下表列出了您可能会遇到的问题,以及解决这些问题的建议操作。如果问题仍然存在,请联系 NetIQ 代表。
问题 |
建议的操作 |
---|---|
运行 ConfigUpdate 实用程序后,您无法登录到 Identity Applications。catalina.out 日志文件中显示了以下错误讯息: javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status. 如果在 LDAP 服务器上将加密的绑定限制设置为使用 SuiteB 加密(128 位),Identity Manager 4.8.4(包含 eDirectory 9.2.5)中会出现此问题。Identity Manager 使用数字证书来授权并与其组件安全通讯。通过检查 CRL 分发点 (CDP) 字段指定的证书撤消列表 (CRL) 来验证证书,这项检查可以确定证书是否已撤消。根证书以及密钥存储区文件 tomcat.ks 和 idm.jks 中的中间证书都会提供 CRLDP。但是,默认已禁用证书撤消检查。因此,PKIX 信任管理器无法确定证书的撤消状态。 |
要解决此问题,请通过将 -Dcom.sun.security.enableCRLDP 属性设置为 true 来启用 CRL 分发点检查。 要设置该属性,请执行以下操作:
|
升级 Identity Manager 后,非管理员用户在 Identity Manager 仪表板中的登录速度非常缓慢。装载“应用程序”和“仪表板”页面时存在很高的延迟。 此问题是由默认启用的嵌套组搜索造成的。不管环境中是否存在任何嵌套组,应用程序都会通过嵌套组成员资格查找已登录用户继承的许可权限。 |
(视情况而定)以下步骤适用于 Identity Manager 4.8.5 和更高版本。
|
将 Identity Applications 从旧版升级到版本 4.8 后,表单渲染器不按预期工作。将默认 IDMProv 部署环境修改为自定义环境后会出现此问题。 |
要解决此问题,请执行以下步骤:
|
将分布式环境中的 Identity Manager 升级到版本 4.8.1 后,登录 Identity Applications 失败。显示以下错误讯息: 您的登录过程未成功完成。 登录 Identity Applications 需要提供信任锚证书,以便在 Identity Applications 与 OSP 之间建立安全连接。信任锚证书必须包含“主题类型”设置为“CA”的“基本限制”扩展。Identity Manager 利用属性 jdk.security.allowNonCaAnchor 来验证证书中的信任锚。此属性默认设置为 false。因此,如果在证书中找不到信任锚,则无法在 Identity Applications 与 OSP 之间建立连接,登录也会失败。您将在 idm-osp.log 文件中看到以下异常: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate |
要解决此问题,必须满足下列任一条件:
|
升级到 Identity Applications 4.8.1 版本后,在 Identity Applications 仪表板中请求许可权限时无法打开表单。 |
要解决此问题,请使用以下命令手动重启动 NGNIX 和 Golang 服务:
Identity Applications 使用 NGNIX 服务在 Identity Applications 仪表板中呈现表单。 |
在标准版中升级 Identity Reporting 后,configupdate.sh.properties 中的 is_prov 参数设置为 true。因为 Identity Applications 在标准版中不可用,所以此参数的值必须设置为 false。 |
在 configupdate.sh.properties 文件中手动将 is_prov 参数设置为 false。 |
如果先前的 Identity Manager 引擎升级失败,将无法重新运行 Identity Manager 引擎安装程序。例如,如果第一次尝试将 Identity Manager 引擎升级到 4.8 失败,然后再次尝试升级 Identity Manager 引擎,则无法触发升级过程。 |
请执行下列步骤:
|
升级 Identity Manager 后,以下属性会添加到 ism-configuration.properties 文件中: com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system |
请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。 |
升级 Identity Manager 后,即使您的部署中不包含 SSPR,系统也会将以下 SSPR 属性添加到 ism-configuration.properties 文件中: com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth |
请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。 |
升级 Identity Manager 后,ism-configuration.properties 文件中会填充 java.protocol.handler.pkgs 属性的某些重复值。 |
不会出现功能受损的情况。要解决此问题,请执行以下操作:
|
升级 Identity Manager 后无法启动 Tomcat。在 Tomcat 日志中,您会发现几项异常以及工作流程引擎与身份库之间的通讯失败事件。 |
|