Hitelesítés konfigurálása a webkonzollal

  • Cikk

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

SSL-titkosítás konfigurálása

A következő lépéseket kell elvégeznie, hogy beállítsa a Secure Sockets Layer (SSL) típusú titkosítást azt követően, hogy az Operations Manager webkonzol-kiszolgálót telepítették egy, az Internet Information Services (IIS) 7.0-s vagy újabb verzióját használó webkiszolgálóra. Mielőtt végrehajtaná ezeket a lépéseket, először tekintse át a Secure Sockets Layer konfigurálását az IIS 7-ben , és konfigurálja az IIS-t úgy, hogy engedélyezze az SSL-t a webkonzolt futtató webkiszolgálón.

Megjegyzés

A tanúsítvány létrehozásakor a Köznapi név mezőben úgy kell megadnia a gazdagép teljes tartománynevét és tartománynevét, hogy megegyezzen azzal a címmel, amelyet a felhasználók beütnek a böngészőbe, amikor megnyitják a webkonzolt.

Fontos

Ha problémákat tapasztal a hitelesítési kérésekkel kapcsolatban a webkonzol elérésekor, ellenőrizze, hogy a teljes tartománynév (FQDN) URL-címe szerepel-e Vezérlőpult ->Internetbeállítások ->Biztonság lap ->Helyi intranetes helyek -Helyek ->>Speciális.

  1. Győződjön meg arról, hogy az SSL-tanúsítványok telepítve vannak és konfigurálva vannak a felügyeleti kiszolgálón.

  2. Adjon hozzá egy https-kötést az IIS webhelyén, ahol az Operations Manager webkonzol telepítve van.

  3. A fenti lépések elvégzését követően állítsa vissza az Operations Manager webkonzolját futtató webhelyet.

Megjegyzés

Az SSL engedélyezése jelölőnégyzet a telepítőben csak akkor működik, ha https-kötést használ a webkonzolhoz. További információ: Ssl beállítása az IIS 7-ben.

  1. Egy egyszerű szöveges szövegszerkesztő segítségével nyissa meg a web.config fájlt itt: <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost.

  2. A <services> gyökérelemben módosítsa a következőt a <!– Logon Service –> elemben:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. A <services> gyökérelemben módosítsa a következőt a <!– Data Access service –> elemben:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Ha befejezte, mentse, majd zárja be a fájlt.

  5. Válassza a Start lehetőséget, válassza a Futtatás lehetőséget, írja be a regedit parancsot, és válassza az OK gombot.

  6. A HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\alatt kattintson duplán a HTTP_GET_ENABLED értékre, és módosítsa az értékét hamis értékre. Kattintson duplán a BINDING_CONFIGURATION értékre, és módosítsa az értékét AlapértelmezetthttpsBinding értékre.

  7. A fenti lépések elvégzését követően állítsa vissza az Operations Manager webkonzolját futtató webhelyet.

FIPS-kompatibilitás konfigurálása

Az Operations Manager webkonzol-kiszolgáló összetevőjének alábbi lépéseit követve olyan algoritmusokat használhat, amelyek megfelelnek a szövetségi információfeldolgozási szabványoknak (FIPS). A System Center – Operations Manager FIPS-megfelelőségének engedélyezéséhez a használt mögöttes infrastruktúra (kiszolgáló operációs rendszere, Active Directory stb.) is FIPS-kompatibilisnek kell lennie.

A titkosítási DLL telepítése

  1. A webkonzolt futtató rendszeren nyissa meg a parancssori ablakot a Futtatás rendszergazdaként parancs kiadása mellett.
  2. Nyissa meg a telepítési adathordozó SupportTools könyvtárát, majd az AMD64 nevű könyvtárat.
  3. Futtassa a következő gacutil parancsot: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

A machine.config fájlok szerkesztése

  1. Egyszerű szövegszerkesztővel nyissa meg a machine.config fájlt a következő helyen: %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Ha a következő tartalom nem létezik a gyökérelemben, adja hozzá a <Configuration> következőt:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Ha befejezte, mentse, majd zárja be a fájlt.

Ismételje meg a fenti lépéseket a következő fájloknál is:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

A WebHost mappában található web.config fájl szerkesztése

  1. Egy egyszerű szövegszerkesztő segítségével nyissa meg a web.config fájlt itt: <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. A titkosítási <> elemben adja hozzá a következő elemet, ha nem létezik:<symmetricAlgorithm iv="SHA256"/>

  3. <connection autoSignIn="true" autoSignOutInterval="30"> A tag elemében adja hozzá a <session> következő attribútumot, ha nem létezik: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Módosítsa a következő elemet úgy, hogy igaz értékről hamisra módosítja az értékét: <serviceMetadata httpGetEnabled="false"/>

  5. Módosítsa a következő két elemet, állítsa DefaultHttpBinding értéküket a következőre: DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Mentse és zárja be a fájlt.

A MonitoringView mappában található web.config fájl szerkesztése

  1. Egy egyszerű szövegszerkesztő segítségével nyissa meg a web.config fájlt itt: <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. Az elemben <encryption> adja hozzá a következő elemet, ha nem létezik: <symmetricAlgorithm iv="SHA256"/>.

  3. <connection> A(z) elemben, a <connection autoSignIn="true" autoSignOutInterval="30"> címkében adja hozzá a <session> következő attribútumot, ha nem létezik: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. <system.web> Ha nem létezik, adja hozzá a következő elemet az elemhez:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Mentse és zárja be a fájlt.

Bejelentkezési munkamenet konfigurálása

Megjegyzés

A webkonzol alapértelmezés szerint Windows-hitelesítést használ, ha elérhető a webhelyre való bejelentkezéshez. A webkonzol alapértelmezett munkamenet-időtúllépési időköze 1 nap, és ez a maximális érték.

  1. Az érték szerkesztéséhez használjon egyszerű szövegszerkesztőt a web.config megnyitásához a fájlban <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. <appSettings> A gyökérelemben módosítsa a következő munkamenet időtúllépési értékét percekben. 
       <add key="SessionTimeout" value="1440"/>
  3. A fenti lépések elvégzését követően állítsa vissza az Operations Manager webkonzolját futtató webhelyet.

Következő lépések