Die nachfolgende Tabelle enthält die möglichen Probleme und Vorschläge für Gegenmaßnahmen. Falls das Problem weiterhin auftritt, wenden Sie sich an Ihren zuständigen NetIQ-Ansprechpartner.
Problem |
Empfohlene Vorgehensweise |
---|---|
Sie können sich nach der Ausführung des ConfigUpdate-Dienstprogramms nicht mehr bei Identity Applications anmelden. In der Protokolldatei catalina.out wird folgender Fehler angezeigt: javax.net.ssl.SSLHandshakeException: PKIX-Pfadüberprüfung fehlgeschlagen: java.security.cert.CertPathValidatorException: Widerrufstatus konnte nicht ermittelt werden. Dieses Problem tritt in Identity Manager 4.8.4 (mit eDirectory 9.2.5) auf, wenn Bindungseinschränkungen für Cipher auf dem LDAP-Server auf SuiteB Cipher (128-bit) verwenden festgelegt ist. Identity Manager verwendet digitale Zertifikate zur Autorisierung und sicheren Kommunikation mit seinen Komponenten. Beim Validieren der Zertifikate werden die Zertifikatswiderrufslisten (CRLs) überprüft, die durch das Feld CRL-Verteilungspunkt (CDP) angegeben sind. Dadurch wird festgelegt, ob das Zertifikat widerrufen wurde oder nicht. Die CRLDPs sind sowohl im Stammzertifikat als auch in den Zwischenzertifikaten verfügbar, die sich in den Keystore-Dateien tomcat.ks und idm.jks befinden. Die Überprüfung von Zertifikaten auf Widerruf ist jedoch standardmäßig deaktiviert. Infolgedessen ist der PKIX Trust Manager nicht in der Lage, den Widerrufstatus der Zertifikate zu ermitteln. |
Zur Behebung dieses Problems aktivieren Sie die Überprüfung der CRL-Verteilungspunkte, indem Sie die Eigenschaft -Dcom.sun.security.enableCRLDP auf true festlegen. Gehen Sie zum Festlegen der Eigenschaft folgendermaßen vor:
|
Nach dem Aufrüsten von Identity Manager ist die Anmeldung beim Identity Manager-Dashboard für Benutzer, die keine Administratoren sind, extrem langsam. Das Laden der Anwendungen und der Dashboard-Seiten wird erheblich verzögert. Dieses Problem tritt aufgrund der verschachtelten Gruppensuche auf, die standardmäßig aktiviert ist. Die Anwendung sucht nach den Berechtigungen, die der angemeldete Benutzer über die verschachtelte Gruppenzugehörigkeit übernommen hat, unabhängig davon, ob es in der Umgebung verschachtelte Gruppen gibt. |
(Bedingt) Die folgenden Schritte gelten für Identity Manager 4.8.5 und höher.
|
Nachdem Sie Identity Applications auf die Version 4.8.x aufgerüstet haben, können Sie sich nicht mehr beim Identity Applications-Dashboard anmelden. Dieses Problem tritt auf, wenn der Truststore-Pfad des Identitätsdepots während des Aufrüstens von Identity Applications nicht auf den richtigen Speicherort der Keystore-Datei (cacerts) aktualisiert wird. In der Datei catalina.out wird folgende Ausnahme protokolliert: com.netiq.idm.auth.oauth.AuthenticationCommunicationException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, OU=idm, O=***, L=***, ST=***, C=**" ist kein Zertifikat einer Zertifizierungsstelle" Identity Applications verwendet die Umgebungsvariable JAVA_HOME, die auf <install_path>\Common\JRE festgelegt ist. Wenn der Truststore-Pfad in JAVA_HOME nicht auf die Datei cacerts festgelegt ist, schlägt die SSL-Kommunikation fehl. Dies führt zu einem SSL-Fehler in Verbindung mit 'TrustAnchor' (Trust Anchor wird als erweiterte Java-Sicherheitsprüfung für SSL-Zertifikate verwendet). |
Gehen Sie wie folgt vor, um dieses Problem zu beheben:
|
Nach dem Aufrüsten von Identity Manager auf Version 4.8.1 in einer verteilten Umgebung schlägt die Anmeldung bei Identity Applications fehl. Die folgende Fehlermeldung wird angezeigt: Ihr Anmeldevorgang wurde nicht erfolgreich abgeschlossen. Die Anmeldung bei Identity Applications erfordert Vertrauensanker-Zertifikat für die Herstellung einer sicheren Verbindung zwischen den Identity Applications und dem OSP. Ein Vertrauensanker-Zertifikat muss die Basiseinschränkungserweiterung enthalten, wobei als Subjekttyp „CA“ festgelegt ist. Identity Manager verwendet die Eigenschaft jdk.security.allowNonCaAnchor, um die Vertrauensanker im Zertifikat zu validieren. Standardmäßig ist diese Eigenschaft auf false festgelegt. Wenn die Vertrauensanker in den Zertifikaten nicht gefunden werden, kann daher die Verbindung zwischen Identity Applications und OSP nicht hergestellt werden, und die Anmeldung schlägt fehl. In der Datei idm-osp.log bemerken Sie außerdem die folgende Ausnahme: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate |
Um dieses Problem zu lösen, müssen Sie eine der folgenden Bedingungen erfüllen:
|
Nach dem Aufrüsten von Identity Applications auf Version 4.8.1 können Sie keine Formulare öffnen, während Sie im Identity Applications-Dashboard Berechtigungen anfordern. |
Gehen Sie wie folgt vor, um dieses Problem zu beheben:
In Identity Applications wird der NGNIX-Dienst zum Rendern von Formularen im Identity Applications-Dashboard verwendet. |
Nach dem Aufrüsten von Identity Applications oder Identity Reporting auf die Version 4.8 werden mehrere Einträge von PostgreSQL in der Systemsteuerung angezeigt. |
Deinstallieren Sie die Vorversionen von PostgreSQL über die Systemsteuerung. |
Die Deinstallation meldet, dass der Deinstallationsvorgang nicht abgeschlossen wurde, in der Protokolldatei sind jedoch keine Fehler vermerkt. |
Der Deinstallationsvorgang hat das Verzeichnis netiq, in dem sich standardmäßig die Installationsdateien befindet, nicht gelöscht. Sobald Sie die gesamte NetIQ-Software vom Computer entfernt haben, können Sie das Verzeichnis löschen. |
Nach dem Aufrüsten von Identity Manager wird die folgende Eigenschaft der Datei ism-configuration.properties hinzugefügt: com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system |
Kommentieren Sie die Eigenschaft in der Datei ism-configuration.properties aus und starten Sie Tomcat neu. Die Funktionsfähigkeit wird nicht eingeschränkt. |
Nach dem Aufrüsten von Identity Manager wird die folgende SSPR-Eigenschaft der Datei ism-configuration.properties hinzugefügt, auch wenn SSPR in Ihrer Bereitstellung nicht enthalten ist: com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth |
Kommentieren Sie die Eigenschaft in der Datei ism-configuration.properties aus und starten Sie Tomcat neu. Die Funktionsfähigkeit wird nicht eingeschränkt. |
Tomcat kann nach dem Aufrüsten von Identity Manager nicht gestartet werden. Sie stellen fest, dass die Tomcat-Protokolle einige Ausnahmen und einen Kommunikationsfehler zwischen der Workflow-Engine und dem Identitätsdepot enthalten. |
|
Nach dem Aufrüsten von Identity Manager 4.7.4 auf 4.8 wird der Tomcat-Dienst nicht gestartet und in den Protokolldateien werden keine Fehler gemeldet. Dieses Problem tritt auf, wenn der Heartbeat-Zeitgeber in der afenginestate-Tabelle der igaworkflow-Datenbank nicht richtig aktualisiert wurde. |
Um dieses Problem zu lösen, melden Sie sich bei einem Datenbank-Verwaltungswerkzeug wie pgAdmin an. Führen Sie die folgende Abfrage aus, um den Heartbeat-Zeitgeber in der afenginestate-Tabelle der igaworkflow-Datenbank manuell zu aktualisieren. update afenginestate set heartbeat=now()::timestamp; |