La autenticación es un tema complejo y la infraestructura de red existente puede afectar a la capacidad de realizar correctamente una entrada inicial a iManager. Los siguientes aspectos pueden ayudarle a reducir las dificultades relacionadas con la autenticación. Para obtener más información sobre temas relacionados con la autenticación, consulte la documentación del servicio de autenticación modular de NetIQ (NMAS) y la documentación NetIQ eDirectory.
La autenticación de iManager es una operación dependiente de la plataforma, lo que significa que funciona de forma diferente en función de la plataforma en que iManager se esté ejecutando
Servidores Linux y Windows: Si iManager se ejecuta en un servidor Linux o Windows, utiliza el mecanismo de autenticación legado de eDirectory y la contraseña habitual de eDirectory. Este mecanismo admite la opción de contraseña universal de eDirectory, pero no la opción Contraseña simple.
iManager Workstation: iManager se ejecuta en una estación de trabajo cliente , Linux o Windows, y hace uso del cliente NMAS que le permite utilizar la Contraseña universal, siempre y cuando se configure.
iManager no utiliza LDAP para el proceso de autenticación inicial de iManager. Utiliza el protocolo de autenticación propietario de eDirectory. Sin embargo, tras la autenticación inicial, iManager puede crear las conexiones LDAP necesarias en eDirectory para que admita el acceso a directorios de los módulos auxiliares (plug-ins) instalados que necesitan acceso LDAP.
iManager no admite la autenticación con la contraseña sencilla de eDirectory.
Al autenticarse en iManager pueden aparecer los siguientes mensajes de error. Cada una de las secciones de los mensajes de error explica las posibles causas.
Si recibe un error 404 la primera vez que intenta acceder a iManager, verifique los puertos en los que se ejecuta Apache. En función del modo en que instaló iManager y si optó por la utilización de Apache o IIS, las ubicaciones del archivo de configuración varían. Apache utiliza el archivo httpd.conf o el archivo ssl.conf. Consulte la documentación de Microsoft para obtener información acerca de los parámetros de configuración del puerto IIS.
Si recibe un error interno del servidor o un error del contenedor servlet (bien no disponible o bien actualizándose), iManager tiene uno de los siguientes dos problemas con Tomcat:
Tomcat no se ha inicializado completamente después de rearrancar.
Tomcat no ha podido iniciarse.
Espere unos minutos e intente acceder a iManager de nuevo. Si sigue recibiendo el mismo error, compruebe el estado de Tomcat.
Reinicie Tomcat.
Para obtener información acerca de cómo reiniciar Tomcat, consulteInicio y detención de Tomcat.
Verifique si existen errores en los registros de Tomcat.
El archivo de registro se encuentra en el directorio $tomcat_home$/logs de las plataformas UNIX, Linux y Windows. En UNIX y Linux, los registros se denominan catalina.out o localhost_log.date.txt. En Windows, los archivos de registro de llaman stderr y stdout.
El nombre del objeto introducido no se encontró en el contexto especificado.
Algunas causas posibles:
Es posible que Entrada sin contexto esté deshabilitado.
Es posible que el objeto Usuario no esté en la lista configurada de contenedores de búsqueda. Solicite al administrador añadir la ubicación de usuario en los contenedores de búsqueda de Entrada sin contexto o entre con un contexto completo.
La contraseña NDS se ha inhabilitado en la directiva de Contraseña universal. Esto también se puede manifestar con un mensaje de error 222.
Este error se puede evitar con iManager Workstation mediante la instalación del cliente , que permite a iManager utilizar el mecanismo de autenticación de Contraseña universal, en lugar del proceso de autenticación legado de eDirectory.
Este error es un fallo del sistema con varias causas posibles.
El servidor de destino no tiene una copia de lo que el servidor de origen solicita o el servidor de origen no tiene ningún objeto que coincida con la solicitud ni ninguna referencia acerca de lo que ha de buscar en el objeto.
Algunas causas posibles:
Entró en un árbol o en una dirección IP incorrectos. Si utiliza la dirección IP, asegúrese de que incluye el puerto si eDirectory está instalado en un puerto no estándar (524).
iManager no puede encontrar el árbol ni la dirección IP antes de que se haya agotado el tiempo de espera. Si el nombre del árbol no es correcto, utilice la dirección IP.
Se ha utilizado una contraseña no válida, la autenticación ha fallado, un servidor intentó sincronizarse con otro, pero la base de datos del servidor de destino estaba bloqueada o existe un problema con el Id. remoto o la clave pública.
Algunas causas posibles:
Escribió una contraseña incorrecta
Existen múltiples usuarios con el mismo nombre de usuario en el árbol. Entrada sin contexto intenta entrar con la primera cuenta de usuario que encuentra con la contraseña suministrada. En ese caso, proporcione un contexto completo cuando entre o limite los contenedores de búsqueda en los que Entrada sin contexto realizará la búsqueda.
Si eDirectory está instalado y en ejecución en otro puerto, además del puerto por defecto (524), puede utilizar la dirección IP o el nombre DNS del servidor de eDirectory para entrar si también especifica el puerto. Por ejemplo:
Para una dirección IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Para una dirección IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Si utiliza el nombre de árbol para entrar, no tiene que especificar ningún puerto.
Los valores posibles para el campo Nombre de árbol son el nombre del árbol, la dirección IP del servidor y el nombre de DNS del servidor. Para obtener los mejores resultados, utilice la dirección IP.
Si fuera necesario, iManager puede entrar en el árbol de eDirectory utilizando un servidor que no aloje ninguna réplica de eDirectory. Para ello, iManager mantiene un caché de conexión con la información que necesita para entrar correctamente. Para llenar el caché de conexión, la primera vez que entre en un árbol de eDirectory con iManager debe entrar en un servidor que aloje una réplica.
Al reiniciar Tomcat o el servidor de iManager borra el caché de conexión, de forma que la primera vez que iManager entre siguiendo alguno de estos eventos, debe entrar en un servidor que aloje una réplica.
Los fallos de inicio de sesión se producen por una serie de razones. Consulte la información acerca de los mensajes de error de autenticación en Problemas de autenticación .
Para obtener información acerca de cómo limitar los mensajes de error que iManager muestra tras un intento de autenticación fallido, consulte Cómo impedir el descubrimiento de nombres de usuario.
Si una contraseña caduca, el usuario ve un mensaje que se lo indica. Sin embargo, es posible que los usuarios no sean conscientes de que las entradas de gracia se consumen rápidamente, sobre todo ciertas operaciones como modificar un grupo dinámico, una búsqueda simple y establecer una contraseña simple.
Estas operaciones consumen entradas de gracia adicionales cada vez que un usuario realiza una tarea. Se recomienda encarecidamente que indique a los usuarios que es muy conveniente que cambien sus contraseñas la primera vez que se les solicite.
Para habilitar la autenticación sin contexto mediante un tipo de objeto alternativo, siga los pasos que se indican a continuación:
Abra iManager y busque Configurar > Servidor de iManager > Configurar iManager > Autenticación.
Si no puede ver esta tarea, no es un usuario autorizado. Consulte Usuarios y grupos autorizados.
Ajuste Nombre de usuario público y Contraseña para un usuario que tenga derechos para leer los atributos deseados.
Modifique <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml para incluir una propiedad <Setting> que enumere los atributos que desea añadir a la búsqueda sin contexto y, a continuación, reinicie Tomcat.
Para obtener información sobre cómo reiniciar Tomcat, consulte Inicio y detención de Tomcat.
Por ejemplo, el siguiente código XML añade los objetos Alias y Usuario a la búsqueda sin contexto:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
De igual forma, el siguiente código XML permite a los usuarios entrar con el atributo CN o uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
IMPORTANTE:
En el código de ejemplo anterior, sustituya nombreárbol por el nombre del árbol de directorios pertinentes en minúsculas.
Si guarda algún ajuste del servidor de iManager correspondiente a la tarea Configurar iManager después de editar el archivo config.xml, verifique que el nombre del árbol aún está en minúsculas; de lo contrario, se producirá un error en la entrada sin contexto personalizado.