Freigeben über

Konfigurieren der Authentifizierung mit der Webkonsole

  • Artikel

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

Konfigurieren der SSL-Verschlüsselung

Die folgenden Schritte sind erforderlich, um die SSL-Verschlüsselung (Secure Sockets Layer) zu konfigurieren, nachdem der Operations Manager-Webkonsolenserver auf einem Webserver mit IIS 7.0 oder höher installiert wurde. Bevor Sie diese Schritte ausführen, sollten Sie zunächst den Artikel Konfigurieren von Secure Sockets Layer in IIS 7 lesen und IIS zur Aktivierung von SSL für den Webserver konfigurieren, der die Webkonsole hostet.

Hinweis

Wenn Sie das Zertifikat erstellen, müssen Sie den vollqualifizierten Domänennamen (FQDN) für den Host und die Domäne im Feld Allgemeiner Name angeben, um die Adresse festzulegen, die Benutzer in ihrem Webbrowser für den Zugriff auf die Webkonsole eingeben.

Wichtig

Wenn beim Versuch, auf die Webkonsole zuzugreifen, Probleme mit Authentifizierungsaufforderungen auftreten, sollten Sie überprüfen, ob die URL des vollqualifizierten Domänennamens (FQDN) in Internet Explorer unter Systemsteuerng ->Internetoptionen ->Security-Registerkarte ->Lokale Intranet-Sites ->Sites ->Fortgeschritten. enthalten ist.

  1. Stellen Sie sicher, dass die SSL-Zertifikate auf dem Verwaltungsserver installiert und konfiguriert sind.

  2. Fügen Sie eine HTTPS-Bindung auf der IIS-Website hinzu, unabhängig davon, wo die Operations Manager-Webkonsole installiert ist.

  3. Setzen Sie nach Ausführung der oben genannten Schritte die Website zurück, in der die Operations Manager-Webkonsole gehostet wird.

Hinweis

Das Kontrollkästchen SSL aktivieren im Installationsprogramm funktioniert nur, wenn Sie eine HTTPS-Bindung für die Webkonsole verwenden. Weitere Informationen finden Sie unter Einrichten von SSL in IIS 7.

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei web.config in zu öffnen.

  2. Ändern Sie im <services>-Stammelement den Inhalt des <!– Logon Service –>-Elements folgendermaßen:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. Ändern Sie im <services>-Stammelement den Inhalt des <!– Data Access service –>-Elements folgendermaßen:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Speichern und schließen Sie die Datei, nachdem Sie die Änderungen durchgeführt haben.

  5. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regedit ein, und wählen Sie OK aus.

  6. Doppelklicken Sie unterhalb von HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ auf den Eintrag HTTP_GET_ENABLED, und ändern Sie seinen Wert in false. Doppelklicken Sie auf den Eintrag BINDING_CONFIGURATION, und ändern Sie seinen Wert in DefaultHttpsBinding.

  7. Setzen Sie nach Ausführung der oben genannten Schritte die Website zurück, in der die Operations Manager-Webkonsole gehostet wird.

Konfigurieren der FIPS-Konformität

Führen Sie folgende Schritte aus, damit die Komponente des Operations Manager-Berichtserver Algorithmen verwendet, die mit FIPS (Federal Information Processing Standards) kompatibel sind. Um die Konformität mit FIPS für System Center – Operations Manager zu aktivieren, muss die zugrunde liegende Infrastruktur (Serverbetriebssystem, Active Directory usw.) ebenfalls mit FIPS konform sein.

So installieren Sie die Kryptografie-DLL

  1. Verwenden Sie auf dem System, das die Webkonsole hostet, die Option „Als Administrator ausführen“ aus, um ein Eingabeaufforderungsfenster zu öffnen.
  2. Wechseln Sie zum Verzeichnis „SupportTools“ auf Ihrem Installationsmedium, und wechseln Sie dann zum Verzeichnis AMD64.
  3. Führen Sie den folgenden gacutil-Befehl aus: .

So bearbeiten Sie machine.config-Dateien

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei machine.config im Verzeichnis %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG zu öffnen.

  2. Wenn der folgende Inhalt nicht innerhalb des <Configuration> Stammelements vorhanden ist, fügen Sie wie folgt hinzu:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Speichern und schließen Sie die Datei, nachdem Sie die Änderungen durchgeführt haben.

Wiederholen Sie die vorherigen Schritte für die folgenden Dateien:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

So bearbeiten Sie die Datei „web.config“ im WebHost-Ordner

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei „web.config“ in <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config zu öffnen.

  2. Fügen Sie im <Verschlüsselungselement> das folgende Element hinzu, wenn es nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>

  3. Fügen Sie im <connection autoSignIn="true" autoSignOutInterval="30"> -Element im <session> -Tag das folgende Attribut hinzu, wenn es nicht vorhanden ist: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Ändern Sie das folgende Element, indem Sie seinen Wert von „true“ in „false“ ändern: <serviceMetadata httpGetEnabled="false"/>

  5. Ändern Sie die folgenden zwei Elemente, indem Sie ihre Werte von DefaultHttpBinding in DefaultHttpsBinding ändern:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Speichern und schließen Sie die Datei.

So bearbeiten Sie die Datei „web.config“ im Ordner „MonitoringView“

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei „web.config“ in <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config zu öffnen.

  2. Fügen Sie im <encryption> -Element das folgende Element hinzu, wenn es nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>.

  3. Fügen Sie im <connection> -Element <connection autoSignIn="true" autoSignOutInterval="30"> im -Element im <session> -Tag das folgende Attribut hinzu, wenn es nicht vorhanden ist: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Fügen Sie im <system.web> -Element das folgende Element hinzu, wenn es nicht vorhanden ist:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Speichern und schließen Sie die Datei.

Konfigurieren der Anmeldesitzung

Hinweis

Die Webkonsole verwendet standardmäßig die Windows-Authentifizierung, sofern für die Anmeldung bei der Website verfügbar. Das Standardintervall des Sitzungstimeouts für die Webkonsole beträgt 1 Tag, und dies ist gleichzeitig der Höchstwert.

  1. Um den Wert zu bearbeiten, verwenden Sie einen einfachen Text-Editor, um die Datei „web.config“ in <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard zu öffnen.
  2. Ändern Sie im <appSettings> Stammelement den folgenden Sitzungstimeoutwert in Minuten. 
       <add key="SessionTimeout" value="1440"/>
  3. Setzen Sie nach Ausführung der oben genannten Schritte die Website zurück, in der die Operations Manager-Webkonsole gehostet wird.

Nächste Schritte