Vorheriges Thema: Verzeichnis aktualisieren: Registerkarte "Sicherheit"Nächstes Thema: Schemazuordnungsattribute

Der DSM-ExplorerSystemsteuerungKonfigurieren und Authentifizieren von externen VerzeichnissenDialogfeld "Eigenschaften von Scalability-Server"Verzeichnis aktualisieren: Registerkarte "Schema"

Verzeichnis aktualisieren: Registerkarte "Schema"

Die Registerkarte "Schema" umfasst die Konfigurationsoptionen zum Zuordnen von Verzeichnisattributen zum CA ITCM-Schema.

Diese Registerkarte enthält die folgenden Felder:

Schema

Zeigt das zu verwendende Schema an. Für die gängigsten Schemen steht eine Reihe vordefinierter Schemazuordnungen zur Verfügung, einschließlich hartcodierter Zuordnungen für WinNT- und UnixL-Provider. Wählen Sie einen Wert aus der Dropdownliste aus.

Informationen

Zeigt Tipps zur Auswahl von Optionen oder zur Eingabe von Daten in Felder bzw. Dialogfelder an.

Authentifizieren mithilfe des konfigurierten Verzeichnisses

Die Authentifizierung identifiziert Mitglieder einer Trusted Computing Base auf Grundlage der angegebenen Anmeldeinformationen. Fügen Sie die externen Verzeichnisse als Sicherheitsautorität für DSM-Autorisierungsvorgänge hinzu. CA ITCM authentifiziert ein Sicherheitsobjekt für das externe Verzeichnis und verwendet die authentifizierte Identität oder Gruppenmitgliedschaften für folgende Autorisierungsaufrufe.

Wenn beispielsweise ein Linux-DSM-Manager Active Directory-Benutzer unter Verwendung von LDAP authentifizieren soll, stellen Sie sicher, dass Active Directory entsprechend der maximal verfügbaren Sicherheit konfiguriert ist. Verwenden Sie die Zertifizierungsdienste für das Verzeichnis, und stellen Sie sicher, dass die Linux-Installation die Zertifizierungskette des jeweiligen Verzeichniszertifikats als vertrauenswürdig einstuft.

Hinzufügen von Sicherheitsprofilen

Wenn Sie ein Sicherheitsprofil erstellen, wird ein neues Sicherheitsprofil einem Benutzerkonto oder einer Gruppe zugeordnet, die von den aktuellen Sicherheitsprovidern bereitgestellt werden. Sie können die Benutzer oder Gruppen auswählen, die auf das System zugreifen können, und sie einem Sicherheitsprofil hinzufügen.

Gehen Sie wie folgt vor:

  1. Wählen Sie im Menü "Sicherheit" die Option "Sicherheitsprofile" aus.

    Das Dialogfeld "Sicherheitsprofile" wird angezeigt.

    Hinweis: Zum Öffnen dieses Dialogfelds müssen Sie über ausreichende Zugriffsrechte verfügen, anderenfalls wird eine Fehlermeldung angezeigt. Administratoren haben standardmäßig diese Zugriffsrechte.

  2. Klicken Sie auf "Hinzufügen".

    Das Dialogfeld "Sicherheitsprofile hinzufügen" wird angezeigt.

  3. Wählen Sie in der Baumstruktur "Verfügbare Verzeichnisse" die Sicherheitsautorität aus, suchen Sie nach dem erforderlichen Sicherheitsprinzipal, und klicken Sie auf diesen.

    In den Feldern "Container-ID" und "Namen" werden jeweils die ausgewählte Sicherheitsautorität und der Sicherheitsprinzipal angezeigt.

  4. Doppelklicken Sie in der Struktur auf einen Prinzipal, oder klicken Sie auf "Zu Liste hinzufügen".

    Die Sicherheitsprinzipale im Feld "Namen" werden der Liste der Sicherheitsprofile hinzugefügt.

    Um weitere Profile hinzuzufügen, wiederholen Sie die letzten beiden Schritte im Dialogfeld "Sicherheitsprofile hinzufügen".

  5. Klicken Sie auf "OK".

    Das ausgewählte Benutzerkonto oder die Gruppe wird dem Sicherheitsprofil zugeordnet und das Dialogfeld "Klassenberechtigungen" angezeigt.

    Hinweis: Wenn Sie mehr als ein Sicherheitsprinzipal hinzugefügt haben, wird das Dialogfeld "Klassenberechtigungen" nicht angezeigt. Sie müssen im Dialogfeld "Sicherheitsprofile" das Profil auswählen und auf "Klassenberechtigungen" klicken.

  6. Wählen Sie im Dialogfeld "Klassenberechtigungen" die Objektklasse aus, der Sie die Rechte zuweisen möchten.

    Hinweis: Sie können mehrere Objektklassen auswählen und für alle die Klassenberechtigungen angeben. Um eine fortlaufende Auswahl zu treffen, drücken Sie die UMSCHALT-Taste und klicken auf die Objekte. Um eine zufällige Auswahl zu treffen, drücken Sie die STRG-Taste und klicken dann auf die Objekte.

  7. Wählen Sie die Berechtigung in der Dropdown-Liste "Klassenzugriff" aus, und klicken Sie auf "OK".

    Die entsprechenden Berechtigungen werden dem neuen Sicherheitsprofil zugewiesen.

Das Dialogfeld "Sicherheitsprofile hinzufügen" wird mit einer Liste der verfügbaren Sicherheitsautoritäten angezeigt: Windows NT-Domänen, UNIX-Authentifizierungsziele, externe Verzeichnisse, z. B. NDS und LDAP, und das Untersystem des X.509-Zertifikats.

Der Manager speichert die Liste der verfügbaren Sicherheitsautoritäten. In einer Windows NT-Domänenumgebung berechnet der Manager-Knoten automatisch alle verfügbaren expliziten Vertrauensverhältnisse für Domänen. Sie können die Liste der verfügbaren Sicherheitsautoritäten über das Dialogfeld "Sicherheitsprofile hinzufügen" anzeigen.

In einigen Fällen ist es sinnvoll, beim Erstellen von Sicherheitsprofilen eine implizit vertrauenswürdige Domäne zu verwenden, also eine Domäne, die nicht in der Ergebnisliste der Berechnung enthalten ist.

Im Dialogfeld "Sicherheitsprofile" können Sie Autoritäten hinzufügen und entfernen, jedoch nur innerhalb des Namespace von Windows NT (winnt).

Hinweis: Die Einstufung als vertrauenswürdig wird vom Betriebssystem durchgesetzt. Wenn nicht ohnehin ein Vertrauensverhältnis zwischen einer Domäne und dem Betriebssystem besteht, können Sie diese Domäne nicht hinzufügen, um ein Vertrauensverhältnis zwischen der Domäne und dem Manager zu schaffen.

Vordefinierte Zugriffstypen

Im folgenden Beispiel werden die Auswirkungen der verschiedenen Zugriffsrechte in der Objektklasse "Computer" dargestellt:

Klassenzugriff

Entsprechende Berechtigung

Ansicht

Zeigt alle Computer im Ordner "Alle Computer" an.

Gelesen

Hierüber können Sie die Eigenschaften der Computer anzeigen.

Verwalten

Hierüber können Sie auf einem Computer ein Softwarepaket bereitstellen oder einen Job ausführen.

Ändern

Hierüber können Sie einen Computer hinzufügen oder einen Computer löschen.

Vollzugriff

Hierüber erhalten Sie vollständige Kontrolle über die Computer.

Überprüfen der Verzeichnisauthentifizierung

Um eine erfolgreiche Verzeichnisintegration sicherzustellen, überprüfen Sie die Verzeichnisauthentifizierung, indem Sie sich bei CA ITCM anmelden.

Gehen Sie wie folgt vor: im DSM-Explorer

  1. Geben Sie den Benutzernamen und das Kennwort an.

    Definiert den Benutzernamen für die Anmeldung.

    Standard: DN-Format.

    Wichtig! Wenn Sie UID- oder SN-Formate für die Authentifizierung verwenden möchten, konfigurieren Sie den Wert der Konfigurationsrichtlinie entsprechend. Weitere Informationen finden Sie unter Ändern der Richtlinie zur Verwendung eines anderen Formats für den Benutzernamen.

  2. Wählen Sie die Sicherheitsautorität aus der folgenden Liste aus:
    Sicherheitsprovider

    Gibt den Sicherheitsprovider an. Da CA ITCM die externen Verzeichnisse, das Benutzerkonto des Betriebssystems sowie Gruppen zum Erteilen von Zugriffsrechten verwendet, fungiert das Betriebssystem als Sicherheitsprovider. Wählen Sie den zutreffenden Sicherheitsprovider aus; die entsprechende Windows-Domäne oder das entsprechende Verzeichnis wird angezeigt.

    Windows-Domäne (Windows) / Verzeichnis (ldap)

    Wählen Sie die Domäne oder den Computer aus, in der/dem Sie über das Benutzerkonto verfügen. Das konfigurierte Verzeichnis, das Zugriff auf CA ITCM hat, wird in der Drop-down-Liste angezeigt.

  3. Klicken Sie auf "Anmelden".

    Führt die Anmeldung beim System durch, sofern die Anmeldeinformationen korrekt sind.

Gehen Sie wie folgt vor: für Webkonsolen-Zugriff

  1. Wählen Sie den Managernamen aus der Drop-down-Liste der Webkonsole aus.
  2. Geben Sie den Benutzernamen und das Kennwort an.

    Definiert den Benutzernamen für die Anmeldung. Sie können das DN-Format verwenden.

    Wichtig! Wenn Sie das UID- oder SN-Format für die Authentifizierung verwenden möchten, konfigurieren Sie den Wert der Konfigurationsrichtlinie entsprechend. Weitere Informationen finden Sie unter Ändern der Richtlinie zur Verwendung eines anderen Formats für den Benutzernamen.

  3. Wählen Sie die Sicherheitsautorität aus der folgenden Liste aus:
    Sicherheitsprovider

    Gibt den Sicherheitsprovider an. Da CA ITCM die externen Verzeichnisse, das Benutzerkonto des Betriebssystems sowie Gruppen zum Erteilen von Zugriffsrechten verwendet, fungiert das Betriebssystem als Sicherheitsprovider. Wählen Sie den zutreffenden Sicherheitsprovider aus; die entsprechende Windows-Domäne oder das entsprechende Verzeichnis wird angezeigt.

    Windows-Domäne (Windows) / Verzeichnis (ldap)

    Wählen Sie die Domäne oder den Computer aus, in der/dem Sie über das Benutzerkonto verfügen. Das konfigurierte Verzeichnis, das Zugriff auf CA ITCM hat, wird in der Drop-down-Liste angezeigt.

  4. Klicken Sie auf "Anmelden".

    Führt die Anmeldung beim System durch, sofern die Anmeldeinformationen korrekt sind.

Hinweis: Der Administrator auf dem Domänen-Manager authentifiziert den Benutzer mit Zugriffsrechten zum konfigurierten Verzeichnis.

Ändern der Richtlinie zur Verwendung eines anderen Formats für den Benutzernamen

Konfigurieren Sie den Wert der Konfigurationsrichtlinie nur, wenn Sie nicht das DN-Format für die Authentifizierung verwenden. Im Dialogfeld "Eigenschaften von Einstellung" können Sie Konfigurationsrichtlinien ändern, um sie Ihren Anforderungen und Ihrer Umgebung anzupassen.

Hinweis: Vor dem Ändern einer Richtlinie muss die Versiegelung aufgehoben werden.

Gehen Sie wie folgt vor:

  1. Navigieren Sie zu "Konfiguration", "Konfigurationsrichtlinie", "Default Computer Policy" (Standardcomputerrichtlinie), "DSM", "Gemeinsame Komponenten", "Sicherheit", "Provider", "Komponenten", "LDAP".
  2. Klicken Sie im Fensterbereich mit der rechten Maustaste auf Oracle ldap: Shortname Type (Oracle LDAP: Typ des Kurznamen), und wählen Sie im Kontextmenü Eigenschaften von Einstellung aus. Klicken Sie alternativ im Portlet "Tasks" auf "Eigenschaften von Einstellung".

    Das Dialogfeld "Eigenschaften von Einstellung" wird geöffnet.

  3. Wählen Sie im Feld "Wert" entsprechend Ihrer Anforderungen einen der folgenden Werte aus:
    sn

    Gibt den Kurznamen für Oracle LDAP an.

    uid

    Gibt die eindeutige ID für Oracle LDAP an.

  4. Klicken Sie auf "OK".

    Der neue Wert gibt an, ob der für die Authentifizierung bereitgestellte Benutzername "sn" oder "uid" ist.

Hinweis: Der sn muss für ein Active Directory-basiertes LDAP eindeutig sein.