20.6 アップグレードのトラブルシューティング

次の表に、発生する可能性のある問題とそれを解決するための推奨されるアクションを示します。問題が続く場合は、NetIQの担当者にお問い合わせください。

項目

推奨されるアクション

ConfigUpdateユーティリティを実行した後で、Identity Applicationsにログインできません。次のエラーメッセージがcatalina.outログファイルに表示されます。

javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status.

この問題は、LDAPサーバでBind Restrictions for Cipher (暗号のバインド制限)Use SuiteB Cipher (128-bit) (SuiteB暗号を使用 (128ビット))に設定されている場合に、Identity Manager 4.8.4 (edirectory 9.2.5)で発生します。Identity Managerはデジタル証明書を使用して、そのコンポーネントを認証して安全に通信します。証明書は、[CRL Distribution Point (CDP) (CRL配布ポイント (CDP)]フィールドで指定されている証明書取り消しリスト(CRL)をチェックして検証されます。このフィールドでは、証明書が取り消されているかどうかを判断します。CRLDPは、ルート証明書と、キーストアファイルtomcat.ksおよびidm.jksに存在する中間証明書の両方で使用できます。ただし、証明書取り消しチェックは、デフォルトで無効になっています。その結果、PKIX信頼マネージャは証明書の取り消しステータスを判断できません。

この問題を修正するには、-Dcom.sun.security.enableCRLDPプロパティをtrueに設定して、CRL配布ポイントチェックを有効にします。

このプロパティを設定するには、次のアクションを実行してください。

  1. Tomcatを停止します。

  2. Tomcatのbinディレクトリにあるsetenv.shファイルに移動します。たとえば、/opt/netiq/idm/apps/tomcat/bin/setenv.shです。

  3. CATALINA_OPTSに次のようにプロパティ-Dcom.sun.security.enableCRLDP=trueを追加します。

    export CATALINA_OPTS="-Dcom.sun.security.enableCRLDP=true"

  4. Tomcatを起動します。

Identity Managerをアップグレードした後、管理者以外のユーザはIdentity Managerダッシュボードへのログインに非常に時間がかかります。アプリケーションページとダッシュボードページのロードには、かなりの遅延があります。

この問題は、デフォルトで有効になっているネストされたグループ検索が原因で発生します。アプリケーションは、環境内にネストされたグループがあるかどうかに関係なく、ネストされたグループメンバーシップを介してログインしたユーザによって継承された許可を検索します。

(状況によって実行)次の手順は、Identity Manager 4.8.5以降に適用されます。

  1. Identity Applicationsが4.8.5バージョンにアップグレードされたサーバにログインします。

  2. /opt/netiq/idm/apps/tomcat/conf/の場所に移動します。

  3. テキストエディタでism-configuration.propertiesファイルを開きます。

  4. ファイルの末尾に、次のプロパティを追加します。

    DirectoryService/realms/jndi/params/USE_NESTED_GROUPS=false

  5. ファイルを保存し、Tomcatを再起動します。

Identity Applicationsを以前のバージョンから4.8バージョンにアップグレードした後、フォームレンダラは期待どおりに動作しません。この問題は、デフォルトのIDMProv展開コンテキストがカスタムコンテキストに変更された場合に発生します。

この問題を解決するには、次の手順を実行してください。

  1. Identity Applicationsが4.8バージョンにアップグレードされたサーバにログインします。

  2. /opt/netiq/idm/apps/sitesディレクトリに移動します。

  3. ServiceRegistry.jsonファイルを編集します。

  4. 展開コンテキストをIDMProvから、アップグレード前に指定されたカスタムコンテキストに変更します。

  5. ServiceRegistry.jsonファイルを保存します。

  6. /opt/netiq/idm/apps/sites/forms/ディレクトリに移動します。

  7. main.<version>.jsファイルを編集します。ここで、<version>はランダムに生成された英数字の値です。

  8. 展開コンテキストをIDMProvから、アップグレード前に指定されたカスタムコンテキストに変更します。

  9. main.<version>.jsファイルを保存します。

  10. Tomcatを再起動します。

分散環境のIdentity Managerを4.8.1バージョンにアップグレードした後で、Identity Applicationsへのログインに失敗します。以下のようなエラーメッセージが表示されます。

Your login process did not complete successfully.

Identity Applicationsにログインするには、Identity ApplicationsとOSP間のセキュアな接続を確立するためのトラストアンカー証明書が必要です。トラストアンカー証明書には、サブジェクトタイプがCAに設定された基本制約拡張が含まれている必要があります。Identity Managerは、プロパティjdk.security.allowNonCaAnchorを使用して、証明書のトラストアンカーを検証します。デフォルトでは、このプロパティはfalseに設定されています。したがって、トラストアンカーが証明書で見つからない場合は、Identity ApplicationsとOSP間の接続を確立することができず、ログインに失敗します。idm-osp.logファイルで次の例外に気づくでしょう。

sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate

この問題を解決するには、次の条件のいずれかを満たす必要があります。

  • Identity ApplicationsとOSP間のセキュアな接続を確立するために使用される証明書は、適切な基本制約拡張を含む信頼できるCA証明書であることを確認します。

  • クライアントによって信頼される自己署名証明書およびカスタム証明書の場合、基本制約拡張を含まないCA以外の証明書を許可するように、プロパティjdk.security.allowNonCaAnchorを変更できます。次のアクションを実行して、Javaセキュリティ設定を変更します。

  1. /opt/netiq/common/jre/lib/security/java.securityディレクトリに移動します。

  2. プロパティjdk.security.allowNonCaAnchor=trueの値を設定します。

  3. ファイルを保存します。

Identity Applications 4.8.1バージョンにアップグレードした後で、Identity Applicationsダッシュボードで許可の要求中に、フォームを開くことができません。

この問題を解決するには、次のコマンドを使用して、NGNIXおよびGolangサービスを手動で再起動します。

  • NGNIX: /opt/netiq/common/ngnix/ngnix

  • Golang: /etc/init.d/netiq-golang.sh

Identity ApplicationsはIdentity ApplicationsダッシュボードでフォームをレンダリングするためにNGNIXサービスを使用します。

Standard EditionのIdentity Reportingをアップグレードすると、configupdate.sh.propertiesis_provパラメータはtrueに設定されます。Identity ApplicationsはStandard Editionでは使用できないため、このパラメータの値をfalseに設定する必要があります。

configupdate.sh.propertiesファイルでis_provパラメータをfalseに手動で設定します。

Identity Managerエンジンの以前のアップグレードに失敗した場合、Identity Managerエンジンインストーラを再実行できません。たとえば、最初の試行でIdentity Managerエンジンの4.8アップグレードが失敗し、Identity Managerエンジンのアップグレードを再試行した場合、アップグレードプロセスはトリガされません。

次の手順を実行します。

  1. novell-DXMLengnx RPMを使用して以前のバージョンにIdentity Managerエンジンをダウングレードします。

  2. Identity Managerエンジンをアップグレードします。

Identity Managerをアップグレードした後で、次のプロパティがism-configuration.propertiesファイルに追加されます。

com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system

ism-configuration.propertiesファイルのプロパティをコメントアウトして、Tomcatを再起動します。機能が損なわれることはないからです。

Identity Managerをアップグレードすると、展開にSSPRがない場合でも、次のSSPRプロパティがism-configuration.propertiesファイルに追加されます。

com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth

ism-configuration.propertiesファイルのプロパティをコメントアウトして、Tomcatを再起動します。機能が損なわれることはないからです。

Identity Managerのアップグレード後に、ism-configuration.propertiesファイルは、java.protocol.handler.pkgsプロパティの重複値を入力します。

機能が失われることはありません。この問題を解決するには、次のアクションを実行してください。

  1. /opt/netiq/idm/apps/tomcat/conf/ディレクトリにあるism-configuration.propertiesファイルに移動します。

  2. ism-configuration.propertiesファイルを変更し、java.protocol.handler.pkgsプロパティの重複値を削除します。

  3. ファイルを保存し、Tomcatを再起動します。

Identity Managerアップグレードの後で、Tomcatを起動できません。Tomcatログにはいくつかの例外があり、ワークフローエンジンとアイデンティティボールト間で通信障害が発生しています。

  1. iManagerにログインします。

  2. Roles and Tasks (役割とタスク) > NetIQ Certificate Access (NetIQ証明書アクセス) > Server Certificates (サーバ証明書)の順に移動します。

  3. SSL CertificateDNS (SSL証明書DNS)チェックボックスをオンにして、エクスポートをクリックします。

  4. 証明書ドロップダウンリストで、[SSL CertificateDNS]を選択します。

  5. Export private key (秘密鍵のエクスポート)チェックボックスをクリアします。Export format (エクスポート形式)DERに設定されていることを確認します。

  6. 次へ > Save the exported certificate (エクスポートされた証明書の保存)をクリックして、システムに証明書をダウンロードします。

  7. Identity Applicationsサーバにログインします。

  8. Tomcatを停止します。

  9. opt/netiq/common/jre/bin ディレクトリに移動して、次のコマンドを使用して、証明書をidm.jksファイルにインポートします。

    opt/netiq/common/jre/bin/keytool -import -trustcacerts -alias <certificate_alias_name> -keystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -file <certificate_file_downloaded>

  10. Tomcatを再起動します。