Поделиться через

Настройка проверки подлинности с помощью веб-консоли

  • Статья

Настройка SSL-шифрования

Следующие действия необходимы для настройки шифрования протокола SSL после установки сервера веб-консоли Operations Manager на веб-сервере службы IIS (IIS) 7.0 и более поздних версий. Прежде чем выполнять эти действия, ознакомьтесь со статьей Настройка SSL в IIS 7 и настройте службы IIS, чтобы включить SSL для веб-сервера, на котором размещается веб-консоль.

Примечание.

При создании сертификата необходимо указать полное доменное имя (FQDN) узла и доменного имени в поле "Общее имя ", чтобы соответствовать адресам, которые пользователи введите в веб-браузере, чтобы получить доступ к веб-консоли.

Внимание

Если при попытке доступа к веб-консоли возникают проблемы с запросами проверки подлинности, убедитесь, что URL-адрес полного доменного имени (FQDN) добавлен в зону местной интрасети (Панель управления >>Свойства браузера >>вкладка "Безопасность" >>Местная интрасеть >>Сайты ->Дополнительно).

  1. Убедитесь, что SSL-сертификаты установлены и настроены на сервере управления.

  2. Добавьте привязку https на веб-сайте IIS, где установлена веб-консоль Operations Manager.

  3. Выполнив описанные выше действия, сбросьте веб-сайт, на котором размещена веб-консоль Operations Manager.

Примечание.

Установите флажок SSL в установщике, только если вы используете привязку https для веб-консоли. Дополнительные сведения см. в статье "Настройка SSL в IIS 7".

  1. Используйте обычный текстовый редактор, чтобы открыть веб.config в <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost.

  2. В корневом элементе измените следующее <services> в элементе <!– Logon Service –>:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. В корневом элементе измените следующее <services> в элементе <!– Data Access service –> :

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Сохраните и закройте файл после завершения.

  5. Нажмите кнопку "Пуск", выберите "Запустить", введите regedit и нажмите кнопку "ОК".

  6. В разделе HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole дважды щелкните HTTP_GET_ENABLED и измените его значение на false. Дважды щелкните значение BINDING_CONFIGURATION и измените его значение на DefaultHttpsBinding.

  7. Выполнив описанные выше действия, сбросьте веб-сайт, на котором размещена веб-консоль Operations Manager.

Настройка соответствия FIPS

Выполните следующие действия, чтобы компонент сервера веб-консоли Operations Manager использовал алгоритмы, соответствующие федеральным стандартам обработки информации (FIPS). Включение соответствия FIPS для System Center Operations Manager требует, чтобы используемая базовая инфраструктура (ОС сервера, Active Directory и т. д.) также соответствовала требованиям FIPS.

Установка библиотеки DLL шифрования

  1. В системе, в которой размещена веб-консоль, используйте параметр запуска от имени администратора, чтобы открыть окно командной строки.
  2. Измените каталоги на каталог SupportTools установочного носителя, а затем измените каталог на AMD64.
  3. Выполните следующую команду gacutil: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll

Изменение файлов machine.config

  1. Используйте редактор обычного текста для открытия файла machine.config в папке %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Если в корневом элементе нет следующего содержимого <Configuration> , добавьте следующее:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Сохраните и закройте файл после завершения.

Повторите предыдущий шаг в следующих файлах:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Изменение файла web.config в папке WebHost

  1. Откройте файл web.config с <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.configпомощью обычного текстового редактора.

  2. <В элементе шифрования> добавьте следующий элемент, если он не существует:<symmetricAlgorithm iv="SHA256"/>

  3. В элементе <connection autoSignIn="true" autoSignOutInterval="30"> в <session> теге добавьте следующий атрибут, если он не существует: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Измените следующий элемент, изменив значение true на false: <serviceMetadata httpGetEnabled="false"/>

  5. Измените следующие два элемента, изменив значения из DefaultHttpBinding на DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Сохранить и закрыть файл.

Изменение файла web.config в папке MonitoringView

  1. Откройте файл web.config с <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.configпомощью обычного текстового редактора.

  2. В элементе <encryption> добавьте следующий элемент, если он не существует: <symmetricAlgorithm iv="SHA256"/>

  3. В элементе <connection> <connection autoSignIn="true" autoSignOutInterval="30"> в теге <session> добавьте следующий атрибут, если он не существует: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. В элементе <system.web> добавьте следующий элемент, если он не существует:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Сохранить и закрыть файл.

Настройка сеанса входа

Примечание.

Веб-консоль использует проверку подлинности Windows по умолчанию, если она доступна для входа на веб-сайт. Интервал времени ожидания сеанса по умолчанию для веб-консоли составляет 1 день, и это максимальное значение.

  1. Чтобы изменить значение, используйте обычный текстовый редактор, чтобы открыть файл web.config в <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. В корневом элементе измените следующее значение времени ожидания сеанса <appSettings> в минутах. 
       <add key="SessionTimeout" value="1440"/>
  3. Выполнив описанные выше действия, сбросьте веб-сайт, на котором размещена веб-консоль Operations Manager.

Следующие шаги