18.3 安装和卸装查错

下表列出了您可能会遇到的问题,以及解决这些问题的建议操作。如果问题仍然存在,请联系 NetIQ 代表。

问题

建议的操作

运行 ConfigUpdate 实用程序后,您无法登录到 Identity Applications。catalina.out 日志文件中显示了以下错误讯息:

javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status.

如果在 LDAP 服务器上将加密的绑定限制设置为使用 SuiteB 加密(128 位),Identity Manager 4.8.4(包含 eDirectory 9.2.5)中会出现此问题。Identity Manager 使用数字证书来授权并与其组件安全通讯。通过检查 CRL 分发点 (CDP) 字段指定的证书撤消列表 (CRL) 来验证证书,这项检查可以确定证书是否已撤消。根证书以及密钥存储区文件 tomcat.ksidm.jks 中的中间证书都会提供 CRLDP。但是,默认已禁用证书撤消检查。因此,PKIX 信任管理器无法确定证书的撤消状态。

要解决此问题,请通过将 -Dcom.sun.security.enableCRLDP 属性设置为 true 来启用 CRL 分发点检查。

要设置该属性,请执行以下操作:

  1. 停止 Tomcat。

  2. 转到位于 Tomcat 的 bin 文件夹中的 setenv.sh 文件。例如 C:\NetIQ\idm\apps\tomcat\bin\setenv.bat

  3. 如下所示在 CATALINA_OPTS 中添加属性 -Dcom.sun.security.enableCRLDP=true

    export CATALINA_OPTS="-Dcom.sun.security.enableCRLDP=true"

  4. 启动 Tomcat。

升级 Identity Manager 后,非管理员用户在 Identity Manager 仪表板中的登录速度非常缓慢。装载“应用程序”和“仪表板”页面时存在很高的延迟。

此问题是由默认启用的嵌套组搜索造成的。不管环境中是否存在任何嵌套组,应用程序都会通过嵌套组成员资格查找已登录用户继承的许可权限。

(视情况而定)以下步骤适用于 Identity Manager 4.8.5 和更高版本。

  1. 登录到其中的 Identity Applications 已升级到版本 4.8.5 的服务器。

  2. 导航到 C:\NetIQ\IDM\apps\tomcat\conf 位置。

  3. 在文本编辑器中打开 ism-configuration.properties 文件。

  4. 在该文件的末尾添加以下属性:

    DirectoryService/realms/jndi/params/USE_NESTED_GROUPS=false

  5. 保存该文件并重启动 Tomcat。

将 Identity Applications 升级到版本 4.8.x 后,您无法登录到 Identity Applications 仪表板。如果在 Identity Applications 升级期间未将身份库可信证书存储区路径更新为正确的密钥存储区 (cacerts) 文件位置,则会出现此问题。catalina.out 文件中记录了以下异常:

com.netiq.idm.auth.oauth.AuthenticationCommunicationException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, OU=idm, O=***, L=***, ST=***, C=**" is not a CA certificate"

Identity Applications 使用设置为 <安装路径>\Common\JREJAVA_HOME 环境变量。如果未在 JAVA_HOME 中将可信证书存储区路径设置为 cacerts 文件所在位置,则 SSL 通讯会失败,导致出现与“TrustAnchor”相关的 SSL 错误(信任锚用作 SSL 证书的增强式 Java 安全检查措施)。

要解决此问题,请执行以下操作:

  1. 停止 Tomcat 服务。

  2. 登录到 Identity Applications 服务器,并起动位于 <安装路径>\idm\apps\configupdate 中的 configupdate 实用程序。

  3. 在“User Application”选项卡中,转到身份库证书,并确保可信证书存储区路径设置为 <安装路径>\Common\JRE\lib\security\cacerts

  4. 启动 Tomcat 服务。

将分布式环境中的 Identity Manager 升级到版本 4.8.1 后,登录 Identity Applications 失败。显示以下错误讯息:

您的登录过程未成功完成。

登录 Identity Applications 需要提供信任锚证书,以便在 Identity Applications 与 OSP 之间建立安全连接。信任锚证书必须包含“主题类型”设置为“CA”的“基本限制”扩展。Identity Manager 利用属性 jdk.security.allowNonCaAnchor 来验证证书中的信任锚。此属性默认设置为 false。因此,如果在证书中找不到信任锚,则无法在 Identity Applications 与 OSP 之间建立连接,登录也会失败。您还会在 idm-osp.log 文件中看到以下异常:

sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate

要解决此问题,必须满足下列任一条件:

  • 确保用于在 Identity Applications 与 OSP 之间建立安全连接的证书是包含正确“基本限制”扩展的可信 CA 证书。

  • 如果使用的是客户端信任的自我签名证书和自定义证书,您可以更改属性 jdk.security.allowNonCaAnchor,以允许使用不包含“基本限制”扩展的非 CA 证书。请执行以下操作来修改 Java 安全性设置:

  1. 导航到 C:\NetIQ\idm\apps\jre\lib\security\java.security 目录。

  2. 设置属性值 jdk.security.allowNonCaAnchor=true

  3. 保存文件。

升级到 Identity Applications 4.8.1 版本后,在 Identity Applications 仪表板中请求许可权限时无法打开表单。

要解决此问题,请执行以下步骤:

  1. 在键盘上按 Windows + R,键入 services.msc,然后选择确定打开 Windows 的“服务”界面。

  2. 搜索服务名称 NetIQ Nginx ServiceNetIQ IGA Form Renderer Service。右键单击相应服务并选择重新启动选项。

Identity Applications 使用 NGNIX 服务在 Identity Applications 仪表板中呈现表单。

将 Identity Applications 或 Identity Reporting 升级到版本 4.8 后,控制面板中会显示多个 PostgreSQL 条目。

在控制面板中卸装以前的 PostgreSQL 版本。

卸装过程报告未完成,但日志文件未显示失败信息。

默认情况下,卸装过程无法删除包含安装文件的 netiq 目录。如果已从计算机中去除所有 NetIQ 软件,则您可以删除该目录。

升级 Identity Manager 后,以下属性会添加到 ism-configuration.properties 文件中:

com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system

请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。

升级 Identity Manager 后,即使您的部署中不包含 SSPR,系统也会将以下 SSPR 属性添加到 ism-configuration.properties 文件中:

com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth

请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。

升级 Identity Manager 后无法启动 Tomcat。在 Tomcat 日志中,您会发现几项异常以及工作流程引擎与身份库之间的通讯失败事件。

  1. 登录到 iManager。

  2. 导航到角色和任务 > NetIQ 证书访问 > 服务器证书

  3. 选中 SSL 证书 DNS 复选框并单击导出

  4. 证书下拉列表中,选择 SSL CertificateDNS

  5. 清除导出私用密钥复选框。确保导出格式设置为 DER

  6. 单击下一步 > 保存导出的证书将证书下载到您的系统中。

  7. 登录到 Identity Applications 服务器。

  8. 停止 Tomcat。

  9. 导航到 C:\NetIQ\Common\JRE\bin\ 目录,并使用以下命令将证书导入到 idm.jks 文件:

    <安装路径>\NetIQ\Common\JRE\bin\keytool -import -trustcacerts -alias <证书别名> -keystore <idm.jks> -file <下载的证书文件>

  10. 重启动 Tomcat。

将 Identity Manager 从 4.7.4 升级到 4.8 后,Tomcat 服务不会启动,并且日志文件中未报告任何错误。如果未在 igaworkflow 数据库的 afenginestate 表中正确更新检测信号计时器,便会出现此问题。

要解决此问题,请登录 pgAdmin 等数据库管理工具。运行以下查询,以手动更新 igaworkflow 数据库的 afenginestate 表中的检测信号计时器。

update afenginestate set heartbeat=now()::timestamp;