20.3 Identity Applications 和 Identity Reporting 查错

下表列出了您可能会遇到的问题,以及解决这些问题的建议操作。如果问题仍然存在,请联系 NetIQ 代表。

问题

建议的操作

“仪表板”页面上的角色自己的任务控件不显示任何数据。如果您签入浏览器的控制台,将会显示 404 错误。将默认 IDMProv 部署环境更改为自定义环境后会出现此问题。

要解决此问题,必须更改受影响控件上的 REST API URL。请执行下列步骤:

  1. 以管理员身份登录到 Identity Manager 仪表板。

  2. 导航到“仪表板”页面,然后单击管理仪表板

  3. 要编辑角色控件中的控件配置,请执行以下操作:

    1. 单击

    2. URL 字段中,如下所示将默认 IDMProv 环境更改为自定义环境:/<custom-context>/rest/access/assignments/advanced?nextIndex=1&sortBy=name&sortOrder=ASC&forceRefresh=true&searchScope=role&size=20

      其中,<custom-context> 是您在 Identity Manager 部署中使用的环境。

    3. 单击应用

  4. 要编辑自己的任务控件中的控件配置,请执行以下操作:

    1. 单击

    2. URL 字段中,如下所示将默认 IDMProv 环境更改为自定义环境:/<custom-context>/rest/access/tasks/list?fromIndex=1&size=10&q=*&sortOrder=asc&sortBy=createTime&assignedTo=assignedTo&recipient=recipientAsMe&expireUnit=weeks&expireWithin=&proxyUser=&assignStatus=&delegatedTasks=false&status=

    3. 单击应用

  5. 单击完成编辑

如果在“证书主体”和“应用程序配置”中指定的 LDAP 服务器名称不同,则在升级 Identity Manager 后,Identity Applications 将无法连接到身份库。

Java 对 LDAPS 连接启用端点识别,因此,在连接到 Identity Manager 服务器时指定的服务器名称必须与证书中返回的服务器名称相同。如果服务器名称不同,请执行以下步骤:

  1. 导航到 /opt/netiq/idm/apps/configupdate 目录。

  2. 运行以下命令起动配置更新实用程序。

    ./configupdate.sh

  3. 导航到 User Application 选项卡,单击身份库服务器,然后将服务器名称更改为 LDAP 服务器证书主体中指定的名称。

    此操作将更新 ism-configuration.properties 文件中的 DirectoryService/realms/jndi/params/AUTHORITY 属性

  4. 单击确定

如果 Identity Applications 和 Identity Reporting 安装在同一台服务器上,而您使用 <Reporting 安装文件夹>/bin 目录中的配置更新实用程序来更改配置,Identity Manager 仪表板将无法起动。catalina.out 日志文件中会报告以下错误:

EboPortalBootServlet [RBPM] +++++WARNING!!!! : This portal application context, IDMProv, does not match the portal.context property set in the PortalService-conf/config.xml file.Only one portal per database is allowed.Data has been loaded using the previous portal context.To correct this you must revert back to the previous portal name of, NoCacheFilter, please consult the documentation.

要进行任何配置更改,请使用 /opt/netiq/idm/apps/configupdate/ 目录中的配置更新实用程序。

无法使用配置更新实用程序更改某个属性的口令。

您可以执行以下步骤从命令行更改某个属性(例如 com.netiq.rpt.ssl-keystore)的口令:

  1. 使用以下实用程序加密您的口令:

    /opt/netiq/common/jre/bin/java -jar tomcat/lib/obscurity-0.7.0-uber.jar <<口令>>

  2. 导航到 /opt/netiq/idm/apps/tomcat/conf 目录中的 ism-configuration.properties 文件。

  3. 修改 ism-configuration.properties 文件,添加在步骤 2 中为 com.netiq.rpt.ssl-keystore.pwd 参数指定的加密口令。

  4. 保存该文件并重启动 Tomcat。

如果 Identity Reporting 安装在独立的服务器上,并且您通过仪表板起动 Identity Reporting 或 IDM DCS URL,URL 将无法起动。

起动 Identity Reporting 或 IDM DCS URL 之后,请执行以下步骤:

  1. 导航到地址栏。

  2. 修改 URL,并手动提供安装了 Identity Reporting 的服务器的主机名和端口细节。

此外,导航到安装了 Identity Applications 的服务器上的 configupdate.sh.properties 文件,并在 sso_apps 参数中添加 rpt 项,然后保存更改。例如 sso_apps=ua,rpt

如果 Identity Applications 和 Identity Reporting 安装在同一台服务器上,并针对 OSP 和 Identity Applications 启用了 CEF 审计,则 Reporting 组件将无法起动。

请执行以下步骤来解决此问题:

  1. 导航到 /opt/netiq/idm/apps/tomcat/conf 目录中的 idmrptcore_logging.xml 文件。

  2. idmrptcore_logging.xml 文件中添加 <keystore file> 参数,并指定密钥存储区文件路径。例如,添加下行:

    <keystore-file>/opt/netiq/idm/app/tomcat/conf/idm.jks</keystore-file>

  3. 重启动 Tomcat。

如果 Identity Applications 和 Identity Reporting 安装在同一台服务器上,并且您为数据库创建选项选择了启动,将会在日志中看到一些异常。

要清除这些异常,请手动重启动 Tomcat。

如果现有的 Identity Applications 或 Identity Reporting 配置中未配置端口,而您尝试对 Identity Manager 进行升级,配置更新实用程序中鉴定SSO 客户端选项卡下列出的 IP 地址与端口将显示错误的值。

升级 Identity Applications 和 Identity Reporting 后,请执行以下步骤:

  1. 导航到 /opt/netiq/idm/apps/configupdate 目录。

  2. 运行以下命令:

    ./configupdate.sh

  3. 鉴定选项卡上的 OAuth 服务器主机标识符OAuth 服务器 TCP 端口字段中,分别指定正确的 IP 地址和端口。

  4. SSO 客户端选项卡中,确保 IDM Administrator、Reporting 和 IDM 数据收集服务的 URL 格式正确。

  5. 重启动 Tomcat。

您要修改安装过程中创建的以下一或多个 User Application 配置设置:

  • 身份库连接和证书

  • 电子邮件设置

  • Identity Manager 引擎用户身份和用户组

  • Access Manager 或 iChain 设置

在独立于安装程序的情况下运行配置实用程序。

Linux:从安装目录(默认为 /opt/netiq/idm/apps/configupdate/)中运行以下命令:

./configupdate.sh

启动 Tomcat 会导致以下异常:

port 8180 already in use

关闭 Tomcat(或其他服务器软件)的可能已在运行的任何实例。如果将 Tomcat 重新配置为使用 8180 以外的其他端口,请编辑 User Application 驱动程序的 config 设置。

当 Tomcat 启动时,应用程序报告称找不到可信证书。

请务必使用安装 User Application 期间指定的 JDK 来启动 Tomcat。

无法登录门户管理页面。

确保存在 User Application 管理员帐户。此帐户与 iManager 管理员帐户不同。

即使使用管理员帐户也无法创建新用户。

User Application 管理员必须是顶层容器的受托者,并且应有主管权限。您可以尝试将 User Application 管理员的权限设置为等效于 LDAP 管理员的权限(使用 iManager)。

启动应用程序服务器时发生密钥存储区错误。

应用程序服务器未使用安装 User Application 期间指定的 JDK。

使用 keytool 命令导入证书文件:

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

  • 使用为该证书选择的唯一名称替换 aliasName

  • 使用证书文件的完整路径和名称替换 certFile

  • 默认的密钥储存区口令为 changeit(如果有其他口令,请指定)。

无法发送电子邮件通知。

运行 configupdate 实用程序以检查是否提供了以下 User Application 配置参数的值:Email FromEmail Host

Linux:从安装目录(默认为 /opt/netiq/idm/apps/configupdate/)中运行以下命令:

./configupdate.sh

配置更新实用程序中未显示 IG SSO 客户端选项卡

configupdate.sh.properties 文件中的 sso_apps 参数内添加 ig 项,然后保存更改。如果 sso_apps 参数已包含 Identity Applications 和 Identity Reporting 项,请将 Identity Governance 项添加到列表中。例如 sso_apps=ua,rpt,ig