18.2 Fehlersuche in den Identitätsanwendungen und der RBPM-Installation

Die nachfolgende Tabelle enthält die möglichen Probleme und Vorschläge für Gegenmaßnahmen. Falls das Problem weiterhin auftritt, wenden Sie sich an Ihren zuständigen NetIQ-Ansprechpartner.

Problem

Empfohlene Vorgehensweise

Die Widgets Rollen und Eigene Aufgaben auf der Dashboard-Seite zeigen keine Daten an. Wenn Sie in der Konsole Ihres Browsers nachsehen, wird ein 404-Fehler angezeigt. Dieses Problem tritt auf, wenn der Standardkontext für die Bereitstellung von IDMProv in einen benutzerdefinierten Kontext geändert wird.

Um dieses Problem zu beheben, müssen Sie die REST-API-URL in den betroffenen Widgets ändern. Führen Sie die folgenden Schritte aus:

  1. Melden Sie sich im Identity Manager-Dashboard als Administrator an.

  2. Navigieren Sie zur Dashboard-Seite und klicken Sie auf "Dashboard verwalten".

  3. So bearbeiten Sie die Widget-Konfiguration im Widget Rollen:

    1. Klicken Sie auf .

    2. Ändern Sie im Feld URL den standardmäßigen IDMProv-Kontext wie folgt:/<Benutzerdefinierter Kontext>/rest/access/assignments/advanced?nextIndex=1&sortBy=name&sortOrder=ASC&forceRefresh=true&searchScope=role&size=20

      Dabei ist <benutzerdefinierter Kontext> der Kontext, den Sie in Ihrer Identity Manager-Bereitstellung verwenden.

    3. Klicken Sie auf Anwenden.

  4. So bearbeiten Sie die Widget-Konfiguration im Widget Eigene Aufgaben:

    1. Klicken Sie auf .

    2. Ändern Sie im Feld URL den standardmäßigen Kontext IDMProv wie folgt in einen benutzerdefinierten Kontext:/<Benutzerdefinierter Kontext>/rest/access/tasks/list?fromIndex=1&size=10&q=*&sortOrder=asc&sortBy=createTime&assignedTo=assignedTo&recipient=recipientAsMe&expireUnit=weeks&expireWithin=&proxyUser=&assignStatus=&delegatedTasks=false&status=

    3. Klicken Sie auf Anwenden.

  5. Klicken Sie auf Bearbeitung fertiggestellt.

Wenn die in einem Cluster installierten Identitätsanwendungen aktualisiert werden und Tomcat neu gestartet wird, funktioniert das Clustering nicht wie erwartet.

Führen Sie in allen Knoten des Clusters folgende Vorgänge aus:

  1. Navigieren Sie zur Datei server.xml im Ordner C:\NetIQ\IDM\apps\tomcat\conf.

  2. Heben Sie den Kommentar für die folgende Zeile in der Datei server.xml auf.

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

  3. Stellen Sie alle benutzerdefinierten Konfigurationen aus dem gesicherten Tomcat-Verzeichnis wieder her.

  4. Starten Sie Tomcat neu.

Bei der Aufrüstung wird das Standardadministratorkonto für Identitätsanwendungen nicht als cn=uaadmin.ou=sa.o=data festgelegt. In der Datei catalina.out wird der folgende Fehler protokolliert.

AuthorizationManagerService [RBPM] Error occured calculating effective rights for attribute: nrfAccessMgrRevokeRole on object: cn=complianceAdmin,cn=System,cn=Level20,cn=RoleDefs,cn=RoleConfig,cn=AppConfig,cn=UserApplication,cn=Driver Set,o=system for trustee: cn=uaadmin,ou=sa,o=data.com.novell.srvprv.spi.security.IDMAuthorizationException: Error occured calculating effective rights for attribute: nrfAccessMgrRevokeRole on object: cn=complianceAdmin,cn=System,cn=Level20,cn=RoleDefs,cn=RoleConfig,cn=AppConfig,cn=UserApplication,cn=Driver Set,o=system for trustee: cn=uaadmin,ou=sa,o=data.at com.novell.idm.security.authorization.ldap.LdapRightsUtil.getPropertyRights(LdapRightsUtil.java:152)
Unable to fetch roles from edirectory in the predefined time set.

  1. Navigieren Sie zur Datei setenv.bat und ändern Sie den Wert der Eigenschaft -Dncpclient_req_timeout im Eintrag CATALINA_OPTS in 1150.

  2. Starten Sie Tomcat neu.

Sie möchten eine oder mehrere Konfigurationseinstellungen für die Identitätsanwendung ändern, die Sie während der Installation vorgenommen haben:

  • Identitätsdepot-Verbindungen und -Zertifikate

  • Email-Einstellungen

  • Benutzeridentität und Benutzergruppen in der Identity Manager-Engine

  • Access Manager- oder iChain-Einstellungen

Das Dienstprogramm für die Konfiguration kann unabhängig vom Installationsprogramm ausgeführt werden.

Führen Sie im Installationsverzeichnis (standardmäßig unter C:\NetIQ\idm\apps\UserApplication\) den folgenden Befehl aus:

configupdate.bat

Beim Starten von Tomcat tritt die folgende Ausnahme auf:

port 8180 already in use

Schließen Sie alle Instanzen von Tomcat (oder anderer Server-Software), die möglicherweise bereits laufen. Wenn Sie Tomcat neu konfigurieren und einen anderen Port als Port 8180 festlegen möchten, bearbeiten Sie die config-Einstellungen für den Benutzeranwendungstreiber.

Beim Starten von Tomcat meldet die Anwendung, dass keine verbürgten Zertifikate gefunden werden können.

Starten Sie Tomcat in jedem Fall mit dem JDK, das bei der Installation der Identitätsanwendung angegeben wurde.

Die Anmeldung bei der Portaladministratorseite ist nicht möglich.

Überprüfen Sie, ob ein Konto für den Identitätsanwendungsadministrator vorhanden ist. Dieses Konto ist nicht mit dem iManager-Administratorkonto identisch.

Auch mit einem Administratorkonto können keine neuen Benutzer angelegt werden.

Der Administrator der Identitätsanwendung muss ein Trustee des Containers der obersten Ebene sein und sollte über Supervisor-Rechte verfügen. Sie können versuchen, die Rechte des Administrators der Identitätsanwendung mit denen des LDAP-Administrators gleichzusetzen (in iManager).

Beim Starten des Anwendungsservers treten Keystore-Fehler auf.

Ihr Anwendungsserver verwendet nicht das bei der Installation der Identitätsanwendung angegebene JDK.

Importieren Sie die Zertifikatsdatei mithilfe des Befehls keytool:

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

  • Ersetzen Sie aliasName durch einen beliebigen eindeutigen Namen für dieses Zertifikat.

  • Ersetzen Sie certFile durch den vollständigen Pfad und Namen der Zertifikatsdatei.

  • Das Keystore-Standardpasswort lautet changeit (falls Sie ein anderes Passwort festgelegt haben, geben Sie es an).

Es werden keine Email-Benachrichtigungen gesendet.

Überprüfen Sie mit dem configupdate-Dienstprogramm, ob Sie Werte für die Identitätsanwendungs-Konfigurationsparameter Email-Von und Email-Host angegeben haben.

Führen Sie im Installationsverzeichnis (standardmäßig unter C:\NetIQ\idm\apps\UserApplication\) den folgenden Befehl aus:

configupdate.bat