Ověřování je složité téma. Úspěšné počáteční přihlášení do aplikace iManager závisí na stávající síťové infrastruktuře. Následující skutečnosti vám pomohou omezit potíže při ověřování na minimum. Další informace o tématech, které se týkají ověřování, naleznete v dokumentaci k produktu NMAS (Modulární ověřovací služba společnosti NetIQ) a v dokumentaci k produktu NetIQ eDirectory.
Operace ověřování je v aplikaci iManager závislá na platformě. To znamená, že fungování aplikace iManager závisí na platformě, na které je spuštěna.
Servery se systémy Linux a Windows: Pokud je aplikace iManager spuštěna na serveru se systémem Linux nebo Windows, využívá starší ověřovací mechanismus a standardní heslo služby eDirectory. Tento mechanismus podporuje univerzální heslo služby eDirectory, ale nepodporuje jednoduché heslo.
iManager Workstation: Součást iManager Workstation je spuštěna na pracovní stanici klienta se systémem Linux nebo Windows. Využívá klienta NMAS, který umožňuje použít univerzální heslo, pokud je nakonfigurováno.
Aplikace iManager nepoužívá při úvodním ověřování protokol LDAP. Využívá zvláštní ověřovací protokol služby eDirectory. Po úvodním ověření aplikace iManager může podle potřeby vytvářet připojení LDAP ke službě eDirectory, aby pro nainstalované moduly plug-in, které k přístupu vyžadují protokol LDAP, podporovala přístup k adresářům.
Aplikace iManager nepodporuje ověřování jednoduchým heslem služby eDirectory.
Při ověření aplikací iManager se můžete setkat s následujícími chybovými zprávami: U každého oddílu věnovaného chybové zprávě jsou vysvětleny možné příčiny.
Pokud se při prvním pokusu o přihlášení do aplikace iManager vyskytne chyba 404, je nutné ověřit porty, na kterých běží webový server Apache. Umístění konfiguračního souboru se liší podle toho, jak jste nainstalovali aplikaci iManager a jestli jste se rozhodli používat Apache nebo IIS. Apache používá buď soubor httpd.conf, nebo soubor ssl.conf. Informace o nastavení portu IIS naleznete v dokumentaci společnosti Microsoft.
Pokud se zobrazí interní chyba serveru nebo chyba kontejneru servletu (není dostupný nebo právě probíhá upgrade), má aplikace iManager jeden ze dvou problémů se službou Tomcat:
Služba Tomcat se po restartování plně neinicializovala.
Službu Tomcat se nepodařilo spustit.
Počkejte několik minut a zkuste aplikaci iManager otevřít znovu. Pokud se stále zobrazují stejné chyby, ověřte stav služby Tomcat.
Restartujte službu Tomcat.
Informace o restartování služby Tomcat naleznete v tématu Spuštění a zastavení služby Tomcat
Podívejte se do protokolů serveru Tomcat, jestli neobsahují chyby.
U platforem UNIX, Linux a Windows se soubor protokolu nachází v adresáři $tomcat_home$/logs. V systémech UNIX a Linux se protokoly nazývají catalina.out nebo localhost_log.date.txt. V systému Windows se protokoly nazývají stderr a stdout.
Zadaný název objektu nelze v uvedeném kontextu najít.
Některé možné příčiny:
Bezkontextové přihlášení může být vypnuto.
Objekt uživatele nemusí být v seznamu konfigurovaných kontejnerů, které se prohledávají. Buď požádejte správce, ať vaše umístění přidá do kontejnerů prohledávaných při bezkontextovém přihlášení, nebo k přihlášení použijte úplný kontext.
Heslo služby NDS bylo v zásadách univerzálního hesla zakázáno. Může se to také projevit chybovou zprávou 222.
Této chybě součásti iManager Workstation se vyhnete, když nainstalujete klienta, který umožní aplikaci iManager používat ověřovací mechanismus založený na univerzálním hesle místo staršího ověřovacího procesu služby eDirectory.
Tato chyba představuje selhání systému a má několik možných příčin.
Cílový server nemá kopii objektu, který požaduje zdrojový server, nebo na zdrojovém serveru nejsou objekty, které by odpovídaly požadavku, ani odkazy, kde se má objekt hledat.
Některé možné příčiny:
Nezadali jste správný strom nebo adresu IP. Pokud používáte adresu IP, nezapomeňte uvést port, pokud je služba eDirectory nainstalována na nestandardním portu (524).
Aplikace iManager nemůže před vypršením časového limitu najít strom nebo adresu IP. Pokud název stromu selže, použijte adresu IP.
Bylo použito neplatné heslo, selhalo ověření, server se pokusil o synchronizaci s jiným serverem, ale databáze na cílovém serveru je zamčená. Mohl se také vyskytnout problém se vzdáleným identifikátorem nebo veřejným klíčem.
Některé možné příčiny:
Zadali jste nesprávné heslo.
Ve stromu je několik uživatelů se stejným uživatelským jménem. Bezkontextové přihlášení se pokouší přihlásit pomocí prvního nalezeného uživatelského účtu, ale se zadaným heslem. V takovém případě zadejte při přihlášení úplný kontext nebo omezte kontejnery, které bezkontextové přihlášení prohledává.
Pokud je služba eDirectory nainstalována a spuštěna kromě portu 524 ještě na jiném portu, upřesněte při přihlášení také port a zadejte adresu IP nebo název DNS serveru služby eDirectory. Příklad:
Pro adresu protokolu IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Pro adresu protokolu IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Pokud při přihlášení použijete název stromu, nemusíte zadávat port.
Možné hodnoty pole Název stromu: název stromu, adresa IP serveru nebo název serveru DNS. Nejlepších výsledků dosáhnete použitím adresy IP.
Pokud je to nutné, může aplikace iManager k přihlášení ke stromu služby eDirectory použít server, který nehostuje repliku služby eDirectory. Aby to bylo možné, aplikace iManager si udržuje mezipaměť připojení s informacemi potřebnými k úspěšnému přihlášení. Pokud chcete naplnit mezipaměť připojení, musíte se při prvním přihlášení ke stromu služby eDirectory v aplikaci iManager přihlásit k serveru, který hostuje repliku.
Restartováním služby Tomcat nebo serveru aplikace iManager vymažete mezipaměť připojení. Když se po jedné z těchto událostí aplikace iManager poprvé přihlašuje, musíte se přihlásit k serveru, který hostuje repliku.
Důvody neúspěšného přihlášení mohou být různé. Chybové zprávy při ověřování jsou popsány v části Problémy s ověřováním.
Informace o tom, jak omezit chybové zprávy, které aplikace iManager zobrazuje při neúspěšném pokusu o ověření, naleznete v části Zabránění zjištění uživatelského jména.
Jestliže vyprší platnost hesla, zobrazí se uživateli zpráva. Uživatel si nemusí uvědomovat, že darovaná přihlášení se mohou rychle spotřebovat. Závisí to na určitých operacích, jako je změna dynamické skupiny, jednoduché vyhledávání a nastavení jednoduchého hesla.
Pokaždé, když uživatel provádí úlohu, spotřebovávají tyto operace další darovaná přihlášení. Důrazně doporučujeme, abyste vedli uživatele k tomu, aby si změnili heslo hned při prvním zobrazení výzvy.
K zapnutí bezkontextového přihlášení, které používá alternativní typ objektu, je nutné provést následující kroky:
Otevřete aplikaci iManager a přejděte k položce Konfigurovat > Server aplikace iManager > Konfigurovat aplikaci iManager > Ověřování.
Pokud tuto úlohu nevidíte, nejste oprávněný uživatel. Viz Oprávnění uživatelé a skupiny.
Nastavte uživateli, který má práva na čtení požadovaných atributů, položky Veřejné uživatelské jméno a Heslo.
Změňte soubor <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml tak, aby obsahoval vlastnost <Setting>, ve které jsou atributy, které chcete přidat do bezkontextového vyhledávání, a potom restartujte službu Tomcat.
Informace o restartování služby Tomcat naleznete v tématu Spuštění a zastavení služby Tomcat.
Například následující kód XML přidá do bezkontextového vyhledávání objekty Alias a Uživatel:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
Následující kód XML zase umožní uživatelům, aby k přihlášení použili atribut CN nebo uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
DŮLEŽITÉ:
V předchozím ukázkovém kódu nahraďte parametr treename názvem příslušeného adresářového stromu. Název napište malými písmeny.
Pokud po úpravě souboru config.xml uložíte nastavení aplikace iManager Server úlohou Konfigurovat aplikaci iManager, ověřte, zda je název stromu napsán malými písmeny, jinak přizpůsobené bezkontextové přihlašování nebude fungovat.