認証は複雑な問題であり、既存のネットワークインフラストラクチャによっては、最初のiManagerログインができるかどうかに影響します。認証関連の問題を最小限にするために役立つ情報を紹介します。認証に関連するトピックの詳細については、NetIQ Modular Authentication Service(NMAS)のマニュアルおよびNetIQ eDirectoryのマニュアルを参照してください。
iManagerの認証はプラットフォームに依存する操作であり、iManagerが稼動しているプラットフォームによって、処理が異なります。
LinuxおよびWindowsサーバ iManagerがLinuxまたはWindowsサーバで稼動している場合は、eDirectoryの従来の認証メカニズムと通常のeDirectoryパスワードを使用しています。このメカニズムは、eDirectoryのユニバーサルパスワードオプションをサポートしていますが、単純パスワードオプションをサポートしていません。
iManager Workstation: iManager Workstationは、LinuxまたはWindowsのクライアントワークステーションで稼動し、ユニバーサルパスワードを設定して使用できるNMASクライアントを利用しています。
iManagerは、最初のiManager認証プロセスでLDAPを使用しません。eDirectory独自の認証プロトコルを使用します。ただしその後の認証では、必要に応じてeDirectoryへのLDAP接続を確立して、LDAPアクセスを必要とするインストールされたプラグインのディレクトリへのアクセスをサポートできます。
iManagerは、eDirectoryの単純パスワードによる認証はサポートしていません。
iManagerの認証では、次のエラーメッセージが表示される場合があります。それぞれのエラーメッセージのセクションで、考えられる原因について説明します。
iManagerに初めてアクセスしようとしたときに404エラーが発生した場合は、Apacheが実行されているポートを確認する必要があります。iManagerをどのようにインストールしたのか、あるいはApacheとIISのどちらを使用することを選択したのかによって、設定ファイルの場所は異なります。Apacheでは、httpd.confファイルかssl.confファイルのいずれかを使用します。IISポートの設定については、Microsoftのマニュアルを参照してください。
内部サーバエラーまたはサーブレットコンテナエラー(使用不可またはアップグレード中)が発生する場合は、次の問題のいずれかがTomcatで発生しています。
再起動後にTomcatが完全に初期化されていない。
Tomcatの起動に失敗した。
数分待ってから、もう一度iManagerにアクセスします。それでも同じエラーが発生する場合は、Tomcatの状態を確認してください。
Tomcatを再起動します。
Tomcatの再起動については、Tomcatの起動および停止を参照してください。
Tomcatのログファイルをチェックして、エラーがないか調べます。
ログファイルは、UNIX、Linux、およびWindowsプラットフォームの$tomcat_home$/logsディレクトリにあります。UNIXおよびLinuxでは、ログファイルの名前はcatalina.outまたはlocalhost_log.date.txtです。Windowsでは、ログファイルの名前はstderrおよびstdoutです。
入力されたオブジェクト名が、指定されたコンテキストで見つかりませんでした。
考えられる原因の一部を次に示します。
コンテキストレスログインが無効になっている可能性があります。
設定された検索コンテナリストにユーザオブジェクトが存在しない可能性があります。コンテキストレスログインの検索先コンテナに、ユーザの場所を追加するように管理者に依頼するか、または完全なコンテキストを使ってログインします。
ユニバーサルパスワードポリシーで、NDSパスワードが無効になっています。222エラーメッセージとして表示される場合もあります。
iManager Workstationのこのエラーを回避するには、クライアントをインストールします。それによってeDirectoryの従来の認証プロセスではなく、iManagerでユニバーサルパスワード認証メカニズムを使用できるようになります。
このエラーの考えられる原因は、システム障害によるものです。
移行元サーバが要求しているコピーが移行先サーバにないか、要求と一致するオブジェクトとそのオブジェクトを検索する照会先が移行元サーバにありません。
考えられる原因の一部を次に示します。
入力したツリーまたはIPアドレスが正しくない。IPアドレスを使用するとき、eDirectoryが標準(524)以外のポートにインストールされている場合は、ポートを確実に含めてください。
iManagerでタイムアウトになる前にツリーまたはIPアドレスが見つからない。ツリー名で失敗する場合は、IPアドレスを使用します。
無効なパスワードが使用されたか、認証が失敗したか、あるサーバが他のサーバと同期化しようとしたがターゲットサーバのデータベースがロックされていたか、あるいはリモートIDまたはパブリックキーに問題がありました。
考えられる原因の一部を次に示します。
正しくないパスワードを入力した。
ツリー内に同じユーザ名の複数のユーザが存在する。コンテキストレスログインでは、入力されたパスワードによって見つかった最初のユーザアカウントを使ってログインしようとします。この場合、ログイン時に完全なコンテキストを指定し、コンテキストレスログインが検索する検索先コンテナを制限します。
eDirectoryがインストールされ、デフォルトポート524以外のポートで実行されている場合、そのポートを一緒に指定すると、eDirectoryサーバのIPアドレスまたはDNS名を使ってログインできます。たとえば、次のように指定できます。
IPv4 アドレスの場合:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
IPv6 アドレスの場合:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
ツリー名を使用してログインする場合は、ポートを指定する必要はありません。
[ツリー名]フィールドで使用できる値は、ツリー名、サーバのIPアドレス、およびサーバのDNS名です。最良の結果を得るには、IPアドレスを使用します。
必要に応じて、iManagerはeDirectoryレプリカをホストしていないサーバを使用して、eDirectoryツリーにログインできます。その場合、iManagerではログインに必要な情報と合わせて接続キャッシュが維持されます。接続キャッシュを割り当てるには、iManagerを使用して最初にeDirectoryツリーにログインするときに、レプリカをホストするサーバにログインする必要があります。
TomcatまたはiManagerサーバを再起動すると接続キャッシュがクリアされるため、これらのいずれかのイベントに続いてiManagerが最初にログインする場合には、レプリカをホストするサーバにログインする必要があります。
ログインエラーは、さまざまな理由で発生します。認証に関するエラーメッセージについては、認証に関する問題で説明します。
認証が失敗したときにiManagerで表示されるエラーメッセージを制限する方法については、ユーザ名の検出の防止を参照してください。
パスワードの有効期限が切れた場合は、その影響に関するメッセージがユーザに表示されます。ただし、ダイナミックグループ、単純な検索、単純なパスワードの設定などの操作によって猶予ログインがすぐに消費される場合があることにユーザが気付かない可能性があります。
このような操作は、ユーザがタスクを実行するたびに猶予ログインをさらに消費します。このメッセージが最初に表示されたときにパスワードを変更するようユーザに推奨することを強くお勧めします。
代替オブジェクトタイプを使用したコンテキストレス認証を有効にするには、次を実行します。
iManagerを起動して、[設定]>[iManagerサーバ]>[iManagerの設定]>[認証]の順に選択します。
許可されたユーザでない場合は、このタスクは表示されません。詳細については、許可されたユーザおよびグループを参照してください。
目的の属性の読み込み権を持つユーザについて、[パブリックユーザ名]と[パスワード]を設定します。
コンテキストレス検索に追加する属性をリストする<Setting>プロパティが含まれるように<TOMCAT_HOME>\webapps\nps\WEB-INF\config.xmlを変更して、Tomcatを再起動します。
Tomcatの再起動については、Tomcatの起動および停止を参照してください。
たとえば次のXMLでは、別名とユーザオブジェクトがコンテキストレス検索に追加されます。
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
同様に、次のXMLでは、ユーザがCNまたはuniqueID属性によってログインすることが許可されます。
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
重要:
上記のサンプルコードで、ツリー名を適切な小文字のディレクトリツリーの名前に置き換えます。
config.xmlファイルの編集後、iManagerの設定タスクからiManagerサーバの設定を保存する場合には、ツリー名がまだ小文字であることを確認してください。そうでない場合、カスタマイズされたコンテキストレスログインは失敗します。