Freigeben über

Konfigurieren der Authentifizierung mit der Webkonsole

  • Artikel

Konfigurieren der SSL-Verschlüsselung

Die folgenden Schritte sind erforderlich, um die SSL-Verschlüsselung (Secure Sockets Layer) zu konfigurieren, nachdem der Operations Manager-Webserver auf einem Internetinformationsdienste (IIS) 7.0 und höher installiert wurde. Bevor Sie diese Schritte ausführen, sollten Sie zunächst den Artikel Konfigurieren von Secure Sockets Layer in IIS 7 lesen und IIS zur Aktivierung von SSL für den Webserver konfigurieren, der die Webkonsole hostet.

Hinweis

Beim Erstellen des Zertifikats müssen Sie den vollqualifizierten Domänennamen (FQDN) des Host- und Domänennamens im Feld "Gemeinsamer Name " angeben, um den Adressbenutzern zu entsprechen, die in ihren Webbrowser eingeben würden, um auf die Webkonsole zuzugreifen.

Wichtig

Wenn beim Versuch, auf die Webkonsole zuzugreifen, Probleme mit Authentifizierungsaufforderungen auftreten, sollten Sie überprüfen, ob die URL des vollqualifizierten Domänennamens (FQDN) in Internet Explorer unter Systemsteuerng ->Internetoptionen ->Security-Registerkarte ->Lokale Intranet-Sites ->Sites ->Fortgeschritten. enthalten ist.

  1. Stellen Sie sicher, dass die SSL-Zertifikate auf dem Verwaltungsserver installiert und konfiguriert sind.

  2. Fügen Sie eine HTTPS-Bindung auf der IIS-Website hinzu, wo immer die Operations Manager-Webkonsole installiert ist.

  3. Setzen Sie nach Abschluss der vorstehenden Schritte die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Hinweis

Aktivieren Sie das SSL-Kontrollkästchen im Installationsprogramm nur, wenn Sie eine HTTPS-Bindung für die Webkonsole verwenden. Weitere Informationen finden Sie unter Einrichten von SSL unter IIS 7.

  1. Verwenden Sie einen Nur-Text-Editor, um die Web.config in <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHostzu öffnen.

  2. Ändern Sie im <services> Stammelement Folgendes im <!– Logon Service –>Element:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. Ändern Sie im <services> Stammelement Folgendes im <!– Data Access service –> Element:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Speichern und schließen Sie die Datei, wenn Sie fertig sind.

  5. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "regedit" ein, und wählen Sie "OK" aus.

  6. Doppelklicken Sie unterhalb von HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ auf den Eintrag HTTP_GET_ENABLED, und ändern Sie seinen Wert in false. Doppelklicken Sie auf den Wert BINDING_CONFIGURATION , und ändern Sie den Wert in "DefaultHttpsBinding".

  7. Setzen Sie nach Abschluss der vorstehenden Schritte die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Konfigurieren der FIPS-Compliance

Führen Sie die folgenden Schritte für die Operations Manager-Webkonsolenserverkomponente aus, um Algorithmen zu verwenden, die den Federal Information Processing Standards (FIPS) entsprechen. Das Aktivieren der FIPS-Compliance für System Center – Operations Manager erfordert, dass die zugrunde liegende Infrastruktur (Serverbetriebssystem, Active Directory usw.) auch FIPS-kompatibel ist.

Installieren der Kryptografie-DLL

  1. Verwenden Sie auf dem System, das die Webkonsole hosten, die Option "Als Administrator ausführen", um ein Eingabeaufforderungsfenster zu öffnen.
  2. Ändern Sie Verzeichnisse in das SupportTools-Verzeichnis Ihrer Installationsmedien, und ändern Sie dann das Verzeichnis in AMD64.
  3. Führen Sie den folgenden Gacutil-Befehl aus: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Bearbeiten der Machine.config-Dateien

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei machine.config im Verzeichnis %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG zu öffnen.

  2. Wenn der folgende Inhalt nicht innerhalb des <Configuration> Stammelements vorhanden ist, fügen Sie folgendes hinzu:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Wiederholen Sie den vorherigen Schritt für die folgenden Dateien:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Bearbeiten der Datei "web.config" im Ordner "WebHost"

  1. Verwenden Sie einen Nur-Text-Editor, um die Datei "web.config" in <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. Fügen Sie im <Verschlüsselungselement> das folgende Element hinzu, wenn es nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>

  3. <connection autoSignIn="true" autoSignOutInterval="30"> Fügen Sie im Element im <session> Tag das folgende Attribut hinzu, wenn es nicht vorhanden ist: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Ändern Sie das folgende Element, indem Sie den Wert von "true" in "false" ändern: <serviceMetadata httpGetEnabled="false"/>

  5. Ändern Sie die folgenden beiden Elemente, indem Sie ihre Werte von "DefaultHttpBinding " in "DefaultHttpsBinding" ändern:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Speichern und schließen Sie die Datei.

Bearbeiten der Datei "web.config" im Ordner "MonitoringView"

  1. Verwenden Sie einen Nur-Text-Editor, um die Datei "web.config" in <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. Fügen Sie im <encryption> Element das folgende Element hinzu, wenn es nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>.

  3. <connection> Fügen Sie im Element <connection autoSignIn="true" autoSignOutInterval="30"> im Element im <session> Tag das folgende Attribut hinzu, wenn es nicht vorhanden ist: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Fügen Sie im <system.web> Element das folgende Element hinzu, wenn es nicht vorhanden ist:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Speichern und schließen Sie die Datei.

Konfigurieren der Anmeldesitzung

Hinweis

Die Webkonsole verwendet standardmäßig die Windows-Authentifizierung, sofern verfügbar, um sich bei der Website anzumelden. Das Standardmäßige Sitzungstimeoutintervall für die Webkonsole beträgt 1 Tag, und dies ist der Maximalwert.

  1. Verwenden Sie zum Bearbeiten des Werts einen Nur-Text-Editor, um die Datei "web.config" zu <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboardöffnen.
  2. Ändern Sie im <appSettings> Stammelement den folgenden Sitzungstimeoutwert in Minuten. 
       <add key="SessionTimeout" value="1440"/>
  3. Setzen Sie nach Abschluss der vorstehenden Schritte die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Nächste Schritte