20.6 升级查错

下表列出了您可能会遇到的问题,以及解决这些问题的建议操作。如果问题仍然存在,请联系 NetIQ 代表。

问题

建议的操作

运行 ConfigUpdate 实用程序后,您无法登录到 Identity Applications。catalina.out 日志文件中显示了以下错误讯息:

javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status.

如果在 LDAP 服务器上将加密的绑定限制设置为使用 SuiteB 加密(128 位),Identity Manager 4.8.4(包含 eDirectory 9.2.5)中会出现此问题。Identity Manager 使用数字证书来授权并与其组件安全通讯。通过检查 CRL 分发点 (CDP) 字段指定的证书撤消列表 (CRL) 来验证证书,这项检查可以确定证书是否已撤消。根证书以及密钥存储区文件 tomcat.ksidm.jks 中的中间证书都会提供 CRLDP。但是,默认已禁用证书撤消检查。因此,PKIX 信任管理器无法确定证书的撤消状态。

要解决此问题,请通过将 -Dcom.sun.security.enableCRLDP 属性设置为 true 来启用 CRL 分发点检查。

要设置该属性,请执行以下操作:

  1. 停止 Tomcat。

  2. 转到位于 Tomcat 的 bin 目录中的 setenv.sh 文件。例如 /opt/netiq/idm/apps/tomcat/bin/setenv.sh

  3. 如下所示在 CATALINA_OPTS 中添加属性 -Dcom.sun.security.enableCRLDP=true

    export CATALINA_OPTS="-Dcom.sun.security.enableCRLDP=true"

  4. 启动 Tomcat。

升级 Identity Manager 后,非管理员用户在 Identity Manager 仪表板中的登录速度非常缓慢。装载“应用程序”和“仪表板”页面时存在很高的延迟。

此问题是由默认启用的嵌套组搜索造成的。不管环境中是否存在任何嵌套组,应用程序都会通过嵌套组成员资格查找已登录用户继承的许可权限。

(视情况而定)以下步骤适用于 Identity Manager 4.8.5 和更高版本。

  1. 登录到其中的 Identity Applications 已升级到版本 4.8.5 的服务器。

  2. 导航到 /opt/etiq/idm/apps/tomcat/conf/ 位置。

  3. 在文本编辑器中打开 ism-configuration.properties 文件。

  4. 在该文件的末尾添加以下属性:

    DirectoryService/realms/jndi/params/USE_NESTED_GROUPS=false

  5. 保存该文件并重启动 Tomcat。

将 Identity Applications 从旧版升级到版本 4.8 后,表单渲染器不按预期工作。将默认 IDMProv 部署环境修改为自定义环境后会出现此问题。

要解决此问题,请执行以下步骤:

  1. 登录到其中的 Identity Applications 已升级到版本 4.8 的服务器。

  2. 导航到 /opt/netiq/idm/apps/sites 目录。

  3. 编辑 ServiceRegistry.json 文件。

  4. 将部署环境从 IDMProv 修改为在升级之前指定的自定义环境。

  5. 保存 ServiceRegistry.json 文件。

  6. 导航到 /opt/netiq/idm/apps/sites/forms/ 目录。

  7. 编辑 main.<version>.js 文件,其中 <version> 是随机生成的字母数字值。

  8. 将部署环境从 IDMProv 修改为在升级之前指定的自定义环境。

  9. 保存 main.<version>.js 文件。

  10. 重启动 Tomcat。

将分布式环境中的 Identity Manager 升级到版本 4.8.1 后,登录 Identity Applications 失败。显示以下错误讯息:

您的登录过程未成功完成。

登录 Identity Applications 需要提供信任锚证书,以便在 Identity Applications 与 OSP 之间建立安全连接。信任锚证书必须包含“主题类型”设置为“CA”的“基本限制”扩展。Identity Manager 利用属性 jdk.security.allowNonCaAnchor 来验证证书中的信任锚。此属性默认设置为 false。因此,如果在证书中找不到信任锚,则无法在 Identity Applications 与 OSP 之间建立连接,登录也会失败。您将在 idm-osp.log 文件中看到以下异常:

sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate

要解决此问题,必须满足下列任一条件:

  • 确保用于在 Identity Applications 与 OSP 之间建立安全连接的证书是包含正确“基本限制”扩展的可信 CA 证书。

  • 如果使用的是客户端信任的自我签名证书和自定义证书,您可以更改属性 jdk.security.allowNonCaAnchor,以允许使用不包含“基本限制”扩展的非 CA 证书。请执行以下操作来修改 Java 安全性设置:

  1. 导航到 /opt/netiq/common/jre/lib/security/java.security 目录。

  2. 设置属性值 jdk.security.allowNonCaAnchor=true

  3. 保存文件。

升级到 Identity Applications 4.8.1 版本后,在 Identity Applications 仪表板中请求许可权限时无法打开表单。

要解决此问题,请使用以下命令手动重启动 NGNIX 和 Golang 服务:

  • NGNIX: /opt/netiq/common/ngnix/ngnix

  • Golang: /etc/init.d/netiq-golang.sh

Identity Applications 使用 NGNIX 服务在 Identity Applications 仪表板中呈现表单。

在标准版中升级 Identity Reporting 后,configupdate.sh.properties 中的 is_prov 参数设置为 true。因为 Identity Applications 在标准版中不可用,所以此参数的值必须设置为 false

configupdate.sh.properties 文件中手动将 is_prov 参数设置为 false

如果先前的 Identity Manager 引擎升级失败,将无法重新运行 Identity Manager 引擎安装程序。例如,如果第一次尝试将 Identity Manager 引擎升级到 4.8 失败,然后再次尝试升级 Identity Manager 引擎,则无法触发升级过程。

请执行下列步骤:

  1. 使用 novell-DXMLengnx RPM 将 Identity Manager 引擎降级到旧版本。

  2. 升级 Identity Manager 引擎。

升级 Identity Manager 后,以下属性会添加到 ism-configuration.properties 文件中:

com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system

请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。

升级 Identity Manager 后,即使您的部署中不包含 SSPR,系统也会将以下 SSPR 属性添加到 ism-configuration.properties 文件中:

com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth

请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。

升级 Identity Manager 后,ism-configuration.properties 文件中会填充 java.protocol.handler.pkgs 属性的某些重复值。

不会出现功能受损的情况。要解决此问题,请执行以下操作:

  1. 导航到 /opt/netiq/idm/apps/tomcat/conf 目录中的 ism-configuration.properties 文件。

  2. 修改 ism-configuration.properties 文件,去除 java.protocol.handler.pkgs 属性的重复值。

  3. 保存该文件并重启动 Tomcat。

升级 Identity Manager 后无法启动 Tomcat。在 Tomcat 日志中,您会发现几项异常以及工作流程引擎与身份库之间的通讯失败事件。

  1. 登录到 iManager。

  2. 导航到角色和任务 > NetIQ 证书访问 > 服务器证书

  3. 选中 SSL 证书 DNS 复选框并单击导出

  4. 证书下拉列表中,选择 SSL CertificateDNS

  5. 清除导出私用密钥复选框。确保导出格式设置为 DER

  6. 单击下一步 > 保存导出的证书将证书下载到您的系统中。

  7. 登录到 Identity Applications 服务器。

  8. 停止 Tomcat。

  9. 导航到 opt/netiq/common/jre/bin 目录,并使用以下命令将证书导入到 idm.jks 文件:

    opt/netiq/common/jre/bin/keytool -import -trustcacerts -alias <证书别名> -keystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -file <下载的证书文件>

  10. 重启动 Tomcat。