9.0 Identity Managerのトラブルシューティング

Identity Managerをインストールする際は、以下の情報に留意してください。

Identity Managerのインストール時のLotus Notesのドライバの問題

原因: Solaris 10では、Identity Manager 4.0.2をroot以外としてインストールすると、Lotus Notesドライバで以下のメッセージが表示される場合があります。 
ln: cannot create /usr/lib/locale/ja/wnn//ndsrep: File exists
ln: cannot create
cp: cannot create /usr/lib/locale/ja/wnn//libnotesdrvjni.so.1.0.0: Permission
denied
ln: cannot create /usr/lib/locale/ja/wnn//libnotesdrvjni.so.1: File exists
ln: cannot create /usr/lib/locale/ja/wnn//libnotesdrvjni.so: File exists
アクション: 手動でシンボリックリンクを作成します。シンボリックリンクのチェックや再作成に関する詳細については、『Identity Manager 4.0.2 Driver for Lotus Notes実装ガイド』のインストール問題のトラブルシューティングを参照してください。

Windows 2008 SP2の32ビットプラットフォーム上でIdentity Managerのインストールが散発的に失敗する可能性があります。

原因: フレームワークのインストーラに次のエラーが表示されます。 
Java Platform SE binary has stopped working.
アクション: この問題を回避するには次の手順に従ってください。

  1. [-DCLUSTER_INSTALL="true"] オプションを指定してIdentity Managerを実行します。これにより、Identity Managerのファイルのみがインストールされ、eDirectoryのスキーマおよびその他のファイルはインストールされません。

    <install_drive>:\windows\setup\idm_install.exe -DCLUSTER_INSTALL="true"

  2. [eDirectory Maintenance (eDirectoryの保守)]から[Import Convert Export Wizard (インポート変換エクスポートウィザード)]を使用し、Identity ManagerスキーマをiManagerによって拡張します。

  3. LDIFファイルを使用してデフォルトのオブジェクトを作成します。

    • デフォルトのパスワードポリシーLDIFファイル

      dn: cn=Password Policies,cn=Security
objectClass: nspmPasswordPolicyContainer
objectClass: Top
cn: Password Policies
ACL: 1#subtree#[Public]#[Entry Rights]
ACL: 3#subtree#[Public]#[All Attributes Rights]

dn: cn=Sample Challenge Set,cn=Password Policies,cn=Security
objectClass: nsimChallengeSet
objectClass: Top
cn: Sample Challenge Set

dn: cn=Sample Password Policy,cn=Password Policies,cn=Security
objectClass: nspmPasswordPolicy
objectClass: Top
cn: Sample Password Policy

    • デフォルトの通知コレクションポリシーLDIFファイル

      dn: cn=Default Notification Collection,cn=Security
objectClass: notfTemplateCollection
objectClass: Top
cn: Default Notification Collection
ACL: 1#subtree#[Public]#[Entry Rights]
ACL: 3#subtree#[Public]#[All Attributes Rights]

dn: cn=Password Expiration Notification,cn=Default Notification Collection,cn=Security
notfMergeTemplateSubject: Password Expiration Notification
notfMergeTemplateData:: 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
objectClass: notfMergeTemplate
objectClass: Top
cn: Password Expiration Notification

dn: cn=Password Reset Fail,cn=Default Notification Collection,cn=Security
notfMergeTemplateSubject: Notice of Password Reset Failure
notfMergeTemplateData:: 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
objectClass: notfMergeTemplate
objectClass: Top
cn: Password Reset Fail

dn: cn=Password Set Fail,cn=Default Notification Collection,cn=Security
notfMergeTemplateSubject: Notice of Password Set Failure
notfMergeTemplateData:: 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
objectClass: notfMergeTemplate
objectClass: Top
cn: Password Set Fail

dn: cn=Password Sync Fail,cn=Default Notification Collection,cn=Security
notfMergeTemplateSubject: Notice of Password Synchronization Failure
notfMergeTemplateData:: PGh0bWwgeG1sbnM6Zm9ybT0iaHR0cDovL3d3dy5ub3ZlbGwuY29tL2RpcnhtbC93b3JrZmxvdy9mb3JtIj4NCiAgPGZvcm06dG9rZW4tZGVzY3JpcHRpb25zPg0KICAgIDxmb3JtOnRva2VuLWRlc2NyaXB0aW9uIGl0ZW0tbmFtZT0iVXNlckZ1bGxOYW1lIiBkZXNjcmlwdGlvbj0iVGhlIHVzZXIncyBmdWxsIG5hbWUiLz4NCiAgICA8Zm9ybTp0b2tlbi1kZXNjcmlwdGlvbiBpdGVtLW5hbWU9IlVzZXJHaXZlbk5hbWUiIGRlc2NyaXB0aW9uPSJUaGUgdXNlcidzIGdpdmVuIG5hbWUiLz4NCiAgICA8Zm9ybTp0b2tlbi1kZXNjcmlwdGlvbiBpdGVtLW5hbWU9IlVzZXJMYXN0TmFtZSIgZGVzY3JpcHRpb249IlRoZSB1c2VyJ3MgbGFzdCBuYW1lIi8+DQogICAgPGZvcm06dG9rZW4tZGVzY3JpcHRpb24gaXRlbS1uYW1lPSJDb25uZWN0ZWRTeXN0ZW1OYW1lIiBkZXNjcmlwdGlvbj0iVGhlIGV4dGVybmFsIGFwcGxpY2F0b24gbmFtZSIvPg0KICAgIDxmb3JtOnRva2VuLWRlc2NyaXB0aW9uIGl0ZW0tbmFtZT0iRmFpbHVyZVJlYXNvbiIgZGVzY3JpcHRpb249IlRoZSBmYWlsdXJlIHJlYXNvbiIvPg0KICA8L2Zvcm06dG9rZW4tZGVzY3JpcHRpb25zPg0KPGhlYWQ+DQogIDx0aXRsZT5Ob3RpY2Ugb2YgUGFzc3dvcmQgU3luY2hyb25pemF0aW9uIEZhaWx1cmU8L3RpdGxlPg0KICA8c3R5bGU+IDwhLS0gYm9keSB7IGZvbnQtZmFtaWx5OiBUcmVidWNoZXQgTVMgfSAtLT4gPC9zdHlsZT4NCjwvaGVhZD4NCjxib2R5IEJHQ09MT1I9IiNGRkZGRkYiPg0KICA8cD5EZWFyICRVc2VyRnVsbE5hbWUkLDwvcD4NCiAgPHA+VGhpcyBpcyBhIG5vdGljZSB0aGF0IHlvdXIgcGFzc3dvcmQgZnJvbSB0aGUgJENvbm5lY3RlZFN5c3RlbU5hbWUkIHdhcyB1bmFibGUgdG8gc3luY2hyb25pemUgdG8gb3RoZXIgY29ubmVjdGVkIHN5c3RlbXMuICBUaGUgcmVhc29uIGZvciBmYWlsdXJlIGlzIGluZGljYXRlZCBiZWxvdzo8L3A+DQogIDxwPlJlYXNvbjogJEZhaWx1cmVSZWFzb24kPC9wPg0KICA8cD5JZiB5b3UgaGF2ZSBhbnkgZnVydGhlciBxdWVzdGlvbnMsIHBsZWFzZSBjb250YWN0IHRoZSBoZWxwIGRlc2sgYXQgKDAxMikNCiAgICAgMzQ1LTY3ODkgb3IgZW1haWwgYXQgPGEgaHJlZj0ibWFpbHRvOmhlbHAuZGVza0BteWNvbXBhbnkuY29tIj4NCiAgICAgaGVscC5kZXNrQG15Y29tcGFueS5jb20gPC9hPjwvcD4NCiAgPHA+IC0gQXV0b21hdGVkIFNlY3VyaXR5PC9wPg0KICA8cD48aW1nIFNSQz0iY2lkOnBvd2VyZWRfYnlfbm92ZWxsLmdpZiIgQUxUPSJQb3dlcmVkIGJ5IE5vdmVsbCIgd2lkdGg9IjgwIiBoZWlnaHQ9IjI5Ii8+PC9wPg0KPC9ib2R5Pg0KPC9odG1sPg0K
objectClass: notfMergeTemplate
objectClass: Top
cn: Password Sync Fail

  4. NMASメソッドをインストールします。

  5. NMASプラグインをiManagerにインストールしたら、[NMAS]>[NMAS Login (NMASログイン)]>[Methods (メソッド)]>[New (新規)]に移動します。目的のNMASメソッドの環境設定ファイルを参照し、インストールします。

メモ:回避策を実行する前に、ログファイルを必ず参照してください。たとえば、Role Based Provisioning Moduleスキーマがすでに拡張されている場合、Role Based Provisioning Moduleドライバをインストール中にそれを拡張する必要はありません。

Identity Managerのリモートデスクトップによるインストールが不規則に失敗する場合がある

考えられる原因: Identity Managerのインストールは、リモートデスクトップからインストールしている場合は、エラーメッセージを表示して、失敗する場合があります。リモートデスクトップ接続は実際の物理的なアクセスよりも速度が遅いため、インストールプロセスがローカル参照の取得に失敗し、インストールも失敗します。
アクション: この問題を回避するには、サーバの実際の接続(物理接続)、またはVNC接続を使用してIdentity Managerをインストールします。

リモートローダコンソールヘルプページがWindows Server 2008 Coreで表示されない

考えられる原因: Windows Server Coreのリモートローダコンソールで[ヘルプ]をクリックすると、該当するヘルプページが表示されません。
アクション: この問題を回避するには、マシンにブラウザをインストールして(たとえば、Internet Explorer)、リモートローダコンソールで[ヘルプ]をクリックします。

インストーラをGUIモードで起動した場合の問題

考えられる原因: 必要なRPMがシステムに存在しない場合に統合インストーラをGUIモードで起動すると、エラーメッセージが表示されます。統合インストーラは自動的にコンソールモードに切り替わりますが、コンソールモードはサポートされていません。
アクション: Identity Managerインストーラを起動する前に、必要なRPMをインストールします。

Identity Managerを正常にインストールおよび設定するために必要なRPMのリストについては、Identity Manager 4.0.2 Readmeを参照してください。

2つのイベントが構文ストリームの属性に発生した場合、最初の属性の変更が失われる

ソース: Identity Manager 4.0.2エンジンでは、キャッシュ内にSTREAM属性およびOCTET_STRING属性が保存されません。接続システムにイベントが同期されると、識別ボールトからこれらの属性をエンジンが読み取り、接続システムを更新します。エンジンは識別ボールトから読み取る前にこれらの属性が変更された場合、変更された値は接続システム内で更新され、中間的な変更は失われる可能性があります。
アクション: 属性が頻繁に変更されている場合は、SYN_STREAMではなく適切な構文を使用します。

たとえば、XMLオブジェクトがSTREAM属性に保存されている場合は、SYN_STREAMではなくxmlData構文を使用します。

ユーザアプリケーションでのパスワードの変更

考えられる原因: ユーザアプリケーションでは、ログイン時に必ずNMASLOGIN_FIRST環境変数を使用するようにeDirectoryサーバが設定されている必要があります。Identity Managerインストーラは、Linuxの場合はpre_ndsd_startスクリプト、Windowsの場合はHKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environmentレジストリキーを変更することによって、これを自動的に処理します。

eDirectoryのデフォルトインストールを実行してパスワードポリシーを既存のユーザに適用してから、このユーザでログインして、パスワードを忘れた場合の手順を実行すると、チャレンジ/レスポンス方式の質問に答えた後、「ユニバーサルパスワードパスワードが設定されていません」というメッセージが表示される場合があります。

アクション: この問題を回避するには次の手順に従ってください。

  1. Linux/UNIX: 次の2行を「/opt/novell/eDirectory/sbin」(以前の場所は「/etc/init.d」)にある「pre_ndsd_start」に追加します。

    NDSD_TRY_NMASLOGIN_FIRST=true

    export NDSD_TRY_NMASLOGIN_FIRST

    Windows: マイコンピュータ]を右クリックして、[プロパティ]を選択します。[詳細設定]タブの[環境変数]をクリックします。[システム環境変数]に変数を追加して、値をTrueに設定します。これは、LDAPを通じてNMASログインを取り扱う任意のサーバで行います。

  2. eDirectoryを再開して、変更を適用します。

Identity Managerのアップグレード時のlcacheの問題

原因: Identity Managerをアップグレードすると、プラットフォームエージェントが目的どおりにイベントをログに記録しないことがあります。Linux上でIdentity Managerをアップグレードする際にプラットフォームエージェントはアップグレードされていないためにこの問題が発生します。Solaris上では、プラットフォームエージェントは最新バージョンにアップグレードされますが、新しいプラットフォームエージェントではデフォルトポートが異なるので、lcacheを再起動する必要があります。
アクション: アップグレードを開始する前に、lcacheを手動で停止する必要があります。

Identity Managerをアップグレードする場合、チャレンジ/レスポンス方式の回答が失われないように、正しい管理者アカウントが必要である

ソース: Windowsプラットフォームで旧バージョンのIdentity Managerからアップグレードする場合、eDirectoryのインストールに使用したものと同じ管理者アカウントを使用する必要があります。
説明: たとえば、ドメイン管理者アカウントを使用してeDirectoryをインストールした場合は、Identity Managerをインストールする際に再度そのドメイン管理者アカウントを使用します。ローカル管理者アカウントを使用しないでください。
アクション: 同じ管理者アカウントを使用しなかった場合、チャレンジ/レスポンス方式の質問に対するユーザの回答にアクセスできなくなります。このような問題が発生する理由は、(管理者アカウントが異なるので)インストール中にツリーキーが再作成され、新しいキーでは保存されている回答に正しくアクセスできないためです。ユーザがログインすると、新しいチャレンジ/レスポンス方式の回答を指定するようプロンプトが表示されます。

SLES 11で、eDirectoryの複数のインスタンスがある状態でIdentity Managerをアップグレードすると、Identity Managerインストーラがハングする

アクション: eDirectoryの複数のインスタンスがあるサーバでメタディレクトリをアップグレードするには、/etc/opt/novell/eDirectory/conf/.edir/ディレクトリ内にあるeDirectoryインスタンスファイルが1つだけであることを確認します。各インスタンスに対してエディション情報を挿入して、各インスタンスのスキーマを拡張するには、eDirectoryの各インスタンスを個別にアップグレードする必要があります。eDirectoryのインスタンスが複数あるサーバにおけるメタディレクトリのアップグレードに関する詳細については、TID 7008633を参照してください。

仮想マシン上でeDirectoryを開始するときに、JNI_CreateJavaVMからのエラーのため、Identity Managerエンジンがロードできないことがある

ソース: この問題は、仮想マシンでのみ発生します。
アクション: この問題を回避するには次の手順に従ってください。

  1. eDirectoryを再起動します。

  2. 障害が続く場合、JVMの最小ヒープサイズを小さくします。

  3. eDirectoryを再起動します。