Настройка проверки подлинности с помощью веб-консоли

  • Статья

Важно!

Поддержка этой версии Operations Manager завершена. Рекомендуется выполнить обновление до Operations Manager 2022.

Настройка шифрования SSL

Чтобы настроить шифрование Secure Sockets Layer (SSL) после установки сервера веб-консоли Operations Manager на веб-сервере IIS 7.0 и более поздней версии, необходимо выполнить следующие действия. Прежде чем выполнять эти действия, ознакомьтесь со статьей Настройка SSL в IIS 7 и настройте службы IIS, чтобы включить SSL для веб-сервера, на котором размещается веб-консоль.

Примечание

При создании сертификата в поле Общее имя необходимо указать полное доменное имя узла и имя домена для сопоставления адреса, который пользователи будут вводить в веб-браузере для доступа к веб-консоли.

Важно!

Если при попытке доступа к веб-консоли возникают проблемы с запросами проверки подлинности, убедитесь, что URL-адрес полного доменного имени (FQDN) добавлен в зону местной интрасети (Панель управления >>Свойства браузера >>вкладка "Безопасность" >>Местная интрасеть >>Сайты ->Дополнительно).

  1. Убедитесь, что SSL-сертификаты установлены и настроены на сервере управления.

  2. Добавьте привязку HTTPS на веб-сайт IIS, где бы ни была установлена веб-консоль Operations Manager.

  3. Выполнив эти действия, сбросьте веб-сайт, на котором размещается веб-консоль Operations Manager.

Примечание

Включить проверка SSL в установщике работает, только если вы используете привязку HTTPS для веб-консоли. См. сведения о настройке SSL в IIS 7.

  1. Используйте редактор обычного текста для открытия файла web.config в .

  2. В корневом элементе <services> измените следующие данные в элементе <!– Logon Service –>:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. В корневом элементе <services> измените следующие данные в элементе <!– Data Access service –>:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. После этого сохраните и закройте файл.

  5. Нажмите кнопку Пуск, выберите Выполнить, введите regedit и нажмите кнопку ОК.

  6. В разделе HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole дважды щелкните HTTP_GET_ENABLED и измените его значение на false. Дважды щелкните параметр BINDING_CONFIGURATION и измените его значение на DefaultHttpsBinding.

  7. Выполнив эти действия, сбросьте веб-сайт, на котором размещается веб-консоль Operations Manager.

Настройка соответствия FIPS

Чтобы компонент сервера веб-консоли Operations Manager использовал алгоритмы, совместимые с Федеральным стандартом обработки информации (FIPS), выполните описанные ниже действия. Для включения соответствия FIPS для System Center Operations Manager необходимо, чтобы базовая инфраструктура (операционная система сервера, Active Directory и т. д.) также соответствовала стандарту FIPS.

Установка DLL-библиотеки криптографии

  1. В системе, где размещается веб-консоль, выполните запуск от имени администратора, чтобы открыть окно командной строки.
  2. Измените каталоги на каталог SupportTools установочного носителя, а затем измените каталог на AMD64.
  3. Выполните следующую команду gacutil: .

Внесение изменений в файлы machine.config

  1. Используйте редактор обычного текста для открытия файла machine.config в папке %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Если в корневом элементе не существует следующего содержимого <Configuration> , добавьте следующее:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. После этого сохраните и закройте файл.

Повторите предыдущую процедуру для следующих файлов:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Внесение изменений в файла web.config в папке WebHost

  1. Используйте редактор обычного текста для открытия файла web.config в <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. В элементе <encryption> добавьте следующий элемент, если он не существует: <symmetricAlgorithm iv="SHA256"/>

  3. В элементе <connection autoSignIn="true" autoSignOutInterval="30"> в теге <session> добавьте следующий атрибут, если он не существует: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Измените значение следующего элемента с true на false: <serviceMetadata httpGetEnabled="false"/>

  5. Преобразуйте следующие два элемента, изменив их значения с DefaultHttpBinding на DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Сохраните и закройте файл.

Внесение изменений в файла web.config в папке MonitoringView

  1. Используйте редактор обычного текста для открытия файла web.config в <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. В элементе <encryption> добавьте следующий элемент, если он не существует: <symmetricAlgorithm iv="SHA256"/>.

  3. <connection> В элементе В элементе <connection autoSignIn="true" autoSignOutInterval="30"> в теге <session> добавьте следующий атрибут, если он не существует: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. В элементе <system.web> добавьте следующий элемент, если он не существует:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Сохраните файл и закройте его.

Настройка сеанса входа

Примечание

Веб-консоль использует проверку подлинности Windows по умолчанию, если она доступна для входа на веб-сайт. Интервал времени ожидания сеанса по умолчанию для веб-консоли составляет 1 день (это максимальное значение).

  1. Чтобы изменить это значение, используйте редактор обычного текста для открытия файла web.config в <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. В корневом элементе <appSettings> измените следующее значение времени ожидания сеанса в минутах. 
       <add key="SessionTimeout" value="1440"/>
  3. Выполнив эти действия, сбросьте веб-сайт, на котором размещается веб-консоль Operations Manager.

Дальнейшие шаги