Аутентификация — сложная тема, и возможность успешного выполнения первоначальной регистрации в iManager может зависеть от сетевой инфраструктуры. Приведенные ниже сведения помогут вам свести к минимуму вероятность возникновения проблем, связанных с аутентификацией. Дополнительные сведения по темам, связанным с аутентификацией, см. в документации к серверу NetIQ Modular Authentication Service (NMAS) и документации к NetIQ eDirectory.
В iManager аутентификация является операцией, зависимой от платформы. Иначе говоря, на разных платформах аутентификация может выполняться по-разному.
Серверы Linux и Windows. Если iManager выполняется на сервере Linux или Windows, используется унаследованный механизм аутентификации eDirectory и обычный пароль eDirectory. Этот механизм поддерживает параметр "Универсальный пароль eDirectory", но не поддерживает параметр "Простой пароль".
Рабочая станция iManager. Рабочая станция iManager выполняется на клиентской рабочей станции Linux или Windows и использует клиент NMAS, позволяющий применять универсальный пароль, если эта функция настроена.
При первоначальной аутентификации iManager не использует протокол LDAP. Вместо этого используется закрытый протокол аутентификации eDirectory. Однако после первоначальной аутентификации iManager может по мере необходимости создавать соединения LDAP с eDirectory, чтобы к каталогу могли получать доступ установленные подключаемые модули, нуждающиеся в доступе по протоколу LDAP.
Аутентификация с использованием простого пароля eDirectory в iManager не поддерживается.
При аутентификации в iManager могут появляться сообщения об ошибках, описанные ниже. В каждом разделе, посвященном тем или иным ошибкам, обсуждаются возможные причины их возникновения.
Если при первой попытке обращения к iManager возникает ошибка 404, необходимо проверить, какие порты использует сервер Apache. расположение конфигурационных файлов может быть разным. Оно зависит от того, как была установлена консоль iManager и какой сервер был выбран: Apache или IIS. Сервер Apache использует файл httpd.conf или файл ssl.conf. Информацию о настройке портов IIS см. в документации Майкрософт.
Внутренняя ошибка сервера или ошибка контейнера сервлетов (сообщение о том, что они недоступны или обновляются) свидетельствует об одной из двух возможных проблем при взаимодействии iManager с сервером Tomcat.
Сервер Tomcat не был полностью инициализирован после перезагрузки.
При запуске сервера Tomcat возник сбой.
Подождите несколько минут, а затем попытайтесь еще раз получить доступ к iManager. Если возникают прежние ошибки, проверьте состояние сервера Tomcat.
Перезапустите сервер Tomcat.
Информацию о перезапуске сервера Tomcat см. в разделе Запуск и прекращение работы сервера Tomcat.
Проверьте журналы Tomcat на наличие ошибок.
На платформах UNIX, Linux и Windows файлы журналов находятся в каталоге $tomcat_home$/logs . В UNIX и Linux файлы журналов называются catalina.out или localhost_log.date.txt. в Windows файлы журналов называются stderr и stdout.
Введенное имя объекта невозможно найти в указанном контексте.
Возможные причины проблемы:
Может быть отключен режим бесконтекстной регистрации.
Объект "Пользователь" может отсутствовать в списке сконфигурированных контейнеров поиска. Следует попросить администратора добавить ваше расположение к контейнерам поиска для бесконтекстной регистрации или регистрироваться с полным контекстом.
Пароль NDS отключен в политике универсального пароля. При данная проблеме также может появляться сообщение об ошибке 222.
Предотвратить возникновение этой проблемы при использовании рабочей станции iManager можно, установив клиент , который позволяет iManager использовать механизм аутентификации, основанный на применении универсального пароля, вместо унаследованного способа аутентификации eDirectory.
Эта ошибка представляет собой системный сбой, имеющий несколько возможных причин.
Целевой сервер не имеет копии того, что запрашивает исходный сервер, или на исходном сервере нет объектов, требуемых в запросе, и нет ссылок, по которым можно провести поиск.
Возможные причины проблемы:
Указано неверное дерево или IP-адрес. При использовании IP-адреса убедитесь в том, что указана информация о порте (в случае использования для eDirectory нестандартного (отличного от 524) порта).
iManager не может обнаружить дерево или IP-адрес до тайм-аута. Если введенное имя дерева вызывает ошибку, используйте IP-адрес.
Использован неправильный пароль, произошел сбой аутентификации, один сервер попытался провести синхронизацию с другим, но база данных целевого сервера была заблокирована, или существует проблема с удаленным ИД или общим ключом.
Возможные причины проблемы:
Введен неверный пароль.
В дереве имеются несколько пользователей с одним и тем же именем пользователя. При бесконтекстной регистрации система пытается выполнить регистрацию, используя первую же найденную учетную запись пользователя с введенным паролем. В этом случае при регистрации необходимо ввести полный контекст или ограничить число контейнеров, в которых производится поиск при бесконтекстной регистрации.
Если eDirectory использует порт, отличный от порта по умолчанию 524, можно указать IP-адрес или DNS-имя сервера eDirectory плюс номер порта для входа. Пример:
Для IPv4-адреса:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Для IPv6-адреса:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Если для регистрации используется имя дерева, порт указывать не требуется.
Возможные значения поля "Имя дерева": имя дерева, IP-адрес сервера и DNS-имя сервера. Лучше всего использовать IP-адрес.
В случае необходимости iManager может регистрироваться в дереве eDirectory с использованием сервера, не содержащего реплики eDirectory. Для этого в iManager поддерживается кэш соединений с информацией, необходимой для регистрации. Чтобы заполнить кэш соединений, при первой регистрации в дереве eDirectory с помощью iManager необходимо зарегистрироваться на сервере, содержащем реплику.
При перезапуске сервера Tomcat или iManager кэш соединений очищается, поэтому при первой регистрации с помощью iManager после одного из этих событий необходимо зарегистрироваться на сервере, содержащем реплику.
Сбои при регистрации могут происходить по разным причинам. Сообщения об ошибках аутентификации приводятся в разделе Проблемы при аутентификации.
Информацию о том, как ограничить число сообщений об ошибках, отображаемых в iManager при сбое аутентификации, см. в разделе Предотвращение обнаружения имени пользователя.
Если срок действия пароля истекает, пользователю выдается соответствующее сообщение. Однако пользователи могут не знать, что количество регистраций с просроченным паролем может быстро кончиться, если выполнять такие операции, как изменение динамической группы, простой поиск и установка простого пароля.
Эти операции требуют повторной регистрации всякий раз, когда пользователь выполняет соответствующую задачу. Настоятельно рекомендуется убедить пользователей менять пароли сразу после появления первого предупреждающего сообщения.
Чтобы включить бесконтекстную аутентификацию с использованием альтернативного типа объектов, выполните указанные ниже действия.
Запустите консоль iManager и откройте задачу "Настройка" > "Сервер iManager" > "Настройка iManager" > "Аутентификация".
Если эта задача не видна, вы не являетесь авторизованным пользователем. См. раздел Авторизованные пользователи и группы.
Задайте параметры Имя общедоступного пользователя и Пароль в соответствии с данными пользователя, имеющего права на чтение нужных атрибутов.
Добавьте в файл <ДОМАШНИЙ_КАТАЛОГ_TOMCAT>\webapps\nps\WEB-INF\config.xml свойство <Setting> с указанием атрибутов, которые нужно добавить в бесконтекстный поиск, затем перезапустите сервер Tomcat.
Информацию о перезапуске сервера Tomcat см. в разделе Запуск и прекращение работы сервера Tomcat
Например, следующий XML-код добавляет в бесконтекстный поиск объекты "Псевдоним" и "Пользователь":
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
Следующий XML-код позволяет пользователям выполнять регистрацию с использованием полного имени CN или атрибута uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
ВАЖНО.
В приведенных выше фрагментах кода имя_дерева следует заменить именем соответствующего дерева каталога в нижнем регистре.
При сохранении параметров сервера iManager в задаче Настройка iManager после редактирования файла config.xml убедитесь, что имя дерева по-прежнему указано в нижнем регистре. В противном случае настроенный бесконтекстный вход работать не будет.