下表列出了您可能会遇到的问题,以及解决这些问题的建议操作。如果问题仍然存在,请联系 NetIQ 代表。
问题 |
建议的操作 |
---|---|
运行 ConfigUpdate 实用程序后,您无法登录到 Identity Applications。catalina.out 日志文件中显示了以下错误讯息: javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status. 如果在 LDAP 服务器上将加密的绑定限制设置为使用 SuiteB 加密(128 位),Identity Manager 4.8.4(包含 eDirectory 9.2.5)中会出现此问题。Identity Manager 使用数字证书来授权并与其组件安全通讯。通过检查 CRL 分发点 (CDP) 字段指定的证书撤消列表 (CRL) 来验证证书,这项检查可以确定证书是否已撤消。根证书以及密钥存储区文件 tomcat.ks 和 idm.jks 中的中间证书都会提供 CRLDP。但是,默认已禁用证书撤消检查。因此,PKIX 信任管理器无法确定证书的撤消状态。 |
要解决此问题,请通过将 -Dcom.sun.security.enableCRLDP 属性设置为 true 来启用 CRL 分发点检查。 要设置该属性,请执行以下操作:
|
升级 Identity Manager 后,非管理员用户在 Identity Manager 仪表板中的登录速度非常缓慢。装载“应用程序”和“仪表板”页面时存在很高的延迟。 此问题是由默认启用的嵌套组搜索造成的。不管环境中是否存在任何嵌套组,应用程序都会通过嵌套组成员资格查找已登录用户继承的许可权限。 |
(视情况而定)以下步骤适用于 Identity Manager 4.8.5 和更高版本。
|
将 Identity Applications 升级到版本 4.8.x 后,您无法登录到 Identity Applications 仪表板。如果在 Identity Applications 升级期间未将身份库可信证书存储区路径更新为正确的密钥存储区 (cacerts) 文件位置,则会出现此问题。catalina.out 文件中记录了以下异常: com.netiq.idm.auth.oauth.AuthenticationCommunicationException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, OU=idm, O=***, L=***, ST=***, C=**" is not a CA certificate" Identity Applications 使用设置为 <安装路径>\Common\JRE 的 JAVA_HOME 环境变量。如果未在 JAVA_HOME 中将可信证书存储区路径设置为 cacerts 文件所在位置,则 SSL 通讯会失败,导致出现与“TrustAnchor”相关的 SSL 错误(信任锚用作 SSL 证书的增强式 Java 安全检查措施)。 |
要解决此问题,请执行以下操作:
|
将分布式环境中的 Identity Manager 升级到版本 4.8.1 后,登录 Identity Applications 失败。显示以下错误讯息: 您的登录过程未成功完成。 登录 Identity Applications 需要提供信任锚证书,以便在 Identity Applications 与 OSP 之间建立安全连接。信任锚证书必须包含“主题类型”设置为“CA”的“基本限制”扩展。Identity Manager 利用属性 jdk.security.allowNonCaAnchor 来验证证书中的信任锚。此属性默认设置为 false。因此,如果在证书中找不到信任锚,则无法在 Identity Applications 与 OSP 之间建立连接,登录也会失败。您还会在 idm-osp.log 文件中看到以下异常: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate |
要解决此问题,必须满足下列任一条件:
|
升级到 Identity Applications 4.8.1 版本后,在 Identity Applications 仪表板中请求许可权限时无法打开表单。 |
要解决此问题,请执行以下步骤:
Identity Applications 使用 NGNIX 服务在 Identity Applications 仪表板中呈现表单。 |
将 Identity Applications 或 Identity Reporting 升级到版本 4.8 后,控制面板中会显示多个 PostgreSQL 条目。 |
在控制面板中卸装以前的 PostgreSQL 版本。 |
卸装过程报告未完成,但日志文件未显示失败信息。 |
默认情况下,卸装过程无法删除包含安装文件的 netiq 目录。如果已从计算机中去除所有 NetIQ 软件,则您可以删除该目录。 |
升级 Identity Manager 后,以下属性会添加到 ism-configuration.properties 文件中: com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system |
请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。 |
升级 Identity Manager 后,即使您的部署中不包含 SSPR,系统也会将以下 SSPR 属性添加到 ism-configuration.properties 文件中: com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth |
请在 ism-configuration.properties 文件中注释掉该属性,然后重启动 Tomcat。它不会导致功能受损。 |
升级 Identity Manager 后无法启动 Tomcat。在 Tomcat 日志中,您会发现几项异常以及工作流程引擎与身份库之间的通讯失败事件。 |
|
将 Identity Manager 从 4.7.4 升级到 4.8 后,Tomcat 服务不会启动,并且日志文件中未报告任何错误。如果未在 igaworkflow 数据库的 afenginestate 表中正确更新检测信号计时器,便会出现此问题。 |
要解决此问题,请登录 pgAdmin 等数据库管理工具。运行以下查询,以手动更新 igaworkflow 数据库的 afenginestate 表中的检测信号计时器。 update afenginestate set heartbeat=now()::timestamp; |