NetIQ iManager 管理指南

NetIQ® iManager管理指南

2018 年 2 月

法律聲明

如需法律通知、商標、免責聲明、擔保聲明、出口與其他使用限制、美國政府限制的權利、專利政策與 FIPS 法規遵循的相關

資訊，請參閱 https://www.netiq.com/company/legal/。

Copyright © 2018 NetIQ Corporation (Micro Focus 旗下公司)。保留所有權利。

https://www.netiq.com/company/legal/

關於本書和文件庫 7關於 NetIQ Corporation 9

1 綜覽 11

2 存取 iManager 13

存取伺服器版本的 iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13存取 iManager 工作站 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14瞭解存取模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14驗證已啟用 EBA 的 eDirectory 伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15管理多個 eDirectory 網路樹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3 導覽 iManager 介面 17

iManager 介面. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17標題框架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18導覽框架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18內容框架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

特殊字元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4 瀏覽物件 21

使用物件檢視窗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22網路樹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22瀏覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24搜尋 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

使用物件選擇器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27瀏覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28搜尋 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

5 職能與任務 31

導覽職能與任務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31選取和篩選物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

目錄管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34複製物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34建立物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35刪除物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35修改物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35移動物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35重新命名物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36建立群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36刪除群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36修改群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37修改群組成員 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37移動群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37重新命名群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37檢視我的群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Help Desk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

清除鎖定狀態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38建立使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38設定密碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

分割區與複製本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38建立分割區 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

合併分割區 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39移動分割區 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39檢視複製本資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40檢視分割區資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40使用已篩選複製本精靈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

權限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40修改承襲權限篩選 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41修改託管者權限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41對於其他物件的權限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41檢視有效權限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

綱要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42新增屬性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42檢視屬性資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43檢視類別資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43建立屬性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43建立類別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43刪除屬性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44刪除類別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44延伸綱要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44延伸物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45建立使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45刪除使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45停用帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46啟用帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46修改使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46移動使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46重新命名使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6 設定及自訂 iManager 47

職能服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47eDirectory 中的 RBS 物件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48安裝 RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50移除 RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

RBS 組態. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50職能索引標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51任務索引標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53內容登記索引標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54模組索引標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56種類索引標籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Plug-In Studio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57編輯成員關聯 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59編輯擁有者集合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

RBS 報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59建立報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60使用報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

iManager 伺服器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63設定 iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64安全性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64外觀與風格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65記錄事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66驗證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66RBS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67外掛程式下載 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67其他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68證書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

物件建立清單 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70新增物件類別至建立清單 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

從建立清單中移除物件類別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70外掛程式模組安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

可用的 NetIQ 外掛程式模組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71已安裝的 NetIQ 外掛程式模組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

下載及安裝外掛程式模組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71如果已設定 RBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72解除安裝外掛程式模組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72自訂外掛程式下載位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

電子郵件通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74郵件伺服器組態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74任務事件通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

檢視窗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75顯示和隱藏 iManager 檢視窗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75在 Identity Manager 已安裝伺服器的 iManager 中啟用及停用Identity Manager 檢視作為預設檢視. 75

7 優先設定 77

管理最愛 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77物件選擇器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77物件檢視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77設定啟始檢視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78語言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

8 疑難排解 79

驗證問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80HTTP 404 錯誤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80HTTP 500 錯誤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81601 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81622 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81632 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81634 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82669 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82網路樹名稱欄位 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82登入不含複製本的伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82驗證失敗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83密碼過期資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83使用其他物件類別和/或其他屬性進行無網路位置登入 . . . . . . . . . . . . . . . . . . . . 83

存取 NCP 伺服器物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84刪除後再使用相同的名稱重新建立使用者帳戶 (Windows XP/2000) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84在名稱欄位中使用無效字元建立內容登記時，出現 DNS 630 錯誤訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84eDirectory 維護任務錯誤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84啟用安裝和設定的除錯訊息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85歷程不會在多個同時使用者登入之間自動進行同步化 . . . . . . . . . . . . . . . . . . . . . . . 85安裝 Groupwise 7.0 WebAccess 後，iManager 無法運作 (Windows Server 2000/2003). . . . . . . . . . . . . . . 85缺少屬性、物件或值錯誤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85「設定」檢視窗中缺少職能或任務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

可能缺少職能或任務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86您不是授權使用者的可能原因 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

在同一台電腦上執行 eDirectory 和 iManager (僅限 Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86多個外掛程式安裝期間，顯示「無法使用服務」的訊息 . . . . . . . . . . . . . . . . . . . . . . 87Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

啟動和停止 Tomcat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Tomcat 連接埠. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

「無法決定通用密碼狀態」錯誤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 iManager 工作站不會顯示資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

重新整理按鈕有時無法運作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89〈iManager 外掛程式安裝停止或未正確安裝外掛程式〉. . . . . . . . . . . . . . . . . . . . . . 89網路樹 IP 位址變更發生登入問題. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Java 堆積大小不足造成登入失敗. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91關閉 iManager 工作站的瀏覽器之後顯示 Java 錯誤訊息. . . . . . . . . . . . . . . . . . . . . . 91iManager 與 LDAP 使用不同的日期範圍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92修改動態群組時建立安全 SSL LDAP 網路位置失敗 . . . . . . . . . . . . . . . . . . . . . . . . 92如果 LDAP 伺服器使用由協力廠商 CA 核發的證書，則 eDirectory 的 iManager 外掛程式會失敗 . . . . 92

9 稽核 iManager 事件 93

在 iManager 中啟用 Novell 稽核 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93在 iManager 中啟用 XDAS 稽核 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95針對 iManager 設定 XDAS Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96在 iManager 中啟用 CEF 稽核 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

針對 iManager 設定 CEF 稽核 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98使用協力廠商證書為 iManager 設定稽核 . . . . . . . . . . . . . . . . . . . . . . . . . . . 100在限制模式中為 iManager 設定 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

10 最佳實作和常見問題 103

備份與回存選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103與先前版本的 iManager 2.x 和「職能服務」共存. . . . . . . . . . . . . . . . . . . . . . . . 103集合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104安裝失敗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

效能調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105針對 RBS 停用動態群組支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105職能指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

iManager AppArmor 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105在 Windows 中配置 Tomcat 記憶體. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

A iManager 安全性問題 107

安全 LDAP 證書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107自行簽署的證書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108iManager 授權使用者與群組. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108避免使用者名稱探查 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Tomcat 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109加密屬性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109安全連結 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

B NetIQ 外掛程式模組 111

關於本書和文件庫 7

關於本書和文件庫

管理指南提供關於 NetIQ iManager (iManager) 產品的概念資訊。此指南定義了術語，並介紹了多個實

作案例。

如需最新版的《NetIQ iManager 管理指南》，請參閱 NetIQ iManager 線上文件網站 (https://www.netiq.com/documentation/imanager-31/)的英文版文件。

適用對象

本指南適用於網路管理員。

文件庫其他資訊

文件庫提供下列資訊資源：

安裝指南

描述如何安裝 iManager。本書適用於網路管理員。

https://www.netiq.com/documentation/imanager-31/

關於 NetIQ Corporation

我們是一家全球性企業軟體公司，著重於處理您環境中三個不斷出現的挑戰：變動、複雜性和風險，以及我們可以如何協助您進行控制。

我們的觀點

因應變動及管理複雜性和風險已不是新資訊

事實上，在您所面對的挑戰中，這些或許是最明顯的變數，可控制您是否可以安全地測量、監控及管理您的實體、虛擬和雲端運算環境。

更有效、更快速地啟用重要的業務服務

我們認為對 IT 組織提供最大控制權限，是提供及時服務交付並符合成本效益的唯一方式。隨著

組織繼續推動革新，用來進行管理的技術也日益複雜，由變動及複雜性所帶來的壓力只會繼續提高。

經營理念

不只銷售軟體，而是銷售智慧型解決方案

為提供可靠的控制，我們會先確保已瞭解真實世界中與您類似的 IT 組織日常的操作方式。這是

我們能夠開發出實際的智慧型 IT 解決方案的唯一方式，這些解決方案也已順利產生經過證明且

可測量的成效。這比單純銷售軟體更有價值。

協助您成功是我們的目標

我們將您的成就視為我們的業務核心。從產品發想到部署，我們瞭解您需要能夠運作良好的 IT 解決方案，並與現有投資緊密結合；您需要持續的支援以及部署後訓練，並需要改與容易合作的對象往來。到了最後，您的成功就是我們的成就。

我們的解決方案

身分與存取治理

存取管理

安全性管理

系統與應用程式管理

工作量管理

服務管理

關於 NetIQ Corporation 9

聯絡銷售支援

若有關於產品、價格及功能等方面的問題，請聯絡當地合作夥伴。如果您無法聯絡合作夥伴，請聯絡我們的銷售支援團隊。

聯絡技術支援

若有關於特定產品的問題，請聯絡我們的技術支援團隊。

聯絡文件支援

我們的目標是提供符合您需求的文件。若您有任何改善建議，請按一下 HTML 文件版本任何頁面底部的

「新增備註」，HTML 文件版本的張貼網址是：www.netiq.com/documentation。您也可以將電子郵件寄

至 [email protected]。我們重視您的意見並期待您提出建議。

聯絡線上使用者社群

Qmunity (NetIQ 線上社群) 是一個協同網路，將您與使用者和 NetIQ 專家連接起來。透過提供更多立

即的資訊、有用資源的實用連結以及諮詢 NetIQ 專家的管道，Qmunity 協助確保您精通必要知識，以

充分發揮您所仰賴之 IT 投資的全部潛力。如需詳細資訊，請造訪 http://community.netiq.com。

全球： www.netiq.com/about_netiq/officelocations.asp

美國和加拿大： 1-888-323-6768

電子郵件︰ [email protected]

網站： www.netiq.com

全球： www.netiq.com/support/contactinfo.asp

北美與南美： 1-713-418-5555

歐洲、中東和非洲： +353 (0) 91-782 677

電子郵件︰ [email protected]

網站： www.netiq.com/support

10 關於 NetIQ Corporation

http://www.netiq.com/about_netiq/officelocations.asp

mailto:[email protected]

http://www.netiq.com

http://www.netiq.com/support/contactinfo.asp


http://www.netiq.com/support

http://www.netiq.com/documentation


http://community.netiq.com

1

綜覽 11

1綜覽

NetIQ iManager 是一個 Web 型管理主控台，能讓您從任何可以存取網際網路和網頁瀏覽器的地點，對

網路管理公用程式和內容進行安全的自訂存取。

iManager 提供以下功能：

對 NetIQ eDirectory 物件、綱要、分割區和複製本的單點管理

對許多其他網路資源的單點管理

使用 iManager 外掛程式對許多其他 NetIQ 與 Novell 產品的管理

用於委託管理的職能服務 (RBS)

因為 iManager 是 Web 型工具，所以它比用戶端型管理工具有更多優勢：

可以在伺服器上一次就為所有管理使用者升級

對 iManager 外觀、風格和功能的變更可立即用於所有管理使用者。

不需要開啟其他管理埠即可進行遠端存取。iManager 利用標準的 HTTP 埠 (80/443)。使用 iManager，您可以傳遞非標準 HTTP 連接埠。

無需下載及維持管理用戶端

無需將用戶端軟體與伺服器軟體的變更保持同步

2 2存取 iManager

您可以從任何支援的網頁瀏覽器存取 iManager 及其提供的完整功能。或許您以可使用未列出的網頁瀏

覽器存取 iManager，但我們不保證未獲得正式支援的任何瀏覽器可正常運作，或可支援全部功能。

重要：如需此版本之支援網頁瀏覽器的相關資訊，請檢閱《NetIQ iManager 安裝指南》。

為了讓某些 iManager 精靈和說明能正常運作，您必須開啟網頁瀏覽器的快顯視窗功能。。如果使用阻

擋快顯視窗的應用程式，必須在使用 iManager 時關閉阻擋功能，或允許來自 iManager 主機的快顯視

窗。

如果您已經將網頁瀏覽器設定為不顯示網站影像，則 iManager 介面可能出現亂碼且無法使用。

存取 iManager 會因 iManager 版本 (伺服器或工作站)以及 iManager 執行的平台而定。如需安裝 iManager 的詳細資訊，請參閱《NetIQ iManager 安裝指南》。

本節包含下列各主題：

「存取伺服器版本的 iManager」(第 13 頁)

「存取 iManager 工作站」(第 14 頁)

「瞭解存取模式」(第 14 頁)

「驗證已啟用 EBA 的 eDirectory 伺服器」(第 15 頁)

「管理多個 eDirectory 網路樹」(第 16 頁)

存取伺服器版本的 iManager若要存取伺服器版本的 iManager：

1 在支援之網頁瀏覽器的「網址 (URL)」欄位中輸入以下內容：

存取獨立式 iManager：

安全的 URL： https:// <伺服器 IP 位址>:8443/nps/iManager.html

附註： iManager 僅會在其 Web 伺服器要求中使用 Tomcat 8。您必須在瀏覽器上的 URL 中指

定 Tomcat 連接埠。

在此範例中，<伺服器 ip 位址>中的 IP 位址可以是 IPv4 或 IPv6。例如，存取 iManager 時，URL 可以為以下項目：

IPv6: https://[2001:db8::6]/nps/iManager.html

雖然稍有不同的 iManager URL 或許可以在某些平台上運作，但 NetIQ 建議使用這些 URL 以確保一

致性。

2 使用您的使用者名稱、密碼和網路樹名稱或 IP 登入。

存取 iManager 13

存取 iManager 工作站

若要存取 iManager 工作站：

1 請執行適當的 iManager 工作站啟動程序檔。

Linux：請瀏覽至 imanager/bin 目錄並執行/iManager.sh。

附註：如果您計畫將來會以非根使用者的身份執行「iManager 工作站」，則請勿在第一次執行

時以根使用者執行 iManager。

Windows：請執行 imanager\bin\iManager.bat。

2 使用您的使用者名稱、密碼和網路樹名稱或 IP 登入。

瞭解存取模式啟動 iManager 時，會基於指定給您的權限授予您存取模式。iManager 有三種存取模式。您所使用的

模式會顯示在 iManager 首頁。

不限存取：這是設定 RBS 之前的預設模式。此模式會顯示已安裝的所有職能和任務。雖然所有角色和

任務都可見，但通過驗證的使用者仍需具備必要的權限才能執行任務。

有一種設定可以新增至 config.xml 檔案，即使是在安裝了「職能服務」的情況下，它也會強制使用

「不限存取」。若要對所有使用者強制套用「不限存取」設定，請新增此設定至<TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml，然後重新啟動 Tomcat：

<setting>

<name><![CDATA[RBS.forceUnrestricted]]></name>

<value><![CDATA[true]]></value>

</setting>

如需重新啟動 Tomcat 的相關資訊，請參閱「啟動和停止 Tomcat」(第 87 頁)。

附註：在「不限」模式下使用 iManager 時，通常會在其首頁看到以下訊息：「通知：無法使用某些職

能與任務按一下「檢視詳細資料」可能會為多個任務顯示「目前驗證程式不支援」的訊息，即使該任務正常運作。此訊息會使人誤解，iManager 會在您設定 RBS 後移除這些訊息。

指定存取：僅顯示指定給通過驗證之使用者的職能和任務。此模式能利用「職能服務」技術的所有優點。

集合擁有者：顯示集合中安裝的所有職能和任務。如果您是集合擁有者，即使未指派特定職能給您，也允許您使用集合中的所有職能與任務。若要使用此模式，必須安裝「職能服務」。將群組或使用者新增為集合擁有者，並不會指定任何 RBS 權限。若要指定權限，您必須明確指定 RBS 職能，或是指定

託管者。

附註：當集合已指派給群組，該群組的所有成員會取得集合擁有權。不管是否為職能成員，集合擁有者都可以看到所有職能和任務。

14 存取 iManager

驗證已啟用 EBA 的 eDirectory 伺服器

若要從已啟用 EBA 的 iManager 存取已啟用 EBA 的 eDirectory，EBA CA 證書必須位於 iManager 之 EBA 可信證書儲存區。.eba.p12 檔案包含網路樹的 EBA CA 證書。若要在執行 iManager 的電腦上下載 EBA CA 證書，請使用 ebaclientinit。ebaclientinit 是一種新的指令行公用程式，附在 iManager 安裝套

件中。

當您執行 ebaclientinit 時，此公用程式會針對特定網路樹的特定使用者產生 .eba.p12 檔案。此檔案

會隱藏，並在 Linux 上位於使用者的主目錄 ($HOME) 以及在 Windows 上位於使用者的設定檔目錄 (%USERPROFILE%) 中。

重要： EBA 要求在所有已啟用 EBA 的伺服器與您 eDirectory 環境中的用戶端上同步時間。如果您未

同步時間，EBA 可能無法正常運作。

下表列出使用 ebaclientinit 公用程式時可用的指令行選項：

例如，ebaclientinit --mechanism ebatls --user-dn john.foo.org --password p@$$w0rd --address 111.111.11.1:524

根據您的平台而定，透過使用下列其中一種方法來執行 ebaclientinit：

Linux︰ iManager 在 Linus 上以 novlwww 使用者的身分執行。因此，使用此命令以 novlwww 使用者的身

分執行 ebaclientinit：

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

RHEL: 在 RHEL 上，請使用下列指令：

sudo -u novlwww -H LD_LIBRARY_PATH=/var/opt/novell/iManager/nps/WEB-INF/bin/linux/:/opt/netiq/common/openssl/lib64/:/opt/novell/lib64/ /var/opt/novell/iManager/nps/WEB-INF/bin/linux/ebaclientinit --mechanism ebatls

Windows：請執行以下動作：

1 以系統使用者以外的任何使用者身分登入 iManager。

2 從 C:\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism

ebatls 執行 ebaclientinit。

此動作會將 .eba.p12 檔案放置在使用者的主目錄中。

3 將 .eba.p12 檔案複製到 C:\Windows\System32\config\systemprofile。

您需要執行此指令，因為 iManager 在 Windows 中的執行身分是 novlwww 使用者。

指令行選項描述

--user-dn 點格式的使用者可辨識名稱。

--密碼已啟用 EBA 的使用者密碼。

--位址網路樹中的 NCP 伺服器位址。語法為 <IP address>:<port>。

存取 iManager 15

或者，您可以用系統使用者的身分使用 psexec 工具來執行 ebaclientinit。

1 從 Microsoft 下載頁面下載 psexec 工具。

2 從命令提示字元導覽至包含 psexec 的目錄，並執行下列命令：

psexec -i -s -d cmd

3 在命令提示字元中，使用下列命令執行 ebaclientinit：

C:\Windows\system32\Program Files\Novell\Tomcat\webapps\nps\WEBINF\bin\windows\ebaclientinit.exe --mechanism ebatls

附註：如果 iManager 在 .eba.p12 檔案中找不到網路樹的 EBA CA 證書，或如果未顯示 .eba.p12 檔案，

則 iManager 的 EBA 外掛程式會提示您作為 EBA CA 之伺服器的 sadmin 證書。不過，NetIQ 不建議使用 sadmin。

管理多個 eDirectory 網路樹 iManager 提供一種簡單的方法從單一介面管理多個 eDirectory 網路樹。您可以登入您想要連線的樹

狀結構，並在您目前登入的網路樹之間切換。連接至網路樹之後，iManager 提供網路樹特定的內容，

例如網路樹管理與任務，並允許您設定需要的選項。其有賴於其他組態選項的預設設定。您可以同時登入最多 20 個 eDirectory 網路樹。

若要管理多個 eDirectory 連線：

1 啟動 iManager。

2 以擁有適當權限的管理員身分登入 eDirectory 網路樹。

成功登入之後，iManager 會在 iManager 介面之頂端條列中的「說明」圖示之前顯示「管理連

線」圖示。

3 按一下「管理連線」圖示。

iManager 顯示在管理連線下目前登入之網路樹的清單。您也可以從管理連線頁面登入另一個 eDirectory 網路樹。

4 若要切換至不同的網路樹，請在清單中的個別網路樹按一下。

5 若要登入不同的網路樹，請按一下登入至另一個目錄網路樹選項並提供使用者名稱、密碼和網路樹名稱或 IP 並按一下登入。

iManager 首頁隨即顯示。若要驗證頁面是否顯示此網路樹的正確資訊，請查看頁面右上方。您將

會看見您用於登入此網路樹的使用者名稱與已登入網路樹的名稱。

6 針對您想要管理連線的每一個網路樹重複步驟 3 到步驟 5。

7 若要從個別登入的網路樹中登出，按一下管理連線下列出的個別網路樹旁顯示之登出圖示。

16 存取 iManager

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

3 3導覽 iManager 介面

本節描述如何導覽整個 NetIQ iManager 介面。

「iManager 介面」(第 17 頁)

「特殊字元」(第 20 頁)

iManager 介面

iManager 介面包含三個主要區域或框架。

標題框架

導覽框架

內容框架

圖 3-1 包含預設「職能與任務」檢視的 iManager 介面

附註：當您在 iManager 中導覽時，請僅使用介面內的按鈕。請勿使用網頁瀏覽器的導覽按鈕 (上一

頁、下一頁等。)

若要在「優先設定」中變更預設檢視窗，請參閱「設定啟始檢視」(第 78 頁)。

導覽 iManager 介面 17

標題框架

「標題」框架是佔據 iManager 介面頂端位置的大型靜態框架。它提供讓您可以存取 iManager 各種檢

視窗的圖示。檢視窗是「導覽」和「內容」框架的組合，提供特定管理功能。例如，預設的「職能與任務」檢視窗讓您可以在「導覽」框架內選取一個指定任務，然後在「內容」框架內執行該選取任務。

圖 3-2 iManager 標題框架

iManager 標題框架包含下列圖示：

首頁：將「內容」框架返回其預設檢視窗 (如圖 3-1 所示)。

結束：登出所有 eDirectory 網路樹。

職能與任務：此檢視窗顯示您被授權在「導覽」框架中執行的所有任務。這是 iManager 的預設

檢視窗。如需詳細資訊，請參閱第 5 章「職能與任務」(第 31 頁)。

物件：此檢視包含尋找物件的瀏覽與搜尋功能，並包括類似在 ConsoleOne 中所使用的「網路樹

檢視」功能。如需詳細資訊，請參閱第 4 章「瀏覽物件」(第 21 頁)。

設定：此檢視包含「職能服務」、「iManager 伺服器」、「物件建立清單」、「外掛程式安裝」、

「電子郵件通知」和「檢視窗」，所有項目都可以按您的需要進行設定。

最愛：此檢視窗顯示從「優先設定」>「最愛」頁中選取的最常使用任務。

優先設定：此檢視窗根據最常使用的任務、「物件選擇器」的顯示方式、「物件檢視窗」的顯示

方式、登入到 iManager 後顯示的檢視窗以及 iManager 顯示的語言來設定優先設定。

管理連線：此檢視窗顯示所有已登入的 eDirectory 網路樹。

說明：依目前的「內容」框架而定，顯示適用的內容感應式說明資訊。

此外，「標題」框架會在左上角識別出 iManager 目前的驗證使用者和網路樹名稱。

如需關於如何變更 iManager 預設檢視窗的資訊，請參閱第 6 章「設定及自訂 iManager」(第 47 頁)。

導覽框架

「導覽」框架常駐在 iManager UI 的左側。它顯示與目前選取檢視窗相關的任務和功能選項。例如，預

設的「職能與任務」檢視窗列出所有您被授權執行的任務。任務會組織成類別。類別與任務清單將根據所安裝的外掛程式，以及身為 iManager 已驗證使用者所賦予的權限而有所有不同。

18 導覽 iManager 介面

圖 3-3 在職能與任務檢視窗時導覽框架的內容

每個種類內的任務排序由適用之 iManager 外掛程式的原著者決定。基礎外掛程式任務 (包含在 iManager 中) 一般會顯示在其他外掛程式任務之前。

內容框架

「內容」框架會根據「導覽」框架中目前的選取，提供特定任務或物件介面。

圖 3-4 iManager 內容檢視窗的預設內容

未選取任務時，「內容」框架會顯示 iManager 首頁，其中含有關於您 iManager 存取權限的一般資訊。

導覽 iManager 介面 19

特殊字元在 iManager 中，有些字元具有特別的意義，必須以反斜線字元 (\) 避開：

NDAP (eDirectory)：

句點 (.)

等號 (=)

加號 (+)

反斜線 (\)

LDAP︰

可辨識名稱 (DN) 與 = + \ @; < >

前置 #

前置或尾端空格

對於 LDAP，任何字元都可以使用 \xx 進行指定。如需詳細資訊，請參閱 RFC 2253 (http://www.faqs.org/rfcs/rfc2253.html)。

20 導覽 iManager 介面

http://www.faqs.org/rfcs/rfc2253.html

4 4瀏覽物件

iManager 能讓您操作和管理目錄物件。有兩種範例可供參考。首先，您可以瀏覽並選取您想要進行工

作的物件，然後指定您想在這些物件上執行的任務 (物件-任務)。第二，您可以選取想要執行的任

務，然後指定想要套用任務的物件 (任務-物件)。無論哪一種方式都有效，而 iManager 可讓您使用

最適合您的方法。

iManager 提供「物件檢視窗」給那些善用物件-任務的使用者，提供「物件選擇器」給那些善用任

務-物件的使用者。「物件選擇器」被廣泛使用在「職能與任務」檢視窗中。如需詳細資訊，請參閱

第 5 章「職能與任務」(第 31 頁)。

此章節包括以下小節：

「使用物件檢視窗」(第 22 頁)

「使用物件選擇器」(第 27 頁)

附註： iManager 支援在已啟用 NCP 的檔案系統中瀏覽與選取物件。它也允許您透過目錄樹中的「伺

服器」與「磁碟區」物件存取檔案系統物件。

「物件檢視窗」和「物件選擇器」均提供瀏覽與選取檔案系統物件的能力。此外，能執行實際任務的檔案系統物件，是由 NSS iManager 外掛程式所提供，可另外購買。

無論您使用何種工具，指定物件名稱時請記得下列指南：

如果以下字元是點線 eDirectory 名稱的一部分，請用反斜線 (\) 避開。大多數值都無需避開字

元，但是在名稱為「可辨識名稱」或「相對可辨識名稱」時需要避開。

句點 (.)

等號 (=)

加號 (+)

反斜線 (\)

若以下字元是您想要在搜尋內指定之名稱的一部份，請用反斜線 (\) 避開：

星號 (*)

反斜線 (\)

例如：

若要搜尋包含句點的所有物件，* 為搜尋篩選器

若要搜尋包含加號的所有物件，請使用 = *+* 做為搜尋篩選器

若要搜尋包含反斜線的所有物件，請使用 = *\\* 做為搜尋篩選器

瀏覽物件 21

使用物件檢視窗「物件」檢視窗的設計目的是為了讓您瀏覽和找出目錄中的物件。一旦選取想要工作的物件後，就可指定要在這些物件上執行的任務。選取「標題」框架中的「檢視物件」圖示即可開啟「物件」檢視窗。

「物件檢視窗」包含下列在「導覽」框架內的索引標籤，而每一個標籤都提供不同的瀏覽與找出目錄物件的方法：

網路樹

瀏覽

搜尋

網路樹

「網路樹」索引標籤讓您以類似 ConsoleOne™ 的外觀與操作來瀏覽目錄樹。「網路樹」檢視窗使用

「導覽」框架和「內容」框架來提供其功能。

圖 4-1 iManager 物件檢視窗中的網路樹索引標籤

網路樹檢視窗導覽框架

在「網路樹」檢視窗中，「導覽」框架會顯示類似 ConsoleOne 格式的目錄結構。「瀏覽」框架會顯示

「容器」，包括「卷冊」(檔案系統)、物件。按下加號與減號圖示，可以展開和折疊容器物件，並瀏

覽目錄樹。

依照預設，網路樹檢視窗在每個容器中可顯示最多 100 個附屬物件，但是您可以在網路樹檢視窗優先

設定中變更此設定。

22 瀏覽物件

網路樹檢視窗內容框架

在「導覽」框架中選取其中一個容器物件，會使「內容」框架顯示該容器內的所有物件。「內容」框架是您實際管理目錄物件的地方。「內容」框架包含一個您可從中選取一些可用動作的標題：

導覽列：在「內容」框架的最上方，網路樹檢視窗提供導覽列功能，讓您能夠在目前的網路位置中導覽容器。

標題列：「內容」框架的標題列顯示目前選取之容器物件的名稱。按一下「鉛筆」圖示以編輯此容器的內容。

物件清單標題：物件清單標題可供存取下列項目：

功能表列：「內容」框架的功能表列可供存取您可執行的物件相關動作。包含的選項如下：

新增：開啟「建立」任務的下拉式功能表。

編輯：開啟選取物件的內容登記，讓您可修改其屬性。選取相同類別的多個物件，可讓您將

所有物件的屬性設定為相同的值。

附註：您也可以藉由在物件清單中進行選取來開啟葉物件的內容登記。選取物件清單中的容器物件，可開啟選取的容器並顯示所有容器的附屬項目。若要編輯容器物件的屬性，您必須選取它的核取方塊，然後按一下「編輯」。

刪除：刪除選取的物件。若要選取物件來編輯，請在物件清單內選取其核取方塊。

動作：針對選取物件開啟支援任務的下拉式功能表。若要執行任務，請從下拉式功能表中選

取，並提供必要的資訊。

附註：如果您已經設定 RBS，「動作」功能表只會顯示您已指定職能的任務。

物件計數：在功能表列的右邊，「網路樹」檢視窗列出目前頁面中的物件數量，以及選取容器中

的物件總數。

全部選取：標題中的核取方塊作用與物件目前頁面的「全選」核取方塊一樣。

排序：「物件」清單的正上方是「名稱」欄位標題與排序圖示。按一下其中一個圖示可以在遞增

和遞減字母順序之間切換物件排序。

定義篩選器：在標題的最右邊、物件計數底下，是物件篩選器圖示。選取此圖示可建立篩選器，

以限制在物件清單中顯示之物件。您可以視需要依物件類型和物件名稱來進行篩選。

選取「顯示所有容器」以顯示物件清單中的容器物件，不論定義的篩選器為何。

選取進階篩選器以開啟「進階篩選器」對話方塊，讓您可使用幾乎任一個物件屬性來建立篩選器。如需詳細資訊，請參閱「進階選取」(第 32 頁)。

附註：當篩選器在使用中時，其圖示會變為彩色圖示，而篩選器設定會被列在該圖示旁。若

您設定進階篩選器，iManager 會在篩選器圖示的旁邊顯示一個勾選記號圖示。

物件清單：「內容」框架的物件清單顯示「導覽」框架中目前選取容器中的所有物件。依照預設，物件清單在每頁可顯示 100 個物件，但是您可以在物件檢視窗優先設定中變更此設定。

若要對物件執行動作，請選取其核取方塊，然後再選取「物件清單」標題的動作。選取 (目前層級) 物件以針對您目前所瀏覽的容器執行動作。

選取雙句號物件，以向上瀏覽一層至父容器。

瀏覽物件 23

重要：網路樹檢視窗不支援在物件清單中橫跨多頁來選取物件。若您需要這樣做，請使用「物件檢視窗」的「瀏覽」索引標籤來執行多重物件動作。如需詳細資訊，請參閱「瀏覽」(第 24 頁)。

瀏覽

「瀏覽」索引標籤使用的使用者介面與功能類似「物件選擇器」，可提供目錄瀏覽工具。如需關於導覽「瀏覽」使用者介面的資訊，請參閱「使用物件選擇器」(第 27 頁)。

圖 4-2 iManager 物件檢視窗中的瀏覽索引標籤

「瀏覽」索引標籤僅使用「導覽」框架來提供其功能。它包含下列主要元件：

物件篩選器：物件篩選器位在「導覽」框架的頂端，讓您可以限制物件清單中所顯示的物件。定義之後，請按一下「套用」以使用篩選器。

重要：在「瀏覽」索引標籤中的物件篩選僅可套用於目錄物件。即使在「瀏覽」索引標籤中可以看見檔案系統物件，它也不會進行篩選。

物件篩選器使用下列欄位：

網路位置：僅顯示指定網路位置中的物件。這和從物件清單中開啟容器完全相同。

名稱：僅顯示符合指定名稱篩選器的物件。使用星號 (*) 萬用字元來指定部分名稱。例如：

ldap*、*cert、*server*。

類型：僅顯示指定類型的物件。

24 瀏覽物件

附註：若您選取特定的物件類型，會出現讓您開啟「進階選取」工具的加號圖示 [+]，然後您可

以在此指定其他屬性層級的篩選器設定。如需詳細資訊，請參閱「進階選取」(第 32 頁)。

載入/儲存：這兩個連結分別可讓您載入先前已定義的篩選器定義，並儲存目前的篩選器，以便

可重複使用。

多選/單選：此連結位在物件清單的右上方，讓您可以在想要執行任務的單一物件或多重物件的選取

之間切換。預設選項是「單選」。如需詳細資訊，請參閱「選取和篩選物件」(第 31 頁)。

物件清單：顯示目錄物件的清單，如「物件篩選器」之準則所定義。依照預設，物件清單在每頁可顯示 100 個物件，但是您可以在物件檢視窗優先設定中變更此設定。使用「上一頁」和「下一頁」按

鈕在物件頁面之間進行導覽。您可以執行下列動作，來導覽物件清單中的物件：

選取容器物件旁邊的向下箭號圖示，以開啟該容器並檢視其在物件清單中的物件。

選取物件清單頂端的向上箭號圖示，以檢視目前容器父系中的內容。這會讓您在目錄樹中上

移一個層級。

選取一個物件 (容器或葉物件皆可) 以開啟包含該類型物件可用任務的視窗。選取任務，便會在

「內容」框架中開啟該任務 UI。

搜尋

「搜尋」索引標籤與「瀏覽」索引標籤類似，但不會在「導覽」框架中顯示樹狀結構，而只會顯示指定搜尋產生的那些物件。

瀏覽物件 25

圖 4-3 iManager 物件檢視中的搜尋索引標籤

「搜尋」索引標籤只會使用「導覽」框架來提供功能。它包含下列主要元件：

物件搜尋：物件搜尋位於「導覽」框架的頂端位置，作用是讓您定義搜尋準則。定義之後，請按一下「搜尋」以執行指定的搜尋作業。

重要：「搜尋」索引標籤中的物件篩選只能套用到目錄物件。即使在「搜尋」索引標籤中可以看見檔案系統物件，它也不會進行篩選。

您可以使用下列欄位定義搜尋：

網路位置：指定搜尋作業的開始容器。如果您希望搜尋範圍包含附屬容器，請選取「搜尋子容

器」。

名稱：定義此搜尋的物件名稱篩選器。使用星號萬用字元以指定部分名稱。例如：ldap*、*cert、

*server*。

類型：定義此搜尋的物件類型篩選器。iManager 僅顯示指定類型的物件。

26 瀏覽物件

附註：若您選取特定的物件類型，會出現讓您開啟「進階選取」工具的加號圖示 [+]，然後您可

以在此指定其他屬性層級的篩選器設定。如需詳細資訊，請參閱「進階選取」(第 32 頁)。

載入/儲存：這些連結分別可讓您載入先前已定義的搜尋定義，並儲存目前的搜尋，以便可重複

使用。

多選/單選：此連結位在結果清單的右上方，讓您可以在想要執行任務的單一物件或多重物件的選取


結果清單：顯示搜尋作業的結果。依照預設，物件清單在每頁可顯示 100 個物件，但是您可以在物件

檢視窗優先設定中變更此設定。使用「上一頁」和「下一頁」按鈕在結果頁面之間進行導覽。選取一

個物件 (容器或葉物件皆可) 以開啟包含該類型物件可用任務的視窗。選取任務，便會在「內容」框

架中開啟該任務 UI。

附註：「搜尋」索引標籤無法讓您在結果清單中導覽物件，例如開啟容器物件。如果您希望執行這個動作，請使用「網路樹」索引標籤或「瀏覽」索引標籤。

使用物件選擇器「物件選擇器」可讓您選取想要在目前任務中工作的物件。當您先選取任務或動作，再指定要套用任務或動作之物件時，iManager 就會提供此工具。

當放大鏡圖示出現在「內容」框架的任意處時，選取放大鏡圖示即可存取「物件選擇器」。「物

件選擇器」會在 iManager 頂端自己的視窗中開啟。

瀏覽物件 27

圖 4-4 iManager 的物件選擇器

「物件選擇器」包含的兩個索引標籤，可用於尋找您要執行之任務的目標物件：

「瀏覽」(第 28 頁)

「搜尋」(第 29 頁)

瀏覽

「瀏覽」索引標籤 (預設) 可讓您導覽目錄樹，搜尋所需的物件。它包含下列主要元件：

物件篩選器：物件篩選器位於「物件選擇器」的左側，可讓您限制「內容」清單中所顯示的物件。定義完成後，請按一下「套用」以使用篩選器。物件篩選器會使用下列欄位：

查詢：僅顯示指定網路位置中的物件。這和從「內容」清單中開啟容器完全相同。

尋找名稱如下的物件：僅顯示符合指定名稱篩選器的物件。使用星號 (*) 萬用字元來指定部分名

稱。例如：ldap*、*cert、*server*。

進階瀏覽：此連結會開啟「進階選取」工具，您可在其中指定其他屬性層級的篩選器設定。如需

詳細資訊，請參閱「進階選取」(第 32 頁)。

載入準則/儲存準則：這兩個連結分別可讓您載入先前已定義的篩選器定義，並儲存目前的篩選

器，以便可重複使用。

28 瀏覽物件

內容清單：顯示目錄物件清單，如物件篩選器中的準則所定義。依預設，物件清單每頁會顯示 100 個物件，但您可依據需要變更此數目。使用「上一頁」和「下一頁」按鈕在物件頁面之間進行導覽。您可以執行下列動作，導覽「內容」清單中的物件：

選取容器物件旁邊的向下箭號圖示，以開啟該容器並在內容清單中檢視其物件。

選取物件清單頂端的向上箭號圖示，以檢視目前容器父系中的內容。這會讓您在目錄樹中上

移一個層級。

選取物件會讓 iManager 將該物件識別為您要執行目前任務的物件。

選取的物件：只有當您針對目前任務選取多個物件時，這個元件才會出現。「選取的物件」欄位會列

出目前已針對任務選取的物件。完成清單時，按一下「確定」。如果您要清空選取的物件清單並重新開始，請按一下「全部清除」。

如需針對任務選取單一或多個物件的詳細資訊，請參閱「選取和篩選物件」(第 31 頁)。

搜尋

「搜尋」索引標籤可讓您指定在目錄樹上執行的搜尋作業並顯示結果。它包含下列主要元件：

物件搜尋：物件搜尋位於「物件選擇器」的左側，可讓您定義搜尋準則。定義準則之後，請按一下「搜尋」執行特定的搜尋作業。您可以使用下列欄位定義搜尋：

開始搜尋於：指定搜尋作業的開始容器。如果您希望搜尋範圍包含附屬容器，請選取「搜尋子容

器」。

搜尋名稱如下的物件：僅定義此搜尋的物件名稱篩選器。使用星號萬用字元以指定部分名稱。例

如：ldap*、*cert、*server*。

進階瀏覽：此連結會開啟「進階選取」工具，您可在其中指定其他屬性層級的搜尋設定。如需詳

細資訊，請參閱「進階選取」(第 32 頁)。

載入準則/儲存準則：這兩個連結分別可讓您載入先前已定義的搜尋定義，並儲存目前的篩選器，

以便可重複使用。

多選/單選：此連結位在結果清單的右上方，讓您可以在想要執行任務的單一物件或多重物件的選取


結果清單：顯示搜尋作業的結果。依預設，結果清單每頁會顯示 100 個物件，但您可依據需要變更此

數目。使用「上一頁」和「下一頁」按鈕在結果頁面之間進行導覽。

附註：「搜尋」索引標籤無法讓您在結果清單中導覽物件，例如開啟容器物件。如果您希望執行這個動作，請使用「物件選擇器」的「瀏覽」索引標籤。

選取的物件：只有當您針對目前任務選取多個物件時，這個元件才會出現。「選取的物件」欄位會列

出目前已針對任務選取的物件。完成清單時，按一下「確定」。如果您要清空選取的物件清單並重新開始，請按一下「全部清除」。

如需針對任務選取單一或多個物件的詳細資訊，請參閱「選取和篩選物件」(第 31 頁)。

瀏覽物件 29

5 5職能與任務

選取「標題」框架中的「職能與任務」選項會顯示「導覽」框架中所有 iManager 可用的職能與任

務。iManager 會將相關的「職能與任務」分組成多個種類。不過，您也可以建立自訂種類群組，並為

它們指定職能和任務。如需詳細資訊，請參閱「種類索引標籤」(第 56 頁)。

本節包含下列各主題：

「導覽職能與任務」(第 31 頁)

「目錄管理」(第 34 頁)

「群組」(第 36 頁)

「Help Desk」(第 37 頁)

「分割區與複製本」(第 38 頁)

「權限」(第 40 頁)

「綱要」(第 42 頁)

「使用者」(第 45 頁)

此章節的第一小節介紹「職能與任務」導覽。其餘小節則會提供 iManager 職能與任務核心組中可用

任務的詳細描述。如需產品特定外掛程式所提供之職能與任務的詳細資訊，請參閱產品文件。

除了「職能與任務」檢視之外，您可以將 iManager 的「最愛」設定為顯示最常使用的任務。如需詳

細資訊，請參閱「管理最愛」(第 77 頁)。

導覽職能與任務導覽 iManager 的任務是很簡單的程序，包含下列一般步驟：

1 (「導覽」框架) 開啟包含所需任務的種類。

2 (「導覽」框架) 從種類的任務清單選取所需的任務。

3 (「內容」框架) 提供完成任務的必要資訊。適用的時候，這會包含指定任務套用的物件。

如需選取任務將套用之物件的詳細資訊，請參閱「選取和篩選物件」(第 31 頁)。

4 (「內容」框架) 按一下「確定」以執行任務。

選取和篩選物件

對於能夠套用到一個以上之物件的任務 (例如，「修改使用者」)，iManager 會提供可在「內容」框

架中選取的選項，以便尋找需要的物件。

圖 5-1 任務中的物件選取選項

職能與任務 31

選取單一物件

這是預設的物件選取方法。選取「單一物件」可讓您指定要套用任務的單一物件。使用「物件選擇器」尋找物件時，選取物件會自動關閉「物件選擇器」並將選取的物件插入任務的物件名稱欄位。如需有關「物件選擇器」的詳細資訊，請參閱「使用物件選擇器」(第 27 頁)。

選取多重物件

選取「多重物件」會修改任務物件名稱欄位，使其接受物件清單，而不是只接受單一物件。「物件選擇器」也會在「多重物件」模式中執行，因此您可以選取一個以上的物件。如需有關「物件選擇器」的詳細資訊，請參閱「使用物件選擇器」(第 27 頁)。

簡易選取

「簡易選取」會在「內容」框架中開啟基本搜尋工具。使用這個工具，您可以根據指定的內容值，在目錄樹中搜尋物件。

圖 5-2 任務中的基本物件篩選器

「屬性」清單有一個屬性清單，您可以執行「搜尋」作業。

運算子清單有各種運算子的清單以用於「搜尋」作業。

如果您希望執行搜尋作業後依序排序結果物件，請選取「結果物件排序」。

「簡易選取」包含下列限制：

搜尋整個目錄樹

搜尋準則中不支援萬用字元

只支援內容值的「開始於」和「等於」篩選器

進階選取

「進階選取」提供可設定的環境，以便在目錄中搜尋需要的物件。

「進階選取」可對搜尋作業期間使用的物件篩選器提供更精細的控制。您可以使用下列欄位設定進階選取選項：

物件類型：指定您要搜尋的物件基本類別。例如，「使用者」。

容器：指定您要開始搜尋的容器。若要搜尋附屬容器，請選取「包含子容器」。

篩選器：指定要套用到搜尋的篩選器。選取「篩選器」圖示以開啟個別視窗，在其中定義篩選

器。完成篩選器時，請按一下「確定」。

「篩選器」介面包含下列欄位：

輔助類別：指定要包含在搜尋中的「輔助類別」。

32 職能與任務

屬性：指定您要使用作為篩選器一部分的的屬性 (內容)。

運算子：指定要套用到篩選器的邏輯運算子。選項包括

值：指定您作為篩選器的屬性值。您可以使用星號 (*) 作為萬用字元來指定部分名稱。例如，smi*、*th 和 *mit*。

此外，您可以使用 + 圖示將第二個屬性新增到清單，將多個屬性篩選器鏈結到篩選器群組中。使用多

個屬性篩選器時，請使用邏輯 AND 或邏輯 OR 將他們連結起來。

定義篩選條件之後，按一下「預覽」，並按一下「確定」，「修改物件」畫面隨即顯示。其顯示針對容器中物件定義的屬性。系統也會列出通用的屬性值。例如，根據圖 5-3，名字、姓氏與全名屬性針對

指定容器中的所有物件有通用值。欄位是空白的屬性表示這些屬性未含有所有物件的通用值。您也可以將值新增至這些屬性。

圖 5-3 「修改物件」畫面

您可以對屬性進行下列任務，容器中的所有物件就會更新：

忽略︰用來捨棄任何對物件的更新。

取代︰用來取代清單中現有的屬性值。若要取代，請連按兩下值，進行變更，並按 Enter。然後，按

一下「取代」。

新增︰用來將值新增至屬性。您可以將一個以上的值新增至屬性。例如，所有物件都可以有一個以上的「名字」。

移除：用來移除屬性值。若要移除屬性值：

1 如果屬性有一個以上的值，您必須先按鍵盤上的 Delete 鍵來隱藏您不想移除的值。會這麼做的原

因是，因為「移除」選項會移除所有列出的值。所以您必須先隱藏不須移除的值。

在屬性清單中只會列出需要刪除的值。

職能與任務 33

2 在下拉式清單中按一下「移除」。

指定的值會被刪除，清單中會顯示先前隱藏的值。

目錄管理目錄管理涉及目錄樹中物件的管理。您可以建立、編輯和組織物件。

「複製物件」(第 34 頁)

「建立物件」(第 35 頁)

「刪除物件」(第 35 頁)

「修改物件」(第 35 頁)

「移動物件」(第 35 頁)

「重新命名物件」(第 35 頁)

如需 eDirectory 物件的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

複製物件

您可以使用現有物件的屬性值建立新物件，也可以將屬性值從一個物件複製到另一個物件。

1 在「職能與任務」中，按一下「目錄管理」>「複製物件」。

2 在「複製的物件」欄位中，鍵入物件的名稱和網路位置，或使用「物件選擇器」進行搜尋。

3 選擇下列選項其中之一：

建立新物件並複製屬性值

將屬性值複製到現有的物件

類別未依複製的物件延伸的屬性，不會加以複製。

4 如果您想要將存取控制清單 (ACL) 權限複製到此物件，請選取複製 ACL 權限。

根據系統和網路環境的不同，此步驟可能要花費額外的處理時間。

附註：複製物件操作不會複製下列物件屬性：

ACL (除非您選取複製 ACL 權限)

CN

DirXML 關聯

等值於我

群組成員

成員

安全性相等

任何命名屬性

任何唯讀屬性

任何 RBS 屬性

34 職能與任務

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html

建立物件

1 在「職能與任務」中，按一下「目錄管理」>「建立物件」。

2 從顯示的清單中選取物件類別，然後按一下「確定」。

3 根據選取的物件類別指定顯示的申請資訊，然後按一下「確定」。

如果您使用的是 Firefox，按一下「+」符號即可新增資訊，無需直接在欄位中鍵入。

4 顯示確認訊息時，請按一下「確定」、「重複任務」或「修改」。

刪除物件

1 在「職能與任務」中，按一下「目錄管理」>「刪除物件」。

2 鍵入物件的名稱和網路位置，或使用「物件選擇器」進行搜尋，然後按一下「確定」。

顯示確認訊息即代表物件已成功刪除。

修改物件

1 在「職能與任務」中，按一下「目錄管理」>「修改物件」。

2 鍵入物件的名稱和網路位置，或使用「物件選擇器」進行搜尋，然後按一下「確定」。

「修改物件」頁會顯示包含選取的物件屬性的頁面。

3 視需要修改物件，然後按一下「確定」。

如果您使用的是 Firefox，按一下「+」符號即可新增資訊，無需直接在欄位中鍵入。

移動物件

1 在「職能與任務」中，選取「目錄管理」>「移動物件」。

鍵入物件的名稱和網路位置，或使用「物件選擇器」進行搜尋，然後按一下「確定」。

2 在「移至」欄位中，選取要移入此物件的容器。

3 選取「在移動物件的位置建立別名」為每個移動的物件在其原來位置上建立別名。

4 按一下「確定」。

顯示確認訊息即代表移動物件作業已成功完成。

重新命名物件

1 在「職能與任務」中，選取「目錄管理」>「重新命名物件」。

2 鍵入物件的名稱和網路位置，或使用搜尋功能進行查找。

僅鍵入新物件的名稱。不包括網路位置。

3 如果要儲存舊名稱，請選取以進行儲存。

這會將舊名稱作為 Name 內容的其他非正式值進行儲存。儲存舊名稱可以讓使用者根據該名稱搜

尋物件。重新命名該物件後，可以在「一般識別」索引標籤上的「其他名稱」欄位中檢視該物件的舊名稱。

4 如果想為要命名的物件建立別名，請選取「在重新命名的物件上建立別名」。

這可讓您繼續執行依據舊物件名稱的任何作業，直到您可以更新那些作業來使用新的物件名稱為止。

職能與任務 35


顯示確認訊息即代表物件重新命名作業已成功完成。

群組任何建立群組的使用者都會自動成為該群組的擁有者。可用的群組作業包含下列項目：

「建立群組」(第 36 頁)

「刪除群組」(第 36 頁)

「修改群組」(第 37 頁)

「修改群組成員」(第 37 頁)

「移動群組」(第 37 頁)

「重新命名群組」(第 37 頁)

「檢視我的群組」(第 37 頁)

如需使用和設定群組物件的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

建立群組

1 在「職能與任務」中，選取「群組」 > 「建立群組」。

2 在「建立群組」頁面中，提供必要資訊，然後按一下「確定」。

選取「動態群組」將新群組建立為屬於 dynamicGroup 類別的動態群組。否則，群組會建立為靜

態群組或類別群組。

選取「設定擁有者」讓群組物件建立者成為群組擁有者。群組的「擁有者」屬性會設定為 iManager 登入使用者的 DN。取消選取「設定擁有者」，將「擁有者」屬性保留為未定義。

選取「巢狀群組」使得新群組成為巢狀群組，以便該群組可利用輔助類別 nestedGroupAux 建立。

附註：您也可以使用修改群組選項，將靜態群組轉換為動態群組。這會延伸選取的「群組」物

件，使其屬於 dynamicGroupAux 類別。

群組可以是巢狀或動態。您無法建立同時為巢狀與動態的群組。

您可以使用「修改群組」選項，將靜態群組轉換成巢狀群組。此可讓選取的群組屬於 nestedGroupAux 類別。

刪除群組

1 在「職能與任務」中，選取「群組」 > 「刪除群組」。

2 在「刪除群組」頁面中，指定要刪除的群組物件名稱，或使用「物件選擇器」來搜尋，然後按一下「確定」。

「刪除群組」頁面可讓您選取單一物件、選取多重物件或使用「進階選取」選項來指定要刪除的物件。

36 職能與任務


修改群組

1 在「職能與任務」中，選取「群組」>「修改群組」。

2 在「修改群組」頁面中，指定「群組」物件的名稱，或使用「物件選擇器」來搜尋，然後按一下「確定」。

3 對「群組」物件屬性進行必要的變更，然後按一下「確定」。

附註：如果您將靜態群組修改為動態群組，且您正在使用 RBS，則必須啟用 dynamicGroupAux 類別支援。若要進行此操作，請開啟「設定」>「iManager 伺服器」>「設定 iManager」>「RBS」>「動態群組搜尋類型」。從下拉式功能表中選取「DynamicGroupObjects&AuxClasses」然後按一下

「儲存」。

您無法將動態群組轉換成巢狀群組，反之亦然。

修改群組成員

此任務可讓您對指定群組的所有成員物件的屬性，進行同時且完全相同的修改。

1 在「職能與任務」中，選取「群組」 > 「修改群組成員」。

2 在「修改群組成員」頁面中，指定「群組」物件的名稱，或使用「物件選擇器」來搜尋，然後按一下「確定」。

3 對成員物件屬性進行必要的變更，然後按一下「確定」。

移動群組

此連結會將您重新導向到「移動物件」任務。如需詳細資訊，請參閱「移動物件」(第 35 頁)。

重新命名群組

此選項和「重新命名物件」任務完全相同。如需詳細資訊，請參閱「重新命名物件」(第 35 頁)。

檢視我的群組

此頁顯示您所擁有的群組。您可以從這個頁面建立新的群組，並編輯或刪除現有的群組。

Help DeskHelp Desk 提供有限使用者相關任務的存取權限。擁有此職能的使用者可執行下列動作：

「清除鎖定狀態」(第 38 頁)

「建立使用者」(第 38 頁)

「設定密碼」(第 38 頁)

如需「使用者」物件的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

職能與任務 37


清除鎖定狀態

如果使用者多次輸入錯誤密碼或嘗試使用過期密碼登入，可能會被鎖定。

1 在「職能與任務」中，選取「Help Desk」>「清除鎖定狀態」。

2 在「清除鎖定狀態」頁面中，指定「使用者」物件名稱或使用「物件選擇器」來搜尋，然後按一下「確定」。

建立使用者

建立新的使用者物件：

1 在「職能與任務」中，選取「Help Desk」>「建立使用者」。

填寫必要的使用者資訊，如「建立使用者」(第 45 頁)中所述。

設定密碼

1 在「職能與任務」中，選取「Help Desk」>「設定密碼」。

2 在「設定密碼」頁面中，指定「使用者物件」的名稱。使用「物件選擇器」瀏覽「使用者物件」或使用「簡易選擇」以搜尋之。

3 指定選取「使用者」物件的新密碼 (兩次)，然後按一下「確定」。

選取「設定簡易密碼」定義簡易密碼，其需要 Windows* 和 Macintosh* 使用者的原生檔案存取權

限。如果已啟用「通用密碼」，則不需要「簡易密碼」。

分割區與複製本分割區和複製本作業可讓您管理整個目錄伺服器中的 eDirectory 實體設計和配送，且會包含下列任

務：

「建立分割區」(第 39 頁)

「合併分割區」(第 39 頁)

「移動分割區」(第 39 頁)

「檢視複製本資訊」(第 40 頁)

「檢視分割區資訊」(第 40 頁)

「使用已篩選複製本精靈」(第 40 頁)

如需分割區和複製本的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

38 職能與任務


建立分割區

分割區建立 eDirectory 網路樹的邏輯區塊。例如，如果您選擇「組織單位」並將其建立為新分割區，

您可以將「組織單位」與所有次物件從其父分割區中分離。您選擇的「組織單位」將成為新分割區的根部。新分割區的複製本位於父分割區之複製本所在的伺服器上，而新分割區中的物件則屬於新分割區的根部物件。

1 在「職能與任務」中，選取「分割區與複製本」>「建立分割區」。

2 在「建立分割區」頁面中，指定要用來作為新分割區根部的容器，或使用「物件選擇器」來搜尋，然後按一下「確定」。

顯示確認訊息即代表分割區建立作業已成功完成。

合併分割區

合併分割區可有效將分割區與父系分割區重新結合。建立和合併分割區是您決定如何邏輯分割目錄的方式。

1 在「職能與任務」中，選取「分割區與複製本」>「合併分割區」。

2 在「合併分割區」頁面中，指定與其父系合併的分割區，或使用「物件選擇器」來搜尋，然後按一下「確定」。

若要指定分割區，請指定作為分割區根部的「容器」物件。

顯示確認訊息即代表分割區建立作業已成功完成。

移動分割區

移動分割區可讓您在目錄樹中移動子網路樹。這也就是所謂的剪除和接合作業。您僅可以移動未包含附屬分割區的分割區。如果附屬分割區已存在，您必須先合併那些分割區，然後才可以執行移動作業。

移動分割區時，edirectory 會變更分割區根部物件的所有參考。雖然物件的公用名稱仍未改變，但容

器 (及所有附屬物件) 的完整名稱會改變。

附註：移動分割區時，必須遵照 eDirectory 包含規則。例如，不可以移動目錄樹的根部所直屬的

「組織單位」，因為根部的包含規則允許「地域性」、「國家」或「組織」物件，但不允許「組織單位」物件。

1 在「職能與任務」中，選取「分割區與複製本」>「合併分割區」。

2 在「移動分割區」頁面中，指定必要資訊，然後按一下「確定」。

「物件名稱」欄位會指定要移動的分割區，或使用「物件選擇器」來搜尋。

「移至」欄位中會指定您要移動的「容器」物件，以便將其移動至指定的分割區。

「在移動物件的位置建立別名」會建立分割區新位置的指標。這可讓您繼續進行原來位置的

作業，直到您可以更新那些作業以反應新的位置為止。使用者可以繼續登入到網路，並找到原始目錄位置中的物件。

警告：移動分割區之前請先確定您的目錄樹已經正確同步化。如果要移動的分割區或目的分割區存在任何同步錯誤，請勿執行移動分割區操作。請先解決同步錯誤。移動分割區後，如果您不希望該分割區繼續作為分割區，請將它與其父分割區合併。

職能與任務 39

檢視複製本資訊

檢視複製本可告知您複製本的目前狀態。eDirectory 複製本會根據所進行的分割或複製作業，顯示成

各種不同的狀態。

1 在「職能與任務」中，按一下「分割區與複製本」>「複製本檢視」。

2 在「複製本檢視」頁面中，指定您要檢視其複製本的分割區或伺服器，然後按一下「確定」。

列出複製本「分割區」、「類型」、「篩選器」和「狀態」的表格即會顯示。如需複製本狀態的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

檢視分割區資訊

1 在「職能與任務」中，選取「分割區與複製本」>「檢視分割區資訊」。

2 在「檢視分割區資訊」頁面中，指定您要檢視資訊的分割區，然後按一下「確定」。

若要指定分割區，請指定作為分割區根部的「容器」物件。

使用已篩選複製本精靈

已篩選的複製本維護來自 eDirectory 分割區 (物件或物件類別以及物件屬性與值的篩選集) 之資訊的

篩選子集。已篩選複製本精靈會逐步引導您完成選取的伺服器上已篩選複製本的組態設定。

1 在「職能與任務」中，選取「分割區與複製本」>「已篩選複製本精靈」。

2 鍵入要在其上設定已篩選複製本之伺服器的名稱和網路位置，或使用「物件選擇器」進行搜尋，然後按一下「下一步」。

3 按一下「定義篩選器集」為選取伺服器上的篩選集定義類別和屬性，然後按一下「下一步」。

複製篩選器包含要在這台伺服器的已篩選複製本集合上代管的 eDirectory 類別與屬性集。

4 按一下「完成」。

如需已篩選複製本的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

權限權限指的是 eDirectory 託管者權限和託管者。在您建立網路樹時，預設的權限任務會為您的網路指定

通用的存取與保全性。iManager 可讓您執行下列與權限相關的任務：

「修改承襲權限篩選」(第 41 頁)

「修改託管者權限」(第 41 頁)

「對於其他物件的權限」(第 41 頁)

「檢視有效權限」(第 42 頁)

如需 eDirectory 權限的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

40 職能與任務




修改承襲權限篩選

eDirectory 和 NetWare 檔案系統提供「承襲權限篩選」 (IRF) 機制以封鎖個別附屬項目的權限承襲。

唯一的例外是，無法阻止 NetWare 檔案系統中的「監督者」權限。

如需承襲權限篩選的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

1 在「職能與任務」中，選取「權限」>「修改承襲權限篩選」。

2 指定您要修改其承襲權限篩選之物件的完整名稱，或使用「物件選擇器」來搜尋，然後按一下「確定」。

這會顯示物件上已設定的承襲權限篩選清單。

3 在內容頁中，視需求編輯承襲權限篩選清單，然後按一下「確定」。

若要編輯篩選器清單，必須擁有對物件 ACL 內容的「監督者」或「存取控制」權限。您可以針

對整個物件、物件的所有內容及個別內容設定阻止承襲權限的篩選器。

修改託管者權限

託管者是已具有您目錄樹中其他物件的明確權限的物件。若要修改指定物件的託管者清單：

1 在「職能與任務」中，選取「權限」>「修改託管者」。

2 指定或使用「物件選擇器」來搜尋您要檢視其託管者清單的物件名稱，然後按一下「確定」。

這會開啟物件目前指定之託管者的清單。

3 根據需要修改託管者清單，然後按一下「確定」。

按一下「新增託管者」來新增託管者。

選取託管者的核取方塊並按一下「移除選取項目」以移除託管者。

為託管者選取「指定的權限」連結以修改託管者的權限指定。

對於其他物件的權限

此任務可讓您檢視和修改身為託管者之物件的物件清單。

1 在「職能與任務」中，選取「權限」>「對於其他物件的權限」。

2 在「對於其他物件的權限」頁面中，提供必要資訊，然後按一下「確定」。

在「託管者名稱」中指定物件名稱。

指定您要在其中搜尋物件的網路位置，該物件在「要搜尋的網路位置」中擁有此託管者。

選取「搜尋整個子網路樹」搜尋指定網路位置下的所有容器。

3 視需要修改物件清單，然後按一下「確定」。

按一下「新增物件」將明確權限新增到另一個物件。

選取物件的核取方塊並按一下「移除選取項目」以移除給該物件的明確權限。

為物件選取「指定的權限」連結以修改已授予物件的明確權限。

職能與任務 41


檢視有效權限

有效權限是明確和承襲權限的組合，物件在目錄樹中擁有任何點。檢視對另一個物件的物件有效權限：

1 在「職能與任務」中，選取「權限」>「檢視有效權限」。

2 指定或使用「物件選擇器」來搜尋您要檢視其權限的託管者名稱，然後按一下「確定」。

3 在「物件名稱」欄位中，指定您要計算託管者有效權限的物件名稱。

eDirectory 會計算有效權限並在「有效權限」欄位中顯示這些權限。

4 完成後按一下「完成」。

綱要目錄綱要定義了您網路樹中可建立的物件類型 (如使用者、印表機和群組)，以及建立物件時所需的

必要或選擇性資訊。 iManager 提供下列與綱要有關的任務：

「新增屬性」(第 42 頁)

「檢視屬性資訊」(第 43 頁)

「檢視類別資訊」(第 43 頁)

「建立屬性」(第 43 頁)

「建立類別」(第 43 頁)

「刪除屬性」(第 44 頁)

「刪除類別」(第 44 頁)

「延伸綱要」(第 44 頁)

「延伸物件」(第 44 頁)

如需 eDirectory 綱要的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

新增屬性

當組織的資訊需求發生變更，或準備合併網路樹時，可以在現有的類別中新增選用的屬性。將屬性新增至現有的類別：

附註：只有在建立類別時才能定義強制屬性強制性屬性是在建立物件時必須完成的屬性。

1 在「職能與任務」中，選取「綱要」>「新增屬性」。

2 選擇您要新增屬性的類別，然後按一下「確定」。

3 選取您要檢視的屬性，再按一下「確定」。

從「可用的選用屬性」清單中選取必要的屬性，然後按一下「向右箭號」將這些屬性新增到「新

增這些選用屬性」清單。使用「向左箭號」，從「新增這些選用屬性」移除屬性。

現在，您建立的此類別物件將具有新增的內容。若要設定新增內容的值，請使用該物件的一般「其他」內容頁。

42 職能與任務


檢視屬性資訊

您可以檢視屬性的結構詳細資料，例如使用該屬性的語法、旗標和類別。檢視屬性的資訊：

1 在「職能與任務」中，選取「綱要」>「屬性資訊」。

2 選取您要檢視資訊的屬性，然後按一下「檢視」。

「內容」框架顯示與選取屬性相關的資訊。

3 完成時，按一下「關閉」。

檢視類別資訊

「類別資訊」頁顯示所選類別的相關資訊並可讓您新增屬性。在類別建立期間，如果此類別指定為承襲另一個類別的屬性，則承襲之屬性的歸類將與在父類別時一樣。例如，「物件類別」是父類別的強制屬性，那麼它在畫面上也會顯示為所選類別的強制屬性。

檢視類別的資訊：

1 在「職能與任務」中，選取「綱要」>「類別資訊」。

2 選取您要檢視資訊的類別，然後按一下「檢視」。

「內容」框架顯示與選取類別相關的資訊。若要將屬性新增到類別，請選取「新增屬性」。若要檢視類別的父系類別，請選取「檢視超級類別」。

3 完成時，按一下「關閉」。

建立屬性

您可以定義自己的自訂屬性類型，然後將其新增為現有物件類別的選擇性屬性。但是，無法將強制屬性新增至現有類別。建立屬性：

1 在「職能與任務」中，按一下「綱要」>「建立屬性」。

2 依照「建立屬性精靈」中的步驟完成屬性建立程序。

建立類別

輔助類別是一組內容 (屬性)，它們會新增至特殊物件，而非整個物件類別中。例如：電子郵件應用

程式可延伸 eDirectory 網路樹綱要，以包含「電子郵件內容」輔助類別，然後根據需要延伸包含那

些內容的個別物件。

您可以使用「綱要管理員」定義自己的輔助類別。然後使用在輔助類別中定義的內容來延伸個別物件。建立輔助類別：

1 在「職能與任務」中，按一下「綱要」>「建立類別」。

2 依照「建立類別精靈」中的步驟定義新類別。

職能與任務 43

刪除屬性

您可以刪除 eDirectory 網路樹中並非基礎綱要之一部份的未使用屬性。合併兩個目錄樹或當屬性隨時

間經過而過時之後，這可能會很有用。如要刪除屬性：

1 在「職能與任務」中，按一下「綱要」>「刪除屬性」。

2 選取要刪除的屬性，然後按一下「刪除」。

只會顯示您可以刪除的屬性。

刪除類別

您可以刪除 eDirectory 網路樹中並非基礎綱要之一部份的未使用類別。iManager 只會阻止您刪除本

地複製的分割區中目前使用的類別。若要刪除類別：

1 在「職能與任務」中，按一下「綱要」>「刪除類別」。

2 選取要刪除的類別，然後按一下「刪除」。

只會顯示允許刪除的類別。

延伸綱要

您可以建立新類別或屬性來延伸網路樹的綱要。若要延伸 eDirectory 網路樹的綱要，需要有對整個網

路樹的「管理員」/「監督者」權限。延伸綱要：

1 在「職能與任務」中，按一下「綱要」>「延伸綱要」。

2 依照 ICE 精靈完成資料的輸入、輸出、移轉或綱要更新和比較作業。

延伸物件

1 在「職能與任務」中，按一下「綱要」>「物件延伸」。

2 指定要延伸的物件名稱與網路位置，然後按一下「確定」。

3 根據「目前的輔助類別延伸」下是否列出您要使用的輔助類別，按以下其中一項：

「是」：結束此程序。請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)中的「修改物件的輔助內

容」。

「否」：按一下「新增」，選取輔助類別，然後按一下「確定」。

4 按一下「關閉」。

您也可以針對多個物件來一次新增或移除輔助類別。

1 在「職能與任務」中，按一下「綱要」>「物件延伸」。

2 按一下「選擇多個物件」索引標籤。

2a 選取您要延伸的物件，然後按一下「確定」。

輔助類別延伸的清單隨即顯示，其通用於所有選取的物件。

2b 若要新增輔助類別，請按一下「新增」，選取需要的輔助類別，然後按一下「確定」。

2c 若要刪除現有的輔助類別，請選取類別，然後按一下「移除」。

3 按一下「關閉」以離開此頁面。

44 職能與任務


使用者管理使用者及其網路存取是目錄的中心用途。iManager 提供下列與使用者相關的任務：

「建立使用者」(第 45 頁)

「刪除使用者」(第 45 頁)

「停用帳戶」(第 46 頁)

「啟用帳戶」(第 46 頁)

「修改使用者」(第 46 頁)

「移動使用者」(第 46 頁)

「重新命名使用者」(第 46 頁)

如需目錄中使用者物件的詳細資訊，請參閱《NetIQ eDirectory 9.0 管理指南》 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

建立使用者

建立新的使用者物件：

1 在「職能與任務」中，選取「使用者」>「建立使用者」。

2 在「建立使用者」頁面中，請至少提供與使用者相關的必要資訊，然後按一下「確定」。

使用者名稱

姓氏

網路位置

密碼 (兩次)

重要：如果您未輸入密碼，系統會提示您允許使用者不使用密碼即可登入 (不建議使用) 或要求密碼進行登入。

選取「設定簡易密碼」定義簡易密碼，其需要 Windows* 和 Macintosh* 使用者的原生檔案存取權

限。如果已啟用「通用密碼」，則不需要「簡易密碼」。

選取「從範本或使用者物件複製」，以便根據現有「範本」或「使用者」物件建立使用者。從使用者物件進行複製時，iManager 僅允許複製新物件 NDS 權限，不允許複製 NDS 權限，以防止使用

者獲得與管理員相同的權限。

選取「建立主目錄」指定作為使用者主目錄的位置，亦即在建立使用者物件時建立的位置。如果指定的路徑不存在，則會顯示一則訊息，告知尚未建立使用者的主目錄。

刪除使用者

刪除使用者物件：

1 在「職能與任務」中，選取「使用者」>「刪除使用者」。

2 鍵入物件的名稱和網路位置，或使用搜尋功能進行搜尋，然後按一下「確定」。

3 按一下「刪除」。

顯示確認訊息即代表使用者物件已成功刪除。

職能與任務 45


停用帳戶

停用使用者帳戶，以便防止使用者驗證目錄：

附註：這僅會防止使用者在停用帳戶之後進行驗證。如果使用者登入時，帳戶已經停用，則他們的存取在登出之前都會保持不變。

1 在「職能與任務」中，選取「使用者」>「停用帳戶」。

2 指定或使用「物件選擇器」來搜尋物件的名稱和網路位置，然後按一下「確定」。

3 按一下「停用」。

啟用帳戶

啟用之前已停用的使用者帳戶：

1 在「職能與任務」中，選取「使用者」>「啟用帳戶」。


3 按一下「啟用」。

修改使用者

修改現有使用者物件的內容：

1 在「職能與任務」中，選取「使用者」>「修改使用者」。


「內容」框架會顯示使用者物件的內容登記。

3 進行變更，然後按一下「套用」或「確定」儲存變更。

移動使用者

移動使用者物件：

1 在「職能與任務」中，按一下「使用者」>「移動使用者」。

2 提供必要資訊，如「移動物件」(第 35 頁)中所述。

重新命名使用者

重新命名使用者物件：

1 在「職能與任務」中，按一下「使用者」>「重新命名使用者」。

2 提供必要資訊，如「重新命名物件」(第 35 頁)中所述。

46 職能與任務

6 6設定及自訂 iManager

本節描述 NetIQ iManager 組態的各種功能。您可以從「設定」檢視窗來設定 iManager。本節討論下

列主題：

「職能服務」(第 47 頁)

「RBS 組態」(第 50 頁)

「RBS 報告」(第 59 頁)

「iManager 伺服器」(第 63 頁)

「物件建立清單」(第 70 頁)

「外掛程式模組安裝」(第 70 頁)

「下載及安裝外掛程式模組」(第 71 頁)

「電子郵件通知」(第 74 頁)

「檢視窗」(第 75 頁)

重要：我們建議對「職能服務」進行設定以便達到最佳的 iManager 軟體使用效能，不過這是一項選

擇性的服務。為了使用 Plug-in Studio，必須在 eDirectory 網路樹中設定 RBS。

請勿使用 Novell ConsoleOne 修改或刪除任何 RBS 物件。RBS 物件應該僅使用 iManager 管理。

如果需要，您可以防止非管理員和非集合擁有者使用者存取 iManager 的「設定」檢視窗。如需詳細

資訊，請參閱下列主題：

iManager 檢視窗：「檢視窗」(第 75 頁)。

使用者優先設定：「優先設定」(第 77 頁)。

授權使用者：「授權使用者與群組」(第 64 頁)。

職能服務iManager 可讓您為使用者指定特定的職責並向他們提供執行這些職責所必需的工具 (以及相關權限

)。此功能稱為「職能服務」(RBS)。

「職能服務」是 eDirectory 綱要的一組延伸。RBS 定義多個物件類別和屬性，為管理員提供一種基於

使用者在組織內的職能授予其對管理任務之存取權限的機制。這可以讓使用者僅存取他們需要執行的那些任務。RBS 也只會授予執行指定任務所必需的權限。

附註： NetIQ iManager「職能服務」(RBS) 存取控制會基於 NetIQ eDirectory 的「存取控制清單」

(ACL) 能力來授予權限。這些 ACL 允許授予託管者對特定物件或其附屬物件的權限。ACL 並不是依據特

定的物件類型而授予的。每一個 NetIQ iManager 任務都會定義適用的物件類型和必要的 ACL。但是，

這些 ACL 允許使用者透過 eDirectory API 或者 Novell ConsoleOne 或 NWAdmin 等其他工具來對其他物

件類型執行操作。

設定及自訂 iManager 47

使用 RBS 可以建立組織內的特定職能，其中包含指定的使用者可以在 iManager 中執行的任務 (例如，

建立新使用者或變更密碼)。任務可以預先指定給職能，但也可以被取代、重新指定或完全移除。

此外，使用者與特定範圍 (即網路樹中使用者具有執行任務之必要權限的容器) 內的職能相關聯。職

能需要有職能、成員和範圍的三重關聯。

RBS「職能」物件可以建立使用者和任務的關聯。管理員透過讓使用者成為指定了任務之職能的成員

來授予使用者存取此任務的權限。

使用者可以透過以下方式指定給職能：

直接指定為使用者

透過群組和動態群組指定

如果使用者是指定給職能之群組或動態群組的成員，便可以存取此職能。

透過組織職能指定

如果使用者是指定了職能之組織職能的佔有者，便可以存取此職能。

透過容器指定

「使用者」物件可以存取指定了職能父容器的所有職能。可能還包括上至網路樹根部的其他容器。

使用者可以與職能關聯多次，每次都使用不同的範圍。

eDirectory 中的 RBS 物件

下表列出了 RBS 物件。安裝 RBS 時，iManager 會延伸 eDirectory 綱要以包括這些物件。如需詳細資

訊，請參閱「安裝 RBS」(第 50 頁)。

物件描述

rbsCollection 儲存所有 RBS「職能」和「模組」物件的容器物件。

rbsCollection 物件是所有 RBS 物件的最上層容器。一個網路樹可以有多個 rbsCollection 物件。這些物件都有擁有者，即對集合具有管理權限的使用者。

rbsCollection 物件可以在以下任何容器中建立：

國家

領域

地區

組織

組織單位

rbsRole 定義職能包括建立 rbsRole 物件，以及指定職能所能執行的任務。

rbsRoles 是只能在 rbsCollection 容器中建立的容器物件。

職能成員可以是「使用者」、「群組」、「組織」或「組織職能」，以及與網路樹中特定範圍內的職能相關聯的職能成員。rbsTask 和 rbsBook 物件會指定給 rbsRole 物件。

rbsTask 儲存特定功能的葉物件，例如，重設登入密碼。

rbsTask 物件只位於 rbsModule 容器內。

48 設定及自訂 iManager

RBS 物件位於 eDirectory 網路樹中，如下圖所述：

圖 6-1 eDirectory 中的職能服務

rbsBook (aka 內容登記)

登記是一個葉物件，顯示允許使用者檢視或修改物件或相同類型物件組之內容的頁面群組。登記的每一頁上都有索引標籤，按一下這些索引標籤可以檢視不同的頁面。

內容物件僅位於 rbsModule 容器內，並可以指定給一或多個職能以及一或多個物

件類別類型。

rbsScope 用於 ACL 指定的葉物件 (取代指定每個使用者物件)。rbsScope 物件表示網路樹

中執行職能的網路位置，它們與 rbsRole 物件相關聯，承襲於群組類別。使用者

物件會指定給 rbsScope 物件。這些物件參考它們所關聯之網路樹的範圍。

物件會根據需要自動建立，並於不再需要時自動刪除。它們僅位於 rbsRole 容器

中。

警告：不要變更 rbsScope 物件的組態。不然會造成嚴重的後果，甚至可能中斷系

統。

rbsModule 表示儲存 rbsTask 和 rbsBook 物件的容器物件。rbsModule 物件擁有模組名稱屬

性，表示定義任務或登記的產品名稱，例如 eDirectory 維護公用程式、NMAS 管理

或 NetIQ Certificate Server 存取。

rbsModule 物件只能在 rbsCollection 容器中建立。

rbsCategory 種類可以將特定功能所特定的職能和任務分組在一起。iManager 具有 14 個預設種

類：驗證和密碼、合作、目錄、檔案管理、身分識別管理員、基礎結構、安裝與升級、網路、Novell Audit、列印、安全性、伺服器、軟體授權與網路、使用率，

以及使用者與群組。

「全部種類」選項顯示所有可用的職能與任務。

您也可以建立新的種類並為它們指定職能和任務。

物件描述


安裝 RBS

使用「iManager 組態精靈」安裝 RBS。

1 在「設定」檢視窗中，選取「職能服務」>「RBS 組態」。

2 選取「設定 iManager」。

3 依照螢幕上的指示進行。

移除 RBS

如果網路樹中不再需要「職能服務」，可以透過 iManager 安全地刪除「RBS 集合」物件。刪除 RBS 集合會自動清除網路樹中所有使用者的職能關聯和範圍。請勿使用其他公用程式 (例如 ConsoleOne) 刪除 RBS 集合。

移除職能服務：


2 選取要刪除的集合。

3 按一下「刪除」。

刪除 RBS 集合後，即使網路樹中沒有 RBS 集合物件，所有登入 iManager 的使用者也會進入「指定存

取」模式。

若要切換回「不限」模式 (預設模式)：

1 在「設定」檢視窗中，按一下「iManager 伺服器」>「設定 iManager」。

2 選取「RBS」索引標籤。

3 在「RBS 網路樹清單」欄位中選取適當的網路樹名稱，然後按一下減號按鈕。

4 按一下「儲存」。

附註：在「不限」模式下使用 iManager 時，通常會在其首頁看到以下訊息：「通知：無法使用某些職

能與任務按一下「檢視詳細資料」可能會為多個任務顯示「目前驗證程式不支援」的訊息，即使該任務正常運作。此訊息會使人誤解，iManager 會在您設定 RBS 後移除這些訊息。

RBS 組態

「RBS 組態」任務提供對 RBS 物件的完整控制。它是管理和設定 RBS 物件的中心位置。您可以依據類型

列出和修改 RBS 物件。此任務還會為您提供有關 RBS 系統的有用資訊，例如集合中的模組數、已安裝

的模組數、未安裝的模組數和過時的模組數。某些任務可讓您同時操作多個物件。例如，您可以同時關聯或解除關聯一個職能的多個成員。

從「設定」檢視選取「職能服務」>「RBS 組態」，在「內容」框架中開啟「RBS 組態」頁面。

該頁面包含兩個索引標籤：

iManager 2.x 集合：顯示目前的 RBS 集合。

iManager 1.x 集合：顯示您可以刪除或移轉到 iManager 2. x 的較舊 RBS 集合。如果選取「移轉」，

精靈會引導您完成移轉程序。


iManager 僅會顯示您擁有的那些集合，且會包含每個集合的下列資訊：

模組：代表您登入到 Web 伺服器的模組數。

已安裝：代表目前已安裝的模組數。

過時：代表目前已安裝的過時模組數。

未安裝：代表目前可用但尚未安裝的模組數。

若要使用特定集合，請從清單選取。這會開啟集合特定的檢視窗，如圖 6-2所述。

圖 6-2 在 iManager 中使用 RBS 集合

本節其餘部分描述「RBS 集合」頁面中的各種索引標籤，以及「職能服務」種類的其他與 RBS 相關的

任務。

「職能索引標籤」(第 51 頁)

「任務索引標籤」(第 53 頁)

「內容登記索引標籤」(第 54 頁)

「模組索引標籤」(第 56 頁)

「種類索引標籤」(第 56 頁)

「Plug-In Studio」(第 57 頁)

「編輯成員關聯」(第 59 頁)

「編輯擁有者集合」(第 59 頁)

職能索引標籤

「RBS 集合職能」索引標籤可讓您管理集合中的 RBS 職能。您可以在這個索引標籤中，執行下列動作：

「建立新職能」(第 52 頁)

「編輯職能」(第 52 頁)

「刪除職能」(第 52 頁)

「設定成員關聯」(第 52 頁)

「指定種類」(第 53 頁)

「為職能新增描述」(第 53 頁)


附註：若要選取職能，請選取職能名稱左側的核取方塊。

建立新職能

在集合中建立新職能：

1 在「職能」索引標籤中，選取「新增」>「iManager 職能」。

2 完成「iManager 職能精靈」中的步驟。

精靈會逐步引導您重新命名職能、為職能指定任務和種類，以及為職能指定職能成員和範圍。

編輯職能

編輯集合中的現有職能：

1 在「職能」索引標籤中選取職能，然後按一下「編輯」。

職能的任務清單即會顯示。

2 視需要從此頁面新增或移除任務，然後按一下「確定」。

刪除職能

刪除集合中的職能：

1 在「職能」索引標籤中選取職能，然後按一下「刪除」。

顯示訊息：「此項作業將會刪除所有選取的職能。您要繼續嗎？」

2 按一下「確定」以刪除職能。

設定成員關聯

新增成員到現有職能：

1 在「職能」索引標籤中，選取「動作」>「成員關聯」。

2 提供必要的成員資訊，然後按一下「新增」。

名稱：指定或使用「物件選擇器」來搜尋您要使之成為職能成員的物件。

範圍：指定或使用「物件選擇器」來搜尋定義範圍 (此成員可在其中執行職能) 的容器。

3 在成員清單中，指定您要將與此職能相關之權限指定給成員的方法，然後按一下「確定」。

指定權限：指示 eDirectory 自動將必要權限授予給成員以執行指定的職能。如果未加以選

取，會將職能指定給成員，但成員可能沒有執行所有與職能相關之任務的權限。成員的權限指定會經過個別處理。

可承襲：選取「子網路樹」代表成員範圍包含指定網路位置中的所有子容器。選取「基本物

件」代表成員僅可在指定容器中執行職能。

附註：如果使用者是集合擁有者，並擁有成員關聯設定，則他/她可管理定義範圍內的所有 RBS 物件。如需 eDirectory 中的 RBS 物件清單及其描述，請參閱「eDirectory 中的 RBS 物件」(第 48 頁)。


指定種類

為現有職能新增種類指定：

1 在「職能」索引標籤中選取職能，然後選取「動作」>「種類指定」。

「種類指定」頁面即會顯示。

2 選取種類，然後按一下向右箭頭將其指定給職能。


為職能新增描述

為現有職能新增描述：

1 在「職能」索引標籤中選取職能，然後按一下「動作」>「描述」。

2 在文字方塊中指定描述，然後按一下「確定」。

任務索引標籤

任務是執行明確管理功能 (例如建立使用者或設定密碼) 的外掛程式。iManager 會在視窗左側的導覽

區域中按群組列出任務。

「RBS 集合任務」索引標籤可讓您執行下列作業：

「建立新任務」(第 53 頁)

「刪除任務」(第 53 頁)

「編輯任務的職能指定」(第 54 頁)

「為任務新增描述」(第 54 頁)

建立新任務

建立新任務：

1 在「任務」索引標籤中，選取「新增」>「iManager 任務」。

2 完成「建立 iManager 任務」精靈中的步驟。

精靈會逐步引導您提供正在建立之新任務的必要詳細資料。

如需在 Plug-in Studio 中建立任務的相關資訊，請參閱「自 Plug-In Studio 建立新任務」(第 57 頁)。

刪除任務

刪除現有任務：

1 在「任務」索引標籤中選取任務，然後選取「刪除」。

顯示訊息：「此項作業將會刪除所有選取的職能。您要繼續嗎？」



編輯任務的職能指定

編輯任務指定的職能清單：

1 在「任務」索引標籤中選取任務，然後選取「動作」>「職能指定」。

2 在「編輯職能指定」頁面上，從「指定職能」欄位中新增或移除職能，然後按一下「確定」。

為任務新增描述

為現有任務新增描述：

1 在「任務」索引標籤中，選取任務，然後選取「動作」>「描述」。

2 在文字方塊中指定描述，然後按一下「確定」。

內容登記索引標籤

內容登記會顯示您可以修改之特定物件類型的屬性。這些內容屬於物件或相同類型的物件集。

內容登記可以指定給職能，並顯示在職能的任務清單中。例如，修改「使用者」物件屬性的內容登記可能有一個頁面，讓您指定使用者的登入程序檔。另有一個頁面可以讓您變更使用者的電子郵件地址和電話號碼。

內容登記頁類似於任務。但它們是用於顯示和修改單一檢視窗中的屬性。如需更為複雜的類似精靈的 UI，則需要建立任務。

「RBS 集合內容登記」索引標籤可讓您執行下列作業：

「建立新內容登記」(第 54 頁)

「刪除內容登記。」(第 55 頁)

「編輯內容登記中的職能指定」(第 55 頁)

「修改內容登記的頁面清單」(第 55 頁)

「修改內容登記的物件類型指定」(第 55 頁)

「新增/修改內容登記的描述」(第 55 頁)

「針對內容登記之任務定義/修改優先使用的物件選擇方法」(第 55 頁)

建立新內容登記

建立新內容登記：

1 在「內容登記」索引標籤中，選取「新增」。

2 完成「建立內容登記」精靈中的步驟。

精靈會逐步引導您提供您正在建立之內容登記的詳細資料。

重要：在 iManager 中，有些字元具有特別的意義，必須以反斜線字元 (\) 避開。如需詳細資

訊，請參閱「特殊字元」(第 20 頁)。


刪除內容登記。

刪除內容登記：

1 在「內容登記」索引標籤下方，選取內容登記，然後選取「刪除」。

顯示訊息：「此項作業將會刪除所有選取的內容登記。您要繼續嗎？」


編輯內容登記中的職能指定

修改已指定內容登記之職能清單：

1 在「內容登記」索引標籤下方，選取內容登記，然後選取「動作」>「職能指定」。

2 在「編輯職能指定」頁面上，從「指定職能」欄位中新增或移除職能，然後按一下「確定」。

修改內容登記的頁面清單

修改與內容登記相關的屬性頁面：

1 在「內容登記」索引標籤下方，選取內容登記，然後選取「動作」>「頁面清單」。

2 在「編輯頁面清單」頁面上，從「指定頁面」欄位中新增或移除職能。若要變更頁面順序，請選取頁面並按一下「向上移」或「向下移」按鈕。

修改內容登記的物件類型指定

修改與內容登記相關的物件類型清單：

1 在「內容登記」索引標籤下方，選取內容登記，然後選取「動作」>「物件類型」。

2 在「編輯職能指定」頁面上，從「指定物件類型」欄位中新增或移除職能，然後按一下「確

定」。

新增/修改內容登記的描述

若要為現有任務新增/修改描述：

1 在「內容登記」索引標籤中選取內容登記，然後選取「動作」>「描述」。

2 在文字方塊中指定/修改描述，然後按一下「確定」。

針對內容登記之任務定義/修改優先使用的物件選擇方法

若要針對現有任務定義/修改優先使用的物件選擇方法：

1 在「內容登記」索引標籤下方，選取內容登記，然後選取「動作」>「目標選擇器模式」。

2 從「模式」清單中選取適當的模式：「單一」、「多重」、「簡易」或「進階」，然後按一下「確

定」。

系統會顯示成功訊息。按一下「OK」（確定）。

附註：您必須重新啟動 Tomcat，對「iManager 基礎內容」模組所做的變更才會生效。


模組索引標籤

「模組」頁面列出目前在選取集合上安裝的 RBS 模組。每個模組都包含 RBS 內容登記和任務。您可以

從這個頁面新增 (如果您要建立自訂內容登記) 和刪除模組，也可以為選取的外掛程式模組輸入描

述。

「RBS 集合模組」索引標籤可讓您執行下列作業：

「新增新外掛程式模組」(第 56 頁)

「刪除 RBS 模組」(第 56 頁)

「新增描述」(第 56 頁)

新增新外掛程式模組

新增新外掛程式模組：

1 在「模組」索引標籤上選取「新增」。

2 指定 RBS 模組名稱和目的地網路位置，然後按一下「確定」。

iManager 會顯示訊息，表示已新增模組。

刪除 RBS 模組

刪除現有外掛程式模組：

1 在「模組」索引標籤中，選取要刪除的模組，然後選取「刪除」。

2 按一下「確定」以確認刪除模組。

新增描述

為現有外掛程式模組新增描述：

1 在「模組」索引標籤中選取模組，然後選取「動作」>「描述」。

2 指定模組描述，然後按一下「確定」。

種類索引標籤

類別索引標籤將相關的職能與任務分為一組。「RBS 集合種類」索引標籤可讓您執行下列作業：

「新增新種類」(第 56 頁)

「刪除種類」(第 57 頁)

「新增描述」(第 57 頁)

新增新種類

為現有外掛程式模組新增描述：

1 在「種類」索引標籤中選取「新增」。

即啟動「建立種類精靈」。

2 指定種類名稱和描述 (選擇性)，然後按一下「下一步」。


3 選取與新種類關聯的職能，然後按一下「下一步」。

4 檢閱新種類的摘要，然後按一下「完成」。

刪除種類

刪除現有的種類：

1 在「種類」索引標籤中，選取要刪除的模組，然後選取「刪除」。

2 按一下「確定」以確認刪除種類。

新增描述

新增或修改現有種類的描述：

1 在「種類」索引標籤中選取種類，然後選取「動作」>「描述」。

2 指定種類描述，然後按一下「確定」。

Plug-In Studio

Plug-In Studio 提供了一種便捷的方法，用於簡化一天執行多次的任務。使用 Plug-In Studio 可以為

您最常用的作業動態建立任務。您也可以在此處編輯和刪除任務。

例如，修改使用者時，不要選取「修改物件」，可以建立動態 UI 僅編輯您已選取的屬性，例如名字或

標題。資料儲存在 TOMCAT_HOME/webapps/nps/portal/modules/custom 目錄中。

附註：當使用點伺服器時，NetIQ 建議您不要使用相同的 RBS 執行多個 iManager 伺服器。點伺服器

不正確地在 eDirectory 中更新外掛程式。

您可以從 Plug-in Studio 任務中執行下列作業：

「自 Plug-In Studio 建立新任務」(第 57 頁)

「編輯任務」(第 58 頁)

「刪除任務」(第 58 頁)

「複製自訂任務」(第 58 頁)

「輸出自訂任務」(第 59 頁)

「輸入自訂任務」(第 59 頁)

自 Plug-In Studio 建立新任務

使用 Plug-In Studio 建立新任務：

1 在「設定」檢視窗中，選取「職能服務」>「Plug-in Studio」。

2 選取「新增」。

「任務建立器」即會顯示，幫助您建立自訂任務和內容頁面。

3 指定物件類型和平台資訊，然後按一下「下一步」。

可用類別：指定與新任務相關的物件類別：

目標裝置：指定任務所使用的平台：通常，預設選取 (預設值) 運作良好。


外掛程式類別：指定您正在建立的任務類型。

新增輔助類別：選取此選項，為任務新增輔助類別支援。

4 在「外掛程式欄位」螢幕中，提供必要資訊，然後按一下「安裝」。

當您按一下「安裝」時，iManager 會動態建立任務的 .xml 檔案、.jsp 檔案以及可執行任務的 Java 檔案，然後它便會將那些檔案安裝到系統。

屬性：選取屬性，使其與可用屬性之清單的任務產生關聯。

連按兩下屬性，使用預設控制項，將其移到「外掛程式欄位」欄位。

控制項：為在「屬性」欄位中選取的屬性顯示可用的控制項。

連按兩下控制項，使用選取控制項，將目前屬性移到「外掛程式欄位」欄位。

外掛程式欄位：顯示目前與任務相關聯的每個屬性/控制項。在這個欄位中，您可以從任務移除

屬性、變更與屬性相關聯的控制項，以及修改屬性的控制項內容。

外掛程式內容：可讓您指定「外掛程式 ID」、為「RBS 集合」指定任務，以及為「職能」指定任

務。您指定的任務決定其在「職能與任務導覽」框架中顯示的位置。

編輯任務

使用 Plug-in Studio 編輯現有的外掛程式：


2 選取任務，然後按一下「編輯」。

3 修改「建立新任務」(第 53 頁)中描述的設定，然後按一下「安裝」。

iManager 會顯示確認訊息，代表外掛程式已成功建立和安裝。

刪除任務

使用 Plug-in Studio 刪除現有的外掛程式：


2 從已安裝自訂外掛程式的清單中選取外掛程式，然後按一下「刪除」。

訊息「您確定要刪除此外掛程式嗎？」即會顯示。

3 按一下「確定」以刪除外掛程式。

iManager 會顯示確認訊息，代表外掛程式已成功刪除。

複製自訂任務

使用 Plug-in Studio 複製現有外掛程式：


2 從已安裝的自訂外掛程式清單中選取外掛程式，然後按一下「動作」>「複製」。

3 指定複製外掛程式的名稱，然後按一下「確定」。


輸出自訂任務

使用此任務可以輸出自訂任務，供其他 iManager 伺服器部署。

1 在「設定」檢視窗中，選取「職能服務」 > 「Plug-in Studio」。

2 選取要輸出的自訂外掛程式，然後按一下「動作」>「輸出」。

輸入自訂任務

使用此任務可以將匯出的自訂任務部署到多個 iManager 伺服器上。


2 選取「動作」>「輸入」。

3 指定或使用「物件選擇器」來搜尋您要輸入自訂外掛程式的 RBS 集合。

4 指定或瀏覽至您之前輸出的 NPM 檔案。

5 按一下「輸入」。

編輯成員關聯

有兩種方法可將成員與職能進行關聯：

選取成員，然後將其指定給某一範圍內的職能，如「設定成員關聯」(第 52 頁)所述。

選取職能，然後為其指定成員和範圍，如下所述。

為選取成員指定現有職能

1 在「設定」檢視窗中，選取「職能服務」>「編輯成員關聯」。

2 指定或使用「物件選擇器」來搜尋成員，然後按一下「確定」。

即會出現一份清單，顯示指定給此成員的職能。

3 指定職能和職能範圍以新增至此成員，然後按一下「確定」。

此資料便會儲存至 eDirectory。登入後，最新指定的職能會顯示在擁有該職能之成員的左側欄

中。

編輯擁有者集合

使用此任務以變更指定到集合的擁有者。

1 在「設定」檢視窗中，選取「職能服務」>「編輯擁有者集合」。

2 指定或使用「物件選擇器」來搜尋集合擁有者，然後按一下「確定」。

3 新增或移除此人員可以擁有的集合，然後按一下「確定」。

RBS 報告

「RBS 報告」功能可以產生目錄中 RBS 物件及其組態的相關報告。報告採用圖表格式，也可以輸出成其

他格式進行列印。「RBS 報告」可以產生以下報告：

職能指定未指定的任務


建立報告

建立 RBS 報告：

1 在「設定」檢視窗中，選取「RBS 報告」。

每種類型的報告都會作為一個任務來執行。

2 選取需要的報告，提供必要的資訊，然後按一下「確定」。

每份報告都需要您提供一些啟始資訊，例如要產生指定成員清單的職能。

圖 6-3 iManager 設定檢視窗顯示職能指定任務

使用報告

「RBS 報告」任務會產生報告供您排序、列印和輸出。下圖顯示 iManager 報告的範例。

職能任務指定未指定的種類

使用者職能指定自訂職能

使用者任務指定自訂任務

職能權限指定自訂種類

未指定的職能集合


圖 6-4 指定給職能的成員

排序報告

根據預設，報告中列出的項目會根據第一欄按字母順序遞增排序。為指示項目排序所依據的欄，iManager 會在欄名稱旁顯示一個小型圖示，該圖示還會指示排序順序。若要變更項目排序所依據的

欄，請按一下所需之欄的名稱。若要變更排序順序，按一下目前項目排序所依據之欄的名稱。

列印報告

只需按一下「列印」按鈕，即可輕鬆列印 RBS 報告。這會開啟瀏覽器的列印對話方塊，您可以在其中

選取印表機和其他列印選項。此功能僅列印包含此報告的瀏覽器框架並按框架中顯示的報告進行列印，以確保在您按一下「列印」之前，依照您想要的順序排序項目。

輸出報告

您可以將報告資料輸出至 XML、CSV 和純文字檔案，然後將這些檔案用於其他應用程式，例如工作表和

資料庫。輸出檔案僅包含資料和足以描述報告欄的中繼資料。報告標題和日期等其他資訊則不會輸出。報告中的項目會按目前顯示的排序順序輸出。

1 按一下「輸出」按鈕。

2 在「RBS 報告輸出」視窗中，選取輸出資料的格式，然後按一下「輸出」。

3 當瀏覽器提示您開啟或儲存 iManager 產生的檔案時，選取想要的選項並按瀏覽器的要求進行操

作。

以下是從同一 RBS 報告中輸出之 XML、CSV 和純文字檔案的範例：

XML︰

<?xml version="1.0"?> <rbs-report> <rbs-report-header> <user>admin.novell</user> <report-time>Thursday, June 26, 2008 (10:33:17 AM IST)</report-time> <selected-member-types>User, Group, Dynamic Group, Organizational Role, Container</selected-member-types> <dynamic-group> <search-enabled>yes</search-enabled> <role-search>parent sub-directory (novell)</role-search> <search-for>Dynamic Group Objects</search-for> </dynamic-group> <container-role-search>up to parent (novell)</container-role-search> </rbs-report-header>


<rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>admin.novell</member-object> <scope>.MY_TREE.</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> <rbs-record> <role-name>eDirectory Administration</role-name> <role-object>eDirectory Administration.Role Based Service 2.novell</role-object> <member-type>User</member-type> <member-object>jdoe.novell</member-object> <scope>novell</scope> <rights-assigned>true</rights-assigned> <rights-inherit>true</rights-inherit> </rbs-record> </rbs-report>

CSV︰

RBS Report Query SettingsUser:,"admin.novell"Date:,"Thursday, June 26, 2008 (10:33:17 AM IST)"Types:,"User, Group, Dynamic Group, Organizational Role, Container"Dynamic Group Search Settings:,Search Enabled:,"yes"Role Search:,"parent sub-directory (novell)"Role Search:,"Dynamic Group Objects"Container Role Search:,"up to parent (novell)"

RBS 報告：使用者職能指定

User,"Role Name","Role Object","Type","Member","Scope","Assigned","Inherit",admin.novell,"Archive Version Management","Archive Version Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"DFS Management","DFS Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Directory Administration","eDirectory Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"eDirectory Maintenance Utilities","eDirectory Maintenance Utilities.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"File Protocols","File Protocols.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Groups","Group Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Help Desk","Help Desk Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"IDE Demo Role","IDE Demo Role.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Access","Novell Certificate Access.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Novell Certificate Server Management","Novell Certificate Server Management.RBS 270


akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Partitions and Replicas","Partition and Replica Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"QuickFinder Administration","QuickFinder Administration.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Rights","Rights Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Schema","Schema Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Storage Management","Storage Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.Role Based Service 2.novell","User","admin.novell",".BLR-ANIL-TREE.","true","true",admin.novell,"Users","User Management.RBS 270 akpal.08","User","admin.novell",".BLR-ANIL-TREE.","true","true",

純文字:

RBS Report Query SettingsUser: admin.novellDate: Thursday, June 26, 2008 (10:33:17 AM IST)Types: User, Group, Dynamic Group, Organizational Role, Container-------------------------------------------------Dynamic Group Search Settings: Search Enabled: yesRole Search: parent sub-directory (novell)Role Search: Dynamic Group ObjectsContainer Role Search: up to parent (novell)-------------------------------------------------Role Name: eDirectory Administration Role Object: eDirectory Administration.Role Based Service 2.novell Type: User Member: jdoe.novell Scope: novell Assigned: true Inherit: true-------------------------------------------------

iManager 伺服器

如果沒有看到此任務，則表示您不是授權使用者。請參閱「授權使用者與群組」(第 64 頁)。本小節

包含以下資訊：

「設定 iManager」(第 64 頁)

「安全性」(第 64 頁)

「外觀與風格」(第 65 頁)

「記錄事件」(第 66 頁)

「驗證」(第 66 頁)

「RBS」(第 67 頁)

「外掛程式下載」(第 67 頁)

「其他」(第 68 頁)

「證書」(第 68 頁)


，

設定 iManager

iManager 建立 LDAP SSL 連接時，在控制安全性和所使用證書的 config.xml 檔案中有三個設定：

Security.Keystore.AutoUpdate：如果 AutoUpdate 的值為 true，當使用者成功登入到 iManager 後，

該 eDirectory 伺服器發出的證書可能會自動輸入到 iManager 特定的 keystore 中。選取「為安全

LDAP 自動輸入網路樹證書」設定 (「設定 iManager」>「安全性」)。

Security.Keystore.UpdateAllowAll：當 UpdateAllowAll 為 True 時，任何成功的使用者登入都會將

證書輸入/更新至 iManager 證書 keyStore 中。如果設定值為 false，則只有授權使用者登入會輸入

/更新證書。

Security.Keystore.Priority：優先順序設定包含兩個定義連接期間證書之搜尋順序的單字：system 和 imanager。system 在建立 SSL 網路位置時使用預設的 JVM* keystore 查找證書。如果查找失敗，會

轉至 iManager keystore。

從項目移除 system 或 iManager 可以變更它們的搜尋順序。

為了進一步加強安全性，請不要使用 AutoUpdate，而僅使用系統 keystore。在這種情況下，必須使用 Java 隨附的工具，手動輸入您要儲存於預設系統 keystore 內的證書。如果停用 UpdateAllowAll，則

只有在 iManager 授權使用者成功登入時才會輸入證書。

安全性

這些設定會影響整個 Web 伺服器組態，而且會儲存在 config.xml 檔案中。您可以在離開時儲存設定，

或是在進行所有變更之後按一下「儲存」。

使用不安全連線時發出警告

如果您希望使用者在網頁瀏覽器和 Web 伺服器之間沒有安全連線時，收到下列警告：您使用的是不安全

連線，請選取此選項。

為安全 LDAP 自動輸入網路樹證書

安全 LDAP 連接需要證書。如果選取此功能，系統會自動輸入公用網路樹證書以確保 LDAP 的安全。

授權使用者與群組

授權使用者與群組是 iManager 允許執行各自不同管理任務的人員。授權使用者資料儲存在 TOMCAT_HOME\webapps\nps\WEB-INF\configiman.properties 中。只有在提供授權使用者與群組資訊之後

iManager 安裝程序才會建立此檔案，但是這項操作不是必須的。若您未提供必要的資訊，iManager 允許所有使用者安裝 iManager 外掛程式並修改 iManager 伺服器設定 (不建議長期使用)。

群組或組織角色新增至此清單時，所有群組成員或組織角色會變成授權使用者。新增巢狀群組僅支援第一層成員。但是不支援新增動態群組，因為它可以讓任何類別的物件作為其成員。

安裝 iManager 之後，您可以藉由指定或使用Authorized Users and Groups清單旁邊的「物件選擇器」

圖示新增授權的使用者、群組或組織職能。執行此動作將會修改 configiman.properties 檔案。

若要將網路樹的所有使用者指定為「授權使用者」，請鍵入 AllUsers。


附註：您只能新增並儲存有效的使用者到「授權使用者與群組」清單。如果新增無效的使用者並按下「儲存」，系統會顯示錯誤訊息，說明找不到該物件。如果只新增無效的使用者到該清單並按下「儲

存」，系統會顯示錯誤訊息，而且無效使用者的清單會自動由 AllUsers 取代。如果您不想讓網路樹的

所有使用者都成為授權使用者，請從清單移除 AllUsers，然後新增想要的有效使用者至該清單，並按

一下「儲存」。

重要：第一次安裝 iManager 時，「授權使用者與群組」清單是空的。做為管理員使用者，您必須立

即新增使用者與群組到該清單，讓他們取得授權並擁有修改該清單的權限。否則，非管理員使用者可能透過要求取得修改該清單的權限來新增使用者與群組到該清單。您 (管理員) 可能會失去修改該清

單的權限。

如需 configiman.properties 檔案之安全性相關的資訊，請參閱「iManager 授權使用者與群組」(第 108 頁)。

啟用 NetIQ 稽核

請確定您符合 Audit 先決條件。選取「啟用 NetIQ 稽核」選項，並選取特定的 iManager 記錄事件，

然後按一下「儲存」。

外觀與風格

「外觀與風格」索引標籤可讓您自訂 iManager 介面的外觀。這份資訊儲存在 TOMCAT_HOME\webapps\nps\WEB-INF\config.xml。

標題名稱

在此文字方塊中指定您的組織名稱。它會顯示在網頁瀏覽器的標題列中，取代預設文字 (NetIQ iManager)。

標題列色彩

您可以自訂標題列色彩：

標題顏色：您可以選取組織名稱要在標題列中顯示的顏色。

左側顏色：您可以選取標題列左側面板的顏色。

右側顏色：您可以選取標題列右側面板的顏色。

您可以在文字欄位中輸入十六進位值以選取色彩。輸入不區分大小寫。

標誌複本位置

標題列也可包含您組織的標誌。您的標誌必須符合介面中指定的尺寸。

將標誌影像儲存在 /portal/modules/fw/images。在每個影像個別的文字欄位中指定其路徑。

依預設，標誌不會顯示在標題區中。勾選在標題區中顯示標誌是選項。取消勾選方塊以隱藏影像方塊，並在標題區中顯示標誌。

按一下「重設」以還原預設顏色與影像。

按一下儲存以儲存設定。您可以在「預覽」區段下看到所有變更的預覽。


記錄事件

「記錄事件」索引標籤可讓您設定 iManager 的記錄環境。有兩種記錄設定：

記錄層級：從四個選項中選取您要記錄的訊息類型：無記錄、錯誤、錯誤和警告和錯誤、警告和除錯

資訊訊息。

附註：如果將記錄層級設為錯誤、警告和除錯資訊訊息，則可在 iManager 標題看見檢視除錯記錄和清

除除錯記錄選項。

選取記錄輸出選項。

記錄輸出：從三個選項中選取記錄訊息的目的地：傳送記錄輸出至標準錯誤裝置、傳送記錄輸出至標準

輸出裝置和傳送記錄輸出至 Debug.html 檔案。

記錄檔路徑和記錄檔大小都會顯示在此頁面中。選取「檢視」，以 HTML 格式顯示目前的記錄。選取

「清除」，以清除目前的記錄檔案並將記錄檔案大小重設為 0 (零) 位元組。

驗證

「驗證」索引標籤會設定 iManager 的登入頁面。它包含下列選項：

記住登入認證：選取時，使用者必須只能輸入密碼進行登入。

使用安全 LDAP 進行自動連接：選取時，iManager 會使用 SSL 執行 LDAP 通訊。如果未選取此選項，

一些外掛程式 (例如「動態群組」和 NMAS) 將無法運作。此設定在您登出 iManager 之後才會生效。

隱藏登入失敗的特定原因：選取時，iManager 會以顯示為：登入失敗的一般錯誤訊息取代與驗證相關的

eDirectory 訊息。使用者名稱或密碼無效」的一般訊息。如需詳細資訊，請參閱「避免使用者名稱探查」

(第 109 頁)。

允許在登入頁上選取「網路樹」：選取時，iManager 的登入頁面會顯示「網路樹」欄位。如果不選

取此選項，必須指定預設的網路樹名稱，否則無法登入。

無網路位置登入：無網路位置登入允許使用者在不知道其整個使用者物件網路位置的情況下，僅使用使用者名稱和密碼登入。例如，.admin.support.sales.netiq。

如果有多個使用者在網路樹中具備相同的使用者名稱，無網路位置登入允許藉由使用透過使用者已指定之容器順序清單中提供的密碼所找到的第一個使用者帳號來登入。使用者可重新排列並設定容器順序清單。

如果有多個使用者在網路樹中具備相同的使用者名稱，若要使用特定使用者名稱登入，使用者應該在登入時提供完整網路位置，或限制無網路位置登入搜尋的搜尋容器。

選取「從根部搜尋」，以便從目錄樹根部執行使用者搜尋。選取「搜尋容器」以指定可找到使用者物件的一或多個容器。

根據預設，iManager 會以公用存取連接，不需要特定的身分證明。您可以指定具有特定身分證明的使

用者執行無網路位置查詢。如果未指定使用者，則會使用 iManager 公用使用者。

重要：如果指定了公用使用者，請仔細考慮密碼過期設定的問題。如果對公用使用者的密碼設定為過期，則在密碼過期後，您將無法於登入期間變更密碼。

iManager 伺服器逾時設定: 如果您要 iManager 伺服器在特定時間後逾時，請在「驗證」頁面中的各

個欄位中指定天數、時數和分鐘數。


如果您不要伺服器逾時，請選取「不逾時」選項。

登出後重新導向: 在「驗證」頁面中，如果您想要在登出 iManager 之後重新導向所需頁面，必須啟用

此選項。您必須在「URL：」欄位中指定所需的 URL。如果您未指定任何 URL，當您按一下「離開」

時，將登出 iManager。依預設，會顯示「登入」頁面。

登出後重新導向

「登出後重新導向」選項可讓您指定登出 iManager 後要重新導向至哪個 URL。如果您未選取此選項，

當您按一下「離開」時，將登出 iManager。依預設，會顯示「登入」頁面。

啟用︰選取此選項即可啟用「登出後重新導向」功能。

URL: 指定登出 iManager 之後要重新導向的 URL。

RBS

「職能服務」(RBS) 指定在 eDirectory 中執行任務的權限。依預設，將職能指定給使用者時，RBS 會指定執行該職能之任務的必要權限。

「RBS」索引標籤可讓您設定下列設定：

啟用動態群組：選取時，RBS 可讓動態群組成為職能的成員。如需動態群組的詳細資訊，請參閱

《NetIQ eDirectory 管理手冊》。

顯示擁有集合中的職能：選取時，集合擁有者可看見所有職能和任務，無論他們是否為其成員。刪除此選項，可強制只讓集合擁有者看到其已被指定的職能。

職能探查領域：代表網路樹中 iManager 搜尋指定給成員之職能的位置。

父代︰iManager 會搜尋「動態群組」，直至父容器。

分割區︰iManager 會搜尋「動態群組」，直至第一個 eDirectory 分割區。

根部：iManager 會在整個網路樹中搜尋「動態群組」。

動態群組探查領域：代表網路樹中 iManager 搜尋動態群組成員的位置。於找到的「動態群組」中選

取職能成員資格。

父代︰iManager 會在使用者的父容器中搜尋職能。

分割區︰iManager 會搜尋職能，直至第一個 eDirectory 分割區。

根部：iManager 會在整個網路樹中搜尋職能。

動態群組搜尋類型：選取要為職能成員搜尋的「動態群組」類型。

僅動態群組︰搜尋「動態群組」類別類型的物件。

動態群組物件和輔助類別：搜尋 dynamicgroup 類別類型的物件，或已經以 dynamicgroupaux 類別延伸的物件。包括稍後轉換為「動態群組」的群組物件。

RBS 網路樹清單：集合擁有者或職能成員驗證時，自動填入 eDirectory 網路樹的名稱。如果將 RBS 從 eDirectory 網路樹中移除，請移除此清單中的該網路樹項目以返回「未指定的存取」模式。

外掛程式下載

「外掛程式下載」索引標籤可讓您設定下列設定：


https://www.netiq.com/documentation/edirectory-9/edir_admin/

https://www.netiq.com/documentation/edirectory-9/edir_admin/

eGuide。

查詢 Novell 下載網站中的新 NetIQ 外掛程式模組 (NPM)：表示 iManager 伺服器應該查詢 NetIQ 下載網站 (http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4)中的新外掛程式模組 (NPM)。

兩個選項按鈕可讓您設定查詢每個可用 NPM，或只查詢已安裝之 NPM 的更新。

從自訂網站下載外掛程式模組：您可以在「外掛程式下載」頁面中，藉由在「下載 URL」欄位中指

定自訂網站的 URL，從自訂網站下載外掛程式模組。

透過 Proxy 下載外掛程式模組：如果 iManager 伺服器在防火牆代理模式下執行，則用戶端可透過代

理伺服器存取網際網路。僅支援 HTTP 代理。這是 Web 代理 HTTP。若要下載外掛程式，使用者必須在

「外掛程式下載」頁面中執行下列動作：

1 選取「啟用 Proxy」。

2 請輸入下列欄位：

Proxy 主機：在此欄位中指定 Proxy 主機 IP 位址。

Proxy 連接埠：在此欄位中指定 Proxy 連接埠號。

使用者名稱：在此欄位中指定使用者名稱。

密碼：在此欄位中指定密碼。

重新輸入密碼：指定您在重新輸入密碼欄位中指定的相同密碼。

重要： iManager 外掛程式和先前版本的 iManager 不相容。此外，任何您想與 iManager 一起使用的

自訂外掛程式，必須在 iManager 環境中重新匯編。

其他

「其他」索引標籤可讓您設定下列設定：

啟用 [此項]：您可以放心地忽略此選項。「啟用 [此項]」會新增至 iManager，讓一些內部團隊可以

修改他們的物件。[此項] 是網路樹中的屬性，可啟用特定的自我管理功能。如果啟用 [此項]，網路

樹中的所有 eDirectory 伺服器版本必須是 8.6.2 或更新版本。

eGuide URL：為 eGuide 指定 URL。它用於標題中的 eGuide 啟動按鈕，以及 eGuide 職能和任務管理

任務。此 URL 必須是完整的 URL (例如 https://my.dns.name/eGuide/servlet/eGuide) 或關鍵字 EMFRAME_SERVER。使用 EMFRAME_SERVER 將使 eMFrame 尋找 eMFrame 所在的同一部伺服器上的

如需 eGuide 的詳細資訊，請參閱 Novell eGuide 文件網站 (http://www.novell.com/documentation/eguide212/index.html)。

證書

若要根據您的安全性需求選擇加密層級，請使用「證書」索引標籤。iManager 提供下列證書以從中選

擇：

RSA: 此證書使用 2048 RSA 金鑰組。iManager 允許下列 RSA 的加密層級：

無：可使用任何加密類型。

低：可使用 56 位元或 64 位元加密。


http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

http://download.novell.com/index.jsp?product_id=&search=Search&build_type=SDBuildBean&families=&date_range=&keywords=iManager&x=23&y=4

http://www.novell.com/documentation/eguide212/index.html

中：可使用 128 位元加密。

高：可使用高於 128 位元的加密。

ECDSA 256：此證書使用含曲線 secp256r1 的 ECDSA 金鑰組。iManager 針對 ECDSA 256 僅允許

一個加密層級：

僅 SUITEB 128：可使用任何加密類型。

ECDSA 384：此證書使用含曲線 secp384r1 的 ECDSA 金鑰組。

附註：依預設，Java 不支援 AES 256 位元加密。執行以下步驟以使用 ECDSA 384 證書：

1. 下載並解壓縮 Java 加密延伸 (JCE) 無限制強度原則檔案 8。

2. 在 Java 安全資料夾 (jdk1.8.xx/jre/lib/security) 中使用解壓縮的檔案分別取代 local_policy.jar 和 US_export_policy.jar 檔案。

3. 重新啟動 Tomcat。

SUITEB 128：可使用任何加密類型。

SUITEB 192：可使用 56 位元或 64 位元加密。

依預設，系統會選取「RSA」，並將加密層級設定為「無」。針對 ECDSA 證書，iManager 僅允許套件 B 加密。若您變更證書，請確定 Tomcat 伺服器已重新啟動以使變更生效。

重要：依預設，Firefox 不允許「低」加密層級。

若要在 Firefox 瀏覽器中啟用「低」加密演算法：

1 開啟 Firefox，在位置列中鍵入 about:config，然後按 Enter。

2 (視情況而定) 如果出現警告，請按一下「我保證會小心！」按鈕以繼續 about:config 頁面。

3 在「about:config」頁面中，在「優先設定名稱」清單下方，連按兩下

「security.ssl3.rsa_rc4_128_md5」優先設定以將值變更為 True。

這會在 Firefox 瀏覽器中啟用「低」加密演算法。

例如，若要僅設定 HIGH 加密層級，請修改 SSLCipherSuite 參數，如下所示：

<VirtualHost _default_:443> -------------- ----------------SSLCipherSuite ALL:ADH:EXPORT56:RC4+RSA:+HIGH:!MEDIUM:!LOW:+SSLv2:+EXP:+eNULL ------------- ---------------<VirtualHost>

您可以使用下列字首以修改加密層級：

+ ：將加密方式新增至加密清單，並將其提取至清單中的目前位置。

- ：將加密方式從清單中移除 (稍後可再次加回)。

! ：將加密方式從清單完全刪除 (稍後無法再次加回)。

如需詳細資訊，請參閱Apache 模組 mod_ssl (http://httpd.apache.org/docs/2.0/mod/mod_ssl.html) 文件。


http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

物件建立清單建立物件時，「建立物件」任務會註冊物件類別的預先設定清單。「物件建立清單種類」包含下列任務：

「新增物件類別至建立清單」(第 70 頁)

「從建立清單中移除物件類別」(第 70 頁)

新增物件類別至建立清單

使用此任務新增多個物件至「物件建立清單」，亦即可使用「目錄管理」>「建立物件」任務在 iManager 中建立之物件的清單。

1 在「設定」檢視窗中，選取「物件建立清單」>「新增物件類別至建立清單」。

2 選擇要新增的物件，然後按一下「下一步」。

3 檢閱 XML 定義資訊，然後按一下「完成」以建立 .xml 檔案。

從建立清單中移除物件類別

使用此任務從「物件建立清單」移除物件，亦即可使用「目錄管理」>「建立物件」任務在 iManager 中建立之物件的清單。

1 在「設定」檢視窗中，選取「物件建立清單」>「從建立清單刪除物件類別」。

2 選取要移除的物件，然後按一下「下一步」。

3 檢閱 XML 定義資訊，然後按一下「完成」以從「物件建立清單」移除物件。

外掛程式模組安裝如果在 iManager 介面中看不到此職能，則您可能不是授權使用者。請參閱「授權使用者與群組」(第 64 頁)。

iManager 中使用兩種模組類型：

NetIQ 外掛程式模組 (NPM)： NPM 是包含 iManager 外掛程式之檔案的歸檔。使用「可用的 NetIQ 外掛程式模組」任務安裝 NPM 時，會安裝 iManager 的外掛程式，以新增其功能。

RBS 模組：「RBS 模組」是 eDirectory 中的物件，其中包括「RBS 任務」和「RBS 登記」物件。在 eDirectory 網路樹中設定「職能服務」之後，只需按一下「設定」>「RBS 組態」即可在安裝 NPM 之後安裝 RBS，以便使用與外掛程式關聯的新任務。

模組安裝僅與 NPM 相關。如需在 iManager 安裝程序期間安裝 NPM 的詳細資訊，請參閱「《NetIQ iManager 安裝指南》」中的「瞭解 iManager 外掛程式的安裝」。


可用的 NetIQ 外掛程式模組

「可用的 NetIQ 外掛程式模組」(NPM) 頁面列出套件目錄或下載網站中包含的所有可用 NPM。如需詳細

資訊，請參閱「外掛程式下載」(第 67 頁)。每個模組的名稱、版本和描述均位於各自的資訊清單檔

案中。

您可以藉由選取外掛程式模組並按一下「隱藏」按鈕來隱藏外掛程式。您也可以隱藏所有外掛程式模組，這樣首頁就不會顯示「新 iManager NPM 可用於安裝」通知。

您也可以藉由按一下「顯示隱藏」按鈕，檢視已隱藏的外掛程式模組的清單。您可以視需要檢視已隱藏的外掛程式模組。

已安裝的 NetIQ 外掛程式模組

此清單包含 iManager 中已安裝的 NPM。每個 NPM 會依它們在目前資訊清單檔案中找到的名稱、本地版

本及描述列出。

iManager 沒有將所有外掛程式模組作為基礎產品的一部分包括在內。您必須個別下載大多數的 iManager 外掛程式。但是，iManager 隨附的 base.npm 模組中包括以下外掛程式：

目錄管理

分割區與複製本

Help Desk

綱要

權限

使用者

群組

如需詳細資訊，請參閱第 5 章「職能與任務」(第 31 頁)。

重要：為了能正常運作，外掛程式模組的版本必須與執行該外掛程式模組的 iManager 版本相容。請

參閱產品特定的文件，以獲取特定外掛程式模組所需之 iManager 版本的相關資訊。

例如， iManager 外掛程式和先前的 iManager 版本不相容。此外，任何您想與 iManager 一起使用的自

訂外掛程式，必須在 iManager 環境中重新匯編。

下載及安裝外掛程式模組iManager 讓您可以在 iManager 內，下載和安裝現有及新外掛程式的更新程式。iManager 每週會針對

外掛程式自動查詢 NetIQ 下載網站一次。

附註：外掛程式模組不能在 iManager 伺服器之間進行複製。因此，建議您在每個 iManager 伺服器上

安裝所需的外掛程式模組。

下載和安裝一或多個外掛程式模組：

1 啟動 iManager 並登入。

2 在「設定」檢視中，選取「外掛程式安裝」>「可用的 NetIQ 外掛程式模組」。


「內容」框架會列出所有可用的 iManager 外掛程式。iManager 每週會針對更新的外掛程式自動

檢查 Novell 下載網站一次。您可以隨時按一下「重新整理」連結來更新清單。

3 (選擇性) 如果您已下載外掛程式，或本地已有一個要安裝的外掛程式，則按一下「新增」，然

後瀏覽適當的外掛程式 NPM 檔案。

4 按一下「OK」（確定）。

您將返回至「可用的 NetIQ 外掛程式模組」頁面。

5 選取所需的外掛程式，然後按一下「安裝」。

檔案位置會顯示外掛程式是來自「本地目錄」或「Novell 下載網站」。如果您選取至少一個外

掛程式，而其安裝的「檔案位置」是「NetIQ 下載」，則會顯示「NetIQ iManager 外掛程式模組

授權合約」頁面。選取「我同意」，然後按一下「確定」以繼續安裝。

附註：從 Novell 下載網站安裝外掛程式可能需要花費幾分鐘的時間，具體視連線速度和要安裝

的外掛程式數量而定。狀態列會指示下載時間。

6 安裝完成後，請重新啟動 Tomcat。

有時，Tomcat 需要幾分鐘的時間進行完全啟始化。請等待至少 5 分鐘，然後再嘗試登入 iManager。


7 驗證「職能與任務」頁顯示的新職能。

若要將成員新增至新「職能」，請使用「修改成員關聯」任務。

如果已設定 RBS

重要：為了重新安裝現有的外掛程式，您必須先使用「模組組態」>「刪除 RBS 模組」任務，從 eDirectory 刪除該外掛程式的 rbsModule 物件。


2.x 集合索引標籤上的表格顯示所有過時的模組。

2 若要對它們進行更新，請從「過期」欄中選取您要更新之集合的號碼。

已過時模組的清單即會顯示。

3 選取您要更新的模組，然後按一下表格頂部的「更新」。

解除安裝外掛程式模組

1 在「設定」檢視窗中，選取「外掛程式安裝」 > 「已安裝的 NetIQ 外掛程式模組」。

2 選取外掛程式，然後按一下「解除安裝」。

3 重新啟動 Tomcat。


有關手動移除外掛程式模組的步驟，請參閱 TID #7006125 (http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657)。


http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7006125&sliceId=1&docTypeID=DT_TID_1_1&dialogID=790607&stateId=0%200%20792657

自訂外掛程式下載位置

如果代理伺服器或防火牆阻止 iManager 連接 NetIQ 下載網站，可以建立外掛程式下載儲存機制。這可

以讓您在本地 Web 伺服器或通用檔案系統位置代管外掛程式模組。

執行此操作的最佳方法是使用下載網站 (http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml)的 XML 描述元檔案作為範本。如需 iManager 描述元檔案的詳細資訊，請參閱

「《NetIQ iManager 安裝指南》」中的「瞭解 iManager 外掛程式的安裝」。

若要設定本地外掛程式儲存機制，請在本地儲存描述元檔案，然後開啟檔案並複製您要使其可從本地使用之每個外掛程式模組的 URL，然後將其貼到網頁瀏覽器地址列以下載該檔案。下載所有需要的外

掛程式模組後，編輯描述元檔案的本地副本以反映每個已下載外掛程式模組的新 URL。

外掛程式模組 URL 可以是 HTTP 連結或檔案系統位置。例如：

Windows 檔案系統

<url><![CDATA[file:///c:\iManager_plugins\NMAS.npm]]></url>

Linux 檔案系統

<url><![CDATA[file:///home/admin/iManager_plugins/NMAS.npm]]></url>

HTTP 連結

<url><![CDATA[http://192.168.0.136/iManager_plugins/NMAS.npm]]></url>

指定本地描述元檔案

您可以在 iManager 安裝期間，或在 iManager 安裝後，指定自訂描述元檔案。

安裝過程中，iManager 外掛程式下載 URL 可以重新導向至自訂描述元檔案。若要執行此操作，只需將

選取要下載和安裝的外掛程式頁上的 URL 變更為自訂描述元檔案的位置，然後按一下「移至」。

附註：如果外掛程式下載區域顯示訊息「找不到外掛程式或伺服器不可用」，則可能是 Novell 下載網站

上沒有可用的已更新外掛程式，或安裝程式連結到 download. novell.com 失敗。請驗證您的網際網路

連接。

安裝 iManager 之後，可以透過修改 <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml 來變更外掛程式模

組的下載 URL。例如：

Windows 檔案系統

<setting>

<name><![CDATA[ModuleDownloadDescriptorURL]]></name>

<value><![CDATA[file:///c:\iManager_plugins\custom.xml]]></value>

</setting>


http://www.novell.com/products/consoles/imanager/iman_mod_desc.xml

Linux 檔案系統

<setting>


<value><![CDATA[file:///home/admin/iManager_plugins/custom.xml]]></value>

</setting>

HTTP 連結

<setting>


<value><![CDATA[http://192.168.0.136/iManager_plugins/custom.xml]]></value>

</setting>

重要：如果您使用 iManager Workstation 透過 SSL 連接 (HTTPS) 來存取自訂的外掛程式 URL，請務必

輸入目標 Web 伺服器的證書，否則您將無法設定安全的連線。

電子郵件通知此職能可讓您選取外掛程式特定的任務，以便它們一旦發生使用者便能收到通知。這些任務由外掛程式本身設定。您則決定是否進行通知並指定向誰通知所選的事件。您的首要任務是設定郵件伺服器。

提示：根據您的不同選擇，可能會收到許多電子郵件！

郵件伺服器組態

郵件伺服器組態指定用於事件通知的 SMTP 伺服器設定。

1 在「設定」檢視中，選取「電子郵件通知」 > 「郵件伺服器組態」。

2 指定郵件伺服器設定，然後按一下「確定」。

寄件者地址：指定顯示在 iManager 電子郵件訊息之「寄件者」欄位中的地址。

主要郵件伺服器：指定郵件伺服器的 IP 位址或伺服器名稱 (例如：smtp.novell.com)。您也必

須提供 iManager 所使用的使用者名稱和密碼，才能存取 SMTP 伺服器。

次要郵件伺服器: 指定選用的備份郵件伺服器。提供主要郵件伺服器的相同資訊。

任務事件通知

在各自 .xml 檔案中列出任務的外掛程式會自動在此頁面上註冊任務事件。

1 在「設定」檢視窗中，選取「電子郵件通知」>「任務事件通知」。

2 在「電子郵件地址」欄位中，指定您要接收此通知的電子郵件地址 (以逗號分隔)。

3 選取事件。

「任務事件內容」螢幕即會顯示。


4 在適當欄位中指定電子郵件主旨和電子郵件。

5 在「其他電子郵件地址」欄位中，鍵入要通知的其他電子郵件地址 (以逗號分隔)。

6 如果您希望訊息忽略步驟 2 的電子郵件清單並僅通知此頁面指定的電子郵件地址，請選取「覆寫

預設值和僅通知這些地址」。

檢視窗如果在 iManager 介面中看不到此職能，則您可能不是授權使用者。請參閱「授權使用者與群組」(第 64 頁)。

iManager 檢視窗是從 iManager 的「標題」框架按鈕中存取的管理頁面。您可能希望阻止使用者存取

特定檢視窗，例如「檢視物件」或「設定」。

根據預設，所有檢視窗均承襲父集合的設定。

顯示和隱藏 iManager 檢視窗

1 在「設定」檢視窗中，選取「檢視」>「iManager 檢視窗」。

2 指定或使用「物件選擇器」來尋找您要限制存取「檢視」的容器，然後按一下「確定」。

3 指定適當的檢視設定，然後按一下「確定」。

您有三種檢視設定可供選擇：

請勿設定：請勿明確設定檢視狀態。此為預設值。

隱藏：隱藏檢視窗。

顯示：顯示檢視窗。

選取「讀取此物件的父容器」核取方塊，以在此物件上使用物件之父容器的設定。選取時，父系設定會優先於物件的本地設定。

在 Identity Manager 已安裝伺服器的 iManager 中啟用及停用

Identity Manager 檢視作為預設檢視

若要啟用 iManager 檢視：

1 停止 Tomcat。

2 開啟 /var/opt/novell/iManager/nps/WEB-INF/config.xml 檔案。

3 在 xml 檔案中新增下列組態詳細資料：

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[true]]></value>

</setting>

4 啟動 Tomcat。

附註：依預設，「IS_IDM_VIEW_AS_DEFAULT」已設定為「true」。


若要停用 iManager 檢視：

1 停止 Tomcat。

2 開啟 /var/opt/novell/iManager/nps/WEB-INF/config.xml 檔案。

3 在 xml 檔案中新增下列組態詳細資料：

<setting>

<name><![CDATA[IS_IDM_VIEW_AS_DEFAULT]]></name>

<value><![CDATA[false]]></value>

</setting>

4 啟動 Tomcat。


7 7優先設定

「優先設定」檢視窗可讓您設定與應外程式外觀與操作有關之 iManager 設定。提供存取下列任務的權

限：

「管理最愛」(第 77 頁)

「物件選擇器」(第 77 頁)

「物件檢視」(第 77 頁)

「設定啟始檢視」(第 78 頁)

「語言」(第 78 頁)

管理最愛設定「最愛」檢視窗，會將一組自訂常用的任務一起顯示在特殊檢視窗中。

1 從「優先設定」檢視窗中，選取「管理最愛」。

2 從「任務」欄位選取需要的任務並將之移到「最愛」欄位。

連按兩下任務來加以移動，或先選取任務，再使用箭號圖示來移動他們。

選取「將最愛設為啟始檢視窗」，以便將「最愛」檢視器作為 iManager「首頁」。


物件選擇器設定物件選擇器設定：

視窗大小：以像素為單位，指定「物件選擇器」視窗寬度、高度和左側欄位寬度。

使用者特定預設值：指定「物件選擇器」預設值，包含

啟動模式：指定一開始是否要顯示「瀏覽」索引標籤或「搜尋」索引標籤。

每頁結果：指定每頁顯示的成員或結果。

開始網路位置：指定「物件選擇器」開啟的預設容器。

啟動時搜尋：指定在「搜尋」索引標籤中開啟「物件選擇器」時的啟始搜尋動作。

顯示附屬計數：啟用/停用在「物件選擇器」中顯示之每個容器物件旁邊顯示的物件總數。選取

時，iManager 會在容器名稱旁邊顯示附屬物件計數 (以括號括住)。

附註：計算附屬物件計數時，附屬計數不會將指定的權限列入考量，因此您看到的物件數量會與指定計數有所不同。

物件檢視設定物件檢視設定：

優先設定 77

欄寬：以像素指定「物件檢視」的欄寬。

啟動模式：指定是否要在一開始就顯示「瀏覽」、「搜尋」或「網路樹」索引標籤。

選擇模式：指定「物件檢視」啟始物件選取模式：單一物件或多重物件。

導覽窗格 (左側)：指定在「導覽」框架中顯示的結果數。此設定可套用至「物件檢視」中所有的所

有索引標籤。有效設定值包含 1 - 500。

三個內容窗格 (右側)：指定「內容」框架中每頁顯示的結果數。此設定僅可套用至「物件檢視」中

的「網路樹」索引標籤。有效設定值包含 1 - 500。

開始網路位置：指定「物件檢視」開啟的預設目錄容器。您可以指定在最後一個使用的容器中開啟，或永遠在相同的容器中開啟。

啟動時搜尋：在「搜尋」索引標籤中開啟「物件檢視」時，指定啟始搜尋動作。

顯示附屬計數：啟用/停用在「物件選擇器」中顯示之每個容器物件旁邊顯示物件總數。選取時，

iManager 會在容器名稱旁邊顯示附屬物件計數 (以括號括住)。

此選項會套用至「網路樹」中的「導覽」框架，以及「物件檢視」中的「瀏覽和搜尋」索引標籤的結果視窗。

附註：計算附屬物件計數時，附屬計數不會將指定的權限列入考量，因此您看到的物件數量會與指定計數有所有不同。

設定啟始檢視指定當您首次登入 iManager 時要顯示的檢視窗。若未選取任何項目，角色與任務檢視的預設是起始檢

視。您的選項會決定在登入 iManager 後的起始檢視。

語言指定您要在 iManager 中顯示的語言。您必須選取此核取方塊，以記住 iManager 會期之間的語言設

定。若要將語言設定設為永久設定，請在 Web 瀏覽器中設定偏好的預設語言。

附註：如果網頁瀏覽器的「語言」設定中列出的第一種語言 (最上方位置) 未設定為 iManager 支援

的語言，外掛程式可能無法正常工作。

為避免發生問題，請在網頁瀏覽器中，按一下「工具」>「選項」>「語言」或類似序列，然後將清單

中的第一種語言優先設定設定為支援的語言。

78 優先設定

8 8疑難排解

本節提供一些 NetIQ 在測試 iManager 過程中所得之疑難排解的提示。這些秘訣在以下主題中按字母順

序排列：

「驗證問題」(第 80 頁)

「存取 NCP 伺服器物件」(第 84 頁)

「刪除後再使用相同的名稱重新建立使用者帳戶 (Windows XP/2000)」(第 84 頁)

「在名稱欄位中使用無效字元建立內容登記時，出現 DNS 630 錯誤訊息」(第 84 頁)

「eDirectory 維護任務錯誤」(第 84 頁)

「啟用安裝和設定的除錯訊息」(第 85 頁)

「歷程不會在多個同時使用者登入之間自動進行同步化」(第 85 頁)

「安裝 Groupwise 7.0 WebAccess 後，iManager 無法運作 (Windows Server 2000/2003)」(第 85 頁)

「缺少屬性、物件或值錯誤」(第 85 頁)

「「設定」檢視窗中缺少職能或任務」(第 85 頁)

「在同一台電腦上執行 eDirectory 和 iManager (僅限 Windows)」(第 86 頁)

「多個外掛程式安裝期間，顯示「無法使用服務」的訊息」(第 87 頁)

「Tomcat」(第 87 頁)

「「無法決定通用密碼狀態」錯誤」(第 88 頁)

「iManager 工作站不會顯示資訊」(第 88 頁)

「重新整理按鈕有時無法運作」(第 89 頁)

「〈iManager 外掛程式安裝停止或未正確安裝外掛程式〉」(第 89 頁)

「網路樹 IP 位址變更發生登入問題」(第 90 頁)

「Java 堆積大小不足造成登入失敗」(第 91 頁)

「關閉 iManager 工作站的瀏覽器之後顯示 Java 錯誤訊息」(第 91 頁)

「iManager 與 LDAP 使用不同的日期範圍」(第 92 頁)

「修改動態群組時建立安全 SSL LDAP 網路位置失敗」(第 92 頁)

「如果 LDAP 伺服器使用由協力廠商 CA 核發的證書，則 eDirectory 的 iManager 外掛程式會失

敗」(第 92 頁)

疑難排解 79

驗證問題驗證是很複雜的主題，您目前的網路基礎架構可能會影響是否能成功執行 iManager 啟始登入。下列事

實可協助您將與驗證相關的困難降到最低。如需驗證相關主題的詳細資訊，請參閱 NetIQ 模組驗證服

務 (NMAS) 文件 (https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html)與 NetIQ eDirectory 文件 (https://www.netiq.com/documentation/edir88/)。

iManager 驗證是依存於平台的作業，這代表其功能會根據執行 iManager 的平台而有所不同。

Linux 伺服器和 Windows 伺服器：如果 iManager 是在 Linux 或 Windows 伺服器上執行，則會

使用 eDirectory 傳統的驗證機制和一般的 eDirectory 密碼。此機制支援 eDirectory 的「通用

密碼」選項，但不支援「簡易密碼」選項。

iManager Workstation： iManager Workstation 在用戶端工作站 (Linux 或 Windows) 上執行，

且若經過設定，可運用允許其使用「通用密碼」的 NMAS 用戶端。

iManager 不會將 LDAP 用於啟始 iManager 驗證程序。而是使用 eDirectory 專屬的驗證通訊協

定。但是，在啟始驗證之後，iManager 便可以視需要建立連至 eDirectory 的 LDAP 連線，以支援

需要 LDAP 存取之安裝外掛程式的目錄存取。

iManager 不支援使用 eDirectory 的「簡易密碼」進行驗證。

驗證 iManager 時，您可能會碰到以下錯誤訊息。每則錯誤訊息區段都會說明可能的原因。

「HTTP 404 錯誤」(第 80 頁)

「HTTP 500 錯誤」(第 81 頁)

「601 錯誤訊息」(第 81 頁)

「622 錯誤訊息」(第 81 頁)

「632 錯誤訊息」(第 81 頁)

「634 錯誤訊息」(第 82 頁)

「669 錯誤訊息」(第 82 頁)

「網路樹名稱欄位」(第 82 頁)

「登入不含複製本的伺服器」(第 82 頁)

「驗證失敗」(第 83 頁)

「密碼過期資訊」(第 83 頁)

「使用其他物件類別和/或其他屬性進行無網路位置登入」(第 83 頁)

HTTP 404 錯誤

如果首次嘗試存取 iManager 時接收到 404 錯誤，則需要驗證 Apache 執行的埠。根據您安裝 iManager 的方法以及是否選擇使用 Apache 或 IIS，組態檔案的位置可能有所不同。Apache 使用 httpd.conf 檔案

或 ssl.conf 檔案。請參閱 Microsoft 的文件以取得 IIS 連接埠設定的相關資訊。

80 疑難排解

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/nmas88/data/bookinfo.html

https://www.netiq.com/documentation/edir88/

HTTP 500 錯誤

如果接收到內部伺服器錯誤或伺服器常式容器錯誤 (不可用或正在升級)，則 iManager 的 Tomcat 存在以下其中一個問題：

重新開機後，Tomcat 沒有完全啟始化。

Tomcat 啟動失敗。

等待幾分鐘，然後嘗試再次存取 iManager。如果您仍然收到相同錯誤，請確認 Tomcat 的狀態。

檢查 Tomcat 的狀態



2 檢查 Tomcat 記錄中是否存在錯誤。

記錄檔案位於 UNIX、Linux 和 Windows 平台的 $tomcat_home$/logs 目錄中。在 UNIX 和 Linux 上，

記錄檔案命名為 catalina.out 或 localhost_log。date.txt。在 Windows 上，記錄檔案命名為 stderr 與 stdout。

601 錯誤訊息

指定的網路位置中找不到輸入的物件名稱。

可能的原因包括：

無網路位置登入可能已經停用。

「使用者」物件可能不在設定的搜尋容器清單中。讓管理員將使用者位置新增至無網路位置登入

搜尋容器中，或以完整網路位置進行登入。

622 錯誤訊息

「通用密碼」原則中已停用 NDS 密碼。這可能也是因為 222 錯誤訊息所引起。

安裝用戶端，即可避免 iManager Workstation 發生這個錯誤，因為這可讓 iManager 使用「通用密

碼」驗證機制，而不是使用 eDirectory 的傳統驗證程序。

632 錯誤訊息

此錯誤是一種系統故障，可能的原因 (http://www.novell.com/documentation/nwec/)有很多種。

疑難排解 81

http://www.novell.com/documentation/nwec/

634 錯誤訊息

目標伺服器沒有來源伺服器所申請之內容的副本，或來源伺服器沒有符合申請的物件，也沒有搜尋物件的轉介。


輸入的「網路樹」或「IP 位址」不正確。如果使用 IP 位址，並且 eDirectory 安裝在非標準埠 (524) 上，請確保包括該連接埠。

逾時前，iManager 找不到「網路樹」或「IP 位址」。如果網路樹名稱無效，請使用 IP 位址。

669 錯誤訊息

使用了無效密碼；驗證失敗；一個伺服器嘗試與另一個伺服器進行同步，但目標伺服器的資料庫被鎖住；或者遠端 ID 或公用金鑰存在問題。


鍵入的密碼不正確

網路樹中有多位使用相同使用者名稱的使用者。無網路位置登入會嘗試使用找到的第一個使用者

帳戶及所提供的密碼進行登入。在此情況下，使用者應該在登入時提供完整的網路位置，或限制無網路位置登入搜尋的搜尋容器。

網路樹名稱欄位

如果在預設連接埠 524 之外的其他連接埠上安裝並執行 eDirectory，同時還指定了連接埠，您可以使

用 eDirectory 伺服器的 IP 位址或 DNS 名稱進行登入。例如：

對於 IPv4 位址：

https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true


https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

如果您使用網路樹名稱進行登入，則無需指定連接埠。

「網路樹名稱」欄位的可能值為網路樹名稱、伺服器 IP 位址和伺服器 DNS 名稱。為了獲得最佳結果，

請使用 IP 位址。

登入不含複製本的伺服器

若有必要，iManager 可以使用未裝載 eDirectory 複製本的伺服器來登入 eDirectory 網路樹。為了此

目的，iManager 會保留內含成功登入所需資訊的連接快取。若要填入連接快取，首次以 iManager 登入 eDirectory 網路樹時，您必須登入代管複製本的伺服器。

重新啟動 Tomcat 或 iManager 伺服器將清除連接快取，所以在下列其中一種事件中首次登入 iManager 時，您必須登入一個代管複製本的伺服器。

82 疑難排解

之屬

驗證失敗

登入失敗有多種原因。驗證錯誤訊息的解決方法請參閱「驗證問題」(第 80 頁)。

關於限制 iManager 在嘗試驗證失敗時所顯示之錯誤訊息的方法，請參閱「避免使用者名稱探查」(第 109 頁)。

密碼過期資訊

如果密碼過期，系統便會顯示訊息來提示使用者。但是，使用者可能沒有意識到，執行某些操作 (例如，修改動態群組、簡單尋找以及設定簡單密碼)，會很快消耗掉寬限登入。

每次使用者執行任務時，這些操作都會消耗掉額外的寬限登入。因此，我們強烈建議您鼓勵使用者在第一次收到提示時便更改密碼。

使用其他物件類別和/或其他屬性進行無網路位置登入

若要開啟使用其他物件類型的無網路位置驗證，請進行下列操作：

1 開啟 iManager 並瀏覽至「設定」>「iManager 伺服器」>「設定 iManager」>「驗證」。

如果沒有看到此任務，則表示您不是授權使用者。請參閱「授權使用者與群組」(第 64 頁)。

2 為有權讀取所需屬性的使用者設定「公用使用者名稱」和「密碼」。

3 修改 <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml，以包含列出您要新增至無網路位置搜尋

性的 <Setting> 內容，然後重新啟動 Tomcat。


例如，以下 XML 會將「別名」和「使用者」物件新增至無網路位置搜尋：

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name> <value><![CDATA[User]]></value> <value><![CDATA[Alias]]></value></setting>

同樣地，下列 XML 允許使用者使用 CN 或 uniqueID 屬性進行登入：

<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name> <value><![CDATA[CN]]></value> <value><![CDATA[uniqueID]]></value></setting>

重要：

在上述範例碼中，請以適當的目錄樹名稱 (小寫) 取代 treename。

如果您在編輯 config.xml 檔案之後，從「設定 iManager」任務儲存任何的 iManager 伺服器設定，

則需驗證網路樹名稱仍為小寫，否則自訂的無網路位置登入將會失敗。

疑難排解 83

存取 NCP 伺服器物件

若要改善 NCP 伺服器物件的效能，必須停用「修改索引位置」選項。

若要停用「修改索引位置」選項：

1 從 <TOMCAT_HOME>/webapps/nps/WEB-INF/config.xml 開啟 config.xml 檔案。

2 將以下內容新增至 config.xml 檔案。

<setting> <name><![CDATA[IndexManagerPlugin_ModifyObjectTask_Disabled]]></name> <value><![CDATA[true]]></value></setting>

3 儲存變更並重新啟動 Tomcat。


附註：若要修改 NCP 伺服器物件的索引，請前往「職能與任務」 > 「eDirectory 維護」 > 「索引」 > 「NCP 伺服器物件」 > 「索引」 > 「修改索引位置」。

刪除後再使用相同的名稱重新建立使用者帳戶 (Windows XP/2000)

如果已經刪除一或多個 Windows 使用者帳戶，然後以相同名稱重新建立，請執行以下操作以便藉由重

新建立的帳戶來使用 iManager Workstation：

1 以「管理員」群組成員的身分進行登入。

2 獲得 \system32\novell\nici\ username 目錄的擁有權。Windows 2000 和 Windows XP 的絕對路徑有

所不同。

3 刪除資料夾。

在使用者下次登入時，系統會使用重新建立之使用者帳戶的 International Cryptographic Infrastructure (NICI) 金鑰自動重新建立此資料夾，然後使用者才能執行 iManager 工作站。

在名稱欄位中使用無效字元建立內容登記時，出現 DNS 630 錯誤訊息

如果建立「內容登記」並使用無效的特殊字元進行命名，可能會傳回 DNS 錯誤 603 錯誤訊息。如需命

名「內容登記」的詳細資訊，請參閱「建立新內容登記」(第 54 頁)。

eDirectory 維護任務錯誤

執行「eDirectory 維護任務」要求使用 iManager 為受管理的網路樹設定「職能服務」(RBS)。如需 RBS 組態的資訊，請參閱第 4 章「瀏覽物件」(第 21 頁)。

如需其他資訊，請參閱《NetIQ eDirectory 9.0 管理指南》中的「eDirectory 管理工具箱」 (https://www.netiq.com/documentation/edirectory-9/edir_admin/data/bookinfo.html)。

84 疑難排解



啟用安裝和設定的除錯訊息如果安裝失敗，您必須啟用一些除錯訊息以幫助確定出錯的內容。

Linux：在啟動 iManager InstallAnywhere 程式的終端機會期中輸出 LAX_DEBUG=true。

Windows︰啟動 iManager InstallAnywhere 程式時，按住 Ctrl 鍵直到顯示除錯螢幕。

歷程不會在多個同時使用者登入之間自動進行同步化可以使用兩個相同瀏覽器的例項 (例如，開啟兩個 Firefox 瀏覽器，而不是 Internet Explorer) 來避

免此問題。兩個例項會公用此歷程簿。

安裝 Groupwise 7.0 WebAccess 後，iManager 無法運作 (Windows Server 2000/2003)

在安裝 IIS 5 或 IIS 6 的 Windows 2000 和 2003 Server 上，將 Groupwise 7.0 WebAccess 安裝至 IIS 會自動安裝 Tomcat 5.5。

開始安裝 iManager 時，iManager 安裝程式會偵測 IIS 和 Tomcat 是否可用。該安裝程式報告無法停止 iisadmin 服務。在安裝快結束時，安裝程式報告無法啟動 Tomcat。

安裝完成後，Groupwise WebAccess 仍可以運作，但 iManager 無法運作 (HTTP 404︰找不到頁面)。

因應措施：請勿在相同的伺服器上安裝 iManager 和 Groupwise。

缺少屬性、物件或值錯誤如果要以同步延遲執行大量安裝，可以強制 iManager 與主複製本進行通訊。確保您有權存取所有最近

新增或修改的屬性、物件或值。不建議在 iManager 的一般使用中執行此操作，但這在遇到同步延遲時

可能非常有用。

若要在登入 iManager 時使用此參數，請於載入登入頁面後，將 &forceMaster=true 新增至 URL 的結尾。

此設定也可以在 TOMCAT_HOME\webapps\nps\WEB-INF\config.xml 中啟用。例如：


https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true


https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true

在對 config.xml 檔案進行任何變更後，您必須重新啟動 Tomcat。如需重新啟動 Tomcat 的相關資訊，

請參閱「啟動和停止 Tomcat」(第 87 頁)。

「設定」檢視窗中缺少職能或任務如果「設定」檢視窗中沒有顯示「職能」或「任務」，則需要驗證您是否為授權使用者。如需詳細資訊，請參閱「授權使用者與群組」(第 64 頁)。

疑難排解 85

可能缺少職能或任務

設定 iManager 任務

物件建立清單職能

外掛程式安裝職能

電子郵件通知職能

檢視職能

您不是授權使用者的可能原因

您重新命名了網路樹。

編輯 configiman.properties 檔案，並變更每個使用者的網路樹名稱。

在 iManager 安裝期間輸入的授權使用者資訊不正確。

編輯 configiman.properties 檔案，並新增包括網路樹名稱的正確使用者名稱。

configiman.properties 檔案因某些不明原因而損毀。

刪除 configiman.properties 檔案，並使用正確的資訊重新建立該檔案或登入到 iManager 並轉至

「設定」>「iManager 伺服器」>「設定 iManager」。在「安全性」頁面中，透過瀏覽網路樹新增

系統的「授權使用者」，如果您確定所知道的使用者完整路徑正確，還可以手動輸入。

為阻止 iManager 讀取該檔案，configiman.properties 檔案的許可已進行了變更。

變更該檔案的許可使其與相同目錄中的檔案相符。

管理員沒有將您新增為授權使用者。

申請新增至「授權使用者」清單。如需詳細資訊，請參閱「授權使用者與群組」(第 64 頁)。

在同一台電腦上執行 eDirectory 和 iManager (僅限 Windows)

在安裝 eDirectory 之前安裝了 iManager，使用 iManager、LDAP(S) 或 HTTP(S) 存取 eDirectory 時可

能會發生以下錯誤。

使用 iManager 存取加密屬性時發生 -340 錯誤

LDAP : SSL_CTX_use_KMO 失敗。錯誤堆疊：錯誤：1412D0D4：SSL 例行工作：SSL_CTX_use_KMO：讀取錯誤的封包

類型 (err = -1418)

HTTP： 0016 TLS 操作失敗，err：1，結果：-1 -- HTTP：-- 錯誤：1408A0C1：SSL 例行工作：

SSL3_GET_CLIENT_HELLO：無共享加密

HTTP：0017 TLS 操作失敗，err：1，結果：-1 -- HTTP：-- 錯誤：1406B0BD：SSL例行工作：

GET_CLIENT_MASTER_KEY：無私密金鑰

HTTP：無法存取伺服器證書和金鑰，信號交換將失敗 -- HTTP：-- 錯誤：1412D0D4：SSL 例行工作：

SSL_CTX_use_KMO：讀取錯誤的封包類型

名稱檢查：設定 NCP 金鑰材料名稱 SSL CertificateDNS 至伺服器時發生錯誤，Err：已失敗，-340 (0xfffffeac)... 名稱檢查：在 syncKeyMaterialInfo 期間發生錯誤 -340 (0xfffffeac)

86 疑難排解

可能是因為沒有設定 eDirectory 的啟始系統組態。安裝 eDirectory 的使用者和執行 eDirectory 伺服

器的使用者設定的 eDirectory 組態必須一致。通常，eDirectory 要以管理員身分安裝，並作為 SYSTEM 執行。您可以手動校正此問題，但必須要對 eDirectory、iManager、NICI 和目前安裝的其他

產品有一定的了解。必須確定執行以下步驟是否安全，並檢查產品的文件和相依性，以查看是否使用了長期加密的資料或機密。

如果 eDirectory 和 iManager 安裝在同一台電腦上，您可以在安裝 eDirectory 後，手動設定 eDirectory。

附註：如果之前已經安裝 eDirectory 並在目前機器上成功執行，則無需進行此操作。

1 以管理員身份登入。

2 停止 eDirectory 伺服器與 Tomcat 服務。

同時停止可能正在使用 NICI 的所有其他服務。

3 取得 %systemroot%\system32\novell\NICI\SYSTEM 目錄的擁有權。

從檔案內容的「安全性」>「進階選項」執行此操作。

4 將 SYSTEM 目錄的內容儲存在備份目錄中。

5 刪除 SYSTEM 目錄的內容。

6 將 %systemroot%\system32\novell\NICI\Administrator 的內容複製到 %systemroot%\system32\novell\NICI\SYSTEM。

7 您可以重設 %systemroot%\system32\novell\NICI\SYSTEM 及其內容的許可，僅讓 SYSTEM 具有存取權

限。

8 重新啟動 NDS 伺服器和 Tomcat 服務，以及已經停止的任何其他服務。

多個外掛程式安裝期間，顯示「無法使用服務」的訊息當您同時選取多個外掛程式進行安裝時，會發生這種情況。外掛程式安裝會持續數分鐘，同時瀏覽器頁發生逾時並傳回「503 錯誤」。

儘管可能除了等待不需要做任何操作，但您仍可以透過 Tomcat 記錄檔案監視外掛程式安裝。

Tomcat 下列的一般性 Tomcat 資訊在您需要進行疑難排解時會非常有用。

啟動和停止 Tomcat

下列表格說明如何在 iManager 支援的平台上啟動和停止 Tomcat。

疑難排解 87

表格 8-1 停止和啟動 Tomcat

Tomcat 連接埠

如果在升級到 iManager 時遇到連接埠衝突，或需要了解 Tomcat 所使用的連接埠，請參閱本章節中的

平台特定資訊。

Linux

在 /var/opt/novell/tomcat8/conf/server.xml 檔案中檢視 Tomcat 連接埠。

檔案的非 SSL 連接埠區段首先會定義連接埠 n 上的非 SSL Coyote HTTP/1.1 連接器；SSL 連接埠區段首先

會定義連接埠 n 上的 SSL Coyote HTTP/1.1 連接器。

Windows

Windows 允許重新定位所有檔案。若您接受 iManager 安裝的預設值，請找出 rootdir\novell\tomcat8\conf\server.xml 檔案中的 Tomcat 組態檔案。

若您找不到組態檔案，可搜尋 Tomcat 設定的 Windows 登錄。

「無法決定通用密碼狀態」錯誤如果 UNIX eDirectory 伺服器已設定為使用 SSL 進行 LDAP 通訊，當您在 iManager 中選取該選項以設

定「簡易密碼」時，可能會收到以下錯誤：

無法決定通用密碼狀態

若要解決此錯誤，請在 eDirectory 伺服器上執行 /usr/bin/nmasinst/nmasinst 公用程式。此公用程式

可讓您從 UNIX 機器將登入方法安裝至 eDirectory 並要求執行「通用密碼」功能。

如需詳細資訊，請參閱《eDirectory 9.0 管理指南》中的「NMAS」章節。

iManager 工作站不會顯示資訊

iManager 工作站可能不會顯示錯誤訊息及載入頁面，例如「網路樹檢視」、「物件瀏覽」、「建立物

件」以及按一下「重新整理」按鈕之後的頁面。當 XULRunner 瀏覽器快取包含舊版 iManager 工作站

的舊資料時，即會發生此狀況。

解決方法：您必須從瀏覽器快取手動清除資料。

平台重新啟動指令

Linux 輸入 etc/init.d/novell-tomcat8 stop，然後輸入 /etc/init.d/novell-tomcat8 start。

iManager Workstation

關機並重新啟動 iManager Workstation。

Windows 停止並再次啟動 Tomcat 服務。

88 疑難排解

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4qnr9.html


若為 Windows：

1 結束 iManager。

2 瀏覽 C:\Users\<使用者名稱>\AppData\<設定檔>\Mozilla\eclipse\Cache (此路徑會根據組態和作業

系統而有所不同)。

3 將所有資料從快取目錄中刪除。

4 重新啟動 iManager。

若為 Linux：

1 結束 iManager。

2 瀏覽下列其中一項：

/root/.mozilla/eclipse/Cache (針對根使用者)

/$HOME/.mozilla/eclipse/Cache (針對非根使用者)

3 將所有資料從快取目錄中刪除。

4 重新啟動 iManager。

重新整理按鈕有時無法運作當您按一下各種頁面中的「重新整理」按鈕時，有時候無法運作。

解決方法：

1 登出 iManager。

2 清除瀏覽器的快取。

對於 Internet Explorer，

1. 按一下「工具」>「網際網路選項」。「網際網路選項」對話方塊隨即顯示。

2. 在「一般」索引標籤的「瀏覽歷程」下方，按一下「刪除」。

對於 Firefox，

1. 按Alt + F >「選取」「歷程」，並按一下「清除近期歷程」。

2. 選取「快取」，並按一下「立即清除」。

3 登入 iManager。

〈iManager 外掛程式安裝停止或未正確安裝外掛程式〉

安裝 iManager 外掛程式時，偶爾會發生安裝過程停止或未正確安裝外掛程式等狀況。

解決方法：

疑難排解 89

> 映射

對於 iManager Standalone：

1 登出 iManager。

2 清除瀏覽器的快取。

對於 Internet Explorer，執行下列動作：

1. 按一下「工具」>「網際網路選項」。「網際網路選項」對話方塊隨即顯示。

2. 在「一般」索引標籤的「瀏覽歷程」下方，按一下「刪除」。

對於 Firefox，執行下列動作：

1. 按Alt + F > > 「選取歷程」。

2. 按一下「清除歷程」。

3. 選取「快取」，並按一下「立即清除」。


4 重新安裝外掛程式。

對於 iManager 工作站：

若為 Windows：

1. 結束 iManager。

2. 瀏覽 C:\Users\<使用者名稱>\AppData\<設定檔>\Mozilla\eclipse\Cache (此路徑會根據組態和

作業系統而有所不同)。

3. 將所有資料從快取目錄中刪除。

4. 重新啟動 iManager。

若為 Linux：

1. 結束 iManager。

2. 瀏覽下列其中一項：

/root/.mozilla/eclipse/Cache (針對根使用者)

/$HOME/.mozilla/eclipse/Cache (針對非根使用者)

3. 將所有資料從快取目錄中刪除。

4. 重新啟動 iManager。

網路樹 IP 位址變更發生登入問題

請考慮以下情境：

1 您的 IP 位址是<xxx.xx.xx.xx>，您已設定 eDirectory，而且您的網路樹名稱為<XXX_TREE>。

2 您已登入映射<XXX_TREE>至<xxx.xx.xx.xx>的快取。

3 由於網路移動，您已取得新的 IP 位址<yyy.yy.yy.yy>、在其上設定的 eDirectory，以及網路樹名

稱保留相同的 (<XXX_TREE>)。

4 其他使用者已採用先前的 IP 位址<xxx.xx.xx.xx>，並設定新的 eDirectory 網路樹<YYY_TREE>。

現在，如果您使用 <XXX_TREE>網路樹名稱登入 iManager，會登入至 <YYY_TREE>，因為 <XXX_TREE

至 <xxx.xx.xx.xx>，但 <xxx.xx.xx.xx> 目前是透過 <YYY_TREE> 設定。

90 疑難排解

解決方法：

針對 Windows,

1. 前往 ...\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\。

2. 開啟 config.xml 檔案。

3. 在此檔案中，搜尋 Cached-Tree 設定並將您的 Tree Name 值從設定中刪除。

4. 刪除以您的網路樹名稱啟動的設定。

若是 Linux,

1. 前往 /var/opt/novell/iManager/nps/WEB-INF。

2. 開啟 config.xml 檔案。

3. 在此檔案中，搜尋 Cached-Tree 設定並將您的 Tree Name 值從設定中刪除。

4. 刪除以您的網路樹名稱開頭的設定。

Java 堆積大小不足造成登入失敗

若要在執行 Tomcat 的 Linux 伺服器上增加堆積大小，請停止 Tomcat 並開啟終端機視窗。在終端機

中，執行下列指令，然後重新啟動 Tomcat：

export CATALINA_OPTS="-Xms128m -Xmx1024m"

若要在執行 Tomcat 的 Windows 伺服器上增加堆積大小，請建立名稱為 JAVA_OPTS 的新環境變數，並將

變數值設定為 -Xms128m -Xmx1024m，然後重新啟動 Tomcat 服務。

如需停止與啟動 Tomcat 的資訊，請參閱「啟動和停止 Tomcat」(第 87 頁)。

關閉 iManager 工作站的瀏覽器之後顯示 Java 錯誤訊息

登出 iManager 之後，當您關閉瀏覽器時，會顯示下列 java 錯誤訊息。

#

# An unexpected error has been detected by Java Runtime Environment:

#

# SIGSEGV (0xb) at pc=0x8e4c6944, pid=4106, tid=3085011872

#

# Java VM: Java HotSpot(TM) Server VM (11.3-b02 mixed mode linux-x86)

# Problematic frame:

# C [libmozjs.so+0x2944] strftime+0x2944

解決方法：忽略錯誤訊息與 hs_err_pid####.log 檔案，因為它們不影響 iManager 工作站。

疑難排解 91

iManager 與 LDAP 使用不同的日期範圍

如果您要使用「時間」語法在 iManager 中建立屬性，請填入屬性值，然後使用 LDAP 搜尋該值，LDAP 會傳回與 iManager 填入值不同的值。

iManager 與 LDAP 皆使用 32 位元不帶正負號之整數的前 31 位元來原生儲存日期值。然而，這兩個應

用程式轉譯整數中的最高有效位元 (MSB) 有所不同，使用 MSB 透過 iManager 可儲存早於 1970 的日

期，使用 MSB 透過 LDAP 可儲存晚於 2038 的日期。因此，iManager 使用的日期範圍是 1903-2038，而 LDAP 使用的日期範圍是 1970-2106。

修改動態群組時建立安全 SSL LDAP 網路位置失敗

如果您使用非預設的 LDAP 連接埠設定 eDirectory，在「動態」索引標籤中修改動態群組時，

iManager 會顯示下列錯誤訊息。

Creating Secure SSL LDAP Context Failed

若要疑難排解此問題，請使用 iManager 的 ldapconfig 公用程式或 LDAP 外掛程式，將 LDAP 伺服器的 IP 位址新增至 ldapInterfaces 屬性中的 LDAP URL。

如果 LDAP 伺服器使用由協力廠商 CA 核發的證書，則 eDirectory 的 iManager 外掛程式會失敗

iManager Java 金鑰儲存區依預設只有網路樹 CA 證書，而且沒有任何協力廠商 CA 證書。因此，例如群

組、NMAS、密碼規則等各種外掛程式無法透過 LDAPS 連接至 eDirectory，並在 eDirectory 使用由協

力廠商 CA 核發的證書時會顯示錯誤訊息。

若要疑難排解此問題，請執行下列步驟：

Linux︰

1. 將外部 CA 證書匯入下列位置中的 JRE 金鑰儲存庫檔案：/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts

如需匯入外部 CA 證書的詳細資訊，請參閱「安全 LDAP 證書」(第 107 頁)。

2. 重新啟動 Tomcat 服務。

Windows：

1. 將外部 CA 證書匯入下列位置中的 JRE 金鑰儲存庫檔案：C:\Program Files\Novell\jre\lib\security\cacerts

如需匯入外部 CA 證書的詳細資訊，請參閱「安全 LDAP 證書」(第 107 頁)。

2. 重新啟動 Tomcat 服務。

92 疑難排解

9 9稽核 iManager 事件

使用 Novell Audit 以供稽核 iManager 事件使用。如需詳細資訊，請參閱《 Novell Audit 2.0 管理指

南 (http://www.novell.com/documentation/novellaudit20/index.html)》。

Audit 具有下列必要條件：

在「Audit」目錄樹中裝有伺服器 (Windows、Linux)。

在 iManager 伺服器或「iManager Workstation」桌上型電腦中安裝了「Novell Audit Platform

Agent」，並設定為指向「安全記錄伺服器」。

Audit 擷取下列事件的相關資料：

表格 9-1 iManager 活動

在 iManager 中啟用 Novell 稽核

若要設定 Novell Audit，請執行下列動作：

1 安裝 iManager 3.1。

2 登入 iManager 並導覽至「設定」 > 「iManager 伺服器」>「設定 iManager」，並按一下「新增授

權使用者」。

3 選取「啟用 NetIQ Audit」，並選取需要的 iManager 事件以進行稽核。

4 從 eDirectory 9.1 安裝套件中，安裝 Platform Agent。

事件 ID 事件名稱描述

150013 新增的授權使用者授權使用者已新增至 eDirectory

150004 登入成功從 iManager 登入 eDirectory 成功

150009 NPM 安裝成功 NPM 安裝成功

150001 啟動 iManager Tomcat 已啟動

150011 SSL 連接失敗 SSL 連線至 eDirectory 失敗

150006 登出登出 iManager

150012 已變更組態組態已變更

150015 NPM 上傳成功 NPM 上傳成功

150006 登入失敗從 iManager 登入 eDirectory 失敗

150010 NPM 安裝失敗 NPM 安裝失敗

150002 關閉 iManager Tomcat 已停止

稽核 iManager 事件 93

http://www.novell.com/documentation/novellaudit20/index.html



附註：如果您的伺服器已有 nauditpa.jar 的消費者，請執行以下步驟：

請勿修改紀錄事件檔案 (跳過步驟 5)。

請勿變更 naudit 資料夾的擁有權。

新增 novlwww 使用者至 idvadmin 群組，並搭配 0002 取消遮罩的設定來建立 novlwww 使用者的 .profile。

5 根據您的平台修改記錄事件檔案。

Linux︰請執行以下動作：

1. 在 /etc/logevent.conf 檔案中編輯下列項目：

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

2. (視情況而定) 在 /var/opt/novell/ 位置中手動建立 naudit 資料夾。

藉由執行下列指令，針對 /var/opt/novell/naudit 資料夾將權限變更為 novlwww：

chown -R novlwww:novlwww naudit/

Windows：從 C:\Windows 位置編輯 logevent.cfg 中的下列項目：

LogHost=IP_Address_of_secure_logging_serverJLogCacheDir=/var/opt/novell/naudit/jcacheJLogCachePort=1287LogCachePort=1288LogJavaClassPath=/var/opt/novell/iManager/nps/WEB-INF/lib/NAuditPA.jarLogMaxBigData=8192LogEnginePort=1289LogCacheUnload=noLogCacheSecure=noLogCacheLimitAction=keep logging

6 根據您的平台，取消 imanager_logging.xml 檔案中下列項目的備註：

Linux︰取消 <appender-ref ref="NAUDIT_APPENDER"/> 項目的備註。

imanager_logging.xml 檔案位於 /var/opt/novell/iManager/nps/WEB-INF/ 目錄。

Windows：取消 <appender-ref ref="NAUDIT_APPENDER"/> 項目的備註。

imanager_logging.xml 檔案位於 C:\Program Files (x86)\Novell\Tomcat\webapps\nps\WEB-INF\ 目錄。

附註：若您使用的是 iManager 3.0 SP3 或更高版本，執行步驟 7 至步驟 9。若您使用的是 iManager 較舊版本，跳過至步驟 10。

7 使用 eDirectory 以建立 iManager 的使用者證書。如需詳細資訊，請參閱《NetIQ eDirectory 管理指南》中的「建立使用者證書」。

8 將證書匯出為 .pfx 格式。如需詳細資訊，請參閱《NetIQ eDirectory 管理指南》中的「將公用

金鑰證書匯出為使用者物件」。

94 稽核 iManager 事件

https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u6ox



https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u94z



9 將私密金鑰解壓縮為 imanipkey.pem，及將證書解壓縮為 imanicert.pem 檔案。將產生的證書檔案 (imanicert.pem 與 imanipkey.pem) 複製到 iManager 伺服器的個別資料夾。

若為 Windows：

c:\windows\imanicert.pem

c:\windows\imanipkey.pem

若為 Linux：

/etc/imanicert.pem

/etc/imanipkey.pem

使用下列指令以解壓縮私密金鑰和證書：

若要解壓縮私密金鑰：openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

若要解壓縮證書：openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem


11 驗證事件是否已登入登入伺服器。

Linux︰停止 jcache 並重新啟動 Tomcat。產生事件並檢查登入伺服器。

Windows：產生事件並檢查登入伺服器。

在 iManager 中啟用 XDAS 稽核

XDAS Audit 依預設隨附 iManager。XDAS Audit 擷取下列事件的相關資料：

新增的授權使用者

登入成功

NPM 安裝成功

啟動 iManager

SSL 連接失敗

登出

已變更組態

NPM 上傳成功

登入失敗

NPM 安裝失敗

關閉 iManager

若要為 iManager 啟用 XDAS Audit：


2 按一下「設定」>「iManager 伺服器」>「設定 iManager」。

3 在「設定 iManager」頁面中的「安全性」索引標籤上，選取「啟用 XDAS Audit」。

4 選取您要記錄的事件，然後按一下「儲存」。


針對 iManager 設定 XDAS Audit表格 9-2 列出不同作業系統中 xdasconfig.properties 檔案的預設位置。您可以根據需求自訂檔案。

表格 9-2 XDAS 組態檔案的位置

表格 9-3 列出 XDAS 組態檔案。

表格 9-3 XDAS 組態檔案

下表提供 imanager_logging.xml 檔案中每個設定的說明。

表格 9-4 Syslog 設定

作業系統檔案

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Linux 和 Windows 工作站 <unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

選項名稱

Syslog Appender syslog

滾存檔案 Appender file_appender

設定描述

syslogHost 稽核伺服器執行所在主機的 IP 位址。

syslogProtocol 必須用於通訊的通訊協定 (UDP/TCP/SSL)。

syslogSslKeystoreFile 金鑰儲存庫檔案的位置。(僅適用於 SSL)。

syslogSslKeystorePassword 金鑰儲存庫檔案的密碼。(僅適用於 SSL)。

限定值指定 Syslog appender 中允許的記錄層級下限。目前支

援 INFO 記錄層級。

Facility=USER 指定設備的類型。設備是用來嘗試分類訊息。目前支援 USER 設備。這些值可指定為大寫或小寫字元。

配置 Syslog appender 的配置設定。


表格 9-5 檔案 Appender 設定

如需轉換模式及其描述的詳細資訊，請參閱 logging.apache.org。

若要啟用 Syslog appender，請在 imanager_logging.xml 檔案中進行下列變更：

1 編輯下列項目：

<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 登入 iManager 並變更記錄事件。

若要啟用檔案 appender，請在 imanager_logging.xml 檔案中進行下列變更：


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

您可以在下列其中一個平台中自訂 File 值：

Linux：/home/imanager.log

Windows：C:\\<directory>\\imanager.log

2 從 iManager 選取需要的事件並儲存變更。

附註：失敗的 SSL 連線 XDAS 事件已多次記錄，因為內部已多次嘗試建立 LDAP 連線。

設定描述

File= ${catalina.home}/logs/imanager.log 檔案 appender 之記錄檔案的預設位置

MaxFileSize=10MB 檔案 appender 之記錄檔案的大小上限，單位是 MB。將

此值設定為用戶端允許的大小上限。

MaxBackupIndex=10 指定檔案 appender 之備份檔案的數目上限。備份檔案

的數目上限可以是 10。如果 MaxBackupIndex 的值設定

為 0，則不會建立任何備份檔案。

layout class=org.apache.log4j.PatternLayout 檔案 appender 的配置設定。

ConversionPattern="%t %d %-5p [%c:%M] %m%n” 檔案 appender 的配置設定。


logging.apache.org

在 iManager 中啟用 CEF 稽核

依預設 iManager 會包含通用事件格式 (CEF) 稽核。CEF 稽核會擷取下列事件的相關資料：

新增的授權使用者

登入成功

NPM 安裝成功

啟動 iManager

SSL 連接失敗

登出

已變更組態

NPM 上傳成功

登入失敗

NPM 安裝失敗

關閉 iManager

若要為 iManager 啟用 CEF 稽核：


2 按一下「設定」>「iManager 伺服器」>「設定 iManager」。

3 在「設定 iManager」頁面中的「安全性」索引標籤上，選取「啟用 CEF 稽核」。

4 選取您要記錄的事件，然後按一下「儲存」。

針對 iManager 設定 CEF 稽核

表格 9-2列出不同作業系統中 auditconfig.properties 檔案的預設位置。您可以根據需求自訂檔案。

表格 9-6 CEF 組態檔案的位置

表格 9-3列出 CEF 組態檔案。

表格 9-7 CEF 組態檔案

作業系統檔案

Linux /var/opt/novell/iManager/nps/WEB-INF/imanager_logging.xml

Windows c:\Program Files\Novell\Tomcat\webapps\nps\WEB-INF\imanager_logging.xml

Linux 和 Windows 工作站 <unzipped workstation folder>\imanager\tomcat\webapps\nps\WEB-INF\imanager_logging.xml

選項名稱

Syslog Appender CEFSyslog

滾存檔案 Appender CEF_FILE_APPENDER


下表提供 imanager_logging.xml 檔案中每個設定的說明。

表格 9-8 Syslog 設定

表格 9-9 檔案 Appender 設定

如需轉換模式及其描述的詳細資訊，請參閱 logging.apache.org。

若要啟用 CEFSyslog appender，請在 imanager_logging.xml 檔案中進行下列變更：


<param name="Facility" value="user"/>

<param name="syslogHost" value=" 192.168.1.5:1468 "/

<param name="syslogProtocol" value="tcp"/>

<param name="syslogSslKeystoreFile" value="/root/Desktop/sentinel/mykeystore.jks"/>

param name="syslogSslKeystorePassword" value="novell"/>

<param name="Threshold" value="INFO"/>

2 登入 iManager 並變更記錄事件。

設定描述

syslogHost 稽核伺服器執行所在主機的 IP 位址。

syslogProtocol 必須用於通訊的通訊協定 (UDP/TCP/SSL)。

syslogSslKeystoreFile 金鑰儲存庫檔案的位置。(僅適用於 SSL)。

syslogSslKeystorePassword 金鑰儲存庫檔案的密碼。(僅適用於 SSL)。

限定值指定 Syslog appender 中允許的記錄層級下限。目前支

援 INFO 記錄層級。

Facility=USER 指定設備的類型。設備是用來嘗試分類訊息。目前支援 USER 設備。這些值可指定為大寫或小寫字元。

配置 Syslog appender 的配置設定。

設定描述

File= ${catalina.home}/logs/imanager_cef.log 檔案 appender 之記錄檔案的預設位置

MaxFileSize=10MB 檔案 appender 之記錄檔案的大小上限，單位是 MB。將

此值設定為用戶端允許的大小上限。

MaxBackupIndex=10 指定檔案 appender 之備份檔案的數目上限。備份檔案

的數目上限可以是 10。如果 MaxBackupIndex 的值設定

為 0，則不會建立任何備份檔案。

layout class=org.apache.log4j.PatternLayout 檔案 appender 的配置設定。

ConversionPattern="%d{MMM dd yyyy HH:mm:ss} %m%n”

檔案 appender 的配置設定。


logging.apache.org

若要啟用檔案 appender，請在 imanager_logging.xml 檔案中進行下列變更：


<param name="File" value="${catalina.home}/logs/imanager.log"/>

<param name="Append" value="true" />

<param name="MaxFileSize" value="10MB" />

<param name="MaxBackupIndex" value="10" />

您可以在下列其中一個平台中自訂 File 值：

Linux: /home/imanager_cef.log

Windows: C:\\<directory>\\imanager_cef.log

2 從 iManager 選取需要的事件並儲存變更。

附註：失敗的 SSL 連線 CEF 事件已多次記錄，因為內部已多次嘗試建立 LDAP 連線。

使用協力廠商證書為 iManager 設定稽核

1 在 iManager 中啟用 NAudit。如需詳細資訊，請參閱「在 iManager 中啟用 Novell 稽核」(第 93 頁)。

2 鍵入下列指令來建立記錄應用程式證書以供在稽核伺服器中稽核 iManager 事件：

audcgen -app:iManagerInst -cert:c:\cacert.pem -pkey:c:\capkey.pem -f -bits:2048 -serial:12345 -appcert:c:\imanicert.pem -apppkey:c:\imanipkey.pem

3 將產生的證書檔案 (imanicert.pem 與 imanipkey.pem) 複製到 iManager 伺服器的個別資料夾。

若為 Windows：



若為 Linux：

/etc/imanicert.pem

/etc/imanipkey.pem


在限制模式中為 iManager 設定 Audit1 使用 eDirectory 來為 iManager 建立使用者證書。如需詳細資訊，請參閱《NetIQ eDirectory 管

理指南》中的「建立使用者證書」。

2 將證書匯出為 .pfx 格式。如需詳細資訊，請參閱《NetIQ eDirectory 管理指南》中的「將公用

金鑰證書匯出為使用者物件」。

3 將私密金鑰解壓縮為 imanipkey.pem，及將證書解壓縮為 imanicert.pem 檔案。將產生的證書檔案 (imanicert.pem 與 imanipkey.pem) 複製到 iManager 伺服器的個別資料夾。





https://www.netiq.com/documentation/edirectory-9/edir_admin/data/b1j4tpo3.html#b1j4u94z



若為 Windows：



若為 Linux：

/etc/imanicert.pem

/etc/imanipkey.pem

使用下列指令以解壓縮私密金鑰和證書：

若要解壓縮私密金鑰：openssl pkcs12 -in imanP12File.pfx -nocerts -out imanipkey.pem -nodes

若要解壓縮證書：openssl pkcs12 -in imanP12File.pfx -clcerts -nokeys -out imanicert.pem

4 從 /var/opt/novell/eDirectory/data 中複製 eDirectory 伺服器的 CA 證書 (SSCert.pem)，並使用以

下指令將其新增至稽核連接器的 Keysotre 檔案：

/keytool -importcert -file SSCert.pem -keystore audit_keystore -alias "eDir-CA"

5 將 audit_keystore 檔案匯入至稽核連接器，連接器在 Sentinel 伺服器中設為限制模式。

6 設定 iManager 以供稽核使用並重新啟動 Tomcat。如需詳細資訊，請參閱「在 iManager 中啟用 Novell 稽核」(第 93 頁)。


10 10最佳實作和常見問題

本章節包含一些專家針對有關下列主題的建議。如果您找到一些有效的解決方法，請在 Cool Solutions (http://www.novell.com/coolsolutions) 中與大家共享。

「備份與回存選項」(第 103 頁)

「與先前版本的 iManager 2.x 和「職能服務」共存」(第 103 頁)

「集合」(第 104 頁)

「安裝失敗」(第 104 頁)

「效能調整」(第 105 頁)

「iManager AppArmor 設定檔」(第 105 頁)

「在 Windows 中配置 Tomcat 記憶體」(第 105 頁)

備份與回存選項iManager 中不包含自動備份與回存功能。iManager 由兩部分組成：伺服器上的本地檔案和 eDirectory 中的「職能服務」。

若要完全備份 iManager，請確保透過複製本重複性或使用 eDirectory 備份解決方案有效備份 RBS 集合與網路樹中的所有附屬物件。

檔案系統上的所有本地 iManager 檔案都儲存在 Tomcat 目錄中。只要您對 Tomcat 目錄進行了備份，就

會保留所有 iManager 內容。如果 Tomcat 目錄在伺服器上存在一定損毀，請關閉 Tomcat 並重新複製該

目錄，以允許您復原 iManager。如果沒有使用 RBS，則只需備份 Tomcat 目錄即可。

與先前版本的 iManager 2.x 和「職能服務」共存

您應該將 RBS 集合更新至 2.7 版本。如果使用 iManager 從先前版本的 iManager 2.x 存取含 RBS 集合

的網路樹，則不會看到所有應該顯示的職能和任務。

1 在「設定」檢視窗中，按一下「職能服務」>「RBS 組態」。

2 按一下需要更新模組的「過時」欄中的連結。

3 在「過時模組」頁面中，選取模組，然後按一下「更新」。

確認更新成功的訊息即會顯示。

您可在 iManager 2.x 所有版本中找到更新的外掛程式。

最佳實作和常見問題 103

http://www.novell.com/coolsolutions

http://www.novell.com/coolsolutions

集合必須認識到，同一項組態並非適用於所有公司。我們只建議在採用階層式結構 (使用地理或功能組

織，且每個位置有不同的管理員) 的情況下，在網路樹中使用多個集合。以下是最常見的情況以及管

理各自集合的建議：

為反映地理組織而組織的階層式網路樹

在每個地理位置建立集合，並且每個位置有一或多個 iManager 伺服器。這能加快登入速度，簡

化網路樹的導覽。每個地理位置的管理員管理指定位置的集合。

反映公司組織結構的階層式網路樹

建立一個與組織同一級別的集合，並根據公司規模的需要，使用一或多個 iManager 伺服器。您

僅管理一個集合。

所有物件都位於唯一容器的平面網路樹

將一個集合建立為唯一容器的旁支，並根據公司規模的需要，使用一或多個 iManager 伺服器。

您僅管理一個集合。

安裝失敗為避免安裝失敗，請確保您的作業系統已更新到最新版本並滿足所有系統要求。如需詳細資訊，請參閱「《NetIQ iManager 安裝指南》」中的「安裝 iManager 的先決條件與注意事項」。

若要從安裝失敗中復原，請對安裝期間產生的錯誤訊息進行評估。

「Windows」(第 104 頁)

「Linux」(第 105 頁)

Windows

1 如果錯誤涉及以下其中一個配件，請檢查指定的記錄檔案中是否存在錯誤︰

NICI ( Novell 國際密碼基礎結構)：已安裝目錄\temp\wcniciu0.log

Tomcat： tomcat 安裝目錄\Apache_Tomcat_InstallLog.log。例如，C:\Program

Files\Novell\Tomcat\Apache_Tomcat_InstallLog.log。

2 針對任何錯誤檢查 iManager 安裝記錄檔案 (C:\Program Files\Novell\Tomcat\webapps\nps\WEB-

INF\logs\install\iManager_Install_3.1.0_InstallLog.log)。

3 如果記錄檔案提供的資訊不足以識別問題，請在除錯模式下重新執行安裝。

若要檢視或擷取安裝程式的除錯輸出，請開啟主控台輸出並將其複製到文字檔以供日後檢閱。

3a 啟動安裝程式後，立即按住 Ctrl 鍵直到顯示主控台視窗。

3b 完成安裝後，按一下主控台視窗左上角的圖示，然後選取「內容」>「配置」。

3c 將緩衝區大小變更為 3000，然後按一下「確定」。

3d 在「配置」視窗中，選取「編輯」>「全部選取」>「編輯」>「複製」。

3e 開啟文字編輯器，並將除錯輸出貼入其中。

4 識別並校正所有錯誤或堆疊追蹤，然後重新執行安裝。

104 最佳實作和常見問題

Linux

1 針對任何錯誤檢查 iManager 安裝記錄檔案 (/var/log/NetIQ_iManager_3.1.0_InstallLog.log)。

2 如果記錄檔案提供的資訊不足以識別問題，請在除錯模式下重新執行安裝。

在指令行中鍵入以下內容︰

export LAX_DEBUG=true

3 識別並校正所有錯誤或堆疊追蹤，然後重新執行安裝。

效能調整以下是提高速度和效率的秘訣。

針對 RBS 停用動態群組支援

如果不使用此功能，請停用「動態群組」對 RBS 的支援。預設會啟用「動態群組」支援，而在使用

時，其廣泛搜尋會大幅增加資源負擔。

1 在「設定」檢視窗中，按一下「iManager 伺服器」>「設定 iManager」。

2 選取「RBS」索引標籤，然後取消選取「啟用動態群組」。

職能指定

如果您已經向同一範圍內的職能指定了五個以上的使用者，請考慮使用「群組」物件減少職能指定的數量，並使 RBS 管理更為有效。執行此操作會減少需要更新的物件，您還可以透過新增和移除成員來

管理「群組」物件。

另外，請考慮使用「動態群組」物件。您可以設定「使用者」物件，使其符合「動態群組」搜尋準則。

iManager AppArmor 設定檔

Novell Open Enterprise Server —Linux 包含 iManager 的 AppArmor 設定檔。設定檔名稱為 etc.opt.novell.tomcat5.init.d.tomcat5，並且已安裝在 /etc/apparmor/profiles/extras/iManager。

iManager AppArmor 設定檔未依據預設啟用。若要啟用此設定檔，請將它複製到 /etc/apparmor.d 資料

夾中。

如需有關 AppArmor 和 AppArmor 設定檔的詳細資訊，請參閱 Novell AppArmor 文件 (http://www.novell.com/documentation/apparmor/)。

在 Windows 中配置 Tomcat 記憶體

1 前往 Tomcat/bin 資料夾 (例如，c:\Program Files\Novell\Tomcat\bin)

2 在 tomcat8w.exe 檔案上按一下右鍵。

3 開啟「Tomcat8 Properties (Tomcat8 內容)」視窗。

最佳實作和常見問題 105

http://www.novell.com/documentation/apparmor/

4 按一下「Java」索引標籤。

5 指定啟始與最大記憶體儲存池大小。

重要：確定您指定的啟始與最大記憶體儲存池大小小於實際 RAM 的大小，否則可能會造成更多效

能問題。

6 按一下「套用」，然後按一下「確定」。

7 重新啟動 Tomcat 服務。

提示：若要驗證新設定，請前往 Tomcat 伺服器的 URL，並按一下「伺服器狀態」。

106 最佳實作和常見問題

A AiManager 安全性問題

此章節提供 iManager 的潛在安全性問題以及以下主題的相關資訊：

「安全 LDAP 證書」(第 107 頁)

「自行簽署的證書」(第 108 頁)

「iManager 授權使用者與群組」(第 108 頁)

「避免使用者名稱探查」(第 109 頁)

「Tomcat 設定」(第 109 頁)

「加密屬性」(第 109 頁)

「安全連結」(第 110 頁)

安全 LDAP 證書

iManager 可以在無需任何使用者干涉的情況下，從後台建立安全 LDAP 連結。如果因某些原因 (例如，

新的組織 CA ) 更新了 LDAP 伺服器的 SSL 證書，iManager 應使用驗證的連接自動取回新的證書，並將

證書輸入其自身的 keystore 資料庫。

如果沒有正確執行此操作，為了強制讓 iManager 和 Tomcat 重新建立資料庫並再次獲取證書，您必須

刪除 iManager 使用的私密金鑰儲存。

1 關閉 Tomcat。

2 刪除 TOMCAT_HOME\webapps\nps\WEB-INF\iMKS 檔案。



4 在瀏覽器中開啟 iManager 並重新登入到網路樹中，以自動獲取新的證書並重新建立資料庫儲存。

或者，您也可以使用 JDK 中可用的 keytool 證書管理公用程式，手動將所需的證書輸入 Tomcat 的 JVM 預設 keystore。建立安全的 SSL 連結時，iManager 會先嘗試 JVM 預設 keyStore，然後再使用 iManager 特定的 keyStore 資料庫。

以 DER 格式儲存 eDirectory 證書後，必須將託管根部證書輸入 iManager keystore。若要執行此操

作，需要 JDK 才能使用 keytool。如果 JRE 與 iManager 一起安裝，您必須下載 JDK 才能使用 keytool。

附註：如需建立 .der 證書檔案的詳細資訊，請參閱「匯出可信的根或公用金鑰證書」。您可能想要

輸出託管根部證書。

1 開始指令視窗。

2 變更為安裝 JDK 的 \bin 目錄。

iManager 安全性問題 107

https://www.netiq.com/documentation/edirectory-91/edir_admin/data/b1j4t6zc.html

3 使用 keytool，執行以下 keytool 指令 (平台特定)，將證書輸入 keystore：

Linux

keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts

Windows

keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts

使用此證書的唯一名稱取代 alias_name，並確保包含 trustedrootcert.der 和 cacerts 的完整路

徑。

指令中最後的路徑指定 keystore 位置。由於它基於 iManager 的安裝位置，所以系統不同，路徑

也會有所不同。下列範例是 iManager 在 Windows 和 Linux 上的預設位置：

在 Windows 上：C:\Program Files\Novell\jre\lib\security\cacerts

在 Linux 上：/<JAVA_HOME>/jre/lib/security/cacerts

4 為 keystore 密碼輸入 changeit。

5 按一下「是」以託管此證書。

附註：每個要使用 iManager 存取的 eDirectory 網路樹都必須重複此步驟。若已將 LDAP 設定為使用

網路樹之「組織 CA」所簽署的證書，您必須輸入該證書的「託管根部」。舉例來說，若要將 LDAP 設定為使用經 VeriSign* 簽署的證書，則此為必要作業。

自行簽署的證書iManager 包含在 Linux 或 Windows 平台上安裝 iManager 時可使用的暫存自行簽署證書。證書的有效

期為一年。如需詳細資訊，請參閱「《NetIQ iManager 安裝指南》」中的「安裝 iManager 的先決條件

與注意事項」。

iManager 授權使用者與群組

授權使用者與群組是 iManager 允許執行各自不同管理任務的人員。如需指定及設定「授權使用者與

群組」的詳細資訊，請參閱「授權使用者與群組」(第 64 頁)。

「授權使用者與群組」資料儲存在 configiman.properties 檔案中，該檔案必須受到保護以防止未經授

權的修改。若要執行此操作，請修改 configiman.properties 的存取控制，以限制那些獲授權手動編輯

檔案的使用者。

附註：不指定「授權使用者或群組」(可以防止建立 configiman.properties 檔案)，或指定 AllUsers 的授權使用者或群組，會允許任何使用者安裝 iManager 外掛程式並修改 iManager 伺服器設定。這會

導致基於伺服器之 iManager 環境的安全性風險。

108 iManager 安全性問題

避免使用者名稱探查在某些安裝中，eDirectory 伺服器受防火牆保護，但 iManager 伺服器對外開放，允許居家或移動進

行管理。對 iManager 的存取會受到登入畫面上「使用者名稱」、「密碼」及「網路樹名稱」等欄位的

控制。在此類安裝中，通常需要增強安全性，以避免洩露有關系統的任何資訊。

標準的 iManager 組態會在 iManager 驗證期間，傳遞有關無效使用者名稱和密碼的 eDirectory 訊息。

這些訊息可能在無意中向潛在的攻擊者提供了過多的資訊。為避免發生這種情況，iManager 包含了組

態選項，以隱藏登入失敗的特定原因。啟用時，以下錯誤訊息會取代為「登入失敗。使用者名稱或密碼

無效」的一般訊息。

無效的使用者名稱 (-601)

密碼不正確 (-669)

密碼過期或帳戶停用 (-220)

若要啟用此設定，請開啟「設定」檢視，並選取「iManager Server」>「設定 iManager」。在「驗證」

索引標籤中選取「隱藏登入失敗的特定原因」。這會將 Authenticate.Form.HideLoginFailReason=true 設定於 iManager 的 config.xml 檔案中。

此外，iManager 不支援在「使用者名稱」欄位中使用萬用字元 (*)。這可防止未授權的使用者發現有

效使用者名稱。同時也防止了潛在的拒絕服務攻擊，即透過僅使用萬用字元 (*) 不斷嘗試登入，讓 eDirectory 伺服器超載，進而強制 eDirectory 搜尋並傳回所有符合的使用者名稱。

Tomcat 設定

由於 iManager 使用「Tomcat 常式容器」，因此 iManager 管理員應了解作為其整體安全性策略之部分

資源的加密相關組態選項。尤其重要的是加密套件和託管證書，它們直接影響連線層加密的品質。設定 Tomcat 環境時請仔細考慮下列規則：

請勿使用過時且無法保證安全的 SSL 2.0 加密套件。

請勿在生產環境使用 NULL 加密套件。

請勿使用任何分類為「低」或「輸出」品質的加密套件，因為它們的安全性較低。

定期檢閱託管證書的清單，並將接受的「證書權限」清單限制在您真正使用的項目上

Tomcat 的詳細資訊請參閱 Apache Tomcat 文件網站 (http://tomcat.apache.org/tomcat-8.0-doc/)。

加密屬性iManager 能安全地讀取 eDirectory 加密屬性。但是，由於其判斷屬性是否加密的方式，iManager 不能安全地修改或刪除這些加密屬性。這一點可能會導致暴露某些連線層資料，不過可以透過如下所示的一般網路安全性實作來減輕其影響：

尋找受防火牆保護的所有 iManager 伺服器

尋找物理位置接近其相關之 eDirectory 伺服器的 iManager 伺服器

從實體上保護 iManager 和 eDirectory 伺服器

要求遠端管理員使用 VPN 存取 iManager 和 eDirectory 伺服器

iManager 安全性問題 109

http://tomcat.apache.org/tomcat-8.0-doc/

安全連結雖然 iManager 利用安全的 HTTP (SSL) 進行用戶端通訊，並在 iManager 和 eDirectory 伺服器之間使

用安全的 LDAP 連接，但是除讀取加密屬性外，iManager 沒有利用安全的 NCP 連接進行 iManager 伺服

器和 eDirectory 伺服器之間的通訊。

Mobile iManager 使用的 NCP 連接也是如此。這一點可能會導致暴露某些連線層資料，不過可以透過如

下所示的一般網路安全性實作來減輕其影響：

尋找受防火牆保護的所有 iManager 伺服器

尋找物理位置接近其相關之 eDirectory 伺服器的 iManager 伺服器

從實體上保護 iManager 和 eDirectory 伺服器

要求遠端管理員使用 VPN 存取 iManager 和 eDirectory 伺服器

附註：無論是否使用連線層加密，密碼始終會作為 iManager 驗證程序的一部分進行加密並受到保

護。

110 iManager 安全性問題

B

NetIQ 外掛程式模組 111

BNetIQ 外掛程式模組

iManager 隨附下列職能，做為 base.npm 外掛程式的一部分。其他外掛程式模組必須單獨下載。

目錄管理

分割區與複製本

Help Desk

綱要

權限

使用者

群組

尋找和下載 iManager 外掛程式的最佳地點是在 iManager 內的「可用的 NetIQ 外掛程式模組」頁面。

或者，您可以從 NetIQ 下載網站 (https://dl.netiq.com/index.jsp)下載外掛程式。在搜尋條件中將 iManager 選為產品。

此外，NetIQ 偶爾會釋出 iManager 外掛程式更新。這些更新會在 NetIQ iManager 外掛程式下載網站 (https://www.netiq.com/support/imanager/plugins/)上提供。

iManager 式外掛程式僅可作為完整 iManager 軟體下載的一部份使用。除非這些外掛程式有特定更新，

否則只能與整個 iManager 產品一起下載和安裝。

如需下載 iManager 外掛程式的詳細資訊，請參閱「《NetIQ iManager 安裝指南》」中的「瞭解 iManager 外掛程式的安裝」。

附註：根據預設，不會在 iManager 伺服器之間複製外掛程式模組。NetIQ 建議您在每個 iManager 伺服器上安裝所需的外掛程式模組。

https://dl.netiq.com/index.jsp

https://www.netiq.com/support/imanager/plugins/

NetIQ iManager 管理指南

Documents

Transcript of NetIQ iManager 管理指南