Web コンソールを使用して認証を構成する
SSL 暗号化を構成する
Operations Manager Web コンソール サーバーが インターネット インフォメーション サービス (IIS) 7.0 以降の Web サーバーにインストールされた後、Secure Sockets Layer (SSL) 暗号化を構成するには、次の手順が必要です。 次の手順を実行する前に、まず「IIS 7 で Secure Sockets Layer を構成する」を確認し、Web コンソールをホストする Web サーバーに対して SSL を有効にするように IIS を構成する必要があります。
Note
証明書を作成するときは、ユーザーが Web コンソールにアクセスするために Web ブラウザーで入力するアドレスと一致するように、ホスト名とドメイン名の完全修飾ドメイン名 (FQDN) を Common name フィールドに指定する必要があります。
重要
Web コンソールにアクセスしようとすると認証プロンプトで問題が発生する場合は、[コントロール パネル] ->[インターネット オプション] ->[セキュリティ] タブ ->[ローカル イントラネット] サイト ->[サイト] ->[詳細設定] に完全修飾ドメイン名 (FQDN) の URL が含まれていることを確認します。
SSL 証明書が管理サーバーにインストールおよび構成されていることを確認します。
Operations Manager Web コンソールがインストールされている場所であれば、IIS Web サイトに https バインドを追加します。
上記の手順を完了したら、Operations Manager Web コンソールをホストしている Web サイトをリセットします。
Note
インストーラーの [SSL を有効にする] チェック ボックスは、Web コンソールに https バインドを使用している場合にのみ機能します。 詳細については、「 IIS 7 で SSL を設定する方法を参照してください。
プレーン テキスト エディターを使用して、
<PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost
で web.config を開きます。<services>
ルート要素で、<!– Logon Service –>
element で次の内容を変更します。<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>
<services>
ルート要素で、<!– Data Access service –>
要素の次の内容を変更します。<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>
完了したら、ファイルを保存して閉じます。
Startを選択し、Runを選択し、「regedit」と入力して、OK を選択します。
HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ にある値 HTTP_GET_ENABLED をダブルクリックし、その値を false に変更します。 BINDING_CONFIGURATION値をダブルクリックし、その値を DefaultHttpsBinding に変更します。
上記の手順を完了したら、Operations Manager Web コンソールをホストしている Web サイトをリセットします。
FIPS コンプライアンスの構成
連邦情報処理標準 (FIPS) に準拠しているアルゴリズムを使用するには、Operations Manager Web コンソール サーバー コンポーネントの次の手順に従います。 System Center - Operations Manager で FIPS コンプライアンスを有効にするには、基になるインフラストラクチャ (サーバー OS、Active Directory など) も FIPS に準拠している必要があります。
暗号化 DLL をインストールする
- Web コンソールをホストしているシステムで、[管理者として実行] オプションを使用してコマンド プロンプト ウィンドウを開きます。
- インストール メディアの SupportTools ディレクトリにディレクトリを変更し、ディレクトリを AMD64 に変更します。
- 次の gacutil コマンドを実行します:
gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll
。
machine.config ファイルを編集する
プレーン テキスト エディターを使用して、%WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\ の machine.config ファイルを開きます。
<Configuration>
ルート要素内に次のコンテンツが存在しない場合は、次のように追加します。<mscorlib> <cryptographySettings> <cryptoNameMapping> <cryptoClasses> <cryptoClass SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/> <cryptoClass HMACSHA256CSP ="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </cryptoClasses> <nameEntry name="SHA256" class="SHA256CSP"/> <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/> </cryptoNameMapping> </cryptographySettings> </mscorlib>
完了したら、ファイルを保存して閉じます。
次のファイルに対して前の手順を繰り返します。
- %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
- %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
WebHost フォルダー内の web.config ファイルを編集する
プレーン テキスト エディターを使用して、
<Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config
で web.config ファイルを開きます。<encryption> 要素に、次の要素が存在しない場合は追加します。
<symmetricAlgorithm iv="SHA256"/>
<connection autoSignIn="true" autoSignOutInterval="30">
要素で、<session>
タグに次の属性が存在しない場合は追加します。tokenAlgorithm="SHA256"<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">
値を true から false に変更して、次の要素を変更します。
<serviceMetadata httpGetEnabled="false"/>
値を DefaultHttpBinding から DefaultHttpsBinding に変更して、次の 2 つの要素を変更します。
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/> <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>
ファイルを保存して閉じます。
MonitoringView フォルダーの web.config ファイルを編集する
プレーン テキスト エディターを使用して、
<PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config
で web.config ファイルを開きます。<encryption>
要素で、存在しない場合は次の要素を追加します:<symmetricAlgorithm iv="SHA256"/>
。<connection>
要素の<connection autoSignIn="true" autoSignOutInterval="30">
要素で、<session>
タグに次の属性が存在しない場合は追加します:tokenAlgorithm="SHA256"<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">
<system.web>
要素に、次の要素が存在しない場合は追加します。<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>
ファイルを保存して閉じます。
サインイン セッションを構成する
Note
Web コンソールは、Web サイトへのサインインに使用できる場合、既定で Windows 認証を使用します。 Web コンソールの既定のセッション タイムアウト間隔は 1 日であり、これが最大値です。
- 値を編集するには、プレーン テキスト エディターを使用して、
<PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard
で web.config を開きます。 <appSettings>
ルート要素で、次のセッション タイムアウト値を分単位で変更します。<add key="SessionTimeout" value="1440"/>
- 上記の手順を完了したら、Operations Manager Web コンソールをホストしている Web サイトをリセットします。
次のステップ
- レポート サーバーの FIPS コンプライアンスを構成するには、「レポート サーバーの認証 構成する」を参照してください。