通过

使用 Web 控制台配置身份验证

  • 项目

配置 SSL 加密

在 Internet Information Services 7.0 和更高 Web 服务器上安装 Operations Manager Web 控制台服务器后,必须执行以下步骤来配置安全套接字层(SSL)加密。 在执行这些步骤之前,应首先查看在 IIS 7 中配置安全套接字层并配置 IIS 以针对托管 Web 控制台的 Web 服务器启用 SSL。

注意

创建证书时,必须在“公用名”字段中提供主机和域名的完全限定域名(FQDN),以匹配用户在 Web 浏览器中输入的地址以访问 Web 控制台。

重要

如果在尝试访问 Web 控制台时遇到身份验证提示问题,请检查“控制面板”->“Internet 选项”->“安全性选项卡”->“本地 Intranet 站点”->“站点”->“高级”中是否包含完全限定的域名 (FQDN) URL

  1. 确保在管理服务器上安装和配置 SSL 证书。

  2. 在安装 Operations Manager Web 控制台的 IIS 网站中添加 https 绑定。

  3. 完成上述步骤后,重置承载 Operations Manager Web 控制台的网站。

注意

仅在对 Web 控制台使用 https 绑定时,安装程序中的“启用 SSL”复选框才有效。 有关详细信息,请参阅 如何在 IIS 7 上设置 SSL。

  1. 使用纯文本编辑器打开 web.config<PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost

  2. <services> 根元素中,修改元素中的 <!– Logon Service –>以下内容:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. <services> 根元素中,修改元素中的 <!– Data Access service –> 以下内容:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. 完成后保存并关闭文件。

  5. 选择“开始”,选择“运行,键入 regedit,然后选择“确定”。

  6. 在 HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ 下,双击值“HTTP_GET_ENABLED”,将其值更改为“false”。 双击值 BINDING_CONFIGURATION 并将其值更改为 DefaultHttpsBinding

  7. 完成上述步骤后,重置承载 Operations Manager Web 控制台的网站。

配置 FIPS 符合性

请按照以下步骤操作 Operations Manager Web 控制台服务器组件,以使用符合联邦信息处理标准(FIPS)的算法。 为 System Center - Operations Manager 启用 FIPS 合规性要求使用的基础基础结构(服务器 OS、Active Directory 等)也符合 FIPS。

安装加密 DLL

  1. 在托管 Web 控制台的系统上,使用“以管理员身份运行”选项打开命令提示符窗口。
  2. 将目录更改为安装介质的 SupportTools 目录,然后将目录更改为 AMD64
  3. 运行以下 gacutil 命令: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll

编辑 machine.config 文件

  1. 在 %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\ 中,使用纯文本编辑器打开 machine.config 文件。

  2. 如果根元素中 <Configuration> 不存在以下内容,请按如下所示添加:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. 完成后保存并关闭文件。

对以下文件重复上述步骤:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

在 WebHost 文件夹中编辑 web.config 文件

  1. 使用纯文本编辑器打开 web.config 文件 <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config

  2. 在加密>元素中<,如果不存在,请添加以下元素:<symmetricAlgorithm iv="SHA256"/>

  3. <connection autoSignIn="true" autoSignOutInterval="30"> 元素的标记中 <session> ,如果不存在,请添加以下属性: tokenAlgorithm=“SHA256”

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. 通过将以下元素的值从 true 更改为 false 来修改以下元素: <serviceMetadata httpGetEnabled="false"/>

  5. 通过将以下两个元素的值从 DefaultHttpBinding 更改为 DefaultHttpsBinding 来修改以下两个元素:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. 保存并关闭该文件。

在 MonitoringView 文件夹中编辑 web.config 文件

  1. 使用纯文本编辑器打开 web.config 文件 <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config

  2. 在元素中<encryption>,如果不存在,请添加以下元素: <symmetricAlgorithm iv="SHA256"/>

  3. <connection> 元素中,在 <connection autoSignIn="true" autoSignOutInterval="30"> 元素的标记中 <session> ,如果不存在,请添加以下属性: tokenAlgorithm=“SHA256”

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. 在元素中 <system.web> ,如果不存在,请添加以下元素:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. 保存并关闭该文件。

配置登录会话

注意

Web 控制台默认使用 Windows 身份验证(如果可用于登录网站)。 Web 控制台的默认会话超时间隔为 1 天,这是最大值。

  1. 若要编辑该值,请使用纯文本编辑器打开 web.config。<PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard
  2. 在根元素中 <appSettings> ,修改以下会话超时值(以分钟为单位)。 
       <add key="SessionTimeout" value="1440"/>
  3. 完成上述步骤后,重置承载 Operations Manager Web 控制台的网站。

后续步骤