Overenie totožnosti je komplexná téma, pričom vaša existujúca sieťová infraštruktúra môže ovplyvniť úspešnosť vášho úvodného prihlásenia do aplikácie iManager. Nasledujúce fakty vám pomôžu minimalizovať problémy spojené s overením. Ďalšie informácie na témy súvisiace overením nájdete v dokumentácii k službe NetIQ Modular Authentication Service (NMAS) a dokumentácii k službe NetIQ eDirectory.
Overenie v aplikácii iManager je operácia závislá od platformy, čo znamená, že funguje odlišne podľa platformy, na ktorej je spustená aplikácia iManager:
Servery so systémom Linux a Windows: Keď je aplikácia iManager spustená na serveri so systémom Linux alebo Windows, využíva starší mechanizmus overenia služby eDirectory a štandardné heslo pre službu eDirectory. Tento mechanizmus podporuje možnosť Univerzálne heslo služby eDirectory, nepodporuje však možnosť Jednoduché heslo.
iManager Workstation: Aplikácia iManager Workstation je spustená na pracovnej stanici klienta so systémom Linux alebo Windows a využíva klienta služby NMAS, ktorý jej umožňuje používať univerzálne heslo, ak je táto možnosť nakonfigurovaná.
iManager nepoužíva v úvodnom procese overenia aplikácie iManager protokol LDAP. Využíva vlastný protokol overenia služby eDirectory. Po úvodnej inštalácii však iManager môže vytvoriť pripojenia LDAP k službe eDirectory, ako je potrebné na podporu prístupu k adresárom pre nainštalované doplnky, ktoré vyžadujú prístup cez protokol LDAP.
iManager nepodporuje overovanie použitím jednoduchého hesla služby eDirectory.
Pri overení v aplikácii iManager sa vám môžu zobraziť tieto chybové hlásenia. V jednotlivých častiach chybových hlásení sa popisujú možné príčiny.
Ak sa vám pri prvom pokuse o prístup do aplikácie iManager zobrazí chyba 404, bude potrebné, aby ste overili porty, na ktorých je spustený server Apache. Podľa toho, ako ste nainštalovali iManager a či ste zvolili použitie servera Apache alebo IIS, sa líšia umiestnenia konfiguračných súborov. Server Apache používa buď súbor httpd.conf, alebo súbor ssl.conf. Informácie o nastaveniach portov IIS nájdete v dokumentácii spoločnosti Microsoft.
Ak sa vám zobrazí interná chyba servera alebo chyba kontajnera servletu (v dôsledku nedostupnosti alebo inovácie), aplikácia iManager má jeden z týchto dvoch problémov so službou Tomcat:
Služba Tomcat sa po reštartovaní systému plne neinicializovala.
Službu Tomcat sa nepodarilo spustiť.
Počkajte niekoľko minút a pokúste sa znova o prístup do aplikácie iManager. Ak sa vám naďalej zobrazujú rovnaké chyby, overte stav služby Tomcat.
Reštartujte službu Tomcat.
Informácie o reštartovaní služby Tomcat nájdete v časti Spustenie a zastavenie služby Tomcat.
Skontrolujte, či sa v denníkoch služby Tomcat uvádzajú nejaké chyby.
Súbor denníka je na platformách UNIX, Linux a Windows umiestnený v adresári $tomcat_home$/logs. Na platformách UNIX a Linux majú denníky názov catalina.out alebo localhost_log.date.txt. Na platforme Windows majú súbory denníkov názov stderr a stdout.
Zadaný názov objektu sa nenašiel v zadanom kontexte.
Toto sú niektoré možné príčiny:
Prihlásenie bez kontextu je možno zakázané.
Váš objekt používateľa sa možno nenachádza v zozname konfigurovaných kontajnerov vyhľadávania. Buď požiadajte správcu, aby pridal vaše umiestnenie používateľa do kontajnerov vyhľadávania prihlásenia bez kontextu, alebo sa prihláste s úplným kontextom.
Heslo NDS bolo v politike univerzálneho hesla zakázané. Môže sa to prejaviť aj ako hlásenie chyby 222.
Tejto chybe sa môžete v aplikácii iManager Workstation vyhnúť inštalovaním klienta, ktorý aplikácii iManager umožní používať mechanizmus overenia univerzálnym heslom namiesto staršieho procesu overenia služby eDirectory.
Táto chyba predstavuje zlyhanie systému s niekoľkými možnými príčinami.
Cieľový server neobsahuje kópiu toho, čo požaduje zdrojový server, alebo zdrojový server nemá žiadne objekty zodpovedajúce požiadavke a neodkazuje na žiadne zdroje, v ktorých by bolo možné hľadať daný objekt.
Toto sú niektoré možné príčiny:
Zadali ste nesprávny strom alebo adresu IP. Ak používate adresu IP, skontrolujte, či ste uviedli port, ak je služba eDirectory nainštalovaná na neštandardnom (524) porte.
Aplikácii iManager sa nepodarilo nájsť váš strom alebo adresu IP pred uplynutím časového limitu. Ak názov stromu zlyhá, použite adresu IP.
Použilo sa neplatné heslo, overenie bolo neúspešné, jeden server sa pokúsil synchronizovať s iným, ale databáza cieľového servera bola uzamknutá, alebo sa vyskytol problém so vzdialeným ID alebo verejným kľúčom.
Toto sú niektoré možné príčiny:
Zadali ste nesprávne heslo
V strome existujú viacerí používatelia s rovnakým menom používateľa. Prihlásenie bez kontextu sa pokúša prihlásiť použitím prvého používateľského konta, ktoré nájde, so zadaným heslom. V takom prípade zadajte pri prihlásení úplný kontext alebo obmedzte počet kontajnerov vyhľadávania, ktoré prehľadáva prihlásenie bez kontextu.
Ak je služba eDirectory nainštalovaná a spustená okrem predvoleného portu 524 aj na inom porte, na prihlásenie môžete použiť adresu IP alebo názov DNS servera služby eDirectory, ak zadáte aj port. Príklad:
Pre adresu IPv4:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Pre adresu IPv6:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
Ak použijete na prihlásenie názov stromu, nemusíte zadať port.
Prijateľné hodnoty pre pole Názov stromu sú názov stromu, adresa IP servera alebo názov servera DNS. Pre najlepšie výsledky použite adresu IP.
Ak je to potrebné, aplikácia iManager sa dokáže prihlásiť do stromu služby eDirectory použitím servera, ktorý nie je hostiteľom žiadnej repliky v službe eDirectory. Na to aplikácia iManager udržuje vyrovnávaciu pamäť pripojenia s informáciami, ktoré sú potrebné na úspešné prihlásenie sa. Na to, aby sa vyrovnávacia pamäť pripojenia zaplnila, sa najprv pomocou aplikácie iManager musíte prihlásiť do stromu služby eDirectory prostredníctvom servera, ktorý je hostiteľom repliky.
Reštartovanie služby Tomcat alebo servera aplikácie iManager vymaže vyrovnávaciu pamäť pripojenia, takže keď sa aplikácia iManager prvýkrát prihlasuje po jednej z týchto udalostí, musíte sa prihlásiť na server, ktorý je hostiteľom repliky.
Prihlásenia sú neúspešné z rôznych dôvodov. Hlásenia o chybách pri overovaní sa popisujú v časti Problémy s overením.
Ďalšie informácie o tom, ako obmedziť chybové hlásenia, ktoré aplikácia iManager zobrazuje po neúspešnom pokuse o overenie, nájdete v časti Zabránenie zisťovaniu mien používateľov.
Ak sa skončí platnosť hesla, používateľovi sa o tom zobrazí hlásenie. Používatelia si však nemusia byť vedomí, že darované prihlásenia možno rýchlo spotrebovať v závislosti od niektorých operácií, ako je napríklad úprava dynamickej skupiny, jednoduché hľadanie a nastavenie jednoduchého hesla.
Tieto operácie spotrebujú ďalšie darované prihlásenia pri každom vykonaní úlohy používateľom. Dôrazne vám odporúčame, aby ste používateľov inštruovali, aby si zmenili heslo pri prvej výzve.
Ak chcete povoliť overenie bez kontextu použitím alternatívneho typu objektu, vykonajte nasledovné:
Otvorte aplikáciu iManager a prejdite na položku Konfigurovať > Server aplikácie iManager > Konfigurovať aplikáciu iManager > Overenie.
Ak sa vám táto úloha nezobrazuje, nie ste oprávneným používateľom. Pozrite časť Autorizovaní používatelia a skupiny.
Pre položky Verejné meno používateľa a Heslo nastavte používateľa, ktorý má práva na čítanie požadovaných atribútov.
Upravte súbor <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml, aby obsahoval vlastnosť <Setting>, ktorá obsahuje tie atribúty, ktoré chcete pridať do vyhľadávania bez kontextu, a potom reštartujte službu Tomcat.
Informácie o reštartovaní služby Tomcat nájdete v časti Spustenie a zastavenie služby Tomcat.
Napríklad nasledujúci súbor XML pridáva do vyhľadávania bez kontextu objekty Alias a Používateľ:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
Podobne nasledujúci súbor XML umožňuje používateľom prihlásiť sa pomocou atribútu CN alebo uniqueID:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
DÔLEŽITÉ:
V ukážke kódu vyššie nahraďte treename názvom príslušného stromu adresárov v malých písmenách.
Ak po úprave súboru config.xml uložíte akékoľvek nastavenia servera aplikácie iManager z úlohy Konfigurovať aplikáciu iManager, skontrolujte, či je názov stromu naďalej zadaný malými písmenami, pretože v opačnom prípade nebude prispôsobené prihlásenie bez kontextu úspešné.