使用 Web 控制台設定驗證
設定 SSL 加密
在 Operations Manager Web 控制台伺服器安裝在 網際網路資訊服務 (IIS) 7.0 和更新版本的 Web 伺服器上之後,必須執行下列步驟來設定安全套接字層 (SSL) 加密。 執行這些步驟之前,您應該先檢閱 在 IIS 7 中設定安全套接字層,並設定 IIS 為裝載 Web 控制台的網頁伺服器啟用 SSL。
注意
建立憑證時,您必須在 [一般名稱] 欄位中提供主機和功能變數名稱的完整功能變數名稱 (FQDN),以符合使用者在網頁瀏覽器中輸入的位址,才能存取 Web 控制台。
重要
如果您在嘗試存取 Web 控制台時遇到驗證提示的問題,請檢查完整功能變數名稱 (FQDN) URL 是否包含在 控制台 -Internet Options> ->Security Tab ->Local Intranet Sites ->Sites ->Advanced 中。
確定已在管理伺服器上安裝並設定 SSL 憑證。
在安裝 Operations Manager Web 控制台的 IIS 網站中新增 HTTPs 系結。
完成上述步驟之後,請重設裝載 Operations Manager Web 控制台的網站。
注意
只有在您使用 Web 控制台的 HTTPs 系結時,才能在安裝程式中啟用 SSL 複選框。 如需詳細資訊,請參閱 如何在 IIS 7 上設定 SSL。
使用純文字編輯器在 中
<PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost開啟 web.config。在
<services>根元素中,修改 元素中的<!– Logon Service –>下列專案:<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>在
<services>根元素中,修改 元素中的<!– Data Access service –>下列專案:<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>完成時儲存並關閉檔案。
選取 [開始],選取 [執行],輸入 regedit,然後選取 [確定]。
在 [HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ 下,按兩下值HTTP_GET_ENABLED,並將其值變更為 false。 按兩下值BINDING_CONFIGURATION,並將其值變更為DefaultHttpsBinding。
完成上述步驟之後,請重設裝載 Operations Manager Web 控制台的網站。
設定 FIPS 合規性
請遵循下列步驟,讓 Operations Manager Web 控制台伺服器元件使用符合聯邦資訊處理標準 (FIPS) 的演算法。 啟用 System Center - Operations Manager 的 FIPS 合規性,需要使用的基礎結構 (伺服器 OS、Active Directory 等),也符合 FIPS 規範。
安裝密碼編譯 DLL
- 在裝載 Web 控制台的系統上,使用 [以系統管理員身分執行] 選項開啟 [命令提示字元] 視窗。
- 將目錄變更為安裝媒體的 SupportTools 目錄,然後將目錄變更為 AMD64。
- 執行下列 gacutil 命令:
gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll。
編輯machine.config 檔案
使用純文本編輯器在 %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\中開啟 machine.config 檔案。
如果根元素內
<Configuration>沒有下列內容,請新增,如下所示:<mscorlib> <cryptographySettings> <cryptoNameMapping> <cryptoClasses> <cryptoClass SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/> <cryptoClass HMACSHA256CSP ="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </cryptoClasses> <nameEntry name="SHA256" class="SHA256CSP"/> <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/> </cryptoNameMapping> </cryptographySettings> </mscorlib>完成時儲存並關閉檔案。
在下列檔案上重複上述步驟:
- %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
- %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
在 WebHost 資料夾中編輯 web.config 檔案
使用純文字編輯器在 中
<Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config開啟 web.config 檔案。在 <加密> 專案中,如果不存在,請新增下列元素:
<symmetricAlgorithm iv="SHA256"/>在 元素的
<connection autoSignIn="true" autoSignOutInterval="30">標記中<session>,如果不存在,請新增下列屬性: tokenAlgorithm=“SHA256”<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">將下列專案的值從 true 變更為 false,以修改下列元素:
<serviceMetadata httpGetEnabled="false"/>將下列兩個專案的值從 DefaultHttpBinding 變更為 DefaultHttpsBinding,以修改下列兩個專案:
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/> <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>儲存並關閉檔案。
在 MonitoringView 資料夾中編輯 web.config 檔案
使用純文字編輯器在 中
<PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config開啟 web.config 檔案。在 元素中
<encryption>,如果元素不存在,請新增下列元素:<symmetricAlgorithm iv="SHA256"/>。在 元素的
<connection>元素中<connection autoSignIn="true" autoSignOutInterval="30">,在標記中<session>,如果不存在,請新增下列屬性: tokenAlgorithm=“SHA256”<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">在 元素中
<system.web>,如果元素不存在,請新增下列元素:<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>儲存並關閉檔案。
設定登入會話
注意
如果可以登入網站,Web 控制台預設會使用 Windows 驗證。 Web 控制台的預設會話逾時間隔為1天,這是最大值。
- 若要編輯值,請使用純文本編輯器在 中
<PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard開啟web.config。 - 在根元素中
<appSettings>,以分鐘為單位修改下列會話逾時值。<add key="SessionTimeout" value="1440"/> - 完成上述步驟之後,請重設裝載 Operations Manager Web 控制台的網站。
下一步
- 若要設定報表伺服器的 FIPS 合規性,請參閱 設定報表伺服器的驗證