L'autenticazione rappresenta un problema complesso. L'infrastruttura di rete esistente può influire sulla possibilità di eseguire correttamente un login iniziale a iManager. Le seguenti informazioni possono aiutare a ridurre al minimo le difficoltà di autenticazione. Per ulteriori informazioni sugli argomenti relativi all'autenticazione, consultare la documentazione di NetIQ NMAS (Modular Authentication Service, servizio di autenticazione modulare) e la documentazione di NetIQ eDirectory.
L'autenticazione di iManager dipende dalla piattaforma e quindi si comporta in maniera diversa in base alla piattaforma su cui viene eseguito iManager.
Server Linux e Windows: quando iManager viene eseguito su un server Linux o Windows vengono utilizzate la tecnica di autenticazione esistente e la password regolare di eDirectory. Questo meccanismo supporta l'opzione Universal Password di eDirectory ma non quella Password semplice.
iManager Workstation: iManager Workstation viene eseguita su una workstation client, Linux o Windows, e utilizza il client NMAS che consente di utilizzare la funzione Universal Password, se configurata.
Per il processo di autenticazione iniziale di iManager non viene utilizzato il protocollo LDAP bensì il protocollo di autenticazione proprietario di eDirectory. Dopo l'autenticazione iniziale a iManager è tuttavia possibile creare connessioni LDAP a eDirectory in base alle esigenze affinché i plug-in installati che necessitano dell'accesso LDAP supportino l'accesso alla directory.
iManager non supporta l'autenticazione con la password semplice di eDirectory.
Quando si effettua l'autenticazione a iManager, possono essere visualizzati i seguenti messaggi di errore. Le cause possibili sono descritte nella sezione di ogni messaggio di errore.
Se viene restituito un errore 404 la prima volta che si tenta di accedere a iManager, è necessario verificare le porte su cui è in esecuzione Apache. In base alle modalità di installazione di iManager e a seconda che si sia scelto di utilizzare Apache o IIS, le ubicazioni dei file di configurazione variano. Apache utilizza il file httpd.conf o ssl.conf. Per informazioni sulle impostazioni della porta IIS, fare riferimento alla documentazione Microsoft.
Se viene restituito un errore interno del server o un errore del container servlet (non disponibile o in fase di upgrade), significa che si è verificato uno dei due seguenti problemi relativi a Tomcat:
Tomcat non è stato inizializzato completamente dopo un riavvio.
Tomcat non è stato avviato.
Attendere alcuni minuti e tentare nuovamente l'accesso a iManager. Se continuano a essere visualizzati gli stessi errori, verificare lo stato di Tomcat.
Riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere Avvio e interruzione di Tomcat.
Verificare la presenza di errori nei log di Tomcat.
Nelle piattaforme UNIX, Linux e Windows il file di log è memorizzato nella directory $tomcat_home$/logs. In UNIX e Linux, i log sono normalmente denominati catalina.out o localhost_log.data.txt. In Windows, i log sono denominati stderr e stdout.
Nel contesto specificato non è stato possibile trovare il nome dell'oggetto immesso.
Di seguito vengono descritte alcune della possibili cause:
Potrebbe essere disabilitata la funzione di login senza contesto.
L'oggetto Utente potrebbe non essere incluso nell'elenco dei container di ricerca configurati. Chiedere all'amministratore di aggiungere l'ubicazione utente ai container di ricerca per i login senza contesto oppure eseguire il login con un contesto completo.
La password NDS è stata disabilitata nelle norme Universal Password. Ciò può anche comportare la visualizzazione di un messaggio di errore 222.
Per evitare questo errore in iManager Workstation, installare il client per consentire a iManager di utilizzare il sistema di autenticazione Universal Password anziché quello esistente di eDirectory.
Questo errore corrisponde a un errore del sistema con numerose cause possibili.
Nel server di destinazione non è presente una copia di ciò che viene richiesto dal server di origine oppure nel server di origine non sono inclusi oggetti che corrispondano alla richiesta o riferimenti sui quali eseguire la ricerca di un oggetto.
Di seguito vengono descritte alcune della possibili cause:
È stato immesso un albero o un indirizzo IP non corretto. Se si utilizza l'indirizzo IP, assicurarsi di includere la porta se eDirectory è installato su una porta non standard (524).
iManager non è in grado di individuare l'albero o l'indirizzo IP prima del timeout. Se utilizzando il nome dell'albero si ha esito negativo, utilizzare l'indirizzo IP.
È stata utilizzata una parola d'ordine non valida, l'autenticazione non è riuscita, un server ha tentato di eseguire la sincronizzazione con un altro ma il database del server di destinazione era bloccato oppure si è verificato un problema con l'ID remoto o la chiave pubblica.
Di seguito vengono descritte alcune della possibili cause:
È stata digitata una parola d'ordine non corretta
Nell'albero sono presenti più utenti con lo stesso nome utente. Tramite la funzione di login senza contesto viene eseguito il tentativo di login utilizzando il primo conto utente rilevato con la parola d'ordine fornita. In questo caso, fornire un contesto completo quando si esegue il login oppure limitare i container di ricerca in cui viene eseguita la ricerca tramite la funzione di login senza contesto.
Se eDirectory è installato e in esecuzione su una porta diversa dalla porta di default 524, è possibile utilizzare l'indirizzo IP o il nome DNS del server di eDirectory per eseguire il login se si specifica anche la porta, ad esempio:
Per un indirizzo IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Per un indirizzo IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Se per eseguire il login si utilizza il nome dell'albero, non è necessario specificare una porta.
I possibili valori per il campo Nome albero sono il nome dell'albero, l'indirizzo IP del server e il nome DNS del server. Per ottenere risultati ottimali, utilizzare l'indirizzo IP.
Se necessario, è possibile eseguire il login da iManager all'albero eDirectory utilizzando un server che non ospita una replica di eDirectory. A questo scopo, iManager gestisce una cache delle connessioni con le informazioni necessarie per il corretto login. Per inserire i valori nella cache delle connessioni, la prima volta che si esegue il login da iManager a un albero eDirectory è necessario accedere a un server che ospiti una replica.
Il riavvio di Tomcat o del server iManager provoca lo svuotamento della cache delle connessioni, quindi la prima volta che si esegue il login da iManager in seguito a uno di questi eventi, è necessario accedere a un server che ospiti una replica.
Gli errori di login si verificano per diversi motivi. I messaggi di errore relativi all'autenticazione vengono trattati in Problemi di autenticazione.
Per informazioni su come limitare i messaggi di errore visualizzati in iManager dopo un tentativo di autenticazione non riuscito, vedereImpedire la rilevazione del nome utente.
In caso di scadenza della parola d'ordine, l'utente riceve un messaggio relativo a tale problema. Gli utenti, tuttavia, potrebbero non essere a conoscenza del fatto che i login extra possono esaurirsi rapidamente, a seconda delle operazioni eseguite, ad esempio la modifica di un gruppo dinamico, una ricerca semplice e l'impostazione di una parola d'ordine semplice.
Tali operazioni comportano l'uso di altri login extra ogni volta che un utente esegue un task. È consigliabile invitare gli utenti a modificare le proprie parole d'ordine non appena viene loro richiesto.
Per abilitare l'autenticazione senza contesto utilizzando un tipo di oggetto alternativo, effettuare le seguenti operazioni:
Aprire iManager e selezionare Configura > Server iManager > Configura iManager > Autenticazione.
Se il task non viene visualizzato, significa non si dispone delle autorizzazioni necessarie. Vedere Utenti e gruppi autorizzati.
Impostare il Nome utente pubblico e la Password dell'utente che dispone dei diritti di lettura sugli attributi desiderati.
Modificare <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xmlin modo da includere una proprietà <Impostazione> che elenchi gli attributi che si desidera aggiungere alla ricerca senza contesto, quindi riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere Avvio e interruzione di Tomcat.
Ad esempio, il seguente XML aggiunge gli oggetti Alias e Utente alla ricerca senza contesto:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
Analogamente, il seguente XML consente agli utenti di eseguire il login con l'attributo CN o uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
IMPORTANTE:
Nel codice di esempio appena illustrato, sostituire nome albero con il nome dell'albero di directory appropriato in minuscole.
Se si salvano eventuali impostazioni del server iManager dal task Configura iManager dopo aver modificato il file config.xml, verificare che il nome dell'albero sia ancora in minuscolo. In caso contrario, il login senza contesto avrà esito negativo.