Benutzerverwaltung in ServerView 6.30
Contents
1. Table 24 Berechtigungen die durch die vordefinierten Rollen erteilt werden Benutzerverwaltung in ServerView 131 In OpenDJ vordefinierte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benutzer Rolle 5 bi zs 23 zi 3155 55 HEIR 22 55 22 33 Common AccessOnlineDiagnostics x x AccessPrimeCollect x x x AccessRemoteManagement x x ConfigPKl x ModifyCMSSettings x ModifyPasswordTable x PerformDownload x x PerformLocateToggle x x PerformServerErrorAck x x ConfigMgr AccessServerConfig x ModifyPowerOnOffSettings x x ModifyServerConfig x InvMgr AccessInvMgr x x ModifyCollections x ModifyDiagnostics x x ModifyReports x PerformCollections x x PerformReports x x iRMC_MMB CfgConnectionBlade x IpmiLanOem x IpmiLanOperator x IpmiLanUser x IpmiSerialOem x IpmiSerialOperator x IpmiSerialUser x iRMCsettings x Table 24 Berechtigungen die durch die vordefinierten Rollen erteilt werden 132 Benutzerverwaltung in ServerView In OpenDJ vordefinierte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benu2. C Users Administrator Cert Pub parm Proper B amp Departments CERTSYC A Deptx DnsAdmi Environment B AlertRoles 172 DnsUpd General A 48 Authorizationrdles Domain Published Ce Domain Domain Member of El Observer Domain amp UserkyM Domain L Domain Us E Dept Enterpris Remotehla H B Others Group Pc UserSettings Guest HB iRMC_MMB HelpSery MailFormat IIS_WPG 2 43 PreferredShell 2 IUSR_LD IPMIbasicMode 2 IWAM_LI E F IPMIterminalMode amp krbtgt G None H kvms H Z RemoteManager f2 kvmsio GF Smashcp H E kvms2 Add E E Lost ndFound H E kvms3 kvms4 kvms5 Primary group m e kums6 F s kyms Set Primar kumss xj Bild 38 Organistionsstruktur der Dom ne fwlab firm net Benutzerverwaltung in ServerView 159 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 4 SVS Berechtigungsprofile werden Uber Rollen definiert Direkt unterhalb jeder Abteilung sind die gew nschten zugeh rigen Benutzerrollen Authorization Roles aufgef hrt Bild 38 auf Seite 159 Alle hier aufgef hrten Rollen m ssen in der OU Declarations definiert sein Ansonsten gibt es hinsichtlich Anzahl der Roles keine Einschr nkungen Die Namen der Rollen sind unter Beachtung einiger syntaktischer Vorgaben des verwendeten Verzeichnisdienstes frei w hlbar Jede Authorization Role definiert ein spezifisches aufgabenorientiertes
3. Berechtigung Erlaubnis Geltungsbereich AccessArchiveMgr Zugriff auf den Archive Manager Management Station ModifyArchives Archive erzeugen ndern und l schen Management Station Table 7 Berechtigungen der Kategorie ArchiveMgr 5 1 5 Kategorie BackupMgr Die BackupMgr Kategorie umfasst die Berechtigungen f r die Verwaltung von Sicherungskopien der ServerView Datenbank Berechtigung Erlaubnis Geltungsbereich ModifyBackup Sicherungskopie der ServerView Management Datenbank erzeugen l schen Station PerformBackupRestore ServerView Datenbank Management wiederherstellen Station PerformBackup Transfer Sicherungskopie der ServerView Management Datenbank erzeugen l schen Station Table 8 Berechtigungen der Kategorie BackupMgr 120 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 5 1 6 Kategorie Common Die Kategorie Common umfasst die Berechtigungen f r die Ausf hrung allgemeiner ServerView spezifischer Aufgaben Berechtigung Erlaubnis Geltungsbereich AccessOnlineDiagnostics Online Diagnostics auf einem Managed Managed Node Node ausf hren AccessPrimeCollect PrimeCollect auf einem Managed Node Managed Node ausf hren AccessRemoteManagement Komponenten f r das Remote Alle Management ausf hren ConfigPKI Keystore oder Truststore modifizieren Alle d h Berechtigung f r den Import und Export von
4. a 106 Zertifikatsdateien auf einem Linux oder VMware System installieren 2 icce ede sa ss en a EEE EES 107 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren sa secat 4 res eG ee EES a amp 107 Zertifikat auf einem Linux VMware System installieren auf dem die ServerView Agenten bereits installiert sind 109 Zertifikat via ServerView Update Manager installieren auf einem Windows Linux VMware System 110 Mit dem ServerView Update Manager das CMS Zertifikat auf dem verwalteten Server installieren berblick 111 CMS Zertifikat auf dem verwalteten Server installieren 115 CMS Zertifikat auf dem verwalteten Server deinstallieren 115 Rollenbasierte Berechtigungen f r den Zugriff auf den Operations Manager 2 Hu nennen 117 Privilegien Kategorien und zugeh rige Berechtigungen 118 Privilegien Kategorien berblick i Se BR eS 118 Kategorie AgentDeploy 2 000 119 Kategorie AlarmMgr 2 Co nn 119 Kategorie ArchiveMgr ee 120 Kategorie BackupMgr 2 2 nr 120 Kategorie Common ance ai we an Haare rn el Kategorie ConfigMgr 122 Kategorie IMMO ex 2 aS ana ok AD E a 122 Kategorie IRMC_MMB is kk ee ee ee 123 Kategorie PerniMgr lt sao oea aoia u a en ek eRe Be 124 Benutzerverwaltung in ServerView 6 1 6 2 6 2 1 6 2 2 6 2 3 6 2 3 1 6 2 3 2 6 2 3 3 6 2 3 4 6 2 3 5 6 2 4
5. 258 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Benutzer Kontakte oder Computer w hlen 25x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad pe Geben Sie die zu verwendenden Objektnamen ein Beispiele Namen uberprufen Bild 70 Dialog Benutzer Kontakte oder Computer wahlen Klicken Sie auf die Schaltfl che Erweitert Ein erweiterter Dialog Benutzer Kontakte und Computer wahlen wird ge ffnet siehe Bild 71 auf Seite 260 Benutzerverwaltung in ServerView 259 Globale Benutzerverwaltung f r den iRMC S4 Benutzer Kontakte oder Computer w hlen 2 xi Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Users Pfade Allgemeine Abfragen Name Begint mt Z _ Spaten 1g mi AI sere se one _Name RDN _E MaitAdresse Beschreibung Ordner Bild 71 Dialog Benutzer Kontakte oder Computer w hlen Suchen gt Klicken Sie auf die Schaltfl che Jetzt suchen um sich alle Benutzer Ihrer Dom ne anzeigen zu lassen Im Anzeigebereich unter Suchergebnisse wird das Suchergebnis angezeigt siehe Bild 72 auf Seite 261 260 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Benutzer Kontakte oder Computer wahlen 1 21 x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Users Pfade Allgemeine Abfragen Name Begi
6. New Per Klick auf New ffnen Sie den Dialog New Role New Role Name of new Role Alarm Role Copy privileges from role Operator v Bild 11 User Management Wizard Neue Rolle definieren Name of newrole Name der neuen Rolle Copy privileges from role Hier k nnen Sie eine fr her definierte Rolle aus einer Liste ausw hlen Die der ausgew hlten Rolle zugeordneten Berechtigungen werden dann automatisch der neuen Rolle zugeordnet OK Aktiviert die neue Rolle und schlie t den Dialog New Role Die neue Rolle wird nun unter Roles angezeigt Cancel Beendet den Dialog New Role ohne eine neue Rolle zu definieren Delete L scht die ausgew hlte Rolle Reset Setzt die aktuell angezeigten Berechtigung zu Rolle Zuordnungen auf die zuletzt abgespeicherten Einstellungen zur ck 52 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ User amp Password Der Dialog User amp Password listet alle zurzeit in OpenDJ definierten Benutzer Passwort Kombinationen auf und erm glicht die Ausf hrung der folgenden Operationen Neue Benutzer definieren Passw rter vorhandener Benutzer ndern Vorhandene Benutzer l schen S ServerView A user will have the rights of one or more roles paas Users have to authorize themselves with name and password ini Here all known users are listed and new users can be defined Please insert the user password combinations below
7. 3 2 4 1 ServerView User Management starten Das ServerView User Management starten Sie im Startfenster der Operations Managers per Klick auf den Link User Management den Sie unter Security finden Welcome to ServerView Sulte ServerList View servers status and corfigurations Smat Administration Browse for new seners and perform configuration tasks Semarfrawsst Sener Confauration Asset Management Sara and view earvar configuration data Archive Manager manor Mananer Event Management View ard configure the contarte afthe alam llet Alarm Monilar Alarm Configuration Threshold Manager Monitoring Montor sarrar performance and power Usage Baromisnen Manager Paver kionitor Update Management Vs Mar gemen Manage sofware and Immwsre updates Banatom Manager Downiod Hansa Provides a vrizard for operations on I Bararens panD directory canica Available operations Security Mewa GpenDi directory serve showall available prvieges arnt snd prrdlaga gaupe e show all configured rolac Help show all defied users igw Help tet about theOperdions Manager manege additional mles Ansute Links About manage additional usere Bild 7 ServerView Operations Manager Startfenster Der Link User Management wird nicht angezeigt falls w hrend der Installation des Operations Managers anstelle von OpenD J ein anderer Verzeichnisdienst z B Active Directory ausgew hlt wurde Je nachdem ob Sie
8. Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert Benutzerverwaltung in ServerView 105 Verwalteten Server Systeme f r Role Based Access RBAC und Client At 4 3 2 2 Zertifikat auf einem Windows System installieren auf dem die Windows Agenten bereits installiert sind Gehen Sie wie folgt vor 1 Finden Sie den Pfad im Folgenden kurz lt scsPath gt des ServerView Remote Connector Service SCS auf dem verwalteten Server Voreingestellt ist der folgende Pfad F r x64 Systeme C Program Files x86 Fujitsu ServerView Suite Remote Connector F r i386 Systeme C Program Files Fujitsu ServerView Suite Remote Connector 2 Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in den SCS Zertifikatordner lt scsPath gt pki Nach einem Neustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen 106 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 3 Zertifikatsdateien auf einem Linux oder VMware System installieren Zur Installation der Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml stehen Ihnen die beiden folgenden M glichkeiten zur Verf gung Zertifikatsdateien gleich zu Beginn zusammen mit den ServerView Agenten auf dem verwalteten
9. 44 Active Directory Users and Computers Eigi xi Ele Action View Window Help 2181 x gt BEL e x EFB emm eR aY gE Active Directory Users and Compute a E Saved Queries 8 DOMULIOL local Privileges 15 objects H E Builtin amp Computers Organ Provides the ArchiveMgr prefix for Ser E Domain Controllers Organ Provides the Common prefix for Server H ForeignSecurityPrincipals Organ Provides the ConfigMar prefix for Serv H E LostAndFound Organ Provides the InvMgr prefix for Server H E NTDS Quotas Organ Provides the iRMC prefix for Servervie H E Program Data Organ Provides the PerfMgr prefix for Server a svs Organ Provides the PowerMon prefix for Serv S Declarations E Z Authorization Roles fi Monitor 4 Oj or amp Pri g 2 3 Departments H UserSettings E E System Organ Provides the RackManager prefix for 5 Organ Provides the RaidMgr prefix for Server Organ Provides the RemDeploy prefix for Ser Organ Provides the SCS prefix for Serverview Organ Provides the ServerList prefix for Serv Organ Provides the UpdMgr prefix for Server Organ Provides the YIOM prefix for Servervie Bild 17 Die hinzugef gten Privilegien und Rollen werden im Active Directory GUI angezeigt 2 Importieren Sie die IRMC S2 S3 S4 Benutzerrollen Verwenden S
10. Log Level Bedeutung 1 umfassendes Debugging 0 kein Debugging 1 Funktionsaufrufe protokollieren 2 Paketverarbeitung testen 4 Heavy Trace Debugging 8 Verbindungsmanagement 16 Gesendete und empfangene Pakete anzeigen 32 Suchfilterverarbeitung 64 Konfigurationsdateiverarbeitung 128 Verarbeitung der Zugangskontrolllisten 256 Status Logging f r Verbindungen Operationen Ergebnisse 512 Status Logging f r gesendete Eintr ge 1024 Kommunikation mit den Shell Backends ausgeben 2048 Ergebnisse des Entry Parsings ausgeben Tabelle 37 OpenLDAP Log Level 298 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 8 E Mail Benachrichtigung an globale iRMC S4 Benutzer konfigurieren Die E Mail Benachrichtigung an globale IRMC S4 Benuizer ist in die globale IRMC S4 Benutzerverwaltung integriert und kann somit zentral und Plattform bergreifend ber einen Verzeichnisserver konfiguriert und abgewickelt werden Entsprechend konfigurierte globale Benutzerkennungen k nnen E Mail Benachrichtigungen von allen iRMC S4 erhalten die mit dem Verzeichnisserver im Netz verbunden sind il Voraussetzungen F r die E Mail Benachrichtigung m ssen folgende Voraussetzungen erf llt sein Globale E Mail Benachrichtigung setzt eine IRMC S4 Firmware der Version 3 77A oder h her voraus da eine LDAP v2 Struktur ben tigt wird Inder iRMC S4 Web Oberfl che muss ein Principal Benutzer konfigu
11. Sobald das CMS Zertifikat auf dem verwalteten Server erfolgreich installiert ist informiert eine separate Zeile in der Ansicht Installed Updates der Registerkarte Update Details ber die erfolgreiche Installation des CMS Zertifikats auf dem verwalteten Server siehe Bild 31 Update Manager Fujitsu Technology Solutions eo SF ServerView User administrator Logout Fujirsu Update Manager Vv Vv Verson pdosmex105 ManagementContr RMC S2RX100 1 01 03400041803 40 1 01 03400041503 40 p smrx105 SystemBoard DIS42AXIOOSS 6 00 R1 14 2542 6 00Rey 1 14 2542 pdbemx10s Agentin SV Update Agent 500 06 5 00 06 pdbemx10S PrmSupportPack Win BrosdCom_ LAN 3 2 0 0 3 02 00 00 pdbam x105 PrmSupportPackWin BroadCom LAN 3 1 0 0 pdbem x105 PrinSupportPack Win FSC_SCAN 3 9 0 0 pdemmios PrinsupportPack Win Intel_ChpSets pdbem x105 PrimSupportPack Win Matrox Video pdbam x105 PrimSupportPack Win NTAgents 0 pdbem x 108 PrenSupportPack Win ServerView RAID 3 5 0 0 pdbam rx 10S LanControler Broadcom Netit 0207 442709249295 Greate Job Show Detais amp Lokales intranet Gesch tzter Modus inaktiv K10 Bild 31 Update Manager Hauptfenster Registerkarte Update Details CMS Zertifikat erfolgreich installiert 114 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 4 2 CMS Zertifikat auf dem verwalteten Server installi
12. 4 Active Directory Users and Computers lt Q File Action View Favorites Window Help gt Bas exen Em eEG E E Administrator Cert Pub a eee CERTSVC There are no items to show in DnsAdmi Environment Sessions Remote control Terminal Services Profile COM DnsUpde General Address Account Profile Telephones Organization Domain Published Certificates Member Of Diskin Object Securty Domain Domain Member of Domain Name Active Directory Folder Demain l Domain Users fwlab firm net Users Enterpris RemoteManager fwlab firm net LdapDeployerT est SVS UserSetting aA ea E E ea E E Ej Ej E A Primary group Domain Users Set Primary Group There is no need to change Primary group unless you have Macintosh clients or POSIX compliant applications Bild 40 Eigenschaften Dialog des Benutzers kvms4 Benutzerverwaltung in ServerView 161 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 SVS_LdapDeployer Strukturen SVS und IRMCgroups generieren pflegen und l schen Um die globale IRMC S2 S3 Benutzerverwaltung ber einen Verzeichnisdienst abwickeln zu k nnen m ssen im LDAP Verzeichnisdienst die Struktur en OU SVS und iRMCgroups angelegt sein Zum Generieren sowie zum Anpassen von SVS Strukturen verwenden Sie den SVS_LdapDeployer Der SVS_LdapDeployer ist ein Java Archiv SVS_LdapDeployer jar das Si
13. Ausf hrung der entsprechenden Update Management Tasks Berechtigung Erlaubnis Geltungsbereich AccessDownloadMgr Zugriff auf den Download Manager Management Station AccessRepositoryMgr Zugriff auf den Repository Manager Management Station AccessUpdateMgr Zugriff auf den Update Manager Management Station DeleteJob Einen Job l schen Management Station DeleteReleasedJob Einen freigegebenen Job l schen Management Station ModifyUpdateConfig Zugriff auf die Update Configuration Management Station PerformCleanUp Daten des Update Agent auf einem Management Managed Node bereinigen Station PerformCopyJob Job mit Firmware Software Updates Management kopieren Station PerformCopyReleasedJob Einen freigegebenen Job kopieren Management Station PerformCreateJob Job mit Firmware Software Updates Management kopieren Station PerformReleaseJob Einen Job freigeben Management Station Table 21 Berechtigungen der Kategorie UpdMgr Benutzerverwaltung in ServerView 129 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 19 Kategorie UserMgr Die UserMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den User Management Wizard und dessen Verwendung f r folgende Aufgaben Benutzer erzeugen ndern und l schen Rollen definieren und ndern Rollen an Benutzer zuweisen Berechtigung Erlaubnis Geltungsbereich AccessUserMgr Auf den Us
14. Declarations enth lt eine Liste der definierten Rollen sowie die Liste der vordefinierten IRMC S2 S3 Benutzerberechtigungen siehe Handbuch IRMC S2 S3 integrated Remote Management Controller Departments enth lt die Gruppen f r die Benutzerprivilegien User Settings enth lt Benutzer gruppen spezifische Angaben wie z B das Mail Format f r die E Mail Benachrichtigung und die Gruppen f r die Benutzershells Bei Microsoft Active Directory z B k nnen die Eintr ge f r die IRMC S2 S3 Benutzer in der Standard OU Users liegen Im Gegensatz zu den Standardbenutzern sind iRMC S2 S3 Benutzer jedoch zus tzlich Mitglied in einer oder mehreren Gruppen der OU SVS Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch des iRMC S2 S3 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S2 S3 als Element des Departments DEFAULT konfiguriert ist 156 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 lt Datei Aktion Ansicht Fenster 2 Le xd e aaB em Payee 4 Active Directory Benutzer und Comp H E Gespeicherte Abfragen B gp Fwlab firm net H E Bulltin gP Fwlab firm net Computers Gespeicherte Abfragen H Domain Controllers H E ForeignSecurityPrincipals B svs S Declarations Ea amp Departments B User Settings E Users 2 Bild 37 OU SVS in der Dom ne fwlab firm n
15. Mitglieder den Eigenschaften Dialog f r diese Benachrichtigungsgruppe ffnen werden in der Registerkarte Mitglieder die Benutzer angezeigt 2 die der Benachrichtigungsgruppe hier StdSysAlerts angeh ren Active Directory Users and Computers loj x Ele Action View Favorites Window Help e BmLBxXxFRB em et hT Sa m Builtin E Computers m Domain Controllers 4 ForeignSecurityPrincipals irmc2 m iRMCgroups 5 LdapDeployerTest Ej amp IRMCgroups il StdSysAlerts 0 objects H StdSysAlerts Properties 2 x General Members Member Of Managed By Object Securty Members Active Directory Folder sbrd4 local U ser B svs rs kvms4 sbrd4 local Users a m en 2 6 kvms6 sbrd4 local Users a stdSysAlerts g kvms sbrd4 local Users 8 AlertTypes AuthorizationRoles H Privileges 2 2 Departments Deptx 1 2 8 AlertRoles AZRE a Depty Others m UserSettings Lost ndFound H NewTestou E NTDS Quotas Program Data a ss Cancel Ta I Bild 83 Benutzer mit der Alert Role StdSysAlert Benutzerverwaltung in ServerView 305 Globale Benutzerverwaltung f r den iRMC S4 8 2 8 3 iRMC S4 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen Die Zuordnung von iRMC S4 Benutzern zu Benachrichtigungsgruppen Alert Roles k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vo
16. Peak Contents shift click to start a ook In reer people sbrd4 t up one level Example novell Look for objects named Example A Lar Bob user18 user19 user use20 Look for these types sme User users Advanced Browsing ume load Criteria Save Criteria 22a haaa amp user Apply Selected Objects 4 click object to a 3 userS people sbrd4 3 use people sbrd4 use people sbrd4 zj A OK Clear All Bild 55 Benutzer der iRMC Gruppe zuordnen Benutzer ausw hlen gt Selektieren Sie im Object Selector Browser Fenster den die gew nschten Benutzer der OU people und best tigen Sie Ihre Auswahl mit OK Im Anzeigebereich der Registerkarte Members der Seite Modify Group werden die ausgew hlten Benutzer angezeigt siehe 56 auf Seite 206 Benutzerverwaltung in ServerView 205 Globale Benutzerverwaltung f r den iRMC S2 S3 All Categories Directory Administration eDirectory Encryption eDirectory Maintenance E Groups Create Group Delete Group Modify Group Modify Members of Group Move Group Rename Group user6 people sbrd4 View My Groups user people sbrd4 Help Desk LDAP E NMAS Management of Partition and Replicas a SS eS aaa 3 Ok __ Canet Apply Rights z a COT B es nran 4 Bild 56 Anzeige der ausgew hlten iRMC S2 S3 Benutzer in der Registerkarte Members LDAP v2 user2 people sbrd4 user3 people sbrdd Best tige
17. ber die Berechtigung der Rolle UserAdministrator verf gen gilt folgendes Falls Sie nicht ber die erforderlichen Berechtigungen verf gen wird der Dialog zur Anderung Ihres eigenen Passworts angezeigt siehe Seite 48 Falls Sie ber die erforderlichen Berechtigungen verf gen wird der User Management Wizard gestartet siehe Seite 49 Benutzerverwaltung in ServerView 47 ServerView Benutzerverwaltung mit OpenDJ 3 2 4 2 Eigenes OpenDJ Passwort ndern Mit diesem Dialog k nnen Sie Ihr eigenes OpenDJ Passwort ndern S ServerView User Management Wizard You do not have sufficient privileges to do all the User Management settings All User Management settings can only be done with UserAdministrator role UserManager for example All you can do here is to change your own password for OpenDJ directory service Please enter old password Please enter new password Please confirm new password r o OK Cancel Help Bild 8 Dialog zur nderung des eigenen OpenDJ Passworts Please insert old password Geben Sie Ihr altes Passwort ein Please insert new password Geben Sie Ihr neues Passwort ein Please confirm the new password Wiederholen Sie zur Best tigung die Eingabe des neuen Passworts OK Aktiviert das neue Passwort Cancel SchlieBt den Dialog ohne das Passwort zu ndern 48 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ 3 2 4 3 User Manag
18. yY vV Vv vy 7y W hlen Sie einen Dateinamen f r das Zertifikat und klicken Sie auf Fertig stellen 174 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Dom nencontroller Zertifikat auf dem Server installieren Mit den folgenden Schritten installieren Sie das Dom nencontroller Zertifikat auf dem Server gt Kopieren Sie die soeben erstellte Datei f r das Dom nencontroller Zertifikat auf den Dom nencontroller F hren Sie einen Doppelklick auf das Dom nencontroller Zertifikat aus Klicken Sie auf Zertifikat installieren Verwenden Sie das Passwort das Sie beim Export der Zertifikats vergeben haben Klicken Sie unter Alle Zertifikate in folgendem Speicher speichern auf die Schaltfl che Durchsuchen und w hlen Sie Eigene Zertifikate Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Dom nencontroller Zertifikat aus dem Verzeichnis Eigene Zertifikate des aktuellen Benutzers in das Verzeichnis Eigene Zertifikate des lokalen Computers Benutzerverwaltung in ServerView 175 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 5 2 iRMC S2 S3 Benutzer einer Rolle Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S2 S3 Benutzern zu iRMC S2 S3 Berechtigungsgruppen k nnen
19. Benutzerverwaltung in ServerView 43 ServerView Benutzerverwaltung mit OpenDJ 3 2 3 LDAP Portnummern von OpenDJ ndern ServerView s OpenD J ist konfiguriert f r das Lauschen an Port 1473 f r unverschl sselte LDAP Verbindungen sowie an Port 1474 f r SSL verschl sselte LDAP Verbindungen Normalerweise sollte es nicht erforderlich sein diese Portnummern zu ndern Lauscht jedoch eine weitere Anwendung auf Ihrer Management Station CMS ebenfalls an einem der beiden Ports so m ssen Sie entweder die Konfiguration dieser Anwendung oder die Port Konfiguration von OpenDJ ndern In der folgenden Erl uterung steht die Zeichenkette dm_pw als il Platzhalter f r das Passwort des OpenDJ Directory Managers Die Zeichenfolgen new_Idap_port und new_Idaps_port sind Platzhalter f r die neuen Portnummern des LDAP bzw LDAPS Ports 3 2 3 1 LDAP Portnummern auf Windows Systemen ndern Auf Windows Systemen ndern Sie die Portnummer wie folgt 1 ffnen Sie eine Windows Eingabeaufforderung 2 Stellen Sie sicher dass die Umgebungsvariablen JAVA_HOME und OPENDS_JAVA_HOME auf das Installationsverzeichnis der Java Laufzeitumgebung Java Runtime Environment JRE gesetztsind Falls das JRE z B unter C Program Files x86 Java jre6 installiert ist setzen Sie die Umgebungsvariablen mit den folgenden Kommandos SET JAVA_HOME C Programme x86 Java jre7 SET OPENDS_JAVA_HOME C Programme x86 Java jre7 SET PATH C Program Files
20. CANAME Ersetzen Sie den Platzhalter CANAME durch den Namen der Zertifizierungsstelle die die Zertifikatsanforderung Certificate Signing Request CSR signiert hat 4 Formatieren reformatieren Sie die Datei keystore keytool importkeystore srckeystore keystore pl2 destkeystore keystore srcstoretype PKCS12 srestorepass changeit deststorepass changeit destkeypass changeit srcalias svs_cms destalias svs_cms noprompt v 5 Importieren Sie das neue Zertifikat in die Datei truststore Am einfachsten erreichen Sie dies wie folgt a Starten Sie den JBoss Service b Warten Sie bis der Startvorgang beendet ist c Wechseln Sie in das Verzeichnis bin 96 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten d ffnen Sie ein Terminal Fenster und geben Sie das folgende Kommando die folgenden Kommandos ein java jar install cert gui SVCOM_V1 70 jar conf pki cacerts changeit lt system FODN gt 3170 Wenn Sie einen konfigurierten externen Verzeichnisdienst verwenden m ssen Sie auch das folgende Kommando eingeben java jar instal1l cert gui SVCOM_V1 70 jar conf pki cacerts changeit lt system FQDN gt lt port gt lt system FQDN gt Vollqualifizierter Distinguished Name des betreffenden Systems lt port gt LDAP Port der vom externen Directory Service verwendet wird meistens 636 e Das Java Programm install cert gui SVCOM_V1 70 jar zeigt einen Bil
21. x86 Java jre bin 3 Wechseln Sie in das Verzeichnis lt ServerView directory gt opends bat 4 ndern Sie den LDAP Port indem Sie das folgende Kommando innerhalb einer einzelnen Zeile eingeben dsconfig D cn directory manager w dm_pw n set connection handler prop handler name LDAP Connection Handler set listen port new_ldap_port 5 Andern Sie den LDAP Port indem Sie das folgende Kommando innerhalb einer einzelnen Zeile eingeben dsconfig D cn directory manager w dm_pw n set connection handler prop handler name LDAPS Connection Handler set listen port new_ldap_port 44 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ 6 Starten Sie den Service ServerView JBoss Application Server 7 neu um Ihre Einstellungen f r den LADP LDAPS Port zu aktivieren 3 2 3 2 LDAP Portnummern auf Linux Systemen ndern Auf Linux Systemen ndern Sie die Portnummer wie folgt 1 ffnen Sie eine Kommando Shell 2 Stellen Sie sicher dass die Umgebungsvariablen JAVA_HOME und OPENDS_JAVA_HOME auf das Installationsverzeichnis der Java Laufzeitumgebung Java Runtime Environment JRE gesetzt sind Falls das JRE z B unter usr java default installiert ist setzen Sie die Umgebungsvariablen mit den folgenden Kommandos export JAVA_HOME usr java default export OPENDS_JAVA_HOME usr java default 3 Wechseln Sie in das Verzeichnis opt fujitsu Server View Suite opends bin 4 Andern Sie de
22. 65 Passwort des LDAP Bind Kontos ndern a ee LDAP Password Policy Enforcement LPPE 76 SSL Zertifikate f r Authentifizierung verwalten 81 SSL Zertifikate verwalten berblick 82 SSL Zertifikate auf der Management Station verwalten 85 Bei der Installation wird automatisch ein selbstsigniertes Zertifikat IE ee Pe eee EEE gt Benutzerverwaltung in ServerView 4 2 2 4 2 3 4 2 4 4 2 4 1 4 2 4 2 4 3 4 3 1 4 3 2 4 3 2 1 4 3 2 2 4 3 3 4 3 3 1 4 3 3 2 4 3 4 4 3 4 1 4 3 4 2 4 3 4 3 5 1 5 1 1 5 1 2 5 1 3 5 1 4 5 1 9 5 1 6 5 1 7 5 1 8 5 1 9 5 1 10 Zertifizierungsstellenzertifikat CA Certificate erzeugen 87 Software Tools zur Zertifikats und Schl sselverwaltung 89 Zertifikat auf der zentralen Management Station ersetzen 90 Zertifikat auf einem Windows System ersetzen 91 Zertifikat auf einem Linux System ersetzen 96 Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten 101 Dateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen 7101 Zertifikatsdateien auf einem Windows System installieren 103 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren a kk we Ge RR Ran anni 103 Zertifikat auf einem Windows System installieren auf dem die Windows Agenten bereits installiert sind
23. 7 1 7 2 7 2 1 7 2 2 72 2 1 7 2 2 2 7 2 2 3 7 2 2 4 Kategorie POWEIMON 2 203 ee bbe 20 0 ee u 125 Kategorie RackManager 2 Hann u 04 125 Kategorie RaidMgr ten eae 126 Kategorie RemDeploy ee Kategorie ReportMgr pe ae Bee TAF Kategorie SGS 2 2540 Ree eee a Hs ioe Bok Khe ier Kategorie ServerList pea eee TR Kategorie UpdMgr peat amp ee 129 Kategorie UserMgr eee eee ee ee 130 Kategorie VIOM i a ee O In OpenDJ vordefinierte Benutzer und Rollen 131 Audit Logging 2 ee eee ee saas 135 Lage der Audit Log Information im Speicher 136 Eintr ge des Audit Logs 220 137 Typen von Audit Log Eintragen re IR Header eines Audit Log Eintrags ehe WO Strukturierte Daten eines Audit Log Eintrags Eee 0 tan Element 2c ceued 345 ge amp amp eave TAD ServerView env 231 Element i Se eee eee tk hee Gee 0D ServerView audit 231 Element 2 144 ServerView lt COMP_NAME gt msg 231 Element saae 142 ServerView lt COMP_NAME gt lt operation gt 231 Element 142 Beispiele Eintr ge in der Audit Log Datei 146 Anhang 1 Globale iRMC S2 S3 Benutzerverwaltung via Verzeichnisdienst Huren nn 149 Konzept der Benutzerverwaltung f r den iRMC S2 S3 150 Globale Benutzerverwaltung f r den iRMC S2 S3 152 Nu MEENET RS E
24. ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically available version or derivative of this code cannot be changed i e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence 308 Benutzerverwaltung in ServerView
25. Benutzers kann sich an beliebiger Stelle im Baum befinden gt Erteilen Sie dem Principal User Suchberechtigung f r die folgenden Teilb ume Teilbaum OU iRMCgroups oder SVS Teilbaum OU der die Benutzer enth lt z B people Den iRMC Gruppen und Benutzern Benutzerrechte erteilen Standardm ig verf gt ein Objekt in eDirectory nur ber sehr eingeschr nkte Abfrage und Suchberechtigungen in einem LDAP Baum Damit ein Objekt alle Attribute in einem oder mehreren Teilb umen abfragen kann m sse Sie diesem Objekt die entsprechenden Rechte zuweisen Berechtigungen erteilen Sie wahlweise einem einzelnen Objekt d h einem speziellen Benutzer oder einer Gruppe von Objekten die in einer Organizational Unit OU wie z B SVS oder people zusammengefasst sind Dabei gehen Berechtigungen die einer OU erteilt und als inherited gekennzeichnet sind automatisch auf die Objekte dieser Gruppe ber Benutzerverwaltung in ServerView 199 Globale Benutzerverwaltung f r den iRMC S2 S3 F r die Integration der IRMC S2 S3 Benutzerverwaltung in Novell eDirectory ist es erforderlich folgenden Objekten Trustees Suchberechtigung zu erteilen Principal User Teilbaum der die IRMC S2 S3 Benutzer enth lt Wie Sie dabei im Einzelnen vorgehen ist nachfolgend beschrieben Um einem Objekt die Suchberechtigung f r alle Attribute zu erteilen verfahren Sie wie folgt gt Starten Sie den iManager via Web Browse
26. Benutzerverwaltung f r den iRMC S2 S3 O o O oO o o o ae ee ee O ee ee ee ee ee ee ee ee ee e e O ee ee ee ee ee O O Ze Ze ee ee Copyright C 1995 1998 Eric Young leay cryptsoft com All rights reserved This package is an 55L implementation written by Eric Young eay cryptsoft com The implementation was written so as to conform with Netscapes SSL This library is free for commercial and non commercial use as long as the following conditions are aheared to The following conditions apply to all code found in this distribution be it the RC4 RSA lhash DES etc code not just the SSL code The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson tjh cryptsoft com Copyright remains Eric Young s and as such any Copyright notices in the code are not to be removed If this package is used in a product Eric Young should be given attribution as the author of the parts of the library used This can be in the form of a textual message at program startup or in documentation online or textual provided with the package Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright n
27. Berechtigungsgruppe hinzuf gen Gehen Sie wie folgt vor Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein Erzeugen Sie einen neuen Benutzer Gehen Sie hierbei wie folgt vor gt Y Y Y VY Vv vy iY W hlen Sie den Teilbaum Untergruppe in dem der neue Benutzer angelegt werden soll Der neue Benutzer kann an beliebiger Stelle des Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Klicken Sie auf Set und geben Sie das Passwort ein Geben Sie einen Sur Name SN ein Klicken Sie auf Apply Benutzerverwaltung in ServerView 215 Globale Benutzerverwaltung f r den iRMC S2 S3 Ordnen Sie den soeben erzeugten Benutzer der Berechtigungsgruppe zu Gehen Sie hierbei wie folgt vor gt W hlen Sie den Teilbaum Untergruppe von iRMCgroups oder SVS dem der Benutzer angeh ren soll d h F r LDAP vl cn UserKVM ou YourDepartment ou Departments ou iRMCgroups dc myorganisation dc mycompany F r LDAP v2 cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany gt ffnen Sie das Men Edit gt W hlen Sie Add Attribute gt Geben Sie als Attributnamen Member ein Als Wert geben Sie den voll qualifizierten DN zuvor erzeugten Benutzers an also cn UserKVM ou YourDepartment ou Departments ou iRMCg
28. Controller Klicken Sie auf Ser und geben Sie ein Passwort ein Geben Sie einen Sur Name SN ein Klicken Sie auf Apply 294 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Neuen iRMC S4 Benutzer erzeugen und den Berechtigungsgruppen zuordnen il Verwenden Sie f r Erzeugung eines neuen Benutzers ObjectClass Person sowie zur Zuordnung eines Benutzers zur Berechtigungsgruppe einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 293 Im Folgenden ist beschrieben wie Sie mithilfe des LDAP Browser Editor von Jarek Gawor einen neuen iRMC S4 Benutzer erzeugen und ihn zur Berechtigungsgruppe hinzuf gen Gehen Sie wie folgt vor Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein Erzeugen Sie einen neuen Benutzer Gehen Sie hierbei wie folgt vor gt Y Y Y VY Vv vy iY W hlen Sie den Teilbaum Untergruppe in dem der neue Benutzer angelegt werden soll Der neue Benutzer kann an beliebiger Stelle des Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Klicken Sie auf Set und geben Sie das Passwort ein Geben Sie einen Sur Name SN ein Klicken Sie auf Apply Benutzerverwaltung in ServerView 295 Globale Benutzerverwaltung f r den iRMC S4 Ordnen Sie den soeben erzeugten Benutze
29. Die Reihenfolge der Schritte wird in der Baumstruktur auf der linken Seite angezeigt Sie m ssen diese Schritte jedoch nicht unbedingt in dieser Reihenfolge bearbeiten Vielmehr k nnen Sie jeden der drei Schritte Role Definition User amp Password und Assign Role to User unabh ngig von den anderen Schritten durchf hren Nach Eingabe Ihrer Einstellungen k nnen Sie mit im Schritt Finish Ihre Einstellungen aktivieren und den Wizard verlassen Mit Schaltfl chen die unten rechts in jedem Dialog angeordnet sind k nnen Sie den Wizard durchlaufen Zur ck Offnet den vorausgehenden Schritt des Wizards Weiter ffnet den n chsten Schritt des Wizards Benutzerverwaltung in ServerView 49 ServerView Benutzerverwaltung mit OpenDJ Beenden SchlieBt den Wizard und aktiviert alle Ihre Einstellungen i Die Schaltfl che Beenden ist nur im Dialogschritt Finish aktiviert Abbrechen Beendet den Wizard ohne Ihre Einstellungen zu aktivieren Im Folgenden finden Sie eine detaillierte Beschreibung zu den Dialogen des User Management Wizards Role Definitions Im Dialog Role Definitions k nnen Sie neue Rollen definieren existierende Rollen l schen sowie Berechtigung zu Rolle Zuordnungen aktivieren deaktivieren Der Dialog zeigt tabellarisch alle zurzeit definierten Rollen mit den zugeh rigen Privilegien an S ServerView User Management Wizard User Management Role Definitions User amp Password A privilege Is a right
30. Dieses Cookie enth lt einen String zur Identifizierung eines Ticket Granting Ticket TGT und wird demzufolge als Ticket Granting Cookie TGT Cookie oder TGC bezeichnet Das TGT wird gel scht sobald der Benutzer sich beim CAS Service i abmeldet oder den Web Browser schlie t Die Lebensdauer des Ticket Granting Ticket Cookie TGT ist in der Konfigurationsdatei des CAS Service festgelegt Die maximale Lebensdauer des TGT betr gt maximal 24 Stunden Dies bedeutet dass ein Benutzer sp testens nach 24 Stunden abgemeldet wird In einem installierten System kann die maximale Zeitspanne nicht ver ndert werden Wie CAS basiertes SSO einen initialen SSO Request verarbeitet Bild 3 veranschaulicht wie CAS basiertes Single Sign on SSO eine initiale Single Sign on Authentifizierung durchf hrt Browser Client weiterleiten TGT ST setzen TGCS Benutzername Passwort Web Server 1 Bild 3 SSO Architektur mit CAS Service Benutzerverwaltung in ServerView 31 Single Sign on SSO mithilfe eines CAS Service Bedeutung 1 Ein Benutzer ruft eine Komponente der ServerView Suite z B ServerView Operations Manager auf indem er die URL der Komponente an der Management Konsole eingibt 2 Der Benutzer Request wird an den CAS Service weitergeleitet 3 Der CAS Service erzeugt ein CAS Anmeldefenster das an der Management Konsole angezeigt wird Das CAS Anmeldefenster fordert den Benut
31. Ereignis ab Die Elemente und Werte sind weiter unten detailliert beschrieben Die Audit Log Eintr ge enthalten die nachfolgend beschriebenen Elemente wobei COMP_NAME den Namen der zugeh rigen Komponente bezeichnet Das Element mit Namen ServerView COMP_NAME audit 231 ist in jedem Eintrag enthalten Alle anderen Elemente sind optional 6 2 3 1 origin Element Das origin Element ist in Eintr gen mit der Msgld INIT enthalten Der Elementname origin und die Bedeutung seiner Parameter sind bei der Internet Assigned Numbers Authority IANA for RFC 5424 registriert und haben demzufolge kein Suffix 231 Das origin Element enth lt Informationen dar ber welches Produkt welches Lieferanten den Logging Eintrag erzeugt hat Parameter Bedeutung Software Produktname immer ServerView und Komponentenname z B CAS swVersion Version der ServerView Komponente zum Zeitpunkt als der Audit Log Eintrag erzeugt wurde enterpriseld Private Enterprise Number die f r eine Firma bei IANA registriert ist Die Private Enterprise Number f r Fujitsu Technology Solutions lautet 231 Tabelle 26 Audit Log Eintrag origin Element 140 Benutzerverwaltung in ServerView Eintrage des Audit Logs 6 2 3 2 ServerView env 231 Element Das ServerView env 23 Element ist nur in Logging Eintr gen mit Msgid INIT enthalten Es enth lt Informationen ber die Laufzeitumgebung Runtime Environment Parameter Be
32. F hren Sie die folgenden Schritte f r alle Berechtigungsgruppen durch denen Sie iRMC S2 S3 Benutzer zuordnen wollen gt Selektieren Sie via Objektselektor Schaltflache X die Berechtigungsgruppe der Sie IRMC S2 S3 Benutzer hinzuf gen wollen siehe Bild 54 auf Seite 204 Administrator AuthorizationRoles DeptX Departments SVS sbrd4 Benutzerverwaltung in ServerView 203 Globale Benutzerverwaltung f r den iRMC S2 S3 gt W hlen Sie die Registerkarte Members Die Registerkarte Members der Seite Modify Group wird angezeigt Collection Owner Access Roles and Tasks All Categories bd Modify Group amp Administrator AuthorizationRoles DeptX Departments SVS sbrd4 Bl Rn a a Create Grow Members 4 Delete Group Modify Group 2 Modify Members of Group Members Move Group fa Rename Group fe E View My Groups Lo Help Desk i LDAP OK Cancel De 4 apy Bild 54 iManager Roles and Tasks Modify Group Registerkarte Members LDAP v2 F hren Sie den folgenden Schritt f r alle Benutzer der OU people durch die Sie der ausgew hlten iRMC Gruppe zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltfl che Das Object Selector Browser Fenster wird ge ffnet siehe Bild 55 auf Seite 205 204 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 e Object Selector Browser Microsoft Internet Explorer Browse Search
33. Format mit folgendem Kommando konvertieren openssl x509 in certreply cer inform DER out certreply pem outform PEM Benutzerverwaltung in ServerView 87 SSL Zertifikate auf der Management Station verwalten Wenn das Zertifikat erweiterte Key Usages enthalten soll ist es wichtig dass es fiir die Key Usages Server Authentifizierung 1 3 6 1 5 5 7 3 1 und Client Authentfizierung 1 3 6 1 5 5 7 3 2 signiert wird weil es sowohl als Server Zertifikat als auch als Client Zertifikat verwendet wird 3 Speichern Sie das signierte Zertifikat in einer Datei ab 4 Verifizieren Sie das signierte Zertifikat 88 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 3 Software Tools zur Zertifikats und Schlusselverwaltung F r die Verwaltung von Zertifikaten und zugeh rigen Schl sseln werden folgende Tools ben tigt openssl Das openssl Tool k nnen Sie aus dem Internet herunterladen z B von der Shining Light Productions Website http www siproweb com Alternativ empfiehlt sich auch die Installation der Cygwin Umgebung http www cygwin com Wenn Sie das Tool openssl von der Shining Light Productions Website verwenden m ssen Sie die Umgebungsvariable OPENSSL_CONF auf folgenden Wert setzen lt path to the OpenSSL installation directory gt bin openssl cfg keytool Das keytool k nnen Sie von der Oracle Homepage herunterladen Da das keytool neben der Java Virtua
34. Geltungsbereich AccessRack Rack Gruppen Uberwachen auch Alle bekannt unter der Bezeichnung Anlagenwartung AccessUserGroup Benutzerdefinierte Gruppen ansehen Alle ModifyRack Rack Postionen bearbeiten nicht Alle zugegewiesene Systeme in Racks gruppieren ModifyTask Neue Tasks erzeugen Alle ModifyUserGroup Benutzerdefinierte Gruppen erzeugen Alle und andern Table 15 Berechtigungen der Kategorie RackManager Benutzerverwaltung in ServerView 125 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 13 Kategorie RaidMgr Die RaidMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den RAID Manager sowie f r die RAID Konfiguration Berechtigung Erlaubnis Geltungsbereich Lese Schreib Zugriff AccessRaidMgr Zugriff auf den RAID Manager All Lesezugriff ModifyRaidConfig RAID Konfiguration ndern All Table 16 Berechtigungen der Kategorie RaidMgr 5 1 14 Kategorie RemDeploy Die RemDeploy Kategorie umfasst die Berechtigungen f r Installation und Deployment Aktivit ten Berechtigung Erlaubnis Geltungsbereich AccessDeploymentMgr Zugriff auf den Installation Manager Management Station AccessDeploymentMgr2 Zugriff auf Deployment Manager Management Station ModifyDmNode Server erzeugen modifizieren und All l schen Deployment Konfiguration exportieren und importieren ModifyDmSettings Global
35. Gessnseenseenseseeee Fannwortbestitgens 1 Principal Benutzer DI CN syaser gysusers Baily DN an Principal Benutzer DN anh ngen 7 Eind ON CN svuser ou users do fujitsu de com Iterts Benutzer Anmeldung Benutzer Such Kritertum bernehmen TestLDap Zugang LDAP Status richsetzer Bild 15 iRMC S2 S3 S4 f r die Benutzerverwaltung mit OpenDS OpenDJ konfigurieren Benutzerverwaltung in ServerView 59 ServerView Benutzerverwaltung mit OpenDJ Erforderliche Einstellungen in der Gruppe Globale Verzeichnisdienst Konfiguration 1 W hlen Sie LDAP aktiviert und LDAP SSL aktiviert 2 W hlen Sie OpenDS unter Verzeichnis Server Typ und klicken Sie auf bernehmen 3 Konfigurieren Sie unter Prim rer LDAP Server die folgenden Einstellungen LDAP Server DNS Name der zentralen Management Station Sie sollten hier den selben Namen angeben den Sie bei der Installation des Operations Managers auf der Management Station angegeben haben LDAP Port 1473 LDAP SSL Port 1474 4 Spezifizieren Sie unter Abteilungs Name das Defaul Department DEFAULT 5 Spezifizieren Sie unter Basis DN dc fujitsu dc com 6 Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren Erforderliche Einstellungen in der Gruppe Verzeichnisdienst Zugangs Konfiguration 1 Geben Sie unter Principal Benutzer DN ein cn svuser ou users 2 W hlen Sie Basis DN an Principal Benutzer DN anh ngen 3 W hlen Sie Erw
36. IRMC S2 S3 Berechtigungsgruppen Authorization Roles In Active Directory z B treffen Sie die Zuordnung ber die Schaltfl che Add im Eigenschaften Dialog des Snap in Active Directory Benutzer und Computer siehe Bild 58 auf Seite 225 226 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 9 SSL Copyright Die iRMC S2 S3 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young E e E E E ee ze E ee ee ee ee ze ee ee ee u ee ee ze ee ee ee ae a Ze ee ze u ee o o ee Copyright c 1998 2002 The OpenSSL Project All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http mm openssl org 4 The names OpenSSL Toolkit and OpenSSL Project must not be used to endorse or promote pr
37. LDAP E Mail aktiviert gesetzt ist sendet der IRMC S4 im Fall einer Alarmbenachrichtigung E Mails an siehe auch Handbuch iRMC S4 integrated Remote Management Controller alle entsprechend konfigurierten lokalen iRMC S4 Benutzer alle globalen iRMC S4 Benutzer die in der LDAP E Mail Tabelle f r diese Alarmbenachrichtigung registriert sind Die LDAP E Mail Tabelle wird in der IRMC S4 Firmware erstmalig beim Erst Start des IRMC S4 angelegt und danach in regelm igen Abst nden aktualisiert Der Umfang der LDAP E Mail Tabelle ist begrenzt auf maximal 64 LDAP Benachrichtigungsgruppen sowie auf maximal 64 globale iRMC S4 Benutzer f r die E Mail Benachrichtigung konfiguriert ist Es wird empfohlen f r die globale E Mail Benachrichtigung Email Verteiler zu verwenden Benutzerverwaltung in ServerView 301 Globale Benutzerverwaltung f r den iRMC S4 Fur die E Mail Benachrichtigung ermittelt der LDAP Verzeichnisserver aus der E Mail Tabelle folgende Informationen e Liste der globalen iRMC S4 Benutzer f r die E Mail Benachrichtigung konfiguriert ist e F r jeden globalen iRMC S4 Benutzer Liste der konfigurierten Alarmbenachrichtigungen des jeweiligen Alerts Art und Fehlergewicht Gew nschtes Mail Format Die LDAP E Mail Tabelle wird bei folgenden Anl ssen aktualisiert Erst Neustart des IRMC S4 nderung der LDAP Konfiguration In regelm igen Abst nden optional Das Aktualise
38. S3 nicht unterst tzt Benutzerverwaltung in ServerView 149 Konzept der Benutzerverwaltung f r den iRMC S2 S3 7 1 Konzept der Benutzerverwaltung fur den IRMC S2 S3 Die Benutzerverwaltung f r den iRMC S2 S3 unterst tzt die parallele Verwaltung lokaler und globaler Benutzerkennungen Bei der Validierung der Authentisierungsdaten Benutzername Passwort die ein Benutzer beim Login an einer der IRMC S2 S3 Schnittstellen eingibt verfahrt der IRMC S2 S3 gem dem folgenden Ablauf siehe auch Bild 34 auf Seite 151 1 Der iRMC S2 S3 gleicht den Benutzernamen und das Passwort mit den lokal gespeicherten Benutzerkennungen ab e Bei erfolgreicher Authentifizierung des Benutzers durch den iRMC S2 S3 Benutzername und Passwort sind g ltig darf sich der Benutzer einloggen e Andernfalls setzt der IRMC S2 S3 die Pr fung mit Schritt 2 fort 2 Der iRMC S2 S3 authentisiert sich beim Verzeichnisdienst via LDAP mit Benutzernamen und Passwort ermittelt per LDAP Anfrage die Benutzerrechte und pr ft ob der Benutzer damit am iRMC S2 S3 arbeiten darf 150 Benutzerverwaltung in ServerView Konzept der Benutzerverwaltung f r den iRMC S2 S3 IRMC S2 S3 Serielle Web Oberfl che SoN Tenet Schnittstelle Login Login Login Login SSH Benutzername Passwort IRMC S2 S3 lokale Benutzerkennungen Benutzername Passwort LDAP Login Verzeichnisdienst globale Benutzerkennungen Bild 34 Login Authentifizierung durch
39. S4 finden Sie in den Handb chern iRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller 3 2 5 1 iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit OpenDJ und SSO integrieren Auf der Seite Verzeichnisdienst Konfiguration der IRMC S2 S3 S4 Web Oberfl che k nnen Sie den iRMC S2 S3 S4 f r die globale Benutzerverwaltung mit dem Verzeichnisdienst OpenDJ konfigurieren der zusammen mit dem Operations Manager installiert wurde Die erforderlichen Einstellungen sind in Bild 15 dargestellt und werden anschlie end erl utert 58 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ LDAP aktiviert 7 LDAP SL aktiviert 7 Lokales Anmelden gesperrt SSL Anmeldung Immer aktiv verzeichnis Server OpenDS Prim ter LDAP Sener LOAP Server Back p LDAP Sener LDAP Server LDAP Port 339 LDAP SSL Port Abtellungs Mamet DEFAULT Bails ON de fujitsu de com Gruppen verzeichnis als Unterbaum vom Basis DN Benutzer Such Kontest bernehmen Hinweis 1 Achtung Wenn Ihr Verzeichnis Server nicht erreichbar ist und LDAP aktiviert ist k nnen Sie sich nicht anmelden Lj Hiwek Zi Wenn LDAP alchtaktk rt kt Kner Sk mitdkser Ehsellng de Verwerduug der HTTPS Aime king erzwiigen DE Standard Browser Aime klang sack RFCBIT wird dabe I gespe rt LDAP Status LDAP Parameter Check OK Lospaugang Kennwort
40. Server durchf hrt Optional kann der Update Job zus tzliche Update Komponenten umfassen Einzelheiten zum Erstellen eines Update Jobs finden Sie im Handbuch ServerView Update Manager 112 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A Server Details im Hauptfenster des Update Managers nach erfolgreicher Installation des CMS Zertifikats auf dem verwalteten Server Sobald das CMS Zertifikat auf dem verwalteten Server erfolgreich installiert ist wird f r diesen Server unter Agent Access in der Registerkarte Server Details der Hinweis certified angezeigt siehe Bild 30 Update Manager Fujitsu Technology Solutions S ServerView User administrator Update Manager Repository Manager Download Manager Configurabon ame Name T Network T Model 7 Update Type T toemi stans IE nent Recess Nif Update Sisia Vb Stats Tusche YV pdbsm x105 192 168 1 15 PRIMERGY RX 10 online normal done 9 9 10 11 35 AM L Q Lokales Intranet Gesch tzter Modus Inaktiv RIOS v AN Bild 30 Update Manager Hauptfenster Registerkarte Server Details CMS Zertifikat wurde erfolgreich installiert Benutzerverwaltung in ServerView 113 Verwalteten Server Systeme f r Role Based Access RBAC und Client At Update Details im Hauptfenster des Update Managers nach erfolgreicher Installation des CMS Zertifikats auf dem verwalteten Server
41. ServerView 55 ServerView Benutzerverwaltung mit OpenDJ Assigned Roles Listet alle definierten Rollen auf Jeder Rolle ist eine Assigned Option vorangestellt die anzeigt ob die zugeh rige Rolle derzeit dem ausgew hlten Benutzer zugeordnet ist Option ausgew hlt oder nicht Option abgew hlt Sie k nnen eine Berechtigung zu Rolle Zuordnung aktivieren deaktivieren indem Sie die zugeordnete Assigned Option ausw hlen abw hlen Privileges Zeigt die Gesamtheit der Berechtigungen an die den Rollen des ausgew hlten Benutzers zugeordnet sind Description of Privilege Kurzbeschreibung zur ausgew hlten Berechtigung Reset Setzt die Benutzer zu Rolle Zuordnungen auf die zuletzt abgespeicherten Einstellungen zur ck Finish Der Dialog Finish zeigt eine Zusammenfassung der von Ihnen in der aktuellen User Management Sitzung durchgef hrten Schritte an Per Klick auf Beenden aktivieren Sie Ihre Einstellungen und schlie en den Wizard 56 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ S ServerView Fujitsu User Management Role Definitions User amp Password Role to User nish The basic configuration is now completed and ServerView User Management will work according to the defined settings You have modified Role Definitions User amp Password Assign Role to User IF you want to modify settings again you can use this wizard at any
42. Zertifikaten ModifyCMSSettings Lokale Konfigurtionseinstellungen auf Alle der Management Station andern ModifyPasswordTable Passwort Tabelle andern Management Station PerformDownload Daten aus dem ServerView Management Installationsverzeichnis auf die Station Management Station herunterladen PerformLocate Toggle Identifizierungs LED ein ausschalten Managed Node PerformServerErrorAck Fehlermeldung bez glich eines Servers Management bestatigen Station Table 9 Berechtigungen der Kategorie Common Benutzerverwaltung in ServerView 121 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 7 Kategorie ConfigMgr Die ConfigMgr Kategorie umfasst die Berechtigungen f r Zugriff auf und Benutzung des Server Configuration Managers sowie die Berechtigungen zur Nutzung der Funktionalit t des Operations Managers f r die ferngesteuerte Energieverwaltung Remote Power Management Berechtigung Erlaubnis Geltungsbereich Nodes mithilfe des Server Configuration Managers ndern AccessServerConfig Zugriff auf den Server Configuration Alle Manager ModifyPowerOnOffSettings Shutdown Kommandos ausf hren und Alle Shutdown Einstellungen andern ModifyServerConfig Server Konfiguration von Managed Alle Table 10 Berechtigungen der Kategorie ConfigMgr 5 1 8 Kategorie InvMgr Die InvMgr Kategorie umfasst die Berechtigungen fur den Zugriff auf den Inventor
43. auf Seite 182 Benutzerverwaltung in ServerView 181 Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen Ed E3 Objekttyp Benutzer oder ndere Objekte Objekttypen Suchpfad Users Pfade Geben Sie die zu verwendenden Objektnamen ein Beispiele ames Bond pdbjbond fwlab firm net Namen berpr fen Martin Clemens pdbmclem fwlab firm net willi W hlmaus pdbwwuehl fwlab firm net ra Bild 48 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse best tigren gt Best tigen Sie mit OK 182 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 iRMC S2 S3 Benutzerverwaltung via Novell eDirectory Dieser Abschnitt informiert Uber die folgenden Themen Software Komponenten und Systemanforderungen von Novell eDirectory Novell eDirectory installieren Novell eDirectory konfigurieren iRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren Tipps zur Administration von Novell eDirectory Installation und Konfiguration von Novell eDirectory werden im il Folgenden ausf hrlich beschrieben Tiefere eDirectory Kenntnisse werden nicht vorausgesetzt Sofern Sie bereits mit Novell eDirectory vertraut sind k nnen Sie die folgenden drei Abschnitte berspringen und fortfahren mit Abschnitt RMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren auf Seite 197 7 2 6 1 Soft
44. auf zweites Terminal umleiten Starten Sie ndstrace und leiten Sie die Meldungsausgebe um ndstrace 1 gt ndstrace log gt ffnen Sie ein zweites Terminal mithilfe der folgenden Tastenkombination Etri a Crt c gt Schalten Sie den Mitschnitt der Protokollierung ein tail f ndstrace log Um zwischen den virtuellen Terminals hin und herzuschalten verwenden Sie die Tastenkombination Ctri a Crti 0 Die Terminals sind von 0 bis 9 durchnummeriert Benutzerverwaltung in ServerView 209 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 7 iRMC S2 S3 Benutzerverwaltung via OpenLDAP Dieser Abschnitt informiert Uber die folgenden Themen OpenLDAP installieren Linux SSL Zertifikat erzeugen OpenLDAP konfigurieren iRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren Tipps zur Administration von OpenLDAP 7 2 7 1 OpenLDAP installieren Vor der Installation von OpenLDAP m ssen Sie die Firewall f r Verbindungen zu den Ports 389 und 636 konfigurieren Bei OpenSuSE verfahren Sie hierf r wie folgt Erg nzen Sie in der Datei etc sysconfig SuSEfirewall2 die Option FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 389 636 Zur Installation der Packages OpenSSL und OpenLDAP2 vom Distributionsmedium verwenden Sie das Setup Tool YaST 7 2 7 2 SSL Zertifikate erzeugen Es soll ein Zertifikat mit folgenden Eigenschaften
45. baldm glichst zu ndern Einzelheiten zum ndern von Passw rtern finden Sie im Abschnitt Passw rter der vordefinierten Benutzer definieren ndern auf Seite 38 Detaillierte Informationen zum Berechtigungsumfang der durch die einzelnen Benutzerrollen gew hrt wird finden Sie im Kapitel Rollenbasierte Berechtigungen f r den Zugriff auf den Operations Manager auf Seite 117 36 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ Benutzerna me Passwort Benutzerrolle LDAP Distinguished name Beschreibung alt admin cn Directory Manager cn Root DNS cn config Kennung des OpenDu Directory Managers Ein Root DN oder Root Benutzer kann generell auf alle Daten im Server zugreifen In OpenDJ sind Root Benutzer standardm ig berechtigt die Zugriffs berpr fung zu umgehen Root Benutzer verf gen ber die vollst ndige Berechtigung f r Server Konfiguration und Ausf hrung der meisten anderen Operationen OpenDJ gestattet es den Server mit mehren Root Benutzern zu konfigurieren Alle den Root Benutzern gew hrten Berechtigungen werden direkt ber Privilegien erteilt svuser Das Password muss w hrend der Installation des Operations Managers angegeben werden cn svuser ou users dc fujitsu dc com Diese Kennung wird verwendet f r den Zugriff auf den Verzeichnisdienst durch CAS und den Sicherheitsmodul von ServerView Die zugeh rigen Daten finden Sie
46. den iRMC S4 Die Nutzung von SSL f r die LDAP Verbindung zwischen dem iRMC S4 il und dem Verzeichnisdienst ist optional wird jedoch empfohlen Eine SSL gesicherte LDAP Verbindung zwischen iRMC S4 und Verzeichnisdienst garantiert den sicheren Austausch der Daten insbesondere auch von Benutzernamen und Passwort SSL Login ber die IRMC S4 Web Oberflache ist nur dann erforderlich wenn LDAP aktiviert ist siehe Handbuch iRMC S4 integrated Remote Management Controller Benutzerverwaltung in ServerView 231 Globale Benutzerverwaltung f r den iRMC S4 8 2 Globale Benutzerverwaltung f r den iIRMC S4 Die globalen Benutzerkennungen f r den iRMC S4 werden zentral f r alle Plattformen mithilfe eines LDAP Verzeichnisdienstes verwaltet F r die IRMC S4 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP Open DS ForgeRock s OpenDJ Dieser Abschnitt informiert Uber folgende Themen berblick ber die globale Benutzerverwaltung f r den IRMC S4 Konzept der globalen Benutzerverwaltung f r den iRMC S4 mithilfe eines LDAP Verzeichnisdienstes Globale iRMC S4 Benutzerverwaltung im Verzeichnisdienst konfigurieren iIRMC S4 spezifische Berechtigungsstrukturen im Verzeichnisdienst generieren Globale iRMC S4 Benutzerverwaltung via Microsoft Active Directory Globale iRMC S4 Benutzerverwaltung via Novell eDire
47. den iRMC S4 Too ts Ta Rights To Other Objects Microsoft Int E Roles and Tasks All Catagories eDirectory Maintenance a Add Property Property name it Groups Help Desk Object name p Entry Rights ACL 1H LDAP Account Balance EI NMAS Management Delete Property Allow Unlimited Credit Property Na Audit File Link Partition and Replicas Authority Revocation Rights Back Link i Bindery Property Modify Inherited Rights Fiter CA Public Key zl Modify Trustees Rights To Other Objects I Show all properties in schema View Effective Rights Schema Users Bild 78 iManager Roles and Tasks Rights To Other Objects Add Property gt Markieren Sie die Property All Attributes Rights und f gen Sie durch Klicken auf OK hinzu gt Aktivieren Sie f r die Property All Attributes Rights die Optionen Compare Read und Inherit und best tigen Sie mit OK Damit sind Benutzer Benutzergruppe zur Abfrage aller Attribute im Teilbaum des ausgew hlten Objekts autorisiert gt Klicken Sie auf Apply um Ihre Einstellungen zu aktivieren 282 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 6 5 iRMC S4 Benutzer der Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S4 Benutzern z B der OU people zu IRMC S4 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag g nstig bei wenigen Benutzereint
48. die Audit Log Informationen in die Windows Ereignisanzeige geschrieben Event Yiewer of xi File Action View Help e mlm B EY Event Properties Be Event Viewer Local i Application 4 Security 3 System Internet Explorer AR Source Serverview Audit 28 t Time 16 40 24 Category Printers Eal Type Information EventID 4096 User N A Computer PONTRESINA Description The description for Event ID 4096 in Source ServerView Audit cannot be found The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer You may be able to use the AUXSOURCE flag to retrieve this description see Help and Support for details The following information is part of the event lt 110 gt 1 2011 07 28T16 40 24 937 02 00 pontresina ServerView STS STOP ServerView audit 231 result success ServerView msq 231 messageld logging syslog operation stop Audit terminated Data Bytes Words Bild 33 Der ServerView Audit Log ist Bestandteil der Windows Ereignisanzeige Audit Log Information in Linux Systemen In Linux Systemen werden die Audit Log Informationen in die UTF 8 codierte Datei audit log geschrieben die im Verzeichnis var log fujitsu ServerViewSuite jboss liegt Die Datei audit log wird t glich neu erzeugt Die Vorg ngerdatei der aktuellen audit log Datei wird umbenannt in audi
49. die Datei lt system_name gt scs pem auf dem verwalteten Server installiert werden lt system_name gt scs xml Konfigurationsdatei des Security Interceptors Diese Datei wird intern f r Validierungsaufrufe verwendet Fur die Aktivierung der RBAC Funktionalitat auf dem verwalteten Server muss die Datei lt system_name gt scs xml auf dem verwalteten Server installiert werden Der Operations Manager Installations Wizard installiert beide Dateien in folgendem Verzeichnis der Management Station lt ServerView directory gt svcommon data download pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux Systemen Im Folgenden werden die Dateien lt system_name gt scs pem und lt system_name gt scs xml kurz Zertifikatsdateien genannt Benutzerverwaltung in ServerView 83 SSL Zertifikate verwalten Uberblick Schl sselpaare verwalten keystore und truststore Dateien Das Java basierte Schl ssel und Zertifikatsmanagement auf dem JBoss Web Server verwaltet Schl sselpaare und Zertifikate mithilfe zweier Dateien Inder keystore Datei Dateiname keystore speichert der JBoss Web Server seine eigenen Schl sselpaare und Zertifikate Die truststore Datei Dateiname cacerts enth lt alle Zertifikate die der JBoss Web Server als vertrauensw rdig einstuft keystore und truststore Datei liegen im folgenden Verzeichnis lt ServerView directory gt jboss standalon
50. diesen Prozess f r die globale iRMC S4 Benutzerverwaltung mithilfe von Novell eDirectory Das Herstellen einer Verbindung und die Anmeldung mit entsprechenden Anmeldeinformationen wird als BIND Operation bezeichnet SSL basierte Kommunikation IRMC S4 Bind als Principal User 4 iRMC S4 ist authentifiziert iRMC S4 ermittelt den 2 vollqualifizierten DN des User gt 4 iRMC S4 ermittelt die 4 Benutzerrechte des User1 eDirectory IRMC S4 a Bind mit User1 DN Benutzerberechtigungen User1 ist authentifiziert 1 Der iRMC S4 loggt sich am eDirectory Server mit vordefinierten bekannten Berechtigungsdaten iRMC Einstellung als Principal User ein und wartet auf den erfolgreichen Bind 2 Der iRMC S4 erfragt vom eDirectory Server den voll qualifizierten Distinguished Name DN des Benutzers mit cn User1 eDirectory ermittelt den DN aus dem vorkonfigurierten Teilbaum iRMC Einstellung 3 Der iRMC S4 loggt sich am eDirectory Server mit dem vollqualifizierten DN des Benutzers User1 ein und wartet auf den erfolgreichen Bind 4 Der iRMC S4 erfragt vom eDirectory Server die Benutzerberechtigungen des Benutzers User1 Bild 76 Authentifizierungsschema f r globale iRMC S4 Benutzerberechtigungen 278 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Die Berechtigungsdaten des Principal User sowie den Teilbaum der i die DNs enth lt konfigurieren Sie in der S
51. eine nicht SSL gesicherte Verbindung in eDirectory einzuloggen 276 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 x Session Options Host Info Host 192 168 37 238 Port 1389 Version am Base DN dc myorganization dc mycompany 5 r Fetch DNs _ SSL _ Anonymous bind User Info IE User DN cn admin v append base DN Password Bild 75 LDAP Zugriff auf eDirectory testen SSL nicht aktiviert Falls die Anmeldung erneut fehlschl gt Lockern Sie die Bind Restriktionen siehe Seite 274 8 2 6 4 iRMC S4 Benutzerverwaltung in Novell eDirectory integrieren i Voraussetzung Eine LDAP v1 und oder eine LDAP v2 Struktur ist im eDirectory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Struktur SVS generieren pflegen und l schen auf Seite 242 F r die Integration der IRMC S4 Benutzerverwaltung in Novell eDirectory sind die folgenden Schritte erforderlich Principal iRMC User erzeugen iRMC Gruppen und Benutzerrechte in eDirectory vereinbaren Benutzer den Berechtigungsgruppen zuordnen Benutzerverwaltung in ServerView 277 Globale Benutzerverwaltung f r den iRMC S4 LDAP Authentifizierungsprozess f r iRMC S4 Benutzer in eDirectory Die Authentifizierung eines globalen iRMC S4 Benutzers beim Login am iRMC S4 erfolgt nach einem fest vorgegebenen Schema siehe Seite 230 Bild 76 auf Seite 278 veranschaulicht
52. einer einzigen Zeile eingeben ldappasswordmodify h localhost p 1473 D en Directory Manager w admin a dn cn Directory Manager cn Root DNs cn config n new_dm_pw c admin Starten Sie den ServerView JBoss Service neu um Ihre Passwort Einstellungen zu aktivieren etc init d sv_jboss restart 40 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ 3 2 2 2 Passwort von svuser definieren ndern Der administrative Benutzer svuser wird in der Datenbank von OpenDJ w hrend der Installation des ServerView Operations Managers erzeugt In fr heren Versionen wurde svuser immer mit dem voreingestellten il Passwort admin erzeugt Ab Operations Manager V5 50 k nnen Sie das Passwort f r den Benutzer svuser w hrend einer Dialog basierten Installation angeben Zu Einzelheiten der Installation des Operations Managers siehe die Handb cher Installation ServerView Operations Manager Software unter Windows und Installation ServerView Operations Manager Software unter Linux il Das Passwort f r svuser darf keine leere Zeichenkette sein Passwort von svuser auf Windows Systemen definieren ndern Erstmals definieren Sie das Passwort von svuser w hrend der Installation des Operations Managers fe Fujitsu Server iew JBoss Application Server Setup Administrative User Password amp FUJITSU To work with OpenDJ directory server a password for the administrative user svuse
53. firm net 3170 SSLException java lang RuntimeException Unexpected error java security InvalidAlgorithmParameterException the trustAnchors parameter must be non empty writing to truststore svconf pki cacerts Dies bedeutet keinen Fehler sondern zeigt lediglich an dass das neue Zertifikat bislang noch nicht in die Datei truststore importiert wurde f Erzeugen Sie die Datei keystore pem im PEM Format Gehen Sie wie folgt vor gt Wechseln Sie zur ck in das folgende Verzeichnis lt ServerView directory gt jboss standalone svconf pki Wenden Sie das folgende Kommando an openssl pkcs12 in keystore pl2 passin pass changeit nodes out keystore pem passout pass Kopieren Sie die Datei keystore pem in das folgende Verzeichnis auf der Management Station lt ServerView directory gt jboss standalone svconf pki 94 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten g Erzeugen Sie die Datei lt system_name gt scs pem im PEM Format Gehen Sie wie folgt vor Wenden Sie das folgende Kommando an openssl pkcsl2 in keystore pl2 passin pass changeit out lt system_name gt scs pem passout pass Kopieren Sie das erstellte Zertifikat lt system_name gt scs pem in das folgende Verzeichnis auf der Management Station lt ServerView directory gt svcommon data download pki Geben Sie dazu folgendes Kommandb ein COPY lt system_name gt scs pem lt ServerVi
54. folgenden Schritte durchf hren 1 Nicht SSL gesicherte LDAP Verbindung erm glichen 2 Bind Restriktionen lockern 3 LDAP Konfiguration neu laden 274 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Gehen Sie wie folgt vor 1 Nicht SSL gesicherte LDAP Verbindung erm glichen gt yY v y y y Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein W hlen Sie den Roles and Tasks View W hlen Sie LDAP LDAP Options LDAP Server Connection Deaktivieren in der Registerkarte Connection die Option Require TLS for all Operations W hlen Sie LDAP LDAP Options LDAP Group General Deaktivieren die in der Registerkarte General die Option Require TLS for Simple Binds with password 2 Bind Restriktionen lockern gt gt vv YV vy 7y gt Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein Navigieren Sie im Objekt Baum zum LDAP Server Objekt Markieren Sie das LDAP Server Objekt per Maus Klick und w hlen Sie Modify Object im zugh rigen Kontext Men ffnen Sie im rechten Content Frame das Other Sheet W hlen Sie unter Valued Attributes IdapBindRestrictions Klicken Sie auf die Schaltfl che Edit Setzen Sie den Wertauf 0 Klicken Sie auf die Schaltfl che OK Klicken Sie im Other Sheet auf die Schaltfl che Apply 3 LDAP Konfiguration neu laden gt gt
55. hlen Es kann hilfreich sein die Spalte Name RDN Login Name in der Liste Search results auszuw hlen und durch Eingrenzen von Name die Suche per Klick auf Find Now zu beschleunigen Benutzerverwaltung in ServerView 71 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren f W hlen Sie den gew nschten Benutzer oder oder die Gruppe und klicken Sie auf OK Der Benutzer Baker wird nun in der Liste object names des bergeordneten Dialogs angezeigt Select Users Contacts Computers or Groups Select this object type Be Groups or Other objects Qbyect Types Erom this locator oomuLioT heal Locations Enter the object names to select qxamolest John BakerfNYBak DOMULION locall Check Names oK Ce Bild 23 Select Users Dialog Benutzer Baker wird angezeigt g Klicken Sie auf OK Der Benutzer Baker wird nun in der Registerkarte Members des Dialogs Monitor Properties angezeigt Monitor Properties 21x General Members Member Of Managed By Object Securty Members Name Active Directory Folder E John Baker DOMULIO1 local Users ok Come a Bild 24 Dialog Properties f r Monitor Registerkarte Members Benutzer Baker wird angezeigt h Wiederholen Sie die Schritte c bis g fur das Department DEFAULT 72 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 4 Konfigurier
56. operation stop Audit terminated Benutzerverwaltung in ServerView 147 Eintrage des Audit Logs 148 Benutzerverwaltung in ServerView 7 Anhang 1 Globale iRMC S2 S3 Benutzerverwaltung via Verzeichnisdienst Die Benutzerverwaltung f r den iRMC S2 S3 verwendet zwei verschiedene Arten von Benutzerkennungen Lokale Benutzerkennungen sind lokal im nicht fl chtigen Speicher des IRMC S2 S3 hinterlegt und werden ber die Benutzerschnittstellen des IRMC S2 S3 verwaltet Globale Benutzerkennungen sind in der zentralen Datenhaltung eines Verzeichnisdienstes Directory Service hinterlegt und werden ber die Schnittstellen dieses Verzeichnisdienstes verwaltet F r die globale iRMC S2 S3 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP ForgeRock OpenDJ Bei ServerView wird dieser Verzeichnisdienst im embedded Modus unter JBoss ausgef hrt Das vorliegende Kapitel informiert ber folgende Themen Konzept der Benutzerverwaltung f r den iRMC S2 S3 Benutzerberechtigungen globale Benutzerverwaltung mithilfe der einzelnen Verzeichnisdienste Einzelheiten zur lokalen Benutzerverwaltung des iRMC S2 S3 finden Sie im Handbuch IRMC S2 S3 integrated Remote Management Controller In SeverView s OpenDJ ausgef hrt im embedded Modus unter JBoss wird die Funktion E Mail Einstellungen des iRMC S2
57. permission or some other kind of access capabilty that a user has regarding apr a Role to User system The privileges are arranged in groups according to their usage by various ServerView components Finis A role is a set of such privileges and is used as the main property for users Roles ServerView Component Assigned Privilege Description of Privilege Administrator F IA The user has the permission to Monitor AgentDeploy RNN access the Alarm Monitor Operator AlarmMgr UserAdministrator ArchiveMgr AccossDeploymentmor i BackupMgr AccessDeploymentM Common AccessDownloadMgr ConfigMlar AccessInventoryMgr InvMor mc MB AccessOnlineDiagno PerfMigr AccessPerformance PowerMon AccessPowerMonitor setae AccessPrimeCollect RaidMgr Rompen AccessRack ReportMgr AccessRaidMgr scs AccessRemoteMana perverlist AccessReportMgr UpdMgr sermo AccessRepositoryMgr vom AccessServerConfig AccessServertist New Delete Zur ck Beenden Abbrechen _Hife Bild 10 User Management Wizard Dialog Role Definitions 50 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ Roles Listet alle zurzeit definierten Rollen auf Die vordefinierten Rollen Administrator Monitor Operator und UserAdministrator werden oben in der Liste angezeigt Wenn Sie eine Rolle auswahlen werden die zu
58. provided cannot be determined to be authentic 146 Benutzerverwaltung in ServerView Eintrage des Audit Logs LOGIN Eintrag erfolgreiches Login Der folgende von einem erfolgreichen Login verursachte LOGI N Eintrag enth lt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 38 32 406 02 00 pontresina ServerView CAS LOGIN LServerView CAS login 231 address 172 25 88 121 tgt TGT 1 VS0g93ZTt2dZQ1WX1texuXNEmJKvw21HelXqXIScvMKVi7XOBY cas user administrator LServerView CAS msg 231 messageld screen success header LServerView audit 231 result success Log In Successful LOGOUT Eintrag Der folgende LOGOUT Eintrag enth lt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 38 35 156 02 00 pontresina ServerView CAS LOGOUT LServerView CAS login 231 address 172 25 88 121 tgt TGT 1 VS0g93zTt2dZQ1WX1texuxXNEmJKvw21Hel XqXIScvMKVi7XOBY cas user administrator LServerView CAS msg 231 messageld screen logout header LServerView audit 231 result success Logout successful STOP Eintrag Der folgende LOGIN Eintrag enth lt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 39 07 468 02 00 pontresina ServerView CAS STOP LServerView audit 231 result success LServerView msg 231 messageld logging syslog
59. r eine solche Organisationsstruktur 238 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 4 Active Directory Users and Computers lt 3 Eile Action View Favorites Window Help e om elenae Su EESE Active Directory Users and Computers LDAP AD fwlab firm net af ESETE S H 0 Saved Queries g fwlab firm net Builtin Computers 3 8 Domain Controllers f Active Directory Users and Comp cS ForeignSecurityPrincipals 19 File Action View Favorites A H IRMC2 3 iRMCgroups e3 Em amp coll x LdapDeployerTest C Users Administrator 2 Cert Pub ari ayn B amp Departments CERTSYC A Deptx DnsAdmi Environment E AlertRoles 172 DnsUpd General A 3 AuthorizationR Domain Published Ce i Domain i Domain Member of El Observer Domain amp UserKvM Domain L Domain Us amp Dept Enterpris Remotehla H B Others FR Group Pc RemoteMa UserSettings Guest E iRMC_MMB 4 7 Helpserv UserK VM MailFormat IIS_WPG 2 43 PreferredShell 2 IUSR_LD IPMIbasicMode 2 IWAM_LI E F IPMIterminalMode amp krbtg
60. rdige Stammzertifizierungsstellen des aktuellen Benutzers in das Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des lokalen Computers Dom nencontroller Zertifikat erzeugen Mit den folgenden Schritten erstellen Sie ein RSA Zertifikat f r den Domanencontroller Erstellen Sie eine Datei request inf mit dem folgenden Inhalt LVersion Signature Windows NT NewRequest Subject CN lt full path of domain controller host gt eySpec 1 eyLength 1024 Exportable TRUE achineKeySet TRUE SMIME FALSE PrivateKeyArchive FALSE UserProtected FALSE UseExistingKeySet FALSE ProviderName Microsoft RSA SChannel Cryptographic Provider ProviderType 12 RequestType PKCS10 eyUsage 0xa0 EnhancedKeyUsageExtension OID 1 3 6 1 5 5 7 3 1 this is for Server Authentication Passen Sie in der Datei request inf die Angaben bei Subject an den Namen des verwendeten Dom nencontrollers an z B Subject CN domino fwlab firm net gt Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq new request inf request req gt Geben Sie im Browser der Zertifizierungsstelle folgende URL ein http Nocalhost certsrv Klicken Sie auf Ein Zertifikat anfordern Benutzerverwaltung in ServerView 253 Globale Benutzerverwaltung f r den iRMC S4 Klicken Sie auf erweiterte Zertifikatsanforderung Klicken Sie auf Reichen Sie eine Zertifikatsanforder
61. somit in derKonfigurationsdatei lt ServerView directory gt jboss standalone svconf sv sec config xml Administrator admin Administrator cn ServerView Administrator ou users dc fujitsu dc com Standard Benutzer f r Administrator Rolle Monitor admin Monitor cn ServerView Monitor ou users dc fujitsu dc com Standard Benutzer f r Monitor Rolle Operator admin Operator cn ServerView Operator ou users dc fujitsu dc com Standard Benutzer f r Operator Rolle Tabelle 2 In OpenDJ vordefinierte Benutzernamen Rollen und Passw rter Benutzerverwaltung in ServerView 37 ServerView Benutzerverwaltung mit OpenDJ Benutzerna Passwort Benutzerrolle LDAP Distinguished name me Beschreibung UserManager admin UserAdministrator cn ServerView UserManager ou users dc fujitsu dc com Standard Benutzer f r UserAdministrator Rolle Tabelle 2 In OpenDJ vordefinierte Benutzernamen Rollen und Passw rter 3 2 2 Passw rter der vordefinierten Benutzer definieren ndern Wichtiger Hinweis Verwenden Sie innerhalb Ihrer Passw rter keinen Gegenschr gstrich Backslash 3 2 2 1 Passwort des OpenDJ Directory Managers il Beachten Sie Das vordefinierte Passwort f r den OpenDJ Directory Manager lautet admin Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter baldm glichst zu ndern In de
62. spezifischen Audit Logging zur Lage des Audit Log im Speicher sowie zur Struktur der Audit Log Eintr ge Benutzerverwaltung in ServerView 13 Anderungen seit der vorherigen Ausgabe des Handbuchs e Anhang 1 Globale iRMC S2 S3 Benutzerverwaltung via Verzeichnisdienst Dieses Kapitel liefert Informationen zu folgenden Themen Konzept der globalen Benutzerverwaltung f r den iRMC S2 S3 Benutzerberechtigungen Berechtigungsgruppen und Rollen iRMC S2 S3 Benutzerverwaltung mit Microsoft Active Directory Novell eDirectory OpenLDAP und OpenD e Anhang 2 Globale iRMC S4 Benutzerverwaltung via Verzeichnisdienst Dieses Kapitel liefert Informationen zu folgenden Themen Konzept der globalen Benutzerverwaltung f r den iRMC S4 Benutzerberechtigungen Berechtigungsgruppen und Rollen iRMC S4 Benutzerverwaltung mit Microsoft Active Directory Novell eDirectory OpenLDAP und OpenDy 1 4 nderungen seit der vorherigen Ausgabe des Handbuchs Diese Ausgabe des Handbuchs Benutzerverwaltung in ServerView ist giltig f r die Version 6 30 des ServerView Operations Managers und l st das folgende Online Handbuch ab ServerView Suite Benutzerverwaltung in ServerView Ausgabe Oktober 2013 Das Handbuch bietet die folgenden nderungen und Erweiterungen e F r die nderung des Passworts des schreibgesch tzten Benutzerkontos das f r LDAP Abfragen unter Active Directory verwendet wird wurde ein neues Skri
63. time Weiter C Beenden Abbrechen Hie Wizard Dialog Finish Fujitsu Technology Solutions 2009 2011 All righ Bild 14 User Management Benutzerverwaltung in ServerView 57 ServerView Benutzerverwaltung mit OpenDJ 3 2 5 iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit OpenDJ und SSO integrieren Die Konfiguration des iRMC S2 S3 S4 f r die Integration in die ServerView Benutzerverwaltung mit OpenDJ sowie f r die Teilnahme an der ServerView Suite SSO Dom ne umfasst zwei Schritte die Sie ber die IRMC S2 S3 S4 Web Oberfl che durchf hren k nnen 1 Den iRMC S2 S3 S4 f r den zusammen mit dem Operations Manager installierten Verzeichnisdienst OpenDJ konfigurieren 2 Die iRMC S2 S3 S4 Web Oberflache f r die CAS basierte Single Sign on SSO Authentifizierung innerhalb der ServerView Suite konfigurieren Wichtiger Hinweis Der CAS Service muss f r alle iRMC S2 S3 S4 konfiguriert werden die an der SSO Dom ne teilnehmen siehe Handb cher IRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller Die folgende Beschreibung legt den Schwerpunkt auf die Einstellungen il die erforderlich sind f r die Integration eines IRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit OpenDJ und f r die Teilnahme an der ServerView Suite SSO Dom ne Allgemeine Informationen zur Verzeichnisdienst und CAS Konfiguration des IRMC S2 S3
64. zu werden Bild 4 Single Sign on Prozedur aus Sicht des Benutzers Benutzerverwaltung in ServerView 33 Single Sign on SSO mithilfe eines CAS Service 34 Benutzerverwaltung in ServerView 3 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst Dieses Kapitel informiert Uber folgende Themen Zugang zum Verzeichnisdienst konfigurieren auf Seite 35 ServerView Benutzerverwaltung mit OpenDJ auf Seite 36 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren auf Seite 65 il Wichtiger Hinweis Damit ServerView Benutzerverwaltung und globale IRMC S2 S3 S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS ausgef hrt werden k nnen darf die IRMC S2 S3 S4 Benutzerverwaltung ausschlie lich das Department DEFAULT verwenden Benachrichtigungsgruppen Alert Roles k nnen in der ServerView Suite nicht verwendet werden d h sie werden von allen ServerView Komponenten mit Ausnahme des iRMC S2 S3 S4 ignoriert 3 1 Zugang zum Verzeichnisdienst konfigurieren Sowohl die zentralisierte Authentifizierung als auch die rollenbasierte Autorisierung der ServerView Benutzerverwaltung st tzen sich auf Daten die zentral mithilfe eines Verzeichnisdienstes verwaltet werden Die f r den Verbindungsaufbau zu einem LDAP Verzeichnisdienst ben tigte Information wird w hrend der Installation des Operations Managers angefordert Wenn Sie diese Einstellungen nachtr glich
65. 0 240 0 0 0 ethO Dadurch passen Sie eth0 der Systemkonfiguration an 264 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Voraussetzungen f r die Installation des eDirectory Servers der eDirectory Utilities des iManager und von ConsoleOne F r die Installation ist Root Berechtigung erforderlich Die im Folgenden beschriebene Vorgehensweise bei der Installation setzt voraus dass alle f r die Installation ben tigten Dateien bereits in ein Verzeichnis z B home eDirectory kopiert wurden Es handelt sich dabei um folgende Dateien 20060526_0800_Linux_88 SP1_FINAL tar gz iMan_26_linux_64 tgz c1_136f linux tar gz eDirectory Server und Administrations Utilities installieren Gehen Sie wie folgt vor Melden Sie sich mit Root Berechtigung Super User an gt Wechseln Sie in das Verzeichnis das die f r die Installation ben tigten Dateien enth lt im Beispiel home eDirectory cd home eDirectory gt Extrahieren Sie das Archiv 20060526_0800_Linux_88 SP1_FINAL tar gz tar xzvf 20060526_0800_Linux_88 SPI1_FINAL tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis eDirectory eDirectory Server installieren gt Wechseln Sie in das Unterverzeichnis setup dieses eDirectory Verzeichnisses cd eDirectory setup gt Rufen Sie das Installationsskript nds install auf nds install gt Akzeptieren Sie die EULA mit y und best tig
66. 024 byte erstellen Sie wie folgt mithilfe von ConsoleOne Loggen Sie sich am LDAP Server unter Ihrer Administratorkennung Admin ein und starten Sie ConsoleOne Navigieren Sie zum Root Verzeichnis Ihrer Unternehmensstruktur z B baumname mycompany myorganisation gt W hlen Sie New Object NDSPKI key material custom um ein neues Objekt der Klasse NDSPKI Key Material zu erstellen gt Spezifizieren Sie im nachfolgenden Dialog die folgenden Werte 1 1024 bits 2 SSL or TLS 3 signature RSA MD5 Ein neues Zertifikat des gew nschten Typs wird erstellt Um das neu erstellte Zertifikat f r die SSL gesicherte LDAP Verbindung zu aktivieren f hren Sie im iManager die folgenden Schritte durch Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein gt W hlen Sie LDAP LDAP Options LDAP Server Connection Die Registerkarte Connection enth lt eine Drop down Liste die alle auf dem System installierten Zertifikate anzeigt gt Selektieren Sie in der Drop down Liste das gew nschte Zertifikat eDirectory f r den nicht SSL gesicherten Zugriff konfigurieren Anonymes Login sowie die bertragung von Klartext Passw rtern ber il ungesicherte Kan le sind in eDirectory standardm ig deaktiviert Demzufolge ist das Einloggen via Web Browser am eDirectory Server nur ber eine SSL Verbindung m glich F r die Nutzung von LDAP ohne SSL m ssen Sie die
67. 1 eDirectory ermittelt den DN aus dem vorkonfigurierten Teilbaum iRMC Einstellung 3 Der iRMC S2 S3 loggt sich am eDirectory Server mit dem vollqualifizierten DN des Benutzers User1 ein und wartet auf den erfolgreichen Bind 4 Der iRMC S2 S3 erfragt vom eDirectory Server die Benutzerberechtigungen des Benutzers User1 Bild 51 Authentifizierungsschema f r globale IRMC S2 S3 Benutzerberechtigungen 198 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Die Berechtigungsdaten des Principal User sowie den Teilbaum der i die DNs enth lt konfigurieren Sie in der Seite Directory Service Configuration der iRMC S2 S3 Web Oberflache siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Der CN eines Benutzers muss innerhalb des durchsuchten Teilbaums eindeutig sein Principal User Principal Benutzer fur den iRMC S2 S3 erzeugen Um einen Principal User f r den iRMC S2 S3 zu erzeugen gehen Sie wie folgt vor Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein W hlen Sie Roles and Tasks Wahlen Sie Users Create User y v vy y Tragen Sie die erforderlichen Angaben in das angezeigte Template ein Distinguished Name DN und Passwort des Principal Users m ssen i mit entsprechenden Angaben f r die Konfiguration des IRMC S2 S3 bereinstimmen siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Der Context des
68. 2 F r die Integration der IRMC S2 S3 Benutzerverwaltung in Novell eDirectory sind die folgenden Schritte erforderlich Principal iRMC User erzeugen iRMC Gruppen und Benutzerrechte in eDirectory vereinbaren Benutzer den Berechtigungsgruppen zuordnen Benutzerverwaltung in ServerView 197 Globale Benutzerverwaltung f r den iRMC S2 S3 LDAP Authentifizierungsprozess f r iRMC S2 S3 Benutzer in eDirectory Die Authentifizierung eines globalen iRMC S2 S3 Benutzers beim Login am IRMC S2 S3 erfolgt nach einem fest vorgegebenen Schema siehe Seite 150 Bild 51 auf Seite 198 veranschaulicht diesen Prozess f r die globale IRMC S2 S3 Benutzerverwaltung mithilfe von Novell eDirectory Das Herstellen einer Verbindung und die Anmeldung mit entsprechenden Anmeldeinformationen wird als BIND Operation bezeichnet SSL basierte Kommunikation IRMC S2 S3 Bind als Principal User dd iRMC S2 S3 ist authentifiziert IRMC S2 S3 ermittelt den vollqualifizierten DN des User1 eDirectory iRMC S2 f EN Bind mit User DN Benutzerberechtigungen User1 ist authentifiziert iRMC S2 S3 ermittelt die Benutzerrechte des User1 1 Der iRMC S2 S3 loggt sich am eDirectory Server mit vordefinierten bekannten Berechtigungsdaten iRMC Einstellung als Principal User ein und wartet auf den erfolgreichen Bind 2 Der iRMC S2 S3 erfragt vom eDirectory Server den voll qualifizierten Distinguished Name DN des Benutzers mit cn User
69. 2 gt Erweitern Sie in der Datei etc sysconfig SuSEfirewall2 den Eintrag FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 8080 8443 9009 81 389 636 Gem dem eDirectory Installation Guide muss das System f r Multicast Routing eingerichtet sein F r SuSE Linux gehen Sie hierf r wie folgt vor Erzeugen oder sofern bereits vorhanden ffnen Sie die Datei etc sysconfig network ifroute etho gt Erweitern Sie etc sysconfig network ifroute eth0 um die folgende Zeile 224 0 0 0 0 0 0 0 240 0 0 0 ethO Dadurch passen Sie eth0 der Systemkonfiguration an 184 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Voraussetzungen f r die Installation des eDirectory Servers der eDirectory Utilities des iManager und von ConsoleOne F r die Installation ist Root Berechtigung erforderlich Die im Folgenden beschriebene Vorgehensweise bei der Installation setzt voraus dass alle f r die Installation ben tigten Dateien bereits in ein Verzeichnis z B home eDirectory kopiert wurden Es handelt sich dabei um folgende Dateien 20060526_0800_Linux_88 SP1_FINAL tar gz iMan_26_linux_64 tgz c1_136f linux tar gz eDirectory Server und Administrations Utilities installieren Gehen Sie wie folgt vor Melden Sie sich mit Root Berechtigung Super User an gt Wechseln Sie in das Verzeichnis das die f r die Installation ben tigten Dateien enth lt im Beispiel home e
70. 2 Globale iRMC S4 Benutzerverwaltung via Verzeichnisdienst 2 eee ee ee ees 229 Konzept der Benutzerverwaltung f r den iRMC S4 230 Globale Benutzerverwaltung f r den iRMC S4 232 RRR p samep ak e a ae a EEE hk ce 233 iRMC S4 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Konzept 234 Globale iRMC S4 Benutzerverwaltung ber Berechtigungsgruppen und Rollen 234 Organizational Unit OU SVS aaa aa aaa 236 Server Ubergreifende globale Benutzerberechtigungen 238 SVS Berechtigungsprofile werden ber Rollen definiert 240 SVS_LdapDeployer Struktur SVS generieren pflegen NOS er le ey Sk Ante a whe AY a te oh Shh a 242 Konfigurationsdatei xml Datei 242 SVS_LdapDeployer starten 0 243 deploy LDAP Struktur erzeugen oder ndern 245 delete LDAP Struktur l schen 247 Typische Anwendungsszenarien 2 2 2 22 22 248 Erst Konfiguration einer LDAP v2 Struktur durchf hren 248 LDAP v2 Struktur neu generieren oder erweitern 248 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern oaoa 249 IRMC S4 Benutzerverwaltung via Microsoft Active Directory 250 LDAP SSL Zugriff des iRMC S4 am Active Directory Server KOliallfieien 6 a ao Rear aaa 251 IRMC S4 Benutzer einer Rolle Berechtigungsgruppe ZUNE 6 Sb Gd eA eS eo SS SE AG DO SES 256 IRMC S4 Benutzerverwaltu
71. 2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern Sie wollen eine LDAP v2 Struktur neu generieren Die Authentisierungsdaten sollen via Kommandozeile bereitgestellt und gespeichert werden Empfohlene Vorgehensweise java il jar SVS_LdapDeployer jar deploy myInitialDeploy xml store_pwd username admin password admin Nach dem Speichern der Anmeldedaten k nnen Sie sich ber den SVS_LdapDeployer ohne Angabe von Benutzerkennung und Passwort mit dem Verzeichnisserver verbinden Der SVS_LdapDeployer verwendet dann sofern vorhanden die in der xml Konfigurationsdatei gespeicherten Werte Ein gespeichertes Passwort kann der SVS_LdapDeployer nur dann verwenden wenn er es entschl sseln kann Dies erfordert dass Sie den SVS_LdapDeployer in derselben Laufzeitumgebung aufrufen wie beim vorangegangenen Aufruf mit store_pwd siehe Seite 166 Dieselbe Laufzeitumgebung bedeutet hier derselbe Benutzer am selben Computer oder Benutzer mit Zugriffsberechtigung auf das Verzeichnis unter dem der Schl ssel gespeichert ist Option kloc siehe Seite 166 F r zuk nftige Aufrufe des SVS_LdapDeployer k nnen Sie auch Benutzerkennungen verwenden die bereits gespeichert sind Dar ber hinaus lassen sich durch explizite Angabe in der Kommandozeile oder auf Anforderung durch den SVS_LdapDeployer zeitweilig auch andere Authentisierungsdaten nutzen Benutzerverwaltung in ServerView 169 Globale Be
72. 3 4 delete LDAP Struktur l schen Mit dem Kommando delete k nnen Sie auf dem Verzeichnisserver eine LDAP Struktur entfernen Syntax delete lt datei gt structure vl v2 both username lt benutzer gt password lt passwort gt store_pwd lt pfad gt L kloc lt pfad gt C kpwd lt key passwort gt lt datei gt xml Datei die die zu l schende Struktur spezifiziert structure v1 structure v2 structure both L scht LDAP v1 Struktur oder LDAP v2 Struktur oder LDAP v1 und LDAP v2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt stor_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von delete in der Konfigurationsdatei ab Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner abgespeichert in dem der SVS_LdapDeployer ausgef hrt wird R ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad
73. 4 Sicheren LDAP Zugang LDAPS auf den Active Directory Server konfigurieren Diese Schritte sind nachfolgend detailliert beschrieben il Voraussetzungen Die folgenden Dateien werden ben tigt f r die Interaktion von ServerView und iRMC S2 S3 S4 Benutzerverwaltung in Active Directory e F r die Benutzerverwaltung in ServerView Sie ben tigen eine Datei im LDIF Lightweight Directory Interchange Format Format die die ServerView spezifischen Strukturen f r die Integration in Active Directory enth lt Falls Sie w hrend Installation des Operations Managers Active Directory als zu verwendenden Verzeichnisdienst gew hlt haben finden Sie die ben tigte LDIF Datei im folgenden Verzeichnis der zentralen Management Station auf der der Operations Manager installiert ist Auf Windows Systemen lt ServerView directory gt svcommon files SVActiveDirectory ldif Auf Linux Systemen opt fujitsu Server ViewSuite svcommon files S VActiveDirectory ldif Benutzerverwaltung in ServerView 65 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren e F r die iRMC S2 S3 S4 Benutzerverwaltung XML Konfigurationsdatei die die Strukturinformationen in XML Syntax f r die Struktur SVS in Active Directory enth lt Der SVS_LdapDeployer siehe Seite 162 erzeugt LDAP Strukturen auf Basis dieser XML Konfigurationsdatei Die Syntax der Konfigurationsdatei ist dargestellt in den Beispiel Konfigurationsdateien G
74. 8 bit Schl ssell nge und einer G ltigkeitsdauer von zwei Jahren auf dem Server myserver mydomain zu installieren gehen Sie wie folgt vor gt ffnen Sie eine Windows Eingabeaufforderung und geben Sie das folgende Kommando ein selfssl T N CN myserver mydomain K 2048 V 730 selfssl exe gibt die folgenden Meldungen aus Microsoft R SelfSSL Version 1 0 Copyright C 2003 Microsoft Corporation All rights reserved Do you want to replace the SSL settings for site 1 Y N Benutzerverwaltung in ServerView 73 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren gt Geben Sie Y ein Die anschlieBend angezeigte Meldung Failed to build the subject name blob 0x80092023 k nnen Sie ignorieren da die Meldung nur darauf hinweist dass IIS nicht installiert ist Wenn k nftig via Idaps myserver mydomain auf Active Directory zugegriffen wird wird Active Directory das soeben das installierte Zertifikat verwenden Der Benuizer John Baker kann sich nun am Operations Manager unter dem Benutzernamen NYBak anmelden Baker kann nun alle Funktionen ausf hren die mit den Berechtigungen Privilegien der Benutzerrolle Monitor zul ssig sind 74 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 3 1 Passwort des LDAP Bind Kontos ndern Sie k nnen das Passwort des LDAP Bind Kontos das f r den Zugriff auf externe Verzeichn
75. ARY_PATH export MANPATH opt novell man opt novell eDirectory man MANPATH export TEXTDOMAINDIR opt novell eDirectory share locale TEXTDOMAINDIR Schlie en Sie das Terminal und ffnen Sie ein neues Terminal um die Umgebungsvariablen zu exportieren eDirectory Administrations Utilities installieren gt Wechseln Sie in das Unterverzeichnis setup des eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript auf nds install Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 2 ein f r die Installation der Novell eDirectory Administrations Utilities und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Administrations Utilities installiert 186 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 iManager installieren und aufrufen il Der iManager ist das f r die Administration von Novell eDirectory empfohlene Tool F r die Installation sowohl in SLES10 als auch in OpenSuSE verwenden Sie das Archiv _64 1gz Gehen Sie wie folgt vor gt gt yY v vy y Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das Archiv iMan_26_linux_64 tgz tar xzvf iMan_26_linux_64 tgz Nach der Ext
76. Alert Roles alle in der OU DeptxX g ltigen Alert Roles an 2 zA Active Directory Users and Computers File Action View Favorites Window Help e m exe naB 2 m eE 9 Builtin E N H E Computers H Domain Controllers E amp ForeignSecurityPrincipals H iRMC2 amp iRMCgroups 2 8 LdapDeployerTest 3 13 iRMCgroups ER stdsysdlerts RL A AlertTypes 3 13 Privileges 2 3 Departments H Others x 8 8 UserSettings 3 3 NewTestOu E NTDS Quotas H E Program Data a 5v5 Bild 57 OU SVS mit Alert Roles Damit an die Benutzer der einzelnen Benachrichtigungsgruppen E Mails il versendet werden muss am iRMC S2 S3 die zugeh rige Abteilung Department in Bild 57 DeptX konfiguriert sein siehe Handbuch IRMC S2 S3 integrated Remote Management Controller 224 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Wenn Sie im Strukturbaum von Active Directory Benutzer und Computer siehe Bild 58 unter SVS Departments DeptX Alert Roles eine Benachrichtigungsgruppe Alert Role z B StdSysAlerts auswahlen 1 und via Kontextmen Eigenschaften Mitglieder den Eigenschaften Dialog f r diese Benachrichtigungsgruppe ffnen werden in der Registerkarte Mitglieder die Benutzer angezeigt 2 die der Benachrichtigungsgruppe hier StdSysAlerts angeh ren Active Directory Users and Computers loj x lt File Action View Favorites Window H
77. Benutzerhandbuch Deutsch FUJITSU FUJITSU Software ServerView Suite Benutzerverwaltung in ServerView 6 30 Zentrale Authentifizierung und rollenbasierte Autorisierung Ausgabe Marz 2014 Kritik Anregungen Korrekturen Die Redaktion ist interessiert an Ihren Kommentaren zu diesem Handbuch Ihre R ckmeldungen helfen uns die Dokumentation zu optimieren und auf Ihre W nsche und Bed rfnisse abzustimmen Sie k nnen uns Ihre Kommentare per E Mail an manuals ts fujitsu com senden Zertifizierte Dokumentation nach DIN EN ISO 9001 2000 Um eine gleichbleibend hohe Qualit t und Anwenderfreundlichkeit zu gew hrleisten wurde diese Dokumentation nach den Vorgaben eines Qualit tsmanagementsystems erstellt welches die Forderungen der DIN EN ISO 9001 2000 erf llt cognitas Gesellschaft f r Technik Dokumentation mbH www cognitas de Copyright und Handelsmarken Copyright 2014 Fujitsu Technology Solutions GmbH Alle Rechte vorbehalten Lieferm glichkeiten und technische nderungen vorbehalten Alle verwendeten Hard und Softwarenamen sind Handelsnamen und oder Warenzeichen der jeweiligen Hersteller Inhalt 1 1 1 2 1 3 1 4 1 5 1 6 1 7 2 1 2 2 2 2 1 22 2 2 2 8 2 2 4 2 3 2 3 1 2 3 2 2 3 3 2 4 2 4 1 2 4 2 Enleluhtg 3 5 0 rer nn Autorisierungs und Authentifizierungskonzept Zielgruppen und Zielsetzung des Handbuchs Struktur des Handbuchs 222 200
78. Berechtigungen f r den Zugriff auf die ServerList sowie f r die Ausf hrung der entsprechenden Operationen Berechtigung Erlaubnis Geltungsbereich AccessServerList Zugriff auf die ServerList einschlie lich Management der impliziten Erlaubnis f r den Zugriff Station auf den Single System View aller Systeme ModifyNode Server und Gruppen erzeugen ndern Management und l schen Station PerformArchivelmport Archive importieren Management Station PerformConnectivity Test Verbindungstest durchf hren Management Station PerformDiscovery Knoten z B Server ermitteln und auf Management den Server Browser zugreifen Station Hinweis Diese Berechtigung kann nur einem Benutzer erteilt werden der bereits ber die Berechtigungen PerformConnectivityTest und ModifyNode verf gt PerformExploration explore Task auf Knoten Managed Management Nodes starten Station Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die ModifyNode Berechtigung besitzen PerformPowerOperations Ein ausschalten System neu starten Management Station Table 20 Berechtigungen der Kategorie ServerList 128 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 5 1 18 Kategorie UpdMgr UpdMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf ServerView Download Manager Repository Manager Update Manager sowie f r die
79. Berechtigungsprofil f r T tigkeiten am IRMC S2 S3 Neben den Authorization Roles sind auch die Alert Roles aufgef hrt Jede Alert Role definiert ein spezifisches Benachrichtigungsprofil f r die E Mail Benachrichtigung siehe Abschnitt E Mail Benachrichtigung an globale iRMC S2 S3 Benutzer konfigurieren auf Seite 219 Benutzerrollen anzeigen Wenn Sie im Strukturbaum von Active Directory Benutzer und Computer siehe Bild 39 unter SVS eine Abteilung z B DeptX ausw hlen 1 und die zugeh rigen Knoten DeptX Authorization Roles aufklappen werden die Benutzerrollen angezeigt 2 die f r diese Abteilung hier DeprX definiert sind svs 4 Declarations 2 Departmenis 1 3 13 AlertRoles B S AuthorizationRoles Administrator Maintenance 2 H Observer E UserkvM H Dept H Others a Lottndrond x Bild 39 Anzeige der Benutzerrollen im Snap in Benutzer und Computer 160 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Berechtigungsgruppen anzeigen denen ein Benutzer zugeordnet ist Wenn Sie im Strukturbaum von Active Directory Users and Computers siehe Bild 40 unter Benutzer einen Benutzer z B kvms4 auswahlen 1 und via Kontextmen Eigenschaften Mitglieder den Eigenschaften Dialog f r diesen Benutzer ffnen werden in der Registerkarte Mitglieder die Berechtigungsgruppen angezeigt 2 denen der Benutzer hier kvms4 angeh rt
80. Directory cd home eDirectory gt Extrahieren Sie das Archiv 20060526_0800_Linux_88 SP1_FINAL tar gz tar xzvf 20060526_0800_Linux_88 SPI1_FINAL tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis eDirectory eDirectory Server installieren gt Wechseln Sie in das Unterverzeichnis setup dieses eDirectory Verzeichnisses cd eDirectory setup gt Rufen Sie das Installationsskript nds install auf nds install gt Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 1 ein f r die Installation des Novell eDirectory Servers und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Packages installiert Benutzerverwaltung in ServerView 185 Globale Benutzerverwaltung f r den iRMC S2 S3 Nach der Installation des Novell eDirectory Servers m ssen Sie in einigen Umgebungsvariablen die Namen fur die Pfade auf das eDirectory aktualisieren und die Variablen exportieren gt ffnen Sie hierf r Ihre Konfigurationsdatei im Beispiel etc bash bashrc und f gen Sie die dort vor End of die folgenden Zeilen in der angegebenen Reihenfolge ein export PATH opt novell eDirectory bin opt novell eDirectory sbin PATH export LD_LIBRARY_PATH opt novell eDirectory lib opt novell eDirectory lib nds modules opt novell 1ib LD_LIBR
81. E pde Detoks BET amp Lokales Intranet Gesch tzter Modus Inaktiv k0 Bild 32 Update Manager Hauptfenster Update Details Ansicht Downgrades 116 Benutzerverwaltung in ServerView 5 Rollenbasierte Berechtigungen fur den Zugriff auf den Operations Manager Rollenbasierte Zugangskontrolle Role Based Access Control RBAC regelt die Benutzer Authentifizierung durch Zuweisung von Berechtigungen Privilegien auf der Basis von Benutzerrollen User Roles Security Roles Mit jeder Rolle k nnen Sie ein spezifisches aufgabenorientiertes Berechtigungsprofil definieren Die RBAC Implementation der ServerView Suite gruppiert Berechtigungen in Kategorien die sich jeweils auf eine spezielle ServerView Komponente beziehen Dieses Kapitel erl utert die folgenden Themen Alle Kategorien und die zugeh rigen Berechtigungen Privilegien Vordefinierten Rollen Administrator Monitor Operator und UserAdministrator und zugeh rige Berechtigungen Benutzerverwaltung in ServerView 117 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 Privilegien Kategorien und zugeh rige Berechtigungen Die Berechtigungen die zur Nutzung der einzelnen ServerView Komponenten oder zur Ausf hrung ServerView spezifischer Aufgaben berechtigen sind in Privilegien Kategorien kurz Kategorien gruppiert Jede Kategorie bezieht sich auf eine spezifische ServerView Komponente und umfasst alle Berechtigu
82. Ergebnis der Zertifikatserstellung m ssen die folgenden drei PEM Dateien vorliegen Root Zertifikat root cerpem Server Zertifikat server cerpem Private Key serverkey pem Der Private Key darf nicht mit einer Passphrase verschl sselt sein da Sie nur dem LDAP D mon dap Leseberechtigung f r die Datei server key pem erteilen sollten Die Passphrase entfernen Sie mit folgendem Kommando openssl rsa in server enc key pem out server key pem 8 2 7 3 OpenLDAP konfigurieren Zur Konfiguration von OpenLDAP gehen Sie wie folgt vor gt Starten Sie das Setup Tool Yast und w hlen Sie LDAP Server Configuration Aktivieren Sie unter Global Settings Allow Settings die Einstellung LDAPv2 Bind gt W hlen Sie Global Settings TLS Settings gt Aktivieren Sie die Einstellung TLS Geben Sie die Pfade der bei der Installation erstellten Dateien bekannt siehe Abschnitt OpenLDAP installieren auf Seite 290 gt Stellen Sie sicher dass Zertifikate und Privater Schl ssel im Dateisystem vom LDAP Service gelesen werden k nnen Da openldap unter der uid guid Idap ausgef hrt wird k nnen Sie dies z B erreichen indem Sie den Eigent mer der Dateien mit Zertifikaten und privaten Schl sseln auf Idap setzen oder dem LDAP D mon ldap die Leseberechtigung auf die Dateien mit Zertifikaten und privaten Schl sseln erteilen gt W hlen Sie Databases um eine neue Datenbank zu erzeugen Benutzer
83. For more details press Help Allfields of one row are mandatory User Password Confirm Password Administrator eoceee Peer Delete F Monitor eoceee sonne Delete Operator sono Sonn Delete UserManager sone sasssa Delete Delete auch Beenden Ce Bild 12 User Management Wizard Dialog User amp Password Die vier vordefinierten Benutzer Administrator Monitor Operator und UserManager sind oben in der Liste angeordnet und k nnen nicht gel scht werden Die Passw rter von Administrator Monitor Operator und UserManager k nnen Sie jedoch ndern Mindestens eine freie Zeile mit leeren Eingabefeldern f r User Password und Confirm Password wird unten in der Liste angezeigt und erm glicht Ihnen das Definieren neuer Benutzer Benutzerverwaltung in ServerView 53 ServerView Benutzerverwaltung mit OpenDJ User Benutzername Passwort Neues Passwort Confirm Password Wiederholen Sie zur Bestatigung die Eingabe des neuen Passworts Delete L scht den zugeh rigen Benutzer Reset Setzt die Einstellungen f r den zugeh rigen Benutzer auf die zuletzt abgespeicherten Einstellungen zur ck 54 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ Assign Role to User Der Dialog Assign Role to User gestattet Ihnen Rollen zu Benutzer Zuordnungen zu definieren und aufzul sen Der Dialog zeigt alle definierten Benutzer und Rollen tabellarisch an Markiert
84. Funktion E Mail Einstellungen des iRMC S4 nicht unterst tzt Benutzerverwaltung in ServerView 229 Konzept der Benutzerverwaltung f r den iRMC S4 8 1 Konzept der Benutzerverwaltung fur den iIRMC S4 Die Benutzerverwaltung f r den iRMC S4 unterst tzt die parallele Verwaltung lokaler und globaler Benutzerkennungen Bei der Validierung der Authentisierungsdaten Benutzername Passwort die ein Benutzer beim Login an einer der iRMC S4 Schnittstellen eingibt verf hrt der iRMC S4 gem dem folgenden Ablauf siehe auch Bild 59 auf Seite 231 1 Der iRMC S4 gleicht den Benutzernamen und das Passwort mit den lokal gespeicherten Benutzerkennungen ab e Bei erfolgreicher Authentifizierung des Benutzers durch den iRMC S4 Benutzername und Passwort sind g ltig darf sich der Benutzer einloggen e Andernfalls setzt der iIRMC S4 die Pr fung mit Schritt 2 fort 2 Der iRMC S4 authentisiert sich beim Verzeichnisdienst via LDAP mit Benutzernamen und Passwort ermittelt per LDAP Anfrage die Benutzerrechte und pr ft ob der Benutzer damit am iRMC S4 arbeiten darf 230 Benutzerverwaltung in ServerView Konzept der Benutzerverwaltung f r den iRMC S4 iRMC S4 Serielle Web Oberfl che SoN Telnet Schnittstelle Login Login Login Login SSH Benutzername Passwort IRMC S4 lokale Benutzerkennungen Benutzername Passwort LDAP Login Verzeichnisdienst globale Benutzerkennungen Bild 59 Login Authentifizierung durch
85. Gegensatz zu den Standardbenutzern sind iRMC S4 Benutzer jedoch zus tzlich Mitglied in einer oder mehreren Gruppen der OU SVS il Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch des iRMC S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S4 als Element des Departments DEFAULT konfiguriert ist 236 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Active Directory Benutzer und Computer of x lt Datei Aktion Ansicht Fenster 2 Le xd e OmBRem ekago 4 Active Directory Benutzer und Comp m E Gespeicherte Abfragen 8 3 Fwlab firm net Gi Builtin gp Fwlab firm net H E Computers E Gespeicherte Abfragen oj Z Domain Controllers G ForeignSecurityPrincipals a svs Declarations 4 Departments D User Settings Users a Bild 62 OU SVS in der Dom ne fwlab firm net Die Benutzereintr ge f r den iRMC S4 k nnen ab der Firmware Version 3 6x an beliebigen Stellen unterhalb der Basis Dom ne liegen Ebenso k nnen Berechtigungsgruppen an beliebigen Stellen innerhalb der Basisdom ne liegen Benutzerverwaltung in ServerView 237 Globale Benutzerverwaltung f r den iRMC S4 8 2 2 3 Server bergreifende globale Benutzerberechtigungen In gr eren Unternehmen sind die via iIRMC S4 verwalteten Server in der Regel verschiedenen Abteilungen zugeordnet Au erde
86. Komponente CAS Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein Benutzer versucht sich bei einer ServerView Sitzung anzumelden SG ID LOGIN SD ID ServerView CAS 1login 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die beim Login angegeben wurde tgt CAS Ticket Granting Ticket das beim Login erzeugt wurde Tabelle 30 Audit Log Eintrag Parameter von ServerView CAS login 231 Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein Benutzer bei einer ServerView Sitzung abmeldet SG ID LOGOUT SD ID ServerView CAS logout 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die beim Logout angegeben wurde tgt CAS Ticket Granting Ticket das beim Login erzeugt wurde Tabelle 31 Audit Log Eintrag Parameter von ServerView CAS login 231 Benutzerverwaltung in ServerView 143 Eintrage des Audit Logs ServerView Komponente STS Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein bin res Sicherheits Token anfordert das ein CAS Ticket Granting Ticket TGT enth lt SG ID RST_ISSUE_TGT SD ID ServerView STS rstIssueTgt 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die mit dem Username Token in der RST issue TGT Anforderung angegeben wurde tgt CAS Ticket Granting Ticket das beim L
87. Lokaler Computer Vertrauensw rdige Stammzertifizierungsstellen Zertifikate und f hren Sie einen Doppelklick aus F hren Sie einen Doppelklick auf das Zertifikat der neu erstellten Zertifizierungsstelle aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie einen Dateinamen f r das Zertifizierungsstellenzertifikat und klicken Sie auf Fertig stellen Laden Sie das ffentliche Zertifizierungsstellenzertifikat auf dem Dom nencontroller in das Zertifikatsverzeichnis Vertrauensw rdige Stammzertifizierungsstellen Im Einzelnen verfahren Sie hierf r wie folgt gt bertragen Sie die Datei des Zertifizierungsstellenzertifikats auf den Dom nencontroller ffnen Sie im Windows Explorer das Zertifikat der neu erstellten Zertifizierungsstelle Klicken Sie auf Zertifikat installieren Klicken Sie unter Alle Zertifikate in folgenden Speicher speichern auf Durchsuchen und w hlen Sie Vertrauensw rdige Stammzertifizierungsstellen Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung 252 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Zertifizierungsstellenzertifikat CA Certificate aus dem Verzeichnis Vertrauensw
88. RMC S2 S3 144 Active Directory Users and Computers L4 File Action View Favorites Window Help 18 xi e Ba e SRBeBRH EEY 3 Active Directory Users and Computers BET 1 re Safe ae Saved Queries E G flab firm net H Builtin E Computers E Domain Controllers i ForeignSecurityPrincipals H RMC 2 iRMCgroups g sys E Declarations B Departments EZ Deptx AlertRoles Z AuthorizationRoles EE Depty i 2 Others Users Administrator AuthorizationRole 73 Maintenance AuthorizationRole fi Observer AuthorizationRole Fis UserkvM Eigenschaften von Administrator 21x Allgemein Mitglieder Mitglied von Verwaltet von Mitglieder Active Directory Ordner a Bild 42 Dialog Eigenschaften von Administrator gt W hlen Sie die Registerkarte Mitglieder Klicken Sie auf die Schaltfl che Hinzuf gen Der Dialog Benutzer Kontakte oder Computer w hlen wird ge ffnet siehe Bild 43 auf Seite 178 Benutzerverwaltung in ServerView 177 Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 21x Obyekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Mb Firm net Pfade Geben Sie die zu verwendenden Objektnamen ein Beispiele Bild 43 Dialog Benutzer Kontakte oder Computer w hlen Klicken Sie auf die Schaltfl che Pfade Der Dialog Pfad wird ge ffnet Pfad MEG Geben Sie an wo gesucht
89. SO Domane konfiguriert sein zu Einzelheiten siehe Handb cher iRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller Alle Systeme die zur SSO Dom ne geh ren m ssen die zentrale Management Station CMS unbedingt ber dieselbe Adressstruktur referenzieren Eine SSO Dom ne umfasst alle Systeme deren Authentifizierung ber denselben CAS Service erfolgt Wenn Sie also z B den ServerView Operations Manager unter der Bezeichnung my cms my domain installiert haben m ssen Sie zur Konfiguration des CAS Services f r einen IRMC S2 S3 S4 genau dieselbe Bezeichnung angeben Geben Sie dagegen nur my cms oder eine andere IP Adresse von my cms an dann wird die SSO Funktionalit t zwischen den beiden Systemen nicht aktiviert Benutzerverwaltung in ServerView 29 Single Sign on SSO mithilfe eines CAS Service 2 4 1 CAS basierte SSO Architektur Eine SSO Architektur basiert auf den folgenden Komponenten und Elementen CAS Service der die zentralisierte Authentifizierung realisiert CAS Client als Komponente jeder CAS fahigen ServerView Suite Komponente Service Ticket ST Ticket Granting Ticket TGT Der CAS Service steuert die zentrale Benutzer Authentifizierung Der CAS Service steuert die zentrale Benutzer Authentifizierung Hierf r vermittelt der CAS Service zwischen dem Browser auf der Management Konsole und dem Verzeichnisdienst d
90. SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE This product includes cryptographic software written by Eric Young eay eryptsoft com This product includes software written by Tim Hudson tjh cryptsoft com Benutzerverwaltung in ServerView 307 Globale Benutzerverwaltung f r den iRMC S4 O o O oO o o o ae ee ee O ee ee ee ee ee ee ee ee ee e e O ee ee ee ee ee O O Ze Ze ee ee Copyright C 1995 1998 Eric Young leay cryptsoft com All rights reserved This package is an 55L implementation written by Eric Young eay cryptsoft com The implementation was written so as to conform with Netscapes SSL This library is free for commercial and non commercial use as long as the following conditions are aheared to The following conditions apply to all code found in this distribution be it the RC4 RSA lhash DES etc code not just the SSL code The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson tjh cryptsoft com Copyright remains Eric Young s and as such any Copyright notices in the code are not to be removed If this package is used in a product Eric Young should be given attribution as the author of the parts of the library used This can be in the form of a textual message at program startup or in documentation online or textual provided with the package Redistribution and use in source and binary forms with or wit
91. Server installieren Zertifikatsdateien auf einem verwalteten Server installieren auf dem die ServerView Agenten bereits installiert sind Dieses Vorgehen ist z B zu w hlen wenn das zun chst installierte selbstsignierte Zertifikat durch das Zertifikat einer vertrauensw rdigen Zertifizierungsstelle ersetzt werden muss als Folge eines entsprechenden Zertifikatsaustauschs auf der Management Station 4 3 3 1 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren In diesem Fall m ssen die Zertifikatsdateien auf dem verwalteten Server installiert sein bevor die ServerView Agenten installiert werden Im Folgenden ist beschrieben wie Sie die Zertifikatsdateien auf einem il Linux VMware System installieren Einzelheiten zur Installation der ServerView Agenten finden Sie in den entsprechenden Abschnitten des Handbuchs ServerView Agenten f r Linux Benutzerverwaltung in ServerView 107 Verwalteten Server Systeme f r Role Based Access RBAC und Client At Installieren via ServerView Suite DVD 1 Kopieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in das temp Verzeichnis Exportieren Sie die Umgebungsvariable SV_SCS_INSTALL_TRUSTED durch Eingabe des Kommandos export SV_SCS_INSTALL_TRUSTED tmp Geben Sie folgendes Kommando ein sh srvmagtDVD sh R Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert Nach einem N
92. Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag Gruppeneintrag Nachfolgend ist am Beispiel der LDAP v2 Struktur die Zuordnung ausgehend vom Rolleneintrag anhand der OU SVS beschrieben In der LDAP v1 Struktur sind die Gruppeneintr ge in der OU iRMCgroups abgelegt Die Zuordnung ausgehend vom Benutzereintrag verl uft weitgehend analog In Active Directory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt ffnen Sie das Snap in Active Directory Benutzer und Computer KS Eile Action View Favorites Window Help E aj x e BaleBBBlEHn fev gE 3 Active Directory Users and Computers PART tsar taille aes EB a Saved Queries 3 8 fwlab fim net Builtin E Computers Domain Controllers 4 ForeignSecurityPrincipals H iRMC2 HA IRMCgroups Svs H Declarations B Departments BA Deptx E AlertRoles AuthorizationRoles E Depty 32 Others BA Users ji Administrator AuthorizationRole fi Maintenance AuthorizationRole fii Observer AuthorizationRole Fis Userkvm AuthorizationRole Bild 41 Snap in Active Directory Benutzer und Computer F hren Sie einen Doppelklick auf die Berechtigungsgruppe hier Administrator aus Der Dialog Eigenschaften von Administrator wird ge ffnet siehe Bild 42 auf Seite 177 176 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den i
93. Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Klicken Sie auf der links im Fenster auf das Base DN Objekt z B Mycompany Auf der rechten Fensterseite wird daraufhin das LDAP Server Objekt angezeigt Markieren Sie das LDAP Server Objekt per Klick mit der rechten Maustaste und selektieren Sie Properties im zugh rigen Kontext Men Klicken Sie in der Registerkarte General auf Refresh NLDAP Server Now Benutzerverwaltung in ServerView 275 Globale Benutzerverwaltung f r den iRMC S4 Zugriff auf eDirectory via LDAP Browser testen Nach erfolgreicher Durchf hrung der oben beschriebenen Schritte 1 3 sollten Sie via LDAP Browser Utility eine Verbindung zu eDirectory herstellen k nnen Mit dem LDAP Browser von Jarek Gavor siehe Seite 293 k nnen Sie dies wie folgt testen Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine SSL Verbindung in eDirectory einzuloggen Falls der Versuch fehlschl gt verfahren Sie wie folgt gt Pr fen Sie ob SSL aktiviert ist vergleiche Seite 274 x Session Options j Host Info Host 192 168 37 238 Port 636 Version 3 Base DN dc myorganization dc mycompany A Fetch DNs v SSL Anonymous bind User Info z2 User DN cn admin y append base DN Password u Bild 74 LDAP Zugriff auf eDirectory testen SSL aktiviert Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber
94. Verbindung in eDirectory einzuloggen Falls der Versuch fehlschl gt verfahren Sie wie folgt Pr fen Sie ob SSL aktiviert ist vergleiche Seite 194 x Session Options j Host Info Host 192 168 37 238 Port 636 Version 3 Base DN dc myorganization dc mycompany RA Fetch DNs v SSL Anonymous bind User Info z2 User DN cn admin y append base DN Password 7 Bild 49 LDAP Zugriff auf eDirectory testen SSL aktiviert Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine nicht SSL gesicherte Verbindung in eDirectory einzuloggen 196 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 x Session Options Host Info Host wee 168 37 439 _ J Port Nee Version 2 v Base DN Ide myorganization de mycompany In Fetch DNs _ SSL _ Anonymous bind User Info User DN cn admin v append base DN Password j Cancel Bild 50 LDAP Zugriff auf eDirectory testen SSL nicht aktiviert Falls die Anmeldung erneut fehlschl gt Lockern Sie die Bind Restriktionen siehe Seite 194 7 2 6 4 iRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren Voraussetzung Eine LDAP v1 und oder eine LDAP v2 Struktur ist im eDirectory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und IRMCgroups generieren pflegen und l schen auf Seite 16
95. Verzeichnisserver eine LDAP Struktur f r die globale iRMC S2 S3 Benutzerverwaltung siehe Seite 165 Benutzerverwaltung in ServerView 163 Globale Benutzerverwaltung f r den iRMC S2 S3 delete L scht auf dem Verzeichnisserver eine vorhandenen LDAP Struktur die f r die globale iRMC iRMC S2 S3 Benutzerverwaltung verwendet wird siehe Seite 167 import Erzeugt aus einer existierenden LADAP v1 Struktur eine aquivalente LDAP v2 Struktur siehe Seite 165 synchronize Zieht nderungen die Sie in einer LDAP v2 Struktur vornehmen in einer bereits vorhandenen LDAP v1 Struktur nach siehe Seite 165 lt datei gt Konfigurationsdatei xm die von SVS_LdapDeploy als Eingabedatei verwendet wird Die Konfigurationsdatei enthalt die Strukturinformationen f r die Struktur en SVS und oder iRMCgroups in xml Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den i Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployerjar auf der ServerView Suite DVD ausgeliefert wird lt option gt lt option gt Option en die die Ausf hrung des spezifizierten Kommandos steuern In den nachfolgenden Abschnitten werden die einzelnen Kommandos des SVS_LdapDeployer samt den zugeh rigen Optionen im Detail erl utert Der SVS_LdapDeployer erzeugt alle ben tigten Unterb ume inklusive aller Gruppen nicht jedoch die Beziehungen zwischen Ben
96. Wenn ein Benutzer versucht sich bei CAS zu authentifizieren k nnen verschiedene Sonderf lle Ausnahmen eintreten Login derzeit nicht m glich Passwort ist abgelaufen muss zur ckgesetzt werden Benutzerkonto deaktiviert abgelaufen gesperrt Ohne LPPE wirde der normale CAS Login Vorgang die oben stehenden Szenarios als Fehler interpretieren was eine Authentifizierung verhindern w rde LPPE verbessert das standardm ige CAS Login indem die folgenden Schritte ausgef hrt werden 76 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 1 LPPE unterbricht den standardm igen Authentifizierungsvorgang indem Fehlercodes erfasst werden die als Teil der Nutzlast der LDAP Antwort zur ckgegeben werden 2 LPPE bersetzt die Fehlercodes in sehr viel pr zisere Fehlerangaben und gibt diese Fehlerangaben im Rahmen des CAS Login Vorgangs aus Auf diese Weise kann der Benutzer geeignete Ma nahmen ergreifen Die derzeit von LPPE verarbeiteten Anmeldeausnahmen werden in Tabelle 3 aufgef hrt LDAP LDAP Von CAS angezeigte Meldung Fehler Fehlertext code 530 Login derzeit Bei der Authentifizierung wird eine Meldung nicht zulassig angezeigt dass der Benutzer sich derzeit nicht anmelden kann You are not permitted to logon at this time Please try again later 531 Login an dieser Bei der Authentifizierung wird eine Meldung W
97. achrichtigung auf dem Verzeichnisserver konfigurieren Nachfolgend ist beschrieben wie Sie die E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Zus tzlich sind Einstellungen f r den iRMC S2 S3 erforderlich die Sie an der iRMC S2 S3 Web Oberflache konfigurieren siehe Handbuch IRMC S2 S3 integrated Remote Management Controller Gehen Sie wie folgt vor Tragen Sie im Verzeichnisdienst die E Mail Adressen der Benutzer ein an die E Mails gesendet werden sollen Das Verfahren zur Konfiguration der E Mail Adresse unterscheidet sich je nach verwendetem Verzeichnisdienst Active Directory eDirectory und OpenLdap Erstellen Sie eine Konfigurationsdatei in der die Alert Roles definiert sind Starten Sie den SVS_LdapDeployer mit dieser Konfigurationsdatei um eine entsprechende LDAP v2 Struktur SVS auf dem Verzeichnisserver zu generieren siehe Seite 163 und Seite 169 Benutzerverwaltung in ServerView 223 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 82 Benachrichtigungsgruppen Alert Roles anzeigen Nach der Generierung der LDAP v2 Struktur wird z B in Active Directory die neu angelegte OU SVS mit den Komponenten Alert Roles und Alert Types unter Declarations sowie mit der Komponente Alert Roles unter DeptX angezeigt siehe Bild 57 Unter Declarations zeigt Alert Roles alle definierten Alert Roles an Alert Types werden alle Benachrichtigungstypen angezeigt 1 Unter Deptx zeigt
98. aktivieren Zus tzlich zur Auswahl der Option SSL Zertifiate verifizieren erfordert die Verifizierung von SSL Zertifikaten dass das Server Zertifikat der Management Station in den Truststore des iRMC S2 S3 S4 geladen ist Einzelheiten zum Hochladen eines SSL Zertifikats auf den iRMC S2 S3 S4 finden Sie in den Handb chern iRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller 5 W hlen Sie unter Berechtigungen festlegen von die Option Berechtigungen via LDAP 6 Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren 62 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ 3 2 6 OpenDJ Daten sichern und wiederherstellen Dieser Abschnitt beschreibt wie Sie die OpenDJ Kommandos backup und restore auf der zentralen Management Station verwenden um die folgenden Aufgaben auszuf hren Backup der internen Datenbank des OpenDJ Verzeichnisservers erstellen Interne Datenbank des OpenDJ Verzeichnisservers aus einem anwendbaren Backup wiederherstellen ACHTUNG Bei der Wiederherstellung der internen Datenbank des OpenDJ Verzeichnisservers muss ein Backup verwendet werden das mit derselben Operations Manager Version erstellt wurde die aktuell auf der Management Station ausgef hrt wird Wenn auf eine neuere Operations Manager Version gewechselt wird muss immer ein neues Backup erstellt werden Wichtige Informationen die mit Operation
99. ale Benutzer mit ConsoleOne arbeiten sofern sie Root Berechtigung besitzen Benutzerverwaltung in ServerView 269 Globale Benutzerverwaltung f r den iRMC S4 Gehen Sie wie folgt vor gt ffnen Sie die Ihre Konfigurationsdatei zur Bearbeitung im Beispiel etc bash bashrc F gen Sie in der Konfigurationsdatei vor End of die folgende Zeile ein export C1_JRE_HOME opt novel1 j2sdk1 4 2_05 jre Hier wird die zusammen mit eDirectory installierte Java i Laufzeitumgebung verwendet Sie k nnen aber auch den Pfadnamen einer beliebigen anderen auf dem eDirectory Server installierten Java Laufzeitumgebung angeben ConsoleOne erh lt die verf gbaren Baumstrukturen entweder Uber die lokale Konfigurationsdatei hosts nds oder ber den SLP Service und Multicast Zum Einf gen Ihrer Baumstruktur in die Konfigurationsdatei gehen Sie verfahren Sie wie folgt gt Wechseln Sie in Ihr Konfigurationsverzeichnis cd etc Erzeugen Sie die Datei hosts nds falls Sie noch nicht existiert gt ffnen Sie die Datei hosts nds und f gen Sie die folgenden Zeilen ein Syntax TREENAME FODN PORT MY_Tree mycomputer mydomain 81 ConsoleOne starten ConsoleOne starten Sie in der System Eingabeaufforderung mit folgendem Kommando usr ConsoleOne bin ConsoleOne 270 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 6 3 Novell eDirectory konfigurieren Zur Konfiguration von No
100. ame Rechnername ServerView Name der ServerView Komponente Zurzeit ist ServerView CAS die component einzige ServerView Komponente die Logging Eintrage schreibt Ist in jeder Zeile konstant Die Prozess ID wird nicht protokolliert entsprechend RFC 5424 Msgld Name der Operation in abdruckbarem Format Falls es sich um Eintrage von Servern der Version 3 handelt sind dies Operationen der ServerView Komponenten Tabelle 25 Header eines Audit Log Eintrags Beispiel lt 110 gt 1 2011 07 07T09 42 03 113 02 00 compA1 ServerView CAS LOGIN Benutzerverwaltung in ServerView 139 Eintrage des Audit Logs 6 2 3 Strukturierte Daten eines Audit Log Eintrags Auf den Header eines Audit Log Eintrags folgen die strukturierten Daten die das Ereignis beschreiben Die strukturierten Daten sind vom Header durch ein Leerzeichen getrennt Die strukturierten Daten setzen sich zusammen aus einer Liste von Elementen SD ELEMENT in RFC 5424 von denen jedes in eckige Klammern eingeschlossen ist Innerhalb der eckigen Klammern beginnt jedes Element mit einen Elementnamen SD NAME in RFC 5424 gefolgt von einer Liste von Parametern die als Schl ssel Wert Paare formatiert sind SD PARAM in RFC 5424 Jeder Wert ist in doppelte Hochkommata eingeschlossen Die Reihenfolge der Elemente ist nicht festgelegt Welche Elemente und Werte vorhanden sind h ngt vom jeweiligen
101. ap Ins ein ConsoleOne ben tigt den Pfad zu einer installierten Java Laufzeitumgebung Den entsprechenden Pfadnamen k nnen Sie in die Umgebungsvariable CI_JRE_HOME exportieren Demgegen ber erfordert der systemweite Export des Pfadnamens nderungen in der bash Profile Da Root Berechtigung f r das Arbeiten mit ConsoleOne erforderlich ist gen gt es im Prinzip den Pfadnamen nur f r die Kennung superuser Root zu exportieren Im Folgenden ist jedoch der systemweite Export des Pfadnamens dargestellt Damit k nnen auch normale Benutzer mit ConsoleOne arbeiten sofern sie Root Berechtigung besitzen Benutzerverwaltung in ServerView 189 Globale Benutzerverwaltung f r den iRMC S2 S3 Gehen Sie wie folgt vor gt ffnen Sie die Ihre Konfigurationsdatei zur Bearbeitung im Beispiel etc bash bashrc F gen Sie in der Konfigurationsdatei vor End of die folgende Zeile ein export C1_JRE_HOME opt novel1 j2sdk1 4 2_05 jre Hier wird die zusammen mit eDirectory installierte Java i Laufzeitumgebung verwendet Sie k nnen aber auch den Pfadnamen einer beliebigen anderen auf dem eDirectory Server installierten Java Laufzeitumgebung angeben ConsoleOne erh lt die verf gbaren Baumstrukturen entweder Uber die lokale Konfigurationsdatei hosts nds oder ber den SLP Service und Multicast Zum Einf gen Ihrer Baumstruktur in die Konfigurationsdatei gehen Sie verfahren Sie wie folgt gt Wechseln Sie in Ihr Konfi
102. arget as speichert die pem Datei m glicherweise als html Datei Andern Sie in diesem Fall das Suffix html in pem um sicherzustellen dass die Datei verwendet wird 102 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 2 Zertifikatsdateien auf einem Windows System installieren Zur Installation der Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml stehen Ihnen die beiden folgenden M glichkeiten zur Verf gung Zertifikatsdateien gleich zu Beginn zusammen mit den ServerView Agenten auf dem verwalteten Server installieren Zertifikatsdateien auf einem verwalteten Server installieren auf dem die ServerView Agenten bereits installiert sind Dieses Vorgehen ist z B zu w hlen wenn das zun chst installierte selbstsignierte Zertifikat durch das Zertifikat einer vertrauensw rdigen Zertifizierungsstelle ersetzt werden muss z B als Folge eines entsprechenden Zertifikatsaustauschs auf der Management Station 4 3 2 1 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren In diesem Fall m ssen die Zertifikatsdateien auf dem verwalteten Server installiert sein bevor die ServerView Agenten installiert werden Im Folgenden ist beschrieben wie Sie die Zertifikatsdateien auf einem Windows System installieren Einzelheiten zur Installation der ServerView Agenten finden Sie in den entsprechenden Abschnitten des Handbuch
103. as Verzeichnis home eDirectory Starten Sie das Utility ndsmanage durch Eingabe des Kommandos ndsmanage ndsmanage Geben Sie c ein f r die Erzeugung einer neuen Instanz der Klasse server Geben Sie y ein um die Konfiguration fortzusetzen Geben Sie y ein um einen neuen Baum zu erzeugen Anschlie end erfragt ndsmanage nacheinander die Werte f r TREE NAME Server Name Server Context etc siehe Seite 271 Sobald die Eingabe abgeschlossen ist konfiguriert ndsmanage den NDS Baum F hren Sie nach Abschluss der Konfiguration des NDS Baums einen Neustart des PRIMERGY Servers durch um die Konfiguration zu aktivieren d h den NDS Baum zu erzeugen eDirectory f r LDAP konfigurieren Die Konfiguration von eDirectory f r LDAP umfasst die folgenden Schritte Role Based Services RBS installieren Plugin Module installieren Role Based Services RBS konfigurieren eDirectory mit ohne SSL TLS Unterst tzung konfigurieren Im Einzelnen gehen Sie wie folgt vor gt Loggen Sie sich beim iManager via Web Browser unter der Administratorkennung Admin ein 272 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Role Based Services RBS installieren RBS installieren Sie mithilfe des iManager Configuration Wizard Gehen Sie wie folgt vor gt W hlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol gt W hlen Sie in der Registerka
104. ate verwalten berblick auf Seite 82 SSL Zertifikate auf der Management Station verwalten auf Seite 85 Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten auf Seite 101 Benutzerverwaltung in ServerView 81 SSL Zertifikate verwalten Uberblick 4 1 SSL Zertifikate verwalten berblick F r die Kommunikation mit Web Browsern und verwalteten Servern Managed Nodes verwendet die Management Station eine Public Key Infrastruktur PKI mit sicheren SSL Verbindungen Die Management Station authentisiert sich beim Web Browser via Server Authentifizierung Web Browser kommunizieren mit der Management Station immer Uber eine HTTPS Verbindung also ber eine sichere SSL Verbindung Deshalb ben tigt der JBoss Web Server auf der Management Station ein Zertifikat X 509 Zertifikat um sich gegen ber dem Web Browser mittels Server Authentifizierung zu authentisieren Das X 509 Zertifikat enth lt alle f r die Identifizierung des JBoss Web Servers ben tigten Informationen sowie den ffentlichen Schl ssel Public Key des JBoss Web Servers Einzelheiten hierzu finden Sie im Abschnitt SSL Zertifikate auf der Management Station verwalten auf Seite 85 Die Management Station authentisiert sich gegen ber dem verwalteten Server via Client Authentifizierung Ein verwalteter Server z B PRIMERGY Server auf dem die RBAC Funktionalit t genutzt wird erfordert Client Auth
105. ationRole Fis UserkvM Eigenschaften von Administrator BE Allgemein Mitglieder Mitglied von Verwaltet von Mitglieder Active Directory Ordner Users ES Bild 67 Dialog Eigenschaften von Administrator gt W hlen Sie die Registerkarte Mitglieder Klicken Sie auf die Schaltfl che Hinzuf gen Der Dialog Benutzer Kontakte oder Computer w hlen wird ge ffnet siehe Bild 68 auf Seite 258 Benutzerverwaltung in ServerView 257 Globale Benutzerverwaltung f r den iRMC S4 Benutzer Kontakte oder Computer w hlen 21x Obyekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Geben Sie die zu verwendenden Objektnamen ein Beispiele Bild 68 Dialog Benutzer Kontakte oder Computer w hlen Klicken Sie auf die Schaltfl che Pfade Der Dialog Pfad wird ge ffnet Pfad MEG Geben Sie an wo gesucht werden soll Pfad Gesamtes Verzeichnis gp fwlab firm net H Buitin 9 Computers a Domain Controllers 8 FoteignSecurityPrincipals a iRMCgroups a svs sH Lost ndFound a Program Data System ox _Abtrechen de Bild 69 Dialog Pfad W hlen Sie den Container OU in dem sich Ihre Benutzer befinden Im Standardfall ist dies die OU Users Best tigen Sie mit OK Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 70 auf Seite 259 Benutzer k nnen auch an anderer Stelle im Verzeichnis eingetragen sein
106. atten und Controller NetInterf Netzwerk Schnittstelle RemMgmt Remote Management SysPwr Energieverwaltung Memory Speicher Others Andere Tabelle 36 Benachrichtigungstypen Alert Types 220 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Jedem Benachrichtigungstyp kann eines der folgenden Fehlergewichte Severity Level zugeordnet werden Warning Critical All none Bevorzugter Mail Server Bei globaler E Mail Benachrichtigung gilt fur den bevorzugten Mail Server die Einstellung Automatic Falls die E Mail nicht sofort erfolgreich versendet werden kann weil z B der erste Mail Server nicht verf gbar ist wird E Mail an den zweiten Mail Server gesendet Unterst tzte Mail Formate Es werden die folgenden Mail Formate unterst tzt Standard Fixed Subject ITS Format Fujitsu REMCS Format Bei einem Mail Format ungleich Standard m ssen Sie die Benutzer der entsprechenden Mail Format Gruppe hinzuf gen LDAP E Mail Tabelle Wenn die E Mail Benachrichtigung konfiguriert ist siehe Seite 223 und die Option LDAP E Mail aktiviert gesetzt ist sendet der IRMC S2 S3 im Fall einer Alarmbenachrichtigung E Mails an siehe auch Handbuch iRMC S2 S3 integrated Remote Management Controller alle entsprechend konfigurierten lokalen iRMC S2 S3 Benutzer alle globalen iRMC S2 S3 Benutzer die in der LDAP E Mail Tabelle f r diese Alarmbenachrichtigung registrier
107. auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 8 2 4 Typische Anwendungsszenarien Im Folgenden sind vier typische Szenarien f r den Einsatz des SVS_LdapDeployer beschrieben 8 2 4 1 Erst Konfiguration einer LDAP v2 Struktur durchf hren Sie wollen erstmals die globale Benutzerverwaltung f r einen IRMC S4 Firmware Version 3 77 oder h her einrichten Hierf r ben tigen Sie eine LDAP v2 Struktur Empfohlene Vorgehensweise Generieren Sie eine Department Definition f r LDAP v2 Strukturen SVS java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure v2 8 2 4 2 LDAP v2 Struktur neu generieren oder erweitern Sie wollen eine LDAP v2 Struktur neu generieren oder eine bereits bestehende LDAP v2 Struktur erweitern Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure structure v2 oder java jar SVS_LdapDeployer jar deploy myInitialDeploy xml 248 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 4 3 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern Sie wollen eine LDAP v2 Struktur neu generieren Die Authentisierungsdaten sollen via Kommandozeile bereitgestellt und gespeichert werden Empfohlene Vorgehensweise java il jar SVS_LdapDeployer jar deploy myInitialDeploy xml store_pwd username admin password admin Nach dem Speichern der Anmeldedaten k n
108. auf Seite 242 Zur Integration der IRMC S4 Benutzerverwaltung in Microsoft Active Directory f hren Sie die folgenden Schritte durch 1 LDAP SSL Zugriff des IRMC S4 am Active Directory Server konfigurieren 2 iRMC S4 Benutzer den iRMC S4 Benutzergruppen in Active Directory zuordnen 250 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 5 1 LDAP SSL Zugriff des iRMC S4 am Active Directory Server konfigurieren Die iRMC S4 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young Einen Abdruck des SSL Copyrights finden Sie auf Seite 307 Die Nutzung von LDAP via SSL durch den iRMC S4 erfordert die Erstellung eines RSA Zertifikats Die Konfiguration des LDAP Zugriffs umfasst die folgenden Schritte 1 Enterprise CA installieren 2 RSA Zertifikat f r den Dom nencontroller Domain Controller erzeugen 3 RSA Zertifikat auf dem Server installieren Enterprise CA installieren Eine CA ist eine Zertifizierungsstelle f r Zertifikate Eine Enterprise CA Zertifizierungsstelle f r Unternehmen k nnen Sie wahlweise auf dem Dom nencontroller selbst oder auf einem anderen Server installieren Die Installation direkt auf dem Dom nencontroller ist einfacher da im Vergleich zur Installation auf einem anderen Server einige Installationsschritte entfallen Im Folgenden ist beschrieben wie Sie die Enterprise CA direkt auf einem vom Dom ne
109. bject Object Name r iRMCgroups sbrd4 Assigned Rights Falls unter Object Name kein Objekt angezeigt wird hat der Trustee zurzeit keine Berechtigung innerhalb des angegebenen Kontexts gt Erteilen Sie dem Trustee gegebenenfalls zus tzliche Berechtigung en Klicken Sie auf Add Object gt Selektieren Sie via Objektselektor Schaltflache das Objekt f r das Sie dem Trustee eine Berechtigung erteilen wollen Klicken Sie auf Assigned Rights Falls die Property All Attributes Rights nicht angezeigt wird Klicken Sie auf Add Property Das Add Property Fenster wird angezeigt siehe Bild 53 auf Seite 202 Benutzerverwaltung in ServerView 201 Globale Benutzerverwaltung f r den iRMC S2 S3 Too ts Ta Rights To Other Objects Microsoft Int E Roles and Tasks All Catagories eDirectory Maintenance a Add Property Property name it Groups Help Desk Object name p Entry Rights ACL 1H LDAP Account Balance EI NMAS Management Delete Property Allow Unlimited Credit Property Na Audit File Link Partition and Replicas Authority Revocation Rights Back Link i Bindery Property Modify Inherited Rights Fiter CA Public Key zl Modify Trustees Rights To Other Objects I Show all properties in schema View Effective Rights Schema Users Bild 53 iManager Roles and Tasks Rights To Other Objects Add Property gt Markieren Sie die Property All Attribute
110. bnisse 512 Status Logging f r gesendete Eintr ge 1024 Kommunikation mit den Shell Backends ausgeben 2048 Ergebnisse des Entry Parsings ausgeben Tabelle 35 OpenLDAP Log Level 218 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 8 E Mail Benachrichtigung an globale iRMC S2 S3 Benutzer konfigurieren Die E Mail Benachrichtigung an globale IRMC S2 S3 Benutzer ist in die globale IRMC S2 S3 Benutzerverwaltung integriert und kann somit zentral und Plattform bergreifend ber einen Verzeichnisserver konfiguriert und abgewickelt werden Entsprechend konfigurierte globale Benutzerkennungen k nnen E Mail Benachrichtigungen von allen iRMC S2 S3 erhalten die mit dem Verzeichnisserver im Netz verbunden sind il Voraussetzungen F r die E Mail Benachrichtigung m ssen folgende Voraussetzungen erf llt sein Globale E Mail Benachrichtigung setzt eine IRMC S2 S3 Firmware der Version 3 77A oder h her voraus da eine LDAP v2 Struktur ben tigt wird Inder iRMC S2 S3 Web Oberfl che muss ein Principal Benutzer konfiguriert sein der berechtigt ist im LDAP Verzeichnisbaum LDAP Tree zu suchen siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Bei der Konfiguration der LDAP Einstellungen auf der Seite Verzeichnisdienst Konfiguration MUSS unter Verzeichnisdienst E Mail Benachrichtigung die E Mail Benachrichtigung konfiguriert sein siehe Handbuch iRMC S2 S3 i
111. ch f r IRMC S2 S3 S4 Benutzer wenn der betreffende iRMC S2 S3 S4 als Mitglied des Departments DEFAULT konfiguriert ist In diesem Handbuch wird der Begriff Benutzerverwaltung des il IRMC S2 S3 S4 im Sinne von globaler IRMC S2 S3 S4 Benutzerverwaltung verwendet Dar ber hinaus unterst tzt der iIRMC 2 S3 S4 eine lokale Benutzerverwaltung Bei der lokalen Benutzerverwaltung sind die zugeh rigen Benutzerkennungen lokal im nicht fl chtigen Speicher des IRMC S2 S3 S4 abgelegt und werden ber die iRMC S2 S3 Benutzerschnittstellen verwaltet Zu Einzelheiten siehe Handb cher iRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller 2 2 1 Vorteile durch Verwendung eines Verzeichnisdienstes Die Verwendung eines Verzeichnisdienstes bietet folgende Vorteile Ein Verzeichnisdienst verwaltet reale Benutzeridentit ten und gestattet so die Verwendung von pers nlichen Identifikationsdaten anstelle von unspezifischen Benutzerkonten Ein Verzeichnisdienst entkoppelt die Benutzerverwaltung vom Server Management Ein Server Administrator kann somit Benutzerrechte nur dann ndern wenn er zum ndern von Daten des Verzeichnisdienstes befugt ist 22 Benutzerverwaltung in ServerView Globale Benutzerverwaltung mit LDAP Verzeichnisdienst ServerView verwendet den Verzeichnisdienst sowohl f r Benutzer Authentifizierung als auch Benutzer Autorisierung Authentifizieru
112. chen Sie sich il nicht um die Einrichtung Ihrer eigenen Zertifizierungsstelle Certificate Authority CA oder um die Versendung einer Zertifikatsanforderung Certificate Signing Request CSR an eine externe Zertifizierungsstelle zu k mmern Wenn eine Update Installation des ServerView Operations Managers ben tigt wird z B nachdem der Name der Management Station ge ndert wurde wird das selbstsignierte Zertifikat automatisch w hrend der Update Installation ersetzt Wenn der JBoss Web Server ein selbstsigniertes Zertifikat verwendet Wenn sich die Web Browser mit dem JBoss Web Server verbinden werden sie einen Zertifikatsfehler melden mit Empfehlungen was zu tun ist Benutzerverwaltung in ServerView 85 SSL Zertifikate auf der Management Station verwalten Aufgrund ihrer hohen Verf gbarkeit eignen sich selbstsignierte Zertifikate besonders f r Testumgebungen Um jedoch die hohen Sicherheitsstandards zu erf llen die typisch sind f r das produktive Server Management mit dem Operations Manager empfehlen wir Ihnen die Verwendung eines so genannten Zertifizierungsstellenzertifikats das von einer vertrauensw rdigen Zertifizierungsstelle signiert ist 86 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 2 Zertifizierungsstellenzertifikat CA Certificate erzeugen Zertifizierungsstellenzertifikate werden von einer zentralen Instanz der Zertifizierungsstelle Certificate Au
113. ctory Globale iRMC S4 Benutzerverwaltung via OpenLDAP OpenDS OpenDJ Neben den in diesem Abschnitt beschriebenen Ma nahmen die Sie auf il Seiten des Verzeichnisdienstes durchf hren erfordert die globale Benutzerverwaltung au erdem die Konfiguration der lokalen LDAP Einstellungen am iRMC S4 Die lokalen LDAP Einstellungen konfigurieren Sie wahlweise siehe Handbuch iRMC S4 integrated Remote Management Controller ander IRMC S4 Web Oberfl che mithilfe des Server Configuration Managers Die Konfiguration der Einstellungen f r die globale iRMC S4 il Benutzerverwaltung erfordert detaillierte Kenntnisse des verwendeten Verzeichnisdienstes Nur Personen mit den entsprechenden Kenntnissen sollten die Konfiguration durchf hren 232 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 1 berblick Die globalen Benutzerkennungen f r den iRMC S4 werden zentral und Plattform bergreifend im Verzeichnis Directory eines Verzeichnisdienstes abgelegt Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten und k nnen somit von allen iRMC und iRMC S4 verwendet werden die mit diesem Server im Netz verbunden sind Der Einsatz eines Verzeichnisdienstes f r den IRMC S4 erm glicht es dar ber hinaus f r das Anmelden an den iRMC S4 dieselben Benutzerkennungen zu verwenden wie f r das Anmelden am Betriebssystem der verwalteten Server F r die folgen
114. dappasswordmodify h localhost p 1473 D en Directory Manager w admin a dn cn Directory Manager cn Root DNs cn config n new_dm_pw c admin Starten Sie den Dienst ServerView JBoss Application Server 7 neu um Ihre Passwort Einstellungen zu aktivieren Vordefiniertes Passwort des OpenDJ Directory Managers auf Linux Systemen ndern il Beachten Sie F r die Einrichtung eines Passworts das ein oder mehrere Sonderzeichen der Shell enth lt m ssen Sie bei der Angabe des Passworts in der Kommandozeile jedes Sonderzeichen durch einen vorangestellten Backslash entwerten Z B m ssen Sie in der Kommandozeile he 10o wor1d eintippen um das Passwort hel lo wor1d einzurichten Benutzerverwaltung in ServerView 39 ServerView Benutzerverwaltung mit OpenDJ Auf Linux Systemen ndern Sie das vordefinierte Passwort wie folgt 1 2 ffnen Sie eine Kommando Shell Stellen Sie sicher dass die Umgebungsvariablen JAVA_HOME und OPENDS_JAVA_HOME auf das Installationsverzeichnis der Java Laufzeitumgebung Java Runtime Environment JRE gesetztsind Falls das JRE z B unter usr java default installiert ist setzen Sie die Umgebungsvariablen mit den folgenden Kommandos export JAVA_HOME usr java default export OPENDS_JAVA_HOME usr java default Wechseln Sie in das Verzeichnis opt fujitsu ServerViewSuite opends bin ndern Sie das Passwort des OpenDJ Directory Managers indem Sie das folgende Kommando innerhalb
115. den Benachrichtigungstypen Alert Types Folgende Benachrichtigungstypen werden unterst tzt Benachrichtigungstyp Ursache FanSens L fter Sensoren Temperat Temperatur Sensoren HWError Kritische Hardware Fehler Security Sicherheit SysHang System Hang POSTErr Systemstart Fehler SysStat Systemstatus DDCtrl Festplatten und Controller NetInterf Netzwerk Schnittstelle RemMgmt Remote Management SysPwr Energieverwaltung Memory Speicher Others Andere Tabelle 38 Benachrichtigungstypen Alert Types 300 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Jedem Benachrichtigungstyp kann eines der folgenden Fehlergewichte Severity Level zugeordnet werden Warning Critical All none Bevorzugter Mail Server Bei globaler E Mail Benachrichtigung gilt fur den bevorzugten Mail Server die Einstellung Automatic Falls die E Mail nicht sofort erfolgreich versendet werden kann weil z B der erste Mail Server nicht verf gbar ist wird E Mail an den zweiten Mail Server gesendet Unterst tzte Mail Formate Es werden die folgenden Mail Formate unterst tzt Standard Fixed Subject ITS Format Fujitsu REMCS Format Bei einem Mail Format ungleich Standard m ssen Sie die Benutzer der entsprechenden Mail Format Gruppe hinzuf gen LDAP E Mail Tabelle Wenn die E Mail Benachrichtigung konfiguriert ist siehe Seite 303 und die Option
116. den iRMC S2 S3 Die Nutzung von SSL f r die LDAP Verbindung zwischen dem i IRMC S2 S3 und dem Verzeichnisdienst ist optional wird jedoch empfohlen Eine SSL gesicherte LDAP Verbindung zwischen iRMC S2 S3 und Verzeichnisdienst garantiert den sicheren Austausch der Daten insbesondere auch von Benutzernamen und Passwort SSL Login ber die IRMC S2 S3 Web Oberflache ist nur dann erforderlich wenn LDAP aktiviert ist siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Benutzerverwaltung in ServerView 151 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 Globale Benutzerverwaltung f r den IRMC S2 S3 Die globalen Benutzerkennungen f r den iRMC S2 S3 werden zentral f r alle Plattformen mithilfe eines LDAP Verzeichnisdienstes verwaltet F r die IRMC S2 S3 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP Open DS ForgeRock s OpenDJ Dieser Abschnitt informiert Uber folgende Themen berblick ber die globale Benutzerverwaltung f r den iRMC S2 S3 Konzept der globalen Benutzerverwaltung f r den IRMC S2 S3 mithilfe eines LDAP Verzeichnisdienstes Globale iRMC S2 S3 Benutzerverwaltung im Verzeichnisdienst konfigurieren I RMC S2 S3 spezifische Berechtigungsstrukturen im Verzeichnisdienst generieren Globale iRMC S2 S3 Benutzerverwaltung via Microsoft Active Directory Global
117. den iRMC S4 Funktionen wird zurzeit die globale Benutzerverwaltung nicht unterst tzt Login via IPMl over LAN Text Konsolen Umleitung via SOL Login Authentifizierung Login Authentifizierung Verzeichnisdienst globale Benutzerkennungen Login Authentifizierung Bild 60 Gemeinsame Nutzung der globalen Benutzerkennungen durch mehrere iRMC S4 Die Kommunikation zwischen den einzelnen iRMC S4 und dem zentralen Verzeichnisdienst wird ber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Die Kommunikation ber LDAP kann optional durch SSL abgesichert werden Benutzerverwaltung in ServerView 233 Globale Benutzerverwaltung f r den iRMC S4 8 2 2 iRMC S4 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Konzept Das im Folgenden erl uterte Konzept einer Verzeichnisdienst gest tzten globalen iRMC S4 Benutzerverwaltung gilt gleicherma en f r die Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP und OpenDS OpenDJ Die Abbildungen zeigen exemplarisch die Konsole Active Directory Benutzer und Computer der Benutzeroberflache von Microsoft Active Directory Die folgenden Zeichen sind in LDAP als Meta Zeichen f r Such Strings reserviert amp l lt gt Verwenden Sie diese Zeichen deshalb nicht als Bestandteil von Rela
118. der ndern Mit dem Kommando deploy k nnen Sie auf dem Verzeichnisserver eine neue LDAP Struktur erzeugen oder zu einer bereits existierende LDAP Struktur neue Eintr ge hinzuf gen Zum Entfernen von Eintr gen aus einer existierenden LDAP Struktur il m ssen Sie die LDAP Struktur zuerst mit delete l schen siehe Seite 247 l schen und anschlie end mit einer entsprechend modifizierten Konfigurationsdatei neu generieren Syntax deploy lt datei gt structure vl v2 both username lt benutzer gt password lt passwort gt store_pwd lt pfad gt kloc lt pfad gt kpwd lt key passwort gt lt datei gt xmi Datei die die Konfigurationsdaten enth lt Die Konfigurationsdatei muss unter lt Data gt alle erforderlichen Rollen und Abteilungen enthalten die f r das erstmalige Generieren bzw die Erweiterung einer Struktur ben tigt werden structure v1 structure v2 structure both Erzeugt eine LDAP v1 Struktur oder eine LDAP v2 Struktur oder eine LDAP v1 und eine LDAP v2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt Benutzerverwaltung in ServerView 245 Globale Benutzerverwaltung f r den iRMC S4 store_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hr
119. deutung javaHome Java Installationsverzeichnis javaVendor Anbieter des Java Runtime Environment JRE jbossUserDir Aktuelles Arbeitsverzeichnis des JBoss Nutzers jbossUserHome Home Verzeichnis des JBoss Nutzers jbossUserName Kennung des JBoss Nutzers osName Name des Betriebssystems osVersion Version des Betriebssystems Tabelle 27 Audit Log Eintrag ServerView env 231 Element 6 2 3 3 ServerView audit 231 Element Der ServerView audir 231 Eintrag ist Bestandteil jedes Audit Log Eintrags 231 ist die Private Enterprise Number f r Fujitsu Technology Solutions die bei Internet Assigned Numbers Authority IANA registriert ist Somit identifiziert das suffix 231 das Element als reserviertes Element f r Fujitsu Technology Solutions entsprechend RFC 5424 Parameter Bedeutung Ergebnis Gibt an ob die Operation erfolgreich ausgef hrt wurde M gliche Werte sind success Die Operation wurde ausgef hrt failure Die Operation schlug fehl Tabelle 28 Audit Log Eintrag ServerView audit 231 Element Benutzerverwaltung in ServerView 141 Eintrage des Audit Logs 6 2 3 4 ServerView lt COMP_NAME gt msg 231 Element Der ServerView lt COMP_NAME gt msg 231 Element Eintrag ist Bestandteil jedes Audit Log Eintrags Der Eintrag enthalt die ID die sich auf die Meldung bezieht die die aktuelle Operation erklart lt COMP_NAME gt bezeichnet die ServerView Kompone
120. dschirm hnlich dem folgenden an Benutzerverwaltung in ServerView 97 SSL Zertifikate auf der Management Station verwalten x General ET SSLException the trustAnchors parameter must be non empty Issued To Subject Common Name CN ts Fujitsu com Organization 0 Fujitsu Technology Solutions GmbH Organizational Unit OU TS Serial Number 33624432291 9508786226842462373686 Yalidity Issued On FriMar 13 13 57 31 CET 2009 Expires On Tue Mar 13 13 57 31 CET 2012 Fingerprints SHA1 Fingerprint 5a 55 17 92 d5 47 6b fb 17 fb f7 b4 61 91 43 b5 52 68 05 70 MDS Fingerprint 32 6f 01 db 28 47 6e b5 00 b1 7a 67 29 5b 3d ec Certificate Chain 1 CN ts Fujitsu com OU T5 0 Fujitsu Technology Solutions GmbH L Muenchen ST Bay 2 CN TC TrustCenter SSL CA 1 OU TC TrustCenter SSL CA O TC TrustCenter GmbH C DE Import Selected Certificate Cancel Bild 26 Add Security Exception In diesem Bildschirm k nnen Sie aus den Zertifikatskette Certificate Chain das Zertifikat ausw hlen das Sie in die truststore Datei importieren wollen Wenn nur ein Eintrag vorhanden ist ist das Zertifikat selbstsigniert dann gibt es keine andere M glichkeit als dieses Zertifikat zu importieren Andernfalls werden mindestens zwei Zertifikate angeboten wie im Beispiel gezeigt 1 Server Zertifikat 2 Zertifikat der Zertifizierungsstelle CA die das Server Zertifikat signiert hat Im Allgemeinen wird
121. e Benutzerrollen angezeigt 2 die f r diese Abteilung hier DeprX definiert sind K Active Directory User nd Compute Ee Action yew Femte Window Hele ale xi os Gf ef she ea TEHYTSE nes um a LU ma tye Dmsergiun l IT there are no Roms to show inthis view 5 Ldspbeplovertest Observer I a F D dais Sees 2 Cepartmarts I By Dep 1 svS 1 2 AertRoles i Beten 9 3 Declarations i Martena 1 3 De epartments 3 3 AlertRoles seh B S AuthorizationRoles a ee Administrator en Maintenance or Fa ea Observer Lost ndeound E UserkvM H Dept H 2 Others Bild 64 Anzeige der Benutzerrollen im Snap in Benutzer und Computer 240 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Berechtigungsgruppen anzeigen denen ein Benutzer zugeordnet ist Wenn Sie im Strukturbaum von Active Directory Users and Computers siehe Bild 65 unter Benutzer einen Benutzer z B kvms4 ausw hlen 1 und via Kontextmen Eigenschaften Mitglieder den Eigenschaften Dialog f r diesen Benutzer ffnen werden in der Registerkarte Mitglieder die Berechtigungsgruppen angezeigt 2 denen der Benutzer hier kvms4 angeh rt 4 Active Directory Users and Computers lt Q File Action View Favorites Window Help gt Bas exen Em eEG E E Administrator Cert Pub a eee CERTSVC There are no items to show in DnsAdmi Environment Sessions Remote control Termi
122. e ServerView Agenten mindestens von der Version 5 0 sind wird f r den betreffenden Servern unter Agent Access in der Registerkarte Server Details der Hinweis restricted oder unrestricted angezeigt S ServerView User administrator Logout Fujirsu if if Moniton Update Management Update Manager Repository Manager Download Manager Configuration Jobs Bild 28 Update Manager Hauptfenster Registerkarte Server Details CMS Zertifikat ist noch nicht installiert Benutzerverwaltung in ServerView 111 Verwalteten Server Systeme f r Role Based Access RBAC und Client At Update Details im Hauptfenster des Update Managers vor Installation des CMS Zertifikats auf dem verwalteten Server Eine separate Zeile in der Ansicht Upgrades der Registerkarte Update Details informiert ber die M glichkeit das CMS Zertifikat auf dem ausgew hlten Server zu installieren siehe Bild 29 A Update Manager Fujitsu Technology Solutions S ServerView User administrator Logout Fujirsu Update Manager Repositors Manager Download Manager Configuration Certificates no certificate present Install i amp Lokales Intranet Gesch tzter Modus Inaktiv aios Bild 29 Update Manager Hauptfenster Registerkarte Update Details CMS Zertifikat ist noch nicht installiert Nun k nnen Sie einen Update Job erzeugen und starten der die Installation auf dem verwalteten
123. e Einstellungen des Deployment All Managers ndern PerformDmCreatelmage Klon Image oder Snapshot Image All eines Servers erzeugen PerformDmDeploylmage Klon Image oder Snapshot Image All eines Servers wiederherstellen PerformDminstallServer Server installieren All PerformDmPowerOperations System ein ausschalten All Table 17 Berechtigungen der Kategorie RemDeploy 126 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 5 1 15 Kategorie ReportMgr Die ReportMgr Kategorie und die zugeh rige AccessReportMgr Berechtigung werden nur noch aus Kompatibilit tsgr nden unterst tzt und k nnen somit ignoriert werden Berechtigung Erlaubnis Geltungsbereich AccessReportMgr Zugriff auf den Report Manager CMS Table 18 Berechtigungen der Kategorie ReportMgr 5 1 16 Kategorie SCS DieModifyTrustedHosts Berechtigung der SCS Kategorie wird f r die nderung von vertraulichen Host Einstellungen ben tigt Berechtigung Erlaubnis Geltungsbereich ModifyTrustedHosts Modify trusted hosts settings Managed Node Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die ConfigPKIt Berechtigung besitzen Table 19 Berechtigungen der Kategorie SCS Benutzerverwaltung in ServerView 127 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 17 Kategorie ServerList Die ServerList Kategorie umfasst die
124. e Grow Members 4 Delete Group Modify Group 2 Modify Members of Group Mibin Move Group Rename Group fe E View My Groups Help Desk i LDAP OK Cancel me m apy Bild 79 iManager Roles and Tasks Modify Group Registerkarte Members LDAP v2 F hren Sie den folgenden Schritt f r alle Benutzer der OU people durch die Sie der ausgew hlten iRMC Gruppe zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltfl che Das Object Selector Browser Fenster wird ge ffnet siehe Bild 80 auf Seite 285 284 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 e Object Selector Browser Microsoft Internet Explorer Browse Search Peak Contents shift click to start a ook In reer people sbrd4 t up one level Example novell Look for objects named Example A Lar Bob user18 user19 user use20 Look for these types sme User users Advanced Browsing ume load Criteria Save Criteria 22a haaa amp user Apply Selected Objects 4 click object to a 3 userS people sbrd4 3 use people sbrd4 use people sbrd4 zj A OK Clear All Bild 80 Benutzer der iRMC Gruppe zuordnen Benutzer ausw hlen gt Selektieren Sie im Object Selector Browser Fenster den die gew nschten Benutzer der OU people und best tigen Sie Ihre Auswahl mit OK Im Anzeigebereich der Registerkarte Members der Seite Modify Group werd
125. e Managers enthalten sein Pfadname Tools Certificates Windows und Tools Certificates Linux VMware Bei der regul ren Erstinstallation des Repository f gt der Konfigurationsassistent des Update Managers die Zertifikate am Ende der Konfigurationsphase zum Repository hinzu W hrend einer Update Installation werden die Zertifikate durch Ausf hrung der entsprechenden Installations Skripts automatisch zum Repository hinzugef gt Wichtig Es darf nur ein lokales Repository angegeben werden da die hinzugef gten Daten ausschlie lich f r die betreffende Management Station g ltig sind 110 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 4 1 Mit dem ServerView Update Manager das CMS Zertifikat auf dem verwalteten Server installieren Uberblick Die Installation des CMS Zertifikats k nnen Sie ber das Update Manager Hauptfenster gemaB der nachfolgenden Beschreibung steuern Einzelheiten zum ServerView Update Manager finden Sie im Handbuch ServerView Update Manager Server Details im Hauptfenster des Update Managers vor Installation des CMS Zertifikats auf dem verwalteten Server Solange das CMS Zertifikat noch nicht auf dem verwalteten Server installiert ist wird unter Agent Access in der Registerkarte Server Details der Hinweis not certified angezeigt siehe Bild 28 Sofern nicht sowohl der ServerView Update Agent als auch di
126. e folgt a Starten Sie den JBoss Service b Warten Sie bis der Startvorgang beendet ist c Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone bin Benutzerverwaltung in ServerView 91 SSL Zertifikate auf der Management Station verwalten d Offnen Sie eine Windows Eingabeaufforderung und geben Sie das folgende Kommando die folgenden Kommandos ein java jar instal1l cert gui SVCOM_V1 70 jar svconf pki cacerts changeit lt system FODN gt 3170 Wenn Sie einen konfigurierten externen Verzeichnisdienst verwenden m ssen Sie auch das folgende Kommando eingeben java jar instal1I cert gui SVCOM_V1 70 jar svconf pki cacerts changeit lt system FODN gt lt port gt lt system FODN gt Vollqualifizierter Distinguished Name des betreffenden externen Directory Service Systems lt port gt LDAP Port der vom externen Directory Service verwendet wird meistens 636 e Das Java Programm install cert gui SVCOM_V1 70 jar zeigt einen Bildschirm hnlich dem folgenden an 92 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten x General SE SSLException the trustAnchors parameter must be non empty Issued To Subject Common Name CN ts Fujitsu com Organization 0 Fujitsu Technology Solutions GmbH Organizational Unit OU TS Serial Number 33624432291 9508786226842462373686 Yalidity Issued On Fri Mar 13 13 57 31 CET 2009 Expi
127. e iRMC S2 S3 Benutzerverwaltung via Novell eDirectory Globale iRMC S2 S3 Benutzerverwaltung via OpenLDAP OpenDS OpenDJ Neben den in diesem Abschnitt beschriebenen Ma nahmen die Sie auf Seiten des Verzeichnisdienstes durchf hren erfordert die globale Benutzerverwaltung au erdem die Konfiguration der lokalen LDAP Einstellungen am iRMC S2 S3 Die lokalen LDAP Einstellungen konfigurieren Sie wahlweise siehe Handbuch iRMC S2 S3 integrated Remote Management Controller ander IRMC S2 S3 Web Oberflache mithilfe des Server Configuration Managers Die Konfiguration der Einstellungen f r die globale iRMC S2 S3 il Benutzerverwaltung erfordert detaillierte Kenntnisse des verwendeten Verzeichnisdienstes Nur Personen mit den entsprechenden Kenntnissen sollten die Konfiguration durchf hren 152 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 1 berblick Die globalen Benutzerkennungen f r den iRMC S2 S3 wie auch f r den iRMC werden zentral und Plattform bergreifend im Verzeichnis Directory eines Verzeichnisdienstes abgelegt Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten und k nnen somit von allen iRMC und iRMC S2 S3 verwendet werden die mit diesem Server im Netz verbunden sind Der Einsatz eines Verzeichnisdienstes f r den iRMC S2 S3 erm glicht es dar ber hinaus f r das Anmelden an den iRMC S2 S3 dieselben Benutzerkennu
128. e im Firmware Package auf Ihrer ServerView Suite DVD finden Dieser Abschnitt beschreibt Konfigurationsdatei des SVS_LdapDeployer SVS_LdapDeployer Kommandos und Optionen des SVS_LdapDeployer Typische Anwendungsszenarien 7 2 3 1 Konfigurationsdatei xml Datei SVS_LdapDeployer erzeugt LDAP Strukturen auf Basis einer xml Konfigurationsdatei Diese Eingabedatei enth lt die Strukturinformationen f r die Struktur en SVS und oder iRMCgroups in xml Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den Beispiel il Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die Sie zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert werden In der Eingabedatei m ssen unter lt Settings gt immer g ltige Verbindungsdaten f r die Verbindung zum Verzeichnisserver eingetragen sein Optional k nnen Sie auch die Authentisierungsdaten f r den Server Zugriff eintragen Alternativ k nnen Sie die Authentisierungsdaten auch in der Kommandozeile des SVS_LdapDeloyer angeben Wenn Sie die Authentisierungsdaten weder in der Konfigurationsdatei noch in der Kommandozeile beim Aufruf des SVS_LdapDeployer angeben fordert der SVS_LdapDeployer die Authentisierungsdaten zum Ausf hrungszeitpunkt an 162 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 2 SVS LdapDeployer starten Zum Starten des SVS_LdapDeployer gehen Sie
129. e mit den Anmeldeinformationen aller Mitglieder unter der konfigurierten User Search Base liegen a W hlen Sie an der Management Station Start Systemsteuerung Administrative Tools Active Directory Benutzer und Computer um die grafische Benutzeroberfl che von Active Directory zu starten b Durchlaufen Sie in Baumstruktur den Knoten SVS von oben nach unten bis zum Knoten Departments Expandieren Sie die Departments CMS und DEFAULT siehe Bild 18 68 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Active Directory Users and Computers File Action yiew window Help 218 x gt Ba ex TaLe m eE t Y Sa ive Gedy sad compas Saved Queries DOMULIOL local Name Type Descriptio E Builtin E E Computers Domain Controllers H E ForeignSecurityPrincipals H E LostAndFound m NTDS Quotas H E Program Data There are no items to show in this view S Declarations E AuthRoles m Privileges Z UserSettings System a Users Bild 18 Die Monitor Rolle soll einem Benutzer John Baker zugewiesen werden Benutzerverwaltung in ServerView 69 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren c W hlen Sie SVS Departments CMS AuthRoles klicken Sie mit der rechten Maustaste auf Monitor und w hlen Sie Properties Der Dialog Properties f r die Monitor Rolle
130. e svconf pki auf Windows Systemen opt fujitsu Server View Suite jboss standalone svconf pki auf Linux Systemen Fur die Verarbeitung von keystore und truststore Datei verwenden Sie das keytool Utility siehe Seite 89 84 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 SSL Zertifikate auf der Management Station verwalten Web Browser kommunizieren mit der Management Station immer Uber eine HTTPS Verbindung also ber eine sichere SSL Verbindung Deshalb ben tigt der JBoss Web Server auf der Management Station ein Zertifikat X 509 Zertifikat mit dem er sich gegen ber dem Web Browser via Server Authentifizierung authentisiert Das X 509 Zertifikat enth lt alle f r die Identifizierung des JBoss Web Servers ben tigten Informationen sowie den ffentlichen Schl ssel Public Key des JBoss Web Servers 4 2 1 Bei der Installation wird automatisch ein selbstsigniertes Zertifikat erzeugt W hrend der Installation des Operation Managers wird f r den lokalen JBoss Web Server automatisch ein selbstsigniertes Zertifikat im PEM Format lt system_name gt scs pem erzeugt Das Setup installiert die Datei lt system_name gt scs pem im folgenden Verzeichnis lt ServerView directory gt svcommon data download pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux Systemen Bei der Verwendung eines selbstsignierten Zertifikats brau
131. echtigungen der Benutzerrolle zugewiesen Wenn sich die Berechtigungsstruktur ndert m ssen nur die in der Benutzerrolle enthaltenen Berechtigungen angepasst werden Jedem Benutzer k nnen mehrere Rollen zugewiesen werden In diesem Fall definieren sich die Berechtigungen eines Benutzers ber die Summe der Berechtigungen aus allen Rollen die diesem Benutzer zugewiesen sind 26 Benutzerverwaltung in ServerView Rollenbasierte Zugangskontrolle RBAC 2 3 2 RBAC Implementierung in OpenDJ RBAC ist bereits im Verzeichnisdienst OpenDJ implementiert der bei der Installation des ServerView Operations Managers automatisch installiert wird Vordefinierte Benutzer und Rollen Per Voreinstellung bietet OpenDJ die vordefinierten Benutzerrollen Administrator Monitor Operator und UserAdministrator an die jeweils einem der vordefinierten Benutzer Administrator Monitor Operator bzw UserManager fest zugeordnet sind Durch Erzeugen zus tzlicher Benutzer Rollen und Rollen Benutzer Zuordnungen k nnen Sie Ihr Sicherheitskonzept auf Ihre Unternehmensstruktur ausrichten Bild 2 zeigt das Konzept der Rollen basierten Zuweisung von Benutzerberechtigungen mit den Benutzernamen Administrator Monitor Operator und UserManager sowie den zugeh rigen Rollen Administrator Monitor Operator und UserAdministrator Benutzer Administrator Operator Monitor UserManager 4 t Operator Bild 2 Beispiel f r rollenbasierten Zuteilung von B
132. ed Mode unter JBoss Somit ist OpenDJ nur dann verf gbar wenn der Dienst ServerView JBoss Application Server 7 ausgef hrt wird Bereits existierenden konfigurierten Verzeichnisdienst verwenden Falls f r die Benutzerverwaltung Ihrer IT Umgebung bereits ein Verzeichnisdienst z B Microsoft Active Directory eingerichtet ist k nnen Sie diesen anstelle von OpenDJ verwenden 24 Benutzerverwaltung in ServerView Globale Benutzerverwaltung mit LDAP Verzeichnisdienst 2 2 4 Gemeinsame Benutzerverwaltung fur ServerView Suite und iRMC S2 S3 S4 Sie k nnen eine Server bergreifende Benutzerverwaltung einrichten die alle von der ServerView Suite verwalteten Server sowie die zugeh rigen IRMC S2 S3 S4 gleicherma en umfasst Login Authentifizierung SSL Login Verzeichnisdienst Authentifizierung SSL z B Active Directory iRMC 82 83 54 Zentrale Benutzerkennungen Login ServerView RAID Authentifizierung SSL Bild 1 Gemeinsame Nutzung der globalen Benutzerkennungen durch die verschiedenen Komponenten der ServerView Suite Die Kommunikation zwischen den einzelnen Management Stationen IRMC S2 S3 S4 und dem zentralen Verzeichnisdienst wird ber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Aus Sicherheitsgr nden wird dringend empfohlen die Kommunikation ber LDAP durc
133. edJob x x PerformCreateJob x PerformReleaseJob x UserMgr AccessUserMgr x Perform UserMgt x VIOM AccessVIOM x Table 24 Berechtigungen die durch die vordefinierten Rollen erteilt werden 134 Benutzerverwaltung in ServerView 6 Audit Logging Mithilfe des Audit Logging k nnen Sie jeder in einem IT System durchgef hrten Aktion den Initiator dieser Aktion zuordnen Im Gegensatz zur Fehlerprotokollierung Error Logging betrachtet das Audit Logging ausschlie lich erfolgreich abgeschlossene Aktionen Die System berwachung ist nicht Ziel des Audit Logging Audit Logging erm glicht autorisierten Personen die nachtr gliche Auswertung von Abl ufen im System Die im Rahmen des Audit Logging aufgezeichneten Eintr ge sind f r die dauerhafte Aufbewahrung bestimmt Damit die Logging Eintr ge auch aus gr erem zeitlichen Abstand korrekt interpretiert werden k nnen muss die Beschreibung des Aufzeichnungsformats zusammen mit den Daten des Audit Logs aufbewahrt werden ServerView unterst tzt das komponentenspezifische Logging von Benutzeraktionen Derzeit ist der Centralized Authentication Service CAS die einzige ServerView Komponente die Audit Log Eintr ge erzeugt Benutzerverwaltung in ServerView 135 Lage der Audit Log Information im Speicher 6 1 Lage der Audit Log Information im Speicher Audit Log Information in Windows Systemen In Windows Systemen werden
134. egisterkarte Connection enth lt eine Drop down Liste die alle auf dem System installierten Zertifikate anzeigt gt Selektieren Sie in der Drop down Liste das gew nschte Zertifikat eDirectory f r den nicht SSL gesicherten Zugriff konfigurieren Anonymes Login sowie die bertragung von Klartext Passw rtern ber il ungesicherte Kan le sind in eDirectory standardm ig deaktiviert Demzufolge ist das Einloggen via Web Browser am eDirectory Server nur ber eine SSL Verbindung m glich F r die Nutzung von LDAP ohne SSL m ssen Sie die folgenden Schritte durchf hren 1 Nicht SSL gesicherte LDAP Verbindung erm glichen 2 Bind Restriktionen lockern 3 LDAP Konfiguration neu laden 194 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Gehen Sie wie folgt vor 1 Nicht SSL gesicherte LDAP Verbindung erm glichen gt yY v y y y Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein W hlen Sie den Roles and Tasks View W hlen Sie LDAP LDAP Options LDAP Server Connection Deaktivieren in der Registerkarte Connection die Option Require TLS for all Operations W hlen Sie LDAP LDAP Options LDAP Group General Deaktivieren die in der Registerkarte General die Option Require TLS for Simple Binds with password 2 Bind Restriktionen lockern gt gt yY vY YV v 7y gt Loggen Sie sich be
135. eise nicht alle Popup Fenster des Kontext Men s angezeigt 268 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 ConsoleOne installieren und starten Mit ConsoleOne steht Ihnen ein weiteres Administrationstool von Novell eDirectory zur Verf gung Zur Installation von ConsoleOne gehen Sie wie folgt vor gt gt Melden Sie sich mit Root Berechtigung Super User am eDirectory Server an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das ConsoleOne Archiv c _136f linux tar gz tar xzvf cl_136f linux tar gz Nach der Extraktion enth lt home eDirectory ein neues Verzeichnis Linux Wechseln Sie in das Verzeichnis Linux cd Linux Rufen Sie das Installationsskript cl install auf cl instal Wahlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Geben Sie 8 f r die Installation aller Snap Ins ein ConsoleOne ben tigt den Pfad zu einer installierten Java Laufzeitumgebung Den entsprechenden Pfadnamen k nnen Sie in die Umgebungsvariable CI_JRE_HOME exportieren Demgegen ber erfordert der systemweite Export des Pfadnamens nderungen in der bash Profile Da Root Berechtigung f r das Arbeiten mit ConsoleOne erforderlich ist gen gt es im Prinzip den Pfadnamen nur f r die Kennung superuser Root zu exportieren Im Folgenden ist jedoch der systemweite Export des Pfadnamens dargestellt Damit k nnen auch norm
136. eite Directory Service Configuration der iRMC S4 Web Oberflache siehe Handbuch iRMC S4 integrated Remote Management Controller Der CN eines Benutzers muss innerhalb des durchsuchten Teilbaums eindeutig sein Principal User Principal Benutzer fur den iRMC S4 erzeugen Um einen Principal User f r den iRMC S4 zu erzeugen gehen Sie wie folgt vor Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein W hlen Sie Roles and Tasks W hlen Sie Users Create User gt Tragen Sie die erforderlichen Angaben in das angezeigte Template ein Distinguished Name DN und Passwort des Principal Users m ssen il mit entsprechenden Angaben f r die Konfiguration des iRMC S4 bereinstimmen siehe Handbuch iRMC S4 integrated Remote Management Controller Der Context des Benutzers kann sich an beliebiger Stelle im Baum befinden gt Erteilen Sie dem Principal User Suchberechtigung f r die folgenden Teilb ume Teilbaum OU SVS Teilbaum OU der die Benutzer enth lt z B people Den iRMC Gruppen und Benutzern Benutzerrechte erteilen Standardm ig verf gt ein Objekt in eDirectory nur ber sehr eingeschr nkte Abfrage und Suchberechtigungen in einem LDAP Baum Damit ein Objekt alle Attribute in einem oder mehreren Teilb umen abfragen kann m sse Sie diesem Objekt die entsprechenden Rechte zuweisen Berechtigungen erteilen Sie wahlweise einem einzelnen Objekt d h einem speziellen Benut
137. eiterte Benutzer Anmeldung und klicken Sie auf bernehmen 4 Geben Sie unter Benutzer Such Kriterium ein uid s 5 Klicken Sie auf Test LDAP Zugang um den Status Ihrer LDAP Verbindung zu testen der anschlie end unter LDAP Status angezeigt wird 6 Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren 60 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ 3 2 5 2 iRMC S2 S3 S4 Web Oberflache fur CAS basierte Single Sign on SSO Authentifizierung konfigurieren Auf der Seite Centralized Authentication Service CAS Konfiguration IRMC S2 S3 S4 Web Oberflache k nnen Sie die Web Oberfl che des zugeh rigen iRMC S2 S3 S4 f r die CAS basierte Single Sign on SSO Authentifizierung konfigurieren Bild 15 zeigt die erforderlichen Einstellungen amp ServerView Bertier admin Abmelden FURTSU 1x0 MAAC 52 Wob Server D System Informaboren ystem Rert ch SSLHTIPS aktiviert SSL Zertifikat verifizieren 7 Ananelde Biklschinne immer zeigen F CAS Netzwerk Port 3170 CAS Setwet my cms my Goran CAS Anmeldung URL castogn CAS Abmeldung URL Aushang CAS Validierung URL easanitee ecmigungen festlegen von Berecrtigngen vie LOAP Video tntehne Herevess Stelen Se sicher dass ein giier LDAP Bertier rum Ermittnis der Berechtigungen des CAS Beragiers vor Verzeichnis Server konfaguriert ist ao UMENG aS Remte Storage Central Authentication Service CAS Copy
138. ellung LDAPv2 Bind gt W hlen Sie Global Settings TLS Settings gt Aktivieren Sie die Einstellung TLS Geben Sie die Pfade der bei der Installation erstellten Dateien bekannt siehe Abschnitt OpenLDAP installieren auf Seite 210 gt Stellen Sie sicher dass Zertifikate und Privater Schl ssel im Dateisystem vom LDAP Service gelesen werden k nnen Da openldap unter der uid guid Idap ausgef hrt wird k nnen Sie dies z B erreichen indem Sie den Eigent mer der Dateien mit Zertifikaten und privaten Schl sseln auf Idap setzen oder dem LDAP D mon ldap die Leseberechtigung auf die Dateien mit Zertifikaten und privaten Schl sseln erteilen gt W hlen Sie Databases um eine neue Datenbank zu erzeugen Benutzerverwaltung in ServerView 211 Globale Benutzerverwaltung f r den iRMC S2 S3 il Falls die von YaST erstellte Konfiguration generell nicht funktioniert pr fen Sie die Konfigurationsdatei etc openldap slapd conf auf folgende zwingend erforderlichen Eintr ge allow bind_v2 LSCACertificateFile path to ca certificate pem LSCertificateFile path to certificate pem TLSCertificateKeyFile path to privat key pem Falls die von YaST erstellte Konfiguration f r SSL nicht funktioniert pr fen Sie die Konfigurationsdatei etc sysconfig openldap auf folgenden Eintrag OPENLDAP_START_LDAPS yes 212 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r de
139. elp e BmLBxXxFRB em et hT Sa m Builtin E Computers E Domain Controllers m ForeignSecurityPrincipals irmc2 m iRMCgroups B LdapDeployerTest Ej amp IRMCgroups il StdSysAlerts 0 objects H StdSysAlerts Properties 2 x General Members Member Of Managed By Object Securty Members Active Directory Folder sbrd4 local U ser B svs rs kvms4 sbrd4 local Users a m PS 2 6 kvms6 sbrd4 local Users a StdSysAlerts g kvms sbrd4 local Users 8 AlertTypes AuthorizationRoles 5 Privileges 2 2 Departments Deptx 1 2 8 AlertRoles AOZO m Depty Others m UserSettings Lost ndFound H NewTestou E NTDS Quotas E Program Data aE svs Cancel Apply I Bild 58 Benutzer mit der Alert Role StdSysAlert Benutzerverwaltung in ServerView 225 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 8 3 iRMC S2 S3 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen Die Zuordnung von iRMC S2 S3 Benutzern zu Benachrichtigungsgruppen Alert Roles k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag In den einzelnen Verzeichnisdiensten Microsoft Active Directory Novell eDirectory und OpenLDAP erfolgt die Zuordnung iRMC S2 S3 Benutzern zu IRMC S2 S3 Benachrichtigungsgruppen Alert Roles analog und mit denselben Tools wie bei der Zuordnung von iRMC S2 S3 Benutzern zu
140. ement Wizard Nach dem Start zeigt der User Management Wizard zun chst den Dialog Role Definitions an S ServerView User Management Wizard S User Management role Definitions User amp Password Assign Role to User Finish A privilege is a right permission or some other kind of access capability that a user has regarding operations on a system The privileges are arranged in groups according to their usage by various ServerView components A role is a set of such privileges and is used as the main property For users ServerView Component Assigned Privilege Description of Privilege mMg A The user has the permission to reploy AccessArchiveMgr access the Alarm Monitor Operator AlarmMgr User Administrator ArchiveMgr AccessDeploymentMar jag BackupMgr AccessDeploymentM Common AccessDownloadMgr Configgr AccessInventoryMar Invmgr iRMC_MMB AccessOnlineDiagno PerfMgr AccessPerformance PowerMon AccessPowerMonitor Beer AccessPrimeCollect RaidMar i RemDeploy AccessRac ReportMgr AccessRaidMgr pcs AccessRemoteMana ae AccessReportMgr IpdMigr lUsertar AccessRepasitoryMgr vIOM AccessServerConfig AccessServerList v Delte j Zur ck Gr Bild 9 User Management Wizard Dialog Role Definitions Der User Management Wizard umfasst vier Schritte
141. empfohlen nur das Zertifikat der Zertifizierungsstelle zu importieren Damit wird jedes andere Server Zertifikat das von derselben Zertifizierungsstelle signiert ist automatisch vertrauensw rdig was in den meisten F llen von Vorteil ist Nach dem Aufruf des Java Programms wird die folgende Meldung angezeigt 98 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten testConnection tm pontresina servware abg firm net 3170 SSLException java lang RuntimeException Unexpected error java security InvalidAlgorithmParameterException the trustAnchors parameter must be non empty writing to truststore svconf pki cacerts Dies bedeutet keinen Fehler sondern zeigt lediglich an dass das neue Zertifikat bislang noch nicht in die Datei truststore importiert wurde f Erzeugen Sie die Datei keystore pem im PEM Format Gehen Sie wie folgt vor Wenden Sie das folgende Kommando an openssl pkcsl2 in keystore pl2 passin pass changeit nodes out keystore pem passout pass changeit gt ffnen Sie die Datei keystore pem mit einem Text Editor und l schen Sie alle Textzeilen mit Ausnahme der folgenden Zeilen Kopf und Fu zeilen die mit markiert sind Verschl sselte Zeilen in Datenbl cken Kopieren Sie die Datei keystore pem in das folgende Verzeichnis auf der Management Station opt fujitsw ServerViewSuite jboss standalone svconf pki Benutzerverwaltu
142. en Gehen Sie wie folgt vor 1 2 Stoppen Sie den JBoss Service siehe Seite 20 Entfernen Sie die Datei keystore a ffnen Sie die Windows Eingabeaufforderung b Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone svconf pki c L schen Sie die keystore Datei oder benennen Sie die Datei um Kopieren Sie die von der Zertifizierungsstelle signierte Zertifikatsantwort hier certreply pem und das Zertifikat der Zertifizierungsstelle hier certca pem in das aktuelle Verzeichnis lt ServerView directory gt jboss standalone svconf pki Importieren Sie die Zertifikatsantwort zusammen mit dem Zertifikat der Zertifizierungsstelle in eine neue keystore Datei und exportieren Sie den ffentlichen Schl ssel hier keystore p12 openssl pkcsl2 export chain in certreply pem inkey privkey pem passout pass changeit out keystore pl2 name svs_cms CAfile certca pem caname CANAME Ersetzen Sie den Platzhalter CANAME durch den Namen der Zertifizierungsstelle die die Zertifikatsanforderung Certificate Signing Request CSR signiert hat Formatieren reformatieren Sie die Datei keystore keytool importkeystore srckeystore keystore pl2 destkeystore keystore srcestoretype PKCS12 srestorepass changeit deststorepass changeit destkeypass changeit srcalias svs_cms destalias svs_cms noprompt v Importieren Sie das neue Zertifikat in die Datei truststore Am einfachsten erreichen Sie dies wi
143. en Linux SSL Zertifikat erzeugen OpenLDAP konfigurieren iRMC S4 Benutzerverwaltung in OpenLDAP integrieren Tipps zur Administration von OpenLDAP 8 2 7 1 OpenLDAP installieren Vor der Installation von OpenLDAP m ssen Sie die Firewall f r Verbindungen zu den Ports 389 und 636 konfigurieren Bei OpenSuSE verfahren Sie hierf r wie folgt Erg nzen Sie in der Datei etc sysconfig SuSEfirewall2 die Option FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 389 636 Zur Installation der Packages OpenSSL und OpenLDAP2 vom Distributionsmedium verwenden Sie das Setup Tool YaST 8 2 7 2 SSL Zertifikate erzeugen Es soll ein Zertifikat mit folgenden Eigenschaften erzeugt werden Schl ssell nge 1024 bit md5RSAEnc Schl sselpaare und signierte Zertifikate selbstsigniert oder von einer externen CA signiert erzeugen Sie mithilfe von OpenSSL N here Informationen hierzu finden Sie auf der OpenSSL Homepage unter http www openssl org Unter den folgenden Links finden Sie Anleitungen zur Einrichtung einer CA und zum Erstellen von Test Zertifikaten http www akadia com services ssh_test_certificate html http www freebsdmadeeasy com tutorials web server apache ssl certs php http www flatmtn com computer Linux SSLCertificates html http www tc umn edu brams006 selfsign html 290 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Als
144. en Setup exe ServerViewAgents_xxx msi und andere Dateien erzeugt Im Verzeichnis das die Setup Dateien enth lt Erstellen Sie ein neues Verzeichnis pki Abk rzung f r public key infrastructure Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch gleichzeitig die Zertifikatsdateien mehrerer vertrauenswirdiger Management Stationen Ubertragen Starten Sie Setup exe siehe Handbuch ServerView Agenten f r Windows Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert Installieren via ServerView Suite DVD ServerView Agenten und Zertifikate k nnen nicht direkt von der ServerView Suite DVD installiert werden Gehen Sie wie folgt vor 1 Kopieren Sie die gepackte oder entpackten Setup Dateien auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server Im Verzeichnis das die Setup Datei en enth lt Erstellen Sie ein neues Verzeichnis pki Abk rzung f r public key infrastructure Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch gleichzeitig die Zertifikatsdateien mehrerer vertrauensw rdiger Management Stationen bertragen Starten Sie die Paket Installation siehe Handbuch ServerView Agenten f r Windows
145. en Sie den sicheren LDAP Zugang LDAPS zum Active Directory Server Die Installation des Operations Managers erfordert die Konfiguration des LDAP Zugriffs auf den Verzeichnisserver auf den die Benutzerverwaltung durchgef hrt wird Standardm ig stellt Active Directory eine ungesicherte LDAP Schnhittstelle auf Port 389 zur Verf gung Diese Schnittstelle k nnen Sie zu Testzwecken nutzen Wenn Sie jedoch eine Produktivumgebung aufsetzen wollen sollten Sie auf Ihrem Active Directory Server eine sichere LDAPS Schnittstelle einrichten Hierf r m ssen Sie auf diesem Server ein Server Zertifikat zu installieren Detaillierte Informationen hierzu finden Sie in der entsprechenden Microsoft Dokumentation How to enable LDAP over SSL with a third party certification authority unter http support microsoft com Detaillierte Informationen zur Konfiguration des LDAP SSL Zugriffs auf den iRMC S2 S3 S4 finden Sie im Abschnitt LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren auf Seite 171 oder in Abschnitt LDAP SSL Zugriff des IRMC S4 am Active Directory Server konfigurieren auf Seite 251 Zu Testzwecken gen gt es auf dem Active Directory Server ein selbstsigniertes Zertifikat zu installieren Mit dem Microsoft Tool selfssl exe aus den IIS 6 0 Resource Kit Tools herunterladbar unter http support microsoft com k nnen Sie dies sehr einfach durchf hren Beispiel Um ein selbstsignierten Zertifikats mit einer 204
146. en Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 1 ein f r die Installation des Novell eDirectory Servers und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Packages installiert Benutzerverwaltung in ServerView 265 Globale Benutzerverwaltung f r den iRMC S4 Nach der Installation des Novell eDirectory Servers m ssen Sie in einigen Umgebungsvariablen die Namen f r die Pfade auf das eDirectory aktualisieren und die Variablen exportieren gt ffnen Sie hierf r Ihre Konfigurationsdatei im Beispiel etc bash bashrc und f gen Sie die dort vor End of die folgenden Zeilen in der angegebenen Reihenfolge ein export PATH opt novell eDirectory bin opt novell eDirectory sbin PATH export LD_LIBRARY_PATH opt novell eDirectory lib opt novell eDirectory lib nds modules opt novell 1ib LD_LIBRARY_PATH export MANPATH opt novell man opt novell eDirectory man MANPATH export TEXTDOMAINDIR opt novell eDirectory share locale TEXTDOMAINDIR Schlie en Sie das Terminal und ffnen Sie ein neues Terminal um die Umgebungsvariablen zu exportieren eDirectory Administrations Utilities installieren gt Wechseln Sie in das Unterverzeichnis setup des eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript auf nds install Akzeptieren Sie die EULA mi
147. en die ausgew hlten Benutzer angezeigt siehe 81 auf Seite 286 Benutzerverwaltung in ServerView 285 Globale Benutzerverwaltung f r den iRMC S4 A Roles and Tasks All Categories x Directory Administration eDirectory Encryption eDirectory Maintenance Groups Create Group Delete Group Modify Gr ee user3 people sbrdd Bowe Group user people sbrd4 Rename Group user6 people sbrd4 View My Groups user people sbrd4 Help Desk LDAP zj E NMAS Management SEES gt Partition and Replicas oK OK _ Cancel __ Apply Rights is SSL EEE eae Bild 81 Anzeige der ausgewahlten iRMC S4 Benuizer in der Registerkarte Members LDAP v2 Best tigen Sie mit Apply oder OK um die ausgew hlten Benutzer zur IRMC Gruppe hier SVS sbdr4 hinzuzuf gen 286 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 6 6 Tipps zur Administration von Novell eDirectory NDS Damon neu starten F r einen Neustart des NDS D mons gehen Sie wie folgt vor gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an F hren Sie das folgende Kommando aus rendsd restart Falls sich der nldap D mon ohne ersichtlichen Grund nicht starten l sst gt Starten Sie den Indap D mon von Hand etc init d nldap restart Falls der iManager nicht reagiert Starten Sie den iManager neu ete init d novell tomcat4 restart Ko
148. en und zugeh rige ServerView Komponenten Aufgaben 5 1 2 Kategorie AgentDeploy Die PerformAgentDeployment Berechtigung der AgentDeploy Kategorie wird ben tigt um ServerView Agenten auf Managed Nodes zu installieren Privileg Erlaubnis Geltungsbereich PerformAgentDeployment ServerView Agenten auf Managed Nodes einrichten Management Station Table 5 Berechtigung der Kategorie AgentDeploy 5 1 3 Kategorie AlarmMgr Die AlarmMgr Kategorie umfasst die Berechtigungen zur Ausf hrung der verschiedenen Aufgaben in Verbindung mit dem ServerView Event Management Privileg Erlaubnis Geltungsbereich AccessAlarmMgr Zugriff auf den Alarm Monitor Management Station ModifyAlarmConfig Alarmeinstellungen modifizieren mithilfe Management des Alarm Configuration Links im Station Startfenster des Operations Managers Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die AccessServerList Berechtigung besitzen PerformAlarmAcknowledge Alarme best tigen Alle PerformMiBintegration Neue MIBs integrieren Managed Node Table 6 Berechtigung der Kategorie AlarmMgr Benutzerverwaltung in ServerView 119 Privilegien Kategorien und zugeh rige Berechtigungen 5 1 4 Kategorie ArchiveMgr Die ArchiveMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den Archive Manager sowie f r das Erzeugen ndern und L schen von Archiven
149. eneric_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployerjar auf der ServerView Suite DVD ausgeliefert werden Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch des iRMC S2 S3 S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzen voraus dass der IRMC S2 S3 S4 als Element des Departments DEFAULT konfiguriert ist Gehen Sie wie folgt vor 1 Importieren Sie die in ServerView definierten Benutzerrollen a Kopieren Sie die Datei SVActiveDirectory ldif in ein temporares Verzeichnis auf dem Windows System auf dem Active Directory l uft b ffnen Sie die Windows Eingabeaufforderung und wechseln Sie in das Verzeichnis das die Datei SVActiveDirectory ldif enth lt c Importieren Sie die LDIF Datei mithilfe des Microsoft Tools difde Idifde i e k f SVActiveDirectory Idif Falls das difde Tool nicht in der Umgebungsvariablen PATH variable Ihres Systems eingetragen ist finden Sie es im Verzeichnis WINDIR system32 Falls erforderlich wird eine bereits vorhandene LDAP Struktur um neue Berechtigungen erweitert Bereits existierende Eintr ge sind jedoch nicht betroffen Die hinzugef gten Berechtigungen Privilegien und Rollen werden nun in der Benutzeroberfl che von Active Directory angezeigt siehe Bild 17 auf Seite 67 66 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren
150. entifizierung auf der Basis von X 509 Zertifikaten Deshalb muss sich eine Management Station beim Verbindungsaufbau zum verwalteten Server authentisieren Client Authentifizierung sch tzt den verwalteten Server sowohl vor dem Zugriff einer nicht vertrauensw rdigen Management Station als auch vor dem Zugriff einer nicht privilegierten Anwendung die auf der Management Station l uft Client Authentifizierung setzt voraus dass das Zertifikat einer vertrauensw rdigen Management Station zuvor auf dem verwalteten Server installiert wurde Einzelheiten hierzu finden Sie im Abschnitt Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten auf Seite 101 82 Benutzerverwaltung in ServerView SSL Zertifikate verwalten Uberblick SSL Public Key Datei und Konfigurationsdatei des Security Interceptors Wahrend der Installation des Operation Managers werden folgende Dateien automatisch erzeugt lt system_name gt scs pem Selbst signiertes Zertifikat im PEM Format Die PEM Datei enthalt au erdem den ffentlichen Schl ssel Public Key Eine zentrale Management Station verwendet die Datei lt system_name gt scs pem f r folgende Zwecke Server Authentifizierung gegen ber Web Browsern die sich mit der Management Station verbinden Client Authentifizierung gegen ber den verwalteten Servern auf denen die RBAC Funktionalitat genutzt wird Fur die Client Authentifizierung muss
151. enutzerberechtigungen Genau genommen gibt es in OpenDJ noch zwei weitere vordefinierte Benutzerkennungen die umfassend autorisiert und f r spezielle Aufgaben reserviert sind cn Directory Manager Directory Manager Kennung von OpenDJ und svuser f r den Zugriff auf den Verzeichnisdienst durch CAS und den Sicherheitsmodul von ServerView Benutzerverwaltung in ServerView 27 Rollenbasierte Zugangskontrolle RBAC Der Umfang der durch die einzelnen Benutzerrollen erteilten Berechtigungen nimmt beginnend bei Monitor niedrigste Berechtigungsstufe Uber Operator bis Administrator h chste Berechtigungsstufe stetig zu N heres hierzu finden Sie Kapitel Audit Logging auf Seite 135 Die Rolle UserAdministrator f gt sich nicht in diese Hierarchie ein da ihr il Zweck lediglich darin besteht die Privilegien f r die Benutzverwaltung mit OpenDJ bereitzustellen Wenn f r die Benutzerverwaltung in ServerView ein externer Verzeichnisdienst z B Active Directory verwendet wird wird die Rolle UserAdministrator nicht in diesen Verzeichnisdienst importiert Sicherheitskonzept an die Struktur Ihrer Organisation anpassen Zur Ausrichtung Ihres Sicherheitskonzepts an Ihrer Unternehmensstruktur erm glicht Ihnen die ServerView Suite auf komfortable Weise zus tzliche Benutzer Rollen und Rollen Benutzer Zuordnungen zu definieren indem Sie den User Management Link unterhalb des Security Eintrags in der Startseite des ServerView Operati
152. er Managed Nodes enthalten Die Vorgehensweise ist ahnlich wie beim ServerView Operations Manger lt 5 0 Single Sign on wird jedoch nicht unterst tzt 2 1 Voraussetzungen Benutzerverwaltung und Sicherheitsarchitektur der ServerView Suite setzen folgende Software voraus e JBoss Web Server Ab der Version 5 0 verwendet der ServerView Operations Manager den JBoss Web Server Die ben tigten Dateien werden automatisch mit der Software des ServerView Operations Manager installiert JBoss wird als eigenstandiger Dienst unter dem Namen ServerView JBoss Applications Server 7 konfiguriert Den Service k nnen Sie wie folgt starten stoppen Auf Windows Server 2008 2012 Systemen W hlen Sie Start Administrative Tools Services Alternativ k nnen Sie auf allen Windows Systemen zum Starten und Stoppen des JBoss Service die folgenden CLI Kommandos verenden WINDIR system32 net exe start ServerView JBoss Application Server 7 WINDIR system32 net exe start ServerView JBoss Application Server 7 Auf Linux Systemen ber das folgende Kommando etc init d sv_jboss start stop 20 Benutzerverwaltung in ServerView Voraussetzungen e LDAP Verzeichnisdienst W hrend der Installation des ServerView Operations Managers k nnen Sie wahlen ob Sie den vom Operations Manager intern genutzten Verzeichnisdienst OpenDJ oder einen bereits vorhandenen Verzeichnisdienst z B Microsoft Active Directory nutzen w
153. er Management Wizard Management zugreifen Station PerformUserMgt User Management Wizard f r die Management Benutzerverwaltung mit OpenDJ Station verwenden Table 22 Berechtigungen der Kategorie UserMgr 5 1 20 Kategorie VIOM Die Access VIOM Berechtigung der VIOM Kategorie wird f r den Zugriff auf den ServerView Virtual lIO Manager VIOM ben tigt Berechtigung Erlaubnis Geltungsbereich AccessVIOM Zugriff auf VIOM All Table 23 Berechtigungen der Kategorie VIOM 130 Benutzerverwaltung in ServerView In OpenDJ vordefinierte Benutzer und Rollen 5 2 In OpenDJ vordefinierte Benutzer und Rollen In OpenDJ sind die Benutzerrollen Administrator Monitor Operator und UserAdministrator vordefiniert und den vordefinierten Benutzern Administrator Monitor bzw UserManager permanent zugeordnet Die folgende Tabelle zeigt welche Berechtigungen durch die vordefinierten Rollen erteilt werden Kategorie Berechtigung Vordefinierter Benutzer Rolle 5 E 55 5 ss 7E 99 1 06 5 zelal ggl sz 55 38 55 88 lt a oo 2 353 AgentDeploy PerformAgentDeployment x AlarmMgr AccessAlarmMgr x x x ModifyAlarmConfig x PerformAlarmAcknowledge x x PerformMiBintegration x x ArchiveMgr AccessArchiveMgr x x ModifyArchives x x BackupMgr ModifyBackup x PerformBackupRestore x PerformBackupTransfer x
154. er die Benutzer verwaltet Der CAS Client f ngt Service Anforderungen ab und leitet sie um Der CAS Client ist Bestandteil jeder CAS f higen ServerView Suite Komponente Er fungiert als Filter der jede Benutzeranforderung an eine ServerView Suite Komponente abf ngt und direkt zur Benutzer Authentifizierung an den CAS Service weiterleitet Der CAS Client leitet den Request an den CAS Service weiter der anschlie end die Benutzer Authentifizierung durchf hrt Service Ticket ST und Ticket Granting Ticket TGT Nach erfolgreicher Authentifizierung eines Benutzers weist der CAS Service dem Benutzer ein so genanntes Ticket Granting Ticket TGT zu Technisch erfolgt dies durch Setzen eines entsprechenden sicheren Browser Cookies Jedesmal wenn der CAS Client einer ServerView Suite Komponente einen HTTPS Request zum CAS Service umleitet veranlasst das TGT Cookie den CAS Service ein Request spezifisches Service Ticket ST zu erzeugen und erg nzt um einen zus tzlichen Request Parameter an den CAS Client zur ckzusenden Daraufhin validiert der CAS Client das ST per Direktaufruf an den CAS Service und leitet den Request nur bei erfolgreicher Validierung an die ServerView Suite Komponente weiter 30 Benutzerverwaltung in ServerView Single Sign on SSO mithilfe eines CAS Service Ticket Granting Cookie TGC Nach dem Aufbau einer SSO Sitzung mit dem CAS Service pr sentiert der Web Browser dem CAS Service ein sicheres Cookie
155. er gem dem folgenden Syntax Schema auf java jar SVS_LdapDeployer jar lt kommando gt lt datei gt L lt option gt W hrend der Ausf hrung des SVS_LdapDeployer werden Sie ber die il durchgef hrten Schritte informiert Detaillierte Informationen finden Sie in der Datei log txt die bei jeder Ausf hrung des SVS_LdapDeployer im Ausf hrungsverzeichnis angelegt wird Im Folgenden werden die Begriffe LDAPv1 Struktur und LDAPv2 il Struktur f r die Bezeichnung ServerView spezifischer Konfigurationslayouts der Autorisierungsdaten verwendet und beziehen sich nicht auf die Versionen 1 und 2 des LDAP Protokolls Die Kommandos import und sychronize siehe unten werden nur in il Verbindung mit LDAPv1 Strukturen ben tigt IRMC S2s mit einer Firmware Version lt 3 77 und iRMCs N heres hierzu finden Sie in den Handb chern IRMC S2 integrated Remote Management Controller Ausgabe Mai 2011 und fr here Ausgaben IRMC integrated Remote Management Controller lt kommando gt Spezifiziert die durchzuf hrende Aktion Folgende Kommandos stehen zur Auswahl deploy Erzeugt auf dem Verzeichnisserver eine LDAP Struktur f r die globale iRMC S4 Benutzerverwaltung siehe Seite 245 Benutzerverwaltung in ServerView 243 Globale Benutzerverwaltung f r den iRMC S4 delete L scht auf dem Verzeichnisserver eine vorhandenen LDAP Struktur die f r die globale iRMC iRMC S4 Benutzerverwaltung verwendet w
156. eren Zur Installation des CMS Zertifikats auf dem verwalteten Server gehen Sie wie folgt vor 1 2 ffnen Sie das Hauptfenster des Update Managers siehe Bild 28 W hlen Sie unter All Servers den verwalteten Server aus auf dem Sie das CMS Zertifikat installieren wollen W hlen Sie in der Ansicht Upgrades der Registerkarte Update Details siehe Bild 29 die Zeile aus die die Option zum Installieren des CMS Zertifikats auf dem ausgew hlten Server anzeigt Erzeugen und starten Sie einen neuen Update Job der das CMS Zertifikat auf dem verwalteten Server installiert 4 3 4 3 CMS Zertifikat auf dem verwalteten Server deinstallieren Zur Deinstallation des CMS Zertifikats auf dem verwalteten Server gehen Sie wie folgt vor 1 2 ffnen Sie das Hauptfenster des Update Managers siehe Bild 28 W hlen Sie unter All Servers den verwalteten Server auf dem Sie das CMS Zertifikat deinstallieren wollen W hlen Sie in der Ansicht Downgrades der Registerkarte Update Details die Zeile aus die in der Spalte New Version Unstinstall anzeigt siehe Bild 32 auf Seite 116 Erzeugen und starten Sie einen neuen Update Job der das CMS Zertifikat auf dem verwalteten Server deinstalliert Benutzerverwaltung in ServerView 115 Verwalteten Server Systeme f r Role Based Access RBAC und Client At Update Manager Fujitsu Technology Solutions S ServerView User administrator Update Manager EEE
157. eren gt Wechseln Sie in das eDirectory Verzeichnis home eDirectory cd home eDirectory gt Starten Sie screen mit dem Kommando screen Starten Sie ndstrace mit dem Kommando ndstrace gt Selektieren Sie die Module die Sie aktivieren wollen Wollen Sie sich z B die Zeitpunkte anzeigen lassen wollen an denen Ereignisse eingetreten sind dann geben Sie dstrace TIME ein Es wird dringend empfohlen die Module LDAP und TIME durch zu folgende Eingabe zu aktivieren dstrace LDAP TIME gt Beenden ndstrace durch Eingabe von quit Damit ist die Konfiguration von ndstrace abgeschlossen 288 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Meldungsausgabe auf zweites Terminal umleiten Starten Sie ndstrace und leiten Sie die Meldungsausgebe um ndstrace 1 gt ndstrace log gt ffnen Sie ein zweites Terminal mithilfe der folgenden Tastenkombination Etri a Crt c gt Schalten Sie den Mitschnitt der Protokollierung ein tail f ndstrace log Um zwischen den virtuellen Terminals hin und herzuschalten verwenden Sie die Tastenkombination Ctri a Crti 0 Die Terminals sind von 0 bis 9 durchnummeriert Benutzerverwaltung in ServerView 289 Globale Benutzerverwaltung f r den iRMC S4 8 2 7 iRMC S4 Benutzerverwaltung via OpenLDAP Dieser Abschnitt informiert ber die folgenden Themen OpenLDAP installier
158. erfl che einfach bedienen Das Tool steht im Internet zum Download zur Verf gung Zur Installation des LDAP Browser Editor verfahren Sie wie folgt gt Entpacken Sie das Zip Archiv Browser281 zip in ein Installationsverzeichnis Ihrer Wahl Setzen Sie die Umgebungsvariable JAVA_HOME auf das Installationsverzeichnis der JAVA Laufzeitumgebung z B JAVA_HOME C Programme Java jre7 Benutzerverwaltung in ServerView 293 Globale Benutzerverwaltung f r den iRMC S4 Principal User Principal Benutzer erzeugen il Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 293 Im Folgenden ist beschrieben wie Sie den Principal User mithilfe des LDAP Browser Editor von Jarek Gawor erzeugen Gehen Sie wie folgt vor gt gt vv v y Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein W hlen Sie den Teilbaum Untergruppe in dem der Principal User angelegt werden soll Der Principal User kann an beliebiger Stelle dieses Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des iRMC S4 bereinstimmen siehe Handbuch iRMC S4 integrated Remote Management
159. ert amp l lt gt Verwenden Sie diese Zeichen deshalb nicht als Bestandteil von Relative Distinguished Names RDN 7 2 2 1 Globale iRMC S2 S3 Benutzerverwaltung ber Berechtigungsgruppen und Rollen Die globale iRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisservers LDAP Directory Server erfordert keine Erweiterung des Standard Schemas des Verzeichnisservers Vielmehr werden s mtliche f r den iRMC S2 S3 relevanten Informationen einschlie lich der Benutzerberechtigungen Privilegien ber zus tzliche LDAP Gruppen und Organisationseinheiten Organizational Units OU bereitgestellt die in einer separaten OU innerhalb einer Dom ne des LDAP Verzeichnisservers in separaten OUs zusammengefasst sind siehe Bild 37 auf Seite 157 IRMC S2 S3 Benutzer erhalten ihre Privilegien ber die Zuweisung einer in der Organizational Unit OU SVS deklarierten Rolle Benutzerrolle Rechtevergabe ber Benutzerrollen kurz Rollen Role Die globalen Benutzerverwaltung am iRMC S2 S3 Firmware Version 3 77 oder h her regelt die Rechtevergabe ber Benutzerrollen Dabei definiert jede Rolle ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S2 S3 Jedem Benutzer k nnen mehrere Rollen zugewiesen werden sodass sich die Rechte dieses Benutzers aus der Gesamtheit der Rechte aller zugewiesenen Rollen ableiten 154 Benutzerverwaltung in ServerView Globale Benutzerverwa
160. erzeugt werden Schl ssell nge 1024 bit md5RSAEnc Schl sselpaare und signierte Zertifikate selbstsigniert oder von einer externen CA signiert erzeugen Sie mithilfe von OpenSSL N here Informationen hierzu finden Sie auf der OpenSSL Homepage unter http www openssl org Unter den folgenden Links finden Sie Anleitungen zur Einrichtung einer CA und zum Erstellen von Test Zertifikaten http www akadia com services ssh_test_certificate html http www freebsdmadeeasy com tutorials web server apache ssl certs php http www flatmtn com computer Linux SSLCertificates html http www tc umn edu brams006 selfsign html 210 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Als Ergebnis der Zertifikatserstellung m ssen die folgenden drei PEM Dateien vorliegen Root Zertifikat root cerpem Server Zertifikat server cerpem Private Key serverkey pem Der Private Key darf nicht mit einer Passphrase verschl sselt sein da Sie nur dem LDAP D mon dap Leseberechtigung f r die Datei server key pem erteilen sollten Die Passphrase entfernen Sie mit folgendem Kommando openssl rsa in server enc key pem out server key pem 7 2 7 3 OpenLDAP konfigurieren Zur Konfiguration von OpenLDAP gehen Sie wie folgt vor gt Starten Sie das Setup Tool Yast und w hlen Sie LDAP Server Configuration Aktivieren Sie unter Global Settings Allow Settings die Einst
161. es gerades Anf hrungszeichen interpretiert Ein Zirkumflex wird nicht als Maskierungszeichen oder Begrenzungszeichen interpretiert wenn das Passwort von doppelten geraden Anf hrungszeichen umgeben ist Benutzerverwaltung in ServerView 75 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Linux gt ffnen Sie ein Terminal wie z B Xterm oder Gnome term gt Wechseln Sie in das Verzeichnis opt fujitsu Server ViewSuite jboss standalone bin gt Geben Sie SetDSPassword lt neues Passwort gt ein il Das Passwort darf alle druckbaren Zeichen darunter Leerzeichen und doppelte gerade Anf hrungszeichen enthalten Wenn das Passwort Leerzeichen doppelte gerade Anf hrungszeichen Kommas ein Zirkumflex 4 oder andere Sonderzeichen enth lt muss es von doppelten Anf hrungszeichen eingeschlossen werden z B Pa wArd Umgekehrte Schr gstriche werden buchstabengetreu interpretiert es sei denn sie stehen direkt vor einem doppelten geraden Anf hrungszeichen Ein doppeltes gerades Anf hrungszeichen vor dem ein umgekehrter Schr gstrich steht wird buchstabengetreu als doppeltes gerades Anf hrungszeichen interpretiert Ein Zirkumflex wird nicht als Maskierungszeichen oder Begrenzungszeichen interpretiert wenn das Passwort von doppelten geraden Anf hrungszeichen umgeben ist 3 3 2 LDAP Password Policy Enforcement LPPE
162. et Die Benutzereintr ge f r den iRMC S2 S3 k nnen ab der Firmware Version 3 6x an beliebigen Stellen unterhalb der Basis Dom ne liegen Ebenso k nnen Berechtigungsgruppen an beliebigen Stellen innerhalb der Basisdom ne liegen Benutzerverwaltung in ServerView 157 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 3 Server bergreifende globale Benutzerberechtigungen In gr eren Unternehmen sind die via IRMC S2 S3 verwalteten Server in der Regel verschiedenen Abteilungen zugeordnet AuBerdem werden die Administrator Berechtigungen f r die verwalteten Server ebenfalls oft abteilungsspezifisch vergeben Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S2 S3 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S2 S3 als Element des Departments DEFAULT konfiguriert ist Abteilungen sind in der OU Departments zusammengefasst Die OU Departments fasst die via IRMC S2 S3 verwalteten Server zu verschiedenen Gruppen zusammen Diese entsprechen den Abteilungen in denen jeweils dieselben Benutzerkennungen und berechtigungen gelten In Bild 38 auf Seite 159 z B sind dies die Abteilungen DeptX DeptY und Others Der Eintrag Others ist optional wird aber empfohlen Others ist eine vordefinierte Abteilungsbezeichnung unter der diejenigen Server zusammengefasst sind die keiner anderen Abteilung angeh ren Die Anzahl der unter Departments aufgelist
163. eten Abteilungen OUs unterliegt keinen Einschr nkungen Bei der Konfiguration des Verzeichnisdienstes am iRMC S2 S3 ber die il IRMC S2 S3 Web Oberflache oder ber den Server Configuration Manager spezifizieren Sie den Namen der Abteilung welcher der verwaltete Server mit dem betreffenden iRMC S2 S3 angeh rt Existiert im LDAP Verzeichnis keine Abteilung dieses Namens dann werden die Berechtigungen der Abteilung Others verwendet Bild 38 auf Seite 159 zeigt anhand von Active Directory Benutzer und Computer ein Beispiel f r eine solche Organisationsstruktur 158 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 4 Active Directory Users and Computers lt 3 Eile Action View Favorites Window Help e om elenae Su EESE Active Directory Users and Computers LDAP AD fwlab firm net H E Saved Queries 3 fwlab firm net E Builtin H IRMC2 Computers H Domain Controllers cS ForeignSecurityPrincipals 3 iRMCgroups LdapDeployerTest 2 Declarations calf Maintenance 0 objects f Active Directory Users and Comp 19 File Action View Favorites A e m exe
164. eustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen Installieren aus einem Verzeichnis 1 Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in das lokale Verzeichnis das die Module der ServerView Agenten enthalt Geben Sie folgendes Kommando ein sh srvmagt sh option install Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert Installieren mit dem rpm Kommando 1 Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in ein lokales Verzeichnis lt cert dir gt Exportieren Sie die Umgebungsvariable SV_SCS_INSTALL_TRUSTED durch Eingabe des Kommandos export SV_SCS_INSTALL_TRUSTED lt cert dir gt Geben Sie folgendes Kommando ein rpm U ServerViewConnectorService lt scs version gt i386 rpm Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert 108 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 3 2 Zertifikat auf einem Linux VMware System installieren auf dem die ServerView Agenten bereits installiert sind Gehen Sie wie folgt vor 1 2 Starten Sie ein Terminal mit root Berechtigung Finden Sie den Pfad im Folgenden kurz lt scsPath gt des ServerView Remote Connector Service SCS auf dem ver
165. ew directory gt svcommon data download pki lt system_name gt scs pem gt Wenn die ServerView Agenten auf der Management Station installiert sind Kopieren Sie das erstellte Zertifikat lt system_name gt scs pem auch in das folgende Verzeichnis auf der Management Station lt ServerView directory gt Remote Connector pki Ein m glicherweise bereits existierendes Zertifikat mit dem selben Namen wird auf der Management Station ersetzt 7 Starten Sie den JBoss Service und die ServerView Dienste neu um Ihre Anderungen zu aktivieren Benutzerverwaltung in ServerView 95 SSL Zertifikate auf der Management Station verwalten 4 2 4 2 Zertifikat auf einem Linux System ersetzen Gehen Sie wie folgt vor 1 Stoppen Sie den JBoss Service siehe Seite 20 2 Entfernen Sie die Datei keystore a Offnen Sie ein Terminal wie z B Xterm oder Gnome term b Wechseln Sie in das Verzeichnis opt fujitsu Server ViewSuite jboss standalone svconf pki c L schen Sie die keystore Datei oder benennen Sie die Datei um 3 Importieren Sie die von der Zertifizierungsstelle signierte Zertifikatsantwort hier certreply pem zusammen mit dem Zertifikat hier certca pem der Zertifizierungsstelle in eine neue keystore Datei und exportieren Sie den ffentlichen Schl ssel hier keystore p12 openssl pkcsl2 export chain in certreply pem inkey privkey pem passout pass changeit out keystore pl2 name svs_cms CAfile certca pem caname
166. fizierungskonzept Benutzerverwaltung und Sicherheitsarchitektur der ServerView Suite und des iIRMC S2 S3 S4 basieren auf drei grundlegenden Konzepten Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Rollenbasierte Zugangskontrolle Role Based Access Control RBAC Single Sign on SSO auf Basis eines Centralized Authentication Service CAS Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Benutzer werden mithilfe eines Verzeichnisdienstes zentral f r alle angeschlossenen Management Stationen CMS gespeichert und verwaltet Der Verzeichnisdienst liefert alle f r die Authentifizierung und Autorisierung von Benutzern erforderlichen Informationen Als Verzeichnisdienst verwenden Sie wahlweise den vorkonfigurierten Verzeichnisdienst ForgeRock s OpenDJ des ServerView Operations Managers oder einen bereits im Einsatz befindlichen konfigurierten Verzeichnisdienst wie z B Microsoft Active Directory Rollenbasierte Zugangskontrolle Role Based Access Control RBAC Rollenbasierte Zugangskontrolle RBAC steuert die Zugangkontrolle ber einen Satz definierter Benutzerrollen Jedem Benutzer werden dabei eine oder mehrere Rollen zugewiesen wobei jeder Rolle wiederum eine oder mehrere Berechtigungen Privilegien zugewiesen sind Mit RBAC k nnen Sie Ihr Sicherheitskonzept an der Organisationsstruktur Ihres Unternehmens ausrichten indem Sie jeder Rolle ein aufgabenorientiertes Berechtigu
167. folgenden Systemanforderungen OpenSSL muss installiert sein il Falls OpenSSL nicht bereits installiert ist Installieren Sie OpenSSL bevor Sie mit der Installation von Novell eDirectory beginnen 512 MB freier Hauptspeicher Benutzerverwaltung in ServerView 263 Globale Benutzerverwaltung f r den iRMC S4 8 2 6 2 Novell eDirectory installieren Die Installation von Novell eDirectory umfasst die Installation der folgenden Komponenten eDirectory Server und Administrations Utilities iManager Administrations Utility ConsoleOne Administrations Utility i Voraussetzung fir die Installation von Novell eDirectory Ein Linux Server Betriebssystem muss komplett installiert sein und laufen Die Firewall muss f r Verbindungen zu folgenden Ports konfiguriert sein 8080 8443 9009 81 389 636 F r OpenSuSE konfigurieren Sie dies mithilfe der Datei etc sysconfig SuSEfirewall2 gt Erweitern Sie in der Datei etc sysconfig SuSEfirewall2 den Eintrag FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 8080 8443 9009 81 389 636 Gem dem eDirectory Installation Guide muss das System f r Multicast Routing eingerichtet sein F r SuSE Linux gehen Sie hierf r wie folgt vor Erzeugen oder sofern bereits vorhanden ffnen Sie die Datei etc sysconfig network ifroute etho gt Erweitern Sie etc sysconfig network ifroute eth0 um die folgende Zeile 224 0 0 0 0 0 0
168. geh rigen Berechtigungen in der Spalte Privilege angezeigt ServerView Component Listet alle vorhandenen Privilegien Kategorien Privilege Categories auf wobei jede Privilegien Kategorie alle Berechtigungen zusammenfasst die f r die Benutzung einer bestimmten ServerView Komponente oder zur Ausf hrung einer bestimmten Aufgabe erforderlich sind Durch Auswahl einer oder mehrerer Kategorieren k nnen Sie die unter Assigned Privilege angezeigten Berechtigungen auf diejenigen Berechtigungen reduzieren die zu den ausgew hlten Kategorien geh ren F r weitere Informationen siehe Abschnitt Privilegien Kategorien und zugeh rige Berechtigungen auf Seite 118 Assigned Privilege Listet alle vorhandenen Berechtigungen auf Wenn Sie unter ServerView Component eine oder mehrere Kategorien ausgew hlt haben sind nur die zu den ausgew hlten Kategorien geh rigen Berechtigungen sichtbar Sie k nnen eine Berechtigung zu Rolle Zuordnung aktivieren deaktivieren indem Sie die zugeordnete Assigned Option ausw hlen abw hlen Die Zuordnung von Berechtigungen zu den vordefinierten Rollen il Administrator Monitor Operator und UserAdministrator kann nicht ver ndert werden Die entsprechenden Optionen f r die Berechtigung zu Rolle Zuordnung sind unver nderbar ausgegraut Description of Privilege Liefert Kurzbeschreibung zur ausgew hlten Berechtigung Benutzerverwaltung in ServerView 51 ServerView Benutzerverwaltung mit OpenDJ
169. gt Wenn Sie diese Option nicht angeben wird der Schl ssel im dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird Benutzerverwaltung in ServerView 167 Globale Benutzerverwaltung f r den iRMC S2 S3 kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 7 2 4 Typische Anwendungsszenarien Im Folgenden sind vier typische Szenarien f r den Einsatz des SVS_LdapDeployer beschrieben 7 2 4 1 Erst Konfiguration einer LDAP v2 Struktur durchf hren Sie wollen erstmals die globale Benutzerverwaltung f r einen IRMC S2 S3 Firmware Version 3 77 oder h her einrichten Hierf r ben tigen Sie eine LDAP v2 Struktur Empfohlene Vorgehensweise Generieren Sie eine Department Definition f r LDAP v2 Strukturen SVS java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure v2 7 2 4 2 LDAP v2 Struktur neu generieren oder erweitern Sie wollen eine LDAP v2 Struktur neu generieren oder eine bereits bestehende LDAP v2 Struktur erweitern Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure structure v2 oder java jar SVS_LdapDeployer jar deploy myInitialDeploy xml 168 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 4 3 LDAP v
170. gurationsverzeichnis cd etc Erzeugen Sie die Datei hosts nds falls Sie noch nicht existiert gt ffnen Sie die Datei hosts nds und f gen Sie die folgenden Zeilen ein Syntax TREENAME FODN PORT MY_Tree mycomputer mydomain 81 ConsoleOne starten ConsoleOne starten Sie in der System Eingabeaufforderung mit folgendem Kommando usr ConsoleOne bin ConsoleOne 190 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 3 Novell eDirectory konfigurieren Zur Konfiguration von Novell eDirectory fuhren Sie die folgenden Schritte durch 1 NDS Baum erzeugen 2 eDirectory fur LDAP konfigurieren 3 Zugang zu eDirectory via LDAP Browser testen NDS Baum erzeugen Einen NDS Network Directory Service Baum erzeugen Sie mit dem Utility ndsmanage ndsmanage ben tigt hierf r die folgenden Informationen TREE NAME Netzweit eindeutiger Name flr den neuen NDS Baum z B MY_TREE Server Name Name einer Instanz der Klasse server in eDirectory Fur Server Name spezifizieren Sie den Namen des PRIMERGY Servers auf dem der LDAP Server l uft z B lin36 root 0 Server Context Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des Containers in dem das Server Objekt enthalten ist z B dc organization dc mycompany Admin User Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des administrationsberechtigten Benutzers
171. h SSL abzusichern Andernfalls werden Passw rter im Klartext bertragen Benutzerverwaltung in ServerView 25 Rollenbasierte Zugangskontrolle RBAC 2 3 Rollenbasierte Zugangskontrolle RBAC Sowohl die Benutzerverwaltung der ServerView Suite als auch die globale iIRMC S2 S3 S4 Benutzerverwaltung basieren auf der rollen basierten Zugangskontrolle Role based access control RBAC mit der Sie Ihr Sicherheitskonzept an die Struktur Ihres Unternehmens anpassen k nnen RBAC basiert auf dem Prinzip der minimalen Berechtigung Demzufolge sollte kein Benutzer ber mehr Berechtigungen Privilegien verf gen als f r die Benutzung einer bestimmten ServerView Komponente oder zur Ausf hrung einer ServerView spezifischen Aufgabe erforderlich sind 2 3 1 Benutzer Benutzerrollen und Berechtigungen Privilegien RBAC regelt die Zuteilung von Berechtigungen an Benutzer ber Benutzerrollen anstatt die entsprechenden Berechtigungen den Benutzern direkt zuzuweisen Jeder Benutzerrolle wird ein Satz von Berechtigungen zugeordnet Jeder einzelne Satz definiert ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten an der ServerView Suite Jedem Benutzer werden eine oder mehrere Rollen zugewiesen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden Stattdessen werden Ber
172. hout modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes cryptographic software written by Eric Young eay cryptsoft com The word cryptographic can be left out if the rouines from the library being used are not cryptographic related 4 If you include any Windows specific code or a derivative thereof from the apps directory application code you must include an acknowledgement This product includes software written by Tim Hudson tjh eryptsoft com THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON
173. http manuals ts fujitsu com und dem Link x86 Servers 16 Benutzerverwaltung in ServerView Dokumentation zur ServerView Suite Einen berblick ber die Dokumentation die Sie unter ServerView Suite finden sowie die Ablagestruktur k nnen Sie der ServerView Suite Sitemap ServerView Suite Site Overview entnehmen Benutzerverwaltung in ServerView 17 Darstellungsmittel 1 7 Darstellungsmittel In diesem Handbuch werden die folgenden Drstellungsmittel verwendet Achtung Mit diesem Symbol wird auf Gefahren hingewiesen die zu Gesundheitsgef hrdung Datenverlust und Ger tesch den f hren k nnen Mit diesem Symbol werden wichtige Informationen und Tipps hervorgehoben gt Mit diesem Symbol wird ein Arbeitsschritt den Sie ausf hren m ssen dargestellt Kursive Schrift Im Flie text werden Kommandos Men punkte die Namen von Schaltfl chen Optionen Dateinamen und Pfadnamen kursiv dargestellt dicktengleich Ausgaben des Systems werden dicktengleich dargestellt halbfett Befehle die ber die Tastatur eingegeben werden sollen dicktengleich werden halbfett und dicktengleich dargestellt lt abc gt Kennzeichnen optionale Eingaben Tastensymbole Tasten werden entsprechend ihrer Abbildung auf der Tastatur dargestellt Wenn explizit Gro buchstaben eingegeben werden sollen so wird die Shift Taste angegeben z B SHIFT A f r A M ssen zwei Taste
174. ice Desk e Produktinformationen Benutzerverwaltung in ServerView 15 Dokumentation zur ServerView Suite Zugriff auf die ServerView Link Sammlung Die Link Sammlung der ServerView Suite erreichen Sie Uber verschiedene Wege 1 Uber den ServerView Operations Manager gt Wahlen Sie auf der Startseite bzw in der Men zeile Help Links aus AnschlieBend wird die Startseite der Link Sammlung angezeigt 2 ber die ServerView Suite DVD bzw ber die Startseite der Online Dokumentation zur ServerView Suite auf dem Manual Server von Fujitsu Technology Solutions Sie gelangen auf die Startseite der Online Dokumentation mit folgendem Link http manuals ts fujitsu com gt W hlen Sie links in der Auswahlliste Industry standard servers aus Klicken Sie auf den Men punkt PRIMERGY ServerView Links Anschlie end wird die Startseite der ServerView Suite Link Sammlung angezeigt 3 ber die ServerView Suite DVD Markieren Sie im Startfenster der ServerView Suite DVD die Option ServerView Software Produktauswahl gt Klicken Sie auf Starten Sie gelangen auf die Seite der Software Produkte der ServerView Suite gt W hlen Sie in der Men leiste Links Anschlie end wird die Startseite der ServerView Suite Link Sammlung angezeigt 1 6 Dokumentation zur ServerView Suite Die Dokumentation ist ber das Internet als Download kostenlos erh ltlich Die Online Dokumentation zur ServerView Suite finden Sie unter
175. icherten Zugriff konfigurieren W hrend der eDirectory Installation wird ein tempor res Zertifikat erzeugt sodass der Zugriff auf eDirectory standardm ig durch SSL TLS abgesichert ist Da jedoch die Firmware des iRMC S2 S3 f r die Verwendung von RSA MD5 Zertifikaten konfiguriert ist ben tigt die SSL TLS gesicherte globale IRMC S2 S3 Benutzerverwaltung via eDirectory ein RSA MD5 Zertifikat der L nge 1024 byte Benutzerverwaltung in ServerView 193 Globale Benutzerverwaltung f r den iRMC S2 S3 Ein RSA MD5 Zertifikat der Lange 1024 byte erstellen Sie wie folgt mithilfe von ConsoleOne Loggen Sie sich am LDAP Server unter Ihrer Administratorkennung Admin ein und starten Sie ConsoleOne Navigieren Sie zum Root Verzeichnis Ihrer Unternehmensstruktur z B baumname mycompany myorganisation gt W hlen Sie New Object NDSPKI key material custom um ein neues Objekt der Klasse NDSPKI Key Material zu erstellen gt Spezifizieren Sie im nachfolgenden Dialog die folgenden Werte 1 1024 bits 2 SSL or TLS 3 signature RSA MD5 Ein neues Zertifikat des gew nschten Typs wird erstellt Um das neu erstellte Zertifikat f r die SSL gesicherte LDAP Verbindung zu aktivieren f hren Sie im iManager die folgenden Schritte durch Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein gt W hlen Sie LDAP LDAP Options LDAP Server Connection Die R
176. icrosoft Base DSS Cryptographic Provider um DSA Zertifikate mit einer Schl ssell nge von 1024 Byte zu generieren Exportieren Sie das ffentliche Zertifizierungsstellenzertifikat CA Certificate Im Einzelnen verfahren Sie hierf r wie folgt gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate Lokaler Computer Vertrauensw rdige Stammzertifizierungsstellen Zertifikate und f hren Sie einen Doppelklick aus F hren Sie einen Doppelklick auf das Zertifikat der neu erstellten Zertifizierungsstelle aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie einen Dateinamen f r das Zertifizierungsstellenzertifikat und klicken Sie auf Fertig stellen Laden Sie das ffentliche Zertifizierungsstellenzertifikat auf dem Dom nencontroller in das Zertifikatsverzeichnis Vertrauensw rdige Stammzertifizierungsstellen Im Einzelnen verfahren Sie hierf r wie folgt gt bertragen Sie die Datei des Zertifizierungsstellenzertifikats auf den Dom nencontroller ffnen Sie im Windows Explorer das Zertifikat der neu erstellten Zertifizierungsstelle Klicken Sie auf Zertifikat installieren Klicken Sie unter Alle Zertifikate in folgenden Speicher speichern auf Durchsuchen und w hlen Sie Vertrauensw rdige Stammzer
177. ie f r den Import der IRMC S2 S3 S4 Rollendefinitionen in Active Directory das Tool SVS_LdapDeployer Einzelheiten hierzu finden Sie unter Abschnitt SVS_LdapDeployer Strukturen SVS und IRMCgroups generieren pflegen und l schen auf Seite 162 Benutzerverwaltung in ServerView 67 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 Ordnen Sie den Benutzern und Gruppen Benutzerrollen zu il il il il In den nachfolgend beschriebenen Schritten wird exemplarisch angenommen dass Sie die dem Benutzer John Baker Login Name NYBak in Ihrer Active Directory Dom ne DOMULIO1 die Monitor Rolle zuweisen wollen Die nachfolgend beschriebenen Schritt gelten auch f r die Zuweisung von Rollen an iRMC S2 S3 S4 Benutzer N heres zur Zuweisung von Rollen an iRMC S2 S3 S4 Benutzer finden Sie in Abschnitt RMC S2 S3 Benutzer einer Rolle Berechtigungsgruppe zuordnen auf Seite 176 und Abschnitt RMC S4 Benutzer einer Rolle Berechtigungsgruppe zuordnen auf Seite 256 Bitte stellen Sie sicher dass die LDAP Objekte mit den Anmeldeinformationen f r den Benutzer dem Sie Rollen zuordnen wollen unter der konfigurierten User Search Base liegen Die User Search Base wird beim Einrichten des ServerView Operations Managers konfiguriert siehe entsprechendes Installationshandbuch Ebenso wenn Sie einer Gruppe eine Rolle zuordnen wollen Bitte stellen Sie sicher dass die LDAP Objekt
178. ieren 35 ServerView Benutzerverwaltung mit OpenDJ 36 Vordefinierte Benutzer und Rollen 36 Passw rter der vordefinierten Benutzer definieren ndern 38 Passwort des OpenDJ Directory Managers 38 Passwort von svuser definieren ndern 41 Vordefinierte Passw rter der vordefinierten Benutzer Administrator Monitor Operator und UserManager ndern 43 LDAP Portnummern von OpenDJ ndern lt 44 LDAP Portnummern auf Windows Systemen ndern 2 44 LDAP Portnummern auf Linux Systemen andern 45 Benutzer Rollen und Berechtigungen in OpenDJ verwalten 46 ServerView User Management starten 47 Eigenes OpenDJ Passwort nden 48 User Management Wizard a 48 iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit OpenDJ und SSO integrieren s s s ass ec eee a 58 iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit OpenDJ und SSO integrieren ig ee OS iRMC S2 S3 S4 Web Oberflache f r CAS basierte Single Sign on SSO Authentifizierung konfigurieren 61 OpenDJ Daten sichern und wiederherstellen 63 OpenDJ Daten auf Windows Systemen sichern und WIERBTNEISIEIEN 2 244444 as Kaas GS BU OpenDJ Daten auf Linux Systemen sichern und wiederherstellen cc kok SG a 24 GSES Bra BA ServerView Benutzerverwaltung in Microsoft Active Directory integrieren sa 4 Smee EES Ew Re OO eee ee
179. iert werden Berechtigung Erlaubnis Geltungsbereich CfgConnectionBlade Erlaubnis zur Konfiguration des Managed Node Connection Blade lpmiLanOem OEM spezifischer IPMI Privilege Level Managed Node OEM fir alle LAN Verbindungen Der OEM Level umfasst den Standard IPMI Privilege Level administrator und gestattet dar ber hinaus die Ausf hrung von OEM Funktionen IpmiLanOperator Standard IPMI Privilege Level operator Managed Node f r alle LAN Verbindungen IpmiLanUser Standard IPMI Privilege Level user f r Managed Node alle LAN Verbindungen IpmiSerialOem OEM specifischer IPMI Privilege Level Managed Node OEM fir alle LAN Verbindungen Der OEM Level umfasst den Standard IPMI Privilege Level administrator und gestattet dar ber hinaus die Ausf hrung von OEM Funktionen IpmiSerialOperator Standard IPMI Privilege Level operator Managed Node f r alle LAN Verbindungen IpmiSerialUser Standard IPMI Privilege Level user f r Managed Node alle LAN Verbindungen Table 12 Berechtigungen der Kategorie iIRMC_MMB Benutzerverwaltung in ServerView 123 Privilegien Kategorien und zugeh rige Berechtigungen Berechtigung Erlaubnis Geltungsbereich iRMCsettings Erlaubnis zum Andern der iIRMC S2 S3 S4 Einstellungen Konfiguration Managed Node RemoteStorage Erlaubnis zur Nutzung der Remote Storage Funktionalitat des IRMC 2 S3 S4 Managed Node Use
180. im iManager mit g ltigen Authentisierungsdaten ein Navigieren Sie im Objekt Baum zum LDAP Server Objekt Markieren Sie das LDAP Server Objekt per Maus Klick und w hlen Sie Modify Object im zugh rigen Kontext Men ffnen Sie im rechten Content Frame das Other Sheet W hlen Sie unter Valued Attributes IdapBindRestrictions Klicken Sie auf die Schaltfl che Edit Setzen Sie den Wertauf 0 Klicken Sie auf die Schaltfl che OK Klicken Sie im Other Sheet auf die Schaltfl che Apply 3 LDAP Konfiguration neu laden gt gt Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Klicken Sie auf der links im Fenster auf das Base DN Objekt z B Mycompany Auf der rechten Fensterseite wird daraufhin das LDAP Server Objekt angezeigt Markieren Sie das LDAP Server Objekt per Klick mit der rechten Maustaste und selektieren Sie Properties im zugh rigen Kontext Men Klicken Sie in der Registerkarte General auf Refresh NLDAP Server Now Benutzerverwaltung in ServerView 195 Globale Benutzerverwaltung f r den iRMC S2 S3 Zugriff auf eDirectory via LDAP Browser testen Nach erfolgreicher Durchf hrung der oben beschriebenen Schritte 1 3 sollten Sie via LDAP Browser Utility eine Verbindung zu eDirectory herstellen k nnen Mit dem LDAP Browser von Jarek Gavor siehe Seite 213 k nnen Sie dies wie folgt testen Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine SSL
181. ird siehe Seite 247 import Erzeugt aus einer existierenden LADAP v1 Struktur eine aquivalente LDAP v2 Struktur siehe Seite 245 synchronize Zieht nderungen die Sie in einer LDAP v2 Struktur vornehmen in einer bereits vorhandenen LDAP v1 Struktur nach siehe Seite 245 lt datei gt Konfigurationsdatei xm die von SVS_LdapDeploy als Eingabedatei verwendet wird Die Konfigurationsdatei enthalt die Strukturinformationen f r die Struktur en SVS in xmi Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den i Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployerjar auf der ServerView Suite DVD ausgeliefert wird lt option gt lt option gt Option en die die Ausf hrung des spezifizierten Kommandos steuern In den nachfolgenden Abschnitten werden die einzelnen Kommandos des SVS_LdapDeployer samt den zugeh rigen Optionen im Detail erl utert Der SVS_LdapDeployer erzeugt alle ben tigten Unterb ume inklusive aller Gruppen nicht jedoch die Beziehungen zwischen Benutzern und Gruppen Die Erstellung und Zuordnung von Benutzereintr gen zu Gruppen nehmen Sie ber ein entsprechendes Tool des verwendeten Verzeichnisdienstes vor nachdem Sie die OU SVS im Verzeichnisdienst generiert haben 244 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 3 3 deploy LDAP Struktur erzeugen o
182. is software must display the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http mm openssl org 4 The names OpenSSL Toolkit and OpenSSL Project must not be used to endorse or promote products derived from this software without prior written permission For written permission please contact openssl core openssl org 5 Products derived from this software may not be called Open55L nor may OpenSSL appear in their names without prior written permission of the OpenSSL Project 6 Redistributions of any form whatsoever must retain the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT AS IS AND ANY EXPRESSED OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS
183. isdienste wie Active Directory verwendet wird auf die gleiche Weise ndern wie in Abschnitt Passwort von svuser definieren ndern auf Seite 41 beschrieben Alternativ k nnen Sie das Batch Skript SetDSPassword verwenden Dieses Skript hat den Vorteil dass kein Neustart von JBoss durchgef hrt wird Beachten Sie jedoch dass es bis zu f nf Minuten dauern kann bis die Konfigurations nderungen bernommen werden Sie sollten daher nach nderung des Passworts immer f nf Minuten warten bevor Sie versuchen sich erneut anzumelden SetDSPassword kann in einer Windows oder Linux Umgebung aufgerufen werden Windows gt ffnen Sie die Windows Eingabeaufforderung gt Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone bin gt Geben Sie SetDSPassword lt neues Passwort gt ein Das Passwort darf alle druckbaren Zeichen darunter Leerzeichen und doppelte gerade Anf hrungszeichen enthalten Wenn das Passwort Leerzeichen doppelte gerade Anf hrungszeichen Kommas Zirkumflexe X oder andere Sonderzeichen enth lt muss es von doppelten Anf hrungszeichen eingeschlossen werden z B Pa w rd Umgekehrte Schr gstriche werden buchstabengetreu interpretiert es sei denn sie stehen direkt vor einem doppelten geraden Anf hrungszeichen Ein doppeltes gerades Anf hrungszeichen vor dem ein umgekehrter Schr gstrich steht wird buchstabengetreu als doppelt
184. it ohne SSL TLS Unterst tzung konfigurieren Im Einzelnen gehen Sie wie folgt vor gt Loggen Sie sich beim iManager via Web Browser unter der Administratorkennung Admin ein 192 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Role Based Services RBS installieren RBS installieren Sie mithilfe des iManager Configuration Wizard Gehen Sie wie folgt vor gt W hlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol gt W hlen Sie in der Registerkarte Configure Role Based Services RBS Configuration gt Starten Sie den RBS Configuration Wizard gt Weisen RBS2 dem zu verwaltenden Container zu Im obigen Beispiel ist dies mycompany Plugin Module installieren Gehen Sie wie folgt vor gt W hlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol W hlen Sie in der Registerkarte Configure Plug in installation Available Novell Plug in Modules gt W hlen Sie in der Seite Available Novell Plug in Modules unter den aufgelisteten Modulen das eDirectory spezifische Package eDir_88_iMan26_Plugins npm gt Klicken Sie auf Install Role Based Services RBS konfigurieren gt W hlen Sie in der Seite Available Novell Plug in Modules alle f r die LDAP Integration ben tigten Module Falls Sie sich nicht sicher sind w hlen Sie alle Module gt Klicken Sie auf Install eDirectory f r SSL TLS ges
185. izierung wird eine Meldung gesperrt angezeigt dass das Konto deaktiviert wurde und dass der Benutzer sich an einen Administrator wenden soll This account has been disabled Please contact the system administrator to regain access Tabelle 3 LDAP Fehlercodes 78 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Passwortablauf LPPE erkennt zudem den erwarteten Ablauf eines Benutzerpassworts Wenn das Passwort demn chst abl uft wird dies innerhalb eines konfigurierten Warnzeitraums angezeigt Bei der Authentifizierung zeigt CAS eine Meldung an dass das Benutzerpasswort demn chst abl uft Your password expires today Please change your password now oder Your password expires tomorrow Please change your password now oder Your password expires in days Please change your password now Um das erwartete Ablaufdatum zu ermitteln liest das CAS einige LDAP Attribute aus dem konfigurierten Active Directory Service Zu diesem Zweck sind die folgenden Konfigurationswerte erforderlich Domain DN Dabei handelt es sich um den Distinguished Name der Active Directory Dom ne Beispiel dc fujitsu dc com Valid Days Der Wert dieser Eigenschaft bestimmt die Anzahl Tage die ein Passwort g ltig ist Beachten Sie dass hiermit der Standardwert f r den Fall definiert wird dass kein Attribut maxPwdAge in Active Directory gefunden wird Das bedeu
186. l Machine installiert wird ist das Utility standardm ig auf der Management Station vorhanden Auf Windows Systemen z B unter C Program Files x86 Java jre bin Auf Linux Systemen usr java default bin Benutzerverwaltung in ServerView 89 SSL Zertifikate auf der Management Station verwalten 4 2 4 Zertifikat auf der zentralen Management Station ersetzen Dieser Abschnitt beschreibt welche Schritte erforderlich sind um ein Zertifikat durch ein anderes zu ersetzen il Voraussetzungen Die nachfolgend beschriebenen Schritte setzen voraus Erforderliche Software openssl keytool siehe Seite 89 Zus tzlich wird in der nachfolgenden Erl uterung angenommen dass das Verzeichnis in dem das keytool liegt Bestandteil der Pfad Variablen PATH variable ist Es m ssen vorhanden sein ein signiertes Zertifizierungsstellen zertifikat hier certreply pem und ein privater Schl ssel hier privkey pem Nach der Ersetzung des Zertifikats auf der Management Station m ssen Sie das Zertifikat auch auf den verwalteten Servern ersetzen siehe Seite 107 f r verwaltete Windows Server oder Seite 109 f r verwaltete Linux VMware Server Dadurch wird sichergestellt dass sich die Management Station weiterhin gegen ber den verwalteten Servern authentisieren kann 90 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 4 1 Zertifikat auf einem Windows System ersetz
187. le version or derivative of this code cannot be changed i e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence 228 Benutzerverwaltung in ServerView 8 Anhang 2 Globale iRMC S4 Benutzerverwaltung via Verzeichnisdienst Die Benutzerverwaltung f r den iRMC S4 verwendet zwei verschiedene Arten von Benutzerkennungen Lokale Benutzerkennungen sind lokal im nicht fl chtigen Speicher des IRMC S4 hinterlegt und werden ber die Benutzerschnittstellen des IRMC S4 verwaltet Globale Benutzerkennungen sind in der zentralen Datenhaltung eines Verzeichnisdienstes Directory Service hinterlegt und werden ber die Schnittstellen dieses Verzeichnisdienstes verwaltet Fur die globale iRMC S4 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP ForgeRock OpenDJ Bei ServerView wird dieser Verzeichnisdienst im embedded Modus unter JBoss ausgef hrt Das vorliegende Kapitel informiert Uber folgende Themen Konzept der Benutzerverwaltung f r den iRMC S4 Benutzerberechtigungen globale Benutzerverwaltung mithilfe der einzelnen Verzeichnisdienste Einzelheiten zur lokalen Benutzerverwaltung des iRMC S4 finden Sie im Handbuch iRMC S4 integrated Remote Management Controller In SeverView s OpenDJ ausgef hrt im embedded Modus unter JBoss wird die
188. lgenden Beispiele zeigen die Audit Log Eintrage des Centralized Authentication Service CAS von ServerView Zur besseren Lesbarkeit wurden zus tzliche Zeilen eingef gt INIT Eintrag Der folgende INIT Eintrag enth lt die Elemente origin ServerView audit 231 und ServerView CAS env 231sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 33 16 265 02 00 pontresina ServerView CAS Suite INIT LServerView audit 231 result success LServerView env 231 javaHome C Program Files Java jre7 javaVendor Sun Microsystems Inc javaVersion 1 6 0_26 jbossUserDir C Program Files Fujitsu ServerView Suite jboss bin jbossUserHome D Profiles jbossrun jbossUserName jbossrun osName Windows XP osVersion 5 1 LServerView msg 231 messageld logging syslog operation init Lorigin enterpriseld 231 software ServerView CAS swVersion SVCOM_V1 50 3 3 2 Audit started LOGIN Entry fehlgeschlagenes Login Der folgende LOGIN Eintrag enth lt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten Dieser Eintrag stellt einen Warning Eintrag dar der durch ein fehlgeschlagenes Login verursacht wurde lt 108 gt 1 2011 07 20T08 38 52 234 02 00 pontresina ServerView CAS LOGIN LServerView CAS login 231 address 172 25 88 121 LServerView CAS msg 231 messageld error authentication credentials bad LServerView audit 231 result failure The credentials you
189. lt Pfad f r den Download zu verwenden Das Installationsprogramm sucht via Internet nach Downloads Dies kann einige Minuten dauern Danach werden Sie aufgefordert die zu installierenden Plugins auszuw hlen gt W hlen Sie All f r den Download aller Plugins gt W hlen Sie Yes f r die Installation der lokal verf gbaren Plugins Dr cken Sie auf Enter um den Default Pfad f r die Installation zu verwenden W hlen Sie 2 No f r die automatische Konfiguration von Apache optional Benutzerverwaltung in ServerView 267 Globale Benutzerverwaltung f r den iRMC S4 Akzeptieren Sie den Default Port 8080 f r Tomcat Akzeptieren Sie den Default SSL Port 8443 f r Tomcat Akzeptieren Sie den Default JK Connector Port 9009 f r Tomcat yY v v 7y Geben Sie die administrationsberechtigte Benutzerkennung z B root fts f r den administrationsberechtigten Benutzer ein Geben Sie den Baumnamen z B fwlab f r den administrationsberechtigten Benutzer ein Akzeptieren die aufgelistete Zusammenfassung Ihrer Eingaben mit OK um die Installation abzuschlieBen Beim Novell iManager einloggen Nach der Installation k nnen Sie sich via Web Browser mithilfe der folgenden URL am iManager einloggen https lt IP Adresse des eDirectory Servers gt 8443 nps Novell empfiehlt die Verwendung der Web Browser Microsoft Internet Explorer oder Mozilla Firefox In Mozilla Firefox werden m glicherw
190. ltung f r den iRMC S2 S3 Bild 36 skizziert das Konzept der rollenbasierten Vergabe von Benutzerberechtingungen mit den Rollen Administrator Maintenance Observer und UserKVM Hr M ller Fr Meyer Hr B cker K Maintenance Bild 36 Rollenbasierten Vergabe von Benutzerberechtigungen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden sondern nur der Benutzerrolle Wenn sich die Berechtigungsstruktur ndert m ssen nur die Rechte der Benutzerrolle angepasst werden Benutzerverwaltung in ServerView 155 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 2 Organizational Unit OU SVS Die Firmware des iRMC S2 ab Firmware Version 3 77A und des iRMC S3 unterst tzen LDAP v2 Strukturen die in der OU SVS abgelegt sind LDAP v2 Strukturen sind f r k nftige funktionale Erweiterungen ausgelegt Eine zus tzliche OU iRMCgroups die aus Kompatibilit tsgr nden unterst tzt wird erm glicht Ihnen die globale Benutzerverwaltung in Verbindung mit iRMC S2s mit einer Firmware Version lt 3 77 mit IRMCs N heres hierzu finden Sie in den folgenden Handb chern IRMC S2 S3 integrated Remote Management Controller Ausgabe Mai 2011 und fr here Ausgaben iIRMC integrated Remote Management Controller SVS enth lt die OUs Declarations Departments und User Settings
191. m Rolleneintrag In den einzelnen Verzeichnisdiensten Microsoft Active Directory Novell eDirectory und OpenLDAP erfolgt die Zuordnung iRMC S4 Benutzern zu iRMC S4 Benachrichtigungsgruppen Alert Roles analog und mit denselben Tools wie bei der Zuordnung von iRMC S4 Benutzern zu iRMC S4 Berechtigungsgruppen Authorization Roles In Active Directory z B treffen Sie die Zuordnung ber die Schaltfl che Add im Eigenschaften Dialog des Snap in Active Directory Benutzer und Computer siehe Bild 83 auf Seite 305 306 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 9 SSL Copyright Die iRMC S4 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young E e E E E E ee ze E ee ee ee ee ze ee ee ee u ee ee ze ee ee ee ae a Ze ee ze u ee o o ee Copyright c 1998 2002 The OpenSSL Project All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of th
192. m werden die Administrator Berechtigungen f r die verwalteten Server ebenfalls oft abteilungsspezifisch vergeben Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S4 als Element des Departments DEFAULT konfiguriert ist Abteilungen sind in der OU Departments zusammengefasst Die OU Departments fasst die via IRMC S4 verwalteten Server zu verschiedenen Gruppen zusammen Diese entsprechen den Abteilungen in denen jeweils dieselben Benutzerkennungen und berechtigungen gelten In Bild 63 auf Seite 239 z B sind dies die Abteilungen DeptX DeptY und Others Der Eintrag Others ist optional wird aber empfohlen Others ist eine vordefinierte Abteilungsbezeichnung unter der diejenigen Server zusammengefasst sind die keiner anderen Abteilung angeh ren Die Anzahl der unter Departments aufgelisteten Abteilungen OUs unterliegt keinen Einschr nkungen Bei der Konfiguration des Verzeichnisdienstes am iRMC S4 ber die il IRMC S4 Web Oberflache oder ber den Server Configuration Manager spezifizieren Sie den Namen der Abteilung welcher der verwaltete Server mit dem betreffenden iRMC S4 angeh rt Existiert im LDAP Verzeichnis keine Abteilung dieses Namens dann werden die Berechtigungen der Abteilung Others verwendet Bild 63 auf Seite 239 zeigt anhand von Active Directory Benutzer und Computer ein Beispiel f
193. n Baumnamen z B fwlab f r den administrationsberechtigten Benutzer ein Akzeptieren die aufgelistete Zusammenfassung Ihrer Eingaben mit OK um die Installation abzuschlieBen Beim Novell iManager einloggen Nach der Installation k nnen Sie sich via Web Browser mithilfe der folgenden URL am iManager einloggen https lt IP Adresse des eDirectory Servers gt 8443 nps Novell empfiehlt die Verwendung der Web Browser Microsoft Internet Explorer oder Mozilla Firefox In Mozilla Firefox werden m glicherweise nicht alle Popup Fenster des Kontext Men s angezeigt 188 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 ConsoleOne installieren und starten Mit ConsoleOne steht Ihnen ein weiteres Administrationstool von Novell eDirectory zur Verf gung Zur Installation von ConsoleOne gehen Sie wie folgt vor gt gt Melden Sie sich mit Root Berechtigung Super User am eDirectory Server an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das ConsoleOne Archiv c _136f linux tar gz tar xzvf cl_136f linux tar gz Nach der Extraktion enth lt home eDirectory ein neues Verzeichnis Linux Wechseln Sie in das Verzeichnis Linux cd Linux Rufen Sie das Installationsskript cl install auf cl instal Wahlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Geben Sie 8 f r die Installation aller Sn
194. n LDAP Port indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben dsconfig D cn directory manager w dm_pw n set connection handler prop handler name LDAP Connection Handler set listen port new_ldap_port 5 Andern Sie den LDAP Port indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben dsconfig D cn directory manager w dm_pw n set connection handler prop handler name LDAPS Connection Handler set listen port new_ldap_port 6 Starten Sie den Service ServerView JBoss Application Server 7 neu um Ihre Einstellungen f r den LADP LDAPS Port zu aktivieren etc init d sv_jboss restart Benutzerverwaltung in ServerView 45 ServerView Benutzerverwaltung mit OpenDJ 3 2 4 Benutzer Rollen und Berechtigungen in OpenDJ verwalten Der ServerView UserManagement Wizard gestattet Ihnen die komfortable Benutzerverwaltung in ServerView mit OpenDu Im Einzelnen erm glicht Ihnen der User Management Wizard die folgenden Aufgaben durchzuf hren Rollen erzeugen ndern und l schen Den Rollen Berechtigungen zuweisen Rollen erzeugen ndern und l schen Den Benutzern Rollen zuweisen Um den User Management Wizard zu nutzen m ssen Sie ber die UserAdministrator Rolle oder eine darauf basierende Rolle verf gen Andernfalls k nnen Sie lediglich Ihr eigenes Passwort ndern 46 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ
195. n Sie mit Apply oder OK um die ausgew hlten Benutzer zur IRMC Gruppe hier SVS sbdr4 hinzuzuf gen 206 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 6 Tipps zur Administration von Novell eDirectory NDS Damon neu starten F r einen Neustart des NDS D mons gehen Sie wie folgt vor gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an F hren Sie das folgende Kommando aus rendsd restart Falls sich der nldap D mon ohne ersichtlichen Grund nicht starten l sst gt Starten Sie den Indap D mon von Hand etc init d nldap restart Falls der iManager nicht reagiert Starten Sie den iManager neu ete init d novell tomcat4 restart Konfiguration des NLDAP Servers neu laden Gehen Sie wie folgt vor Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Wenn Sie ConsoleOne zum ersten Mal starten ist noch kein Baum konfiguriert Zur Konfiguration eines Baums gehen Sie wie folgt vor W hlen Sie unter My World den Knoten NDS W hlen Sie in der Ment Leiste File Authenticate Geben Sie f r das Login die folgenden Authentisierungsdaten ein 1 Login Name root 2 Passwort lt passwort gt 3 Tree MY_TREE 4 Context mycompany Benutzerverwaltung in ServerView 207 Globale Benutzerverwaltung f r den iRMC S2 S3 Klicken Sie links im Fenster auf das Base DN Objekt Mycompany Auf der rechten Fenster
196. n gleichzeitig gedr ckt werden wird dies durch einen Bindestrich zwischen den Tastensymbolen gekennzeichnet Tabelle 1 Darstellungsmittel Wird auf Textstellen in diesem Handbuch verwiesen so wird die Uberschrift des Kapitels bzw Abschnitts genannt wobei sich die Seitenangabe auf den Beginn des Abschnitts bezieht Bildschirmabztige Beachten Sie dass die Bildschirmausgabe teilweise vom verwendeten System abhangt und deshalb eventuell einige Details nicht exakt der Ausgabe entsprechen die Sie auf Ihrem System sehen Ebenso k nnen bez glich der verf gbaren Men punkte systembedingte Abweichungen auftreten 18 Benutzerverwaltung in ServerView 2 Benutzerverwaltung und Sicherheitsarchitektur Uberblick Das in der Benutzerverwaltung und Sicherheitsarchitektur der ServerView Suite angebotene Autorisierungs und Authentifizierungskonzept basiert auf drei wesentlichen Grundlagen Globale Benutzerverwaltung mit LDAP Verzeichnisdienst auf Seite 22 Benutzer werden mithilfe eines Verzeichnisdienstes zentral f r alle angeschlossenen Management Stationen gespeichert und verwaltet Der Verzeichnisdienst liefert alle f r die Authentifizierung und Autorisierung von Benutzern erforderlichen Informationen Rollenbasierte Zugangskontrolle RBAC auf Seite 26 Rollenbasierte Zugriffssteuerung Role Based Access Control RBAC regelt die Rechtevergabe ber Benutzerrollen Dabei definiert jede Rolle ein spezifi
197. n iRMC S2 S3 7 2 7 4 iRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren il Voraussetzung Eine LDAP v1 und oder eine LDAP v2 Struktur ist im OpenLDAP Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 162 Die Integration der IRMC S2 S3 Benutzerverwaltung in OpenLDAP umfasst die folgenden Schritte Principal iRMC User erzeugen Neuen iRMC S2 S3 Benutzer erzeugen und der Berechtigungsgruppe zuordnen Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 213 LDAP Browser Editor von Jarek Gawor Den LDAP Browser Editor von Jarek Gawor k nnen Sie ber eine grafische Oberfl che einfach bedienen Das Tool steht im Internet zum Download zur Verf gung Zur Installation des LDAP Browser Editor verfahren Sie wie folgt Entpacken Sie das Zip Archiv Browser281 zip in ein Installationsverzeichnis Ihrer Wahl Setzen Sie die Umgebungsvariable JAVA_HOME auf das Installationsverzeichnis der JAVA Laufzeitumgebung z B JAVA_HOME C Programme Java jre Benutzerverwaltung in ServerView 213 Globale Benutzerverwaltung f r den iRMC S2 S3 Principal User Principal Benutzer erzeugen il Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gaw
198. nal Services Profile COM DnsUpde General Address Account Profile Telephones Organization Domain Published Certificates Member Of Diskin Object Securty Domain Domain Member of Domain Name Active Directory Folder Demain l Domain Users fwlab firm net Users Enterpris RemoteManager fwlab firm net LdapDeployerT est SVS UserSetting aA ea E E ea E E Ej Ej E A Primary group Domain Users Set Primary Group There is no need to change Primary group unless you have Macintosh clients or POSIX compliant applications Bild 65 Eigenschaften Dialog des Benutzers kvms4 Benutzerverwaltung in ServerView 241 Globale Benutzerverwaltung f r den iRMC S4 8 2 3 SVS _LdapDeployer Struktur SVS generieren pflegen und loschen Um die globale iRMC S4 Benutzerverwaltung ber einen Verzeichnisdienst abwickeln zu k nnen m ssen im LDAP Verzeichnisdienst die Struktur OU SVS Zum Generieren sowie zum Anpassen von SVS Strukturen verwenden Sie den SVS_LdapDeployer Der SVS_LdapDeployer ist ein Java Archiv SVS_LdapDeployer jar das Sie im Firmware Package auf Ihrer ServerView Suite DVD finden Dieser Abschnitt beschreibt Konfigurationsdatei des SVS_LdapDeployer SVS_LdapDeployer Kommandos und Optionen des SVS_LdapDeployer Typische Anwendungsszenarien 8 2 3 1 Konfigurationsdatei xml Datei SVS_LdapDeployer er
199. ncontroller verschiedenen Server installieren Die erfolgreiche Installation und Konfiguration einer Enterprise CA setzt eine Active Directory Umgebung sowie die installierten IIS Internet Information Services voraus Mit den folgenden Schritten installieren Sie eine Enterprise CA gt Wahlen Sie im Windows Startmen Start Systemsteuerung Software Windows Komponenten hinzuf gen entfernen gt W hlen Sie im Wizard f r die Windows Komponenten unter Komponenten den Punkt Zertifikatsdienste F hren Sie einen Doppelklick auf Zertifikatsdienste aus und stellen Sie sicher dass die Optionen Webregistrierung f r Zertifikatsdienste und Zertifizierungsstelle f r Zertifikate ausgew hlt sind gt W hlen Sie Stammzertifizierungsstelle eines Unternehmens Benutzerverwaltung in ServerView 251 Globale Benutzerverwaltung f r den iRMC S4 Aktivieren Sie die Option Schl sselpaar und Zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen W hlen Sie Microsoft Base DSS Cryptographic Provider um DSA Zertifikate mit einer Schl ssell nge von 1024 Byte zu generieren Exportieren Sie das ffentliche Zertifizierungsstellenzertifikat CA Certificate Im Einzelnen verfahren Sie hierf r wie folgt gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate
200. ndern wollen gehen Sie wie folgt vor Wiederholen Sie auf Windows Systemen die Installation als Upgrade Update Installation F hren auf Linux Systemen das folgende Kommando aus opt fujitsu ServerViewSuite svom ServerView Tools ChangeComputerDetails sh Benutzerverwaltung in ServerView 35 ServerView Benutzerverwaltung mit OpenDJ 3 2 ServerView Benutzerverwaltung mit OpenDJ Falls Sie bei der Installation des Operations Managers keinen separaten Verzeichnisdienst festlegen installiert der Installation Wizard automatisch ForgeRock s OpenDJ als Verzeichnisdienst Der Verzeichnisdienst l uft im embedded Mode unter JBoss Somit ist OpenDJ nur dann verf gbar wenn der Service ServerView JBoss Application Server 7 ausgef hrt wird 3 2 1 Vordefinierte Benutzer und Rollen Role Based Access Control RBAC ist im Verzeichnisdienst OpenDu bereits implementiert In OpenDJ sind die Benutzerrollen Administrator Monitor Operator und UserAdministrator vordefiniert die jeweils genau einem der vordefinierten Benutzernamen Administrator Operator Monitor und UserManager zugeordnet sind F r spezielle Aufgaben sind in OpenDJ zwei zus tzliche Benutzer definiert die mit umfassenden Berechtigungen ausgestattet sind Tabelle 2 auf Seite 37 gibt einen berblick ber die in OpenDJ vordefinierten Benutzernamen Passw rter und Rollen Q ACHTUNG Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter
201. nderungen seit der vorherigen Ausgabe des Handbuchs ServerView Suite Link Sammlung Dokumentation zur ServerView Suite Darstellungsmittel 2 2 2 eee ee es Benutzerverwaltung und Sicherheitsarchitektur berblick Voraussetzungen 2 4 usa a ea na anna Globale Benutzerverwaltung mit LDAP Verzeichnisdienst Vorteile durch Verwendung eines Verzeichnisdienstes Unterst tzte Verzeichnisdienste gt s ocot 2404 a0 4 4 Open DS oder einen bereits vorhandenen konfigurierten Verzeichnisdienst verwenden 2 22 22 2 Gemeinsame Benutzerverwaltung f r ServerView Suite und IRA SASHES boi aa air a aa Rollenbasierte Zugangskontrolle RBAC Benutzer Benutzerrollen und Berechtigungen Privilegien RBAC Implementierung in OpenDJ 2 2 2222 RBAC bei einem bereits existierenden konfigurierten Verzeichnisdienst 8 eS ee ee RE Single Sign on SSO mithilfe eines CAS Service CAS basierte SSO Architektur Single Sign on aus Sicht des Benutzers 19 20 22 23 Benutzerverwaltung in ServerView 3 1 3 2 3 2 1 3 2 2 3 2 2 1 3 2 2 2 3 2 2 3 3 2 3 3 2 3 1 32 a 3 2 4 3 2 4 1 3 2 4 2 3 2 4 3 3 2 5 3 2 5 1 3 2 5 2 3 2 6 3 2 6 1 3 2 6 2 3 3 3 3 1 3 3 2 4 1 4 2 4 2 1 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst 08088822 095 Zugang zum Verzeichnisdienst konfigur
202. nen Sie sich ber den SVS_LdapDeployer ohne Angabe von Benutzerkennung und Passwort mit dem Verzeichnisserver verbinden Der SVS_LdapDeployer verwendet dann sofern vorhanden die in der xml Konfigurationsdatei gespeicherten Werte Ein gespeichertes Passwort kann der SVS_LdapDeployer nur dann verwenden wenn er es entschl sseln kann Dies erfordert dass Sie den SVS_LdapDeployer in derselben Laufzeitumgebung aufrufen wie beim vorangegangenen Aufruf mit store_pwd siehe Seite 246 Dieselbe Laufzeitumgebung bedeutet hier derselbe Benutzer am selben Computer oder Benutzer mit Zugriffsberechtigung auf das Verzeichnis unter dem der Schl ssel gespeichert ist Option kloc siehe Seite 246 F r zuk nftige Aufrufe des SVS_LdapDeployer k nnen Sie auch Benutzerkennungen verwenden die bereits gespeichert sind Dar ber hinaus lassen sich durch explizite Angabe in der Kommandozeile oder auf Anforderung durch den SVS_LdapDeployer zeitweilig auch andere Authentisierungsdaten nutzen Benutzerverwaltung in ServerView 249 Globale Benutzerverwaltung f r den iRMC S4 8 2 5 iRMC S4 Benutzerverwaltung via Microsoft Active Directory Dieser Abschnitt beschreibt wie Sie die IRMC S4 Benutzerverwaltung in Microsoft Active Directory integrieren il Voraussetzung Eine LDAP v2 Struktur ist im Active Directory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Struktur SVS generieren pflegen und l schen
203. nente ausgef hrt wurde Ein lt operation gt Eintrag ist wie folgt strukturiert Header ServerView lt COMP_Name gt audi t 231 Element Freitext der auf die strukturierten Daten folgt STOP Eintrag Der STOP Eintrag ist in der Regel der letzte Eintrag in der Audit Log Datei und wie folgt strukturiert Header ServerView audit 231 Element Freitext der auf die strukturierten Daten folgt Falls die protokollierte Komponente fehlerhaft beendet wurde ist der STOP Eintrag m glicherweise nicht vorhanden In den folgenden Abschnitten sind die oben erwahnten Komponenten Header Elemente der Audit Log Eintrage detailliert beschrieben 138 Benutzerverwaltung in ServerView Eintrage des Audit Logs 6 2 2 Header eines Audit Log Eintrags Der Header besteht aus den folgenden Feldern von denen jeweils zwei durch ein Leerzeichen getrennt sind Feldinhalt Beschreibung lt 108 gt 1 lt 110 gt 1 Diese Felder haben gem RFC 5424 folgende Bedeutung lt 108 gt 1 resultiert aus lt 13 8 4 gt 1 und spezifiziert im Einzelnen Syslog facility 13 log audit Syslog severity 4 warning Syslog protocol version 1 lt 108 gt 1 resultiert aus lt 13 8 4 gt 1 und spezifiziert im Einzelnen Syslog facility 13 log audit Syslog severity 6 informational Syslog protocol version 1 Timestamp Zeitstempel gemaB dem in RFC 3339 spezifizierten Format Computer n
204. ner Rolle Berechtigungsgruppe ZUNG a 4 5 4 Bee ee rw 176 IRMC S2 S3 Benutzerverwaltung via Novell eDirectory au u HH RR Rear tads 183 Software Komponenten und Systemanforderungen 183 Novell eDirectory installieren 2222 22 184 Novell eDirectory konfigurieren 191 iIRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren 2 222222 197 IRMC S2 S3 Benutzer der Berechtigungsgruppe zuordnen 203 Tipps zur Administration von Novell eDirectory 207 iIRMC S2 S3 Benutzerverwaltung via OpenLDAP 210 OpenLDAP installieren 2 22 2 aa 210 SSL Zertifikate erzeugen 2222er 210 OpenLDAP konfigurieren 222er 211 IRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren 213 Tipps zur Administration von OpenLDAP 217 E Mail Benachrichtigung an globale iRMC S2 S3 Benutzer Konignrleten s a ua a a oe aan nahe 219 Globale E Mail Benachrichtigung 220 Benachrichtigungsgruppen Alert Roles anzeigen 224 IRMC S2 S3 Benutzer einer Benachrichtigungsgruppe Alert Role zu fdnen 222 20 a er ae aa 226 SSL COMMON 5 an i hdd er a ee a ha 227 Benutzerverwaltung in ServerView 8 1 8 2 8 2 1 8 2 2 8 2 2 1 8 2 2 2 8 2 2 3 8 2 2 4 8 2 3 8 2 3 1 8 2 3 2 8 2 3 3 8 2 3 4 8 2 4 8 2 4 1 8 2 4 2 8 2 4 3 8 2 5 8 2 5 1 8 2 5 2 8 2 6 8 2 6 1 8 2 6 2 8 2 6 3 8 2 6 4 8 2 6 5 8 2 6 6 8 2 7 G2 Tal 8 2 7 2 Anhang
205. net gt Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq new request inf request req gt Geben Sie im Browser der Zertifizierungsstelle folgende URL ein http Nocalhost certsrv Klicken Sie auf Ein Zertifikat anfordern Benutzerverwaltung in ServerView 173 Globale Benutzerverwaltung f r den iRMC S2 S3 Klicken Sie auf erweiterte Zertifikatsanforderung Klicken Sie auf Reichen Sie eine Zertifikatsanforderung ein Kopieren Sie den Inhalt der Datei request req in das Fenster Gespeicherte Anforderungen gt W hlen Sie die Zertifikatsvorlage Webserver Laden Sie das Zertifikat herunter und speichern Sie es ab z B in der Datei request cer gt Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq accept request cer Exportieren Sie das Zertifikat mit dem privaten Schl ssel Im Einzelnen verfahren Sie hierf r wie folgt gt Starten Sie die Management Konsole durch Eingabe vom mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu gt Navigieren Sie zu Zertifikate Lokaler Computer Eigene Zertifikate Zertifikate F hren Sie einen Doppelklick auf das neue Server Authentifizierungszertifikat aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie Ja privaten Schl ssel exportieren Vergeben Sie ein Passwort
206. nfiguration des NLDAP Servers neu laden Gehen Sie wie folgt vor Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Wenn Sie ConsoleOne zum ersten Mal starten ist noch kein Baum konfiguriert Zur Konfiguration eines Baums gehen Sie wie folgt vor W hlen Sie unter My World den Knoten NDS W hlen Sie in der Ment Leiste File Authenticate Geben Sie f r das Login die folgenden Authentisierungsdaten ein 1 Login Name root 2 Passwort lt passwort gt 3 Tree MY_TREE 4 Context mycompany Benutzerverwaltung in ServerView 287 Globale Benutzerverwaltung f r den iRMC S4 Klicken Sie links im Fenster auf das Base DN Objekt Mycompany Auf der rechten Fensterseite wird dann das LDAP Server Objekt angezeigt gt Klicken Sie mit der rechten Maustaste auf das LDAP Server Objekt und w hlen Sie Properties im Kontext Men gt Klicken Sie in der Registerkarte General auf die Schaltfl che Refresh NLDAP Server Now NDS Meldungs Trace konfigurieren Der nds D mon erzeugt Debug und Log Meldungen die Sie mit dem Tool ndstrace verfolgen k nnen Zweck der im Folgenden beschriebenen Konfiguration ist es den Terminal Output von ndstrace in eine Datei umzuleiten und sich den Inhalt dieser Datei an einem anderen Terminal anzeigen zu lassen F r Letzteres verwenden Sie das Tool screen Es empfiehlt sich folgende Vorgehensweise gt ffnen Sie die Command Box z B bash ndstrace konfiguri
207. ng in ServerView 99 SSL Zertifikate auf der Management Station verwalten g Kopieren Sie das Zertifikat der Zertifizierungsstelle im Format lt system_name gt scs pem in in das folgende Verzeichnis auf der Management Station opt fujitsu Server ViewSuite svcommon data download pki Gehen Sie wie folgt vor Wenden Sie das folgende Kommando an cp certca pem opt fujitsu ServerViewSuite svcommon data download pki lt system_name gt scs pem 6 Starten Sie den JBoss Service neu um Ihre nderungen zu aktivieren 100 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A 4 3 Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten Die Einrichtung eines verwalteten Servers Managed Node f r RBAC und Client Authentifizierung erfordert die folgenden Schritte 1 Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen 2 bertragene Dateien auf dem verwalteten Server installieren 4 3 1 Dateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen Nach erfolgreicher Installation des Operation Managers auf der Management Station finden Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml auf der Management Station im folgenden Verzeichnis lt ServerView directory gt svcommon data dow
208. ng pr ft die Identit t des Benutzers Wer sind Sie Autorisierung definiert die Rechte des Benutzers Was d rfen Sie tun Der Einsatz eines Verzeichnisdienstes f r die Management Station Central Management Station CMS erm glicht es dar ber hinaus f r das Anmelden an der CMS dieselben Kennungen zu verwenden wie f r das Anmelden an den verwalteten Servern 2 2 2 Unterst tzte Verzeichnisdienste Von der ServerView Suite unterst tzte Verzeichnisdienste Derzeit unterst tzt die ServerView Suite folgende Verzeichnisdienste OpenDJ ausgef hrt im embedded Modus unter JBoss Microsoft Active Directory W hrend der Installation des ServerView Operations Managers k nnen Sie den ServerView internen Verzeichnisdienst OpenDJ w hlen Vom iRMC S2 S3 S4 unterst tzte Verzeichnisdienste Derzeit unterst tzt der IRMC S2 S3 S4 folgende Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP OpenDJ ausgef hrt im embedded Modus unter JBoss Benutzerverwaltung in ServerView 23 Globale Benutzerverwaltung mit LDAP Verzeichnisdienst 2 2 3 Open DS oder einen bereits vorhandenen konfigurierten Verzeichnisdienst verwenden OpenDJ verwenden Falls Sie bei der Installation des Operations Managers keinen separaten Verzeichnisdienst festlegen installiert der Installation Wizard automatisch ForgeRock s OpenDJ als Verzeichnisdienst Der Verzeichnisdienst l uft im embedd
209. ng via Novell eDirectory s zz ss sa RR Ee Ho 263 Software Komponenten und Systemanforderungen 263 Novell eDirectory installieren 264 Novell eDirectory konfigurieren 271 IRMC S4 Benutzerverwaltung in Novell eDirectory MEIE N sa a ee alee ee oe hw 277 iRMC S4 Benutzer der Berechtigungsgruppe zuordnen 283 Tipps zur Administration von Novell eDirectory 287 IRMC S4 Benutzerverwaltung via OpenLDAP 290 OpenLDAP installieren 2 2 22 22 nenn 290 SSL Zertifikate erzeugen 2 222er 290 Benutzerverwaltung in ServerView 8 2 7 3 8 2 7 4 8 2 7 8 8 2 8 8 2 8 1 8 2 8 2 8 2 8 3 8 2 9 OpenLDAP konfigurieren 2 22 20mm IRMC S4 Benutzerverwaltung in OpenLDAP integrieren Tipps zur Administration von OpenLDAP E Mail Benachrichtigung an globale IRMC S4 Benutzer konfigurieren s 64 ce nad 204 Ae eS ee a Globale E Mail Benachrichtigung Benachrichtigungsgruppen Alert Roles anzeigen iRMC S4 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen 2 2 222 SSLEOBYTI hl gt 2 ck danos da dauern ar need Benutzerverwaltung in ServerView Benutzerverwaltung in ServerView 1 Einleitung Dieses Handbuch beschreibt das Autorisierungs und Authentifizierungskonzept auf dem die globale Benutzerverwaltung und die Sicherheitsarchitektur der ServerView Suite und des RMC S2 S3 S4 basieren 1 1 Autorisierungs und Authenti
210. ngen die Sie berechtigen die zugeh rige ServerView Komponente zu nutzen oder eine Komponenten spezifische Aufgabe durchzuf hren 5 1 1 Privilegien Kategorien berblick Die ServerView Suite kennt die folgenden Privilegien Kategorien Privilegien Zugeh rige ServerView Komponente Aufgabe Kategorie AgentDeploy Installation der ServerView Agenten AlarmMgr Alarm Management ArchiveMgr Archive Manager BackupMgr Sicherung der ServerView Datenbank Common Allgemeine ServerView Suite spezifische Berechtigungen ConfigMgr Server Configuration Manager SCU und ferngesteuerte Energieverwaltung Remote Power Management InvMgr Inventory Manager iRMC_MMB IRMC S2 S3 S4 BladeServer MMB PerfMgr Performance Manager und Threshold Manager PowerMon Power Monitor RackManager Rack Manager RaidMgr RAID Manager RemDeploy Deployment Manager und Installation Manager ReportMgr Wird nur noch aus Kompatibilit tsgr nden unterst tzt SCS ServerView Connector Service ServerList Serverliste UpdMgr Update Manager Table 4 Privilegien Kategorien und zugeh rige ServerView Komponenten Aufgaben 118 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen Privilegien Zugeh rige ServerView Komponente Aufgabe Kategorie UserMgr Benutzerverwaltung mit OpenDJ VIOM Virtual lO Manager Table 4 Privilegien Kategori
211. ngen zu verwenden wie f r das Anmelden am Betriebssystem der verwalteten Server F r die folgenden iRMC S2 S3 Funktionen wird zurzeit die globale Benutzerverwaltung nicht unterst tzt Login via IPMl over LAN Text Konsolen Umleitung via SOL Login Authentifizierung Login Authentifizierung Verzeichnisdienst globale Benutzerkennungen Login Authentifizierung Bild 35 Gemeinsame Nutzung der globalen Benutzerkennungen durch mehrere iRMC S2 S3 Die Kommunikation zwischen den einzelnen iRMC S2 S3 und dem zentralen Verzeichnisdienst wird Uber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Die Kommunikation ber LDAP kann optional durch SSL abgesichert werden Benutzerverwaltung in ServerView 153 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 iRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Konzept Das im Folgenden erl uterte Konzept einer Verzeichnisdienst gest tzten globalen iRMC S2 S3 Benutzerverwaltung gilt gleicherma en f r die Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP und OpenDS OpenDJ Die Abbildungen zeigen exemplarisch die Konsole Active Directory Benutzer und Computer der Benutzeroberflache von Microsoft Active Directory Die folgenden Zeichen sind in LDAP als Meta Zeichen f r Such Strings reservi
212. ngsprofil zuordnen Benutzerverwaltung in ServerView 11 Zielgruppen und Zielsetzung des Handbuchs Im Verzeichnisdienst OpenD der automatisch mit dem ServerView Operations Manager installiert wird ist RBAC bereits implementiert Sollten Sie jedoch bereits einen konfigurierten Verzeichnisdienst wie Active Directory verwenden dann k nnen Sie dort erg nzend die ServerView spezifischen Berechtigungen Privilegien importieren Danach k nnen Sie die erforderlichen Rollen denjenigen Benutzern zuweisen die ber die damit verbundenen Berechtigungen verf gen sollen Single Sign on SSO F r die Anmeldung an den einzelnen ServerView Komponenten unterst tzt die ServerView Suite das Single Sign on SSO Login SSO basiert auf einem zentralisierten Authentifizierungsservice dem Centralized Authentication Service CAS SSO bedeutet dass Sie Ihre Authentizit t nur einmal nachweisen m ssen Einmal erfolgreich authentifiziert erhalten Sie Zugang zu allen ServerView Komponenten ohne sich bei einer dieser Komponenten neu anmelden zu m ssen 1 2 Zielgruppen und Zielsetzung des Handbuchs Dieses Handbuch wendet sich an Systemadministratoren Netzwerkadministratoren und Service Techniker die bereits ber eine grundlegende Kenntnis der Hardware und Software verf gen Das Handbuch gibt einen berblick ber das Autorisierungs und Authentifizierungskonzept der ServerView Suite und beschreibt detailliert wie Sie die ServerView Benut
213. nistrator Maintenance Observer und UserKVM Hr M ller Fr Meyer Hr B cker K Maintenance Bild 61 Rollenbasierten Vergabe von Benutzerberechtigungen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden sondern nur der Benutzerrolle Wenn sich die Berechtigungsstruktur ndert m ssen nur die Rechte der Benutzerrolle angepasst werden Benutzerverwaltung in ServerView 235 Globale Benutzerverwaltung f r den iRMC S4 8 2 2 2 Organizational Unit OU SVS Die Firmware des iRMC S2 ab Firmware Version 3 77A und des iRMC S3 unterst tzen LDAP v2 Strukturen die in der OU SVS abgelegt sind LDAP v2 Strukturen sind f r k nftige funktionale Erweiterungen ausgelegt SVS enth lt die OUs Declarations Departments und User Settings Declarations enth lt eine Liste der definierten Rollen sowie die Liste der vordefinierten iRMC S4 Benutzerberechtigungen siehe Handbuch iRMC S4 integrated Remote Management Controller Departments enth lt die Gruppen f r die Benutzerprivilegien User Settings enth lt Benutzer gruppen spezifische Angaben wie z B das Mail Format f r die E Mail Benachrichtigung und die Gruppen f r die Benutzershells Bei Microsoft Active Directory z B k nnen die Eintr ge f r die IRMC S4 il Benutzer in der Standard OU Users liegen Im
214. nload pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux Systemen Sie k nnen die Dateien manuell auf den verwalteten Server bertragen oder komfortabler von der Management Station herunter laden il Voraussetzungen f r das Herunterladen der Dateien Sie m ssen die Administrator Rolle besitzen Benutzerverwaltung in ServerView 101 Verwalteten Server Systeme f r Role Based Access RBAC und Client At Zum Herunterladen der Dateien gehen Sie wie folgt vor 1 Geben Sie am Browser des verwalteten Servers die folgende URL ein https lt system_name gt 3170 Download pki Wichtig Die URL muss mit einem Schr gstrich Slash abschlie en lt system_name gt F r lt system_name gt tragen Sie den DNS Namen oder die IP Adresse der Management Station ein Es ffnet sich das folgende Fenster das die Dateien als bereit zum Herunterladen anzeigt S ServerView Fujirsu Logout Fujitsu ServerView Suite Common Download Service Name Size LastModified imyems scs pen 1 7 kb Fri 30 Jul 2010 09 40 52 GMT mycms scs xml 0 8 kb Fri 30 Jul 2010 09 40 51 GMT Bild 27 Dateien mycms scs pem und mycms scs xml von der zentralen Management Station mycms herunterladen Klicken Sie f r jede der beiden Dateien mit der rechten Maustaste auf den zugeh rigen Link und speichern Sie die Datei mit Save target as auf dem verwalteten Server Save t
215. nnt mit Spalten Beschreibung Begint mit I 7 Deaktivierte Konten 7 Nicht ablaufende Kennw rter Tage seit der letzten Anmeldung z X Suchergebnisse Name RDN E Mail Adresse Beenden Beschreibung Administrator amp Gast IUSR_DOMIND Iw M_DOMI amp James Bond amp Martin Clemens fi Max Musterm eG Micky Maus gt SUPPORT_3 Willi Wuhlmaus Vordefiniertes K fwlab firm net Us VordefiniertesK fwlab firm net Us Vordefiniertes K fwlab firm net Us Vordefiniertes K feab firm n fwlab firm net Us fwlab firm net Us Herstellerkonto f fwlab firm net Us fevlab firm net Us Bild 72 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse anzeigen gt Selektieren Sie die Benutzer die zur Gruppe hinzugef gt werden sollen und best tigen Sie mit OK Es werden nun die ausgew hlten Benutzer angezeigt siehe Bild 73 auf Seite 262 Benutzerverwaltung in ServerView 261 Globale Benutzerverwaltung f r den iRMC S4 Benutzer Kontakte oder Computer w hlen Ed E3 Objekttyp Benutzer oder ndere Objekte Objekttypen Suchpfad Users Pfade Geben Sie die zu verwendenden Objektnamen ein Beispiele ames Bond pdbjbond fwlab firm net Namen berpr fen Martin Clemens pdbmclem fwlab firm net willi W hlmaus pdbwwuehl fwlab firm net ra Bild 73 Dialog Benutzer Ko
216. ntakte oder Computer w hlen Suchergebnisse best tigren gt Best tigen Sie mit OK 262 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 6 iRMC S4 Benutzerverwaltung via Novell eDirectory Dieser Abschnitt informiert Uber die folgenden Themen Software Komponenten und Systemanforderungen von Novell eDirectory Novell eDirectory installieren Novell eDirectory konfigurieren iRMC S4 Benutzerverwaltung in Novell eDirectory integrieren Tipps zur Administration von Novell eDirectory Installation und Konfiguration von Novell eDirectory werden im il Folgenden ausf hrlich beschrieben Tiefere eDirectory Kenntnisse werden nicht vorausgesetzt Sofern Sie bereits mit Novell eDirectory vertraut sind k nnen Sie die folgenden drei Abschnitte berspringen und fortfahren mit Abschnitt RMC S4 Benutzerverwaltung in Novell eDirectory integrieren auf Seite 277 8 2 6 1 Software Komponenten und Systemanforderungen Verwenden Sie jeweils die angegebene oder eine aktuellere Version der nachfolgend aufgelisteten Komponenten Novell eDirectory ehemals NDS besteht aus folgenden Software Komponenten eDirectory 8 8 20060526_0800_Linux_88 SP1_FINAL tar gz eDirectory 8 8 eDir_88_iMan26_Plugins npm iManager iMan_26_linux_64 1gz f r SUSE iMan_26_linux_32 tgz sonst ConsoleOne c1_136f linux tar gz Fur Installation und Betrieb von Novell eDirectory gelten die
217. nte die den Audit Log Eintrag liefert Einige Meldungen beziehen sich auf alle ServerView Komponenten In diesen F llen fehlt der Namensbestandteil lt COMP_NAME gt 231 ist die Private Enterprise Number f r Fujitsu Technology Solutions die bei Internet Assigned Numbers Authority IANA registriert ist Somit identifiziert das suffix 231 das Element als reserviertes Element f r Fujitsu Technology Solutions entsprechend RFC 5424 Parameter Bedeutung messageld Meldungs ID die sich auf die Meldung bezieht die die aktuelle Operation erkl rt Tabelle 29 Audit Log Eintrag ServerView lt COMP_NAME gt msg 231 Element 6 2 3 5 ServerView lt COMP_NAME gt lt operation gt 231 Element Dieses Element ist spezifisch f r ServerView Komponenten und in jedem Audit Log Eintrag mit der Msgid lt operation gt einmal enthalten Das Element beschreibt die Details eines Requests zur Ausf hrung einer Operation Welche Parameter genau in einem Element enthalten sind h ngt von der jeweiligen Operation und ihrem Ergebnis ab Derzeit sind der Centralized Authentication Service COMP_NAME CAS und der Security Token Service COMP_NAME STS die einzigen ServerView Komponenten die Audit Logging unterst tzen Nachfolgend ist die Struktur der von den ServerView Komponenten CAS und STS erstellten Audit Log Eintr ge beschrieben 142 Benutzerverwaltung in ServerView Eintrage des Audit Logs ServerView
218. ntegrated Remote Management Controller Benutzerverwaltung in ServerView 219 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 8 1 Globale E Mail Benachrichtigung Die globale E Mail Benachrichtigung via Verzeichnisserver erfordert Benachrichtigungsgruppen Alert Roles die Sie zus tzlich zu den Authorization Roles in der Konfigurationsdatei des SVS_LdapDeployer siehe Seite 162 definieren Benachrichtigungsgruppen Alert Roles Eine Benachrichtigungsgruppe umfasst eine Auswahl definierter Benachrichtigungstypen Alert Types z B Temperatur berschreitung mit jeweils zugeordnetem Fehlergewicht Severity z B kritisch F r Benutzer die einer bestimmten Benachrichtigungsgruppe zugeordnet sind legt die Benachrichtigungsgruppe fest bei welchen Benachrichtigungstypen und Fehlergewichten die Benutzer per E Mail benachrichtigt werden Die Syntax der Alert Roles ersehen Sie aus den Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert werden Benachrichtigungstypen Alert Types Folgende Benachrichtigungstypen werden unterst tzt Benachrichtigungstyp Ursache FanSens L fter Sensoren Temperat Temperatur Sensoren HWError Kritische Hardware Fehler Security Sicherheit SysHang System Hang POSTErr Systemstart Fehler SysStat Systemstatus DDCtrl Festpl
219. nutzer und Computer panics Deco Le LOE K Eile Action View Favorites Window Help E aj x e omera B em HHtv Ga 3 Active Directory Users and Computers SEU ita ts iit e EB a Saved Queries E flab firm net H Buin J Administrator AuthorizationRole a Computers f Maintenance AuthorizationRole fii Observer AuthorizationRole H Domain Controllers ca Fis Userkvm AuthorizationRole H ForeignSecurityPrincipals m iRMCZ E iRMCgroups oa sys 2 Declarations B Departments B Deptx E AlertRoles 3 AuthorizationRoles 3 Depty H Others BA Users Bild 66 Snap in Active Directory Benutzer und Computer F hren Sie einen Doppelklick auf die Berechtigungsgruppe hier Administrator aus Der Dialog Eigenschaften von Administrator wird ge ffnet siehe Bild 67 auf Seite 257 256 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Active Directory Users and Computers GEE S File Action view Favorites Window Help 18 x e omero em Cyr Ga 3 Active Directory Users and Computers BET 1 re Sul ae I Saved Queries E G fwlab firm net H E Builtin m Computers E Domain Controllers IE ForeignSecurityPrincipals 3 RMC H iRMCgroups g sys m Declarations B Departments amp Deptx AlertRoles Z AuthorizationRoles Depty Others Administrator AuthorizationRole 73 Maintenance AuthorizationRole fi Observer Authoriz
220. nutzerverwaltung f r den iRMC S2 S3 7 2 5 iRMC S2 S3 Benutzerverwaltung via Microsoft Active Directory Dieser Abschnitt beschreibt wie Sie die IRMC S2 S3 Benutzerverwaltung in Microsoft Active Directory integrieren il Voraussetzung Eine LDAP v2 Struktur ist im Active Directory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und IRMCgroups generieren pflegen und l schen auf Seite 162 Zur Integration der IRMC S2 S3 Benutzerverwaltung in Microsoft Active Directory f hren Sie die folgenden Schritte durch 1 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren 2 iRMC S2 S3 Benutzer den iRMC S2 S3 Benutzergruppen in Active Directory zuordnen 170 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 5 1 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren Die IRMC S2 S3 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young Einen Abdruck des SSL Copyrights finden Sie auf Seite 227 Die Nutzung von LDAP via SSL durch den iRMC S2 S3 erfordert die Erstellung eines RSA Zertifikats Die Konfiguration des LDAP Zugriffs umfasst die folgenden Schritte 1 Enterprise CA installieren 2 RSA Zertifikat f r den Dom nencontroller Domain Controller erzeugen 3 RSA Zertifikat auf dem Server installieren Enterprise CA installieren Eine CA ist eine Zer
221. oducts derived from this software without prior written permission For written permission please contact openssl core openssl org 5 Products derived from this software may not be called Open55L nor may OpenSSL appear in their names without prior written permission of the OpenSSL Project 6 Redistributions of any form whatsoever must retain the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT AS IS AND ANY EXPRESSED OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE This product includes cryptographic software written by Eric Young eay eryptsoft com This product includes software written by Tim Hudson tjh cryptsoft com Benutzerverwaltung in ServerView 227 Globale
222. ogin erzeugt wurde Tabelle 32 Audit Log Eintrag Parameter von ServerView STS rstlssueT gt 231 Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein bin res Sicherheits Token anfordert das ein CAS Ticket Granting Ticket ST enthalt SG ID RST_ SSUE_ST SD ID ServerView STS rstIssueSt 231 Parameter Bedeutung address IP Adresse des Zielsystems tgt CAS Ticket Granting Ticket das mit dem bin ren Sicherheits Token im RST Request angegeben wurde st CAS Service Ticket das das durch den RST issue ST Request erzeugt wurde Tabelle 33 Audit Log Eintrag Parameter von ServerView STS rstlssueSt 231 144 Benutzerverwaltung in ServerView Eintrage des Audit Logs Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein bin res Sicherheits Token anfordert das ein CAS Ticket Granting Ticket ST enthalt SG ID VALIDATE SD ID ServerView STS validate 231 Parameter Bedeutung address IP Adresse des Zielsystems st CAS Service Ticket das das durch den RST issue ST Request erzeugt wurde user Benutzerkennung die mit dem Username Token in der RST issue TGT Anforderung angegeben wurde Tabelle 34 Audit Log Eintrag Parameter von ServerView STS validate 231 Benutzerverwaltung in ServerView 145 Eintrage des Audit Logs 6 2 4 Beispiele Eintr ge in der Audit Log Datei Die fo
223. ollen e Centralized Authentication Service CAS Der CAS Service wird f r die Single Sign on SSO Funktionalit t ben tigt Der CAS Service speichert Server seitig die Berechtigungsdaten der Benutzer um danach beim Aufruf der verschiedenen Dienste die Benutzer Authentifizierung transparent durchzuf hren CAS wird bei der Installation der Operations Manager Software automatisch mit installiert Einzelheiten zur Installation des ServerView Operations Managers der die oben genannten Komponenten enth lt finden Sie im Handbuch ServerView Operations Manager Installation unter Windows und ServerView Operations Manager Installation unter Linux Benutzerverwaltung in ServerView 21 Globale Benutzerverwaltung mit LDAP Verzeichnisdienst 2 2 Globale Benutzerverwaltung mit LDAP Verzeichnisdienst Die globale Benutzerverwaltung von ServerView Suite und iRMC S2 S3 S4 speichern die Benutzerkennungen f r alle zentralen Management Stationen CMS iIRMC S2 S3 S4 jeweils zentral im Verzeichnis eines LDAP Verzeichnisdienstes Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten Die Benutzerkennungen k nnen somit von allen CMS und iRMC S2 S3 S4 verwendet werden die mit diesem Server im Netz verbunden sind Wichtiger Hinweis Die Abwicklung einer integrierten Benutzerverwaltung auf Basis eines gemeinsamen Verzeichnisdienstes funktioniert nur dann sowohl f r ServerView Benutzer als au
224. ons Managers Start Seite benutzen 2 3 3 RBAC bei einem bereits existierenden konfigurierten Verzeichnisdienst Sie k nnen die RBAC Benutzerverwaltung f r ServerView auch in eine bereits existierende Benutzerverwaltung auf Basis eines konfigurierten Verzeichnisdienstes z B Microsoft Active Directory integrieren N heres hierzu finden Sie im Abschnitt ServerView Benutzerverwaltung in Microsoft Active Directory integrieren auf Seite 65 28 Benutzerverwaltung in ServerView Single Sign on SSO mithilfe eines CAS Service 2 4 Single Sign on SSO mithilfe eines CAS Service Fur die Benutzeranmeldung an den einzelnen Diensten Web Diensten unterst tzt die ServerView Suite die Single Sign on SSO Funktionalit t ServerView implementiert den SSO Mechanismus mithilfe eines Centralized Authentication Service CAS der den SSO Vorgang aus der Sicht des Benutzers v llig transparent abwickelt Achtung Melden Sie sich immer ab und schlieBen Sie Ihren Browser bevor Sie Ihren PC unbeaufsichtigt lassen CAS speichert die Information Uber die Identitat eines Benutzers in einem sicheren Browser Cookie Ticket Granting Cookie TGC siehe Seite 31 das automatisch gel scht wird wenn der Benutzer sich explizit abmeldet oder den Browser schlie t Eine unbeaufsichtigte Browser Sitzung stellt deshalb eine ernste Sicherheitsl cke dar il Voraussetzung f r die Nutzung von SSO Der CAS Service muss f r alle IRMC S2 S3 S4 der S
225. or siehe Seite 213 Im Folgenden ist beschrieben wie Sie den Principal User mithilfe des LDAP Browser Editor von Jarek Gawor erzeugen Gehen Sie wie folgt vor gt gt vv v y Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein W hlen Sie den Teilbaum Untergruppe in dem der Principal User angelegt werden soll Der Principal User kann an beliebiger Stelle dieses Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des IRMC S2 S3 bereinstimmen siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Klicken Sie auf Set und geben Sie ein Passwort ein Geben Sie einen Sur Name SN ein Klicken Sie auf Apply 214 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Neuen iRMC S2 S3 Benutzer erzeugen und den Berechtigungsgruppen zuordnen il Verwenden Sie f r Erzeugung eines neuen Benutzers ObjectClass Person sowie zur Zuordnung eines Benutzers zur Berechtigungsgruppe einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 213 Im Folgenden ist beschrieben wie Sie mithilfe des LDAP Browser Editor von Jarek Gawor einen neuen iRMC S2 S3 Benutzer erzeugen und ihn zur
226. orkstation angezeigt dass das Konto deaktiviert wurde und nicht zulassig dass der Benutzer sich an einen Administrator wenden soll You are not permitted to logon at this workstation Please try again later 532 Passwort Bei der Authentifizierung wird eine Meldung abgelaufen angezeigt dass das Kontopasswort abgelaufen ist Optional wird ein Link zu einer Self Service Anwendung zur Passwortverwaltung bereitgestellt Your password has expired Please change your password Tabelle 3 LDAP Fehlercodes Benutzerverwaltung in ServerView 77 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren LDAP LDAP Von CAS angezeigte Meldung Fehler Fehlertext code 533 Konto Bei der Authentifizierung wird eine Meldung deaktiviert angezeigt dass das Konto deaktiviert wurde und dass der Benutzer sich an einen Administrator wenden soll This account has been disabled Please contact the system administrator to regain access 701 Konto Bei der Authentifizierung wird eine Meldung abgelaufen angezeigt dass das Konto abgelaufen ist Your account has expired 773 Benutzer muss Bei der Authentifizierung wird eine Meldung das Passwort angezeigt dass das Kontopasswort ge ndert zur cksetzen werden muss Optional wird ein Link zu einer Self Service Anwendung zur Passwortverwaltung bereitgestellt You must change your password Please change your password 775 Benutzerkonto Bei der Authentif
227. otice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes cryptographic software written by Eric Young eay cryptsoft com The word cryptographic can be left out if the rouines from the library being used are not cryptographic related 4 If you include any Windows specific code or a derivative thereof from the apps directory application code you must include an acknowledgement This product includes software written by Tim Hudson tjh eryptsoft com THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically availab
228. pt bereitgestellt Mit diesem Skript k nnen Sie das Passwort ndern ohne einen Windows Service oder Linux D mon neu starten zu m ssen siehe Abschnitt Passwort des LDAP Bind Kontos ndern auf Seite 75 14 Benutzerverwaltung in ServerView ServerView Suite Link Sammlung 1 5 ServerView Suite Link Sammlung Fujitsu Technology Solutions stellt Ihnen ber die Link Sammlung zahlreiche Downloads und weiterf hrende Informationen zur ServerView Suite und zu PRIMERGY Servern zur Verf gung Zur ServerView Suite werden Ihnen Links zu folgenden Themen angeboten e Forum e Handb cher e Service Desk e Produktinformationen e Schulungen e Sicherheitsinformationen e Software Downloads il Die Downloads umfassen u a aktuelle Software St nde zur ServerView Suite sowie erg nzende Readme Dateien Informationsdateien und Aktualisierungsdateien Update Sets f r systemnahe Software Komponenten BIOS Firmware Treiber ServerView Agenten und ServerView Update Agenten zur Aktualisierung der PRIMERGY Server anhand des ServerView Update Managers oder f r den lokalen Update einzelner Server anhand des ServerView Update Managers Express die aktuellen Versionen aller Dokumentationen zur ServerView Suite Die Downloads k nnen kostenlos vom Fujitsu Technology Solutions Web Server heruntergeladen werden Zu PRIMERGY Servern werden Ihnen Links zu folgenden Themen angeboten e Ersatzteilkatalog e Handb cher e Serv
229. pt fujitsu ServerViewSuite opends bin 3 su svuser 4 Geben Sie folgenden Befehl ein sh backup n userRoot d lt path to the backup directory gt 5 exit 6 Starten Sie den JBoss Dienst etc init d sv_jboss start Um die interne Datenbank des OpenDJ Verzeichnisservers wiederherzustellen gehen Sie wie folgt vor 1 Stoppen Sie den JBoss Dienst etc init d sv_jboss stop 2 cd opt fujitsu ServerViewSuite opends bin 3 su svuser 4 Geben Sie folgenden Befehl ein sh restore d lt path to the backup directory gt a exit 6 Starten Sie den JBoss Dienst etc init d sv_jboss start 64 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 3 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren il Beachten Sie Die Konfiguration der Einstellungen f r die Benutzerverwaltung von ServerView und iRMC S2 S3 S4 erfordert detaillierte Active Directory Kenntnisse Nur Personen die ber hinreichende Kenntnisse verf gen sollten die Konfiguration durchf hren Um die Benutzerverwaltung in ServerView mit Active Directory abwickeln zu k nnen m ssen Sie die folgenden vorbereitenden Schritte durchf hren 1 Rollendefinitionen der ServerView Suite Administrator Operator Monitor siehe Seite 36 in Active Directory importieren 2 Rollendefinitionen f r den iRMC S2 S3 S4 in Active Directory importieren 3 Rollen den Benutzern zuordnen
230. puter w hlen Suchen Klicken Sie auf die Schaltfl che Jetzt suchen um sich alle Benutzer Ihrer Dom ne anzeigen zu lassen Im Anzeigebereich unter Suchergebnisse wird das Suchergebnis angezeigt siehe Bild 47 auf Seite 181 180 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer wahlen 21 x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Users Pfade Allgemeine Abfragen Name Beginnt mit Spalten Beschreibung Begint mit I 7 Deaktivierte Konten 7 Nicht ablaufende Kennw rter Tage seit der letzten Anmeldung Suchergebnisse Name RDN E Mail Adresse Beenden iad x Beschreibung Administrator amp Gast IUSR_DOMIND Iw M_DOMI amp James Bond amp Martin Clemens fi Max Musterm eG Micky Maus gt SUPPORT_3 Willi Wuhlmaus Vordefiniertes K fwlab firm net Us VordefiniertesK fwlab firm net Us Vordefiniertes K fwlab firm net Us Vordefiniertes K feab firm n fwlab firm net Us fwlab firm net Us Herstellerkonto f fwlab firm net Us fevlab firm net Us Bild 47 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse anzeigen Selektieren Sie die Benutzer die zur Gruppe hinzugef gt werden sollen und best tigen Sie mit OK Es werden nun die ausgew hlten Benutzer angezeigt siehe Bild 48
231. r Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein gt Klicken Sie im iManager auf die Schaltfl che Roles and Tasks gt W hlen Sie im Men baum Rights Rights to Other Objects Die Seite Rights to Other Objects wird angezeigt gt Spezifizieren Sie unter Trustee Name den Namen des Objekts in Bild 52 auf Seite 201 iRMCgroups sbrd4 und SVS sbdr4 dem die Berechtigung erteilt werden soll gt Spezifizieren Sie unter Context to Search From den eDirectory Teilbaum iRMCgroups SVS den der iManager nach allen Objekten durchsuchen soll f r die der Trustee Users zurzeit leseberechtigt ist Klicken Sie auf die Schaltfl che OK Eine Fortschrittanzeige informiert ber den Stand der Suche Nach Abschluss des Suchvorgangs wird die Seite Rights to Other Objects angezeigt die jetzt das Suchergebnis enthalt siehe Bild 52 auf Seite 201 200 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Novella iManager BS Rights To Other Objects R frau Categories x 1H eDirectory Maintenance al E Groups i Help Desk E LDAP H NMAS Management amp Partition and Replicas E Rights Modify inherited Rights Filter SUS Modify Trustees Rights To Other Objects View Effective Rights Schema OK Cancel Apply Users fei BET 5 Jiesesintrane 4 Bild 52 iManager Roles and Tasks Rights To Other Objects Trustee name SVS sbrd4 _Remove Selected Add O
232. r F hren Sie einen Doppelklick auf das Dom nencontroller Zertifikat aus Klicken Sie auf Zertifikat installieren Verwenden Sie das Passwort das Sie beim Export der Zertifikats vergeben haben Klicken Sie unter Alle Zertifikate in folgendem Speicher speichern auf die Schaltfl che Durchsuchen und w hlen Sie Eigene Zertifikate Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Dom nencontroller Zertifikat aus dem Verzeichnis Eigene Zertifikate des aktuellen Benutzers in das Verzeichnis Eigene Zertifikate des lokalen Computers Benutzerverwaltung in ServerView 255 Globale Benutzerverwaltung f r den iRMC S4 8 2 5 2 iRMC S4 Benutzer einer Rolle Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S4 Benutzern zu iRMC S4 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag Gruppeneintrag Nachfolgend ist am Beispiel der LDAP v2 Struktur die Zuordnung ausgehend vom Rolleneintrag anhand der OU SVS beschrieben Die Zuordnung ausgehend vom Benuizereintrag verlauft weitgehend analog In Active Directory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt ffnen Sie das Snap in Active Directory Be
233. r has to be set Please enter a new password here Ji Please repeat the password Wise Installation Wizard lt Back Cancel Bild 5 Passwort von svuser erstmals definieren Windows Benutzerverwaltung in ServerView 41 ServerView Benutzerverwaltung mit OpenDJ ndern k nnen Sie das Passwort von svuser w hrend einer Update Upgrade Installation des ServerView Operations Managers ie Fujitsu Server iew JBoss Application Server Setup OpenDJ Administrative User Change OpenDJ administrative user FUJITSU Do you want to change the password of the administrative user swuser in your OpenDJ directory service c ho oe Please provide the old password of svuser IF you did not change it the default was admin Wise Installation Wizard lt Back Cancel Bild 6 Passwort von svuser konfigurieren Windows Um das Passwort von svuser zu ndern gehen Sie wie folgt vor 1 W hlen Sie Yes und geben Sie das alte Passwort ein 2 Klicken Sie auf Next um fortzufahren Der in Bild 5 auf Seite 41 abgebildete Dialog zur Definition eines neuen Passworts f r svuser wird angezeigt 42 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ Passwort von svuser auf Linux Systemen definieren ndern Erstmals definieren Sie das Passwort von svuser w hrend der Installation des Operations Managers ndern k nnen Sie das Passwort jederzei
234. r gen oder ausgehend vom Rolleneintrag Gruppeneintrag g nstig bei vielen Benutzereintr gen Nachfolgend ist exemplarisch die Zuordnung von iRMC S4 Benutzern einer OU people zu einer Berechtigungsgruppe dargestellt Erl utert wird dabei die vom Gruppeneintrag Rolleneintrag ausgehende Zuordnung Die Zuordnung ausgehend vom Benutzereintrag verl uft weitgehend analog In eDirectory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein W hlen Sie Roles and Tasks gt W hlen Sie Groups Modify Group Die Seite Modify Group wird angezeigt F hren Sie die folgenden Schritte f r alle Berechtigungsgruppen durch denen Sie iRMC S4 Benutzer zuordnen wollen gt Selektieren Sie via Objektselektor Schaltflache X die Berechtigungsgruppe der Sie IRMC S4 Benutzer hinzuf gen wollen siehe Bild 79 auf Seite 284 Administrator AuthorizationRoles DeptX Departments SVS sbrd4 Benutzerverwaltung in ServerView 283 Globale Benutzerverwaltung f r den iRMC S4 gt W hlen Sie die Registerkarte Members Die Registerkarte Members der Seite Modify Group wird angezeigt Collection Owner Access Roles and Tasks All Categories bd Modify Group amp Administrator AuthorizationRoles DeptX Departments SVS sbrd4 Bl Rn a a Creat
235. r der Berechtigungsgruppe zu Gehen Sie hierbei wie folgt vor W hlen Sie den Teilbaum Untergruppe von SVS dem der Benutzer angeh ren soll d h cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany gt ffnen Sie das Men Edit gt W hlen Sie Add Attribute gt Geben Sie als Attributnamen Member ein Als Wert geben Sie den voll qualifizierten DN zuvor erzeugten Benutzers an also cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany 296 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 7 5 Tipps zur Administration von OpenLDAP LDAP Service neu starten Um den LDAP Service neu zu starten verfahren Sie wie folgt gt Offnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an gt Geben Sie das folgende Kommando ein rcldap restart Meldungsprotokollierung Fur das Meldungslogging nutzt der LDAP Damon das Syslog Protokoll Die protokollierten Meldungen werden nur angezeigt wenn in der Datei etc openldap slapd conf ein Log Level ungleich 0 eingestellt ist Erl uterungen zu den verschiedenen Leveln finden Sie unter http www zytrax com books ldap ch6 loglevel Tabelle 37 auf Seite 298 gibt einen berblick ber die Log Level und ihre Bedeutung Benutzerverwaltung in ServerView 297 Globale Benutzerverwaltung f r den iRMC S4
236. r nachfolgenden Erl uterung steht die Zeichenfolge neu_dm_pw als Platzhalter f r das neue Passwort Ersetzen Sie den Platzhalter durch ein geeignetes Passwort Ihrer Wahl Vordefiniertes Passwort des OpenDJ Directory Managers auf Windows Systemen ndern il Beachten Sie F r die Einrichtung eines Passworts das ein oder mehrere Prozent Zeichen enth lt m ssen Sie bei der Angabe des Passworts in der Kommandozeile jedes Prozent Zeichen doppelt angeben Um z B das Passwort he 10 wor1d einzurichten m ssen Sie in der Kommandozeile he 10 wor1d eintippen 38 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit OpenDJ Auf Windows Systemen andern Sie das vordefinierte Passwort wie folgt 1 2 Offnen Sie eine Windows Eingabeaufforderung Stellen Sie sicher dass die Umgebungsvariablen JAVA_HOME und OPENDS_JAVA_HOME auf das Installationsverzeichnis der Java Laufzeitumgebung Java Runtime Environment JRE gesetzt sind Falls das JRE z B unter C Program Files x86 Java jre7 installiert ist setzen Sie die Umgebungsvariablen mit den folgenden Kommandos SET JAVA_HOME C Programme x86 Java jre7 SET OPENDS_JAVA_HOME C Programme x86 Java jre7 SET PATH C Program Files x86 Java jre bin Wechseln Sie in das Verzeichnis lt ServerView directory gt opends bat ndern Sie das Passwort des OpenDJ Directory Managers indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben I
237. r spezifiziert structure v1 structure v2 structure both L scht LDAP v1 Struktur oder LDAP v2 Struktur oder LDAP v1 und LDAP v2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt stor_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von delete in der Konfigurationsdatei ab Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner abgespeichert in dem der SVS_LdapDeployer ausgef hrt wird R ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel im dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird Benutzerverwaltung in ServerView 247 Globale Benutzerverwaltung f r den iRMC S4 kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch
238. rAccounts Erlaubnis zum Erzeugen L schen und ndern von Benutzerkennungen im lokalen Speicher des iRMC S2 S3 S4 MMB Managed Node VideoRedirection Erlaubnis zum ffnen einer AVR Sitzung Konsolen Umleitung via IRMC S2 S3 S4 Managed Node Table 12 Berechtigungen der Kategorie iRMC_MMB 5 1 10 Kategorie PerfMgr Die PerfMgr Kategorie umfasst die Berechtigungen f r Zugriff auf und Nutzung von Performance Manager und Threshold Manager Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die AccessServerList Berechtigung besitzen Berechtigung Erlaubnis Geltungsbereich AccessPerformanceMgr Zugriff auf den Performance Manager Management Station AccessThresholdMgr Zugriff auf Threshold Manager Management Station Table 13 Berechtigungen der Kategorie PerfMgr 124 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 5 1 11 Kategorie PowerMon Die AccessPowerMonitor Berechtigung der PowerMon Kategorie wird ben tigt f r den Zugriff auf und Nutzung des Power Monitor Berechtigung Erlaubnis Geltungsbereich AccessPowerMonitor Zugriff auf den Power Monitor Management Station Table 14 Berechtigungen der Kategorie PowerMon 5 1 12 Kategorie RackManager Die RackManager Kategorie umfasst die Berechtigungen f r Rack Management Aktivitaten Berechtigung Erlaubnis
239. raktion enth lt home eDirectory ein neues Unterverzeichnis iManager Wechseln Sie in das Unterverzeichnis installs von iManager cd iManager installs linux Rufen Sie das Installationsskript auf iManagerInstallLinux bin W hlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Klicken Sie durch die EULA und akzeptieren Sie die EULA W hlen Sie Novell iManager 2 6 Tomcat JVM zur iManager Installation W hlen Sie Yes f r Plugin Download Klicken Sie auf Enter um den Default Pfad f r den Download zu verwenden Das Installationsprogramm sucht via Internet nach Downloads Dies kann einige Minuten dauern Danach werden Sie aufgefordert die zu installierenden Plugins auszuw hlen gt W hlen Sie All f r den Download aller Plugins gt W hlen Sie Yes f r die Installation der lokal verf gbaren Plugins Dr cken Sie auf Enter um den Default Pfad f r die Installation zu verwenden W hlen Sie 2 No f r die automatische Konfiguration von Apache optional Benutzerverwaltung in ServerView 187 Globale Benutzerverwaltung f r den iRMC S2 S3 Akzeptieren Sie den Default Port 8080 f r Tomcat Akzeptieren Sie den Default SSL Port 8443 f r Tomcat Akzeptieren Sie den Default JK Connector Port 9009 f r Tomcat yY v v 7y Geben Sie die administrationsberechtigte Benutzerkennung z B root fts f r den administrationsberechtigten Benutzer ein Geben Sie de
240. res On Tue Mar 13 13 57 31 CET 2012 Fingerprints SHA1 Fingerprint 5a 55 17 92 d5 47 6b fb 17 fb f7 b4 61 91 43 b5 52 68 05 70 MDS Fingerprint 32 6f 01 db 28 47 6e b5 00 b1 7a 67 29 5b 3d ec Certificate Chain 1 CN ts Fujitsu com OU TS5 0 Fujitsu Technology Solutions GmbH L Muenchen ST Bay 2 CN TC TrustCenter SSL CA 1 OU TC TrustCenter SSL CA O TC TrustCenter GmbH C DE Import Selected Certificate Cancel Bild 25 Add Security Exception In diesem Bildschirm k nnen Sie aus den Zertifikatskette Certificate Chain das Zertifikat ausw hlen das Sie in die truststore Datei importieren wollen Wenn nur ein Eintrag vorhanden ist ist das Zertifikat selbstsigniert dann gibt es keine andere M glichkeit als dieses Zertifikat zu importieren Andernfalls werden mindestens zwei Zertifikate angeboten wie im Beispiel gezeigt 1 Server Zertifikat 2 Zertifikat der Zertifizierungsstelle CA die das Server Zertifikat signiert hat Im Allgemeinen wird empfohlen nur das Zertifikat der Zertifizierungsstelle zu importieren Damit wird jedes andere Server Zertifikat das von derselben Zertifizierungsstelle signiert ist automatisch vertrauensw rdig was in den meisten F llen von Vorteil ist Nach dem Aufruf des Java Programms wird die folgende Meldung angezeigt Benutzerverwaltung in ServerView 93 SSL Zertifikate auf der Management Station verwalten testConnection tm pontresina servware abg
241. riert sein der berechtigt ist im LDAP Verzeichnisbaum LDAP Tree zu suchen siehe Handbuch iRMC S4 integrated Remote Management Controller Bei der Konfiguration der LDAP Einstellungen auf der Seite Verzeichnisdienst Konfiguration MUSS unter Verzeichnisdienst E Mail Benachrichtigung die E Mail Benachrichtigung konfiguriert sein siehe Handbuch iRMC S4 integrated Remote Management Controller Benutzerverwaltung in ServerView 299 Globale Benutzerverwaltung f r den iRMC S4 8 2 8 1 Globale E Mail Benachrichtigung Die globale E Mail Benachrichtigung via Verzeichnisserver erfordert Benachrichtigungsgruppen Alert Roles die Sie zus tzlich zu den Authorization Roles in der Konfigurationsdatei des SVS_LdapDeployer siehe Seite 242 definieren Benachrichtigungsgruppen Alert Roles Eine Benachrichtigungsgruppe umfasst eine Auswahl definierter Benachrichtigungstypen Alert Types z B Temperatur berschreitung mit jeweils zugeordnetem Fehlergewicht Severity z B kritisch F r Benutzer die einer bestimmten Benachrichtigungsgruppe zugeordnet sind legt die Benachrichtigungsgruppe fest bei welchen Benachrichtigungstypen und Fehlergewichten die Benutzer per E Mail benachrichtigt werden Die Syntax der Alert Roles ersehen Sie aus den Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert wer
242. rigt 2005 2007 JA SA AS rits reserved Text Karen SOL WAS Contras Augnerpcaten Serves FNC 52 SSH Zugang POA 52 Tonet upong Anmelden Abtuakueren Bild 16 IRMC S2 S3 S4 f r die Teilnahme an der ServerView Suite SSO Dom ne konfigurieren Benutzerverwaltung in ServerView 61 ServerView Benutzerverwaltung mit OpenDJ Konfigurieren Sie die folgenden Einstellungen 1 W hlen Sie CAS aktiviert 2 Geben Sie unter CAS Server den DNS Namen der zentralen Management Station ein Alle Systeme die zur SSO Dom ne geh ren m ssen die zentrale il Management Station CMS unbedingt ber dieselbe Adressstruktur referenzieren Eine SSO Dom ne umfasst alle Systeme deren Authentifizierung ber denselben CAS Service erfolgt Wenn Sie also z B den ServerView Operations Manager unter der Bezeichnung my cms my domain installiert haben m ssen Sie zur Konfiguration des CAS Services f r ein IRMC S2 S3 S4 genau dieselbe Bezeichnung angeben Geben Sie dagegen nur my cms oder eine andere IP Adresse von my cms an wird die SSO Funktionalit t zwischen den beiden Systemen nicht aktiviert 3 Lassen Sie die unter die unter CAS Anmeldung URL und CAS Abmeldung URL und CAS Validierung URL die voreingestellten Werte cas login cas logout cas validate unver ndert 4 Wahlen Sie die Option SSL Zertifikate verifizieren Aus Sicherheitsgr nden wird dringend empfohlen die Verifizierung il von SSL Zertifikaten zu
243. roups dc myorganization dc mycompany bzw cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany 216 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 7 5 Tipps zur Administration von OpenLDAP LDAP Service neu starten Um den LDAP Service neu zu starten verfahren Sie wie folgt gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an gt Geben Sie das folgende Kommando ein rcldap restart Meldungsprotokollierung Fur das Meldungslogging nutzt der LDAP Damon das Syslog Protokoll Die protokollierten Meldungen werden nur angezeigt wenn in der Datei etc openldap slapd conf ein Log Level ungleich 0 eingestellt ist Erl uterungen zu den verschiedenen Leveln finden Sie unter http www zytrax com books ldap ch6 loglevel Tabelle 35 auf Seite 218 gibt einen berblick ber die Log Level und ihre Bedeutung Benutzerverwaltung in ServerView 217 Globale Benutzerverwaltung f r den iRMC S2 S3 Log Level Bedeutung 1 umfassendes Debugging 0 kein Debugging 1 Funktionsaufrufe protokollieren 2 Paketverarbeitung testen 4 Heavy Trace Debugging 8 Verbindungsmanagement 16 Gesendete und empfangene Pakete anzeigen 32 Suchfilterverarbeitung 64 Konfigurationsdateiverarbeitung 128 Verarbeitung der Zugangskontrolllisten 256 Status Logging f r Verbindungen Operationen Erge
244. rte Configure Role Based Services RBS Configuration gt Starten Sie den RBS Configuration Wizard gt Weisen RBS2 dem zu verwaltenden Container zu Im obigen Beispiel ist dies mycompany Plugin Module installieren Gehen Sie wie folgt vor gt W hlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol W hlen Sie in der Registerkarte Configure Plug in installation Available Novell Plug in Modules gt W hlen Sie in der Seite Available Novell Plug in Modules unter den aufgelisteten Modulen das eDirectory spezifische Package eDir_88_iMan26_Plugins npm gt Klicken Sie auf Install Role Based Services RBS konfigurieren gt W hlen Sie in der Seite Available Novell Plug in Modules alle f r die LDAP Integration ben tigten Module Falls Sie sich nicht sicher sind w hlen Sie alle Module gt Klicken Sie auf Install eDirectory f r SSL TLS gesicherten Zugriff konfigurieren W hrend der eDirectory Installation wird ein tempor res Zertifikat erzeugt sodass der Zugriff auf eDirectory standardm ig durch SSL TLS abgesichert ist Da jedoch die Firmware des iRMC S4 f r die Verwendung von RSA MD5 Zertifikaten konfiguriert ist ben tigt die SSL TLS gesicherte globale IRMC S4 Benutzerverwaltung via eDirectory ein RSA MD5 Zertifikat der L nge 1024 byte Benutzerverwaltung in ServerView 273 Globale Benutzerverwaltung f r den iRMC S4 Ein RSA MD5 Zertifikat der Lange 1
245. rungsintervall legen Sie bei der LDAP Konfiguration in der IRMC S4 Web Oberflache fest Seite in der Option LDAP E Mail Tabellen aktualisieren siehe Handbuch iRMC S4 integrated Remote Management Controller 302 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Globale E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Nachfolgend ist beschrieben wie Sie die E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Zus tzlich sind Einstellungen f r den iRMC S4 erforderlich die Sie an der iRMC S4 Web Oberflache konfigurieren siehe Handbuch iRMC S4 integrated Remote Management Controller Gehen Sie wie folgt vor Tragen Sie im Verzeichnisdienst die E Mail Adressen der Benutzer ein an die E Mails gesendet werden sollen Das Verfahren zur Konfiguration der E Mail Adresse unterscheidet sich je nach verwendetem Verzeichnisdienst Active Directory eDirectory und OpenLdap Erstellen Sie eine Konfigurationsdatei in der die Alert Roles definiert sind Starten Sie den SVS_LdapDeployer mit dieser Konfigurationsdatei um eine entsprechende LDAP v2 Struktur SVS auf dem Verzeichnisserver zu generieren siehe Seite 243 und Seite 249 Benutzerverwaltung in ServerView 303 Globale Benutzerverwaltung f r den iRMC S4 8 2 82 Benachrichtigungsgruppen Alert Roles anzeigen Nach der Generierung der LDAP v2 Struktur wird z B in Active Directory die neu angeleg
246. s oerverView Agenten f r Windows Installieren via Paket Installation Gehen Sie wie folgt vor 1 Kopieren Sie die gepackte Setup Datei ServerViewAgents_Win_i386 exe oderServerViewAgents_Win_x64 exe f r das Agenten Setup auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server 2 Im Verzeichnis das die Setup Datei enth lt Erstellen Sie ein neues Verzeichnis pki Abk rzung f r public key infrastructure 3 Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch gleichzeitig die Zertifikatsdateien mehrerer vertrauensw rdiger Management Stationen bertragen Benutzerverwaltung in ServerView 103 Verwalteten Server Systeme f r Role Based Access RBAC und Client At 4 Starten Sie die Paket Installation siehe Handbuch ServerView Agenten f r Windows Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert 104 Benutzerverwaltung in ServerView Verwalteten Server Systeme f r Role Based Access RBAC und Client A Installieren via entpackter Installation Gehen Sie wie folgt vor 1 Entpacken Sie die Setup Dateien ServerViewA gents_Win_i386 exe oder ServerViewAgents_Win_x64 exe auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server Dabei werden die Datei
247. s Manager bereitgestellt wurden k nnen andernfalls bei der Wiederherstellung verloren gehen Wenn Sie seit der Erstellung des zu verwendenden Backups Passw rter ge ndert haben werden diese Anderungen bei der Wiederherstellung berschrieben 3 2 6 1 OpenDJ Daten auf Windows Systemen sichern und wiederherstellen Um die interne Datenbank des OpenDJ Verzeichnisservers zu sichern gehen Sie wie folgt vor 1 Stoppen Sie den Dienst ServerView JBoss Application Server 7 2 ffnen Sie die Eingabeaufforderung im Ordner ServerView Suite opends bat 3 Geben Sie folgenden Befehl ein backup bat n userRoot d lt path to the backup directory gt 4 Starten Sie den Dienst ServerView JBoss Application Server 7 Benutzerverwaltung in ServerView 63 ServerView Benutzerverwaltung mit OpenDJ Um die interne Datenbank des OpenDJ Verzeichnisservers wiederherzustellen gehen Sie wie folgt vor 1 Stoppen Sie den Dienst ServerView JBoss Application Server 7 2 ffnen Sie die Eingabeaufforderung im Ordner ServerView Suite opends bat 3 Geben Sie folgenden Befehl ein lt restore bat d lt path to the backup directory gt 4 Starten Sie den Dienst ServerView JBoss Application Server 7 3 2 6 2 OpenDJ Daten auf Linux Systemen sichern und wiederherstellen Um die interne Datenbank des OpenDJ Verzeichnisservers zu sichern gehen Sie wie folgt vor 1 Stoppen Sie den JBoss Dienst etc init d sv_jboss stop 2 cd o
248. s Rights und f gen Sie durch Klicken auf OK hinzu gt Aktivieren Sie f r die Property All Attributes Rights die Optionen Compare Read und Inherit und best tigen Sie mit OK Damit sind Benutzer Benutzergruppe zur Abfrage aller Attribute im Teilbaum des ausgew hlten Objekts autorisiert gt Klicken Sie auf Apply um Ihre Einstellungen zu aktivieren 202 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 5 iRMC S2 S3 Benutzer der Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S2 S3 Benutzern z B der OU people zu IRMC S2 S3 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag g nstig bei wenigen Benutzereintr gen oder ausgehend vom Rolleneintrag Gruppeneintrag g nstig bei vielen Benutzereintr gen Nachfolgend ist exemplarisch die Zuordnung von iRMC S2 S3 il Benutzern einer OU people zu einer Berechtigungsgruppe dargestellt Erl utert wird dabei die vom Gruppeneintrag Rolleneintrag ausgehende Zuordnung Die Zuordnung ausgehend vom Benutzereintrag verl uft weitgehend analog In eDirectory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein W hlen Sie Roles and Tasks gt W hlen Sie Groups Modify Group Die Seite Modify Group wird angezeigt
249. sches aufgabenorientiertes Berechtigungsprofil Single Sign on SSO mithilfe eines CAS Service auf Seite 29 Die verschiedenen ServerView Produkte haben ihre eigenen Web Server oder Applikations Server die alle die Identit t jedes einzelnen Benutzers feststellen m ssen bevor sie den Zugang gestatten Dadurch w rde ein Benutzer bei jedem Wechsel vom Web GUI eines Produkt zum Web GUI eines anderen Produkts erneut zur Eingabe seiner Berechtigungsdaten aufgefordert Beim Single Sign on SSO meldet sich ein Benutzer einmal an und kann danach auf alle Systeme und Dienste der SSO Dom ne zugreifen ohne sich dabei jedes Mal neu anmelden zu m ssen Eine SSO Dom ne umfasst alle Systeme bei denen die Authentifizierung ber denselben CAS Service abgewickelt wird Die folgenden Abschnitte gehen n her auf diese Konzepte ein Benutzerverwaltung in ServerView 19 Voraussetzungen Zusammenspiel zwischen ServerView Operations Manager 5 0 und ServerView Agenten lt 5 0 Die ServerView Agenten lt V5 0 unterst tzen die oben erw hnten Konzepte nicht Trotzdem k nnen Sie mit dem ServerView Operations Manager V5 x beliebige Operationen einschlieBlich der sicherheitsrelevanten Operationen auf den ServerView Agenten lt V5 0 durchf hren Hierf r muss die Benutzer Passwort Liste des Operation Managers g ltige Eintr ge Benutzer Passwort Eintr ge mit den geeigneten Berechtigungen fur die betreffenden verwalteten Serv
250. seite wird dann das LDAP Server Objekt angezeigt gt Klicken Sie mit der rechten Maustaste auf das LDAP Server Objekt und w hlen Sie Properties im Kontext Men gt Klicken Sie in der Registerkarte General auf die Schaltfl che Refresh NLDAP Server Now NDS Meldungs Trace konfigurieren Der nds D mon erzeugt Debug und Log Meldungen die Sie mit dem Tool ndstrace verfolgen k nnen Zweck der im Folgenden beschriebenen Konfiguration ist es den Terminal Output von ndstrace in eine Datei umzuleiten und sich den Inhalt dieser Datei an einem anderen Terminal anzeigen zu lassen F r Letzteres verwenden Sie das Tool screen Es empfiehlt sich folgende Vorgehensweise gt ffnen Sie die Command Box z B bash ndstrace konfigurieren gt Wechseln Sie in das eDirectory Verzeichnis home eDirectory cd home eDirectory gt Starten Sie screen mit dem Kommando screen Starten Sie ndstrace mit dem Kommando ndstrace gt Selektieren Sie die Module die Sie aktivieren wollen Wollen Sie sich z B die Zeitpunkte anzeigen lassen wollen an denen Ereignisse eingetreten sind dann geben Sie dstrace TIME ein Es wird dringend empfohlen die Module LDAP und TIME durch zu folgende Eingabe zu aktivieren dstrace LDAP TIME gt Beenden ndstrace durch Eingabe von quit Damit ist die Konfiguration von ndstrace abgeschlossen 208 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Meldungsausgabe
251. sind alle Rollen die dem aktuell ausgew hlten Benutzer zugeordnet sind S ServerView User Management Role Definitions User amp Password A user will have the rights of one or more roles The known assignments are listed here This assignment is editable at any time Assigned Roles Administrator Description of Privilege A The user has the permission to access the Alarm Monitor Monitor AccessDeploymentMgr Operator AccessDeploymentMgr2 UserAdministrator AccessDownloadMgr AccessInventoryMagr AccessOnlineDiagnostics AccessPerformanceMgr AccessPowerMonitor AccessPrimeCollect AccessRack AccessRaidMar AccessRemoteManagement AccessReportMgr AccessRepositoryMar AccessServerConfig AccessServerList AccessThresholdMar AccessUpdateMgr AccessUserGroup AccessvIOM Reset Zur ck Beenden Abbrechen Hife Bild 13 User Management Wirzard Dialog Assign Role to User User Listet alle definierten Benutzer auf Wenn Sie einen Benutzer ausw hlen werden die dem Benutzer zurzeit zugeordneten Rollen in der Spalte Assigned Roles mit markierter Assigned Option angezeigt Die vier vordefinierten Benutzer Administrator Monitor Operator il und UserManager sind oben in der Liste angeordnet und k nnen nicht gel scht werden Die Zuordnung von Rollen zu diesen Benutzern kann nicht ver ndert werden Benutzerverwaltung in
252. sug le ae OS IRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Konzept tee eae 154 Globale iRMC S2 S3 Benutzerverwaltung ber Berechtigungsgruppen und Rollen 154 Organizational Unit OU SVS 222m 156 Server bergreifende globale Benutzerberechtigungen a 156 SVS Berechtigungsprofile werden ber Rollen definiert 160 Benutzerverwaltung in ServerView 7 2 3 E204 ee 72 33 7 2 3 4 7 2 4 7 2 4 1 7 2 4 2 7 2 4 3 Te Fee 7 2 5 2 7 2 6 7 2 6 1 7 2 6 2 7 2 6 3 7 2 6 4 7 2 6 5 7 2 6 6 TT 724 et 7 2 7 3 7 2 7 4 72 4 8 7 2 8 7 281 7 2 8 2 7 2 8 3 72 9 SVS_LdapDeployer Strukturen SVS und IRMCgroups generieren pflegen und l schen 162 Konfigurationsdatei xml Datei 162 SVS_LdapDeployer starten 163 deploy LDAP Struktur erzeugen oder ndern 165 delete LDAP Struktur l schen 167 Typische Anwendungsszenarien 168 Erst Konfiguration einer LDAP v2 Struktur durchf hren 168 LDAP v2 Struktur neu generieren oder erweitern 168 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern 2 2 22 a a 169 IRMC S2 S3 Benutzerverwaltung via Microsoft Active Directory 2 2 2 22 2 nme 170 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren 171 IRMC S2 S3 Benutzer ei
253. t y und best tigen Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 2 ein f r die Installation der Novell eDirectory Administrations Utilities und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Administrations Utilities installiert 266 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 iManager installieren und aufrufen il Der iManager ist das f r die Administration von Novell eDirectory empfohlene Tool F r die Installation sowohl in SLES10 als auch in OpenSuSE verwenden Sie das Archiv _64 1gz Gehen Sie wie folgt vor gt gt yY v vy y Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das Archiv iMan_26_linux_64 tgz tar xzvf iMan_26_linux_64 tgz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis iManager Wechseln Sie in das Unterverzeichnis installs von iManager cd iManager installs linux Rufen Sie das Installationsskript auf iManagerInstallLinux bin W hlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Klicken Sie durch die EULA und akzeptieren Sie die EULA W hlen Sie Novell iManager 2 6 Tomcat JVM zur iManager Installation W hlen Sie Yes f r Plugin Download Klicken Sie auf Enter um den Defau
254. t Auf diese Weise hat der Benutzer Zugriff auf eine ServerView Komponente ohne dass er zur Eingabe seiner Berechtigungsdaten aufgefordert wird 32 Benutzerverwaltung in ServerView Single Sign on SSO mithilfe eines CAS Service 2 4 2 Single Sign on aus Sicht des Benutzers SSO bedeutet dass Sie Ihre Authentizitat nur einmal namlich beim CAS Service nachweisen m ssen Bei Ihrer ersten Anmeldung bei einer ServerView Komponente z B Operations Manager zeigt der CAS Service ein eigenes Fenster das Sie zur Eingabe Ihrer Berechtigungsdaten Benutzername und Passwort auffordert Bei erfolgreicher Authentifizierung k nnen Sie anschlie end auf alle ServerView Komponenten und iRMC S2 S3 S4 der SSO Dom ne zugreifen ohne sich erneut anmelden zu m ssen 3 A gt CAS Anmeldefenster 4 Operations Mgr andere Web App NEE iRMC S2 S3 Web GUI 1 Ein Benutzer sendet einen HTTP Request an eine ServerView Komponente z B Operations Manager 1a Unsichtbar f r den Benutzer leitet CAS den Request intern an den CAS Service weiter 2 In seinem Anmeldefenster fordert der CAS Service den Benutzer zur Eingabe seiner Berechtigungsdaten auf 3 Der Benutzer gibt seine Benutzername Passwort Kombination ein und best tigt 4 The CAS Service authentifiziert den Benutzer 5 Nach einmaliger erfolgreicher Authentifizierung hat der Benutzer Zugang zu jeder beliebigen Komponente ohne erneut zur Anmeldung aufgefordert
255. t E E None H kvms H Z RemoteManager f2 kvmsio Ef SmashcLP E E kvms2 Add E E Lost ndFound H E kvms3 kvms4 H E kvms5 Primary grou m e kums6 41 3 kvms Set Primat kumss l a Bild 63 Organistionsstruktur der Dom ne fwlab firm net Benutzerverwaltung in ServerView 239 Globale Benutzerverwaltung f r den iRMC S4 8 2 2 4 SVS Berechtigungsprofile werden Uber Rollen definiert Direkt unterhalb jeder Abteilung sind die gew nschten zugeh rigen Benutzerrollen Authorization Roles aufgef hrt Bild 63 auf Seite 239 Alle hier aufgef hrten Rollen m ssen in der OU Declarations definiert sein Ansonsten gibt es hinsichtlich Anzahl der Roles keine Einschr nkungen Die Namen der Rollen sind unter Beachtung einiger syntaktischer Vorgaben des verwendeten Verzeichnisdienstes frei w hlbar Jede Authorization Role definiert ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S4 Neben den Authorization Roles sind auch die Alert Roles aufgef hrt Jede Alert Role definiert ein spezifisches Benachrichtigungsprofil f r die E Mail Benachrichtigung siehe Abschnitt E Mail Benachrichtigung an globale iRMC S4 Benutzer konfigurieren auf Seite 299 Benutzerrollen anzeigen Wenn Sie im Strukturbaum von Active Directory Benutzer und Computer siehe Bild 64 unter SVS eine Abteilung z B DeptX ausw hlen 1 und die zugeh rigen Knoten DeptX Authorization Roles aufklappen werden di
256. t Uber den Stand der Suche Nach Abschluss des Suchvorgangs wird die Seite Rights to Other Objects angezeigt die jetzt das Suchergebnis enth lt siehe Bild 77 auf Seite 281 280 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Novella iManager BS Rights To Other Objects R frau Categories x 1H eDirectory Maintenance al E Groups i Help Desk E LDAP H NMAS Management amp Partition and Replicas E Rights Modify inherited Rights Filter SUS Modify Trustees Rights To Other Objects View Effective Rights Schema OK Cancel Apply Users fei BET 5 Jiesesintrane 4 Bild 77 iManager Roles and Tasks Rights To Other Objects Trustee name SVS sbrd4 _Remove Selected Add Object Object Name r iRMCgroups sbrd4 Assigned Rights Falls unter Object Name kein Objekt angezeigt wird hat der Trustee zurzeit keine Berechtigung innerhalb des angegebenen Kontexts gt Erteilen Sie dem Trustee gegebenenfalls zus tzliche Berechtigung en Klicken Sie auf Add Object gt Selektieren Sie via Objektselektor Schaltflache das Objekt f r das Sie dem Trustee eine Berechtigung erteilen wollen Klicken Sie auf Assigned Rights Falls die Property All Attributes Rights nicht angezeigt wird Klicken Sie auf Add Property Das Add Property Fenster wird angezeigt siehe Bild 78 auf Seite 282 Benutzerverwaltung in ServerView 281 Globale Benutzerverwaltung f r
257. t durch Ausf hren des Kommandos ChangeComputerDetails sh Zu Einzelheiten der Installation des Operations Managers siehe Handbuch Installation ServerView Operations Manager Software unter Linux 3 2 2 3 Vordefinierte Passw rter der vordefinierten Benutzer Administrator Monitor Operator und UserManager ndern il Beachten Sie Das vordefinierte Passwort der vordefinierten Benutzer Administrator Monitor Operator und UserManager lautet admin Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter baldm glichst zu ndern Die vordefinierten Passw rter Administrator Monitor Operator und UserManager k nnen Sie ber den Link User Management im Startfenster des Operation Managers ndern Wenn ein Benutzer mit UserAdministrator Rolle oder einer darauf basierenden Rolle den Link User Management anklickt startet automatisch der User Management Wizard Mit dem User Management Wizard k nnen Sie alle vordefinierten Passw rter in einem einzigen Schritt ndern Nach erfolgreicher Installation des Operations Managers auf der il zentralen Management Station besitzt zun chst nur der Benutzer UserManager die Berechtigungen der UserAdministrator Rolle Am g nstigsten ist es deshalb wenn der Benutzer UserManager alle vordefinierten Passw rter in einem einzigen Arbeistsschritt ndert Einzelheiten hierzu finden Sie unter Abschnitt Benutzer Rollen und Berechtigungen in OpenDJ verwalten auf Seite 46
258. t log lt YYYY MM DD gt log wobei lt YYYY MM DD gt jeweils das Datum des Vortags angibt 136 Benutzerverwaltung in ServerView Eintrage des Audit Logs 6 2 Eintr ge des Audit Logs Jede Zeile der Audit Log Datei reprasentiert einen Eintrag im Audit Log Die Struktur der Eintrage in der Audit Log Datei basiert auf dem RFC 5424 Syslog protocol Jeder Logging Eintrag besteht aus einem Header auf den die strukturierten Daten folgen Der Header enth lt eine Liste der Felder die in jedem Eintrag vorhanden sind Die strukturierten Daten STRUCTURED DATA in RFC 5424 liefern eine detaillierte Beschreibung der protokollierten Daten Eine detaillierte Beschreibung der Syntax Elemente finden Sie in RFC 5424 Zu Beispielen zu Logging Eintr gen siehe Abschnitt Beispiele Eintr ge in der Audit Log Datei auf Seite 146 Benutzerverwaltung in ServerView 137 Eintrage des Audit Logs 6 2 1 Typen von Audit Log Eintragen Drei Typen von Audit Log Eintragen sind zu unterscheiden INIT Eintrag Der INIT Eintrag ist immer der erste Eintrag der Audit Log Datei und wie folgt strukturiert Header ServerView audit 231 Element origin Element ServerView env 231 Element Freitext der auf die strukturierten Daten folgt lt operati on gt Eintrag Ein lt operation gt Eintrag bezieht sich auf eine Operation lt operation gt die in der durch lt COMP_Name gt spezifizierten Kompo
259. t sind Die LDAP E Mail Tabelle wird in der iRMC S2 S3 Firmware erstmalig beim Erst Start des IRMC S2 S3 angelegt und danach in regelm igen Abst nden aktualisiert Der Umfang der LDAP E Mail Tabelle ist begrenzt auf maximal 64 LDAP Benachrichtigungsgruppen sowie auf maximal 64 globale iRMC S2 S3 Benutzer f r die E Mail Benachrichtigung konfiguriert ist Es wird empfohlen f r die globale E Mail Benachrichtigung Email Verteiler zu verwenden Benutzerverwaltung in ServerView 221 Globale Benutzerverwaltung f r den iRMC S2 S3 Fur die E Mail Benachrichtigung ermittelt der LDAP Verzeichnisserver aus der E Mail Tabelle folgende Informationen e Liste der globalen IRMC S2 S3 Benutzer f r die E Mail Benachrichtigung konfiguriert ist e F r jeden globalen iRMC S2 S3 Benutzer Liste der konfigurierten Alarmbenachrichtigungen des jeweiligen Alerts Art und Fehlergewicht Gew nschtes Mail Format Die LDAP E Mail Tabelle wird bei folgenden Anl ssen aktualisiert Erst Neustart des iIRMC S2 S3 nderung der LDAP Konfiguration In regelm igen Abst nden optional Das Aktualiserungsintervall legen Sie bei der LDAP Konfiguration in der IRMC S2 S3 Web Oberflache fest Seite in der Option LDAP E Mail Tabellen aktualisieren siehe Handbuch IRMC S2 S3 integrated Remote Management Controller 222 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Globale E Mail Ben
260. te OU SVS mit den Komponenten Alert Roles und Alert Types unter Declarations sowie mit der Komponente Alert Roles unter DeptX angezeigt siehe Bild 82 Unter Declarations zeigt Alert Roles alle definierten Alert Roles an Alert Types werden alle Benachrichtigungstypen angezeigt 1 Unter Deptx zeigt Alert Roles alle in der OU DeptxX g ltigen Alert Roles an 2 zA Active Directory Users and Computers File Action View Favorites Window Help e m ealxgEaB 2 m eE 9 Builtin E N H E Computers H Domain Controllers E amp ForeignSecurityPrincipals H iRMC2 amp iRMCgroups 2 8 LdapDeployerTest 3 13 iRMCgroups ER stdsysdlerts RL A AlertTypes 3 13 Privileges 2 3 Departments H Others x 8 8 UserSettings 3 3 NewTestOu E NTDS Quotas H E Program Data a 5v5 Bild 82 OU SVS mit Alert Roles Damit an die Benutzer der einzelnen Benachrichtigungsgruppen E Mails il versendet werden muss am iRMC S4 die zugeh rige Abteilung Department in Bild 82 DeptX konfiguriert sein siehe Handbuch IRMC S4 integrated Remote Management Controller 304 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Wenn Sie im Strukturbaum von Active Directory Benutzer und Computer siehe Bild 83 unter SVS Departments DeptX Alert Roles eine Benachrichtigungsgruppe Alert Role z B StdSysAlerts auswahlen 1 und via Kontextmen Eigenschaften
261. tet dass ein in Active Directory konfigurierter Wert immer die Einstellung hier berschreibt Beispiel 90 Benutzerverwaltung in ServerView 79 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Warning Days Der Wert dieser Eigenschaft bestimmt die Anzahl Tage die ein Benutzer vor Ablauf des Passworts gewarnt wird Beachten Sie dass es in Active Directory kein entsprechendes Attribut gibt Das bedeutet dass dieser Wert hier die einzige Definition f r die Warnzeit des Passwortablaufs ist Beispiel 30 Password URL optional Dieser Eintrag bestimmt die URL an die der Benutzer umgeleitet wird um das Passwort zu ndern Die Landing Page dieser URL muss vom Benutzer bereitgestellt werden Serverview bietet keine entprechende Web Seite an Wenn es keine entsprechende Seite in der Umgebung des Benutzers gibt sollte die Konfigurationsoption weggelassen werden Dieser Eintrag ist optional normalerweise werden Passw rter ber die Verwaltung des Active Directory Verzeichnisdienstes ge ndert Beispiel https www example corp com UserMgt 80 Benutzerverwaltung in ServerView 4 S SL Zertifikate f r Authentifizierung verwalten F r die Kommunikation mit Web Browsern und verwalteten Servern Managed Nodes verwendet die Management Station eine Public Key Infrastruktur PKI mit sicheren SSL Verbindungen Dieses Kapitel liefert Informationen zu folgenden Themen SSL Zertifik
262. thority CA herausgegeben Die Zertifizierungsstelle signiert die Zertifikate mit dem privaten Schl ssel der Zertifizierungsstelle nachdem sie die Identit t der im Zertifikat genannten Organisation gepr ft hat Die Signatur die Bestandteil des Zertifikats ist wird beim Verbindungsaufbau offengelegt sodass der Client die Vertrauensw rdigkeit des Zertifikats verifizieren kann il Beachten Sie Wenn eine Update Intallation des ServerView Operations Managers erforderlich ist z B nachdem der Name der Management Station ge ndert wurde wird das Zertifikat der Zertifizierungsstelle nicht automatisch w hrend der Update Installation ersetzt Stattdessen m ssen Sie das Zertifikat durch Ihr eigenes ersetzen siehe Abschnitt Zertifikat auf der zentralen Management Station ersetzen auf Seite 90 Folgende Schritte sind zur Erzeugung eines Zertifizierungsstellenzertifikats erforderlich 1 Erzeugen Sie eine Zertifikatsanforderung Certificate Signing Request CSR hier certrg pem z B mit dem Tool openssl openssl req new keyout privkey pem out certreq pem days 365 2 Senden Sie die Zertifikatsanforderung an die Zertifizierungsstelle Die Zertifizierungsstelle gibt das signierte Zertifikat Certificate Reply zur ck z B im PEM Format als certreply pem oder im DER Format als certreply cer Im Folgenden wird angenommen dass das Zertifikat das PEM Format hat Wenn n tig k nnen Sie das Zertifikat vom DER Format in das PEM
263. tifizierungsstelle f r Zertifikate Eine Enterprise CA Zertifizierungsstelle f r Unternehmen k nnen Sie wahlweise auf dem Dom nencontroller selbst oder auf einem anderen Server installieren Die Installation direkt auf dem Dom nencontroller ist einfacher da im Vergleich zur Installation auf einem anderen Server einige Installationsschritte entfallen Im Folgenden ist beschrieben wie Sie die Enterprise CA direkt auf einem vom Dom nencontroller verschiedenen Server installieren Die erfolgreiche Installation und Konfiguration einer Enterprise CA setzt eine Active Directory Umgebung sowie die installierten IIS Internet Information Services voraus Mit den folgenden Schritten installieren Sie eine Enterprise CA gt Wahlen Sie im Windows Startmen Start Systemsteuerung Software Windows Komponenten hinzuf gen entfernen gt W hlen Sie im Wizard f r die Windows Komponenten unter Komponenten den Punkt Zertifikatsdienste F hren Sie einen Doppelklick auf Zertifikatsdienste aus und stellen Sie sicher dass die Optionen Webregistrierung f r Zertifikatsdienste und Zertifizierungsstelle f r Zertifikate ausgew hlt sind gt W hlen Sie Stammzertifizierungsstelle eines Unternehmens Benutzerverwaltung in ServerView 171 Globale Benutzerverwaltung f r den iRMC S2 S3 gt Aktivieren Sie die Option Schl sselpaar und Zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen W hlen Sie M
264. tifizierungsstellen Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung 172 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Zertifizierungsstellenzertifikat CA Certificate aus dem Verzeichnis Vertrauenswiirdige Stammzertifizierungsstellen des aktuellen Benutzers in das Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des lokalen Computers Dom nencontroller Zertifikat erzeugen Mit den folgenden Schritten erstellen Sie ein RSA Zertifikat f r den Domanencontroller Erstellen Sie eine Datei request inf mit dem folgenden Inhalt LVersion Signature Windows NT NewRequest Subject CN lt full path of domain controller host gt eySpec 1 eyLength 1024 Exportable TRUE achineKeySet TRUE SMIME FALSE PrivateKeyArchive FALSE UserProtected FALSE UseExistingKeySet FALSE ProviderName Microsoft RSA SChannel Cryptographic Provider ProviderType 12 RequestType PKCS10 eyUsage 0xa0 EnhancedKeyUsageExtension OID 1 3 6 1 5 5 7 3 1 this is for Server Authentication Passen Sie in der Datei request inf die Angaben bei Subject an den Namen des verwendeten Dom nencontrollers an z B Subject CN domino fwlab firm
265. tive Distinguished Names RDN 8 2 2 1 Globale iRMC S4 Benutzerverwaltung ber Berechtigungsgruppen und Rollen Die globale iRMC S4 Benutzerverwaltung mithilfe eines LDAP Verzeichnisservers LDAP Directory Server erfordert keine Erweiterung des Standard Schemas des Verzeichnisservers Vielmehr werden s mtliche f r den iRMC S4 relevanten Informationen einschlie lich der Benutzerberechtigungen Privilegien ber zus tzliche LDAP Gruppen und Organisationseinheiten Organizational Units OU bereitgestellt die in einer separaten OU innerhalb einer Dom ne des LDAP Verzeichnisservers in separaten OUs zusammengefasst sind siehe Bild 62 auf Seite 237 IRMC S4 Benutzer erhalten ihre Privilegien Uber die Zuweisung einer in der Organizational Unit OU SVS deklarierten Rolle Benutzerrolle Rechtevergabe ber Benutzerrollen kurz Rollen Role Die globalen Benutzerverwaltung am iRMC S4 Firmware Version 3 77 oder h her regelt die Rechtevergabe ber Benutzerrollen Dabei definiert jede Rolle ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S4 Jedem Benutzer k nnen mehrere Rollen zugewiesen werden sodass sich die Rechte dieses Benutzers aus der Gesamtheit der Rechte aller zugewiesenen Rollen ableiten 234 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Bild 61 skizziert das Konzept der rollenbasierten Vergabe von Benutzerberechtingungen mit den Rollen Admi
266. tzer Rolle 5 i zs 28 2 83 55 55 AHR 22 5 22 33 RemoteStorage x UserAccounts x VideoRedirection x x PerfMgr AccessPerformanceMgr x x Access ThresholdMgr x x PowerMon AccessPowerMonitor x x x RackManager AccessRack x x x AccessUserGroup x x x ModifyRack x x ModifyTask x ModifyUserGroup x x RaidMgr AccessRaidMgr x x x ModifyRaidConfig x x RemDeploy AccessDeploymentMgr x AccessDeploymentMgr2 x x x ModifyDmNode x x ModifyDmSettings x PerformDmCreatelmage x x PerformDmDeploylmage x PerformDmInstallServer x PerformDmPowerOperations x x SCS ModifyTrustedHosts x Table 24 Berechtigungen die durch die vordefinierten Rollen erteilt werden Benutzerverwaltung in ServerView 133 In OpenDJ vordefinierte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benutzer Rolle 5 bi zs 23 zi 3155 55 HEIR 22 55 22 33 Serverliste AccessServerList x x x ModifyNode x x PerformArchivelmport x x PerformConnectivityTest x x x PerformDiscovery x x PerformExploration x x PerformPowerOperations x x UpdMgr AccessDownloadMgr x AccessRepositoryMgr x AccessUpdateMgr x x DeleteJob x DeleteReleasedJob x x ModifyUpdateConfig x PerformCleanUp x PerformCopyJob x PerformCopyReleas
267. ung ein Kopieren Sie den Inhalt der Datei request req in das Fenster Gespeicherte Anforderungen gt W hlen Sie die Zertifikatsvorlage Webserver Laden Sie das Zertifikat herunter und speichern Sie es ab z B in der Datei request cer gt Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq accept request cer Exportieren Sie das Zertifikat mit dem privaten Schl ssel Im Einzelnen verfahren Sie hierf r wie folgt gt Starten Sie die Management Konsole durch Eingabe vom mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu gt Navigieren Sie zu Zertifikate Lokaler Computer Eigene Zertifikate Zertifikate F hren Sie einen Doppelklick auf das neue Server Authentifizierungszertifikat aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie Ja privaten Schl ssel exportieren Vergeben Sie ein Passwort yY vV Vv vy 7y W hlen Sie einen Dateinamen f r das Zertifikat und klicken Sie auf Fertig stellen 254 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 Dom nencontroller Zertifikat auf dem Server installieren Mit den folgenden Schritten installieren Sie das Dom nencontroller Zertifikat auf dem Server gt Kopieren Sie die soeben erstellte Datei f r das Dom nencontroller Zertifikat auf den Dom nencontrolle
268. ung von deploy in der Konfigurationsdatei ab Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner abgespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel im dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 246 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 3 4 delete LDAP Struktur l schen Mit dem Kommando delete k nnen Sie auf dem Verzeichnisserver eine LDAP Struktur entfernen Syntax delete lt datei gt structure vl v2 both username lt benutzer gt password lt passwort gt store_pwd lt pfad gt L kloc lt pfad gt C kpwd lt key passwort gt lt datei gt xml Datei die die zu l schende Struktu
269. utzern und Gruppen Die Erstellung und Zuordnung von Benutzereintr gen zu Gruppen nehmen Sie ber ein entsprechendes Tool des verwendeten Verzeichnisdienstes vor nachdem Sie die OUs SVS und oder iRMCgroups im Verzeichnisdienst generiert haben 164 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 3 deploy LDAP Struktur erzeugen oder ndern Mit dem Kommando deploy k nnen Sie auf dem Verzeichnisserver eine neue LDAP Struktur erzeugen oder zu einer bereits existierende LDAP Struktur neue Eintr ge hinzuf gen Zum Entfernen von Eintr gen aus einer existierenden LDAP Struktur il m ssen Sie die LDAP Struktur zuerst mit delete l schen siehe Seite 167 l schen und anschlie end mit einer entsprechend modifizierten Konfigurationsdatei neu generieren Syntax deploy lt datei gt structure vl v2 both username lt benutzer gt password lt passwort gt store_pwd lt pfad gt kloc lt pfad gt kpwd lt key passwort gt lt datei gt xmi Datei die die Konfigurationsdaten enth lt Die Konfigurationsdatei muss unter lt Data gt alle erforderlichen Rollen und Abteilungen enthalten die f r das erstmalige Generieren bzw die Erweiterung einer Struktur ben tigt werden structure v1 structure v2 structure both Erzeugt eine LDAP v1 Struktur oder eine LDAP v2 Struktur oder eine LDAP v1 und eine LDAP v2 Struktur username lt benutzer gt Ben
270. utzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt Benutzerverwaltung in ServerView 165 Globale Benutzerverwaltung f r den iRMC S2 S3 store_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von deploy in der Konfigurationsdatei ab Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner abgespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel im dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 166 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2
271. vell eDirectory f hren Sie die folgenden Schritte durch 1 NDS Baum erzeugen 2 eDirectory fur LDAP konfigurieren 3 Zugang zu eDirectory via LDAP Browser testen NDS Baum erzeugen Einen NDS Network Directory Service Baum erzeugen Sie mit dem Utility ndsmanage ndsmanage ben tigt hierf r die folgenden Informationen TREE NAME Netzweit eindeutiger Name f r den neuen NDS Baum z B MY_TREE Server Name Name einer Instanz der Klasse server in eDirectory F r Server Name spezifizieren Sie den Namen des PRIMERGY Servers auf dem der LDAP Server l uft z B lin36 root 0 Server Context Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des Containers in dem das Server Objekt enthalten ist z B dc organization dc mycompany Admin User Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des administrationsberechtigten Benutzers z B cn admin dc organization dc mycompany NCP Port Spezifizieren Sie den Port 81 Instance Location Spezifizieren Sie als Pfad home root instanceO Configuration File Spezifizieren Sie folgende Datei home root instanceOfndsconf Password for admin user Geben Sie hier das Administratorpasswort an Benutzerverwaltung in ServerView 271 Globale Benutzerverwaltung f r den iRMC S4 Zur Konfigurierung des NDS Baums gehen Sie wie folgt vor gt gt gt Offnen Sie eine Command Box Wechseln Sie in d
272. verwaltung in ServerView 291 Globale Benutzerverwaltung f r den iRMC S4 il il Falls die von YaST erstellte Konfiguration generell nicht funktioniert pr fen Sie die Konfigurationsdatei etc openldap slapd conf auf folgende zwingend erforderlichen Eintr ge allow bind_v2 LSCACertificateFile path to ca certificate pem LSCertificateFile path to certificate pem TLSCertificateKeyFile path to privat key pem Falls die von YaST erstellte Konfiguration f r SSL nicht funktioniert pr fen Sie die Konfigurationsdatei etc sysconfig openldap auf folgenden Eintrag OPENLDAP_START_LDAPS yes 292 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 7 4 iRMC S4 Benutzerverwaltung in OpenLDAP integrieren il Voraussetzung Eine LDAP v1 und oder eine LDAP v2 Struktur ist im OpenLDAP Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Struktur SVS generieren pflegen und l schen auf Seite 242 Die Integration der IRMC S4 Benutzerverwaltung in OpenLDAP umfasst die folgenden Schritte Principal iRMC User erzeugen Neuen iRMC S4 Benutzer erzeugen und der Berechtigungsgruppe zuordnen Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 293 LDAP Browser Editor von Jarek Gawor Den LDAP Browser Editor von Jarek Gawor k nnen Sie ber eine grafische Ob
273. walteten Server Voreingestellt ist der folgende Pfad opt fujitsu Server ViewSuite SCS pki Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in ein lokales Verzeichnis Geben Sie das folgende Kommando ein cp p lt system_name gt scs pem lt system_name gt scs xml lt scsPath gt Nach einem Neustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen Benutzerverwaltung in ServerView 109 Verwalteten Server Systeme f r Role Based Access RBAC und Client At 4 3 4 Zertifikat via ServerView Update Manager installieren auf einem Windows Linux VMware System i Voraussetzungen Der ServerView Update Agent und die ServerView Agenten m ssen mindestens Version 5 0 vorliegen Fur jeden in der Serverliste angezeigten verwalteten Server bietet der Update Mechanismus des ServerView Update Managers die M glichkeit das Zertifikat der Management Station im Folgenden kurz CMS Zertifikat direkt aus der Serverliste heraus auf dem verwalteten Server zu installieren Wie andere Update Komponenten auch bietet Ihnen der Update Manager das CMS Zertifikat als zu installierende Software an Durch Generieren und Starten eines entsprechenden Update Jobs k nnen Sie das Zertifikat automatisch zum verwalteten Server bertragen Hierzu muss jede f r die Management Station erstellte Zertifikatsdatei im Repository des Updat
274. ware Komponenten und Systemanforderungen Verwenden Sie jeweils die angegebene oder eine aktuellere Version der nachfolgend aufgelisteten Komponenten Novell eDirectory ehemals NDS besteht aus folgenden Software Komponenten eDirectory 8 8 20060526_0800_Linux_88 SP1_FINAL tar gz eDirectory 8 8 eDir_88_iMan26_Plugins npm iManager iMan_26_linux_64 1gz f r SUSE iMan_26_linux_32 tgz sonst ConsoleOne c1_136f linux tar gz Fur Installation und Betrieb von Novell eDirectory gelten die folgenden Systemanforderungen OpenSSL muss installiert sein il Falls OpenSSL nicht bereits installiert ist Installieren Sie OpenSSL bevor Sie mit der Installation von Novell eDirectory beginnen 512 MB freier Hauptspeicher Benutzerverwaltung in ServerView 183 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 2 Novell eDirectory installieren Die Installation von Novell eDirectory umfasst die Installation der folgenden Komponenten eDirectory Server und Administrations Utilities iManager Administrations Utility ConsoleOne Administrations Utility i Voraussetzung fir die Installation von Novell eDirectory Ein Linux Server Betriebssystem muss komplett installiert sein und laufen Die Firewall muss f r Verbindungen zu folgenden Ports konfiguriert sein 8080 8443 9009 81 389 636 F r OpenSuSE konfigurieren Sie dies mithilfe der Datei etc sysconfig SuSEfirewall
275. werden soll Pfad Gesamtes Verzeichnis gp fwlab firm net amp amp Buitin 288 System amp amp Program Data amp S ox _Abtrechen de Bild 44 Dialog Pfad W hlen Sie den Container OU in dem sich Ihre Benutzer befinden Im Standardfall ist dies die OU Users Best tigen Sie mit OK Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 45 auf Seite 179 Benutzer k nnen auch an anderer Stelle im Verzeichnis eingetragen sein 178 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 25x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad pe Geben Sie die zu verwendenden Objektnamen ein Beispiele Namen uberprufen Bild 45 Dialog Benutzer Kontakte oder Computer wahlen Klicken Sie auf die Schaltfl che Erweitert Ein erweiterter Dialog Benutzer Kontakte und Computer wahlen wird ge ffnet siehe Bild 46 auf Seite 180 Benutzerverwaltung in ServerView 179 Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 2 xi Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Users Pfade Allgemeine Abfragen Name Begint mt Z _ Spaten 1g mi AI sere se one _Name RDN _E MaitAdresse Beschreibung Ordner Bild 46 Dialog Benutzer Kontakte oder Com
276. wie folgt vor Speichern Sie das Java Archiv jar Archiv SVS_LdapDeployer jar in ein Verzeichnis auf dem Verzeichnisserver ffnen Sie die Kommando Schnittstelle des Verzeichnisservers gt Wechseln Sie in das Verzeichnis in dem das jar Archiv SVS_LdapDeployer jar gespeichert ist gt Rufen Sie den SVS_LdapDeployer gem dem folgenden Syntax Schema auf java jar SVS_LdapDeployer jar lt kommando gt lt datei gt L lt option gt W hrend der Ausf hrung des SVS_LdapDeployer werden Sie ber die il durchgef hrten Schritte informiert Detaillierte Informationen finden Sie in der Datei log txt die bei jeder Ausf hrung des SVS_LdapDeployer im Ausf hrungsverzeichnis angelegt wird Im Folgenden werden die Begriffe LDAPv1 Struktur und LDAPv2 il Struktur f r die Bezeichnung ServerView spezifischer Konfigurationslayouts der Autorisierungsdaten verwendet und beziehen sich nicht auf die Versionen 1 und 2 des LDAP Protokolls Die Kommandos import und sychronize siehe unten werden nur in il Verbindung mit LDAPv1 Strukturen ben tigt IRMC S2s mit einer Firmware Version lt 3 77 und iRMCs N heres hierzu finden Sie in den Handb chern IRMC S2 S3 integrated Remote Management Controller Ausgabe Mai 2011 und fr here Ausgaben IRMC integrated Remote Management Controller lt kommando gt Spezifiziert die durchzuf hrende Aktion Folgende Kommandos stehen zur Auswahl deploy Erzeugt auf dem
277. wird angezeigt Monitor Properties General Members Member Of Managed By Object Securty ome Group name pee Windows 2000 min mv Description Tontans the list of operators assigned to CMS E pat r Group scope 7 Group type Domain local Secu c Distribution Bild 19 Dialog Monitor Properties f r die Monitor Rolle d W hlen Sie die Registerkarte Members und klicken Sie auf Add Monitor Properties RE General Members Member Of Managed By Object Securty Bild 20 Dialog Properties f r die Monitor Rolle Registerkarte Members 70 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Der Dialog Select Users wird angezeigt Select Users Contacts Computers or Groups x Select this object type Users Groups of Other objects Object Types Erom this location DOMULIOT local Locations Enter the object names to select examples Bild 21 Dialog Select Users e Klicken Sie auf Advanced Select Users Contacts Computers or Groups Select this object ype I Groups or Other objects Object Types Eroe this location OOMULIGT local Locations Common Queries Ce d r Name RON EMalAddess Description _In Folder Fred Miller DOMULIOI local Us John Smith DOMULIOI Jocal Us Jonathan Walker DOMULION local Us Bild 22 Gew nschten Benutzer ausw
278. y Manager und f r das Erzeugen ndern L schen Ausf hren DataCollections und Reports Berechtigung Erlaubnis Geltungsbereich AccessinvMgr Zugriff auf Inventory Manager Management Station ModifyCollections DataCollections und zugeh rige Management Definitionen erzeugen ndern und Station l schen ModifyDiagnostics Task spezifisches Logging ansehen Management l schen und Daten exportieren Station ModifyReports DataCollections und zugeh rige Management Definitionen erzeugen ndern und Station l schen PerformCollections DataCollections durchf hren Management Station PerformReports Reports durchf hren Management Station Table 11 Berechtigungen der Kategorie InvMgr 122 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 5 1 9 Kategorie iRMC_MMB Die iRMC_MMB Kategorie umfasst die Berechtigungen f r Zugriff auf und Nutzung von iRMC S2 S3 S4 MMB Wichtiger Hinweis Berechtigungen mit dem Pr fix Ipmi basieren auf den in der IPMI Specification spezifizierten Berechtigungen Im IPMI Standard ist die Benutzerkonfiguration kanalspezifisch Benutzer k nnen f r den Zugriff auf IRMC S2 S3 S4 MMB unterschiedliche Berechtigungsprofile besitzen je nachdem ob sie via LAN Kanal oder via seriellem Kanal zugreifen F r jeden Benutzer Rolle muss genau ein IpmiLan Privilege Level und ein Ipmi Serial Privilege Level spezifiz
279. z B cn admin dc organization dc mycompany NCP Port Spezifizieren Sie den Port 81 Instance Location Spezifizieren Sie als Pfad home root instanceO Configuration File Spezifizieren Sie folgende Datei home root instanceOfndsconf Password for admin user Geben Sie hier das Administratorpasswort an Benutzerverwaltung in ServerView 191 Globale Benutzerverwaltung f r den iRMC S2 S3 Zur Konfigurierung des NDS Baums gehen Sie wie folgt vor gt gt gt Offnen Sie eine Command Box Wechseln Sie in das Verzeichnis home eDirectory Starten Sie das Utility ndsmanage durch Eingabe des Kommandos ndsmanage ndsmanage Geben Sie c ein f r die Erzeugung einer neuen Instanz der Klasse server Geben Sie y ein um die Konfiguration fortzusetzen Geben Sie y ein um einen neuen Baum zu erzeugen Anschlie end erfragt ndsmanage nacheinander die Werte f r TREE NAME Server Name Server Context etc siehe Seite 191 Sobald die Eingabe abgeschlossen ist konfiguriert ndsmanage den NDS Baum F hren Sie nach Abschluss der Konfiguration des NDS Baums einen Neustart des PRIMERGY Servers durch um die Konfiguration zu aktivieren d h den NDS Baum zu erzeugen eDirectory f r LDAP konfigurieren Die Konfiguration von eDirectory f r LDAP umfasst die folgenden Schritte Role Based Services RBS installieren Plugin Module installieren Role Based Services RBS konfigurieren eDirectory m
280. zer oder einer Gruppe von Objekten die in einer Organizational Unit OU wie z B SVS oder people zusammengefasst sind Dabei gehen Berechtigungen die einer OU erteilt und als inherited gekennzeichnet sind automatisch auf die Objekte dieser Gruppe ber Benutzerverwaltung in ServerView 279 Globale Benutzerverwaltung f r den iRMC S4 i Fur die Integration der iRMC S4 Benutzerverwaltung in Novell eDirectory ist es erforderlich folgenden Objekten Trustees Suchberechtigung zu erteilen Principal User Teilbaum der die IRMC S4 Benutzer enth lt Wie Sie dabei im Einzelnen vorgehen ist nachfolgend beschrieben Um einem Objekt die Suchberechtigung f r alle Attribute zu erteilen verfahren Sie wie folgt gt Starten Sie den iManager via Web Browser Loggen Sie sich beim iManager mit g ltigen Authentisierungsdaten ein gt Klicken Sie im iManager auf die Schaltfl che Roles and Tasks gt Wahlen Sie im Men baum Rights Rights to Other Objects Die Seite Rights to Other Objects wird angezeigt gt Spezifizieren Sie unter Trustee Name den Namen des Objekts in Bild 77 auf Seite 281 SVS sbdr4 dem die Berechtigung erteilt werden soll gt Spezifizieren Sie unter Context to Search From den eDirectory Teilbaum SVS den der iManager nach allen Objekten durchsuchen soll f r die der Trustee Users zurzeit leseberechtigt ist gt Klicken Sie auf die Schaltfl che OK Eine Fortschrittanzeige informier
281. zer auf seine Berechtigungsdaten Benutzername und Passwort einzugeben 4 Der Benutzer gibt seine Berechtigungsdaten ein 5 Der CAS Service pr ft Benutzername und Passwort und leitet den Request an die urspr nglich angeforderte ServerView Komponente weiter Au erdem setzt der CAS Service das TGT Cookie und weist dem Benutzer das Service Ticket ST und das Ticket Granting Ticket TGT zu 6 Der CAS Client sendet das Service Ticket zur berpr fung an den CAS Service 7 Nach erfolgreicher Validierung liefert der CAS Service die folgende Information zur ck Service Ticket is ok lt Benutzername gt 8 Die Web Anwendung ServerView Komponente beantwortet den urspr nglichen Request siehe Schritt 1 Wie CAS basiertes SSO nachfolgende SSO Requests verarbeitet Einmal erfolgreich f r den Zugriff auf eine ServerView Komponente z B Operations Manager authentifiziert kann ein Benutzer eine andere Komponente z B iRMC S2 S3 S4 Web Oberfl che aufrufen ohne dass er noch einmal seine Berechtigungsdaten eingeben muss In diesem Fall f hrt den CAS Service die Authentifizierung mithilfe des Ticket Granting Cookie TGC durch das w hrend eines fr heren Anmeldevorgangs f r diesen Benutzer gesetzt wurde Sofern das TGC einem g ltigen Ticket Granting Ticket TGT entspricht stellt der CAS Service jedesmal automatisch ein Service Ticket ST aus wenn der Web Browser den Dienst der einer Komponente der SSO Dom ne anforder
282. zerverwaltung einrichten oder in die bereits bestehende Benutzerverwaltung Ihrer IT integrieren 12 Benutzerverwaltung in ServerView Struktur des Handbuchs 1 3 Struktur des Handbuchs Das Handbuch liefert Informationen zu folgenden Themen Kapitel 2 Benutzerverwaltung und Sicherheitsarchitektur Uberblick Diese Kapitel gibt einen berblick ber das Autorisierungs und Authentifizierungskonzept der ServerView Suite Kapitel 3 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst Dieses Kapitel liefert Informationen zu folgenden Themen Zugang zum Verzeichnisdienst konfigurieren ServerView Benutzerverwaltung mit OpenDJ ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Kapitel 4 SSL Zertifikate auf der zentralen Management Station und den Managed Nodes verwalten Dieses Kapitel liefert Informationen zu folgenden Themen SSL Zertifikate verwalten berblick SSL Zertifikaten auf der zentralen Management Station verwalten Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten Kapitel 5 Rollenbasierte Autorisierung f r den Zugriff auf den Operations Manager Dieses Kapitel liefert Informationen zu folgenden Themen Privilegien Kategorien und zugeh rige Berechtigungen Privilegien Vordefinierte Benutzer und Rollen in OpenDJ Kapitel 6 Audit Logging Dieses Kapitel liefert detaillierte Informationen zum CAS
283. zeugt LDAP Strukturen auf Basis einer xml Konfigurationsdatei Diese Eingabedatei enth lt die Strukturinformationen f r die Struktur SVS in xml Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den Beispiel il Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die Sie zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert werden In der Eingabedatei m ssen unter lt Settings gt immer g ltige Verbindungsdaten f r die Verbindung zum Verzeichnisserver eingetragen sein Optional k nnen Sie auch die Authentisierungsdaten f r den Server Zugriff eintragen Alternativ k nnen Sie die Authentisierungsdaten auch in der Kommandozeile des SVS_LdapDeloyer angeben Wenn Sie die Authentisierungsdaten weder in der Konfigurationsdatei noch in der Kommandozeile beim Aufruf des SVS_LdapDeployer angeben fordert der SVS_LdapDeployer die Authentisierungsdaten zum Ausf hrungszeitpunkt an 242 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 3 2 SVS _LdapDeployer starten Zum Starten des SVS_LdapDeployer gehen Sie wie folgt vor Speichern Sie das Java Archiv jar Archiv SVS_LdapDeployer jar in ein Verzeichnis auf dem Verzeichnisserver ffnen Sie die Kommando Schnittstelle des Verzeichnisservers gt Wechseln Sie in das Verzeichnis in dem das jar Archiv SVS_LdapDeployer jar gespeichert ist gt Rufen Sie den SVS_LdapDeploy
Download Pdf Manuals
Related Search