鉴定是一个复杂的主题,现有的网络基础结构可以影响成功执行初始 iManager 登录的能力。下列情况可以有助于最大程度地减少与鉴定有关的困难。有关鉴定相关主题的更多信息,请参见 NetIQ Modular Authentication Service (NMAS) 文档和 NetIQ eDirectory 文档。
iManager 鉴定是一项依赖于平台的操作,意味着根据运行 iManager 的平台的不同,其功能也会有所不同。
Linux 和 Windows 服务器: iManager 在 Linux 或 Windows 服务器上运行时,它利用 eDirectory 的旧式鉴定机制和传统的 eDirectory 口令。此机制支持 eDirectory 的“通用口令”选项,但不支持“简单口令”选项。
iManager 工作站: iManager 工作站在 Linux 或 Windows 客户端工作站上运行,利用 NMAS 客户端允许其使用通用口令(如果已配置)。
iManager 不使用 LDAP 进行初次 iManager 鉴定进程。它利用 eDirectory 的专有鉴定协议。但是,在初次鉴定之后,iManager 可以根据需要与 eDirectory 创建 LDAP 连接,以支持要求进行 LDAP 访问的已安装插件的目录访问。
iManager 不支持使用 eDirectory 的简单口令进行鉴定。
在鉴定到 iManager 时,您可能会遇到下列错误讯息。每个错误讯息部分都会说明可能的原因。
如果在首次尝试访问 iManager 时接收到 404 错误,您需要校验 Apache 运行的端口。根据 iManager 的安装方式以及选用的是 Apache 还是 IIS,配置文件的位置将会有所不同。Apache 使用 httpd.conf 文件或 ssl.conf 文件。有关 IIS 端口设置的信息,请参阅 Microsoft 文档。
如果收到内部服务器错误或小程序树枝错误(不可用或正在升级),则 iManager 可能存在以下某个 Tomcat 问题:
重引导后 Tomcat 未完全初始化。
Tomcat 启动失败。
等待几分钟,然后再尝试访问 iManager。如果仍出现相同的错误,请验证 Tomcat 的状态。
重启动 Tomcat。
有关重启动 Tomcat 的信息,请参见启动和停止 Tomcat。
检查 Tomcat 日志中是否存在错误。
日志文件位于 UNIX、Linux 或 Windows 平台上的 $tomcat_home$/logs 目录中。在 UNIX 和 Linux 上,日志文件名为 catalina.out 或 localhost_log.date.txt 。而在 Windows 上,日志文件命名为 stderr 和 stdout。
在指定的环境中找不到输入的对象名。
可能原因如下所示:
可能禁用了无环境登录。
“用户”对象可能不在配置的搜索树枝列表中。要求管理员将您的用户位置添加到无环境登录搜索树枝中,或使用完整环境登录。
通用口令策略中已禁用 NDS 口令。该口令也可能会随 222 错误讯息一起显示。
安装 客户端可以避免 iManager 工作站发生此错误,该客户端允许 iManager 利用通用口令鉴定机制,而不是利用 eDirectory 的旧式鉴定进程。
此错误为系统故障,导致该错误的可能原因有多种。
目标服务器不包含源服务器所请求内容的拷贝,或源服务器没有与请求匹配的对象,也没有搜索对象的参照。
可能原因如下所示:
输入的树或 IP 地址不正确。在使用 IP 地址时,如果 eDirectory 安装在非标准 (524) 端口上,请确保包括此端口。
超时前,iManager 未找到树或 IP 地址。如果树名无效,请使用 IP 地址。
所使用的口令无效、鉴定失败、某个服务器尝试与另一服务器同步但目标服务器的数据库被锁定,或远程 ID 或公共密钥存在问题。
可能原因如下所示:
键入的口令不正确。
在树中有多个用户使用相同的用户名。无环境登录尝试使用其所找到的第一个用户帐户及提供的口令登录。在此情况下,用户应该在登录时提供完整环境或限制无环境登录搜索的搜索树枝。
如果安装了 eDirectory 并在默认端口 524 以外的其他端口上运行它,则可在指定该端口的情况下使用 eDirectory 服务器的 IP 地址或 DNS 名称进行登录。例如:
对于 IPv4 地址:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
对于 IPv6 地址:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
如果使用树名登录,则无需指定端口。
“树名”字段的可能值有树名、服务器 IP 地址和服务器 DNS 名称。为获得最佳的结果,请使用 IP 地址。
如果需要,iManager 可以使用未托管 eDirectory 复本的服务器登录到 eDirectory 树。 为此,iManager 维护一个连接超速缓存,其中包含成功登录所需的信息。要填充连接超速缓存,在初次使用 iManager 登录到 eDirectory 树时,必须登录到托管复本的服务器。
重启动 Tomcat 或 iManager 服务器将清除连接超速缓存,所以,在发生下列事件之一后,iManager 在初次登录时必须登录到托管复本的服务器。
如果口令失效,用户会看到一条反映此结果的讯息。但是,用户可能意识不到因执行某些特定操作(例如,修改动态组、简单查找和设置简单口令),会很快消耗掉宽限登录次数。
用户每次执行任务时,这些操作都会消耗额外的宽限登录次数。强烈建议您鼓励用户在首次收到系统提示时就更改口令。
要启用使用备用对象类型的无环境鉴定,请执行下列操作:
打开 iManager 并浏览到“配置”>“iManager 服务器”>“配置 iManager”>“鉴定”。
如果您看不到此任务,则表示您不是授权用户。请参见授权用户和组。
为有权读取所需属性的用户设置“公共用户名”和“口令”。
修改 <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml 以包括 <Setting> 属性(该属性可列出要添加到无环境搜索中的属性),然后重启动 Tomcat。
有关重启动 Tomcat 的信息,请参见启动和停止 Tomcat。
例如,下列 XML 可将“别名”对象和“用户”对象添加到无环境搜索:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
同样,以下 XML 允许用户使用 CN 属性或 uniqueID 属性进行登录:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
重要说明:
使用相应的目录树名称(小写格式)替换上述示例代码中的 treename。
如果编辑 config.xml 文件后保存来自配置 iManager 任务的任何 iManager 服务器设置,请确认树名仍为小写字母格式,否则自定义的无环境登录将失败。