Die Authentifizierung ist ein komplexes Thema, und Ihre bestehende Netzwerkinfrastruktur kann Einfluss auf die erfolgreiche Durchführung einer ersten Anmeldung bei iManager haben. Die folgenden Tatsachen können dazu beitragen, Probleme zu minimieren, die mit der Authentifizierung zusammenhängen. Weitere Informationen zu Authentifizierungsthemen finden Sie in der Dokumentation für NetIQ Modular Authentication Service (NMAS) und in der NetIQ eDirectory-Dokumentation.
Die iManager-Authentifizierung ist ein plattformabhängiger Vorgang; das bedeutet, dass sie abhängig von der Plattform, auf der iManager ausgeführt wird, unterschiedlich durchgeführt wird.
Linux- und Windows-Server: Wenn iManager auf einem Linux- oder Windows-Server ausgeführt wird, werden der Alt-Authentifizierungsmechanismus von eDirectory und das reguläre eDirectory-Passwort verwendet. Dieser Vorgang unterstützt zwar die eDirectory-Option für universelle Passwörter, jedoch nicht die Option für einfache Passwörter.
iManager Workstation iManager Workstation wird auf einer Client-Arbeitsstation ausgeführt, entweder Linux oder Windows, und verwendet den NMAS-Client, über den es das universelle Passwort verwenden kann, sofern dieses konfiguriert ist.
iManager verwendet LDAP nicht für den ersten Authentifizierungsvorgang. Es verwendet das proprietäre Authentifizierungsprotokoll von eDirectory. Allerdings kann iManager nach der ersten Authentifizierung nach Bedarf LDAP-Verbindungen mit eDirectory herstellen, um den Verzeichniszugriff für die installierten Plugins zu unterstützen, die LDAP-Zugriff benötigen.
iManager unterstützt nicht die Authentifizierung mit dem einfachen Passwort von eDirectory.
Möglicherweise werden bei der Authentifizierung folgende Fehlermeldungen angezeigt. In jedem Abschnitt zur Fehlermeldung werden mögliche Fehlerquellen behandelt.
Wenn dieser Fehler beim ersten Versuch des Zugriffs auf iManager angezeigt wird, müssen Sie die von Apache verwendeten Ports überprüfen. Der Speicherort der Konfigurationsdatei variiert je nach Art der iManager-Installation und danach, ob Apache oder IIS verwendet wird. Apache verwendet entweder die Datei httpd.conf oder die Datei ssl.conf. Informationen zu den IIS-Porteinstellungen finden Sie in der Microsoft-Dokumentation.
Wenn ein interner Serverfehler oder ein Servlet-Container-Fehler gemeldet wird (nicht verfügbar oder wird aufgerüstet), hat iManager eines der folgenden Probleme mit Tomcat:
Tomcat wurde nach einem Neustart nicht vollständig initialisiert.
Tomcat konnte nicht gestartet werden.
Warten Sie einige Minuten und versuchen Sie dann erneut, auf iManager zuzugreifen. Wenn dieselben Fehler weiterhin angezeigt werden, überprüfen Sie den Status von Tomcat.
Starten Sie Tomcat neu.
Informationen darüber, wie Sie Tomcat neu starten, finden Sie unter Starten und Stoppen von Tomcat.
Überprüfen Sie die Tomcat-Protokolle auf Fehler.
Die Protokolldatei befindet sich auf den Plattformen UNIX, Linux und Windows im Verzeichnis $tomcat_home$/logs. Unter UNIX und Linux haben die Protokolldateien die Namen catalina.out oder localhost_log.date.txt. Unter Windows haben die Protokolldateien die Namen stderr und stdout.
Der eingegebene Objektname wurde im angegebenen Kontext nicht gefunden.
Mögliche Ursachen:
Die kontextlose Anmeldung wurde deaktiviert.
Ihr Benutzerobjekt befindet sich nicht in der konfigurierten Liste von Suchcontainern. Bitten Sie den Administrator, den Suchcontainern für die kontextlose Anmeldung Ihren Benutzerstandort hinzuzufügen, oder melden Sie sich mit vollständigem Kontext an.
Das NDS-Passwort wurde in der universellen Passwortrichtlinie deaktiviert. Dies kann auch die Fehlermeldung 222 zur Folge haben.
Sie können diesen Fehler bei iManager Workstation vermeiden, indem Sie den Client installieren, mit dem iManager den Mechanismus "Universelles Passwort" anstelle des Alt-Authentifizierungsvorgangs von eDirectory verwenden kann.
Dieser Fehler ist ein Systemfehler, der mehrere mögliche Gründe haben kann.
Auf dem Zielserver befindet sich keine Kopie dessen, was der Ursprungsserver anfordert, oder der Ursprungsserver verfügt über keine Objekte, die der Anforderung entsprechen, und über keine Verweise, wo nach dem Objekt zu suchen ist.
Mögliche Ursachen:
Sie haben einen falschen Baum oder eine falsche IP-Adresse eingegeben. Wenn Sie die IP-Adresse verwenden, stellen Sie sicher, dass Sie den Port angeben, falls eDirectory nicht an einem Standardport (524) installiert wurde.
iManager konnte den Baum oder die IP-Adresse nicht innerhalb der vorgesehenen Zeit finden. Wenn der Baumname nicht gefunden werden konnte, verwenden Sie die IP-Adresse.
Ein ungültiges Passwort wurde verwendet, die Authentifizierung konnte nicht durchgeführt werden, ein Server hat versucht, eine Synchronisierung mit einem anderen Server durchzuführen, doch die Datenbank des Zielservers war gesperrt, oder es gibt ein Problem mit der Remote-ID oder dem öffentlichen Schlüssel.
Mögliche Ursachen:
Sie haben ein falsches Passwort eingegeben.
Im Baum befinden sich mehrere Benutzer mit demselben Benutzernamen. Bei der kontextlosen Anmeldung wird die Anmeldung bei dem ersten Benutzerkonto dieses Namens unter Verwendung des angegebenen Passworts versucht. Geben Sie in diesem Falle bei der Anmeldung den vollständigen Kontext ein oder beschränken Sie die Container, die bei der kontextlosen Anmeldung durchsucht werden.
Wenn eDirectory installiert ist und einen anderen Port als den Standardport 524 verwendet, können Sie die IP-Adresse oder den DNS-Namen des eDirectory-Servers für die Anmeldung verwenden, wenn Sie gleichzeitig den Port angeben, zum Beispiel:
IPv4-Adresse:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
IPv6-Adresse:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Wenn Sie für die Anmeldung den Baumnamen verwenden, müssen Sie keinen Port angeben.
Mögliche Werte für das Feld „Baumname“ sind der Baumname, die IP-Adresse des Servers und der DNS-Name des Servers. Die besten Ergebnisse erhalten Sie, wenn Sie die IP-Adresse verwenden.
Wenn nötig, kann sich iManager beim eDirectory-Baum anmelden, indem ein Server verwendet wird, der keine eDirectory-Reproduktion hostet. Hierzu verwendet iManager einen Verbindungs-Cache mit den Informationen, die zur erfolgreichen Anmeldung benötigt werden. Um den Verbindungs-Cache mit Einträgen zu versehen, muss die erstmalige Anmeldung bei einem eDirectory-Baum, die Sie für iManager vornehmen, über einen Server erfolgen, der eine Reproduktion hostet.
Bei einem Neustart von Tomcat oder des iManager-Servers wird der Verbindungs-Cache gelöscht; wenn sich iManager also nach einem dieser Ereignisse wieder zum ersten Mal anmeldet, muss die Anmeldung bei einem Server erfolgen, der eine Reproduktion hostet.
Anmeldungsfehler können viele verschiedene Ursachen haben. Informationen zu den Authentifizierungsfehlermeldungen finden Sie unter Authentifizierungsprobleme.
Informationen darüber, wie Sie die Fehlermeldungen einschränken können, die iManager bei einem fehlgeschlagenen Authentifizierungsversuch anzeigt, finden Sie unter Verhindern der Ermittlung von Benutzernamen.
Wenn ein Passwort abläuft, erhält der Benutzer eine entsprechende Meldung. Benutzern ist jedoch möglicherweise nicht bewusst, dass die Kulanzanmeldungen bei bestimmten Operationen, wie beispielsweise Ändern von dynamischen Gruppen, einfaches Suchen oder Festlegen einfacher Passwörter, schnell verbraucht werden können.
Bei diesen Operationen werden jedes Mal, wenn ein Benutzer eine Aufgabe durchführt, zusätzliche Kulanzanmeldungen verbraucht. Es wird daher dringend empfohlen, dass Sie die Benutzer ermuntern, Ihr Passwort bereits bei der ersten Aufforderung zu ändern.
Um die kontextlose Authentifizierung mittels eines anderen Objekttyps zu aktivieren, führen Sie Folgendes durch:
Öffnen Sie iManager und navigieren Sie zu Konfigurieren > iManager-Server > iManager konfigurieren > Authentifizierung.
Wenn Ihnen diese Aufgabe nicht angezeigt wird, sind Sie kein autorisierter Benutzer. Weitere Informationen hierzu finden Sie unter Autorisierte Benutzer und Gruppen.
Geben Sie unter Öffentlicher Benutzername und Passwort die Daten eines Benutzers ein, der berechtigt ist, die gewünschten Attribute zu lesen.
Bearbeiten Sie TOMCAT_HOME\webapps\nps\WEB-INF\config.xml so, dass eine Eigenschaft <Setting> die Attribute auflistet, die Sie zur kontextlosen Suche hinzufügen möchten, und starten Sie Tomcat neu.
Informationen darüber, wie Sie Tomcat neu starten, finden Sie unter Starten und Stoppen von Tomcat.
Beispielsweise fügt der folgende XML-Code die Alias- und Benutzerobjekte zur kontextlosen Suche hinzu:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
Analog ermöglicht es der folgende XML-Code, dass sich Benutzer mit dem CN- oder uniqueID-Attribut anmelden:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
WICHTIG:
Ersetzen Sie im Beispielscode oben den Eintrag treename durch den Namen des jeweiligen Verzeichnisbaums in Kleinbuchstaben.
Wenn Sie iManager-Servereinstellungen mittels der iManager-Aufgabe iManager konfigurieren speichern, nachdem Sie die Datei config.xml bearbeitet haben, müssen Sie sicherstellen, dass der Baumname immer noch ausschließlich Kleinbuchstaben enthält, da die kontextlose Anmeldung ansonsten fehlschlägt.