Partager via

Configurer l’authentification avec la console Web

  • Article

Configurer le chiffrement SSL

Les étapes suivantes sont nécessaires pour configurer le chiffrement SSL (Secure Sockets Layer) une fois que le serveur de console web Operations Manager a été installé sur un serveur Web IIS (Internet Information Services) 7.0 et un serveur web supérieur. Avant d’effectuer ces étapes, vous devez d’abord consulter l’article Configuration de SSL dans IIS 7 et configurer IIS pour activer SSL sur le serveur web hébergeant la console web.

Remarque

Lors de la création du certificat, vous devez fournir le nom de domaine complet (FQDN) de l’hôte et du nom de domaine dans le champ Nom commun pour correspondre à l’adresse que les utilisateurs entrent dans leur navigateur web pour accéder à la console Web.

Important

Si vous rencontrez des problèmes avec les invites d’authentification quand vous tentez d’accéder à la console Web, vérifiez que l’URL de nom de domaine complet est incluse dans Panneau de contrôle ->Options Internet ->Onglet Sécurité ->Sites intranet locaux ->Sites ->Avancé.

  1. Vérifiez que les certificats SSL sont installés et configurés sur le serveur d’administration.

  2. Ajoutez une liaison https dans le site web IIS où la console web Operations Manager est installée.

  3. Après avoir effectué les étapes ci-dessus, réinitialisez le site Web hébergeant la console web Operations Manager.

Remarque

Activer la case à cocher SSL dans le programme d’installation fonctionne uniquement si vous utilisez une liaison https pour la console web. Pour plus d’informations, consultez Comment configurer SSL sur IIS 7.

  1. Utilisez un éditeur de texte brut pour ouvrir le fichier web.config dans <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost.

  2. Dans l’élément <services> racine, modifiez ce qui suit dans l’élément <!– Logon Service –>:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. Dans l’élément <services> racine, modifiez ce qui suit dans l’élément <!– Data Access service –> :

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Enregistrez et fermez le fichier une fois terminé.

  5. Sélectionnez Démarrer, sélectionner Exécuter, taper regedit, puis OK.

  6. Sous HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\, double-cliquez sur la valeur HTTP_GET_ENABLED et remplacez-la par false. Double-cliquez sur la valeur BINDING_CONFIGURATION et remplacez sa valeur par DefaultHttpsBinding.

  7. Après avoir effectué les étapes ci-dessus, réinitialisez le site Web hébergeant la console web Operations Manager.

Configurer la conformité FIPS

Suivez ces étapes pour que le composant serveur de console web Operations Manager utilise des algorithmes conformes aux normes fiPS (Federal Information Processing Standards). L’activation de la conformité FIPS pour System Center - Operations Manager nécessite que l’infrastructure sous-jacente utilisée (système d’exploitation serveur, Active Directory, etc.) soit également conforme à FIPS.

Installer la DLL de chiffrement

  1. Sur le système hébergeant la console Web, utilisez l’option Exécuter en tant qu’administrateur pour ouvrir une fenêtre d’invite de commandes.
  2. Remplacez les répertoires par le répertoire SupportTools de votre support d’installation, puis remplacez le répertoire par AMD64.
  3. Exécutez la commande gacutil suivante : gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Modifier les fichiers machine.config

  1. Utilisez un éditeur de texte brut pour ouvrir le fichier machine.config dans %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Si le contenu suivant n’existe pas dans l’élément <Configuration> racine, ajoutez ce qui suit :

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Enregistrez et fermez le fichier une fois terminé.

Répétez l’étape précédente sur les fichiers suivants :

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Modifier le fichier web.config dans le dossier WebHost

  1. Utilisez un éditeur de texte brut pour ouvrir le fichier web.config dans <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. Dans l’élément <de chiffrement> , ajoutez l’élément suivant s’il n’existe pas : <symmetricAlgorithm iv="SHA256"/>

  3. Dans l’élément, dans la <connection autoSignIn="true" autoSignOutInterval="30"> <session> balise, ajoutez l’attribut suivant s’il n’existe pas : tokenAlgorithm="SHA256 »

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Modifiez l’élément suivant en remplaçant sa valeur par true par false : <serviceMetadata httpGetEnabled="false"/>

  5. Modifiez les deux éléments suivants en modifiant leurs valeurs de DefaultHttpBinding en DefaultHttpsBinding :

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Enregistrez le fichier et fermez-le.

Modifier le fichier web.config dans le dossier MonitoringView

  1. Utilisez un éditeur de texte brut pour ouvrir le fichier web.config dans <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. Dans l’élément <encryption> , ajoutez l’élément suivant s’il n’existe pas : <symmetricAlgorithm iv="SHA256"/>.

  3. Dans l’élément <connection> , dans l’élément, dans la <connection autoSignIn="true" autoSignOutInterval="30"> <session> balise, ajoutez l’attribut suivant s’il n’existe pas : tokenAlgorithm="SHA256 »

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Dans l’élément <system.web> , ajoutez l’élément suivant s’il n’existe pas :

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Enregistrez le fichier et fermez-le.

Configurer la session de connexion

Remarque

La console web utilise l’authentification Windows par défaut, si elle est disponible pour se connecter au site web. L’intervalle de délai d’expiration de session par défaut pour la console web est de 1 jour et il s’agit de la valeur maximale.

  1. Pour modifier la valeur, utilisez un éditeur de texte brut pour ouvrir le fichier web.config dans <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. Dans l’élément <appSettings> racine, modifiez la valeur de délai d’expiration de session suivante en minutes. 
       <add key="SessionTimeout" value="1440"/>
  3. Après avoir effectué les étapes ci-dessus, réinitialisez le site Web hébergeant la console web Operations Manager.

Étapes suivantes