Sdílet prostřednictvím

Konfigurace ověřování pomocí webové konzoly

  • Článek

Konfigurace šifrování SSL

Následující kroky jsou nezbytné ke konfiguraci šifrování SSL (Secure Sockets Layer) po instalaci serveru webové konzoly Operations Manageru na webovém serveru Internetová informační služba (IIS) 7.0 a vyšší. Před provedením těchto kroků byste nejprve měli zkontrolovat konfiguraci protokolu Secure Sockets Layer ve službě IIS 7 a nakonfigurovat službu IIS tak, aby povoluje protokol SSL pro webový server, který je hostitelem webové konzoly.

Poznámka:

Při vytváření certifikátu je nutné zadat plně kvalifikovaný název domény hostitele a názvu domény do pole Běžný název , aby uživatelé zadali do webového prohlížeče pro přístup k webové konzole.

Důležité

Pokud při pokusu o přístup k webové konzole dochází k problémům s výzvami k ověření, zkontrolujte, jestli je v Ovládací panely -Možnosti internetu ->Karta Zabezpečení ->Místní intranetové servery -Sites ->>Advanced zahrnutá plně kvalifikovaná adresa URL názvu domény (FQDN).>

  1. Ujistěte se, že jsou na serveru pro správu nainstalované a nakonfigurované certifikáty SSL.

  2. Na webu služby IIS přidejte vazbu https, kdykoli je nainstalovaná webová konzola nástroje Operations Manager.

  3. Po dokončení výše uvedených kroků resetujte web, který je hostitelem webové konzoly nástroje Operations Manager.

Poznámka:

Zaškrtávací políčko Povolit SSL v instalačním programu funguje jenom v případě, že pro webovou konzolu používáte vazbu https. Další informace naleznete v tématu Jak nastavit PROTOKOL SSL ve službě IIS 7.

  1. Pomocí editoru prostého textu otevřete soubor web.config v <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHostsouboru .

  2. V kořenovém elementu <services> upravte v elementu <!– Logon Service –>následující:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. V kořenovém elementu <services> upravte v elementu <!– Data Access service –> následující:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Po dokončení soubor uložte a zavřete.

  5. Vyberte Start, vyberte Spustit, zadejte regedit a vyberte OK.

  6. V části HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\, poklikejte na hodnotu HTTP_GET_ENABLED a změňte její hodnotu na false. Poklikejte na hodnotu BINDING_CONFIGURATION a změňte její hodnotu na DefaultHttpsBinding.

  7. Po dokončení výše uvedených kroků resetujte web, který je hostitelem webové konzoly nástroje Operations Manager.

Konfigurace dodržování předpisů FIPS

Pro komponentu serveru webové konzoly Nástroje Operations Manager použijte algoritmy, které jsou kompatibilní se standardem FIPS (Federal Information Processing Standards). Povolení dodržování předpisů STANDARDEM FIPS pro System Center – Operations Manager vyžaduje, aby základní infrastruktura používaná (operační systém serveru, Active Directory atd.) byla také kompatibilní se standardem FIPS.

Instalace kryptografické knihovny DLL

  1. V systému, který je hostitelem webové konzoly, otevřete okno příkazového řádku pomocí možnosti Spustit jako správce.
  2. Přejděte do adresáře SupportTools instalačního média a pak změňte adresář na AMD64.
  3. Spusťte následující příkaz gacutil : gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Úprava souborů machine.config

  1. Pomocí editoru prostého textu otevřete soubor machine.config v %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Pokud v kořenovém elementu <Configuration> neexistuje následující obsah, přidejte následující:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Po dokončení soubor uložte a zavřete.

Opakujte předchozí krok u následujících souborů:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Úprava souboru web.config ve složce WebHost

  1. Pomocí editoru prostého textu otevřete soubor web.config v <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.configsouboru .

  2. V elementu <šifrování> přidejte následující prvek, pokud neexistuje: <symmetricAlgorithm iv="SHA256"/>

  3. <connection autoSignIn="true" autoSignOutInterval="30"> V elementu <session> přidejte do značky následující atribut, pokud neexistuje: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Upravte následující prvek změnou jeho hodnoty z true na false: <serviceMetadata httpGetEnabled="false"/>

  5. Změňte následující dva prvky změnou hodnot z DefaultHttpBinding na DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Soubor uložte a zavřete.

Úprava souboru web.config ve složce MonitoringView

  1. Pomocí editoru prostého textu otevřete soubor web.config v <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.configsouboru .

  2. Do elementu <encryption> přidejte následující prvek, pokud neexistuje: <symmetricAlgorithm iv="SHA256"/>.

  3. <connection> V elementu v elementu <connection autoSignIn="true" autoSignOutInterval="30"> <session> přidejte do značky následující atribut, pokud neexistuje: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. V elementu <system.web> přidejte následující prvek, pokud neexistuje:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Soubor uložte a zavřete.

Konfigurace přihlašovací relace

Poznámka:

Webová konzola ve výchozím nastavení používá ověřování systému Windows, pokud je k dispozici pro přihlášení k webu. Výchozí interval časového limitu relace pro webovou konzolu je 1 den a jedná se o maximální hodnotu.

  1. Chcete-li upravit hodnotu, pomocí editoru prostého textu otevřete web.config v <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboardsouboru .
  2. V kořenovém elementu <appSettings> upravte následující hodnotu časového limitu relace v minutách. 
       <add key="SessionTimeout" value="1440"/>
  3. Po dokončení výše uvedených kroků resetujte web, který je hostitelem webové konzoly nástroje Operations Manager.

Další kroky