Freigeben über

Konfigurieren Sie die Authentifizierung mit der Web-Konsole

  • Artikel

Konfigurieren der SSL-Verschlüsselung

Die folgenden Schritte sind erforderlich, um die Secure Sockets Layer (SSL)-Verschlüsselung zu konfigurieren, nachdem der Operations Manager-Webkonsolenserver auf einem Internet Information Services (IIS) 7.0 und höheren Webserver installiert worden ist. Bevor Sie diese Schritte ausführen, sollten Sie zunächst den Artikel Konfigurieren von Secure Sockets Layer in IIS 7 lesen und IIS zur Aktivierung von SSL für den Webserver konfigurieren, der die Webkonsole hostet.

Hinweis

Bei der Erstellung des Zertifikats müssen Sie den vollständig qualifizierten Domänennamen (FQDN) des Hosts und den Domänennamen in das Feld Gemeinsamer Name eingeben, damit er mit der Adresse übereinstimmt, die Benutzende in ihren Webbrowser eingeben würden, um auf die Webkonsole zuzugreifen.

Wichtig

Wenn beim Versuch, auf die Webkonsole zuzugreifen, Probleme mit Authentifizierungsaufforderungen auftreten, sollten Sie überprüfen, ob die URL des vollqualifizierten Domänennamens (FQDN) in Internet Explorer unter Systemsteuerng ->Internetoptionen ->Security-Registerkarte ->Lokale Intranet-Sites ->Sites ->Fortgeschritten. enthalten ist.

  1. Stellen Sie sicher, dass die SSL-Zertifikate auf dem Verwaltungsserver installiert und konfiguriert sind.

  2. Fügen Sie eine HTTPS-Bindung auf der IIS-Website hinzu, wo immer die Operations Manager-Webkonsole installiert ist.

  3. Nachdem Sie die oben genannten Schritte durchgeführt haben, setzen Sie die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Hinweis

Das Kontrollkästchen SSL aktivieren im Installationsprogramm funktioniert nur, wenn Sie eine https-Verbindung für die Webkonsole verwenden. Weitere Informationen finden Sie unter Einrichtung von SSL auf IIS 7.

  1. Verwenden Sie einen einfachen Texteditor, um die web.config in <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost zu öffnen.

  2. Ändern Sie im <services>-Wurzelelement das Folgende in das <!– Logon Service –>-Element:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. Ändern Sie im <services>-Wurzelelement das Folgende in das <!– Data Access service –>-Element:

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Speichern und schließen Sie die Datei, wenn Sie fertig sind.

  5. Klicken Sie auf Start dann auf Ausführen, jetzt geben Sie regedit ein, und klicken anschließend auf OK.

  6. Doppelklicken Sie unterhalb von HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\ auf den Eintrag HTTP_GET_ENABLED, und ändern Sie seinen Wert in false. Doppelklicken Sie auf den Wert BINDING_CONFIGURATION und ändern Sie den Wert in DefaultHttpsBinding.

  7. Nachdem Sie die oben genannten Schritte durchgeführt haben, setzen Sie die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Konfigurieren der FIPS-Konformität

Führen Sie die folgenden Schritte aus, damit die Serverkomponente der Operations Manager-Webkonsole Algorithmen verwendet, die mit den Federal Information Processing Standards (FIPS) konform sind. Die Aktivierung der FIPS-Konformität für System Center - Operations Manager setzt voraus, dass die zugrunde liegende Infrastruktur (Server OS, Active Directory usw.) ebenfalls FIPS-konform ist.

Installieren der Kryptografie-DLL

  1. Verwenden Sie auf dem System, auf dem sich die Webkonsole befindet, die Option „Als Administrator ausführen“, um ein Eingabeaufforderungsfenster zu öffnen.
  2. Wechseln Sie in das Verzeichnis SupportTools auf Ihrem Installationsmedium, und wechseln Sie dann in das Verzeichnis AMD64.
  3. Führen Sie den folgenden gacutil Befehl aus: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Bearbeiten Sie die machine.config-Dateien

  1. Verwenden Sie einen einfachen Text-Editor, um die Datei machine.config im Verzeichnis %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG zu öffnen.

  2. Wenn der folgende Inhalt nicht innerhalb des <Configuration> Stammelements vorhanden ist, fügen Sie folgendes hinzu:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Wiederholen Sie den vorherigen Schritt für die folgenden Ordner:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Bearbeiten der Datei „web.config" im WebHost-Ordner

  1. Verwenden Sie einen einfachen Texteditor, um die Datei „web.config“ in <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config zu öffnen.

  2. Fügen Sie im Element <Encryption> das folgende Element hinzu, falls es noch nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>

  3. Fügen Sie im <connection autoSignIn="true" autoSignOutInterval="30">-Element im <session>-Tag das folgende Attribut hinzu, wenn es noch nicht vorhanden ist: tokenAlgorithm=„SHA256“

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Ändern Sie das folgende Element, indem Sie den Wert von „true" in „false" ändern: <serviceMetadata httpGetEnabled="false"/>

  5. Ändern Sie die folgenden beiden Elemente, indem Sie ihre Werte von DefaultHttpBinding in DefaultHttpsBinding ändern:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Speichern und schließen Sie die Datei.

Bearbeiten der Datei "web.config" im MonitoringView-Ordner

  1. Verwenden Sie einen einfachen Texteditor, um die Datei web.config in <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config zu öffnen.

  2. Fügen Sie in das <encryption>-Element das folgende Element ein, falls es noch nicht vorhanden ist: <symmetricAlgorithm iv="SHA256"/>.

  3. Fügen Sie im <connection>-Element, im <connection autoSignIn="true" autoSignOutInterval="30">-Element, im <session>-Tag das folgende Attribut hinzu, wenn es noch nicht vorhanden ist: tokenAlgorithm=„SHA256“

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Wenn noch nicht vorhanden, fügen Sie dem <system.web>-Element das folgende Element hinzu.

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Speichern und schließen Sie die Datei.

Anmeldevorgang konfigurieren

Hinweis

Die Webkonsole verwendet standardmäßig die Windows-Authentifizierung, sofern verfügbar, um sich bei der Website anzumelden. Das standardmäßige Sitzungs-timeout-Intervall für die Webkonsole beträgt 1 Tag, und das ist der Maximalwert.

  1. Um den Wert zu bearbeiten, öffnen Sie die web.config in <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard mit einem einfachen Texteditor.
  2. Ändern Sie im <appSettings> Stammelement den folgenden Sitzungs-timeout-Wert in Minuten. 
       <add key="SessionTimeout" value="1440"/>
  3. Nachdem Sie die oben genannten Schritte durchgeführt haben, setzen Sie die Website zurück, auf der die Operations Manager-Webkonsole gehostet wird.

Nächste Schritte