Udostępnij za pośrednictwem

Konfigurowanie uwierzytelniania za pomocą konsoli sieci Web

  • Artykuł

Konfigurowanie szyfrowania SSL

Poniższe kroki są niezbędne do skonfigurowania szyfrowania Secure Sockets Layer (SSL) po zainstalowaniu serwera konsoli sieci Web programu Operations Manager na serwerze sieci Web usług Internet Information Services (IIS) 7.0 i nowszych. Przed wykonaniem tych kroków należy najpierw zapoznać się z tematem Konfigurowanie protokołu Secure Sockets Layer w usługach IIS 7 i skonfigurować usługi IIS w celu włączenia protokołu SSL dla serwera internetowego obsługującego konsolę sieci Web.

Uwaga

Podczas tworzenia certyfikatu należy podać w pełni kwalifikowaną nazwę domeny (FQDN) hosta i nazwy domeny w polu Nazwa pospolita, aby dopasować adres, który użytkownicy wprowadzają w przeglądarce internetowej, aby uzyskać dostęp do konsoli sieci Web.

Ważne

Jeśli podczas próby uzyskania dostępu do konsoli sieci Web występują problemy z monitami uwierzytelniania, sprawdź, czy adres URL w pełni kwalifikowanej nazwy domeny (FQDN) znajduje się w Panel sterowania -Opcje internetowe ->>Karta Zabezpieczenia ->Lokalne witryny intranetowe ->>Zaawansowane.

  1. Upewnij się, że certyfikaty SSL są zainstalowane i skonfigurowane na serwerze zarządzania.

  2. Dodaj powiązanie https w witrynie sieci Web usług IIS, gdzie jest zainstalowana konsola sieci Web programu Operations Manager.

  3. Po wykonaniu powyższych kroków zresetuj witrynę sieci Web hostująca konsolę sieci Web programu Operations Manager.

Uwaga

Włącz pole wyboru SSL w instalatorze działa tylko wtedy, gdy używasz powiązania https dla konsoli sieci Web. Aby uzyskać więcej informacji, zobacz How to set up SSL on IIS 7 (Jak skonfigurować protokół SSL w usługach IIS 7).

  1. Użyj edytora zwykłego tekstu, aby otworzyć plik web.config w pliku <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost.

  2. W elemecie głównym zmodyfikuj <services> następujące elementy w elemecie <!– Logon Service –>:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. W elemecie głównym zmodyfikuj <services> następujące elementy w elemecie <!– Data Access service –> :

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Zapisz i zamknij plik po zakończeniu.

  5. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit, a następnie wybierz przycisk OK.

  6. W obszarze HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\, kliknij dwukrotnie wartość HTTP_GET_ENABLED i zmień jego wartość na false. Kliknij dwukrotnie wartość BINDING_CONFIGURATION i zmień jej wartość na DefaultHttpsBinding.

  7. Po wykonaniu powyższych kroków zresetuj witrynę sieci Web hostująca konsolę sieci Web programu Operations Manager.

Konfigurowanie zgodności ze standardem FIPS

Wykonaj następujące kroki, aby składnik serwera konsoli sieci Web programu Operations Manager używał algorytmów zgodnych ze standardami Federal Information Processing Standards (FIPS). Włączenie zgodności ze standardem FIPS dla programu System Center — Operations Manager wymaga, aby używana podstawowa infrastruktura (system operacyjny serwera, usługa Active Directory itp.), również była zgodna ze standardem FIPS.

Instalowanie biblioteki DLL kryptograficznej

  1. W systemie hostowania konsoli sieci Web użyj opcji Uruchom jako administrator, aby otworzyć okno wiersza polecenia.
  2. Zmień katalogi na katalog SupportTools nośnika instalacyjnego, a następnie zmień katalog na AMD64.
  3. Uruchom następujące polecenie gacutil : gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Edytowanie plików machine.config

  1. Użyj edytora zwykłego tekstu, aby otworzyć plik machine.config w folderze %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Jeśli następująca zawartość nie istnieje w elemecie <Configuration> głównym, dodaj w następujący sposób:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Zapisz i zamknij plik po zakończeniu.

Powtórz poprzedni krok w następujących plikach:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Edytowanie pliku web.config w folderze WebHost

  1. Użyj edytora zwykłego tekstu, aby otworzyć plik web.config w pliku <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. W elemecie <szyfrowania> dodaj następujący element, jeśli nie istnieje: <symmetricAlgorithm iv="SHA256"/>

  3. W elemecie <connection autoSignIn="true" autoSignOutInterval="30"> w tagu <session> dodaj następujący atrybut, jeśli nie istnieje: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Zmodyfikuj następujący element, zmieniając jego wartość z true na false: <serviceMetadata httpGetEnabled="false"/>

  5. Zmodyfikuj następujące dwa elementy, zmieniając ich wartości z DefaultHttpBinding na DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Zapisz i zamknij plik.

Edytowanie pliku web.config w folderze MonitoringView

  1. Użyj edytora zwykłego tekstu, aby otworzyć plik web.config w pliku <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. W elemecie <encryption> dodaj następujący element, jeśli nie istnieje: <symmetricAlgorithm iv="SHA256"/>.

  3. W elemecie <connection> w elemecie w tagu <connection autoSignIn="true" autoSignOutInterval="30"> <session> dodaj następujący atrybut, jeśli nie istnieje: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. W elemecie <system.web> dodaj następujący element, jeśli nie istnieje:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Zapisz i zamknij plik.

Konfigurowanie sesji logowania

Uwaga

Konsola sieci Web domyślnie używa uwierzytelniania systemu Windows, jeśli jest dostępna do logowania się do witryny internetowej. Domyślny interwał limitu czasu sesji dla konsoli sieci Web wynosi 1 dzień i jest to wartość maksymalna.

  1. Aby edytować wartość, użyj edytora zwykłego tekstu, aby otworzyć plik web.config w pliku <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. W elemecie głównym zmodyfikuj <appSettings> następującą wartość limitu czasu sesji w minutach. 
       <add key="SessionTimeout" value="1440"/>
  3. Po wykonaniu powyższych kroków zresetuj witrynę sieci Web hostująca konsolę sieci Web programu Operations Manager.

Następne kroki