Benutzerverwaltung in ServerView 7.10
Contents
1. Berechtigung Erlaubnis Geltungsbereich iRMCsettings Erlaubnis zum Andern der Managed Node IRMC S2 S3 S4 Einstellungen Konfiguration RemoteStorage Erlaubnis zur Nutzung der Remote Managed Node Storage Funktionalitat des IRMC S2 S3 S4 UserAccounts Erlaubnis zum Erzeugen L schen und Managed Node ndern von Benutzerkennungen im lokalen Speicher des iRMC S2 S3 S4 MMB VideoRedirection Erlaubnis zum ffnen einer AVR Sitzung Konsolen Umleitung via IRMC S2 S3 S4 Managed Node Tabelle 22 Berechtigungen der Kategorie IRMC_MMB 6 1 10 Kategorie PerfMgr Die PerfMgr Kategorie umfasst die Berechtigungen fur Zugriff auf und Nutzung von Performance Manager und Threshold Manager Berechtigung Erlaubnis Geltungsbereich AccessPerformanceMgr Zugriff auf den Performance Manager CMS Access ThresholdMgr Zugriff auf Threshold Manager CMS Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die AccessServerList Berechtigung besitzen Tabelle 23 Berechtigungen der Kategorie PerfMgr 142 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 6 1 11 Kategorie PowerMon Die AccessPowerMonitor Berechtigung der PowerMon Kategorie wird ben tigt f r den Zugriff auf und Nutzung des Power Monitor Berechtigung Erlaubnis Geltungsbereich AccessPowerMonitor Zugriff auf den Power Monitor2. 8 a fwlab firm net i Builtin j2 Administrator AuthorizationRole m Computers fi Maintenance AuthorizationRole 5 2 Domain Controllers fii Observer AuthorizationRole E ForeignSecurityPrincipals sag Administrator Properties mE EZ RMC 3 IRMCgroups General Members Member Of Managed By ma svs Declarations Members B Departments a Deptx Active Directory Folder 2 AlertRoles AuthorizationRoles amp Depty E Others HA Users 4 2 Bild 72 Dialog Eigenschaften von Administrator gt Wahlen Sie die Registerkarte Members gt Klicken Sie auf die Schaltfl che Hinzuf gen Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 73 auf Seite 267 266 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Select Users Contacts or Computers A Select this object type Users or Other objects Object Types Erom this location ab firm net Locations aa the object names to select examples Check Names Advanced x Cancel Bild 73 Dialog Benutzer Kontakte oder Computer w hlen Klicken Sie auf die Schaltfl che Pfade Der Dialog Pfad wird ge ffnet Locations Select the location you want to search Location Di Directory fwlab fsc net B Builtin B B Computers B Domain Controllers 3 9 ForeignSecurityPrincipals aa SVS B Lost ndFound B B Program Data amp System
3. 133 Benutzerverwaltung in ServerView Inhalt 6 Rollenbasierte Berechtigungen f r den Zugriff auf den Operations Manager 222er 135 6 1 Privilegien Kategorien und zugeh rige Berechtigungen 136 6 1 1 Privilegien Kategorien berblick ee I 6 1 2 Kategorie AgentDeploy a ee Ter 6 1 3 Kategorie AlarmMgr Cee pega Er 6 1 4 Kategorie ArchiveMgr neg paige WO 6 1 5 Kategorie BackupM r 2 66 ea ne wees Cee pega TS 6 1 6 KategorieCommon Bee peggy Ma 8 1 7 Kategorie ConfigMgr Ces pegs TA 6 1 8 Kales rle INV s oboe a Ss erden 140 6 1 9 Kategorie IRMC_MMB 2 6262 eee eee eee ew au 141 61 10 Kategorie PeriMgr gt 22 2055 4 dak eee ea Be 142 6 1 11 Kategorie PawsrMon 2 66 bk Baw ee EER Se ee 143 6 1 12 Kategorie RackManager 44 144 61 128 Kategorie RadMar 4 62 een tee U eed aan eae 144 6 1 14 Kategorie RemDeploy 4 145 8 1 15 Kategorie ReportMgr as ae 22 u HH 0 bo Se eR a M9 6 116 Kalegoi SCS zu con ee ce PK a rd d g 146 61 17 Kategorie ServerList 2 4 54 da Kos an 146 61 18 Kategorie UpdMor sci 40s k ebb Kerr 148 6 1 19 Kategorie Userviof as sun sa Ken an 149 6120 Kalegoe VOM u ok Bi er en 149 6 2 In ApacheDS vordefinierte Benutzer und Rollen 150 7 Anhang 1 Globale iRMC S2 S3 Benutzerverwaltung via LDAP Verzeichnisdienst 0855 155 7 1 Konzept der Benutzer
4. gt Bild 67 OU SVS in der Dom ne fwlab firm net Die Benutzereintrage f r den iRMC S4 k nnen ab der Firmware Version 3 6x an beliebigen Stellen unterhalb der Basis Dom ne liegen Ebenso k nnen Berechtigungsgruppen an beliebigen Stellen innerhalb der Basisdom ne liegen 8 2 2 3 Server bergreifende globale Benutzerberechtigungen In gr eren Unternehmen sind die via IRMC S4 verwalteten Server in der Regel verschiedenen Abteilungen zugeordnet Au erdem werden die Administrator Berechtigungen f r die verwalteten Server ebenfalls oft abteilungsspezifisch vergeben Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der IRMC S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der IRMC S4 als Element des Departments DEFAULT konfiguriert ist 246 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Abteilungen sind in der OU Departments zusammengefasst Die OU Departments fasst die via IRMC S4 verwalteten Server zu verschiedenen Gruppen zusammen Diese entsprechen den Abteilungen in denen jeweils dieselben Benutzerkennungen und berechtigungen gelten In Bild 68 auf Seite 248 beispielsweise sind dies die Abteilungen DeptX DeptY und Others Der Eintrag Others ist optional wird aber empfohlen Others ist eine vordefinierte Abteilungsbezeichnung unter der diejenigen Server zusammengefasst sind die keiner anderen Abteilung
5. lt datei gt XML Datei die die Konfigurationsdaten enth lt Die Konfigurationsdatei muss unter lt Data gt alle erforderlichen Rollen und Abteilungen enthalten die f r das erstmalige Generieren bzw die Erweiterung einer Struktur ben tigt werden structure v1 structure v2 structure both Erzeugt eine LDAP v1 Struktur oder eine LDAP v2 Struktur oder eine LDAP v1 und eine LDAP v2 Struktur Die Benutzerverwaltung f r den iRMC S2 ab Firmware Version 3 77A und f r den iRMC S3 ben tigt immer eine LDAPv2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt fest 172 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 store_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von deploy in der Konfigurationsdatei Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen
6. Neustart Setzt die Benutzer zu Rolle Zuordnungen auf die zuletzt abgespeicherten Einstellungen zur ck Finish Der Dialog Finish zeigt eine Zusammenfassung der von Ihnen in der aktuellen User Management Sitzung durchgef hrten Schritte an Per Klick auf Beenden aktivieren Sie Ihre Einstellungen und schlie en den Wizard S ServerView Fujitsu User Management Role Definitions User amp Password Assign Role to User The basic configuration is now completed and ServerView User Management will work according to the defined settings You have modified Role Definitions User amp Password Assign Role to User IF you want to modify settings again you can use this wizard at any time Previous NER Cancel Help Bild 19 User Management Wizard Dialog Finish Benutzerverwaltung in ServerView 61 ServerView Benutzerverwaltung mit ApacheDS 3 2 4 iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit ApacheDS und SSO integrieren Die Konfiguration des iRMC S2 S3 S4 f r die Integration in die ServerView Benutzerverwaltung mit ApacheDS sowie f r die Teilnahme an der ServerView Suite SSO Dom ne umfasst zwei Schritte die Sie ber die IRMC S2 S3 S4 Web Oberfl che durchf hren k nnen 1 Den iRMC S2 S3 S4 f r den zusammen mit dem Operations Manager installierten Verzeichnisdienst ApacheDS konfigurieren 2 Die IRMC S2 S3 S4 Web Oberfl che f r die CAS basierte S
7. Sobald die Eingabe abgeschlossen ist konfiguriert ndsmanage den NDS Baum F hren Sie nach Abschluss der Konfiguration des NDS Baums einen Neustart des PRIMERGY Servers durch um die Konfiguration zu aktivieren d h den NDS Baum zu erzeugen eDirectory f r LDAP konfigurieren Die Konfiguration von eDirectory f r LDAP umfasst die folgenden Schritte Role Based Services RBS installieren Plugin Module installieren Role Based Services RBS konfigurieren eDirectory mit ohne SSL TLS Unterst tzung konfigurieren Im Einzelnen gehen Sie wie folgt vor gt Loggen Sie sich beim iManager via Web Browser unter der Administratorkennung Admin ein Benutzerverwaltung in ServerView 199 Globale Benutzerverwaltung f r den iRMC S2 S3 Role Based Services RBS installieren RBS installieren Sie mithilfe des iManager Configuration Wizard Gehen Sie wie folgt vor gt Wahlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol Wahlen Sie auf der Registerkarte Configure Role Based Services RBS Configuration gt Starten Sie den RBS Configuration Wizard gt Weisen Sie RBS2 dem zu verwaltenden Container zu Im obigen Beispiel ist dies mycompany Plugin Module installieren Gehen Sie wie folgt vor gt Wahlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol gt W hlen Sie auf der Registerkarte Configure Plug in installation Availabl
8. ArchiveMgr AccessArchiveMgr x x ModifyArchives x x BackupMgr ModifyBackup x PerformBackupRestore x PerformBackupTransfer x Tabelle 34 Berechtigungen die durch die vordefinierten Rollen erteilt werden 150 Benutzerverwaltung in ServerView In ApacheDS vordefinierte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benutzer Rolle Administrator Administrator Operator Operator Monitor Monitor UserManager UserAdministrator Common AccessOnlineDiagnostics AccessPrimeCollect x x Xx x AccessRemoteManagement ConfigPKI ModifyCMSSettings ModifyPasswordTable PerformDownload PerformLocateToggle PerformServerErrorAck ConfigMgr AccessServerConfig ModifyPowerOnOffSettings ModifyServerConfig InvMgr AccessInvMgr ModifyCollections ModifyDiagnostics ModifyReports PerformCollections PerformReports iRMC_MMB CfgConnectionBlade X OK IK OK X OK OK DK OK XxX OK IP OK OK Xx Xxx x x OK Xx 1 IpmiLanOem x IpmiLanOperator x IpmiLanUser x IpmiSerialOem IpmiSerialOperator x IpmiSerialUser x iRMCsettings X Tabelle 34 Berechtigungen die durch die vordefinierten Rollen erteilt werden Benutzerverwaltung in ServerView 151 In ApacheDS vordefini
9. CMS Tabelle 24 Berechtigungen der Kategorie PowerMon Benutzerverwaltung in ServerView 143 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 12 Kategorie RackManager Die RackManager Kategorie umfasst die Berechtigungen f r Rack Management Aktivit ten Berechtigung Erlaubnis Geltungsbereich AccessRack Rack Gruppen berwachen auch All bekannt unter der Bezeichnung Anlagenwartung AccessUserGroup Benutzerdefinierte Gruppen ansehen All ModifyRack Rack Postionen bearbeiten nicht All zugegewiesene Systeme in Racks gruppieren ModifyTask Neue Tasks erzeugen All ModifyUserGroup Benutzerdefinierte Gruppen erzeugen All und ndern Tabelle 25 Berechtigungen der Kategorie RackManager 6 1 13 Kategorie RaidMgr Die RaidMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den RAID Manager sowie f r die RAID Konfiguration Lese Schreib Zugriff Berechtigung Erlaubnis Geltungsbereich AccessRaidMgr Zugriff auf den RAID Manager All Lesezugriff ModifyRaidConfig RAID Konfiguration ndern All Tabelle 26 Berechtigungen der Kategorie RaidMgr 144 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 6 1 14 Kategorie RemDeploy Die RemDeploy Kategorie umfasst die Berechtigungen f r Installation und Deployment Aktivit ten Berechtigung Erla
10. ModifyPowerOnOffSettings Shutdown Kommandos ausf hren und All Shutdown Einstellungen andern ModifyServerConfig Server Konfiguration von Managed All Nodes mithilfe des Server Configuration Managers andern Tabelle 20 Berechtigungen der Kategorie ConfigMgr 6 1 8 Kategorie InvMgr Die InvMgr Kategorie umfasst die Berechtigungen fur den Zugriff auf den Inventory Manager und f r das Erzeugen ndern L schen Ausf hren DataCollections und Reports Berechtigung Erlaubnis Geltungsbereich AccessInvMgr Zugriff auf Inventory Manager CMS ModifyCollections DataCollections und zugeh rige CMS Definitionen erzeugen ndern und l schen ModifyDiagnostics Task spezifisches Logging ansehen CMS l schen und Daten exportieren ModifyReports DataCollections und zugeh rige CMS Definitionen erzeugen ndern und l schen PerformCollections DataCollections durchf hren CMS PerformReports Reports durchf hren CMS Tabelle 21 Berechtigungen der Kategorie InvMgr 140 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 6 1 9 Kategorie iRMC_MMB Die iRMC_MMB Kategorie umfasst die Berechtigungen f r Zugriff auf und Nutzung von iRMC S2 S3 S4 MMB il Wichtiger Hinweis Berechtigungen mit dem Pr fix Ipmi basieren auf den in der IPMI Spezifikation spezifizierten Berechtigungen Im IPMI Standard ist die Benutzerkonfiguration kanals
11. h Wiederholen Sie die Schritte cbis g f r das Department DEFAULT Konfigurieren Sie den sicheren LDAP Zugang LDAPS zum Active Directory Server Die Installation des Operations Managers erfordert die Konfiguration des LDAP Zugriffs auf den Verzeichnisserver auf den die Benutzerverwaltung durchgef hrt wird Standardm ig stellt Active Directory eine ungesicherte LDAP Schnittstelle auf Port 389 zur Verf gung Diese Schnittstelle k nnen Sie zu Testzwecken nutzen Wenn Sie jedoch eine Produktivumgebung aufsetzen wollen sollten Sie auf Ihrem Active Directory Server eine sichere LDAPS Schnittstelle einrichten Hierf r m ssen Sie auf diesem Server ein Server Zertifikat zu installieren Detaillierte Informationen hierzu finden Sie in der entsprechenden Microsoft Dokumentation http support microsoft com How to enable LDAP over SSL with a third party certification authority Detaillierte Informationen zur Konfiguration des LDAP SSL Zugriffs auf den iRMC S2 S3 S4 finden Sie in Abschnitt LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren auf Seite 178 oder in Abschnitt LDAP SSL Zugriff des iIRMC S2 S3 am Active Directory Server konfigurieren auf Seite 260 Zu Testzwecken gen gt es auf dem Active Directory Server ein selbstsigniertes Zertifikat zu installieren Mit dem Microsoft Tool selfssl exe aus den IIS 6 0 Resource Kit Tools herunterladbar unter http support microsoft com k nnen Sie dies sehr e
12. Bild 44 Anzeige der Benutzerrollen im Snap in Benutzer und Computer Benutzerverwaltung in ServerView 167 Globale Benutzerverwaltung f r den iRMC S2 S3 Berechtigungsgruppen anzeigen denen ein Benutzer zugeordnet ist Wenn Sie einen Benutzer z B kvms4 unter Users im Strukturbaum Active Directory Users and Computers ausw hlen siehe Bild 45 1 und den Dialog Properties f r diesen Benutzer ffnen Kontextmen Properties Members werden die Berechtigungsgruppen denen der Benutzer angeh rt hier kvms4 auf der Registerkarte Members angezeigt 2 4 Active Directory Users and Computers A File Action View Favorites Window Help e Am exta Be em eevee E E Administrator Cert Pub paaa Properties BE CERTSVC There are no items to show in DnsAdmi Environment Sessions Remote control Terminal Services Profile COM DnsUpd General Address Account Profile Telephones Organization Domain Published Certificates Member Of Diakin Object Securty Domain Domain Member of Domain Active Directory Folder Domain L fwlab firm net Users Enterpris Add Remove Primary group Domain Users is H amp re rey E f amp E n E E El E amp amp rey je i Get Primary Group There is no need to change Primary group unless _ you have Macintosh clients or POSIX compliant applications Bild 45 Eigenschaften Dialog des Benutze
13. User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 1 Overview Die globalen Benutzerkennungen f r den iRMC S4 wie auch f r den iRMC werden zentral und Plattform bergreifend im Verzeichnis Directory eines Verzeichnisdienstes abgelegt Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten Die Benutzerkennungen k nnen somit von allen iRMC S4s verwendet werden die mit diesem Server im Netz verbunden sind Der Einsatz eines Verzeichnisdienstes f r den iRMC S4 erm glicht es dar ber hinaus f r das Anmelden an den iRMC S4 dieselben Benutzerkennungen zu verwenden wie f r das Anmelden am Betriebssystem der verwalteten Server F r die folgenden iRMC S4 Funktionen wird zurzeit die globale Benutzerverwaltung nicht unterst tzt Login via IPMl over LAN Text Konsolen Umleitung via SOL Login Authentifizierung Login Authentifizierung Verzeichnisdienst globale Benutzerkennungen Login Authentifizierung Bild 65 Gemeinsame Nutzung der globalen Benutzerkennungen durch mehrere iRMCs Die Kommunikation zwischen den einzelnen iRMC S4 und dem zentralen Verzeichnisdienst wird ber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Die Kommunikation ber LDAP kann optional durch SSL abgesichert werden 242 User Management
14. ber F r die Integration der IRMC S2 S3 Benutzerverwaltung in Novell eDirectory ist es erforderlich folgenden Objekten Trustees Suchberechtigung zu erteilen Principal User Teilbaum der die iRMC S2 S3 Benutzer enth lt Wie Sie dabei im Einzelnen vorgehen ist nachfolgend beschrieben Um einem Objekt die Suchberechtigung f r alle Attribute zu erteilen verfahren Sie wie folgt Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein Klicken Sie im iManager auf die Schaltfl che Roles and Tasks gt W hlen Sie im Strukturbaum Rights Rights to Other Objects Die Seite Rights to Other Objects wird angezeigt gt Spezifizieren Sie unter Trustee Name den Namen des Objekts in Bild 57 auf Seite 208 SVS sbdr4 dem die Berechtigung erteilt werden soll gt Spezifizieren Sie unter Context to Search From den eDirectory Teilbaum SVS den der iManager nach allen Objekten durchsuchen soll f r die der Trustee Users zurzeit leseberechtigt ist gt Klicken Sie auf OK Eine Fortschrittanzeige informiert ber den Stand der Suche Nach Abschluss des Suchvorgangs wird die Seite Rights to Other Objects angezeigt die jetzt das Suchergebnis enth lt siehe Bild 57 auf Seite 208 Benutzerverwaltung in ServerView 207 Globale Benutzerverwaltung f r den iRMC S2 S3 Novelle iManager ROOT Collection Owner Access Roles and Tasks
15. gt Stellen Sie sicher dass Zertifikate und Privater Schl ssel im Dateisystem vom LDAP Service gelesen werden k nnen Da openldap unter der uid guid Idap ausgef hrt wird k nnen Sie dies z B erreichen indem Sie den Eigent mer der Dateien mit Zertifikaten und privaten Schl sseln auf Idap setzen oder dem LDAP D mon Idap die Leseberechtigung auf die Dateien mit Zertifikaten und privaten Schl sseln erteilen gt Wahlen Sie Databases um eine neue Datenbank zu erzeugen 300 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Falls die von YaST erstellte Konfiguration generell nicht funktioniert pr fen Sie die Konfigurationsdatei etc openldap slapd conf auf folgende zwingend erforderlichen Eintr ge allow bind_v2 TLSCACertificateFile path to ca certificate pem TLSCertificateFile path to certificate pem TLSCertificateKeyFile path to privat key pem Falls die von YaST erstellte Konfiguration f r SSL nicht funktioniert pr fen Sie die Konfigurationsdatei etc sysconfig openldap auf folgenden Eintrag OPENLDAP_START_LDAPS yes User Management in ServerView 301 Globale Benutzerverwaltung f r den iRMC S4 8 2 7 4 iRMC S4 Benutzerverwaltung in OpenLDAP integrieren Voraussetzung Eine LDAP v2 Struktur ist im OpenLDAP Verzeichnisdienst generiert sieheAbschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seit
16. iRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren Tipps zur Administration von Novell eDirectory Installation und Konfiguration von Novell eDirectory werden im il Folgenden ausf hrlich beschrieben Tiefere eDirectory Kenntnisse werden nicht vorausgesetzt Sofern Sie bereits mit Novell eDirectory vertraut sind k nnen Sie die folgenden drei Abschnitte berspringen und fortfahren mit Abschnitt RMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren auf Seite 204 7 2 6 1 Software Komponenten und Systemvoraussetzungen Verwenden Sie jeweils die angegebene oder eine aktuellere Version der nachfolgend aufgelisteten Komponenten Novell eDirectory ehemals NDS besteht aus folgenden Software Komponenten eDirectory 8 8 20060526_0800 Linux_88 SP1_FINAL tar gz eDirectory 8 8 eDir_88_iMan26_Plugins npm iManager iMan_26_linux_64 tgz f r SUSE iMan_26_linux_32 tgz f r andere ConsoleOne c1_136f linux tar gz Fur Installation und Betrieb von Novell eDirectory gelten die folgenden Systemvoraussetzungen OpenSSL muss installiert sein il Falls OpenSSL nicht bereits installiert ist gt Installieren Sie OpenSSL bevor Sie mit der Installation von Novell eDirectory beginnen 190 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 512 MB freier Hauptspeicher 7 2 6 2 Novell eDirectory installieren Die Installation von Novell eDirectory umfasst di
17. 270 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Select Users Contacts or Computers Select this object type Zr ypes Enter the object names to select examples Check Names games Bond pdbibondEhulab him net Martin Clemens pdbmclem fwlab firm net Willi W hlmaus pdbwwuehl fwlab firm net x cme LA Bild 78 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse best tigen gt Best tigen Sie mit OK User Management in ServerView 271 Globale Benutzerverwaltung f r den iRMC S4 8 2 6 iRMC S4 Benutzerverwaltung via Novell eDirectory Dieser Abschnitt informiert ber folgende Themen Software Komponenten und Systemvoraussetzungen von Novell eDirectory Novell eDirectory installieren Novell eDirectory konfigurieren iRMC S4 Benutzerverwaltung in Novell eDirectory integrieren Tipps zur Administration von Novell eDirectory Installation und Konfiguration von Novell eDirectory werden im il Folgenden ausf hrlich beschrieben Tiefere eDirectory Kenntnisse werden nicht vorausgesetzt Sofern Sie bereits mit Novell eDirectory vertraut sind k nnen Sie die folgenden drei Abschnitte berspringen und fortfahren mit Abschnitt RMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren auf Seite 286 8 2 6 1 Software Komponenten und Systemvoraussetzungen Verwenden Sie jeweils die angegebene oder eine aktuellere Versio
18. Authentifizierung SSL Login Verzeichnisdienst Authentifizierung SSL z B Active Directory IRMC S2 S3 S4 _____ Zentrale Benutzerkennungen Login ServerView RAID Authentifizierung SSL Bild 1 Gemeinsame Nutzung der globalen Benutzerkennungen durch die durch die verschiedenen Komponenten der ServerView Suite Die Kommunikation zwischen den einzelnen CMS iRMC S2 S3 S4 und dem zentralen Verzeichnisdienst wird ber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Aus Sicherheitsgr nden wird dringend empfohlen die Kommunikation ber LDAP durch SSL abzusichern Andernfalls werden Passw rter im Klartext bertragen 28 Benutzerverwaltung in ServerView Rollenbasierte Zugangskontrolle RBAC 2 3 Rollenbasierte Zugangskontrolle RBAC Sowohl die Benutzerverwaltung der ServerView Suite als auch die globale IRMC S2 S3 S4 Benutzerverwaltung basieren auf der rollen basierten Zugangskontrolle Role based access control RBAC mit der Sie Ihr Sicherheitskonzept an die Struktur Ihres Unternehmens anpassen k nnen RBAC basiert auf dem Prinzip der minimalen Berechtigung Demzufolge sollte kein Benutzer ber mehr Berechtigungen Privilegien verf gen als f r die Benutzung einer bestimmten ServerView Komponente oder zur Ausf hrung einer ServerView spezifischen Aufgabe e
19. Globale Benutzerverwaltung f r den iRMC S4 gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu gt Kopieren Sie das Zertifizierungsstellenzertifikat CA Certificate aus dem Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des aktuellen Benutzers in das Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des lokalen Computers Dom nencontroller Zertifikat erzeugen Mit den folgenden Schritten erstellen Sie ein RSA Zertifikat f r den Dom nencontroller gt Erstellen Sie eine Datei request inf mit dem folgenden Inhalt Version Signature Windows NT NewRequest Subject CN lt full path of domain controller host gt KeySpec 1 KeyLength 1024 Exportable TRUE MachineKeySet TRUE SMIME FALSE PrivateKeyArchive FALSE UserProtected FALSE UseExistingKeySet FALSE ProviderName Microsoft RSA SChannel Cryptographic Provider ProviderType 12 RequestType PKCS10 KeyUsage Oxa0 EnhancedKeyUsageExtension OID 1 3 6 1 5 5 7 3 1 this is for Server Authentication Passen Sie in der Datei request inf die Angaben bei Subject an den Namen des verwendeten Dom nencontrollers an z B Subject CN domino fwlab firm net gt Geben Sie in der Windows Eingabeaufforderung folgendes
20. Monitor siehe Seite 42 in Active Directory 2 Rollendefinitionen f r den iRMC S2 S3 S4 in Active Directory importieren 3 Rollen an Benutzer zuweisen 4 Konfigurieren Sie den sicheren LDAP Zugang LDAPS zum Active Directory Server Diese Schritte sind nachfolgend detailliert beschrieben Wichtiger Hinweis Wenn das einheitliche RBAC Management f r den ServerView Operations Manager konfiguriert ist werden die Schritte 1 und 3 nicht mehr ben tigt In diesem Fall wird der interne Verzeichnisdienst des ServerView Operations Managers ApacheDS immer f r die Rollen Zuordnung der Benutzer verwendet und Active Directory nur f r die Benutzer Authentifizierung eingesetzt F r n here Information ber einheitliches RBAC Management siehe Abschnitt RBAC bei einem bereits existierenden konfigurierten Verzeichnisdienst auf Seite 31 und die Handb cher Installation der ServerView Operations Manager Software unter Windows Linux Wenn Standard LDAP Gruppen mit Autorisierungseinstellungen auf dem iRMC S4 konfiguriert sind werden Schritt 2 und Schritt 3 nicht mehr ben tigt Benutzerverwaltung in ServerView 69 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Standard LDAP Gruppen mit Autorisierungseinstellungen auf dem IRMC S4 k nnen an der iRMC S4 Web Oberfl che konfiguriert werden und werden dazu verwendet iRMC S4 Privilegien und Berechtigungen f r Benutzer festzulegen die zu St
21. OpenLDAP OpenDS OpenDJ Das vorliegende Kapitel informiert Uber folgende Themen Konzept der Benutzerverwaltung f r den iRMC S2 S3 Benutzerberechtigungen globale Benutzerverwaltung mithilfe der einzelnen Verzeichnisdienste Einzelheiten zur lokalen Benutzerverwaltung des iRMC S2 S3 finden Sie im Handbuch iRMC S2 S3 integrated Remote Management Controller In ApacheDS von ServerView wird die Funktion E Mail Einstellungen f r IRMC S2 S3 nicht unterst tzt Benutzerverwaltung in ServerView 155 Konzept der Benutzerverwaltung f r den iRMC S2 S3 7 1 Konzept der Benutzerverwaltung f r den IRMC S2 S3 Die Benutzerverwaltung f r den iRMC S2 S3 unterst tzt die parallele Verwaltung lokaler und globaler Benutzerkennungen Bei der Validierung der Authentisierungsdaten Benutzername Passwort die ein Benutzer beim Login an einer der iRMC S2 S3 Schnittstellen eingibt verf hrt der iRMC S2 S3 gem dem folgenden Ablauf siehe auch Bild 39 auf Seite 157 1 Der iRMC S2 S3 gleicht den Benutzernamen und das Passwort mit den lokal gespeicherten Benutzerkennungen ab e Beierfolgreicher Authentifizierung des Benutzers durch den iRMC S2 S3 Benutzername und Passwort sind g ltig darf sich der Benutzer einloggen e Andernfalls setzt der iIRMC S2 S3 die Pr fung mit Schritt 2 fort 2 Der iRMC S2 S3 authentisiert sich beim Directory Service via LDAP mit Benutzernamen und Passwort ermittelt per LDAP Anfr
22. Peay Users BE id Bild 74 Dialog Pfad gt Wahlen Sie den Container OU in dem sich Ihre Benutzer befinden Im Standardfall ist dies die OU Users Bestatigen Sie mit OK Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 75 auf Seite 268 il Benutzer k nnen auch an anderer Stelle im Verzeichnis eingetragen sein User Management in ServerView 267 Globale Benutzerverwaltung f r den iRMC S4 Select Users Contacts or Computers ki Ea Select this object type Users or Other objects Object Types Erom this location Enter the object names to select examples A i K Advanced Ok Cancel y Bild 75 Dialog Benutzer Kontakte oder Computer wahlen gt Klicken Sie auf die Schaltflache Erweitert Ein erweiterter Dialog Benutzer Kontakte und Computer wahlen wird ge ffnet siehe Bild 76 auf Seite 269 268 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Select Users Contacts or Computers 21x Select this object type Users or Other objects Object Types From this location Users Locations Common Queries Name Starts with Columns Description Stats with Find Now 17 Disabled accounts 17 Non expiting password Days since last logon z Search results Bild 76 Dialog Benutzer Kontakte oder Computer w hlen Suchen gt Klicken Sie auf die Scha
23. Schalten Sie den Mitschnitt der Protokollierung ein tail f ndstrace log Um zwischen den virtuellen Terminals hin und herzuschalten verwenden Sie die Tastenkombination Ctrl al Ctrl oJ Die Terminals sind von 0 bis 9 durchnummeriert 298 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 7 iRMC S4 Benutzerverwaltung via OpenLDAP Dieser Abschnitt informiert Uber folgende Themen OpenLDAP installieren Linux SSL Zertifikat erzeugen OpenLDAP konfigurieren iRMC S4 Benutzerverwaltung in OpenLDAP integrieren Tipps zur Administration von OpenLDAP 8 2 7 1 OpenLDAP installieren Vor der Installation von OpenLDAP m ssen Sie die Firewall f r Verbindungen zu den Ports 389 und 636 konfigurieren Bei OpenSuSE verfahren Sie hierf r wie folgt gt Erg nzen Sie in der Datei etc sysconfig SuSEfirewall2 die Option FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 389 636 Zur Installation der Packages OpenSSL und OpenLDAP2 vom Distributionsmedium verwenden Sie das Setup Tool YaST 8 2 7 2 SSL Zertifikate erzeugen Es soll ein Zertifikat mit folgenden Eigenschaften erzeugt werden Schl ssell nge 1024 bit md5RSAEnc Schl sselpaare und signierte Zertifikate selbstsigniert oder von einer externen CA signiert erzeugen Sie mithilfe von OpenSSL N here Informationen hierzu finden Sie auf der OpenS
24. Systemsteuerung Software Windows Komponenten hinzuf gen entfernen gt Wahlen Sie im Wizard f r die Windows Komponenten den Punkt Zertifikatsdienste unter Komponenten gt Doppelklicken Sie auf Zertifikatsdienste und stellen Sie sicher dass die Optionen Webregistrierung fur Zertifikatsdienste und Zertifizierungsstelle fur Zertifikate ausgewahlt sind 178 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 gt W hlen Sie Stammzertifizierungsstelle eines Unternehmens gt Aktivieren Sie die Option Schl sselpaar und Zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen gt Wahlen Sie Microsoft Base DSS Cryptographic Provider um DSA Zertifikate mit einer Schl ssell nge von 1024 Byte zu generieren gt Exportieren Sie das ffentliche Zertifizierungsstellenzertifikat CA Certificate Gehen Sie hierbei wie folgt vor gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate Lokaler Computer Vertrauensw rdige Stammzertifizierungsstellen Zertifikate und f hren Sie einen Doppelklick aus F hren Sie einen Doppelklick auf das Zertifikat der neu erstellten Zertifizierungsstelle aus gt Klicken Sie im Zertifikatsfenster auf die Registerkarte Details gt Klicken Sie auf In Datei kopieren gt W hlen Sie e
25. fa eDirectory Encryption eDirectory Maintenance Eos Members Create Group Delete Group Modify Group user2 people sbrd4 ee user3 people sbrd4 Bove Group user5 people sbrd4 Rename Group user6 people sbrd4 SAVUS user people sbrd4 Help Desk LDAP E NMAS Management 4l gt Partition and Replicas rn N E Rights C T T B 2 totes intranet 4 Bild 61 Anzeige der ausgew hlten iRMC S2 S3 Benutzer in der Registerkarte Members LDAP v2 gt Best tigen Sie mit Apply oder OK um die ausgew hlten Benutzer zur iRMC Gruppe hier SVS sbdr4 hinzuzuf gen Benutzerverwaltung in ServerView 213 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 6 Tipps zur Administration von Novell eDirectory NDS D mon neu starten F r einen Neustart des NDS D mons gehen Sie wie folgt vor gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an F hren Sie das folgende Kommando aus rendsd restart Falls sich der nIdap D mon ohne ersichtlichen Grund nicht starten l sst gt Starten Sie den Indap Damon von Hand etc init d nldap restart Falls der iManager nicht reagiert gt Starten Sie den iManager neu etce init d novell tomcat4 restart Konfiguration des NLDAP Servers neu laden Gehen Sie wie folgt vor Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Wenn Sie ConsoleOne zum ersten Mal starten ist noch kein Baum konfiguriert Zu
26. interne Verzeichnisdienst des ServerView Operations Managers ApacheDS dazu verwendet die Rollen Zuordnungen zu verwalten w hrend der externe Verzeichnisdienst z B Active Directory nur f r die Verwaltung der Benutzerauthentifizierung verwendet wird W hrend der Installation des ServerView Operations Managers k nnen Sie entscheiden welche der oben genannten Strategien in Ihrer ServerView Benutzerverwaltung verwendet werden soll Wenn das einheitliche RBAC Management verwendet wird werden Sie aufgefordert den Dom nenname des externen Verzeichnisdienstes Benutzerverwaltung in ServerView 31 Rollenbasierte Zugangskontrolle RBAC einzugeben ber diesen Dom nennamen k nnen Benutzer sp ter die entsprechende Authentifizierungsdom ne beim Einloggen zum Central Authentication Service ausw hlen 2 3 3 1 Authentifizierung und Berechtigung innerhalb des Active Directorys Der Vorteil dieser L sung ist dass sie eine konsistente zentralisierte Verwaltung von Authentifizierung und Autorisierung bietet Wenn Sie auf der anderen Seite den ServerView Operations Manager mit dem Active Directory Ihres Unternehmens konfigurieren m ssen Sie die Autorisierungsdaten der ServerView Benutzerverwaltung d h die Declarations der Berechtigungen Rollen und Abteilungen in den Dom nencontroller importieren in dem die Benutzerkennungen der Mitarbeiter Ihres Unternehmens gespeichert sind Ein solcher LDIF Import wird aus Sicherheits
27. 2 1 3 2 2 3 2 2 1 3 2 2 2 3 2 2 3 3 2 3 3 2 3 1 3 2 3 2 3 2 3 3 3 2 4 3 2 4 1 3 2 4 2 3 2 5 3 2 5 1 3 2 5 2 3 3 3 3 1 3 3 2 4 1 4 2 4 2 1 4 2 2 4 2 3 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst 2 2 2 2 nn m m nn nn nn 41 Zugang zum Verzeichnisdienst konfigurieren 41 ServerView Benutzerverwaltung mit ApacheDS 42 Vordefinierte Benutzer und Rollen 42 Passw rter der vordefinierten Benutzer definieren ndern 44 Passwort des ApacheDS Directory Managers 44 Passwort von svuser definieren ndern 45 Vordefinierte Passw rter der vordefinierten Benutzer Administrator Monitor Operator und UserManager ndern 48 Benutzer Rollen und Berechtigungen in ApacheDS verwalten 49 ServerView User Management starten 50 Eigenes ApacheDS Passwort andern 51 User Management Wizard aaa oaa aaa 52 IRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit ApacheDS und SSO integrieren 62 iIRMC S2 S3 S4 in die ServerView Benutzerwaltung mit ApacheDS integrieren 2 220er 63 iRMC S2 S3 S4 Web Oberfl che f r CAS basierte Single sign on SSO Authentifizierung konfigurieren 65 ApacheDS Daten sichern und wiederherstellen 67 Interne Datenbank des ApacheDS Verzeichnisservers PICTGIN amp oS ok 4 4 a er A io et Interne Datenbank des ApacheDS Verzeichnisservers w
28. 3 3 8 2 3 4 8 2 4 8 2 4 1 8 2 4 2 8 2 4 3 8 2 5 8 2 5 1 8 2 5 2 8 2 6 8 2 6 1 8 2 6 2 8 2 6 3 8 2 6 4 8 2 6 5 8 2 6 6 oF et 8 2 7 2 8 2 7 3 Anhang 2 Globale iRMC S4 Benutzerverwaltung via Verzeichnisdienst 2 2 2 2 2 000 nn eee nn Konzept der Benutzerverwaltung f r den IRMC S4 Globale Benutzerverwaltung f r den iRMC S4 EEE a a a ek Bee eee ke eo iIRMC S4 Benutzerverwaltung Uber einen LDAP Verzeichnisdienst Konzept IRMC S4 Benutzerverwaltung via Microsoft Active Directory Globale iRMC S4 Benutzerverwaltung ber Berechtigungsgruppen und Rollen Organizational Unit OU SVS Server Ubergreifende globale Benutzerberechtigungen SVS Berechtigungsprofile werden ber Rollen definiert SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen Konfigurationsdatei xml Datei SVS_LdapDeployer starten 0 deploy LDAP Struktur erzeugen oder ndern delete LDAP Struktur l schen 2 222 22220 Typische Anwendungsszenarien 2 2 2 22 2 nn Erst Konfiguration einer LDAPv2 Struktur durchf hren LDAP v2 Struktur neu generieren oder erweitern LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren 2 22 nern IRMC S
29. 6f 01 db 28 47 6e b5 00 b1 7a 67 29 5b 3d ec Certificate Chain 1 CN ts Fujitsu com OU T5 0 Fujitsu Technology Solutions GmbH L Muenchen 5ST Bay 2 CN TC TrustCenter SSL CA 1 OU TC TrustCenter SSL CA O TC TrustCenter GmbH C DE Import Selected Certificate Cancel Bild 31 Add Security Exception In diesem Bildschirm k nnen Sie aus den Zertifikatskette Certificate Chain das Zertifikat auswahlen das Sie in die truststore Datei importieren wollen Wenn nur ein Eintrag vorhanden ist ist das Zertifikat selbstsigniert dann gibt es keine andere M glichkeit als dieses Zertifikat zu importieren Andernfalls werden mindestens zwei Zertifikate angeboten wie im Beispiel gezeigt 1 Server Zertifikat 2 Zertifikat der Zertifizierungsstelle CA die das Server Zertifikat signiert hat Im Allgemeinen wird empfohlen nur das Zertifikat der Zertifizierungsstelle zu importieren Damit wird jedes andere Server Zertifikat das von derselben Zertifizierungsstelle signiert ist automatisch vertrauensw rdig was in den meisten F llen von Vorteil ist Nach dem Aufruf des Java Programms wird die folgende Meldung angezeigt 104 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten testConnection tm pontresina servware abg firm net 3170 SSLException java lang RuntimeException Unexpected error java security InvalidAlgorithmParameterException the trustAnchors
30. 77 oder h her einrichten Hierf r ben tigen Sie eine LDAPv2 Struktur Empfohlene Vorgehensweise Generieren Sie eine Department Definition f r LDAPv2 Strukturen SVS java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure v2 7 2 4 2 LDAP v2 Struktur neu generieren oder erweitern Sie wollen eine LDAP v2 Struktur neu generieren oder eine bereits bestehende LDAP v2 Struktur erweitern Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure structure v2 oder java jar SVS_LdapDeployer jar deploy myInitialDeploy xml Benutzerverwaltung in ServerView 175 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 4 3 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern Sie wollen eine LDAP v2 Struktur neu generieren Die Authentisierungsdaten sollen via Kommandozeile bereitgestellt und gespeichert werden Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml store_pwd username admin password admin Nach dem Speichern der Anmeldedaten k nnen Sie sich ber den SVS_LdapDeployer ohne Angabe von Benutzerkennung und Passwort mit dem Verzeichnisserver verbinden Der SVS_LdapDeployer verwendet dann sofern vorhanden die in der xml Konfigurationsdatei gespeicherten Werte Ein gespeichertes Passwort kann der SVS_LdapDeployer nur dann verwenden wenn er es entschl sseln kann Dies erfordert dass Sie den SVS_
31. Access RBAC und Client Authentifizie 4 3 4 1 Mit dem ServerView Update Manager das CMS Zertifikat auf dem verwalteten Server installieren berblick Die Installation des CMS Zertifikats k nnen Sie ber das Update Manager Hauptfenster gem der nachfolgenden Beschreibung steuern Einzelheiten zum ServerView Update Manager finden Sie im Handbuch ServerView Update Manager Registerkarte Server Details im Hauptfenster des Update Managers vor Installation des CMS Zertifikats auf dem verwalteten Server Solange das CMS Zertifikat noch nicht auf dem verwalteten Server installiert ist wird unter Agent Access in der Registerkarte Server Details der Hinweis not certified angezeigt siehe Bild 33 Sofern nicht sowohl der ServerView Update Agent als auch die ServerView Agenten mindestens von der Version 5 0 sind wird f r den betreffenden Servern unter Agent Access in der Registerkarte Server Details der Hinweis restricted oder unrestricted angezeigt S ServerView User administrator Logout Fujirsu Y Network Y Model Y Update Type Y Agent Status Y AGERTRTTERN Update Statu Y Job Status Y LastChek Y A pdsmx105 192 168 115 PRIMERGY RX online ready SZ done 9 9 10 11 29 Bild 33 Update Manager Hauptfenster Registerkarte Server Details CMS Zertifikat ist noch nicht installiert 116 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authent
32. Berechtigungsgruppen zuordnen 286 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 LDAP Authentifizierungsprozess f r iRMC S4 Benutzer in eDirectory Die Authentifizierung eines globalen IRMC S4 Benutzers beim Login am iRMC S4 erfolgt nach einem fest vorgegebenen Schema siehe Seite 238 Bild 81 auf Seite 287 veranschaulicht diesen Prozess f r die globale IRMC S4 Benutzerverwaltung mithilfe von Novell eDirectory Das Herstellen einer Verbindung und die Anmeldung mit entsprechenden Anmeldeinformationen wird als BIND Operation bezeichnet SSL based communication iRMC S4 Bind als Principal User _ gt MC S4 ist authentifiziert IRMC S4 ermittelt den 2 ollqualifizierten DN des Usef1 eo GG eDirectory IRMC S4 Benutzerberechtigunge Bind mit User1 DN SS EOE User1 ist authentifiziert IRMC S4 ermittelt den 4 Benutzerrechte des User1 1 Der iRMC S4 loggt sich am eDirectory Server mit vordefinierten bekan Berechtigungsdaten iRMC S4 Einstellung als Principal User ein und auf den erfolgreichenBind Der iRMC S4 erfragt vom eDirectory Server den voll qualifizierten Distinguished Name DN des Benutzers mit cn User1 eDirectory er den DN aus dem vorkonfigurierten Teilbaum iRMC S4 Einstellung Der iRMC S4 loggt sich am eDirectory Server mit dem vollqualifizierten des Benutzers User1 ein und wartet auf den erfolgreichen Bind Der iRMC S4 erfragt vom eDirecto
33. File Spezifizieren Sie folgende Datei home root instance0 ndsconf Password for admin user Geben Sie hier das Administratorpasswort an 280 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Zur Konfigurierung des NDS Baums gehen Sie wie folgt vor gt gt gt ffnen Sie eine Command Box Wechseln Sie in das Verzeichnis home eDirectory Starten Sie das Utility ndsmanage durch Eingabe des Kommandos ndsmanage ndsmanage Geben Sie c ein f r die Erzeugung einer neuen Instanz der Klasse server Geben Sie y ein um die Konfiguration fortzusetzen Geben Sie y ein um einen neuen Baum zu erzeugen Anschlie end erfragt ndsmanage nacheinander die Werte f r TREE NAME Server Name Server Context etc siehe Seite 280 Sobald die Eingabe abgeschlossen ist konfiguriert ndsmanage den NDS Baum F hren Sie nach Abschluss der Konfiguration des NDS Baums einen Neustart des PRIMERGY Servers durch um die Konfiguration zu aktivieren d h den NDS Baum zu erzeugen eDirectory f r LDAP konfigurieren Die Konfiguration von eDirectory f r LDAP umfasst die folgenden Schritte Role Based Services RBS installieren Plugin Module installieren Role Based Services RBS konfigurieren eDirectory mit ohne SSL TLS Unterst tzung konfigurieren Im Einzelnen gehen Sie wie folgt vor gt Loggen Sie sich beim iManager via Web Browser unter der Administratorkennung Admin e
34. Handbuchs 2 2 2nu2 nennen 13 nderungen gegen ber der vorigen Ausgabe 15 ServerView Suite Link Sammlung 16 Dokumentation zur ServerView Suite 17 Darstellungsmittel 222m 18 Benutzerverwaltung und Sicherheitsarchitektur berblick 21 Voraussetzungen 2 6 nun nn nn 23 Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes 2 00202 eee eee 25 Vorteile durch Verwendung eines Verzeichnisdienstes 26 Unterst tzte Verzeichnisdienste 27 ApacheDS oder einen bereits vorhandenen konfigurierten Verzeichnisdienst verwenden 222er 27 Gemeinsame Benutzerverwaltung f r ServerView Suite und RMC BASS a a a a a a e 28 Rollenbasierte Zugangskontrolle RBAC 29 Benutzer Benutzerrollen und Berechtigungen Privilegien 29 RBAC Implementierung in ApacheDS 222 30 RBAC bei einem bereits existierenden konfigurierten Verzeichnisdienst lt c cesa 2 nam 000 eee eee 31 Authentifizierung und Berechtigung innerhalb des Active DIBCIONYS s aa anne 32 Einheitliches RBAC Management Authentifizierung mit externem Active Directory und Autorisierung mit internem ApacheDS 2 22 46 6080 842 eee 33 Single sign on SSO mithilfe eines CAS Service 36 CAS basierte SSO Architektur 37 Single Sign on aus Sicht des Benutzers 40 Benutzerverwaltung in ServerView Inhalt 3 1 3 2 3
35. LDAP Konfiguration in der IRMC S2 S3 Web Oberflache fest unter der Option LDAP E Mail Tabellen aktualisieren siehe Handbuch IRMC S2 S3 integrated Remote Management Controller und OptionLDAP E Mail Tabellen aktualisieren Benutzerverwaltung in ServerView 229 Globale Benutzerverwaltung f r den iRMC S2 S3 Globale E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Nachfolgend ist beschrieben wie Sie die E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Zus tzlich sind Einstellungen f r den iRMC S2 S3 erforderlich Sie konfigurieren diese an der IRMC S2 S3 Web Oberfl che siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Gehen Sie wie folgt vor gt Tragen Sie im Verzeichnisdienst die E Mail Adressen der Benutzer ein an die E Mails gesendet werden sollen Das Verfahren zur Konfiguration der E Mail Adresse unterscheidet sich je nach verwendetem Verzeichnisdienst Active Directory eDirectory oder OpenLdap Erstellen Sie eine Konfigurationsdatei in der die Alert Roles definiert sind Starten Sie den SVS_LdapDeployer mit dieser Konfigurationsdatei um eine entsprechende LDAP v2 Struktur SVS auf dem Verzeichnisserver zu generieren siehe Seite 170 und Seite 176 230 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 82 Benachrichtigungsgruppen Alert Roles anzeigen Nach der Generierung der LDAP v2 Struktur wird z B i
36. Mail nicht sofort erfolgreich versendet werden kann weil z B der erste Mail Server nicht verf gbar ist wird E Mail an den zweiten Mail Server gesendet Unterst tzte Mail Formate Es werden die folgenden Mail Formate unterst tzt Standard Fixed Subject ITS Format Fujitsu REMCS Format Bei einem Mail Format ungleich Standard m ssen Sie die Benutzer der entsprechenden Mail Format Gruppe hinzuf gen LDAP E Mail Tabelle Wenn die E Mail Benachrichtigung konfiguriert ist siehe Seite 312 und die Option LDAP E Mail aktiviert gesetzt ist sendet der IRMC S4 im Fall einer Alarmbenachrichtigung E Mails an siehe auch Handbuch iRMC S2 S3 integrated Remote Management Controller alle entsprechend konfigurierten lokalen IRMC S4 Benutzer alle globalen iRMC S4 Benutzer die in der LDAP E Mail Tabelle f r diese Alarmbenachrichtigung registriert sind Die LDAP E Mail Tabelle wird in der iRMC S4 Firmware erstmalig beim Erststart des iRMC S4 angelegt und danach in regelm igen Abst nden aktualisiert Der Umfang der LDAP E Mail Tabelle ist begrenzt auf maximal 64 LDAP Benachrichtigungsgruppen sowie auf maximal 64 globale IRMC S4 Benutzer f r die E Mail Benachrichtigung konfiguriert ist Es wird empfohlen f r die globale E Mail Benachrichtigung E Mail Verteiler zu verwenden 310 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 F r die E Mail Benachrichtigung ermittelt
37. NLDAP Server Now NDS Meldungs Trace konfigurieren Der nds D mon erzeugt Debug und Log Meldungen die Sie mit dem Tool ndstrace verfolgen k nnen Zweck der im Folgenden beschriebenen Konfiguration ist es den Terminal Output von ndstrace in eine Datei umzuleiten und sich den Inhalt dieser Datei an einem anderen Terminal anzeigen zu lassen F r Letzteres verwenden Sie das Tool screen Es empfiehlt sich folgende Vorgehensweise gt ffnen Sie die Command Box z B bash ndstrace konfigurieren gt Wechseln Sie in das eDirectory Verzeichnis home eDirectory cd home eDirectory gt Starten Sie screen mit dem Kommando screen Starten Sie ndstrace mit dem Kommando ndstrace gt Selektieren Sie die Module die Sie aktivieren wollen Wenn Sie sich z B die Zeitpunkte anzeigen lassen wollen an denen Ereignisse eingetreten sind geben Sie dstrace TIME ein Es wird dringend empfohlen die Module LDAP und TIME durch folgende Eingabe zu aktivieren dstrace LDAP TIME Beenden Sie ndstrace durch Eingabe von quit Damit ist die Konfiguration von ndstrace abgeschlossen User Management in ServerView 297 Globale Benutzerverwaltung f r den iRMC S4 Meldungsausgabe auf zweites Terminal umleiten gt Starten Sie ndstrace und leiten Sie die Meldungsausgabe um ndstrace 1 gt ndstrace log gt ffnen Sie ein zweites Terminal mithilfe der folgenden Tastenkombination Ctrl a Ctrl c
38. OU Departments fasst die via IRMC S2 S3 verwalteten Server zu verschiedenen Gruppen zusammen Diese entsprechen den Abteilungen in denen jeweils dieselben Benutzerkennungen und berechtigungen gelten In Bild 43 auf Seite 166 beispielsweise sind dies die Abteilungen DeptX DeptY und Others Der Eintrag Others ist optional wird aber empfohlen Others ist eine vordefinierte Abteilungsbezeichnung unter der diejenigen Server zusammengefasst sind die keiner anderen Abteilung angeh ren Die Anzahl der unter Departments aufgelisteten Abteilungen OUs unterliegt keinen Einschr nkungen Bei der Konfiguration des Verzeichnisdienstes am iRMC S2 S3 ber die il IRMC S2 S3 Web Oberfl che oder ber den Server Configuration Manager spezifizieren Sie den Namen der Abteilung welcher der verwaltete Server mit dem betreffenden iRMC S2 S3 angeh rt Wenn im LDAP Verzeichnis keine Abteilung dieses Namens existiert werden die Berechtigungen der Abteilung Others verwendet Bild 43 auf Seite 166 zeigt anhand vonActive Directory Users and Computers ein Beispiel f r eine solche Organisationsstruktur Benutzerverwaltung in ServerView 165 Globale Benutzerverwaltung f r den iRMC S2 S3 4 Active Directory Users and Computers lt 3 Eile Action Yiew Favorites Window Help es Ba eHBB Sul euvrge 3 Active Directory Users and Computers LDAP AD fwlab firm net Maintenance 0 objects H Q Saved Queries g fwlab firm net Builtin E Com
39. Remote Management Controller Bei der Konfiguration der LDAP Einstellungen auf der Seite Verzeichnisdienst Konfiguration muss unter Verzeichnisdienst E Mail Benachrichtigung die E Mail Benachrichtigung konfiguriert sein siehe Handbuch iRMC S2 S3 integrated Remote Management Controller 226 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 8 1 Globale E Mail Benachrichtigung Die globale E Mail Benachrichtigung via Verzeichnisserver erfordert Benachrichtigungsgruppen Alert Roles Diese werden zus tzlich zu den Authorization Roles in der Konfigurationsdatei des SVS_LdapDeployer angegeben siehe Seite 169 Benachrichtigungsgruppen Alert Roles anzeigen Eine Benachrichtigungsgruppe umfasst eine Auswahl definierter Benachrichtigungstypen Alert Types z B Temperatur berschreitung mit jeweils zugeordnetem Fehlergewicht Severity z B kritisch F r Benutzer die einer bestimmten Benachrichtigungsgruppe zugeordnet sind legt die Benachrichtigungsgruppe fest bei welchen Benachrichtigungstypen und Fehlergewichten die Benutzer per E Mail benachrichtigt werden Die Syntax der Alert Roles ersehen Sie aus den Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert werden Benachrichtigungstypen Alert Types anzeigen Folgende Benachrichtigungstypen werden u
40. Schritt f r alle Benutzer der OU people durch die Sie der ausgew hlten iRMC Gruppe zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltflache Das Object Selector Browser Fenster wird ge ffnet siehe Bild 60 auf Seite 212 Benutzerverwaltung in ServerView 211 Globale Benutzerverwaltung f r den iRMC S2 S3 Look in Contents h ft lt lick to start a people sbrd4 up one level Example novell user18 Look for objects named user19 user Example A Lar Bob use20 Look for these types wen User user use user Next gt gt rl Selected Objects 4 click object to Advanced Browsing Save Criteria Hy BBBRBD BG i 8 user people sbrd4 uses people sbrd4 3 user2 people sbrd4 Te anna OK Clear All a X Bild 60 Benutzer der iRMC Gruppe zuordnen Benutzer ausw hlen gt Selektieren Sie im Object Selector Browser Fenster den die gew nschten Benutzer der OU people und best tigen Sie Ihre Auswahl mit OK Im Anzeigebereich der Registerkarte Members der Seite Modify Group werden die ausgew hlten Benutzer angezeigt siehe Bild 59 auf Seite 211 212 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Roles and Tasks Modify Group amp m All Categories Administrator AuthorizationRoles DeptX Departments S S sbrd4 Al uw General Security Dynamic FOC D Directory Administration
41. Suite und beschreibt detailliert wie Sie die ServerView Benutzerverwaltung einrichten oder in die bereits bestehende Benutzerverwaltung Ihrer IT integrieren 12 Benutzerverwaltung in ServerView Struktur des Handbuchs 1 3 Struktur des Handbuchs Das Handbuch liefert Informationen zu folgenden Themen Kapitel 2 Benutzerverwaltung und Sicherheitsarchitektur berblick Diese Kapitel gibt einen berblick ber das Autorisierungs und Authentifizierungskonzept der ServerView Suite Kapitel 3 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst Dieses Kapitel liefert Informationen zu folgenden Themen Zugang zum Verzeichnisdienst konfigurieren ServerView Benutzerverwaltung mit ApacheDS ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Kapitel 4 SSL Zertifikate auf der zentralen Management Station und den Managed Nodes verwalten Dieses Kapitel liefert Informationen zu folgenden Themen SSL Zertifikate verwalten berblick SSL Zertifikaten auf der zentralen Management Station verwalten Verwalteten Server Systeme f r Role Based Access RBAC und Client Authentifizierung einrichten Kapitel 5 Rollenbasierte Autorisierung f r den Zugriff auf den Operations Manager Dieses Kapitel liefert detaillierte Informationen zu folgenden Themen Privilegien Kategorien und zugeh rige Berechtigungen Privilegien In ApacheDS vordefinierte Benutzer und Rollen Kapit
42. The following information is part of the event lt 110 gt 1 2011 07 28T16 40 24 937 02 00 pontresina ServerView STS STOP ServerView audit 231 result success ServerView msq 231 messageld logging syslog operation stop Audit terminated Data Bytes Words Cancel Apply Bild 38 Der ServerView Audit Log ist Bestandteil der Windows Ereignisanzeige Audit Log Information in Linux Systemen In Linux Systemen werden die Audit Log Informationen in die UTF 8 codierte Datei audit log geschrieben die im Verzeichnis var log fujitsu ServerViewSuite jboss liegt Die Datei audit log wird t glich neu erzeugt Die Vorg ngerdatei der aktuellen audit log Datei wird umbenannt in audit log lt YYYY MM DD gt log wobei lt YYYY MM DD gt jeweils das Datum des Vortags angibt 124 Benutzerverwaltung in ServerView Eintr ge des Audit Logs 5 2 Eintr ge des Audit Logs Jede Zeile der Audit Log Datei repr sentiert einen Eintrag im Audit Log Die Struktur der Eintr ge in der Audit Log Datei basiert auf dem RFC 5424 Syslog protocol Jeder Logging Eintrag besteht aus einem Header auf den die strukturierten Daten folgen Der Header enthalt eine Liste der Felder die in jedem Eintrag vorhanden sind Die strukturierten Daten STRUCTURED DATA in RFC 5424 liefern eine detaillierte Beschreibung der protokollierten Daten Eine detaillierte Beschreibung der Syntax Elemente finden Sie in RF
43. alle Berechtigungen zusammenfasst die f r die Benutzung einer bestimmten ServerView Komponente oder zur Ausf hrung einer bestimmten Aufgabe erforderlich sind Durch Auswahl einer oder mehrerer Kategorieren k nnen Sie die unter Assigned Privilege angezeigten Berechtigungen auf diejenigen Berechtigungen reduzieren die zu den ausgew hlten Kategorien geh ren F r weitere Informationen siehe Abschnitt Privilegien Kategorien und zugeh rige Berechtigungen auf Seite 136 Assigned Privilege Listet alle vorhandenen Berechtigungen auf Wenn Sie unter ServerView Component eine oder mehrere Kategorien ausgew hlt haben sind nur die zu den ausgew hlten Kategorien geh rigen Berechtigungen sichtbar Sie k nnen eine Berechtigung zu Rolle Zuordnung aktivieren deaktivieren indem Sie die zugeordnete Assigned Option ausw hlen abw hlen Die Zuordnung von Berechtigungen zu den vordefinierten il RollenAdministrator Monitor Operator und UserAdministrator kann nicht ver ndert werden Die entsprechenden Optionen f r die Berechtigung zu Rolle Zuordnung sind unver nderbar ausgegraut Description of Privilege Kurzbeschreibung zur ausgew hlten Berechtigung New Per Klick auf New ffnen Sie den Dialog New Role 54 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS Name of new Role Alarm Role Copy privileges from role Operator v OK Cancel Bild 15 User Management Wizard Neue Rolle def
44. aufgezeichneten Eintr ge sind f r die dauerhafte Aufbewahrung bestimmt Damit die Logging Eintr ge auch aus gr erem zeitlichen Abstand korrekt interpretiert werden k nnen muss die Beschreibung des Aufzeichnungsformats zusammen mit den Daten des Audit Logs aufbewahrt werden ServerView unterst tzt das komponentenspezifische Logging von Benutzeraktionen Derzeit ist der Centralized Authentication Service CAS die einzige ServerView Komponente die Audit Log Eintr ge erzeugt Benutzerverwaltung in ServerView 123 Lage der Audit Log Information im Speicher 5 1 Lage der Audit Log Information im Speicher Audit Log Information in Windows Systeme In Windows Systemen werden die Audit Log Informationen in die Windows Ereignisanzeige geschrieben Event Yiewer of xi File Action View Help e mlm B EY Event Properties Be Event Viewer Local S Application 83 Security 3 System Internet Explorer AR Source Serverview Audit 28 t Time 16 40 24 Category Printers Eaj Type Information EventID 4096 User N A Computer PONTRESINA Description The description for Event ID 4096 in Source ServerView Audit cannot be found The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer You may be able to use the AUXSOURCE flag to retrieve this description see Help and Support for details
45. denen der Benutzer angeh rt hier kvms4 auf der Registerkarte Members angezeigt 2 4 Active Directory Users and Computers A File Action View Favorites Window Help e Am exta Be em eevee E E Administrator Cert Pub paaa Properties BE CERTSVC There are no items to show in DnsAdmi Environment Sessions Remote control Terminal Services Profile COM DnsUpd General Address Account Profile Telephones Organization Domain Published Certificates Member Of Diakin Object Securty Domain Domain Member of Domain Active Directory Folder Domain L fwlab firm net Users Enterpris Add Remove Primary group Domain Users is H amp re rey E f amp E n E E El E amp amp rey je i Set Primary Group There is no need to change Primary group unless you have Macintosh clients or POSIX compliant applications Bild 70 Eigenschaften Dialog des Benutzers kvms4 250 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 3 SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen Um die globale iRMC S4 Benutzerverwaltung ber einen Verzeichnisdienst abwickeln zu k nnen m ssen im LDAP Verzeichnisdienst die Struktur en OU SVS angelegt sein Sie verwenden SVS_LdapDeployer um die SVS Strukturen zu generieren und anzupassen Der SVS_LdapDeployer ist ein Java Archiv SVS_LdapDe
46. denselben CAS Service abgewickelt wird Benutzerverwaltung in ServerView 21 Die folgenden Abschnitte gehen n her auf diese Konzepte ein il Zusammenspiel zwischen ServerView Operations Manager gt 5 0 und ServerView Agenten lt 5 0 Die ServerView Agenten lt V5 0 unterst tzen die oben erw hnten Konzepte nicht Trotzdem k nnen Sie mit dem ServerView Operations Manager ab V5 x beliebige Operationen einschlie lich der sicherheitsrelevanten Operationen auf den ServerView Agenten lt V5 0 durchf hren Hierf r muss die Benutzer Passwort Liste des Operation Managers g ltige Eintr ge Benutzer Passwort Eintr ge mit den geeigneten Berechtigungen f r die betreffenden verwalteten Server Managed Nodes enthalten Die Vorgehensweise ist hnlich wie beim ServerView Operations Manger lt 5 0 Single Sign on wird jedoch nicht unterst tzt 22 Benutzerverwaltung in ServerView Voraussetzungen 2 1 Voraussetzungen Benutzerverwaltung und Sicherheitsarchitektur der ServerView Suite setzen folgende Software voraus e JBoss Web Server Ab der Version 5 0 verwendet der ServerView Operations Manager den JBoss Web Server Die ben tigten Dateien werden automatisch mit der Software des ServerView Operations Manager installiert JBoss wird als eigenst ndiger Dienst unter dem Namen ServerView JBoss Applications Server 7 konfiguriert Den Service k nnen Sie wie folgt starten stoppen Auf Windows Server 2008
47. der Auswahlliste x86 Servers Klicken Sie rechts unter Selected documents auf PRIMERGY ServerView Links Anschlie end wird die Startseite der ServerView Suite Link Sammlung angezeigt 3 ber die ServerView Suite DVD 2 Markieren Sie im Startfenster der ServerView Suite DVD 2 die Option ServerView Software Produktauswahl gt W hlen Sie in der Men leiste Links Anschlie end wird die Startseite der ServerView Suite Link Sammlung angezeigt 1 6 Dokumentation zur ServerView Suite Die Dokumentation ist ber das Internet als Download kostenlos erh ltlich Die Online Dokumentation finden Sie unter Attp manuals ts fujitsu com unter dem Link x86 Servers Einen berblick ber die Dokumentation die Sie unter ServerView Suite finden sowie die Ablagestruktur k nnen Sie der ServerView Suite Sitemap ServerViewSuite Site Overview Benutzerverwaltung in ServerView 17 Darstellungsmittel 1 7 Darstellungsmittel In diesem Handbuch werden folgende Darstellungsmittel verwendet Achtung Mit diesem Symbol wird auf Gefahren hingewiesen die zu Gesundheitsgef hrdung Datenverlust und Ger tesch den f hren k nnen Mit diesem Symbol werden wichtige Informationen und Tipps hervorgehoben gt Mit diesem Symbol wird ein Arbeitsschritt den Sie ausf hren m ssen dargestellt halbfett Im Flie text werden Kommandos Men punkte Namen von Schaltfl chen Optionen Variablen Dateinamen und Pfad
48. der LDAP Verzeichnisserver aus der E Mail Tabelle folgende Informationen e Liste der globalen iRMC S4 Benutzer f r die E Mail Benachrichtigung konfiguriert ist e Fur jeden globalen iRMC S4 Benutzer Liste der konfigurierten Alarmbenachrichtigungen des jeweiligen Alerts Art und Fehlergewicht Gew nschtes Mail Format Die LDAP E Mail Tabelle wird bei folgenden Anlassen aktualisiert Erst Neustart des iRMC S4 nderung der LDAP Konfiguration In regelm igen Abst nden optional Das Aktualiserungsintervall legen Sie bei der LDAP Konfiguration in der iRMC S4 Web Oberflache fest Seite in der Option LDAP E Mail Tabellen aktualisieren siehe Handbuch IRMC S4 integrated Remote Management Controller und die Option LDAP E Mail Tabellen aktualisieren User Management in ServerView 311 Globale Benutzerverwaltung f r den iRMC S4 Globale E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Nachfolgend ist beschrieben wie Sie die E Mail Benachrichtigung auf dem Verzeichnisserver konfigurieren Zus tzlich sind Einstellungen f r den iRMC S4 erforderlich Sie konfigurieren diese an der IRMC S4 Web Oberfl che siehe Handbuch IRMC S4 integrated Remote Management Controller Gehen Sie wie folgt vor gt Tragen Sie im Verzeichnisdienst die E Mail Adressen der Benutzer ein an die E Mails gesendet werden sollen Das Verfahren zur Konfiguration der E Mail Adresse unterscheidet sic
49. des User1 eDirectory IRMC S2 S3 Bind mit User1 DN Benutzerberechtigungen User1 ist authentifiziert iRMC S2 S3 ermittelt die Benutzerrechte des User1 1 Der iRMC S2 S3 loggt sich am eDirectory Server mit vordefinierten bekannten Berechtigungsdaten iRMC Einstellung als Principal User ein und wartet auf den erfolgreichen Bind 2 Der IRMC S2 S3 erfragt vom eDirectory Server den voll qualifizierten Distinguished Name DN des Benutzers mit cn User1 eDirectory ermittelt den DN aus dem vorkonfigurierten Teilbaum iRMC Einstellung 3 Der iRMC S2 S3 loggt sich am eDirectory Server mit dem vollqualifizierten DN des Benutzers User1 ein und wartet auf den erfolgreichen Bind 4 Der iRMC S2 S3 erfragt vom eDirectory Server die Benutzerberechtigungen des Benutzers User1 Bild 56 Authentifizierungsschema f r globale IRMC S2 S3 Benutzerberechtigungen Benutzerverwaltung in ServerView 205 Globale Benutzerverwaltung f r den iRMC S2 S3 Die Berechtigungsdaten des Principal User sowie den Teilbaum der il die DNs enth lt konfigurieren Sie auf der Seite Directory Service Configuration der IRMC S2 S3 Web Oberfl che siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Der CN eines Benutzers muss innerhalb des durchsuchten Teilbaums eindeutig sein Principal User Principal Benutzer f r den iRMC S2 S3 erzeugen Um einen Principal User f r den iRMC S2 S3 zu erzeugen gehen Sie wie folgt v
50. die zusammen mit eDirectory installierte Java i Laufzeitumgebung verwendet Sie k nnen aber auch den Pfadnamen einer beliebigen anderen auf dem eDirectory Server installierten Java Laufzeitumgebung angeben ConsoleOne erh lt die verf gbaren Baumstrukturen entweder ber die lokale Konfigurationsdatei hosts nds oder ber den SLP Service und Multicast Zum Einf gen Ihrer Baumstruktur in die Konfigurationsdatei gehen Sie verfahren Sie wie folgt gt Wechseln Sie in Ihr Konfigurationsverzeichnis cd etc Erzeugen Sie die Datei hosts nds falls Sie noch nicht existiert ffnen Sie die Datei hosts nds und f gen Sie die folgenden Zeilen ein Syntax TREENAME FQDN PORT MY_Tree mycomputer mydomain 81 ConsoleOne starten ConsoleOne starten Sie in der System Eingabeaufforderung mit folgendem Kommando usr ConsoleOne bin ConsoleOne Benutzerverwaltung in ServerView 197 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 3 Novell eDirectory konfigurieren Zur Konfiguration von Novell eDirectory f hren Sie die folgenden Schritte durch 1 NDS Baum erzeugen 2 eDirectory f r LDAP konfigurieren 3 Zugang zu eDirectory via LDAP Browser testen NDS Baum erzeugen Einen NDS Network Directory Service Baum erzeugen Sie mit dem Utility ndsmanage ndsmanage ben tigt hierf r die folgenden Informationen TREE NAME Netzweit eindeutiger Name f r den neuen NDS Baum z B MY_TREE Server Name Name einer Ins
51. ein Syntax TREENAME FQDN PORT MY_Tree mycomputer mydomain 81 ConsoleOne starten ConsoleOne starten Sie in der System Eingabeaufforderung mit folgendem Kommando usr ConsoleOne bin ConsoleOne User Management in ServerView 279 Globale Benutzerverwaltung f r den iRMC S4 8 2 6 3 Novell eDirectory konfigurieren Zur Konfiguration von Novell eDirectory f hren Sie die folgenden Schritte durch 1 NDS Baum erzeugen 2 eDirectory f r LDAP konfigurieren 3 Zugang zu eDirectory via LDAP Browser testen NDS Baum erzeugen Einen NDS Network Directory Service Baum erzeugen Sie mit dem Utility ndsmanage ndsmanage ben tigt hierf r die folgenden Informationen TREE NAME Netzweit eindeutiger Name f r den neuen NDS Baum z B MY_TREE Server Name Name einer Instanz der Klasse server in eDirectory F r Server Name spezifizieren Sie den Namen des PRIMERGY Servers auf dem der LDAP Server l uft z B lin36 root 0 Server Context Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des Containers in dem das Objekt server enthalten ist z B dc organization dc mycompany Admin User Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des administrationsberechtigten Benutzers z B cn admin dc organization dc mycompany NCP Port Spezifizieren Sie den Port 81 Instance Location Spezifizieren Sie als Pfad home root instanceO Configuration
52. ersten Anmeldung bei einer ServerView Komponente z B Operations Manager zeigt der CAS Service ein eigenes Fenster das Sie zur Eingabe Ihrer Berechtigungsdaten Benutzername und Passwort auffordert Bei erfolgreicher Authentifizierung k nnen Sie anschlie end auf alle ServerView Komponenten und iRMC S2 S3 S4 der SSO Dom ne zugreifen ohne sich erneut anmelden zu m ssen 3 fh gt CAS Anmeldefenster Operations Mgr andere Web App os iRMC S2 S3 Web GUI 1 Ein Benutzer sendet einen HTTP Request an eine ServerView Komponente z B Operations Manager 1a Unsichtbar f r den Benutzer leitet CAS den Request intern an den CAS Service weiter 2 In seinem Anmeldefenster fordert der CAS Service den Benutzer zur Eingabe seiner Berechtigungsdaten auf 3 Der Benutzer gibt seine Benutzername Passwort Kombination ein und best tigt 4 Der CAS Service authentifiziert den Benutzer 5 Nach einmaliger erfolgreicher Authentifizierung hat der Benutzer Zugang zu jeder beliebigen Komponente ohne erneut zur Anmeldung aufgefordert zu werden Bild 8 Single Sign on Prozedur aus Sicht des Benutzers 40 Benutzerverwaltung in ServerView 3 ServerView Benutzerverwaltung mit LDAP Verzeichnisdienst Dieses Kapitel liefert Informationen zu folgenden Themen Zugang zum Verzeichnisdienst konfigurieren auf Seite 41 ServerView Benutzerverwaltung mit ApacheDS auf Seite 42 ServerView Benutzerverwaltung
53. fur die LDAP v2 Struktur siehe Bild 84 auf Seite 293 ist dies Administrator AuthorizationRoles DeptX Departments SVS sbrd4 292 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 gt Wahlen Sie die Registerkarte Members Die Registerkarte Members der Seite Modify Group wird angezeigt A Roles and Tasks az All Categories Groups Creste Group Delete Group Modify Group 4 Modify Members of Group Members Move Group Rename Group View My Groups Help Desk a LDAP gy E aa a Bild 84 iManager Roles and Tasks Modify Group Registerkarte Members LDAP v2 F hren Sie den folgenden Schritt f r alle Benutzer der OU people durch die Sie der ausgew hlten iRMC Gruppe zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltfl che Das Object Selector Browser Fenster wird ge ffnet siehe Bild 85 auf Seite 294 User Management in ServerView 293 Globale Benutzerverwaltung f r den iRMC S4 Look in Contents h ft lt lick to start a people sbrd4 up one level Example novell user18 Look for objects named user19 user Example A Lar Bob use20 Look for these types wen User user use user Next gt gt rl Selected Objects 4 click object to Advanced Browsing Save Criteria Hy BBBRBD BG i 8 user people sbrd4 uses people sbrd4 3 user2 people sbrd4 Te anna O
54. in Microsoft Active Directory integrieren auf Seite 69 il Wichtiger Hinweis Damit ServerView Benutzerverwaltung und globale IRMC S2 S3 S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS ausgef hrt werden k nnen darf die IRMC S2 S3 S4 Benutzerverwaltung ausschlie lich das Department DEFAULT verwenden Benachrichtigungsgruppen Alert Roles k nnen in der ServerView Suite nicht verwendet werden d h sie werden von allen ServerView Komponenten mit Ausnahme des iRMC S2 S3 S4 ignoriert 3 1 Zugang zum Verzeichnisdienst konfigurieren Sowohl die zentralisierte Authentifizierung als auch die rollenbasierte Autorisierung der ServerView Benutzerverwaltung st tzen sich auf Daten die zentral mithilfe eines LDAP Verzeichnisdienstes verwaltet werden Die f r den Verbindungsaufbau zu einem LDAP Verzeichnisdienst ben tigte Information wird w hrend der Installation des Operations Managers angefordert Wenn Sie diese Einstellungen nachtr glich ndern wollen gehen Sie wie folgt vor Wiederholen Sie auf Windows Systemen die Installation als Upgrade Update Installation F hren auf Linux Systemen das folgende Kommando aus opt fujitsu ServerViewSuite svom ServerView Tools ChangeComputerDetails sh Benutzerverwaltung in ServerView 41 ServerView Benutzerverwaltung mit ApacheDS 3 2 ServerView Benutzerverwaltung mit ApacheDS Falls Sie bei der Installation des ServerView Operations Managers keine
55. in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 2 iRMC S4 Benutzerverwaltung ber einen LDAP Verzeichnisdienst Konzept Das im Folgenden erl uterte Konzept einer Verzeichnisdienst gest tzten globalen iRMC S4 Benutzerverwaltung gilt gleicherma en f r die Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP und OpenDS OpenDJ Die Abbildungen zeigen exemplarisch die Konsole Active Directory Benutzer und Computer der Benutzeroberfl che von Microsoft Active Directory Die folgenden Zeichen sind in LDAP als Meta Zeichen f r Such Strings reserviert amp l L lt gt Verwenden Sie diese Zeichen deshalb nicht als Bestandteil von Relative Distinguished Names RDN 8 2 2 1 Globale iRMC S4 Benutzerverwaltung ber Berechtigungsgruppen und Rollen Die globale iRMC S4 Benutzerverwaltung mithilfe eines LDAP Verzeichnisservers LDAP Directory Server erfordert keine Erweiterung des Standard Schemas des Verzeichnisservers Vielmehr werden s mtliche f r den IRMC S4 relevanten Informationen einschlie lich der Benutzerberechtigungen Privilegien ber zus tzliche LDAP Gruppen und Organisationseinheiten Organizational Units OU bereitgestellt die in einer separaten OU innerhalb einer Dom ne des LDAP Verzeichnisservers in separaten OUs zusammengefasst sind siehe Bild 67 auf Seite 246 IRMC S4 Benutzer erhalten ihre Privilegien ber die Zuweisung einer in der Organizati
56. in dieser Reihenfolge bearbeiten Vielmehr k nnen Sie jeden der drei Schritte Role Definition User amp Password und Assign Role to User unabh ngig von den anderen Schritten durchf hren Nach Eingabe Ihrer Einstellungen k nnen Sie mit dem Schritt Finish Ihre Einstellungen aktivieren und den Wizard verlassen Mit Schaltfl chen die unten rechts in jedem Dialog angeordnet sind k nnen Sie den Wizard durchlaufen Zur ck ffnet den vorausgehenden Schritt des Wizards Weiter ffnet den n chsten Schritt des Wizards 52 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS Finish Schlie t den Wizard und aktiviert alle Ihre Einstellungen i Die Schaltfl che Beenden ist nur im Schritt Finish aktiviert Abbrechen Beendet den Wizard ohne Ihre Einstellungen zu aktivieren Im Folgenden finden Sie eine detaillierte Beschreibung zu den Dialogen des User Management Wizards Role Definitions Im Dialog Role Definitions k nnen Sie neue Rollen definieren existierende Rollen l schen sowie Berechtigung zu Rolle Zuordnungen aktivieren deaktivieren Der Dialog zeigt tabellarisch alle zurzeit definierten Rollen mit den zugeh rigen Privilegien an S ServerView Us F Role Definitions t rd A privilege is a right permission or some other kind of
57. in einigen Umgebungsvariablen die Namen f r die Pfade auf das eDirectory aktualisieren und die Variablen exportieren gt ffnen Sie hierf r Ihre Konfigurationsdatei im Beispiel etc bash bashrc und f gen Sie die dort vor End of die folgenden Zeilen in der angegebenen Reihenfolge ein export PATH opt novell eDirectory bin opt novell eDirectory sbin PATH export LD_LIBRARY_PATH opt novell eDirectory lib opt novell eDirectory lib nds modules opt novell 1ib LD_LIBRARY_PATH export MANPATH opt novell man opt novell eDirectory man MANPATH export TEXTDOMAINDIR opt novell eDirectory share locale TEXTDOMAINDIR Schlie en Sie das Terminal und ffnen Sie ein neues Terminal um die Umgebungsvariablen zu exportieren eDirectory Administrations Utilities installieren gt Wechseln Sie in das Unterverzeichnis setup des eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript auf nds install Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 2 ein f r die Installation der Novell eDirectory Administrations Utilities und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Administrations Utilities installiert Benutzerverwaltung in ServerView 193 Globale Benutzerverwaltung f r den iRMC S2 S3 iManager installieren u
58. in jedem Audit Log Eintrag mit der Msgid lt operation gt einmal enthalten Das Element beschreibt die Details eines Requests zur Ausf hrung einer Operation Welche Parameter genau in einem Element enthalten sind hangt von der jeweiligen Operation und ihrem Ergebnis ab Derzeit sind die einzigen ServerView Komponenten die Audit Logging unterstutzen der Centralized Authentication Service COMP_NAME CAS und der Security Token Service COMP_NAME STS Nachfolgend ist die Struktur der von den ServerView Komponenten CAS und STS erstellten Audit Log Eintrage beschrieben 130 Benutzerverwaltung in ServerView Eintr ge des Audit Logs ServerView Komponente CAS Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein Benutzer versucht sich bei einer ServerView Sitzung anzumelden SG ID LOGIN SD ID ServerView CAS login 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die beim Login angegeben wurde tgt CAS Ticket Granting Ticket das beim Login erzeugt wurde Tabelle 9 Audit Log Eintrag Parameter von ServerView CAS login 231 Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein Benutzer bei einer ServerView Sitzung abmeldet SG ID LOGOUT SD ID ServerView CAS logout 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die beim Logout angegeben wurde tgt CAS Ticket Granting Ticket d
59. jar install cert gui SVCOM_V1 70 jar svconf pki cacerts changeit lt system FODN gt lt port gt lt system FQDN gt Vollqualifizierter Distinguished Name des betreffenden externen Directory Service Systems lt port gt LDAP Port der vom externen Directory Service verwendet wird meistens 636 e Das Java Programm install cert gui SVCOM_V1 70 jar zeigt einen Bildschirm hnlich dem folgenden an 98 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten x General SE SSLException the trustAnchors parameter must be non empty Issued To Subject Common Name CN ts Fujitsu com Organization 0 Fujitsu Technology Solutions GmbH Organizational Unit OU TS Serial Number 33624432291 9508786226842462373686 Yalidity Issued On Fri Mar 13 13 57 31 CET 2009 Expires On Tue Mar 13 13 57 31 CET 2012 Fingerprints SHA1 Fingerprint 5a 55 17 92 d5 47 6b fb 17 fb f7 b4 61 91 43 b5 52 68 05 70 MDS Fingerprint 32 6f 01 db 28 47 6e b5 00 b1 7a 67 29 5b 3d ec Certificate Chain 1 CN ts Fujitsu com OU TS5 0 Fujitsu Technology Solutions GmbH L Muenchen ST Bay 2 CN TC TrustCenter SSL CA 1 OU TC TrustCenter SSL CA O TC TrustCenter GmbH C DE Import Selected Certificate Cancel Bild 30 Add Security Exception In diesem Bildschirm k nnen Sie aus den Zertifikatskette Certificate Chain das Zertifikat ausw hlen das Sie in die truststore Datei
60. k nnen Sie die Authentisierungsdaten auch in der Kommandozeile des SVS_LdapDeloyer angeben Wenn Sie die Authentisierungsdaten weder in der Konfigurationsdatei noch in der Kommandozeile beim Aufruf des SVS_LdapDeployer angeben fordert der SVS_LdapDeployer die Authentisierungsdaten zum Ausf hrungszeitpunkt an Benutzerverwaltung in ServerView 169 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 2 SVS_LdapDeployer starten Zum Starten des SVS_LdapDeployer gehen Sie wie folgt vor gt Speichern Sie das Java Archiv jar Archiv SVS_LdapDeployer jar in ein Verzeichnis auf dem Verzeichnisserver ffnen Sie die Kommando Schnittstelle des Verzeichnisservers gt Wechseln Sie in das Verzeichnis in dem das jar Archiv SVS_LdapDeployer jar gespeichert ist Rufen Sie den SVS_LdapDeployer gem der folgenden Syntax auf java jar SVS_LdapDeployer jar lt kommando gt lt datei gt il il lt option gt W hrend der Ausf hrung des SVS_LdapDeployer werden Sie ber die durchgef hrten Schritte informiert Detaillierte Informationen finden Sie in der Datei log txt die bei jeder Ausf hrung des SVS_LdapDeployer im Ausf hrungsverzeichnis angelegt wird Im Folgenden werden die Begriffe LDAPv1 Struktur und LDAPv2 Struktur f r die Bezeichnung ServerView spezifischer Konfigurationslayouts der Autorisierungsdaten verwendet und beziehen sich nicht auf die Versionen 1 und 2 des LDAP Protokolls Die Ko
61. kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 173 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 4 delete LDAPv2 Struktur l schen Mit dem Kommando delete k nnen Sie auf dem Verzeichnisserver eine LDAPv2 Struktur entfernen Syntax delete lt datei gt structure vl v2 both L username lt benutzer gt password lt passwort gt J L store_pwd lt pfad gt JL kloc lt pfad gt C lt kpwd lt key password gt lt datei gt XML Datei die die zu l schende Struktur spezifiziert structure v1 structure v2 structure both L scht LDAP v1 Struktur oder LDAP v2 Struktur oder LDAP v1 und LDAP v2 Struktur Die Benutzerverwaltung f r den iRMC S2 ab Firmware Version 3 77A und f r den iRMC S3 ben tigt immer eine LDAPv2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt fest stor_pwd Verschl sselt das Passwort lt passwort gt
62. neue Benutzer angelegt werden soll Der neue Benutzer kann an beliebiger Stelle des Baums angelegt werden gt ffnen Sie das Men Edit gt Wahlen Sie Add Entry gt Wahlen Sie Person gt ndern Sie den Distinguished Name DN gt Klicken Sie auf Set und geben Sie das Passwort ein Geben Sie einen Nachnamen Surname SN ein gt Klicken Sie auf Apply 304 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Ordnen Sie den soeben erzeugten Benutzer der Berechtigungsgruppe zu Gehen Sie hierbei wie folgt vor gt Wahlen Sie den Teilbaum Untergruppe von SVS dem der Benutzer angeh ren soll d h cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany ffnen Sie das Men Edit gt W hlen Sie Add Attribute Geben Sie als Attributnamen Member ein Als Wert geben Sie den voll qualifizierten DN zuvor erzeugten Benutzers an also cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany User Management in ServerView 305 Globale Benutzerverwaltung f r den iRMC S4 8 2 7 5 Tipps zur Administration von OpenLDAP LDAP Service neu starten Um den LDAP Service neu zu starten verfahren Sie wie folgt gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an gt Geben Sie das folgende Kommando ein rcldap restart Meldungsprotokollierung Fur das Meldungslogging nutzt der LDAP Damon d
63. via Server Authentifizierung authentisiert Das X 509 Zertifikat enth lt alle f r die Identifizierung des JBoss Web Servers ben tigten Informationen sowie den ffentlichen Schl ssel Public Key des JBoss Web Servers 4 2 1 Bei der Installation wird automatisch ein selbstsigniertes Zertifikat erzeugt W hrend der Installation des Operation Managers wird f r den lokalen JBoss Web Server automatisch ein selbstsigniertes Zertifikat im PEM Format lt system_name gt scs pem erzeugt Das Setup installiert die Datei lt system_name gt scs pem im folgenden Verzeichnis lt ServerView directory gt svcommon data download pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux Systemen Bei der Verwendung eines selbstsignierten Zertifikats brauchen Sie sich i nicht um die Einrichtung Ihrer eigenen Zertifizierungsstelle Certificate Authority CA oder um die Versendung einer Zertifikatsanforderung Certificate Signing Request CSR an eine externe Zertifizierungsstelle zu k mmern Wenn eine Update Installation des ServerView Operations Managers ben tigt wird z B nachdem der Name der Management Station ge ndert wurde wird das selbstsignierte Zertifikat automatisch w hrend der Update Installation ersetzt Wenn der JBoss Web Server ein selbstsigniertes Zertifikat verwendet Wenn sich die Web Browser mit dem JBoss Web Server verbinden werden sie einen Zertifikatsfehler melden m
64. werden alle Benutzer der Dom ne SERVERVIEW angezeigt F r diese Benutzer wird sowohl die Authentifizierung als auch die Autorisierung mit ApacheDS verwaltet Unter User lt external domain gt werden alla Benutzer einer externen Dom ne angezeigt F r diese Benutzer wird die Authentifizierung mit einem externen Verzeichnisdienst verwaltet z B Active Directory w hrend die Autorisierungsverwaltung mit ApacheDS durchgef hrt wird Wenn Sie einen Benutzer ausw hlen werden die dem Benutzer zurzeit zugeordneten Rollen in der Spalte AssignedRoles mit markierter Assigned Option angezeigt Die vier vordefinierten Benutzer Administrator Monitor Operator und UserManager sind oben in der Liste angeordnet Die Zuordnung von Rollen zu diesen Benutzern kann nicht ver ndert werden Assigned Roles Listet alle definierten Rollen auf Jeder Rolle ist eine Assigned Option vorangestellt die anzeigt ob die zugeh rige Rolle derzeit dem ausgew hlten Benutzer zugeordnet ist Option ausgew hlt oder nicht Option abgew hlt Sie k nnen eine Berechtigung zu Rolle Zuordnung aktivieren deaktivieren indem Sie die zugeordnete Assigned Option ausw hlen abw hlen Berechtigungen Zeigt die Gesamtheit der Berechtigungen an die den Rollen des ausgew hlten Benutzers zugeordnet sind Description of Privilege Kurzbeschreibung zur ausgew hlten Berechtigung 60 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS
65. xzvf 20060526_0800_Linux_88 SP1_FINAL tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis eDirectory eDirectory Server installieren gt Wechseln Sie in das Unterverzeichnis setup dieses eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript nds install auf nds install gt Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste gt Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 1 ein f r die Installation des Novell eDirectory Servers und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Packages installiert 274 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Nach der Installation des Novell eDirectory Servers m ssen Sie in einigen Umgebungsvariablen die Namen f r die Pfade auf das eDirectory aktualisieren und die Variablen exportieren gt ffnen Sie hierf r Ihre Konfigurationsdatei im Beispiel etc bash bashrc und f gen Sie die dort vor End of die folgenden Zeilen in der angegebenen Reihenfolge ein export PATH opt novell eDirectory bin opt novell eDirectory sbin PATH export LD_LIBRARY_PATH opt novell eDirectory lib opt novell eDirectory lib nds modules opt novell 1ib LD_LIBRARY_PATH export MANPATH opt novell man opt novell eDirectory man MANPATH export TEXTDOMAINDIR opt novell eDirectory shar
66. 168 37 238 Port 636 Version Bl Base DN de myorganization de mycompany lz Fetch DNs v SSL Anonymous bind User Info er User DN len admin v append base DN Password C emca Bild 79 LDAP Zugriff auf eDirectory testen SSL aktiviert Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine nicht SSL gesicherte Verbindung in eDirectory einzuloggen User Management in ServerView 285 Globale Benutzerverwaltung f r den iRMC S4 Edit Session x Session Options Host Info Host 192 168 37 238 Port 383 Version aly Base DN dc myorganization dc mycompany i lz Fetch DNs _ SSL _ Anonymous bind User Info User DN len admin v append base DN Password reese ri Bild 80 LDAP Zugriff auf eDirectory testen SSL nicht aktiviert Falls die Anmeldung erneut fehlschl gt Lockern Sie die Bind Restriktionen siehe Seite 283 8 2 6 4 iRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren Voraussetzung Eine LDAP v2 Struktur ist im eDirectory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 251 F r die Integration der IRMC S4 Benutzerverwaltung in Novell eDirectory sind die folgenden Schritte erforderlich Principal iRMC User erzeugen IRMC Gruppen und Benutzerrechte in eDirectory vereinbaren Benutzer den
67. 2012 Systemen W hlen Sie Administrative Tools Services Alternativ k nnen Sie auf allen Windows Systemen zum Starten und Stoppen des JBoss Service die folgenden CLI Kommandos verwenden WINDIR system32 net exe start ServerView JBoss Application Server 7 WINDIR system32 net exe stop ServerView JBoss Application Server 7 Auf Linux Systemen ber das folgende Kommando etc init d sv_jboss start stop e LDAP Verzeichnisdienst W hrend der Installation des ServerView Operations Managers k nnen Sie w hlen ob Sie den vom Operations Manager intern genutzten Verzeichnisdienst ApacheDS oder einen bereits vorhandenen Verzeichnisdienst z B Microsoft Active Directory nutzen wollen Benutzerverwaltung in ServerView 23 Voraussetzungen e Centralized Authentication Service CAS Der CAS Service wird f r die Single Sign on SSO Funktionalit t ben tigt Der CAS Service speichert Server seitig die Berechtigungsdaten der Benutzer um danach beim Aufruf der verschiedenen Dienste die Benutzer Authentifizierung transparent durchzuf hren CAS wird bei der Installation der Operations Manager Software automatisch mit installiert Einzelheiten zur Installation des ServerView Operations Managers der die oben genannten Komponenten enth lt finden Sie in den Handb chern ServerView Operations Manager Installation unter Windows und ServerView Operations Manager Installation unter Linux 24 Benutzerverw
68. 3 ndern Sie das Passwort des ApacheDS Directory Managers hier das voreingestellte Passwort admin indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben Idappasswd H Idap localhost 1473 D uid admin ou system w admin s new_dm_pw uid admin ou system Beim Ausf hren dieses Kommandos wird die Meldung il ber_scanf No such file or directory angezeigt Bitte ignorieren Sie diese Meldung Vordefiniertes Passwort des ApacheDS Directory Managers auf Linux Systemen ndern Beachten Sie bitte Folgendes F r die Einrichtung eines Passworts das ein oder mehrere Sonderzeichen der Shell enth lt m ssen Sie bei der Angabe des Passworts in der Kommandozeile jedes Sonderzeichen durch einen vorangestellten Backslash entwerten Sie m ssen z B in der Kommandozeile he 1o wor1d eingeben um das Passwort hel lo wor1d einzurichten Auf Linux Systemen andern Sie das vordefinierte Passwort wie folgt 1 Offnen Sie eine Kommando Shell 2 Andern Sie das Passwort des ApacheDS Directory Managers indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben Idappasswd H Idap localhost 1473 D uid admin ou system w admin s new_dm_pw uid admin ou system 3 2 2 2 Passwort von svuser definieren ndern Der administrative Benutzer svuser wird in der Datenbank von ApacheDS w hrend der Installation des ServerView Operations Managers erzeugt il Das Passwort f r svuser darf keine l
69. 4 Benutzer einer Rolle Berechtigungsgruppe CUE 0 Ku Gh Oe eS oe Se wee we Pe eS IRMC S4 Benutzerverwaltung via Novell eDirectory Software Komponenten und Systemvoraussetzungen i Novell eDirectory installieren Novell eDirectory konfigurieren 222220 IRMC S2 S3 Benutzerverwaltung in Novell eDirectory INIESHIEIEN ua eee ode ae Ae Er Assigning an iRMC S4 user to a permission group Tipps zur Administration von Novell eDirectory IRMC S4 Benutzerverwaltung via OpenLDAP OpenLDAP installieren 2 22 2 2 onen SSL Zertifikate erzeugen 2 222er OpenLDAP konfigurieren 222 222m 251 251 252 254 256 257 257 257 258 s 259 Benutzerverwaltung in ServerView Inhalt 8 2 7 4 8 2 7 3 8 2 8 8 2 8 1 8 2 8 2 8 2 8 3 8 2 9 IRMC S4 Benutzerverwaltung in OpenLDAP integrieren 302 Tipps zur Administration von OpenLDAP 306 E Mail Benachrichtigung an globale IRMC S4 Benutzer konfigurieren u a 040 ead ORE RS ran A 308 Globale E Mail Benachrichtigung 309 Benachrichtigungsgruppen Alert Roles anzeigen 313 iRMC S4 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen 2 222 315 SSLERBWI H gt a d anna nennen ar ana ade 316 Benutzerverwaltung in ServerView Inhalt Benutzerverwaltung in ServerView 1 Einleitung Dieses Handbuch beschreibt das Autorisierungs und Authentifizierungsk
70. 8 2 4 3 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern Sie wollen eine LDAP v2 Struktur neu generieren Die Authentisierungsdaten sollen via Kommandozeile bereitgestellt und gespeichert werden Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml store_pwd username admin password admin Nach dem Speichern der Anmeldedaten k nnen Sie sich ber den SVS_LdapDeployer ohne Angabe von Benutzerkennung und Passwort mit dem Verzeichnisserver verbinden Der SVS_LdapDeployer verwendet dann sofern vorhanden die in der xml Konfigurationsdatei gespeicherten Werte Ein gespeichertes Passwort kann der SVS_LdapDeployer nur dann verwenden wenn er es entschl sseln kann Dies erfordert dass Sie den SVS_LdapDeployer in derselben Laufzeitumgebung aufrufen wie beim vorangegangenen Aufruf mit store_pwd siehe Seite 255 Dieselbe Laufzeitumgebung bedeutet hier derselbe Benutzer am selben Computer oder ein Benutzer mit Zugriffsberechtigung auf das Verzeichnis unter dem der Schl ssel gespeichert ist Option kloc siehe Seite 255 F r zuk nftige Aufrufe des SVS_LdapDeployer k nnen Sie auch il Benutzerkennungen verwenden die bereits gespeichert sind Dar ber hinaus lassen sich durch explizite Angabe in der Kommandozeile oder auf Anforderung durch den SVS_LdapDeployer zeitweilig auch andere Authentisierungsdaten nutzen 258 User Management in ServerView Globale Benutz
71. AS Service abgewickelt wird Falls Sie z B den ServerView Operations Manager unter Verwendung des Namens my cms my domain installiert haben m ssen Sie bei der Konfigurierung des CAS Service f r einen iRMC S2 S3 S4 derselben SSO Dom ne den identischen Namen verwenden Geben Sie dagegen nur my cms oder eine andere IP Adresse von my cms an wird die SSO Funktionalit t zwischen den beiden Systemen nicht aktiviert 36 Benutzerverwaltung in ServerView Single sign on SSO mithilfe eines CAS Service 2 4 1 CAS basierte SSO Architektur Eine SSO Architektur basiert auf den folgenden Komponenten und Elementen CAS Service der die zentralisierte Authentifizierung realisiert CAS Client als Komponente jeder CAS fahigen CAS angepassten ServerView Suite Komponente Service Ticket ST Ticket Granting Ticket TGT Der CAS Service steuert die zentrale Benutzer Authentifizierung Der CAS Service steuert die zentrale Benutzer Authentifizierung Hierf r vermittelt der CAS Service zwischen dem Browser auf der Management Konsole und dem Verzeichnisdienst der die Benutzer verwaltet Der CAS Client f ngt Service Anforderungen ab und leitet sie um Der CAS Client ist Bestandteil jeder CAS f higen ServerView Suite Komponente Er fungiert als Filter der jede Benutzeranforderung an eine ServerView Suite Komponente abf ngt um die Authentizit tspr fung des Benutzers zu veranlassen Hierzu leitet der CAS Client le
72. Active Directory gefunden wird Das bedeutet dass ein in Active Directory konfigurierter Wert immer die Einstellung hier berschreibt Beispiel 90 Warning Days Der Wert dieser Eigenschaft bestimmt die Anzahl Tage die ein Benutzer vor Ablauf des Passworts gewarnt wird Beachten Sie dass es in Active Directory kein entsprechendes Attribut gibt Das bedeutet dass dieser Wert hier die einzige Definition f r die Warnzeit des Passwortablaufs ist Beispiel 30 Password URL optional Dieser Eintrag bestimmt die URL an die der Benutzer umgeleitet wird um das Passwort zu ndern Die Zielseite dieser URLmuss vom Benutzer zur Verf gung gestellt werden ServerView liefert keine solche Webseite Wenn eine solche Seite in der Benutzerumgebung exisitert nicht sollte auf die Konfigurationsoption weggelassenwerden Diese Eingabe ist optional normalerweise werden Passw rter in der Benutzerverwaltung des Active Directory Dienstes ge ndert 84 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Beispiel https www example corp com UserMgt Benutzerverwaltung in ServerView 85 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 86 Benutzerverwaltung in ServerView 4 SSL Zertifikate auf Management Station und verwaltete Server verwalten F r die Kommunikation mit Web Browsern und verwalteten Servern Managed Nodes verwendet die M
73. Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt fest 254 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 store_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von deploy in der Konfigurationsdatei Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 255 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 3 4 delete LDAP Struk
74. Benutzerhandbuch Deutsch FUJITSU FUJITSU Software ServerView Suite Benutzerverwaltung in ServerView 7 10 Zentrale Authentifizierung und rollenbasierte Autorisierung Ausgabe Mai 2015 Kritik Anregungen Korrekturen Die Redaktion ist interessiert an Ihren Kommentaren zu diesem Handbuch Ihre R ckmeldungen helfen uns die Dokumentation zu optimieren und auf Ihre W nsche und Bed rfnisse abzustimmen Sie k nnen uns Ihre Kommentare per E Mail an manuals ts fujitsu com senden Zertifizierte Dokumentation nach DIN EN ISO 9001 2008 Um eine gleichbleibend hohe Qualit t und Anwenderfreundlichkeit zu gew hrleisten wurde diese Dokumentation nach den Vorgaben eines Qualit tsmanagementsystems erstellt welches die Forderungen der DIN EN ISO 9001 2008 erf llt cognitas Gesellschaft f r Technik Dokumentation mbH www cognitas de Copyright und Handelsmarken Copyright 2015 Fujitsu Technology Solutions GmbH Alle Rechte vorbehalten Lieferm glichkeiten und technische nderungen vorbehalten Alle verwendeten Hard und Softwarenamen sind Handelsnamen und oder Warenzeichen der jeweiligen Hersteller Inhalt 1 1 1 2 1 3 1 4 1 5 1 6 1 7 2 1 2 2 2 2 1 RAR Ze 2 2 4 2 3 2 3 1 2 3 2 2 3 3 2 3 3 1 2 392 2 4 2 4 1 2 4 2 Einleitung 6 sce G65 ee Ble eer ROE we Sw a 11 Autorisierungs und Authentifizierungskonzept 11 Zielgruppe des Handbuchs 0 5 12 Struktur des
75. Benutzernamen Rollen und Passw rter Benutzerverwaltung in ServerView 43 ServerView Benutzerverwaltung mit ApacheDS 3 2 2 Passw rter der vordefinierten Benutzer definieren ndern Wichtiger Hinweis Verwenden Sie innerhalb Ihrer Passw rter keinen Gegenschr gstrich Backslash 3 2 2 1 Passwort des ApacheDS Directory Managers Beachten Sie bitte Folgendes Das vordefinierte Passwort f r den ApacheDS Directory Manager lautet admin Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter baldm glichst zu ndern In der nachfolgenden Erl uterung steht die Zeichenfolge neu_dm_pw als Platzhalter f r das neue Passwort Ersetzen Sie den Platzhalter durch ein geeignetes Passwort Ihrer Wahl Vordefiniertes Passwort des ApacheDS Directory Managers auf Windows Systemen ndern Beachten Sie bitte Folgendes F r die Einrichtung eines Passworts das ein oder mehrere Prozent Zeichen enth lt m ssen Sie bei der Angabe des Passworts in der Kommandozeile jedes Prozent Zeichen doppelt angeben Sie m ssen z B in der Kommandozeile he 10 wor1d eingeben um das Passwort hello world einzurichten Auf Windows Systemen ndern Sie das vordefinierte Passwort wie folgt 1 ffnen Sie eine Windows Eingabeaufforderung 2 Wechseln Sie in das Verzeichnis lt ServerView directory gt apacheds bin 44 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS
76. Benutzerverwaltung mit ApacheDS Benutzername Passwort Benutzerrolle LDAP Distinguished name Beschreibung A admin cn Directory Manager cn Root DNS cn config Kennung des ApacheDS Directory Managers Ein Root DN oder Root Benutzer kann generell auf alle Daten im Server zugreifen In ApacheDS sind Root Benutzer standardm ig berechtigt die Zugriffs berpr fung zu umgehen Root Benutzer verf gen ber die vollst ndige Berechtigung f r Server Konfiguration und Ausf hrung der meisten anderen Operationen ApacheDS gestattet es den Server mit mehreren Root Benutzern zu konfigurieren Alle den Root Benutzern gew hrten Berechtigungen werden direkt ber Privilegien erteilt svuser Das cn svuser ou users dc fujitsu dc Passwort comDiese Kennung wird verwendet f r muss den Zugriff auf den Verzeichnisdienst w hrend der durch CAS und den Sicherheitsmodul Installation von ServerView Die zugeh rigen Daten des finden Sie somit in der Operations Konfigurationsdatei Managers lt ServerView directory gt jboss standal angegeben one svconf sv sec config xml werden Administrator admin Administrator Standard Benutzer f r Administrator Rolle Monitor admin Monitor Standard Benutzer f r Monitor Rolle Operator admin Operator Standard Benutzer f r Operator Rolle UserManager admin UserAdministrat Standard Benutzer f r or UserAdministrator Rolle Tabelle 2 In ApacheDS vordefinierte
77. C 5424 Zu Beispielen zu Logging Eintr gen siehe Abschnitt Beispiele Eintr ge in der Audit Log Datei auf Seite 133 Benutzerverwaltung in ServerView 125 Eintr ge des Audit Logs 5 2 1 Typen von Audit Log Eintragen Drei Typen von Audit Log Eintr gen sind zu unterscheiden INIT Eintrag Der INIT Eintrag ist immer der erste Eintrag der Audit Log Datei und wie folgt strukturiert Header ServerView audi t 231 Element origin Element ServerView env 231 Element Freitext der auf die strukturierten Daten folgt lt operation gt Eintrag Ein lt operation gt Eintrag bezieht sich auf eine Operation lt operation gt die in der durch lt COMP_Name gt spezifizierten Komponente ausgef hrt wurde Ein lt operation gt Eintrag ist wie folgt strukturiert Header ServerView lt COMP_Name gt audi t 231 Element Freitext der auf die strukturierten Daten folgt STOP Eintrag Der STOP Eintrag ist in der Regel der letzte Eintrag in der Audit Log Datei und wie folgt strukturiert Header ServerView audi t 231 Element Freitext der auf die strukturierten Daten folgt Falls die protokollierte Komponente fehlerhaft beendet wurde ist der STOP Eintrag m glicherweise nicht vorhanden In den folgenden Abschnitten sind die oben erwahnten Komponenten Header Elemente der Audit Log Eintrage detailliert beschrieben 126 Benutzerverwaltung in ServerView Eintr ge des Au
78. F SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE This product includes cryptographic software written by Eric Young eay eryptsoft com This product includes software written by Tim Hudson tjh cryptsoft com 234 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Copyright C 1995 1998 Eric Young leay cryptsoft com All rights reserved This package is an 55L implementation written by Eric Young eay cryptsoft com The implementation was written so as to conform with Netscapes SSL This library is free for commercial and non commercial use as long as the following conditions are aheared to The following conditions apply to all code found in this distribution be it the RC4 RSA lhash DES etc code not just the SSL code The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson tjh cryptsoft com Copyright remains Eric Young s and as such any Copyright notices in the code are not to be removed If this package is used in a product Eric Young should be given attribution as the author of the parts of the library used This can ke in the
79. I VordefiniertesK fwlab firm net Us f d James Bond ab firm net Us amp Martin Clemens feiab firm nevUs Max Mustern fwlab firm net Us eG Micky Maus fwlab firm net Us amp SUPPORT_3 Herstellerkonto f fwlab firm net Us Willi W hlmaus fwlab firm nei Us Bild 52 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse anzeigen gt Wahlen Sie die Benutzer die zur Gruppe hinzugef gt werden sollen und best tigen Sie mit OK Es werden nun die ausgew hlten Benutzer angezeigt siehe Bild 53 auf Seite 189 188 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 21x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad users Pfade Geben Sie die zu verwendenden Objektnamen ein Beispiele ames Bond pdbjbond fwlab firm net Martin Clemens pdbmclem fwlab firm net Will W hlmaus pdbwwuehl fwlab firm net Bild 53 Dialog Benutzer Kontakte oder Computer w hlen Suchergebnisse best tigen gt Best tigen Sie mit OK Benutzerverwaltung in ServerView 189 Globale Benutzerverwaltung f r den iRMC S2 S3 7 26 iRMC S2 S3 Benutzerverwaltung via Novell eDirectory Dieser Abschnitt informiert ber folgende Themen Software Komponenten und Systemvoraussetzungen von Novell eDirectory Novell eDirectory installieren Novell eDirectory konfigurieren
80. IDED BY THE OpenSSL PROJECT AS IS AND ANY EXPRESSED OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE This product includes cryptographic software written by Eric Young eay eryptsoft com This product includes software written by Tim Hudson tjh cryptsoft com 316 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Copyright C 1995 1998 Eric Young leay cryptsoft com All rights reserved This package is an 55L implementation written by Eric Young eay cryptsoft com The implementation was written so as to conform with Netscapes SSL This library is free for commercial and non commercial use as long as the following conditions are aheared to The following conditions apply to all code found in this distribution be it the RC4 RSA lhash DES etc code not just the SSL code The SS
81. K Clear All a X Bild 85 Benutzer der iRMC Gruppe zuordnen Benutzer ausw hlen gt Selektieren Sie im Object Selector Browser Fenster den die gew nschten Benutzer der OU people und best tigen Sie Ihre Auswahl mit OK Im Anzeigebereich der Registerkarte Members der Seite Modify Group werden die ausgew hlten Benutzer angezeigt siehe Bild 84 auf Seite 293 294 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 nn Scene U 0 Un I __ Roles and Tasks Modify Group amp m All Categories Administrator AuthorizationRoles DeptX Departments S S sbrd4 Al m General Security Dynamic FOC D Directory Administration Fe fa eDirectory Encryption eDirectory Maintenance Eos Members Create Group Delete Group Modify Group user2 people sbrd4 Modify Members of Group ee em user3 people sbrd4 Move Group user5 people sbrd4 Rename Group user6 people sbrd4 View My Groups user people sbrd4 Help Desk LDAP M NMAS Management r Partition and Replicas pme Rights zj CET B es intranet 2 Bild 86 Anzeige der ausgew hlten iRMC S4 Benutzer in der Registerkarte Members LDAP v2 gt Best tigen Sie mit Apply oder OK um die ausgew hlten Benutzer zur IRMC Gruppe hier SVS sbdr4 hinzuzuf gen User Management in ServerView 295 Globale Benutzerverwaltung f r den iRMC S4 8 2 6 6 Tipps zur Administration
82. Kommando ein certreq new request inf request req 262 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 yY v vy y y Geben Sie im Browser der Zertifizierungsstelle folgende URL ein http localhost certsrv Klicken Sie auf Ein Zertifikat anfordern Klicken Sie auf erweiterte Zertifikatsanforderung Klicken Sie auf Reichen Sie eine Zertifikatsanforderung ein Kopieren Sie den Inhalt der Datei request req in das Fenster Gespeicherte Anforderungen W hlen Sie die Zertifikatsvorlage Webserver Laden Sie das Zertifikat herunter und speichern Sie es z B in der Datei request cer Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq accept request cer Exportieren Sie das Zertifikat mit dem privaten Schlussel Gehen Sie hierbei wie folgt vor Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate Lokaler Computer Eigene Zertifikate Zertifikate F hren Sie einen Doppelklick auf das neue Server Authentifizierungszertifikat aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie Ja privaten Schl ssel exportieren Vergeben Sie ein Passwort vv YV vy 7y W hlen Sie einen Dateinamen f r das Zertifikat und klicken Sie auf Fertig stellen Use
83. L documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson tjh cryptsoft com Copyright remains Eric Young s and as such any Copyright notices in the code are not to be removed If this package is used in a product Eric Young should be given attribution as the author of the parts of the library used This can ke in the form of a textual message at program startup or in documentation online or textual provided with the package Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes cryptographic software written by Eric Young eay cryptsoft com The word cryptographic can be left out if the rouines from the library being used are not cryptographic related 4 If you include any Windows specific code or a derivative thereof from the apps directory application code you must include an acknowledgement This product inclu
84. LdapDeployer in derselben Laufzeitumgebung aufrufen wie beim vorangegangenen Aufruf mit store_pwd siehe Seite 173 Dieselbe Laufzeitumgebung bedeutet hier derselbe Benutzer am selben Computer oder ein Benutzer mit Zugriffsberechtigung auf das Verzeichnis unter dem der Schl ssel gespeichert ist Option kloc siehe Seite 173 F r zuk nftige Aufrufe des SVS_LdapDeployer k nnen Sie auch il Benutzerkennungen verwenden die bereits gespeichert sind Dar ber hinaus lassen sich durch explizite Angabe in der Kommandozeile oder auf Anforderung durch den SVS_LdapDeployer zeitweilig auch andere Authentisierungsdaten nutzen 176 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 5 iRMC S2 S3 Benutzerverwaltung via Microsoft Active Directory Dieser Abschnitt beschreibt wie Sie die IRMC S2 S3 Benutzerverwaltung in Microsoft Active Directory integrieren Voraussetzung Eine LDAP v2 Struktur ist im Active Directory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 169 Zur Integration der IRMC S2 S3 Benutzerverwaltung in Microsoft Active Directory f hren Sie die folgenden Schritte durch 1 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren 2 IRMC S2 S3 Benutzer den iRMC S2 S3 Benutzergruppen in Active Directory zuordnen Benutzerverwaltung in ServerView 177 Globa
85. OU SVS abgelegt sind LDAP v2 Strukturen sind f r k nftige funktionale Erweiterungen ausgelegt Eine zus tzliche OU iRMCgroups die aus Kompatibilit tsgr nden il unterst tzt wird erm glicht Ihnen die globale Benutzerverwaltung in Verbindung mit iRMC S2s mit einer Firmware Version lt 3 77 mit iRMCs N heres hierzu finden Sie in den Handb chern iRMC S2 S3 integrated Remote Management Controller Ausgabe Mai 2011 und fr here Ausgaben IRMC integrated Remote Management Controller SVS enth lt die OUs Declarations Departments und User Settings Declarations enth lt eine Liste der definierten Rollen sowie die Liste der vordefinierten IRMC S2 S3 Benutzerberechtigungen Departments enth lt die Gruppen f r die Benutzerprivilegien User Settings enth lt Benutzer gruppen spezifische Angaben wie z B das Mail Format f r die E Mail Benachrichtigung und die Gruppen f r die Benutzershells Bei Microsoft Active Directory z B k nnen die Eintr ge f r die iRMC S2 S3 Benutzer in der Standard OU Users liegen Im Gegensatz zu den Standardbenutzern sind IRMC S2 S3 Benutzer jedoch zus tzlich Mitglied in einer oder mehreren Gruppen der OU SVS Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S2 S3 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der IRMC S2 S3 als Element des Departments DEFAULT konfiguriert ist Benutzerverwaltung i
86. PerformDiscovery PerformExploration XXX XxX Xx x x x PerformPowerOperations UpdMgr AccessDownloadMgr AccessRepositoryMgr x AccessUpdateMgr DeleteJob DeleteReleasedJob ModifyUpdateConfig PerformCleanUp PerformCopyJob PerformCopyReleasedJob PerformCreateJob XXIX X XIX OK OK X OK XI OK OK XI XI XI x x PerformReleaseJob UserMgr AccessUserMgr x Perform UserMgt x VIOM AccessVIOM x 7 7 Tabelle 34 Berechtigungen die durch die vordefinierten Rollen erteilt werden Benutzerverwaltung in ServerView 153 In ApacheDS vordefinierte Benutzer und Rollen 154 Benutzerverwaltung in ServerView 7 Anhang 1 Globale iRMC S2 S3 Benutzerverwaltung via LDAP Verzeichnisdienst Die Benutzerverwaltung f r den iRMC S2 S3 verwendet zwei verschiedene Arten von Benutzerkennungen Lokale Benutzerkennungen sind lokal im nicht fl chtigen Speicher des IRMC S2 S3 hinterlegt und werden ber die Benutzerschnittstellen des IRMC S2 S3 verwaltet Globale Benutzerkennungen sind in der zentralen Datenhaltung eines Verzeichnisdienstes Directory Service hinterlegt und werden ber die Schnittstellen dieses Verzeichnisdienstes verwaltet F r die globale IRMC S2 S3 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory
87. RVICES_EXT_TCP 8080 8443 9009 81 389 636 Gem dem eDirectory Installation Guide muss das System f r Multicast Routing eingerichtet sein F r SuSE Linux gehen Sie hierf r wie folgt vor Erzeugen oder sofern bereits vorhanden ffnen Sie die Datei ete sysconfig network ifroute eth0 gt Erweitern Sie die Datei etc sysconfig network ifroute ethO um folgende Zeile 224 0 0 0 0 0 0 0 240 0 0 0 ethd Dadurch passen Sie eth0 an die Systemkonfiguration an User Management in ServerView 273 Globale Benutzerverwaltung f r den iRMC S4 Voraussetzungen f r die Installation des eDirectory Servers der eDirectory Utilities des iManager und von ConsoleOne F r die Installation ist Root Berechtigung erforderlich Die im Folgenden beschriebene Vorgehensweise bei der Installation setzt voraus dass alle f r die Installation ben tigten Dateien bereits in ein Verzeichnis z B home eDirectory kopiert wurden Es handelt sich dabei um folgende Dateien 20060526_0800_Linux_88 SP1_FINAL tar gz iMan_26_linux_64 tgz c1_136f linux tar gz eDirectory Server und Administrations Utilities installieren Gehen Sie wie folgt vor gt Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis das die f r die Installation ben tigten Dateien enth lt im Beispiel home eDirectory cd home eDirectory gt Extrahieren Sie das Archiv 20060526_0800_Linux_88 SP1_FINAL tar gz tar
88. SL Homepage unter http www openssl org Unter den folgenden Links finden Sie Anleitungen zur Einrichtung einer CA und zum Erstellen von Test Zertifikaten http www akadia com services ssh_test_certificate html _ http www freebsdmadeeasy com tutorials web server apache ssl certs php http www flatmtn com computer Linux SSLCertificates html http wwu te umn edu brams006 selfsign html User Management in ServerView 299 Globale Benutzerverwaltung f r den iRMC S4 Als Ergebnis der Zertifikatserstellung m ssen die folgenden drei PEM Dateien vorliegen Root Zertifikat root cer pem Server Zertifikat server cer pem Private Key server key pem Der Private Key darf nicht mit einer Passphrase verschl sselt sein da Sie nur dem LDAP D mon Idap Leseberechtigung f r die Datei server key pem erteilen sollten Die Passphrase entfernen Sie mit folgendem Kommando openssl rsa in server enc key pem out server key pem 8 2 7 3 OpenLDAP konfigurieren Zur Konfiguration von OpenLDAP gehen Sie wie folgt vor gt Starten Sie das Setup Tool YaST und w hlen Sie LDAP Server Configuration gt Aktivieren Sie unter Global Settings Allow Settings die Einstellung LDAPv2 Bind gt Wahlen Sie Global Settings TLS Settings gt Aktivieren Sie die Einstellung TLS gt Geben Sie die Pfade der bei der Installation erstellten Dateien bekannt siehe Abschnitt OpenLDAP installieren auf Seite 299
89. Schl ssell nge von 1024 Byte zu generieren gt Exportieren Sie das ffentliche Zertifizierungsstellenzertifikat CA Certificate Gehen Sie hierbei wie folgt vor gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate Lokaler Computer Vertrauensw rdige Stammzertifizierungsstellen Zertifikate und f hren Sie einen Doppelklick aus F hren Sie einen Doppelklick auf das Zertifikat der neu erstellten Zertifizierungsstelle aus gt Klicken Sie im Zertifikatsfenster auf die Registerkarte Details gt Klicken Sie auf In Datei kopieren gt W hlen Sie einen Dateinamen f r das Zertifizierungsstellenzertifikat und klicken Sie auf Fertig stellen gt Laden Sie das ffentliche Zertifizierungsstellenzertifikat auf dem Dom nencontroller in das Zertifikatsverzeichnis Vertrauensw rdige Stammzertifizierungsstellen Gehen Sie hierbei wie folgt vor gt bertragen Sie die Datei des Zertifizierungsstellenzertifikats auf den Dom nencontroller gt ffnen Sie im Windows Explorer das Zertifikat der neu erstellten Zertifizierungsstelle gt Klicken Sie auf Zertifikat installieren gt Klicken Sie unter Alle Zertifikate in folgenden Speicher speichern auf Durchsuchen und w hlen Sie Vertrauensw rdige Stammzertifizierungsstellen User Management in ServerView 261
90. Seer S Rights To Other Objects jan Categories z eDirectory Maintenance aj E Groups Help Desk LDAP H NMAS Management amp Partition and Replicas E Rights Modify inherited Rights Filter Modify Trustees Rights To Other Objects View Effective Rights H Schema J Trustee name SVS sbrd4 Remove Selected Add Object Object Name cr 3 iRMACgroups sbrd4 Assigned Rights SUS Users E EAEN I Freaks intranet 4 Bild 57 iManager Roles and Tasks Rights To Other Objects Falls unter Object Name kein Objekt angezeigt wird hat der Trustee zurzeit keine Berechtigung innerhalb des angegebenen Kontexts gt Erteilen Sie dem Trustee gegebenenfalls zus tzliche Berechtigung en gt Klicken Sie auf Add Object gt Klicken Sie auf die Objektselektor Schaltflache um das Objekt auszuw hlen f r das Sie dem Trustee eine Berechtigung erteilen wollen gt Klicken Sie auf Assigned Rights Falls die Property All Attributes Rights nicht angezeigt wird gt Klicken Sie auf Add Property Das Add Property Fenster wird angezeigt siehe Bild 58 auf Seite 209 208 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Roles and Tasks Rights T All Categories eDirectory Maintenance Trustee name Object name p iH Groups Help Desk LDAP E NMAS Management H Partition and Replicas Rights Hod fy Inherited Rights Fiter Modif
91. System neu starten CMS Tabelle 30 Berechtigungen der Kategorie ServerList Benutzerverwaltung in ServerView 147 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 18 Kategorie UpdMgr Die UpdMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf ServerView Download Manager Repository Manager Update Manager sowie f r die Ausf hrung der entsprechenden Update Management Tasks Berechtigung Erlaubnis Geltungsbereich AccessDownloadMgr Zugriff auf den Download Manager CMS AccessRepositoryMgr Zugriff auf den Repository Manager CMS AccessUpdateMgr Zugriff auf den Update Manager CMS DeleteJob Einen Job l schen CMS DeleteReleasedJob Einen freigegebenen Job l schen CMS ModifyUpdateConfig Zugriff auf die Update Configuration CMS PerformCleanUp Daten des Update Agent auf einem CMS Managed Node bereinigen PerformCopyJob Job mit Firmware Software Updates CMS kopieren PerformCopyReleasedJob Einen freigegebenen Job kopieren CMS PerformCreateJob Job mit Firmware Software Updates CMS erstellen PerformReleaseJob Einen Job freigeben CMS Tabelle 31 Berechtigungen der Kategorie UpdMgr 148 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 6 1 19 Kategorie UserMgr Die UserMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den User Management Wizard und dessen Verwendung f r fol
92. T zu 6 Der CAS Client sendet das Service Ticket zur berpr fung an den CAS Service 7 Nach erfolgreicher Validierung liefert der CAS Service die folgende Information zur ck Service Ticket is ok lt Benutzername gt 8 Die Web Anwendung ServerView Komponente beantwortet den urspr nglichen Request siehe Schritt 1 Wie CAS basiertes SSO nachfolgende SSO Requests verarbeitet Einmal erfolgreich f r den Zugriff auf eine ServerView Komponente z B Operations Manager authentifiziert kann ein Benutzer eine andere Komponente z B iRMC S2 S3 S4 Web Oberfl che aufrufen ohne dass er noch einmal seine Berechtigungsdaten eingeben muss In diesem Fall f hrt den CAS Service die Authentifizierung mithilfe des Ticket Granting Cookie TGC durch das w hrend eines fr heren Anmeldevorgangs f r diesen Benutzer gesetzt wurde Sofern das TGC einem g ltigen Ticket Granting Ticket TGT entspricht stellt der CAS Service jedesmal automatisch ein Service Ticket ST aus wenn der Web Browser den Dienst einer Komponente der SSO Dom ne anfordert Auf diese Weise hat der Benutzer Zugriff auf eine ServerView Komponente ohne dass er zur Eingabe seiner Berechtigungsdaten aufgefordert wird Benutzerverwaltung in ServerView 39 Single sign on SSO mithilfe eines CAS Service 2 4 2 Single Sign on aus Sicht des Benutzers SSO bedeutet dass Sie Ihre Authentizit t nur einmal n mlich beim CAS Service nachweisen m ssen Bei Ihrer
93. UENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically available version or derivative of this code cannot be changed i e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence O o O O o O ee ze ee e ee ee ee ee ee ee e ee ee ee ze ee ee ee ee ee ee ee ee ee u ee ee Benutzerverwaltung in ServerView 235 Globale Benutzerverwaltung f r den iRMC S2 S3 236 Benutzerverwaltung in ServerView 8 Anhang 2 Globale iRMC S4 Benutzerverwaltung via Verzeichnisdienst Die Benutzerverwaltung f r den iRMC S4 verwendet zwei verschiedene Arten von Benutzerkennungen Lokale Benutzerkennungen sind lokal im nicht fl chtigen Speicher des IRMC S4 hinterlegt und werden ber die Benutzerschnittstellen des iRMC S4 verwaltet Globale Benutzerkennungen sind in der zentralen Datenhaltung eines Verzeichnisdienstes Directory Service hinterlegt und werden ber die Schnittstellen dieses Verzeichnisdienstes verwaltet F r die globale IRMC S4 Benutzerverwaltung werden zurzeit folgende Verzeichnisdiens
94. Users B AlertRoles G kyms6 sbrd4 local Users ER stdsysAlerts G kums sbrd4 local Users AlertTypes m AuthorizationRoles H Privileges E Departments B Deptx AlertRoles m AuthorizationRoles Depty m Others EZ UserSettings E LostandFound m NewTestou E E NTDS Quotas Program Data sass Apply Bild 88 Benutzer mit der Alert Role StdSysAlert 314 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 8 3 iRMC S4 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen Die Zuordnung von iRMC S4 Benutzern zu Benachrichtigungsgruppen Alert Roles k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag In the various different directory services Microsoft Active Directory Novell eDirectory and OpenLDAP iRMC S4 users are assigned to IRMC S4 alert roles in the same way in which iRMC S4 users are assigned to iRMC S4 authorization roles and using the same tools In Active Directory z B treffen Sie die Zuordnung ber die Schaltfl che Add im Eigenschaften Dialog des Snap in Active Directory Benutzer und Computer siehe Bild 88 auf Seite 314 User Management in ServerView 315 Globale Benutzerverwaltung f r den iRMC S4 8 2 9 SSL Copyright Die iRMC S4 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young mut O oo o O O O O ee ae ee ee ee ee ee ae O ee e
95. _ ServerView Remote Management iRMC 2 Web Server Deutsch Baas JCPICMS Centralized Authentication Service CAS Configuration System Information EAS Ganeile Conimmadon System Overview System Components i iRMC 2 ee Power Management pales SUITES Power Consumption Verity SSL Certificate Z Sensors Always Display Login Page V Event Log CAS Network Port 3170 Server Management i Network Settings CAS Server my cmns my domain E Aerting CAS Login URL oas ogin E User Management CAS Logout URL easiogout em CAS Validate URL easivalidate Peele al assign permissions from Permissions retrieved via LDAP W CAS Configuration CE Console Redirection Apply Mdeo Redirection Mdeo Redirection JWS Remote Storage Text Console SOL Central Authentication Service CAS Copyright 2005 2007 JASIG Al rights reserved IRMG 2 SSH Access JASIG Central Authentication Service IRMC 2 Telnet Access i Note Please make sure that you have configured a valid LDAP account for retrieving the CAS user permission from the directory se Logout Refresh Bild 21 IRMC S2 S3 S4 f r die Teilnahme an der ServerView Suite SSO Dom ne konfigurieren Benutzerverwaltung in ServerView 65 ServerView Benutzerverwaltung mit ApacheDS Konfigurieren Sie die folgenden Einstellungen 1 W hlen Sie CAS aktiviert 2 Geben Sie unter CAS Server de
96. access capabilty that a user has regarding operations on a eed Role to User system The privileges are arranged in groups according to their usage by various ServerView components Finis A role is a set of such privileges and is used as the main property for users ServerView Component Assigned Privilege Description of Privilege E ts u 9 A The user has the permission to AgentDeploy EEEE laccess the Alarm Monitor AlarmMgr i lUserAdministrator ArchiveMgr AcnessDeplaymentitor EE BackupMgr AccessDeploymentM Common AccessDownloadMgr ConfigMigr AccessInventoryMgr InvMgr RHC MB AccessOnlineDiagno PerfMgr AccessPerformance PowerMon AccessPowerMonitor Pe AccessPrimeCollect Raidhtgr i kanoen AccessRad ReportMar AccessRaidMgr scs AccessRemoteMana perverList AccessReportMar UpdMar ee AccessRepositoryMgr vom AccessServerConfig AccessServerlist i Previous Finish Help Bild 14 User Management Wizard Dialog Role Definitions Benutzerverwaltung in ServerView 53 ServerView Benutzerverwaltung mit ApacheDS Roles Listet alle zurzeit definierten Rollen auf Die vordefinierten Rollen Administrator Monitor Operator und UserAdministrator werden oben in der Liste angezeigt Wenn Sie eine Rolle ausw hlen werden die zugeh rigen Berechtigungen in der Spalte Privilege angezeigt ServerView Component Listet alle vorhandenen Privilegien Kategorieren Privilege Categories auf wobei jede Privilegien Kategorie
97. ach erfolgreicher Installation des Operations Managers auf der il zentralen Management Station besitzt zun chst nur der Benutzer UserManager die Berechtigungen der UserAdministrator Rolle Am g nstigsten ist es deshalb wenn der Benutzer UserManager alle vordefinierten Passw rter in einem einzigen Arbeitsschritt ndert Einzelheiten hierzu finden Sie unter Abschnitt Benutzer Rollen und Berechtigungen in ApacheDS verwalten auf Seite 49 48 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS 3 2 3 Benutzer Rollen und Berechtigungen in ApacheDS verwalten Der ServerView UserManagement Wizard gestattet Ihnen die komfortable Benutzerverwaltung in ServerView mit ApacheDS Im Einzelnen erm glicht Ihnen der User Management Wizard die folgenden Aufgaben durchzuf hren Rollen erzeugen ndern und l schen Den Rollen Berechtigungen zuweisen Rollen erzeugen ndern und l schen Rollen an Benutzer zuweisen Um den UserManagement Wizard zu nutzen m ssen Sie ber die UserAdministrator Rolle oder eine darauf basierende Rolle verf gen Andernfalls k nnen Sie lediglich Ihr eigenes Passwort ndern Benutzerverwaltung in ServerView 49 ServerView Benutzerverwaltung mit ApacheDS 3 2 3 1 ServerView User Management starten Das ServerView User Management starten Sie im Startfenster der Operations Managers per Klick auf den Link User Management den Sie unter Security im Startfenst
98. age die Benutzerrechte und pr ft ob der Benutzer damit am iRMC S2 S3 arbeiten darf 156 Benutzerverwaltung in ServerView Konzept der Benutzerverwaltung f r den iRMC S2 S3 52 S3 Web Oberil SSH Serielle Schnittstelle f Schnittstelle Login Login Login SSH Benutzername Passwort IRMC S2 S3 lokale Benutzerkennungen Benutzername Passwort LDAP Login Verzeichnisdienst globale Benutzerkennungen Bild 39 Login Authentifizierung durch den iRMC S2 S3 Die Nutzung von SSL fur die LDAP Verbindung zwischen dem iRMC il S2 S3 und dem Directory Service ist optional wird jedoch empfohlen Eine SSL gesicherte LDAP Verbindung zwischen iRMC S2 S3 und Directory Service garantiert den sicheren Austausch der Daten insbesondere auch von Benutzernamen und Passwort SSL Login ber die IRMC S2 S3 Web Oberflache ist nur dann erforderlich wenn LDAP aktiviert ist LDAP enable siehe Handbuch IRMC S2 S3 integrated Remote Management Controller Benutzerverwaltung in ServerView 157 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 Globale Benutzerverwaltung f r den IRMC S2 S3 Die globalen Benutzerkennungen f r den iRMC S2 S3 werden zentral f r alle Plattformen mithilfe eines LDAP Directory Service verwaltet F r die IRMC S2 S3 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP OpenDS ForgeRock s OpenDJ Di
99. ale Erweiterungen ausgelegt SVS enthalt die OUs Declarations Departments und User Settings Declarations enth lt eine Liste der definierten Rollen sowie die Liste der vordefinierten IRMC S2 S3 Benutzerberechtigungen siehe Handbuch IRMC S4 integrated Remote Management Controller Departments enth lt die Gruppen f r die Benutzerprivilegien User Settings enth lt Benutzer gruppen spezifische Angaben wie z B das Mail Format f r die E Mail Benachrichtigung und die Gruppen f r die Benutzershells Bei Microsoft Active Directory z B k nnen die Eintr ge f r die IRMC S4 il Benutzer in der Standard OU Users liegen Im Gegensatz zu den Standardbenutzern sind IRMC S4 Benutzer jedoch zus tzlich Mitglied in einer oder mehreren Gruppen der OU SVS il Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S4 als Element des Departments DEFAULT konfiguriert ist User Management in ServerView 245 Globale Benutzerverwaltung f r den iRMC S4 Active Directory Users and Computers Ele Action ew Favorites Minden Hep 1s1xi e dDaBeBEKRHBBHYStT 0 Saved Queries B gp fwlab firm net r amp Builtin 9 DEE Computers C Saved Queries H amp Domain Controllers E ForeignSecurityPrincipals 3 svs Declarations Departments User Settings Users
100. ale Benutzerverwaltung f r den iRMC S4 kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 8 2 4 Typische Anwendungsszenarien Im Folgenden sind zwei typische Szenarien f r den Einsatz des SVS_LdapDeployer beschrieben 8 2 4 1 Erst Konfiguration einer LDAPv2 Struktur durchf hren Sie wollen erstmals die globale Benutzerverwaltung f r einen iRMC S4 Firmware Version 3 77 oder h her einrichten Hierf r ben tigen Sie eine LDAPv2 Struktur Empfohlene Vorgehensweise Generieren Sie eine Department Definition fur LDAPv2 Strukturen SVS java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure v2 8 2 4 2 LDAP v2 Struktur neu generieren oder erweitern Sie wollen eine LDAP v2 Struktur neu generieren oder eine bereits bestehende LDAP v2 Struktur erweitern Empfohlene Vorgehensweise java jar SVS_LdapDeployer jar deploy myInitialDeploy xml structure structure v2 oder java jar SVS_LdapDeployer jar deploy myInitialDeploy xml User Management in ServerView 257 Globale Benutzerverwaltung f r den iRMC S4
101. all einer Alarmbenachrichtigung E Mails an siehe auch Handbuch iRMC S2 S3 integrated Remote Management Controller alle entsprechend konfigurierten lokalen IRMC S2 S3 Benutzer alle globalen iRMC S2 S3 Benutzer die in der LDAP E Mail Tabelle f r diese Alarmbenachrichtigung registriert sind Die LDAP E Mail Tabelle wird in der iRMC S2 S3 Firmware erstmalig beim Erststart des iRMC S2 S3 angelegt und danach in regelm igen Abst nden aktualisiert Der Umfang der LDAP E Mail Tabelle ist begrenzt auf maximal 64 LDAP Benachrichtigungsgruppen sowie auf maximal 64 globale IRMC S2 S3 Benutzer f r die E Mail Benachrichtigung konfiguriert ist Es wird empfohlen f r die globale E Mail Benachrichtigung E Mail Verteiler zu verwenden 228 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 F r die E Mail Benachrichtigung ermittelt der LDAP Verzeichnisserver aus der E Mail Tabelle folgende Informationen e Liste der globalen iRMC S2 S3 Benutzer f r die E Mail Benachrichtigung konfiguriert ist e Fur jeden globalen iRMC S2 S3 Benutzer Liste der konfigurierten Alarmbenachrichtigungen des jeweiligen Alerts Art und Fehlergewicht Gew nschtes Mail Format Die LDAP E Mail Tabelle wird bei folgenden Anlassen aktualisiert Erst Neustart des IRMC S2 S3 nderung der LDAP Konfiguration In regelm igen Abst nden optional Das Aktualiserungsintervall legen Sie bei der
102. altung in ServerView Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes 2 2 Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Die globale Benutzerverwaltung von ServerView Suite und IRMC S2 S3 S4 speichert die Benutzerkennungen f r alle zentralen Management Stationen CMS iRMC S2 S3 S4 jeweils zentral im Verzeichnis eines LDAP Verzeichnisdienstes Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten Die Benutzerkennungen k nnen somit von allen CMS und iRMC S2 S3 S4 verwendet werden die mit diesem Server im Netz verbunden sind Wichtiger Hinweis Die Abwicklung einer integrierten Benutzerverwaltung auf Basis eines gemeinsamen Verzeichnisdienstes funktioniert nur dann sowohl f r ServerView Benutzer als auch f r IRMC S2 S3 S4 Benutzer wenn der betreffende IRMC S2 S3 S4 als Mitglied des Departments DEFAULT konfiguriert ist In diesem Handbuch wird der Begriff Benutzerverwaltung des il IRMC S2 S3 S4 im Sinne von globaler IRMC S2 S3 S4 Benutzerverwaltung verwendet Dar ber hinaus unterst tzt der the IRMC S2 S3 S4 eine lokale Benutzerverwaltung Bei der lokalen Benutzerverwaltung sind die zugeh rigen Benutzerkennungen lokal im nicht fl chtigen Speicher des iRMC S2 S3 S4 abgelegt und werden ber die IRMC S2 S3 S4 Benutzerschnittstellen verwaltet Zu Einzelheiten siehe Handb cher iRMC S2 S3 integrated Remote Management Controller und IRMC S4 integr
103. anagement Station eine Public Key Infrastruktur PKI mit sicheren SSL Verbindungen Dieses Kapitel liefert Informationen zu folgenden Themen SSL Zertifikate verwalten Uberblick auf Seite 88 SSL Zertifikate auf der Management Station verwalten auf Seite 91 Verwaltete Server f r Role Based Access RBAC und Client Authentifizierung einrichten auf Seite 107 Um BEAST und POODLE Attacken zu verhindern unterst tzt der JBoss Web Server nur die folgenden SSL TLS Protokolle Ab ServerView Operations Manager V7 10 werden nur SSLv2Hello TLSvi 1 und TLSv1 2 unterst tzt Mit ServerView Operations Manager lt V7 10 werden nur SSLv2Hello TLSv1 0 TLSv1 1 und TLSv1 2 standardm ig unterst tzt Wenn Sie trotzdem SSLv3 aktivieren wollen k nnen Sie einen zus tzlichen lt ssl gt Tag ds cfg ss1 protoco1 SSLv3 in die Konfigurationsdatei jboss standalone configuration standalone xml orig einf gen ds cfg ss1 protocol TLSvl ds cfg ss1I protocol SSLv2Hello ds cfg ss1I protocol SSLv3 Benutzerverwaltung in ServerView 87 SSL Zertifikate verwalten berblick 4 1 SSL Zertifikate verwalten berblick F r die Kommunikation mit Web Browsern und verwalteten Servern Managed Nodes verwendet die Management Station eine Public Key Infrastruktur PKI mit sicheren SSL Verbindungen Die Management Station authentisiert sich beim Web Browser via Server Authentifizierung Web Browser kom
104. andard LDAP Gruppen auf dem Active Directory geh ren Weitere Einzelheiten erhalten Sie im Handbuch iRMC S4 integrated Remote Management Controller Voraussetzungen In Schritt 2 und Schritt 3 werden die folgenden Dateien ben tigt f r die Interaktion von ServerView und iRMC S2 S3 S4 Benutzerverwaltung in Active Directory e F r die Benutzerverwaltung in ServerView eine Datei im LDIF Lightweight Directory Interchange Format Format die die ServerView spezifischen Strukturen f r die Integration in Active Directory enth lt Falls Sie w hrend Installation des Operations Managers Active Directory als zu verwendenden Verzeichnisdienst gew hlt haben finden Sie die ben tigte LDIF Datei im folgenden Verzeichnis der zentralen Management Station auf der der Operations Manager installiert ist Auf Windows Systemen lt ServerView directory gt svcommon files SVActiveDirectory dif Auf Linux Systemen opt fujitsu ServerViewSuite svcommon files SVActiveDirect ory Idif F r die iRMC S2 S3 S4 Benutzerverwaltung XML Konfigurationsdatei die die Strukturinformationen in XML Syntax f r die Struktur SVS in Active Directory enth lt Der SVS_LdapDeployer siehe Seite 169 erzeugt LDAP Strukturen auf Basis dieser XML Konfigurationsdatei Die Syntax der Konfigurationsdatei ersehen Sie aus den Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit demjar Archiv SVS_LdapDepl
105. angeh ren Die Anzahl der unter Departments aufgelisteten Abteilungen OUs unterliegt keinen Einschr nkungen Bei der Konfiguration des Verzeichnisdienstes am iRMC S4 ber die il IRMC S4 Web Oberfl che oder ber den Server Configuration Manager spezifizieren Sie den Namen der Abteilung welcher der verwaltete Server mit dem betreffenden iRMC S4 angeh rt Wenn im LDAP Verzeichnis keine Abteilung dieses Namens existiert werden die Berechtigungen der Abteilung Others verwendet Bild 68 auf Seite 248 zeigt anhand vonActive Directory Users and Computers ein Beispiel f r eine solche Organisationsstruktur User Management in ServerView 247 Globale Benutzerverwaltung f r den iRMC S4 4 Active Directory Users and Computers lt 3 Eile Action Yiew Favorites Window Help es Ba eHBB Sul euvrge 3 Active Directory Users and Computers LDAP AD fwlab firm net Maintenance 0 objects H Q Saved Queries g fwlab firm net Builtin 4 Computers 9 8 Domain Controllers H Q ForeignSecurityPrincipals t Eile Action wiew Favorites Wir 1 4 iRMC2 e Bat x gl H iRMCgroups 2 8 LdapDeployerTest 2 0 Users 8 SYS 4 3 Administrator Deptx 3 AlertRoles AuthorizationRoles i Administrator i Maintenance 33 Observer op Userk M 3 Depty 3 Others 3 UserSettings BEA iRMC_MMB 3 MailFormat PreferredShell IPMIbasicMode a
106. are listed here This assignment is editable at any time serf SERVERVIEW Assigned Roles Description of Privilege Administrator oO Administrator e user has the permission o Monitor access the Alarm Monitor C Operator UserAdministrator User svomdev AccessFacilityMgr AccessInventoryMar AccessOnlineDiagnostics AccessPerformanceMgr AccessPowerMonitor AccessPrimeCollect Account name pattern MCH Bild 18 Dialog Assign Role to User einheitliche RBAC Management aktiviert User Wird nur angezeigt wenn die einheitliche RBAC Managament nicht aktiviert ist siehe Handbuch Installation der ServerView Operations Manager Software unter Windows Listet alle definierten Benutzer auf Wenn Sie einen Benutzer ausw hlen werden die dem Benutzer zurzeit zugeordneten Rollen in der Spalte AssignedRoles mit markierter Assigned Option angezeigt Benutzerverwaltung in ServerView 59 ServerView Benutzerverwaltung mit ApacheDS Die vier vordefinierten Benutzer Administrator Monitor Operator und UserManager sind oben in der Liste angeordnet Die Zuordnung von Rollen zu diesen Benutzern kann nicht ver ndert werden User SERVERVIEW und User lt extern gt Wird nur angezeigt wenn die einheitliche RBAC Managament aktiviert ist siehe Handbuch Installation der ServerView Operations Manager Software unter Windows Listet alle definierten Benutzer auf Unter User SERVERVIEW
107. as Syslog Protokoll Die protokollierten Meldungen werden nur angezeigt wenn in der Datei etc openldap slapd conf ein Log Level ungleich 0 eingestellt ist Erlauterungen zu den verschiedenen Leveln finden Sie unter http www zytrax com books ldap ch6 loglevel Tabelle 37 auf Seite 307 gibt einen berblick ber die Log Level und ihre Bedeutung 306 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Log Level Bedeutung 1 umfassendes Debugging 0 kein Debugging 1 Funktionsaufrufe protokollieren 2 Paketverarbeitung testen 4 Heavy Trace Debugging 8 Verbindungsmanagement 16 Gesendete und empfangene Pakete anzeigen 32 Suchfilterverarbeitung 64 Konfigurationsdateiverarbeitung 128 Verarbeitung der Zugangskontrolllisten 256 Status Logging f r Verbindungen Operationen Ergebnisse 512 Status Logging f r gesendete Eintr ge 1024 Kommunikation mit den Shell Backends ausgeben 2048 Ergebnisse des Entry Parsings ausgeben Tabelle 37 OpenLDAP Log Level User Management in ServerView 307 Globale Benutzerverwaltung f r den iRMC S4 8 2 8 E Mail Benachrichtigung an globale iRMC S4 Benutzer konfigurieren Die E Mail Benachrichtigung an globale IRMC S4 Benutzer ist in die globale IRMC S4 Benutzerverwaltung integriert Das hei t dass zentral und Plattform bergreifend ber einen Verzeichnisserver konfiguriert und abgewickelt w
108. as Verzeichnis lt ServerView directory gt apacheds bin 3 Stellen Sie den Apache DS LDAP Inhalt aus der Datei exported_data ldif wieder her indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben ldapmodify h hostname 1473 D uid admin ou system w lt password gt a c f exported_data Idif LDAP Inhalt vom ApacheDS auf Linux Systeme wiederherstellen Gehen Sie wie folgt auf Linux Systeme vor 1 ffnen Sie eine Kommando Shell 2 Stellen Sie den Apache DS LDAP Inhalt aus der Datei exported_data ldif wieder her indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben ldapmodify h hostname 1473 D uid admin ou system w lt password gt a c f exported_data ldif 68 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 3 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Beachten Sie bitte Folgendes Die Konfiguration der Einstellungen f r die Benutzerverwaltung von ServerView und iRMC S2 S3 S4 erfordert detaillierte Active Directory Kenntnisse Nur Personen die ber hinreichende Kenntnisse verf gen sollten die Konfiguration durchf hren Um die integrierte ServerView und iRMC S2 S3 S4 Benutzerverwaltung mit Active Directory verwenden zu k nnen m ssen Sie die folgenden vorbereitenden Schritte durchf hren 1 Importieren Sie die Rollendefinitionen der ServerView Suite Administrator Operator
109. as beim Login erzeugt wurde Tabelle 10 Audit Log Eintrag Parameter von ServerView CAS login 231 Benutzerverwaltung in ServerView 131 Eintr ge des Audit Logs ServerView Komponente STS Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein bin res Sicherheits Token anfordert das ein CAS Ticket Granting Ticket TGT enth lt SG ID RST_ISSUE_TGT SD ID ServerView STS rstIssueTgt 231 Parameter Bedeutung address IP Adresse des Zielsystems user Benutzerkennung die mit dem Username Token in der RST issue TGT Anforderung angegeben wurde tgt CAS Ticket Granting Ticket das beim RST Betrieb erzeugt wurde Tabelle 11 Audit Log Eintrag Parameter von ServerView STS rstlssueTgt 231 Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein binares Sicherheits Token anfordert das ein Service Ticket ST enthalt SG ID RST_ISSUE_ST SD ID ServerView STS rstIssueSt 231 Parameter Bedeutung address IP Adresse des Zielsystems tgt CAS Ticket Granting Ticket das mit dem bin ren Sicherheits Token im RST Request angegeben wurde st CAS Service Ticket das das durch den RST issue ST Request erzeugt wurde Tabelle 12 Audit Log Eintrag Parameter von ServerView STS rstlssueSt 231 Der folgende Audit Log Eintrag wird immer dann erzeugt wenn ein STS Client ein binares Sicherheits Token anfordert das ein Servic
110. ated Remote Management Controller Benutzerverwaltung in ServerView 25 Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes 2 2 1 Vorteile durch Verwendung eines Verzeichnisdienstes Die Verwendung eines Verzeichnisdienstes bietet folgende Vorteile Ein Verzeichnisdienst verwaltet reale Benutzeridentit ten und gestattet so die Verwendung von pers nlichen Identifikationsdaten anstelle von unspezifischen Benutzerkonten Ein Verzeichnisdienst entkoppelt die Benutzerverwaltung vom Server Management Ein Server Administrator kann somit Benutzerrechte nur dann ndern wenn er zum ndern von Daten des Verzeichnisdienstes befugt ist ServerView verwendet den Verzeichnisdienst sowohl f r Benutzer Authentifzierung als auch f r Benutzer Autorisierung Authentifizierung pr ft die Identit t des Benutzers Wer sind Sie Autorisierung definiert die Rechte des Benutzers Was d rfen Sie tun Der Einsatz eines Verzeichnisdienstes f r die Management Station Central Management Station CMS erm glicht es dar ber hinaus f r das Anmelden an der CMS dieselben Kennungen zu verwenden wie f r das Anmelden an den verwalteten Servern 26 Benutzerverwaltung in ServerView Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes 2 2 2 Unterst tzte Verzeichnisdienste Von der ServerView Suite unterst tzte Verzeichnisdienste Derzeit unterst tzt die ServerView Suite folgende Verzeic
111. auf der Management Station verwalten 4 2 4 2 Zertifikat auf einem Linux System ersetzen Gehen Sie wie folgt vor 1 2 Stoppen Sie den JBoss Service siehe Seite 23 Entfernen Sie die Datei keystore a ffnen Sie ein Terminal wie z B Xterm oder Gnome term b Wechseln Sie in das Verzeichnis opt fujitsu ServerViewSuite jboss standalone svconf pki c L schen Sie die keystore Datei oder benennen Sie die Datei um Importieren Sie die von der Zertifizierungsstelle signierte Zertifikatsantwort hier certreply pem zusammen mit dem Zertifikat hier certca pem der Zertifizierungsstelle in eine neue keystore Datei und exportieren Sie den ffentlichen Schl ssel hier keystore p12 openssl pkcsl2 export chain in certreply pem inkey privkey pem passout pass changeit out keystore pl2 name svs_cms CAfile certca pem caname CANAME Ersetzen Sie den Platzhalter CANAME durch den Namen der il Zertifizierungsstelle die die Zertifikatsanforderung Certificate Signing Request CSR signiert hat Formatieren reformatieren Sie die Datei keystore keytool importkeystore srckeystore keystore pl2 destkeystore keystore srcstoretype PKCS12 srestorepass changeit deststorepass changeit destkeypass changeit srcalias svs_cms destalias svs_cms noprompt v Importieren Sie das neue Zertifikat in die Datei truststore Am einfachsten erreichen Sie dies wie folgt a Starten Sie den JBoss Service b Warten Sie bis d
112. ble C1_JRE_HOME exportieren Demgegen ber erfordert der systemweite Export des Pfadnamens nderungen im bash Profil Da Root Berechtigung f r das Arbeiten mit ConsoleOne erforderlich ist gen gt es im Prinzip den Pfadnamen nur f r die Kennung superuser Root zu exportieren Im Folgenden ist jedoch der systemweite Export des Pfadnamens dargestellt Damit k nnen auch normale Benutzer mit ConsoleOne arbeiten sofern sie Root Berechtigung besitzen 278 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Gehen Sie wie folgt vor ffnen Sie die Konfigurationsdatei zur Bearbeitung im Beispiel etc bash bashrc Fugen Sie in der Konfigurationsdatei vor End of die folgende Zeile ein export C1_JRE_HOME opt novel1 j2sdk1 4 2_05 jre Hier wird die zusammen mit eDirectory installierte Java i Laufzeitumgebung verwendet Sie k nnen aber auch den Pfadnamen einer beliebigen anderen auf dem eDirectory Server installierten Java Laufzeitumgebung angeben ConsoleOne erh lt die verf gbaren Baumstrukturen entweder ber die lokale Konfigurationsdatei hosts nds oder ber den SLP Service und Multicast Zum Einf gen Ihrer Baumstruktur in die Konfigurationsdatei gehen Sie verfahren Sie wie folgt gt Wechseln Sie in Ihr Konfigurationsverzeichnis cd etc Erzeugen Sie die Datei hosts nds falls Sie noch nicht existiert ffnen Sie die Datei hosts nds und f gen Sie die folgenden Zeilen
113. cal Us Jonathan Walker DOMULIOI kocal Us Bild 27 Gew nschten Benutzer ausw hlen Es kann hilfreich sein die Spalte Login Name in der Liste Search results auszuw hlen und durch Eingrenzen von Name die Suche per Klick auf Find Now zu beschleunigen 76 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren f W hlen Sie den gew nschten Benutzer oder die Gruppe und klicken Sie auf OK Der Benutzer Baker wird nun in der Liste object names des bergeordneten Dialogs angezeigt Select Users Contacts Computers or Groups BE Select this object type Users Groups ot Other objects Object Types Erom this location pomuusn local Locations Erter the object names to select examolest john Baker NYBak D OMULIOT local Check Names Advanced OK Cancel sence EI Ess Bild 28 Select Users Dialog Benutzer Baker wird angezeigt g Klicken Sie auf OK Der Benutzer Baker wird nun auf der Registerkarte Members des Dialogs Monitor Properties angezeigt Monitor Properties 21x General Members Member Of Managed By Object Security Members Name Active Directory Folder E John Baker DOMULIO1 local Users Bild 29 Dialog Properties f r Monitor Registerkarte Members Benutzer Baker wird angezeigt Benutzerverwaltung in ServerView 77 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren
114. demjar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert wird lt option gt lt option gt Option en die die Ausf hrung des spezifizierten Kommandos steuern In den nachfolgenden Abschnitten werden die einzelnen Kommandos des SVS_LdapDeployer samt den zugeh rigen Optionen im Detail erl utert Der SVS_LdapDeployer erzeugt alle ben tigten Unterb ume inklusive aller Gruppen nicht jedoch die Beziehungen zwischen Benutzern und Gruppen Die Erstellung und Zuordnung von Benutzereintragen zu Gruppen nehmen Sie ber ein entsprechendes Tool des verwendeten Verzeichnisdienstes vor nachdem Sie die OUs SVS und oder iRMCgroups im Verzeichnisdienst generiert haben Benutzerverwaltung in ServerView 171 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 3 deploy LDAP Struktur erzeugen oder ndern Mit dem Kommando deploy k nnen Sie auf dem Verzeichnisserver eine neue LDAP Struktur erzeugen oder zu einer bereits existierenden LDAP Struktur neue Eintr ge hinzuf gen Zum Entfernen von Eintr gen aus einer existierenden LDAP Struktur il m ssen Sie die LDAP Struktur zuerst mit delete siehe Seite 174 l schen und anschlie end mit einer entsprechend modifizierten Konfigurationsdatei neu generieren Syntax deploy lt file gt structure vl v2 both L username lt benutzer gt password lt passwort gt 1 L store_pwd lt pfad gt JL kloc lt pfad gt L kpwd lt key password gt
115. des software written by Tim Hudson tjh eryptsoft com THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically available version or derivative of this code cannot be changed i e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence O o O O o O ee ze ee e ee ee ee ee ee ee e ee ee ee ze ee ee ee ee ee ee ee ee ee u ee ee User Management in ServerView 317 Globale Benutzerverwaltung f r den iRMC S4 318 User Management in ServerView
116. dit Logs 5 2 2 Header eines Audit Log Eintrags Der Header besteht aus den folgenden Feldern von denen jeweils zwei durch ein Leerzeichen getrennt sind Feldinhalt Beschreibung lt 108 gt 1 Diese Felder haben gem RFC 5424 folgende Bedeutung lt 110 gt 1 lt 108 gt 1 resultiert aus lt 13 8 4 gt 1 und spezifiziert im Einzelnen Syslog facility 13 log audit Syslog severity 4 warning Syslog protocol version 1 lt 110 gt 1 resultiert aus lt 13 8 6 gt 1 und spezifiziert im Einzelnen Syslog facility 13 log audit Syslog severity 6 informational Syslog protocol version 1 Timestamp Zeitstempel gem dem in RFC 3339 spezifizierten Format Rechnername Rechnername ServerView Name der ServerView Komponente Zurzeit ist ServerView CAS die component einzige ServerView Komponente die Logging Eintr ge schreibt Ist in jeder Zeile konstant Die Prozess ID wird nicht protokolliert entsprechend RFC 5424 Msgld Name der Operation in abdruckbarem Format Falls es sich um Eintrage von Servern der Version 3 handelt sind dies Operationen der ServerView Komponenten Tabelle 4 Header eines Audit Log Eintrags Beispiel lt 110 gt 1 2011 07 07T09 42 03 113 02 00 compA1 ServerView CAS LOGIN Benutzerverwaltung in ServerView 127 Eintr ge des Audit Logs 5 2 3 strukturierte Daten Audit Log Eintrag Auf den Header eine
117. e locale TEXTDOMAINDIR Schlie en Sie das Terminal und ffnen Sie ein neues Terminal um die Umgebungsvariablen zu exportieren eDirectory Administrations Utilities installieren gt Wechseln Sie in das Unterverzeichnis setup des eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript auf nds install Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 2 ein f r die Installation der Novell eDirectory Administrations Utilities und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Administrations Utilities installiert User Management in ServerView 275 Globale Benutzerverwaltung f r den iRMC S4 iManager installieren und aufrufen il Der iManager ist das f r die Administration von Novell eDirectory empfohlene Tool F r die Installation sowohl in SLES10 als auch in OpenSuSE verwenden Sie das Archiv _64 tgz Gehen Sie wie folgt vor gt gt Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das Archiv iMan_26_linux_64 tgz tar xzvf iMan_26_linux_64 tgz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis iManager Wechseln Sie in das Unterverzeichnis installs von iManager cd iManager installs linux Rufen Sie das Instal
118. e eoveee Delete Monitor eesese oo Delete Operator IPPFeer occcce Delete UserManager esses seses Delete Delete Previous Next Finish Cancel Help Bild 16 User Management Wizard Dialog User amp Password Die vier vordefinierten Benutzer Administrator Monitor Operator und UserManager sind oben in der Liste angeordnet und k nnen nicht gel scht werden Die Passw rter von Administrator Monitor Operator und UserManager k nnen Sie jedoch ndern Mindestens eine freie Zeile mit leeren Eingabefeldern f r User Password und Confirm Password wird unten in der Liste angezeigt und erm glicht Ihnen das Definieren neuer Benutzer User Benutzername 56 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS Passwort Neues Passwort Kennwort best tigen Wiederholen Sie zur Best tigung die Eingabe des neuen Passworts L schen L scht den zugeh rigen Benutzer Neustart Setzt die Einstellungen f r den zugeh rigen Benutzer auf die zuletzt abgespeicherten Einstellungen zur ck Assign Role to User Der Dialog Assign Role to User gestattet Ihnen Rollen zu Benutzer Zuordnungen zu definieren und aufzul sen Der Dialog zeigt alle definierten Benutzer und Rollen tabellarisch an Markiert sind alle Rollen die dem aktuell ausgew hlten Benutzer zugeordnet sind Abh ngig davon ob das einheitliche RBAC Management w hrend der In
119. e 251 Die Integration der iRMC S4 Benutzerverwaltung in OpenLDAP umfasst die folgenden Schritte Principal iRMC User erzeugen Neuen iRMC S4 Benutzer erzeugen und der Berechtigungsgruppe zuordnen Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 302 LDAP Browser Editor von Jarek Gawor Den LDAP Browser Editor von Jarek Gawor k nnen Sie ber eine grafische Oberfl che einfach bedienen Das Tool steht im Internet zum Download zur Verf gung Zur Installation des LDAP Browser Editor verfahren Sie wie folgt gt Entpacken Sie das Zip Archiv Browser281 zip in ein Installationsverzeichnis Ihrer Wahl gt Setzen Sie die Umgebungsvariable JAVA_HOME auf das Installationsverzeichnis der JAVA Laufzeitumgebung z B JAVA_HOME C Program Files Java jre 302 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Principal User Principal Benutzer erzeugen il Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 302 Im Folgenden ist beschrieben wie Sie den Principal User mithilfe des LDAP Browser Editor von Jarek Gawor erzeugen Gehen Sie wie folgt vor gt gt vv v y Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ei
120. e Benutzerverwaltung f r den iRMC S2 S3 7 2 8 3 iRMC S2 S3 Benutzer einer Benachrichtigungsgruppe Alert Role zuordnen Die Zuordnung von iRMC S2 S3 Benutzern zu Benachrichtigungsgruppen Alert Roles k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag In the various different directory services Microsoft Active Directory Novell eDirectory and OpenLDAP iRMC S2 S3 users are assigned to IRMC S2 S3 alert roles in the same way in which iRMC S2 S3 users are assigned to IRMC S2 S3 authorization roles and using the same tools In Active Directory z B treffen Sie die Zuordnung ber die Schaltfl che Add im Eigenschaften Dialog des Snap in Active Directory Benutzer und Computer siehe Bild 63 auf Seite 232 Benutzerverwaltung in ServerView 233 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 9 SSL Copyright Die iRMC S2 S3 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young mut O oo o O O O O ee ae ee ee ee ee ee ae O ee ee ee ee ee O ee ee Zu ee Ze o o o Copyright c 1998 2002 The OpenSSL Project All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redi
121. e Installation der folgenden Komponenten eDirectory Server und Administrations Utilities iManager Administrations Utility ConsoleOne Administrations Utility Voraussetzung f r die Installation von Novell eDirectory Ein Linux Server Betriebssystem muss komplett installiert sein und laufen Die Firewall muss f r Verbindungen zu folgenden Ports konfiguriert sein 8080 8443 9009 81 389 636 F r OpenSuSE konfigurieren Sie dies mithilfe der Datei ete sysconfig SuSEfirewall2 Erweitern Sie den Eintrag FW_SERVICES_EXT_TCP in der Datei etc sysconfig SuSEfirewall2 wie folgt FW_SERVICES_EXT_TCP 8080 8443 9009 81 389 636 Gem dem eDirectory Installation Guide muss das System f r Multicast Routing eingerichtet sein F r SuSE Linux gehen Sie hierf r wie folgt vor Erzeugen oder sofern bereits vorhanden ffnen Sie die Datei ete sysconfig network ifroute eth0 gt Erweitern Sie die Datei etc sysconfig network ifroute ethO um folgende Zeile 224 0 0 0 0 0 0 0 240 0 0 0 ethd Dadurch passen Sie eth0 an die Systemkonfiguration an Benutzerverwaltung in ServerView 191 Globale Benutzerverwaltung f r den iRMC S2 S3 Voraussetzungen f r die Installation des eDirectory Servers der eDirectory Utilities des iManager und von ConsoleOne F r die Installation ist Root Berechtigung erforderlich Die im Folgenden beschriebene Vorgehensweise bei der Installation setzt v
122. e Novell Plug in Modules gt Wahlen Sie auf der Seite Available Novell Plug in Modules unter den aufgelisteten Modulen das eDirectory spezifische Package eDir_88_iMan26_Plugins npm gt Klicken Sie auf Install Role Based Services RBS konfigurieren Wahlen Sie auf der Seite Available Novell Plug in Modules alle f r die LDAP Integration ben tigten Module Falls Sie sich nicht sicher sind wahlen Sie alle Module gt Klicken Sie auf Install eDirectory fur SSL TLS gesicherten Zugriff konfigurieren Wahrend der eDirectory Installation wird ein temporares Zertifikat erzeugt sodass der Zugriff auf eDirectory standardm ig durch SSL TLS abgesichert ist Da jedoch die Firmware des iRMC S2 S3 f r die Verwendung von RSA MD5 Zertifikaten konfiguriert ist ben tigt die SSL TLS gesicherte globale IRMC S2 S3 Benutzerverwaltung via eDirectory ein RSA MD5 Zertifikat der L nge 1024 byte 200 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Ein RSA MD5 Zertifikat der Lange 1024 byte erstellen Sie wie folgt mithilfe von ConsoleOne Loggen Sie sich am LDAP Server unter Ihrer Administratorkennung Admin ein und starten Sie ConsoleOne Navigieren Sie zum Root Verzeichnis Ihrer Unternehmensstruktur z B treename mycompany myorganisation gt Wahlen Sie New Object NDSPKI key material custom um ein neues Objekt der Klasse NDSPKI Key Material zu erstellen gt Spezifizieren Sie im nac
123. e SSL Login f Primary LDAP Sener LDAP Sarvar mans my domain LDAP Por r Bacup LDAP Sener LDAP Server LDAP Port 335 LDAP 81 Port 636 Groups directory a5 sub tras from bass DN User Search content Apply Note 1 Warning If your directory server is unreachable and LDAP is enabled you will not be able to login Note 2 LDAP is disabled tis seting clasbles standard Wen browser RFC2617 aumentiostioniogh and forces Pe use of he Maps login screen Directory Service Access Configuration LDAP Status LDAP Parameter Cnet OK LDAP Auth Password onunnununnnnnnununnnn Confirm Password ae N svuser ou users Eppend Bass DN to Principal User DN Bind DN CNezyuser Ou ugers Oo ujtsu do com Sg Vest Login Search f ter uid es Apply Test LDAP access Reset LOAP Status Bild 20 IRMC S2 S3 S4 f r die Benutzerverwaltung mit OpenDS ApacheDS konfigurieren Benutzerverwaltung in ServerView 63 ServerView Benutzerverwaltung mit ApacheDS Erforderliche Einstellungen in der Gruppe Globale Verzeichnisdienst Konfiguration 1 2 W hlen Sie LDAP aktiviert und LDAP SSL aktiviert Wahlen Sie unter Verzeichnis Server Typ den Eintrag OpenDS und klicken Sie auf bernehmen Konfigurieren Sie unter Prim rer LDAP Server die folgenden Einstellungen LDAP Server DNS Name der zentralen Management Station Sie sollt
124. e Ticket ST enthalt SG ID VALIDATE SD ID ServerView STS validate 231 Parameter Bedeutung address IP Adresse des Zielsystems st CAS Service Ticket das durch den RST issue ST Request erzeugt wurde Tabelle 13 Audit Log Eintrag Parameter von ServerView STS validate 231 132 Benutzerverwaltung in ServerView Eintr ge des Audit Logs Parameter Bedeutung user Benutzerkennung die mit dem Username Token in der RST issue TGT Anforderung angegeben wurde Tabelle 13 Audit Log Eintrag Parameter von ServerView STS validate 231 5 2 4 Beispiele Eintr ge in der Audit Log Datei Die folgenden Beispiele zeigen die Audit Log Eintr ge des Centralized Authentication Service CAS von ServerView Zur besseren Lesbarkeit wurden zus tzliche Zeilen eingef gt INIT Eintrag Der folgende INIT Eintrag enth lt die Elemente origin ServerView audit 231 und ServerView CAS env 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 33 16 265 02 00 pontresina ServerView CAS INIT LServerView audit 231 result success LServerView env 231 javaHome C Program Files Java jre7 javaVendor Sun Microsystems Inc javaVersion 1 6 0_26 jbossUserDir C Program Files Fujitsu ServerView Suite jboss bin jbossUserHome D Profiles jbossrun jbossUserName jbossrun osName Windows XP osVersion 5 1 LServerView msg 231 messageld logging syslo
125. e Umgebungsvariable SV_SCS_INSTALL_TRUSTED durch Eingabe des Kommandos export SV_SCS_INSTALL_TRUSTED lt cert dir gt 3 Geben Sie folgendes Kommando ein rpm U ServerViewConnectorService lt scs version gt i386 rpm Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert Benutzerverwaltung in ServerView 113 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 3 3 2 Zertifikat auf einem Linux VMware System installieren auf dem die ServerView Agenten bereits installiert sind Gehen Sie wie folgt vor 1 2 Starten Sie ein Terminal mit root Berechtigung Finden Sie den Pfad im Folgenden kurz lt scsPath gt des ServerView Remote Connector Service SCS auf dem verwalteten Server Voreingestellt ist der folgende Pfad opt fujitsu ServerViewSuite SCS pki Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in ein lokales Verzeichnis Geben Sie das folgende Kommandb ein cp p lt system_name gt scs pem lt system_name gt scs xml lt scsPath gt Nach einem Neustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen 114 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 3 4 Zertifikat via ServerView Update Manager installieren auf einem Windows Linux VMware Syste
126. e ee ee ee O ee ee Zu ee Ze o o o Copyright c 1998 2002 The OpenSSL Project All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org 4 The names OpenSSL Toolkit and OpenSSL Project must not be used to endorse or promote products derived from this software without prior written permission For written permission please contact openssl core openssl org 5 Products derived from this software may not be called OpenssL nor may OpenSSL appear in their names without prior written permission of the OpenSSL Project 6 Redistributions of any form whatsoever must retain the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org THIS SOFTWARE IS PROV
127. eere Zeichenkette sein Passwort von svuser auf Windows Systemen definieren ndern Erstmals definieren Sie das Passwort f r svuser w hrend der Installation des Operations Managers Benutzerverwaltung in ServerView 45 ServerView Benutzerverwaltung mit ApacheDS iz Fujitsu Server iew JBoss Application Server Setup Administrative User Password To work with OpenDJ directory server a password for the administrative user swuser has to be set Please enter a new password here 1 Please repeat the password Wise Installation Wizard lt Back Cancel Bild 9 Passwort f r svuser erstmals definieren Windows 46 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS ndern k nnen Sie das Passwort f r svuser w hrend einer Update Upgrade Installation des ServerView Operations Managers ie Fujitsu Server iew JBoss Application Server Setup OpenDJ Administrative User Change OpenDJ administrative user FUJITSU Do you want to change the password of the administrative user svuser in your OpenDJ directory service Please provide the old password of svuser If you did not change it the default was admin m Wise Installation Wizard Bild 10 Passwort f r svuser konfigurieren Windows Um das Passwort f r svuser zu ndern gehen Sie wie folgt vor 1 W hlen Sie Yes und geben Sie das alte Passwort ein 2 Klicken Sie a
128. eispiel der LDAPv2 Struktur die Zuordnung ausgehend vom Rolleneintrag anhand der OU SVS beschrieben Die Zuordnung ausgehend vom Benutzereintrag verl uft weitgehend analog In Active Directory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt ffnen Sie das Snap in Active Directory Benutzer und Computer 4 Active Directory Users and Computers oy x 2 Eile Action Yiew Favorites Window Help z aj x eed ta ae 3 Active Directory Users and Computers WET er re een m Saved Queries E P fwlab fim net E Builtin 2 0 Computers H Domain Controllers m ForeignSecurityPrincipals iRMC2 E iRMCgroups aa svs E Declarations Departments o Deptx E AlertRoles Z AuthorizationRdles 3 Depty EA Others A Users Bild 71 Snap in Active Directory Benutzer und Computer j2 Administrator AuthorizationRole f Maintenance AuthorizationRole 77 Observer AuthorizationRole Fis Userkvm AuthorizationRole F hren Sie einen Doppelklick auf die Berechtigungsgruppe hier Administrator aus Der Dialog Eigenschaften von Administrator wird ge ffnet siehe Bild 72 auf Seite 266 User Management in ServerView 265 Globale Benutzerverwaltung f r den iRMC S4 144 Active Directory Users and Computers lt 3 File Action View Favorites Window Help e am elso Bi Pm Et hY ga Ae Drectory Users and Computer ES H E Saved Queries
129. eite 95 Zus tzlich wird in der nachfolgenden Erl uterung angenommen dass das Verzeichnis in dem das keytool liegt Bestandteil der Pfad Variablen PATH variable ist Es m ssen vorhanden sein ein signiertes Zertifizierungsstellen zertifikat hier certreply pem und ein privater Schl ssel hier privkey pem Nach der Ersetzung des Zertifikats auf der Management Station m ssen Sie das Zertifikat auch auf den verwalteten Servern ersetzen siehe Seite 112 f r verwaltete Windows Server oder Seite 114 f r verwaltete Linux VMware Server Dadurch wird sichergestellt dass sich die Management Station weiterhin gegen ber den verwalteten Servern authentisieren kann 96 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 4 1 Zertifikat auf einem Windows System ersetzen Gehen Sie wie folgt vor 1 2 Stoppen Sie den JBoss Service sieheSeite 23 Entfernen Sie die Datei keystore a ffnen Sie die Windows Eingabeaufforderung b Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone svconfipki c L schen Sie die keystore Datei oder benennen Sie die Datei um Kopieren Sie die von der Zertifizierungsstelle signierte Zertifikatsantwort hier certreply pem und das Zertifikat der Zertifizierungsstelle hier certca pem in das aktuelle Verzeichnis lt ServerView directory gt jboss standalone svconfipki Importieren Sie die Zertifikatsantwort zu
130. el 6 Audit Logging Dieses Kapitel liefert detaillierte Informationen zum CAS spezifischen Audit Logging zur Lage des Audit Log im Speicher sowie zur Struktur der Audit Log Eintr ge Benutzerverwaltung in ServerView 13 Struktur des Handbuchs Anhang 1 iRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Dieses Kapitel liefert Informationen zu folgenden Themen Konzept der globalen Benutzerverwaltung f r den iRMC S2 S3 Benutzerberechtigungen Berechtigungsgruppen und Rollen iRMC S2 S3 Benutzerverwaltung mit Microsoft Active Directory Novell eDirectory OpenLDAP OpenDS und OpenDJ Anhang 2 iRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Dieses Kapitel liefert Informationen zu folgenden Themen Konzept der globalen Benutzerverwaltung f r den iRMC S4 Benutzerberechtigungen Berechtigungsgruppen und Rollen iRMC S4 Benutzerverwaltung mit Microsoft Active Directory Novell eDirectory OpenLDAP OpenDS OpenDJ ApacheDS Benutzerverwaltung in ServerView nderungen gegen ber der vorigen Ausgabe 1 4 nderungen gegen ber der vorigen Ausgabe Diese Ausgabe des Handbuchs Benutzerverwaltung in ServerView ist g ltig f r die Version 7 10 des ServerView Operations Manager und ersetzt das folgende Online Handbuch ServerView Suite Benutzerverwaltung in ServerView Ausgabe M rz 2014 Das Handbuch bietet die folgenden nderungen und Erweit
131. em ein umgekehrter Schr gstrich steht wird buchstabengetreu als doppeltes gerades Anf hrungszeichen interpretiert Ein Zirkumflex wird nicht als Maskierungszeichen oder Begrenzungszeichen interpretiert wenn das Passwort von doppelten geraden Anf hrungszeichen umgeben ist 80 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Linux ffnen Sie ein Terminal wie z B Xterm oder Gnome term Wechseln Sie in das Verzeichnis opt fujitsu ServerViewSuite jboss standalone bin gt Geben Sie SetDSPassword lt neues Passwort gt ein Gy Das Passwort darf alle druckbaren Zeichen darunter Leerzeichen und doppelte gerade Anf hrungszeichen enthalten Wenn das Passwort Leerzeichen doppelte gerade Anf hrungszeichen Kommas ein Zirkumflex oder andere Sonderzeichen enth lt muss es von doppelten Anf hrungszeichen eingeschlossen werden z B Pa w rd Umgekehrte Schr gstriche werden buchstabengetreu interpretiert es sei denn sie stehen direkt vor einem doppelten geraden Anf hrungszeichen Ein doppeltes gerades Anf hrungszeichen vor dem ein umgekehrter Schr gstrich steht wird buchstabengetreu als doppeltes gerades Anf hrungszeichen interpretiert Ein Zirkumflex wird nicht als Maskierungszeichen oder Begrenzungszeichen interpretiert wenn das Passwort von doppelten geraden Anf hrungszeichen
132. en il Im Folgenden werden die Dateien lt system_name gt scs pem und lt system_name gt scs xml kurz Zertifikatsdateien genannt Benutzerverwaltung in ServerView 89 SSL Zertifikate verwalten berblick Schl sselpaare verwalten keystore und truststore Dateien Das Java basierte Schl ssel und Zertifikatsmanagement auf dem JBoss Web Server verwaltet Schl sselpaare und Zertifikate mithilfe zweier Dateien Inder keystore Datei Dateiname keystore speichert der JBoss Web Server seine eigenen Schl sselpaare und Zertifikate Die truststore Datei Dateiname cacerts enth lt alle Zertifikate die der JBoss Web Server als vertrauensw rdig einstuft keystore und truststore Datei liegen im folgenden Verzeichnis lt ServerView directory gt jboss standalone svconf pki auf Windows Systemen opt fujitsu ServerViewSuite jboss standalone svconf pki auf Linux Systemen Fur die Verarbeitung von keystore und truststore Datei verwenden Sie das keytool Utility siehe Seite 95 90 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 SSL Zertifikate auf der Management Station verwalten Web Browser kommunizieren mit der Management Station immer Uber eine HTTPS Verbindung also ber eine sichere SSL Verbindung Deshalb ben tigt der JBoss Web Server auf der Management Station ein Zertifikat X 509 Zertifikat mit dem er sich gegen ber dem Web Browser
133. en e Software Downloads e Schulungen il Die Downloads umfassen u a aktuelle Software St nde zur ServerView Suite sowie erg nzende Readme Dateien Informationsdateien und Aktualisierungsdateien Update Sets f r systemnahe Software Komponenten BIOS Firmware Treiber ServerView Agenten und ServerView Update Agenten zur Aktualisierung der PRIMERGY Server anhand des ServerView Update Managers oder f r den lokalen Update einzelner Server anhand des ServerView Update Managers Express die aktuellen Versionen aller Dokumentationen zur ServerView Suite Die Downloads k nnen kostenlos vom FUJITSU Web Server heruntergeladen werden Zu PRIMERGY Servern werden Ihnen Links zu folgenden Themen angeboten e Service Desk e Handb cher e Produktinformationen e Ersatzteilkatalog 16 Benutzerverwaltung in ServerView Dokumentation zur ServerView Suite Zugriff auf die ServerView Suite Link Sammlung Die Link Sammlung der ServerView Suite erreichen Sie ber verschiedene Wege 1 ber den ServerView Operations Manager gt Wahlen Sie auf der Startseite bzw in der Men zeile Help Links aus Anschlie end wird die Startseite der ServerView Suite Link Sammlung angezeigt 2 ber die Startseite der Online Dokumentation zur ServerView Suite auf dem Manual Server von FUJITSU Sie gelangen auf die Startseite der Online Dokumentation mit folgendem Link http manuals ts fujitsu com gt Wahlen Sie links in
134. en Sie die Module die Sie aktivieren wollen Wenn Sie sich z B die Zeitpunkte anzeigen lassen wollen an denen Ereignisse eingetreten sind geben Sie dstrace TIME ein Es wird dringend empfohlen die Module LDAP und TIME durch folgende Eingabe zu aktivieren dstrace LDAP TIME Beenden Sie ndstrace durch Eingabe von quit Damit ist die Konfiguration von ndstrace abgeschlossen Benutzerverwaltung in ServerView 215 Globale Benutzerverwaltung f r den iRMC S2 S3 Meldungsausgabe auf zweites Terminal umleiten gt Starten Sie ndstrace und leiten Sie die Meldungsausgabe um ndstrace 1 gt ndstrace log gt ffnen Sie ein zweites Terminal mithilfe der folgenden Tastenkombination Ctrl a Ctrl c Schalten Sie den Mitschnitt der Protokollierung ein tail f ndstrace log Um zwischen den virtuellen Terminals hin und herzuschalten verwenden Sie die Tastenkombination Ctrl al Ctrl oJ Die Terminals sind von 0 bis 9 durchnummeriert 216 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 7 iRMC S2 S3 Benutzerverwaltung via OpenLDAP Dieser Abschnitt informiert ber folgende Themen OpenLDAP installieren Linux SSL Zertifikat erzeugen OpenLDAP konfigurieren iRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren Tipps zur Administration von OpenLDAP 7 2 7 1 Ope
135. en hier den selben Namen angeben den Sie bei der Installation des Operations Managers auf der Management Station angegeben haben LDAP Port 1473 LDAP SSL Port 1474 Spezifizieren Sie unter Department Name das Default Department DEFAULT 5 Geben Sie unter Base DN ein dc fujitsu dc com Klicken Sie auf Ubernehmen um Ihre Einstellungen zu aktivieren Erforderliche Einstellungen in der Gruppe Globale Verzeichnisdienst Zugangs Konfiguration 1 2 3 Geben Sie unter Principal Benutzer DN ein cn svuser ou users Wahlen Sie Basis DN an Principal Benutzer DN anhangen Wahlen Sie Erweiterte Benutzer Anmeldung und klicken Sie auf Ubernehmen Geben Sie unter User Benutzer Such Kriterium ein uid s Klicken Sie auf Test LDAP Zugang um den Status Ihrer LDAP Verbindung zu testen der anschlieRend unter LDAP Status angezeigt wird Klicken Sie auf Ubernehmen um Ihre Einstellungen zu aktivieren 64 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS 3 2 4 2 iRMC S2 S3 S4 Web Oberfl che f r CAS basierte Single sign on SSO Authentifizierung konfigurieren Auf der Seite Centralized Authentication Service CAS Konfiguration der IRMC S2 S3 S4 Web Oberfl che k nnen Sie die Web Oberfl che des zugeh rigen iRMC S2 S3 S4 f r die CAS basierte Single sign on SSO Authentifizierung konfigurieren Bild 21 zeigt die erforderlichen Einstellungen S ServerView PR MERGY TX180 S7
136. en iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 21x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Mabfimnet Pfade Geben Sie die zu verwendenden Objektnamen ein Beispiele Bild 48 Dialog Benutzer Kontakte oder Computer w hlen Klicken Sie auf die Schaltfl che Pfade Der Dialog Pfad wird ge ffnet Pfad MEI Geben Sie an wo gesucht werden soll Pfad J Gesamtes Verzeichnis S E twiab firm net Builtin HE Computers H Domain Controllers 3 ForeignSecurityPrincipals 3 9 iRMCoroups SVS HA LostAndFound Program Data 3 System awa ok _Abbechen A Bild 49 Dialog Pfad W hlen Sie den Container OU in dem sich Ihre Benutzer befinden Im Standardfall ist dies die OU Users Best tigen Sie mit OK Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 50 auf Seite 186 il Benutzer k nnen auch an anderer Stelle im Verzeichnis eingetragen sein Benutzerverwaltung in ServerView 185 Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen 21x Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad pe Geben Sie die zu verwendenden Objektnamen ein Beispiele Namen berpr fen Erweitert OK Abbrechen Bild 50 Dialog Benutzer Kontakte oder Computer w hlen gt Klicken Sie auf die Schaltfl che Erweitert Ein erweite
137. entifizierung einrichten auf Seite 107 88 Benutzerverwaltung in ServerView SSL Zertifikate verwalten berblick SSL Public Key Datei und Konfigurationsdatei des Security Interceptors W hrend der Installation des Operation Managers werden folgende Dateien automatisch erzeugt lt system_name gt scs pem Selbst signiertes Zertifikat im PEM Format Die PEM Datei enth lt au erdem den ffentlichen Schl ssel Public Key Eine zentrale Management Station verwendet die Datei lt system_name gt scs pem f r folgende Zwecke Server Authentifizierung gegen ber Web Browsern die sich mit der Management Station verbinden Client Authentifizierung gegen ber den verwalteten Servern auf denen die RBAC Funktionalit t genutzt wird F r die Client Authentifizierung muss die Datei lt system_name gt scs pem auf dem verwalteten Server installiert werden lt system_name gt scs xml Konfigurationsdatei des Security Interceptors Diese Datei wird intern f r Validierungsaufrufe verwendet F r die Aktivierung der RBAC Funktionalit t auf dem verwalteten Server muss die Datei lt system_name gt scs xml auf dem verwalteten Server installiert werden Der Operations Manager Installations Wizard installiert beide Dateien in folgendem Verzeichnis der Management Station lt ServerView directory gt svcommon data download pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux System
138. epartments E Deptx Depty Others amp Shell E Users Administrator Sicherheitsgrup Maintenance Sicherheitsgrup P operator Sicherheitsgrup User Sicherheitsgrup Bild 46 Snap in Active Directory Benutzer und Computer F hren Sie einen Doppelklick auf die Berechtigungsgruppe hier Administrator aus Der Dialog Eigenschaften von Administrator wird ge ffnet siehe Bild 47 auf Seite 184 Benutzerverwaltung in ServerView 183 Globale Benutzerverwaltung f r den iRMC S2 S3 144 Active Directory Users and Computers lt gt am eFBBeLRRrKBAHYTST 3 Active Directory Users and Computers BETTEN Ente ieee mes m Saved Queries BE g fwlab firm net GI Buitin z Sacco fii Observer AuthorizationRole m ForeignSecurityPrincipals Fis UserkvM Eigenschaften von Administrator Ka xi fa Sy RMC Z RMCoroups Allgemein Mitglieder Mitglied von Verwaltet von 3 svs Declarations Mitglieder BA Departments a Deptx E AlertRoles Z AuthorizationRoles amp Dept A Others DE Users Active Directory Ordner 4 r Bild 47 Dialog Eigenschaften von Administrator Wahlen Sie die Registerkarte Members gt Klicken Sie auf die Schaltfl che Hinzuftigen Der Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 48 auf Seite 185 184 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r d
139. er Startvorgang beendet ist c Wechseln Sie in das Verzeichnis bin 102 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten d ffnen Sie ein Terminal Fenster und geben Sie das folgende Kommando die folgenden Kommandos ein java jar instal1l cert gui SVCOM_V1 70 jar conf pki cacerts changeit lt system FODN gt 3170 Wenn Sie einen konfigurierten externen Verzeichnisdienst verwenden m ssen Sie auch das folgende Kommando eingeben java jar instal1l cert gui SVCOM_V1 70 jar conf pki cacerts changeit lt system FQDN gt lt port gt lt system FQDN gt Vollqualifizierter Distinguished Name des betreffenden Systems lt port gt LDAP Port der vom externen Directory Service verwendet wird meistens 636 e Das Java Programm install cert gui SVCOM_V1 70 jar zeigt einen Bildschirm ahnlich dem folgenden an Benutzerverwaltung in ServerView 103 SSL Zertifikate auf der Management Station verwalten x General ET SSLException the trustAnchors parameter must be non empty Issued To Subject Common Name CN ts Fujitsu com Organization 0 Fujitsu Technology Solutions GmbH Organizational Unit OU TS Serial Number 33624432291 9508786226842462373686 Yalidity Issued On FriMar 13 13 57 31 CET 2009 Expires On Tue Mar 13 13 57 31 CET 2012 Fingerprints SHA1 Fingerprint 5a 55 17 92 d5 47 6b fb 17 fb f7 b4 61 91 43 b5 52 68 05 70 MDS Fingerprint 32
140. er des Operations Managers finden k adrun sralor 22917 TUFTS Welcome to ServerVlew Sulte ServerList View servers status and configurations Samat Administration Browse for new seners end perform configuration tasks Sammua Serer Cordauration Asset Management Sara and view earvar configuration data Archive Manager mentor Mananer Event Management lew ard configure ihe contarde afthe alam liet Alarm Mondor Alarm Configuration Threshold Manager Monitoring Monitor sarrar performance and power usage Eeromisnca Manager Power klonitor Update Management Veer Mamipamomt Manage software and trmware updates Provides a wizard for operations on Urgats Manager eposton Manager Downioad Haneaar l l ISoatauion Bareaviewe OpanDJ dractary Security canica Available operations shove all available privileges snd prrdlaga groups show all configured rolas Help lt show all defied users Views help tet about theOperdions Manager manage additional mles AnSutie Links About manage additional usare Bild 11 ServerView Operations Manager Startfenster Der Link User Management wird nicht angezeigt falls wahrend der i Installation des Operations Managers ein anderer Verzeichnisdienst z B Active Directory ausgew hlt wurde anstelle von ApacheDS das im embedded Modus unter JBoss ausgef hrt wird Je nachdem ob Sie ber die Berechtigung der Rolle UserAdministrator verf gen gilt Folgend
141. er key pem Der Private Key darf nicht mit einer Passphrase verschl sselt sein da Sie nur dem LDAP D mon Idap Leseberechtigung f r die Datei server key pem erteilen sollten Die Passphrase entfernen Sie mit folgendem Kommando openssl rsa in server enc key pem out server key pem 7 2 7 3 OpenLDAP konfigurieren Zur Konfiguration von OpenLDAP gehen Sie wie folgt vor gt Starten Sie das Setup Tool YaST und w hlen Sie LDAP Server Configuration gt Aktivieren Sie unter Global Settings Allow Settings die Einstellung LDAPv2 Bind gt Wahlen Sie Global Settings TLS Settings gt Aktivieren Sie die Einstellung TLS Geben Sie die Pfade der bei der Installation erstellten Dateien bekannt siehe Abschnitt OpenLDAP installieren auf Seite 217 gt Stellen Sie sicher dass Zertifikate und Privater Schl ssel im Dateisystem vom LDAP Service gelesen werden k nnen Da openldap unter der uid guid Idap ausgef hrt wird k nnen Sie dies z B erreichen indem Sie den Eigent mer der Dateien mit Zertifikaten und privaten Schl sseln auf Idap setzen oder dem LDAP D mon Idap die Leseberechtigung auf die Dateien mit Zertifikaten und privaten Schl sseln erteilen gt Wahlen Sie Databases um eine neue Datenbank zu erzeugen 218 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Falls die von YaST erstellte Konfiguration generell nicht funktioniert pr fen Sie die Kon
142. erden kann Entsprechend konfigurierte globale Benutzerkennungen k nnen E Mail Benachrichtigungen von allen iRMC S4 erhalten die mit dem Verzeichnisserver im Netz verbunden sind Voraussetzungen F r die E Mail Benachrichtigung m ssen folgende Voraussetzungen erf llt sein Globale E Mail Benachrichtigung setzt eine IRMC S4 Firmware der Version 3 77A oder h her voraus da eine LDAP v2 Struktur ben tigt wird Inder iRMC S4 Web Oberflache muss ein Principal Benutzer konfiguriert sein der berechtigt ist im LDAP Verzeichnisbaum LDAP Tree zu suchen siehe Handbuch iRMC S4 integrated Remote Management Controller Bei der Konfiguration der LDAP Einstellungen auf der Seite Verzeichnisdienst Konfiguration muss unter Verzeichnisdienst E Mail Benachrichtigung die E Mail Benachrichtigung konfiguriert sein siehe Handbuch iRMC S4 integrated Remote Management Controller 308 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 8 1 Globale E Mail Benachrichtigung Die globale E Mail Benachrichtigung via Verzeichnisserver erfordert Benachrichtigungsgruppen Alert Roles Diese werden zus tzlich zu den Authorization Roles in der Konfigurationsdatei des SVS_LdapDeployer angegeben siehe Seite 251 Benachrichtigungsgruppen Alert Roles anzeigen Eine Benachrichtigungsgruppe umfasst eine Auswahl definierter Benachrichtigungstypen Alert Types z B Temperatur berschreitung mit jewe
143. erte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benutzer Rolle Administrator Administrator Operator Operator Monitor Monitor UserManager UserAdministrator RemoteStorage UserAccounts VideoRedirection PerfMgr AccessPerformanceMgr AccessThresholdMgr PowerMon AccessPowerMonitor RackManager AccessRack AccessUserGroup ModifyRack Xx XK x x gt lt x ModifyTask ModifyUserGroup RaidMgr AccessRaidMgr ModifyRaidConfig x Xx gt lt x RemDeploy AccessDeploymentMgr AccessDeploymentMgr2 ModifyDmNode x x ModifyDmSettings PerformDmCreatelmage PerformDmDeploylmage PerformDminstallServer PerformDmPowerOperations X OK OK OK OK OK X DK KE XIX OK DK OK OK gt lt gt lt OK OK OK lt SCS ModifyTrustedHosts x Tabelle 34 Berechtigungen die durch die vordefinierten Rollen erteilt werden 152 Benutzerverwaltung in ServerView In ApacheDS vordefinierte Benutzer und Rollen Kategorie Berechtigung Vordefinierter Benutzer Rolle Administrator Administrator Operator Operator Monitor Monitor UserManager UserAdministrator x ServerList AccessServerList ModifyNode PerformArchivelmport PerformConnectivityTest
144. erungen e ApacheDS statt OpenDJ wird als interner Verzeichnisdienst des ServerView Operations Managers verwendet e Neue Funktion einheitliche RBAC Management Im einheitlichen RBAC Management wird der interne Verzeichnisdienst des ServerView Operations Managers ApacheDS dazu verwendet die Rollen Zuweisungen zu verwalten w hrend auf den externen Verzeichnisdienst z B Active Directory nur zugegriffen wird um die Benutzer Authentifizierung zu verwalten siehe Abschnitt Einheitliches RBAC Management Authentifizierung mit externem Active Directory und Autorisierung mit internem ApacheDS auf Seite 33 e nderungen beim Definieren ndern von Passw rtern der vordefinierten Benutzer siehe Abschnitt Passwort des LDAP Bind Kontos ndern auf Seite 80 e ServerView Benutzerverwaltung in Microsoft Active Directory integrieren einheitliches RBAC Management kann verwendet werden siehe Abschnitt ServerView Benutzerverwaltung in Microsoft Active Directory integrieren auf Seite 69 Benutzerverwaltung in ServerView 15 ServerView Suite Link Sammlung 1 5 ServerView Suite Link Sammlung FUJITSU stellt Ihnen ber die Link Sammlung zahlreiche Downloads und weiterf hrende Informationen zur ServerView Suite und zu PRIMERGY Servern zur Verf gung Zur ServerView Suite werden Ihnen Links zu folgenden Themen angeboten e Forum e Service Desk e Handb cher e Produktinformationen e Sicherheitsinformation
145. erverwaltung f r den iRMC S4 8 2 5 iRMC S4 Benutzerverwaltung via Microsoft Active Directory Dieser Abschnitt beschreibt wie Sie die IRMC S24 Benutzerverwaltung in Microsoft Active Directory integrieren Voraussetzung Eine LDAP v2 Struktur ist im Active Directory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 251 Zur Integration der IRMC S4 Benutzerverwaltung in Microsoft Active Directory f hren Sie die folgenden Schritte durch 1 LDAP SSL Zugriff des iRMC S4 am Active Directory Server konfigurieren 2 iRMC S4 Benutzer den iRMC S4 Benutzergruppen in Active Directory zuordnen User Management in ServerView 259 Globale Benutzerverwaltung f r den iRMC S4 8 2 5 1 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren Die iRMC S4 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young Einen Abdruck des SSL Copyrights finden Sie auf Seite 316 Die Nutzung von LDAP via SSL durch den iRMC S4 erfordert die Erstellung eines RSA Zertifikats Die Konfiguration des LDAP Zugriffs umfasst die folgenden Schritte 1 Enterprise CA installieren 2 RSA Zertifikat f r den Domanencontroller Domain Controller erzeugen 3 RSA Zertifikat auf dem Server installieren Enterprise CA installieren Eine CA ist eine Zertifizierungsstelle f r Zertifikate Eine Enterpri
146. ervice via LDAP mit Benutzernamen und Passwort ermittelt per LDAP Anfrage die Benutzerrechte und pr ft ob der Benutzer damit am iRMC S4 arbeiten darf 238 User Management in ServerView Konzept der Benutzerverwaltung f r den iRMC S4 iRMC S4 Web Serielle Schnittstelle Schnittstelle Login Login IRMC S4 lokale Benutzerkennungen Benutzername Passwort BD AP Login Verzeichnisdienst globale Benutzerkennungen Bild 64 Login Authentifizierung durch den iRMC S4 Die Nutzung von SSL f r die LDAP Verbindung zwischen dem iRMC S4 il und dem Directory Service ist optional wird jedoch empfohlen Eine SSL gesicherte LDAP Verbindung zwischen iRMC S4 und Directory Service garantiert den sicheren Austausch der Daten insbesondere auch von Benutzernamen und Passwort SSL Login ber die IRMC S4 Web Oberflache ist nur dann erforderlich wenn LDAP aktiviert ist LDAP enable siehe Handbuch iRMC S4 integrated Remote Management Controller User Management in ServerView 239 Globale Benutzerverwaltung f r den iRMC S4 8 2 Globale Benutzerverwaltung f r den IRMC S4 Die globalen Benutzerkennungen f r den iRMC S4 werden zentral f r alle Plattformen mithilfe eines LDAP Directory Service verwaltet F r die IRMC S4 Benutzerverwaltung werden zurzeit folgende Verzeichnisdienste unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP OpenDS ForgeRock s OpenDJ Dieser Abschnitt in
147. es Falls Sie nicht ber die erforderlichen Berechtigungen verf gen wird der Dialog zur nderung Ihres eigenen Passworts angezeigt siehe Seite 51 Falls Sie ber die erforderlichen Berechtigungen verf gen wird der User Management Wizard gestartet siehe Seite 52 50 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS 3 2 3 2 Eigenes ApacheDS Passwort ndern Mit diesem Dialog k nnen Sie Ihr eigenes ApacheDS Passwort ndern Select Users Contacts Computers or Groups EZ xi Select this object type Users Groups or Other objects Object Types Erom this location DOMULION local Locations Common Queries Search results Cancel _Name RDN _E Mail ddress Description _In Folder Fred Miller DOMULIO1 local Us John Baker DOMULIO1 local Us John Smith DOMULIO1 local Us Jonathan Walker DOMULIO1 local Us Bild 12 Dialog zur nderung des eigenen ApacheDS Passworts Please insert old password Geben Sie Ihr altes Passwort ein Please insert new password Geben Sie Ihr neues Passwort ein Please confirm the new password Wiederholen Sie zur Best tigung die Eingabe des neuen Passworts In Ordnung Aktiviert das neue Passwort Abbrechen Schlie t den Dialog ohne das Passwort zu ndern Benutzerverwaltung in ServerView 51 ServerView Benutzerverwaltung mit ApacheDS 3 2 3 3 User Management Wizard Nach dem Sta
148. es CAS Service festgelegt 24 Stunden Die maximale Lebensdauer betr gt 24 Stunden Dies bedeutet dass ein Benutzer sp testens nach 24 Stunden abgemeldet wird In einem installierten System kann die maximale Zeitspanne nicht ver ndert werden Wie CAS basiertes SSO einen initialen SSO Request verarbeitet Bild 7 veranschaulicht wie CAS basiertes Single sign on SSO eine initiale Single sign on Authentifizierung durchf hrt Browser Client redirects TGT ST Username setTGC 5 4 Password Web Server 1 Bild 7 SSO Architektur mit CAS Service 38 Benutzerverwaltung in ServerView Single sign on SSO mithilfe eines CAS Service Erl uterung 1 Ein Benutzer ruft eine Komponente der ServerView Suite z B ServerView Operations Manager auf indem er die URL der Komponente an der Management Konsole eingibt 2 Der Benutzer Request wird an den CAS Service weitergeleitet 3 Der CAS Service erzeugt ein CAS Anmeldefenster das an der Management Konsole angezeigt wird Das CAS Anmeldefenster fordert den Benutzer auf seine Berechtigungsdaten Benutzername und Passwort einzugeben 4 Der Benutzer gibt seine Berechtigungsdaten ein 5 Der CAS Service pr ft Benutzername und Passwort und leitet den Request an die urspr nglich angeforderte ServerView Komponente weiter Au erdem setzt der CAS Service das TGT Cookie und weist dem Benutzer das Service Ticket ST und das Ticket Granting Ticket TG
149. ese ri Bild 55 LDAP Zugriff auf eDirectory testen SSL nicht aktiviert Falls die Anmeldung erneut fehlschl gt Lockern Sie die Bind Restriktionen siehe Seite 201 7 2 6 4 iRMC S2 S3 Benutzerverwaltung in Novell eDirectory integrieren Voraussetzung Eine LDAP v2 Struktur ist im eDirectory Verzeichnisdienst generiert siehe Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 169 F r die Integration der IRMC S2 S3 Benutzerverwaltung in Novell eDirectory sind die folgenden Schritte erforderlich Principal iRMC User erzeugen IRMC Gruppen und Benutzerrechte in eDirectory vereinbaren Benutzer den Berechtigungsgruppen zuordnen 204 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 LDAP Authentifizierungsprozess f r iRMC S2 S3 Benutzer in eDirectory Die Authentifizierung eines globalen iRMC S2 S3 Benutzers beim Login am IRMC S2 S3 erfolgt nach einem fest vorgegebenen Schema siehe Seite 156 Bild 56 auf Seite 205 veranschaulicht diesen Prozess f r die globale IRMC S2 S3 Benutzerverwaltung mithilfe von Novell eDirectory Das Herstellen einer Verbindung und die Anmeldung mit entsprechenden Anmeldeinformationen wird als BIND Operation bezeichnet SSL basierte Kommunikation IRMC S2 S3 Bind als Principal User 4 iRMC S2 S3 ist authentifiziert iRMC S2 S3 ermittelt den vollqualifizierten DN
150. eser Abschnitt informiert Uber folgende Themen berblick ber die globale Benutzerverwaltung f r den IRMC S2 S3 Konzept der globalen Benutzerverwaltung f r den iRMC S2 S3 mithilfe eines LDAP Verzeichnisdienstes Globale iRMC S2 S3 Benutzerverwaltung im Verzeichnisdienst konfigurieren IRMC S2 S3 spezifische Berechtigungsstrukturen im Verzeichnisdienst generieren Globale iRMC S2 S3 Benutzerverwaltung via Microsoft Active Directory Globale iRMC S2 S3 Benutzerverwaltung via Novell eDirectory Globale iRMC S2 S3 Benutzerverwaltung via OpenLDAP OpenDS OpenD J Neben den in diesem Abschnitt beschriebenen Ma nahmen die Sie auf Seiten des Verzeichnisdienstes durchf hren erfordert die globale Benutzerverwaltung au erdem die Konfiguration der lokalen LDAP Einstellungen am iRMC S2 S3 Die lokalen LDAP Einstellungen konfigurieren Sie wahlweise siehe Handbuch iRMC S2 S3 integrated Remote Management Controller an der IRMC S2 S3 Web Oberflache mithilfe des Server Configuration Managers 158 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Beachten Sie bitte Folgendes Die Konfiguration der Einstellungen f r die globale IRMC S2 S3 Benutzerverwaltung erfordert detaillierte Kenntnisse des verwendeten Verzeichnisdienstes Nur Personen die ber hinreichende Kenntnisse verf gen sollten die Konfiguration durchf hren Benutzerverwaltung in ServerV
151. ew 221 Globale Benutzerverwaltung f r den iRMC S2 S3 Neuen iRMC S2 S3 Benutzer erzeugen und der Berechtigungsgruppe zuordnen Verwenden Sie f r Erzeugung eines neuen Benutzers ObjectClass Person sowie zur Zuordnung eines Benutzers zur Berechtigungsgruppe einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 220 Im Folgenden ist beschrieben wie Sie mithilfe des LDAP Browser Editor von Jarek Gawor einen neuen iRMC S2 S3 Benutzer erzeugen und ihn zur Berechtigungsgruppe hinzuf gen Gehen Sie wie folgt vor gt Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein Erzeugen Sie einen neuen Benutzer Gehen Sie hierbei wie folgt vor gt yY Y Yy VY Vy v Yy W hlen Sie den Teilbaum Untergruppe in dem der neue Benutzer angelegt werden soll Der neue Benutzer kann an beliebiger Stelle des Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Klicken Sie auf Set und geben Sie das Passwort ein Geben Sie einen Nachnamen Surname SN ein Klicken Sie auf Apply 222 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Ordnen Sie den soeben erzeugten Benutzer der Berechtigungsgruppe zu Gehen Sie hierbei wie folgt vor gt Wahlen Sie den Teilbaum Untergruppe von SVS dem der Benutzer angeh re
152. figurationsdatei etc openldap slapd conf auf folgende zwingend erforderlichen Eintr ge allow bind_v2 TLSCACertificateFile path to ca certificate pem TLSCertificateFile path to certificate pem TLSCertificateKeyFile path to privat key pem Falls die von YaST erstellte Konfiguration f r SSL nicht funktioniert pr fen Sie die Konfigurationsdatei etc sysconfig openldap auf folgenden Eintrag OPENLDAP_START_LDAPS yes Benutzerverwaltung in ServerView 219 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 7 4 iRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren Voraussetzung Eine LDAP v2 Struktur ist im OpenLDAP Verzeichnisdienst generiert sieheAbschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 169 Die Integration der IRMC S2 S3 Benutzerverwaltung in OpenLDAP umfasst die folgenden Schritte Principal iRMC User erzeugen Neuen iRMC S2 S3 Benutzer erzeugen und der Berechtigungsgruppe zuordnen Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 220 LDAP Browser Editor von Jarek Gawor Den LDAP Browser Editor von Jarek Gawor k nnen Sie ber eine grafische Oberflache einfach bedienen Das Tool steht im Internet zum Download zur Verf gung Zur Installation des LDAP Browser Editor verfahren Sie wie folgt gt Entpacken Sie das Zip Archiv B
153. form of a textual message at program startup or in documentation online or textual provided with the package Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes cryptographic software written by Eric Young eay cryptsoft com The word cryptographic can be left out if the rouines from the library being used are not cryptographic related 4 If you include any Windows specific code or a derivative thereof from the apps directory application code you must include an acknowledgement This product includes software written by Tim Hudson tjh eryptsoft com THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQ
154. formiert Uber folgende Themen berblick ber die globale Benutzerverwaltung f r den IRMC S4 Konzept der globalen Benutzerverwaltung f r den iRMC S4 mithilfe eines LDAP Verzeichnisdienstes Globale iRMC S4 Benutzerverwaltung im Verzeichnisdienst konfigurieren IRMC iRMC S4 spezifische Berechtigungsstrukturen im Verzeichnisdienst generieren Globale iRMC S4 Benutzerverwaltung via Microsoft Active Directory Globale iRMC S4 Benutzerverwaltung via Novell eDirectory Globale iRMC S4 Benutzerverwaltung via OpenLDAP OpenDS OpenDJ Neben den in diesem Abschnitt beschriebenen Ma nahmen die Sie auf Seiten des Verzeichnisdienstes durchf hren erfordert die globale Benutzerverwaltung au erdem die Konfiguration der lokalen LDAP Einstellungen am iRMC S4 Die lokalen LDAP Einstellungen konfigurieren Sie wahlweise siehe Handbuch iRMC S2 S3 integrated Remote Management Controller ander iRMC S2 S3 Web Oberfl che siehe Handbuch iRMC S4 integrated Remote Management Controller mithilfe des Server Configuration Managers i Beachten Sie bitte Folgendes 240 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Die Konfiguration der Einstellungen f r die globale IRMC S4 Benutzerverwaltung erfordert detaillierte Kenntnisse des verwendeten Verzeichnisdienstes Nur Personen die ber hinreichende Kenntnisse verf gen sollten die Konfiguration durchf hren 241
155. g operation init Lorigin enterpriseld 231 software ServerView CAS swVersion SVCOM_V1 50 3 3 2 Audit started LOGIN Entry fehlgeschlagenes Login Der folgende LOGIN Eintrag enth lt das Element ServerVi ew audi t 231 sowie Freitext im Anschluss an die strukturierten Daten Dieser Eintrag stellt einen Warning Eintrag dar der durch ein fehlgeschlagenes Login verursacht wurde lt 108 gt 1 2011 07 20T08 38 52 234 02 00 pontresina ServerView CAS LOGIN LServerView CAS login 231 address 172 25 88 121 LServerView CAS msg 231 messageld error authentication credentials bad LServerView audit 231 result failure The credentials you provided cannot be determined to be authentic Benutzerverwaltung in ServerView 133 Eintr ge des Audit Logs LOGIN Eintrag erfolgreiches Login Der folgende von einem erfolgreichen Login verursachte LOGIN Eintrag enth lt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 38 32 406 02 00 pontresina ServerView CAS LOGIN LServerView CAS login 231 address 172 25 88 121 tgt TGT 1 VS0g93zTt2dZQ1WX1texuxXNEmJKvw21Hel XqXIScvMKVi7XOBY cas user administrator LServerView CAS msg 231 messageld screen success header ServerView audit 231 result success Log In Successful LOGOUT Eintrag Der folgende LOGOUT Eintrag enth lt das Element ServerVi ew audi t 231 sowie Freitext im Anschluss an die strukturie
156. gabeaufforderung 2 Wechseln Sie in das Verzeichnis lt ServerView directory gt apachedsibin 3 Erstellen Sie die Datei exported_data ldif indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben ldapsearch h hostname 1473 D cn Directory Manager w lt password gt s sub b dc fujitsu dc com gt exported_data Idif 4 Speichern Sie die Datei exported_data ldif f r zuk nftige Verwendung Benutzerverwaltung in ServerView 67 ServerView Benutzerverwaltung mit ApacheDS LDAP Inhalt vom ApacheDS auf Linux Systeme sichern Gehen Sie wie folgt auf Linux Systeme vor 1 ffnen Sie eine Kommando Shell 2 Erstellen Sie die Datei exported_data ldif indem Sie das folgende Kommando innerhalb einer einzigen Zeile eingeben ldapsearch h hostname 1473 D cn Directory Manager w lt password gt s sub b dc fujitsu dc com gt exported_data ldif 3 Speichern Sie die Datei exported_data ldif f r zuk nftige Verwendung 3 2 5 2 Interne Datenbank des ApacheDS Verzeichnisservers wiederherstellen Mit dem OpenLDAP Kommando Idapmodify k nnen Sie den ApacheDS LDAP Inhalt aus einer vorher erstellten Datei exported_data ldif wiederherstellen siehe Abschnitt Interne Datenbank des ApacheDS Verzeichnisservers sichern auf Seite 67 LDAP Inhalt vom ApacheDS auf Windows Systeme wiederherstellen Gehen Sie wie folgt vor auf Windows Systemen 1 ffnen Sie eine Windows Eingabeaufforderung 2 Wechseln Sie in d
157. gen Kontext Men ffnen Sie im rechten Content Frame das Other Sheet W hlen Sie unter Valued Attributes die Option IdapBindRestrictions Klicken Sie auf die Schaltfl che Edit Setzen Sie den Wert auf 0 Klicken Sie auf OK Klicken Sie im Other Sheet auf die Schaltfl che Apply 3 LDAP Konfiguration neu laden gt gt Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Klicken Sie auf auf das Objekt Base DN links im Fenster z B Mycompany Auf der rechten Seite des Fensters wird das Objekt LDAP server angezeigt Markieren Sie das Objekt LDAP Server per Klick mit der rechten Maustaste und w hlen Sie Properties im zugeh rigen Kontext Men 284 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 gt Klicken Sie auf der Registerkarte General auf Refresh NLDAP Server Now Zugang zu eDirectory via LDAP Browser testen Nach erfolgreicher Durchf hrung der oben beschriebenen Schritte 1 3 sollten Sie via LDAP Browser Utility eine Verbindung zu eDirectory herstellen k nnen Mit dem LDAP Browser von Jarek Gavor siehe Seite 302 k nnen Sie dies wie folgt testen gt Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine SSL Verbindung in eDirectory einzuloggen Falls der Versuch fehlschl gt verfahren Sie wie folgt Pr fen Sie ob SSL aktiviert ist vergleiche Seite 283 x Session Options Host Info Host 192
158. gende Aufgaben Benutzer erzeugen ndern und l schen Rollen definieren und ndern Rollen an Benutzer zuweisen Berechtigung Erlaubnis Geltungsbereich AccessUserMgr Auf den User Management Wizard CMS zugreifen PerformUserMgt User Management Wizard f r die CMS Benutzerverwaltung mit ApacheDS verwenden Tabelle 32 Berechtigungen der Kategorie UserMgr 6 1 20 Kategorie VIOM Die AccessVIOM Berechtigung der VIOM Kategorie wird f r den Zugriff auf den ServerView Virtual IO Manager VIOM ben tigt Berechtigung Erlaubnis Geltungsbereich AccessVIOM Zugriff auf VIOM All Tabelle 33 Berechtigungen der Kategorie VIOM Benutzerverwaltung in ServerView 149 In ApacheDS vordefinierte Benutzer und Rollen 6 2 In ApacheDS vordefinierte Benutzer und Rollen ApacheDS hat die vordefinierten Benutzerrollen Administrator Monitor Operator und UserAdministrator die den vordefinierten Benutzern Administrator Monitor bzw UserManager fest zugewiesen sind Die folgende Tabelle zeigt welche Berechtigungen durch die vordefinierten Rollen erteilt werden Kategorie Berechtigung Vordefinierter Benutzer Rolle 5 ee 22 oY SS 55 z 2E AMEI 22 85 32 33 AgentDeploy PerformAgentDeployment x AlarmMgr AccessAlarmMgr x x x ModifyAlarmConfig x PerformAlarmAcknowledge x x PerformMiBintegration x x
159. gr nden von vielen IT Administratoren kritisch betrachtet Benutzer Active Directory extern I Active Directory Users and Computers p DD Saved Queries Authentifizierung 4 ma T ulti D Computers p p E Domain Controllers p D ForeignSec rityPrincipals p D Managed Service Accounts LDIF Import LDIF a SVS i p Z Declarations Datei 4 Departments al cms F AuthorizationRoles a Z DEFAULT AuthorizationRoles i gt EI UserSettings Berechtigung T Users ben tigt importierte LDIF Daten Bild 3 Authentifizierung und Berechtigung innerhalb desselben externen Verzeichnisdienstes 32 Benutzerverwaltung in ServerView Rollenbasierte Zugangskontrolle RBAC In Bild 3 wird sowohl die Authentifizierung als auch die Autorisierung f r den Benutzer mit Active Directory durchgef hrt das die zuvor importierten Daten aus der LDIF Datei bereith lt und zus tzlich auch die Daten die f r die Rollen Zuordnung der Benutzer erstellt wurden 2 3 3 2 Einheitliches RBAC Management Authentifizierung mit externem Active Directory und Autorisierung mit internem ApacheDS Mit dem einheitlichen RBAC Management k nnen Sie den LDIF Import von Benutzer Autorisierungsdaten und den damit verbundenen Sicherheitsproblemen wie folgt umgehen Der interne Verzeichnisdienst des ServerView Operations Managers ApacheDS wird immer eingesetzt um den Benutzern Rollen zuzuordnen Der externe Verzeich
160. gt Speichern Sie das Java Archiv jar Archiv SVS_LdapDeployer jar in ein Verzeichnis auf dem Verzeichnisserver ffnen Sie die Kommando Schnittstelle des Verzeichnisservers gt Wechseln Sie in das Verzeichnis in dem das jar Archiv SVS_LdapDeployer jar gespeichert ist Rufen Sie den SVS_LdapDeployer gem der folgenden Syntax auf java jar SVS_LdapDeployer jar lt kommando gt lt datei gt il il lt option gt W hrend der Ausf hrung des SVS_LdapDeployer werden Sie ber die durchgef hrten Schritte informiert Detaillierte Informationen finden Sie in der Datei log txt die bei jeder Ausf hrung des SVS_LdapDeployer im Ausf hrungsverzeichnis angelegt wird Im Folgenden werden die Begriffe LDAPv1 Struktur und LDAPv2 Struktur f r die Bezeichnung ServerView spezifischer Konfigurationslayouts der Autorisierungsdaten verwendet und beziehen sich nicht auf die Versionen 1 und 2 des LDAP Protokolls Die Kommandos import und synchronize siehe unten werden nur in Verbindung mit LDAPv1 Strukturen ben tigt IRMC S2s mit einer Firmware Version lt 3 77 und iRMCs N heres hierzu finden Sie in den Handb chern IRMC S2 integrated Remote Management Controller Ausgabe Mai 2011 und fruhere Ausgaben IRMC integrated Remote Management Controller lt kommando gt Spezifiziert die durchzuf hrende Aktion Folgende Kommandos stehen zur Auswahl deploy Erzeugt auf dem Verzeichnisserver eine LDAP S
161. h je nach verwendetem Verzeichnisdienst Active Directory eDirectory oder OpenLdap Erstellen Sie eine Konfigurationsdatei in der die Alert Roles definiert sind Starten Sie den SVS_LdapDeployer mit dieser Konfigurationsdatei um eine entsprechende LDAP v2 Struktur SVS auf dem Verzeichnisserver zu generieren siehe Seite 252 und Seite 258 312 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 82 Benachrichtigungsgruppen Alert Roles anzeigen Nach der Generierung der LDAP v2 Struktur wird z B in Active Directory die neu angelegte OU SVS mit den Komponenten Alert Roles und Alert Types unter Declarations sowie mit der Komponente Alert Roles unter DeptX angezeigt siehe Bild 87 Unter Declarations zeigt Alert Roles alle definierten Alert Roles an Alert Types werden alle Benachrichtigungstypen angezeigt 1 Unter DeptX zeigt Alert Roles alle in der OU DeptX g ltigen Alert Roles an 2 Active Directory Users and Computers lt File Action View Favorites Window Help e aa exen 2m eE a Buitin 2 E N Computers E Domain Controllers H amp ForeignSecurityPrincipals E RMC H iRMCgroups 2 8 LdapDeployerTest EB RMCgroups ____ 8 ss 7s 2 14 De j arauon B AlertRoles StdSysAlerts 3 AlertTypes 9 12 AuthorizationRoles 2 3 Privileges 2 13 Departments 5 5 Deptx F 3 AlertRoles lt 3 AuthorizationRoles H E Depty 9 13 Others
162. hfolgenden Dialog die folgenden Werte 1 1024 bits 2 SSL or TLS 3 signature RSA MD5 Ein neues Zertifikat des gew nschten Typs wird erstellt Um das neu erstellte Zertifikat f r die SSL gesicherte LDAP Verbindung zu aktivieren f hren Sie im iManager die folgenden Schritte durch gt Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein gt W hlen Sie LDAP LDAP Options LDAP Server Connection Die Registerkarte Connection enthalt eine Drop down Liste die alle auf dem System installierten Zertifikate anzeigt gt Selektieren Sie in der Drop down Liste das gew nschte Zertifikat eDirectory fur den nicht SSL gesicherten Zugriff konfigurieren Anonymes Login sowie die bertragung von Klartext Passw rtern ber il ungesicherte Kan le sind in eDirectory standardm ig deaktiviert Demzufolge ist das Einloggen via Web Browser am eDirectory Server nur ber eine SSL Verbindung m glich F r die Nutzung von LDAP ohne SSL m ssen Sie die folgenden Schritte durchf hren 1 Nicht SSL gesicherte LDAP Verbindung erm glichen 2 Bind Restriktionen lockern 3 LDAP Konfiguration neu laden Benutzerverwaltung in ServerView 201 Globale Benutzerverwaltung f r den iRMC S2 S3 Gehen Sie wie folgt vor 1 Nicht SSL gesicherte LDAP Verbindung erm glichen gt vv y y y Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Au
163. hnisdienste ApacheDS Microsoft Active Directory W hrend der Installation des ServerView Operations Managers k nnen Sie den ServerView internen Verzeichnisdienst ApacheDS w hlen Vom iRMC S2 S3 S4 unterst tzte Verzeichnisdienste Derzeit unterst tzt der IRMC S2 S3 S4 folgende Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP ApacheDS 2 2 3 ApacheDS oder einen bereits vorhandenen konfigurierten Verzeichnisdienst verwenden ApacheDS verwenden Falls Sie bei der Installation des Operations Managers keinen separaten Verzeichnisdienst festlegen installiert der Installation Wizard automatisch ApacheDS als Verzeichnisdienst Somit ist ApacheDS nur dann verf gbar wenn der Service ServerView JBoss Application Server 7 ausgef hrt wird Bereits existierenden konfigurierten Verzeichnisdienst verwenden Falls f r die Benutzerverwaltung Ihrer IT Umgebung bereits ein Verzeichnisdienst z B Microsoft Active Directory eingerichtet ist k nnen Sie diesen anstelle von ApacheDS verwenden Benutzerverwaltung in ServerView 27 Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes 2 2 4 Gemeinsame Benutzerverwaltung f r ServerView Suite und iRMC S2 S3 S4 Mit Active Directory k nnen Sie eine server bergreifende Benutzerverwaltung einrichten die alle von der ServerView Suite verwalteten Server sowie die zugeh rigen iRMC S2 S3 S4 gleicherma en umfasst Login
164. hrt Jede Alert Role definiert ein spezifisches Benachrichtigungsprofil f r die E Mail Benachrichtigung siehe Abschnitt E Mail Benachrichtigung an globale iRMC S4 Benutzer konfigurieren auf Seite 308 Benutzerrollen anzeigen Wenn Sie eine Abteilung z B DeptX unter SVS im Strukturbaum Active Directory Users and Computers ausw hlen siehe Bild 69 1 und die zugeh rigen Knoten DeptX Authorization Roles aufklappen werden die Benutzerrollen angezeigt 2 die f r diese Abteilung hier DeptX definiert sind ODA EL geatKayse 9 tive Orectory Users asd Comes LOAPAD nase mi 2 ESS 30 ee Sie SS ee SE Nome T Desn There are no keme to show in ths views JORE e 2 8 svs prec 3 Declarations Departments PEs um 1 1 eg ga a 3 AlertRoles ame AuthorizationRoles ol Administrator J ug un Maintenance E G ramostinnge Observer DJ Lost oured E UserkyM H E Dept 3 8 Others Bild 69 Anzeige der Benutzerrollen im Snap in Benutzer und Computer User Management in ServerView 249 Globale Benutzerverwaltung f r den iRMC S4 Berechtigungsgruppen anzeigen denen ein Benutzer zugeordnet ist Wenn Sie einen Benutzer z B kvms4 unter Users im Strukturbaum Active Directory Users and Computers ausw hlen siehe Bild 70 1 und den Dialog Properties f r diesen Benutzer ffnen Kontextmen Properties Members werden die Berechtigungsgruppen
165. hrt Bild 43 auf Seite 166 Alle hier aufgef hrten Rollen m ssen in der OU Declarations definiert sein Ansonsten gibt es hinsichtlich Anzahl der Roles keine Einschr nkungen Die Namen der Rollen sind unter Beachtung einiger syntaktischer Vorgaben des verwendeten Verzeichnisdienstes frei w hlbar Jede Authorization Role definiert ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S2 S3 Neben den Authorization Roles sind auch die Alert Roles aufgef hrt Jede Alert Role definiert ein spezifisches Benachrichtigungsprofil f r die E Mail Benachrichtigung siehe Abschnitt E Mail Benachrichtigung an globale iRMC S2 S3 Benutzer konfigurieren auf Seite 226 Benutzerrollen anzeigen Wenn Sie eine Abteilung z B DeptX unter SVS im Strukturbaum Active Directory Users and Computers ausw hlen siehe Bild 44 1 und die zugeh rigen Knoten DeptX Authorization Roles aufklappen werden die Benutzerrollen angezeigt 2 die f r diese Abteilung hier DeptX definiert sind ODA EL geatKayse 9 tive Orectory Users asd Comes LOAPAD a ers mi 2 ESS 30 tee Sie ee Nome T Desn There are no keme to show in ths views JORE e 2 8 svs prec 3 Declarations Departments PEs um 1 1 ge ga a 3 AlertRoles ame AuthorizationRoles ol Administrator J ug un Maintenance E G ramostinnge Observer DJ Lost oured E UserkyM H E Dept 3 8 Others
166. icht SSL gesicherten Zugriff konfigurieren Anonymes Login sowie die bertragung von Klartext Passw rtern ber il ungesicherte Kan le sind in eDirectory standardm ig deaktiviert Demzufolge ist das Einloggen via Web Browser am eDirectory Server nur ber eine SSL Verbindung m glich F r die Nutzung von LDAP ohne SSL m ssen Sie die folgenden Schritte durchf hren 1 Nicht SSL gesicherte LDAP Verbindung erm glichen 2 Bind Restriktionen lockern 3 LDAP Konfiguration neu laden User Management in ServerView 283 Globale Benutzerverwaltung f r den iRMC S4 Gehen Sie wie folgt vor 1 Nicht SSL gesicherte LDAP Verbindung erm glichen gt vv y y y Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein W hlen Sie die Ansicht Roles and Tasks W hlen Sie LDAP LDAP Options LDAP Server Connection Deaktivieren Sie auf der Registerkarte Connection die Option Require TLS for all Operations W hlen Sie LDAP LDAP Options LDAP Group General Deaktivieren Sie auf der Registerkarte General die Option Require TLS for Simple Binds with password 2 Bind Restriktionen lockern gt gt gt vv YV v 7y gt Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein Navigieren Sie im Objekt Baum zum Objekt LDAP Server Markieren Sie das Objekt LDAP Server per Maus Klick und w hlen Sie Modify Object im zugeh ri
167. ie unter Berechtigungen festlegen von die Option Berechtigungen via LDAP 6 Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren 66 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS 3 2 5 ApacheDS Daten sichern und wiederherstellen Dieser Abschnitt beschreibt wie Sie die OpenLDAP Kommandos Idapsearch und Idapmodify auf der zentralen Management Station verwenden um die folgenden Aufgaben auszuf hren Backup der internen Datenbank des ApacheDS Verzeichnisservers erstellen Interne Datenbank des ApacheDS Verzeichnisservers aus einem anwendbaren Backup wiederherstellen ge ndert haben werden diese nderungen bei der Wiederherstellung berschrieben il Wenn Sie seit der Erstellung des zu verwendenden Backups Passw rter Eine ausf hrliche Beschreibung zu den OpenLDAP Kommandos Idapsearch und Idapmodify finden Sie unter www openldap org 3 2 5 1 Interne Datenbank des ApacheDS Verzeichnisservers sichern Um den LDAP Inhalt von ApacheDS zu sichern k nnen Sie die Datei exported_data ldif mit dem LDAP Kommando Idapsearch erstellen Die Datei exported_data Idif kann dazu verwendet werden den LDAP il Inhalt von ApacheDS wiederherzustellen siehe Abschnitt Interne Datenbank des ApacheDS Verzeichnisservers wiederherstellen auf Seite 68 LDAP Inhalt von ApacheDS auf Windows Systemen sichern Gehen Sie wie folgt vor auf Windows Systemen 1 ffnen Sie eine Windows Ein
168. iederherstellen 222mm 68 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 2 02 0 ee eee eee 69 Passwort des LDAP Bind Kontos ndern 80 LDAP Password Policy Enforcement LPPE 82 SSL Zertifikate auf Management Station und verwaltete Server verwalten u su ke ee ee ew a ae 87 SSL Zertifikate verwalten berblick 88 SSL Zertifikate auf der Management Station verwalten 91 Bei der Installation wird automatisch ein selbstsigniertes ZEIUUKALEIZENGE u 5 a RR eR eS eR ek a rere Zertifizierungsstellenzertifikat CA Certificate erzeugen pega eag ene Software Tools zur Zertifikats und Schl sselverwaltung 95 Benutzerverwaltung in ServerView Inhalt 4 2 4 4 2 4 1 4 2 4 2 4 3 4 3 1 4 3 2 4 3 2 1 4 3 2 2 4 3 3 4 3 3 1 4 3 3 2 4 3 4 4 3 4 1 4 3 4 2 4 3 4 3 5 1 5 2 3 2 1 522 52 9 Er ae 5 2 3 3 5 2 3 4 5 2 3 5 5 2 4 Zertifikat auf der zentralen Management Station ersetzen 96 Zertifikat auf einem Windows System ersetzen 97 Zertifikat auf einem Linux System ersetzen 102 Verwaltete Server f r Role Based Access RBAC und Client Authentifizierung einrichten 107 Dateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen 222 2 107 Zertifikatsdateien auf einem Windows System installieren 109 Zertifikatsdateien geme
169. iew Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 iRMC S2 S3 Benutzerverwaltung ber einen LDAP Verzeichnisdienst Konzept Das im Folgenden erl uterte Konzept einer Verzeichnisdienst gest tzten globalen iRMC S2 S3 Benutzerverwaltung gilt gleicherma en f r die Verzeichnisdienste Microsoft Active Directory Novell eDirectory OpenLDAP und OpenDS OpenDJ Die Abbildungen zeigen exemplarisch die Konsole Active Directory Benutzer und Computer der Benutzeroberflache von Microsoft Active Directory Die folgenden Zeichen sind in LDAP als Meta Zeichen fur Such Strings reserviert amp h L lt gt Verwenden Sie diese Zeichen deshalb nicht als Bestandteil von Relative Distinguished Names RDN 7 2 2 1 Globale iRMC S2 S3 Benutzerverwaltung ber Berechtigungsgruppen und Rollen Die globale iRMC S2 S3 Benutzerverwaltung mithilfe eines LDAP Verzeichnisservers LDAP Directory Server erfordert keine Erweiterung des Standard Schemas des Verzeichnisservers Vielmehr werden s mtliche f r den IRMC S2 S3 relevanten Informationen einschlie lich der Benutzerberechtigungen Privilegien ber zus tzliche LDAP Gruppen und Organisationseinheiten Organizational Units OU bereitgestellt die in einer separaten OU innerhalb einer Dom ne des LDAP Verzeichnisservers in separaten OUs zusammengefasst sind siehe Bild 42 auf Seite 164 IRMC S2 S3 Benutzer erhalten ihre Privilegien ber die Zuweisung einer in der O
170. iew 159 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 1 Overview Die globalen Benutzerkennungen f r den iRMC S2 S3 wie auch f r den iRMC werden zentral und Plattform bergreifend im Verzeichnis Directory eines Verzeichnisdienstes abgelegt Auf diese Weise lassen sich die Benutzerkennungen auf einem zentralen Server verwalten Sie k nnen somit von allen iRMC und iRMC S2 S3 verwendet werden die mit diesem Server im Netz verbunden sind Der Einsatz eines Verzeichnisdienstes f r den iRMC S2 S3 erm glicht es dar ber hinaus f r das Anmelden an den iRMC S2 S3 dieselben Benutzerkennungen zu verwenden wie f r das Anmelden am Betriebssystem der verwalteten Server F r die folgenden iRMC S2 S3 Funktionen wird zurzeit die globale Benutzerverwaltung nicht unterst tzt Login via IPMl over LAN Text Konsolen Umleitung via SOL Login Authentifizierung Login Authentifizierung Verzeichnisdienst globale Benutzerkennungen Login Authentifizierung Bild 40 Gemeinsame Nutzung der globalen Benutzerkennungen durch mehrere iRMCs Die Kommunikation zwischen den einzelnen iRMC S2 S3 und dem zentralen Verzeichnisdienst wird Uber das TCP IP Protokoll LDAP Lightweight Directory Access Protocol abgewickelt LDAP erm glicht den Zugriff auf die g ngigsten zur Benutzerverwaltung geeigneten Verzeichnisdienste Die Kommunikation ber LDAP kann optional durch SSL abgesichert werden 160 Benutzerverwaltung in ServerV
171. ifikat deinstallieren wollen W hlen Sie in der Ansicht Downgrades der Registerkarte Update Details die Zeile aus die in der Spalte New Version Unstinstall anzeigt siehe Bild 37 auf Seite 121 Erzeugen und starten Sie einen neuen Update Job der das CMS Zertifikat auf dem verwalteten Server deinstalliert 120 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie Update Manager Fujitsu Technology Solutions S ServerView User administrator 20ut Fufirsu Update Manager Repository Manager Download Manager Confizurabon Update Manager Geste sob _ Stow Detais amp Lokales Intranet Gesch tzter Modus Inaktiv 10 Bild 37 Update Manager Hauptfenster Update Details Ansicht Downgrades Benutzerverwaltung in ServerView 121 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 122 Benutzerverwaltung in ServerView 5 Audit Logging Mithilfe des Audit Logging k nnen Sie jeder in einem IT System durchgef hrten Aktion den Initiator dieser Aktion zuordnen Im Gegensatz zur Fehlerprotokollierung Error Logging betrachtet das Audit Logging ausschlie lich erfolgreich abgeschlossene Aktionen Die System berwachung ist nicht Ziel des Audit Logging Audit Logging erm glicht autorisierten Personen die nachtr gliche Auswertung von Abl ufen im System Die im Rahmen des Audit Logging
172. ifizie Registerkarte Update Details im Hauptfenster des Update Managers vor Installation des CMS Zertifikats auf dem verwalteten Server Eine separate Zeile in der Ansicht Upgrades der Registerkarte Update Details informiert ber die M glichkeit das CMS Zertifikat auf dem ausgew hlten Server zu installieren siehe Bild 34 Update Manager Fujitsu Technology Solutions 2 Se F ServerView Certfcates no certificate present Install Lokales Intranet Gesch tzter Modus Inaktiv Rios Bild 34 Update Manager Hauptfenster Registerkarte Update Details CMS Zertifikat ist noch nicht installiert Nun k nnen Sie einen Update Job erzeugen und starten der die Installation auf dem verwalteten Server durchf hrt Optional kann der Update Job zus tzliche Update Komponenten umfassen Einzelheiten zum Erstellen eines Update Jobs finden Sie im Handbuch ServerView Update Manager Benutzerverwaltung in ServerView 117 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie Registerkarte Server Details im Hauptfenster des Update Managers nach erfolgreicher Installation des CMS Zertifikats auf dem verwalteten Server Sobald das CMS Zertifikat auf dem verwalteten Server erfolgreich installiert ist wird f r diesen Server unter Agent Access in der Registerkarte Server Details der Hinweis certified angezeigt siehe Bild 35 f Update Manager Fujits
173. ils zugeordnetem Fehlergewicht Severity z B kritisch F r Benutzer die einer bestimmten Benachrichtigungsgruppe zugeordnet sind legt die Benachrichtigungsgruppe fest bei welchen Benachrichtigungstypen und Fehlergewichten die Benutzer per E Mail benachrichtigt werden Die Syntax der Alert Roles ersehen Sie aus den Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit dem jar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert werden Benachrichtigungstypen Alert Types anzeigen Folgende Benachrichtigungstypen werden unterst tzt Benachrichtigungstyp Ursache FanSens L fter Sensoren Temperat Temperatur Sensoren HWError Kritische Hardware Fehler Security Security SysHang System Hang POSTErr Systemstart Fehler SysStat Systemstatus DDCtrl Festplatten und Controller NetInterf Netzwerk Schnittstelle RemMgmt Remote Management SysPwr Energieverwaltung Power Management Memory Memory Others Sonstiges Tabelle 38 Benachrichtigungstypen Alert Types User Management in ServerView 309 Globale Benutzerverwaltung f r den iRMC S4 Jedem Benachrichtigungstyp kann eines der folgenden Fehlergewichte Severity Level zugeordnet werden Warning Critical All none Bevorzugter Mail Server Bei globaler E Mail Benachrichtigung gilt f r den bevorzugten Mail Server die Einstellung Automatic Falls die E
174. importieren wollen Wenn nur ein Eintrag vorhanden ist ist das Zertifikat selbstsigniert dann gibt es keine andere M glichkeit als dieses Zertifikat zu importieren Andernfalls werden mindestens zwei Zertifikate angeboten wie im Beispiel gezeigt 1 Server Zertifikat 2 Zertifikat der Zertifizierungsstelle CA die das Server Zertifikat signiert hat Im Allgemeinen wird empfohlen nur das Zertifikat der Zertifizierungsstelle zu importieren Damit wird jedes andere Server Zertifikat das von derselben Zertifizierungsstelle signiert ist automatisch vertrauensw rdig was in den meisten F llen von Vorteil ist Nach dem Aufruf des Java Programms wird die folgende Meldung angezeigt Benutzerverwaltung in ServerView 99 SSL Zertifikate auf der Management Station verwalten testConnection tm pontresina servware abg firm net 3170 SSLException java lang RuntimeException Unexpected error java security InvalidAlgorithmParameterException the trustAnchors parameter must be non emptywriting to truststore svconf pki cacerts Dies bedeutet keinen Fehler sondern zeigt lediglich an dass das neue Zertifikat bislang noch nicht in die Datei truststore importiert wurde f Erzeugen Sie die Datei keystore pem im PEM Format Gehen Sie wie folgt vor gt Wechseln Sie zur ck in das folgende Verzeichnis lt ServerView directory gt jboss standalone svconf pki Wenden Sie das folgende Kommando an openssl pkcsl2 in keyst
175. in User Management in ServerView 281 Globale Benutzerverwaltung f r den iRMC S4 Role Based Services RBS installieren RBS installieren Sie mithilfe des iManager Configuration Wizard Gehen Sie wie folgt vor gt Wahlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol Wahlen Sie auf der Registerkarte Configure Role Based Services RBS Configuration gt Starten Sie den RBS Configuration Wizard gt Weisen Sie RBS2 dem zu verwaltenden Container zu Im obigen Beispiel ist dies mycompany Plugin Module installieren Gehen Sie wie folgt vor gt Wahlen Sie im iManager die Registerkarte Configure durch Klicken auf das Desk Symbol gt W hlen Sie auf der Registerkarte Configure Plug in installation Available Novell Plug in Modules gt Wahlen Sie auf der Seite Available Novell Plug in Modules unter den aufgelisteten Modulen das eDirectory spezifische Package eDir_88_iMan26_Plugins npm gt Klicken Sie auf Install Role Based Services RBS konfigurieren Wahlen Sie auf der Seite Available Novell Plug in Modules alle f r die LDAP Integration ben tigten Module Falls Sie sich nicht sicher sind wahlen Sie alle Module gt Klicken Sie auf Install eDirectory fur SSL TLS gesicherten Zugriff konfigurieren Wahrend der eDirectory Installation wird ein temporares Zertifikat erzeugt sodass der Zugriff auf eDirectory standardm ig durch SSL TLS abgesichert ist Da
176. inen Dateinamen f r das Zertifizierungsstellenzertifikat und klicken Sie auf Fertig stellen gt Laden Sie das ffentliche Zertifizierungsstellenzertifikat auf dem Dom nencontroller in das Zertifikatsverzeichnis Vertrauensw rdige Stammzertifizierungsstellen Gehen Sie hierbei wie folgt vor gt bertragen Sie die Datei des Zertifizierungsstellenzertifikats auf den Dom nencontroller gt ffnen Sie im Windows Explorer das Zertifikat der neu erstellten Zertifizierungsstelle gt Klicken Sie auf Zertifikat installieren gt Klicken Sie unter Alle Zertifikate in folgenden Speicher speichern auf Durchsuchen und w hlen Sie Vertrauensw rdige Stammzertifizierungsstellen Benutzerverwaltung in ServerView 179 Globale Benutzerverwaltung f r den iRMC S2 S3 gt Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu gt Kopieren Sie das Zertifizierungsstellenzertifikat CA Certificate aus dem Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des aktuellen Benutzers in das Verzeichnis Vertrauensw rdige Stammzertifizierungsstellen des lokalen Computers Dom nencontroller Zertifikat erzeugen Mit den folgenden Schritten erstellen Sie ein RSA Zertifikat f r den Dom nencontroller gt Erstellen Sie eine Datei request inf mi
177. infach durchf hren Beispiel Um ein selbstsigniertes Zertifikat mit 2048 bit Schl ssell nge und einer G ltigkeitsdauer von zwei Jahren auf dem Server myserver mydomain zu installieren gehen Sie vor wie folgt gt ffnen Sie eine Windows Eingabeaufforderung und geben Sie das folgende Kommando ein selfssl T N CN myserver mydomain K 2048 V 730 selfssl exe gibt die folgenden Meldungen aus Microsoft R SelfSSL Version 1 0Copyright C 2003 Microsoft Corporation All rights reserved Do you want to replace the SSL settings for site 1 Y N 78 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren gt Geben Sie Y ein Die anschlieRend angezeigte Meldung Failed to build the subject name blob 0x80092023 k nnen Sie ignorieren da die Meldung nur darauf hinweist dass IIS nicht installiert ist Active Directory wird das soeben installierte Zertifikat verwenden wenn k nftig via Idaps myserver mydomain auf Active Directory zugegriffen wird Der Benutzer John Baker kann sich nun am Operations Manager unter dem Benutzernamen NYBak anmelden Baker kann nun alle Funktionen ausf hren die mit den Berechtigungen Privilegien der Benutzerrolle Monitor zul ssig sind 79 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 3 1 Passwort des LDAP Bind Kontos ndern Sie k nnen das Pas
178. ingle sign on SSO Authentifizierung innerhalb der ServerView Suite konfigurieren Wichtige Hinweise Der CAS Service muss f r alle IRMC S2 S3 S4 der SSO Domane konfiguriert sein zu Einzelheiten siehe Handb cher IRMC S2 S3 integrated Remote Management Controller und IRMC S4 integrated Remote Management Controller Die folgende Beschreibung legt den Schwerpunkt auf die Einstellungen die erforderlich sind f r die Integration eines iRMC S2 S3 S4 in die ServerView Benutzerverwaltung mit ApacheDS und f r die Teilnahme an der ServerView Suite SSO Dom ne Allgemeine Informationen zur Verzeichnisdienst und CAS Konfiguration des IRMC S2 S3 S4 finden Sie in den Handb chern iRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller 62 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS 3 2 4 1 iRMC S2 S3 S4 in die ServerView Benutzerwaltung mit ApacheDS integrieren Auf der Seite Verzeichnisdienst Konfiguration der iRMC S2 S3 S4 Web Oberfl che k nnen Sie den iRMC S2 S3 S4 f r die globale Benutzerverwaltung mit dem Verzeichnisdienst ApacheDS konfigurieren der zusammen mit dem ServerView Operations Manager installiert wurde Die erforderlichen Einstellungen sind in Bild 20 dargestellt und werden anschlie end erl utert Global Directory Service Configuration LDAP Enabled 7 LDAP 33L Enabled 7 Disable Local Login Always us
179. inieren Name of new role Name der neuen Rolle Copy privileges from role Hier k nnen Sie eine fr her definierte Rolle aus einer Liste ausw hlen Die der ausgew hlten Rolle zugeordneten Berechtigungen werden dann automatisch der neuen Rolle zugeordnet In Ordnung Aktiviert die neue Rolle und schlie t den Dialog New Role Die neue Rolle wird nun unter Roles angezeigt Abbrechen Beendet den Dialog New Role ohne eine neue Rolle zu definieren L schen L scht die ausgew hlte Rolle Neustart Setzt die aktuell angezeigten Berechtigung zu Rolle Zuordnungen auf die zuletzt abgespeicherten Einstellungen zur ck Benutzerverwaltung in ServerView 55 ServerView Benutzerverwaltung mit ApacheDS User amp Password Der Dialog User amp Password listet alle zurzeit in ApacheDS definierten Benutzer Passwort Kombinationen auf und erm glicht die Ausf hrung der folgenden Operationen Neue Benutzer definieren Passw rter vorhandener Benutzer ndern Vorhandene Benutzer l schen S ServerView S User Management Role Definitions A user will have the rights of one or more roles Users have to authorize themselves with name and password Here all known users are listed and new users can be defined Please insert the user password combinations below For more details press Help All fields of one row are mandatory User Password Confirm Password Administrator eeeee
180. insam mit den ServerView Agenten WCAC sera eek ee 109 Zertifikat auf einem Windows System installieren auf dem die Windows Agenten bereits installiert sind 311 Zertifikatsdateien auf einem Linux oder VMware System installieren o eee bd ee RAD su ans SEER EE RD a 112 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren 5 hae eritar eRE ER ER REESE Be 112 Zertifikat auf einem Linux VMware System installieren auf dem die ServerView Agenten bereits installiert sind 114 Zertifikat via ServerView Update Manager installieren auf einem Windows Linux VMware System 115 Mit dem ServerView Update Manager das CMS Zertifikat auf dem verwalteten Server installieren berblick 116 CMS Zertifikat auf dem verwalteten Server installieren 120 CMS Zertifikat auf dem verwalteten Server deinstallieren 120 Audit Logging rs ana an 123 Lage der Audit Log Information im Speicher 124 Eintr ge des Audit Logs 22er 125 Typen von Audit Log Eintr gen 4 126 Header eines Audit Log Eintrags 127 strukturierte Daten Audit Log Eintrag 128 ogn Element 4 24 Sa aes an Era 128 ServerView env 231 Element 129 ServerView audit 231 Element 129 ServerView lt COMP_NAME gt msg 231 Element 130 ServerView lt COMP_NAME gt lt operation gt 231 Element 130 Beispiele Eintr ge in der Audit Log Datei
181. ische Konfiguration von Apache optional 194 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Akzeptieren Sie den Default Port 8080 f r Tomcat Akzeptieren Sie den Default SSL Port 8443 f r Tomcat Akzeptieren Sie den Default JK Connector Port 9009 f r Tomcat vv vy y Geben Sie die administrationsberechtigte Benutzerkennung z B root fts f r den administrationsberechtigten Benutzer ein Geben Sie den Baumnamen z B fwlab f r den administrationsberechtigten Benutzer ein gt Akzeptieren Sie die aufgelistete Zusammenfassung Ihrer Eingaben mit 1 OK um die Installation abzuschlie en Beim Novell iManager einloggen Nach der Installation k nnen Sie sich via Web Browser mithilfe der folgenden URL am iManager einloggen https lt IP address of the eDirectory server gt 8443 nps Novell empfiehlt die Verwendung der Web Browser Microsoft Internet Explorer oder Mozilla Firefox In Mozilla Firefox werden m glicherweise nicht alle Popup Fenster des Kontext Men s angezeigt Benutzerverwaltung in ServerView 195 Globale Benutzerverwaltung f r den iRMC S2 S3 ConsoleOne installieren und starten Mit ConsoleOne steht Ihnen ein weiteres Administrationstool von Novell eDirectory zur Verf gung Zur Installation von ConsoleOne gehen Sie wie folgt vor gt Melden Sie sich mit Root Berechtigung Super User am eDirectory Server an gt Wechseln Sie i
182. it Empfehlungen was zu tun ist Benutzerverwaltung in ServerView 91 SSL Zertifikate auf der Management Station verwalten Aufgrund ihrer hohen Verf gbarkeit eignen sich selbstsignierte Zertifikate besonders f r Testumgebungen Um jedoch die hohen Sicherheitsstandards zu erf llen die typisch sind f r das produktive Server Management mit dem Operations Manager empfehlen wir Ihnen die Verwendung eines so genannten Zertifizierungsstellenzertifikats das von einer vertrauensw rdigen Zertifizierungsstelle signiert ist 92 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 2 Zertifizierungsstellenzertifikat CA Certificate erzeugen Zertifizierungsstellenzertifikate werden von einer zentralen Instanz der Zertifizierungsstelle Certificate Authority CA herausgegeben Die Zertifizierungsstelle signiert die Zertifikate mit dem privaten Schl ssel der Zertifizierungsstelle nachdem sie die Identit t der im Zertifikat genannten Organisation gepr ft hat Die Signatur die Bestandteil des Zertifikats ist wird beim Verbindungsaufbau offengelegt sodass der Client die Vertrauensw rdigkeit des Zertifikats verifizieren kann il Beachten Sie bitte Folgendes Wenn eine Update Intallation des ServerView Operations Managers erforderlich ist z B nachdem der Name der Management Station ge ndert wurde wird das Zertifikat der Zertifizierungsstelle nicht automatisch w hrend der Update Insta
183. itet den Request an den CAS Service weiter der anschlie end die Benutzer Authentifizierung durchf hrt Service Ticket ST und Ticket Granting Ticket TGT Nach erfolgreicher Authentifizierung eines Benutzers weist der CAS Service dem Benutzer ein so genanntes Ticket Granting Ticket TGT zu Technisch erfolgt dies durch Setzen eines entsprechenden sicheren Browser Cookies Jedesmal wenn der CAS Client einer ServerView Suite Komponente einen HTTPS Request zum CAS Service umleitet veranlasst das TGT Cookie den CAS Service ein Request spezifisches Service Ticket ST zu erzeugen und erg nzt um einen zus tzlichen Request Parameter an den CAS Client zur ckzusenden Daraufhin validiert der CAS Client das ST per Direktaufruf an den CAS Service und leitet den Request nur bei erfolgreicher Validierung an die ServerView Suite Komponente weiter Benutzerverwaltung in ServerView 37 Single sign on SSO mithilfe eines CAS Service Ticket Granting Cookie TGC Nach dem Aufbau einer SSO Sitzung mit dem CAS Service pr sentiert der Web Browser dem CAS Service ein sicheres Cookie Dieses Cookie enth lt einen String zur Identifizierung eines Ticket Granting Ticket TGT und wird demzufolge als Ticket Granting Cookie TGT Cookie oder TGC bezeichnet Das TGC wird gel scht sobald der Benutzer sich beim CAS Service il abmeldet oder den Web Browser schlie t Die Lebensdauer des Ticket Granting Ticket Cookie ist in der Konfigurationsdatei d
184. jedoch die Firmware des iRMC S4 f r die Verwendung von RSA MD5 Zertifikaten konfiguriert ist ben tigt die SSL TLS gesicherte globale IRMC S4 Benutzerverwaltung via eDirectory ein RSA MD5 Zertifikat der Lange 1024 byte 282 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Ein RSA MD5 Zertifikat der Lange 1024 byte erstellen Sie wie folgt mithilfe von ConsoleOne Loggen Sie sich am LDAP Server unter Ihrer Administratorkennung Admin ein und starten Sie ConsoleOne Navigieren Sie zum Root Verzeichnis Ihrer Unternehmensstruktur z B treename mycompany myorganisation gt Wahlen Sie New Object NDSPKI key material custom um ein neues Objekt der Klasse NDSPKI Key Material zu erstellen gt Spezifizieren Sie im nachfolgenden Dialog die folgenden Werte 1 1024 bits 2 SSL or TLS 3 signature RSA MD5 Ein neues Zertifikat des gew nschten Typs wird erstellt Um das neu erstellte Zertifikat f r die SSL gesicherte LDAP Verbindung zu aktivieren f hren Sie im iManager die folgenden Schritte durch gt Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein gt W hlen Sie LDAP LDAP Options LDAP Server Connection Die Registerkarte Connection enthalt eine Drop down Liste die alle auf dem System installierten Zertifikate anzeigt gt Selektieren Sie in der Drop down Liste das gew nschte Zertifikat eDirectory fur den n
185. kt von der ServerView Suite DVD installiert werden Gehen Sie wie folgt vor 1 Kopieren Sie die gepackte oder entpackten Setup Dateien von der ServerView Suite DVD auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server 2 Erzeugen Sie im Verzeichnis das die Setup Datei en enth lt ein neues Verzeichnis pki Abk rzung f r Public Key Infrastructure 3 Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch gleichzeitig die Zertifikatsdateien mehrerer vertrauensw rdiger Management Stationen bertragen 110 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 Starten Sie die Paket Installation siehe Handbuch ServerView Agenten f r Windows Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert 4 3 2 2 Zertifikat auf einem Windows System installieren auf dem die Windows Agenten bereits installiert sind Gehen Sie wie folgt vor 1 Finden Sie den Pfad im Folgenden kurz lt scsPath gt des ServerView Remote Connector Service SCS auf dem verwalteten Server Voreingestellt ist der folgende Pfad Fur x64 Systeme C Program Files x86 Fujitsu ServerView Suite Remote Connector Fur i386 Systeme C Program Files Fujitsu ServerView Suite Remote C
186. lationsskript auf iManagerInstallLinux bin W hlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Klicken Sie durch die EULA und akzeptieren Sie die EULA W hlen Sie 1 Novell iManager 2 6 Tomcat JVM zur iManager Installation W hlen Sie 1 Yes f r Plugin Download Klicken Sie auf Enter um den Default Pfad f r den Download zu verwenden Das Installationsprogramm sucht via Internet nach Downloads Dies kann einige Minuten dauern Danach werden Sie aufgefordert die zu installierenden Plugins auszuw hlen W hlen Sie All f r den Download aller Plugins gt Wahlen Sie 1 Yes f r die Installation der lokal verf gbaren Plugins Dr cken Sie Enter um den Default Pfad f r die Installation zu verwenden W hlen Sie 2 No f r die automatische Konfiguration von Apache optional 276 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Akzeptieren Sie den Default Port 8080 f r Tomcat Akzeptieren Sie den Default SSL Port 8443 f r Tomcat Akzeptieren Sie den Default JK Connector Port 9009 f r Tomcat vv vy y Geben Sie die administrationsberechtigte Benutzerkennung z B root fts f r den administrationsberechtigten Benutzer ein Geben Sie den Baumnamen z B fwlab f r den administrationsberechtigten Benutzer ein gt Akzeptieren Sie die aufgelistete Zusammenfassung Ihrer Eingaben mit 1 OK um die Ins
187. le Benutzerverwaltung f r den iRMC S2 S3 7 2 5 1 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren Die IRMC S2 S3 LDAP Integration verwendet die auf dem OpenSSL Project basierende SSL Implementation von Eric Young Einen Abdruck des SSL Copyrights finden Sie auf Seite 234 Die Nutzung von LDAP via SSL durch den iRMC S2 S3 erfordert die Erstellung eines RSA Zertifikats Die Konfiguration des LDAP Zugriffs umfasst die folgenden Schritte 1 Enterprise CA installieren 2 RSA Zertifikat f r den Domanencontroller Domain Controller erzeugen 3 RSA Zertifikat auf dem Server installieren Enterprise CA installieren Eine CA ist eine Zertifizierungsstelle f r Zertifikate Eine Enterprise CA Zertifizierungsstelle f r Unternehmen k nnen Sie wahlweise auf dem Dom nencontroller selbst oder auf einem anderen Server installieren Die Installation direkt auf dem Dom nencontroller ist einfacher da im Vergleich zur Installation auf einem anderen Server einige Installationsschritte entfallen Im Folgenden ist beschrieben wie Sie die Enterprise CA direkt auf einem vom Dom nencontroller verschiedenen Server installieren Die erfolgreiche Installation und Konfiguration einer Enterprise CA setzt eine Active Directory Umgebung sowie die installierten IIS Internet Information Services voraus Mit den folgenden Schritten installieren Sie eine Enterprise CA gt Wahlen Sie im Windows Startmen Start
188. leichzeitig die Zertifikatsdateien mehrerer vertrauensw rdiger Management Stationen bertragen Benutzerverwaltung in ServerView 109 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 Starten Sie die Paket Installation siehe Handbuch ServerView Agenten f r Windows Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert Installieren via entpackter Installation Gehen Sie wie folgt vor 1 Entpacken Sie die Setup Dateien ServerViewAgents_Win_i386 exe oder ServerViewAgents_Win_x64 exe auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server Dabei werden die Dateien Setup exe ServerViewAgents_xxx msi und andere Dateien erzeugt 2 Erzeugen Sie im Verzeichnis das die Setup Datei enthalt ein neues Verzeichnis pki Abk rzung f r Public Key Infrastructure 3 Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch gleichzeitig die Zertifikatsdateien mehrerer vertrauensw rdiger Management Stationen bertragen 4 Starten Sie Setup exe siehe Handbuch ServerView Agenten f r Windows Alle Zertifikate im Verzeichnis pki werden bei der Installation der ServerView Agenten an geeigneter Stelle installiert Installieren via ServerView Suite DVD ServerView Agenten und Zertifikate k nnen nicht dire
189. len Sie sicher dass die LDAP Objekte mit den Anmeldeinformationen aller Mitglieder unter der konfigurierten User Search Base liegen a W hlen Sie Start Systemsteuerung Administrative Tools Active Directory Benutzer und Computer an der Management Station um die grafische Benutzeroberfl che von Active Directory zu starten Benutzerverwaltung in ServerView 73 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren b Durchlaufen Sie in der Baumstruktur den Knoten SVS von oben nach unten bis zum Knoten Departments Expandieren Sie die Departments CMS und DEFAULT siehe Bild 23 4 Active Directory Users and Computers 9 Ele Action View Window Help e Am exen tev Sa Active Directory Users and Computers sa E Saved Queries 5 8 DOMULIOL local H E Builtin H E Computers H Domain Controllers H E ForeignSecurityPrincipals H E LostAndFound H E NTDS Quotas amp Program Data zE 5v5 5 Declarations H AuthRoles A Privileges ET Departments There are no items to show in this view SH AuthRoles 2 UserSettings H E System H Users Bild 23 Die Monitor Rolle soll einem Benutzer John Baker zugewiesen werden 74 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren c W hlen Sie SVS Departments CMS AuthRoles klicken Sie mit der rechten Maustaste auf Monitor und w hlen Sie Properties Der Dialog P
190. llation ersetzt Stattdessen m ssen Sie das Zertifikat durch Ihr eigenes ersetzen siehe Abschnitt Zertifikat auf der zentralen Management Station ersetzen auf Seite 96 Folgende Schritte sind zur Erzeugung eines Zertifizierungsstellenzertifikats erforderlich 1 Erzeugen Sie eine Zertifikatsanforderung Certificate Signing Request CSR hier certrq pem z B mit dem Tool openssl openssl req new keyout privkey pem out certreq pem days 365 2 Senden Sie die Zertifikatsanforderung an die Zertifizierungsstelle Die Zertifizierungsstelle gibt das signierte Zertifikat Certificate Reply zur ck z B im PEM Format als certreply pem oder im DER Format als certreply cer Im Folgenden wird angenommen dass das Zertifikat das PEM Format hat Wenn n tig k nnen Sie das Zertifikat vom DER Format in das PEM Format mit folgendem Kommando konvertieren openssl x509 in certreply cer inform DER out certreply pem outform PEM Benutzerverwaltung in ServerView 93 SSL Zertifikate auf der Management Station verwalten Wenn das Zertifikat erweiterte Key Usages enthalten soll ist es wichtig dass es f r die Key Usages Server Authentifizierung 1 3 6 1 5 5 7 3 1 und Client Authentfizierung 1 3 6 1 5 5 7 3 2 signiert wird weil es sowohl als Server Zertifikat als auch als Client Zertifikat verwendet wird 3 Speichern Sie das signierte Zertifikat in einer Datei ab 4 Verifizieren Sie das signierte Zertifikat 94 Be
191. ltfl che Jetzt suchen um sich alle Benutzer Ihrer Dom ne anzeigen zu lassen Im Anzeigebereich unter Suchergebnisse wird das Suchergebnis angezeigt siehe Bild 77 auf Seite 270 User Management in ServerView 269 Globale Benutzerverwaltung f r den iRMC S4 Select Users Contacts or Computers Select this object type Users or Other objects Object Types Erom this location Users Locations Common Queries Name Description Starts with z J Disabled accounts 7 Non expiting password Days since last logon z Search results Name RDN E Mail Address Description Starts with x In 21x Columns Stop xy Cancel Folder ASPNET Martin clanene Michael Must GF Robin Hood Account used fo fwlab firm net Us Guest Built in account f USR_DOMINO Built in account f fi WAM DOM Built in account f This i isa vendor i jab firm net Us jab firm net Us jab firm net Us jab firm net Us lab firm net Us lab firm net Us jab firm net Us jab firm net Us jab firm net Us lab firm net Us ns firm nets Bild 77 Dee Benutzer Kontakte Sdot er w hlen Suchergebnisse anzeigen W hlen Sie die Benutzer die zur Gruppe hinzugef gt werden sollen und best tigen Sie mit OK Es werden nun die ausgew hlten Benutzer angezeigt siehe Bild 78 auf Seite 271
192. lutions entsprechend RFC 5424 Parameter Bedeutung result Gibt an ob die Operation erfolgreich ausgef hrt wurde M gliche Werte sind success Die Operation wurde ausgef hrt failure Die Operation schlug fehl Tabelle 7 Audit Log Eintrag ServerViewaudit 231 Element Benutzerverwaltung in ServerView 129 Eintr ge des Audit Logs 5 2 3 4 ServerView lt COMP_NAME gt msg 231 Element Der ServerView lt COMP_NAME gt audit 231 Eintrag ist Bestandteil jedes Audit Log Eintrags Der Eintrag enth lt die ID die sich auf die Meldung bezieht die die aktuelle Operation erkl rt lt COMP_NAME gt bezeichnet die ServerView Komponente die den Audit Log Eintrag liefert Einige Meldungen beziehen sich auf alle ServerView Komponenten In diesen F llen fehlt der Namensbestandteil lt COMP_NAME gt 231 ist die Private Enterprise Number f r Fujitsu Technology Solutions die bei Internet Assigned Numbers Authority IANA registriert ist Somit identifiziert das suffix 231 das Element als reserviertes Element fur Fujitsu Technology Solutions entsprechend RFC 5424 Parameter Bedeutung messageld Meldungs ID die sich auf die Meldung bezieht die die aktuelle Operation erkl rt Tabelle 8 Audit Log Eintrag ServerView lt COMP_NAME gt msg 231 Element 5 2 3 5 ServerView lt COMP_NAME gt lt operation gt 231 Element Dieses Element ist spezifisch fur ServerView Komponenten und
193. m Voraussetzungen Der ServerView Update Agent und die ServerView Agenten m ssen mindestens Version 5 0 vorliegen F r jeden in der Serverliste angezeigten verwalteten Server bietet der Update Mechanismus des ServerView Update Managers die M glichkeit das Zertifikat der Management Station im Folgenden kurz CMS Zertifikat direkt aus der Serverliste heraus auf dem verwalteten Server zu installieren Wie andere Update Komponenten auch bietet Ihnen der Update Manager das CMS Zertifikat als zu installierende Software an Durch Generieren und Starten eines entsprechenden Update Jobs k nnen Sie das Zertifikat automatisch zum verwalteten Server bertragen Hierzu muss jede f r die Management Station erstellte Zertifikatsdatei im Repository des Update Managers enthalten sein Pfadname Tools Certificates Windows und Tools Certificates Linux VMware Beider regul ren Erstinstallation des Repository f gt der Konfigurationsassistent des Update Managers die Zertifikate am Ende der Konfigurationsphase zum Repository hinzu W hrend einer Update Installation werden die Zertifikate durch Ausf hrung der entsprechenden Installations Skripts automatisch zum Repository hinzugef gt Wichtig Es darf nur ein lokales Repository angegeben werden da die hinzugef gten Daten ausschlie lich f r die betreffende Management Station g ltig sind Benutzerverwaltung in ServerView 115 Verwaltete Server f r Role Based
194. mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von delete in der Konfigurationsdatei Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd kloc lt pfad gt Speichert den zufallsgenerierten Schl ssel unter lt pfad gt Wenn Sie diese Option nicht angeben wird der Schl ssel in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird 174 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 kpwd lt passwort gt Legt ein Passwort zum Schutz des zufallsgenerierten Schl ssels fest Wenn Sie lt passwort gt nicht angeben wird das Passwort automatisch auf Basis einer Momentaufnahme der aktuellen Ablaufumgebung gebildet 7 2 4 Typische Anwendungsszenarien Im Folgenden sind zwei typische Szenarien f r den Einsatz des SVS_LdapDeployer beschrieben 7 2 4 1 Erst Konfiguration einer LDAPv2 Struktur durchf hren Sie wollen erstmals die globale Benutzerverwaltung f r einen iRMC S2 S3 Firmware Version 3
195. mmandos import und synchronize siehe unten werden nur in Verbindung mit LDAPv1 Strukturen ben tigt IRMC S2s mit einer Firmware Version lt 3 77 und iRMCs N heres hierzu finden Sie in den Handb chern IRMC S2 S3 integrated Remote Management Controller Ausgabe Mai 2011 und fr here Ausgaben IRMC integrated Remote Management Controller lt kommando gt Spezifiziert die durchzuf hrende Aktion Folgende Kommandos stehen zur Auswahl deploy Erzeugt auf dem Verzeichnisserver eine LDAP Struktur f r die globale iRMC iRMC S2 S3 Benutzerverwaltung siehe Seite 172 170 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 delete L scht auf dem Verzeichnisserver eine vorhandenen LDAP Struktur die f r die globale IRMC iRMC S2 S3 Benutzerverwaltung verwendet wird siehe Seite 174 import Erzeugt aus einer existierenden LADAP v1 Struktur eine aquivalente LDAP v2 Struktur siehe synchronize Zieht Anderungen die Sie in einer LDAP v2 Struktur vornehmen in einer bereits vorhandenen LDAP v1 Struktur nach siehe lt datei gt Konfigurationsdatei xml die von SVS_LdapDeploy als Eingabedatei verwendet wird Die Konfigurationsdatei enthalt die Strukturinformationen fur die Struktur en SVS in XML Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den il Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit
196. mp IPMIterminalMode fg None E RemoteManager E E SmashCLP 29 LostAndFound 2 Departments Guest HelpSery IIS_WPG kyms2 Add Declarations 1 Zs Cert Pub me E CERTSVC DnsAdmi Environment 3 DnsUpde General Ad H E Domain Published Cert Domain Domain Member of Domain Domain L Domain User 33 Enterpris RemoteMan Group Pc rey 2G a g ze Ti 8 a8 H E kvms5 Primary group 3 2 kvms Set Primary amp Bild 68 Organisationsstruktur der Dom ne fwlab firm net 248 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 2 4 SVS Berechtigungsprofile werden ber Rollen definiert Direkt unterhalb jeder Abteilung sind die gew nschten zugeh rigen Benutzerrollen Authorization Roles aufgef hrt Bild 68 auf Seite 248 Alle hier aufgef hrten Rollen m ssen in der OU Declarations definiert sein Ansonsten gibt es hinsichtlich Anzahl der Roles keine Einschr nkungen Die Namen der Rollen sind unter Beachtung einiger syntaktischer Vorgaben des verwendeten Verzeichnisdienstes frei w hlbar Jede Authorization Role definiert ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S4 Neben den Authorization Roles sind auch die Alert Roles aufgef
197. munizieren mit der Management Station immer Uber eine HTTPS Verbindung also ber eine sichere SSL Verbindung Deshalb ben tigt der JBoss Web Server auf der Management Station ein Zertifikat X 509 Zertifikat um sich gegen ber dem Web Browser mittels Server Authentifizierung zu authentisieren Das X 509 Zertifikat enth lt alle f r die Identifizierung des JBoss Web Servers ben tigten Informationen sowie den ffentlichen Schl ssel Public Key des JBoss Web Servers Einzelheiten hierzu finden Sie im Abschnitt SSL Zertifikate auf der Management Station verwalten auf Seite 91 Die Management Station authentisiert sich gegen ber dem verwalteten Server via Client Authentifizierung Ein verwalteter Server z B PRIMERGY Server auf dem die RBAC Funktionalit t genutzt wird erfordert Client Authentifizierung auf der Basis von X 509 Zertifikaten Deshalb muss sich eine Management Station beim Verbindungsaufbau zum verwalteten Server authentisieren Client Authentifizierung sch tzt den verwalteten Server sowohl vor dem Zugriff einer nicht vertrauensw rdigen Management Station als auch vor dem Zugriff einer nicht privilegierten Anwendung die auf der Management Station l uft Client Authentifizierung setzt voraus dass das Zertifikat einer vertrauensw rdigen Management Station zuvor auf dem verwalteten Server installiert wurde Einzelheiten hierzu finden Sie im Abschnitt Verwaltete Server f r Role Based Access RBAC und Client Auth
198. n W hlen Sie den Teilbaum Untergruppe in dem der Principal User angelegt werden soll Der Principal User kann an beliebiger Stelle dieses Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des IRMC S4 bereinstimmen siehe Handbuch iRMC S4 integrated Remote Management Controller Klicken Sie auf Set und geben Sie ein Passwort ein Geben Sie einen Nachnamen Surname SN ein Klicken Sie auf Apply User Management in ServerView 303 Globale Benutzerverwaltung f r den iRMC S4 Neuen iRMC S2 S3 Benutzer erzeugen und den Berechtigungsgruppen zuordnen Verwenden Sie f r Erzeugung eines neuen Benutzers ObjectClass Person sowie zur Zuordnung eines Benutzers zur Berechtigungsgruppe einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 302 Im Folgenden ist beschrieben wie Sie mithilfe des LDAP Browser Editor von Jarek Gawor einen neuen iRMC S4 Benutzer erzeugen und ihn zur Berechtigungsgruppe hinzuf gen Gehen Sie wie folgt vor gt Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein Erzeugen Sie einen neuen Benutzer Gehen Sie hierbei wie folgt vor gt Wahlen Sie den Teilbaum Untergruppe in dem der
199. n separaten Verzeichnisdienst festlegen installiert der Installation Wizard automatisch ApacheDS als Verzeichnisdienst Weitere Informationen finden Sie in den Handb chern Installation der ServerView Operations Manager Software unter Windows und Installation der ServerView Operations Manager Software unter Linux 3 2 1 Vordefinierte Benutzer und Rollen Role Based Access Control RBAC ist im Verzeichnisdienst ApacheDS bereits implementiert In ApacheDS sind die Benutzerrollen Administrator Monitor Operator und UserAdministrator vordefiniert die jeweils genau einem der vordefinierten Benutzernamen Administrator Operator Monitor und UserManager zugeordnet sind Fur spezielle Aufgaben sind in ApacheDS zwei zusatzliche Benutzer definiert die mit umfassenden Berechtigungen ausgestattet sind Tabelle 2 auf Seite 43 gibt einen berblick ber die in ApacheDS vordefinierten Benutzernamen Passw rter und Rollen ACHTUNG Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter baldm glichst zu ndern Einzelheiten zum ndern von Passw rtern finden Sie im Abschnitt Passw rter der vordefinierten Benutzer definieren ndern auf Seite 44 Detaillierte Informationen zum Berechtigungsumfang der durch die einzelnen Benutzerrollen gew hrt wird finden Sie im Kapitel Rollenbasierte Berechtigungen f r den Zugriff auf den Operations Manager auf Seite 135 42 Benutzerverwaltung in ServerView ServerView
200. n Active Directory die neu angelegte OU SVS mit den Komponenten Alert Roles und Alert Types unter Declarations sowie mit der Komponente Alert Roles unter DeptX angezeigt siehe Bild 62 Unter Declarations zeigt Alert Roles alle definierten Alert Roles an Alert Types werden alle Benachrichtigungstypen angezeigt 1 Unter DeptX zeigt Alert Roles alle in der OU DeptX g ltigen Alert Roles an 2 Active Directory Users and Computers lt File Action View Favorites Window Help e aba exen 2m EEE a Buitin 2 E N Computers E Domain Controllers H amp ForeignSecurityPrincipals E RMC H iRMCgroups 2 8 LdapDeployerTest EB RMCgroups ____ 8 ss 7s 2 14 De j arauon B AlertRoles StdSysAlerts 3 AlertTypes 9 12 AuthorizationRoles 2 3 Privileges 2 13 Departments 5 5 Deptx F 3 AlertRoles lt 3 AuthorizationRoles H E Depty 9 13 Others x UserSettings 5 Li I I I I I I I I I I i H NewTestou E E NTDS Quotas 9 Program Data a SYS Bild 62 OU SVS mit Alert Roles Damit an die Benutzer der einzelnen Benachrichtigungsgruppen E Mails il versendet werden muss am iRMC S2 S3 die zugeh rige Abteilung Department in Bild 62 DeptX konfiguriert sein siehe Handbuch IRMC S2 S3 integrated Remote Management Controller Benutzerverwaltung in ServerView 231 Globale Benutzerverwaltung f r den iRMC S2 S3 Wenn Sie im St
201. n DNS Namen der zentralen Management Station ein Alle Systeme die zur SSO Dom ne geh ren m ssen die zentrale il Management Station CMS unbedingt ber dieselbe Adressstruktur referenzieren Eine SSO Dom ne umfasst alle Systeme bei denen die Authentifizierung ber denselben CAS Service abgewickelt wird Falls Sie z B den ServerView Operations Manager unter Verwendung des Namens my cms my domain installiert haben m ssen Sie bei der Konfigurierung des CAS Service f r einen iRMC S2 S3 S4 derselben SSO Dom ne den identischen Namen verwenden Geben Sie dagegen nur my cms oder eine andere IP Adresse von my cms an wird die SSO Funktionalit t zwischen den beiden Systemen nicht aktiviert 3 Lassen Sie die voreingestellten Werte unter CAS Anmeldung URL und CAS Abmeldung URL cas login cas logout cas validate unver ndert 4 W hlen Sie die Option SSL Zertifikate verifizieren Aus Sicherheitsgr nden wird dringend empfohlen die Verifizierung il von SSL Zertifikaten zu aktivieren Zus tzlich zur Auswahl der Option SSL Zertifiate verifizieren erfordert die Verifizierung von SSL Zertifikaten dass das Server Zertifikat der Management Station in den Truststore des IRMC S2 S3 S4 geladen ist Einzelheiten zum Hochladen eines SSL Zertifikats auf den IRMC S2 S3 S4 finden Sie in den Handb chern iRMC S2 S3 integrated Remote Management Controller und iIRMC S4 integrated Remote Management Controller 5 W hlen S
202. n ServerView 163 Globale Benutzerverwaltung f r den iRMC S2 S3 44 active Directory Benutzer und Computer amp Datei Aktion Ansicht Fenster 2 ale xd lt gt BeBB2ERHBHAHYSE E Gespeicherte Abfragen 5 89 fwlab firm net E Builtin 8P fwlab firm net H E Computers Gespeicherte Abfragen E Domain Controllers H E ForeignSecurityPrincipals a svs Declarations a Departments E B User Settings B E Users Bild 42 OU SVS in der Dom ne fwlab firm net Die Benutzereintr ge f r den iRMC S2 S3 k nnen ab der Firmware il Version 3 6x an beliebigen Stellen unterhalb der Basis Dom ne liegen Ebenso k nnen Berechtigungsgruppen an beliebigen Stellen innerhalb der Basisdom ne liegen 164 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 3 Server bergreifende globale Benutzerberechtigungen In gr eren Unternehmen sind die via IRMC S2 S3 verwalteten Server in der Regel verschiedenen Abteilungen zugeordnet Au erdem werden die Administrator Berechtigungen f r die verwalteten Server ebenfalls oft abteilungsspezifisch vergeben Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S2 S3 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iRMC S2 S3 als Element des Departments DEFAULT konfiguriert ist Abteilungen sind in der OU Departments zusammengefasst Die
203. n das Verzeichnis home eDirectory cd home eDirectory gt Extrahieren Sie das ConsoleOne Archiv c1_136f linux tar gz tar xzvf cl_136f linux tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis Linux gt Wechseln Sie in das Verzeichnis Linux cd Linux Rufen Sie das Installationsskript c1 install auf el install gt Wahlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen gt Geben Sie 8 f r die Installation aller Snap Ins ein ConsoleOne ben tigt den Pfad zu einer installierten Java Laufzeitumgebung Den entsprechenden Pfadnamen k nnen Sie in die Umgebungsvariable C1_JRE_HOME exportieren Demgegen ber erfordert der systemweite Export des Pfadnamens nderungen im bash Profil Da Root Berechtigung f r das Arbeiten mit ConsoleOne erforderlich ist gen gt es im Prinzip den Pfadnamen nur f r die Kennung superuser Root zu exportieren Im Folgenden ist jedoch der systemweite Export des Pfadnamens dargestellt Damit k nnen auch normale Benutzer mit ConsoleOne arbeiten sofern sie Root Berechtigung besitzen 196 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Gehen Sie wie folgt vor ffnen Sie die Konfigurationsdatei zur Bearbeitung im Beispiel etc bash bashrc Fugen Sie in der Konfigurationsdatei vor End of die folgende Zeile ein export C1_JRE_HOME opt novel1 j2sdk1 4 2_05 jre Hier wird
204. n der nachfolgend aufgelisteten Komponenten Novell eDirectory ehemals NDS besteht aus folgenden Software Komponenten eDirectory 8 8 20060526_0800 Linux_88 SP1_FINAL tar gz eDirectory 8 8 eDir_88_iMan26_Plugins npm iManager iMan_26_linux_64 tgz f r SUSE iMan_26_linux_32 tgz f r andere ConsoleOne c1_136f linux tar gz Fur Installation und Betrieb von Novell eDirectory gelten die folgenden Systemvoraussetzungen OpenSSL muss installiert sein il Falls OpenSSL nicht bereits installiert ist gt Installieren Sie OpenSSL bevor Sie mit der Installation von Novell eDirectory beginnen 272 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 512 MB freier Hauptspeicher 8 2 6 2 Novell eDirectory installieren Die Installation von Novell eDirectory umfasst die Installation der folgenden Komponenten eDirectory Server und Administrations Utilities iManager Administrations Utility ConsoleOne Administrations Utility Voraussetzung f r die Installation von Novell eDirectory Ein Linux Server Betriebssystem muss komplett installiert sein und laufen Die Firewall muss f r Verbindungen zu folgenden Ports konfiguriert sein 8080 8443 9009 81 389 636 F r OpenSuSE konfigurieren Sie dies mithilfe der Datei ete sysconfig SuSEfirewall2 Erweitern Sie den Eintrag FW_SERVICES_EXT_TCP in der Datei etc sysconfig SuSEfirewall2 wie folgt FW_SE
205. n soll d h cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany ffnen Sie das Men Edit gt W hlen Sie Add Attribute Geben Sie als Attributnamen Member ein Als Wert geben Sie den voll qualifizierten DN zuvor erzeugten Benutzers an also cn UserKVM ou YourDepartment ou Departments ou SVS dc myorganisation dc mycompany Benutzerverwaltung in ServerView 223 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 7 5 Tipps zur Administration von OpenLDAP LDAP Service neu starten Um den LDAP Service neu zu starten verfahren Sie wie folgt gt Offnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an gt Geben Sie das folgende Kommando ein rcldap restart Meldungsprotokollierung Fur das Meldungslogging nutzt der LDAP Damon das Syslog Protokoll Die protokollierten Meldungen werden nur angezeigt wenn in der Datei etc openldap slapd conf ein Log Level ungleich 0 eingestellt ist Erlauterungen zu den verschiedenen Leveln finden Sie unter http www zytrax com books ldap ch6 loglevel Tabelle 35 auf Seite 225 gibt einen berblick ber die Log Level und ihre Bedeutung 224 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Log Level Bedeutung 1 umfassendes Debugging 0 kein Debugging 1 Funktionsaufrufe protokollieren 2 Paketverarbeitung testen 4 Hea
206. nLDAP installieren Vor der Installation von OpenLDAP m ssen Sie die Firewall f r Verbindungen zu den Ports 389 und 636 konfigurieren Bei OpenSuSE verfahren Sie hierf r wie folgt gt Erg nzen Sie in der Datei etc sysconfig SuSEfirewall2 die Option FW_SERVICES_EXT_TCP wie folgt FW_SERVICES_EXT_TCP 389 636 Zur Installation der Packages OpenSSL und OpenLDAP2 vom Distributionsmedium verwenden Sie das Setup Tool YaST 7 2 7 2 SSL Zertifikate erzeugen Es soll ein Zertifikat mit folgenden Eigenschaften erzeugt werden Schl ssell nge 1024 bit md5RSAEnc Schl sselpaare und signierte Zertifikate selbstsigniert oder von einer externen CA signiert erzeugen Sie mithilfe von OpenSSL N here Informationen hierzu finden Sie auf der OpenSSL Homepage unter http www openssl org Unter den folgenden Links finden Sie Anleitungen zur Einrichtung einer CA und zum Erstellen von Test Zertifikaten http www akadia com services ssh_test_certificate html _ http www freebsdmadeeasy com tutorials web server apache ssl certs php http www flatmtn com computer Linux SSLCertificates html http wwu te umn edu brams006 selfsign html Benutzerverwaltung in ServerView 217 Globale Benutzerverwaltung f r den iRMC S2 S3 Als Ergebnis der Zertifikatserstellung m ssen die folgenden drei PEM Dateien vorliegen Root Zertifikat root cer pem Server Zertifikat server cer pem Private Key serv
207. namen halbfett dargestellt dicktengleich Ausgaben des Systems werden dicktengleich dargestellt dicktengleich ber die Tastatur einzugebende Anweisungen werden halbfett dicktengleich halbfett dargestellt lt abc gt Angaben zwischen spitzen Klammern kennzeichnen Variablen die durch Werte ersetzt werden Tastensymbole Tasten werden entsprechend ihrer Abbildung auf der Tastatur dargestellt Wenn explizit Gro buchstaben eingegeben werden sollen so wird die Shift Taste angegeben z B SHIFT A f r A M ssen zwei Tasten gleichzeitig gedr ckt werden so wird dies durch einen Bindestrich zwischen den Tastensymbolen gekennzeichnet Tabelle 1 Darstellungsmittel Wird auf Textstellen in diesem Handbuch verwiesen so wird die berschrift des Kapitels bzw Abschnitts genannt wobei sich die Seitenangabe auf den Beginn des Abschnitts bezieht 18 Benutzerverwaltung in ServerView Darstellungsmittel Bildschirmabz ge Beachten Sie bitte dass die Bildschirmausgaben teilweise systemabh ngig sind und deshalb nicht in allen Details mit der Ausgabe auf Ihrem System bereinstimmen m ssen Ebenso k nnen bez glich der verf gbaren Men punkte systembedingte Abweichungen auftreten Benutzerverwaltung in ServerView 19 Darstellungsmittel 20 Benutzerverwaltung in ServerView 2 Benutzerverwaltung und Sicherheitsarchitektur berblick Das in der Benu
208. nd aufrufen il Der iManager ist das f r die Administration von Novell eDirectory empfohlene Tool F r die Installation sowohl in SLES10 als auch in OpenSuSE verwenden Sie das Archiv _64 tgz Gehen Sie wie folgt vor gt gt Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory Extrahieren Sie das Archiv iMan_26_linux_64 tgz tar xzvf iMan_26_linux_64 tgz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis iManager Wechseln Sie in das Unterverzeichnis installs von iManager cd iManager installs linux Rufen Sie das Installationsskript auf iManagerInstallLinux bin W hlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen Klicken Sie durch die EULA und akzeptieren Sie die EULA W hlen Sie 1 Novell iManager 2 6 Tomcat JVM zur iManager Installation W hlen Sie 1 Yes f r Plugin Download Klicken Sie auf Enter um den Default Pfad f r den Download zu verwenden Das Installationsprogramm sucht via Internet nach Downloads Dies kann einige Minuten dauern Danach werden Sie aufgefordert die zu installierenden Plugins auszuw hlen W hlen Sie All f r den Download aller Plugins gt Wahlen Sie 1 Yes f r die Installation der lokal verf gbaren Plugins Dr cken Sie Enter um den Default Pfad f r die Installation zu verwenden W hlen Sie 2 No f r die automat
209. nisdienst Active Directory wird nur f r die Benutzer Authentifizierung eingesetzt Einheitliches RBAC Management ist deshalb die empfohlende Methode wenn ein externer Verzeichnisdienst z B Active Directory verwendet wird ApacheDS intern Benutzer Active Directory extern c fyjitsu dc com Cj oussvs CI OU Dediarations CI OU Privileges C OU AuthorizationRoles I Active Directory Users and Computers p DJ Saved Queries 4 svomder local gt CI OUsAlentTypes oe Era L oues Autorisierung Authentifizierung guitin o 9 OU Depanments da ga o p E Computers o C OU UserSetings DJouzusers CI onsswser gt CI on Serverview Monitor CI en ServerView Operator gt CI enzServerView Administrator CI onzServerview UserManager b E Domain Controllers p DJ ForeignSecurityPrincipals p E Managed Service Accounts b D Users Bild 4 Authentifizierung mit externem Active Directory Berechtigung mit internem ApacheDS Benutzerverwaltung in ServerView 33 Rollenbasierte Zugangskontrolle RBAC Wenn das einheitliche RBAC Management konfiguriert ist gilt Folgendes Im Login Fenster des Central Authentication Service werden Sie aufgefordert die Authentifizierungsdom ne Ihrer Benutzerkennung anzugeben siehe Handbuch ServerView Operations Manager Er FUJITSU Software ServerView Suite Central Authentication Service Sign On U
210. nt Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Dom nencontroller Zertifikat aus dem Verzeichnis Eigene Zertifikate des aktuellen Benutzers in das Verzeichnis Eigene Zertifikate des lokalen Computers 182 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 5 2 iRMC S2 S3 Benutzer einer Rolle Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S2 S3 Benutzern zu iRMC S2 S3 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag Gruppeneintrag Nachfolgend ist am Beispiel der LDAPv2 Struktur die Zuordnung ausgehend vom Rolleneintrag anhand der OU SVS beschrieben Die Zuordnung ausgehend vom Benutzereintrag verl uft weitgehend analog In Active Directory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor gt ffnen Sie das Snap in Active Directory Benutzer und Computer 4 active Directory Benutzer und Computer Fi xi Datei Aktion Ansicht Fenster xd e Am4 eX AB Cw VPS eo Active Directory Benutzer und Comp TnS aSa g H E Gespeicherte Abfragen 3 8 fwlab firm net H E Buitin H E Computers ic amp Domain Controllers ae ForeignSecurityPrintipals B amp iRMCgroups D
211. nterst tzt Benachrichtigungstyp Ursache FanSens L fter Sensoren Temperat Temperatur Sensoren HWError Kritische Hardware Fehler Security Security SysHang System Hang POSTErr Systemstart Fehler SysStat Systemstatus DDCtrl Festplatten und Controller NetInterf Netzwerk Schnittstelle RemMgmt Remote Management SysPwr Energieverwaltung Power Management Memory Memory Others Sonstiges Tabelle 36 Benachrichtigungstypen Alert Types Benutzerverwaltung in ServerView 227 Globale Benutzerverwaltung f r den iRMC S2 S3 Jedem Benachrichtigungstyp kann eines der folgenden Fehlergewichte Severity Level zugeordnet werden Warning Critical All none Bevorzugter Mail Server Bei globaler E Mail Benachrichtigung gilt f r den bevorzugten Mail Server die Einstellung Automatic Falls die E Mail nicht sofort erfolgreich versendet werden kann weil z B der erste Mail Server nicht verf gbar ist wird E Mail an den zweiten Mail Server gesendet Unterst tzte Mail Formate Es werden die folgenden Mail Formate unterst tzt Standard Fixed Subject ITS Format Fujitsu REMCS Format Bei einem Mail Format ungleich Standard m ssen Sie die Benutzer der entsprechenden Mail Format Gruppe hinzuf gen LDAP E Mail Tabelle Wenn die E Mail Benachrichtigung konfiguriert ist siehe Seite 230 und die Option LDAP E Mail aktiviert gesetzt ist sendet der IRMC S2 S3 im F
212. nuran Benutzer vergeben werden die bereits die ConfigPKI Berechtigung besitzen Managed Node Tabelle 29 Berechtigungen der Kategorie SCS 6 1 17 Kategorie ServerList Die ServerList Kategorie umfasst die Berechtigungen f r den Zugriff auf die ServerList sowie f r die Ausf hrung der entsprechenden Operationen Berechtigung Erlaubnis Geltungsbereich AccessServerList Zugriff auf die ServerList einschlie lich der impliziten Erlaubnis f r den Zugriff auf den Single System View aller Systeme CMS ModifyNode Server und Gruppen erzeugen ndern CMS und l schen PerformArchivelmport Archive importieren CMS PerformConnectivityTest Verbindungstest durchf hren CMS PerformDiscovery Knoten z B Server ermitteln und auf den CMS Server Browser zugreifen Hinweis Diese Berechtigung kann nur einem Benutzer erteilt werden der bereits Uber die Berechtigungen PerformConnectivityTest und ModifyNode verf gt Tabelle 30 Berechtigungen der Kategorie ServerList 146 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen Berechtigung Erlaubnis Geltungsbereich PerformExploration explore Task auf Knoten Managed Nodes starten Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die ModifyNode Berechtigung besitzen CMS PerformPowerOperations Ein ausschalten
213. nutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten 4 2 3 Software Tools zur Zertifikats und Schl sselverwaltung F r die Verwaltung von Zertifikaten und zugeh rigen Schl sseln werden folgende Tools ben tigt openssl Das openssl Tool k nnen Sie aus dem Internet herunterladen z B von der Shining Light Productions Website http Avww slproweb com Alternativ empfiehlt sich auch die Installation der Cygwin Umgebung Attp www cygwin com Wenn Sie das Tool openssl von der Shining Light Productions Website verwenden m ssen Sie die Umgebungsvariable OPENSSL_CONF auf folgenden Wert setzen lt path to the OpenSSL installation directory gt bin openssl cfg keytool Das keytool k nnen Sie von der Oracle Homepage herunterladen Da das keytool neben der Java Virtual Machine installiert wird ist das Utility standardm ig auf der Management Station vorhanden Auf Windows Systemen z B unter C Program Files x86 Java jre7 bin Auf Linux Systemen unter usr java default bin Benutzerverwaltung in ServerView 95 SSL Zertifikate auf der Management Station verwalten 4 2 4 Zertifikat auf der zentralen Management Station ersetzen Dieser Abschnitt beschreibt welche Schritte erforderlich sind um ein Zertifikat durch ein anderes zu ersetzen Voraussetzungen Die nachfolgend beschriebenen Schritte setzen voraus Erforderliche Software openssl keytool siehe S
214. onal Unit OU SVS Rechtevergabe ber Benutzerrollen kurz Rollen Role Die globalen Benutzerverwaltung am iRMC S4 Firmware Version 3 77 oder hdher regelt die Rechtevergabe Uber Benutzerrollen Dabei definiert jede Rolle ein spezifisches aufgabenorientiertes Berechtigungsprofil fur Tatigkeiten am IRMC S4 Jedem Benutzer k nnen mehrere Rollen zugewiesen werden sodass sich die Rechte dieses Benutzers aus der Gesamtheit der Rechte aller zugewiesenen Rollen ableiten User Management in ServerView 243 Globale Benutzerverwaltung f r den iRMC S4 Bild 66 skizziert das Konzept der rollenbasierten Vergabe von Benutzerberechtingungen mit den Rollen Administrator Maintenance Observer und UserKVM Hr M ller Fr Meyer Hr B cker Maintenance Bild 66 Rollenbasierten Vergabe von Benutzerberechtigungen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden Sondern sie werden nur der Benutzerrolle zugewiesen Wenn sich die Berechtigungsstruktur ndert m ssen nur die Rechte der Benutzerrolle angepasst werden 244 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 2 2 Organizational Unit OU SVS Die Firmware des iRMC S4 unterst tzt LDAP v2 Strukturen die in der OU SVS abgespeichert sind LDAP v2 Strukturen sind f r k nftige funktion
215. onnector 2 Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in den SCS Zertifikatordner lt scsPath gt pki Nach einem Neustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen Benutzerverwaltung in ServerView 111 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 3 3 Zertifikatsdateien auf einem Linux oder VMware System installieren Zur Installation der Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml stehen Ihnen die beiden folgenden M glichkeiten zur Verf gung Zertifikatsdateien gleich zu Beginn zusammen mit den ServerView Agenten auf dem verwalteten Server installieren Zertifikatsdateien auf einem verwalteten Server installieren auf dem die ServerView Agenten bereits installiert sind Dieses Vorgehen ist z B zu w hlen wenn das zun chst installierte selbstsignierte Zertifikat durch das Zertifikat einer vertrauensw rdigen Zertifizierungsstelle ersetzt werden muss als Folge eines entsprechenden Zertifikatsaustauschs auf der Management Station 4 3 3 1 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren In diesem Fall m ssen die Zertifikatsdateien auf dem verwalteten Server installiert sein bevor die ServerView Agenten installiert werden Im Folgenden ist beschrieben wie Sie die Zertifikatsdateien auf einem il Lin
216. onzept auf dem die globale Benutzerverwaltung und die Sicherheitsarchitektur der ServerView Suite und des iRMC S2 S3 S4 basieren 1 1 Autorisierungs und Authentifizierungskonzept Benutzerverwaltung und Sicherheitsarchitektur der ServerView Suite und des IRMC S2 S3 S3 S4 basieren auf drei grundlegenden Konzepten Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Rollenbasierte Zugangskontrolle RBAC Single sign on SSO auf Basis eines Centralized Authentication Service CAS Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes Benutzer werden mithilfe eines Verzeichnisdienstes zentral fur alle angeschlossenen Management Stationen CMS gespeichert und verwaltet Der Verzeichnisdienst liefert alle fur die Authentifizierung und Autorisierung von Benutzern erforderlichen Informationen Als Verzeichnisdienst verwenden Sie wahlweise den vorkonfigurierten Verzeichnisdienst ApacheDS des ServerView Operations Managers oder einen bereits im Einsatz befindlichen konfigurierten Verzeichnisdienst wie z B Microsoft Active Directory Rollenbasierte Zugangskontrolle RBAC Rollenbasierte Zugangssteuerung RBAC steuert die Zugangkontrolle Uber einen Satz definierter Benutzerrollen Jedem Benutzer werden dabei eine oder mehrere Rollen zugewiesen wobei jeder Rolle wiederum ein oder mehrere Berechtigungen Privilegien zugewiesen sind Mit RBAC k nnen Sie Ihr Sicherheitskonzept an der Organisations
217. or Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein W hlen Sie Roles and Tasks W hlen Sie Users Create User vv vy y Tragen Sie die erforderlichen Angaben in das angezeigte Template ein Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des iRMC S2 S3 bereinstimmen siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Der Context des Benutzers kann sich an beliebiger Stelle im Baum befinden gt Erteilen Sie dem Principal User Suchberechtigung f r die folgenden Teilb ume Teilbaum OU SVS Teilbaum OU der die Benutzer enth lt z B people Den iRMC Gruppen und Benutzern Benutzerrechte erteilen Standardm ig verf gt ein Objekt in eDirectory nur ber sehr eingeschr nkte Abfrage und Suchberechtigungen in einem LDAP Baum Damit ein Objekt alle Attribute in einem oder mehreren Teilb umen abfragen kann m sse Sie diesem Objekt die entsprechenden Rechte zuweisen 206 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Berechtigungen erteilen Sie wahlweise einem einzelnen Objekt d h einem speziellen Benutzer oder einer Gruppe von Objekten die in einer Organizational Unit OU wie z B SVS oder people zusammengefasst sind Dabei gehen Berechtigungen die einer OU erteilt und als inherited gekennzeichnet sind automatisch auf die Objekte dieser Gruppe
218. or Operator und UserAdministrator und zugeh rige Berechtigungen Benutzerverwaltung in ServerView 135 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 Privilegien Kategorien und zugeh rige Berechtigungen Die Berechtigungen die zur Nutzung der einzelnen ServerView Komponenten oder zur Ausf hrung ServerView spezifischer Aufgaben berechtigen sind in Privilegien Kategorien kurz Kategorien gruppiert Jede Kategorie bezieht sich auf eine spezifische ServerView Komponente und umfasst alle Berechtigungen die Sie berechtigen die zugeh rige ServerView Komponente zu nutzen oder eine Komponenten spezifische Aufgabe durchzuf hren 6 1 1 Privilegien Kategorien berblick Die ServerView Suite kennt die folgenden Privilegien Kategorien Privilegien Zugeh rige ServerView Komponente Aufgabe Kategorie AgentDeploy Installation der ServerView Agenten AlarmMgr Alarm Management ArchiveMgr Archive Manager BackupMgr Sicherung der ServerView Datenbank Common Allgemeine ServerView Suite spezifische Berechtigungen ConfigMgr Server Configuration Manager SCU und ferngesteuerte Energieverwaltung Remote Power Management InvMgr Inventory Manager iRMC_MMB IRMC S2 S3 BladeServer MMB PerfMgr Performance Manager und Threshold Manager PowerMon Power Monitor RackManager Rack Manager RaidMgr RAID Manager RemDeploy Deployment Manager und Installation Manager Repo
219. oraus dass alle f r die Installation ben tigten Dateien bereits in ein Verzeichnis z B home eDirectory kopiert wurden Es handelt sich dabei um folgende Dateien 20060526_0800_Linux_88 SP1_FINAL tar gz iMan_26_linux_64 tgz c1_136f linux tar gz eDirectory Server und Administrations Utilities installieren Gehen Sie wie folgt vor gt Melden Sie sich mit Root Berechtigung Super User an Wechseln Sie in das Verzeichnis das die f r die Installation ben tigten Dateien enth lt im Beispiel home eDirectory cd home eDirectory gt Extrahieren Sie das Archiv 20060526_0800_Linux_88 SP1_FINAL tar gz tar xzvf 20060526_0800_Linux_88 SP1_FINAL tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis eDirectory eDirectory Server installieren gt Wechseln Sie in das Unterverzeichnis setup dieses eDirectory Verzeichnisses cd eDirectory setup Rufen Sie das Installationsskript nds install auf nds install gt Akzeptieren Sie die EULA mit y und best tigen Sie mit der Enter Taste gt Wenn Sie nach dem zu installierenden Programm gefragt werden Geben Sie 1 ein f r die Installation des Novell eDirectory Servers und best tigen Sie mit der Enter Taste Daraufhin werden die eDirectory Packages installiert 192 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Nach der Installation des Novell eDirectory Servers m ssen Sie
220. ore pl2 passin pass changeit nodes out keystore pem passout pass changeit Kopieren Sie die Datei keystore pem in das folgende Verzeichnis auf der Management Station lt ServerView directory gt jboss standalone svconf pki 100 Benutzerverwaltung in ServerView SSL Zertifikate auf der Management Station verwalten g Erzeugen Sie die Datei lt system_name gt scs pem im PEM Format Gehen Sie wie folgt vor gt Wenden Sie das folgende Kommando an openssl pkcsl2 in keystore pl2 passin pass changeit out lt system_name gt scs pem passout pass changeit Kopieren Sie das erstellte Zertifikat lt system_name gt scs pem in das folgende Verzeichnis auf der Management Station lt ServerView directory gt svcommon data download pki Geben Sie dazu folgendes Kommando ein COPY lt system_name gt scs pem lt ServerView directory gt svcommon data download pki lt system_name gt scs pem gt Wenn die ServerView Agenten auf der Management Station installiert sind Kopieren Sie das erstellte Zertifikat lt system_name gt scs pem auch in das folgende Verzeichnis auf der Management Station lt ServerView directory gt Remote Connector pki Ein m glicherweise bereits existierendes Zertifikat mit dem selben Namen wird auf der Management Station ersetzt 7 Starten Sie den JBoss Service und die ServerView Dienste neu um Ihre nderungen zu aktivieren Benutzerverwaltung in ServerView 101 SSL Zertifikate
221. orisiert gt Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren User Management in ServerView 291 Globale Benutzerverwaltung f r den iRMC S4 8 2 6 5 Assigning an iRMC S4 user to a permission group Die Zuordnung von iRMC S4 Benutzern z B der OU people zu IRMC S2 S3 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag g nstig bei wenigen Benutzereintragen oder ausgehend vom Rolleneintrag Gruppeneintrag g nstig bei vielen Benutzereintr gen Nachfolgend ist exemplarisch die Zuordnung von iRMC S4 Benutzern il einer OU people zu einer Berechtigungsgruppe dargestellt Erlautert wird dabei die vom Gruppeneintrag Rolleneintrag ausgehende Zuordnung Die Zuordnung ausgehend vom Benuizereintrag verlauft weitgehend analog In eDirectory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein gt W hlen Sie Roles and Tasks gt Wahlen Sie Groups Modify Group Die Seite Modify Group wird angezeigt F hren Sie die folgenden Schritte f r alle Berechtigungsgruppen durch denen Sie iRMC S4 Benutzer zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltflache Selektieren Sie via Objektselektor Schaltfl che die Berechtigungsgruppe der Sie IRMC S4 Benutzer hinzuf gen wollen Im Beispiel
222. ory integrieren Active Directory Users and Computers Bel 1 Ele Action View window Help 181x1 9 O XfOR 2H etarga a re None Ipe pescripton H E Buitin 2 AlarmMgr Organ Provides the AlarmMgr prefix for Serve a Computers amp l ArchiveMgr Organ Provides the ArchiveMgr prefix for Ser H Z Domain Controllers E Common Organ Provides the Common prefix for Server a C ForeignSecurityPrincipals ConfigMgr Organ Provides the ConfigMgr prefix for Serv LostAndFound E InvMar Organ Provides the InvMgr prefix for Server J NTDS Quotas irme Organ Provides the iRMC prefix for ServerVie H E Program Data 2 Perfmgr Organ Provides the PerfMar prefix for Server oa ss PowerMon Organ Provides the PowerMon prefix for Serv B Declarations RackManager Organ Provides the RackManager prefix for S gt RaidMgr Organ Provides the RaidMgr prefix for Server Administrator RemDeploy Organ Provides the RemDeploy prefix for Ser Fiz Monitor scs Organ Provides the SCS prefix for Serverview ha Operator B ServerList Organ Provides the ServerList prefix for Serv UpdMor Organ Provides the UpdMar prefix for Server E UserSettings Svom Organ Provides the VIOM prefix for Servervie m System gt Bild 22 Die hinzugef gten Privilegien und Rollen werden im Active Directory GUI angezeigt 2 Impor
223. oyer jar auf der ServerView Suite DVD ausgeliefert wird 70 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Wichtiger Hinweis Die Abwicklung sowohl der ServerView als auch der iRMC S2 S3 S4 Benutzerverwaltung innerhalb derselben Organizational Unit OU SVS setzt voraus dass der iIRMC S2 S3 S4 als Element des Departments DEFAULT konfiguriert ist Gehen Sie wie folgt vor 1 Importieren Sie die in ServerView definierten Benutzerrollen a Kopieren Sie die Datei SVActiveDirectory Idif in ein tempor res Verzeichnis auf dem Windows System auf dem Active Directory l uft b ffnen Sie die Windows Eingabeaufforderung und wechseln Sie in das Verzeichnis das die Datei SVActiveDirectory Idif enth lt c Importieren Sie die LDIF Datei mithilfe des Microsoft Tools Idifde Idifde i e k f SVActiveDirectory Idif Falls das Tool Idifde nicht in der Umgebungsvariablen PATH variable Ihres Systems eingetragen ist finden Sie es im Verzeichnis WINDIR system32 Falls erforderlich wird eine bereits vorhandene LDAP Struktur um neue Berechtigungen erweitert Bereits existierende Eintr ge sind jedoch nicht betroffen Die hinzugef gten Berechtigungen Privilegien und Rollen werden nun in der Benutzeroberfl che von Active Directory angezeigt siehe Bild 22 auf Seite 72 Benutzerverwaltung in ServerView 71 ServerView Benutzerverwaltung in Microsoft Active Direct
224. parameter must be non emptywriting to truststore svconf pki cacerts Dies bedeutet keinen Fehler sondern zeigt lediglich an dass das neue Zertifikat bislang noch nicht in die Datei truststore importiert wurde f Erzeugen Sie die Datei keystore pem im PEM Format Gehen Sie wie folgt vor gt Wenden Sie das folgende Kommando an openssl pkcsl2 in keystore pl2 passin pass changeit nodes out keystore pem passout pass changeit ffnen Sie die Datei keystore pem mit einem Text Editor und l schen Sie alle Textzeilen mit Ausnahme der folgenden Zeilen Kopf und Fu zeilen die mit markiert sind Verschlusselte Zeilen in Datenbl cken Kopieren Sie die Datei keystore pem in das folgende Verzeichnis auf der Management Station opt fujitsu ServerViewSuite jboss standalone svconf pki Benutzerverwaltung in ServerView 105 SSL Zertifikate auf der Management Station verwalten g Kopieren Sie das Zertifikat der Zertifizierungsstelle im Format lt system_name gt scs pem in das folgende Verzeichnis auf der Management Station opt fujitsu ServerViewSuite svcommon data download pki Gehen Sie wie folgt vor Wenden Sie das folgende Kommando an cp certca pem opt fujitsu ServerViewSuite svcommon data download pki lt system_name gt scs pem 6 Starten Sie den JBoss Service neu um Ihre nderungen zu aktivieren 106 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Acce
225. pezifisch Benutzer k nnen f r den Zugriff auf iRMC S2 S3 S4 MMB unterschiedliche Berechtigungsprofile besitzen je nachdem ob sie via LAN Kanal oder via seriellem Kanal zugreifen F r jeden Benutzer Rolle muss genau ein IpmiLan Privilege Level und ein IpmiSerial Privilege Level spezifiziert werden Berechtigung Erlaubnis Geltungsbereich Erlaubnis zur Konfiguration des Managed Node Connection Blade OEM spezifischer IPMI Privilege Level Managed Node OEM f r alle LAN Verbindungen Der OEM Level umfasst den Standard IPMI Privilege Level administrator und gestattet dar ber hinaus die Ausf hrung von OEM Funktionen CfgConnectionBlade Standard IPMI Privilege Level operator Managed Node f r alle LAN Verbindungen lpmiLanOem Standard IPMI Privilege Level user fur alle Managed Node LAN Verbindungen IpmiSerialDem OEM spezifischer IPMI Privilege Level Managed Node OEM f r alle seriellen Anschl sse Der OEM Level umfasst den Standard IPMI Privilege Level administrator und gestattet dar ber hinaus die Ausf hrung von OEM Funktionen lpmiSerialOperator Standard IPMI Privilege Level operator Managed Node f r alle seriellen Anschl sse IpmiSerialUser Standard IPMI Privilege Level user f r alle Managed Node seriellen Anschl sse Tabelle 22 Berechtigungen der Kategorie IRMC_MMB Benutzerverwaltung in ServerView 141 Privilegien Kategorien und zugeh rige Berechtigungen
226. ployer jar das Sie auf Ihrer ServerView Suite DVD finden Dieser Abschnitt beschreibt Die Konfigurationsdatei des SVS_LdapDeployer SVS_LdapDeployer Die Kommandos und Optionen des SVS_LdapDeployer Typische Anwendungsszenarien 8 2 3 1 Konfigurationsdatei xml Datei SVS_LdapDeployer erzeugt LDAP Strukturen auf Basis einer XML Konfigurationsdatei Diese Eingabedatei enthalt die Strukturinformationen fur die Struktur en SVS in XML Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den Beispiel il Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit demjar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert wird In der Eingabedatei m ssen unter lt Settings gt immer g ltige Verbindungsdaten f r die Verbindung zum Verzeichnisserver eingetragen sein Optional k nnen Sie auch die Authentisierungsdaten f r den Server Zugriff eintragen Alternativ k nnen Sie die Authentisierungsdaten auch in der Kommandozeile des SVS_LdapDeloyer angeben Wenn Sie die Authentisierungsdaten weder in der Konfigurationsdatei noch in der Kommandozeile beim Aufruf des SVS_LdapDeployer angeben fordert der SVS_LdapDeployer die Authentisierungsdaten zum Ausf hrungszeitpunkt an User Management in ServerView 251 Globale Benutzerverwaltung f r den iRMC S4 8 2 3 2 SVS_LdapDeployer starten Zum Starten des SVS_LdapDeployer gehen Sie wie folgt vor
227. puters 9 8 Domain Controllers H Q ForeignSecurityPrincipals t Eile Action wiew Favorites Wir 1 4 iRMC2 e Bat x gl H iRMCgroups 2 8 LdapDeployerTest 2 0 Users 8 SYS 4 3 Administrator Deptx 3 AlertRoles AuthorizationRoles i Administrator i Maintenance 33 Observer op Userk M 3 Depty 3 Others 3 UserSettings BEA iRMC_MMB 3 MailFormat PreferredShell IPMIbasicMode amp IPMIterminalMode fg None E RemoteManager E E SmashCLP 29 LostAndFound 2 Departments Guest HelpSery IIS_WPG kyms2 Add Declarations 1 Zs Cert Pub me E CERTSVC DnsAdmi Environment 3 DnsUpde General Ad H E Domain Published Cert Domain Domain Member of Domain Domain L Domain User 33 Enterpris RemoteMan Group Pc rey 2G a g ze Ti 8 a8 Primary group 3 2 kvms Set Primary amp Bild 43 Organisationsstruktur der Dom ne fwlab firm net 166 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 4 SVS Berechtigungsprofile werden ber Rollen definiert Direkt unterhalb jeder Abteilung sind die gew nschten zugeh rigen Benutzerrollen Authorization Roles aufgef
228. r Konfiguration eines Baums gehen Sie wie folgt vor gt W hlen Sie unter My World den Knoten NDS gt Wahlen Sie in der Ment Leiste File Authenticate gt Geben Sie f r das Login die folgenden Authentisierungsdaten ein 1 Login Name root 2 Passwort lt passwort gt 3 Tree MY_TREE 4 Context mycompany 214 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 gt Klicken Sie links im Fenster auf das Base DN Objekt Mycompany Auf der rechten Fensterseite wird dann das LDAP Server Objekt angezeigt gt Klicken Sie mit der rechten Maustaste auf das LDAP Server Objekt und w hlen Sie Properties im Kontext Men Klicken Sie in der Registerkarte General auf die Schaltfl che Refresh NLDAP Server Now NDS Meldungs Trace konfigurieren Der nds D mon erzeugt Debug und Log Meldungen die Sie mit dem Tool ndstrace verfolgen k nnen Zweck der im Folgenden beschriebenen Konfiguration ist es den Terminal Output von ndstrace in eine Datei umzuleiten und sich den Inhalt dieser Datei an einem anderen Terminal anzeigen zu lassen F r Letzteres verwenden Sie das Tool screen Es empfiehlt sich folgende Vorgehensweise gt ffnen Sie die Command Box z B bash ndstrace konfigurieren gt Wechseln Sie in das eDirectory Verzeichnis home eDirectory cd home eDirectory gt Starten Sie screen mit dem Kommando screen Starten Sie ndstrace mit dem Kommando ndstrace gt Selektier
229. r Management in ServerView 263 Globale Benutzerverwaltung f r den iRMC S4 Dom nencontroller Zertifikat auf dem Server installieren Mit den folgenden Schritten installieren Sie das Dom nencontroller Zertifikat auf dem Server gt Kopieren Sie die soeben erstellte Datei f r das Dom nencontroller Zertifikat auf den Dom nencontroller F hren Sie einen Doppelklick auf das Dom nencontroller Zertifikat aus Klicken Sie auf Zertifikat installieren Verwenden Sie das Passwort das Sie beim Export der Zertifikats vergeben haben Klicken Sie unter Alle Zertifikate in folgendem Speicher speichern auf die Schaltfl che Durchsuchen und w hlen Sie Eigene Zertifikate Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu F gen Sie das Snap in f r Zertifikate des aktuellen Benutzers hinzu Kopieren Sie das Dom nencontroller Zertifikat aus dem Verzeichnis Eigene Zertifikate des aktuellen Benutzers in das Verzeichnis Eigene Zertifikate des lokalen Computers 264 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 8 2 5 2 iRMC S4 Benutzer einer Rolle Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S4 Benutzern zu IRMC S4 Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag oder ausgehend vom Rolleneintrag Gruppeneintrag Nachfolgend ist am B
230. r den iRMC S2 S3 gt Klicken Sie auf der Registerkarte General auf Refresh NLDAP Server Now Zugang zu eDirectory via LDAP Browser testen Nach erfolgreicher Durchf hrung der oben beschriebenen Schritte 1 3 sollten Sie via LDAP Browser Utility eine Verbindung zu eDirectory herstellen k nnen Mit dem LDAP Browser von Jarek Gavor siehe Seite 220 k nnen Sie dies wie folgt testen gt Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine SSL Verbindung in eDirectory einzuloggen Falls der Versuch fehlschl gt verfahren Sie wie folgt Pr fen Sie ob SSL aktiviert ist vergleiche Seite 201 x Session Options Host Info Host 192 168 37 238 Port 636 Version Bl Base DN de myorganization de mycompany lz Fetch DNs v SSL Anonymous bind User Info er User DN len admin v append base DN Password C emca Bild 54 LDAP Zugriff auf eDirectory testen SSL aktiviert Versuchen Sie sich unter der Administratorkennung im Beispiel admin ber eine nicht SSL gesicherte Verbindung in eDirectory einzuloggen Benutzerverwaltung in ServerView 203 Globale Benutzerverwaltung f r den iRMC S2 S3 Edit Session x Session Options Host Info Host 192 168 37 238 Port 383 Version am Base DN e myorganization de mycompany i lz Fetch DNs _ SSL _ Anonymous bind User Info User DN len admin v append base DN Password re
231. r f gt sich nicht in diese Hierarchie ein da il ihr Zweck lediglich darin besteht die Privilegien f r die Benutzerverwaltung mit ApacheDS bereitzustellen Wenn f r die Benutzerverwaltung in ServerView ein externer Verzeichnisdienst z B Active Directory verwendet wird wird die Rolle UserAdministrator nicht in diesen Verzeichnisdienst importiert Sicherheitskonzept an die Struktur Ihrer Organisation anpassen Um Ihr Sicherheitskonzept an Ihrer Unternehmensstruktur auszurichten k nnen Sie mit der ServerView Suite auf komfortable Weise zus tzliche Benutzer Rollen und Rollen Benutzer Zuordnungen definieren indem Sie den Link User Management unterhalb des Eintrags Security auf der Startseite des ServerView Operations Managers verwenden 2 3 3 RBAC bei einem bereits existierenden konfigurierten Verzeichnisdienst Sie k nnen die RBAC Benutzerverwaltung f r ServerView auch in eine bereits existierende Benutzerverwaltung auf Basis eines konfigurierten externen Verzeichnisdienstes z B Microsoft Active Directory integrieren N heres hierzu finden Sie im Abschnitt ServerView Benutzerverwaltung in Microsoft Active Directory integrieren auf Seite 69 In diesem Fall bietet das ServerView Benutzer und Sicherheitskonzept die folgenden Optionen Benutzerauthentifizierung und Benutzerberechtigung werden innerhalb demselben externen Verzeichnisdienst z B Active Directory verwaltet Im einheitlichen RBAC Management wird der
232. r installieren Zertifikatsdateien auf einem verwalteten Server installieren auf dem die ServerView Agenten bereits installiert sind Dieses Vorgehen ist z B zu w hlen wenn das zun chst installierte selbstsignierte Zertifikat durch das Zertifikat einer vertrauensw rdigen Zertifizierungsstelle ersetzt werden muss z B als Folge eines entsprechenden Zertifikatsaustauschs auf der Management Station 4 3 2 1 Zertifikatsdateien gemeinsam mit den ServerView Agenten installieren In diesem Fall m ssen die Zertifikatsdateien auf dem verwalteten Server installiert sein bevor die ServerView Agenten installiert werden Im Folgenden ist beschrieben wie Sie die Zertifikatsdateien auf einem Windows System installieren Einzelheiten zur Installation der ServerView Agenten finden Sie in den entsprechenden Abschnitten des Handbuchs oerverView Agenten f r Windows Installieren via Paket Installation Gehen Sie wie folgt vor 1 Kopieren Sie die gepackte Setup Datei ServerViewAgents_Win_i386 exe oder ServerViewAgents_Win_x64 exe f r das Agenten Setup auf ein freigegebenes Netzlaufwerk oder in ein lokales Verzeichnis auf dem verwalteten Server 2 Erzeugen Sie im Verzeichnis das die Setup Datei enth lt ein neues Verzeichnis pki Abk rzung f r Public Key Infrastructure 3 Transferieren Sie die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml in das neue Verzeichnis pki Dabei k nnen Sie auch g
233. rView spezifischer Aufgaben Berechtigung Erlaubnis Geltungsbereich AccessOnlineDiagnostics Online Diagnostics auf einem Managed Node ausf hren Managed Node AccessPrimeCollect PrimeCollect auf einem Managed Node ausf hren Managed Node Installationsverzeichnis auf die Management Station herunterladen AccessRemoteManagement Komponenten f r das Remote All Management ausf hren ConfigPKI Keystore oder Truststore modifizieren All d h Import und Export von Zertifikaten ModifyCMSSettings Lokale Konfigurtionseinstellungen auf All der Management Station andern ModifyPasswordTable Passwort Tabelle andern CMS PerformDownload Daten aus dem ServerView CMS PerformLocateToggle Identifizierungs LED ein ausschalten Managed Node PerformServerErrorAck Fehlermeldung bez glich eines Servers bestatigen CMS Tabelle 19 Berechtigungen der Kategorie Common Benutzerverwaltung in ServerView 139 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 7 Kategorie ConfigMgr Die ConfigMgr Kategorie umfasst die Berechtigungen fur Zugriff auf und Benutzung des Server Configuration Managers sowie die Berechtigungen zur Nutzung der Funktionalitat des Operations Managers fur die ferngesteuerte Energieverwaltung Remote Power Management Berechtigung Erlaubnis Geltungsbereich AccessServerConfig Zugriff auf den Server Configuration All Manager
234. ram ex305 PrimSupportPack Win Broadcom LAN 3 2 0 0 3 02 00 00 O pdemu 0s PrimSupportPack lin BroadCom_LAN pcbem x10s pdemxios pismis pismis Ceste Job Show Detais O Lokale arent Gesch tzier Moston akt n un Bild 36 Update Manager Hauptfenster Registerkarte Update Details CMS Zertifikat erfolgreich installiert Benutzerverwaltung in ServerView 119 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 3 4 2 CMS Zertifikat auf dem verwalteten Server installieren Zur Installation des CMS Zertifikats auf dem verwalteten Server gehen Sie wie folgt vor 1 2 ffnen Sie das Hauptfenster des Update Managers siehe Bild 33 W hlen Sie unter All Servers den verwalteten Server aus auf dem Sie das CMS Zertifikat installieren wollen W hlen Sie in der Ansicht Upgrades der Registerkarte Update Details siehe Bild 34 die Zeile aus die die Option zum Installieren des CMS Zertifikats auf dem ausgew hlten Server anzeigt Erzeugen und starten Sie einen neuen Update Job der das CMS Zertifikat auf dem verwalteten Server installiert 4 3 4 3 CMS Zertifikat auf dem verwalteten Server deinstallieren Zur Deinstallation des CMS Zertifikats auf dem verwalteten Server gehen Sie wie folgt vor 1 2 ffnen Sie das Hauptfenster des Update Managers siehe Bild 33 W hlen Sie unter All Servers den verwalteten Server auf dem Sie das CMS Zert
235. request cer Exportieren Sie das Zertifikat mit dem privaten Schlussel Gehen Sie hierbei wie folgt vor Starten Sie die Management Konsole durch Eingabe von mmc in der Windows Eingabeaufforderung F gen Sie das Snap in f r Zertifikate des lokalen Computers hinzu Navigieren Sie zu Zertifikate Lokaler Computer Eigene Zertifikate Zertifikate F hren Sie einen Doppelklick auf das neue Server Authentifizierungszertifikat aus Klicken Sie im Zertifikatsfenster auf die Registerkarte Details Klicken Sie auf In Datei kopieren W hlen Sie Ja privaten Schl ssel exportieren Vergeben Sie ein Passwort vv YV vy 7y W hlen Sie einen Dateinamen f r das Zertifikat und klicken Sie auf Fertig stellen Benutzerverwaltung in ServerView 181 Globale Benutzerverwaltung f r den iRMC S2 S3 Dom nencontroller Zertifikat auf dem Server installieren Mit den folgenden Schritten installieren Sie das Dom nencontroller Zertifikat auf dem Server gt Kopieren Sie die soeben erstellte Datei f r das Dom nencontroller Zertifikat auf den Dom nencontroller F hren Sie einen Doppelklick auf das Dom nencontroller Zertifikat aus Klicken Sie auf Zertifikat installieren Verwenden Sie das Passwort das Sie beim Export der Zertifikats vergeben haben Klicken Sie unter Alle Zertifikate in folgendem Speicher speichern auf die Schaltfl che Durchsuchen und w hlen Sie Eigene Zertifikate Starten Sie die Manageme
236. rforderlich sind 2 3 1 Benutzer Benutzerrollen und Berechtigungen Privilegien RBAC regelt die Zuteilung von Berechtigungen an Benutzer ber Benutzerrollen anstatt die entsprechenden Berechtigungen den Benutzern direkt zuzuweisen Jeder Benutzerrolle wird ein Satz von Berechtigungen zugeordnet Jeder einzelne Satz definiert ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten an der ServerView Suite Jedem Benutzer werden eine oder mehrere Rollen zugewiesen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden Sondern sie werden nur der Benutzerrolle zugewiesen Wenn sich die Berechtigungsstruktur ndert m ssen nur die in der Benutzerrolle enthaltenen Berechtigungen angepasst werden Jedem Benutzer k nnen mehrere Rollen zugewiesen werden In diesem Fall definieren sich die Berechtigungen eines Benutzers ber die Summe der Berechtigungen aus allen Rollen die diesem Benutzer zugewiesen sind Benutzerverwaltung in ServerView 29 Rollenbasierte Zugangskontrolle RBAC 2 3 2 RBAC Implementierung in ApacheDS RBAC ist bereits im Verzeichnisdienst ApacheDS implementiert der bei der Installation des ServerView Operations Managers automatisch installiert wird Vordefinierte Benutzer und Rollen Per Voreinstellung bietet OpenDS die vordefinierten Benut
237. rganizational Unit OU SVS Rechtevergabe ber Benutzerrollen kurz Rollen Role Die globalen Benutzerverwaltung am iRMC S2 S3 Firmware Version 3 77 oder h her regelt die Rechtevergabe ber Benutzerrollen Dabei definiert jede Rolle ein spezifisches aufgabenorientiertes Berechtigungsprofil f r T tigkeiten am IRMC S2 S3 Jedem Benutzer k nnen mehrere Rollen zugewiesen werden sodass sich die Rechte dieses Benutzers aus der Gesamtheit der Rechte aller zugewiesenen Rollen ableiten Benutzerverwaltung in ServerView 161 Globale Benutzerverwaltung f r den iRMC S2 S3 Bild 41 skizziert das Konzept der rollenbasierten Vergabe von Benutzerberechtingungen mit den Rollen Administrator Maintenance Observer und UserKVM Hr M ller Fr Meyer Hr B cker Maintenance Bild 41 Rollenbasierten Vergabe von Benutzerberechtigungen Das Konzept der Benutzerrollen bietet u a folgende wesentlichen Vorteile Die einzelnen Berechtigungen m ssen nicht jedem Benutzer oder jeder Benutzergruppe separat zugewiesen werden Sondern sie werden nur der Benutzerrolle zugewiesen Wenn sich die Berechtigungsstruktur ndert m ssen nur die Rechte der Benutzerrolle angepasst werden 162 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 2 2 Organizational Unit OU SVS Die Firmware des iRMC S2 ab Firmware Version 3 77A und des iRMC S3 unterst tzen LDAP v2 Strukturen die in der
238. roperties f r die Rolle Monitorwird angezeigt Monitor Properties 21x General Members Member OF Managed By Object Security Description Contains the list of operators assigned to CMS E mat M Group scope r Group eye Bild 24 Dialog Monitor Properties f r die Monitor Rolle d W hlen Sie die Registerkarte Members und klicken Sie auf Add Monitor Properties x General Members Member Of Managed By Object Security Members _ Active Directory Folder OK Cancel amy Bild 25 Dialog Properties f r die Monitor Rolle Registerkarte Members Benutzerverwaltung in ServerView 75 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Der Dialog Select Users wird angezeigt Select Users Contacts Computers or Groups 21x Select this object type Users Groups ot Other objects Object Types Erom this location DOMULIOT local Locations Enter the object names to select examples Bild 26 Dialog Select Users e Klicken Sie auf Advanced Select Users Contacts Computers or Groups Select this object type Use Groups or Other obyects Qbiect Types Erom this location DOMULIOT Joos Locations Common Queries Name State wah comms Search tests em Name RDN E MatAdders Description In Foder Fred Miller DOMULIO1 ocal Us John Baker DOMULIC a John Smith DOMULIOI o
239. rowser281 zip in ein Installationsverzeichnis Ihrer Wahl gt Setzen Sie die Umgebungsvariable JAVA_HOME auf das Installationsverzeichnis der JAVA Laufzeitumgebung z B JAVA_HOME C Program Files Java jre 220 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Principal User Principal Benutzer erzeugen il Verwenden Sie zur Erzeugung des Principal User ObjectClass Person einen LDAP Browser z B den LDAP Browser Editor von Jarek Gawor siehe Seite 220 Im Folgenden ist beschrieben wie Sie den Principal User mithilfe des LDAP Browser Editor von Jarek Gawor erzeugen Gehen Sie wie folgt vor gt gt vv v y Starten Sie den LDAP Browser Loggen Sie sich beim OpenLDAP Verzeichnisdienst mit g ltigen Authentisierungsdaten ein W hlen Sie den Teilbaum Untergruppe in dem der Principal User angelegt werden soll Der Principal User kann an beliebiger Stelle dieses Baums angelegt werden ffnen Sie das Men Edit W hlen Sie Add Entry W hlen Sie Person ndern Sie den Distinguished Name DN Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des iRMC S2 S3 bereinstimmen siehe Handbuch iRMC S2 S3 integrated Remote Management Controller Klicken Sie auf Set und geben Sie ein Passwort ein Geben Sie einen Nachnamen Surname SN ein Klicken Sie auf Apply Benutzerverwaltung in ServerVi
240. rs kvms4 168 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 3 SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen Um die globale iRMC S2 S3 Benutzerverwaltung ber einen Verzeichnisdienst abwickeln zu k nnen m ssen im LDAP Verzeichnisdienst die Struktur en OU SVS angelegt sein Sie verwenden SVS_LdapDeployer um die SVS Strukturen zu generieren und anzupassen Der SVS_LdapDeployer ist ein Java Archiv SVS_LdapDeployer jar das Sie auf Ihrer ServerView Suite DVD finden Dieser Abschnitt beschreibt Die Konfigurationsdatei des SVS_LdapDeployer SVS_LdapDeployer Die Kommandos und Optionen des SVS_LdapDeployer Typische Anwendungsszenarien 7 2 3 1 Konfigurationsdatei xml Datei SVS_LdapDeployer erzeugt LDAP Strukturen auf Basis einer XML Konfigurationsdatei Diese Eingabedatei enthalt die Strukturinformationen fur die Struktur en SVS in XML Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den Beispiel il Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit demjar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert wird In der Eingabedatei m ssen unter lt Settings gt immer g ltige Verbindungsdaten f r die Verbindung zum Verzeichnisserver eingetragen sein Optional k nnen Sie auch die Authentisierungsdaten f r den Server Zugriff eintragen Alternativ
241. rt zeigt der User Management Wizard zun chst den Dialog Role Definitions an S ServerView A privilege is a right permission or some other kind of access capability that a user has regarding operations on a aon Role to User system The privileges are arranged in groups according to their usage by various ServerView components Finis A role is a set of such privileges and is used as the main property for users ServerView Component Assigned Privileg Description of Privilege AccessAlarmMar The user has the permission to EE laccess the Alarm Monitor UserAdministrator lArchiveMgr pccatsDepioymentNior iBackupMgr AccessDeploymentM Common AccessDownloadMar contort AccessInventoryMgr InvMgr RNC me AccessOnlineDisgno PerfMgr AccessPerformance PowerMon AccessPowerMonitor JRackManager AccessPrimeCollect RaidMgr z RemDeploy AccessRacl ReportMgr AccessRaidMgr scs AccessRemoteMana perverList AccessReportMgr UpdMgr userttgr AccessRepositoryMgr vIOM AccessServerConfig AccessServerList v New Delete Previous Next Finish Cancel Help Bild 13 User Management Wizard Dialog Role Definitions Der User Management Wizard umfasst vier Schritte Die Reihenfolge der Schritte wird in der Baumstruktur auf der linken Seite angezeigt Sie m ssen diese Schritte jedoch nicht unbedingt
242. rtMgr Wird nur noch aus Kompatibilit tsgr nden unterst tzt SCS ServerView Connector Service ServerList Serverliste UpdMgr Update Manager UserMgr Benutzerverwaltung mit ApacheDS Tabelle 14 Privilegien Kategorien und zugeh rige ServerView Komponenten Aufgaben 136 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen Privilegien Zugeh rige ServerView Komponente Aufgabe Kategorie VIOM Virtual IO Manager Tabelle 14 Privilegien Kategorien und zugeh rige ServerView Komponenten Aufgaben 6 1 2 Kategorie AgentDeploy Die PerformAgentDeployment Berechtigung der AgentDeploy Kategorie wird ben tigt um ServerView Agenten auf Managed Nodes zu installieren Berechtigung Erlaubnis Geltungsbereich PerformAgentDeployment ServerView Agenten auf Managed Nodes einrichten CMS Tabelle 15 Berechtigungen der Kategorie AgentDeploy 6 1 3 Kategorie AlarmMgr Die AlarmMgr Kategorie umfasst die Berechtigungen zur Ausf hrung der im Zusammenhang mit dem ServerView Event verschiedenen Aufgaben Management Berechtigung Erlaubnis Geltungsbereich AccessAlarmMgr Zugriff auf den Alarm Monitor CMS ModifyAlarmConfig Alarmeinstellungen modifizieren mithilfe CMS des Alarm Configuration Links im Startfenster des Operations Managers Hinweis Diese Berechtigung sollte nur an Benutzer vergeben werden die bereits die Acce
243. rten Daten lt 110 gt 1 2011 07 20T08 38 35 156 02 00 pontresina ServerView CAS LOGOUT LServerView CAS logout 231 address 172 25 88 121 tgt TGT 1 VS0g93zTt2dZQ1WX1texuxXNEmJKvw21Hel XqXIScvMKVi7XOBY cas user administrator LServerView CAS msg 231 messageld screen logout header ServerView audit 231 result success JLogout successful STOP Eintrag Der folgende STOP Eintrag enthalt das Element ServerView audit 231 sowie Freitext im Anschluss an die strukturierten Daten lt 110 gt 1 2011 07 20T08 39 07 468 02 00 pontresina ServerView CAS STOP LServerView audit 231 result success LServerView msg 231 messageld logging syslog operation stop Audit terminated 134 Benutzerverwaltung in ServerView 6 Rollenbasierte Berechtigungen f r den Zugriff auf den Operations Manager Rollenbasierte Zugangskontrolle Role Based Access Control RBAC regelt die Benutzerauthentifizierung durch Zuweisung von Berechtigungen Privilegien auf der basis von Benutzerrollen User Roles Security Roles Mit jeder Rolle k nnen Sie ein spezifisches aufgabenorientiertes Berechtigungsprofil definieren Die RBAC Implementation der ServerView Suite gruppiert Berechtigungen in Kategorien die sich jeweils auf eine spezielle ServerView Komponente beziehen Dieses Kapitel erl utert die folgenden Themen Alle Kategorien und die zugeh rigen Berechtigungen Privilegien Vordefinierten Rollen Administrator Monit
244. rter Dialog Benutzer Kontakte und Computer w hlen wird ge ffnet siehe Bild 51 auf Seite 187 186 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen HEI Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad Users Pfade Name Beginnt mit L Spaten Bon Beschreibung Beare mit z Jetzt suchen e Konten 7 Deaktivierte Name RON Bild 51 Dialog Benutzer Kontakte oder Computer wahlen Suchen gt Klicken Sie auf die Schaltfl che Jetzt suchen um sich alle Benutzer Ihrer Dom ne anzeigen zu lassen Im Anzeigebereich unter Suchergebnisse wird das Suchergebnis angezeigt siehe Bild 52 auf Seite 188 Benutzerverwaltung in ServerView 187 Globale Benutzerverwaltung f r den iRMC S2 S3 Benutzer Kontakte oder Computer w hlen HE Objekttyp Benutzer oder Andere Objekte Objekttypen Suchpfad see de Allgemeine Abfragen Name Beginnt mit Spalten Beschreibung Beainnt mit i Jetzt suchen 7 Deaktivierte Konten Beenden J Nicht ablaufende Kennw rter Tage seit der letzten Anmelduna z 29 Suchergebnisse BE _Abbrechen Name RDN E Mail Adresse Ordner Beschreibung Administrator VordefiniertesK fwlab firm net Us amp Gast Vordefiniertes K fwlab firm net Us IUSR_DOMINO Vordefiniertes K fwlab finn net Us IWAM_DOM
245. rukturbaum von Active Directory Benutzer und Computer siehe Bild 63 unter SVS Departments DeptX Alert Roles eine Benachrichtigungsgruppe Alert Role z B StdSysAlerts ausw hlen 1 und via Kontextmen Eigenschaften Mitglieder den Eigenschaften Dialog f r diese Benachrichtigungsgruppe ffnen werden in der Registerkarte Mitglieder die Benutzer angezeigt 2 die der Benachrichtigungsgruppe hier StdSysAlerts angeh ren Active Directory Users and Computers Jol x Ele Action View Favorites Window Help 181 x gt Ams xF P RB Em EEY C Builtin CQ Computers E E Domain Controllers amp a ForeignSecurityPrincipals E iRMc2 amp iRMCaroups B LdapDeployerTest il StdSysAlerts 0 objects General Members Member OF Managed By Object Securty Members Active Directory Folder H stdSysAlerts Properties 21x E IRMCgroups 2 8 ss 2 8 Declarations 2 S AlertRoles m StdSysAlerts amp AlertTypes m AuthorizationRoles H Privileges E Departments B Deptx SH AlertRoles mA AuthorizationRoles Depty m Others EZ UserSettings E LostandFound m NewTestou H E NTDS Quotas Program Data brd4 local User g kyms4 sbrd4 local Users g kyms6 sbrd4 local Users 6 kyms sbrd4 local Users Bild 63 Benutzer mit der Alert Role StdSysAlert sass Apply 232 Benutzerverwaltung in ServerView Global
246. ry Server die Benutzerberechtigunge des Benutzers User1 Bild 81 Authentifizierungsschema f r globale IRMC S4 Benutzerberechtigungen User Management in ServerView 287 Globale Benutzerverwaltung f r den iRMC S4 Die Berechtigungsdaten des Principal User sowie den Teilbaum der il die DNs enth lt konfigurieren Sie auf der Seite Directory Service Configuration der IRMC S4 Web Oberfl che siehe Handbuch iRMC S4 integrated Remote Management Controller Der CN eines Benutzers muss innerhalb des durchsuchten Teilbaums eindeutig sein Principal User Principal Benutzer f r den iRMC S4 erzeugen Um einen Principal User f r den iRMC S4 zu erzeugen gehen Sie wie folgt vor Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein gt W hlen Sie Roles and Tasks Wahlen Sie Users Create User gt Tragen Sie die erforderlichen Angaben in das angezeigte Template ein Distinguished Name DN und Passwort des Principal User m ssen il mit entsprechenden Angaben f r die Konfiguration des IRMC S4 bereinstimmen siehe Handbuch iRMC S4 integrated Remote Management Controller Der Context des Benutzers kann sich an beliebiger Stelle im Baum befinden gt Erteilen Sie dem Principal User Suchberechtigung f r die folgenden Teilb ume Teilbaum OU SVS Teilbaum OU der die Benutzer enth lt z B people Den iRMC Gruppen und Benutzern Benutzerrechte erteilen Standardm ig
247. s Audit Log Eintrags folgen die strukturierten Daten die das Ereignis beschreiben Die strukturierten Daten sind vom Header durch ein Leerzeichen getrennt Die strukturierten Daten setzen sich zusammen aus einer Liste von Elementen SD ELEMENT in RFC 5424 von denen jedes in eckige Klammern eingeschlossen ist Innerhalb der eckigen Klammern beginnt jedes Element mit einen Elementnamen SD NAME in RFC 5424 gefolgt von einer Liste von Parametern die als Schl ssel Wert Paare formatiert sind SD PARAM in RFC 5424 Jeder Wert ist in doppelte Hochkommata eingeschlossen Die Reihenfolge der Elemente ist nicht festgelegt Welche Elemente und Werte vorhanden sind h ngt vom jeweiligen Ereignis ab Die Elemente und Werte sind weiter unten detailliert beschrieben Die Audit Log Eintr ge enthalten die nachfolgend beschriebenen Elemente wobei COMP_NAME den Namen der zugeh rigen Komponente bezeichnet Das Element mit Namen ServerView COMP_NAME audit 231 ist in jedem Eintrag enthalten Alle anderen Elemente sind optional 5 2 3 1 origin Element Das origin Element ist in Eintr gen mit der Msgld INIT enthalten Der Elementname origin und die Bedeutung seiner Parameter sind bei der Internet Assigned Numbers Authority IANA for RFC 5424 registriert und haben demzufolge kein Suffix 231 Das origin Element enthalt Informationen dar ber welches Produkt von welchem Lieferanten den Logging Eintrag erzeugt hat Parameter Bedeutung Sof
248. s angegeben Benutzerverwaltung in ServerView 35 Single sign on SSO mithilfe eines CAS Service 2 4 Single sign on SSO mithilfe eines CAS Service Fur die Benutzeranmeldung an den einzelnen Komponenten z B Web Diensten unterst tzt die ServerView Suite die Single sign on SSO Funktionalitat ServerView implementiert den SSO Mechanismus mithilfe eines Centralized Authentication Service CAS der den SSO Vorgang aus der Sicht des Benutzers v llig transparent abwickelt Wichtig Melden Sie sich immer ab und schlie en Sie Ihren Browser bevor Sie Ihren PC unbeaufsichtigt lassen CAS speichert die Information ber die Identit t eines Benutzers in einem sicheren Browser Cookie Ticket Granting Cookie TGC siehe Seite 38 das automatisch gel scht wird wenn der Benutzer sich explizit abmeldet oder den Browser schlie t Eine unbeaufsichtigte Browser Sitzung stellt deshalb eine ernste Sicherheitsl cke dar il Voraussetzung f r die Nutzung von SSO Der CAS Service muss f r alle IRMC S2 S3 S4 der SSO Dom ne konfiguriert sein zu Einzelheiten siehe Handb cher IRMC S2 S3 integrated Remote Management Controller und iRMC S4 integrated Remote Management Controller Alle Systeme die zur SSO Dom ne geh ren m ssen die zentrale Management Station CMS unbedingt ber genau dieselbe Adressstruktur referenzieren Eine SSO Dom ne umfasst alle Systeme bei denen die Authentifizierung ber denselben C
249. sammen mit dem Zertifikat der Zertifizierungsstelle in eine neue keystore Datei und exportieren Sie den ffentlichen Schl ssel hier keystore p12 openssl pkcsl2 export chain in certreply pem inkey privkey pem passout pass changeit out keystore pl2 name svs_cms CAfile certca pem caname CANAME Ersetzen Sie den Platzhalter CANAME durch den Namen der Zertifizierungsstelle die die Zertifikatsanforderung Certificate Signing Request CSR signiert hat Formatieren reformatieren Sie die Datei keystore keytool importkeystore srckeystore keystore pl2 destkeystore keystore srcestoretype PKCS12 srestorepass changeit deststorepass changeit destkeypass changeit srcalias svs_cms destalias svs_cms noprompt v Importieren Sie das neue Zertifikat in die Datei truststore Am einfachsten erreichen Sie dies wie folgt a Starten Sie den JBoss Service b Warten Sie bis der Startvorgang beendet ist c Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone bin Benutzerverwaltung in ServerView 97 SSL Zertifikate auf der Management Station verwalten d ffnen Sie eine Windows Eingabeaufforderung und geben Sie das folgende Kommando die folgenden Kommandos ein java jar install cert gui SVCOM_V1 70 jar svconf pki cacerts changeit lt system FODN gt 3170 Wenn Sie einen konfigurierten externen Verzeichnisdienst verwenden m ssen Sie auch das folgende Kommando eingeben java
250. se CA Zertifizierungsstelle f r Unternehmen k nnen Sie wahlweise auf dem Dom nencontroller selbst oder auf einem anderen Server installieren Die Installation direkt auf dem Dom nencontroller ist einfacher da im Vergleich zur Installation auf einem anderen Server einige Installationsschritte entfallen Im Folgenden ist beschrieben wie Sie die Enterprise CA direkt auf einem vom Dom nencontroller verschiedenen Server installieren Die erfolgreiche Installation und Konfiguration einer Enterprise CA setzt eine Active Directory Umgebung sowie die installierten IIS Internet Information Services voraus Mit den folgenden Schritten installieren Sie eine Enterprise CA gt Wahlen Sie im Windows Startmen Start Systemsteuerung Software Windows Komponenten hinzuf gen entfernen gt Wahlen Sie im Wizard f r die Windows Komponenten den Punkt Zertifikatsdienste unter Komponenten gt Doppelklicken Sie auf Zertifikatsdienste und stellen Sie sicher dass die Optionen Webregistrierung fur Zertifikatsdienste und Zertifizierungsstelle fur Zertifikate ausgewahlt sind 260 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 gt W hlen Sie Stammzertifizierungsstelle eines Unternehmens gt Aktivieren Sie die Option Schl sselpaar und Zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen gt Wahlen Sie Microsoft Base DSS Cryptographic Provider um DSA Zertifikate mit einer
251. ser Administrator Domain SERVERVIEW v Password admin Login Help about usemames and passwords of ServerView s default accounts can be found here Leading or trailing blank characters in passwords are not supported For security reasons please Log Out and Exit your web browser when you are done accessing services that require authentication Bild 5 CAS Anmeldefenster Die Spalte in der die Benutzer im Dialog Assign Role to User im User Management Wizard angezeigt werden ist in zwei Unterspalten aufgeteilt weitere Einzelheiten finden Sie in der Online Hilfe Operations Manager User Management 34 Benutzerverwaltung in ServerView Rollenbasierte Zugangskontrolle RBAC User Management Wizard 4 The known assignments are listed here This assignment is editable at any time BED Administrator User svomdev Account namepattern MCH A user will have the rights of one or more roles Roles Administrator Monitor Operator UserAdministrator Bild 6 User Management Wizard Assign Role to User unified RBAC management is configured Inder oberen Unterspalte werden die Benutzer angezeigt die in ApacheDS verwaltet werden Dom ne SERVERVIEW Inder unteren Unterspalte werden die Benutzer angezeigt die in dem externen Verzeichnisdienst verwaltet werden z B Active Directory Dom ne wurde w hrend Installation des ServerView Operations Manager
252. ss RBAC und Client Authentifizie 4 3 Verwaltete Server f r Role Based Access RBAC und Client Authentifizierung einrichten Die Einrichtung eines verwalteten Servers Managed Node f r RBAC und Client Authentifizierung erfordert die folgenden Schritte 1 Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen 2 Ubertragene Dateien auf dem verwalteten Server installieren 4 3 1 Dateien lt system_name gt scs pem und lt system_name gt scs xml auf den verwalteten Server bertragen Nach erfolgreicher Installation des Operation Managers auf der Management Station finden Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml auf der Management Station im folgenden Verzeichnis lt ServerView directory gt svcommon data download pki auf Windows Systemen opt fujitsu ServerViewSuite svcommon data download pki auf Linux Systemen Sie k nnen die Dateien manuell auf den verwalteten Server bertragen oder komfortabler von der Management Station herunter laden Voraussetzungen f r das Herunterladen der Dateien Sie m ssen die Administrator Rolle besitzen Benutzerverwaltung in ServerView 107 Verwaltete Server f r Role Based Access RBAC und Client Authentifizie Zum Herunterladen der Dateien gehen Sie wie folgt vor 1 Geben Sie am Browser des verwalteten Servers die folgende URL ein https lt
253. ssServerList Berechtigung besitzen PerformAlarmAcknowledge Alarme best tigen All PerformMiBintegration Neue MIBs integrieren Managed Node Tabelle 16 Berechtigungen der Kategorie AlarmMgr Benutzerverwaltung in ServerView 137 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 4 Kategorie ArchiveMgr Die ArchiveMgr Kategorie umfasst die Berechtigungen f r den Zugriff auf den Archive Manager sowie f r das Erzeugen ndern und L schen von Archiven Berechtigung Erlaubnis Geltungsbereich AccessArchiveMgr Zugriff auf den Archive Manager CMS ModifyArchives Archive erzeugen ndern und l schen CMS Tabelle 17 Berechtigungen der Kategorie ArchiveMgr 6 1 5 Kategorie BackupMgr Die BackupMgr Kategorie umfasst die Berechtigungen f r die Verwaltung von Sicherungskopien der ServerView Datenbank Berechtigung Erlaubnis Geltungsbereich ModifyBackup Sicherungskopie der ServerView CMS Datenbank erzeugen l schen PerformBackupRestore Datenbank des Operations Managers CMS wiederherstellen PerformBackupTransfer Sicherungskopie der Opeations Manager CMS Datenbank hochladen herunterladen Tabelle 18 Berechtigungen der Kategorie BackupMgr 138 Benutzerverwaltung in ServerView Privilegien Kategorien und zugeh rige Berechtigungen 6 1 6 Kategorie Common Die Kategorie Common umfasst die Berechtigungen zur Ausf hrung allgemeiner Serve
254. stallation des ServerView Operations Managers konfiguriert wurde sieht der Dialog Assign Role to User unterschiedlich aus Benutzerverwaltung in ServerView 57 ServerView Benutzerverwaltung mit ApacheDS User Management Role Definitions User amp Password Assign Role to User A user will have the rights of one or more roles The known assignments are listed here Finish This assignment is editable at any time Assigned Roles Administrator Monitor Operator UserAdministrator Privileges Description of Privilege A The user has the permission to AccessArchiveMgr laccess the Alarm Monitor AccessDeploymentMar AccessDeploymentMgr2 AccessDownloadMgr AccessInventoryMar AccessOnlineDiagnostics AccessPerformanceMgr AccessPowerMonitor AccessPrimeCollect AccessRack AccessRaidMar AccessRemoteManagement AccessReportMgr AccessRepositoryMgr AccessServerConfig AccessServerList AccessThresholdMgr AccessUpdateMar AccessUserGroup Access IOM D Gee ke Bild 17 Dialog Assign Role to User einheitliche RBAC Management nicht aktiviert 58 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung mit ApacheDS ServerView User UserManager SERVERVIEW FUJITSU PR User Management Wizard A Assign Role to User A user will have the rights of one or more roles The known assignments
255. stributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org 4 The names OpenSSL Toolkit and OpenSSL Project must not be used to endorse or promote products derived from this software without prior written permission For written permission please contact openssl core openssl org 5 Products derived from this software may not be called OpenssL nor may OpenSSL appear in their names without prior written permission of the OpenSSL Project 6 Redistributions of any form whatsoever must retain the following acknowledgment This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http www openssl org THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT AS IS AND ANY EXPRESSED OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT O
256. struktur Ihres Unternehmens ausrichten indem Sie jeder Rolle ein aufgabenorientiertes Berechtigungsprofil zuordnen Benutzerverwaltung in ServerView 11 Zielgruppe des Handbuchs Im Verzeichnisdienst ApacheDS der automatisch mit dem ServerView Operations Manager installiert wird ist RBAC bereits implementiert Sollten Sie jedoch bereits einen konfigurierten Verzeichnisdienst wie Active Directory verwenden dann m ssen Sie dort erg nzend die ServerView spezifischen Berechtigungen Privilegien importieren Danach k nnen Sie die erforderlichen Rollen denjenigen Benutzern zuweisen die ber die damit verbundenen Berechtigungen verf gen sollen Single sign on SSO F r die Anmeldung an den einzelnen ServerView Komponenten unterst tzt die ServerView Suite das Single Sign on SSO Login SSO basiert auf einem zentralisierten Authentifizierungsservice dem Centralized Authentication Service CAS SSO bedeutet dass Sie Ihre Authentizit t nur einmal nachweisen m ssen Einmal erfolgreich authentifiziert erhalten Sie Zugang zu allen ServerView Komponenten ohne sich bei einer dieser Komponente neu anmelden zu m ssen 1 2 Zielgruppe des Handbuchs Dieses Handbuch wendet sich an Systemadministratoren Netzwerkadministratoren und Service Techniker die bereits ber eine grundlegende Kenntnis der Hardware und Software verf gen Das Handbuch gibt einen berblick ber das Autorisierungs und Authentifizierungskonzept der ServerView
257. sword 775 Benutzerkonto Bei der Authentifizierung wird eine Meldung angezeigt dass gesperrt das Konto deaktiviert wurde und dass der Benutzer sich an einen Administrator wenden soll This account has been disabled Please contact the system administrator to regain access Tabelle 3 LDAP Fehlercodes Passwortablauf LPPE erkennt zudem den erwarteten Ablauf eines Benutzerpassworts Wenn das Passwort demn chst abl uft wird dies innerhalb eines konfigurierten Warnzeitraums angezeigt Bei der Authentifizierung zeigt CAS eine Meldung an dass das Benutzerpasswort demn chst abl uft Your password expires today Please change your password now oder Benutzerverwaltung in ServerView 83 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Your password expires tomorrow Please change your password now oder Your password expires in days Please change your password now Um das erwartete Ablaufdatum zu ermitteln liest das CAS einige LDAP Attribute aus dem konfigurierten Active Directory Service Zu diesem Zweck sind die folgenden Konfigurationswerte erforderlich Domain DN Dabei handelt es sich um den Distinguished Name der Active Directory Dom ne Beispiel dc fujitsu dc com Valid Days Der Wert dieser Eigenschaft bestimmt die Anzahl Tage die ein Passwort g ltig ist Beachten Sie dass hiermit der Standardwert f r den Fall definiert wird dass kein Attribut maxPwdAge in
258. swort des LDAP Bind Kontos das f r den Zugriff auf externe Verzeichnisdienste wie Active Directory verwendet wird auf die gleiche Weise ndern wie in Abschnitt Passwort von svuser definieren ndern auf Seite 45 beschrieben Alternativ k nnen Sie das Batch Skript SetDSPassword verwenden Dieses Skript hat den Vorteil dass kein Neustart von JBoss durchgef hrt wird Beachten Sie jedoch dass es bis zu f nf Minuten dauern kann bis die Konfigurations nderungen bernommen werden Sie sollten daher nach nderung des Passworts immer f nf Minuten warten bevor Sie versuchen sich erneut anzumelden SetDSPassword kann in einer Windows oder Linux Umgebung aufgerufen werden Windows gt ffnen Sie die Windows Eingabeaufforderung gt Wechseln Sie in das Verzeichnis lt ServerView directory gt jboss standalone bin Geben Sie SetDSPassword lt neues Passwort gt ein Das Passwort darf alle druckbaren Zeichen darunter Leerzeichen und doppelte gerade Anf hrungszeichen enthalten Wenn das Passwort Leerzeichen doppelte gerade Anf hrungszeichen Kommas ein Zirkumflex oder andere Sonderzeichen enth lt muss es von doppelten Anf hrungszeichen eingeschlossen werden z B Pa w rd Umgekehrte Schr gstriche werden buchstabengetreu interpretiert es sei denn sie stehen direkt vor einem doppelten geraden Anf hrungszeichen Ein doppeltes gerades Anf hrungszeichen vor d
259. system_name gt 3170 Download pki Wichtig Die URL muss mit einem Schr gstrich Slash abschlie en lt system_name gt F r lt system_name gt tragen Sie den DNS Namen oder die IP Adresse der Management Station ein Es ffnet sich das folgende Fenster das die Dateien als bereit zum Herunterladen anzeigt S ServerView Fujitsu Logout Fujitsu ServerView Suite Common Download Service Name Size LastModified imyems scs pen 1 7 kb Fri 30 Jul 2010 09 40 52 GMT mycms scs xml 0 8 kb Fri 30 Jul 2010 09 40 51 GMT Bild 32 Dateien mycms scs pem und mycms scs xml von der zentralen Management Station mycms herunterladen Klicken Sie fur jede der beiden Dateien mit der rechten Maustaste auf den zugeh rigen Link und speichern Sie die Datei mit Save target as auf dem verwalteten Server Save target as speichert die pem Datei m glicherweise als html Datei ndern Sie in diesem Fall das Suffix html in pem um sicherzustellen dass die Datei verwendet wird 108 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie 4 3 2 Zertifikatsdateien auf einem Windows System installieren Zur Installation der Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml stehen Ihnen die beiden folgenden M glichkeiten zur Verf gung Zertifikatsdateien gleich zu Beginn zusammen mit den ServerView Agenten auf dem verwalteten Serve
260. t dem folgenden Inhalt Version Signature Windows NT NewRequest Subject CN lt full path of domain controller host gt KeySpec 1 KeyLength 1024 Exportable TRUE MachineKeySet TRUE SMIME FALSE PrivateKeyArchive FALSE UserProtected FALSE UseExistingKeySet FALSE ProviderName Microsoft RSA SChannel Cryptographic Provider ProviderType 12 RequestType PKCS10 KeyUsage Oxa0 EnhancedKeyUsageExtension OID 1 3 6 1 5 5 7 3 1 this is for Server Authentication Passen Sie in der Datei request inf die Angaben bei Subject an den Namen des verwendeten Dom nencontrollers an z B Subject CN domino fwlab firm net gt Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq new request inf request req 180 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 yY v vy y y Geben Sie im Browser der Zertifizierungsstelle folgende URL ein http localhost certsrv Klicken Sie auf Ein Zertifikat anfordern Klicken Sie auf erweiterte Zertifikatsanforderung Klicken Sie auf Reichen Sie eine Zertifikatsanforderung ein Kopieren Sie den Inhalt der Datei request req in das Fenster Gespeicherte Anforderungen W hlen Sie die Zertifikatsvorlage Webserver Laden Sie das Zertifikat herunter und speichern Sie es z B in der Datei request cer Geben Sie in der Windows Eingabeaufforderung folgendes Kommando ein certreq accept
261. tallation abzuschlie en Beim Novell iManager einloggen Nach der Installation k nnen Sie sich via Web Browser mithilfe der folgenden URL am iManager einloggen https lt IP address of the eDirectory server gt 8443 nps Novell empfiehlt die Verwendung der Web Browser Microsoft Internet Explorer oder Mozilla Firefox In Mozilla Firefox werden m glicherweise nicht alle Popup Fenster des Kontext Men s angezeigt User Management in ServerView 277 Globale Benutzerverwaltung f r den iRMC S4 ConsoleOne installieren und starten Mit ConsoleOne steht Ihnen ein weiteres Administrationstool von Novell eDirectory zur Verf gung Zur Installation von ConsoleOne gehen Sie wie folgt vor gt Melden Sie sich mit Root Berechtigung Super User am eDirectory Server an gt Wechseln Sie in das Verzeichnis home eDirectory cd home eDirectory gt Extrahieren Sie das ConsoleOne Archiv c1_136f linux tar gz tar xzvf cl_136f linux tar gz Nach der Extraktion enth lt home eDirectory ein neues Unterverzeichnis Linux gt Wechseln Sie in das Verzeichnis Linux cd Linux Rufen Sie das Installationsskript c1 install auf el install gt Wahlen Sie die Sprache in der die Installationsmeldungen ausgegeben werden sollen gt Geben Sie 8 f r die Installation aller Snap Ins ein ConsoleOne ben tigt den Pfad zu einer installierten Java Laufzeitumgebung Den entsprechenden Pfadnamen k nnen Sie in die Umgebungsvaria
262. tanz der Klasse server in eDirectory F r Server Name spezifizieren Sie den Namen des PRIMERGY Servers auf dem der LDAP Server l uft z B lin36 root 0 Server Context Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des Containers in dem das Objekt server enthalten ist z B dc organization dc mycompany Admin User Fully Distinguished Name vollst ndige Beschreibung von Objektpfad und der Attributen des administrationsberechtigten Benutzers z B cn admin dc organization dc mycompany NCP Port Spezifizieren Sie den Port 81 Instance Location Spezifizieren Sie als Pfad home root instanceO Configuration File Spezifizieren Sie folgende Datei home root instance0 ndsconf Password for admin user Geben Sie hier das Administratorpasswort an 198 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 Zur Konfigurierung des NDS Baums gehen Sie wie folgt vor gt gt gt ffnen Sie eine Command Box Wechseln Sie in das Verzeichnis home eDirectory Starten Sie das Utility ndsmanage durch Eingabe des Kommandos ndsmanage ndsmanage Geben Sie c ein f r die Erzeugung einer neuen Instanz der Klasse server Geben Sie y ein um die Konfiguration fortzusetzen Geben Sie y ein um einen neuen Baum zu erzeugen Anschlie end erfragt ndsmanage nacheinander die Werte f r TREE NAME Server Name Server Context etc siehe Seite 198
263. te unterst tzt Microsoft Active Directory Novell eDirectory OpenLDAP OpenDS OpenDJ ApacheDS Das vorliegende Kapitel informiert ber folgende Themen Konzept der Benutzerverwaltung f r den iRMC S4 Benutzerberechtigungen Globale Benutzerverwaltung am iRMC S4 Einzelheiten zur lokalen Benutzerverwaltung des iRMC S4 finden Sie im Handbuch iRMC S4 integrated Remote Management Controller Wenn der ServerView internen Verzeichnisdienst ApacheDS auf JBoss lauft twird die Funktionalitat der E Mail Einstellungen des iRMC S4 nicht unterstutzt User Management in ServerView 237 Konzept der Benutzerverwaltung f r den iRMC S4 8 1 Konzept der Benutzerverwaltung fur den IRMC S4 Die Benutzerverwaltung f r den iRMC S4 unterst tzt die parallele Verwaltung lokaler und globaler Benutzerkennungen Bei der Validierung der Authentifizierungsdaten Benutzername Passwort die ein Benutzer beim Login an einer der iRMC S4 Schnittstellen eingibt verfahrt der IRMC S4 gem dem folgenden Ablauf siehe auch Bild 64 auf Seite 239 1 Der iRMC S4 gleicht den Benutzernamen und das Passwort mit den lokal gespeicherten Benutzerkennungen ab e Bei erfolgreicher Authentifizierung des Benutzers durch den iRMC S4 Benutzername und Passwort sind g ltig darf sich der Benutzer einloggen e Andernfalls setzt der iIRMC S4 die Pr fung mit Schritt 2 fort 2 Der iRMC S4 authentisiert sich beim Directory S
264. tert wird dabei die vom Gruppeneintrag Rolleneintrag ausgehende Zuordnung Die Zuordnung ausgehend vom Benuizereintrag verlauft weitgehend analog In eDirectory m ssen die Benutzer von Hand in die Gruppen eingetragen werden Gehen Sie wie folgt vor Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein gt W hlen Sie Roles and Tasks gt Wahlen Sie Groups Modify Group Die Seite Modify Group wird angezeigt F hren Sie die folgenden Schritte f r alle Berechtigungsgruppen durch denen Sie iRMC S2 S3 Benutzer zuordnen wollen gt Klicken Sie auf die Objektselektor Schaltflache um die Berechtigungsgruppe auszuw hlen der Sie IRMC S2 S3 Benutzer hinzuf gen wollen Im Beispiel f r die LDAP v2 Struktur siehe Bild 59 auf Seite 211 ist dies Administrator AuthorizationRoles DeptX Departments SVS sbrd4 210 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f r den iRMC S2 S3 gt Wahlen Sie die Registerkarte Members Die Registerkarte Members der Seite Modify Group wird angezeigt A Roles and Tasks az All Categories Groups Creste Group Delete Group Modify Group 4 Modify Members of Group Members Move Group Rename Group View My Groups Help Desk a LDAP gy E aa a Bild 59 iManager Roles and Tasks Modify Group Registerkarte Members LDAP v2 F hren Sie den folgenden
265. thentisierungsdaten beim iManager ein W hlen Sie die Ansicht Roles and Tasks W hlen Sie LDAP LDAP Options LDAP Server Connection Deaktivieren Sie auf der Registerkarte Connection die Option Require TLS for all Operations W hlen Sie LDAP LDAP Options LDAP Group General Deaktivieren Sie auf der Registerkarte General die Option Require TLS for Simple Binds with password 2 Bind Restriktionen lockern gt gt gt vv YV v 7y gt Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein Navigieren Sie im Objekt Baum zum Objekt LDAP Server Markieren Sie das Objekt LDAP Server per Maus Klick und w hlen Sie Modify Object im zugeh rigen Kontext Men ffnen Sie im rechten Content Frame das Other Sheet W hlen Sie unter Valued Attributes die Option IdapBindRestrictions Klicken Sie auf die Schaltfl che Edit Setzen Sie den Wert auf 0 Klicken Sie auf OK Klicken Sie im Other Sheet auf die Schaltfl che Apply 3 LDAP Konfiguration neu laden gt gt Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Klicken Sie auf auf das Objekt Base DN links im Fenster z B Mycompany Auf der rechten Seite des Fensters wird das Objekt LDAP server angezeigt Markieren Sie das Objekt LDAP Server per Klick mit der rechten Maustaste und w hlen Sie Properties im zugeh rigen Kontext Men 202 Benutzerverwaltung in ServerView Globale Benutzerverwaltung f
266. tieren Sie die iRMC S2 S3 S4 Benutzerrollen Verwenden Sie f r den Import der IRMC S2 S3 S4 Rollendefinitionen in Active Directory das Tool SVS_LdapDeployer Einzelheiten hierzu finden Sie unter Abschnitt SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen auf Seite 169 3 Ordnen Sie den Benutzern und Gruppen Benutzerrollen zu In den nachfolgend beschriebenen Schritten wird exemplarisch il angenommen dass Sie die dem Benutzer John Baker Login Name NYBak in Ihrer Active Directory Dom ne DOMULIO1 die Rolle Monitor zuweisen wollen Die nachfolgend beschriebenen Schritte gelten auch f r die il Zuweisung von Rollen an iRMC S2 S3 S4 Benutzer N heres zur Zuweisung von Rollen an iRMC S2 S3 S4 Benutzer finden Sie in Abschnitt RMC S2 S3 Benutzer einer Rolle Berechtigungsgruppe zuordnen auf Seite 183 und in Abschnitt RMC S4 Benutzer einer Rolle Berechtigungsgruppe zuordnen auf Seite 265 72 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren Bitte stellen Sie sicher dass die LDAP Objekte mit den il Anmeldeinformationen f r den Benutzer dem Sie Rollen zuordnen wollen unter der konfigurierten User Search Base liegen Die User Search Base wird beim Einrichten des ServerView Operations Managers konfiguriert siehe entsprechendes Installationshandbuch Ebenso wenn Sie einer Gruppe eine Rolle zuordnen wollen Bitte il stel
267. tor Schaltflache um das Objekt auszuw hlen f r das Sie dem Trustee eine Berechtigung erteilen wollen gt Klicken Sie auf Assigned Rights Falls die Property All Attributes Rights nicht angezeigt wird gt Klicken Sie auf Add Property Das Add Property Fenster wird angezeigt siehe Bild 83 auf Seite 291 290 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 Collection Owner Access Roles and Tasks a Rights T All Categories SERENU eDirectory Maintenance Trustee name Object name p iH Groups Help Desk E LDAP E NMAS Management H Partition and Replicas Rights Hodify Inherited Rights Fiter Modify Trustees Rights To Other Objects View Effective Rights Schema Delete Property Property Na Users Add Property Property name Entry Rights ACL Account Balance Allow Unlimited Credit Audit File Link Authority Revocation Back Link Bindery Property CA Public Key zl I Show all properties in schema OK Cancel Bild 83 iManager Roles and Tasks Rights To Other Objects Add Property gt Markieren Sie die Property All Attributes Rights und f gen Sie diese durch Klicken auf OK hinzu gt Aktivieren Sie f r die Property All Attributes Rights die Optionen Compare Read und Inherit und best tigen Sie mit OK Damit sind Benutzer Benutzergruppe zur Abfrage aller Attribute im Teilbaum des ausgew hlten Objekts aut
268. truktur fur die globale iRMC iRMC S4 Benutzerverwaltung siehe Seite 254 252 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 delete L scht auf dem Verzeichnisserver eine vorhandenen LDAP Struktur die f r die globale IRMC iRMC S4 Benutzerverwaltung verwendet wird siehe Seite 256 import Erzeugt aus einer existierenden LADAP v1 Struktur eine aquivalente LDAP v2 Struktur siehe synchronize Zieht Anderungen die Sie in einer LDAP v2 Struktur vornehmen in einer bereits vorhandenen LDAP v1 Struktur nach siehe lt datei gt Konfigurationsdatei xml die von SVS_LdapDeploy als Eingabedatei verwendet wird Die Konfigurationsdatei enthalt die Strukturinformationen fur die Struktur en SVS in XML Syntax Die Syntax der Konfigurationsdatei ersehen Sie aus den il Beispiel Konfigurationsdateien Generic_Settings xml und Generic_InitialDeploy xml die zusammen mit demjar Archiv SVS_LdapDeployer jar auf der ServerView Suite DVD ausgeliefert wird lt option gt lt option gt Option en die die Ausf hrung des spezifizierten Kommandos steuern In den nachfolgenden Abschnitten werden die einzelnen Kommandos des SVS_LdapDeployer samt den zugeh rigen Optionen im Detail erl utert Der SVS_LdapDeployer erzeugt alle ben tigten Unterb ume inklusive aller Gruppen nicht jedoch die Beziehungen zwischen Benutzern und Gruppen Die Erstellung und Zuordnung von Benutzereintragen z
269. tur l schen Mit dem Kommando delete k nnen Sie auf dem Verzeichnisserver eine LDAPv2 Struktur entfernen Syntax delete lt datei gt structure vl v2 both L username lt benutzer gt password lt passwort gt J L store_pwd lt pfad gt JL kloc lt pfad gt C lt kpwd lt key password gt lt datei gt XML Datei die die zu l schende Struktur spezifiziert structure v1 structure v2 structure both L scht LDAP v1 Struktur oder LDAP v2 Struktur oder LDAP v1 und LDAP v2 Struktur il IRMC S4 ben tigt immer eine LDAP v2 Struktur username lt benutzer gt Benutzername zur Anmeldung am Verzeichnisserver password lt passwort gt Passwort f r den Benutzer lt benutzer gt fest stor_pwd Verschl sselt das Passwort lt passwort gt mithilfe eines zufallsgenerierten Schl ssels und speichert das verschl sselte Passwort nach erfolgreicher Ausf hrung von delete in der Konfigurationsdatei Der zufallsgenerierte Schl ssel wird standardm ig in dem Ordner gespeichert in dem der SVS_LdapDeployer ausgef hrt wird ACHTUNG Den zufallsgenerierten Schl ssel sollten Sie sicher abspeichern Falls der voreingestellte Zielordner Ihren Sicherheitserfordernissen nicht gen gt oder der Ordner in dem der Schl ssel gespeichert wird auch anderen Benutzern zug nglich ist verwenden Sie f r eine sichere Speicherung des Schl ssels die Optionen kloc und kpwd 256 User Management in ServerView Glob
270. tware Produktname immer ServerView und Komponentenname z B CAS swVersion Version der ServerView Komponente zum Zeitpunkt als der Audit Log Eintrag erzeugt wurde enterpriseld Private Enterprise Number die f r eine Firma bei IANA registriert ist Die Private Enterprise Number f r Fujitsu Technology Solutions lautet 231 Tabelle 5 Audit Log Eintrag origin Element 128 Benutzerverwaltung in ServerView Eintr ge des Audit Logs 5 2 3 2 ServerView env 231 Element Das ServerView env 231 Element ist nur in Logging Eintragen mit Msgid INIT enthalten Es enth lt Informationen ber die Laufzeitumgebung Runtime Environment Parameter Bedeutung javaHome Java Installationsverzeichnis javaVendor Anbieter des Java Runtime Environment JRE jbossUserDir Aktuelles Arbeitsverzeichnis des JBoss Nutzers jbossUserHome Home Verzeichnis des JBoss Nutzers jbossUserName Kennung des JBoss Nutzers osName Name des Betriebssystems osVersion Version des Betriebssystems Tabelle 6 Audit Log Eintrag ServerViewenv 231 Element 5 2 3 3 ServerView audit 231 Element Der ServerView audit 231 Eintrag ist Bestandteil jedes Audit Log Eintrags 231 ist die Private Enterprise Number f r Fujitsu Technology Solutions die bei Internet Assigned Numbers Authority IANA registriert ist Somit identifiziert das suffix 231 das Element als reserviertes Element f r Fujitsu Technology So
271. tzerverwaltung und Sicherheitsarchitektur der ServerView Suite angebotene Autorisierungs und Authentifizierungskonzept basiert auf drei wesentlichen Grundlagen Globale Benutzerverwaltung mithilfe eines LDAP Verzeichnisdienstes auf Seite 25 Benutzer werden mithilfe eines Verzeichnisdienstes zentral f r alle angeschlossenen Management Stationen gespeichert und verwaltet Der Verzeichnisdienst liefert alle f r die Authentifizierung und Autorisierung von Benutzern erforderlichen Informationen Rollenbasierte Zugangskontrolle RBAC auf Seite 29 Rollenbasierte Zugriffssteuerung Role Based Access Control RBAC regelt die Rechtevergabe ber Benutzerrollen Dabei definiert jede Rolle ein spezifisches aufgabenorientiertes Berechtigungsprofil Single sign on SSO mithilfe eines CAS Service auf Seite 36 Die verschiedenen ServerView Produkte haben ihre eigenen Web Server oder Applikations Server die alle die Identit t jedes einzelnen Benutzers feststellen m ssen bevor sie den Zugang gestatten Dadurch w rde ein Benutzer bei jedem Wechsel vom Web GUI eines Produkt zum Web GUI eines anderen Produkts erneut zur Eingabe seiner Berechtigungsdaten aufgefordert Beim Single Sign on SSO meldet sich ein Benutzer einmal an und kann danach auf alle Systeme und Dienste der SSO Dom ne zugreifen ohne sich dabei jedes Mal neu anmelden zu m ssen Eine SSO Dom ne umfasst alle Systeme bei denen die Authentifizierung ber
272. u Gruppen nehmen Sie ber ein entsprechendes Tool des verwendeten Verzeichnisdienstes vor nachdem Sie die OUs SVS und oder iRMCgroups im Verzeichnisdienst generiert haben User Management in ServerView 253 Globale Benutzerverwaltung f r den iRMC S4 8 2 3 3 deploy LDAP Struktur erzeugen oder ndern Mit dem Kommando deploy k nnen Sie auf dem Verzeichnisserver eine neue LDAP Struktur erzeugen oder zu einer bereits existierenden LDAP Struktur neue Eintr ge hinzuf gen Zum Entfernen von Eintr gen aus einer existierenden LDAP Struktur il m ssen Sie die LDAP Struktur zuerst mit delete siehe Seite 256 l schen und anschlie end mit einer entsprechend modifizierten Konfigurationsdatei neu generieren Syntax deploy lt file gt structure vl v2 both L username lt benutzer gt password lt passwort gt 1 L store_pwd lt pfad gt JL kloc lt pfad gt L kpwd lt key password gt lt datei gt XML Datei die die Konfigurationsdaten enth lt Die Konfigurationsdatei muss unter lt Data gt alle erforderlichen Rollen und Abteilungen enthalten die f r das erstmalige Generieren bzw die Erweiterung einer Struktur ben tigt werden structure v1 structure v2 structure both Erzeugt eine LDAP v1 Struktur oder eine LDAP v2 Struktur oder eine LDAP v1 und eine LDAP v2 Struktur Benutzerverwaltung f r den iRMC S4 ben tigt immer eine LDAP v2 Struktur username lt benutzer gt Benutzername zur
273. u Technology Solutions S ServerView Update Manager T Server nl Server Detaks TERIOR Ed Al servers Name T Network T Modd 7 Update Type V Agent Status f nent Access N Update Status 7 Job Status Voste Y ross rxiss pcbamexios 192 168 1 15 PRIMERGY RX10 online teady normal done 9 9 10 11 35 AM E pdbemd6202 J rossux 04 J Poesmaxi0s J rossa J odamna 6B odama odanex305 5c 6 odam x10 d i Q Lokales Intranet Gesch tzter Modus Inaktiv Rox Bild 35 Update Manager Hauptfenster Registerkarte Server Details CMS Zertifikat wurde erfolgreich installiert 118 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie Registerkarte Update Details im Hauptfenster des Update Managers nach erfolgreicher Installation des CMS Zertifikats auf dem verwalteten Server Sobald das CMS Zertifikat auf dem verwalteten Server erfolgreich installiert ist informiert eine separate Zeile in der Ansicht Installed Updates der Registerkarte Update Details ber die erfolgreiche Installation des CMS Zertifikats auf dem verwalteten Server siehe Bild 36 Update Manager Fujitsu Technology Solutions q Eno F ServerView Veson ManagementCoritr RMC S2 RX 100 1 01 034D0041803 40 1 01 03400041603 40 SystemBoard D2542RX10055 6 00 R1 14 2542 6 00Rev 1 14 2542 pdoam exi0s Agent Win SV Update Agent 5 00 06 5 00 06 O prdo
274. ubnis Geltungsbereich AccessDeploymentMgr Zugriff auf den Installation Manager CMS AccessDeploymentMgr2 Zugriff auf Deployment Manager CMS ModifyDmNode Server erzeugen modifizieren und All l schen Deployment Konfiguration exportieren und importieren ModifyDmSettings Globale Einstellungen des Deployment All Managers andern PerformDmCreatelmage Klon Image oder Snapshot Image All eines Servers erzeugen PerformDmDeploylmage Klon Image oder Snapshot Image All eines Servers wiederherstellen PerformDmInstallServer Server installieren All PerformDmPowerOperations System ein ausschalten All Tabelle 27 Berechtigungen der Kategorie RemDeploy 6 1 15 Kategorie ReportMgr Die ReportMgr Kategorie und die zugeh rige AccessReportMgr Berechtigung werden nur aus Kompatibilit tsgr nden unterst tzt Sie k nnen sie somit ignoriert werden Berechtigung Erlaubnis Geltungsbereich AccessReportMgr Zugriff auf den Report Manager CMS Tabelle 28 Berechtigungen der Kategorie ReportMgr Benutzerverwaltung in ServerView 145 Privilegien Kategorien und zugeh rige Berechtigungen 6 1 16 Kategorie SCS Die ModifyTrustedHosts Berechtigung der SCS Kategorie wird f r die nderung von vertraulichen Host Einstellungen ben tigt Berechtigung Erlaubnis Geltungsbereich ModifyTrustedHosts nderung der vertraulichen Host Einstellungen Hinweis Diese Berechtigung sollte
275. uf Next um fortzufahren Der in Bild 9 auf Seite 46abgebildete Dialog zur Definition eines neuen Passworts f r svuser wird angezeigt Benutzerverwaltung in ServerView 47 ServerView Benutzerverwaltung mit ApacheDS Passwort von svuser auf Linux Systemen definieren ndern Erstmals konfigurieren Sie das Passwort von svuser w hrend der Installation des ServerView Operations Managers ndern k nnen Sie das Passwort jederzeit durch Ausf hren des Kommandos ChangeComputerDetails sh Zu Einzelheiten der Installation des Operations Managers siehe Handbuch Installation der ServerView Operations Manager Software unter Linux 3 2 2 3 Vordefinierte Passw rter der vordefinierten Benutzer Administrator Monitor Operator und UserManager ndern Beachten Sie bitte Folgendes Das vordefinierte Passwort der vordefinierten Benutzer Administrator Monitor Operator und UserManager lautet admin Aus Sicherheitsgr nden wird dringend empfohlen die vordefinierten Passw rter baldm glichst zu ndern Die vordefinierten Passw rter f r Administrator Monitor Operator und UserManager k nnen Sie ber den Link User Management im Startfenster des Operations Managers ndern Wenn ein Benutzer mit der Rolle UserAdministrator oder einer darauf basierenden Rolle auf den Link UserManagement klickt startet automatisch der User Management Wizard mit dem Sie alle vordefinierten Passw rter in einem einzigen Schritt ndern k nnen N
276. uf Seite 290 SVS sbdr4 dem die Berechtigung erteilt werden soll gt Spezifizieren Sie unter Context to Search From den eDirectory Teilbaum SVS den der iManager nach allen Objekten durchsuchen soll f r die der Trustee Users zurzeit leseberechtigt ist Klicken Sie auf OK Eine Fortschrittanzeige informiert ber den Stand der Suche Nach Abschluss des Suchvorgangs wird die Seite Rights to Other Objects angezeigt die jetzt das Suchergebnis enth lt siehe Bild 82 auf Seite 290 User Management in ServerView 289 Globale Benutzerverwaltung f r den iRMC S4 Novelle iManager ROOT Collection Ouner Access E Roles and Tasks jan Categories zj 1H eDirectory Maintenance aj S Rights To Other Objects E Groups W Help Desk Trustee name SVS sbrd4 LDAP Remove Selected Add Object H NMAS Management Obj Na ject Name cr 3 iRMACgroups sbrd4 Assigned Rights SUS amp Partition and Replicas E Rights Modify inherited Rights Filter Modify Trustees Rights To Other Objects View Effective Rights H Schema Users E EAEN I Freaks intranet 4 Bild 82 iManager Roles and Tasks Rights To Other Objects Falls unter Object Name kein Objekt angezeigt wird hat der Trustee zurzeit keine Berechtigung innerhalb des angegebenen Kontexts gt Erteilen Sie dem Trustee gegebenenfalls zus tzliche Berechtigung en gt Klicken Sie auf Add Object gt Klicken Sie auf die Objektselek
277. umgeben ist Benutzerverwaltung in ServerView 81 ServerView Benutzerverwaltung in Microsoft Active Directory integrieren 3 3 2 LDAP Password Policy Enforcement LPPE Wenn ein Benutzer versucht sich bei CAS zu authentifizieren k nnen verschiedene Sonderf lle Ausnahmen eintreten Login derzeit nicht m glich Passwort ist abgelaufen muss zur ckgesetzt werden Benutzerkonto deaktiviert abgelaufen gesperrt Ohne LPPE w rde der normale CAS Login Vorgang die oben stehenden Szenarios als Fehler interpretieren was eine Authentifizierung verhindern w rde LPPE verbessert das standardm ige CAS Login indem die folgenden Schritte ausgef hrt werden 1 LPPE unterbricht den standardm igen Authentifizierungsvorgang indem Fehlercodes erfasst werden die als Teil der Nutzlast der LDAP Antwort zur ckgegeben werden 2 LPPE bersetzt die Fehlercodes in sehr viel pr zisere Fehlerangaben und gibt diese Fehlerangaben im Rahmen des CAS Login Vorgangs aus Auf diese Weise kann der Benutzer geeignete Ma nahmen ergreifen Die derzeit von LPPE verarbeiteten Anmeldeausnahmen werden in Tabelle 3 aufgef hrt LDAP LDAP Fehlertext Von CAS angezeigte Meldung Fehler code 530 Login derzeit nicht Bei der Authentifizierung wird eine Meldung angezeigt dass zul ssig der Benutzer sich derzeit nicht anmelden kann You are not permitted to logon at this time Please try again later 531 Login an dieser Bei der A
278. uthentifizierung wird eine Meldung angezeigt dass Workstation nicht das Konto deaktiviert wurde und dass der Benutzer sich an zul ssig einen Administrator wenden soll You are not permitted to logon at this workstation Please try again later Tabelle 3 LDAP Fehlercodes 82 Benutzerverwaltung in ServerView ServerView Benutzerverwaltung in Microsoft Active Directory integrieren LDAP LDAP Fehlertext Von CAS angezeigte Meldung Fehler code 532 Passwort Bei der Authentifizierung wird eine Meldung angezeigt dass abgelaufen das Kontopasswort abgelaufen ist Optional wird ein Link zu einer Self Service Anwendung zur Passwortverwaltung bereitgestellt Your password has expired Please change your password 533 Konto deaktiviert Bei der Authentifizierung wird eine Meldung angezeigt dass das Konto deaktiviert wurde und dass der Benutzer sich an einen Administrator wenden soll This account has been disabled Please contact the system administrator to regain access 701 Konto abgelaufen Bei der Authentifizierung wird eine Meldung angezeigt dass das Konto abgelaufen ist Your account has expired 773 Benutzer muss das Bei der Authentifizierung wird eine Meldung angezeigt dass Passwort das Kontopasswort ge ndert werden muss Optional wird ein zur cksetzen Link zu einer Self Service Anwendung zur Passwortverwaltung bereitgestellt You must change your password Please change your pas
279. ux VMware System installieren Einzelheiten zur Installation der ServerView Agenten finden Sie in den entsprechenden Abschnitten des Handbuchs ServerView Agenten f r Linux Installieren via ServerView Suite DVD 1 Kopieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in das temp Verzeichnis 2 Exportieren Sie die Umgebungsvariable SV_SCS_INSTALL_TRUSTED durch Eingabe des Kommandos export SV_SCS_INSTALL_TRUSTED tmp 3 Geben Sie folgendes Kommando ein sh srvmagtDVD sh R Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert 112 Benutzerverwaltung in ServerView Verwaltete Server f r Role Based Access RBAC und Client Authentifizie Nach einem Neustart des Remote Connector Service werden die neuen oder ausgetauschten Zertifikate innerhalb von 10 Sekunden neu geladen Installieren aus einem Verzeichnis 1 Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in das lokale Verzeichnis das die Module der ServerView Agenten enth lt 2 Geben Sie folgendes Kommando ein sh srvmagt sh option install Die Zertifikatsdateien lt system_name gt scs pem und lt system_name gt scs xml werden importiert Installieren mit dem rpm Kommando 1 Transferieren Sie die Dateien lt system_name gt scs pem und lt system_name gt scs xml in ein lokales Verzeichnis lt cert dir gt 2 Exportieren Sie di
280. ve DNCCINY i s erac eedd esada a e a e 177 LDAP SSL Zugriff des iRMC S2 S3 am Active Directory Server konfigurieren a 2222er 178 IRMC S2 S3 Benutzer einer Rolle Berechtigungsgruppe ZUNE s sd gt e ehrt 183 IRMC S2 S3 Benutzerverwaltung via Novell eDirectory 190 Software Komponenten und Systemvoraussetzungen 190 Novell eDirectory installieren 191 Novell eDirectory konfigurieren 198 IRMC S2 S3 Benutzerverwaltung in Novell eDirectory MESEN o 6 bg RH He ROHR RED OHSS EH Ow 204 IRMC S2 S3 Benutzer einer Berechtigungsgruppe ZUHONEN 5 4 2 0 ee Som ela a x 210 Tipps zur Administration von Novell eDirectory 214 iIRMC S2 S3 Benutzerverwaltung via OpenLDAP 217 OpenLDAP installieren 2 22 2 a a 217 SSL Zertifikate erzeugen 2222er 217 OpenLDAP konfigurieren 222er 218 IRMC S2 S3 Benutzerverwaltung in OpenLDAP integrieren 220 Tipps zur Administration von OpenLDAP 224 E Mail Benachrichtigung an globale IRMC S2 S3 Benutzer Kontignrieten a a ua a Rasen nahe 226 Globale E Mail Benachrichtigung 227 Benachrichtigungsgruppen Alert Roles anzeigen 231 IRMC S2 S3 Benutzer einer Benachrichtigungsgruppe Alert Role zu fdnen lt s a aose ae Reue 233 SSL GONORE 5 1 404 er ae ee a ded Bk a 234 Benutzerverwaltung in ServerView Inhalt 8 1 8 2 8 2 1 8 2 2 8 2 2 1 8 2 2 2 8 2 2 3 8 2 2 4 8 2 3 8 2 3 1 8 2 3 2 8 2
281. verf gt ein Objekt in eDirectory nur ber sehr eingeschr nkte Abfrage und Suchberechtigungen in einem LDAP Baum Damit ein Objekt alle Attribute in einem oder mehreren Teilb umen abfragen kann m sse Sie diesem Objekt die entsprechenden Rechte zuweisen Berechtigungen erteilen Sie wahlweise einem einzelnen Objekt d h einem speziellen Benutzer oder einer Gruppe von Objekten die in einer Organizational Unit OU wie z B SVS oder people zusammengefasst sind Dabei gehen Berechtigungen die einer OU erteilt und als inherited gekennzeichnet sind automatisch auf die Objekte dieser Gruppe ber 288 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 F r die Integration der IRMC S4 Benutzerverwaltung in Novell eDirectory ist es erforderlich folgenden Objekten Trustees Suchberechtigung zu erteilen Principal User Teilbaum der die iRMC S4 Benutzer enth lt Wie Sie dabei im Einzelnen vorgehen ist nachfolgend beschrieben Um einem Objekt die Suchberechtigung fir alle Attribute zu erteilen verfahren Sie wie folgt gt Starten Sie den iManager via Web Browser Loggen Sie sich mit g ltigen Authentisierungsdaten beim iManager ein Klicken Sie im iManager auf die Schaltfl che Roles and Tasks gt Wahlen Sie im Strukturbaum Rights Rights to Other Objects Die Seite Rights to Other Objects wird angezeigt gt Spezifizieren Sie unter Trustee Name den Namen des Objekts in Bild 82 a
282. verwaltung f r den iRMC S2 S3 156 7 2 Globale Benutzerverwaltung f r den iRMC S2 S3 158 7 2 1 OO 6 oa ana 2 es a Be 160 722 IRMC S2 S3 Benutzerverwaltung ber einen LDAP Verzeichnisdienst Konzept 161 7 2 2 1 Globale iRMC S2 S3 Benutzerverwaltung ber Berechtigungsgruppen und Rollen re A 161 TELZ Organizational Unit OU SVS 2 163 7 2 2 3 Server bergreifende globale Benutzerberechtigungen xe 165 7 2 2 4 SVS Berechtigungsprofile werden ber Rollen definiert 167 Benutzerverwaltung in ServerView Inhalt 7 2 3 E204 GES 72 33 7 2 3 4 7 2 4 7 2 4 1 7 2 4 2 7 2 4 3 i205 Fee 7 2 5 2 7 2 6 7 2 0 1 72 62 7 2 6 3 7 2 6 4 7 2 6 5 7 2 6 6 TAT Fak Bet 7 2 7 3 7 2 7 4 72 4 8 7 2 8 7 281 7 2 8 2 7 2 8 3 72 9 SVS_LdapDeployer Strukturen SVS und iRMCgroups generieren pflegen und l schen 169 Konfigurationsdatei xml Datei 169 SVS_LdapDeployer starten 2 2 2 2 22 2 nn 170 deploy LDAP Struktur erzeugen oder ndern 172 delete LDAPv2 Struktur l schen 174 Typische Anwendungsszenarien 175 Erst Konfiguration einer LDAPv2 Struktur durchf hren 175 LDAP v2 Struktur neu generieren oder erweitern 175 LDAP v2 Struktur neu generieren und Authentisierungsdaten anfordern und speichern 176 iRMC S2 S3 Benutzerverwaltung via Microsoft Acti
283. von Novell eDirectory NDS D mon neu starten F r einen Neustart des NDS D mons gehen Sie wie folgt vor gt ffnen Sie die Command Box gt Melden Sie sich mit Root Berechtigung an F hren Sie das folgende Kommando aus rendsd restart Falls sich der nIdap D mon ohne ersichtlichen Grund nicht starten l sst gt Starten Sie den Indap Damon von Hand etc init d nldap restart Falls der iManager nicht reagiert gt Starten Sie den iManager neu etce init d novell tomcat4 restart Konfiguration des NLDAP Servers neu laden Gehen Sie wie folgt vor Starten Sie ConsoleOne und loggen Sie sich in eDirectory ein Wenn Sie ConsoleOne zum ersten Mal starten ist noch kein Baum konfiguriert Zur Konfiguration eines Baums gehen Sie wie folgt vor gt W hlen Sie unter My World den Knoten NDS gt Wahlen Sie in der Ment Leiste File Authenticate gt Geben Sie f r das Login die folgenden Authentisierungsdaten ein 1 Login Name root 2 Passwort lt passwort gt 3 Tree MY_TREE 4 Context mycompany 296 User Management in ServerView Globale Benutzerverwaltung f r den iRMC S4 gt Klicken Sie links im Fenster auf das Base DN Objekt Mycompany Auf der rechten Fensterseite wird dann das LDAP Server Objekt angezeigt gt Klicken Sie mit der rechten Maustaste auf das LDAP Server Objekt und w hlen Sie Properties im Kontext Men Klicken Sie in der Registerkarte General auf die Schaltfl che Refresh
284. vy Trace Debugging 8 Verbindungsmanagement 16 Gesendete und empfangene Pakete anzeigen 32 Suchfilterverarbeitung 64 Konfigurationsdateiverarbeitung 128 Verarbeitung der Zugangskontrolllisten 256 Status Logging f r Verbindungen Operationen Ergebnisse 512 Status Logging f r gesendete Eintr ge 1024 Kommunikation mit den Shell Backends ausgeben 2048 Ergebnisse des Entry Parsings ausgeben Tabelle 35 OpenLDAP Log Level Benutzerverwaltung in ServerView 225 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 8 E Mail Benachrichtigung an globale iRMC S2 S3 Benutzer konfigurieren Die E Mail Benachrichtigung an globale IRMC S2 S3 Benuizer ist in die globale IRMC S2 S3 Benutzerverwaltung integriert Das hei t dass zentral und Plattform bergreifend ber einen Verzeichnisserver konfiguriert und abgewickelt werden kann Entsprechend konfigurierte globale Benutzerkennungen k nnen E Mail Benachrichtigungen von allen IRMC S2 S3 erhalten die mit dem Verzeichnisserver im Netz verbunden sind Voraussetzungen F r die E Mail Benachrichtigung m ssen folgende Voraussetzungen erf llt sein Globale E Mail Benachrichtigung setzt eine IRMC S2 S3 Firmware der Version 3 77A oder h her voraus da eine LDAP v2 Struktur ben tigt wird In der iIRMC S2 S3 Web Oberfl che muss ein Principal Benutzer konfiguriert sein der berechtigt ist im LDAP Verzeichnisbaum LDAP Tree zu suchen siehe Handbuch iIRMC S2 S3 integrated
285. x UserSettings 5 Li I I I I I I I I I I i H NewTestou E E NTDS Quotas 9 Program Data a SYS Bild 87 OU SVS mit Alert Roles Damit an die Benutzer der einzelnen Benachrichtigungsgruppen E Mails il versendet werden muss am iRMC S4 die zugeh rige Abteilung Department in Bild 87 DeptX konfiguriert sein siehe Handbuch IRMC S4 integrated Remote Management Controller User Management in ServerView 313 Globale Benutzerverwaltung f r den iRMC S4 Wenn Sie im Strukturbaum von Active Directory Benutzer und Computer siehe Bild 88 unter SVS Departments DeptX Alert Roles eine Benachrichtigungsgruppe Alert Role z B StdSysAlerts ausw hlen 1 und via Kontextmen Eigenschaften Mitglieder den Eigenschaften Dialog f r diese Benachrichtigungsgruppe ffnen werden in der Registerkarte Mitglieder die Benutzer angezeigt 2 die der Benachrichtigungsgruppe hier StdSysAlerts angeh ren DB Ele Action View Favorites Window Help xl e Ams exf Em EETA C Buitin m Computers E Domain Controllers E a ForeignSecurityPrincipals E iRMc2 amp iRMCaroups B LdapDeployerTest 4 amp iRMCgroups il StdSysAlerts 0 objects stisysaletsproperties ES General Members Member OF Managed By Object Securty Members Active Directory Folder brd4 local User x Declarations 2 G kums4 sbid4 local
286. y Trustees Rights To Other Objects View Effective Rights Schema Delete Property Property Na Users Add Property Property name Entry Rights ACL Account Balance Allow Unlimited Credit Audit File Link Authority Revocation Back Link Bindery Property CA Public Key zl I Show all properties in schema __ __Cancet_ Bild 58 iManager Roles and Tasks Rights To Other Objects Add Property gt Markieren Sie die Property All Attributes Rights und f gen Sie diese durch Klicken auf OK hinzu gt Aktivieren Sie f r die Property All Attributes Rights die Optionen Compare Read und Inherit und bestatigen Sie mit OK Damit sind Benutzer Benutzergruppe zur Abfrage aller Attribute im Teilbaum des ausgewahlten Objekts autorisiert gt Klicken Sie auf bernehmen um Ihre Einstellungen zu aktivieren Benutzerverwaltung in ServerView 209 Globale Benutzerverwaltung f r den iRMC S2 S3 7 2 6 5 iRMC S2 S3 Benutzer einer Berechtigungsgruppe zuordnen Die Zuordnung von iRMC S2 S3 Benutzern z B der OU people zu IRMC Berechtigungsgruppen k nnen Sie wahlweise vornehmen ausgehend vom Benutzereintrag g nstig bei wenigen Benutzereintr gen oder ausgehend vom Rolleneintrag Gruppeneintrag g nstig bei vielen Benutzereintr gen Nachfolgend ist exemplarisch die Zuordnung von iRMC S2 S3 il Benutzern einer OU people zu einer Berechtigungsgruppe dargestellt Erlau
287. zerrollen Administrator Monitor Operator und UserAdministrator an an die jeweils einem der vordefinierten Benutzer Administrator Monitor Operator bzw UserManager fest zugeordnet sind Durch Erzeugen zus tzlicher Benutzer Rollen und Rollen Benutzer Zuordnungen k nnen Sie Ihr Sicherheitskonzept auf Ihre Unternehmensstruktur ausrichten Bild 2 zeigt das Konzept der rollenbasierten Zuweisung von Benutzerberechtigungen mit den Benutzernamen Administrator Monitor Operator und UserManager sowie den zugeh rigen Rollen Administrator Monitor Operator und UserAdministrator Benutzer Administrator Operator Monitor UserManager t Rollen Operator Bild 2 Beispiel f r rollenbasierte Zuteilung von Benutzerberechtigungen Genau genommen gibt es in ApacheDS noch zwei weitere vordefinierte Benutzerkennungen die umfassend autorisiert und f r spezielle Aufgaben reserviert sind cn system administrator Directory Superuser Kennung von ApacheDS und svuser f r den Zugriff auf den Verzeichnisdienst durch CAS und den Sicherheitsmodul von ServerView Der Umfang der durch die einzelnen Benutzerrollen erteilten Berechtigungen nimmt beginnend bei Monitor niedrigste Berechtigungsstufe ber Operator bis Administrator h chste Berechtigungsstufe stetig zu N heres hierzu finden Sie im Kapitel Audit Logging auf Seite 123 30 Benutzerverwaltung in ServerView Rollenbasierte Zugangskontrolle RBAC Die Rolle UserAdministrato
Download Pdf Manuals
Related Search