Guida all'amministrazione di NetIQ iManager · Informazioni su NetIQ Corporation 9 Informazioni su...
121
NetIQ ® iManager Guida all'amministrazione Febbraio 2018
Transcript of Guida all'amministrazione di NetIQ iManager · Informazioni su NetIQ Corporation 9 Informazioni su...
NetIQ® iManagerGuida all'amministrazione
Febbraio 2018
Note legali
Per ulteriori informazioni sulle note legali, i marchi di fabbrica, le dichiarazioni di non responsabilità, le garanzie, le esportazioni e altre limitazioni di utilizzo, i diritti del governo degli Stati Uniti, le policy sui brevetti e la conformità FIPS, consultare https://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation, una società Micro Focus. Tutti i diritti riservati.
Informazioni sulla Guida e la raccolta di documentazione 7Informazioni su NetIQ Corporation 9
1 Panoramica 11
2 Accesso a iManager 13
Accesso a iManager basato su server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Accesso a iManager Workstation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Informazioni sulle modalità di accesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Autenticazione a un server eDirectory su cui è abilitata EBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Gestione di più alberi eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3 Utilizzo dell'interfaccia di iManager 19
Interfaccia di iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Frame dell'intestazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Frame di navigazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Frame del contenuto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Caratteri speciali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4 Ricerca di oggetti 23
Uso della vista oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Albero. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Sfoglia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Cerca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Utilizzo del Selettore oggetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Sfoglia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Cerca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5 Ruoli e task 33
Uso di Ruoli e task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Selezione e filtraggio di oggetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Amministrazione della directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Copia di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Creazione di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Cancellazione di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Modifica di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Spostamento di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Ridenominazione di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Gruppi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Creazione di un gruppo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Cancellazione di un gruppo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Modifica di un gruppo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Modifica dei membri di un gruppo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Sposta gruppo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Rinomina gruppo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Visualizzazione dei gruppi personali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Assistenza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Annullamento di un blocco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Creazione di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Impostazione di una parola d'ordine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Partizioni e repliche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Creazione di una partizione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Fusione di una partizione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Spostamento di una partizione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Visualizzazione delle informazioni sulla replica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Visualizzazione delle informazioni sulla partizione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Utilizzo della Replica filtrata guidata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Diritti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Modifica del filtro dei diritti ereditati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Modifica di diritti trustee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Diritti su altri oggetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Visualizzazione dei diritti effettivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Schema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Aggiunta di un attributo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Visualizzazione delle Informazioni sugli attributi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Visualizzazione delle informazioni sulla classe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Creazione di un attributo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Creazione di una classe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Cancellazione di un attributo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Cancellazione di una classe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Estensione di uno schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Estensione di un oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Utenti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Creazione di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Cancellazione di un utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Disabilitazione di un conto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Abilitazione di un conto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Modifica di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Spostamento di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Ridenominazione di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6 Configurazione e personalizzazione di iManager 53
Servizi basati su ruoli (RBS, Role-Based Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Oggetti RBS di eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Installazione dei servizi basati su ruoli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Rimozione di servizi basati su ruoli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Configurazione RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Scheda Ruolo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Scheda Task. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Scheda Registro proprietà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Scheda Modulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Scheda Categoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Plug-In Studio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Modifica delle associazioni dei membri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Modifica delle raccolte proprietario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Generazione rapporti RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Creazione di rapporti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Utilizzo di rapporti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Server iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Configura iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Aspetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Registrazione eventi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Autenticazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Servizi basati su ruoli (RBS, Role-Based Services) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Download plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Varie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Certificato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Elenco di creazione degli oggetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Aggiunta di una classe di oggetti all'elenco di creazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Rimozione di una classe di oggetti dall'elenco di creazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Installazione dei moduli plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Moduli NPM (NetIQ Plug-in Module) disponibili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Moduli NPM (NetIQ Plug-in Module) installati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Scaricamento e installazione di moduli NPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Se il sistema dei servizi basati su ruoli (RSB, Role-Based Services) è configurato. . . . . . . . . . . . . . 82Disinstallazione di un modulo NPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Personalizzazione dell'ubicazione di scaricamento del plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Notifica e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Configurazione del server di posta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Notifica evento task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Viste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Visualizzare e nascondere le viste di iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Abilitazione e disabilitazione della vista di Identity Manager come vista di default in iManager sui server in cui è installato Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7 Preferenze 87
Gestione Preferiti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Selettore oggetti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Vista oggetto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Imposta vista iniziale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Lingua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
8 Soluzione dei problemi 91
Problemi di autenticazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Errori HTTP 404 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Errori HTTP 500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Messaggi di errore 601. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Messaggi di errore 622. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Messaggi di errore 632. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Messaggi errore 634 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Messaggi di errore 669. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Campo Nome albero . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Login a un server senza una replica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Autenticazione non riuscita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Informazioni sulle parole d'ordine scadute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Login senza contesto mediante classi di oggetti e/o attributi alternativi . . . . . . . . . . . . . . . . . . . . . . 95
Accesso agli oggetti Server NCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Cancellazione e ricreazione di conti utente con lo stesso nome (Windows XP/2000) . . . . . . . . . . . . . . . . . 97Visualizzazione del messaggio di errore DNS 630 durante la creazione di un registro di proprietà che include caratteri non validi nel nome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Errori dei task di manutenzione di eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Abilitazione dei messaggi di debug per l'installazione e la configurazione . . . . . . . . . . . . . . . . . . . . . . . . . . 97La Cronologia non viene sincronizzata automaticamente tra più login utente simultanei. . . . . . . . . . . . . . . 98Mancato funzionamento di iManager dopo l'installazione di Groupwise 7.0 WebAccess (Windows Server 2000/2003)98Errori relativi ad attributi, oggetti o valori mancanti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Ruoli o task mancanti nella vista di configurazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Possibili ruoli o task mancanti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Possibili motivi della mancanza delle autorizzazioni necessarie . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Esecuzione di eDirectory e iManager sullo stesso computer (solo per Windows) . . . . . . . . . . . . . . . . . . . . 99Visualizzazione del messaggio “Servizio non disponibile” durante l'installazione di un plug-in . . . . . . . . . 100Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Avvio e interruzione di Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Porte di Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Errore “Impossibile determinare lo stato di Universal Password” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
La workstation iManager non visualizza alcuna informazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102A volte, il pulsante Aggiorna non funziona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102iManager Plug-in Installation Hangs or Plug-ins Are Not Properly Installed(L'installazione dei plugin di iManager si interrompe o non viene completata correttamente) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Problema con l'esecuzione del login con modifica dell'indirizzo IP dell'albero . . . . . . . . . . . . . . . . . . . . . . 104La dimensione insufficiente della heap Java impedisce l'esecuzione del login . . . . . . . . . . . . . . . . . . . . . 104I messaggi di errore Java sono visualizzati dopo aver chiuso il browser della workstation iManager . . . . 105iManager e LDAP utilizzano intervalli di date diversi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Non è possibile creare un contesto LDAP SSL mentre viene modificato un gruppo dinamico. . . . . . . . . . 105Il plug-in di iManager per eDirectory restituisce un errore se il server LDAP utilizza un certificato rilasciato da un CA di terze parti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9 Revisione di iManager Events 107
Abilitazione di Novell Auditing in iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Abilitazione di XDAS Auditing in iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Configurazione di XDAS Audit per iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Abilitazione di CEF Audit in iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Configurazione di CEF Audit per iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Configurazione di Audit per iManager con certificati di terze parti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Configurazione di Audit per iManager in modalità strict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
10 Procedure consigliate e domande comuni 117
Opzioni di backup e ripristino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Coesistenza con versioni precedenti di iManager 2.x e dei servizi basati su ruoli (RBS, Role-Based Services)117Raccolte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Installazioni non riuscite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Ottimizzazione delle prestazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Disabilitazione del supporto per i gruppi dinamici per RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Assegnazioni del ruolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Profilo AppArmor di iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Allocazione della memoria addizionale di Tomcat in Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
A Problemi di sicurezza di iManager 121
Certificati LDAP sicuri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Certificati firmati da se stessi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Utenti e gruppi autorizzati di iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Impedire la rilevazione del nome utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Impostazioni di Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Attributi cifrati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Connessioni sicure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
B Moduli NPM (NetIQ Plug-in Module) installati 127
Informazioni sulla Guida e la raccolta di documentazione 7
Informazioni sulla Guida e la raccolta di documentazione
La Guida all'amministrazione fornisce informazioni concettuali sul prodotto NetIQ iManager (iManager), definisce la terminologia e include scenari di implementazione.
Per la versione più aggiornata della Guida all'amministrazione di NetIQ iManager, consultare la versione in lingua inglese della documentazione disponibile sul sito Web della documentazione online di NetIQ iManager (https://www.netiq.com/documentation/imanager-31/).
DestinatariQuesta guida è destinata agli amministratori di rete.
Altre informazioni incluse nella libreriaLa libreria contiene le risorse seguenti:
Guida all'installazione
Descrive come installare iManager. Questa guida è destinata agli amministratori di rete.
Informazioni su NetIQ Corporation
NetIQ Corporation è una società globale di software per le aziende, focalizzata su tre problematiche costanti dell'ambiente aziendale, cambiamento, complessità e rischio, e che offre soluzioni utili per gestirle.
Il nostro punto di vistaAdattamento al cambiamento e gestione della complessità: sfide ben note
Fra tutte le sfide da affrontare, queste sono forse le variabili principali che impediscono il controllo necessario a misurare, monitorare e gestire in modo sicuro gli ambienti informatici fisici, virtuali e cloud.
Erogazione migliore e più rapida dei servizi di business di importanza critica
Siamo convinti del fatto che le nostre soluzioni per assicurare il massimo controllo possibile alle organizzazioni IT siano il solo percorso possibile verso un'erogazione tempestiva ed economica dei servizi. Il costante processo di cambiamento delle organizzazioni e la maggiore complessità intrinseca delle tecnologie necessarie per gestirlo continueranno ad esercitare pressioni sempre più forti.
La nostra filosofiaVendiamo soluzioni intelligenti e non semplice software
Al fine di poter garantire un controllo affidabile, prima di tutto ci dedichiamo a comprendere le situazioni reali in cui le organizzazioni IT operano quotidianamente. Questo approccio è il solo che consenta di sviluppare soluzioni IT pratiche e intelligenti, capaci di garantire risultati misurabili e comprovati, e che ci gratifica molto di più della semplice vendita di software.
Il successo degli utenti è il nostro stimolo
Il fulcro attorno al quale ruota la nostra attività aziendale è il successo degli utenti. Dall'ideazione del prodotto alla sua installazione, comprendiamo appieno l'esigenza dei nostri clienti di poter contare su soluzioni IT funzionanti che si integrino alla perfezione con i prodotti esistenti. Forniamo, inoltre, supporto costante e formazione successiva all'installazione, confermando di essere a tutti gli effetti un partner con cui è veramente facile collaborare. In sintesi: il successo degli utenti è il nostro successo.
Le nostre soluzioni Governance di identità e accessi
Gestione degli accessi
Gestione della sicurezza
Gestione di sistemi e applicazioni
Informazioni su NetIQ Corporation 9
Gestione del workload
Gestione del servizio
Contattare l'assistenza alle venditePer informazioni su prodotti, prezzi e funzionalità, rivolgersi al partner locale. In caso d'impossibilità, contattare il team di assistenza alle vendite.
Contattare il supporto tecnicoPer problemi specifici del prodotto, rivolgersi al team del supporto tecnico.
Contattare il supporto per la documentazioneNetIQ desidera fornire tutta la documentazione necessaria per indicare le soluzioni più appropriate alle esigenze degli utenti. Per inviare suggerimenti di miglioramento, fare clic su comments on this topic (commenti su questo argomento) in fondo a qualsiasi pagina nelle versioni in HTML della documentazione pubblicata sul sito Web www.netiq.com/documentation. È inoltre possibile inviare un'e-mail a [email protected]. La collaborazione degli utenti è una fonte preziosa e saremo lieti di ricevere qualsiasi suggerimento.
Contattare la comunità online di utentiLa comunità online di NetIQ, Qmunity, è una rete collaborativa che unisce utenti ed esperti di NetIQ. È una risorsa che contribuisce ad acquisire la conoscenza approfondita necessaria a sfruttare a pieno il potenziale degli investimenti IT fondamentali, in quanto offre informazioni più immediate, collegamenti e risorse utili e accesso agli esperti di NetIQ. Per ulteriori informazioni, visitare il sito http://community.netiq.com.
Sedi globali: www.netiq.com/about_netiq/officelocations.asp
Stati Uniti e Canada: 1-888-323-6768
E-mail: [email protected]
Sito Web: www.netiq.com
Sedi globali: www.netiq.com/support/contactinfo.asp
Nord e Sud America: 1-713-418-5555
Europa, Medio Oriente e Africa: +353 (0) 91-782 677
E-mail: [email protected]
Sito Web: www.netiq.com/support
10 Informazioni su NetIQ Corporation
1
Panoramica 11
1Panoramica
NetIQ® iManager è una console di amministrazione basata sul Web che fornisce un accesso sicuro e personalizzato alle risorse e alle utility di amministrazione della rete da qualsiasi postazione dotata di accesso a Internet e di un browser Web.
In iManager sono disponibili le seguenti caratteristiche:
Un unico punto di amministrazione per gli oggetti, lo schema, le partizioni e le repliche di NetIQ eDirectory.
Un unico punto di amministrazione per molte altre risorse di rete.
Gestione di molti altri prodotti NetIQ e Novell tramite i plug-in di iManager.
Servizi basati su ruoli (RBS, Role-Based Services) per la delega di task amministrativi.
Poiché iManager è uno strumento basato su Web, supporta numerose funzionalità vantaggiose per gli strumenti di amministrazione basati su client:
Unico upgrade sul server per tutti gli utenti amministrativi.
Le modifiche apportate al comportamento, all'aspetto e alle funzionalità di iManager sono subito disponibili a tutti gli utenti amministrativi.
Non è necessario aprire altre porte amministrative per l'accesso remoto. iManager utilizza le porte HTTP standard (80/443).. Con iManager, è possibile accedere alle porte HTTP non standard.
Non è necessario scaricare e gestire un client amministrativo.
Non è necessario mantenere il software client sincronizzato con le modifiche apportate al software server.
2 2Accesso a iManager
È possibile accedere a iManager e completare una serie di funzioni che vengono fornite su qualsiasi browser Web supportato. Sebbene sia possibile accedere a iManager anche mediante un browser Web diverso da quelli elencati, NetIQ non garantisce né supporta il funzionamento completo di iManager con tali browser Web.
Importante: Per ulteriori informazioni sui browser Web supportati per questa versione, consultare la NetIQ iManager Installation Guide (Guida all'installazione di NetIQ iManager).
Affinché sia possibile utilizzare alcune procedure guidate di iManager, è necessario abilitare le finestre popup nel browser Web. Se si utilizza un'applicazione che blocca le finestre popup, sarà necessario disabilitare la funzione di blocco durante l'utilizzo di iManager o consentirne la visualizzazione dall'host di iManager.
Se il browser Web in uso è configurato in modo che le immagini dei siti Web non vengano visualizzate, l'interfaccia di iManager potrebbe alterarsi e diventare inutilizzabile.
L'accesso a iManager varia a seconda della versione di iManager (basato su server o Workstation) e della piattaforma su cui è in esecuzione. Per informazioni sull'istallazione di iManager, consultare la Guida all'installazione di NetIQ iManager.
In questa sezione vengono fornite le seguenti informazioni:
“Accesso a iManager basato su server” a pagina 13
“Accesso a iManager Workstation” a pagina 14
“Informazioni sulle modalità di accesso” a pagina 14
“Autenticazione a un server eDirectory su cui è abilitata EBA” a pagina 15
“Gestione di più alberi eDirectory” a pagina 16
Accesso a iManager basato su serverPer accedere a iManager basato su server:
1 In un browser Web supportato, immettere uno dei seguenti URL nel campo dell'indirizzo:
Per accedere a iManager in modalità autonoma:
URL sicuro: https:// <indirizzo ip server>:8443/nps/iManager.html
Nota: per i requisiti relativi al proprio server Web, iManager utilizza solo Tomcat 8. È necessario specificare la porta di Tomcat nell'URL del browser.
Negli esempi, l'indirizzo IP in <indirizzo IP server> può essere IPv4 o IPv6. Ad esempio, quando si accede a iManager, l'URL può essere il seguente:
IPv6: https://[2001:db8::6]/nps/iManager.html
Benché su alcune piattaforme potrebbero funzionare URL di iManager leggermente diversi, NetIQ consiglia di utilizzarli comunque per coerenza.
2 Eseguire il login utilizzando nome utente, password e nome o IP dell'albero.
Accesso a iManager 13
Accesso a iManager WorkstationPer accedere a iManager Workstation:
1 Eseguire l'apposito script di avvio di iManager Workstation.
Linux: Passare alla directory imanager/bin quindi, eseguire ./iManager.sh.
Nota: Se si intende in futuro eseguire iManager Workstation come utente non-root, non eseguire iManager come root la prima volta
Windows: Eseguire imanager\bin\iManager.bat.
2 Eseguire il login utilizzando nome utente, password e nome o IP dell'albero.
Informazioni sulle modalità di accessoAll'avvio di iManager, all'utente viene assegnata una modalità di accesso in base ai diritti di cui dispone. iManager prevede tre modalità di accesso. La modalità dell'utente viene visualizzata nella home page di iManager.
Accesso illimitato: Si tratta della modalità di default prima della configurazione dei servizi basati su ruoli (RBS, Role-Based Services). In questa modalità vengono visualizzati tutti i ruoli e i task installati. Sebbene tutti i ruoli e i task siano visibili, per eseguire i task l'utente autenticato deve comunque disporre dei diritti necessari.
È disponibile un'impostazione che è possibile aggiungere al file config.xml, che consente di forzare la modalità Accesso illimitato anche se RBS è installato. Per forzare la modalità Accesso illimitato per tutti gli utenti, aggiungere questa impostazione in <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml, quindi riavviare Tomcat:
<setting>
<name><![CDATA[RBS.forceUnrestricted]]></name>
<value><![CDATA[true]]></value>
</setting>
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
Nota: Quando si utilizza iManager in modalità Accesso illimitato, nella relativa home page viene visualizzato il seguente messaggio: Avvertenza: alcuni ruoli e task non sono disponibili. Se si fa clic su Visualizza dettagli, è possibile che per alcuni task venga visualizzato il messaggio Non supportato dagli autenticatori attuali, anche se i task funzionano correttamente. Questo messaggio è ingannevole e viene rimosso una volta eseguita la configurazione di RBS.
Accesso assegnato: Consente di visualizzare solo i ruoli e i task assegnati all'utente autenticato. Questa modalità sfrutta al massimo le potenzialità della tecnologia dei servizi basati su ruoli.
Proprietario raccolta: Tramite questa modalità vengono visualizzati tutti i ruoli e i task installati nella raccolta. Se si è proprietari di una raccolta, anche se non si dispone di ruoli specifici è possibile utilizzare tutti i ruoli e le attività nella raccolta. Per utilizzare questa modalità, è necessario che siano installati i servizi basati su ruoli. Se si aggiunge un gruppo o un utente come proprietario raccolta, non viene assegnato alcun diritto RBS. Per assegnare i diritti, è necessario effettuare assegnazioni esplicite di ruoli RBS o di trustee.
14 Accesso a iManager
Nota: Quando una raccolta viene assegnata a un gruppo, a tutti i membri viene conferito il diritto di proprietà della raccolta. Il proprietario raccolta può visualizzare tutti i ruoli e i task, indipendentemente dall'appartenenza al ruolo.
Autenticazione a un server eDirectory su cui è abilitata EBA
Per accedere a un'istanza di eDirectory su cui è abilitata EBA da un'istanza di iManager su cui è abilitata EBA, il certificato EBA CA deve essere ubicato nell'archivio di attendibilità dei certificati EBA di iManager. Il file .eba.p12 contiene il certificato EBA CA dell'albero. Per scaricare il certificato EBA CA sul computer in cui è in esecuzione iManager, utilizzare ebaclientinit. ebaclientinit è una nuova utility da riga di comando inclusa nel pacchetto di installazione di iManager.
Quando viene eseguita ebaclientinit, l'utility genera un file .eba.p12 per un utente e un albero specifici. Il file è nascosto e risiede nella home directory ($HOME) su Linux e nella directory del profilo dell'utente (%USERPROFILE%) su Windows.
Importante: EBA richiede che l'orario sia sincronizzato su tutti i server e i client su cui è abilitata EBA nell'ambiente eDirectory. In caso contrario, EBA potrebbe non funzionare come previsto.
Nella tabella seguente sono elencate le opzioni della riga di comando disponibili con l'utility ebaclientinit:
Ad esempio, ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524
In base alla piattaforma in uso, eseguire ebaclientinit mediante uno dei metodi seguenti:
Linux: iManager esegue un utente novlwww su Linux. Quindi, eseguire ebaclientinit come utente novlwww mediante il comando seguente:
sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls
RHEL: in RHEL, utilizzare il comando seguente:
sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/:/opt/novell/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls
Opzioni della riga di comando
Descrizione
--user-dn DN dell'utente nel formato a punti.
--parola d'ordine Password dell'utente su cui è abilitata EBA.
--indirizzo Indirizzo di un server NCP nell'albero. La sintassi è <indirizzo IP>:<porta>.
Accesso a iManager 15
Windows: eseguire le azioni seguenti:
1 Eseguire il login a iManager come utente diverso dall'utente Sistema.
2 Eseguire ebaclientinit da C:\Programmi\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls.
In questo modo, il file .eba.p12 verrà ubicato nella home directory dell'utente.
3 Copiare il file .eba.p12 in C:\Windows\System32\config\systemprofile.
È necessario effettuare questa operazione in quanto iManager viene eseguito come utente novlwww in Windows.
In alternativa, è possibile eseguire ebaclientinit mediante lo strumento psexec come utente system.
1 Scaricare lo strumento psexec dalla pagina Download Microsoft.
2 Dal prompt dei comandi, spostarsi sulla directory che contiene lo strumento psexec ed eseguire il comando seguente:
psexec -i -s -d cmd
3 Nel prompt dei comandi, eseguire ebaclientinit mediante il comando seguente:
C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls
Nota: Se iManager non trova il certificato EBA CA per l'albero nel file .eba.p12 oppure se il file .eba.p12 non è presente, il plug-in EBA di iManager richiede le credenziali sadmin del server che funge da EBA CA. Tuttavia, NetIQ non consiglia di utilizzare sadmin.
Gestione di più alberi eDirectory iManager consente di gestire gli alberi di eDirectory in modo semplice da un'unica interfaccia. È possibile eseguire il login all'albero al quale si desidera eseguire la connessione e passare anche da un albero a un altro fra quelli a cui è stato eseguito il login. Una volta eseguita la connessione a un albero, iManager fornisce il contenuto specifico dell'albero, come le funzioni di amministrazione e i task dell'albero, e consente di configurare le opzioni richieste. Tale funzione si basa sulle impostazioni di default delle altre opzioni di configurazione. È possibile eseguire il login fino a 20 alberi di eDirectory contemporaneamente.
Per gestire più connessioni eDirectory:
1 Avviare iManager.
2 Eseguire il login a un albero di eDirectory come amministratore con i diritti appropriati.
Una volta eseguito il login, iManager visualizza l'icona Gestisci connessioni prima dell'icona della Guida, nella barra superiore dell'interfaccia di iManager.
3 Fare clic sull'icona Manage Connections (Gestisci connessioni).
In iManager viene visualizzato un elenco degli alberi a cui è stato eseguito il login in Gestisci connessioni. Nella pagina Gestisci connessioni è inoltre possibile effettuare l'accesso a un altro albero di eDirectory.
4 Per passare a un albero diverso, fare clic sull'albero corrispondente nell'elenco.
16 Accesso a iManager
5 Per eseguire il login a un albero diverso, fare clic sull'opzione Accedi a un altro albero di directory e specificare nome utente, password e nome o IP dell'albero, quindi fare clic su Accedi.
Viene visualizzata la home page di iManager. Per verificare se nella pagina sono visualizzate le informazioni corrette dell'albero, controllare il lato in alto a destra nella pagina. Viene visualizzato il nome utente utilizzato per eseguire il login all'albero e il nome dell'albero cui si è eseguito il login.
6 Ripetere dal passaggio 3 al passaggio 5 per ogni albero del quale si desidera gestire la connessione.
7 Per eseguire il logout dai singoli alberi a cui è stato eseguito il login, fare clic sull'icona di logout visualizzata accanto ai rispettivi alberi elencati in Gestisci connessioni.
Accesso a iManager 17
3 3Utilizzo dell'interfaccia di iManager
In questa sezione sono riportate informazioni relative all'uso dell'interfaccia di NetIQ® iManager.
“Interfaccia di iManager” a pagina 19
“Caratteri speciali” a pagina 22
Interfaccia di iManagerL'interfaccia di iManager include tre aree, o frame, principali.
Frame dell'intestazione
Frame di navigazione
Frame del contenuto
Figura 3-1 Interfaccia di iManager con la vista Ruoli e task di default.
Nota: Utilizzare solo i pulsanti dell'interfaccia quando si desidera spostarsi in iManager. Non utilizzare i pulsanti di navigazione (Indietro, Avanti e così via) del browser.
Per modificare la vista di default in Preferenze, vedere “Imposta vista iniziale” a pagina 88.
Utilizzo dell'interfaccia di iManager 19
Frame dell'intestazione
Il Frame dell'intestazione rappresenta un frame principalmente statico posizionato nella parte superiore dell'interfaccia di iManager. Include icone che consentono di accedere a varie viste di iManager. Una vista è una combinazione di frame di navigazione e di contenuto che fornisce specifiche funzionalità di gestione. La vista Ruoli e task di default, ad esempio, consente di selezionare uno specifico task nel frame di navigazione e di eseguirlo nel frame del contenuto.
Figura 3-2 Frame dell'intestazione di iManager
Il frame dell'intestazione di iManager include le seguenti icone:
Home: consente di ripristinare la vista di default del frame del contenuto (come illustrato nella figura 3-1).
Esci: consente di eseguire il logout da tutti gli alberi di eDirectory.
Ruoli e task: in questa vista sono visualizzati tutti i task che si è autorizzati a eseguire nel frame di navigazione. Rappresenta la vista di default di iManager. Per ulteriori informazioni, consultare Capitolo 5, “Ruoli e task”, a pagina 33.
Oggetti: questa vista include funzionalità di esplorazione e ricerca che consentono di trovare oggetti, tra cui la funzione Visualizzazione ad albero simile a quella utilizzata in ConsoleOne. Per ulteriori informazioni, consultare Capitolo 4, “Ricerca di oggetti”, a pagina 23.
Configura: questa vista include le opzioni Servizi basati sul ruolo, Server iManager, Elenco di creazione degli oggetti, Installazione plug-in, Notifica e-mail e Viste, tutte configurabili nel modo desiderato.
Preferiti: in questa vista sono visualizzati i task più frequenti selezionati dalla pagina Preferenze > Preferiti.
Preferenze: in questa vista è possibile impostare le preferenze in base ai task più frequenti, alle modalità di visualizzazione del Selettore oggetti e della vista oggetto, alla vista visualizzata in seguito al login a iManager e alla lingua di visualizzazione di iManager.
Gestisci connessioni: in questa vista sono visualizzati tutti gli alberi di eDirectory a cui è stato eseguito il login.
Guida: consente di visualizzare tutte le informazioni della guida contestuale in base al frame del contenuto attivo.
Inoltre, in alto a sinistra, il frame dell'intestazione consente di identificare l'utente e il nome dell'albero attualmente autenticati in iManager.
Per informazioni su come modificare la vista di default di iManager, vedere Capitolo 6, “Configurazione e personalizzazione di iManager”, a pagina 53.
Frame di navigazione
Il frame di navigazione è posizionato sul lato sinistro dell'interfaccia utente di iManager. Include le opzioni dei task e delle funzionalità correlate alla vista attualmente selezionata. La vista Ruoli e task di default include ad esempio tutti i task che si è autorizzati a eseguire. I task sono suddivisi in categorie. L'elenco dei task e delle categorie varia in base ai plug-in installati e ai diritti concessi all'utente in qualità di utente di iManager autenticato.
20 Utilizzo dell'interfaccia di iManager
Figura 3-3 Contenuto del frame di navigazione nella vista Ruoli e task
L'ordine dei task all'interno di ogni categoria dipende dall'autore del plug-in iManager valido. I task del plug-in di base, ovvero quelli forniti con iManager, vengono generalmente visualizzati prima di quelli degli altri plug-in.
Frame del contenuto
Il frame del contenuto include il task specifico o l'interfaccia oggetto, in base alla selezione attualmente attiva nel frame di navigazione.
Figura 3-4 Contenuto di default della vista Contenuto di iManager
Quando non è selezionato alcun task, nel frame del contenuto è visualizzata la home page di iManager con le informazioni generali sui diritti di accesso a iManager.
Utilizzo dell'interfaccia di iManager 21
Caratteri specialiIn iManager alcuni caratteri hanno una funzione specifica e devono essere preceduti da una barra rovesciata:
NDAP (eDirectory):
Punto (.)
Segno di uguale (=)
Segno più (+)
Barra rovesciata (\)
LDAP:
Nomi distinti (DN) e = + \ @; < >
# iniziale
Spazi iniziali o finali
Per LDAP, è possibile specificare qualsiasi carattere con \xx. Per ulteriori informazioni, vedere RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html).
22 Utilizzo dell'interfaccia di iManager
4 4Ricerca di oggetti
iManager consente di modificare e gestire gli oggetti della Directory. Esistono due modi diversi di eseguire queste operazioni. È possibile individuare e selezionare gli oggetti desiderati e specificare il task che si desidera eseguire su di essi (oggetto e quindi task). Oppure, è possibile selezionare il task che si desidera eseguire e specificare gli oggetti a cui applicarlo (task e quindi oggetto). Entrambe le modalità sono valide e iManager consente di utilizzare quella preferita.
iManager include la Vista oggetto, per gli utenti che preferiscono la modalità oggetto e quindi task, e la modalità Selettore oggetti, per gli utenti che preferiscono la modalità task e quindi oggetto. La modalità Selettore oggetti è molto utilizzata nella vista Ruoli e task. Per ulteriori informazioni, consultare Capitolo 5, “Ruoli e task”, a pagina 33.
In questo capitolo sono incluse le seguenti sezioni:
“Uso della vista oggetto” a pagina 24
“Utilizzo del Selettore oggetti” a pagina 29
Nota: iManager supporta l'esplorazione e la selezione di oggetti in un file system su cui è abilitato NCP e consente di accedere agli oggetti del file system mediante gli oggetti Server e Volume nell'albero della directory.
Le funzionalità di ricerca e selezione degli oggetti del file system sono disponibili nella Vista oggetto e nel Selettore oggetti. I task effettivi che è possibile eseguire sugli oggetti del file system sono inclusi nel plug-in iManager NSS, disponibile separatamente.
Quando si specificano i nomi degli oggetti, osservare le seguenti istruzioni indipendentemente dallo strumento in uso:
Se i seguenti caratteri fanno parte di un nome con punti di eDirectory, utilizzare una barra rovesciata (\) per ignorarli. Per la maggior parte dei valori non è necessario fare precedere i caratteri da una barra rovesciata. Questo tipo di codifica è obbligatoria solo per i nomi distinti o i nomi distinti relativi.
Punto (.)
Segno di uguale (=)
Segno più (+)
Barra rovesciata (\)
Se i seguenti caratteri sono inclusi in un nome che si desidera specificare in una ricerca, utilizzare una barra rovesciata (\) per ignorarli:
Asterisco (*)
Barra rovesciata (\)
Ad esempio:
Per cercare tutti gli oggetti che contengono un punto, utilizzare *. * come filtro di ricerca
Per eseguire la ricerca di tutti gli oggetti contenenti un segno più (+), utilizzare come filtro di ricerca *+*
Per eseguire la ricerca di tutti gli oggetti contenenti una barra rovesciata, utilizzare come filtro di ricerca *\\*
Ricerca di oggetti 23
Uso della vista oggettoLa vista oggetto consente di cercare e individuare gli oggetti nella directory. Dopo aver selezionato gli oggetti desiderati, è possibile specificare i task che si desidera eseguire su di essi. Aprire la vista oggetto selezionando l'icona Visualizza oggetti nel frame dell'intestazione.
Nel frame di navigazione della vista oggetto sono disponibili le seguenti schede, ciascuna delle quali offre una specifica modalità di ricerca e individuazione degli oggetti della directory:
Albero
Sfoglia
Cerca
Albero
La scheda Albero consente di esplorare un albero della directory con un aspetto simile a quello di ConsoleOne™. Le funzionalità della vista Albero vengono fornite mediante il frame di navigazione e il frame del contenuto.
Figura 4-1 Scheda Albero nella vista oggetto di iManager
Frame di navigazione della vista albero
Nel frame di navigazione della vista albero è visualizzata la struttura di directory nel formato familiare di ConsoleOne. Il frame di navigazione visualizza oggetti Container, incluso il volume (file system). Fare clic sulle icone con i segni più e meno per espandere e comprimere gli oggetti container e sfogliare l'albero della directory.
Per default, nella Vista albero vengono visualizzati fino a 100 oggetti subordinati per container, ma è possibile modificare questa impostazione in Preferenze vista oggetto.
24 Ricerca di oggetti
Frame di navigazione della vista albero
Selezionando uno degli oggetti Container nel frame di navigazione, tutti gli oggetti di quel container verranno visualizzati dal frame del contenuto. Il frame del contenuto consente di modificare gli oggetti della directory. Include un'intestazione da cui è possibile selezionare una delle numerose azioni disponibili:
Percorsi: Nella parte superiore del frame del contenuto, la Vista albero fornisce un percorso di navigazione che consente di spostarsi nei container presenti nel contesto attuale.
Barra del titolo: La barra del titolo del frame del contenuto indica il nome dell’oggetto Container attualmente selezionato. Fare clic sull'icona a forma di matita per modificare le proprietà del container.
Intestazione elenco oggetti: l'intestazione dell'elenco di oggetti fornisce l'accesso a quanto segue:
Barra dei menu: dalla barra dei menu del frame del contenuto è possibile accedere alle azioni eseguibili su un oggetto. Le opzioni disponibili sono:
Nuovo: consente di aprire un menu a discesa con i task di creazione.
Modifica: apre il registro delle proprietà degli oggetti selezionati per consentire la modifica dei relativi attributi. La selezione di più oggetti dello stesso tipo consente di impostare sullo stesso valore gli attributi per tutti gli oggetti.
Nota: È inoltre possibile aprire il registro delle proprietà di un oggetto foglia selezionandolo nell'elenco di oggetti. La selezione di un oggetto Container nell'elenco di oggetti consente di visualizzare il container selezionato e tutti i relativi oggetti subordinati. Per modificare gli attributi di un oggetto Container, è necessario selezionare la relativa casella di controllo, quindi fare clic su Modifica.
Cancella: consente di cancellare gli oggetti selezionati. Per selezionare un oggetto da modificare, selezionare la relativa casella di controllo nell'elenco di oggetti.
Azioni: consente di aprire un menu a discesa con i task supportati per gli oggetti selezionati. Per eseguire un task, selezionarlo dal menu a discesa e fornire le informazioni richieste.
Nota: Se è stato configurato RBS, nel menu Azioni saranno visualizzati solo i task presenti nei ruoli assegnati.
Numero di oggetti: a destra della barra dei menu è disponibile la vista albero che mostra il numero di oggetti inclusi nella pagina attuale e il numero totale di oggetti contenuti nel container selezionato.
Seleziona tutto: la casella di controllo nell'intestazione assume la funzione "Seleziona tutto" per la pagina di oggetti attuale.
Ordinamento: direttamente sopra all'elenco di oggetti è presente l'intestazione di colonna "Nome" con un'icona di ordinamento. Fare clic sull'icona per selezionare l'ordinamento alfabetico crescente o decrescente degli oggetti.
Definisci filtro: all'estremità destra dell'intestazione, sotto il numero di oggetti, è presente l'icona del filtro degli oggetti. Selezionare questa icona per creare un filtro che limiti il numero di oggetti visualizzati nell'elenco. È possibile filtrare in base al tipo e al nome dell'oggetto, secondo le esigenze.
Selezionare Mostra tutti i container per visualizzare gli oggetti container nell'elenco di oggetti indipendentemente dal filtro definito.
Ricerca di oggetti 25
Selezionare Filtro avanzato per aprire la finestra di dialogo Filtro avanzato, che consente di creare un filtro utilizzando la quasi totalità degli attributi dell'oggetto. Per ulteriori informazioni, consultare la “Selezione avanzata” a pagina 35.
Nota: quando un filtro è attivo, la relativa icona diventa colorata e accanto a essa viene visualizzata l'impostazione del filtro. Se si configura un filtro avanzato, in iManager viene visualizzato un segno di spunta accanto all'icona del filtro.
Elenco oggetti: L'elenco di oggetti del frame del contenuto visualizza tutti gli oggetti presenti nel container attualmente selezionato nel frame di navigazione. Per default, nell'elenco di oggetti vengono visualizzati 100 oggetti per pagina, ma è possibile modificare questa impostazione in Preferenze vista oggetto.
Per eseguire un'azione su un oggetto, selezionare la relativa casella di controllo, quindi selezionare l'azione dall'intestazione dell'elenco di oggetti. Per eseguire un'azione sul container che si sta attualmente sfogliando, selezionare l'oggetto al livello attuale.
Per salire al livello del container superiore, selezionare l'oggetto due punti (..).
Importante: La vista albero non supporta la selezione di oggetti in più pagine dell'elenco di oggetti. Nel caso in cui tale operazione sia necessaria, utilizzare la scheda Sfoglia della vista oggetto per eseguire azioni su più oggetti. Per ulteriori informazioni, consultare “Sfoglia” a pagina 26.
Sfoglia
La scheda Sfoglia include un'interfaccia utente e funzionalità simili al Selettore oggetti per offrire uno strumento di ricerca di directory. Per informazioni sull'uso dell'interfaccia utente Sfoglia, vedere “Utilizzo del Selettore oggetti” a pagina 29.
Figura 4-2 Scheda Sfoglia nella vista oggetto di iManager
26 Ricerca di oggetti
La scheda Sfoglia contiene solo il frame di navigazione con le relative funzionalità. Include i seguenti componenti principali:
Filtro basato su oggetto: Il filtro basato su oggetto, posizionato nella parte superiore del frame di navigazione, consente di limitare gli oggetti visualizzati nel relativo elenco. Dopo aver definito il filtro, fare clic su Applica per utilizzarlo.
Importante: Nella scheda Sfoglia, il filtro basato sugli oggetti viene applicato solo agli oggetti Directory e non agli oggetti del file system, che potrebbero essere comunque visibili nella scheda.
Il filtro oggetto include i seguenti campi:
Contesto: consente di visualizzare solo gli oggetti inclusi nel contesto specificato. Equivale all'apertura del container dall'elenco di oggetti.
Nome: consente di visualizzare solo gli oggetti che corrispondono al filtro basato su nome specificato. Per specificare un nome parziale, utilizzare il carattere jolly asterisco (*), Ad esempio: ldap*, *cert, *server*.
Tipo: consente di visualizzare gli oggetti del tipo specificato.
Nota: Se si seleziona un tipo di oggetto specifico, viene visualizzata un'icona più [+] che consente di aprire lo strumento Selezione avanzata da cui è possibile specificare altre impostazioni di filtro a livello di attributo. Per ulteriori informazioni, consultare “Selezione avanzata” a pagina 35.
Carica/Salva: questi due collegamenti consentono rispettivamente di caricare una definizione filtro già specificata e di salvare il filtro attuale per poterlo riutilizzare.
Selezione multipla / Selezione singola: Questo collegamento, posizionato sul lato destro dell'elenco di oggetti, consente di alternare la selezione di uno o più oggetti su cui si desidera eseguire un task. L'opzione di default è Selezione singola. Per ulteriori informazioni, consultare “Selezione e filtraggio di oggetti” a pagina 33.
Elenco oggetti: Visualizza un elenco di oggetti della directory in base ai criteri impostati nel filtro basato su oggetto. Per default, nell'elenco di oggetti vengono visualizzati 100 oggetti per pagina, ma è tuttavia possibile modificare questo valore in Preferenze vista oggetto. Utilizzare i pulsanti Precedente e Successivo per spostarsi tra le pagine di un oggetto. Per spostarsi tra gli oggetti inclusi nell'elenco, effettuare le seguenti operazioni:
Selezionare l'icona con la freccia verso il basso accanto a un oggetto Container per aprirlo e visualizzare i relativi oggetti inclusi nell'elenco corrispondente.
Selezionare l'icona con la freccia verso l'alto nella parte superiore dell'elenco di oggetti per visualizzare il contenuto del container superiore a quello attuale. Questa operazione consente di spostarsi su di un livello nell'albero della directory.
Selezionare un oggetto Container o foglia per aprire una finestra con i relativi task disponibili. Quando si seleziona un task, la relativa interfaccia utente viene aperta nel frame del contenuto.
Cerca
La scheda Ricerca è simile alla scheda Sfoglia ma visualizza solo gli oggetti che soddisfano i criteri di ricerca specificati anziché una struttura dell'albero nel frame di navigazione.
Ricerca di oggetti 27
Figura 4-3 Scheda Ricerca nella vista oggetto di iManager
La scheda Ricerca contiene solo il frame di navigazione con le relative funzionalità. Include i seguenti componenti principali:
Ricerca di oggetti: Posizionata nella parte superiore del frame di navigazione, l'opzione consente di specificare i criteri di una ricerca. Dopo aver definito i criteri desiderati, fare clic su Cerca per eseguire l'operazione di ricerca specificata.
Importante: Nella scheda Ricerca, il filtro basato sugli oggetti viene applicato solo agli oggetti Directory e non agli oggetti del file system, che potrebbero essere comunque visibili nella scheda.
È possibile specificare i criteri di ricerca utilizzando i seguenti campi:
Contesto: consente di specificare il container iniziale per l'operazione di ricerca. Se si desidera effettuare la ricerca includendo i container subordinati, selezionare Cerca in sottocontainer.
Nome: consente di definire il filtro basato sul nome dell'oggetto per la ricerca. Per specificare un nome parziale, utilizzare il carattere jolly asterisco (*), Ad esempio: ldap*, *cert, *server*.
Nome: consente di definire il filtro basato sul tipo di oggetto per la ricerca. In iManager vengono visualizzati solo gli oggetti del tipo specificato.
28 Ricerca di oggetti
Nota: Se si seleziona un tipo di oggetto specifico, viene visualizzata un'icona più [+] che consente di aprire lo strumento Selezione avanzata da cui è possibile specificare altre impostazioni di filtro a livello di attributo. Per ulteriori informazioni, consultare “Selezione avanzata” a pagina 35.
Carica/Salva: questi due collegamenti consentono rispettivamente di caricare una definizione di ricerca già specificata e di salvare il filtro attuale per poterlo riutilizzare.
Selezione multipla / Selezione singola: Questo collegamento, posizionato sopra il lato destro dell'elenco dei risultati, consente di alternare la selezione di uno o più oggetti su cui si desidera eseguire un task. L'opzione di default è Selezione singola. Per ulteriori informazioni, consultare “Selezione e filtraggio di oggetti” a pagina 33.
Elenco dei risultati: Visualizza i risultati dell'operazione di ricerca. Per default, nell'elenco di oggetti vengono visualizzati 100 oggetti per pagina, ma è tuttavia possibile modificare questo valore in Preferenze vista oggetto. Utilizzare i pulsanti Precedente e Successivo per spostarsi tra le pagine dei risultati. Selezionare un oggetto Container o foglia per aprire una finestra con i relativi task disponibili. Quando si seleziona un task, viene aperta la relativa interfaccia utente nel frame del contenuto.
Nota: La scheda Ricerca non consente di spostarsi tra gli oggetti, ad esempio di aprire oggetti container, nell'elenco dei risultati. Per eseguire questa operazione, è necessario utilizzare la scheda Albero o Sfoglia.
Utilizzo del Selettore oggettiIl Selettore oggetti consente di selezionare gli oggetti che si desidera utilizzare nel task attuale. Questo strumento è disponibile in iManager ogni volta che si seleziona un task o un'azione prima di specificare gli oggetti a cui applicare il task o l'azione.
Per accedere al Selettore oggetti, selezionare l'icona con la lente di ingrandimento ovunque venga visualizzata nel frame del contenuto. Verrà aperta la finestra del Selettore oggetti nella parte superiore di iManager.
Ricerca di oggetti 29
Figura 4-4 Selettore oggetti di iManager
Il Selettore oggetti include due schede che consentono di individuare gli oggetti di destinazione per i task che si desidera eseguire:
“Sfoglia” a pagina 30
“Cerca” a pagina 31
Sfoglia
La scheda Sfoglia (default) consente di cercare gli oggetti desiderati nell'albero della directory. Include i seguenti componenti principali:
Filtro oggetto: Posizionato sul lato sinistro del Selettore oggetti, questo filtro consente di limitare gli oggetti visualizzati nell'elenco dei contenuti. Dopo aver definito il filtro, fare clic su Applica per utilizzarlo. Il filtro oggetto include i seguenti campi:
Cerca in: consente di visualizzare solo gli oggetti inclusi nel contesto specificato. Equivale all'apertura del container dall'elenco dei contenuti.
Cerca oggetti denominati: consente di visualizzare solo gli oggetti che corrispondono al filtro basato su nome specificato. Per specificare un nome parziale, utilizzare il carattere jolly asterisco (*), Ad esempio: ldap*, *cert, *server*.
30 Ricerca di oggetti
Ricerca avanzata: consente di aprire lo strumento Selezione avanzata da cui è possibile specificare altre impostazioni per il filtro a livello di attributo. Per ulteriori informazioni, consultare “Selezione avanzata” a pagina 35.
Carica criteri/Salva criteri: questi due collegamenti consentono rispettivamente di caricare una definizione filtro già specificata e di salvare il filtro attuale per poterlo riutilizzare.
Sommario: Visualizza un elenco di oggetti della directory in base ai criteri impostati nel filtro basato su oggetto. Per default nell'elenco di oggetti vengono visualizzati 100 oggetti per pagina, ma è tuttavia possibile modificare questo numero. Utilizzare i pulsanti Precedente e Successivo per spostarsi tra le pagine di un oggetto. Per spostarsi tra gli oggetti inclusi nell'elenco, effettuare le seguenti operazioni:
Selezionare l'icona con la freccia verso il basso accanto a un oggetto Container per aprirlo e visualizzarne gli oggetti nell'elenco dei contenuti.
Selezionare l'icona con la freccia verso l'alto nella parte superiore dell'elenco di oggetti per visualizzare il contenuto del container superiore a quello attuale. Questa operazione consente di spostarsi su di un livello nell'albero della directory.
Quando si seleziona un oggetto in iManager, questo viene classificato come quello su cui si desidera eseguire il task attuale.
Oggetti selezionati: Questo componente viene visualizzato solo quando si selezionano più oggetti per il task attuale. Nel campo Oggetti selezionati vengono elencati gli oggetti attualmente selezionati per il task. Una volta completato l'elenco, fare clic su OK. Se si desidera svuotare l'elenco di oggetti selezionati e ricominciare, fare clic su Azzera tutto.
Per ulteriori informazioni sulla selezione di uno o più oggetti per un task, vedere “Selezione e filtraggio di oggetti” a pagina 33
Cerca
La scheda Ricerca consente di specificare un'operazione di ricerca da eseguire sull'albero della directory e di visualizzarne i risultati. Include i seguenti componenti principali:
Ricerca di oggetti: Questa opzione, posizionata sul lato sinistro del Selettore oggetti, consente di specificare i criteri della ricerca. Dopo aver definito i criteri desiderati, fare clic su Cerca per eseguire l'operazione di ricerca specificata. È possibile specificare i criteri di ricerca utilizzando i seguenti campi:
Inizia ricerca in: consente di specificare il container da cui iniziare l'operazione di ricerca. Se si desidera effettuare la ricerca includendo i container subordinati, selezionare Cerca in sottocontainer.
Cerca oggetti denominati: consente di specificare il filtro basato sul nome oggetto per la ricerca. Per specificare un nome parziale, utilizzare il carattere jolly asterisco (*), Ad esempio: ldap*, *cert, *server*.
Ricerca Avanzata: consente di aprire lo strumento Selezione avanzata da cui è possibile specificare altre impostazioni di ricerca a livello di attributo. Per ulteriori informazioni, consultare “Selezione avanzata” a pagina 35.
Carica Criteri/Salva Criteri: questi due collegamenti consentono rispettivamente di caricare una definizione di ricerca già specificata e di salvare il filtro attuale per poterlo riutilizzare.
Selezione multipla / Selezione singola: Questo collegamento, posizionato sopra il lato destro dell'elenco dei risultati, consente di alternare la selezione di uno o più oggetti su cui si desidera eseguire un task. L'opzione di default è Selezione singola. Per ulteriori informazioni, consultare “Selezione e filtraggio di oggetti” a pagina 33.
Ricerca di oggetti 31
Elenco dei risultati: Visualizza i risultati dell'operazione di ricerca. Per default nell'elenco dei risultati vengono visualizzati 100 oggetti per pagina, ma è tuttavia possibile modificare questo numero. Utilizzare i pulsanti Precedente e Successivo per spostarsi tra le pagine dei risultati.
Nota: La scheda Ricerca non consente di spostarsi tra gli oggetti, ad esempio di aprire oggetti container, nell'elenco dei risultati. Per eseguire questa operazione, utilizzare la scheda Sfoglia del Selettore oggetti.
Oggetti selezionati: Questo componente viene visualizzato solo quando si selezionano più oggetti per il task attuale. Nel campo Oggetti selezionati vengono elencati gli oggetti attualmente selezionati per il task. Una volta completato l'elenco, fare clic su OK. Se si desidera svuotare l'elenco di oggetti selezionati e ricominciare, fare clic su Azzera tutto.
Per ulteriori informazioni sulla selezione di uno o più oggetti per un task, vedere “Selezione e filtraggio di oggetti” a pagina 33
32 Ricerca di oggetti
5 5Ruoli e task
Quando si seleziona l'opzione Ruoli e task nel frame dell'intestazione, nel frame di navigazione vengono visualizzati tutti i ruoli e i task disponibili in iManager. I ruoli e i task correlati vengono raggruppati in categorie. È tuttavia possibile creare gruppi di categorie personalizzati a cui assegnare ruoli e task. Per ulteriori informazioni, consultare “Scheda Categoria” a pagina 64.
In questa sezione vengono fornite le seguenti informazioni:
“Uso di Ruoli e task” a pagina 33
“Amministrazione della directory” a pagina 37
“Gruppi” a pagina 39
“Assistenza” a pagina 41
“Partizioni e repliche” a pagina 42
“Diritti” a pagina 44
“Schema” a pagina 46
“Utenti” a pagina 49
Nella prima sezione di questo capitolo viene illustrato l'uso di Ruoli e task per la navigazione. Le altre sezioni forniscono descrizioni dettagliate dei task disponibili nel set di ruoli e task di base di iManager. Per ulteriori informazioni sui ruoli e i task supportati da un plug-in specifico di prodotto, consultare la documentazione del prodotto.
Oltre alla vista Ruoli e task è possibile configurare la vista Preferiti di iManager in modo da visualizzare i task utilizzati più spesso. Per ulteriori informazioni, consultare “Gestione Preferiti” a pagina 87.
Uso di Ruoli e task L'utilizzo dei task di iManager è un processo semplice costituito dai seguenti passaggi generali:
1 (Frame di navigazione) Aprire la categoria che include il task desiderato.
2 (Frame di navigazione) Selezionare il task desiderato dall'elenco di task della categoria.
3 (Frame del contenuto) Immettere le informazioni necessarie per il completamento del task, inclusi gli oggetti a cui viene applicato, se possibile.
Per ulteriori informazioni sulla selezione degli oggetti a cui verrà applicato il task, vedere “Selezione e filtraggio di oggetti” a pagina 33
4 (Frame del contenuto) Fare clic su OK per eseguire il task.
Selezione e filtraggio di oggetti
Per i task che è possibile applicare a più oggetti contemporaneamente, ad esempio Modifica utente, in iManager sono disponibili opzioni selezionabili dal frame del contenuto che consentono di individuare gli oggetti desiderati.
Ruoli e task 33
Figura 5-1 Opzioni per la selezione di oggetti in un task
Selezionare un solo oggetto
Corrisponde al metodo di default per la selezione di oggetti. Selezionare un solo oggetto consente di specificare il singolo oggetto a cui viene applicato il task. Quando si seleziona un oggetto durante l'utilizzo del Selettore oggetti, quest'ultimo viene chiuso automaticamente e l'oggetto selezionato viene inserito nel campo del nome oggetto del task. Per ulteriori informazioni sul Selettore oggetti, vedere “Utilizzo del Selettore oggetti” a pagina 29.
Selezionare più oggetti
Selezionare più oggetti consente di modificare il campo del nome oggetto dei task in modo da inserire un elenco di oggetti anziché un solo oggetto. È possibile eseguire il Selettore oggetti anche nella modalità di selezione multipla, in modo tale da selezionare più oggetti contemporaneamente. Per ulteriori informazioni sul Selettore oggetti, vedere “Utilizzo del Selettore oggetti” a pagina 29.
Selezione semplice
Selezione semplice consente di aprire uno strumento di ricerca di base nel frame del contenuto da cui è possibile cercare gli oggetti nell'albero della directory in base al valore della proprietà specificato.
Figura 5-2 Filtro di oggetti di base in un task
L'elenco Attributi contiene gli attributi sui quali è possibile eseguire una ricerca.
L'elenco Operatore contiene diversi operatori che possono essere utilizzati per eseguire una ricerca.
Se si desidera che gli oggetti restituiti dall'operazione di ricerca vengano ordinati, selezionare Ordina gli oggetti risultanti.
La funzione Selezione semplice prevede le seguenti limitazioni:
Supporta la ricerca nell'intero albero della directory
Non supporta i caratteri jolly nei criteri di ricerca
Supporta solo i filtri “inizia con” e “uguale a” per i valori delle proprietà.
34 Ruoli e task
Selezione avanzata
Selezione avanzata include un ambiente più configurabile per la ricerca degli oggetti desiderati nella directory.
Selezione avanzata offre un controllo più accurato del filtro basato su oggetto utilizzato durante l'operazione di ricerca. Per configurare le opzioni di selezione avanzata, utilizzare i seguenti campi:
Tipo di oggetto: consente di specificare la classe di base dell'oggetto ricercato, ad esempio Utente.
Container: consente di specificare il container da cui iniziare la ricerca. Per includere i container subordinati nella ricerca, selezionare Includi sottocontainer.
Filtro: consente di specificare un filtro da applicare alla ricerca. Selezionare l'icona Filtro per aprire un'altra finestra in cui è possibile definire il filtro. Dopo aver specificato il filtro, fare clic su OK.
L'interfaccia di Filtro include i seguenti campi:
Classi ausiliarie: consente di specificare una classe ausiliaria da includere nella ricerca.
Attributo: consente di specificare un attributo (proprietà) che si desidera utilizzare come parte del filtro.
Operatore: consente di specificare l'operatore logico da applicare al filtro. Le opzioni disponibili includono
Valore: consente di specificare il valore dell'attributo utilizzato come filtro. Per indicare parte di un valore, è possibile utilizzare l'asterisco (*) come carattere jolly, ad esempio ros*, *si e *oss*.
È inoltre possibile concatenare più filtri di attributo in un gruppo di filtri utilizzando l'icona + per aggiungere un secondo attributo all'elenco. Quando si utilizzano più filtri di attributo, utilizzare l'operatore logico OR o AND per collegarli.
Dopo aver definito un filtro, fare clic su Anteprima, quindi su OK per visualizzare la schermata Modifica oggetto. Nella pagina vengono visualizzati gli attributi definiti per gli oggetti nel container. Vengono elencati anche i valori dell'attributo comune. Ad esempio, gli attributi Figura 5-3 Nome, Cognome e Nome completo hanno valori comuni relativi a tutti gli oggetti nel container specifico. Gli attributi che dispongono di campi vuoti indicano che tali attributi non conservano un valore comune per tutti gli oggetti. Tuttavia, è possibile aggiungere valori a questi attributi.
Ruoli e task 35
Figura 5-3 Schermata Modifica oggetto
Eseguendo i seguenti task per gli attributi, tutti gli oggetti presenti nel container vengono aggiornati:
Ignora: viene utilizzato per non aggiornare alcuna modifica apportata agli oggetti.
Replace: viene utilizzato per sostituire il valore di un attributo esistente presente nell'elenco. Per effettuare una sostituzione: fare doppio clic sul valore, apportare le modifiche desiderate e premere Invio. > Quindi, fare clic su Sostituisci.
Aggiungi: viene utilizzato per aggiungere i valori a un attributo. È possibile aggiungere più valori a uno stesso attributo. Ad esempio, l'utente dispone di più di un valore Nome per tutti gli oggetti.
Rimuovi: viene utilizzato per rimuovere i valori degli attributi. Per rimuovere i valori di un attributo:
1 Se nell'attributo sono presenti più valori, nascondere prima i valori che si desiderano conservare premendo il tasto Canc sulla tastiera. Ciò viene eseguito in quanto l'opzione Remove (Rimuovi) rimuove tutti i valori elencati. Per questo motivo, è necessario prima nascondere i valori che si desidera conservare.
Nell'elenco degli attributi vengono visualizzati solo i valori che devono essere cancellati.
2 Fare clic su Remove (Rimuovi) dall'elenco a discesa.
I valori specificati vengono cancellati mentre quelli precedentemente nascosti vengono visualizzati nell'elenco.
36 Ruoli e task
Amministrazione della directoryL'amministrazione della directory implica la gestione di oggetti nell'albero della directory. È possibile creare, modificare e organizzare oggetti.
“Copia di un oggetto” a pagina 37
“Creazione di un oggetto” a pagina 38
“Cancellazione di un oggetto” a pagina 38
“Modifica di un oggetto” a pagina 38
“Spostamento di un oggetto” a pagina 38
“Ridenominazione di un oggetto” a pagina 38
Per ulteriori informazioni sugli oggetti di eDirectory, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Copia di un oggetto
È possibile creare un nuovo oggetto con gli stessi valori degli attributi di un oggetto esistente oppure copiare i valori degli attributi da un oggetto a un altro.
1 In Ruoli e task fare clic su Amministrazione directory > Copia oggetto.
2 Nel campo Oggetto da cui eseguire la copia digitare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per trovarlo.
3 Selezionare una delle seguenti opzioni:
Crea un nuovo oggetto e copia i valori degli attributi
Copia valori degli attributi in un oggetto esistente
Gli attributi la cui classe non è stata ampliata dall'oggetto copiato, non vengono copiati.
4 Selezionare Copia diritti ACL se si desidera copiare i diritti dell'elenco di controllo dell'accesso nell'oggetto.
Questo passaggio potrebbe richiedere ulteriore tempo di elaborazione, a seconda del sistema e dell'ambiente di rete.
Nota: L'operazione di copia oggetto non supporta la copia dei seguenti attributi dell'oggetto:
ACL (a meno che non si selezioni Copia diritti ACL)
CN
Associazioni DirXML
Equivalente a se stesso
Appartenenza a gruppi
Membro
Equivalenze sicurezza
Tutti gli attributi di denominazione
Tutti gli attributi di sola lettura
Tutti gli attributi RBS.
Ruoli e task 37
Creazione di un oggetto
1 In Ruoli e task fare clic su Amministrazione directory > Crea oggetto.
2 Selezionare la classe di oggetti dall'elenco visualizzato, quindi fare clic su OK.
3 Specificare le informazioni richieste in base alla classe di oggetti selezionata, quindi fare clic su OK.
Se si utilizza Firefox, fare clic sul simbolo + per aggiungere informazioni anziché digitarle direttamente nel campo.
4 Quando viene visualizzato il messaggio di conferma, scegliere OK, Ripeti task o Modifica.
Cancellazione di un oggetto
1 In Ruoli e task fare clic su Amministrazione directory > Cancella oggetto.
2 Digitare il nome e il contesto dell'oggetto oppure utilizzare il Selettore oggetti per trovarlo, quindi fare clic su OK.
Verrà visualizzato un messaggio di conferma che indica che l'oggetto è stato cancellato.
Modifica di un oggetto
1 In Ruoli e task fare clic su Amministrazione directory > Modifica oggetto.
2 Digitare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per trovarlo, quindi fare clic su OK.
Nella pagina Modifica oggetto verranno visualizzate le pagine con gli attributi dell'oggetto selezionato.
3 Apportare le modifiche desiderate all'oggetto, quindi fare clic su OK.
Se si utilizza Firefox, fare clic sul simbolo + per aggiungere informazioni anziché digitarle direttamente nel campo.
Spostamento di un oggetto
1 In Ruoli e task selezionare Amministrazione Directory > Sposta oggetto.
Digitare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per trovarlo, quindi fare clic su OK.
2 Nel campo Sposta in selezionare il container in cui si desidera spostare l'oggetto.
3 Selezionare Creare un alias in sostituzione dell'oggetto spostato se si desidera creare un alias nell'ubicazione precedente per ogni oggetto spostato.
4 Fare clic su OK.
Verrà visualizzato un messaggio di conferma che indica che l'oggetto è stato spostato.
Ridenominazione di un oggetto
1 In Ruoli e task selezionare Amministrazione Directory > Rinomina oggetto.
2 Digitare il nome e il contesto dell'oggetto oppure utilizzare la funzione di ricerca per trovarlo.
Digitare solo il nome del nuovo oggetto, evitando di includere un contesto.
3 Selezionare l'opzione per salvare il nome precedente, se lo si desidera.
38 Ruoli e task
Il nome precedente verrà salvato come valore aggiuntivo della proprietà Nome. Il salvataggio del nome precedente consente di cercare l'oggetto in base a tale nome. Dopo avere rinominato l'oggetto, è possibile visualizzare il nome precedente nel campo Altro nome nella relativa scheda d'identificazione generale.
4 Selezionare Crea un alias al posto dell'oggetto rinominato se si desidera creare un alias per l'oggetto a cui si desidera assegnare un nome.
Tramite questa opzione tutte le operazioni dipendenti dal nome di oggetto precedente continueranno a essere eseguite regolarmente fino a quando non sarà possibile aggiornarle in base al nuovo nome.
5 Fare clic su OK.
Verrà visualizzato un messaggio di conferma che indica che l'oggetto è stato rinominato.
GruppiSe un utente crea un gruppo, diventa automaticamente proprietario del gruppo. Le operazioni disponibili per il gruppo sono le seguenti:
“Creazione di un gruppo” a pagina 39
“Cancellazione di un gruppo” a pagina 40
“Modifica di un gruppo” a pagina 40
“Modifica dei membri di un gruppo” a pagina 40
“Sposta gruppo” a pagina 40
“Rinomina gruppo” a pagina 40
“Visualizzazione dei gruppi personali” a pagina 41
Per ulteriori informazioni sull'utilizzo e la configurazione degli oggetti Gruppo, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Creazione di un gruppo
1 In Ruoli e task selezionare Gruppi > Crea gruppo.
2 Nella pagina Crea gruppo immettere le informazioni richieste, quindi fare clic su OK.
Selezionare Gruppo dinamico per impostare il nuovo gruppo come dinamico, appartenente alla classe dynamicGroup. In caso contrario, il gruppo verrà creato come statico, ovvero come oggetto Gruppo.
Selezionare Imposta proprietario per impostare il creatore di un oggetto Gruppo come proprietario del gruppo. L'attributo Owner del gruppo è impostato sul DN dell'utente collegato in iManager. Deselezionare Imposta proprietario per lasciare l'attributo Owner non definito.
Selezionare Gruppi nidificati per rendere il gruppo nuovo un gruppo nidificato, in modo tale che venga creato con la classe ausiliare nestedGroupAux.
Nota: Per convertire al termine un gruppo da statico in dinamico, utilizzare l'opzione Modifica di un gruppo. Ciò consente di estendere l'oggetto Gruppo selezionato in modo che appartenga alla classe dynamicGroupAux.
Ruoli e task 39
Un gruppo può essere nidificato o dinamico. Non è possibile creare un gruppo che sia contemporaneamente nidificato e dinamico.
È possibile convertire un gruppo statico in un gruppo nidificato mediante l'opzione Modifica gruppo. In questo modo, l'oggetto Gruppo selezionato appartiene alla classe nestedGroupAux.
Cancellazione di un gruppo
1 In Ruoli e task selezionare Gruppi > Cancella gruppo.
2 Nella pagina Cancella gruppo specificare il nome dell'oggetto Gruppo che si desidera cancellare, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
La pagina Cancella gruppo consente di scegliere l'opzione Selezionare un solo oggetto, Selezionare più oggetti oppure Selezione avanzata per specificare l'oggetto da cancellare.
Modifica di un gruppo
1 In Ruoli e task selezionare Gruppi > Modifica gruppo.
2 Nella pagina Modifica gruppo specificare il nome di un oggetto Gruppo, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
3 Apportare le modifiche desiderate agli attributi dell'oggetto Gruppo, quindi fare clic su OK.
Nota: Se si modifica un gruppo da statico in dinamico quando il servizio RBS è attivo, è necessario abilitare il supporto della classe dynamicGroupAux. A questo scopo, aprire Configura > Server iManager > Configura iManager > RBS > Tipo ricerca gruppo dinamico. Selezionare Dynamicgroupobjects&Auxclasses dal menu a discesa, quindi fare clic su Salva.
Non è possibile convertire un gruppo dinamico in un gruppo nidificato e viceversa.
Modifica dei membri di un gruppo
Questo task consente di apportare modifiche identiche simultanee agli attributi di tutti gli oggetti appartenenti a un gruppo specificato.
1 In Ruoli e task selezionare Gruppi > Modifica membri del gruppo.
2 Nella pagina Modifica membri del gruppo specificare il nome di un oggetto Gruppo, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
3 Apportare le modifiche desiderate agli attributi dell'oggetto membro, quindi fare clic su OK.
Sposta gruppo
Questo collegamento riporta al task Spostare un oggetto. Per ulteriori informazioni, consultare “Spostamento di un oggetto” a pagina 38.
Rinomina gruppo
Questa opzione è identica al task Rinominare un oggetto. Per ulteriori informazioni, consultare “Ridenominazione di un oggetto” a pagina 38.
40 Ruoli e task
Visualizzazione dei gruppi personali
In questa pagina vengono visualizzati i gruppi appartenenti all'utente. Consente di creare un nuovo gruppo e modificarne o eliminarne uno esistente.
AssistenzaHelp Desk consente di accedere a un numero limitato di task correlati all'utente. Un utente con questo ruolo può eseguire le seguenti operazioni:
“Annullamento di un blocco” a pagina 41
“Creazione di un utente” a pagina 41
“Impostazione di una parola d'ordine” a pagina 41
Per ulteriori informazioni sugli oggetti Utente, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Annullamento di un blocco
Un utente può essere bloccato per avere tentato di immettere una parola d'ordine errata troppe volte o di eseguire il login con una parola d'ordine scaduta.
1 In Ruoli e task selezionare Help Desk > Annulla blocco.
2 Nella pagina Annulla blocco specificare il nome di un oggetto Utente, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
Creazione di un utente
Per creare un nuovo oggetto Utente:
1 In Ruoli e task selezionare Help Desk > Crea utente.
Immettere le informazioni necessarie sull'utente come illustrato in “Creazione di un utente” a pagina 50.
Impostazione di una parola d'ordine
1 In Ruoli e task selezionare Help Desk > Imposta password.
2 Nella pagina Imposta password, specificare il nome dell'oggetto Utente. Utilizzare il Selettore oggetti per individuare l'oggetto Utente o utilizzare Selezione semplice per cercarlo.
3 Specificare due volte la nuova password per l'oggetto Utente selezionato, quindi fare clic su OK.
Selezionare Imposta password semplice per definire una password semplice, obbligatoria per gli utenti Windows* e Macintosh* che desiderano accedere ai file nativi. Questa operazione non è necessaria quando è abilitata la funzione Universal Password.
Ruoli e task 41
Partizioni e replicheLe operazioni di partizione e replica consentono di gestire la progettazione e la distribuzione fisiche di eDirectory sui server di directory e includono i seguenti task:
“Creazione di una partizione” a pagina 42
“Fusione di una partizione” a pagina 42
“Spostamento di una partizione” a pagina 43
“Visualizzazione delle informazioni sulla replica” a pagina 43
“Visualizzazione delle informazioni sulla partizione” a pagina 44
“Utilizzo della Replica filtrata guidata” a pagina 44
Per ulteriori informazioni sulle partizioni e le repliche, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Creazione di una partizione
Le partizioni creano divisioni logiche dell'albero eDirectory. Ad esempio, è possibile scegliere un’unità organizzativa e definirla come nuova partizione. In tal caso, l’unità organizzativa e tutti i relativi oggetti subordinati vengono divisi dalla partizione superiore. L’unità organizzativa selezionata diventa la radice di una nuova partizione. Le repliche della nuova partizione saranno presenti sugli stessi server come repliche della partizione superiore e gli oggetti presenti nella nuova partizione faranno parte dell'oggetto Radice della nuova partizione.
1 In Ruoli e task selezionare Partizioni e repliche e Crea partizione.
2 Nella pagina Crea partizione specificare il container da utilizzare come radice della nuova partizione, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
Verrà visualizzato un messaggio di conferma che indica che la partizione è stata creata.
Fusione di una partizione
Con la fusione una partizione viene completamente ricombinata con la partizione superiore. Le operazioni di creazione e fusione delle partizioni determinano la modalità di suddivisione logica della directory.
1 In Ruoli e task selezionare Partizioni e repliche > Fondi partizione.
2 Nella pagina Fondi partizione specificare la partizione che si desidera fondere con quella superiore, oppure utilizzare il Selettore oggetti per individuarla, quindi fare clic su OK.
Per impostare una partizione, specificare l'oggetto Container che funge da radice della partizione.
Verrà visualizzato un messaggio di conferma che indica che la partizione è stata creata.
42 Ruoli e task
Spostamento di una partizione
Lo spostamento di una partizione consente di spostare un sottoalbero nell'albero della directory. Questa operazione viene anche chiamata sposta e innesta. È possibile spostare solo le partizioni che non includono partizioni subordinate. Se esistono partizioni subordinate, è innanzitutto necessario fonderle prima di eseguire l'operazione di spostamento.
Quando si sposta una partizione, tutti i riferimenti all'oggetto Radice della partizione vengono modificati da eDirectory. Contrariamente al nome comune dell'oggetto, che rimane invariato, il nome completo del container e di tutti i relativi elementi subordinati viene modificato.
Nota: quando si sposta una partizione, è necessario attenersi alle regole di contenimento di eDirectory. Non è possibile, ad esempio, spostare un'unità organizzativa direttamente nella radice dell'albero della directory, in quanto le relative regole di contenimento consentono di inserire solo oggetti Locality, Country o Organization e non oggetti Organizational Unit.
1 In Ruoli e task selezionare Partizioni e repliche > Fondi partizione.
2 Nella pagina Sposta partizione specificare le informazioni necessarie, quindi fare clic su OK.
Specificare la partizione che si desidera spostare nel campo Nome oggetto oppure individuarla utilizzando il Selettore oggetti.
Nel campo Sposta in specificare l'oggetto Container in cui si desidera spostare la partizione specificata.
La funzione Creare un alias in sostituzione dell'oggetto spostato consente di creare un puntatore alla nuova ubicazione della partizione. Tramite questa opzione tutte le operazioni dipendenti dall'ubicazione precedente continueranno a essere eseguite regolarmente fino a quando non sarà possibile aggiornarle in base alla nuova ubicazione. Gli utenti possono continuare a eseguire il login alla rete e trovare oggetti nell'ubicazione all'interno della directory originale.
Avviso: Assicurarsi che la sincronizzazione dell'albero della directory venga eseguita correttamente prima di spostare una partizione. Se si verificano degli errori di sincronizzazione nella partizione da spostare o in quella di destinazione, è necessario eseguire le operazioni di spostamento solo in seguito alla risoluzione di tali errori. Dopo avere spostato una partizione, è possibile eseguirne la fusione con la relativa partizione superiore, in modo da eliminarla.
Visualizzazione delle informazioni sulla replica
La visualizzazione di una replica fornisce le informazioni sul relativo stato attuale. Lo stato di una replica di eDirectory varia a seconda delle operazioni di replica o sulla partizione in corso.
1 In Ruoli e task fare clic su Partizioni e repliche > Visualizzazione replica.
2 Nella pagina Visualizzazione replica specificare la partizione o il server di cui si desidera visualizzare la tabella di replica, quindi fare clic su OK.
Verrà visualizzata una tabella contenente la partizione, il tipo, il filtro e lo stato della replica. Per informazioni sugli stati di replica, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Ruoli e task 43
Visualizzazione delle informazioni sulla partizione
1 In Ruoli e task fare clic su Partizioni e repliche > Visualizza informazioni su partizione.
2 Nella pagina Informazioni sulla partizione specificare la partizione per la quale si desidera visualizzare le informazioni, quindi fare clic su OK.
Per impostare una partizione, specificare l'oggetto container che funge da radice della partizione.
Utilizzo della Replica filtrata guidata
Le repliche filtrate contengono un sottoinsieme filtrato di informazioni di una partizione di eDirectory, ovvero oggetti o classi di oggetti e un insieme filtrato di attributi e valori relativi a tali oggetti. La Replica filtrata guidata consente di eseguire correttamente la configurazione delle repliche filtrate sul server selezionato.
1 In Ruoli e task selezionare Partizioni e repliche > Replica filtrata guidata.
2 Digitare il nome e il contesto del server su cui si desidera configurare una replica filtrata, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su Avanti.
3 Fare clic su Definisci set filtro per specificare le classi e gli attributi per un set filtro sul server selezionato, quindi fare clic su Avanti.
Il filtro di replica contiene l'insieme di classi e attributi eDirectory che si desidera gestire nell'insieme di repliche filtrate del server.
4 Fare clic su Fine.
Per ulteriori informazioni sulle repliche filtrate, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
DirittiDiritti indica i diritti di trustee e i trustee di eDirectory. Quando si crea un albero, le assegnazioni dei diritti di default consentono alla rete di disporre di un accesso e una sicurezza generali. iManager consente di eseguire i seguenti task correlati ai diritti:
“Modifica del filtro dei diritti ereditati” a pagina 45
“Modifica di diritti trustee” a pagina 45
“Diritti su altri oggetti” a pagina 45
“Visualizzazione dei diritti effettivi” a pagina 46
Per ulteriori informazioni sui diritti di eDirectory, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
44 Ruoli e task
Modifica del filtro dei diritti ereditati
Sia eDirectory sia il file system NetWare supportano il sistema basato sul filtro dei diritti ereditati (Inherited Rights Filter, IRF) per bloccare l'eredità dei diritti sui singoli elementi subordinati. Un'eccezione consiste nel fatto che il diritto di supervisore non può essere bloccato nel file system NetWare.
Per ulteriori informazioni sui filtri dei diritti ereditati, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
1 In Ruoli e task selezionare Diritti > Modifica filtro dei diritti ereditati.
2 Specificare il nome completo dell'oggetto di cui si desidera modificare il filtro dei diritti ereditati, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
Verrà visualizzato un elenco dei filtri dei diritti ereditati già impostati per l'oggetto.
3 Nella pagina delle proprietà, modificare l'elenco dei filtri dei diritti ereditati in base alle esigenze, quindi fare clic su OK.
Per modificare l'elenco di filtri, è necessario disporre del diritto di supervisore o Controllo dell'accesso sulla proprietà ACL dell'oggetto. È possibile impostare filtri che bloccano i diritti ereditati per l’intero oggetto, per tutte le proprietà dell’oggetto e per singole proprietà.
Modifica di diritti trustee
Un trustee è un oggetto a cui sono stati concessi diritti espliciti a un altro oggetto nell'albero della directory. Per modificare un elenco di trustee per un oggetto specifico:
1 In Ruoli e task selezionare Diritti > Modifica trustee.
2 Specificare il nome dell'oggetto di cui si desidera visualizzare l'elenco di trustee, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
Verrà visualizzato un elenco dei trustee dell'oggetto attualmente assegnati.
3 Modificare l'elenco di trustee in base alle esigenze, quindi fare clic su OK.
Per aggiungere un trustee, fare clic su Aggiungi trustee.
Per rimuovere un trustee, selezionare la relativa casella di controllo e fare clic su Rimuovi selezionati.
Per modificare un'assegnazione di diritti di un trustee, selezionare il collegamento Diritti assegnati corrispondente.
Diritti su altri oggetti
Questo task consente di visualizzare e modificare l'elenco di oggetti per i quali un oggetto è trustee.
1 In Ruoli e task selezionare Diritti > Diritti su altri oggetti.
2 Nella pagina Diritti su altri oggetti specificare le informazioni necessarie, quindi fare clic su OK.
Specificare il nome dell'oggetto in Nome trustee .
In Contesto nel quale cercare specificare il contesto in cui si desidera cercare gli oggetti che dispongono del trustee specificato.
Selezionare Ricerca nell'intero sottoalbero per cercare tutti i container nel contesto specificato.
Ruoli e task 45
3 Modificare l'elenco di oggetti in base alle esigenze, quindi fare clic su OK.
Per aggiungere diritti espliciti a un altro oggetto, fare clic su Aggiungi oggetto.
Per rimuovere diritti espliciti a un oggetto, selezionare la relativa casella di controllo e fare clic su Rimuovi selezionati.
Per modificare i diritti espliciti concessi a un oggetto, selezionare il collegamento Diritti assegnati corrispondente.
Visualizzazione dei diritti effettivi
I diritti effettivi sono una combinazione di diritti espliciti ed ereditati di cui dispone un oggetto in un punto qualsiasi dell'albero della directory. Per visualizzare i diritti effettivi di un oggetto su un altro oggetto:
1 In Ruoli e task fare clic su Diritti > Visualizza diritti effettivi.
2 Specificare il nome del trustee di cui si desidera visualizzare i diritti, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
3 Nel campo Nome oggetto specificare il nome dell'oggetto per cui si desidera calcolare i diritti effettivi del trustee.
In eDirectory verranno calcolati i diritti effettivi, i quali verranno visualizzati nel campo Diritti effettivi.
4 Al termine, fare clic su Fatto.
SchemaLo schema di directory definisce i tipi di oggetti che possono essere creati nell'albero, ad esempio oggetti Utente, Printer e Group, e le informazioni obbligatorie o facoltative al momento della creazione. iManager include i seguenti task correlati agli schemi:
“Aggiunta di un attributo” a pagina 46
“Visualizzazione delle Informazioni sugli attributi” a pagina 47
“Visualizzazione delle informazioni sulla classe” a pagina 47
“Creazione di un attributo” a pagina 48
“Creazione di una classe” a pagina 48
“Cancellazione di un attributo” a pagina 48
“Cancellazione di una classe” a pagina 48
“Estensione di uno schema” a pagina 49
“Estensione di un oggetto” a pagina 49
Per ulteriori informazioni sugli schemi di eDirectory, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Aggiunta di un attributo
È possibile aggiungere attributi opzionali alle classi esistenti se è necessario modificare le informazioni dell'organizzazione o se si prevede di eseguire la fusione di alberi. Aggiunta di un attributo ad una classe esistente:
46 Ruoli e task
Nota: Gli attributi obbligatori possono essere definiti durante la creazione di una classe. Un attributo obbligatorio è un attributo che deve essere completato al momento della creazione dell'oggetto.
1 In Ruoli e task fare clic suSchema > Aggiungi attributo.
2 Selezionare la classe alla quale si desidera aggiungere un attributo, quindi fare clic su OK.
3 Selezionare gli attributi che si desidera aggiungere, quindi fare clic su OK.
Selezionare gli attributi desiderati dall'elenco Attributi opzionali disponibili, quindi fare clic su Freccia destra per aggiungerli all'elenco Aggiungi questi attributi opzionali. Utilizzare Freccia sinistra per rimuovere gli attributi dall'elenco Aggiungi questi attributi opzionali.
Agli oggetti creati per tale classe verranno assegnate le proprietà aggiunte. Per impostare valori per le proprietà aggiunte, utilizzare la pagina generale delle proprietà Altro dell'oggetto.
Visualizzazione delle Informazioni sugli attributi
È possibile visualizzare i dettagli strutturali di un attributo, ad esempio sintassi, flag e classi. Per visualizzare le informazioni su un attributo:
1 In Ruoli e task selezionare Schema > Informazioni sugli attributi.
2 Selezionare l'attributo per cui si desidera visualizzare le informazioni, quindi fare clic su Visualizza.
Nel frame del contenuto vengono visualizzate le informazioni relative all'attributo selezionato.
3 Al termine, fare clic su Chiudi.
Visualizzazione delle informazioni sulla classe
Nella pagina Informazioni sulla classe vengono visualizzate le informazioni sulla classe selezionata. La pagina consente inoltre di aggiungere attributi. Durante la creazione della classe, se è stato specificato che tale classe erediti gli attributi da un'altra classe, gli attributi ereditati vengono classificati nello stesso modo in cui sono classificati nella classe superiore. Ad esempio, se Classe di oggetti è un attributo obbligatorio per la classe superiore, tale attributo viene visualizzato come obbligatorio anche per la classe selezionata.
Per visualizzare le informazioni di una classe:
1 In Ruoli e task selezionare Schema > Informazioni sulla classe.
2 Selezionare la classe per cui si desidera visualizzare le informazioni, quindi fare clic su Visualizza.
Nel frame del contenuto vengono visualizzate le informazioni relative alla classe selezionata. Per aggiungere un attributo alla classe, selezionare Aggiungi un nuovo attributo. Per visualizzare la classe superiore a quella attuale, selezionare Visualizza classe superiore.
3 Al termine, fare clic su Chiudi.
Ruoli e task 47
Creazione di un attributo
È possibile definire tipi personalizzati di attributi e aggiungerli come attributi opzionali alle classi di oggetti esistenti. Non è tuttavia possibile aggiungere attributi obbligatori a classi esistenti. Creazione di un attributo:
1 In Ruoli e task fare clic su Schema > Crea attributo.
2 Seguire i passaggi della Creazione guidata degli attributi per completare la procedura di creazione dell'attributo.
Creazione di una classe
Una classe ausiliaria è un insieme di proprietà (attributi) aggiunte a un oggetto specifico anziché a un'intera classe di oggetti. Un'applicazione e-mail può, ad esempio, estendere lo schema dell'albero eDirectory per includere una classe ausiliaria Proprietà e-mail e quindi estendere singoli oggetti con tali proprietà in base alle esigenze.
In iManager è possibile definire classi ausiliarie personalizzate. È quindi possibile estendere singoli oggetti con le proprietà definite nella classi ausiliarie. Per creare una classe ausiliaria:
1 In Ruoli e task fare clic su Schema > Crea classe.
2 Seguire i passaggi della Creazione guidata delle classi per definire la nuova classe.
Cancellazione di un attributo
È possibile cancellare gli attributi inutilizzati che non fanno parte dello schema base dell'albero eDirectory. Può essere utile eseguire questa operazione dopo la fusione di due alberi della directory oppure se un attributo è diventato obsoleto. Cancellazione di un attributo:
1 In Ruoli e task fare clic su Cancella > Cancella attributo.
2 Selezionare l'attributo che si desidera cancellare, quindi fare clic su Cancella.
Vengono visualizzati solo gli attributi che è possibile cancellare.
Cancellazione di una classe
È possibile cancellare le classi inutilizzate che non fanno parte dello schema base dell'albero eDirectory. In iManager non è possibile cancellare le classi attualmente utilizzate nelle partizioni replicate a livello locale. Cancellazione di una classe:
1 In Ruoli e task fare clic su Schema > Cancella classe.
2 Selezionare la classe che si desidera cancellare, quindi fare clic su Cancella.
Vengono visualizzate solo le classi che è possibile cancellare.
48 Ruoli e task
Estensione di uno schema
È possibile estendere lo schema di un albero creando una nuova classe o un nuovo attributo. Per estendere lo schema dell'albero eDirectory, è necessario disporre del diritto di amministratore o di supervisore sull'intero albero. Per estendere lo schema:
1 In Ruoli e task fare clic su Schema > Estendi schema.
2 Seguire le istruzioni della Procedura guidata ICE per le operazioni di importazione, esportazione, migrazione di dati o aggiornamento e confronto dello schema.
Estensione di un oggetto
1 In Ruoli e task fare clic su Schema > Estensioni oggetto.
2 Specificare il nome e il contesto dell'oggetto che si desidera estendere, quindi fare clic su OK.
3 La classe ausiliaria che si desidera utilizzare può essere o meno elencata in Estensioni delle classi ausiliarie attuali. A seconda del verificarsi o meno di tale condizione, eseguire una delle seguenti operazioni:
Sì: consente di chiudere la procedura. Consultare la sezione relativa alla modifica delle proprietà ausiliarie di un oggetto nella NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
No: fare clic su Aggiungi, selezionare la classe ausiliaria, quindi fare clic su OK.
4 Fare clic su Close (Chiudi).
È possibile anche aggiungere o rimuovere le classi ausiliari di più oggetti in un'unica volta.
1 In Ruoli e task fare clic su Schema > Estensioni oggetto.
2 Fare clic sulla scheda Selezionare più oggetti.
2a Selezionare gli oggetti che si desidera estendere, quindi fare clic su OK.
Viene visualizzato l'elenco delle estensioni delle classi ausiliari comuni a tutti gli oggetti selezionati.
2b Per aggiungere una classe ausiliare, fare clic su Aggiungi, selezionare la classe ausiliare richiesta, quindi scegliere OK.
2c Per cancellare una classe ausiliare esistente, selezionarla e fare clic su Rimuovi.
3 Fare clic su Chiudi per uscire dalla pagina.
UtentiLa gestione degli utenti e del relativo accesso alla rete rappresenta uno degli scopi principali della directory. iManager include i seguenti task correlati agli utenti:
“Creazione di un utente” a pagina 50
“Cancellazione di un utente” a pagina 50
“Disabilitazione di un conto” a pagina 50
“Abilitazione di un conto” a pagina 51
“Modifica di un utente” a pagina 51
Ruoli e task 49
“Spostamento di un utente” a pagina 51
“Ridenominazione di un utente” a pagina 51
Per ulteriori informazioni sugli oggetti Utente nella directory, consultare la NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Creazione di un utente
Per creare un nuovo oggetto Utente:
1 In Ruoli e task selezionare Utente > Crea utente.
2 Nella pagina Crea utente specificare almeno le informazioni obbligatorie relative all'utente, quindi fare clic su OK.
Nome utente
Cognome
Contesto
Password (due volte)
Importante: se non si immette alcuna password, verrà chiesto se si desidera consentire all'utente di eseguire il login senza utilizzare la password (opzione sconsigliata) oppure se si preferisce richiedere l'immissione di una password per il login.
Selezionare Imposta password semplice per definire una password semplice, obbligatoria per gli utenti Windows* e Macintosh* che desiderano accedere ai file nativi. Questa operazione non è necessaria quando è abilitata la funzione Universal Password.
Selezionare Copia da modello o da oggetto utente per creare un utente in base a un modello o un oggetto Utente già esistente. Quando si copia da un oggetto Utente, iManager consente solo una copia dei diritti NDS sui nuovi oggetti, ma non dei diritti NDS, per impedire che gli utenti ricevano gli stessi diritti dell'amministratore.
Selezionare Crea home directory per specificare un'ubicazione per la home directory dell'utente, la quale viene creata al momento della creazione dell'oggetto Utente. Se si specifica un percorso inesistente, viene visualizzato un messaggio indicante che non è stato possibile creare la home directory dell'utente.
Cancellazione di un utente
Per cancellare un oggetto Utente:
1 In Ruoli e task selezionare Utenti > Cancella utente.
2 Digitare il nome e il contesto dell'oggetto, oppure utilizzare la funzione di ricerca per trovarlo, quindi fare clic su OK.
3 Fare clic su Cancella.
Verrà visualizzato un messaggio di conferma che indica che l'oggetto Utente è stato cancellato.
Disabilitazione di un conto
Per disabilitare un account utente e impedire quindi all'utente di eseguire l'autenticazione alla directory:
50 Ruoli e task
Nota: Questa operazione impedisce all'utente di eseguire l'autenticazione solo dopo che il relativo conto è stato disabilitato. Se l'utente è collegato quando si disabilita il conto, l'accesso rimane invariato fino al logout.
1 In Ruoli e task selezionare Utenti > Disabilita conto.
2 Specificare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per individuarlo, quindi fare clic su OK.
3 Fare clic su Disabilita.
Abilitazione di un conto
Per abilitare un conto utente precedentemente disabilitato:
1 In Ruoli e task selezionare Utenti > Abilita conto.
2 Specificare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per individuarlo, quindi fare clic su OK.
3 Fare clic su Abilita.
Modifica di un utente
Per modificare le proprietà di un oggetto Utente esistente:
1 In Ruoli e task selezionare Utenti > Modifica utente.
2 Specificare il nome e il contesto dell'oggetto, oppure utilizzare il Selettore oggetti per individuarlo, quindi fare clic su OK.
Nel frame del contenuto verrà visualizzato il registro delle proprietà dell'oggetto Utente.
3 Apportare le modifiche desiderate, quindi fare clic su Applica o OK per salvarle.
Spostamento di un utente
Per spostare un oggetto Utente:
1 In Ruoli e Task selezionare Utenti > Sposta utente.
2 Digitare le informazioni richieste, come illustrato in “Spostamento di un oggetto” a pagina 38.
Ridenominazione di un utente
Per rinominare un oggetto Utente:
1 In Ruoli e task selezionare Utenti > Rinomina utente.
2 Digitare le informazioni richieste, come illustrato in “Ridenominazione di un oggetto” a pagina 38.
Ruoli e task 51
6 6Configurazione e personalizzazione di iManager
In questa sezione sono illustrate le varie funzionalità della configurazione di NetIQ iManager. È possibile configurare iManager dalla vista di configurazione. In questa sezione vengono trattati i seguenti argomenti:
“Servizi basati su ruoli (RBS, Role-Based Services)” a pagina 53
“Configurazione RBS” a pagina 57
“Generazione rapporti RBS” a pagina 67
“Server iManager” a pagina 71
“Elenco di creazione degli oggetti” a pagina 79
“Installazione dei moduli plug-in” a pagina 80
“Scaricamento e installazione di moduli NPM” a pagina 81
“Notifica e-mail” a pagina 84
“Viste” a pagina 85
Importante: benché la configurazione del servizio RBS sia facoltativa, per un utilizzo ottimale di iManager è consigliabile eseguirla. I servizi basati su ruoli (RBS) devono essere configurati nell'albero di eDirectory affinché sia possibile utilizzare Plug-in Studio.
Non utilizzare Novell ConsoleOne per modificare o cancellare oggetti RBS. Questi oggetti devono essere gestiti solo tramite iManager.
È inoltre possibile impedire l'accesso alla vista di configurazione di iManager agli utenti non admin e non proprietari di raccolta. Per ulteriori informazioni, vedere i seguenti argomenti:
Viste di iManager: “Viste” a pagina 85.
Preferenze utente: “Preferenze” a pagina 87.
Utenti autorizzati: “Utenti e gruppi autorizzati” a pagina 72.
Servizi basati su ruoli (RBS, Role-Based Services)iManager consente di assegnare agli utenti responsabilità specifiche e di rendere loro disponibili solo gli strumenti (e i relativi diritti) necessari per eseguire funzioni in base alle responsabilità assegnate. Questa funzionalità è denominata servizi basati su ruoli (RBS, Role-Based Services).
I servizi basati su ruoli sono un insieme di estensioni allo schema di eDirectory. Tali servizi definiscono diverse classi di oggetti e attributi che forniscono un meccanismo agli amministratori per concedere a un utente l'accesso a task di gestione in base al ruolo dell'utente nell'organizzazione. In questo modo, gli utenti possono accedere solo ai task che devono effettuare. Tramite i servizi basati su ruoli vengono infatti concessi solo i diritti necessari a eseguire i task assegnati.
Configurazione e personalizzazione di iManager 53
Nota: Il controllo dell'accesso dei servizi basati su ruoli (RBS) di NetIQ iManager concede i diritti in base alla funzionalità Elenco di controllo dell'accesso (ACL) di NetIQ eDirectory. Gli elenchi ACL consentono a un trustee di ottenere diritti su un oggetto specifico o sui relativi oggetti subordinati. Gli elenchi ACL non vengono concessi in base a tipi di oggetto specifici. Ogni task di NetIQ iManager definisce i relativi tipi di oggetto e gli elenchi ACL necessari. Questi elenchi ACL, tuttavia, possono consentire all'utente di eseguire le operazioni con altri tipi di oggetto mediante le API di eDirectory o altri strumenti, quali Novell ConsoleOne o NWAdmin.
Utilizzare i servizi basati su ruoli per creare ruoli specifici all'interno dell'organizzazione. I ruoli contengono task che un utente a cui sono stati assegnati può eseguire in iManager, ad esempio la creazione di un nuovo utente o la modifica di una parola d'ordine. I task vengono preassegnati ai ruoli, ma possono essere sostituiti, riassegnati o rimossi completamente.
Gli utenti, inoltre, sono associati ai ruoli in un ambito specifico, ovvero un container nell'albero in cui l'utente dispone delle autorizzazioni necessarie per eseguire un task. Per essere completo, un ruolo richiede questa triplice associazione di ruolo, membri e ambito.
Tramite un oggetto RBS Role viene creata un'associazione tra utenti e task. Un amministratore concede a un utente l'accesso a un task rendendo l'utente membro del ruolo a cui è assegnato il task.
Un utente può essere assegnato a un ruolo nei seguenti modi:
Direttamente come utente.
Tramite assegnazioni di gruppo o di gruppo dinamico.
Se un utente è membro di un gruppo o di un gruppo dinamico assegnato a un ruolo, avrà accesso a tale ruolo.
Tramite assegnazioni di ruolo organizzativo.
Se un utente è titolare di un ruolo organizzativo a cui è assegnato un ruolo, avrà accesso a tale ruolo.
Tramite assegnazioni di container.
Un oggetto Utente ha accesso a tutti i ruoli assegnati al relativo container superiore. Possono essere compresi anche altri container fino alla radice dell'albero.
Un utente può essere associato più volte a un ruolo, ogni volta con un ambito differente.
Oggetti RBS di eDirectory
Nella tabella seguente sono inclusi gli oggetti RBS. Tramite iManager viene esteso lo schema di eDirectory per includere tali oggetti quando si installano i servizi basati su ruoli (RBS, Role-Based Services). Per ulteriori informazioni, consultare “Installazione dei servizi basati su ruoli” a pagina 56.
54 Configurazione e personalizzazione di iManager
Oggetto Descrizione
rbsCollection Oggetto Container in cui sono inclusi tutti gli oggetti RBS Role e RBS Module.
Gli oggetti rbsCollection sono i container di livello più alto per tutti gli oggetti RBS. Un albero può contenere un numero qualsiasi di oggetti rbsCollection. A ciascuno di questi oggetti è assegnato un proprietario, ovvero un utente che dispone dei diritti di gestione sull'oggetto.
Gli oggetti rbsCollection possono essere creati in uno qualsiasi dei seguenti container:
Nazione
Dominio
Località
Organizzazione dei contenuti
Unità organizzativa
rbsRole La definizione di un ruolo prevede la creazione di un oggetto rbsRole e la definizione dei task che possono essere eseguiti dal ruolo.
Gli oggetti rbsRole sono container che possono essere creati solo all'interno di container rbsCollection.
I membri del ruolo possono essere utenti, gruppi, organizzazioni, ruoli organizzativi o unità organizzative e sono associati a un ruolo in un ambito specifico dell'albero. Agli oggetti rbsRole sono assegnati gli oggetti rbsTask e rbsBook.
rbsTask Oggetto Foglia a cui è assegnata una funzione specifica, ad esempio la reimpostazione delle parole d'ordine di login.
Gli oggetti rbsTask si trovano solo nei container rbsModule.
rbsBook (chiamato anche registro delle proprietà)
Un registro è un oggetto Foglia in cui viene visualizzato un gruppo di pagine che consente all'utente di visualizzare o modificare le proprietà di un oggetto o insieme di oggetti dello stesso tipo. In ogni pagina del registro è inclusa una scheda sui cui è possibile fare clic per visualizzare una pagina diversa.
Gli oggetti registro risiedono solo nei container rbsModule e possono essere assegnati a uno o più ruoli e a uno o più tipi di classi di oggetti.
rbsScope Oggetto Foglia utilizzato per le assegnazioni di tipo ACL (in alternativa a quelle per singolo oggetto Utente). Gli oggetti rbsScope rappresentano il contesto dell'albero in cui verrà eseguito un determinato ruolo e sono associati agli oggetti rbsRole. ed ereditano le proprietà dalla classe di oggetti Gruppo. A un oggetto rbsScope sono assegnati oggetti Utente, che contengono a loro volta un riferimento all'ambito dell'albero a cui sono associati.
Gli oggetti vengono creati dinamicamente quando richiesto e quindi cancellati quando non sono più necessari. Tali oggetti sono presenti solo nei container rbsRole.
Avviso: non modificare mai la configurazione di un oggetto rbsScope. Questa operazione può avere gravi conseguenze e causare danni al sistema.
Configurazione e personalizzazione di iManager 55
Gli oggetti RBS sono contenuti nell'albero eDirectory, come illustrato nella seguente figura:
Figura 6-1 Servizi basati su ruoli in eDirectory
Installazione dei servizi basati su ruoli
I servizi basati su ruoli vengono installati tramite la Configurazione guidata iManager.
1 Nella vista di configurazione selezionareServizi basati sul ruolo > > Configurazione RBS.
2 Selezionare Configura iManager.
3 Seguire le istruzioni visualizzate.
rbs Module Rappresenta un oggetto Container in cui sono conservati gli oggetti rbsTask e rbsBook. Gli oggetti rbsModule hanno un attributo del nome del modulo che rappresenta il nome del prodotto, il quale a sua volta definisce i task o i libri (ad esempio, eDirectory Maintenance Utilities, NMAS Management o NetIQ Certificate Server Access).
Gli oggetti rbsModule possono essere creati solo all'interno di container rbsCollection.
rbs Category In una categoria sono raggruppati ruoli e task specifici per una particolare funzione. iManager include 14 categorie di default: Autenticazione e password, Collaborazione, Directory, Gestione dei file, Identity Manager, Infrastruttura, Installazione e upgrade, Rete, Novell Audit, Stampa, Sicurezza, Server, Licenze Software e rete, Uso e Utenti e gruppi.
L'opzione Tutte le categorie consente di visualizzare tutti i ruoli e i task disponibili.
È inoltre possibile creare nuove categorie e assegnarvi ruoli e task.
Oggetto Descrizione
56 Configurazione e personalizzazione di iManager
Rimozione di servizi basati su ruoli
Se i servizi basati su ruoli non sono più necessari nell'albero, l'oggetto Raccolta RBS può essere cancellato tramite iManager. La cancellazione della raccolta RBS comporta l'eliminazione automatica di tutte le associazioni dei ruoli utente e degli ambiti nell'albero. Non cancellare la raccolta RBS utilizzando altre utility, ad esempio ConsoleOne.
Per rimuovere i servizi basati su ruoli:
1 Nella vista di configurazione selezionareServizi basati sul ruolo > > Configurazione RBS.
2 Selezionare la raccolta da cancellare.
3 Fare clic su Cancella.
In seguito alla cancellazione della raccolta RBS, tutti gli utenti che eseguono il login a iManager utilizzano la modalità Accesso assegnato anche se nell'albero non è presente alcun oggetto Raccolta RBS.
Per tornare alla modalità Illimitato (modalità di default):
1 Nella vista di configurazione selezionareServer iManager > Configura iManager.
2 Selezionare la scheda RBS.
3 Selezionare il nome dell'albero appropriato nel campo Elenco albero dei servizi basati sui ruoli (RBS), quindi fare clic sul pulsante con il segno meno.
4 Fare clic su Salva.
Nota: Quando si utilizza iManager in modalità Accesso illimitato, nella relativa home page viene visualizzato il seguente messaggio:Avvertenza: alcuni ruoli e task non sono disponibili. Se si fa clic su Visualizza dettagli, è possibile che per alcuni task venga visualizzato il messaggio Non supportato dagli autenticatori attuali, anche se i task funzionano correttamente. Questo messaggio è ingannevole e viene rimosso al completamento della configurazione dei servizi basati su ruoli.
Configurazione RBSIl task Configurazione RBS offre il controllo completo sugli oggetti RBS. e rappresenta lo strumento di base per la gestione e la configurazione degli oggetti RBS. È possibile elencare e modificare gli oggetti RBS in base al tipo. In questo modo, è anche possibile ottenere informazioni utili sul sistema RBS, ad esempio relative al numero di moduli inclusi in una raccolta, installati, non installati e non aggiornati. Alcuni task consentono di agire su più oggetti contemporaneamente. È possibile, ad esempio, associare o dissociare più membri da un ruolo simultaneamente.
Nella vista di configurazione, selezionare RBS > Configurazione RBS per aprire la pagina Configurazione RBS nel frame del contenuto.
La pagina include due schede:
Raccolte di iManager 2.x: Visualizza le raccolte RBS attuali.
Raccolte di iManager 1.x: Visualizza le raccolte RBS precedenti che è possibile cancellare o migrare a iManager 2.x. Se si seleziona Migra, viene visualizzata una procedura guidata che consente di eseguire correttamente il processo di migrazione.
Configurazione e personalizzazione di iManager 57
In iManager vengono visualizzate solo le raccolte di cui si è proprietari, con le seguenti informazioni per ciascuna di esse:
Modulo: indica il numero di moduli sul server Web a cui si è eseguito il login.
Installato: indica il numero di moduli attualmente installati.
Obsoleto: indica il numero di moduli obsoleti attualmente installati.
Non installato: indica il numero di moduli disponibili ma non installati.
Per utilizzare una particolare raccolta, selezionarla dall'elenco. Verrà visualizzata una vista specifica della raccolta, come illustrato in Figura 6-2.
Figura 6-2 Utilizzo di raccolte RBS in iManager
La parte rimanente di questa sezione illustra le varie schede disponibili nella pagina Raccolta RBS e gli altri task correlati ai servizi basati sul ruolo nella categoria corrispondente.
“Scheda Ruolo” a pagina 58
“Scheda Task” a pagina 60
“Scheda Registro proprietà” a pagina 61
“Scheda Modulo” a pagina 63
“Scheda Categoria” a pagina 64
“Plug-In Studio” a pagina 64
“Modifica delle associazioni dei membri” a pagina 67
“Modifica delle raccolte proprietario” a pagina 67
Scheda Ruolo
La scheda Ruolo di Raccolta RBS consente di gestire i ruoli RBS nella raccolta. Da questa scheda è possibile eseguire le seguenti operazioni:
“Creazione di un nuovo ruolo” a pagina 59
“Modifica di un ruolo” a pagina 59
“Cancellazione di un ruolo” a pagina 59
“Impostazione dell'associazione a un membro” a pagina 59
“Assegnazione di una categoria” a pagina 60
“Aggiunta di una descrizione a un ruolo” a pagina 60
58 Configurazione e personalizzazione di iManager
Nota: Per selezionare un ruolo, fare clic sulla casella di controllo a sinistra del relativo nome.
Creazione di un nuovo ruolo
Per creare un nuovo ruolo nella raccolta:
1 Nella scheda Ruolo selezionare Nuovo > Ruolo iManager.
2 Completare i passaggi della creazione guidata dei ruoli iManager.
Nella procedura guidata viene illustrato come assegnare al ruolo un nome, i task, le categorie, i membri e gli ambiti.
Modifica di un ruolo
Per modificare un ruolo esistente nella raccolta:
1 Nella scheda Ruolo selezionare il ruolo desiderato e fare clic su Modifica.
Verrà visualizzato l'elenco dei task del ruolo.
2 Aggiungere o rimuovere un task dalla pagina in base alle esigenze, quindi fare clic su OK.
Cancellazione di un ruolo
Per cancellare un ruolo nella raccolta:
1 Nella scheda Ruolo selezionare il ruolo desiderato e fare clic su Cancella.
Viene visualizzato il messaggio: Questa operazione comporta la cancellazione di tutti i ruoli selezionati. Continuare?
2 Fare clic su OK per cancellare il ruolo.
Impostazione dell'associazione a un membro
Per aggiungere un membro a un ruolo esistente:
1 Nella scheda Ruolo selezionare il ruolo desiderato, quindi fare clic su Azioni > Associazioni membri.
2 Immettere le informazioni necessarie sul membro, quindi fare clic su Aggiungi.
Nome: specificare l'oggetto che si desidera impostare come membro del ruolo oppure utilizzare il Selettore oggetti per individuarlo.
Ambito: specificare il container che definisce l'ambito in cui il membro può eseguire il ruolo oppure utilizzare il Selettore oggetti per individuarlo.
3 Nell'elenco dei membri specificare la modalità di assegnazione al membro dei diritti correlati al ruolo, quindi fare clic su OK.
Assegna diritti: indica a eDirectory di concedere automaticamente al membro i diritti necessari per eseguire il ruolo assegnato. Se non si seleziona questa opzione, il ruolo viene assegnato al membro che potrebbe però non disporre dei diritti necessari per eseguire tutti i task associati al ruolo. Le assegnazioni di diritti ai membri vengono gestite separatamente.
Ereditabile: selezionare sottoalbero per indicare che l'ambito del membro include tutti i sottocontainer nel contesto specificato. Selezionare oggetto di base per indicare che il membro può eseguire il ruolo solo nel container specificato.
Configurazione e personalizzazione di iManager 59
Nota: Quando l'utente è proprietario di una raccolta e dispone di un'associazione membri può gestire tutti gli oggetti RBS inclusi nell'ambito specificato. Per un elenco e la descrizione degli oggetti RBS in eDirectory, consultare “Oggetti RBS di eDirectory” a pagina 54.
Assegnazione di una categoria
Per aggiungere un'assegnazione di categoria a un ruolo esistente:
1 Nella scheda Ruolo selezionare il ruolo desiderato, quindi fare clic su Azioni > Assegnazione categoria.
Verrà visualizzata la pagina Assegnazione categoria.
2 Selezionare una categoria, quindi fare clic sulla freccia a destra per assegnarla al ruolo.
3 Fare clic su OK.
Aggiunta di una descrizione a un ruolo
Per aggiungere una descrizione a un ruolo esistente:
1 Nella scheda Ruolo selezionare il ruolo e fare clic su Azioni > Descrizione.
2 Specificare la descrizione nella casella di testo e fare clic su OK.
Scheda Task
Un task è un plug-in che consente di eseguire una funzione di gestione distinta, ad esempio la creazione di un utente o l'impostazione di una parola d'ordine. In iManager i task sono elencati per gruppo nell'area di navigazione, nel lato sinistro della finestra.
La scheda Task di Raccolta RBS consente di effettuare le seguenti operazioni:
“Creazione di un nuovo task” a pagina 60
“Cancellazione di un task” a pagina 60
“Modifica dell'assegnazione dei ruoli di un task” a pagina 61
“Aggiunta di una descrizione a un task” a pagina 61
Creazione di un nuovo task
Per creare un nuovo task:
1 Nella scheda Task selezionare Nuovo > Task iManager.
2 Completare i passaggi della creazione guidata task di iManager.
Questa procedura guidata fornisce i dettagli necessari sul nuovo task in corso di creazione.
Per informazioni sulla creazione di task in Plug-in Studio, vedere “Creazione di un nuovo task da Plug-In Studio” a pagina 65.
Cancellazione di un task
Per cancellare un task esistente:
1 Nella scheda Task selezionare il task desiderato, quindi scegliere Cancella.
60 Configurazione e personalizzazione di iManager
Verrà visualizzato il messaggio: Questa operazione comporta la cancellazione di tutti i task selezionati. Continuare?
2 Fare clic su OK.
Modifica dell'assegnazione dei ruoli di un task
Per modificare l'elenco dei ruoli a cui è assegnato un task:
1 Nella scheda Task selezionare il task desiderato, quindi fare clic su Azioni > Assegnazione ruolo.
2 Nella pagina Modifica assegnazione ruolo aggiungere o rimuovere i ruoli dal campo Ruoli assegnati, quindi fare clic su OK.
Aggiunta di una descrizione a un task
Per aggiungere una descrizione a un task esistente:
1 Nella scheda Task selezionare il task desiderato, quindi fare clic su Azioni > Descrizione.
2 Specificare la descrizione nella casella di testo e fare clic su OK.
Scheda Registro proprietà
Un registro delle proprietà mostra gli attributi di un tipo di oggetto specifico che è possibile modificare. Tali proprietà sono relative a un oggetto o a un insieme di oggetti dello stesso tipo.
I registri delle proprietà possono essere assegnati ai ruoli e vengono visualizzati nell'elenco dei task per un ruolo. Un registro delle proprietà, ad esempio, in cui vengono modificati gli attributi degli oggetti Utente può includere una pagina che consenta di specificare lo script di login di un utente. Un'altra pagina può consentire di modificare l'indirizzo di e-mail e il numero di telefono di un utente.
Le pagine dei registri delle proprietà sono simili ai task, ma vengono utilizzati per visualizzare e modificare gli attributi in una singola vista. Per disporre di un'interfaccia più complessa di tipo procedura guidata, è consigliabile creare un task.
La scheda Registro proprietà della Raccolta RBS consente di eseguire le seguenti operazioni:
“Creazione di un nuovo registro delle proprietà” a pagina 61
“Cancellazione di un registro delle proprietà” a pagina 62
“Modifica dell'assegnazione del ruolo in un registro delle proprietà” a pagina 62
“Modifica dell'elenco delle pagine di un registro delle proprietà” a pagina 62
“Modifica dell'assegnazione dei tipi di oggetto di un registro delle proprietà” a pagina 62
“Aggiungi/Modifica della descrizione di un registro di proprietà” a pagina 63
“Definizione/Modifica di un metodo di selezione degli oggetti preferiti per un task del registro di proprietà” a pagina 63
Creazione di un nuovo registro delle proprietà
Per creare un nuovo registro delle proprietà:
1 Nella scheda Registro proprietà selezionare Nuovo.
2 Completare i passaggi della creazione guidata del registro delle proprietà.
Configurazione e personalizzazione di iManager 61
Questa procedura guidata fornisce i dettagli necessari sul registro delle proprietà in corso di creazione.
Importante: In iManager alcuni caratteri hanno una funzione specifica e devono essere preceduti da una barra rovesciata. Per ulteriori informazioni, consultare “Caratteri speciali” a pagina 22.
Cancellazione di un registro delle proprietà
Per cancellare un registro delle proprietà:
1 Nella scheda Registro proprietà selezionare il registro di proprietà desiderato, quindi scegliere Cancella.
Verrà visualizzato il messaggio: Questa operazione comporta la cancellazione di tutti i registri delle proprietà selezionati. Continuare?
2 Fare clic su OK.
Modifica dell'assegnazione del ruolo in un registro delle proprietà
Per modificare l'elenco dei ruoli a cui è assegnato un registro delle proprietà:
1 Nella scheda Registro di proprietà selezionare il registro di proprietà desiderato, quindi scegliere Azioni > Assegnazione ruolo.
2 Nella pagina Modifica assegnazione ruolo aggiungere o rimuovere i ruoli dal campo Ruoli assegnati, quindi fare clic su OK.
Modifica dell'elenco delle pagine di un registro delle proprietà
Per modificare le pagine degli attributi associate a un registro delle proprietà:
1 Nella scheda Registro di proprietà selezionare il registro di proprietà desiderato, quindi scegliere Azioni > Elenco pagine.
2 Nella pagina Modifica elenco pagine aggiungere o rimuovere i ruoli dal campo Pagine assegnate. Per modificare l'ordine delle pagine, selezionare una pagina e fare clic sui pulsanti Sposta su o Sposta > giù.
Modifica dell'assegnazione dei tipi di oggetto di un registro delle proprietà
Per modificare l'elenco dei tipi di oggetti associati a un registro delle proprietà:
1 Nella scheda Registro di proprietà selezionare il registro di proprietà, quindi scegliere Azioni > Tipo di oggetto.
2 Nella pagina Modifica tipo di oggetto aggiungere o rimuovere i ruoli dal campo Tipi di oggetto assegnati, quindi fare clic su OK.
62 Configurazione e personalizzazione di iManager
Aggiungi/Modifica della descrizione di un registro di proprietà
Per aggiungere una descrizione a un task esistente o modificarla:
1 Nella scheda Registro proprietà selezionare il registro delle proprietà desiderato, quindi scegliere Azioni > Descrizione.
2 Specificare o modificare la descrizione nella casella di testo, quindi fare clic su OK.
Definizione/Modifica di un metodo di selezione degli oggetti preferiti per un task del registro di proprietà
Per definire o modificare un metodo di selezione degli oggetti preferiti per un task esistente:
1 Nella scheda Registro di proprietà selezionare il registro di proprietà, quindi scegliere Azioni > Modalità di selezione delle destinazione.
2 Dall'elenco Modalità, selezionare la modalità appropriata: singola, multipla, semplice o avanzata, quindi fare clic su OK.
Viene visualizzato un messaggio che conferma la riuscita dell'operazione. Fare clic su OK.
Nota: NOTA: perché le modifiche al modulo Contenuto di base di iManager abbiano effetto, riavviare Tomcat.
Scheda Modulo
Nella pagina Modulo viene visualizzato un elenco dei moduli RBS attualmente installati in una raccolta selezionata. Ogni modulo include task e registri delle proprietà RBS. Da questa pagina è possibile aggiungere (se si desidera creare un registro delle proprietà personalizzato) e cancellare moduli, nonché immettere una descrizione per un modulo NPM (Novell Plug-in Module) selezionato.
La scheda Modulo di Raccolta RBS consente di effettuare le seguenti operazioni:
“Aggiunta di un nuovo modulo plug-in” a pagina 63
“Cancellazione di un modulo RBS” a pagina 63
“Aggiunta di una descrizione” a pagina 64
Aggiunta di un nuovo modulo plug-in
Per aggiungere un nuovo modulo NPM:
1 Nella scheda Modulo selezionare Nuovo.
2 Specificare il nome e il contesto di destinazione del modulo RBS, quindi fare clic su OK.
In iManager verrà visualizzato un messaggio che indica che il modulo è stato aggiunto.
Cancellazione di un modulo RBS
Per cancellare un modulo NPM esistente:
1 Nella scheda Modulo selezionare il modulo che si desidera cancellare, quindi scegliere Cancella.
2 Fare clic su OK per confermare la cancellazione del modulo.
Configurazione e personalizzazione di iManager 63
Aggiunta di una descrizione
Per aggiungere una descrizione a un modulo NPM esistente:
1 Nella scheda Modulo selezionare il modulo desiderato, quindi scegliere Azioni > Descrizione.
2 Immettere una descrizione del modulo, quindi fare clic su OK.
Scheda Categoria
Nella scheda Categoria sono raggruppati i ruoli e task correlati. La scheda Modulo di Raccolta RBS consente di effettuare le seguenti operazioni:
“Aggiunta di una nuova categoria” a pagina 64
“Cancellazione di una categoria” a pagina 64
“Aggiunta di una descrizione” a pagina 64
Aggiunta di una nuova categoria
Per aggiungere una descrizione a un modulo NPM esistente:
1 Nella scheda Categoria selezionare Nuovo.
Verrà avviata la Creazione guidata categoria.
2 Immettere un nome e una descrizione (facoltativo) per la categoria, quindi fare clic su Avanti.
3 Selezionare i ruoli da associare alla nuova categoria, quindi fare clic su Avanti.
4 Esaminare il riepilogo della nuova categoria, quindi fare clic su Fine.
Cancellazione di una categoria
Per cancellare una categoria esistente:
1 Nella scheda Categoria selezionare il modulo che si desidera cancellare, quindi scegliere Cancella.
2 Fare clic su OK per confermare la cancellazione della categoria.
Aggiunta di una descrizione
Per aggiungere o modificare la descrizione di una categoria esistente:
1 Nella scheda Categoria selezionare una categoria, quindi scegliere Azioni > Descrizione.
2 Immettere una descrizione per la categoria, quindi fare clic su OK.
Plug-In Studio
Plug-In Studio offre un metodo facile e veloce di semplificare i task eseguiti più volte al giorno. Utilizzare Plug-in Studio per creare task in modo dinamico per le operazioni utilizzate più di frequente. In Plug-In Studio è inoltre possibile modificare e cancellare task.
Ad esempio, per modificare un utente, anziché selezionare Modifica oggetto è possibile creare un'interfaccia utente dinamica per modificare solo gli attributi selezionati, come il nome o la qualifica. I dati vengono memorizzati nella directory TOMCAT_HOME/webapps/nps/portal/modules/custom.
64 Configurazione e personalizzazione di iManager
Nota: Quando è in uso Plugin Studio, NetIQ consiglia di non eseguire più server iManager utilizzando gli stessi RBS. Plugin Studio non aggiorna correttamente i plug-in in eDirectory.
Dal task Plugin Studio è possibile effettuare le seguenti operazioni:
“Creazione di un nuovo task da Plug-In Studio” a pagina 65
“Modifica di un task” a pagina 66
“Cancellazione di un task” a pagina 66
“Copia di task personalizzati” a pagina 66
“Esportazione di task personalizzati” a pagina 66
“Importazione di task personalizzati” a pagina 66
Creazione di un nuovo task da Plug-In Studio
Per creare un nuovo task con Plugin Studio:
1 Nella vista di configurazione selezionare Servizi basati su ruoli (RBS, Role-Based Services) > Plugin Studio.
2 Scegliere Nuovo messaggio.
Verrà visualizzato Generatore task, che consente di creare pagine delle proprietà e task personalizzati.
3 Specificare le informazioni sul tipo di oggetto e la piattaforma, quindi fare clic su Avanti.
Classi disponibili: Specificare la classe di oggetti associata al nuovo task.
Dispositivo di destinazione: Specificare la piattaforma in cui verrà utilizzato il task. La selezione di default (Default) è generalmente sufficiente.
Tipo plug-in: Specificare il tipo di task in corso di creazione.
Aggiungi classi ausiliarie: Selezionare questa opzione per aggiungere il supporto della classe ausiliaria al task.
4 Nella schermata Campi plug-in specificare le informazioni necessarie, quindi fare clic su Installa.
Quando si seleziona Installa, in iManager vengono automaticamente generati il file xml del task, il file jsp e i file Java che eseguono il task e tutti vengono installati nel sistema.
Attributi: Scegliere l'attributo che si desidera associare al task dall'elenco di quelli disponibili.
Fare doppio clic sull'attributo per spostarlo nel campo Campi plug-in utilizzando il controllo di default.
Controlli: Consente di visualizzare i controlli disponibili per l'attributo selezionato nel campo Attributi.
Fare doppio clic su un controllo per spostare l'attributo attuale nel campo Campi plug-in utilizzando il controllo selezionato.
Campi plug-in: visualizza l'attributo e/o il controllo attualmente associato al task. Questo campo consente di rimuovere gli attributi dal task, cambiare il controllo associato a un attributo e modificarne le proprietà.
Proprietà plug-in: consente di specificare un ID plug-in e di assegnare il task a una Raccolta RBS e a un Ruolo. Il ruolo assegnato determina la posizione di visualizzazione nel frame di navigazione di Ruoli e Task.
Configurazione e personalizzazione di iManager 65
Modifica di un task
Per modificare un plug-in esistente con Plugin Studio:
1 Nella vista di configurazione selezionare Servizi basati su ruoli > Plugin Studio.
2 Selezionare il task, quindi scegliere Modifica.
3 Modificare le impostazioni descritte nella sezione “Creazione di un nuovo task” a pagina 60, quindi fare clic su Installa.
In iManager verrà visualizzato un messaggio di conferma che indica che il plug-in è stato creato e installato.
Cancellazione di un task
Per cancellare un plug-in esistente con Plugin Studio:
1 Nella vista di configurazione selezionare Servizi basati sul ruolo > Plugin Studio.
2 Selezionare il plug-in dall'elenco dei plug-in personalizzati installati, quindi scegliere Cancella.
Verrà visualizzato il messaggio: Cancellare il plug-in?
3 Scegliere OK per cancellare il plug-in.
In iManager verrà visualizzato un messaggio di conferma che indica che il plug-in è stato cancellato.
Copia di task personalizzati
Per copiare un plug-in esistente con Plugin Studio:
1 Nella vista di configurazione selezionare Servizi basati sul ruolo > Plug-in Studio.
2 Selezionare il plug-in dall'elenco dei plug-in personalizzati installati, quindi scegliere Azioni > Copia.
3 Immettere un nome per il plug-in copiato, quindi fare clic su OK.
Esportazione di task personalizzati
Utilizzare questo task per esportare i task personalizzati e consentirne in tal modo la distribuzione in altri server iManager.
1 Nella vista di configurazione selezionare Servizi basati su ruoli > Plugin Studio.
2 Selezionare il plug-in personalizzato da esportare, quindi fare clic su Azioni > Esporta.
Importazione di task personalizzati
Utilizzare questo task per distribuire i task personalizzati in più server iManager.
1 Nella vista di configurazione selezionare Servizi basati su ruoli > Plugin Studio.
2 Selezionare Azioni > Importa.
3 Specificare la raccolta RBS in cui si desidera importare i plug-in personalizzati, oppure utilizzare il Selettore oggetti per individuarla.
4 Specificare, o individuare, il file VPM esportato in precedenza.
5 Fare clic su Importa.
66 Configurazione e personalizzazione di iManager
Modifica delle associazioni dei membri
Per associare membri a ruoli, è possibile procedere in due modi diversi:
Selezionare un membro, quindi assegnarlo a un ruolo in un ambito, come illustrato in “Impostazione dell'associazione a un membro” a pagina 59.
Selezionare un ruolo, quindi assegnarvi i membri e un ambito, come illustrato di seguito.
Per assegnare un ruolo esistente a un membro selezionato
1 Nella vista di configurazione selezionareServizi basati sul ruolo > Modifica associazione membri.
2 Specificare un membro, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
Verrà visualizzato un elenco contenente i ruoli a cui è assegnato il membro.
3 Specificare un ruolo e il relativo ambito da aggiungere a questo membro, quindi fare clic su OK.
I dati verranno salvati in eDirectory. In seguito al login, il ruolo appena assegnato viene visualizzato nella colonna a sinistra del membro che ne è proprietario.
Modifica delle raccolte proprietario
Utilizzare questo task per cambiare il proprietario assegnato a una raccolta.
1 Nella vista di configurazione selezionare Servizi basati sul ruolo > Modifica raccolte proprietario.
2 Specificare un proprietario della raccolta, oppure individuarlo mediante il Selettore oggetti, quindi fare clic su OK.
3 Aggiungere o rimuovere le raccolte di cui l'utente può essere proprietario, quindi fare clic su OK.
Generazione rapporti RBSLa funzione Generazione rapporti RBS consente di generare rapporti sugli oggetti RBS inclusi nella directory e sulla relativa configurazione. I rapporti sono in formato di grafico e possono essere esportati in altri formati e stampati. Tramite la funzione Generazione rapporti RBS vengono generati i seguenti rapporti:
Creazione di rapporti
Per creare un rapporto RBS:
1 Nella vista di configurazione selezionare Generazione rapporti RBS.
Assegnazioni del ruolo Task non assegnati
Assegnazioni di task ai ruoli Categorie non assegnate
Assegnazioni di ruoli agli utenti Ruoli personalizzati
Assegnazioni di task agli utenti Task personalizzati
Assegnazioni di diritti ai ruoli Categorie personalizzate
Ruoli non assegnati Raccolte
Configurazione e personalizzazione di iManager 67
Ogni tipo di rapporto viene implementato come task.
2 Selezionare il rapporto desiderato, immettere le informazioni necessarie, quindi fare clic su OK.
Ogni rapporto richiede l'immissione di alcune informazioni iniziali, ad esempio i ruoli per cui si desidera generare un elenco di membri assegnati.
Figura 6-3 Vista Configura di iManager in cui viene visualizzato il task Assegnazioni del ruolo
Utilizzo di rapporti
Il task Generazione rapporti RBS consente di generare rapporti che è possibile ordinare, stampare ed esportare. Nella seguente figura viene illustrato un esempio di rapporto di iManager.
Figura 6-4 Membri assegnati a un ruolo
Ordinamento degli elementi nei rapporti
Per impostazione di default, gli elementi elencati in un rapporto vengono ordinati alfabeticamente in senso crescente nella prima colonna. Per indicare la colonna utilizzata per l'ordinamento degli elementi, in iManager viene visualizzata una piccola icona accanto al nome della colonna. Questa
68 Configurazione e personalizzazione di iManager
icona indica il tipo di ordinamento. Per modificare la colonna utilizzata per l'ordinamento degli elementi, fare clic sul nome della colonna desiderata. Per modificare il tipo di ordinamento, fare clic sul nome della colonna attualmente utilizzata per l'ordinamento degli elementi.
Stampa di rapporti
È possibile stampare rapporti RBS in modo semplice facendo clic sul pulsante Stampa. Verrà visualizzata la finestra di dialogo di stampa del browser, in cui è possibile selezionare una stampante e altre opzioni di stampa. Questa funzione consente di stampare solo il frame del browser contenente il rapporto, che viene stampato come è visualizzato nel frame. È pertanto consigliabile assicurarsi che gli elementi rispettino l'ordine desiderato prima di fare clic su Stampa.
Esportazione di rapporti
È possibile esportare i dati dei rapporti in file XML, CSV e di testo normale per poterli utilizzare in altre applicazioni, quali fogli di calcolo e database. I file di esportazione contengono solo i dati e un numero sufficiente di metadati per descrivere le colonne del rapporto. Altre informazioni, ad esempio il titolo e la data del rapporto, non vengono esportate. Gli elementi inclusi in un rapporto vengono esportati nell'ordine visualizzato al momento dell'esportazione.
1 Fare clic sul pulsante Esporta.
2 Nella finestra Esportazione rapporti RBS selezionare il formato per i dati esportati, quindi fare clic su Esporta.
3 Quando nel browser viene richiesto se aprire o salvare il file generato da iManager, selezionare l'opzione desiderata e procedere come richiesto nel browser.
Di seguito vengono illustrati alcuni esempi di file XML, CSV e di testo normale esportati dallo stesso rapporto RBS:
XML:
<?xml version="1.0"?> <rbs-report> <rbs-report-header> <user>admin.novell</user> <report-time>Thursday, June 26, 2008 (10:33:17 AM IST)</report-time> <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container</selected-member-types> <dynamic-group> <search-enabled>yes</search-enabled> <role-search>parent sub-directory (novell)</role-search> <search-for>Dynamic Group Objects</search-for> </dynamic-group> <container-role-search>up to parent (novell)</container-role-search> </rbs-report-header> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>admin.novell</member-object> <scope>.MY_TREE.</scope>
Configurazione e personalizzazione di iManager 69
<rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>jdoe.novell</member-object> <scope>novell</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> </rbs-report>
CSV:
RBS Report Query SettingsUser:,"admin.novell"Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)"Types:,"User, Group, Dynamic Group, Organizational Role, Container"Dynamic Group Search Settings:,Search Enabled:,"yes"Role Search:,"parent sub-directory (novell)"Role Search:,"Dynamic Group Objects"Container Role Search:,"up to parent (novell)"
Rapporto RBS: Assegnazioni di ruoli agli utenti
User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit",admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Server Management","Novell Certificate Server Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",
70 Configurazione e personalizzazione di iManager
admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",
Testo normale:
RBS Report Query SettingsUser: admin.novellDate: Thursday, June 26, 2008 (10:33:17 AM IST)Types: User, Group, Dynamic Group, Organizational Role, Container-------------------------------------------------Dynamic Group Search Settings: Search Enabled: yesRole Search: parent sub-directory (novell)Role Search: Dynamic Group ObjectsContainer Role Search: up to parent (novell)-------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true-------------------------------------------------
Server iManagerSe il task non viene visualizzato, significa non si dispone delle autorizzazioni necessarie. Vedere “Utenti e gruppi autorizzati” a pagina 72. In questo argomento vengono fornite le seguenti informazioni:
“Configura iManager” a pagina 72
“Security” a pagina 72
“Aspetto” a pagina 73
“Registrazione eventi” a pagina 74
“Autenticazione” a pagina 74
“Servizi basati su ruoli (RBS, Role-Based Services)” a pagina 76
“Download plug-in” a pagina 76
“Varie” a pagina 77
“Certificato” a pagina 78
Configurazione e personalizzazione di iManager 71
Configura iManager
Nel file config.xml sono incluse tre impostazioni che controllano la sicurezza e i certificati utilizzati quando in iManager viene creata una connessione SSL LDAP:
Security.Keystore.AutoUpdate: Se il valore di AutoUpdate è VERO, quando un utente esegue correttamente il login a iManager, il certificato del server eDirectory potrebbe essere importato automaticamente nell'archivio chiavi specifico di iManager. Selezionare l'impostazione Importazione automatica certificazione dell'albero per LDAP sicuro (Configura iManager > Sicurezza).
Security.Keystore.UpdateAllowAll: Quando il valore di UpdateAllowAll è VERO, qualsiasi login utente corretto consente di importare e/o aggiornare un certificato nell'archivio chiavi di certificati di iManager. Se il valore dell'impostazione è falso, solo un login utente autorizzato consentirà di importare e/o aggiornare certificati.
Security.Keystore.Priority: L'impostazione di priorità contiene due parole che definiscono l'ordine di ricerca per i certificati durante una connessione: system e imanager. system utilizza l'archivio chiavi JVM* di default per individuare i certificati durante la creazione del contesto SSL. Se l'operazione non riesce, viene utilizzato l'archivio chiavi di iManager.
È possibile modificare l'ordine di ricerca di system e iManager rimuovendo tali parole dalla voce.
Per garantire una maggiore sicurezza, non abilitare AutoUpdate e utilizzare solo l'archivio chiavi di sistema. In tal caso, è necessario importare manualmente i certificati che si desidera siano inclusi nell'archivio chiavi di sistema di default utilizzando gli strumenti disponibili in Java. Se si disabilita UpdateAllowAll, le importazioni dei certificati potranno essere eseguite solo da un login utente autorizzato di iManager.
Security
Queste impostazioni influiscono sull'intera configurazione del server Web e vengono salvate nel file config.xml. È possibile salvare a mano a mano che si apportano le modifiche oppure fare clic su Salva una volta apportate tutte le modifiche nelle diverse pagine selezionate.
Avvisa in caso di accesso non sicuro (http)
Selezionare questa opzione se si desidera che per gli utenti senza una connessione sicura tra il server e il browser Web venga visualizzato il seguente messaggio di avviso: Si sta utilizzando una connessione non sicura.
Importazione automatica certificazione dell'albero per LDAP sicuro
Per le connessioni sicure mediante LDAP, è necessario un certificato. Se si seleziona questa funzione, nel sistema viene automaticamente importato un certificato di un albero pubblico per connessioni tramite protocollo LDAP sicuro.
Utenti e gruppi autorizzati
Gli utenti e i gruppi autorizzati sono quelli a cui è consentito eseguire i vari task amministrativi di iManager. I dati degli utenti autorizzati vengono salvati in TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties. Questo file viene creato durante il processo di installazione di iManager solo se sono state specificate le informazioni sugli utenti e i gruppi autorizzati. Tuttavia,
72 Configurazione e personalizzazione di iManager
questa operazione è facoltativa. Se non si specificano le informazioni richieste, iManager consentirà a qualsiasi utente di installare i plug-in e modificare le impostazioni del server iManager (opzione sconsigliata a lungo termine).
Quando un gruppo o un ruolo organizzativo viene aggiunto all'elenco, tutti i relativi membri diventano utenti autorizzati. L'aggiunta di un gruppo nidificato supporta solo il primo livello dei membri. L'aggiunta di un gruppo dinamico non è supportata, in quanto ogni tipo di oggetto può essere suo membro.
Una volta installato iManager, è possibile aggiungere un utente, un gruppo o un ruolo organizzativo autorizzato specificando o utilizzando l'icona Selettore oggetti accanto all'elenco Utenti e gruppi autorizzati. Questa operazione comporta la modifica del file configiman.properties.
Per designare tutti gli utenti dell'albero come utenti autorizzati, digitare AllUsers.
Nota: nell'elenco Gruppi e utenti autorizzati è possibile aggiungere e salvare solo gli utenti validi. Se vengono aggiunti utenti non validi e si fa clic su Salva, viene visualizzato un messaggio di errore in cui si avverte l'utente dell'impossibilità di trovare l'oggetto. Se all'elenco vengono aggiunti solo utenti non validi e si fa clic su Salva, viene visualizzato il messaggio di errore e un elenco di utenti non validi viene automaticamente sostituito da AllUsers. Se non si desidera che tutti gli utenti dell'albero diventino utenti autorizzati, rimuovere AllUsers dall'elenco, aggiungere gli utenti validi desiderati e fare clic su Salva.
Importante: se si è installato iManager per la prima volta, l'elenco relativo ai gruppi e agli utenti autorizzati è vuoto. In qualità di utente Admin, è necessario aggiungere immediatamente gli utenti e i gruppi all'elenco perchè diventino utenti e gruppi autorizzati e per ottenere i diritti di modifica dell'elenco. In caso contrario, un utente non-admin può aggiungere utenti e gruppi all'elenco da cui ottiene i diritti di modifica dell'elenco. L'utente (Admin) può perdere i diritti di modifica dell'elenco.
Per le informazioni sulla sicurezza relative al file configiman.properties, consultare “Utenti e gruppi autorizzati di iManager” a pagina 123.
Abilitazione di NetIQ Audit
Assicurarsi che i prerequisiti di Audit siano soddisfatti. Selezionare l'opzione Abilita NetIQ Audit e gli eventi di registrazione specifici di iManager, quindi fare clic su Salva.
Aspetto
La scheda Aspetto consente di personalizzare l'aspetto dell'interfaccia di iManager. Queste informazioni vengono archiviate in TOMCAT_HOME\webapps\nps\WEB-INF\config.xml.
Titolo
Digitare il nome dell'organizzazione in questa casella di testo. Tale nome verrà visualizzato nella barra del titolo del browser Web al posto del testo di default NetIQ iManager.
Colore della barra del titolo
È possibile personalizzare il colore della barra del titolo:
Colore titolo: consente di selezionare il colore di visualizzazione del nome dell'organizzazione nella barra del titolo.
Configurazione e personalizzazione di iManager 73
Colore di sinistra: consente di selezionare il colore per il pannello sinistro della barra del titolo.
Colore di destra: consente di selezionare il colore per il pannello destro della barra del titolo.
È possibile·selezionare il colore immettendo i valori esadecimali nel campo di testo. Per le voci immesse non è supportata la distinzione tra maiuscole e minuscole.
Ubicazione immagine del logo
Sulla barra del titolo è possibile inserire anche il logo dell'organizzazione. I loghi personali devono rispettare le dimensioni assegnate nell'interfaccia.
Memorizzare le immagini dei loghi in /portal/modules/fw/images. Digitare il percorso di ogni immagine nel rispettivo campo di testo.
Per default, il logo non viene visualizzato nell'intestazione. Selezionare la casella La visualizzazione di un logo nell'intestazione è facoltativa. Deselezionare la casella per nascondere l'immagine per visualizzare il logo nell'intestazione.
Fare clic su Reimposta per tornare alle immagini e ai colori di default.
Fare clic su Salva per salvare le impostazioni. È possibile visualizzare l'anteprima di tutte le modifiche nella sezione Anteprima.
Registrazione eventi
La scheda Registrazione eventi consente di configurare l'ambiente di registrazione di iManager. Sono disponibili due impostazioni di registrazione:
Livello di log: selezionare i tipi di messaggi che si desidera registrare tra le quattro opzioni disponibili: Nessuna registrazione, Errori, Errori e avvisi e Errori, avvisi e messaggi informativi per il debug.
Nota: le opzioni Visualizza log di debug ed Elimina log di debug saranno visibili nell'intestazione di iManager se Livello di log è impostato su Errori, avvisi e messaggi informativi per il debug.
Selezionare le opzioni di output di registrazione.
Output della registrazione: Selezionare la destinazione per i messaggi registrati tra le tre opzioni disponibili: Invia l'output di registrazione a un dispositivo di errore standard, Invia l'output di registrazione a un dispositivo di output standard e Invia l'output di registrazione al file Debug.html.
Il percorso e la dimensione del file di log vengono entrambi visualizzati in questa pagina. Selezionare Visualizza per visualizzare il file di log attuale in formato HTML. Selezionare Azzera per azzerare il file di log attuale e reimpostarne la dimensione su 0 (zero) byte.
Autenticazione
La scheda Autenticazione consente di configurare la pagina di login di iManager. Include le seguenti opzioni:
Memorizza credenziali di login: se selezionata, gli utenti devono immettere solo una password per eseguire il login.
74 Configurazione e personalizzazione di iManager
Usa una porta LDAP sicura per la connessione automatica: se selezionata, in iManager le comunicazioni LDAP vengono eseguite mediante il protocollo SSL. Alcuni plug-in, quali Dynamic Groups e NMASTM, non funzionano se questa opzione non è selezionata. Questa impostazione non ha effetto se prima non si esegue il logout da iManager.
Nascondi motivo specifico di errore login: se selezionata, i messaggi di eDirectory correlati all'autenticazione vengono sostituiti in iManager con il messaggio di errore generico: Errore di login. Nome utente o password non validi. Per ulteriori informazioni, consultare “Impedire la rilevazione del nome utente” a pagina 123.
Consenti la selezione dell'albero nella pagina di login: se selezionata, nella pagina di login di iManager viene visualizzato il campo Albero. Se l'opzione non viene selezionata, è necessario disporre di un nome di albero di default. In caso contrario, non sarà possibile eseguire il login.
Login senza contesto: Il login senza contesto consente agli utenti di eseguire il login utilizzando solo il nome utente e la password, senza dover specificare l'intero contesto dell'oggetto Utente, Ad esempio, .admin.support.sales.netiq.
Se nell'albero sono presenti più utenti con lo stesso nome utente, il login senza contesto consente di eseguire il login avvalendosi del primo account utente che viene trovato, insieme alla password fornita nell'elenco ordini del container specificato dall'utente. L'utente può riorganizzare e configurare l'elenco ordini del container.
Se nell'albero sono presenti più utenti con lo stesso nome utente, per eseguire il login con un determinato nome utente, durante la procedura di login un utente deve fornire il contesto completo oppure limitare i container di ricerca esaminati dalla funzione di login senza contesto.
Selezionare Cerca dalla radice per eseguire una ricerca utente dalla radice dell'albero della directory. Selezionare Cerca container per specificare uno o più container in cui è possibile trovare gli oggetti Utente.
Per impostazione di default, tramite iManager la connessione viene stabilita con accesso pubblico e non richiede credenziali specifiche. È possibile indicare un utente con credenziali specifiche per eseguire la ricerca senza contesto. Se non viene specificato alcun utente, verrà utilizzato l'utente pubblico di iManager.
Importante: Se si specifica un utente pubblico, valutare con attenzione le implicazioni delle impostazioni di scadenza della parola d'ordine. Se per l'utente pubblico la password è impostata per scadere, non potrà essere modificata durante il login in seguito alla scadenza.
Impostazioni di timeout del server iManager: Se si desidera impostare un timeout per il server iManager dopo un determinato periodo di tempo, indicare il numero di giorni, ore e minuti nei rispettivi campi della pagina Autenticazione.
Se non si desidera che si verifichi il timeout del server, selezionare Nessun timeout.
Reindirizzamento dopo il logout: Nella pagina Autenticazione, è necessario spuntare questa opzione se si desidera essere reindirizzati a una determinata pagina una volta eseguito il logout da iManager. È necessario indicare l'URL desiderato nel campo URL:. Se, al contrario, l'URL non viene indicato, scegliendo Esci viene eseguito il logout da iManager. La pagina di login viene visualizzata per default.
Reindirizzamento dopo il logout
Selezionando l'opzione Reindirizzamento dopo il logout è possibile specificare l'URL a cui essere reindirizzati dopo aver eseguito il logout da iManager. Se invece l'opzione non viene selezionata, scegliendo Esci viene eseguito il logout da iManager. La pagina di login viene visualizzata per default.
Configurazione e personalizzazione di iManager 75
Abilita: selezionare questa opzione per la funzione di reindirizzamento dopo il logout.
URL: specificare l'URL cui essere reindirizzati una volta eseguito il logout da iManager.
Servizi basati su ruoli (RBS, Role-Based Services)
Il sistema RBS assegna i diritti in eDirectory per l'esecuzione dei task. Quando si assegna un ruolo a un utente, i diritti necessari per eseguire i task associati al ruolo vengono assegnati per default tramite il sistema RBS.
La scheda RBS consente di configurare le seguenti impostazioni:
Abilita gruppi dinamici: se selezionata, il sistema RBS consente ai gruppi dinamici di essere membri di un ruolo. Per ulteriori informazioni sui gruppi dinamici, consultare la NetIQ eDirectory Administration Guide (Guida all'amministrazione di NetIQ eDirectory).
Mostra ruoli nelle raccolte di proprietà: se selezionata, i proprietari delle raccolte possono visualizzare tutti i ruoli e i task, anche se non ne sono membri. Deselezionare questa opzione per forzare i proprietari delle raccolte a visualizzare solo i ruoli assegnati.
Dominio di rilevazione ruoli: indica l'ubicazione nell'albero in cui iManager dovrà eseguire la ricerca dei ruoli assegnati a un membro.
Superiore: la ricerca dei gruppi dinamici viene eseguita fino al container superiore.
Partizione: la ricerca dei gruppi dinamici viene eseguita fino alla prima partizione eDirectory.
Radice: la ricerca dei gruppi dinamici viene eseguita nell'intero albero.
Dominio di rilevazione gruppi dinamici: indica l'ubicazione nell'albero in cui iManager dovrà eseguire la ricerca per l'appartenenza a gruppi dinamici. Tra i gruppi dinamici rilevati viene verificata l'appartenenza ai ruoli.
Superiore: la ricerca dei ruoli viene eseguita nel container superiore dell'utente.
Partizione: la ricerca dei ruoli viene eseguita fino alla prima partizione eDirectory.
Radice: la ricerca dei ruoli viene eseguita nell'intero albero.
Tipo di ricerca gruppi dinamici: consente di selezionare il tipo di gruppi dinamici da cercare per l'appartenenza ai ruoli.
DynamicGroupObjectOnly: viene eseguita la ricerca di oggetti che appartengono al tipo di classe Gruppo dinamico.
DynamicGroupObjects&AuxClasses: viene eseguita la ricerca di oggetti che appartengono al tipo di classe Gruppo dinamico o che sono stati estesi con la classe dynamicGroupAux. Sono pertanto inclusi gli oggetti gruppo convertiti successivamente in Gruppi dinamici.
Elenco albero dei servizi basati sui ruoli (RBS): viene compilato automaticamente con il nome dell'albero di eDirectory quando un proprietario di una raccolta o un membro di un ruolo esegue l'autenticazione. Se il sistema RBS viene rimosso da un albero eDirectory, rimuovere la voce relativa a tale albero in questo elenco per tornare in modalità di accesso non assegnato.
Download plug-in
La scheda Download plug-in consente di configurare le seguenti impostazioni:
76 Configurazione e personalizzazione di iManager
Interroga il sito dei download di Novell per i nuovi moduli NPM (NetIQ Plug-in Modules):
indica che il server iManager deve interrogare il sito dei download di NetIQ (http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4) per i nuovi moduli NPM.
Due pulsanti di scelta consentono di configurare l'interrogazione per ogni modulo NPM disponibile oppure solo per gli aggiornamenti dei moduli NPM già installati.
Download dei moduli NPM da un sito personalizzato: È possibile effettuare il download dei moduli dei plug-in da un sito personalizzato indicandone l'URL nel campo URL del sito di download, nella pagina Download plug-in.
Download dei moduli NPM mediante un proxy: Se i server iManager sono in esecuzione sul proxy firewall, il client può accedere a Internet tramite il server proxy. È supportato soltanto il Proxy HTTP. Si tratta di un proxy Web HTTP. Per effettuare il download dei plug-in, l'utente deve eseguire la procedura seguente nella pagina Download plug-in:
1 Selezionare Abilita proxy.
2 Immettere le informazioni nei campi seguenti:
Host proxy: in questo campo, immettere l'indirizzo IP dell'host proxy.
Porta proxy: in questo campo, immettere il numero della porta proxy.
Nome utente: in questo campo, immettere il nome utente.
Password: in questo campo, immettere la password.
Ridigitare la password: specificare la stessa password specificata nel campo Ridigitare la password.
Importante: I plug-in di iManager non sono compatibili con le versioni precedenti di iManager. Inoltre, eventuali plug-in aggiuntivi personalizzati che si desidera utilizzare con iManager devono essere ricompilati nell'ambiente iManager
Varie
La scheda Varie consente di configurare le seguenti impostazioni:
Abilita [this]: È possibile ignorare questa opzione. L'opzione Abilita [this] è stata aggiunta a iManager per consentire ad alcuni team interni di modificare i propri oggetti. [this] è un attributo nell'albero che consente funzionalità di autogestione specifiche. Se l'opzione [questo] è abilitata, tutti i server eDirectory dell'albero devono corrispondere alla versione 8.6.2 o successiva.
URL eGuide: Specifica l'URL di eGuide. Questo URL viene utilizzato per il pulsante di avvio di eGuide nell'intestazione e per la gestione dei ruoli e dei task di eGuide. È necessario specificare un URL completo, ad esempio https://mio.nome.dns/eGuide/servlet/eGuide, oppure la parola chiave EMFRAME_SERVER.. Se si utilizza EMFRAME_SERVER, eGuide verrà cercato sullo stesso server in cui si trova eMFrame.
Per ulteriori informazioni su eGuide, vedere il sito Web della documentazione di Novell eGuide (http://www.novell.com/documentation/eguide212/index.html).
Configurazione e personalizzazione di iManager 77
Certificato
Per scegliere un livello di cifratura basato sui requisiti di sicurezza aziendale, utilizzare la scheda Certificato. iManager consente di scegliere tra i certificati seguenti:
RSA: Il certificato utilizza una coppia di chiavi 2048 RSA. Per RSA, iManager consente di utilizzare i livelli di cifratura seguenti:
NESSUNA: consente tutti i tipi di cifratura.
BASSA: consente la cifratura a 56 o 64 bit.
MEDIA: consente la cifratura a 128 bit.
ALTA: consente cifrature oltre i 128 bit.
ECDSA 256: Il certificato utilizza una coppia di chiavi ECDSA con una curva secp256r1. Per ECDSA 256, iManager consente di utilizzare un unico livello di cifratura:
SOLO SUITEB 128: consente qualsiasi tipo di cifratura.
ECDSA 384: Il certificato utilizza una coppia di chiavi ECDSA con una curva secp384r1.
Nota: per default, Java non supporta la cifratura AES a 256 bit. Per utilizzare i certificati ECDSA 384, eseguire le operazioni seguenti:
1. Effettuare il download ed estrarre Java Cryptography Extension (JCE) Unlimited Strength Policy Files 8.
2. Sostituire i file local_policy.jar e US_export_policy.jar nella cartella security di Java (jdk1.8.xx/jre/lib/security) con i rispettivi file estratti.
3. Riavviare Tomcat.
SUITEB 128: consente qualsiasi tipo di cifratura.
SUITEB 192: consente la cifratura a 56 o 64 bit.
RSA viene selezionato per default e il livello di cifratura è impostato su NESSUNO. Per i certificati ECDSA, iManager permette solo cifrature di suite B. Se viene modificato il certificato, assicurarsi di riavviare il server Tomcat per applicare la modifica.
Importante: Per default, Firefox non consente il livello di cifratura BASSO.
Per abilitare gli algoritmi di cifratura BASSO nel browser Firefox:
1 Aprire Firefox, immettere about:config nella barra degli indirizzi, quindi premere Invio.
2 (Condizionale) Se viene visualizzato un avviso, fare clic sul pulsante I'll be careful, I promise! (Starò attento, promesso!) per continuare nella pagina about:config.
3 Nella pagina about:config, nell'elenco Preference Name (Nome preferenza), fare doppio clic sulla preferenza security.ssl3.rsa_rc4_128_md5 per impostarne il valore su True.
Gli algoritmi di cifratura LOW vengono così abilitati nel browser Firefox.
Ad esempio, per configurare solo il livello di cifratura ALTO, modificare il parametro SSLCipherSuite come indicato di seguito:
78 Configurazione e personalizzazione di iManager
<VirtualHost _default_:443> -------------- ----------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- ---------------<VirtualHost>
Per modificare i livelli di cifratura, è possibile utilizzare i prefissi seguenti:
+ : aggiunge le cifrature al relativo elenco, assegnando loro la posizione appropriata.
- : rimuove una cifratura dall'elenco (può essere nuovamente aggiunta in un secondo momento).
! : elimina definitivamente una cifratura dall'elenco (non può essere nuovamente aggiunta in un secondo momento).
Per ulteriori informazioni, consultare la documentazione Apache Module mod_ssl (Modulo Apache mod_ssl ) (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html).
Elenco di creazione degli oggettiQuando si crea un oggetto, viene registrato un elenco preconfigurato di classi di oggetti con il task Crea oggetto. La categoria Elenco di creazione degli oggetti include i seguenti task:
“Aggiunta di una classe di oggetti all'elenco di creazione” a pagina 79
“Rimozione di una classe di oggetti dall'elenco di creazione” a pagina 79
Aggiunta di una classe di oggetti all'elenco di creazione
Utilizzare questo task per aggiungere più oggetti all'Elenco di creazione degli oggetti, ovvero l'elenco di oggetti che è possibile creare in iManager, utilizzando Amministrazione directory > Crea oggetto.
1 Nella vista di configurazione selezionare Elenco di creazione degli oggetti > Aggiungi classe di oggetti all'elenco di creazione.
2 Selezionare l'oggetto da aggiungere, quindi fare clic su Avanti.
3 Controllare le informazioni sulla definizione XML, quindi fare clic su Fine per creare il file xml.
Rimozione di una classe di oggetti dall'elenco di creazione
Utilizzare questo task per rimuovere un oggetto da Elenco di creazione degli oggetti, ovvero l'elenco di oggetti che è possibile creare in iManager, utilizzando il task Amministrazione directory > Crea oggetto.
1 Nella vista di configurazione selezionare Elenco di creazione degli oggetti > Rimuovi classe di oggetti da elenco di creazione.
2 Selezionare l'oggetto da rimuovere e fare clic su Avanti.
3 Controllare le informazioni sulla definizione XML, quindi fare clic su Fine per rimuovere l'oggetto da Elenco di creazione degli oggetti.
Configurazione e personalizzazione di iManager 79
Installazione dei moduli plug-inSe questo ruolo non viene visualizzato nell'interfaccia di iManager, probabilmente non si dispone delle autorizzazioni necessarie. Vedere “Utenti e gruppi autorizzati” a pagina 72.
In iManager vengono utilizzati due tipi di moduli:
Modulo NPM (Novell Plug-in Module): I moduli NPM sono archivi contenenti i file per i plug-in per iManager. Quando si installa un modulo NPM mediante il task Moduli NPM (NetIQ Plug-in Module) disponibili, si installa un plug-in la cui funzionalità verrà aggiunta a iManager.
RBS - Modulo: I moduli RBS sono oggetti di eDirectory contenenti gli oggetti RBS Task e RBS Book. Quando i servizi basati su ruoli sono stati configurati in un albero eDirectory, fare clic su Configura > Configurazione RBS per installare il modulo RBS dopo il modulo NPM, affinché i nuovi task associati al plug-in diventino disponibili per l'utilizzo.
Il task Installazione modulo è relativo solo ai moduli NPM. Per informazioni sull'installazione dei moduli NPM durante l'installazione di iManager, consultare “Informazioni sull'installazione dei plug-in di iManager” nella Guida all'installazione di NetIQ iManager.
Moduli NPM (NetIQ Plug-in Module) disponibili
Nella pagina Moduli NPM (NetIQ Plug-In Module) disponibili è incluso un elenco di tutti i moduli NPM contenuti nella directory dei pacchetti o nel sito dei download. Per ulteriori informazioni, consultare la “Download plug-in” a pagina 76. Il nome, la versione e la descrizione di ciascun modulo sono inclusi nei relativi file manifesto.
È possibile nascondere i plug-in selezionando i moduli NPM e facendo clic sul pulsante Nascondi. È anche possibile nascondere tutti i moduli plug-in affinché nella home page non venga visualizzato l'avviso "Nuovi NPM di iManager disponibili per l'installazione".
È possibile visualizzare anche l'elenco dei moduli plug-in nascosti selezionando il pulsante Mostra elementi nascosti. Se necessario, è possibile visualizzare i moduli plug-in nascosti.
Moduli NPM (NetIQ Plug-in Module) installati
In questo elenco sono inclusi i moduli NPM installati in iManager. Per ogni modulo NPM viene indicato il nome, la versione locale e la descrizione, come indicati nei file di manifesto correnti.
iManager non include tutti i moduli NPM nel prodotto di base. È necessario effettuare il download dei plug-in di iManager separatamente. Tuttavia, nel modulo base.npm fornito con iManager sono inclusi i seguenti plug-in:
Amministrazione della directory
Partizioni e repliche
Assistenza
Schema
Diritti
Utenti
Gruppi
Per ulteriori informazioni, consultare Capitolo 5, “Ruoli e task”, a pagina 33.
80 Configurazione e personalizzazione di iManager
Importante: Affinché il modulo NPM funzioni correttamente, la relativa versione deve essere compatibile con la versione di iManager su cui è in esecuzione. Consultare la documentazione specifica del prodotto per informazioni sui requisiti di versione di iManager per un determinato modulo NPM.
Ad esempio, i plug-in di iManager non sono compatibili con le versioni precedenti di iManager. Inoltre, eventuali plug-in aggiuntivi personalizzati che si desidera utilizzare con iManager devono essere ricompilati nell'ambiente iManager.
Scaricamento e installazione di moduli NPMiManager consente di scaricare e installare gli aggiornamenti per plug-in nuovi ed esistenti direttamente da iManager. iManager ricerca automaticamente i plug-in sul sito Web Novell Downloads una volta alla settimana.
Nota: I moduli NPM non vengono replicati tra i server iManager. Si consiglia quindi di installare i moduli NPM desiderati su ciascun server.
Per scaricare e installare uno o più moduli NPM:
1 Avviare iManager ed eseguire il login.
2 Nella vista Configurazione, selezionare Installazione plug-in > Moduli NPM (NetIQ Plug-in Module) disponibili.
Nel frame del contenuto vengono elencati tutti i plug-in di iManager disponibili. iManager interroga automaticamente il sito Web Novell Download una volta alla settimana per verificare la disponibilità di plug-in aggiornati. È tuttavia possibile aggiornare l'elenco in qualsiasi momento facendo clic sul collegamento Aggiorna.
3 (Facoltativo) Se è stato scaricato un plug-in o si desidera utilizzarne uno disponibile localmente, fare clic su Aggiungi, quindi individuare il file NPM del plug-in appropriato.
4 Fare clic su OK.
Verrà visualizzata la pagina Moduli NPM (NetIQ Plug-in Module) disponibili.
5 Selezionare il modulo del plug-in desiderato, quindi fare clic su Installa.
L'ubicazione del file mostra se il plug-in è stato recuperato dalla directory locale o dal sito Web Novell Downloads. se si seleziona almeno un plug-in la cui Ubicazione del file di installazione è NetIQ download, viene visualizzata la pagina del contratto di licenza dei moduli dei plug-in per NetIQ iManager. Scegliere Accettoe fare clic su OK per procedere con l'installazione.
Nota: L'installazione di un plug-in dal sito Web Novell Downloads potrebbe richiedere diversi minuti, a seconda della velocità di connessione e dal numero di plug-in da installare. Il tempo di scaricamento viene visualizzato su una barra di stato.
6 Al termine dell'installazione, riavviare Tomcat.
L'inizializzazione completa di Tomcat può richiedere alcuni minuti. Attendere almeno 5 minuti prima di eseguire un tentativo di login a iManager.
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
7 Verificare che il nuovo ruolo venga visualizzato nella pagina Ruoli e task.
Per aggiungere membri al nuovo ruolo, utilizzare il task Modifica associazione membri.
Configurazione e personalizzazione di iManager 81
Se il sistema dei servizi basati su ruoli (RSB, Role-Based Services) è configurato
Importante: Per reinstallare un plug-in esistente, è innanzitutto necessario cancellare da eDirectory l'oggetto rbsModule corrispondente utilizzando il task Configurazione modulo > Cancella modulo RBS.
1 Nella vista di configurazione selezionareServizi basati su ruoli > Configurazione RBS.
Nella tabella della scheda Raccolte 2.x vengono visualizzati tutti i moduli obsoleti.
2 Per aggiornarli, selezionare il numero nella colonna Obsoleto relativa alla raccolta che si desidera aggiornare.
Viene visualizzato l'elenco dei moduli obsoleti.
3 Selezionare il modulo che si desidera aggiornare, quindi fare clic su Aggiorna nella parte superiore della tabella.
Disinstallazione di un modulo NPM
1 Nella vista Configurazione, selezionare Installazione plug-in > Moduli NPM (NetIQ Plug-in Module) installati.
2 Selezionare il plug-in, quindi fare clic su Disinstalla.
3 Riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
Le istruzioni per la rimozione manuale di un modulo NPM sono disponibili in TID #7006125 (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657).
Personalizzazione dell'ubicazione di scaricamento del plug-in
Se un server o un firewall proxy impedisce a iManager di contattare il sito NetIQ Download, è possibile creare un archivio di download dei plug-in. Questa operazione consente di archiviare i moduli NPM in un server Web locale oppure in un'ubicazione comune del file system.
A questo scopo, è consigliabile utilizzare come modello il file descrittore XML disponibile sul sito Downloads (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml). Per ulteriori informazioni sul file descrittore di iManager, consultare “Informazioni sull'installazione dei plug-in di iManager” nella Guida all'installazione di NetIQ iManager.
Per configurare un archivio di plug-in locale, salvare il file descrittore a livello locale, quindi aprirlo, copiare l'URL di ogni modulo NPM che si desidera rendere disponibile localmente e incollarlo nella barra degli indirizzi del browser per effettuare il download del file. Dopo aver scaricato tutti i moduli desiderati, modificare la copia locale del file di descrizione in modo che rifletta il nuovo URL per ogni modulo NPM scaricato.
82 Configurazione e personalizzazione di iManager
L'URL di un modulo NPM può essere costituito da un collegamento HTTP o da un'ubicazione del file system. Ad esempio:
File system Windows
<url><![CDATA[file:///c:\iManager_plugins\NMAS.npm]]></url>
File system Linux
<url><![CDATA[file:///home/admin/iManager_plugins/NMAS.npm]]></url>
Collegamento HTTP
<url><![CDATA[http://192.168.0.136/iManager_plugins/NMAS.npm]]></url>
Definizione di un file di descrizione locale
È possibile specificare un file descrittore personalizzato durante o dopo l'installazione di iManager.
Durante il processo di installazione è possibile ridirigere l'URL di scaricamento del plug-in di iManager verso un file di descrizione personalizzato. A questo scopo, è sufficiente sostituire l'URL visualizzato nella pagina Seleziona plug-in da scaricare e installare con il percorso del file di descrizione personalizzato e fare clic su Procedi.
Nota: Se nell'area di scaricamento dei plug-in un messaggio indica che non sono stati rilevati plug-in o il server non è disponibile, è possibile che esista almeno una delle seguenti condizioni: sul sito Novell Downloads non sono disponibili plug-in aggiornati oppure il programma di installazione non è in grado di stabilire una connessione con il sito per eseguire lo scaricamento. Verificare la connessione a Internet.
Dopo aver installato iManager, è possibile modificare l'URL di download dei moduli plug-in modificando <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml. Ad esempio:
File system Windows
<setting>
<name><![CDATA[ModuleDownloadDescriptorURL]]></name>
<value><![CDATA[file:///c:\iManager_plugins\custom.xml]]></value>
</setting>
File system Linux
<setting>
<name><![CDATA[ModuleDownloadDescriptorURL]]></name>
<value><![CDATA[file:///home/admin/iManager_plugins/custom.xml]]></value>
</setting>
Collegamento HTTP
<setting>
<name><![CDATA[ModuleDownloadDescriptorURL]]></name>
Configurazione e personalizzazione di iManager 83
<value><![CDATA[http://192.168.0.136/iManager_plugins/custom.xml]]></value>
</setting>
Importante: Se si utilizza iManager Workstation per accedere a un URL dei plug-in personalizzato utilizzando una connessione SSL (HTTPS), assicurarsi di importare il certificato del server Web di destinazione. In caso contrario, non sarà possibile configurare una connessione sicura.
Notifica e-mailQuesto ruolo consente di selezionare task specifici dei plug-in di cui gli utenti desiderano ricevere notifiche ogni volta che tali task si verificano. I task vengono impostati dal plug-in stesso. È possibile decidere se ricevere o meno una notifica e specificare gli utenti che devono ricevere notifiche relative a eventi selezionati. A tale scopo, è innanzitutto necessario impostare il server di posta.
Suggerimento: a seconda dell'opzione selezionata, è possibile che si riceva un'enorme quantità di messaggi e-mail.
Configurazione del server di posta
La configurazione del server di posta consente di specificare le impostazioni del server SMTP per la notifica degli eventi.
1 Nella vista Configurazione selezionare Notifica e-mail > Configurazione del server di posta.
2 Specificare le impostazioni del server di posta, quindi fare clic su OK.
Indirizzo origine: consente di specificare l'indirizzo visualizzato nel campo Da del messaggio e-mail di iManager.
Server di posta primario: consente di specificare un indirizzo IP o un nome server, ad esempio smtp.novell.com, di un server di posta. È necessario specificare anche il nome utente e la password di iManager per accedere al server SMTP.
Server di posta secondario: consente di specificare un server di posta facoltativo per il backup. Immettere le stesse informazioni specificate per il server di posta primario.
Notifica evento task
I plug-in i cui task sono elencati nei relativi file xml eseguono la registrazione automatica degli eventi task in questa pagina.
1 Nella vista di configurazione selezionare Notifica di e-mail > Notifica evento task.
2 Nel campo Indirizzo di e-mail specificare gli indirizzi di e-mail a cui si desidera ricevere la notifica, separandoli con le virgole.
3 Selezionare un evento
Verrà visualizzata la schermata Proprietà evento task.
4 Specificare il messaggio e-mail e il relativo oggetto nei campi appropriati.
84 Configurazione e personalizzazione di iManager
5 Nel campo Indirizzo e-mail aggiuntivo digitare eventuali indirizzi e-mail aggiuntivi, separati da virgole, cui si desidera inviare una notifica.
6 Selezionare Ignora default e notifica solo a questi indirizzi se si desidera che il messaggio ignori l'elenco di e-mail nel passaggio 2 e consideri solo gli indirizzi di e-mail specificati in questa pagina.
VisteSe questo ruolo non viene visualizzato nell'interfaccia di iManager, probabilmente non si dispone delle autorizzazioni necessarie. Vedere “Utenti e gruppi autorizzati” a pagina 72.
Le viste di iManager sono pagine di gestione a cui è possibile accedere mediante i pulsanti inclusi nel frame dell'intestazione di iManager. Può essere opportuno impedire agli utenti di accedere a determinate viste, quali Visualizza oggetti o Configura.
Per impostazione di default, tutte le viste ereditano le impostazioni dell'insieme superiore.
Visualizzare e nascondere le viste di iManager
1 Nella vista di configurazione selezionareViste > Viste iManager.
2 Selezionare, o individuare mediante il Selettore oggetti, un container per cui si desidera limitare l'accesso alle viste, quindi fare clic su OK.
3 Specificare le impostazioni appropriate per la vista, quindi fare clic su OK.
Sono disponibili le seguenti impostazioni per la vista:
Non impostare: consente di non impostare lo stato della vista in maniera esplicita. È l'impostazione di default.
Nascondi: consente di nascondere la vista.
Mostra: consente di visualizzare la vista.
Selezionare Leggi container superiori dell'oggetto per utilizzare le impostazioni del container superiore dell'oggetto. Quando questa opzione è selezionata, le impostazioni superiori sono prioritarie rispetto a quelle locali dell'oggetto.
Abilitazione e disabilitazione della vista di Identity Manager come vista di default in iManager sui server in cui è installato Identity Manager
Per abilitare le viste di iManager:
1 Interrompere Tomcat.
2 Aprire il file /var/opt/novell/iManager/nps/WEB-INF/config.xml.
3 Aggiungere i dettagli di configurazione seguenti nel file xml:
<setting>
<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>
<value><![CDATA[true]]></value>
</setting>
Configurazione e personalizzazione di iManager 85
4 Avviare Tomcat.
Nota: Per default, "IS_IDM_VIEW_AS_DEFAULT" è impostato su "vero".
Per disabilitare le viste di iManager:
1 Interrompere Tomcat.
2 Aprire il file /var/opt/novell/iManager/nps/WEB-INF/config.xml.
3 Aggiungere i dettagli di configurazione seguenti nel file xml:
<setting>
<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>
<value><![CDATA[false]]></value>
</setting>
4 Avviare Tomcat.
86 Configurazione e personalizzazione di iManager
7 7Preferenze
La vista Preferenze consente di configurare le impostazioni di iManager relative all'aspetto dell'applicazione. Consente di accedere ai seguenti task:
“Gestione Preferiti” a pagina 87
“Selettore oggetti” a pagina 87
“Vista oggetto” a pagina 88
“Imposta vista iniziale” a pagina 88
“Lingua” a pagina 88
Gestione PreferitiConsente di configurare la vista Preferiti in cui viene visualizzato un insieme personalizzato dei task usati più spesso all'interno di una vista speciale.
1 Dalla vista Preferenze selezionare Gestione Preferiti.
2 Selezionare i task desiderati nel campo Task e spostarli nel campo Preferiti.
Per spostare i task, fare doppio clic su di essi oppure selezionarli e utilizzare le icone a freccia.
Selezionare Aggiungi vista iniziale a Preferiti per utilizzare la vista Preferiti come “home page” di iManager.
3 Fare clic su OK.
Selettore oggettiConsente di configurare le impostazioni del Selettore oggetti:
Dimensioni della finestra: specificare la larghezza, l'altezza e la larghezza della colonna sinistra, in pixel, della finestra del Selettore oggetti.
Valori di default specificati dall'utente: specificare le impostazioni di default del Selettore oggetti, incluse
Modalità di avvio: consente di specificare se inizialmente deve essere visualizzata la scheda Sfoglia o la scheda Ricerca.
Risultati per pagina: consente di specificare il numero o i risultati da visualizzare per ogni pagina.
Contesto iniziale: consente di specificare il container di default in cui viene aperto il Selettore oggetti.
Cerca all'avvio: consente di specificare le azioni di ricerca iniziali all'apertura della scheda Ricerca del Selettore oggetti.
Numero oggetti subordinati: consente di abilitare o disabilitare la visualizzazione del numero totale di oggetti accanto a ogni oggetto Container visualizzato nel Selettore oggetti. Quando si seleziona questa opzione, in iManager viene visualizzato il numero di oggetti subordinati (tra parentesi) accanto al nome del container.
Preferenze 87
Nota: Il numero di oggetti subordinati viene calcolato senza tenere in considerazione i diritti assegnati, pertanto gli oggetti effettivamente visualizzati possono differire da quelli specificati.
Vista oggettoConsente di configurare le impostazioni della vista oggetto:
Larghezza colonne: indica la larghezza, in pixel, della colonna della vista Oggetto.
Modalità di avvio: Consente di specificare se inizialmente deve essere visualizzata la scheda Sfoglia, Ricerca o Albero.
Modalità di selezione: consente di specificare la modalità di selezione iniziale dell'oggetto nella vista oggetto: oggetto singolo o più oggetti.
Riquadro di navigazione (lato sinistro): consente di specificare il numero di risultati da visualizzare nel frame di navigazione. Questa impostazione viene applicata a tutte le schede nella vista oggetto. Le impostazioni valide sono comprese tra 1 e 500.
Riquadro contenuto albero (lato destro): consente di specificare il numero di risultati da visualizzare in ogni pagina del frame del contenuto. Questa impostazione viene applicata solo nella scheda Albero della vista oggetto. Le impostazioni valide sono comprese tra 1 e 500.
Contesto di avvio: consente di specificare il container della directory di default in cui viene aperta la vista oggetto. È possibile scegliere di aprirla nell'ultimo container utilizzato oppure sempre nello stesso container.
Cerca all'avvio: consente di specificare le azioni di ricerca iniziali all'apertura della scheda Ricerca della vista oggetto.
Mostra oggetti subordinati: consente di abilitare o disabilitare la visualizzazione del numero totale di oggetti accanto a ogni oggetto Container visualizzato nel Selettore oggetti. Quando si seleziona questa opzione, in iManager viene visualizzato il numero di oggetti subordinati (tra parentesi) accanto al nome del container.
Questa impostazione viene applicata al frame di navigazione nella scheda Albero e alla finestra dei risultati nelle schede Sfoglia e Ricerca della vista oggetto.
Nota: Il numero di oggetti subordinati viene calcolato senza tenere in considerazione i diritti assegnati, pertanto gli oggetti effettivamente visualizzati possono differire da quelli specificati.
Imposta vista inizialeConsente di specificare la vista che viene aperta quando si esegue il primo login a iManager. Se non si effettuano selezioni, la vista Ruoli e task torna alla visualizzazione di default iniziale. La selezione determina la visualizzazione iniziale dopo il login a iManager.
LinguaConsente di specificare la lingua in cui si desidera visualizzare iManager. È necessario selezionare la casella di controllo per impostare la lingua desiderata come lingua di default di iManager. Per rendere permanente l'impostazione della lingua, specificare la lingua di default preferita nel browser.
88 Preferenze
Nota: I plug-in non funzioneranno correttamente se la prima lingua dell'elenco nella relativa impostazione del browser non corrisponde a una delle lingue supportate per iManager.
Per evitare problemi, nel browser in uso fare clic su Tools (Strumenti) > Options (Opzioni) > Languages (Lingue) o sulla analoga procedura per il browser in uso, quindi impostare la preferenza relativa alla prima lingua in base a una delle lingue supportate.
Preferenze 89
8 8Soluzione dei problemi
Questa sezione include alcuni suggerimenti per la risoluzione dei problemi derivanti da prove effettuate su iManager da NetIQ. Verranno fornite soluzioni e suggerimenti per i seguenti problemi:
“Problemi di autenticazione” a pagina 92
“Accesso agli oggetti Server NCP” a pagina 96
“Cancellazione e ricreazione di conti utente con lo stesso nome (Windows XP/2000)” a pagina 97
“Visualizzazione del messaggio di errore DNS 630 durante la creazione di un registro di proprietà che include caratteri non validi nel nome” a pagina 97
“Errori dei task di manutenzione di eDirectory” a pagina 97
“Abilitazione dei messaggi di debug per l'installazione e la configurazione” a pagina 97
“La Cronologia non viene sincronizzata automaticamente tra più login utente simultanei” a pagina 98
“Mancato funzionamento di iManager dopo l'installazione di Groupwise 7.0 WebAccess (Windows Server 2000/2003)” a pagina 98
“Errori relativi ad attributi, oggetti o valori mancanti” a pagina 98
“Ruoli o task mancanti nella vista di configurazione” a pagina 98
“Esecuzione di eDirectory e iManager sullo stesso computer (solo per Windows)” a pagina 99
“Visualizzazione del messaggio “Servizio non disponibile” durante l'installazione di un plug-in” a pagina 100
“Tomcat” a pagina 100
“Errore “Impossibile determinare lo stato di Universal Password”” a pagina 101
“La workstation iManager non visualizza alcuna informazione” a pagina 102
“A volte, il pulsante Aggiorna non funziona” a pagina 102
“iManager Plug-in Installation Hangs or Plug-ins Are Not Properly Installed(L'installazione dei plugin di iManager si interrompe o non viene completata correttamente)” a pagina 103
“Problema con l'esecuzione del login con modifica dell'indirizzo IP dell'albero” a pagina 104
“La dimensione insufficiente della heap Java impedisce l'esecuzione del login” a pagina 104
“I messaggi di errore Java sono visualizzati dopo aver chiuso il browser della workstation iManager” a pagina 105
“iManager e LDAP utilizzano intervalli di date diversi” a pagina 105
“Non è possibile creare un contesto LDAP SSL mentre viene modificato un gruppo dinamico” a pagina 105
“Il plug-in di iManager per eDirectory restituisce un errore se il server LDAP utilizza un certificato rilasciato da un CA di terze parti” a pagina 106
Soluzione dei problemi 91
Problemi di autenticazione L'autenticazione rappresenta un problema complesso. L'infrastruttura di rete esistente può influire sulla possibilità di eseguire correttamente un login iniziale a iManager. Le seguenti informazioni possono aiutare a ridurre al minimo le difficoltà di autenticazione. Per ulteriori informazioni sugli argomenti relativi all'autenticazione, consultare la documentazione di NetIQ NMAS (Modular Authentication Service, servizio di autenticazione modulare) (https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html) e la documentazione di NetIQ eDirectory (https://www.netiq.com/documentation/edir88/).
L'autenticazione di iManager dipende dalla piattaforma e quindi si comporta in maniera diversa in base alla piattaforma su cui viene eseguito iManager.
Server Linux e Windows: quando iManager viene eseguito su un server Linux o Windows vengono utilizzate la tecnica di autenticazione esistente e la password regolare di eDirectory. Questo meccanismo supporta l'opzione Universal Password di eDirectory ma non quella Password semplice.
iManager Workstation: iManager Workstation viene eseguita su una workstation client, Linux o Windows, e utilizza il client NMAS che consente di utilizzare la funzione Universal Password, se configurata.
Per il processo di autenticazione iniziale di iManager non viene utilizzato il protocollo LDAP bensì il protocollo di autenticazione proprietario di eDirectory. Dopo l'autenticazione iniziale a iManager è tuttavia possibile creare connessioni LDAP a eDirectory in base alle esigenze affinché i plug-in installati che necessitano dell'accesso LDAP supportino l'accesso alla directory.
iManager non supporta l'autenticazione con la password semplice di eDirectory.
Quando si effettua l'autenticazione a iManager, possono essere visualizzati i seguenti messaggi di errore. Le cause possibili sono descritte nella sezione di ogni messaggio di errore.
“Errori HTTP 404” a pagina 92
“Errori HTTP 500” a pagina 93
“Messaggi di errore 601” a pagina 93
“Messaggi di errore 622” a pagina 93
“Messaggi di errore 632” a pagina 93
“Messaggi errore 634” a pagina 94
“Messaggi di errore 669” a pagina 94
“Campo Nome albero” a pagina 94
“Login a un server senza una replica” a pagina 95
“Autenticazione non riuscita” a pagina 95
“Informazioni sulle parole d'ordine scadute” a pagina 95
“Login senza contesto mediante classi di oggetti e/o attributi alternativi” a pagina 95
Errori HTTP 404
Se viene restituito un errore 404 la prima volta che si tenta di accedere a iManager, è necessario verificare le porte su cui è in esecuzione Apache. In base alle modalità di installazione di iManager e a seconda che si sia scelto di utilizzare Apache o IIS, le ubicazioni dei file di configurazione variano. Apache utilizza il file httpd.conf o ssl.conf. Per informazioni sulle impostazioni della porta IIS, fare riferimento alla documentazione Microsoft.
92 Soluzione dei problemi
Errori HTTP 500
Se viene restituito un errore interno del server o un errore del container servlet (non disponibile o in fase di upgrade), significa che si è verificato uno dei due seguenti problemi relativi a Tomcat:
Tomcat non è stato inizializzato completamente dopo un riavvio.
Tomcat non è stato avviato.
Attendere alcuni minuti e tentare nuovamente l'accesso a iManager. Se continuano a essere visualizzati gli stessi errori, verificare lo stato di Tomcat.
Verifica dello stato di Tomcat
1 Riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
2 Verificare la presenza di errori nei log di Tomcat.
Nelle piattaforme UNIX, Linux e Windows il file di log è memorizzato nella directory $tomcat_home$/logs. In UNIX e Linux, i log sono normalmente denominati catalina.out o localhost_log.data.txt. In Windows, i log sono denominati stderr e stdout.
Messaggi di errore 601
Nel contesto specificato non è stato possibile trovare il nome dell'oggetto immesso.
Di seguito vengono descritte alcune della possibili cause:
Potrebbe essere disabilitata la funzione di login senza contesto.
L'oggetto Utente potrebbe non essere incluso nell'elenco dei container di ricerca configurati. Chiedere all'amministratore di aggiungere l'ubicazione utente ai container di ricerca per i login senza contesto oppure eseguire il login con un contesto completo.
Messaggi di errore 622
La password NDS è stata disabilitata nelle norme Universal Password. Ciò può anche comportare la visualizzazione di un messaggio di errore 222.
Per evitare questo errore in iManager Workstation, installare il client per consentire a iManager di utilizzare il sistema di autenticazione Universal Password anziché quello esistente di eDirectory.
Messaggi di errore 632
Questo errore corrisponde a un errore del sistema con numerose cause possibili (http://www.novell.com/documentation/nwec/).
Soluzione dei problemi 93
Messaggi errore 634
Nel server di destinazione non è presente una copia di ciò che viene richiesto dal server di origine oppure nel server di origine non sono inclusi oggetti che corrispondano alla richiesta o riferimenti sui quali eseguire la ricerca di un oggetto.
Di seguito vengono descritte alcune della possibili cause:
È stato immesso un albero o un indirizzo IP non corretto. Se si utilizza l'indirizzo IP, assicurarsi di includere la porta se eDirectory è installato su una porta non standard (524).
iManager non è in grado di individuare l'albero o l'indirizzo IP prima del timeout. Se utilizzando il nome dell'albero si ha esito negativo, utilizzare l'indirizzo IP.
Messaggi di errore 669
È stata utilizzata una parola d'ordine non valida, l'autenticazione non è riuscita, un server ha tentato di eseguire la sincronizzazione con un altro ma il database del server di destinazione era bloccato oppure si è verificato un problema con l'ID remoto o la chiave pubblica.
Di seguito vengono descritte alcune della possibili cause:
È stata digitata una parola d'ordine non corretta
Nell'albero sono presenti più utenti con lo stesso nome utente. Tramite la funzione di login senza contesto viene eseguito il tentativo di login utilizzando il primo conto utente rilevato con la parola d'ordine fornita. In questo caso, fornire un contesto completo quando si esegue il login oppure limitare i container di ricerca in cui viene eseguita la ricerca tramite la funzione di login senza contesto.
Campo Nome albero
Se eDirectory è installato e in esecuzione su una porta diversa dalla porta di default 524, è possibile utilizzare l'indirizzo IP o il nome DNS del server di eDirectory per eseguire il login se si specifica anche la porta, ad esempio:
Per un indirizzo IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Per un indirizzo IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Se per eseguire il login si utilizza il nome dell'albero, non è necessario specificare una porta.
I possibili valori per il campo Nome albero sono il nome dell'albero, l'indirizzo IP del server e il nome DNS del server. Per ottenere risultati ottimali, utilizzare l'indirizzo IP.
94 Soluzione dei problemi
Login a un server senza una replica
Se necessario, è possibile eseguire il login da iManager all'albero eDirectory utilizzando un server che non ospita una replica di eDirectory. A questo scopo, iManager gestisce una cache delle connessioni con le informazioni necessarie per il corretto login. Per inserire i valori nella cache delle connessioni, la prima volta che si esegue il login da iManager a un albero eDirectory è necessario accedere a un server che ospiti una replica.
Il riavvio di Tomcat o del server iManager provoca lo svuotamento della cache delle connessioni, quindi la prima volta che si esegue il login da iManager in seguito a uno di questi eventi, è necessario accedere a un server che ospiti una replica.
Autenticazione non riuscita
Gli errori di login si verificano per diversi motivi. I messaggi di errore relativi all'autenticazione vengono trattati in “Problemi di autenticazione” a pagina 92.
Per informazioni su come limitare i messaggi di errore visualizzati in iManager dopo un tentativo di autenticazione non riuscito, vedere“Impedire la rilevazione del nome utente” a pagina 123.
Informazioni sulle parole d'ordine scadute
In caso di scadenza della parola d'ordine, l'utente riceve un messaggio relativo a tale problema. Gli utenti, tuttavia, potrebbero non essere a conoscenza del fatto che i login extra possono esaurirsi rapidamente, a seconda delle operazioni eseguite, ad esempio la modifica di un gruppo dinamico, una ricerca semplice e l'impostazione di una parola d'ordine semplice.
Tali operazioni comportano l'uso di altri login extra ogni volta che un utente esegue un task. È consigliabile invitare gli utenti a modificare le proprie parole d'ordine non appena viene loro richiesto.
Login senza contesto mediante classi di oggetti e/o attributi alternativi
Per abilitare l'autenticazione senza contesto utilizzando un tipo di oggetto alternativo, effettuare le seguenti operazioni:
1 Aprire iManager e selezionare Configura > Server iManager > Configura iManager > Autenticazione.
Se il task non viene visualizzato, significa non si dispone delle autorizzazioni necessarie. Vedere “Utenti e gruppi autorizzati” a pagina 72.
2 Impostare il Nome utente pubblico e la Password dell'utente che dispone dei diritti di lettura sugli attributi desiderati.
3 Modificare <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml in modo da includere una proprietà <Setting> che elenchi gli attributi che si desidera aggiungere alla ricerca senza contesto, quindi riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
Ad esempio, il seguente XML aggiunge gli oggetti Alias e Utente alla ricerca senza contesto:
Soluzione dei problemi 95
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name> <value><![CDATA[User]]></value> <value><![CDATA[Alias]]></value></setting>
Analogamente, il seguente XML consente agli utenti di eseguire il login con l'attributo CN o uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name> <value><![CDATA[CN]]></value> <value><![CDATA[uniqueID]]></value></setting>
Importante:
Nel codice di esempio precedente, sostituire treename con il nome dell'albero di directory appropriato in minuscolo.
Se si salvano eventuali impostazioni del server iManager dal task Configura iManager dopo aver modificato il file config.xml, verificare che il nome dell'albero sia ancora in minuscolo. In caso contrario, il login senza contesto avrà esito negativo.
Accesso agli oggetti Server NCPPer migliorare le prestazioni degli oggetti Server NCP, è necessario disabilitare l'opzione Modify Index Location (Modifica ubicazione indice).
Per disabilitare l'opzione Modify index Location (Modifica ubicazione indice):
1 Aprire il file config.xml da <TOMCAT_HOME>/webapps/nps/WEB-INF/config.xml.
2 Aggiungere il contenuto seguente al file config.xml.
<setting> <name><![CDATA[IndexManagerPlugin_ModifyObjectTask_Disabled]]></name> <value><![CDATA[true]]></value></setting>
3 Salvare le modifiche, quindi riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, consultare “Avvio e interruzione di Tomcat” a pagina 101.
Nota: Per modificare gli indici degli oggetti Server NCP, andare a Ruoli e task > eDirectory Maintenance (Manutenzione eDirectory) > Indici > Oggetto Server NCP > Indici > Modify Index Location (Modifica ubicazione indice).
96 Soluzione dei problemi
Cancellazione e ricreazione di conti utente con lo stesso nome (Windows XP/2000)
Se uno o più conti utente di Windows sono stato cancellati e quindi ricreati con lo stesso nome, effettuare le seguenti operazioni per utilizzare iManager Workstation con un conto ricreato:
1 Eseguire il login come membro del gruppo Administrator.
2 Assumere la proprietà della directory \system32\novell\nici\nomeutente. Il percorso assoluto varia tra Windows 2000 e Windows XP.
3 Cancellare la cartella.
Quando un utente esegue di nuovo il login, questa cartella viene ricreata automaticamente utilizzando le chiavi NICI (Novell International Cryptographic Infrastructure) del account utente ricreato per consentire all'utente di eseguire la workstation iManager.
Visualizzazione del messaggio di errore DNS 630 durante la creazione di un registro di proprietà che include caratteri non validi nel nome
Se si crea un registro delle proprietà con un nome che contiene caratteri speciali non validi, potrebbe essere visualizzato il messaggio Errore DNS 603. Per ulteriori informazioni sulla denominazione di un registro delle proprietà, vedere “Creazione di un nuovo registro delle proprietà” a pagina 61.
Errori dei task di manutenzione di eDirectoryPer l'esecuzione dei task di manutenzione di eDirectory, è necessario che i servizi basati su ruoli (RBS, Role-Based Services) siano configurati tramite iManager per l'albero amministrato. Per informazioni sulla configurazione dei servizi basati su ruoli, vedere il Capitolo 4, “Ricerca di oggetti”, a pagina 23.
Per ulteriori informazioni, consultare The eDirectory Management Toolbox (Strumenti per la gestione di eDirectory) nella NetIQ eDirectory 9.0 Administration Guide (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html) (Guida all'amministrazione di NetIQ eDirectory 9.0).
Abilitazione dei messaggi di debug per l'installazione e la configurazione
Se durante l'installazione si verifica un errore, è necessario abilitare alcuni strumenti di debug per determinare la causa del problema.
Linux: esportare Lax_DEBUG=true nella sessione del terminale da cui si avvia il programma di iManager InstallAnywhere.
Windows: tenere premuto il tasto Ctrl all'avvio del programma iManager InstallAnywhere e continuare a tenerlo premuto finché non viene visualizzata la schermata di debug.
Soluzione dei problemi 97
La Cronologia non viene sincronizzata automaticamente tra più login utente simultanei
L'utilizzo di due istanze dello stesso browser, ad esempio due browser Firefox, ma non Internet Explorer, consente di evitare questo problema. Il registro cronologico verrà condiviso dalle due istanze.
Mancato funzionamento di iManager dopo l'installazione di Groupwise 7.0 WebAccess (Windows Server 2000/2003)
Su Windows 2000 e Windows 2003 Server con IIS 5 o 6, l'installazione di Groupwise 7.0 WebAccess in IIS comporta l'installazione automatica di Tomcat 5.5.
Quando viene avviata l'installazione, il programma di installazione di iManager rileva che IIS e Tomcat sono disponibili per l'utilizzo. Viene segnalata l'impossibilità di interrompere il servizio iisadmin. Quasi al termine dell'installazione, viene inoltre segnalata l'impossibilità di avviare Tomcat.
Al termine dell'installazione, Groupwise WebAccess funziona, ma iManager non funziona (HTTP 404: impossibile trovare la pagina).
Soluzione: non installare iManager e Groupwise sullo stesso server.
Errori relativi ad attributi, oggetti o valori mancantiNel caso di un'installazione di grandi dimensioni con ritardi nella sincronizzazione, è possibile forzare la comunicazione di iManager con la replica master. In questo modo, si ha la certezza di disporre dell'accesso ad attributi, oggetti o valori aggiunti o modificati di recente. Questa impostazione non è consigliata per l'utilizzo standard di iManager, ma può risultare utile nel caso di ritardi nella sincronizzazione.
Per utilizzare questo parametro durante il login a iManager, aggiungere &forceMaster=true alla fine dell'URL dopo avere caricato la pagina di login. È inoltre possibile abilitare questa impostazione in TOMCAT_HOME\webapps\nps\WEB-INF\config.xml . Ad esempio:
Per un indirizzo IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Per un indirizzo IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Dopo avere apportato tutte le modifiche al file config.xml, è necessario riavviare Tomcat. Per ulteriori informazioni sul riavvio di Tomcat, consultare “Avvio e interruzione di Tomcat” a pagina 101.
Ruoli o task mancanti nella vista di configurazioneSe i ruoli e i task seguenti non sono presenti nella vista Configura, è necessario verificare di disporre delle autorizzazioni necessarie. Per ulteriori informazioni, consultare “Utenti e gruppi autorizzati” a pagina 72.
98 Soluzione dei problemi
Possibili ruoli o task mancanti
Task Configura iManager
Ruolo Elenco di creazione degli oggetti
Ruolo Installazione plug-in
Ruolo notifica e-mail
Ruolo Vista
Possibili motivi della mancanza delle autorizzazioni necessarie
È stato rinominato l'albero.
Modificare il file configiman.properties e il nome dell'albero per ogni utente.
Le informazioni immesse durante l'installazione di iManager per l'utente autorizzato sono errate.
Modificare il file configiman.properties e aggiungere il nome utente corretto, senza tralasciare il nome dell'albero.
Il file configiman.properties è danneggiato per cause sconosciute.
Cancellare il file configiman.properties e ricreare il file con le informazioni corrette oppure eseguire il login a iManager e passare alla vista di configurazione > Server iManager > Configura iManager. Nella pagina Sicurezza, aggiungere gli utenti autorizzati per il sistema accedendo all'albero oppure, se si conosce con certezza il percorso completo degli utenti, è possibile immetterli manualmente.
Le autorizzazioni per il file configiman.properties sono state modificate per impedire la lettura del file in iManager.
Modificare i permessi per il file affinché corrispondano ai file inclusi nella stessa directory.
Non si è stati aggiunti come utente autorizzato dall'amministratore.
Richiedere all'amministratore di essere aggiunti all'elenco Utenti autorizzati. Per ulteriori informazioni, consultare “Utenti e gruppi autorizzati” a pagina 72.
Esecuzione di eDirectory e iManager sullo stesso computer (solo per Windows)
Se iManager è stato installato prima di eDirectory, è possibile che venga visualizzato uno dei seguenti messaggi di errore quando si utilizza iManager, LDAP(S) o HTTP(S) per accedere a eDirectory.
-340 error when trying to access encrypted attributes with iManager
LDAP : SSL_CTX_use_KMO failed. Error stack: error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type (err = -1418)
HTTP : 0016 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
HTTP : 0017 TLS operation failed, err: 1, result: -1 -- HTTP : -- error:1406B0BD:SSL routines:GET_CLIENT_MASTER_KEY:no p rivatekey
HTTP : Unable to access server certificate and key, handshakes will fail -- HTTP : -- error:1412D0D4:SSL routines:SSL_CTX_use_KMO:read wrong packet type
Soluzione dei problemi 99
Limber : Error while setting NCP Key Material Name SSL CertificateDNS to server, Err: failed, -340 (0xfffffeac)... Limber : Error During syncKeyMaterialInfo -340 (0xfffffeac)
È possibile che non sia stata eseguita la configurazione iniziale del sistema eDirectory. L'utente che ha installato eDirectory e l'utente che esegue il server eDirectory devono coordinare la configurazione di eDirectory. eDirectory viene normalmente installato come amministratore ed eseguito come SISTEMA. Per correggere manualmente questo errore, è necessario conoscere bene eDirectory, iManager, NICI e gli altri prodotti attualmente installati. È innanzitutto necessario stabilire se è sicuro eseguire i seguenti passaggi. È inoltre necessario controllare nella documentazione o nelle dipendenze del prodotto se vengono utilizzati segreti e dati cifrati a lungo termine.
Se eDirectory e iManager sono installati sullo stesso computer, è possibile configurare manualmente eDirectory dopo averlo installato.
Nota: Non è consigliabile eseguire questa operazione se eDirectory è già stato installato ed eseguito correttamente sul computer attuale.
1 Eseguire il login come amministratore.
2 Interrompere il server eDirectory e il servizio Tomcat.
Interrompere anche tutti gli altri servizi che potrebbero utilizzare NICI.
3 Assumere la proprietà della directory %systemroot%\system32\novell\NICI\SYSTEM.
Per eseguire questa operazione, scegliere Sicurezza > Opzioni avanzate dalle proprietà del file.
4 Salvare il contenuto della directory SYSTEM in una directory di backup.
5 Cancellare il contenuto della directory SYSTEM.
6 Copiare il contenuto di %systemroot%\system32\novell\NICI\Administrator in %systemroot%\system32\novell\NICI\SYSTEM.
7 Reimpostare le autorizzazioni di %systemroot%\system32\novell\NICI\SYSTEM e il relativo contenuto in modo che solo la directory SYSTEM disponga dell'accesso.
8 Riavviare il server NDS, i servizi Tomcat e tutti gli altri servizi che sono stati interrotti.
Visualizzazione del messaggio “Servizio non disponibile” durante l'installazione di un plug-in
Questa situazione si verifica quando si selezionano simultaneamente più plug-in da installare. Durante l'installazione dei plug-in, che richiede alcuni minuti, si verifica il timeout della pagina del browser e viene restituito un errore 503.
Benché probabilmente non sia necessario procedere in alcun modo ma solo attendere, è possibile monitorare le installazioni dei plug-in mediante i file di log Tomcat.
Tomcat Le seguenti informazioni generali su Tomcat possono essere utili per la risoluzione dei problemi.
100 Soluzione dei problemi
Avvio e interruzione di Tomcat
Nelle seguenti tabelle viene illustrato come avviare e interrompere Tomcat sulle piattaforme supportate da iManager
Tabella 8-1 Interruzione e avvio di Tomcat
Porte di Tomcat
In caso di conflitti tra porte durante l'upgrade a iManager o qualora si renda necessario individuare le porte su cui Tomcat è in esecuzione, consultare le informazioni specifiche per le piattaforme incluse in questa sezione.
Linux
Visualizzare le porte di Tomcat nel file /var/opt/novell/tomcat8/conf/server.xml.
La sezione relativa alle porte non SSL del file inizia con Define a non-SSL Coyote HTTP/1.1 Connector on port n, mentre la sezione relativa alle porte SSL inizia con Define an SSL Coyote HTTP/1.1 Connector on port n.
Windows
Windows consente la modifica del percorso per tutti i file. Se si accettano i valori di default dell'installazione di iManager, cercare i file di configurazione di Tomcat nel file rootdir\novell\tomcat8\conf\server.xml.
Se non è possibile trovare un file di configurazione, cercare le impostazioni di Tomcat nel file del Registro di sistema di Windows.
Errore “Impossibile determinare lo stato di Universal Password”
Se un server eDirectory per UNIX è configurato per l'utilizzo di SSL per le comunicazioni LDAP, quando si seleziona l'opzione per l'impostazione di una password semplice in iManager, è possibile che venga ricevuto il seguente errore:
Impossibile determinare lo stato di Universal Password
Per risolvere questo errore, è necessario eseguire l'utility /user/bin/nmasinst/nmasinst sul server eDirectory. che consente di installare metodi di login in eDirectory da un computer UNIX ed è necessaria per l'esecuzione della funzione Universal Password.
Piattaforma Commando per il riavvio
Linux Immettere /etc/init.d/novell-tomcat8 stop, quindi /etc/init.d/novell-tomcat8 start.
iManager Workstation
Chiudere e riavviare iManager Workstation.
Windows Interrompere e avviare il servizio Tomcat.
Soluzione dei problemi 101
Per ulteriori informazioni, consultare il capitolo riguardante NMAS nella eDirectory 9.0 Administration Guide (Guida all'amministrazione di eDirectory 9.0).
La workstation iManager non visualizza alcuna informazione
La workstation iManager potrebbe non visualizzare messaggi di errore e caricare pagine come Vista albero, Oggetto Sfoglia, e Crea oggetti dopo selezionato il pulsante Aggiorna. Questo si verifica quando la cache del browser XULRunner contiene i dati della build precedente della workstation iManager
Soluzione: è necessario svuotare manualmente la cache del browser.
Per Windows:
1 Uscire da iManager.
2 Andare a C:\Utenti\<nome utente>\AppData\<Profilo>\Mozilla\eclipse\Cache (il percorso varia in base alla configurazione e al sistema operativo).
3 Cancellare tutti i dati dalla directory Cache.
4 Riavviare iManager.
Per Linux:
1 Uscire da iManager.
2 Cercare una delle directory seguenti:
/root/.mozilla/eclipse/Cache (per utente root)
/$HOME/.mozilla/eclipse/Cache (per utente non root)
3 Cancellare tutti i dati dalla directory Cache.
4 Riavviare iManager.
A volte, il pulsante Aggiorna non funzionaA volte, in diverse pagine il pulsante Aggiorna non funziona quando viene selezionato.
Risoluzione:
1 Eseguire il logout da iManager.
2 Eliminare la cache del browser.
Per Internet Explorer,
1. Fare clic su Strumenti > Opzioni Internet. Viene visualizzata la finestra di dialogo Opzioni Internet.
2. Nella scheda Generale, in Cronologia esplorazioni, fare clic su Elimina.
Per Firefox,
1. Premere Alt + F > . Selezionare Cronologia, quindi scegliere Clear Recent History (Elimina cronologia recente).
2. Selezionare Cache e fare clic su Clear now (Svuota ora).
3 Eseguire il login a iManager.
102 Soluzione dei problemi
iManager Plug-in Installation Hangs or Plug-ins Are Not Properly Installed(L'installazione dei plugin di iManager si interrompe o non viene completata correttamente)
quando vengono installati i plug-in di iManager, a volte il processo di installazione si interrompe oppure non viene completato correttamente.
Risoluzione
Per un'istanza autonoma di iManager:
1 Eseguire il logout da iManager.
2 Svuotare la cache del browser.
Per Internet Explorer, eseguire la procedura seguente:
1. Fare clic su Strumenti > Opzioni Internet. Viene visualizzata la finestra di dialogo Opzioni Internet.
2. Nella scheda Generale, in Cronologia esplorazioni e fare clic su Elimina.
Per Firefox, eseguire la procedura seguente:
1. Premere Alt + F > > Select History (Seleziona cronologia).
2. Fare clic su Clear Recent History (Elimina cronologia recente).
3. Selezionare Cache e fare clic su Clear now (Svuota ora).
3 Eseguire il login a iManager.
4 Installare nuovamente i plug-in.
Per workstation iManager:
Per Windows:
1. Uscire da iManager.
2. Andare a C:\Utenti\<nome utente>\AppData\<Profilo>\Mozilla\eclipse\Cache (il percorso varia in base alla configurazione e al sistema operativo).
3. Cancellare tutti i dati dalla directory Cache.
4. Riavviare iManager.
Per Linux:
1. Uscire da iManager.
2. Cercare una delle directory seguenti:
/root/.mozilla/eclipse/Cache (per utente root)
/$HOME/.mozilla/eclipse/Cache (per utente non root)
3. Cancellare tutti i dati dalla directory Cache.
4. Riavviare iManager.
Soluzione dei problemi 103
Problema con l'esecuzione del login con modifica dell'indirizzo IP dell'albero
Considerare lo scenario seguente:
1 L'indirizzo IP è <xxx.xx.xx.xx> ed eDirectory è stato configurato su tale indirizzo. Il nome dell'albero è <XXX_TREE>.
2 È presente una cache dei login che mappa <XXX_TREE> a <xxx.xx.xx.xx>.
3 A causa di uno spostamento nella rete, l'utente ha ricevuto un nuovo indirizzo IP <yyy.yy.yy.yy>, su cui è stato configurato eDirectory, mentre il nome dell'albero è rimasto lo stesso, ovvero (<XXX_TRE>).
4 Un altro utente ha ricevuto l'indirizzo IP precedente <xxx.xx.xx.xx> e ha configurato un nuovo albero eDirectory <YYY_TREE>.
Adesso, se si esegue il login a iManager con il nome albero <XXX_TREE>, si accederà a <YYY_TREE> perché <XXX_TREE> è mappato a <xxx.xx.xx.xx>, ma <xxx.xx.xx.xx> è attualmente configurato con <YYY_TREE>.
Risoluzione:
Per Windows,
1. Andare a ...\Programmi\Novell\Tomcat\webapps\nps\WEB-INF\.
2. Aprire il file config.xml.
3. Nel file, cercare le impostazioni Albero-memorizzato nella cache e cancellare il valore Nome albero dell'utente dalle impostazioni.
4. Cancellare l'impostazione che comincia con il nome dell'albero dell'utente.
Per Linux,
1. Andare a /var/opt/novell/iManager/nps/WEB-INF.
2. Aprire il file config.xml.
3. Nel file, cercare le impostazioni Albero-memorizzato nella cache e cancellare il valore Nome albero dell'utente dalle impostazioni.
4. Cancellare l'impostazione che comincia con il nome dell'albero dell'utente.
La dimensione insufficiente della heap Java impedisce l'esecuzione del login
Per aumentare la dimensione della heap Java su un server Linux che esegue Tomcat, arrestare Tomcat e aprire una finestra terminale. Nel terminale, eseguire il comando seguente, quindi riavviare Tomcat:
export CATALINA_OPTS="-Xms128m -Xmx1024m"
Per aumentare la dimensione della heap su un server Windows che esegue Tomcat, arrestare il servizio Tomcat, creare una nuova variabile di ambiente denominata JAVA_OPTS, impostare il valore della variabile su -Xms128m -Xmx1024m, quindi riavviare il servizio.
Per informazioni sull'arresto e l'avvio di Tomcat, consultare “Avvio e interruzione di Tomcat” a pagina 101.
104 Soluzione dei problemi
I messaggi di errore Java sono visualizzati dopo aver chiuso il browser della workstation iManager
Dopo aver eseguito il logout di iManager, quando viene chiuso il browser, viene visualizzato il messaggio di errore java seguente.
#
# An unexpected error has been detected by Java Runtime Environment:
#
# SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872
#
# Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86)
# Problematic frame:
# C [libmozjs.so+0x2944] strftime+0x2944
Risoluzione: ignorare il messaggio di errore e i file hs_err_pid####.log in quanto non influenzano la workstation iManager.
iManager e LDAP utilizzano intervalli di date diversiSe si crea un attributo in iManager utilizzando la sintassi di tempo, si compila il valore dell'attributo e si ricerca il valore con LDAP, LDAP restituisce un valore diverso da quello immesso da iManager.
Sia iManager che LDAP memorizzano nativamente i valori delle date utilizzando i primi 31 bit di un numero intero senza segno a 32 bit. Tuttavia, le due applicazioni interpretano diversamente l'MSB (Most Significant Bit, bit più significativo) del numero intero. Infatti, iManager utilizza l'MSB per memorizzare le date precedenti al 1970 e LDAP utilizza l'MSB per memorizzare le date successive al 2038. Quindi, l'intervallo di date utilizzato da iManager è1903-2038, mentre quello utilizzato da LDAP è 1970-2106.
Non è possibile creare un contesto LDAP SSL mentre viene modificato un gruppo dinamico
Se si configura eDirectory con una porta LDAP non di default, iManager visualizza il messaggio di errore seguente mentre viene modificato un gruppo dinamico nella scheda Dinamico.
Creating Secure SSL LDAP Context Failed
Per risolvere questo problema, aggiungere l'indirizzo IP del server LDAP all'URL LDAP nell'attributo ldapInterfaces mediante l'utility ldapconfig o il plug-in LDAP di iManager.
Soluzione dei problemi 105
Il plug-in di iManager per eDirectory restituisce un errore se il server LDAP utilizza un certificato rilasciato da un CA di terze parti
Per default, l'archivio chiavi Java per iManager dispone solo dei certificati CA dell'albero e non ha certificati CA di terze parti. Vari plug-in, quindi, come Gruppi, NMAS, Policy password non sono in grado di collegarsi a eDirectory su LDAP. Per questo motivo, quando eDirectory utilizza un certificato emesso da una CA di terze parti, vengono visualizzati messaggi di errore.
Per risolvere questo problema, attenersi alla seguente procedura:
Linux:
1. Importare il certificato CA esterna nel file dell'archivio chiavi JRE nell'ubicazione seguente: /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts
Per ulteriori informazioni sull'importazione dei certificati CA esterni, consultare “Certificati LDAP sicuri” a pagina 121.
2. Riavviare il servizio Tomcat.
Windows:
1. Importare il certificato CA esterna nel file dell'archivio chiavi JRE nell'ubicazione seguente: C:\Programmi\Novell\jre\lib\security\cacerts
Per ulteriori informazioni sull'importazione dei certificati CA esterni, consultare “Certificati LDAP sicuri” a pagina 121.
2. Riavviare il servizio Tomcat.
106 Soluzione dei problemi
9 9Revisione di iManager Events
Per effettuare la revisione di iManager Events, utilizzare Novell Audit. Per ulteriori informazioni, consultare la Novell Audit 2.0 Administration Guide (http://www.novell.com/documentation/novellaudit20/index.html) (Guida all'amministrazione di Novell Audit 2.0).
Per Audit sono necessari i seguenti prerequisiti:
Un server (Windows, Linux) nell'albero della directory con Audit.
Agente della piattaforma Novell Audit installato sul server iManager o sul desktop iManager Workstation e configurato per puntare al server di registrazione sicuro.
Audit consente di acquisire dati sui seguenti eventi:
Tabella 9-1 iManager Events
Abilitazione di Novell Auditing in iManagerPer configurare Novell Audit, eseguire la procedura seguente:
1 Installare iManager 3.1.
2 Eseguire il login a iManager e andare a Configura > Server iManager>Configura iManager , quindi selezionare Add Authorized Users (Aggiungi utenti autorizzati).
3 Selezionare Abilita NetIQ Audit e scegliere gli eventi di iManager richiesti da revisionare.
4 Dal pacchetto di installazione di eDirectory 9.1, installare Platform Agent.
ID evento Nome evento Descrizione
150013 È stato aggiunto un utente autorizzato
Un utente autorizzato è stato aggiunto a eDirectory
150004 Login eseguito Il login a eDirectory da iManager è stato completato
150009 Installazione NPM completata
L'installazione NPM è stata completata
150001 Avvia iManager Tomcat è stato avviato
150011 Connessione SSL non riuscita
Una connessione SSL a eDirectory non è stata stabilita
150006 Logout Logout da iManager completato
150012 Configurazione modificata La configurazione è stata modificata
150015 Upload di NPM completato L'upload di NPM è stato completato
150006 Login non riuscito Il login a eDirectory da iManager non è riuscito
150010 Installazione NPM non riuscita
L'installazione NPM non è riuscita
150002 Arresta iManager Tomcat è stato arrestato
Revisione di iManager Events 107
Nota: Se il server dispone già di un utente di nauditpa.jar, eseguire la procedura seguente:
Non modificare il file (ignorare il passaggio 5).
Non modificare la proprietà della cartella naudit.
Aggiungere l'utente novlwww al gruppo idvadmin e creare un .profile per l'utente novlwww con l'impostazione priva di maschera di 0002.
5 Modificare il file logevent in base alla piattaforma in uso.
Linux: eseguire le azioni seguenti:
1. Modificare le voci seguenti nel file /etc/logevent.conf:
LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging
2. (Condizionale) Creare manualmente la cartella naudit nell'ubicazione /var/opt/novell/.
Modificare l'autorizzazione per novlwww della cartella /var/opt/novell/naudit con il comando seguente:
chown -R novlwww:novlwww naudit/
Windows: Modificare le voci seguenti nel file logevent.cfg dall'ubicazione C:\Windows:
LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging
6 In base alla piattaforma in uso, togliere l'impostazione di commento alle voci seguenti nel file imanager_logging.xml:
Linux: Togliere l'impostazione di commento alla voce <appender-ref ref="NAUDIT_APPENDER"/>.
Il file imanager_logging.xml è ubicato nella directory /var/opt/novell/iManager/nps/WEB-INF/.
Windows: Togliere l'impostazione di commento alla voce <appender-ref ref="NAUDIT_APPENDER"/>.
Il file imanager_logging.xml è ubicato nella directory C:\Programmi (x86)\Novell\Tomcat\webapps\nps\WEB-INF\.
Nota: se si utilizza iManager 3.0 SP3 o versioni successive, eseguire le operazioni dal Passo 7 al Passo 9. Se si utilizza qualsiasi versione precedente di iManager, andare al Passo 10.
108 Revisione di iManager Events
7 Creare un certificato utente per iManager mediante eDirectory. Per ulteriori informazioni, consultare Creating User Certificates (Creazione di certificati utente) nella NetIQ eDirectory Administration Guide (Guida all'amministrazione di NetIQ eDirectory).
8 Esportare il certificato in formato .PFX. Per ulteriori informazioni, vedere Importing a Public Key Certificate into a User Object (Importazione di un certificato a chiave pubblica in un oggetto Utente) nella NetIQ eDirectory Administration Guide (Guida all'amministrazione di NetIQ eDirectory).
9 Estrarre la chiave privata nel file imanipkey.pem e il certificato nel file imanicert.pem. Copiare i file del certificato generati (imanicert.peme imanipkey.pem) nelle rispettive cartelle del server di iManager.
Per Windows:
c:\windows\imanicert.pem
c:\windows\imanipkey.pem
Per Linux:
/etc/imanicert.pem
/etc/imanipkey.pem
Utilizzare il comando seguente per estrarre la chiave privata e il certificato:
Per estrarre la chiave privata: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes
Per estrarre il certificato: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem
10 Riavviare Tomcat.
11 Verificare se gli eventi sono registrati nel server di registrazione.
Linux: Arrestare jcache e riavviare Tomcat. Generare gli eventi e controllare il server di registrazione.
Windows: Generare gli eventi e controllare il server di registrazione.
Abilitazione di XDAS Auditing in iManagerPer default, XDAS Audit è incluso in iManager. XDAS Audit consente di acquisire dati sugli eventi seguenti:
È stato aggiunto un utente autorizzato
Login eseguito
Installazione NPM completata
Avvia iManager
Connessione SSL non riuscita
Logout
Configurazione modificata
Upload di NPM completato
Login non riuscito
Installazione NPM non riuscita
Arresta iManager
Revisione di iManager Events 109
Per abilitare XDAS audit per iManager:
1 Eseguire il login a iManager.
2 Fare clic su Configura > Server iManager > Configura iManager.
3 Nella pagina Configura iManager, sulla scheda Sicurezza, selezionare Abilita XDAS Audit.
4 Selezionare gli eventi che si desidera registrare, quindi fare clic su Salva.
Configurazione di XDAS Audit per iManagerTabella 9-2 elenca l'ubicazione di default del file xdasconfig.properties nei vari sistemi operativi. È possibile personalizzare il file in base ai requisiti dell'utente.
Tabella 9-2 Ubicazione del file di configurazione XDAS
Tabella 9-3 elenca i file di configurazione XDAS.
Tabella 9-3 File di configurazione XDAS
Nella tabella seguente viene fornita una spiegazione di ciascuna impostazione presente nel file imanager_logging.xml.
Sistema operativo File
Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml
Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml
Workstation Linux e Windows
<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml
Opzioni Nome
Appender di Syslog syslog
Scorrimento appender del file file_appender
110 Revisione di iManager Events
Tabella 9-4 Impostazioni syslog
Tabella 9-5 Impostazioni appender del file
Per informazioni sui modelli di conversione e la loro descrizione, consultare logging.apache.org.
Per abilitare l'appender di syslog, apportare le modifiche seguenti al file imanager_logging.xml:
1 Modificare le voci seguenti:
<param name="Facility" value="user"/>
<param name="syslogHost" value=" 192.168.1.5:1468 "/
<param name="syslogProtocol" value="tcp"/>
<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>
Impostazione Descrizione
syslogHost Indirizzo IP dell'host in cui è in esecuzione il server di revisione.
syslogProtocol Il protocollo da utilizzare per la comunicazione (UDP/TCP/SSL).
syslogSslKeystoreFile Ubicazione del file dell'archivio chiavi.(Utilizzata solo per SSL).
syslogSslKeystorePassword Password per il file dell'archivio chiavi.(Utilizzata solo per SSL).
Soglia Specifica il livello di log minimo concesso nell'appender di syslog. Attualmente, il livello di log INFO è supportato.
Facility=USER Specifica il tipo di struttura. La struttura è utilizzata per cercare di classificare il messaggio. Attualmente, è supportata la struttura USER. Questi valori devono essere indicati con caratteri in maiuscolo o minuscolo.
Layout Impostazioni di layout per l'appender di syslog.
Impostazione Descrizione
File= ${catalina.home}/logs/imanager.log L'ubicazione di default del file di log per un appender del file
MaxFileSize=10MB La dimensione massima, in MB, del file di log per un appender del file. Impostare questo valore alla dimensione massima consentita dal client.
MaxBackupIndex=10 Specifica il numero massimo di file di backup per un appender del file. Il numero massimo di file di backup può essere 10. Se il valore di MaxBackupIndex è impostato su 0, non verrà creato alcun file di backup.
layout class=org.apache.log4j.PatternLayout Impostazioni di layout per l'appender del file.
ConversionPattern="%t %d %-5p [%c:%M] %m%n” Impostazioni di layout per l'appender del file.
Revisione di iManager Events 111
param name="syslogSslKeystorePassword" value="novell"/>
<param name="Threshold" value="INFO"/>
2 Eseguire il login a iManager e modificare gli eventi di log.
Per abilitare l'appender di syslog, apportare le modifiche seguenti al file imanager_logging.xml:
1 Modificare le voci seguenti:
<param name="File" value="${catalina.home}/logs/imanager.log"/>
<param name="Append" value="true" />
<param name="MaxFileSize" value="10MB" />
<param name="MaxBackupIndex" value="10" />
È possibile personalizzare il valore File in una delle piattaforme seguenti:
Linux: /home/imanager.log
Windows: C:\\<directory>\\imanager.log
2 Selezionare l'evento desiderato da iManager e salvare le modifiche.
Nota: Connessione SSL non riuscita dell'evento XDAS viene registrato più volte in quanto internamente vengono realizzati diversi tentativi di stabilire una connessione LDAP.
Abilitazione di CEF Audit in iManagerCEF (Common Event Format) Audit viene fornito con iManager di default e consente di acquisire dati sui seguenti eventi:
È stato aggiunto un utente autorizzato
Login eseguito
Installazione NPM completata
Avvia iManager
Connessione SSL non riuscita
Logout
Configurazione modificata
Upload di NPM completato
Login non riuscito
Installazione NPM non riuscita
Arresta iManager
Per abilitare CEF Audit per iManager:
1 Eseguire il login a iManager.
2 Fare clic su Configura > Server iManager > Configura iManager.
3 Nella pagina Configura iManager, selezionare Abilita CEF Audit nella scheda Sicurezza.
4 Selezionare gli eventi che si desidera registrare, quindi fare clic su Salva.
112 Revisione di iManager Events
Configurazione di CEF Audit per iManager
Nella Tabella 9-2 è indicata l'ubicazione di default del file auditconfig.properties nei vari sistemi operativi. È possibile personalizzare il file in base ai requisiti dell'utente.
Tabella 9-6 Ubicazione del file di configurazione CEF
Nella Tabella 9-3 sono riportati i file di configurazione CEF.
Tabella 9-7 File di configurazione CEF
Nella tabella seguente viene fornita una spiegazione di ciascuna impostazione presente nel file imanager_logging.xml.
Tabella 9-8 Impostazioni syslog
Sistema operativo File
Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml
Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml
Workstation Linux e Windows
<unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml
Opzioni Nome
Appender di Syslog CEFSyslog
Appender file in sequenza CEF_FILE_APPENDER
Impostazione Descrizione
syslogHost Indirizzo IP dell'host in cui è in esecuzione il server di revisione.
syslogProtocol Il protocollo da utilizzare per la comunicazione (UDP/TCP/SSL).
syslogSslKeystoreFile Ubicazione del file dell'archivio chiavi.(Utilizzata solo per SSL).
syslogSslKeystorePassword Password per il file dell'archivio chiavi.(Utilizzata solo per SSL).
Soglia Specifica il livello di log minimo concesso nell'appender di syslog. Attualmente, il livello di log INFO è supportato.
Facility=USER Specifica il tipo di struttura. La struttura è utilizzata per cercare di classificare il messaggio. Attualmente, è supportata la struttura USER. Questi valori devono essere indicati con caratteri in maiuscolo o minuscolo.
Layout Impostazioni di layout per l'appender di syslog.
Revisione di iManager Events 113
Tabella 9-9 Impostazioni appender del file
Per informazioni sui modelli di conversione e le relative descrizioni, consultare logging.apache.org.
Per abilitare l'appender CEFSyslog, apportare le modifiche seguenti al file imanager_logging.xml:
1 Modificare le voci seguenti:
<param name="Facility" value="user"/>
<param name="syslogHost" value=" 192.168.1.5:1468 "/
<param name="syslogProtocol" value="tcp"/>
<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>
param name="syslogSslKeystorePassword" value="novell"/>
<param name="Threshold" value="INFO"/>
2 Eseguire il login a iManager e modificare gli eventi di log.
Per abilitare l'appender di syslog, apportare le modifiche seguenti al file imanager_logging.xml:
1 Modificare le voci seguenti:
<param name="File" value="${catalina.home}/logs/imanager.log"/>
<param name="Append" value="true" />
<param name="MaxFileSize" value="10MB" />
<param name="MaxBackupIndex" value="10" />
È possibile personalizzare il valore File in una delle piattaforme seguenti:
Linux: /home/imanager_cef.log
Windows: C:\\<directory>\\imanager_cef.log
2 Selezionare l'evento desiderato da iManager e salvare le modifiche.
Nota: l'evento CEF di connessione SSL non riuscita viene registrato più volte in quanto internamente vengono realizzati diversi tentativi di stabilire una connessione LDAP.
Impostazione Descrizione
File= ${catalina.home}/logs/imanager_cef.log L'ubicazione di default del file di log per un appender del file
MaxFileSize=10MB La dimensione massima, in MB, del file di log per un appender del file. Impostare questo valore alla dimensione massima consentita dal client.
MaxBackupIndex=10 Specifica il numero massimo di file di backup per un appender del file. Il numero massimo di file di backup può essere 10. Se il valore di MaxBackupIndex è impostato su 0, non verrà creato alcun file di backup.
layout class=org.apache.log4j.PatternLayout Impostazione di layout per l'appender di file.
ConversionPattern="%d{MMM dd yyyy HH:mm:ss} %m%n”
Impostazione di layout per l'appender di file.
114 Revisione di iManager Events
Configurazione di Audit per iManager con certificati di terze parti
1 Abilitare NAudit in iManager. Per ulteriori informazioni, consultare la “Abilitazione di Novell Auditing in iManager” a pagina 107.
2 Digitare il comando seguente per creare un Certificato dell'applicazione di registrazione per la revisione di iManager Events nel server di revisione:
audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f -bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem
3 Copiare i file del certificato generati (imanicert.peme imanipkey.pem) nelle rispettive cartelle del server di iManager.
Per Windows:
c:\windows\imanicert.pem
c:\windows\imanipkey.pem
Per Linux:
/etc/imanicert.pem
/etc/imanipkey.pem
4 Riavviare Tomcat.
Configurazione di Audit per iManager in modalità strict
1 Creare un certificato utente per iManager mediante eDirectory. Per ulteriori informazioni, consultare Creating User Certificates (Creazione di certificati utente) nella NetIQ eDirectory Administration Guide (Guida all'amministrazione di NetIQ eDirectory).
2 Esportare il certificato in formato .PFX. Per ulteriori informazioni, vedere Importing a Public Key Certificate into a User Object (Importazione di un certificato a chiave pubblica in un oggetto Utente) nella NetIQ eDirectory Administration Guide (Guida all'amministrazione di NetIQ eDirectory).
3 Estrarre la chiave privata nel file imanipkey.pem e il certificato nel file imanicert.pem. Copiare i file del certificato generati (imanicert.peme imanipkey.pem) nelle rispettive cartelle del server di iManager.
Per Windows:
c:\windows\imanicert.pem
c:\windows\imanipkey.pem
Per Linux:
/etc/imanicert.pem
/etc/imanipkey.pem
Utilizzare il comando seguente per estrarre la chiave privata e il certificato:
Per estrarre la chiave privata: openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes
Per estrarre il certificato: openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem
Revisione di iManager Events 115
4 Copiare il certificato della CA (SSCert.pem) del server eDirectory da /var/opt/novell/eDirectory/data e aggiungerlo al file dell'archivio chiavi del connettore di Audit utilizzando il seguente comando:
/keytool -importcert -file SSCert.pem -keystore audit_keystore -alias "eDir-CA"
5 Importare il file audit_keystore nel connettore di Audit che è impostato nella modalità strict nel server Sentinel.
6 Configurare iManager per la revisione e riavviare Tomcat. Per ulteriori informazioni, consultare “Abilitazione di Novell Auditing in iManager” a pagina 107.
116 Revisione di iManager Events
10 10Procedure consigliate e domande comuni
In questa sezione sono inclusi consigli forniti da alcuni esperti sugli argomenti indicati di seguito. Qualora si disponga di consigli o soluzioni efficaci, è possibile condividerli nel sito Cool Solutions (http://www.novell.com/coolsolutions) (in lingua inglese).
“Opzioni di backup e ripristino” a pagina 117
“Coesistenza con versioni precedenti di iManager 2.x e dei servizi basati su ruoli (RBS, Role-Based Services)” a pagina 117
“Raccolte” a pagina 118
“Installazioni non riuscite” a pagina 118
“Ottimizzazione delle prestazioni” a pagina 119
“Profilo AppArmor di iManager” a pagina 120
“Allocazione della memoria addizionale di Tomcat in Windows” a pagina 120
Opzioni di backup e ripristinoiManager non include alcuna funzione di backup e ripristino automatici. iManager è costituito da due componenti: i file locali sul server e gli oggetti dei servizi basati su ruoli (RBS, Role-Based Services) in eDirectory.
Per eseguire un backup completo di iManager, assicurarsi di disporre di una copia di backup valida della raccolta RBS e di tutti gli oggetti subordinati nell'albero tramite ridondanza della replica o con una soluzione di backup di eDirectory.
Tutti i file locali di iManager sul file system vengono memorizzati nella directory di Tomcat. Se si dispone di una copia di backup della directory di Tomcat, tutto il contenuto di iManager viene conservato. Se la directory di Tomcat si rivela poco sicura sul server, l'arresto di Tomcat e una nuova copia della directory consentono di ripristinare iManager. Se non si utilizzano i servizi basati su ruoli, il backup della directory di Tomcat rappresenta l'unica operazione necessaria.
Coesistenza con versioni precedenti di iManager 2.x e dei servizi basati su ruoli (RBS, Role-Based Services)
È necessario aggiornare la raccolta RBS alla versione 2.7. In caso contrario, se si utilizza una versione di iManager precedente a 2.x per accedere a un albero che dispone di una raccolta RBS, non verranno visualizzati tutti i ruoli e i task effettivamente disponibili.
1 Nella vista di configurazione selezionareServizi basati sul ruolo > Configurazione RBS.
2 Fare clic sul collegamento nella colonna Obsoleto per visualizzare un modulo che necessita dell'aggiornamento.
Procedure consigliate e domande comuni 117
3 Nella pagina Moduli obsoleti selezionare un modulo, quindi fare clic su Aggiorna.
Verrà visualizzato in messaggio in cui viene confermata la corretta esecuzione dell'aggiornamento.
I plug-in aggiornati sono visibili in tutte le versioni di iManager 2.x.
Raccolte È importante tenere presente che una stessa configurazione potrebbe non essere adatta per tutte le società. Si consigliano più raccolte in un albero solo se si dispone di una struttura gerarchica e si utilizzano organizzazioni geografiche o funzionali con diversi amministratori in ogni ubicazione. Di seguito vengono descritte le situazioni più comuni, accompagnate dai suggerimenti per la gestione delle rispettive raccolte:
Un albero gerarchico organizzato per riflettere un'organizzazione geografica.
Creare una raccolta in ogni ubicazione geografica e predisporre uno o più server iManager per ubicazione. Il login risulta più rapido e la navigazione nell'albero viene semplificata. Ogni amministratore geografico gestisce la raccolta di un'ubicazione specifica.
Un albero gerarchico che rispecchia la struttura organizzativa dell'azienda.
Creare una raccolta allo stesso livello dell'organizzazione e predisporre uno o più server iManager in base a quanto richiesto dalle dimensioni della società. Viene gestita una sola raccolta.
Un albero semplice in cui tutti gli oggetti sono inclusi in un unico container
Creare una raccolta come elemento affine all'unico container e predisporre uno o più server iManager in base a quanto richiesto dalle dimensioni della società. Viene gestita una sola raccolta.
Installazioni non riuscitePer evitare installazioni non riuscite, verificare che il sistema operativo sia aggiornato alla versione più recente e che vengano rispettati tutti i requisiti di sistema. Per ulteriori informazioni, consultare “Prerequisiti e considerazioni per l'installazione di iManager” nella Guida all'installazione di NetIQ iManager.
Per risolvere un problema provocato da un'installazione non riuscita, esaminare il messaggio di errore generato durante l'installazione.
“Windows” a pagina 118
“Linux” a pagina 119
Windows
1 Se l'errore interessa uno dei seguenti componenti, esaminare gli errori nei file di log specificati:
NICI: directory di installazione\temp\wcniciu0.log
Tomcat: directory di installazione tomcat\Apache_Tomcat_InstallLog.log. Ad esempio C:\Programmi\Novell\Tomcat\Apache_Tomcat_InstallLog.log.
2 Verificare l'eventuale presenza di errori nel file di log dell'installazione di iManager (C:\Programmi\Novell\Tomcat\webapps\nps\WEB-INF\logs\install\iManager_Install_3.1.0_InstallLog.log).
118 Procedure consigliate e domande comuni
3 Se nel file di log non sono disponibili informazioni sufficienti per identificare il problema, eseguire nuovamente l'installazione in modalità debug.
Per visualizzare o catturare l'output del debug di un programma di installazione, aprire e copiare l'output della console in un file di testo per esaminarlo successivamente.
3a Immediatamente dopo avere avviato il programma di installazione, tenere premuto il tasto Ctrl fino a visualizzare la finestra della console.
3b Al termine dell'installazione, fare clic sull'icona nell'angolo superiore sinistro della finestra della console e selezionare Proprietà > Layout.
3c Modificare la dimensione del buffer in 3000, quindi fare clic su OK.
3d Nella finestra Layout selezionare Modifica > Seleziona Tutto > Modifica > Copia.
3e Aprire un editor di testo e incollarvi l'output del debug.
4 Identificare e correggere gli eventuali errori o tracce dello stack, quindi eseguire nuovamente l'installazione.
Linux
1 Verificare l'eventuale presenza di errori nel file di log di installazione di iManager (/var/log/NetIQ/iManager_3.1.0_InstallLog.log).
2 Se nel file di log non sono disponibili informazioni sufficienti per identificare il problema, eseguire nuovamente l'installazione in modalità debug.
Dalla riga di comando digitare il seguente comando:
export LAX_DEBUG=true
3 Identificare e correggere gli eventuali errori o tracce dello stack, quindi eseguire nuovamente l'installazione.
Ottimizzazione delle prestazioniDi seguito vengono forniti alcuni suggerimenti per migliorare la velocità e l'efficienza.
Disabilitazione del supporto per i gruppi dinamici per RBS
Disabilitare il supporto per la funzione Gruppi dinamici per i servizi basati su ruoli se non si utilizza questa funzione. Per default, il supporto per la funzione gruppi dinamici è abilitato e, se utilizzato, richiede una quantità significativa di risorse a causa delle ricerche approfondite che comporta.
1 Nella vista di configurazione selezionareServer iManager > Configura iManager.
2 Selezionare la scheda RBS, quindi deselezionare Abilita gruppi dinamici.
Procedure consigliate e domande comuni 119
Assegnazioni del ruolo
Se sono stati assegnati più di cinque utenti a un ruolo all'interno dello stesso ambito, valutare l'opportunità di utilizzare oggetti Group per ridurre il numero di assegnazioni del ruolo e assicurare un'amministrazione più efficiente dei servizi basati su ruoli. In questo modo, vi sarà un numero minore di oggetti da aggiornare e sarà possibile gestire l'oggetto Gruppo aggiungendo o rimuovendo membri.
Valutare inoltre l'opportunità di utilizzare oggetti Dynamic Group. È possibile impostare oggetti Utente che corrispondano ai criteri di ricerca per un oggetto Dynamic Group.
Profilo AppArmor di iManagerNovell Open Enterprise Server (OES) — Linux include un profilo AppArmor per for iManager. Il nome del profilo è etc.opt.novell.tomcat5.init.d.tomcat5 ed è installato in /etc/apparmor/profiles/extras/iManager.
Il profilo AppArmor di iManager non è abilitato per default. Per abilitare il profilo, copiarlo nella cartella /etc/apparmor.d.
Per ulteriori informazioni su AppArmor e relativi profili, consultare la documentazione di Novell AppArmor (http://www.novell.com/documentation/apparmor/).
Allocazione della memoria addizionale di Tomcat in Windows
1 Andare alla cartella Tomcat/bin (ad esempio, c:\Programmi\Novell\Tomcat\bin)
2 Fare clic con il pulsante destro del mouse sul file tomcat8w.exe.
3 Aprire la finestra Tomcat8 Properties (Proprietà di Tomcat8).
4 Fare clic sulla scheda Java .
5 Specificare le dimensioni iniziali e massime del pool di memoria.
Importante: Assicurarsi che le dimensioni iniziali e massime del pool di memoria specificate siano minori della dimensione fisica della RAM o le prestazioni potrebbero presentare ulteriori problemi.
6 Fare clic su Applica, quindi su OK.
7 Riavviare il servizio Tomcat.
Suggerimento: Per verificare le nuove impostazioni, andare all'URL del server di Tomcat e fare clic su Stato del server.
120 Procedure consigliate e domande comuni
A AProblemi di sicurezza di iManager
Questa sezione include informazioni sui possibili problemi di sicurezza correlati a iManager, nonché informazioni sui seguenti argomenti:
“Certificati LDAP sicuri” a pagina 121
“Certificati firmati da se stessi” a pagina 122
“Utenti e gruppi autorizzati di iManager” a pagina 123
“Impedire la rilevazione del nome utente” a pagina 123
“Impostazioni di Tomcat” a pagina 124
“Attributi cifrati” a pagina 124
“Connessioni sicure” a pagina 124
Certificati LDAP sicuriiManager può creare connessioni LDAP sicure in background senza alcun intervento da parte dell'utente. Se il certificato SSL del server LDAP viene aggiornato per qualsiasi motivo, ad esempio una nuova CA organizzativa, è necessario che in iManager il nuovo certificato venga automaticamente recuperato tramite la connessione autenticata e importato nel database dell'archivio chiavi.
Se l'operazione non viene eseguita correttamente, sarà necessario cancellare l'archivio delle chiavi private utilizzato in iManager per forzare iManager e Tomcat a ricreare il database e acquisire nuovamente il certificato:
1 Chiudere Tomcat.
2 Cancellare il file TOMCAT_HOME\webapps\nps\WEB-INF\iMKS.
3 Riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere “Avvio e interruzione di Tomcat” a pagina 101.
4 Aprire iManager in un browser ed eseguire il login all'albero per riacquisire automaticamente il nuovo certificato e ricreare l'archivio di database.
In alternativa, è anche possibile importare manualmente il certificato necessario nell'archivio chiavi JVM di default di Tomcat utilizzando l'utility di gestione certificati keytool disponibile in JDK. Durante la creazione di connessioni SSL sicure, in iManager viene prima eseguito un tentativo con l'archivio chiavi JVM di default, quindi viene utilizzato il database dell'archivio chiavi specifico di iManager.
Una volta salvato un certificato eDirectory in formato DER, è necessario importare il certificato della fonte attendibile nell'archivio chiavi di iManager. Per questa operazione, è necessario un kit JDK (Java Development Kit) per utilizzare l'utility keytool. Se JRE (Java Runtime Evironment) è stato installato con iManager, è necessario scaricare un kit JDK per utilizzare l'utility keytool.
Problemi di sicurezza di iManager 121
Nota: Per informazioni sulla creazione di un file di certificato .der, consultare la sezione "Exporting a Trusted Root or Public Key Certificate" (Esportazione di un certificato della radice di fiducia o a chiave pubblica). È consigliabile esportare il certificato della radice di fiducia.
1 Aprire una finestra di comando.
2 Spostarsi nella directory \bin in cui è installato il kit JDK.
3 Importare il certificato nell'archivio chiavi con l'utilità keytool, eseguendo i seguenti comandi (specifici della piattaforma):
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
Sostituire nome_alias con un nome univoco per il certificato e accertarsi di includere il percorso completo nei file trustedrootcert.der e cacerts.
L'ultimo percorso nel comando indica l'ubicazione dell'archivio di chiavi. Il percorso varia a seconda del sistema, in quanto dipende dalla directory in cui è installato iManager. Vengono mostrate di seguito le ubicazioni di default di iManager su Windows e Linux:
In Windows: C:\Programmi\Novell\jre\lib\security\cacerts
In Linux: /<JAVA_HOME>/jre/lib/security/cacerts
4 Immettere changeit come parola d'ordine dell'archivio chiavi.
5 Fare clic su Sì per confermare l'attendibilità del certificato.
Nota: È necessario ripetere questo processo per ogni albero eDirectory a cui si accede con iManager. Se il servizio LDAP è configurato per utilizzare un certificato non firmato dalla CA organizzativa dell'albero, è necessario importare la radice di fiducia del certificato. Questa operazione è necessaria se ad esempio il servizio LDAP è configurato per utilizzare un certificato firmato con VeriSign*.
Certificati firmati da se stessiiManager include un certificato temporaneo e firmato da se stessi, utilizzato quando si installa iManager in una piattaforma Linux o Windows. Il periodo di validità è di un anno. Per ulteriori informazioni, consultare “Prerequisiti e considerazioni per l'installazione di iManager” nella Guida all'installazione di NetIQ iManager.
122 Problemi di sicurezza di iManager
Utenti e gruppi autorizzati di iManagerGli utenti e i gruppi autorizzati sono quelli a cui iManager consente di eseguire i vari task amministrativi. Per ulteriori informazioni sulla definizione e la configurazione di utenti e gruppi autorizzati, consultare “Utenti e gruppi autorizzati” a pagina 72.
I dati degli utenti e dei gruppi autorizzati vengono memorizzati nel file configiman.properties che deve essere protetto per evitare modifiche non autorizzate. A questo scopo, modificare il controllo degli accessi del file configiman.properties in modo da consentirne la modifica manuale solo agli utenti autorizzati.
Nota: Se non si specifica alcun utente o gruppo autorizzato, ovvero si impedisce la creazione del file configiman.properties, oppure se si definisce un utente o un gruppo autorizzato per AllUsers, tutti gli utenti possono installare i plug-in di iManager e modificare le impostazioni del server corrispondente. Ciò rappresenta un rischio per la sicurezza negli ambienti di iManager basati su server.
Impedire la rilevazione del nome utenteIn alcune installazioni il server eDirectory è protetto da un firewall ma il server di iManager è aperto al mondo esterno per consentire la gestione da casa e in viaggio. L'accesso a iManager è controllato dai campi Nome utente , Password e Nome albero della schermata di login. In questi tipi di installazione è spesso preferibile rafforzare la sicurezza per evitare di rivelare informazioni sul sistema.
Nelle configurazioni standard di iManager vengono ignorati i messaggi di eDirectory relativi a nomi utente e password non validi durante l'autenticazione di iManager. Questi messaggi possono fornire inavvertitamente troppe informazioni a potenziali utenti malintenzionati. Per evitare che ciò si verifichi, in iManager è disponibile una specifica opzione di configurazione che consente di nascondere la causa specifica dell'errore di login. Quando questa opzione è abilitata, i seguenti messaggi di errore vengono sostituiti da un messaggio del tipo: Errore di login. Nome utente o password non validi.
Nome utente non valido (-601)
Password non corretta (-669)
Password scaduta o conto disabilitato (-220)
Per abilitare questa impostazione, aprire la vista Configura e selezionare Server iManager > Configura iManager. Nella scheda Autenticazione selezionare Nascondi motivo specifico di errore login. Verrà impostato Authenticate.Form.HideLoginFailReason=true nel file config.xml di iManager.
iManager non supporta inoltre l'asterisco (*) come carattere jolly nel campo Nome utente. In questo modo gli utenti non autorizzati non potranno rilevare i nomi utente validi e verranno inoltre impediti possibili attacchi Denial of Service che tentano di sovraccaricare il server eDirectory mediante continui tentativi di login utilizzando solo il carattere jolly (*), il quale forza una ricerca in eDirectory restituendo tutti i nomi utente corrispondenti.
Problemi di sicurezza di iManager 123
Impostazioni di TomcatPoiché iManager utilizza il container servlet Tomcat, gli amministratori di iManager devono conoscere le opzioni di configurazione relative alla cifratura delle risorse come parte della strategia di sicurezza complessiva. È particolarmente importante conoscere le suite di cifratura e i certificati di fiducia che influenzano direttamente la qualità della cifratura a livello di rete. Durante la configurazione dell'ambiente Tomcat tenere in considerazione le seguenti regole:
Non utilizzare le suite di cifratura SSL 2.0 perché sono obsolete e non garantiscono la sicurezza.
Non utilizzare la suite di cifratura NULL in un ambiente di produzione.
Non utilizzare alcuna suite di cifratura classificata come di qualità BASSA o ESPORTAZIONE, perché meno sicura.
Controllare regolarmente l'elenco dei certificati di fiducia e limitare l'elenco delle autorità di certificazione accettate includendo solo quelle attualmente utilizzate.
Ulteriori informazioni su Tomcat sono disponibili sul sito Web della documentazione di Apache Tomcat (http://tomcat.apache.org/tomcat-8.0-doc/).
Attributi cifratiiManager è in grado di leggere in condizioni di sicurezza gli attributi cifrati di eDirectory ma non di modificarli o cancellarli a causa del modo in cui viene stabilito se un attributo è cifrato. Poiché ciò può comportare una certa esposizione dei dati a livello di rete, per ridurre i rischi è possibile adottare le normali procedure di sicurezza della rete, ad esempio:
Individuazione di tutti i server iManager protetti dal firewall;
Individuazione dei server iManager che risiedono fisicamente accanto ai relativi server eDirectory associati;
Protezione fisica dei server iManager ed eDirectory;
Necessità per gli amministratori remoti di utilizzare una rete VPN per accedere ai server iManager ed eDirectory.
Connessioni sicureBenché iManager utilizzi connessioni HTTP (SSL) sicure per le comunicazioni client e connessioni LDAP tra i server iManager ed eDirectory, non utilizza, fatta eccezione per la lettura degli attributi cifrati, le connessioni NCP sicure per le comunicazioni tra i server iManager ed eDirectory.
Questo vale anche per le connessioni NCP utilizzate da Mobile iManager. Poiché ciò può comportare una certa esposizione dei dati a livello di rete, per ridurre i rischi è possibile adottare le normali procedure di sicurezza della rete, ad esempio:
Individuazione di tutti i server iManager protetti dal firewall;
Individuazione dei server iManager che risiedono fisicamente accanto ai relativi server eDirectory associati;
Protezione fisica dei server iManager ed eDirectory;
Necessità per gli amministratori remoti di utilizzare una rete VPN per accedere ai server iManager e eDirectory.
124 Problemi di sicurezza di iManager
Nota: Il processo di autenticazione di iManager prevede sempre la cifratura e la protezione delle password, a prescindere dalla cifratura utilizzata a livello di rete.
Problemi di sicurezza di iManager 125
B
Moduli NPM (NetIQ Plug-in Module) installati 127
BModuli NPM (NetIQ Plug-in Module) installati
iManager viene fornito con i seguenti ruoli inclusi nel plug-in base.npm. Eventuali moduli aggiuntivi dovranno essere scaricati separatamente.
Amministrazione della directory
Partizioni e repliche
Assistenza
Schema
Diritti
Utenti
Gruppi
Per individuare e scaricare in modo ottimale i plug-in di iManager è consigliabile andare alla pagina Moduli NPM (NetIQ Plug-in Module) disponibili all'interno di iManager. In alternativa, è possibile effettuare il download dei plug-in dal sito Web NetIQ Download (https://dl.netiq.com/index.jsp). Nei criteri di ricerca selezionare il prodotto iManager.
Inoltre, talvolta NetIQ rilascia aggiornamenti dei plug-in di iManager. Gli aggiornamenti sono disponibili sul sito dei download dei plug-in di NetIQ iManager (https://www.netiq.com/support/imanager/plugins/).
I plug-in base di iManager sono disponibili solo come parte del download complessivo di iManager. Se non esistono aggiornamenti specifici per questi plug-in, è possibile effettuarne il download e installarli solo con il prodotto iManager completo.
Per ulteriori informazioni sul download dei plug-in di iManager, consultare “Informazioni sull'installazione dei plug-in di iManager” nella Guida all'installazione di NetIQ iManager.
Nota: Per impostazione di default, i moduli NPM non vengono replicati tra i server iManager. NetIQ consiglia di installare i moduli NPM desiderati su ciascun server di iManager.
![Z[PJH - Yamaha Corporation · $oorvfrsrglrwwhqhuhlopdvvlprgdoohdydq]dwhfdudwwhulvwlfkhhsuhvwd ]lrqliruqlwhgdoodfklwduud vlsuhjdglohjjhuhtxhvwrpdqxdohfrqdwwhq ]lrqhsulpdglxvduhorvwuxphqwr](https://static.fdocumenti.com/doc/165x107/5c7f767309d3f2ea298b6aad/zpjh-yamaha-corporation-oorvfrsrglrwwhqhuhlopdvvlprgdoohdydqdwhfdudwwhulvwlfkhhsuhvwd.jpg)
