Académique Documents
Professionnel Documents
Culture Documents
AIX
REFERENCE 86 F2 34EF 02
Bull
AIX 5L Webbased System Manager Guide dadministration
AIX Logiciel
Octobre 2002
BULL CEDOC 357 AVENUE PATTON B.P.20845 49008 ANGERS CEDEX 01 FRANCE
REFERENCE 86 F2 34EF 02
Lavis de copyright ciaprs place le prsent document sous la protection des lois de Copyright des EtatsUnis dAmrique et des autres pays qui prohibent, sans sy limiter, des actions comme la copie, la distribution, la modification et la cration de produits drivs partir du prsent document. Copyright Bull S.A. 1992, 2002
Imprim en France Vos suggestions sur la forme et le fond de ce manuel seront les bienvenues. Une feuille destine recevoir vos remarques se trouve la fin de ce document. Pour commander dautres exemplaires de ce manuel ou dautres publications techniques Bull, veuillez utiliser le bon de commande galement fourni en fin de manuel.
Marques dposes
Toutes les marques dposes sont la proprit de leurs titulaires respectifs. AIXR est une marque dpose dIBM Corp. et est utilise sous licence. UNIX est une marque dpose, licencie exclusivement par Open Group.
Les informations contenues dans le prsent document peuvent tre modifies sans pravis. Bull S.A. ne pourra tre tenu pour responsable des erreurs quil peut contenir ni des dommages accessoires ou indirects que son utilisation peut causer.
A propos de ce manuel
Ce manuel indique comment utiliser Web-based System Manager en vue dadministrer des systmes.
Conventions typographiques
Les conventions typographiques ciaprs sont utilises dans ce guide. Mise en vidence Gras Description Permet didentifier les commandes, les sousprogrammes, les mots cls, les fichiers, les arborescences, les rpertoires, ainsi que dautres lments dont le nom est prdfini par le systme. Permet galement didentifier les objets graphiques, tels que les boutons, les libells et les icnes slectionns par lutilisateur. Permet didentifier les paramtres dont les noms ou les valeurs doivent tre indiqus par lutilisateur. Permet didentifier les exemples de donnes spcifiques, les exemples de textes similaires aux textes affichs, les exemples de parties de code similaires au code que vous serez susceptible de rdiger en tant que programmeur, les messages systme ou les informations que vous devez saisir.
ISO 9000
Des systmes de qualit homologue et de la fabrication de ce produit.
Prface
iii
Bibliographie
Vous trouverez des informations relatives Webbased System Manager dans les ouvrages suivants : AIX 5L Version 5.2 System Management Concepts: Operating System and Devices AIX 5L Version 5.2 System Management Guide: Operating System and Devices
iv
Prface
Conteneurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnralits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lanceurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Menus et barre doutils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zone Astuces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bote de dialogue dexcution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Barre dtat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Espace de travail de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fichiers de prfrences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestion des erreurs de chargement ou de sauvegarde des fichiers de prfrences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Outils de la ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fichiers modifiables par lutilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilisation de Web-based System Manager partir du clavier . . . . . . . . . . . . . . . . . . Mnmoniques et raccourcis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dplacement dans la console laide du clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . Dplacement dans les botes de dialogue laide du clavier . . . . . . . . . . . . . . . . Accs laide depuis le clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Journal de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 4. Configuration de lenvironnement de gestion . . . . . . . . . . . . . . . . . . Ajout dune machine Web-based System Manager . . . . . . . . . . . . . . . . . . . . . . . . . Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Suppression dune machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 5. Scurit Web-based System Manager . . . . . . . . . . . . . . . . . . . . . . . . . Installation de la scurit Web-based System Manager . . . . . . . . . . . . . . . . . . . . . . . Configuration de la scurit Web-based System Manager . . . . . . . . . . . . . . . . . . . . . Scnarios de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fichiers de cls prts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestion de sites multiples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eviter le transfert des cls prives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilisation dune autre autorit de certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration du dmon SMGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Affichage des proprits de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contenu de la cl publique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activation de la scurit Web-based System Manager . . . . . . . . . . . . . . . . . . . . . . . . Activation du dmon SMGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Excution de la scurit Web-based System Manager . . . . . . . . . . . . . . . . . . . . . . . . Mode clientserveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode client loign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode applet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chapitre 6. Accessibilit de Web-based System Manager . . . . . . . . . . . . . . . . . . Accessibilit au clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Annexe A. Identification des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Identification des incidents sur une machine distante . . . . . . . . . . . . . . . . . . . . . . . . . Identification des incidents de Web-based System Manager en mode applet . . . . Identification des incidents de Web-based System Manager en mode client loign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Identification des incidents lis la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-3 3-5 3-5 3-6 3-8 3-9 3-10 3-11 3-12 3-13 3-14 3-15 3-19 3-20 3-20 3-20 3-21 3-21 3-22 4-1 4-2 4-2 4-4 5-1 5-2 5-3 5-3 5-4 5-7 5-11 5-14 5-17 5-18 5-18 5-19 5-20 5-21 5-21 5-21 5-21 6-1 6-1 A-1 A-2 A-3 A-4 A-5 X-1
vi
1-1
2. Dans la zone de contenu, cliquez deux fois sur licne Utilisateurs. La zone de contenu affiche les catgories suivantes : Rles administratifs Tous les groupes Tous les utilisateurs Gnralits et tches 3. Cliquez deux fois sur licne Tous les utilisateurs. La zone de contenu affiche la liste des utilisateurs et indique pour chacun deux sil sagit dun utilisateur de base ou dun administrateur. 4. Cliquez deux fois sur licne situe en regard du nom de lutilisateur dont vous souhaitez modifier les proprits. La bote de dialogue qui saffiche permet de modifier les proprits de lutilisateur slectionn. 5. Pour sauvegarder les modifications, cliquez sur OK. Pour les annuler, cliquez sur Annulation. La partie client de Web-based System Manager fonctionne sur la machine grante. Dans lexemple cidessus, il nest pas prcis si lutilisateur faisant lobjet de la modification se trouvait sur la machine excutant Web-based System Manager (le client) ou sur une machine gre (un serveur). Pour modifier un utilisateur sur une machine gre, slectionnez une machine dans la zone de navigation. Si cette machine na encore fait lobjet daucune connexion, une bote de dialogue saffiche, qui vous demande dentrer votre nom dhte, votre nom dutilisateur et votre mot de passe. Cette bote de dialogue vous permet de vous connecter la machine gre. Une fois connect, vous pouvez effectuer des oprations partir de la console Web-based System Manager sur une autre machine gre et revenir la machine (en la slectionnant dans la zone de navigation) sans vous connecter nouveau.
1-2
Chaque utilisateur a intrt conserver une machine Web-based System Manager personnelle. Celleci doit tre utilise comme machine grante, mme si lutilisateur dmarre Web-based System Manager depuis une machine autre que la machine personnelle. En effet, la prsentation initiale de la fentre de console est dtermine par un fichier situ sur la machine grante. Ainsi, vous pourrez dmarrer Web-based System Manager partir du bureau dun autre utilisateur, dfinir une machine personnelle comme machine grante, et crer une fentre de console partir des prfrences que vous avez sauvegardes. Pour en savoir plus sur la sauvegarde de prfrences, reportezvous Fichiers de prfrences, page 3-13. La partie la plus importante des prfrences sauvegardes par lutilisateur est sans doute lenvironnement de gestion de la machine. Lenvironnement de gestion est un mcanisme puissant qui permet de dfinir des ensembles de machines places sous votre responsabilit et dy accder. Lorsquune machine de lenvironnement de gestion est slectionne par lutilisateur, un serveur Webbased System Manager est lanc sur cette machine. Ce serveur fournit au client (et indirectement la fentre de console) des objets grs distance. La partie cliente de lapplication prsente ces objets via des fentres et dautres lments dinterface utilisateur graphique (GUI). En grant ces lments GUI, la partie client de lapplication peut afficher des informations concernant les objets de la machine gre loigne et vous autoriser mettre ces informations jour. Une fois quune machine de lenvironnement de gestion est active (si vous lavez slectionne dans cet environnement et que vous y tes connect), vous pouvez basculer dune machine une autre laide de la souris. Vous pouvez ainsi grer un grand nombre de machines laide dune unique et puissante interface.
1-3
Modes dexploitation
Vous pouvez configurer plusieurs modes dexploitation pour Web-based System Manager. Les environnements dexploitation dans lesquels Web-based System Manager peut tre dmarr sont application autonome, clientserveur, applet et client loign. Ces modes dexploitation sont dcrits dans les sections cidessous. Mode application autonome, page 1-5 Mode clientserveur, page 1-6 Mode applet, page 1-7 Mode client loign, page 1-7
1-4
Pour dmarrer la console Web-based System Manager depuis lenvironnement CDE (environnement CDE), procdez comme suit : 1. Cliquez sur licne Gestionnaire dapplications du panneau CDE. 2. Cliquez sur licne System_Admin. 3. Cliquez sur licne Console de gestion. Par dfaut, vous pouvez excuter des tches de gestion de systme sur la machine sur laquelle vous avez lanc la console.
1-5
Mode clientserveur
Vous pouvez grer votre machine locale partir de la console Web-based System Manager. Vous pouvez galement grer des machines configures pour la gestion loigne (voir Configuration de Webbased System Manager en mode clientserveur, page 2-4). Vous spcifiez les machines que vous voulez grer en les ajoutant lenvironnement de gestion (voir Configuration de lenvironnement de gestion, page 4-1). Il est galement possible de slectionner en tant que machine grante un hte diffrent de votre machine personnelle. Utilisez pour cela la commande suivante :
/usr/websm/bin/wsm host [ hte machine grante ]
Lhte que vous spcifiez comme [ hte machine grante ] saffiche dans la zone de navigation en premire position dans la liste des htes pouvant tre grs. Par ailleurs, cet hte est utilis pour charger le fichier des prfrences utilisateur de Webbased System Manager ($HOME/WebSM.pref). Largument host affiche la console de la machine que vous utilisez, mais charge le fichier de prfrences de lhte loign que vous spcifiez (voir Fichiers de prfrences, page 3-13). Remarque : Le serveur Web-based System Manager doit tre install et configur sur tous les htes cible grs par Web-based System Manager. Pour plus dinformations, reportezvous la section Configuration de Webbased System Manager en mode clientserveur, page 2-4.
1-6
Mode applet
Le mode applet est similaire lutilisation de Web-based System Manager en mode clientserveur avec largument host. En mode clientserveur, vous utilisez la commande suivante :
/usr/websm/bin/wsm host [ machine grante ]
alors quen mode applet, vous indiquez lURL suivante dans votre navigateur :
http:// machine grante /wsm.html
Dans les deux cas, machine grante est la machine sur laquelle se trouve lapplication Web-based System Manager. La machine gre est la premire machine rpertorie dans lenvironnement de gestion.
1-7
Comme avec le mode clientserveur, les systmes rpertoris dans la zone denvironnement de gestion sont des machines gres. Cependant, le systme Windows ou Linux qui excute le client loign correspond la machine grante et ne saffiche pas dans la zone denvironnement de gestion. Les incidents lis la scurit concernant les classes de chargement sont les mmes quen mode clientserveur. Par contre, le mode applet comporte quelques restrictions ; vous ne pouvez grer quun ensemble de machines disposant de la mme version de Web-based System Manager. Pour en savoir plus, reportezvous au chapitre Scurit Web-based System Manager, page 5-1. Pour de plus amples informations, reportezvous aux sections Mode clientserveur, page 1-6 et Mode applet, page 1-7.
1-8
Applications personnalises
Vous pouvez utiliser lapplication Outils personnaliss pour ajouter des commandes et applications disponibles sur votre systme AIX sur lenvironnement de Web-based System Manager, qui peuvent ensuite tre excuts directement partir de la fentre de console. Si vous souhaitez obtenir plus dintgration que ce quoffre lapplication Outils personnaliss, vous pouvez augmenter les capacits de Web-based System Manager en crivant des applications personnalises. Ceci implique de connatre le langage de programmation Java. Si cette possibilit vous intresse, veuillez prendre contact avec votre revendeur.
1-9
1-10
2-1
Si Web-based System Manager nest pas install, un message similaire celuici saffiche :
lslpp: Lensemble de fichiers sysmgt.websm.framework nest pas install.
2-2
VALIDATION
TERMINEE
03/09/01
Si lensemble de fichiers sysmgt.websm.framework nest pas install, vous devez utiliser les outils dinstallation du systme dexploitation. Pour accder ces outils dinstallation, tapez les commandes suivantes (en vrifiant que le CD version 5.2 de AIX est bien charg dans votre unit de CDROM) :
/usr/lib/instl/sm_inst installp_cmd a \ d /dev/cd0 f sysmgt.websm.framework c N g X
Cette commande installe lensemble dimages requis pour lexcution de Webbased System Manager.
2-3
Pour dsactiver une machine afin quil ne soit plus possible de la grer partir dun client Web-based System Manager, entrez la commande suivante :
/usr/websm/bin/wsmserver disable
Ports inetd
Le port inetd est susceptible dtre utilis par plusieurs programmes de votre systme. Si un autre programme de votre systme utilise le numro de port inetd 9090, modifiez le numro de port attribu la connexion du serveur Web-based System Manager en procdant de lune des manires suivantes : Dfinissez un numro de port diffrent dans le fichier /etc/services. Si vous optez pour cette mthode, utilisez la commande wsm avec largument port (voir Outils de la ligne de commande, page 3-15). Entrez la commande suivante :
wsmserver enable listenport numro de port
o numro de port est le nouveau port de connexion du serveur Web-based System Manager. Lorsque vous dfinissez un numro de port inetd autre que 9090, vous devez indiquer la machine client le numro que vous avez choisi, afin quelle puisse se connecter au serveur. Pour ce faire, ajoutez lhte au domaine (realm) du client en utilisant le format suivant :
hte : port
o hte est le nom de la machine serveur ou hte, et port correspond au numro de port.
o dbut de plage est le plus petit numro de port disponible et fin de plage est le plus grand numro de port disponible. Le serveur Web-based System Manager cre alors des ports socket en utilisant les numros contenus dans cette plage. Si vous voulez que plusieurs serveurs Web-based System Manager puissent sexcuter simultanment, veillez indiquer une plage de numros de ports permettant chaque serveur de disposer de son propre port.
2-4
2-5
3. Dans lassistant de configuration, suivez les instructions jusqu ce que vous atteigniez lcran principal. 4. Slectionnez Configuration dun serveur Web pour excution de Web-based System Manager dans un navigateur. 5. Cliquez sur Suivant. 6. Suivez les instructions affiches sur les crans successifs pour terminer les configurations.
2-6
2-7
3. Dans lassistant de configuration, suivez les instructions jusqu ce que vous atteigniez lcran principal. 4. Slectionnez Configuration dun serveur Web pour excution de Web-based System Manager dans un navigateur. 5. Cliquez sur Suivant. 6. Suivez les instructions affiches sur les crans successifs pour terminer les configurations.
o nom_hte est le nom du serveur AIX configur pour linstallation du client distant Web-based System Manager. 3. Cliquez sur le lien Windows qui saffiche sur la page Web. Le fichier setup.exe est tlcharg sur votre machine. 4. Le tlchargement termin, excutez le fichier setup.exe pour dmarrer la procdure dinstallation. 5. Lorsque le panneau dinstallation du client loign saffiche, cliquez sur Suivant pour continuer. 6. Pour installer en utilisant lemplacement par dfaut, cliquez sur Suivant ou entrez lemplacement choisi, puis cliquez sur Suivant. 7. Un cran de confirmation saffiche pour indiquer lemplacement de linstallation, le module install et la taille approximative du dossier dinstallation. Cliquez sur Suivant pour dmarrer linstallation. Si une ou plusieurs des informations affiches sont incorrectes, cliquez sur Prcdent pour revenir en arrire afin de pouvoir apporter les corrections requises. 8. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau.
2-8
6. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau.
o nom_hte est le nom du serveur AIX configur pour linstallation du client distant Web-based System Manager. 3. Cliquez sur le lien Linux qui saffiche sur la page Web. Le fichier wsmlinuxclient.exe est tlcharg sur votre machine. 4. Excutez ce fichier pour dmarrer la procdure dinstallation. Si la procdure de dmarre pas, modifiez les droits daccs au fichier afin de disposer des droits dexcution. Pour ce faire, entrez la commande suivante sur la ligne de commande :
chmod 755 wsmlinuxclient.exe
5. Lorsque le panneau dinstallation du client loign saffiche, cliquez sur Suivant pour continuer. 6. Pour installer en utilisant lemplacement par dfaut, cliquez sur Suivant ou entrez lemplacement choisi, puis cliquez sur Suivant. 7. Un cran de confirmation saffiche pour indiquer lemplacement de linstallation, le module install et la taille approximative du dossier dinstallation. Cliquez sur Suivant pour dmarrer linstallation. Si une ou plusieurs des informations affiches sont incorrectes, cliquez sur Prcdent pour revenir en arrire afin de pouvoir apporter les corrections requises. 8. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau. Remarque : Si les modifications ne prennent pas effet immdiatement, fermez votre session en cours et ouvrezen une autre, ou rgnrez votre fichier. /etc/profile.
o rp_install est le nom du rpertoire dans lequel le client distant est install.
2-9
Configuration dun serveur AIX pour linstallation de la scurit du client loign, page 2-10 Installation de la scurit du client distant Web-based System Manager sur le systme Windows, page 2-11 Dsinstallation de la scurit du client distant Web-based System Manager dun systme Windows, page 2-11 Installation de la scurit du client distant Web-based System Manager sur un systme Linux, page 2-12 Dsinstallation de la scurit du client distant Web-based System Manager dun systme Linux, page 2-12
2-10
/usr/websm/bin/configassist
3. Dans lassistant de configuration, suivez les instructions jusqu ce que vous atteigniez lcran principal. 4. Slectionnez Configuration dun serveur Web pour excution de Web-based System Manager dans un navigateur. 5. Cliquez sur Suivant. 6. Suivez les instructions affiches sur les crans successifs pour terminer les configurations.
Installation de la scurit du client distant Web-based System Manager sur le systme Windows
1. Dsinstallez les versions prcdentes de la scurit du client distant Web-based System Manager. Pour plus dinformations, reportezvous Dsinstallation de la scurit du client distant Web-based System Manager dun systme Windows, page 2-11. 2. Entrez ladresse suivante dans le navigateur Web de votre machine :
http:// nom_hte /remote_client_security.html
o nom_hte est le nom du serveur AIX configur pour linstallation de la scurit du client distant Web-based System Manager. 3. Cliquez sur le lien Windows qui saffiche sur la page Web. Le fichier setupsec.exe est tlcharg sur votre machine. 4. Excutez ce fichier pour dmarrer la procdure dinstallation. 5. Lorsque le panneau dinstallation de la scurit du client loign saffiche, cliquez sur Suivant pour continuer. 6. Pour installer en utilisant lemplacement par dfaut, cliquez sur Suivant ou entrez lemplacement choisi, puis cliquez sur Suivant. Remarque : Dans cette tape, vrifiez que vous avez slectionn le mme emplacement que celui que vous avez choisi ltape 6 de la section Installation du client distant Web-based System Manager sur le systme Windows, page 2-8. 7. Un cran de confirmation saffiche pour indiquer lemplacement de linstallation, le module install et la taille approximative du dossier dinstallation. Cliquez sur Suivant pour dmarrer linstallation. Si une ou plusieurs des informations affiches sont incorrectes, cliquez sur Prcdent pour revenir en arrire afin de pouvoir apporter les corrections requises. 8. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau.
Dsinstallation de la scurit du client distant Web-based System Manager dun systme Windows
1. A partir de la barre des tches, slectionnez Dmarrer > Paramtres > Panneau de configuration. 2. Dans le panneau de configuration, cliquez deux fois sur licne Ajout/Suppression de programmes. 3. Slectionnez Scurit du client distant Webbased System Manager dans la liste de programmes de la fentre dinstallation/dsinstallation, puis cliquez sur le bouton Modifier/Supprimer pour dmarrer lassistant de dsinstallation. Remarque : Il est possible que les versions antrieures de la scurit du client distant sintitulent Scurit du Client PC Web-based System Manager. 4. Cliquez sur Suivant dans le panneau initial.
2-11
5. Cliquez sur Suivant dans le panneau de confirmation pour dsinstaller la scurit du client distant. 6. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau.
Installation de la scurit du client distant Web-based System Manager sur un systme Linux
1. Dsinstallez la version prcdente de la scurit du client distant Web-based System Manager sur votre machine. Pour plus dinformations, reportezvous Dsinstallation de la scurit du client distant Web-based System Manager dun systme Linux, page 2-12. 2. Entrez ladresse suivante dans le navigateur Web de votre machine :
http:// nom_hte /remote_client_security.html
o nom_hte est le nom du serveur AIX configur pour linstallation de la scurit du client distant Web-based System Manager. 3. Cliquez sur le lien Linux qui saffiche sur la page Web. Le fichier setupsecl.exe est tlcharg sur votre machine. 4. Le tlchargement termin, excutez le fichier setupsecl.exe pour dmarrer la procdure dinstallation. Si la procdure ne dmarre pas, modifiez les droits daccs au fichier afin de disposer des droits dexcution. Pour ce faire, entrez la commande suivante sur la ligne de commande :
chmod 755 setupsecl.exe
5. Lorsque le panneau dinstallation de la scurit du client loign saffiche, cliquez sur Suivant pour continuer. 6. Pour installer en utilisant lemplacement par dfaut, cliquez sur Suivant ou entrez lemplacement choisi, puis cliquez sur Suivant. Remarque : Dans cette tape, vrifiez que vous avez slectionn le mme emplacement que celui que vous avez choisi ltape 6 de la section Installation du client distant Web-based System Manager sur le systme Linux, page 2-9. 7. Un cran de confirmation saffiche pour indiquer lemplacement de linstallation, le module install et la taille approximative du dossier dinstallation. Cliquez sur Suivant pour dmarrer linstallation. Si une ou plusieurs des informations affiches sont incorrectes, cliquez sur Prcdent pour revenir en arrire afin de pouvoir apporter les corrections requises. 8. Un cran dtat affiche des messages derreur si des erreurs se sont produites lors de linstallation, ou un message indiquant que linstallation a russi. Cliquez sur Fin pour fermer le panneau. Remarque : Si les modifications ne prennent pas effet immdiatement, fermez votre session en cours et ouvrezen une autre, ou rgnrez votre fichier. /etc/profile.
Dsinstallation de la scurit du client distant Web-based System Manager dun systme Linux
Pour dsinstaller la scurit du client loign sur un systme Linux, entrez la commande suivante :
rp_install /_uninstssl/uninstallssl
o rp_install est le nom du rpertoire dans lequel le client distant est install.
2-12
2-13
Remarque : Avant de lancer cette commande, vous devez vous assurer que Tivoli NetView est install et quil fonctionne correctement. Pour supprimer Web-based System Manager de Tivoli NetView, entrez la commande suivante :
/usr/websm/bin/remove_nv6k
2-14
3-1
Zone de navigation
La zone de navigation affiche une hirarchie dicnes reprsentant des groupes dordinateurs, des ordinateurs individuels, des ressources gres et des tches. Chaque icne de la zone de navigation identifie un module complmentaire. Lenvironnement de gestion se trouve la racine de la structure hirarchique. Le module complmentaire Environnement de gestion contient au moins un module complmentaire correspondant un ordinateur hte gr par la console. Chaque module complmentaire dordinateur contient plusieurs modules complmentaires dapplication comportant des objets grs, des tches et des actions pour un ensemble li dentits ou de ressources systme. Lorsque vous cliquez sur licne dun module complmentaire dans la zone de navigation, il souvre et affiche son contenu dans la zone de contenu. Les icnes de la zone de navigation peuvent tre prcdes dun signe + (symbole dextension) ou dun signe (symbole de rduction). Le symbole dextension indique que le module complmentaire correspondant contient dautres modules complmentaires qui ne sont pas affichs. Le symbole de rduction indique que le module complmentaire a dj t tendu pour afficher les modules complmentaires quil contient. Cliquer sur le symbole permet dafficher ou de masquer les modules complmentaires contenus dans le module considr mais naffecte pas la zone de contenu. Lorsque vous cliquez une fois sur une icne de la zone de navigation, les modules complmentaires de niveau infrieur saffichent dans la zone de contenu, mais la branche de la zone de navigation reprsente par le symbole dextension nest pas dveloppe. En revanche, lorsque vous cliquez deux fois sur une icne de la zone de navigation, larborescence de la branche de navigation se dveloppe et la zone de contenu est mise jour de manire afficher les modules complmentaires de niveau infrieur. Vous pouvez ajuster la largeur de la zone de navigation par rapport la zone de contenu en cliquant sur la barre de fractionnement et en la faisant glisser vers la droite ou vers la gauche. Pour optimiser lespace disponible pour la zone de contenu dans la console, vous pouvez masquer totalement la zone de navigation en faisant glisser la barre de fractionnement lextrme gauche de la fentre. Vous pouvez galement cliquer sur le cadre de la zone de navigation pour la fermer, ou pour la rouvrir, selon quelle est affiche ou non.
3-2
Zone de contenu
La zone de contenu affiche les lments contenus dans un module complmentaire. La zone de contenu affiche les trois principaux types de modules complmentaires suivants : Conteneurs, page 3-3 Gnralits, page 3-5 Lanceurs, page 3-5
Conteneurs
Les conteneurs ou modules complmentaires Conteneur renferment dautres modules complmentaires, des icnes reprsentant les ressources systme (objets grs) ou des objets grs associs des modules complmentaires. Les conteneurs constituent le principal type de module complmentaire de linterface utilisateur de Web-based System Manager. Ils sapparentent des dossiers contenant des sousdossiers ou des objets renfermant des informations. Les conteneurs permettent entre autres de visualiser les caractristiques, de crer ou de supprimer des ressources systme. Ils prsentent des objets de ressources dans une ou plusieurs vues. Web-based System Manager prend en charge les vues suivantes : Icnes normales Icnes rduites Dtails Arborescence Arborescence dtaille
3-3
Longlet Avanc permet de dfinir de une trois rgles de masquage des objets bases sur les attributs de ces objets. Par exemple, pour masquer tous les administrateurs dans le module complmentaire Tous les utilisateurs, procdez comme suit : 1. Ouvrez la bote de dialogue de filtrage et slectionnez longlet Avanc. Vrifiez que la case Masquage des objets est coche. 2. Vrifiez que la valeur de loption Elments correspondants est masqus. Si vous dfinissez plusieurs rgles de masquage, gardez lesprit que : . la valeur Correspond toutes les rgles filtre les lments qui correspondent toutes les rgles dfinies ; . la valeur Correspond une rgle quelconque filtre les lments qui correspondent lune des rgles dfinies au moins. 3. Slectionnez la caractristique Type et la relation =. 4. Tapez la valeur correspondante Administrateur, puis cliquez sur OK ou sur Application. Tous les administrateurs sont supprims de laffichage. Pour crer des rgles supplmentaires, cliquez sur le bouton Ajout dune rgle. Une nouvelle ligne de dfinition de rgles saffiche. Les rgles multiples sont combines par loprateur AND. Pour supprimer des rgles, cliquez sur le bouton Suppression situ droite de la rgle supprimer. Pour supprimer la dernire rgle, supprimez la valeur de la rgle. Pour afficher uniquement les lments correspondant aux critres de filtrage, vous pouvez dfinir loption Elments correspondants sur la valeur affichs. Dans lun des deux onglets de la bote de dialogue de filtrage, vous pouvez dsactiver le filtrage en cochant la case Dsactiver tous les filtres. Vos critres de filtrage restent dfinis et vous pouvez les ractiver en dslectionnant cette case. Lorsque la case Masquage est coche sur les onglets Filtre et Avanc, vous pouvez les utiliser en association. Les modes daffichage Icnes normales, Icnes rduites et Dtails permettent galement de modifier lordre daffichage des objets en effectuant un tri. Ce tri peut seffectuer selon un grand nombre dattributs (ou caractristiques). Deux modes de tri sont disponibles : Vue Dtails Pour trier les objets, cliquez sur lentte de colonne correspondant lattribut de tri souhait. Lordre de tri alterne entre croissant et dcroissant chaque clic sur lentte. La vue Dtails permet galement de modifier lordre des colonnes ainsi que leur largeur. Pour changer la position dune colonne, dplacez son entte jusqu lemplacement voulu (lentte de colonne de gauche, qui correspond gnralement au nom des objets, est verrouill). Pour modifier la largeur dune colonne, dplacez vers la droite ou vers la gauche la ligne verticale qui spare son entte de celui de la colonne suivante ou prcdente. Vue Arborescence Les vues Arborescence et Dtails sont identiques aux vues Icnes et Dtails, cette diffrence prs que les informations y sont prsentes sous forme darborescence. Les lignes qui comportent un symbole plus (+) peuvent tre dveloppes dun clic pour afficher les lignes filles supplmentaires. Les lignes qui comportent un symbole moins () peuvent tre rduites dun clic pour masquer les lignes filles supplmentaires. Le tri et le filtrage ne sont pas disponibles dans les vues Arborescence.
3-4
Vue Icnes Vous pouvez trier les objets en slectionnant le menu Vue, puis loption Rorganiser les icnes. La liste des caractristiques disponibles pour le tri de la vue apparat alors. Dans Webbased System Manager, les icnes sont souvent utilises pour indiquer ltat dun objet gr. Le tableau suivant dcrit les conventions utilises pour indiquer les principaux tats ou conditions : Condition ou tat Objet normal, actif Aspect Icne pleine Exemple Signification Compte utilisateur actif Volume logique (connect) Processus actif Objet inactif, non Contour de lobjet configur ou incomplet uniquement Compte utilisateur expir Volume logique (dconnect) Processus inactif Objet manquant Traitement Objet en cours de mise jour Problme au niveau de lobjet Contour de lobjet en pointills Indicateur temporel Alarme Processus supprim (zombie) Mise jour Avertissement Problme grave
Problme grave au Danger niveau de lobjet Une intervention immdiate est requise
Gnralits
Les modules complmentaires Gnralits sont des interfaces de type page Web qui saffichent dans la zone de contenu et qui : dcrivent les fonctions fournies par un ou plusieurs modules complmentaires constituant une application ; fournissent un accs direct des tches de routine ou dinitiation ; constituent un rcapitulatif de ltat des principales ressources gres par lapplication. Dans la mesure o les gnralits naffichent pas dobjets, elles simplifient laccs aux tches courantes. Elles sont galement utilises avec les fonctions de gestion ne concernant quune seule tche et ne ncessitant pas dicne pour reprsenter les ressources systme (sauvegarde et restauration, par exemple).
Lanceurs
Les lanceurs (ou modules complmentaires Lancement) sont similaires aux modules complmentaires Gnralits. Il sagit de panneaux de type page Web destins dcrire et fournir des points dorigine aux applications fonctionnant dans un environnement propre, indpendamment de la console Web-based System Manager.
3-5
3-6
Menu Aide Le menu Aide rpertorie les options daide lutilisateur. Lorsque lordinateur exploit en tant que serveur de gestion de systme est correctement configur avec un serveur HTTP pour faire office de serveur de documentation, vous disposez dune aide en ligne complte accessible depuis un navigateur Web. Plusieurs options sont proposes, qui permettent dafficher le sommaire de laide, deffectuer une recherche sur une rubrique particulire et dafficher laide relative aux touches de raccourci. Menus en incrustation Les menus en incrustation (galement appels menus contextuels) permettent daccder rapidement diverses options de menu. Pour utiliser les menus en incrustation au moyen dune souris, cliquez avec le bouton droit sur un objet. Le menu en incrustation affiche les actions disponibles dans les menus Slectionn(s) et Objet applicables lobjet ou aux objets considrs. Barre doutils La barre doutils rpertorie les actions courantes qui sont disponibles lorsque le module complmentaire en cours est charg. Elle inclut les commandes de navigation, les options de recherche et de visualisation (si disponibles). La barre doutils affiche galement une infobulle lorsque le pointeur de la souris reste positionn sur une icne de la barre pendant quelques secondes.
3-7
Aide
Web-based System Manager propose un grand nombre de procdures dobtention dassistance et dinformations complmentaires. Infobulles Fournit une assistance sur les icnes de la barre doutils. Placez le curseur sur une icne de la barre doutils et attendez quelques secondes. Un petit encart de texte apparat, prsentant la signification de licne. Astuces Fournit de laide sur les tches courantes effectues avec le module complmentaire actif. Les astuces sont affiches entre les barres de menus et doutils. Elles apparaissent sous la forme dinstructions simples ou de liens hypertextes vers laide Java. laide du sousmenu Affichage du menu Vue, lutilisateur peut choisir de masquer ou dafficher les astuces. Aide contextuelle Fournit une assistance sur lutilisation des botes de dialogue. Pour accder laide contextuelle, cliquez sur le bouton Aide dans langle infrieur droit de la bote de dialogue. Une petite fentre daide contextuelle apparat. Lorsque vous cliquez sur les diffrentes commandes de la bote de dialogue, lassistance correspondant lutilisation de ces commandes apparat dans la fentre daide contextuelle. Lorsque laide contextuelle est active, vous ne pouvez accder aux commandes de la bote de dialogue que pour visualiser laide les concernant. Pour pouvoir utiliser les commandes, vous devez tout dabord fermer la fentre daide contextuelle en cliquant sur le bouton Fermeture de cette fentre ou en cliquant sur le bouton Aide de la bote de dialogue pour laquelle vous avez cherch de laide. Aide Java Fournit des informations exhaustives concernant les tches de laide Java. Pour pouvoir utiliser le systme daide Java, vous devez avoir configur un serveur de documents. Une fois que le serveur daide a t identifi auprs de lhte gr, vous pouvez accder laide Java en effectuant une slection dans le menu Aide de la barre de menus ou en cliquant sur un lien dans la zone Astuces.
3-8
Zone Astuces
La zone Astuces propose des rponses rapides des questions frquemment poses. Une astuce peut tre une simple instruction dune ligne, comme Pour ajouter un hte grer, slectionnez Console, puis Ajout . Il est cependant plus frquent de trouver des astuces sous forme de liens hypertextes. Si laide HTML (par navigateur) est correctement configure, le fait de cliquer sur une astuce hypertexte ouvre votre navigateur Web par dfaut et charge la rubrique correspondant au lien. Vous pouvez choisir dafficher ou de masquer la barre dastuces en activant ou dsactivant loption Zone Astuces du sousmenu Affichage du menu Vue.
3-9
3-10
Barre dtat
La barre dtat est situe tout en bas de la fentre de console. Elle comporte les cinq zones daffichage dinformations dtat suivantes : Licne reprsentant un cadenas indique, lorsque ce cadenas est ferm, que la console sexcute en mode scuris. Dans ce cas, les communications entre la plateforme cliente qui excute la console et lordinateur gr sont chiffres par le protocole SSL. Lorsque les communications ne seffectuent pas en mode scuris, licne reprsente un cadenas ouvert. tat de chargement du module complmentaire. Lorsquun module complmentaire est charg, le message Prt saffiche. Lorsque le module complmentaire est en cours de chargement, une barre de progression saffiche. Nombre dobjets visibles dans la zone de contenu. Il est possible que des objets prsents sur lhte gr soient masqus par le filtre de la vue. Nombre dobjets slectionns dans la zone de contenu. Contexte de scurit (noms dutilisateur et dhte) de ladministrateur pour le module complmentaire actif. Vous pouvez afficher ou masquer la barre dtat en slectionnant ou dslectionnant loption Barre dtat dans le sousmenu Affichage du menu Vue.
3-11
Juxtaposition verticale
3-12
Fichiers de prfrences
Un fichier de prfrences est utilis pour contrler les fonctions suivantes de Webbased System Manager : Formatage dune fentre fille dans la fentre de la console pour que seuls les composants spcifis par lutilisateur saffichent. Dfinition des prfrences relatives aux vues, filtres et tris spcifies par lutilisateur. Dfinition dune procdure de gestion de diffrents domaines de machines. Lorsque Web-based System Manager est dmarr, le fichier de prfrences slectionn affiche la session avec les prfrences sauvegardes lors du dernier enregistrement. Ces prfrences comprennent, entre autres, le format de la fentre de console et les machines gres. Par dfaut, le fichier de prfrences est enregistr sous :
$HOME/WebSM.pref
o $HOME reprsente le rpertoire principal de lutilisateur sur la machine qui effectue la gestion. Pour sauvegarder ltat de la console, utilisez loption de menu Console > Sauvegarde. Vous pouvez galement enregistrer ltat de la console dans dautres fichiers de prfrences. Pour cela, utilisez loption de menu Console > Sauvegarde sous... pour afficher une bote de dialogue dans laquelle vous pouvez entrer un autre chemin daccs. Pour utiliser un fichier de prfrences autre que celui par dfaut, reportezvous Modes dexploitation, page 1-4. Les fentres filles dune fentre de console Web-based System Manager possdent de nombreux composants qui peuvent tre affichs ou masqus selon vos prfrences. Les prfrences de format de ces fentres filles sont enregistres dans un fichier de prfrences et utilises lorsquune session est lance avec le fichier de prfrences spcifi. Vous pouvez afficher ou masquer les composants de la fentre fille laide de loption du menu en cascade Vue > Affichage. Le tableau suivant prsente les composants que vous pouvez afficher ou masquer et indique sils sont enregistrs dans le fichier de prfrences : Composant Zone de navigation Barre doutils Barre dastuces Barre de description Barre dtat Ltat estil enregistr dans le fichier de prfrences ? Non Oui Oui Oui Oui
Lors dune session Web-based System Manager, vous pouvez ouvrir plusieurs fentres filles. Les prfrences de format des fentres filles enregistres la fin dune session ( condition que lutilisateur prcise que les prfrences doivent tre sauvegardes lors de la fermeture) sont celles de la fentre fille en cours la fin de la session. Lorsque ce fichier de prfrences est utilis pour lancer une autre session, la fentre fille de la fentre de console (une seule fentre fille est cre lorsquune session est lance) utilise les prfrences de format enregistres. Pour chaque application charge, vous pouvez dfinir les objets afficher et le type daffichage laide des options de vue, de tri et de filtrage. Les options slectionnes pour chaque application sont stockes dans le fichier de prfrences. Ces options sont alors utilises lorsquune session est lance avec le fichier de prfrences leur emplacement denregistrement. Vous pouvez dfinir ces options de plusieurs faons :
3-13
Choisissez une vue dapplication en slectionnant loption de menu Vue > Option de vue. Choisissez un ordre de tri des objets en slectionnant loption du menu en cascade Vue > Rorganiser les icnes. Choisissez de filtrer les objets affichs en slectionnant loption de menu Vue > Filtrage des icnes. Les ordinateurs htes grs lors dune session Web-based System Manager sont sauvegards dans le fichier de prfrences. Vous pouvez ainsi grer plusieurs domaines de machines en lanant des sessions avec diffrents fichiers de prfrences. Vous pouvez donc disposer dun fichier de prfrences correspondant un groupe constitu de serveurs HTTP et dun autre fichier de prfrences correspondant un groupe constitu de serveurs de transactions. Pour enregistrer un groupe de machines dans un fichier de prfrences, vous devez les ajouter lenvironnement de gestion de Web-based System Manager lors dune session. Pour ajouter des machines lenvironnement de gestion pendant une session, slectionnez loption de menu Console > Ajout > Htes.... Cette option affiche une bote de dialogue dans laquelle vous pouvez entrer des ordinateurs htes individuels ou une liste de machines htes contenue dans un fichier.
3-14
3-15
/usr/websm/bin/wsm
Dmarrage dune session client Web-based System Manager. Arguments : host hte grant Contraint Web-based System Manager se connecter dabord lhte spcifi. Bien que vous puissiez facilement grer dautres htes lorsque vous excutez Webbased System Manager, cette option vous permet de dmarrer Web-based System Manager avec les prfrences que vous avez dfinies sur la machine hte indique. lang Langue Indique la langue utilise pour les messages. Si lensemble de fichiers sysmgt.msg. Langue.websm.apps nest pas install, les messages saffichent en anglais. port numro de port Force Web-based System Manager se connecter tout autre hte laide du port spcifi. Ce numro de port doit correspondre celui des machines gres pour le service wsmserver spcifi dans le fichier /etc/services. profile chemin du fichier de prfrences Spcifie un fichier de prfrences diffrent. Le fichier de prfrences par dfaut, appel WebSM.pref, se trouve dans le rpertoire personnel de lutilisateur. Cette option vous permet dutiliser un autre fichier de prfrences. Elle peut savrer utile si lutilisateur gre diffrents ensembles de machines pour diffrent clients. Remarque : Le fichier de prfrences est lu soit sur la machine locale (personnelle), soit sur la machine spcifie dans largument host.
3-16
user nom dutilisateur Contraint Web-based System Manager sexcuter sous le nom dutilisateur indiqu. Lutilisateur est invit entrer son mot de passe. DdefaultTurners= valeur Lorsque la valeur est true, les tourneurs de Java Look and Feel sont utiliss la place des tourneurs de Windows pour des nuds darborescence parents dans la zone de navigation et dans la zone de contenu. Aucune ligne brise nest trace entre les objets de larborescence. DdrawTreeLine= valeur Lorsque la valeur est true et que DdefaultTurners=true, des lignes brises sont traces entre des objets darborescence dans la zone de navigation et dans la zone de contenu. Ddatadir= chemin Indique un autre rpertoire examiner pour rechercher les fichiers de configuration se trouvant normalement dans /var/websm/config/user_settings. DfontSize= valeur Indique le corps des caractres en points (de 12 18). La taille par dfaut est 12. DthemeType= valeur Indique un thme. Vous avez le choix entre Classic, option par dfaut correspondant la valeur 0, et Titanium, option associe la valeur 1. Le thme Classic se caractrise par un fond blanc dans les zones de navigation et de contenu (panneau de droite), des barres de dfilement violettes et une mise en vidence en violet des objets slectionns. Le thme Titanium se caractrise par un fond gris fonc dans les zones de navigation et de contenu (panneau de droite), des barres de dfilement gris clair et une mise en vidence en jaune des objets slectionns.
3-17
/usr/websm/bin/wsmaccess
Conteneur de la commande wsm pour activer les fonctions daccessibilit. Arguments : Identiques /usr/websm/bin/wsm. Active ou dsactive une machine utilise comme serveur Web-based System Manager, savoir une machine pouvant tre gre via un client Web-based System Manager. Arguments : enable Met jour les services TCP/IP de telle sorte que le dmon inetd traite les requtes client Webbased System Manager sur le port 9090. Par dfaut, Web-based System Manager est configur linstallation pour refuser les requtes client. disable Supprime le port 9090 des ports traits par le dmon inetd. Ainsi, la machine ne rpond plus aux nouvelles requtes client Web-based System Manager. Elle ne met pas fin aux processus serveur Web-based System Manager existants. listenport numro de port Permet de changer le port auquel Web-based System Manager se connecte. portstart dbut de plage Dfinit le plus petit numro de port de la plage de ports socket de serveur dans laquelle le systme effectue dynamiquement un choix. portend fin de plage Dfinit le plus grand numro de port de la plage de ports socket de serveur dans laquelle le systme effectue dynamiquement un choix. ssloptional Permet lutilisateur de grer le serveur via une connexion SSL ou une connexion standard. sslalways Ne permet au client de grer le serveur que si une connexion SSL peut tre tablie entre le client et le serveur.
/usr/websm/bin/wsmserver
3-18
Si cette variable est dfinie sur true, true ou false elle indique que la machine sur laquelle le fichier websm.cfg est stock ne peut tre gre que si le client concern peut tablir une connexion SSL avec la machine grante. Reportezvous Scurit Web-based System Manager, page 5-1. Remarque : Sur les systmes antrieurs AIX 5.1, Web-based System Manager interprtait lindicateur forcessl diffremment. En effet, lorsque forcessl avait pour valeur true et que la fonction SSL tait configure sur le serveur, lapplication considrait quune communication SSL tait ncessaire. Sous AIX 5.1, le serveur ne peut pas tre gr par un client loign si forcessl a pour valeur true et si la fonction SSL nest pas configure. Valeurs entires La valeur approprie peut dpendre des performances du rseau. La valeur par dfaut est dfinie 30 000 (30 secondes). Si les performances du rseau sont rduites (il est frquent que des tentatives daccs des machines loignes existantes et disponibles naboutissent pas), cette valeur doit tre augmente.
remote_timeout Temps (en millisecondes) pendant lequel un client attend une connexion une machine gre. Si la connexion ne peut pas tre tablie dans ce laps de temps, le client abandonne lopration. Si le client nabandonne pas lopration, il peut attendre indfiniment si une tentative de gestion dune machine inexistante a t effectue.
La seule option que Web-based System Manager utilise actuellement est forcessl. Cet indicateur est utilis lorsquun client se connecte une machine gre. Si la valeur de forcessl est true, le serveur pourra se connecter au client uniquement par lintermdiaire de connexions scurises (sockets SSL). Sinon, le serveur tentera de se connecter via des connexions scurises si la fonction SSL est configure sur le client et sur le serveur. En cas dincident lors dune connexion via des sockets SSL, le serveur autorisera le client se connecter au moyen de sockets non scuriss (reportezvous Scurit Web-based System Manager, page 5-1).
3-19
Mnmoniques et raccourcis
Vous pouvez accder aux diffrentes fonctions des menus laide des mthodes dutilisation du clavier suivantes : Mnmoniques : il sagit de lettres soulignes dans les options des menus et des botes de dialogue. Pour accder une option de menu ou une commande visible, appuyez sur la touche Alt, puis sur le mnmonique. Lorsque vous utilisez des mnmoniques, il nest pas ncessaire dutiliser la barre despace ou la touche Entre pour slectionner un lment. Raccourcis : galement appels acclrateurs, ce sont des combinaisons de touches du clavier qui activent directement les options frquemment utilises. Ils permettent galement daccder aux fonctions par une combinaison de touches compose de la touche Ctrl et dun caractre. Contrairement aux mnmoniques, les raccourcis de menu ne requirent pas que les options de menus soient visibles pour que vous puissiez y accder directement.
chap F1 F8
F10 Touche Maj + flche Barre despace, Entre Tabulation, Maj + Tabulation
3-20
3-21
Journal de session
Le journal de session est une fonction de la console qui permet deffectuer le suivi des modifications effectues sur les htes grs au cours dune session Web-based System Manager. Ds quun administrateur utilise Web-based System Manager pour apporter une modification un hte, une entre est cre dans le journal. Des entres peuvent galement tre gnres par des applications pour la consignation des rsultats intermdiaires, davertissements ou de conditions derreur. Chaque entre indique la date, lheure et lauteur de la modification, lhte sur lequel elle a t effectue et un bref message. Pour consulter la totalit du texte dun message, cliquez deux fois sur le message. Cliquez sur les colonnes affiches dans la fentre du journal pour modifier lordre de tri des entres. Vous pouvez, par exemple, trier les entres par date et par heure (ordre par dfaut), par nom dhte, par nom dutilisateur et par message. La fentre du journal inclut une fonction de recherche qui permet de rechercher les entres comportant une chane de texte donne. Ladministrateur peut galement grer le journal en effaant son contenu laide du bouton Effacement ou en sauvegardant son contenu laide des boutons Sauvegarde ou Sauvegarde sous. Pour afficher le journal de session, slectionnez Console > Journal de session.
3-22
4-1
Exemples
Pour ajouter une seule machine appele chocolat.bull.com : 1. Slectionnez Ajout de cet hte : 2. Dans la zone de saisie, tapez chocolat.bull.com . 3. Cliquez sur Ajout. Le nom dordinateur attribu saffiche dans la zone de navigation et dans le panneau de navigation. Sous la barre de progression, un message indique : Ajout russi... chocolat.bull.com. Pour ajouter une seule machine et vrifier sa prsence sur le rseau : 1. Slectionnez Ajout de cet hte : 2. Dans la zone de saisie, tapez coco.bull.com. 3. Slectionnez Vrification de la prsence de lhte sur le rseau. 4. Cliquez sur Ajout.
4-2
Le nom dordinateur attribu saffiche dans la zone de navigation et dans le panneau de navigation. Si lordinateur hte nexiste pas sur le rseau, un message derreur Web-based System Manager saffiche, indiquant que lhte ne peut tre contact. Pour ajouter une liste dordinateurs partir dun fichier : 1. Slectionnez Ajout des htes du fichier : 2. Tapez le chemin daccs complet du fichier dans la zone de saisie, ou cliquez sur Parcourir et slectionnez le fichier. 3. Cliquez sur oui dans la bote de dialogue de confirmation pour ajouter la liste de machines. Un message saffiche sous la barre de progression indiquant la machine dont lajout est en cours. A la fin de lopration, le message Opration excute avec succs saffiche. Les noms des machines ajoutes saffichent dans la zone de navigation et dans le panneau de navigation.
4-3
4-4
5-1
5-2
Scnarios de scurit
Les diffrentes possibilits de configuration, ou scnarios, sont dcrites dans les sections suivantes : Fichiers de cls prts , page 5-4 Gestion de sites multiples, page 5-7 Eviter le transfert des cls prives, page 5-11 Utilisation dune autre autorit de certification (CA), page 5-14
5-3
5-4
Mot de passe Ce mot de passe permet de chiffrer le fichier de cls prives de lautorit de certification. Vous devez lentrer chaque fois que vous effectuez une tche sur cette autorit de certification. Vous pouvez galement dfinir une CA interne partir de la ligne de commande avec la commande /usr/websm/bin/smdefca. 2. Crer des fichiers de cls prives pour les serveurs Web-based System Manager. Indiquez les noms TCP/IP complets de tous vos serveurs Web-based System Manager. Dans la liste des tches de lAutorit de certification, slectionnez Cration des fichiers de cls prives des serveurs. Dans la bote de dialogue de mot de passe de lautorit de certification, entrez le mot de passe spcifi lors de la cration de lautorit de certification. Entrez les informations suivantes : Liste de serveurs Ajoutez la liste le nom de vos serveurs Web-based System Manager. Vous pouvez les saisir dans la bote de dialogue (un la fois) ou indiquer le nom dun fichier contenant la liste de vos serveurs (un par ligne). Pour obtenir le nom des serveurs partir du fichier, saisissez le nom du fichier dans la zone Fichier contenant une liste des serveurs et cliquez sur Affichage du fichier. La bote de dialogue Parcourir le fichier contenant une liste des serveurs vous permet de slectionner certains (ou tous les) serveurs de la liste. Nom de socit Indiquez un nom descriptif qui identifie votre socit ou votre organisation. Code pays ou rgion ISO Indiquez votre code rgion ou code pays ISO (2 caractres) ou slectionnezle dans la liste. Emplacement des fichiers de cls prives Saisissez le rpertoire dans lequel vous dsirez que les fichiers de cls prives du serveur soient contenus. Vous devez ensuite les transfrer sur les serveurs et les installer. Longueur des cls serveur (en bits) Slectionnez une longueur de cl. Remarque : Cette zone saffiche uniquement si lensemble de fichiers sysmgt.websm.securityus est install. Date dexpiration lexpiration du certificat, vous devez gnrer des nouveaux fichiers de cls prives pour vos serveurs. Vous pouvez modifier cette date ou conserver la valeur par dfaut. Chiffrement des fichiers de cls prives serveur Cette bote de dialogue cre un fichier de cls prives pour chaque serveur spcifi. Chacun de ces fichiers contient la cl prive dun serveur. Par consquent, il doit toujours tre protg. Pour cela, vous pouvez chiffrer ces fichiers. Si vous slectionnez cette option, vous tes invit entrer un mot de passe. Ce mot de passe est ncessaire lorsque vous installez les cls prives sur les serveurs. Lorsque vous cliquez sur OK, un fichier de cls prives est cr pour chaque serveur que vous avez spcifi. Vous pouvez galement gnrer des fichiers de cls publiques partir de la ligne de commande avec la commande /usr/websm/bin/smgenprivkr. 3. Copier le fichier de cls publiques (SM.pubkr) sur tous les serveurs et clients. Une copie du fichier de cls publiques de lautorit de certification contenu dans le rpertoire indiqu ltape 1 doit tre place sur vos serveurs et clients Web-based System Manager, dans le rpertoire que vous avez choisi lors de linstallation et qui doit tre conforme aux indications suivantes :
5-5
sur un client AIX, utilisez le rpertoire /usr/websm/codebase ; sur un client Windows, utilisez le rpertoire Program Files\websm\codebase ; sur un client Linux, utilisez le rpertoire /opt/websm/codebase. Remarque : Ce fichier doit tre copi au format binaire. Remarque : Le contenu de ce fichier nest pas confidentiel. Cependant, si vous le placez sur une machine client, il devient possible de connatre lautorit de certification laquelle le client se fie. Laccs ce fichier sur le client doit donc tre limit. En mode applet, le client peut faire confiance au serveur pour transmettre ce fichier en mme temps que lapplet, condition dutiliser le protocole HTTPS. 4. Copier les fichiers de cls prives sur tous les serveurs Chaque fichier de cls prives doit tre install sur le serveur. Vous pouvez transfrer les fichiers vers les cibles appropries en toute scurit. Vous pouvez utiliser un rpertoire partag et une disquette TAR, de la manire suivante : Rpertoire partag : Placez tous les fichiers de cls sur un rpertoire partag (NFS ou DFS, par exemple) accessible chaque serveur. Remarque : Pour utiliser cette mthode, vous devez avoir choisi de chiffrer les fichiers de cls prives du serveur dans la bote de dialogue Cration des fichiers de cls prives des serveurs, car les fichiers transfrs ne sont pas chiffrs. Nous vous recommandons galement de naccorder qu ladministrateur les droits daccs au rpertoire partag. Disquette TAR : Gnrez une disquette TAR contenant tous les fichiers de cls prives du serveur. Larchive TAR ne doit faire mention que des noms de fichiers, sans les chemins daccs. Pour cela, placez les rpertoires dans le rpertoire contenant les fichiers de cls prives du serveur et excutez la commande tar cvf /dev/fd0 *.privkr. Installez les fichiers de cls prives sur chaque serveur. a. Connectezvous sur chaque serveur en tant quutilisateur root, lancez Web-based System Manager et slectionnez Environnement de gestion > nom_hte > Scurit Webbased System Manager > Scurit serveur. b. Dans la liste des tches, slectionnez Installation du fichier de cls prives du serveur. c. Slectionnez lemplacement des fichiers de cls prives du serveur. Si vous utilisez une disquette, slectionnez Disquette tar. d. Insrez la disquette. e. Cliquez sur OK. Si les fichiers de cls prives ont t chiffrs, vous devez indiquer le mot de passe. La cl prive du serveur est installe dans le fichier /var/websm/security/SM.privkr. Rptez cette procdure pour chaque serveur. Vous pouvez galement distribuer des fichiers de cls prives tous les serveurs partir de la ligne de commande avec la commande /usr/websm/bin/sminstkey.
5-6
5-7
Chiffrement des fichiers de cls prives serveur Cette bote de dialogue cre un fichier de cls prives pour chaque serveur spcifi. Chacun de ces fichiers contient la cl prive dun serveur. Par consquent, il doit toujours tre protg. Pour cela, vous pouvez chiffrer ces fichiers. Si vous slectionnez cette option, vous tes invit entrer un mot de passe. Ce mot de passe est ncessaire lorsque vous importez les certificats signs et que vous installez les cls prives sur les serveurs. Lorsque vous cliquez sur OK, un fichier de cls prives et une demande de certificat sont crs pour chaque serveur spcifi. Vous pouvez galement gnrer des cls prives et des demandes de certificats partir de la ligne de commande avec la commande /usr/websm/bin/smgenkeycr. 2. Obtenir la signature de la CA dans le site A. Transfrez les fichiers de demandes de certificats lautorit de certification pour le site A. Ces demandes ne contiennent pas des donnes confidentielles. Cependant, leur intgrit et authenticit doivent tre garanties pendant le transfert. Transfrez une copie des fichiers de demandes de certificats du serveur du site B vers un rpertoire de la machine de lautorit de certification du site A. Connectezvous localement la machine de lautorit de certification du site A en tant quutilisateur root, puis lancez Webbased System Manager. Vous ne pouvez pas accder aux applications de configuration des paramtres de scurit de Web-based System Manager si vous ne vous tes pas connect en tant quutilisateur root ou si vous excutez Web-based System Manager dans une application loigne ou en mode applet. Slectionnez Environnement de gestion > nom_hte > Scurit Webbased System Manager > Autorit de certification. Dans la liste des tches de lAutorit de certification, slectionnez Signature des demandes de certificats. Entrez les informations suivantes : Rpertoire des demandes de certificats Indiquez le nom du rpertoire contenant les demandes de certificats. Puis, cliquez sur Mise jour de la liste. La liste de demandes de certificats saffiche. Slectionnez les demandes de certificats signer Pour slectionner des demandes de certificats individuellement, cliquez sur leur nom dans la liste. Pour slectionner toutes les demandes de certificats rpertories, cliquez sur Slection globale. Date dexpiration du certificat lexpiration du certificat, vous devez rpter cette procdure pour gnrer des nouveaux fichiers de cls prives pour vos serveurs. Vous pouvez modifier cette date ou conserver la date indique par dfaut. Lorsque vous cliquez sur OK, un fichier de certificat est cr pour chaque serveur que vous avez slectionn. Les certificats sont enregistrs dans le rpertoire contenant les demandes de certificats. Vous pouvez galement obtenir les certificats signs par la CA en excutant la commande suivante partir de la ligne de commande : /usr/websm/bin/smsigncert. 3. Importer les certificats signs dans les fichiers de cls prives des serveurs. Lors de cette tape, transfrez les certificats de lautorit de certification du site A au serveur du site B. Copiezles dans le rpertoire contenant les demandes de certificats et les fichiers de cls prives du serveur crs ltape 1. Puis, sur le serveur du site B, slectionnez Importation de certificats signs dans la liste des tches de Scurit serveur.
5-8
Entrez les informations suivantes : Rpertoire de certificats et de cls prives Tapez le nom du rpertoire contenant les certificats signs et les fichiers de cls prives du serveur. Cliquez sur Mise jour de la liste. La liste des serveurs pour lesquels un certificat a t sign ainsi quun fichier de cls prives saffichent. Slectionnez un ou plusieurs serveurs dans la liste Pour slectionner des serveurs individuellement, cliquez sur leur nom dans la liste. Pour slectionner tous les serveurs rpertoris, cliquez sur Slection globale. Lorsque vous cliquez sur OK, vous tes invit entrer le mot de passe si les fichiers de cls prives du serveur ont t chiffrs ltape 1. Pour chaque serveur slectionn, le certificat est ensuite import dans le fichier de cls prives et ce dernier est cr. Vous pouvez importer des certificats signs partir de la ligne de commande avec la commande /usr/websm/bin/smimpservercert. 4. Copier les fichiers de cls prives sur tous les serveurs. Chaque fichier de cls prives doit tre install sur le serveur. Vous pouvez transfrer les fichiers vers les cibles appropries en toute scurit. Vous pouvez utiliser un rpertoire partag et une disquette TAR, de la manire suivante : Rpertoire partag : Placez tous les fichiers de cls sur un rpertoire partag (NFS ou DFS, par exemple) accessible chaque serveur. Remarque : Pour utiliser cette mthode, vous devez avoir choisi de chiffrer les fichiers de cls prives du serveur dans la bote de dialogue Cration de cls prives et de demandes de certificat pour ce serveur ou dautres, car les fichiers ne sont pas chiffrs par dfaut. Nous vous recommandons galement de naccorder qu ladministrateur les droits daccs au rpertoire partag. Disquette TAR : Gnrez une disquette TAR contenant tous les fichiers de cls prives du serveur. Larchive TAR ne doit faire mention que des noms de fichiers, sans les chemins daccs. Pour cela, accdez au rpertoire contenant les fichiers de cls prives du serveur et excutez la commande tar cvf /dev/fd0 *.privkr. Installez les fichiers de cls prives sur chaque serveur. a. Connectezvous sur chaque serveur en tant quutilisateur root et lancez Webbased System Manager. b. Slectionnez Environnement de gestion > nom_hte > Scurit Webbased System Manager > Scurit serveur. c. Slectionnez Installation du fichier de cls prives du serveur. d. Slectionnez lemplacement des fichiers de cls prives du serveur. Si vous utilisez une disquette TAR, insrezla dans le lecteur. e. Cliquez sur OK. Si les fichiers de cls prives ont t chiffrs, vous devez indiquer le mot de passe. La cl prive du serveur est installe dans le fichier /var/websm/security/SM.privkr. Rptez cette procdure pour chaque serveur. Vous pouvez galement distribuer les fichiers de cls prives partir de la ligne de commande avec la commande /usr/websm/bin/sminstkey. 5. Copier le fichier de cls publiques de lautorit de certification sur tous les serveurs et clients du site B.
5-9
Une copie du fichier de cls publiques de lautorit de certification contenu dans le rpertoire indiqu ltape 1 doit tre place sur vos serveurs et clients Web-based System Manager, dans le rpertoire que vous avez choisi lors de linstallation et qui doit tre conforme aux indications suivantes : sur un client AIX, utilisez le rpertoire /usr/websm/codebase ; sur un client Windows, utilisez le rpertoire Program Files\websm\codebase ; sur un client Linux, utilisez le rpertoire /opt/websm/codebase. Remarque : Ce fichier doit tre copi au format binaire. Remarque : Le contenu de ce fichier nest pas confidentiel. Cependant, si vous le placez sur une machine client, il devient possible de connatre lautorit de certification laquelle le client se fie. Laccs ce fichier sur le client doit donc tre limit. En mode applet, le client peut faire confiance au serveur pour transmettre ce fichier en mme temps que lapplet, condition dutiliser le protocole HTTPS.
5-10
5-11
Transfrez le fichier de demande de certificat lautorit de certification. Le certificat ne contient pas de donnes confidentielles. Cependant, leur intgrit et authenticit doivent tre garanties pendant le transfert. Transfrez une copie du fichier de demande de certificat du serveur vers un rpertoire de la machine de lautorit de certification. Pour gagner du temps, vous pouvez transfrer les demandes de certificats partir de tous les serveurs et les faire signer par lautorit de certification. Connectezvous sur la machine de la CA en tant quutilisateur root et lancez Webbased System Manager. Vous ne pouvez pas accder aux applications de configuration des paramtres de scurit de Web-based System Manager si vous ne vous tes pas connect en tant quutilisateur root ou si vous excutez Web-based System Manager dans une application loigne ou en mode applet. Slectionnez Environnement de gestion > nom_hte > Scurit Webbased System Manager > Autorit de certification. Dans la liste des tches de lAutorit de certification, slectionnez Signature des demandes de certificats. Entrez les informations suivantes : Rpertoire des demandes de certificats Saisissez le nom du rpertoire contenant les demandes de certificats. Puis, cliquez sur Mise jour de la liste. La demande de certificat saffiche. Slectionnez les demandes de certificats signer Cliquez sur les demandes de certificats rpertories. Date dexpiration du certificat la date dexpiration du certificat, vous devez crer un nouveau fichier de cls prives sur votre serveur. Vous pouvez modifier cette date ou conserver la date indique par dfaut. Lorsque vous cliquez sur OK, un fichier de certificat est cr pour chaque serveur que vous avez slectionn. Le certificat est enregistr dans le rpertoire contenant les demandes de certificats. Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/smsigncert. 3. Importer les certificats signs dans les fichiers de cls prives Transfrez le certificat de lautorit de certification vers le serveur et copiezle dans le rpertoire contenant la demande de certificat et le fichier de cls prives serveur crs ltape 1. Puis, sur le serveur, slectionnez Importation de certificats signs dans la liste des tches de Scurit serveur. Entrez les informations suivantes : Rpertoire de certificats et de cls prives Saisissez le nom du rpertoire contenant le certificat sign et le fichier de cls prives serveur. Puis, cliquez sur Mise jour de la liste. Le nom du serveur saffiche dans la liste. Slectionnez un ou plusieurs serveurs dans la liste Cliquez sur le nom de votre serveur dans la liste. Lorsque vous cliquez sur OK, vous tes invit entrer le mot de passe si le fichier de cls prives serveur a t chiffr dans ltape 1. Le certificat du serveur est ensuite import dans le fichier de cls prives et ce dernier est cr. Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/smimpservercert.
5-12
4. Installer la cl prive sur le serveur. Dans la liste des tches de la Scurit serveur, slectionnez Installation du fichier de cls prives du serveur. Slectionnez le bouton Rpertoire et entrez le rpertoire contenant le fichier de cls prives du serveur. Le systme vous invite entrer un mot de passe si le fichier de cls a t chiffr. La cl prive du serveur est installe dans le fichier /var/websm/security/SM.privkr. Vous pouvez effectuer cette tche depuis la ligne de commande en tapant la commande /usr/websm/bin/sminstkey. 5. Copier le fichier de cls publiques (SM.pubkr) sur tous les serveurs et clients. Une copie du fichier de cls publiques de lautorit de certification contenu dans le rpertoire indiqu ltape 1 doit tre place sur vos serveurs et clients Web-based System Manager, dans le rpertoire que vous avez choisi lors de linstallation et qui doit tre conforme aux indications suivantes : sur un client AIX, utilisez le rpertoire /usr/websm/codebase ; sur un client Windows, utilisez le rpertoire Program Files\websm\codebase ; sur un client Linux, utilisez le rpertoire /opt/websm/codebase. Remarque : Remarque : Ce fichier doit tre copi au format binaire. Le contenu de ce fichier nest pas confidentiel. Cependant, si vous le placez sur une machine client, il devient possible de connatre lautorit de certification laquelle le client se fie. Laccs ce fichier sur le client doit donc tre limit. En mode applet, le client peut faire confiance au serveur pour transmettre ce fichier en mme temps que lapplet, condition dutiliser le protocole HTTPS.
5-13
5-14
Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/smgenkeycr. 2. Obtenir la signature de la CA. Transfrez les fichiers de demandes de certificats lautorit de certification. Ces demandes ne contiennent pas de donnes confidentielles. Cependant, leur intgrit et authenticit doivent tre garanties pendant le transfert. Transfrez une copie des fichiers de demandes de certificats du serveur vers un rpertoire de la machine de lautorit de certification. Suivez les instructions de votre autorit pour gnrer les certificats signs suite aux demandes de certificats. 3. Importer les certificats signs dans les fichiers de cls prives du serveur. Transfrez les certificats de lautorit de certification vers le serveur. Copiezles dans le rpertoire contenant les demandes de certificats et les fichiers de cls prives du serveur que vous avez crs lors de ltape 1. Cette tape exige que le fichier du certificat dun serveur S soit nomme S.cert. Puis, sur le serveur, dans Scurit serveur, slectionnez Importation de certificats signs. Entrez les informations suivantes : Rpertoire de certificats et de cls prives Saisissez le nom du rpertoire contenant les certificats signs et les fichier de cls prives du serveur. Puis, cliquez sur Mise jour de la liste. La liste des serveurs pour lesquels il existe un certificat sign ainsi quun fichier de cls prives saffiche. Slectionnez un ou plusieurs serveurs dans la liste Pour slectionner des serveurs individuels, cliquez dessus dans la zone de liste. Pour slectionner tous les serveurs rpertoris, cliquez sur Slection globale. Lorsque vous cliquez sur OK, vous tes invit entrer le mot de passe si les fichiers de cls prives serveur ont t chiffrs dans ltape 1. Puis, pour chaque serveur slectionn, le certificat est import dans le fichier de cls prives et ce dernier est cr. Vous pouvez excuter la tche dcrite cidessus partir de la ligne de commande avec la commande /usr/websm/bin/smimpservercert. 4. Copier les fichiers de cls prives sur tous les serveurs Chaque fichier de cls prives doit tre install sur le serveur. Vous pouvez transfrer les fichiers vers les cibles appropries en toute scurit. Vous pouvez utiliser un rpertoire partag et une disquette TAR, de la manire suivante : Rpertoire partag : Placez tous les fichiers de cls sur un rpertoire partag (NFS ou DFS, par exemple) accessible chaque serveur. Remarque : Pour utiliser cette mthode, vous devez avoir choisi de chiffrer les fichiers de cls prives du serveur dans la bote de dialogue Cration de cls prives et de demandes de certificats pour ce serveur ou dautres, car les fichiers ne sont pas chiffrs par dfaut. Nous vous recommandons galement de naccorder qu ladministrateur les droits daccs au rpertoire partag.
Disquette TAR : Gnrez une disquette TAR contenant tous les fichiers de cls prives du serveur. Larchive TAR ne doit faire mention que des noms de fichiers, sans les chemins daccs. Pour cela, placez les rpertoires dans le rpertoire contenant les fichiers de cls prives du serveur et excutez la commande tar cvf /dev/fd0 *.privkr. Installez les fichiers de cls prives sur chaque serveur.
5-15
a. Connectezvous sur chaque serveur en tant quutilisateur root et lancez Webbased System Manager. b. Slectionnez Environnement de gestion > nom_hte > Scurit Webbased System Manager > Scurit serveur. c. Slectionnez Installation du fichier de cls prives. d. Slectionnez lemplacement des fichiers de cls prives du serveur. Si vous utilisez une disquette TAR, insrezla dans le lecteur. e. Cliquez sur OK. Si les fichiers de cls prives ont t chiffrs, vous devez indiquer le mot de passe. La cl prive du serveur est installe dans le fichier /var/websm/security/SM.privkr. Rptez cette procdure pour chaque serveur. Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/sminstkey. 5. Importer le certificat de lautorit de certification dans le fichiers de cls publiques. Rceptionnez le certificat autosign de votre autorit de certification. Copiezle dans un rpertoire du serveur sur lequel vous travaillez. Puis, sur le serveur, slectionnez Importation du certificat de la CA dans la liste des tches de la Scurit serveur. Entrez les informations suivantes : Rpertoire contenant le fichier de cls publiques Entrez le rpertoire contenant le fichier de cls publiques de lautorit de certification. Ce fichier doit tre transfr sur tous les serveurs et clients. Nom complet du fichier du certificat CA Entrez le nom du rpertoire contenant le certificat autosign de votre CA. Lorsque vous cliquez sur OK, le fichier de cls publiques SM.pubkr sera crit dans le rpertoire que vous avez spcifi. Vous pouvez excuter la tche dcrite cidessus partir de la ligne de commande avec la commande /usr/websm/bin/smimpcacert. 6. Copier le fichier de cls publiques sur tous les clients et serveurs. Une copie du fichier de cls publiques de lautorit de certification contenu dans le rpertoire indiqu ltape 1 doit tre place sur vos serveurs et clients Web-based System Manager, dans le rpertoire que vous avez choisi lors de linstallation et qui doit tre conforme aux indications suivantes : sur un client AIX, utilisez le rpertoire /usr/websm/codebase ; sur un client Windows, utilisez le rpertoire Program Files\websm\codebase ; sur un client Linux, utilisez le rpertoire /opt/websm/codebase. Remarque : Remarque : Ce fichier doit tre copi au format binaire. Le contenu de ce fichier nest pas confidentiel. Cependant, si vous le placez sur une machine client, il devient possible de connatre lautorit de certification laquelle le client se fie. Laccs ce fichier sur le client doit donc tre limit. En mode applet, le client peut faire confiance au serveur pour transmettre ce fichier en mme temps que lapplet, condition dutiliser le protocole HTTPS.
5-16
Remarque :
Si vous nutilisez pas lautorit de certification interne Web-based System Manager, utilisez alors les procdures de votre autorit de certification pour obtenir une copie de son certificat.
2. Copiez le certificat dans un rpertoire du serveur HTTP, de sorte que vous puissiez y accder depuis le navigateur client. Le type MIME transmis par le serveur HTTP doit tre application/xx509cacert. 3. Dans chacun de vos navigateurs clients, pointez le navigateur vers le fichier du certificat CA, puis suivez la procdure du navigateur afin de laccepter comme un certificat signataire. Vos navigateurs sont prsent paramtrs pour vous permettre de vous connecter vos serveurs par lintermdiaire de SMGate. Pour en savoir plus sur lactivation de SMGate, reportezvous Activation du dmon SMGate, page 5-20. Pour en savoir plus sur le fonctionnement de SMGate, reportezvous Mode applet, page 5-21.
5-17
Pour plus dinformations concernant les fonctions de lautorit de certification (cration de cls ou signature de certificats, par exemple), reportezvous son fichier journal /var/websm/security/SMCa.log. Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/smcaprop. Pour afficher les proprits du serveur, procdez comme suit : 1. Ouvrez lenvironnement de gestion et slectionnez votre hte local. 2. Slectionnez Scurit Webbased System Manager. 3. Slectionnez Scurit serveur. 4. Dans la liste des tches, slectionnez Affichage des caractristiques du serveur. 5. Entrez le mot de passe. Remarque : Les informations fournies concernant le serveur ne sont pas modifiables.
Vous pouvez excuter cette tche partir de la ligne de commande avec la commande /usr/websm/bin/smserverprop.
Contenu de la cl publique
Pour visualiser le certificat de lautorit de certification inclus dans la cl publique correspondante, entrez /usr/websm/bin/smlistcerts.
5-18
5-19
Cette commande lance SMGate et ajoute une entre au fichier /etc/inittab de faon ce quil soit automatiquement activ lors du redmarrage du systme. Le numro de port par dfaut pour SMGate est 9092. Consultez le fichier /etc/services pour vous assurer que ce port nest pas utilis par un autre service. Vous pouvez configurer SMGate de manire ce quil utilise un port diffrent en entrant :
/usr/websm/bin/wsmserver enablehttps port
o port est le numro du port utiliser. Si vous modifiez la configuration de scurit du serveur, vous devez dsactiver SMGate. Pour dsactiver SMGate, entrez la commande suivante :
/usr/websm/bin/wsmserver disablehttps
Pour configurer votre navigateur afin quil fonctionne avec SMGate, reportezvous Configuration du dmon SMGate, page 5-17.
5-20
Mode clientserveur
Pour activer le mode clientserveur sur le poste client, entrez la commande suivante :
wsm host nom_hte
o nom_hte est le nom de la machine distante que vous voulez grer. Si la machine grer est configure pour autoriser uniquement les connexions scurises (reportezvous Activation de la scurit Web-based System Manager, page 5-19), lensemble de fichiers sysmgt.websm.security doit tre install sur le client, avec une copie du fichier de cls publiques de lautorit de certification dans le rpertoire /usr/websm/codebase. Lorsque ce mode est activ, la bote de dialogue de connexion de Web-based System Manager indique quune connexion scurise est requise. Si le poste grer est configur pour permettre des connexions scurises ou non scurises (reportezvous Activation de la scurit Web-based System Manager, page 5-19) et que le client possde une copie du fichier de cls publiques de lautorit de certification dans le rpertoire /usr/websm/codebase, la bote de dialogue de connexion de Web-based System Manager vous permet de spcifier une connexion scurise ou non scurise. Lorsquelle est active en mode clientserveur, la connexion scurise est indique par le message Connexion scurise, qui apparat sur la ligne dtat en bas de la fentre.
Mode applet
Web-based System Manager fonctionne en mode applet lorsque vous utilisez un navigateur pour vous connecter la machine grer. Le mode applet impose une mesure de scurit supplmentaire pour le transfert scuris du fichier de cls publiques de lautorit de certification et des fichiers .class de lapplet. Pour une scurit totale en mode applet, le client doit utiliser les fonctions SSL de son navigateur et contacter le serveur uniquement par lintermdiaire du protocole HTTPS. Cela requiert que le serveur HTTP soit configur pour la scurit ou que SMGate soit configur travers une des options suivantes :
5-21
Une possibilit est dutiliser la fonction SSL du serveur Web sur la machine gre. Pour pouvoir procder de cette faon, les options de scurit du serveur Web doivent tre spcialement configures. Suivez les instructions fournies avec votre serveur Web. Vous pouvez ensuite accder Web-based System Manager sur la machine gre avec ladresse Web suivante : https:// nom_hte /wsm.html, o nom_hte est le nom de la machine distante que vous voulez grer. Lorsque vous utilisez cette option, lapplet et le fichier de cls publiques SM.pubkr sont transfrs de faon scurise du serveur Web de la machine gre vers le client. Une autre option consiste utiliser le dmon SMGate. SMGate est excut sur les machines gres et sert de passerelle SSL entre le navigateur client et le serveur Web local. SMGate rpond la requte HTTPS du navigateur client et cre une connexion SSL avec lui en utilisant la cl prive et le certificat du serveur Web-based System Manager. Au sein de la machine gre, SMGate cr une connexion non scurise sur le serveur Web local. Lorsque vous utilisez cette option, lapplet et le fichier de cls publiques SM.pubkr sont transfrs de faon scurise depuis le dmon SMGate de la machine gre vers le navigateur client. Les communications entre la machine gre et le client transitent par SSL. Lorsque vous utilisez SMGate, vous pouvez accder Web-based System Manager sur la machine gre via ladresse Web suivante : https:// nom_hte:9092/wsm.html, o nom_hte est le nom de la machine distante que vous voulez grer. Remarque : 9092 est le numro de port par dfaut pour SMGate. Si vous avez activ SMGate avec un autre numro de port, prcisez ce numro.
Lorsque vous fonctionnez en mode applet, assurezvous que les indicateurs de scurit suivants sont prsents : lindicateur HTTPS du navigateur ; le message Connexion scurise, qui saffiche sur la ligne dtat en bas de la fentre Web-based System Manager. Si lun de ces indicateurs est absent, la connexion nest pas totalement scurise.
5-22
Accessibilit au clavier
Laccessibilit au clavier vous permet dutiliser Web-based System Manager sans recourir une souris. Vous disposez des fonctions daccessibilit au clavier suivantes : Mnmoniques de menus : Tous les choix de menus peuvent tre slectionns partir du clavier en tapant la lettre indique dans le titre du menu. Pour ouvrir un menu, tapez la lettre souligne tout en maintenant enfonce la touche Alt. Cela ne concerne que louverture du menu. Une fois le menu ouvert, relchez la touche Alt. Ainsi, pour slectionner loption Caractristiques du menu Slectionn(s), appuyez simultanment sur la touche s et sur la touche Alt pour ouvrir le menu, puis relchez la touche Alt et appuyez sur r pour slectionner loption voulue. Pour pouvoir utiliser les mnmoniques de la barre de menus de Web-based System Manager, vous devez placer le curseur de la souris dans la fentre de la console. Acclrateur de menu ou raccourcis clavier : Les combinaisons de cls sont disponibles pour les actions communes. Par exemple, Ctrl + Q permet de quitter le programme, F9 permet dobtenir de laide sur laffectation des touches. Caractristiques daccessibilit des botes de dialogue : Les mnmoniques et les acclrateurs sont disponibles pour les boutons de botes de dialogue. Par exemple, la touche Entre active le bouton OK et la touche Echap active le bouton Annulation. La touche F9 (aide sur laffectation des touches) fournit une description de lensemble des raccourcis clavier et des acclrateurs. Il existe dautres raccourcis associs des touches spciales, qui permettent notamment de passer dune zone de la console une autre ou de dvelopper une arborescence.
6-1
6-2
A-1
o en_US est remplac par lensemble de fichiers de langue install sur votre machine. Sil ne rpond pas par le rsultat prcdent, un processus de serveur en veille qui consomme des ressources systme est en cours de fonctionnement sur la machine. Connectezvous au serveur distant et utilisez la commande kill sur le processus inactif de WServer.
A-2
Le module complmentaire install sur un hte loign ne saffiche pas lors de la gestion partir dun client.
Le module complmentaire sur lhte distant peut tre un niveau qui ne peut pas tre gr par le niveau sysmgt.websm.framework install sur le systme client. Dans ce cas, un message derreur est affich lorsque la connexion est faite lhte distant, qui rpertorie le module complmentaire et sa version, ainsi que la version de sysmgt.websm.framework requise pour grer ce module. Pour le grer, vous devrez trouver un systme o la version de sysmgt.websm.framework est au niveau correct pour le module ou grer ce module localement sur cet hte. Le fichier App*.db sur lhte distant nest pas format correctement. Un message derreur est affich pour le module complmentaire, avertissant que le fichier App*.db na pas le format correct pour ce module et que ce dernier na pas pu tre charg. Si ce message saffiche, contactez votre revendeur pour connatre laction corrective entreprendre.
A-3
A-4
Dans la configuration SMGate, le Vrifiez que le type mime envoy par le serveur navigateur ne reconnat pas Web pour le fichier du certificat est comme tel le fichier du certificat CA. application/xx509cacert. Echec de lactivation distante scurise de Web-based System Manager. Assurezvous que Web-based System Manager travaille en mode non scuris. Il sera peuttre ncessaire de modifier la configuration du serveur sil ne prend pas en charge les connexions non scurises. Correspondance et expiration du certificat : Connectezvous au serveur en tant quutilisateur root et utilisez la bote de dialogue des caractristiques du serveur de licne Serveur (ou la commande smserverprop) pour vrifier la date dexpiration du certificat du serveur. Enregistrez le nom de lautorit de certification. Si lincident sest produit en mode application, entrez :
/usr/websm/bin/smlistcerts /usr/websm/codebase
sur le client, puis vrifiez que le client comporte un certificat de lautorit de certification qui a sign le certificat du serveur (cidessus) et que ce certificat na pas expir. Si lincident sest produit en mode applet, entrez :
/usr/websm/bin/smlistcerts /usr/websm/codebase sur le serveur, car le fichier de cls publiques rside sur le serveur et est transfr au client.
En mode client loign, assurezvous que le rpertoire codebase de Webbased System Manager sur la machine client contient le fichier de cls publiques de lautorit de certification (SM.pubkr). Assurezvous galement quil y a t plac au format binaire.
A-5
A-6
Index
A
accs laide, 3-8 accessibilit clavier, 6-1 mnmoniques, 6-1 aide accs, 3-8 aide contextuelle, 3-8 aide Java, 3-8 infobulles, 3-8 zone Astuces, 3-8, 3-9 fichier de cls publiques CA (autorit de certification), 5-18 scurit, 5-18 fichiers de prfrences erreurs de sauvegarde et de chargement, 3-14 fentre fille, 3-14 modifiables par lutilisateur, 3-19 fichiers de prfrences erreurs de sauvegarde et de chargement, 3-13 fentre fille, 3-13 fichiers modifiables par lutilisateur, 3-19 filtrage et tri des vues, 3-3 forcessl, 3-19
B
barre doutils, console, 3-7 bote de dialogue, dexcution, 3-10 bote de dialogue dexcution, 3-10
I
icne de cadenas, 3-11 icnes, 3-5 installation client loign sous Linux, 2-9 client loign sous Windows, 2-8 configuration requise pour la scurit du client loign, 2-10 configuration requise pour le mode client loign, 2-7 mode client loign, 2-6 scurit client loign, 2-9 scurit du client loign sous Linux, 2-12 scurit du client loign sous Windows, 2-11 Webbased System Manager, 2-2 interface MDI, 3-12
C
client (navigateur), configuration, 2-6 configuration client (navigateur), 2-6 serveur AIX pour linstallation de la scurit du client loign, 2-10 serveur AIX pour linstallation du client loign, 2-7 console barre doutils, 3-7 contrle laide du clavier, 3-20 Fentre, 1-2 filtrage et tri des vues, 3-3 journal de session, 3-22 menu, 3-6 navigation laide du clavier, 3-20 zone de contenu, 3-3 zone de navigation, 3-2 conteneurs icnes, 3-5 vue Arborescence, 3-4 vue Dtails, 3-4 vue Icnes, 3-5
J
journal de session, console, 3-22
M
menu Fentre, 3-12 menus, 3-6 aide, 3-6 console, 3-6 en incrustation, 3-7 Fentre, 3-6, 3-12 objet, 3-6 slectionns, 3-6 vue, 3-6 mnmoniques accessibilit, 6-1 clavier, 3-20 mode applet excution de la scurit, 5-21 fichier de cls publiques, 5-18 mode client loign configuration dAIX, 2-7 dsinstallation sous Linux, 2-9
D
dsinstallation client loign sous Linux, 2-9 scurit du client loign sous Linux, 2-12
E
mulateurs X, 2-2
F
Fentre console, 1-2 dimensionnement, 3-12 gestion de plusieurs fentres, 3-12
Index
X-1
exploitation, 1-7 installation, 2-6 installation sous Linux, 2-9 installation sous Windows, 2-8 mode clientserveur, excution, 5-21 modes dexploitation, mode client loign, 1-7 modules complmentaires, lanceurs, 3-5
S
scnarios, scurit, 5-3 scurit excution, mode applet, 5-21 fichier de cls publiques, 5-18 icne de cadenas, 3-11 scnarios, 5-3 scurit client loign, installation, 2-9 scurit du client loign configuration dAIX, 2-10 dsinstallation sous Linux, 2-12 installation sous Linux, 2-12 installation sous Windows, 2-11 SSL (Secure Socket Layer), protocole scuris, 5-1
N
navigation au clavier console, 3-20 mnmoniques, 3-20, 6-1 raccourcis, 3-20
P
ports affectation des valeurs, 2-4 inetd, 2-4 socket de serveur, 2-4 ports inetd, 2-4 ports socket de serveur, 2-4
W
Webbased System Manager, installation, 2-2
Z
zone Astuces, aide, 3-9 zone de contenu console, 3-3 lanceurs, 3-5 zone de navigation, console, 3-2
R
raccourcis clavier, 3-20 modules complmentaires, 3-5 zone de contenu, 3-5 raccourcis, clavier, 3-20 remote_timeout, 3-19
X-2
N Rfrence / Reference N :
86 F2 34EF 02
Dat / Dated :
Octobre 2002
Vos remarques et suggestions seront examines attentivement. Si vous dsirez une rponse crite, veuillez indiquer ci-aprs votre adresse postale complte. Your comments will be promptly investigated by qualified technical personnel and action will be taken as required. If you require a written reply, please furnish your complete mailing address below.
Date :
Remettez cet imprim un responsable BULL ou envoyez-le directement : Please give this technical publication remark form to your BULL representative or mail to:
BULL CEDOC 357 AVENUE PATTON B.P.20845 49008 ANGERS CEDEX 01 FRANCE
BULL CEDOC ATTN / Mr. L. CHERUBIN 357 AVENUE PATTON B.P.20845 49008 ANGERS CEDEX 01 FRANCE
Or visit our web sites at: / Ou visitez nos sites web : http://www.logistics.bull.net/cedoc http://wwwfrec.bull.com http://www.bull.com
CEDOC Reference # No Rfrence CEDOC __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__]
Qty Qt
CEDOC Reference # No Rfrence CEDOC __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__]
Qty Qt
CEDOC Reference # No Rfrence CEDOC __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__] __ __ ____ _ [__]
Qty Qt
[ _ _ ] : no revision number means latest revision / pas de numro de rvision signifie rvision la plus rcente
Date :
FAX :
For Bull Subsidiaries / Pour les Filiales Bull : Identification: For Bull Affiliated Customers / Pour les Clients Affilis Bull : Customer Code / Code Client : For Bull Internal Customers / Pour les Clients Internes Bull : Budgetary Section / Section Budgtaire : For Others / Pour les Autres : Please ask your Bull representative. / Merci de demander votre contact Bull.
BULL CEDOC 357 AVENUE PATTON B.P.20845 49008 ANGERS CEDEX 01 FRANCE
REFERENCE 86 F2 34EF 02
Utiliser les marques de dcoupe pour obtenir les tiquettes. Use the cut marks to get the labels.