20.3 Identity Applications 和 Identity Reporting 疑難排解

下表列出了您可能會遇到的問題,以及用於解決這些問題的建議動作。如果問題持續發生,請聯絡您的 NetIQ 代表。

問題

建議的動作

「儀表板」頁面上的角色自己的任務工具集不顯示任何資料。如果您簽入瀏覽器的主控台,將會顯示 404 錯誤。將預設 IDMProv 部署網路位置變更為自訂網路位置後會出現此問題。

若要解決此問題,必須變更受影響工具集上的 REST API URL。請執行以下步驟:

  1. 以管理員身分登入 Identity Manager 儀表板。

  2. 導覽至「儀表板」頁面,然後按一下管理儀表板

  3. 若要編輯角色工具集中的工具集組態,請執行以下操作:

    1. 按一下

    2. URL 欄位中,如下所示將預設 IDMProv 網路位置變更為自訂網路位置:/<custom-context>/rest/access/assignments/advanced?nextIndex=1&sortBy=name&sortOrder=ASC&forceRefresh=true&searchScope=role&size=20

      其中,<custom-context> 是您在 Identity Manager 部署中使用的網路位置。

    3. 按一下套用

  4. 若要編輯自己的任務工具集中的工具集組態,請執行以下操作:

    1. 按一下

    2. URL 欄位中,如下所示將預設 IDMProv 網路位置變更為自訂網路位置:/<custom-context>/rest/access/tasks/list?fromIndex=1&size=10&q=*&sortOrder=asc&sortBy=createTime&assignedTo=assignedTo&recipient=recipientAsMe&expireUnit=weeks&expireWithin=&proxyUser=&assignStatus=&delegatedTasks=false&status=

    3. 按一下套用

  5. 按一下完成編輯

如果在「證書標題」和「應用程式組態」中指定的 LDAP 伺服器名稱不同,則在升級 Identity Manager 後,Identity Applications 將無法連接到 Identity Vault。

Java 對 LDAPS 連接啟用端點識別,因此,在連接到 Identity Manager 伺服器時指定的伺服器名稱必須與證書中傳回的伺服器名稱相同。如果伺服器名稱不同,請執行以下步驟:

  1. 導覽至 /opt/netiq/idm/apps/configupdate 目錄。

  2. 執行以下指令啟動組態更新公用程式。

    ./configupdate.sh

  3. 導覽至使用者應用程式索引標籤,按一下 Identity Vault 伺服器,然後將伺服器名稱變更為 LDAP 伺服器證書標題中指定的名稱。

    此動作將更新 ism-configuration.properties 檔案中的 DirectoryService/realms/jndi/params/AUTHORITY 內容

  4. 按一下確定

如果將 Identity Applications 和 Identity Reporting 安裝在同一部伺服器上,而您使用 <reporting install folder>/bin 目錄中的組態更新公用程式來進行組態變更,Identity Manager 儀表板將無法啟動。catalina.out 記錄檔案中會報告以下錯誤:

EboPortalBootServlet [RBPM] +++++WARNING!!!! : This portal application context, IDMProv, does not match the portal.context property set in the PortalService-conf/config.xml file.Only one portal per database is allowed.Data has been loaded using the previous portal context.To correct this you must revert back to the previous portal name of, NoCacheFilter, please consult the documentation.

若要進行任何組態變更,請使用 /opt/netiq/idm/apps/configupdate/ 目錄中的組態更新公用程式。

無法使用組態更新公用程式變更某個內容的密碼。

您可以透過執行以下步驟,從指令行變更某個內容 (例如 com.netiq.rpt.ssl-keystore) 的密碼:

  1. 使用以下公用程式加密您的密碼:

    /opt/netiq/common/jre/bin/java -jar tomcat/lib/obscurity-0.7.0-uber.jar <<密碼>>

  2. 導覽至 /opt/netiq/idm/apps/tomcat/conf 目錄中的 ism-configuration.properties 檔案。

  3. 修改 ism-configuration.properties 檔案,以新增在步驟 2 中為 com.netiq.rpt.ssl-keystore.pwd 參數指定的加密密碼。

  4. 儲存該檔案並重新啟動 Tomcat。

如果將 Identity Reporting 安裝在獨立的伺服器上,並且您透過儀表板啟動 Identity Reporting 或 IDM DCS URL,URL 將無法啟動。

啟動 Identity Reporting 或 IDM DCS URL 之後,請執行以下步驟:

  1. 導覽至網址列。

  2. 修改 URL,並手動提供安裝了 Identity Reporting 的伺服器的主機名稱和連接埠詳細資料。

此外,導覽至安裝了 Identity Applications 的伺服器上的 configupdate.sh.properties 檔案,並在 sso_apps 參數中新增 rpt 項目,然後儲存變更。例如 sso_apps=ua,rpt

如果 Identity Applications 和 Identity Reporting 安裝在同一部伺服器上,並針對 OSP 和 Identity Applications 啟用了 CEF 稽核,則 Reporting 元件將無法啟動。

請執行以下步驟來解決此問題:

  1. 導覽至 /opt/netiq/idm/apps/tomcat/conf 目錄中的 idmrptcore_logging.xml 檔案。

  2. idmrptcore_logging.xml 檔案中新增 <keystore file> 參數,並指定金鑰儲存區檔案路徑。例如,新增下面一行:

    <keystore-file>/opt/netiq/idm/app/tomcat/conf/idm.jks</keystore-file>

  3. 重新啟動 Tomcat。

如果 Identity Applications 和 Identity Reporting 安裝在同一部伺服器上,並且您為資料庫建立選項選取了啟動,將會在記錄中看到一些例外。

若要清除這些例外,請手動重新啟動 Tomcat。

如果現有的 Identity Applications 或 Identity Reporting 組態中未設定連接埠,而您嘗試對 Identity Manager 進行升級,組態更新公用程式中驗證SSO 用戶端索引標籤下列出的 IP 位址與連接埠將顯示錯誤的值。

升級 Identity Applications 和 Identity Reporting 後,請執行以下步驟:

  1. 導覽至 /opt/netiq/idm/apps/configupdate 目錄。

  2. 執行以下指令:

    ./configupdate.sh

  3. 驗證索引標籤上的 OAuth 伺服器主機識別碼OAuth 伺服器 TCP 連接埠欄位中,分別指定正確的 IP 位址和連接埠。

  4. SSO 用戶端索引標籤中,確定 IDM Administrator、Reporting 和 IDM 資料收集服務的 URL 格式正確。

  5. 重新啟動 Tomcat。

您要修改安裝過程中建立的下列一或多個使用者應用程式組態設定:

  • Identity Vault 連接和證書

  • 電子郵件設定

  • Identity Manager 引擎使用者身分和使用者群組

  • Access Manager 或 iChain 設定

不依賴安裝程式來執行組態公用程式。

Linux:從安裝目錄 (預設為 /opt/netiq/idm/apps/configupdate/) 中執行以下指令:

./configupdate.sh

啟動 Tomcat 會導致以下例外:

port 8180 already in use

關閉任何可能已在執行的 Tomcat 例項 (或其他伺服器軟體)。如果將 Tomcat 重新設定為使用 8180 以外的連接埠,請編輯使用者應用程式驅動程式的 config 設定。

當 Tomcat 啟動時,應用程式報告找不到可信證書。

請務必使用安裝使用者應用程式期間指定的 JDK 來啟動 Tomcat。

無法登入入口網站管理頁面。

確保使用者應用程式管理員帳戶存在。此帳戶與 iManager 管理員帳戶不同。

即使使用管理員帳戶也無法建立新使用者。

使用者應用程式管理員必須是頂層容器的託管者,並且應具有「監督者」權限。您可以嘗試將使用者應用程式管理員的權限設定為與 LDAP 管理員的權限相同 (使用 iManager)。

啟動應用程式伺服器時拋出金鑰儲存區錯誤。

應用程式伺服器未使用安裝使用者應用程式期間指定的 JDK。

使用 keytool 指令,來輸入證書檔案:

keytool -import -trustcacerts -alias aliasName -file certFile -keystore ..\lib\security\cacerts -storepass changeit

  • 以您為此證書選擇的唯一名稱來取代 aliasName

  • 以證書檔案的完整路徑和名稱來取代 certFile

  • 預設金鑰儲存區密碼為 changeit (如果您有不同的密碼,請指定它)。

電子郵件通知無法傳送。

執行 configupdate 公用程式,以檢查您是否已提供以下使用者應用程式組態參數的值:Email FromEmail Host

Linux:從安裝目錄 (預設為 /opt/netiq/idm/apps/configupdate/) 中執行以下指令:

./configupdate.sh

組態更新公用程式中未顯示 IG SSO 用戶端索引標籤

configupdate.sh.properties 檔案中的 sso_apps 參數內新增 ig 項目,然後儲存變更。如果 sso_apps 參數已包含 Identity Applications 和 Identity Reporting 項目,請將 Identity Governance 項目新增至清單中。例如 sso_apps=ua,rpt,ig