Condividi tramite

Configurare l'autenticazione con la console Web

  • Articolo

Configurare la crittografia SSL

I passaggi seguenti sono necessari per configurare la crittografia SSL (Secure Sockets Layer) dopo l'installazione del server della console Web di Operations Manager in un server Web Internet Information Services (IIS) 7.0 e versioni successive. Prima di eseguire questi passaggi, vedere Configurazione di Secure Sockets Layer in IIS 7 e configurare IIS per abilitare SSL per il server Web che ospita la console Web.

Nota

Quando si crea il certificato, è necessario specificare il nome di dominio completo (FQDN) dell'host e del nome di dominio nel campo Nome comune in modo che corrisponda all'indirizzo immesso dagli utenti nel Web browser per accedere alla console Web.

Importante

Se si verificano problemi con le richieste di autenticazione quando si tenta di accedere alla console Web, verificare che l'URL del nome di dominio completo (FQDN) sia incluso in Pannello di controllo -Opzioni Internet> -Scheda Sicurezza ->>Siti Intranet locali ->Siti ->Avanzate.

  1. Verificare che i certificati SSL siano installati e configurati nel server di gestione.

  2. Aggiungere un'associazione HTTPS nel sito Web IIS ovunque sia installata la console Web di Operations Manager.

  3. Dopo aver completato i passaggi precedenti, reimpostare il sito Web che ospita la console Web di Operations Manager.

Nota

La casella di controllo Abilita SSL nel programma di installazione funziona solo se si usa un'associazione HTTPS per la console Web. Per altre informazioni, vedere Come configurare SSL in IIS 7.

  1. Usare un editor di testo normale per aprire web.config in <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost.

  2. Nell'elemento <services> radice modificare quanto segue nell'elemento <!– Logon Service –>:

    <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

  3. Nell'elemento <services> radice modificare quanto segue nell'elemento <!– Data Access service –> :

     <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

  4. Salvare e chiudere il file al termine.

  5. Selezionare Start, selezionare Esegui, digitare regedit e selezionare OK.

  6. In HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\fare doppio clic sul valore HTTP_GET_ENABLED e modificarne il valore in false. Fare doppio clic sul valore BINDING_CONFIGURATION e impostarne il valore su DefaultHttpsBinding.

  7. Dopo aver completato i passaggi precedenti, reimpostare il sito Web che ospita la console Web di Operations Manager.

Configurare la conformità FIPS

Seguire questa procedura per il componente server della console Web di Operations Manager per usare algoritmi conformi agli standard FIPS (Federal Information Processing Standards). L'abilitazione della conformità FIPS per System Center Operations Manager richiede che l'infrastruttura sottostante usata (sistema operativo server, Active Directory e così via), sia conforme anche a FIPS.

Installare la DLL di crittografia

  1. Nel sistema che ospita la console Web usare l'opzione Esegui come amministratore per aprire una finestra del prompt dei comandi.
  2. Passare alla directory SupportTools del supporto di installazione e quindi passare alla directory AMD64.
  3. Eseguire il comando gacutil seguente: gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll.

Modificare i file machine.config

  1. Usare un editor di testo normale per aprire il file machine.config in %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\.

  2. Se il contenuto seguente non esiste all'interno dell'elemento <Configuration> radice, aggiungere come segue:

     <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

  3. Salvare e chiudere il file al termine.

Ripetere il passaggio precedente nei file seguenti:

  • %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
  • %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Modificare il file web.config nella cartella WebHost

  1. Usare un editor di testo normale per aprire il file web.config in <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config.

  2. Nell'elemento di crittografia> aggiungere l'elemento <seguente, se non esiste:<symmetricAlgorithm iv="SHA256"/>

  3. Nell'elemento <connection autoSignIn="true" autoSignOutInterval="30"> , nel <session> tag aggiungere l'attributo seguente se non esiste: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Modificare l'elemento seguente modificandone il valore da true a false: <serviceMetadata httpGetEnabled="false"/>

  5. Modificare i due elementi seguenti modificando i valori da DefaultHttpBinding a DefaultHttpsBinding:

    <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

  6. Salva e chiudi il file.

Modificare il file web.config nella cartella MonitoringView

  1. Usare un editor di testo normale per aprire il file web.config in <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config.

  2. Nell'elemento aggiungere l'elemento <encryption> seguente se non esiste: <symmetricAlgorithm iv="SHA256"/>.

  3. Nell'elemento <connection> , nel <session> tag , aggiungere l'attributo <connection autoSignIn="true" autoSignOutInterval="30"> seguente se non esiste: tokenAlgorithm="SHA256"

    <connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Nell'elemento aggiungere l'elemento <system.web> seguente se non esiste:

    <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Salva e chiudi il file.

Configurare la sessione di accesso

Nota

La console Web usa l'autenticazione di Windows per impostazione predefinita, se disponibile per accedere al sito Web. L'intervallo di timeout di sessione predefinito per la console Web è 1 giorno e questo è il valore massimo.

  1. Per modificare il valore, usare un editor di testo normale per aprire web.config in <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard.
  2. Nell'elemento <appSettings> radice modificare il valore di timeout della sessione seguente in minuti. 
       <add key="SessionTimeout" value="1440"/>
  3. Dopo aver completato i passaggi precedenti, reimpostare il sito Web che ospita la console Web di Operations Manager.

Passaggi successivi