всех выбранных объектов дополнительные классы.

2b Чтобы добавить дополнительный класс, нажмите кнопку Добавить, выберите нужный дополнительный класс и нажмите кнопку ОК.

2c Чтобы удалить существующий дополнительный класс, выберите класс, а затем нажмите кнопку Удалить.

3 Чтобы закрыть страницу, нажмите кнопку Закрыть.

ПользователиУправление пользователями и доступом к сети — одна из важнейших функций каталога. В iManager можно выполнять следующие задачи, имеющие отношение к пользователям.

"Создание пользователя" на стр. 55

"Удаление пользователя" на стр. 55

"Запрещение учетной записи" на стр. 55

"Разрешение учетной записи" на стр. 56

"Изменение пользователя" на стр. 56

"Перемещение пользователя" на стр. 56

"Переименование пользователя" на стр. 57

Дополнительную информацию об объектах «Пользователь» в каталоге см. в документе NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).






Создание пользователя

Чтобы создать объект "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователь > Создание объекта "Пользователь".

2 На странице создания пользователя введите необходимую информацию о пользователе и нажмите кнопку ОК.

"Имя пользователя"

Фамилия

Контекст

Пароль (дважды)

ЗАМЕЧАНИЕ. Если пароль не указан, появится предложение разрешить пользователю входить без пароля (не рекомендуется) или требовать ввода пароля для входа.

Задайте параметр Установка простого пароля, чтобы определить простой пароль, необходимый для регистрации пользователей Windows* и Macintosh* в сервисе Native File Access. Если используется функция универсального пароля, простой пароль не требуется.

Чтобы создать пользователя на основе существующего шаблона или объекта "Пользователь", задайте параметр Копирование из шаблона или объекта "Пользователь". При копировании из объекта "Пользователь" iManager разрешает копирование прав только новых объектов NDS, а не всех прав NDS, чтобы пользователи не могли получить такие же права, как администратор.

Чтобы указать расположение личного каталога пользователя, создаваемого при создании объекта "Пользователь", задайте параметр Создать личный каталог. Если указанный путь не существует, появится сообщение о том, что личный каталог пользователя не был создан.

Удаление пользователя

Чтобы удалить объект "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователи > Удаление объекта "Пользователь".

2 Введите имя и контекст объекта или найдите его с помощью функции поиска и нажмите кнопку ОК.

3 Выполните команду Удалить.

Появится сообщение, подтверждающее удаление объекта "Пользователь".

Запрещение учетной записи

Чтобы отключить учетную запись пользователя и лишить его возможности аутентификации в каталоге, выполните следующие действия.


ПРИМЕЧАНИЕ. Описанная ниже процедура позволяет заблокировать только попытки аутентификации после запрещения учетной записи. Если на момент запрещения учетной записи пользователь зарегистрирован в системе, новые параметры вступят в силу только после того, как он выполнит разрегистрацию.

1 В разделе "Функции и задачи" выберите команду Пользователи > Запрещение учетной записи.

2 Укажите имя и контекст объекта или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

3 Выполните команду Запретить.

Разрешение учетной записи

Чтобы разрешить ранее запрещенную учетную запись пользователя, выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователи > Разрешение учетной записи.


3 Выполните команду Разрешить.

Изменение пользователя

Чтобы изменить свойства существующего объекта "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователи > Изменение объекта "Пользователь".


В области содержимого будет отображена книга свойств объекта "Пользователь".

3 Внесите нужные изменения, после чего нажмите кнопку Применить или ОК, чтобы сохранить изменения.

Перемещение пользователя

Чтобы переместить объект "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователи > Перемещение пользователя.

2 Введите необходимые данные, как описано в разделе "Перемещение объекта" на стр. 42.


Переименование пользователя

Чтобы переименовать объект "Пользователь", выполните указанные ниже действия.

1 В разделе "Функции и задачи" выберите команду Пользователи > Переименование пользователя.

2 Укажите необходимую информацию, как описано в разделе "Переименование объекта" на стр. 43.


6 6Конфигурирование и настройка iManager

В этом разделе руководства описаны возможности конфигурирования NetIQ iManager. Для настройки iManager используется раздел "Настройка". В данном разделе рассматриваются указанные ниже темы.

"Сервис административных функций" на стр. 59

"Конфигурация RBS" на стр. 63

"Отчеты сервиса административных функций" на стр. 74

"Сервер iManager" на стр. 78

"Список создаваемых объектов" на стр. 86

"Установка подключаемого модуля" на стр. 87

"Загрузка и установка подключаемых модулей" на стр. 88

"Оповещения по электронной почте" на стр. 92

""Разделы"" на стр. 93

ЗАМЕЧАНИЕ. Использование сервиса административных функций (RBS) является необязательным, но рекомендуется настроить его для оптимального использования iManager. Чтобы можно было использовать компонент Plug-In Studio, в дереве eDirectory необходимо настроить сервис административных функций (RBS).

Не используйте утилиту Novell ConsoleOne для изменения или удаления объектов сервиса административных функций (RBS). Объектами RBS необходимо управлять только с помощью iManager.

При желании в iManager можно запретить доступ к разделу "Настройка" для пользователей, не являющихся администраторами или владельцами коллекции. Дополнительные сведения см. в указанных ниже подразделах данного руководства.

Разделы iManager: ""Разделы"" на стр. 93.

Пользовательские параметры: ""Параметры"" на стр. 95.

Авторизованные пользователи: "Авторизованные пользователи и группы" на стр. 80.

Сервис административных функцийiManager позволяет назначать пользователей ответственными за определенные виды деятельности и предоставлять им средства (и соответствующие права), которые для этого необходимы. Реализация этой возможности называется сервисом административных функций (Role-Based Services, RBS).

Сервис административных функций представляет собой набор расширений схемы eDirectory. Сервис административных функций определяет несколько классов объектов и атрибутов, которые обеспечивают администраторам механизм предоставления пользователям доступа к задачам управления на основе функции пользователя в организации. Этот механизм

Конфигурирование и настройка iManager 59

обеспечивает пользователю доступ только к тем задачам, которые пользователь должен выполнить. Сервис административных функций предоставляет только те права, которые необходимы для выполнения назначенных задач.

ПРИМЕЧАНИЕ. Контроль доступа, реализованный в сервисе административных функций NetIQ iManager, предоставляет права на основании списков управления доступом (ACL) NetIQ eDirectory. Списки ACL позволяют предоставлять опекуну права на определенный объект или подчиненные ему объекты. Списки ACL не предоставляют прав на основании определенных типов объектов. Для каждой задачи NetIQ iManager определяются свои типы объектов и необходимые списки ACL. Однако эти списки ACL разрешают пользователю выполнять данные операции с другими типами объектов с помощью интерфейсов API eDirectory или других инструментов, таких как Novell ConsoleOne или NWAdmin.

Сервис административных функций используется для создания особых функций внутри организации. Функция содержит задачи, которые назначенный пользователь может выполнять в iManager, такие как создание нового пользователя или смена пароля. Задачи жестко привязаны к функциям, но их можно заменить, переназначить или полностью удалить.

Кроме того, функции пользователям назначаются в пределах определенной области действия, представляющей собой контейнер в дереве, в котором пользователь имеет необходимые разрешения для выполнения задачи. Таким образом, функция полностью определяется ее назначением, членами и областью действия.

Объект "Функция RBS" создает ассоциацию между пользователями и задачами. Администратор предоставляет пользователям право на доступ к задаче, делая пользователя членом функции, которой назначена задача.

Пользователь может быть назначен функции следующими способами.

Напрямую в качестве пользователя.

Через назначения групп и динамических групп.

Если пользователь является членом группы или динамической группы, которая назначается для функции, то пользователь имеет доступ к функции.

Через назначения организационной функции.

Если пользователь является исполнителем организационной функции, которой назначена другая функция, то пользователь имеет доступ к этой функции.

Через назначения контейнера.

Объект "Пользователь" имеет доступ ко всем функциям, которые назначены его родительскому контейнеру. Доступ к функциям контейнеров можно расширить до корня дерева.

Пользователь может быть ассоциирован с функцией неоднократно, каждый раз с различными областями действия.

Объекты RBS в eDirectory

В следующей таблице приведен список объектов RBS. iManager расширяет схему eDirectory для включения данных объектов при установке сервиса административных функций. Дополнительную информацию см. в разделе "Установка сервиса административных функций" на стр. 62.

60 Конфигурирование и настройка iManager

"Объект" Описание

rbsCollection Объект-контейнер, содержащий все объекты функций и модулей RBS.

Объекты "rbsCollection" являются самыми верхними контейнерами для всех объектов сервиса административных функций. Дерево может содержать любое количество объектов "rbsCollection". Эти объекты имеют владельцев, которыми являются пользователи, обладающие правами на управление коллекцией.

Объекты "rbsCollection" могут быть созданы в следующих контейнерах:

Страна

Домен

Местонахождение

"Организация"

Подразделение

rbsRole Процесс определения функции включает создание объекта "rbsRole" и определение задач, которые может выполнять эта функция.

Объекты "rbsRole" являются объектами-контейнерами, которые могут быть созданы только в контейнере "rbsCollection".

Членами функций могут быть объекты "Пользователь", "Группа", "Организация", "Функции организаций" и "Подразделение". Они ассоциируются с функцией в определенной области действия дерева. Объекты "rbsTask" и "rbsBook" назначаются объектам "rbsRole".

rbsTask Представляет конечный объект, который содержит определенную функцию, например переустановку паролей регистрации.

Объекты "rbsTask" располагаются только в контейнерах "rbsModule".

rbsBook (книга свойств)

Книга — это конечный объект, отображающий группу страниц, позволяющих пользователю просматривать или изменять свойства объекта или набора объектов одного типа. Каждая страница книги имеет вкладки для перехода на другие страницы.

Объект "Книга" размещается только в контейнерах "rbsModule" и может быть назначен одной или нескольким функциям и одному или нескольким типам классов объектов.

rbsScope Конечный объект, используемый для назначений ACL (вместо назначений для каждого объекта "Пользователь"). Объекты "rbsScope" представляют контекст в дереве, в котором будет выполняться функция, и ассоциированы с объектами "rbsRole". Они наследуются от класса "Группа". Объекты "Пользователь" назначаются объекту "rbsScope". Эти объекты содержат ссылку на область действия дерева, с которой они ассоциированы.

Они создаются динамически при необходимости, а затем автоматически удаляются, если больше не нужны. Эти объекты располагаются только в контейнерах "rbsRole".

ПРЕДУПРЕЖДЕНИЕ. Никогда не изменяйте конфигурацию объекта "rbsScope". Это повлечет за собой серьезные последствия и может даже повредить систему.


Объекты RBS располагаются в дереве eDirectory следующим образом:

Рисунок 6-1 Сервис административных функций в eDirectory

Установка сервиса административных функций

Сервис административных функций устанавливается с помощью мастера конфигурации iManager.

1 В разделе "Настройка" выберите команду Сервис административных функций > Конфигурация RBS.

2 Выберите пункт Настройка iManager.

3 Следуйте инструкциям на экране.

rbsModule Объект-контейнер, содержащий все объекты rbsTask и rbsBook. Объекты rbsModule объекты имеют атрибут имени модуля, который представляет имя продукта, определяющее задачи или книги (например, eDirectory Maintenance Utilities, NMAS Management или NetIQ Certificate Server Access).

Объекты "rbsModule" могут быть созданы только в контейнерах "rbsCollection".

rbsCategory В категории группируются функции и задачи, относящиеся к определенной функции. iManager поддерживает 14 категорий по умолчанию: "Аутентификация и пароли", "Коллективная работа", "Каталог", Управление файлами", "Менеджер электронных персон", "Инфраструктура", "Установка и обновление", "Сеть", "Аудит Novell", "Печать", "Защита", "Серверы", "Лицензии и использование сети" и "Пользователи и группы".

Если выбрать параметр "Все категории", будут отображены все доступные функции и задачи.

Можно также создать новые категории и назначить им свои функции и задачи.

"Объект" Описание


Удаление сервиса административных функций

Если сервис административных функций больше не нужен в дереве, объект "Коллекция RBS" можно безопасно удалить средствами iManager. При удалении коллекции RBS автоматически снимаются все ассоциации и области действия функции пользователя в дереве. Не удаляйте коллекцию RBS с помощью других утилит, таких как ConsoleOne.

Чтобы удалить сервис административных функций, выполните указанные ниже действия.

1 В разделе "Настройка" выберите команду Сервис административных функций > Конфигурация RBS.

2 Выберите коллекцию, которую нужно удалить.

3 Нажмите кнопку Удалить.

После удаления коллекции RBS все пользователи, зарегистрированные в iManager, переходят в режим назначенного доступа, даже если в дереве нет объекта "Коллекция RBS".

Чтобы вернуться в режим неограниченного доступа (режим по умолчанию), выполните указанные ниже действия.

1 В разделе "Настройка" выберите команду Сервер iManager > Настройка iManager.

2 Откройте вкладку RBS.

3 В поле Список деревьев RBS выберите подходящее имя дерева и нажмите кнопку «минус».

4 Нажмите кнопку Сохранить.

ПРИМЕЧАНИЕ. При использовании консоли iManager в режиме неограниченного доступа на основной странице iManager обычно отображается следующее сообщение: Уведомление. Некоторые функции и задачи недоступны. Если в ответ на это нажать кнопку Просмотр информации, для некоторых задач может быть выведено сообщение Не поддерживается текущим аутентификатором, хотя эти задачи работают правильно. Это дезориентирующее сообщение, и iManager удалит его после того, как будет настроен сервис административных функций.

Конфигурация RBSЗадача "Конфигурация RBS" обеспечивает полный контроль над объектами сервиса административных функций. Управление объектами RBS и их настройка осуществляются именно здесь. Объекты RBS можно просматривать и изменять по типу. Эта задача также позволяет получить полезную информацию о системе сервиса административных функций. Например, можно узнать количество модулей в коллекции, сколько модулей установлено, сколько не установлено, сколько устарело. Некоторые задачи позволяют выполнять операции сразу над несколькими объектами. Например, можно ассоциировать с функцией сразу несколько членов или снять ассоциацию сразу у нескольких членов.

Чтобы открыть в области содержимого страницу конфигурации RBS, выберите в разделе "Настройка" команду Сервис административных функций > Конфигурация RBS.

Эта страница содержит две вкладки.

"Коллекция iManager 2.x". На этой вкладке отображаются текущие коллекции RBS.


Коллекции iManager 1.x. На этой вкладке отображаются более старые коллекции RBS, которые можно или удалить, или мигрировать в iManager 2.x. Если нажать кнопку "Мигрировать", откроется мастер процесса миграции.

iManager отображает только те коллекции, которыми владеет пользователь, при этом о каждой коллекции выводятся указанные ниже сведения.

"Модуль" — число модулей на веб-сервере, на котором зарегистрирован пользователь.

"Установлено" — число установленных модулей.

"Устарело" — число устаревших установленных модулей.

"Не установлено" — число доступных, но не установленных модулей.

Для работы с определенной коллекцией выберите ее в списке. При этом откроется раздел, специфичный для коллекции (см. рис. Рисунок 6-2).

Рисунок 6-2 Работа с коллекциями RBS в iManager

Далее в этом раздела описываются различные вкладки, доступные на странице "Коллекция RBS", а также другие задачи, относящиеся к категории "Сервис административных функций".

"Вкладка "Функция"" на стр. 64

"Вкладка "Задача"" на стр. 66

"Вкладка "Книга свойств"" на стр. 67

"Вкладка "Модуль"" на стр. 70

"Вкладка "Категория"" на стр. 70

"Plug-In Studio" на стр. 71

"Изменение ассоциаций членов" на стр. 74

"Изменение коллекций владельцев" на стр. 74

Вкладка "Функция"

Вкладка "Функция" на странице "Коллекция RBS" позволяет управлять функциями RBS в коллекции. Она предоставляет доступ к указанным ниже операциям.

"Создание функции" на стр. 65

"Изменение функции" на стр. 65

"Удаление функции" на стр. 65

"Настройка ассоциаций членов" на стр. 65


"Назначение категории" на стр. 66

"Добавление описания к функции" на стр. 66

ПРИМЕЧАНИЕ. Чтобы выбрать функцию, установите флажок слева от ее имени.

Создание функции

Чтобы создать функцию в коллекции, выполните указанные ниже действия.

1 На вкладке Функция выберите команду Создать > Функция iManager.

2 Выполните указания мастера создания функций iManager.

Он поможет присвоить функции имя и назначить ей задачи, категории, члены и области действия.

Изменение функции

Чтобы изменить существующую функцию в коллекции, выполните указанные ниже действия.

1 Выберите функцию на вкладке Функция и выполните команду Изменить.

Появится список задач, назначенных функции.

2 Добавьте или удалите задачи в соответствии с требованиями и нажмите кнопку ОК.

Удаление функции

Чтобы удалить функцию из коллекции, выполните указанные ниже действия.

1 Выберите функцию на вкладке Функция и выполните команду Удалить.

Появится следующее сообщение: "Эта операция удалит все выбранные функции. Продолжить?"

2 Чтобы удалить функцию, нажмите кнопку ОК.

Настройка ассоциаций членов

Чтобы добавить член к существующей функции, выполните указанные ниже действия.

1 Выберите функцию на вкладке Функция, после чего выберите команду Действия > Ассоциации членов.

2 Укажите необходимую информацию о члене и выполните команду Добавить.

Имя. Укажите объект, который нужно сделать членом функции, или найдите его с помощью инструмента выбора объектов.

Область действия. Укажите контейнер, определяющий область действия, в которой данный член может выполнять функцию, или найдите этот контейнер с помощью инструмента выбора объектов.


3 В списке членов укажите способ назначения члену прав на использование функции и нажмите кнопку ОК.

Назначение прав. Если этот параметр задан, eDirectory автоматически предоставляет члену права, необходимые для выполнения назначенной функции. Если этот параметр не задан, функция назначается члену, но у него могут отсутствовать права на выполнение всех задач, ассоциированных с функцией. Назначения прав члену обрабатываются отдельно.

Наследование. Выберите вариант поддерево, если нужно, чтобы область действия члена включала в себя все подконтейнеры в указанном контексте. Выберите вариант базовый объект, если нужно, чтобы член мог выполнять функцию только в указанном контейнере.

ПРИМЕЧАНИЕ. Если пользователь является владельцем коллекции и для него задано участие в ассоциации, он может управлять всеми объектами RBS в определенной области действий. Сведения об объектах RBS в eDirectory и их описание см. в разделе "Объекты RBS в eDirectory" на стр. 60.

Назначение категории

Чтобы добавить назначение категории к существующей функции, выполните указанные ниже действия.

1 Выберите функцию на вкладке Функция, после чего выберите команду Действия > Назначение категории.

Откроется страница "Назначение категории".

2 Выберите категорию и щелкните стрелку вправо, чтобы назначить эту категорию функции.


Добавление описания к функции

Чтобы добавить описание к существующей функции, выполните указанные ниже действия.

1 Выберите функцию на вкладке Функция, после чего выберите команду Действия > Описание.

2 Введите описание в текстовое поле и нажмите кнопку ОК.

Вкладка "Задача"

Задача представляет собой подключаемый модуль, выполняющий четко выраженные управленческие действия, например создание пользователя или установку пароля. iManager показывает эти задачи по группам в фрейме навигации с левой стороны окна.

Вкладка "Задача" на странице "Коллекция RBS" позволяет выполнять следующие операции.

"Создание задачи" на стр. 67

"Удаление задачи" на стр. 67

"Изменение назначения функции" на стр. 67

"Добавление описания к задаче" на стр. 67


Создание задачи

Чтобы создать задачу, выполните указанные ниже действия.

1 На вкладке Задача выберите команду Создать > Задача iManager.

2 Выполните указания мастера создания задач iManager.

Он поможет вам указать сведения, необходимые для создания задачи.

Информацию о создании задач в Plug-in Studio см. в разделе "Создание задачи в Plug-In Studio" на стр. 72.

Удаление задачи

Чтобы удалить существующую задачу, выполните указанные ниже действия.

1 Выберите задачу на вкладке Задача и выполните команду Удалить.

Появится следующее сообщение: "Эта операция удалит все выбранные функции. Продолжить?"


Изменение назначения функции

Чтобы изменить список функций, которым назначена задача, выполните указанные ниже действия.

1 Выберите задачу на вкладке Задача, после чего выберите команду Действия > Назначение функции.

2 На странице изменения назначения функции добавьте или удалите функции в поле Назначенные функции и нажмите кнопку ОК.

Добавление описания к задаче

Чтобы добавить описание к существующей задаче, выполните указанные ниже действия.

1 Выберите задачу на вкладке Задача, после чего выберите команду Действия > Описание.

2 Введите описание в текстовое поле и нажмите кнопку ОК.

Вкладка "Книга свойств"

В книге свойств отображаются атрибуты конкретного типа объекта, которые можно изменить. Имеются в виду свойства объекта или набора объектов одного типа.

Книги свойств могут быть назначены функциям и отображаются в списке задач для функции. Например, книга свойств, изменяющая атрибуты объектов "Пользователь", может иметь страницы, позволяющие задать сценарий регистрации пользователя и изменить адрес электронной почты и телефонный номер пользователя.

Страницы книги свойств сходны с задачами. Однако все операции отображения и изменения атрибутов происходят на одной странице. Чтобы работать с более сложными и развернутыми интерфейсами, необходимо создать задачу.


Вкладка "Книга свойств" на странице "Коллекция RBS" позволяет выполнять указанные ниже операции.

"Создание книги свойств" на стр. 68

"Удаление книги свойств" на стр. 68

"Изменение назначения функции в книге свойств" на стр. 68

"Изменение списка страниц в книге свойств" на стр. 69

"Изменение назначения типов объектов в книге свойств" на стр. 69

"Добавление и изменение описания книги свойств" на стр. 69

"Задание и изменение предпочтительного метода выбора объектов для задачи книги свойств." на стр. 69

Создание книги свойств

Чтобы создать книгу свойств, выполните указанные ниже действия.

1 Выберите на вкладке Книга свойств команду Создать.

2 Выполните указания мастера создания книг свойств.

Он поможет ввести данные, необходимые для создания книги свойств.

ЗАМЕЧАНИЕ. В iManager некоторые символы имеют специальное назначение и должны дополняться управляющим символом обратной косой черты (\). Дополнительную информацию см. в разделе "Специальные символы" на стр. 24.

Удаление книги свойств

Чтобы удалить книгу свойств, выполните указанные ниже действия.

1 Выберите книгу свойств на вкладке Книга свойств и нажмите кнопку Удалить.

Появится следующее сообщение: "Эта операция удалит все выбранные книги свойств. Продолжить?"


Изменение назначения функции в книге свойств

Чтобы изменить список функций, которым назначена книга свойств, выполните указанные ниже действия.

1 Выберите книгу свойств на вкладке Книга свойств, затем выберите пункт Действия > Назначение функции.

2 На странице изменения назначения функции добавьте или удалите функции в поле Назначенные функции и нажмите кнопку ОК.


Изменение списка страниц в книге свойств

Чтобы изменить страницы атрибутов, ассоциированные с книгой свойств, выполните указанные ниже действия.

1 Выберите книгу свойств на вкладке Книга свойств, затем выберите пункт Действия > Список страниц.

2 На странице изменения назначения функции добавьте или удалите функции в поле Назначенные страницы. Чтобы изменить порядок страниц, выберите страницу и используйте кнопки Вверх или Вниз .

Изменение назначения типов объектов в книге свойств

Чтобы изменить список типов объектов, ассоциированных с книгой свойств, выполните указанные ниже действия.

1 Выберите книгу свойств на вкладке Книга свойств, затем выберите пункт Действия > Тип объекта.

2 На странице изменения типа объекта добавьте или удалите функции в поле Назначенные типы объектов и нажмите кнопку ОК.

Добавление и изменение описания книги свойств

Чтобы добавить или изменить описание существующей задачи, выполните следующие действия.

1 Выберите книгу свойств на вкладке Книга свойств, затем выберите пункт Действия > Описание.

2 Введите или измените описание в текстовом поле и нажмите кнопку ОК.

Задание и изменение предпочтительного метода выбора объектов для задачи книги свойств.

Чтобы задать или изменить предпочтительный метод выбора объектов для задачи книги свойств, выполните следующие действия.

1 Выберите книгу свойств на вкладке Книга свойств, затем выберите пункт Действия > Режим выбора целевых объектов.

2 В списке «Режим» выберите значение Выбор одного, Несколько, Простой или Расширенный и нажмите кнопку ОК.

Выведется сообщение об успешном выполнении. Нажмите кнопку ОК.

ПРИМЕЧАНИЕ. Чтобы изменения применились в модуле «Основное содержимое iManager», перезапустите службу Tomcat.


Вкладка "Модуль"

На странице "Модуль" выводится список модулей сервиса административных функций, установленных в выбранной коллекции. Каждый модуль содержит книги свойств и задачи RBS. На этой странице можно добавить (если необходимо создать настраиваемую книгу свойств) и удалить модуль, а также ввести описание для выбранного подключаемого модуля.

Вкладка "Модуль" на странице "Коллекция RBS" позволяет выполнять следующие операции.

"Добавление нового подключаемого модуля" на стр. 70

"Удаление модуля RBS" на стр. 70

"Добавление описания" на стр. 70

Добавление нового подключаемого модуля

Добавление нового подключаемого модуля.

1 Выберите на вкладке Модуль команду Добавить.

2 Укажите имя модуля RBS и контекст назначения, после чего нажмите кнопку ОК.

Появится сообщение, подтверждающее добавление модуля.

Удаление модуля RBS

Удаление имеющегося подключаемого модуля.

1 Выберите модуль, который нужно удалить, на вкладке Модуль и выполните команду Удалить.

2 Нажмите кнопку ОК, чтобы подтвердить удаление модуля.

Добавление описания

Добавление описания к имеющемуся подключаемому модулю.

1 Выберите модуль на вкладке Модуль, после чего выберите команду Действия > Описание.

2 Введите описание модуля и нажмите кнопку ОК.

Вкладка "Категория"

На вкладке «Категория» сгруппированы роли и задачи. Вкладка "Категория" на странице "Коллекция RBS" позволяет выполнять указанные ниже операции.

"Добавление новой категории" на стр. 70

"Удаление категории" на стр. 71

"Добавление описания" на стр. 71

Добавление новой категории

Добавление описания к имеющемуся подключаемому модулю.

1 Выберите на вкладке Категория команду Добавить.


Будет запущен мастер создания категорий.

2 Укажите имя категории и ее описание (необязательная информация) и нажмите кнопку Далее.

3 Выберите функции, которые необходимо ассоциировать с новой категорией, и нажмите кнопку Далее.

4 Просмотрите сводные сведения о новой категории и нажмите кнопку Готово.

Удаление категории

Удаление имеющейся категории.

1 Выберите на вкладке Категория модуль, который нужно удалить, после чего выберите команду Удалить.

2 Нажмите кнопку ОК, чтобы подтвердить удаление категории.

Добавление описания

Удаление или изменение описания имеющейся категории.

1 Выберите категорию на вкладке Категория, после чего выберите команду Действия > Описание.

2 Введите описание категории и нажмите кнопку ОК.

Plug-In Studio

Компонент Plug-In Studio предлагает быстрый и легкий способ упростить выполнение часто используемых задач. Используйте Plug-in Studio с целью динамического создания задач для наиболее часто используемых операций. Этот компонент позволяет также изменять и удалять задачи.

Например, если необходимо изменить объект "Пользователь", вместо выбора команды Изменить объект можно создать динамический интерфейс пользователя и изменить только выбранные атрибуты, например имя и должность. Данные хранятся в каталоге домашний_каталог_Tomcat/webapps/nps/portal/modules/custom.

ПРИМЕЧАНИЕ. При использовании Plug-in Studio специалисты NetIQ рекомендуют не запускать несколько серверов, использующих один сервис административных функций. Компонент Plug-in Studio не может правильно обновлять подключаемые модули в eDirectory.

Компонент Plug-in Studio позволяет выполнять следующие операции.

"Создание задачи в Plug-In Studio" на стр. 72

"Изменение задачи" на стр. 72

"Удаление задачи" на стр. 73

"Копирование пользовательских задач" на стр. 73

"Экспорт пользовательских задач" на стр. 73

"Импорт пользовательских задач" на стр. 73


Создание задачи в Plug-In Studio

Чтобы создать задачу в Plug-In Studio, выполните указанные ниже действия.

1 Выберите в разделе "Настройка" команду Сервис административных функций > Plug-in Studio.

2 Выберите команду Создать.

Появится окно средства создания задач (Task Builder), с помощью которого создаются настраиваемые задачи и страницы свойств.

3 Укажите тип объекта и информацию о платформе, после чего нажмите кнопку Далее.

"Доступные классы". Укажите класс объекта, ассоциированный с новой задачей.

"Целевое устройство". Укажите платформу, на которой используется задача. В большинстве случаев можно использовать вариант по умолчанию.

"Тип подключаемого модуля". Укажите тип создаваемой задачи.

"Дополнительные классы". Задайте этот параметр, если нужно, чтобы задача поддерживала дополнительные классы.

4 Введите в окне "Поля подключаемого модуля" необходимую информацию и выполните команду Установка.

При выполнении команды Установка iManager динамически создает для задачи XML-файл, JSP-файл и файлы Java, необходимые для выполнения задачи, после чего устанавливает эти файлы в системе.

"Атрибуты". Выберите в списке атрибут, который нужно ассоциировать с задачей.

Чтобы переместить атрибут в поле Поля подключаемого модуля с помощью элемента управления по умолчанию, дважды щелкните атрибут.

"Элементы управления". В этом поле отображаются элементы управления, доступные для атрибута, выбранного в поле Атрибуты.

Чтобы переместить текущий атрибут в поле Поля подключаемого модуля с помощью выбранного элемента управления, дважды щелкните элемент управления.

"Поля подключаемого модуля". В этом поле отображаются все атрибуты и элементы управления, ассоциированные с задачей. Оно позволяет удалять атрибуты из задачи, изменять элемент управления, ассоциированный с атрибутом, а также изменять для атрибута свойства элемента управления.

"Свойства подключаемого модуля". Этот элемент позволяет указать ИД подключаемого модуля, а также назначить задачу коллекции RBS или функции. Назначенная функция определяет место отображения задачи в разделе "Функции и задачи" в фрейме навигации.

Изменение задачи

Чтобы изменить существующий подключаемый модуль с помощью Plug-in Studio, выполните указанные ниже действия.


2 Выберите задачу и выполните команду Изменить.

3 Измените параметры, описанные в разделе "Создание задачи" на стр. 67, и выполните команду Установить.

Появится сообщение, подтверждающее создание и установку подключаемого модуля.


Удаление задачи

Чтобы удалить существующий подключаемый модуль с помощью Plug-in Studio, выполните указанные ниже действия.


2 Выберите в списке установленных пользовательских подключаемых модулей модуль, который нужно удалить, и выполните команду Удалить.

Появится сообщение Удалить этот подключаемый модуль?

3 Чтобы удалить подключаемый модуль, нажмите кнопку ОК.

Появится сообщение, подтверждающее удаление подключаемого модуля.

Копирование пользовательских задач

Чтобы скопировать существующий подключаемый модуль с помощью Plug-in Studio, выполните указанные ниже действия.


2 Выберите в списке установленных пользовательских подключаемых модулей модуль, который нужно скопировать, после чего выберите команду Действия > Копировать.

3 Укажите имя скопированного подключаемого модуля и нажмите кнопку ОК.

Экспорт пользовательских задач

Эта задача используется для экспорта пользовательских задач и обеспечения возможности их развертывания на других серверах iManager.


2 Выберите пользовательский подключаемый модуль, который нужно экспортировать, после чего выберите команду Действия > Экспорт.

Импорт пользовательских задач

Эта задача используется для развертывания экспортированных пользовательских задач на нескольких серверах iManager.


2 Выберите команду Действия > Импорт.

3 Укажите коллекцию RBS, в которую требуется импортировать пользовательские подключаемые модули, или найдите ее с помощью инструмента выбора объектов.

4 Укажите файл NPM, экспортированный ранее.

5 Выполните команду Импорт.


Изменение ассоциаций членов

Есть два способа ассоциирования членов с функциями:

Выберите член и назначьте его какой-либо функции в пределах области ее действия, как это описано в разделе "Настройка ассоциаций членов" на стр. 65.

Выберите функцию и назначьте ей члены и область действия, как это описано ниже.

Чтобы назначить существующую функцию выбранному члену, выполните указанные ниже действия.

1 Выберите в разделе "Настройка" команду Сервис административных функций > Изменение ассоциации члена.

2 Укажите член или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

Появится список функций, которым назначен данный член.

3 Укажите для члена функцию и область действия функции и нажмите кнопку ОК.

Эти данные будут сохранены в eDirectory. После регистрации вновь назначенная функция появится в левом столбце члена, являющегося владельцем этой функции.

Изменение коллекций владельцев

Используйте эту задачу для изменения владельца, назначенного коллекции.

1 Выберите в разделе "Настройка" команду Сервис административных функций > Изменение коллекций владельцев.

2 Укажите владельца коллекции или найдите его с помощью инструмента выбора объектов и нажмите кнопку ОК.

3 Добавьте или удалите коллекции, которые могут принадлежать этому владельцу, и нажмите кнопку ОК.

Отчеты сервиса административных функцийУтилита "Создание отчетов RBS" позволяет формировать отчеты об объектах RBS в каталоге и их конфигурации. Отчеты формируются в виде таблиц, их можно распечатать и экспортировать в другие форматы. Создаются следующие отчеты:

Назначения функций Неназначенные задачи

Назначения задач функциям Неназначенные категории

Назначения функций пользователю Настраиваемые функции

Назначения задач пользователю Настраиваемые задачи

Назначения прав функции Настраиваемые категории

Неназначенные функции Коллекции


Создание отчетов

Чтобы создать отчет RBS, выполните указанные ниже действия.

1 Выберите в разделе "Настройка" команду Создание отчетов RBS.

Каждый тип отчета реализован как задача.

2 Выберите нужный отчет, введите необходимую информацию и нажмите кнопку ОК.

Для формирования любого отчета требуется ввести определенные начальные сведения, например указать функции, для которых необходимо сформировать отчет о назначенных членах.

Рисунок 6-3 Задача назначения функций в разделе настройки iManager

Использование отчетов

Задачи отчетов сервиса административных функций формируют отчеты, которые можно затем отсортировать, распечатать и экспортировать. Ниже приведен пример отчета iManager.

Рисунок 6-4 Члены, назначенные функции


Сортировка отчетов

По умолчанию элементы, приведенные в отчете, отсортированы в алфавитном порядке по возрастанию элементов в первом столбце. iManager помечает столбец, по которому отсортированы элементы, небольшим значком, расположенным рядом с именем столбца и указывающим порядок сортировки. Чтобы изменить столбец, по которому сортируются элементы, щелкните имя нужного столбца. Чтобы изменить порядок сортировки, щелкните имя столбца, по которому элементы отсортированы в текущий момент.

Печать отчетов

Чтобы распечатать отчет RBS, нажмите кнопку Печать. Откроется диалоговое окно печати навигатора, где можно выбрать принтер и задать параметры печати. Данная функция позволяет распечатать только содержимое окна навигатора с отчетом без каких-либо изменений, поэтому прежде чем нажать кнопку Печать, убедитесь в том, что элементы отсортированы в нужном порядке.

Экспорт отчетов

Отчеты можно экспортировать в файлы XML, CSV и обычные текстовые файлы, чтобы их можно было использовать в других приложениях, таких как редакторы электронных таблиц и СУБД. Файлы экспорта содержат только данные и достаточный объем метаданных для описания столбцов отчета. Прочая информация (заголовок отчета, дата его создания и пр.) не экспортируется. Элементы отчета экспортируются в том порядке, в каком они отсортированы на экране.

1 Нажмите кнопку Экспорт.

2 На странице экспорта отчета RBS выберите формат экспортируемых данных и нажмите кнопку Экспорт.

3 Когда навигатор предложит открыть или сохранить файл, созданный iManager, выберите подходящее действие и продолжайте следовать указаниям навигатора.

Ниже приводятся примеры файлов XML, CSV и обычных текстовых файлов, экспортированных из одного и того же отчета RBS.

XML:

<?xml version="1.0"?> <rbs-report> <rbs-report-header> <user>admin.novell</user> <report-time>Thursday, June 26, 2008 (10:33:17 AM IST)</report-time> <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container</selected-member-types> <dynamic-group> <search-enabled>yes</search-enabled> <role-search>parent sub-directory (novell)</role-search> <search-for>Dynamic Group Objects</search-for> </dynamic-group> <container-role-search>up to parent (novell)</container-role-search> </rbs-report-header> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object>


<member-type>User</member-type> <member-object>admin.novell</member-object> <scope>.MY_TREE.</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>jdoe.novell</member-object> <scope>novell</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> </rbs-report>

CSV:

RBS Report Query SettingsUser:,"admin.novell"Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)"Types:,"User, Group, Dynamic Group, Organizational Role, Container"Dynamic Group Search Settings:,Search Enabled:,"yes"Role Search:,"parent sub-directory (novell)"Role Search:,"Dynamic Group Objects"Container Role Search:,"up to parent (novell)"

Отчет RBS: назначения функций пользователю

User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit",admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Server Management","Novell Certificate Server Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-


TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",

Простой текст:

RBS Report Query SettingsUser: admin.novellDate: Thursday, June 26, 2008 (10:33:17 AM IST)Types: User, Group, Dynamic Group, Organizational Role, Container-------------------------------------------------Dynamic Group Search Settings: Search Enabled: yesRole Search: parent sub-directory (novell)Role Search: Dynamic Group ObjectsContainer Role Search: up to parent (novell)-------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true-------------------------------------------------

Сервер iManagerЕсли эта задача не видна, вы не являетесь авторизованным пользователем. См. раздел "Авторизованные пользователи и группы" на стр. 80. Данный раздел содержит указанные ниже сведения.

"Настройка iManager" на стр. 79

"Безопасность" на стр. 79

"Внешний вид" на стр. 80

"Протоколирование событий" на стр. 81

""Аутентификация"" на стр. 82

"Сервис административных функций" на стр. 83

"Загрузка подключаемых модулей" на стр. 84


"Прочее" на стр. 85

"Сертификат" на стр. 85

Настройка iManager

В файле config.xml есть три параметра, управляющих защитой и сертификатами, используемыми при создании в iManager соединения LDAP SSL.

Security.Keystore.AutoUpdate. Если при успешной регистрации пользователя в iManager параметр AutoUpdate имеет значение Истина, то сертификат этого сервера eDirectory может автоматически импортироваться в хранилище ключей iManager. Выберите настройку Автоимпорт сертификата дерева для защищенного соединения LDAP ( Настройка iManager > Защита).

Security.Keystore.UpdateAllowAll. Если параметр UpdateAllowAll имеет значение Истина, любой успешный вход пользователя в систему приводит к импорту или обновлению сертификата в хранилище ключей сертификатов iManager. Если этот параметр имеет значение False, импорт или обновление сертификата будет происходить только при регистрации авторизованных пользователей.

Security.Keystore.Priority. Параметр Priority содержит два слова, определяющих порядок поиска сертификатов во время соединения: system и imanager.Слово system предполагает, что для поиска сертификатов при созданном контексте SSL используется хранилище ключей JVM* по умолчанию. Если такого хранилища нет, выбирается хранилище iManager.

Порядок поиска system и iManager можно изменить, удалив из записи любое слово.

Для дальнейшего укрепления защиты следует запретить автообновление и использовать только системное хранилище ключей. В этом случае необходимо будет вручную импортировать сертификаты, которые нужно поместить в системное хранилище ключей по умолчанию, с помощью инструментов, поставляемых с Java. Если снять флажок "Разрешить обновление всего" (UpdateAllowAll), то импорт сертификатов произойдет, только если в iManager зарегистрировался авторизованный пользователь.

Безопасность

Эти параметры влияют на конфигурацию всего веб-сервера и хранятся в файле config.xml. При внесении изменений в конфигурацию можно сразу сохранять их или нажать кнопку Сохранить после внесения всех изменений.

Предупреждение при использовании незащищенного соединения

Выберите этот параметр, если хотите, чтобы при использовании незащищенного соединения между веб-навигатором и веб-сервером появлялось предупреждение Используется незащищенное соединение.

Автоимпорт сертификата дерева для защищенного соединения LDAP

Для защищенных соединений LDAP необходим сертификат. Если выбрана эта функция, система автоматически импортирует сертификат общедоступного дерева для защищенного соединения LDAP.


Авторизованные пользователи и группы

Авторизованные пользователи и группы — это пользователи и группы, которым в iManager разрешено выполнять различные административные задачи. Данные об авторизованных пользователях хранятся в файле ДОМАШНИЙ_КАТАЛОГ_TOMCAT\webapps\nps\WEB-INF\configiman.properties. При установке iManager этот файл создается, только если предоставлена информация об авторизованных пользователях и группах, однако делать это необязательно. Если требуемая информация не предоставлена, любой пользователь iManager может установить подключаемые модули iManager и изменить настройки сервера iManager (не рекомендуется на длительный период).

При добавлении в этот список группы или организационной функции все члены группы или организационной функции становятся авторизованными пользователями. Добавление вложенной группы поддерживает только членов первого уровня. Добавление динамических групп не поддерживается, поскольку они могут включать объекты любого типа.

После установки iManager можно добавить авторизованного пользователя, группу или организационную функцию, указав их имена или используя значок выбора объектов рядом со списком Авторизованные пользователи и группы. При этом вносятся изменения в файл configiman.properties.

Чтобы определить всех пользователей дерева как авторизованных, введите значение AllUsers.

ПРИМЕЧАНИЕ. В списке Авторизованные пользователи и группы: можно добавлять и сохранять записи только допустимых пользователей. После добавления недопустимого пользователя и нажатия кнопки Сохранить выведется сообщение об ошибке со сведениями о том, что объект не найден. Если в список добавлены только недопустимые пользователи и нажата кнопка Сохранить, выведется сообщение об ошибке, а список недопустимых пользователей автоматически будет заменен на значение AllUsers. Если нет необходимости в авторизации всех пользователей дерева, удалите значение AllUsers из списка, добавьте записи допустимых пользователей и нажмите кнопку Сохранить.

ЗАМЕЧАНИЕ. После первой установки приложения iManager список авторизованных пользователей и групп будет пуст. Администраторам необходимо немедленно добавить пользователей и группы в список с целью их авторизации, чтобы обладать правами на изменение списка. В противном случае пользователь, не являющийся администратором, может добавить пользователей и группы в список и получить права на его изменение. В этом случае администратор может утратить подобные права.

Информацию о файле configiman.properties, имеющую отношение к обеспечению безопасности, см. в разделе "Авторизованные пользователи и группы iManager" на стр. 133.

Включение NetIQ Audit

Убедитесь в том, что выполнены предварительные условия аудита. Задайте параметр «Включить сервер NetIQ Audit», выберите события для протоколирования в iManager и нажмите кнопку Сохранить.

Внешний вид

На вкладке Внешний вид можно настроить вид интерфейса iManager. Эта информация хранится в файле TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.


Название заголовка

Введите в это текстовое поле название своей организации. Оно будет появляться в строке заголовка веб-навигатора вместо стандартного текста (NetIQ iManager).

Цвет строки заголовка

Цвет строки заголовка можно настроить:

Цвет заголовка. Позволяет выбрать цвет для отображения названия организации в строке заголовка.

Цвет слева. Позволяет выбрать цвет левой панели строки заголовка.

Цвет справа. Позволяет выбрать цвет правой панели строки заголовка.

Можно выбрать цвет, указав шестнадцатеричные значения в текстовом поле. Регистр символов при вводе не учитывается.

Расположение изображения логотипа

В строке заголовка также может быть логотип организации. Собственные логотипы должны соответствовать размерам, указанным в интерфейсе.

Изображения логотипов должны храниться в каталоге /portal/modules/fw/images. Введите путь к каждому изображению в соответствующее текстовое поле.

По умолчанию логотип не отображается в заголовке. Чтобы показать логотип в заголовке, установите флажок Можно не показывать логотип в заголовке. Чтобы скрыть изображение, снимите этот флажок.

Щелкните Сброс, чтобы вернуться к цветам и изображениям по умолчанию.

Чтобы сохранить настройки, щелкните Сохранить. В разделе Предварительный просмотр можно предварительно просмотреть все внесенные изменения.

Протоколирование событий

На вкладке Протоколирование событий можно настроить среду протоколирования iManager. Эта вкладка предоставляет доступ к двум параметрам протоколирования.

"Уровень протоколирования". Выберите типы сообщений для записи в журнал. Доступно четыре варианта: Без протоколирования, Ошибки, Ошибки и предупреждения и Ошибки, предупреждения и информационные сообщения.

ПРИМЕЧАНИЕ. Если для параметраУровень протоколирования выбран вариант Ошибки, предупреждения и информационные сообщения, в заголовке iManager будут отображаться параметры Просмотреть журнал отладки и Очистить журнал отладки.

Задайте параметры выходных данных протоколирования.

Выходные данные протоколирования. Выберите контекст назначения протоколируемых сообщений. Доступны три варианта: Отправить выходные данные протоколирования на стандартное устройство ошибок, Отправить выходные данные протоколирования на стандартное устройство вывода и Отправить выходные данные протоколирования в файл Debug.html.


На этой странице отображается путь к файлу журнала и размер этого файла. Чтобы просмотреть текущий файл журнала в формате HTML, выполните команду Просмотр. Чтобы очистить текущий файл журнала и обнулить его размер, выполните команду Очистить.

"Аутентификация"

На вкладке Аутентификация можно настроить страницу регистрации iManager. Эта вкладка предоставляет доступ к указанным ниже параметрам.

Запомнить учетные данные регистрации. Если этот параметр задан, для регистрации необходимо ввести только пароль.

Использовать защищенный LDAP для автоподключения. Если этот параметр задан, iManager при взаимодействии по протоколу LDAP использует протокол SSL. Если этот параметр не выбран, некоторые подключаемые модули, например Dynamic Groups и NMAS, не работают. Изменение этого параметра не вступает в силу до выхода из iManager.

Скрывать конкретную причину ошибки при регистрации. Если этот параметр задан, iManager заменяет сообщения eDirectory, связанные с аутентификацией, следующим универсальным сообщением: Ошибка регистрации. Неправильное имя пользователя или пароль. Дополнительные сведения см. в разделе "Предотвращение обнаружения имени пользователя" на стр. 133.

Разрешить выбор дерева на странице регистрации. Если этот параметр задан, на странице регистрации iManager отображается поле Дерево. Если этот параметр не задан, необходимо использовать стандартное имя дерева, в противном случае выполнить регистрацию не удастся.

"Бесконтекстная регистрация". Бесконтекстный вход позволяет пользователям входить в систему только с именем пользователя и паролем без знания всего контекста объекта "Пользователь". Пример: .admin.support.sales.netiq.

Если в дереве имеется несколько пользователей с одинаковым именем, то при бесконтекстной регистрации выполняется вход с использованием первой найденной в списке контейнеров, указанном пользователем, учетной записи пользователя с введенным паролем. Пользователь может изменить порядок списка контейнеров.

Если в дереве имеется несколько пользователей с одинаковым именем, пользователь при входе должен указать полный контекст или ограничить число контейнеров, в которых производится поиск при бесконтекстной регистрации.

Чтобы выполнить поиск пользователя, начиная с корня дерева каталога, задайте параметр Поиск от корня. Чтобы указать один или несколько контейнеров, в которых могут быть найдены объекты "Пользователь", задайте параметр Контейнеры поиска.

По умолчанию iManager подключается с правами общего доступа, не требуя никаких учетных данных. При желании для бесконтекстного поиска можно указать пользователя с определенными учетными данными. Если пользователь не указан, в iManager будет использоваться пользователь с общими правами доступа.

ЗАМЕЧАНИЕ. Если задан пользователь с общими правами доступа, внимательно ознакомьтесь с особенностями параметров, устанавливающих истечение срока действия пароля. Если для пользователя с общими правами доступа установлен ограниченный срок действия пароля, то по истечении этого срока будет невозможно изменить пароль этого пользователя при регистрации.


Настройки истечения времени ожидания сервера iManager: Если необходимо, чтобы время ожидания сервера iManager истекало через определенный период, укажите количество дней, часов и минут в соответствующих полях на странице "Аутентификация".

Если требуется, чтобы время ожидания не истекало, выберите параметр Never Timeout ("Время ожидания никогда не истекает").

Перенаправление после разрегистрации: Этот параметр на странице "Аутентификация" позволяет указать URL-адрес, на который будет произведено перенаправление после выхода из iManager. Укажите этот URL-адрес в поле URL-адрес. Если URL-адрес не указан, при нажатии кнопки "Выход" выполняется выход из iManager. По умолчанию отображается страница входа.

Перенаправление после разрегистрации

Выбор параметра Перенаправление после разрегистрации позволяет указать URL-адрес, на который будет произведено перенаправление после выхода из iManager. Если этот параметр не выбран, при нажатии кнопки "Выход" выполняется выход из iManager. По умолчанию отображается страница входа.

Включить: Выберите этот параметр, чтобы включить функцию "Перенаправление после разрегистрации".

URL: Укажите URL-адрес, на который будет произведено перенаправление после выхода из iManager.

Сервис административных функций

Сервис административных функций (RBS, Role-Based Services) назначает права на выполнение задач в eDirectory. Когда пользователю назначается функция, сервис административных функций по умолчанию предоставляет ему права, необходимые выполнения задач этой функции.

На вкладке RBS можно настроить указанные ниже параметры.

"Разрешить динамические группы". Если этот параметр задан, сервис административных функций разрешает динамическим группам быть членами функции. Дополнительную информацию о динамических группах см. в документе NetIQ eDirectory Administration Guide (Руководство по администрированию NetIQ eDirectory).

"Отображать функции в коллекциях владельцев". Если этот параметр задан, владельцы коллекций могут видеть все функции и задачи независимо от того, являются ли они их членами или нет. Если этот параметр не выбран, владельцы коллекций могут видеть только свои назначенные роли.

"Домен обнаружения функций". Этот параметр определяет, в какой части дерева iManager будет искать функции, назначенные члену.

Родитель: iManager ищет динамические группы до родительского контейнера.

Раздел: iManager ищет динамические группы до первого раздела eDirectory.

Корень: iManager ищет динамические группы по всему дереву.

"Домен обнаружения динамических групп". Этот параметр определяет, в какой части дерева iManager будет искать членство в динамической группе. После этого в найденных динамических группах проверяется принадлежность к функции.

"Родительский": iManager ищет функции в родительском контейнере пользователя.


https://www.netiq.com/documentation/edirectory-9/edir_admin/

https://www.netiq.com/documentation/edirectory-9/edir_admin/

Раздел: iManager ищет функции до первого раздела eDirectory.

Корень: iManager ищет функции по всему дереву.

"Тип поиска динамических групп". Этот параметр определяет тип динамических групп, в которых должен быть выполнен поиск принадлежности к функции.

Поиск только динамических групп: выполняется поиск объектов класса "Динамическая группа".

Объекты "Динамическая группа" и дополнительные классы: выполняется поиск объектов класса dynamicGroup или объектов класса dynamicGroupAux. В их число входят объекты "Группа", которые позже были преобразованы в динамические группы.

"Список деревьев RBS". Этот список автоматически заполняется именами деревьев eDirectory при аутентификации владельца коллекции или члена функции. Если сервис административных функций удаляется из дерева eDirectory, удалите соответствующее дерево из списка, чтобы вернуться в режим "Неназначенный доступ".

Загрузка подключаемых модулей

На вкладке Загрузка подключаемых модулей можно настроить указанные ниже параметры.

Проверять наличие новых подключаемых модулей NetIQ (NPM) в центре загрузки Novell. Этот параметр определяет, должен ли сервер iManager запрашивать информацию о наличии новых подключаемых модулей (NPM) в центре загрузки NetIQ (http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4).

Две кнопки-переключателя позволяют настроить эту функцию так, чтобы запрашивалась информация обо всех доступных модулях NPM или только об обновлениях уже установленных модулей NPM.

Загружать подключаемые модули с произвольного веб-сайта. Можно загружать подключаемые модули с произвольного веб-сайта, указав его адрес в поле "URL-адрес для загрузки".

Загрузка подключаемых модулей через прокси-сервер. Если серверы iManager работают за прокси межсетевого экрана, для доступа в Интернет клиентам следует указать прокси-сервер. Поддерживается только. Это — HTTP веб-прокси. Для загрузки подключаемых модулей необходимо на странице "Загрузка подключаемых модулей" выполнить следующие действия:

1 Установите флажок Включить прокси.

2 Заполните следующие поля.

Хост прокси: укажите IP-адрес прокси-сервера.

Порт прокси: укажите номер порта прокси-сервера.

Имя пользователя: укажите имя пользователя.

Пароль: укажите пароль.

Введите пароль еще раз. Укажите пароль еще раз в поле Введите пароль еще раз.

ЗАМЕЧАНИЕ. Подключаемые модули iManager несовместимы с предыдущими версиями iManager. Кроме того, пользовательские подключаемые модули, которые требуется использовать с iManager, должны быть перекомпилированы в среде iManager


http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

Прочее

На вкладке Прочее можно настроить следующие параметры.

Разрешить элемент "[Этот]". На этот параметр можно не обращать внимания. Он был добавлен в iManager, чтобы разрешить некоторым внутренним группам вносить изменения в их собственные объекты. [Этот] — это атрибут в дереве, разрешающий определенные функции самоадминистрирования. Если атрибут [этот] включен, все серверы eDirectory в дереве должны быть версии 8.6.2 или более поздней.

"URL-адрес eGuide". Данный параметр определяет URL-адрес eGuide. Этот адрес используется при нажатии кнопки запуска eGuide в заголовке, а также в задачах администрирования функций и задач eGuide. Необходимо указать полный URL-адрес (например, https://my.dns.name/eGuide/servlet/eGuide) или ключевое слово EMFRAME_SERVER. Если используется ключевое слово EMFRAME_SERVER, поиск eGuide осуществляется на том же сервере, где находится eMFrame.

Дополнительные сведения о eGuide см. на веб-сайте документации на Novell eGuide (http://www.novell.com/documentation/eguide212/index.html).

Сертификат

Чтобы выбрать уровень шифрования, основанный на требованиях безопасности, используйте вкладку Сертификат. Консоли iManager доступны следующие типы сертификатов.

RSA: Для данного сертификата используется пара 2048-битных ключей RSA. iManager позволяет настроить следующие уровни шифрования для варианта RSA.

НЕТ — позволяет использовать любой тип шифра.

НИЗКИЙ — позволяет использовать 56-разрядный или 64-разрядный шифр.

СРЕДНИЙ — позволяет использовать 128-разрядный шифр.

ВЫСОКИЙ — позволяет использовать шифры более 128 разрядов.

ECDSA 256: для данного сертификата используется пара ключей ECDSA с кривой secp256r1. iManager позволяет использовать только один уровень шифрования для ECDSA 256.

ТОЛЬКО SUITEB 128 — позволяет использовать любой тип шифра.

ECDSA 384: для данного сертификата используется пара ключей ECDSA с кривой secp384r1.

ПРИМЕЧАНИЕ. По умолчанию в Java не поддерживается шифрование AES с использованием 256-битного ключа. Чтобы использовать сертификаты ECDSA 384, выполните указанные ниже действия:

1. Загрузите и распакуйте Java Cryptography Extension (JCE) Unlimited Strength Policy Files 8.

2. Замените файлы local_policy.jar и US_export_policy.jar в папке безопасности Java (jdk1.8.xx/jre/lib/security) соответствующими файлами из распакованного архива.

3. Перезапустите сервер Tomcat.

SUITEB 128: позволяет использовать любой тип шифра.

SUITEB 192 — позволяет использовать 56-разрядный или 64-разрядный шифр.


http://www.novell.com/documentation/eguide212/index.html

По умолчанию выбран тип RSA и уровень шифрования ОТСУТСТВУЕТ. Для сертификатов ECDSA iManager позволяет настроить только шифры Suite B. При изменении сертификата необходимо перезапустить сервер Tomcat, чтобы это изменение вступило в силу.

ЗАМЕЧАНИЕ. По умолчанию Firefox не позволяет использовать уровень шифрования НИЗКИЙ.

Чтобы включить уровень шифрования НИЗКИЙ в веб-навигаторе Firefox, выполните следующие действия:

1 Откройте Firefox, введите в адресной строке команду about:config и нажмите клавишу Enter.

2 (Зависимый шаг) Если появляется предупреждение, нажмите кнопку I'll be careful, I promise! (Я буду действовать осторожно, обещаю!) для перехода на страницу about:config.

3 На странице about:config в списке Preference Name дважды щелкните параметр security.ssl3.rsa_rc4_128_md5, чтобы изменить его значение на True.

Это позволяет включить в веб-браузере Firefox алгоритмы шифрования уровня НИЗКИЙ.

Например, чтобы настроить только ВЫСОКИЙ уровень шифрования, измените значение параметра SSLCipherSuite следующим образом:

<VirtualHost _default_:443> -------------- ----------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- ---------------<VirtualHost>

Чтобы изменить уровни шифрования, можно использовать следующие префиксы:

+ : добавляет уровни шифрования и перемещает их в текущее место в списке.

- : удаляет уровень шифрования из списка (позднее его можно снова добавить).

! : полностью удаляет уровень шифрования из списка без возможности добавить позднее.

Дополнительную информацию см. в документации модуля Apache mod_ssl (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html):

Список создаваемых объектовКогда создается объект, предварительно настроенный список классов объектов регистрируется с помощью задачи «Создание объекта». Категория "Список создаваемых объектов" содержит следующие задачи.

"Добавление класса объектов в список создаваемых объектов" на стр. 87

"Удаление класса объектов из списка создаваемых объектов" на стр. 87


http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

Добавление класса объектов в список создаваемых объектов

Используйте эту задачу для добавления объектов в список создаваемых объектов. Он представляет собой список объектов, которые могут быть созданы в iManager с помощью задачи "Администрирование каталога" > "Создание объекта".

1 Выберите в разделе "Настройка" команду Список создаваемых объектов > Добавление класса объектов в список создания.

2 Выберите объект, который необходимо добавить, и нажмите кнопку Далее.

3 Проверьте определение XML, после чего нажмите кнопку "Готово", чтобы создать XML-файл.

Удаление класса объектов из списка создаваемых объектов

Используйте эту задачу для удаления объекта из списка создаваемых объектов. Он представляет собой список объектов, которые можно создать в iManager с помощью задачи «Администрирование каталога» > «Создание объекта».

1 В разделе «Настройка» выберите команду Список создаваемых объектов > Удаление класса объектов из списка создания.

2 Выберите объект для удаления и нажмите кнопку Далее.

3 Проверьте определение XML, после чего нажмите кнопку «Готово», чтобы удалить объект из списка создаваемых объектов.

Установка подключаемого модуляЕсли эта функция не видна в интерфейсе iManager, возможно, вы не являетесь авторизованным пользователем. См. "Авторизованные пользователи и группы" на стр. 80.

В iManager используются модули двух типов.

Подключаемые модули NetIQ (NPM). Эти модули представляют собой архивы, содержащие файлы для подключаемых к iManager модулей. При установке модулей NPM с помощью задачи "Доступные подключаемые модули NetIQ" функциональность iManager расширяется за счет подключаемого модуля.

Модули RBS. Модули RBS — это объекты в eDirectory, содержащие объекты "Задачи RBS" и "Книга RBS". Если в дереве eDirectory сконфигурирован сервис административных функций, выберите команду Настройка > Конфигурация RBS, чтобы установить модуль RBS после NPM. Это необходимо для того, чтобы стали доступны новые задачи, связанные с подключаемым модулем.

Под установкой модуля следует понимать только установку NPM. Дополнительную информацию об установке модулей NPM в ходе установки iManager см. в разделе "Общие сведения об установке подключаемых модулей iManager" документа Руководство по установке NetIQ iManager.


Доступные подключаемые модули NetIQ

На странице "Доступные подключаемые модули NetIQ" указываются все доступные подключаемые модули NPM, находящиеся в каталоге пакетов и на веб-сайте загрузки. Дополнительные сведения см. в "Загрузка подключаемых модулей" на стр. 84. Имя, версия и описание каждого модуля находятся в соответствующих файлах манифеста.

Подключаемые модули можно скрыть, выбрав подключаемые модули и нажав кнопку Скрыть. Также можно скрыть все подключаемые модули. Тогда на главной странице не будет выводиться уведомление Новые подключаемые модули iManager доступны для загрузки.

Можно также просмотреть список скрытых подключаемых модулей, нажав кнопку Показать скрытые. При необходимости можно отобразить скрытые подключаемые модули.

Установленные подключаемые модули NetIQ

В этом списке приводятся подключаемые модули Novell, установленные в iManager. Для каждого модуля в списке указываются имя, локальная версия и описание, найденное в текущем файле манифеста.

Далеко не все подключаемые модули входят в базовый комплект поставки iManager Большую часть подключаемых модулей iManager необходимо загружать отдельно. Однако в файл base.npm, который поставляется с iManager, включены следующие подключаемые модули.

Администрирование каталога

Разделы и реплики

Служба поддержки

Схема

Права

Пользователи

Группы

Дополнительные сведения см. в разделе Глава 5 на стр. 37: "Раздел "Функции и задачи"".

ЗАМЕЧАНИЕ. Чтобы подключаемый модуль работал правильно, его версия должна быть совместима с используемой версией iManager. Информацию о требованиях, предъявляемых к версии iManager определенным подключаемым модулем, см. в прилагаемой к нему документации.

Например, подключаемые модули для iManager несовместимы с предыдущими версиями iManager. Кроме того, пользовательские подключаемые модули, которые требуется использовать с iManager, должны быть перекомпилированы в среде iManager

Загрузка и установка подключаемых модулейiManager позволяет загружать и устанавливать новые подключаемые модули и обновления имеющихся модулей, не выходя из iManager. iManager раз в неделю автоматически проверяет веб-сайт загрузки NetIQ на наличие новых подключаемых модулей.


ПРИМЕЧАНИЕ. Подключаемые модули не тиражируются между серверами iManager. Рекомендуется устанавливать необходимые подключаемые модули на каждом сервере iManager.

Чтобы загрузить и установить один или несколько подключаемых модулей, выполните указанные ниже действия.

1 Запустите iManager и зарегистрируйтесь.

2 Выберите в разделе "Настройка" команду Установка подключаемых модулей > Доступные подключаемые модули NetIQ.

В области содержимого указываются все доступные подключаемые модули iManager. iManager раз в неделю автоматически проверяет веб-сайт загрузки Novell на наличие обновленных подключаемых модулей. Однако этот список можно также обновить в любой момент, щелкнув ссылку Обновить.

3 (Необязательно) Если нужно установить подключаемый модуль с локального диска, нажмите кнопку Добавить, затем выберите требуемый файл NPM.


Будет выполнен возврат на страницу "Доступные подключаемые модули NetIQ".

5 Выберите нужный подключаемый модуль и выполните команду "Установить".

Расположение файла показывает, получен ли модуль из локального каталога или с веб-сайта загрузки Novell. Если выбрать для установки хотя бы один подключаемый модуль, у которого местоположением файлов является источник Загружаемые файлы NetIQ, будет отображена страница лицензионного соглашения для подключаемых модулей NetIQ iManager. Чтобы продолжить установку, установите переключатель Принимаю и нажмите кнопку ОК.

ПРИМЕЧАНИЕ. Установка подключаемого модуля с веб-сайта центра загрузки Novell может занять несколько минут. Это время зависит от скорости соединения и количества устанавливаемых подключаемых модулей. Сведения о времени загрузки выводятся в строке состояния.

6 По завершении установки перезапустите службу Tomcat.

Для полной инициализации Tomcat иногда требуется несколько минут. Подождите как минимум 5 минут перед попыткой регистрации в iManager.


7 Убедитесь в том, что новая функция отображается на странице функций и задач.

Для добавления членов в новую функцию используйте задачу изменения ассоциации членов.

Действия, выполняемые, если сервис административных функций сконфигурирован

ЗАМЕЧАНИЕ. Перед повторной установкой существующего подключаемого модуля необходимо удалить объект "rbsModule" этого модуля из eDirectory, используя задачу Конфигурация модуля > Удаление модуля RBS.

1 Выберите в разделе "Настройка" команду Сервис административных функций > Конфигурация RBS.


Устаревшие модули указываются в таблице на вкладке "Коллекции 2.X".

2 Чтобы обновить их, выберите для обновляемой коллекции число в столбце "Устарел".

Появится список устаревших модулей.

3 Выберите модули, которые нужно обновить, и нажмите кнопку "Обновить" в верхней части таблицы.

Удаление подключаемого модуля

1 Выберите в разделе "Настройка" команду Установка подключаемых модулей > Установленные подключаемые модули NetIQ.

2 Выберите подключаемый модуль и нажмите кнопку "Удалить".

3 Перезапустите сервер Tomcat.


Информацию о том, как удалить подключаемый модуль вручную, см. в документе TID #7006125 (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657).

Настройка места загрузки подключаемых модулей

Если прокси-сервер или брандмауэр не позволяет iManager связаться с веб-сайтом центра загрузки NetIQ, можно создать репозиторий для загруженных подключаемых модулей. Это позволяет хранить подключаемые модули на локальном веб-сервере или в общей папке файловой системы.

Для этого лучше всего использовать в качестве шаблона файл-описатель в формате XML, шаблон которого доступен на веб-сайте загрузки (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml). Дополнительную информацию о файле-дескрипторе iManager см. в разделе "Общие сведения об установке подключаемых модулей iManager" документа Руководство по установке NetIQ iManager.

Чтобы настроить локальный репозиторий подключаемых модулей, сохраните файл-описатель на локальном компьютере. Затем откройте этот файл и скопируйте URL-адрес каждого подключаемого модуля, который нужно сделать доступным локально, в адресную строку веб-навигатора, чтобы загрузить файл. После загрузки всех нужных подключаемых модулей измените локальную копию файла-описателя в соответствии с новыми URL-адресами всех загруженных модулей.

URL-адрес подключаемого модуля может быть ссылкой HTTP или путем в файловой системе. Например:

Файловая система Windows

<url><![CDATA[file:///c:\iManager_plugins\NMAS.npm]]></url>

Файловая система Linux

<url><![CDATA[file:///home/admin/iManager_plugins/NMAS.npm]]></url>


http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657

http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657

http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

Ссылка HTTP

<url><![CDATA[http://192.168.0.136/iManager_plugins/NMAS.npm]]></url>

Указание локального файла-описателя

Во время или после установки iManager можно указать собственный файл-описатель.

В ходе установки на этот файл можно перенаправить URL-адрес загрузки подключаемых модулей iManager Чтобы сделать это, просто измените URL-адрес на странице "Подключаемые модули для загрузки и установки" так, чтобы он указывал на пользовательский файл-описатель, и нажмите кнопку Перейти.

ПРИМЕЧАНИЕ. Если в области загрузки подключаемого модуля появится сообщение Подключаемые модули не найдены или сервер недоступен, причиной этого может быть отсутствие обновленных подключаемых модулей на веб-сайте центра загрузки Novell или невозможность подключения программы установки к веб-сайту novell.com. Проверьте соединение с Интернетом.

После установки iManager URL-адрес загрузки подключаемых модулей можно изменить, отредактировав файл <ДОМАШНИЙ_КАТАЛОГ_TOMCAT>\webapps\nps\WEB-INF\config.xml. Например:

Файловая система Windows

<setting>

<name><![CDATA[ModuleDownloadDescriptorURL]]></name>

<value><![CDATA[file:///c:\iManager_plugins\custom.xml]]></value>

</setting>

Файловая система Linux

<setting>


<value><![CDATA[file:///home/admin/iManager_plugins/custom.xml]]></value>

</setting>

Ссылка HTTP

<setting>


<value><![CDATA[http://192.168.0.136/iManager_plugins/custom.xml]]></value>

</setting>

ЗАМЕЧАНИЕ. При использовании iManager Workstation для загрузки подключаемого модуля стороннего производителя по защищенному соединению (HTTPS) обязательно импортируйте сертификат веб-сайта загрузки, в противном случае установить защищенное соединение не удастся.


Оповещения по электронной почтеЭта функция позволяет выбрать специфические для определенного подключаемого модуля задачи, оповещение о каждом случае выполнения которых хочет получать пользователь. Задачи устанавливаются самим подключаемым модулем. Вы решаете получать или не получать оповещения и указываете, кого еще следует оповещать о выбранных событиях. Сначала необходимо настроить почтовый сервер.

СОВЕТ. При выборе определенных параметров в почтовый ящик будет поступать очень много сообщений.

Конфигурация почтового сервера

При настройке почтового сервера задаются следующие параметры SMTP-сервера для оповещений о событиях.

1 Выберите в разделе "Настройка" команду Оповещения по электронной почте > Конфигурация почтового сервера.

2 Укажите параметры почтового сервера и нажмите кнопку ОК.

"Адрес отправителя". Этот параметр определяет адрес, выводимый в поле "От" сообщения электронной почты iManager.

"Основной почтовый сервер". Этот параметр определяет IP-адрес или имя почтового сервера (например, smtp.novell.com). Кроме того, необходимо указать имя пользователя и пароль, которые iManager будет использовать для доступа к SMTP-серверу.

Дополнительный почтовый сервер: Этот параметр определяет дополнительный почтовый сервер. Укажите для него ту же информацию, что и для основного почтового сервера.

Оповещения о событиях задач

Подключаемые модули, задачи которых указаны в их XML-файлах, на этой странице автоматически регистрируют события задач.

1 Выберите в разделе "Настройка" команду Оповещения по электронной почте > Оповещения о событиях задач.

2 В поле Адрес электронной почты укажите через запятую адреса, на которые следует отправить оповещение.

3 Выбрать событие.

Появится экран "Свойства событий задач".

4 Введите в соответствующие поля тему сообщения электронной почты и само сообщение.

5 В поле Дополнительные адреса электронной почты введите через запятую дополнительные адреса, на которые следует отправить оповещение.

6 Если необходимо, чтобы список адресов, указанный на этапе 2, был проигнорирован, а сообщение было разослано только по адресам, указанным на этой странице, установите флажок Переопределять значения по умолчанию и отправлять оповещения только на эти адреса.


"Разделы"Если эта функция не видна в интерфейсе iManager, возможно, вы не являетесь авторизованным пользователем. См. "Авторизованные пользователи и группы" на стр. 80.

Разделы iManager — это страницы управления, доступные с помощью кнопок в фрейме заголовка iManager. Иногда целесообразно заблокировать для пользователей доступ к некоторым разделам, таким как Просмотр объектов или Настройка.

По умолчанию все разделы наследуют параметры родительского набора.

Показ и скрытие разделов iManager

1 Выберите в разделе "Настройка" команду Разделы > Разделы iManager.

2 Укажите имя контейнера, доступ к представлениям которого нужно ограничить, или найдите этот объект с помощью инструмента выбора объектов, затем нажмите кнопку ОК.

3 Настройте параметры раздела и нажмите кнопку ОК.

Можно выбрать один из трех вариантов.

"Не установлено" — состояние раздела явно не задается. Этот вариант используется по умолчанию.

"Скрыть" — раздел скрывается.

"Показать" — раздел отображается.

Чтобы применить к объекту параметры его родительского контейнера, задайте параметр Чтение родительских контейнеров данного объекта. Если он задан, параметры родительского контейнера имеют более высокий приоритет, чем локальные параметры объекта.

Включение и отключение использования представления "Identity Manager" в iManager в качестве представления по умолчанию на серверах с включенной функцией Identity Manager

Чтобы включить представления iManager, выполните следующие действия.

1 Остановите сервер Tomcat.

2 Откройте файл /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 В XML-файле задайте следующие параметры конфигурации:

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[true]]></value>

</setting>

4 Запустите сервер Tomcat.

ПРИМЕЧАНИЕ. По умолчанию для параметра "IS_IDM_VIEW_AS_DEFAULT" задано значение "true".


Чтобы отключить представления iManager, выполните следующие действия.

1 Остановите сервер Tomcat.

2 Откройте файл /var/opt/novell/iManager/nps/WEB-INF/config.xml.

3 В XML-файле задайте следующие параметры конфигурации:

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[false]]></value>

</setting>

4 Запустите сервер Tomcat.


7 7"Параметры"

В разделе "Параметры" можно настроить параметры консоли iManager, определяющие ее внешний вид. Этот раздел предоставляет доступ к указанным ниже задачам.

"Управление избранным" на стр. 95

"Выбор объектов" на стр. 95

"Просмотр объектов" на стр. 96

"Установка начального раздела" на стр. 97

"Язык" на стр. 97

Управление избраннымДанная задача позволяет настроить раздел "Избранное", в котором отображается пользовательский набор часто используемых задач.

1 Выберите в разделе "Параметры" команду Управление избранным.

2 Выберите нужные задачи в поле Задачи и переместите их в поле Избранное.

Для перемещения задачи дважды щелкните ее или выделите ее и воспользуйтесь значками со стрелками.

Чтобы раздел "Избранное" использовался как основная страница iManager, задайте параметр Сделать избранное начальным разделом.


Выбор объектовЭта задача позволяет настроить параметры инструмента выбора объектов.

"Размер окна". Этот параметр определяет ширину и высоту окна инструмента выбора объектов, а также ширину его левого столбца (в пикселах).

Пользовательские значения по умолчанию. Эти значения определяют параметры инструмента выбора объектов, действующие по умолчанию, включая указанные ниже.

"Режим запуска". Определяет, какая вкладка отображается первоначально: Просмотр или Поиск.

"Число результатов на странице". Определяет число результатов, отображаемых на странице.

"Начальный контекст". Определяет контейнер по умолчанию, для которого открывается инструмент выбора объектов.

"Поиск при запуске". Определяет первоначальные операции поиска, выполняемые при открытии вкладки Поиск инструмента выбора объектов.

"Параметры" 95

"Счетчик подчиненных". Включает или отключает показ общего числа объектов рядом с каждым объектом-контейнером, отображаемым в инструменте выбора объектов. Если выбран этот параметр, iManager возле имени контейнера отображает в скобках счетчик подчиненных объектов.

ПРИМЕЧАНИЕ. При подсчете подчиненных объектов назначенные права во внимание не принимаются, поэтому число объектов, доступных для просмотра, может отличаться от значения счетчика.

Просмотр объектовЭта задача позволяет настроить параметры инструмента просмотра объектов.

"Ширина столбца". Определяет ширину столбца инструмента просмотра объектов (в пикселах).

"Режим запуска". Определяет, какая из вкладок — "Просмотр", "Поиск" или "Дерево" — отображается при запуске.

"Режим выбора". Определяет для инструмента просмотра объектов первоначальный режим выбора объектов: один объект или несколько.

"Панель навигации (левая сторона)". Определяет число результатов, отображаемых в фрейме навигации. Действие этого параметра распространяется на все вкладки в инструменте просмотра объектов. Его значение может находиться в диапазоне от 1 до 500.

Панель содержимого "Дерево" (правая сторона). Определяет число результатов, отображаемых на одной странице в области содержимого. Действие этого параметра распространяется только на вкладку "Дерево" в инструменте просмотра объектов. Его значение может находиться в диапазоне от 1 до 500.

"Начальный контекст". Определяет контейнер каталога по умолчанию, для которого открывается инструмент просмотра объектов. Его можно открывать для контейнера, который использовался последним, или всегда открывать для одного и того же контейнера.

"Поиск при запуске". Определяет первоначальные операции поиска, выполняемые при открытии инструмента просмотра объектов для вкладки Поиск.

"Счетчик подчиненных". Включает или отключает показ общего числа объектов рядом с каждым объектом-контейнером, отображаемым в инструменте выбора объектов. Если выбран этот параметр, iManager возле имени контейнера отображает в скобках счетчик подчиненных объектов.

Действие этих параметров распространяется на фрейм навигации вкладки "Дерево" и окно результатов вкладок "Просмотр" и "Поиск" в инструменте просмотра объектов.

ПРИМЕЧАНИЕ. При подсчете подчиненных объектов назначенные права во внимание не принимаются, поэтому число объектов, доступных для просмотра, может отличаться от значения счетчика.

96 "Параметры"

Установка начального разделаПозволяет указать раздел, отображаемый при первой регистрации в iManager. Если ничего не выбрано, то в разделе Функции и задачи будет по умолчанию отображаться начальный раздел. Начальный раздел после входа в iManager зависит от выбранных параметров.

ЯзыкПозволяет указать язык iManager. Чтобы при следующем запуске iManager использовался этот же язык, установите данный флажок. Чтобы постоянно использовался один и тот же язык, укажите язык по умолчанию в веб-навигаторе.

ПРИМЕЧАНИЕ. Подключаемые модули будут работать некорректно, если первый (верхний в списке) язык в языковых настройках веб-навигатора не поддерживается в iManager.

Во избежание проблем выберите в веб-навигаторе команду Сервис > Свойства > Языки (или аналогичную) и укажите в качестве первого предпочтительного языка в списке язык, поддерживаемый iManager.

"Параметры" 97

8 8Поиск и устранение проблем

В этом разделе приведены некоторые советы по поиску и устранению проблем, основанные на тестировании iManager в компании NetIQ. Советы приводятся в алфавитном порядке по следующим темам:

"Проблемы при аутентификации" на стр. 100

"Доступ к объектам сервера NCP" на стр. 104

"Удаление и повторное создание учетных записей пользователей с одним и тем же именем (Windows XP/2000)" на стр. 105

"При создании книги свойств с некорректными символами в имени появляется сообщение об ошибке DNS 630" на стр. 105

"Ошибки задач обслуживания eDirectory" на стр. 105

"Включение сообщений об отладке для установки и настройки" на стр. 105

"Протокол автоматически не синхронизируется по нескольким одновременным регистрациям пользователей" на стр. 106

"После установки Groupwise 7.0 WebAccess (Windows Server 2000/2003) iManager не работает" на стр. 106

"Ошибки отсутствующих атрибутов, объектов и значений" на стр. 106

"В разделе "Настройка" не отображаются функции или задачи" на стр. 107

"Запуск eDirectory и iManager на одном компьютере (только Windows)" на стр. 108

"При установке нескольких подключаемых модулей появляется сообщение "Сервис недоступен"" на стр. 109

"Сервер Tomcat" на стр. 109

"Ошибка “Не удалось определить состояние функции универсальных паролей”" на стр. 110

"Не отображается информация в iManager Workstation" на стр. 110

"Иногда не работает кнопка "Обновить"" на стр. 111

"Процесс установки подключаемых модулей перестает отвечать на запросы или подключаемые модули не установлены должным образом" на стр. 111

"Проблема со входом при смене IP-адреса дерева" на стр. 112

"Недостаточный размер кучи Java приводит к сбою при входе" на стр. 113

"После закрытия обозревателя iManager Workstation отображаются сообщения об ошибках Java" на стр. 113

"iManager и LDAP используют разные диапазоны дат" на стр. 114

"Создание контекста Secure SSL LDAP Context при изменении динамической группы заканчивается сбоем" на стр. 114

"Подключаемый модуль iManager для eDirectory не работает, если сервер LDAP использует сертификат, выданный сторонним центром сертификации" на стр. 115

Поиск и устранение проблем 99

Проблемы при аутентификацииАутентификация — сложная тема, и возможность успешного выполнения первоначальной регистрации в iManager может зависеть от сетевой инфраструктуры. Приведенные ниже сведения помогут вам свести к минимуму вероятность возникновения проблем, связанных с аутентификацией. Дополнительные сведения по темам, связанным с аутентификацией, см. в документации к серверу NetIQ Modular Authentication Service (NMAS) (https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html) и документации к NetIQ eDirectory (https://www.netiq.com/documentation/edir88/).

В iManager аутентификация является операцией, зависимой от платформы. Иначе говоря, на разных платформах аутентификация может выполняться по-разному.

Серверы Linux и Windows. Если iManager выполняется на сервере Linux или Windows, используется унаследованный механизм аутентификации eDirectory и обычный пароль eDirectory. Этот механизм поддерживает параметр "Универсальный пароль eDirectory", но не поддерживает параметр "Простой пароль".

Рабочая станция iManager. Рабочая станция iManager выполняется на клиентской рабочей станции Linux или Windows и использует клиент NMAS, позволяющий применять универсальный пароль, если эта функция настроена.

При первоначальной аутентификации iManager не использует протокол LDAP. Вместо этого используется закрытый протокол аутентификации eDirectory. Однако после первоначальной аутентификации iManager может по мере необходимости создавать соединения LDAP с eDirectory, чтобы к каталогу могли получать доступ установленные подключаемые модули, нуждающиеся в доступе по протоколу LDAP.

Аутентификация с использованием простого пароля eDirectory в iManager не поддерживается.

При аутентификации в iManager могут появляться сообщения об ошибках, описанные ниже. В каждом разделе, посвященном тем или иным ошибкам, обсуждаются возможные причины их возникновения.

"Ошибки HTTP 404" на стр. 101

"Ошибки HTTP 500" на стр. 101

"Сообщения об ошибке 601" на стр. 101





"Поле "Имя дерева"" на стр. 102

"Регистрация на сервере, не содержащем реплику" на стр. 103

"Неуспешная аутентификация" на стр. 103

"Информация о просроченном пароле" на стр. 103

"Бесконтекстная регистрация с использованием альтернативных классов объектов или альтернативных атрибутов" на стр. 103

100 Поиск и устранение проблем

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/

Ошибки HTTP 404

Если при первой попытке обращения к iManager возникает ошибка 404, необходимо проверить, какие порты использует сервер Apache. расположение конфигурационных файлов может быть разным. Оно зависит от того, как была установлена консоль iManager и какой сервер был выбран: Apache или IIS. Сервер Apache использует файл httpd.conf или файл ssl.conf. Информацию о настройке портов IIS см. в документации Майкрософт.

Ошибки HTTP 500

Внутренняя ошибка сервера или ошибка контейнера сервлетов (сообщение о том, что они недоступны или обновляются) свидетельствует об одной из двух возможных проблем при взаимодействии iManager с сервером Tomcat.

Сервер Tomcat не был полностью инициализирован после перезагрузки.

При запуске сервера Tomcat возник сбой.

Подождите несколько минут, а затем попытайтесь еще раз получить доступ к iManager. Если возникают прежние ошибки, проверьте состояние сервера Tomcat.

Проверка состояния сервера Tomcat



2 Проверьте журналы Tomcat на наличие ошибок.

На платформах UNIX, Linux и Windows файлы журналов расположены в каталоге $tomcat_home$/logs. В UNIX и Linux файлы журналов называются catalina.out или localhost_log.date.txt. в Windows файлы журналов называются stderr и stdout.

Сообщения об ошибке 601

Введенное имя объекта невозможно найти в указанном контексте.

Возможные причины проблемы:

Может быть отключен режим бесконтекстной регистрации.

Объект "Пользователь" может отсутствовать в списке сконфигурированных контейнеров поиска. Следует попросить администратора добавить ваше расположение к контейнерам поиска для бесконтекстной регистрации или регистрироваться с полным контекстом.


Пароль NDS отключен в политике универсального пароля. При данная проблеме также может появляться сообщение об ошибке 222.

Предотвратить возникновение этой проблемы при использовании рабочей станции iManager можно, установив клиент , который позволяет iManager использовать механизм аутентификации, основанный на применении универсального пароля, вместо унаследованного способа аутентификации eDirectory.



Эта ошибка представляет собой системный сбой, имеющий несколько возможных причин (http://www.novell.com/documentation/nwec/).


Целевой сервер не имеет копии того, что запрашивает исходный сервер, или на исходном сервере нет объектов, требуемых в запросе, и нет ссылок, по которым можно провести поиск.


Указано неверное дерево или IP-адрес. При использовании IP-адреса убедитесь в том, что указана информация о порте (в случае использования для eDirectory нестандартного (отличного от 524) порта).

iManager не может обнаружить дерево или IP-адрес до тайм-аута. Если введенное имя дерева вызывает ошибку, используйте IP-адрес.


Использован неправильный пароль, произошел сбой аутентификации, один сервер попытался провести синхронизацию с другим, но база данных целевого сервера была заблокирована, или существует проблема с удаленным ИД или общим ключом.


Введен неверный пароль.

В дереве имеются несколько пользователей с одним и тем же именем пользователя. При бесконтекстной регистрации система пытается выполнить регистрацию, используя первую же найденную учетную запись пользователя с введенным паролем. В этом случае при регистрации необходимо ввести полный контекст или ограничить число контейнеров, в которых производится поиск при бесконтекстной регистрации.

Поле "Имя дерева"

Если eDirectory использует порт, отличный от порта по умолчанию 524, можно указать IP-адрес или DNS-имя сервера eDirectory плюс номер порта для входа. Пример:

Для IPv4-адреса:

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true


https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

Если для регистрации используется имя дерева, порт указывать не требуется.

Возможные значения поля "Имя дерева": имя дерева, IP-адрес сервера и DNS-имя сервера. Лучше всего использовать IP-адрес.


http://www.novell.com/documentation/nwec/

Регистрация на сервере, не содержащем реплику

В случае необходимости iManager может регистрироваться в дереве eDirectory с использованием сервера, не содержащего реплики eDirectory. Для этого в iManager поддерживается кэш соединений с информацией, необходимой для регистрации. Чтобы заполнить кэш соединений, при первой регистрации в дереве eDirectory с помощью iManager необходимо зарегистрироваться на сервере, содержащем реплику.

При перезапуске сервера Tomcat или iManager кэш соединений очищается, поэтому при первой регистрации с помощью iManager после одного из этих событий необходимо зарегистрироваться на сервере, содержащем реплику.

Неуспешная аутентификация

Сбои при регистрации могут происходить по разным причинам. Сообщения об ошибках аутентификации приводятся в разделе "Проблемы при аутентификации" на стр. 100.

Информацию о том, как ограничить число сообщений об ошибках, отображаемых в iManager при сбое аутентификации, см. в разделе "Предотвращение обнаружения имени пользователя" на стр. 133.

Информация о просроченном пароле

Если срок действия пароля истекает, пользователю выдается соответствующее сообщение. Однако пользователи могут не знать, что количество регистраций с просроченным паролем может быстро кончиться, если выполнять такие операции, как изменение динамической группы, простой поиск и установка простого пароля.

Эти операции требуют повторной регистрации всякий раз, когда пользователь выполняет соответствующую задачу. Настоятельно рекомендуется убедить пользователей менять пароли сразу после появления первого предупреждающего сообщения.

Бесконтекстная регистрация с использованием альтернативных классов объектов или альтернативных атрибутов

Чтобы включить бесконтекстную аутентификацию с использованием альтернативного типа объектов, выполните указанные ниже действия.

1 Запустите консоль iManager и откройте задачу "Настройка" > "Сервер iManager" > "Настройка iManager" > "Аутентификация".

Если эта задача не видна, вы не являетесь авторизованным пользователем. См. раздел "Авторизованные пользователи и группы" на стр. 80.

2 Задайте параметры Имя общедоступного пользователя и Пароль в соответствии с данными пользователя, имеющего права на чтение нужных атрибутов.

3 Добавьте в файл <ДОМАШНИЙ_КАТАЛОГ_TOMCAT>\webapps\nps\WEB-INF\config.xml свойство <Setting> с указанием атрибутов, которые нужно добавить в бесконтекстный поиск, затем перезапустите сервер Tomcat.

Информацию о перезапуске сервера Tomcat см. в разделе "Запуск и прекращение работы сервера Tomcat" на стр. 109


Например, следующий XML-код добавляет в бесконтекстный поиск объекты "Псевдоним" и "Пользователь":

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name> <value><![CDATA[User]]></value> <value><![CDATA[Alias]]></value></setting>

Следующий XML-код позволяет пользователям выполнять регистрацию с использованием полного имени CN или атрибута uniqueID:

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name> <value><![CDATA[CN]]></value> <value><![CDATA[uniqueID]]></value></setting>

ЗАМЕЧАНИЕ.

В приведенных выше фрагментах кода имя_дерева следует заменить именем соответствующего дерева каталога в нижнем регистре.

При сохранении параметров сервера iManager в задаче Настройка iManager после редактирования файла config.xml убедитесь, что имя дерева по-прежнему указано в нижнем регистре. В противном случае настроенный бесконтекстный вход работать не будет.

Доступ к объектам сервера NCPДля повышения производительности объектов сервера NCP необходимо отключить параметр Изменение расположения индекса.

Чтобы отключить параметр Изменение расположения индекса, выполните следующие действия:

1 Откройте файл config.xml в каталоге <ДОМАШНИЙ_КАТАЛОГ_TOMCAT>/webapps/nps/WEB-INF/.

2 Добавьте следующее содержимое в файл config.xml.

<setting> <name><![CDATA[IndexManagerPlugin_ModifyObjectTask_Disabled]]></name> <value><![CDATA[true]]></value></setting>

3 Сохраните изменения и перезапустите сервер Tomcat.


ПРИМЕЧАНИЕ. Чтобы изменить индексы объектов сервера NCP, выберите Функции и задачи > Обслуживание eDirectory > Индексы > Объекты сервера NCP > Индексы > Изменение расположения индекса.


Удаление и повторное создание учетных записей пользователей с одним и тем же именем (Windows XP/2000)

Если одна или несколько учетных записей пользователей Windows были удалены, а затем заново созданы с теми же именами, выполните указанные ниже действия, чтобы можно было использовать рабочую станцию iManager с заново созданными учетными записями.

1 Зарегистрируйтесь как член группы администраторов.

2 Получите полные права доступа к каталогу \system32\novell\nici\ имя_пользователя. В Windows 2000 и Windows XP абсолютный путь к этому каталогу различается.

3 Удалите этот каталог.

При следующей регистрации пользователя этот каталог будет автоматически создан заново с использованием ключей NICI заново созданной учетной записи пользователя, и пользователь сможет запускать iManager Workstation.

При создании книги свойств с некорректными символами в имени появляется сообщение об ошибке DNS 630

Если попытаться создать книгу свойств с именем, содержащим некорректные специальные символы, может появиться сообщение об ошибке DNS 603. Дополнительные сведения об именовании книги свойств см. в разделе "Создание книги свойств" на стр. 68.

Ошибки задач обслуживания eDirectoryВыполнение задач обслуживания eDirectory требует, чтобы для администрируемого дерева в iManager был настроен сервис административных функций (RBS). Информацию о настройке RBS см. в разделе Глава 4 на стр. 25: "Просмотр объектов".

Дополнительную информацию см. в разделе The eDirectory Management Toolbox документа NetIQ eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0) (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html).

Включение сообщений об отладке для установки и настройки

Если произошел сбой установки, для поиска ошибок необходимо включить режим сообщений об отладке.

Linux: экспортируйте строку LAX_DEBUG=true в терминальный сеанс, в котором запускается программа iManager InstallAnywhere.

Windows: нажмите при запуске программы iManager InstallAnywhere клавишу Ctrl и удерживайте ее нажатой до появления окна отладки.






Протокол автоматически не синхронизируется по нескольким одновременным регистрациям пользователей

Этой проблемы можно избежать путем использования двух экземпляров одного и того же веб-навигатора (например, двух экземпляров Firefox или Mozilla, но только не Internet Explorer). Книга протокола будет совместно использоваться обоими экземплярами.

После установки Groupwise 7.0 WebAccess (Windows Server 2000/2003) iManager не работает

Если в системе Windows 2000 или 2003 Server с IIS версии 5 или 6 установить Groupwise 7.0 WebAccess на IIS, произойдет автоматическая установка Tomcat 5.5.

В начале процесса установки программа установки iManager обнаруживает, что IIS и Tomcat доступны для использования. Программа установки сообщает о невозможности остановить службу iisadmin. В конце процесса установки программа установки сообщает о невозможности запуска службы Tomcat.

После завершения установки программа Groupwise WebAccess будет работать, а iManager — нет (ошибка HTTP 404: страница не найдена).

Решение: не устанавливайте iManager и Groupwise на один сервер.

Ошибки отсутствующих атрибутов, объектов и значений

При большой установке с задержками синхронизации можно заставить iManager взаимодействовать с главной репликой. Это гарантирует доступ ко всем атрибутам, объектам и значениям, которые были недавно добавлены или изменены. Использование данной процедуры не рекомендуется при обычной работе с iManager, но может быть полезно при задержках синхронизации.

Чтобы использовать этот параметр при регистрации в iManager, добавьте к URL-адресу после загрузки страницы регистрации элемент &forceMaster=true. Этот параметр также можно включить в файле ДОМАШНИЙ_КАТАЛОГ_TOMCAT\webapps\nps\WEB-INF\config.xml . Например:


https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true


https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

После внесения изменений в файл config.xml необходимо перезапустить сервер Tomcat. Информацию о перезапуске сервера Tomcat см. в разделе "Запуск и прекращение работы сервера Tomcat" на стр. 109.


В разделе "Настройка" не отображаются функции или задачи

Если перечисленные ниже функции и задачи отсутствуют в разделе "Настройка", проверьте, являетесь ли вы авторизованным пользователем. Дополнительные сведения см. в разделе "Авторизованные пользователи и группы" на стр. 80.

Функции и задачи, которые могут отсутствовать

Задача "Настройка iManager"

Функция "Список создаваемых объектов"

Функция "Установка подключаемых модулей"

Функция "Оповещение по электронной почте"

Функция "Разделы"

Возможные причины того, почему вы не являетесь авторизованным пользователем

Вы переименовали свое дерево.

Внесите изменения в файл configiman.properties; измените имя дерева для каждого пользователя.

Во время установки iManager введена неправильная информация об авторизованном пользователе.

Внесите изменения в файл configiman.properties, добавив правильное имя пользователя, включающее имя дерева.

Файл configiman.properties поврежден по неизвестной причине.

Удалите файл configiman.properties и либо создайте его заново с правильной информацией, либо зарегистрируйтесь в iManager и выберите в разделе Настройка команду Сервер iManager > Настройка iManager. На странице "Защита" добавьте авторизованных пользователей в систему, используя поиск по дереву, или, если точно знаете полный путь к пользователю, введите путь вручную.

Разрешения на доступ к файлу configiman.properties были изменены, чтобы запретить iManager читать этот файл.

Измените разрешения на доступ к файлу в соответствии с разрешениями на доступ к файлам из этого же каталога.

Администратор не добавил Вас как авторизованного пользователя.

Попросите добавить Вас в список авторизованных пользователей. Дополнительные сведения см. в разделе "Авторизованные пользователи и группы" на стр. 80.


Запуск eDirectory и iManager на одном компьютере (только Windows)

Если программа iManager была установлена до установки eDirectory, то при использовании iManager, LDAP(S) или HTTP(S) для доступа к eDirectory могут появиться приведенные ниже сообщения об ошибках.

-340 error when trying to access encrypted attributes with iManager

LDAP : SSL_CTX_use_KMO failed. Стек ошибок: error:1412D0D4:Операции SSL:SSL_CTX_use_KMO:прочитан неправильный тип пакета (err = -1418)

HTTP : 0016 Не удалось выполнить операцию TLS, err: 1, result: -1 -- HTTP : -- error:1408A0C1:Операции SSL:SSL3_GET_CLIENT_HELLO:нет общего шифра

HTTP : 0017 Не удалось выполнить операцию TLS, err: 1, result: -1 -- HTTP : -- error:1406B0BD:Операции SSL:GET_CLIENT_MASTER_KEY:нет закрытого ключа

HTTP : не удается получить доступ к сертификату и ключу сервера, подтверждения завершатся сбоем -- HTTP : -- error:1412D0D4:Операции SSL:SSL_CTX_use_KMO:прочитан неправильный тип пакета

Limber : ошибка при установке сертифката SSL DNS имени материала ключа NCP на сервер, Err: сбой, -340 (0xfffffeac)... Limber : ошибка при syncKeyMaterialInfo -340 (0xfffffeac)

Данная проблема может быть связана с тем, что не была выполнена первоначальная настройка системы eDirectory. Пользователь, установивший eDirectory, и пользователь, запускающий сервер eDirectory, должны согласовывать настройку eDirectory. Как правило, программа eDirectory устанавливается с учетной записью администратора и выполняется с учетной записью SYSTEM. Устранить проблему можно вручную, но для этого необходимо разбираться в работе eDirectory, iManager, NICI и других установленных программных продуктов. Безопасно ли выполнять приведенные ниже действия, вы должны решить сами. Кроме того, вам следует ознакомиться с документацией и изучить зависимости, чтобы выяснить, не используются ли зашифрованные данные и секреты, действительные в течение длительного времени.

Если программы eDirectory и iManager устанавливаются на один компьютер, eDirectory можно после установки настроить вручную.

ПРИМЕЧАНИЕ. Если программа eDirectory была установлена ранее и нормально работает, делать это не следует.

1 Зарегистрируйтесь как администратор.

2 Остановите сервер eDirectory и сервер Tomcat.

Остановите все сервисы, использующие NICI.

3 Получите полные права доступа к каталогу %systemroot%\system32\novell\NICI\SYSTEM.

Сделать это можно, открыв окно свойств файла и нажав на вкладке Безопасность кнопку Дополнительно.

4 Сохраните содержимое каталога SYSTEM в каталоге резервных копий.

5 Удалите содержимое каталога SYSTEM.

6 Скопируйте содержимое каталога %systemroot%\system32\novell\NICI\Administrator в каталог %systemroot%\system32\novell\NICI\SYSTEM.


7 Разрешения на доступ к каталогу %systemroot%\system32\novell\NICI\SYSTEM и его содержимому можно сбросить, чтобы ими обладала только учетная запись SYSTEM.

8 Перезапустите серверы NDS и Tomcat и все сервисы, которые могли быть остановлены.

При установке нескольких подключаемых модулей появляется сообщение "Сервис недоступен"

Такая ситуация может возникнуть, если начать одновременную установку сразу нескольких подключаемых модулей. После нескольких минут установки подключаемых модулей истекает тайм-аут страницы просмотра, и выдается сообщение об ошибке 503.

Хотя в этом случае обычно не стоит ничего предпринимать, а нужно просто ждать, можно понаблюдать за процессом установки подключаемых модулей по файлам журнала Tomcat.

Сервер Tomcat При поиске и устранении проблем может оказаться полезной следующая общая информация о сервере Tomcat.

Запуск и прекращение работы сервера Tomcat

В таблицах ниже приведена информация о запуске и прекращении работы сервера Tomcat на платформах, поддерживаемых консолью iManager

Таблица 8-1 Запуск и прекращение работы сервера Tomcat

Порты Tomcat

В этом разделе приведена справочная информация по портам для разных платформ. Она может оказаться полезной, если при обновлении до версии iManager возникают проблемы с портами или требуется узнать, какие порты использует сервер Tomcat.

Платформа Команда перезапуска

Linux Введите команду /etc/init.d/novell-tomcat8 stop, а затем — /etc/init.d/novell-tomcat8 start.

iManager Workstation

Перезапустите рабочую станцию iManager.

Windows Остановите и запустите службу Tomcat.


Linux

Просмотрите информацию о портах Tomcat в файле /var/opt/novell/tomcat8/conf/server.xml.

Раздел портов, отличных от SSL, начинается в этом файле со строки Define a non-SSL Coyote HTTP/1.1 Connector on port n, а раздел портов SSL — со строки Define an SSL Coyote HTTP/1.1 Connector on port n.

Windows

В Windows возможно перемещение всех файлов. Если при установке iManager были приняты параметры по умолчанию, файлы конфигурации Tomcat находятся в файле rootdir\novell\tomcat8\conf\server.xml.

Если обнаружить файл конфигурации не удается, найдите параметры Tomcat в реестре Windows.

Ошибка “Не удалось определить состояние функции универсальных паролей”

Если сервер eDirectory UNIX настроен на использование SSL для соединений LDAP, при выборе в iManager параметра для установки простого пароля пользователь получит следующее сообщение об ошибке:

"Не удалось определить состояние функции универсальных паролей"

Чтобы устранить эту ошибку, запустите утилиту /usr/bin/nmasinst/nmasinst на сервере eDirectory. Эта утилита позволяет устанавливать в eDirectory методы регистрации с компьютера UNIX. Она необходима для использования универсальных паролей.

Дополнительную информацию см. в разделе NetIQ Modular Authentication Service (NMAS) документа eDirectory 9.0 Administration Guide (Руководство по администрированию NetIQ eDirectory 9.0).

Не отображается информация в iManager Workstation

iManager Workstation может не отображать сообщения об ошибках и не загружать страницы "Дерево", "Просмотр объектов", "Создание объектов" и т. п. после нажатия кнопки "Обновить". Это происходит, если в кэше веб-навигатора XULRunner содержатся данные предыдущей сборки iManager Workstation.

Решение: необходимо вручную очистить кэш веб-навигатора.

Для Windows:

1 Закройте iManager.

2 Перейдите в каталог C:\Users\<имя_пользователя>\AppData\<профиль>\Mozilla\eclipse\Cache (путь может отличаться в зависимости от ОС и настроек).


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4qnr9.html



3 Удалите все данные из каталога Cache.

4 Перезапустите iManager.

Для Linux:

1 Закройте iManager.

2 Перейдите в один из следующих каталогов.

/root/.mozilla/eclipse/Cache (для корневого пользователя)

/$HOME/.mozilla/eclipse/Cache (для некорневого пользователя)

3 Удалите все данные из каталога Cache.

4 Перезапустите iManager.

Иногда не работает кнопка "Обновить"Иногда кнопка "Обновить" на различных страницах не работает, когда ее нажимают.

Вариант устранения проблемы:

1 Выйдите из iManager.

2 Очистите кэш браузера.

Для веб-навигатора Internet Explorer:

1. Щелкните Инструменты > Настройки Интернет . Откроется диалоговое окно "Свойства обозревателя".

2. На вкладке Общие в разделе История просмотра нажмите кнопку "Удалить".

Для веб-навигатора Firefox:

1. Нажмите сочетание клавиш Alt + F > . Выберите Журнал и щёлкните Очистить последние записи журнала.

2. Выберите Кэш и щёлкните Очистить сейчас.

3 Выполните вход в iManager.

Процесс установки подключаемых модулей перестает отвечать на запросы или подключаемые модули не установлены должным образом

При установке подключаемых модулей iManager процесс установки может перестать отвечать на запросы или подключаемые подули не будут установлены.

Вариант устранения проблемы


Для автономной установки iManager:

1 Выйдите из iManager.

2 Очистите кэш браузера.

Для веб-навигатора Internet Explorer выполните следующие действия.

1. Щелкните Инструменты > Настройки Интернет . Откроется диалоговое окно "Свойства обозревателя".

2. На вкладке Общие в разделе История просмотра нажмите кнопку "Удалить".

Для веб-навигатора Firefox выполните следующие действия.

1. Нажмите сочетание клавиш Alt + F > > Выбрать журнал.

2. Щёлкните Очистить последние записи журнала.

3. Выберите Кэш и щёлкните Очистить сейчас.


4 Заново установите подключаемые модули.

Для iManager Workstation:

Для Windows:

1. Закройте iManager.

2. Перейдите в каталог C:\Users\<имя_пользователя>\AppData\<профиль>\Mozilla\eclipse\Cache (путь может отличаться в зависимости от ОС и настроек).

3. Удалите все данные из каталога Cache.

4. Перезапустите iManager.

Для Linux:

1. Закройте iManager.

2. Перейдите в один из следующих каталогов.

/root/.mozilla/eclipse/Cache (для корневого пользователя)

/$HOME/.mozilla/eclipse/Cache (для некорневого пользователя)

3. Удалите все данные из каталога Cache.

4. Перезапустите iManager.

Проблема со входом при смене IP-адреса дереваВозможен следующий сценарий.

1 Используется IP-адрес <xxx.xx.xx.xx>, который настроен в eDirectory. Имя дерева: <XXX_TREE>.

2 Имеется кэш входа, в котором имя <XXX_TREE> связано с адресом <xxx.xx.xx.xx>.

3 Из-за изменений в сетевой инфраструктуре вы получили новый IP-адрес <yyy.yy.yy.yy>, настроили его для eDirectory, а имя дерева осталось без изменений (<XXX_TREE>).

4 Старый IP-адрес <xxx.xx.xx.xx> получает другой пользователь, который настраивает его для нового дерева eDirectory с именем <YYY_TREE>.


Теперь при входе в iManager с именем дерева <XXX_TREE> производится попытка входа в дерево <YYY_TREE>, так как имя <XXX_TREE> связано с адресом <xxx.xx.xx.xx>, однако для адреса <xxx.xx.xx.xx> сейчас настроено дерево <YYY_TREE>.

Вариант устранения проблемы:

Для Windows,

1. Перейдите в каталог ...\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\.

2. Откройте файл config.xml.

3. В файле найдите параметр Cached-Tree и удалите из него значение вашего имени дерева.

4. Удалите параметр, начинающийся с имени вашего дерева.

Для Linux,

1. Перейдите в каталог /var/opt/novell/iManager/nps/WEB-INF.

2. Откройте файл config.xml.

3. В файле найдите параметр Cached-Tree и удалите из него значение вашего имени дерева.

4. Удалите параметр, начинающийся с имени вашего дерева.

Недостаточный размер кучи Java приводит к сбою при входе

Чтобы увеличить размер кучи на сервере Linux со службой Tomcat, остановите Tomcat и откройте окно терминала. В терминале выполните следующую команду, а затем перезапустите Tomcat:

export CATALINA_OPTS="-Xms128m -Xmx1024m"

Чтобы увеличить размер кучи на сервере Windows со службой Tomcat, остановите Tomcat, создайте новую переменную среды JAVA_OPTS и задайте для нее значение -Xms128m -Xmx1024m, затем перезапустите службу Tomcat.

Информацию об остановке и запуске службы Tomcat см. в разделе "Запуск и прекращение работы сервера Tomcat" на стр. 109.

После закрытия обозревателя iManager Workstation отображаются сообщения об ошибках Java

После выхода из iManager, когда вы закрываете веб-навигатор, отображается следующее сообщение об ошибке Java.


#

# An unexpected error has been detected by Java Runtime Environment:

#

# SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872

#

# Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86)

# Problematic frame:

# C [libmozjs.so+0x2944] strftime+0x2944

Вариант устранения проблемы: игнорируйте сообщение об ошибке и файлы hs_err_pid####.log, так как они не влияют на работу iManager Workstation.

iManager и LDAP используют разные диапазоны дат

Если вы создадите атрибут в iManager с помощью синтаксиса "Время", заполните значение атрибута, а затем выполните поиск этого значения с помощью LDAP, LDAP вернет значение, которое отличается от значения в iManager.

В iManager и LDAP значения даты хранятся с использованием 31-разрядных или 32-разрядных беззнаковых целых чисел. Тем не менее эти две системы по-разному обрабатывают самый старший разряд (MSB) этого целого числа: в iManager старший разряд используется для хранения дат до 1970 г., а в LDAP — дат после 2038 г. Поэтому в iManager используется диапазон дат 1903-2038, а в LDAP — 1970-2106.

Создание контекста Secure SSL LDAP Context при изменении динамической группы заканчивается сбоем

Если в eDirectory указать нестандартный порт LDAP, iManager отображает следующее сообщение об ошибке при изменении динамической группы на вкладке Динамическое.

Creating Secure SSL LDAP Context Failed

Чтобы устранить эту проблему, добавьте IP-адрес сервера LDAP к URL-адресу LDAP в атрибуте ldapInterfaces с помощью утилиты ldapconfig или подключаемого модуля LDAP из iManager.


Подключаемый модуль iManager для eDirectory не работает, если сервер LDAP использует сертификат, выданный сторонним центром сертификации

Хранилище ключей iManager Java по умолчанию имеет только сертификаты центра сертификации дерева и не имеет никаких сертификатов сторонних центров. Следовательно, различные подключаемые модули, такие как Groups, NMAS, Password Policy, не могут подключиться к eDirectory через LDAP и выдают сообщения об ошибках, когда eDirectory использует сертификат, выданный сторонним центром сертификации.

Чтобы решить эту проблему, выполните следующие действия.

Linux:

1. Импортируйте сертификат стороннего центра в файл хранилища ключей JRE, расположенный в каталоге /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts

Дополнительные сведения об импорте сертификатов сторонних центров см. в разделе "Защищенные сертификаты LDAP" на стр. 131.

2. Перезапустите сервис Tomcat.

Windows.

1. Импортируйте сертификат стороннего центра в файл хранилища ключей JRE, расположенный в каталоге C:\Program Files\Novell\jre\lib\security\cacerts

Дополнительные сведения об импорте сертификатов сторонних центров см. в разделе "Защищенные сертификаты LDAP" на стр. 131.

2. Перезапустите сервис Tomcat.


9 9Аудит событий iManager

Для аудита событий iManager используйте сервер Novell Audit. Дополнительную информацию см. в документе Novell Audit 2.0 Administration Guide (Руководстве по администрированию Novell Audit 2.0) (http://www.novell.com/documentation/novellaudit20/index.html).

Для использования программы Audit необходимо следующее.

Сервер (Windows, Linux) в дереве каталога с функцией Audit.

Агент платформы Novell Audit, установленный на сервере iManager или рабочем столе iManager и указывающий на защищенный сервер протоколирования.

Программа Audit собирает данные о перечисленных ниже событиях.

Таблица 9-1 События iManager

Включение аудита Novell в iManagerЧтобы удалить Novell Audit, выполните следующие действия.

1 Установите iManager 3.1.

2 Выполните вход в iManager и выберите Настройка > Сервер iManager > Настройка iManager и нажмите кнопку Добавить авторизованных пользователей.

ИД события Имя события Описание

150013 Добавленный авторизованный пользователь

Добавление авторизованного пользователя в eDirectory

150004 Успешная регистрация Успешный вход в eDirectory из iManager

150009 Успешная установка NPM

Успешная установка подключаемого модуля NPM

150001 Запуск iManager Служба Tomcat запущена

150011 Сбой соединения SSL Сбой подключения SSL к eDirectory

150006 Разрегистрация Выход из iManager

150012 Изменение конфигурации

Конфигурация была изменена

150015 Успешная загрузка модуля NPM

Успешная загрузка подключаемого модуля NPM

150006 Сбой регистрации Сбой входа в eDirectory из iManager

150010 Сбой установки NPM Сбой установки модуля NPM

150002 Завершение работы iManager

Служба Tomcat остановлена

Аудит событий iManager 117

http://www.novell.com/documentation/novellaudit20/index.html



3 Выберите Включить сервер NetIQ Audit и укажите события iManager, для которых требуется аудит.

4 Установите агент Platform Agent из пакета установки eDirectory 9.1.

ПРИМЕЧАНИЕ. Если на сервере уже используется nauditpa.jar, выполните следующие действия.

Не изменяйте содержимое файла logevent (пропустите действие 5).

Не изменяйте владельца папки naudit.

Добавьте пользователя novlwww в группу idvadmin и создайте файл .profile для пользователя novlwww с параметром umask 0002.

5 Измените файл logevent в соответствиями с требованиями платформы.

Linux: Выполните следующие действия.

1. В файле /etc/logevent.conf отредактируйте следующие записи:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

2. (Зависит от условий) Вручную создайте папку naudit в каталоге /var/opt/novell/.

Смените разрешение на novlwww для папки /var/opt/novell/naudit, выполнив следующую команду:

chown -R novlwww:novlwww naudit/

Windows. В файле logevent.cfg, расположенном в каталоге C:\Windows, отредактируйте следующие записи:

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

6 В зависимости от платформы удалите отметку комментария в файле imanager_logging.xml для следующих записей:

Linux: Снимите отметку комментария для записи <appender-ref ref="NAUDIT_APPENDER"/>.

Файл imanager_logging.xml находится в каталоге /var/opt/novell/iManager/nps/WEB-INF/.

118 Аудит событий iManager

Windows. Снимите отметку комментария для записи <appender-ref ref="NAUDIT_APPENDER"/>.

Файл imanager_logging.xml находится в каталоге C:\Program Files (x86)\Novell\Tomcat\webapps\nps\WEB-INF\.

ПРИМЕЧАНИЕ. Если используется iManager 3.0 SP3 или более поздней версии, выполните Действ. 7–Действ. 9. Если используется предыдущая версия iManager, перейдите к Действ. 10.

7 Создайте сертификат пользователя для iManager, используя eDirectory. Дополнительную информацию см. в разделе Creating User Certificates (Создание сертификатов пользователя) документа NetIQ eDirectory Administration Guide (Руководство по администрированию NetIQ eDirectory).

8 Экспортируйте сертификат в формат PFX. Дополнительную информацию см. в разделе Importing a Public Key Certificate into a User Object (Импорт сертификата открытого ключа в объект «Пользователь») документа NetIQ eDirectory Administration Guide (Руководство по администрированию NetIQ eDirectory).

9 Извлеките закрытый ключ в файл imanipkey.pem, а сертификат — в файл imanicert.pem. Скопируйте созданные файлы сертификата (imanicert.pem и imanipkey.pem) в соответствующие каталоги на сервере iManager.

Для Windows:

c:\windows\imanicert.pem

c:\windows\imanipkey.pem

Для Linux:

/etc/imanicert.pem

/etc/imanipkey.pem

Для извлечения закрытого ключа и сертификата воспользуйтесь указанной ниже командой.

Для извлечения закрытого ключа: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

Для извлечения сертификата: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem


11 Убедитесь, что события записываются в на сервере записи журналов.

Linux: Остановите jcache и перезапустите службу Tomcat. Создайте события и проверьте сервер журналов.

Windows. Создайте события и проверьте сервер журналов.

Включение аудита XDAS в iManagerСредство XDAS Audit включено в состав iManager по умолчанию. XDAS Audit собирает данные о следующих событиях.

Добавленный авторизованный пользователь

Успешная регистрация

Успешная установка NPM

Запуск iManager


https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u6ox




https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u94z




Сбой соединения SSL

Разрегистрация

Изменение конфигурации

Успешная загрузка модуля NPM

Сбой регистрации

Сбой установки NPM

Завершение работы iManager

Чтобы включить аудит XDAS для iManager, выполните следующие действия.


2 Выберите Настройка > Сервер iManager > Настройка iManager.

3 На странице "Настройка iManager" выберите вкладку Защита и установите флажок Включить сервер XDAS Audit.

4 Выберите события, которые нужно протоколировать, и нажмите кнопку Сохранить.

Настройка XDAS Audit для использования с iManager

В Таблица 9-2 указано размещение по умолчанию файла xdasconfig.properties в различных операционных системах. Место расположения файла можно изменить по собственному усмотрению.

Таблица 9-2 Расположение конфигурационного файла XDAS

В Таблица 9-3 указаны конфигурационные файлы XDAS.

Таблица 9-3 Конфигурационные файлы XDAS

В следующей таблице описаны все параметры, используемые в файле imanager_logging.xml.

Операционная система Файл

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Рабочие станции Linux и Windows

<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Параметры Имя

Syslog Appender syslog

Rolling File Appender file_appender


Таблица 9-4 Настройки Syslog

Таблица 9-5 Параметры File Appender

Сведения о шаблонах преобразования и их описание см. на веб-сайте logging.apache.org.

Чтобы включить Syslog Appender, внесите указанные ниже изменения в файл imanager_logging.xml.

1 Отредактируйте следующие записи:

<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

Установка Описание

syslogHost IP-адрес хоста, на котором запущен сервер аудита.

syslogProtocol Протокол подключения (UDP/TCP/SSL).

syslogSslKeystoreFile Расположение файла хранилища ключей.(Используется только для протокола SSL).

syslogSslKeystorePassword Пароль к файлу хранилища ключей.(Используется только для протокола SSL).

Пороговое значение для перетаскивания Задает минимальный уровень протоколирования, допустимый в Syslog Appender. В настоящее время поддерживается уровень протоколирования INFO.

Facility=USER Указывает тип объекта. Тип объекта используется для классификации сообщений. В настоящее время поддерживается объект USER. Эти значения могут быть указаны срочными или прописными буквами.

Layout Параметры вывода для Syslog Appender.


File= ${catalina.home}/logs/imanager.log Местоположение файла журнала File Appender по умолчанию.

MaxFileSize=10MB Максимальный размер (в МБ) файла журнала File Appender. Установите максимальный размер, допускаемый клиентом.

MaxBackupIndex=10 Указывает максимальное количество файлов резервных копий File Appender. Максимальное количество файлов резервных копий может быть 10. Если для параметра MaxBackupIndex задано значение 0, файлы резервных копий не создаются.

layout class=org.apache.log4j.PatternLayout Параметры вывода для File Appender.

ConversionPattern="%t %d %-5p [%c:%M] %m%n” Параметры вывода для File Appender.


logging.apache.org

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 Войдите в iManager и измените события журнала.

Чтобы включить File Appender, внесите следующие изменения в файле imanager_logging.xml.


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

Значение File можно изменить для следующих платформ:

Linux: /home/imanager.log

Windows: C:\\<каталог>\\imanager.log

2 Выберите нужное событие в iManager и сохраните изменения.

ПРИМЕЧАНИЕ. Событие XDAS сбоя подключения SSL регистрируется несколько раз, поскольку выполняется несколько попыток установить подключение к LDAP.

Включение аудита CEF в iManagerФункция аудита с использованием CEF включена в iManager по умолчанию. Функция аудита с использованием CEF собирает данные о следующих событиях:

Добавленный авторизованный пользователь

Успешная регистрация

Успешная установка NPM

Запуск iManager

Сбой соединения SSL

Разрегистрация

Изменение конфигурации

Успешная загрузка модуля NPM

Сбой регистрации

Сбой установки NPM

Завершение работы iManager

Порядок включения аудита CEF для iManager


2 Выберите Настройка > Сервер iManager > Настройка iManager.

3 На странице «Настройка iManager» откройте вкладку Защита и установите флажок Включить CEF Audit.

4 Выберите события, которые нужно записывать, и нажмите кнопку Сохранить.


Настройка аудита CEF для iManager

В Таблица 9-2 указаны пути по умолчанию к файлу auditconfig.properties в различных операционных системах. Место расположения файла можно изменить по собственному усмотрению.

Таблица 9-6 Расположение конфигурационного файла CEF

В Таблица 9-3 перечислены конфигурационные файлы CEF.

Таблица 9-7 Конфигурационный файл CEF

В следующей таблице описаны все параметры, используемые в файле imanager_logging.xml.

Таблица 9-8 Настройки Syslog

Операционная система Файл

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Рабочие станции Linux и Windows

<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Параметры Имя

Syslog Appender CEFSyslog

Rolling File Appender CEF_FILE_APPENDER


syslogHost IP-адрес хоста, на котором запущен сервер аудита.

syslogProtocol Протокол подключения (UDP/TCP/SSL).

syslogSslKeystoreFile Расположение файла хранилища ключей.(Используется только для протокола SSL).

syslogSslKeystorePassword Пароль к файлу хранилища ключей.(Используется только для протокола SSL).

Пороговое значение для перетаскивания Задает минимальный уровень протоколирования, допустимый в Syslog Appender. В настоящее время поддерживается уровень протоколирования INFO.

Facility=USER Указывает тип объекта. Тип объекта используется для классификации сообщений. В настоящее время поддерживается объект USER. Эти значения могут быть указаны срочными или прописными буквами.

Layout Параметры вывода для Syslog Appender.


Таблица 9-9 Параметры File Appender

Сведения о шаблонах преобразования и их описание см. на веб-сайте logging.apache.org.

Чтобы включить CEFSyslog appender, внесите указанные ниже изменения в файл imanager_logging.xml:


<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 Войдите в iManager и измените события журнала.

Чтобы включить File Appender, внесите следующие изменения в файле imanager_logging.xml.


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

Значение File можно изменить для следующих платформ:

Linux: /home/imanager_cef.log

Windows: C:\\<каталог>\\imanager_cef.log

2 Выберите нужное событие в iManager и сохраните изменения.


File= ${catalina.home}/logs/imanager_cef.log Местоположение файла журнала File Appender по умолчанию.

MaxFileSize=10MB Максимальный размер (в МБ) файла журнала File Appender. Установите максимальный размер, допускаемый клиентом.

MaxBackupIndex=10 Указывает максимальное количество файлов резервных копий File Appender. Максимальное количество файлов резервных копий может быть 10. Если для параметра MaxBackupIndex задано значение 0, файлы резервных копий не создаются.

layout class=org.apache.log4j.PatternLayout Параметры вывода для File Appender.

ConversionPattern="%d{MMM dd yyyy HH:mm:ss} %m%n”

Параметры вывода для File Appender.


logging.apache.org

ПРИМЕЧАНИЕ. Событие CEF сбоя подключения SSL регистрируется несколько раз, поскольку выполняется несколько попыток установить подключение к LDAP.

Настройка аудита для iManager с использованием сторонних сертификатов

1 Включите NAudit в iManager. Дополнительные сведения см. в разделе "Включение аудита Novell в iManager" на стр. 117.

2 Введите следующую команду, чтобы создать сертификат Logging Application Certificate для аудита iManager на сервере Audit Server:

audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f -bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem

3 Скопируйте созданные файлы сертификата (imanicert.pem и imanipkey.pem) в соответствующие каталоги на сервере iManager.

Для Windows:



Для Linux:

/etc/imanicert.pem

/etc/imanipkey.pem


Настройка Audit для iManager в строгом режиме1 Создайте сертификат пользователя для iManager, используя eDirectory. Дополнительную информацию см. в разделе Creating User Certificates (Создание сертификатов пользователя) документа NetIQ eDirectory Administration Guide (Руководство по администрированию NetIQ eDirectory).

2 Экспортируйте сертификат в формат PFX. Дополнительную информацию см. в разделе Importing a Public Key Certificate into a User Object (Импорт сертификата открытого ключа в объект «Пользователь») документа NetIQ eDirectory Administration Guide (Руководство по администрированию NetIQ eDirectory).

3 Извлеките закрытый ключ в файл imanipkey.pem, а сертификат — в файл imanicert.pem. Скопируйте созданные файлы сертификата (imanicert.pem и imanipkey.pem) в соответствующие каталоги на сервере iManager.

Для Windows:



Для Linux:

/etc/imanicert.pem

/etc/imanipkey.pem










Для извлечения закрытого ключа и сертификата воспользуйтесь указанной ниже командой.

Для извлечения закрытого ключа: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

Для извлечения сертификата: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem

4 Скопируйте сертификат сертифицирующей организации (CA) (SSCert.pem) сервера eDirectory из /var/opt/novell/eDirectory/data и добавьте его в файл Keysotre в соединителе аудита, выполнив следующую команду:

/keytool -importcert -file SSCert.pem -keystore audit_keystore -alias "eDir-CA"

5 Импортируйте файл audit_keystore в соединителе аудита, для которого на сервере Sentinel задан строгий режим.

6 Настройте iManager для аудита и перезапустите Tomcat. Дополнительную информацию см. в разделе "Включение аудита Novell в iManager" на стр. 117.


10 10Передовой опыт и общие вопросы

В этом разделе приведены рекомендации наших специалистов по указанным ниже вопросам. Если вы нашли какое-либо полезное решение, поделитесь им на веб-сайте Cool Solutions (http://www.novell.com/coolsolutions).

"Резервное копирование и восстановление" на стр. 127

"Совместное использование iManager 2.7 с предыдущими версиями iManager 2.x и сервисами административных функций" на стр. 127

"Коллекции" на стр. 128

"Сбои при установке" на стр. 128

"Настройка производительности" на стр. 129

"Профиль iManager AppArmor" на стр. 130

"Выделение дополнительной памяти для Tomcat в Windows" на стр. 130

Резервное копирование и восстановлениеiManager не поддерживает автоматическое резервное копирование и восстановление данных. iManager состоит из двух частей: локальных файлов на сервере и объектов сервиса административных функций в eDirectory.

Чтобы сделать полную резервную копию iManager, необходимо сначала создать правильную резервную копию коллекции RBS и всех подчиненных объектов в дереве с помощью избыточности реплик или средства резервного копирования eDirectory.

Все локальные файлы iManager в файловой системе хранятся в каталоге Tomcat. Наличие резервной копии каталога Tomcat гарантирует сохранность всего содержимого iManager. Если по какой-либо причине каталог Tomcat перестал нормально работать на сервере, для восстановления работоспособности iManager необходимо выйти из Tomcat и заново скопировать содержимое каталога. Если сервис административных функций не используется, достаточно создать резервную копию каталога Tomcat.

Совместное использование iManager 2.7 с предыдущими версиями iManager 2.x и сервисами административных функций

Коллекцию RBS следует обновить до версии 2.7, в противном случае при использовании iManager для доступа к дереву с коллекцией RBS из предыдущей версии iManager 2.x будут показаны не все доступные функции и задачи.

1 Выберите в разделе "Настройка" команду Сервис административных функций > Конфигурация RBS.

2 Щелкните в столбце Устаревшие ссылку, соответствующую модулю, который необходимо обновить.

Передовой опыт и общие вопросы 127

http://www.novell.com/coolsolutions

3 На странице устаревших модулей выберите модуль и выполните команду Обновить.

Появится сообщение, подтверждающее обновление модуля.

Обновленные подключаемые модули доступны для просмотра во всех версиях iManager 2.x.

Коллекции Важно понять, что одна и та же конфигурация не будет идеальной для всех компаний. Мы рекомендуем иметь несколько коллекций в дереве только в том случае, если Вы используете иерархическую структуру с применением географической или функциональной организации и с наличием в каждом местоположении своего администратора. Ниже приводятся самые распространенные ситуации, а также предложения по управлению соответствующими коллекциями.

Иерархическое дерево, построенное так, чтобы отразить географическую организацию

Создайте коллекцию в каждом географическом местоположении и обеспечьте наличие одного или нескольких серверов iManager в каждом местоположении. При этом подходе сокращается длительность регистрации и упрощается навигация по дереву. Каждый географический администратор управляет коллекцией в каком-то одном местоположении.

Иерархическое дерево, отражающее организационную структуру компании

Создайте одну коллекцию на том же организационном уровне с одним или несколькими серверами iManager (в зависимости от величины компании). Вы при этом будете управлять только одной коллекцией.

Плоское дерево, в котором все объекты располагаются в уникальном контейнере

Создайте одну коллекцию в качестве дочернего объекта уникального контейнера с одним или несколькими серверами iManager (в зависимости от величины компании). Вы при этом будете управлять только одной коллекцией.

Сбои при установкеЧтобы избежать сбоев при установке, убедитесь, что операционная система обновлена до последней версии и что выполнены все системные требования. Дополнительную информацию см. в разделе "Предварительные требования и факторы для рассмотрения при установке iManager" документа Руководство по установке NetIQ iManager.

Чтобы исправить сбой, произошедший во время установки, оцените проблему с помощью сообщения об ошибке, сформированного во время установки.

"Windows" на стр. 128

"Linux" на стр. 129

Windows

1 Если ошибка имеет отношение к одному из данных компонентов, проверьте на наличие ошибок указанные файлы журнала.

NICI: каталог_установки\temp\wcniciu0.log

Tomcat: каталог_установки_tomcat\Apache_Tomcat_InstallLog.log. Пример: C:\Program Files\Novell\Tomcat\Apache_Tomcat_InstallLog.log.

128 Передовой опыт и общие вопросы

2 Проверьте, есть ли ошибки любого типа в файле журнала установки iManager (C:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\logs\install\iManager_Install_3.1.0_InstallLog.log).

3 Если по файлу журнала не удалось определить причину сбоя, перезапустите программу установки в режиме отладки.

Чтобы просмотреть или зафиксировать отладочную информацию программы установки, откройте и скопируйте данные консоли в текстовый файл для последующего анализа.

3a Сразу после запуска программы установки нажмите и удерживайте клавишу Ctrl, пока не появится окно консоли.

3b После завершения установки щелкните значок в левом верхнем углу окна консоли и выберите команду Свойства > Расположение.

3c Измените значение в поле "Размер буфера" на 3000 и нажмите кнопку ОК.

3d Выберите в окне "Расположение" команду Правка > Выделить все > Правка > Копировать.

3e Откройте текстовый редактор и вставьте в документ из буфера обмена отладочную информацию.

4 Найдите и исправьте все ошибки, в том числе выявленные в ходе трассировки стека, и перезапустите программу установки.

Linux

1 Проверьте, есть ли ошибки любого типа в файле журнала установки iManager (/var/log/NetIQ_iManager_3.1.0_InstallLog.log).

2 Если по файлу журнала не удалось определить причину сбоя, перезапустите программу установки в режиме отладки.

Введите в командной строке следующую команду:

export LAX_DEBUG=true

3 Найдите и исправьте все ошибки, в том числе выявленные в ходе трассировки стека, и перезапустите программу установки.

Настройка производительностиСледующие советы помогут увеличить производительность и эффективность работы.

Отключение поддержки динамической группы для RBS

Отключите поддержку динамических групп для RBS, если эта функция не используется. По умолчанию поддержка динамических групп включена и потребляет при работе много системных ресурсов для выполнения операций поиска.

1 Выберите в разделе "Настройка" команду Сервер iManager > Настройка iManager.

2 Откройте вкладку RBS и снимите флажок Разрешить динамические группы.

Передовой опыт и общие вопросы 129

Назначения функций

Если функции назначено более пяти пользователей в одной и той же области действия, воспользуйтесь объектами "Группа", чтобы сократить количество назначений функции и повысить эффективность администрирования RBS. В результате вам придется обновлять меньше объектов, и вы сможете управлять объектом "Группа", добавляя в него членов и удаляя их.

Подумайте также об использовании объектов "Динамическая группа". Объекты "Пользователь" можно настроить так, чтобы они соответствовали критериям поиска для динамической группы.

Профиль iManager AppArmorNovell Open Enterprise Server — Linux включает профиль AppArmor для iManager. Профиль называется etc.opt.novell.tomcat5.init.d.tomcat5, он установлен в каталоге /etc/apparmor/profiles/extras/iManager.

Профиль iManager AppArmor по умолчанию отключен. Для включения профиля скопируйте его в каталог/etc/apparmor.d.

Дополнительные сведения об AppArmor и профилях AppArmor см. в документации на Novell AppArmor (http://www.novell.com/documentation/apparmor/).

Выделение дополнительной памяти для Tomcat в Windows

1 Перейдите в папку Tomcat/bin (например, c:\Program Files\Novell\Tomcat\bin)

2 Щелкните правой кнопкой файл tomcat8w.exe.

3 Откройте окно Tomcat8 Properties (Свойтсва Tomcat8).

4 Откройте вкладку Java.

5 Укажите начальный и максимальный размеры пула памяти.

ЗАМЕЧАНИЕ. Убедитесь, что указанные начальный и максимальный размеры не превышают объема физической памяти. Превышение может привести к еще большим проблемам с производительностью.

6 Нажмите кнопку Применить, затем нажмите кнопку OK.

7 Перезапустите службу Tomcat.

СОВЕТ. Чтобы проверить новые параметры, перейдите по URL-адресу сервера Tomcat и щелкните Состояние сервера.

130 Передовой опыт и общие вопросы

http://www.novell.com/documentation/apparmor/

http://www.novell.com/documentation/apparmor/

A AПроблемы обеспечения безопасности iManager

В этом разделе приведена информация о потенциальных проблемах безопасности, имеющих отношение к iManager. В нем рассматриваются указанные ниже темы.

"Защищенные сертификаты LDAP" на стр. 131

"Самоподписанные сертификаты" на стр. 132

"Авторизованные пользователи и группы iManager" на стр. 133

"Предотвращение обнаружения имени пользователя" на стр. 133

"Параметры сервера Tomcat" на стр. 134

"Зашифрованные атрибуты" на стр. 134

"Защищенные соединения" на стр. 134

Защищенные сертификаты LDAPiManager может создавать защищенные соединения LDAP без вмешательства пользователя. Если по какой-либо причине сертификат SSL сервера LDAP обновляется (например, создана новая сертифицирующая организация), программа iManager должна автоматически получить новый сертификат через аутентифицированное соединения и импортировать его в собственную базу данных хранилища ключей.

Если сертификат таким образом получить не удается, необходимо удалить хранилище закрытых ключей, используемое iManager, чтобы iManager и Tomcat могли создать эту базу данных заново и попытаться получить сертификат еще раз.

1 Завершите работу сервера Tomcat.

2 Удалите файл ДОМАШНИЙ_КАТАЛОГ_TOMCAT\webapps\nps\WEB-INF\iMKS .



4 Откройте iManager в браузере и снова войдите в дерево, чтобы автоматически получить новый сертификат и заново создать базу данных сертификатов.

Кроме того, можно вручную импортировать требуемый сертификат в JVM-хранилище ключей Tomcat, используемое по умолчанию, с помощью утилиты управления сертификатами keytool, доступной в JDK. При создании защищенных соединений SSL iManager сначала пытается обратиться к JVM-хранилищу ключей, используемому по умолчанию, а затем переходит к конкретной базе данных ключей iManager.

После сохранения сертификата eDirectory в формате DER необходимо импортировать сертификат доверенного корня в хранилище ключей iManager. Для этого необходим пакет JDK (чтобы можно было воспользоваться программой keytool). Если среда JRE была установлена вместе с iManager, для использования программы keytool необходимо загрузить пакет JDK из Интернета.

Проблемы обеспечения безопасности iManager 131

ПРИМЕЧАНИЕ. Дополнительную информацию о создании файла сертификата .der см. в разделе Exporting a Trusted Root or Public Key Certificate (Экспорт доверенного корня или сертификата открытого ключа). Экспортируйте сертификат доверенного корня.

1 Откройте окно команд.

2 Перейдите в каталог \bin, в котором был установлен пакет JDK.

3 Импортируйте сертификат в хранилище с помощью утилиты keytool, выполнив следующие команды keytool (разные на разных платформах):

Linux

keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts

Windows

keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts

Замените псевдоним alias_name уникальным именем данного сертификата и убедитесь, что указан полный путь к файлам trustedrootcert.dir и cacerts.

Последний путь в команде определяет расположение хранилища ключей. Этот путь может различаться в разных системах, поскольку он зависит от места установки iManager. Ниже приведены примеры расположения iManager по умолчанию в Windows и Linux:

В Windows: C:\Program Files\Novell\jre\lib\security\cacerts

В Linux: /<ДОМАШНИЙ_КАТАЛОГ_JAVA>/jre/lib/security/cacerts

4 Введите changeit в качестве пароля хранилища ключей.

5 Нажмите кнопку Да, чтобы выразить доверие сертификату.

ПРИМЕЧАНИЕ. Эту процедуру необходимо повторить для каждого дерева eDirectory, к которому будут выполняться обращения в iManager. Если протокол LDAP настроен для использования сертификата, не подписанного внутренней сертифицирующей организацией дерева, необходимо импортировать доверенный корень этого сертификата. Это требуется, например, если протокол LDAP настроен для использования сертификата, подписанного VeriSign*.

Самоподписанные сертификатыiManager содержит временный самоподписанный сертификат, используемый при установке iManager на платформе Linux или Windows. Срок его действия — один год. Дополнительную информацию см. в разделе "Предварительные требования и факторы для рассмотрения при установке iManager" документа Руководство по установке NetIQ iManager.

132 Проблемы обеспечения безопасности iManager

https://www.netiq.com/documentation/edirectory-91/edir_admin/data/b1j4t6zc.html

https://www.netiq.com/documentation/edirectory-91/edir_admin/data/b1j4t6zc.html

Авторизованные пользователи и группы iManagerАвторизованные пользователи и группы — это пользователи и группы, которым в iManager разрешено выполнять различные административные задачи. Дополнительные сведения об указании и настройке авторизованных пользователей и групп см. в разделе "Авторизованные пользователи и группы" на стр. 80.

Информация об авторизованных пользователях и группах хранится в файле configiman.properties, который необходимо защитить от несанкционированного изменения. Для этого измените параметры управления доступом к файлу configman.properties так, чтобы ограничить число пользователей, которым разрешено вручную редактировать его.

ПРИМЕЧАНИЕ. Если не указать авторизованного пользователя или группу (при этом файл configiman.properties не создается) или указать авторизованного пользователя AllUsers, любой пользователь сможет устанавливать подключаемые модули iManager и изменять параметры сервера iManager. Это ставит под угрозу безопасность серверных сред iManager.

Предотвращение обнаружения имени пользователя

В некоторых средах сервер eDirectory защищен брандмауэром, в то время как сервер iManager доступен из-за пределов организации, чтобы им можно было управлять из дома или в пути. Для доступа к iManager необходимо указать имя пользователя, пароль и имя дерева на экране входа. В таких средах зачастую желательно сделать защиту более надежной, чтобы информация о системе не попала к посторонним.

При стандартной настройке iManager пропускает сообщения eDirectory об указании неправильного имени пользователя или пароля во время аутентификации iManager. В случае перехвата этих сообщений хакеры могут получить ценную информацию. Во избежание этого в iManager реализован параметр, позволяющий скрыть конкретную причину сбоя регистрации. Если он задан, указанные ниже сообщения об ошибках заменяются следующим универсальным сообщением: Ошибка регистрации. Неправильное имя пользователя или пароль.

Неправильное имя пользователя (-601)

Неправильный пароль (-669)

Просрочен пароль или запрещена учетная запись (-220)

Чтобы задать этот параметр, выберите в разделе Настройка команду Сервер iManager > Настройка iManager. На вкладке Аутентификация установите флажок Скрывать конкретную причину неудачи при регистрации. При этом в файле config.xml консоли iManager задается параметр Authenticate.Form.HideLoginFailReason=true.

iManager не позволяет использовать звездочку (*) в качестве универсального символа в поле Имя пользователя. Это предотвращает получение несанкционированного доступа к действительным именам пользователей. Кроме того, это обеспечивает защиту от атак типа "отказ в обслуживании", основанных на перегрузке сервера eDirectory многочисленными попытками регистрации с использованием универсального символа (*), при которых eDirectory ищет и возвращает все имена пользователей, соответствующие указанному шаблону.


Параметры сервера TomcatiManager использует контейнер сервлетов Tomcat, поэтому администраторам iManager следует знать конфигурационные параметры этих ресурсов, имеющие отношение к шифрованию, и использовать их по мере надобности в рамках общей стратегии обеспечения безопасности. Особый интерес представляют пакеты для шифрования и доверенные сертификаты, от которых напрямую зависит надежность шифрования на уровне сети. При настройке среды Tomcat соблюдайте приведенные ниже правила.

Не используйте пакеты для шифрования SSL 2.0. Они устарели и не гарантируют надежной защиты.

Не используйте в рабочей среде нулевой (NULL) пакет шифров.

Не используйте пакеты шифров, получившие оценку LOW или EXPORT, потому что они обеспечивают сравнительно низкую степень защиты.

Регулярно проверяйте список доверенных сертификатов и ограничивайте список допустимых сертифицирующих организаций только теми организациями, которыми на самом деле пользуетесь.

Дополнительные сведения о сервере Tomcat см. на веб-сайте документации на Apache Tomcat (http://tomcat.apache.org/tomcat-8.0-doc/).

Зашифрованные атрибутыiManager может безопасно читать зашифрованные атрибуты eDirectory. Однако из-за особенностей способа определения того, зашифрован ли атрибут, iManager не может безопасно изменять или удалять эти зашифрованные атрибуты. Из-за этого возможен перехват данных, передаваемых по проводам; опасность этого можно снизить, используя обычные приёмы обеспечения безопасности сети, включая перечисленные ниже.

Расположение всех серверов iManager за брандмауэром

Расположение серверов iManager в непосредственной близости к ассоциированным с ними серверам eDirectory

Физическая защита серверов iManager и eDirectory

Использование VPN для доступа к серверам iManager и eDirectory при их удаленном администрировании.

Защищенные соединенияНесмотря на то что для взаимодействия с клиентами в iManager используется защищенный протокол HTTP (SSL), а для взаимодействия с серверами eDirectory — защищенные соединения LDAP, в iManager не используются защищенные соединения NCP для взаимодействия между серверами iManager и серверами eDirectory (исключение — операция чтения зашифрованных атрибутов).

Это верно и для соединения NCP, используемого программой Mobile iManager. Из-за этого возможен перехват данных, передаваемых по проводам; опасность этого можно снизить, используя обычные приёмы обеспечения безопасности сети, включая перечисленные ниже.

Расположение всех серверов iManager за брандмауэром

Расположение серверов iManager в непосредственной близости к ассоциированным с ними серверам eDirectory

134 Проблемы обеспечения безопасности iManager

http://tomcat.apache.org/tomcat-8.0-doc/

Физическая защита серверов iManager и eDirectory

Использование VPN для доступа к серверам iManager и eDirectory при их удаленном администрировании.

ПРИМЕЧАНИЕ. Вне зависимости от используемого способа шифрования на уровне сети пароли всегда шифруются и защищаются в ходе аутентификации iManager.


B

Подключаемые модули NetIQ 137

BПодключаемые модули NetIQ

iManager поставляется с указанными ниже функциями в составе подключаемого модуля base.npm. Дополнительные подключаемые модули необходимо загружать отдельно.

Администрирование каталога

Разделы и реплики

Служба поддержки

Схема

Права

Пользователи

Группы

Рекомендуется выбирать подключаемые модули и загружать их, не выходя из iManager, на странице Доступные подключаемые модули NetIQ. Кроме того, подключаемые модули можно загружать с веб-сайта загрузки NetIQ (https://dl.netiq.com/index.jsp). В критериях поиска выберите в качестве продукта iManager.

NetIQ периодически выпускает обновления подключаемых модулей iManager. Эти обновления доступны на веб-сайте загрузки подключаемых модулей NetIQ iManager (https://www.netiq.com/support/imanager/plugins/).

Базовые подключаемые модули iManager доступны только в составе полного пакета загрузки программного обеспечения iManager. При отсутствии специфических обновлений для этих подключаемых модулей их можно загрузить и установить только с полным продуктом iManager.

Дополнительную информацию о загрузке подключаемых модулей iManager см. в разделе "Общие сведения об установке подключаемых модулей iManager" документа Руководство по установке NetIQ iManager.

ПРИМЕЧАНИЕ. По умолчанию подключаемые модули не тиражируются между серверами iManager. Рекомендуется устанавливать необходимые подключаемые модули на каждом сервере iManager.

https://dl.netiq.com/index.jsp

https://www.netiq.com/support/imanager/plugins/

Руководство по администрированию NetIQ iManager · Не...

Documents

Transcript of Руководство по администрированию NetIQ iManager · Не...