A autenticação é um tópico complexo, e sua infraestrutura de rede existente pode afetar sua capacidade de efetuar login inicialmente no iManager. Os fatos a seguir podem ajudar a minimizar dificuldades relacionadas à autenticação. Para obter mais informações sobre tópicos relacionados à autenticação, consulte a documentação do NetIQ Modular Authentication Service (NMAS) e a documentação do NetIQ eDirectory.
A autenticação do iManager é uma operação que depende da plataforma, o que significa que ela funciona de maneira diferente dependendo da plataforma na qual o iManager está sendo executado.
Servidores Linux e Windows: Quando o iManager é executado em um servidor Linux ou Windows, ele utiliza um mecanismo de autenticação herdado e a senha comum do eDirectory. Esse mecanismo suporta a opção Senha Universal do eDirectory, mas não suporta a opção Senha Simples.
Estação de Trabalho do iManager: A Estação de Trabalho do iManager é executada em uma estação de trabalho cliente, no Linux ou no Windows, e utiliza o cliente NMAS que permite que ela use a Senha Universal, se esta estiver configurada.
O iManager não usa LDAP para o processo de autenticação inicial do iManager. Ele utiliza o protocolo de autenticação proprietário do eDirectory. Contudo, depois da autenticação inicial, o iManager pode criar conexões LDAP com o eDirectory conforme necessário para suportar acesso a diretórios para os plug-ins instalados que requeiram acesso LDAP.
O iManager não suporta autenticação com a Senha Simples do eDirectory.
Você pode encontrar as seguintes mensagens de erro ao fazer autenticação no iManager. Cada seção de mensagem de erro discute as causas possíveis.
Se você receber o erro 404 na primeira vez que tentar acessar o iManager, verifique as portas em que o Apache está em execução. Dependendo da maneira como o iManager foi instalado e se você escolheu usar Apache ou IIS, os locais do arquivo de configuração podem variar. O Apache usa os arquivos httpd.conf ou ssl.conf. Consulte a documentação da Microsoft’ para obter informações sobre configurações de porta IIS.
Se você recebe um erro de servidor interno ou erro de container de servlet (seja por motivos de upgrade ou de falta de disponibilidade), o iManager está encontrando um destes dois problemas com o Tomcat:
O Tomcat não foi totalmente inicializado após uma reinicialização.
O Tomcat não pôde ser iniciado.
Aguarde alguns minutos e tente acessar o iManager novamente. Se você ainda receber os mesmos erros, verifique o status do Tomcat.
Reinicie o Tomcat.
Para obter informações sobre como reiniciar o Tomcat, consulte Iniciando e Interrompendo o Tomcat.
Verifique se existem erros nos registros do Tomcat.
O arquivo de registro está localizado no diretório $tomcat_home$/logs das plataformas UNIX, Linux e Windows. No UNIX e Linux, os registros são nomeados como catalina.out ou localhost_log.data.txt . No Windows, os arquivos de registro são nomeados como stderr e stdout.
O nome do objeto inserido não foi encontrado no contexto especificado.
Algumas causas possíveis:
O login sem contexto pode estar desabilitado.
O objeto Usuário pode não estar na lista configurada de containers de pesquisa. Solicite ao administrador que adicione o seu local de usuário aos containers de pesquisa de login sem contexto ou faça login com um contexto completo.
A senha NDS foi desabilitada na política de Senha Universal. Isso também pode se manifestar como uma Mensagem de Erro 222.
Você pode evitar esse erro com a Estação de Trabalho do iManager instalando o cliente , que permite que o iManager utilize o mecanismo de autenticação da Senha Universal ao invés do processo de autenticação legado do eDirectory.
Esse erro é uma falha do sistema com várias causas possíveis.
O servidor de destino não possui uma cópia do que é solicitado pelo servidor de origem ou o servidor de origem não possui objetos correspondentes à solicitação e não possui referências para procurar o objeto.
Algumas causas possíveis:
Você digitou uma árvore ou Endereço IP incorreto. Se estiver usando o endereço IP, verifique se incluiu a porta no caso de o eDirectory estar instalado em uma porta não padrão (524).
O iManager não pode localizar a Árvore ou Endereço IP antes de terminar o tempo de espera. Se o nome da árvore falhar, use o endereço IP.
Uma senha inválida foi utilizada, a autenticação falhou, um servidor tentou sincronizar com outro servidor, mas o banco de dados do servidor de destino’ estava bloqueado, ou existe um problema com o ID remoto ou com a chave pública.
Algumas causas possíveis:
Você digitou uma senha incorreta
Há vários usuários com mesmo nome de usuário na árvore. O login sem contexto tenta a conexão usando a primeira conta de usuário que ele encontra com a senha fornecida. Nesse caso, forneça um contexto completo ao fazer o login ou limite os containers de pesquisa examinados pelo login sem contexto.
Se o eDirectory estiver instalado e em execução em outra porta que não seja a porta padrão 524, você poderá usar o endereço IP ou o nome DNS do servidor do eDirectory para efetuar login caso também especifique a porta. Por exemplo:
Para um endereço IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Para um endereço IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Se você usar o nome da árvore para fazer login, não será necessário especificar a porta.
Os valores possíveis para o campo Nome da Árvore são o nome da árvore, o endereço do servidor IP e o nome do servidor DNS. Para obter melhores resultados, use o endereço IP.
Se necessário, o iManager pode efetuar login na árvore do eDirectory usando um servidor que não hospede uma réplica do eDirectory. Para isso, o iManager mantém um cache de conexão com as informações necessárias para efetuar login com sucesso. Para preencher o cache de conexão é necessário que, na primeira vez em que efetuar login em uma árvore do eDirectory com o iManager, você efetue login em um servidor que hospede uma réplica.
Reiniciar o Tomcat ou o servidor do iManager limpa o cache de conexão, de modo que, da primeira vez que o iManager efetua login depois de um desses eventos, você deve efetuar login em um servidor que hospede uma réplica.
As falhas de login ocorrem por diversos motivos. As mensagens de erro de autenticação são abordadas em Problemas de Autenticação.
Para obter informações sobre como limitar as mensagens de erro exibidas pelo iManager no caso de falha em uma tentativa de autenticação, consulte Impedindo a descoberta de nome de usuário.
Se uma senha expirar, o usuário receberá a mensagem pertinente. Contudo, é possível que os usuários não saibam que os logins extras podem ser rapidamente consumidos, em função de certas operações, como modificar um grupo dinâmico, pesquisa simples e definir uma senha simples.
Essas operações consomem logins extras adicionais, sempre que um usuário executa uma tarefa. É altamente recomendável que você oriente os usuários a mudarem suas senhas na primeira vez em que forem solicitados a fazê-lo.
Para habilitar autenticação sem contexto usando um tipo de objeto alternativo, faça o seguinte:
Abra o iManager e navegue até Configurar > Servidor do iManager > Configurar iManager > Autenticação.
Se essa tarefa não estiver visível, você não é um usuário autorizado. Consulte Usuários autorizados e Grupos.
Defina Nome de Usuário Público e Senha para um usuário que tenha direitos de leitura sobre os atributos desejados.
Modifique <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml a fim de incluir uma propriedade <Configuração> que liste os atributos que você deseja adicionar à pesquisa sem contexto e, em seguida, reinicie o Tomcat.
Para obter informações sobre como reiniciar o Tomcat, consulte Iniciando e Interrompendo o Tomcat.
Por exemplo, o XML a seguir adiciona os objetos Álias e Usuário à pesquisa sem contexto:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
De maneira parecida, o XML permite que os usuários efetuem login com o atributo CN ou uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
IMPORTANTE:
No exemplo de código acima, substitua nome da árvore pelo nome da árvore de diretório adequada, usando letras minúsculas.
Se você salvar quaisquer configurações do Servidor iManager a partir da tarefa Configurar iManager, depois de editar o arquivo config.xml, certifique-se de que o nome da árvore ainda esteja escrito em letras minúsculas ou o login sem contexto personalizado falhará.