除了默认的管理员角色,Applications Manager允许五个不同的角色与产品一起使用。不同的角色是普通管理员,委派管理员,用户,操作员和经理。
默认/超级管理员:系统超级管理员被允许执行所有管理活动。超级管理员角色还包含配置用户管理的权限。超级管理员角色是默认的管理员用户,不能删除或重命名。
在管理页面中,点击全局配置下的用户管理以浏览以下选项卡:
|
注意 : 通过OpManager构建的Applications Manager插件不支持用户管理。当前,只有两种类型的角色可用于插件用户-管理员和只读用户。不支持操作员,委派的管理员和经理角色。Applications Manager插件用户无法在应用程序选项卡中将监视器分配给任何特定用户。他们只能查看所有默认监视器。 |
通过使用Applications Manager,您可以管理企业的用户和角色,分配给用户的角色以及与每个角色相关联的不同权限。这是通过首先添加用户并将用户与角色相关联来实现的。
您也可以从Active Directory或LDAP导入用户。此功能更方便的添加大量用户,并简化Applications Manager中的用户管理。您可以在Applications Manager中为LDAP和Active Directory用户和组导入用户并执行角色配置。
如管理活动中所述,允许系统管理员执行所有管理活动。管理员角色还包含如下所述配置用户管理的权限。
注意:包含以下任何特殊字符的用户名字段将不支持:/\[]:; | =,*?<>'`%-$$
|
注意 : Applications Manager的默认用户访问权限是 admin (管理员)。所有用户都以Admin用户身份登录到Applications Manager,并被授予使用该工具的所有管理权限。 您还可以在创建业务组或编辑现有业务组时为业务组分配所有者。 |
您可以在Applications Manager中为LDAP和Active Directory用户和组导入用户并执行角色配置。
从Active Directory或LDAP导入的用户可以使用其Active Directory/LDAP凭证登录到Applications Manager。由于用户身份验证是在域控制器中完成的,因此公司/域的所有帐户策略法规也将自动继承到Applications Manager凭证。
您可以从下拉列表中选择一个已经添加的域,也可以添加一个新域。您也可以用相同的方式编辑现有的域控制器设置。
注意:包含以下任何特殊字符的用户名字段将不允许:/\[]:; | =,*?<>'`%-$$
您可以从用户列表中编辑用户配置文件。
您可以在Applications Manager中创建包含分配给用户角色的用户组,或从Active Directory或LDAP导入用户组。
将新的用户组添加到Applications Manager
- 在管理页面中,点击全局配置下的用户管理。
- 点击用户组选项卡。这将列出用户组。
- 要添加新用户组,请点击新添。弹出新添用户组页面。
- 指定用户组名称。
- 选择要添加到组的用户。
- 选择必须向其授予新权限的业务组。
- 点击创建用户组。新的用户组将显示在用户组表中。
从活动目录或LDAP导入用户组
从Active Directory或LDAP导入的组中的用户可以使用其Active Directory/LDAP凭证登录到Applications Manager。由于用户身份验证是在域控制器中完成的,因此公司/域的所有帐户策略法规也将自动继承到Applications Manager凭证。
- 在管理页面中,点击全局配置下的用户管理。
- 点击用户组选项卡。
- 点击用户配置文件列表下的从Active Directory/LDAP导入用户组链接。
- 从下拉列表中选择一个域名。
从Active Directory\LDAP导入的组中的用户将在登录期间自动关联到该特定用户组。
对于Active Directory用户,管理员可以导入其组并在权限选项卡中使用此功能(如果用户使用域身份验证登录,则创建一个新的用户帐户。)
添加新域
您可以从下拉列表中选择一个已经添加的域,也可以添加一个新域。您也可以用相同的方式编辑现有的域控制器设置。
- 从域名下拉列表中选择添加新域选项 。
- 输入以下详细信息:
- 域名:需要从中导入用户的域名。
- 域控制器:域的DNS服务器的主机名或IP地址。
- 域端口:DNS服务器的端口。
- 身份验证类型:LDAP或Active Directory。
- 用户名和密码:应该以DOMAIN\username格式提供域用户的活动目录用户名。LDAP用户名应以cn = user,dc = domain,dc = name格式提供。
- 搜索过滤器:要过滤搜索结果,您可以使用字符后加*以及LDAP搜索过滤器格式的角色标准。这些搜索过滤器使用以下格式之一<filter> =(<< attribute> <operator> <value>)或(<operator> <filter1> <filter2>)。例如:(&&(objectCategory = person)(objectClass = user)(!cn = andy))-除andy外的所有用户对象。
- 点击获取用户组按钮以从活动目录或LDAP导入用户组。
- 显示现有用户列表时,选择要添加的用户,分配角色,然后点击添加用户组以添加用户。
- 您也可以从用户列表中编辑用户配置文件。
删除用户组
- 在管理页面中,点击全局配置下的用户管理。
- 点击用户组选项卡。
- 选择要删除的用户组。
- 点击删除。
域
您可以从Active Directory和OpenLDAP等其他域中将多个用户导入Applications Manager。配置以下详细信息:
- 域名:要导入的域的完全限定名。不支持别名。
- 域控制器:域的DNS服务器的主机名或IP地址。
- 域端口: DNS服务器的端口。
- 目录服务: OpenLDAP或Active Directory。
- 用户权限:此域的权限级别。
- 只读 -通过此域登录的所有用户将包含只读访问权限。
- 完全控制 -登录的用户将根据指定的角色进行操作。
将用户和用户组关联到多个域:
您可以将用户和用户组关联到多个域:
- 点击从Active Directory/OpenLDAP 导入用户 或 从Active Directory/OpenLDAP 导入用户组,然后从目录导入用户/用户组。
- 转到配置文件或用户组,然后点击一个用户或组。用户或组所属的域将显示在域名字段中。
- 要添加另一个域,请在域名文本框中点击,然后将列出包含其他域的下拉列表。
- 选择您要添加的域。
- 点击更新用户/用户组。
如果选中权限选项卡中的如果用户用域认证的方式登录,将创建新的用户账户复选框, 则会根据用户在用户组中的角色自动创建用户。
权限:
操作员权限:
使用权限选项,您可以允许操作员管理/取消管理监视器,重置监视器状态,编辑显示名称,执行动作,启动/停止/重启服务,更新IP地址,使用命令行和正常告警。
还可以授予操作员角色配置停机时间计划和查看停机时间计划的权限。如果您选择了允许操作员配置停机时间计划选项,则您只会看到该用户配置的停机时间计划,并且可以将新的停机时间计划到与您关联的监视器和业务组。如果您希望用户查看所有的停机时间计划,请确保您还选择允许操作员查看所有停机时间计划选项。由于管理员选项卡对操作员不可用,因此停机时间计划选项将在监控选项卡下的批量配置视图中作为链接提供。
您还可以允许操作员显示跳转到链接选项(跳转到链接是指访问附加产品(例如OpManager,Service Desk)和被管服务器)
管理员权限:
您可以允许管理员使用命令行并停止/启动/重新启动Windows服务。您可以授予管理员启用委派的管理员首选项权限。如果用户使用域身份验证登录,则还可以授予管理员创建新用户帐户的权限。仅当已经从同一域导入了用户所属的用户组时,才会创建新的用户帐户。
AS400权限:
AS400权限允许操作员执行AS400管理员活动,例如控制消息和日志记录,网络属性,日期和时间,系统控制,库列表,存储,分配,安全性,作业,假脱机,子系统以及使用非交互式命令。默认情况下,Applications Manager允许管理员用户执行AS400/iSeries操作,但是可以禁用该选项。
视图:
这仅适用于操作员。使用查看选项,您可以定义如何在web客户端中表示子组。您可以直接在主页选项卡本身中显示相关的子组,也可以从相应的业务组中显示相关子组。
帐户策略:
为了增强Web客户端的安全性,可以配置帐户策略。您可以定义锁定用户帐户和空闲会话超时的连续失败登录尝试次数。您可以强制执行用户会话和强密码规则。
强密码规则:
- 密码不能与您的登录名相同/一部分
- 密码长度不得少于8个字符
- 密码长度不得超过255个字符
- 密码至少应包含1个数字字符
- 密码至少应包含1个特殊字符
- 密码应同时包含大写和小写字符
- 密码不得与您的前4个密码相同
使用配置文件配置Active Directory/LDAP
您可以在Applications Manager中导入用户并为LDAP用户和组执行角色配置。根据位于以下位置的authentication.conf文件中的条目,将用户和组从不同的域提取到Applications Manager中。对于LDAP配置,您可以编辑 在以下位置找到的ldapauthentication.conf文件:ManageEngine/AppManager_Home/conf。
Ldap配置
ldap.group.commonNameAttribute = cn
ldap.group.primaryAttribute = cn
ldap.group.displayNameAttribute = cn
ldap.group.objectCategory = group
ldap.group.objectClass = posixGroup; groupOfNames
ldap.group.memberAttribute = member; memberUid
ldap.group。 memberofAttribute =
ldap.group.groupTokenAttribute = gidNumber
ldap.user.commonNameAttribute = cn
ldap.user.primaryAttribute = uid
ldap.user.displayNameAttribute = cn
ldap.user.objectCategory = person
ldap.user.objectClass = person; posixAccount
ldap.user。 memberofAttribute =
ldap.user.groupidAttribute = gidNumberActive Directory配置
ad.group.commonNameAttribute = cn
ad.group.primaryAttribute = sAMAccountName
ad.group.displayNameAttribute = cn
ad.group.objectCategory = group
ad.group.objectClass = group
ad.group.memberAttribute = member
ad.group.memberofAttribute = memberOf
ad .group.groupTokenAttribute = primaryGroupToken
ad.user.commonNameAttribute = cn
ad.user.primaryAttribute = sAMAccountName
ad.user.displayNameAttribute = displayname
ad.user.objectCategory = person
ad.user.objectClass =
ad.user.memberofAttribute = memberOf
ad.user .groupidAttribute = primaryGroupID
|
注意 : 如果您在LdapConfiguration.conf中进行了更改,以后又想保留初始配置,则只需重命名文件(例如,将其重命名为LdapConfiguration_old.conf)或将文件移至其他位置,然后重新启动Applications Manager。 |
委派管理角色用于向组织中非管理员用户分配有限的管理权限。通过委派管理,您可以将一系列管理任务分配给适当的用户,并使操作员可以更好地控制其本地网络资源。
启用委派的管理员偏好设置:
下表列出了各种情况下的委派管理员角色的用户权限:
| 适用场景 | 委派管理员用户权限 | ||
|---|---|---|---|
| 凭证 |
有权创建配置文件以及编辑和删除他创建的配置文件。 |
||
| 动作 | 有权创建新动作以及编辑和删除他已创建的动作。此外,他还可以查看与其关联的监视器相关联的动作。 | ||
| 新的监视器和业务组 | 有权创建新的监视器和业务组,以及编辑和删除他关联的新监视器和业务组。 | ||
| 阈值和异常配置文件 | 有权创建新的配置文件以及编辑和删除他创建的配置文件。另外,还可以查看与他关联的监视器关联的配置文件。 | ||
| 计划报表 | 有权创建报表以及编辑和删除他创建的报表。 | ||
| 停机计划 | 允许计划不需要监控的时间段。 | ||
| 告警升级 | 允许升级告警并配置告警升级规则。 | ||
| 配置告警 | 允许添加和应用新的过程模板到业务组和选定的监视器的权限。 | ||
| 进程和服务模板 | 允许添加和应用新的过程模板到业务组和选定的监视器的权限。 | ||
| 事件日志规则 | 配置仅适用于业务组和选定监视器的事件日志规则的权限。 | ||
| 仪表盘/小窗件 | 以只读模式创建仪表板和查看默认仪表板的权限。 | ||
| 性能轮询,全局陷阱,SNMP陷阱侦听器,用户管理,数据保留,被管服务器管理,SLA,世界地图视图,产品许可,动作告警设置 | 委派的管理员角色不支持 |
||
