20.6 升級疑難排解

下表列出了您可能會遇到的問題,以及用於解決這些問題的建議動作。如果問題持續發生,請聯絡您的 NetIQ 代表。

問題

建議的動作

執行 ConfigUpdate 公用程式後,您無法登入 Identity Applications。catalina.out 記錄檔案中顯示了以下錯誤訊息:

javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status.

如果在 LDAP 伺服器上將加密的繫結限制設定為使用 SuiteB 加密 (128 位元),Identity Manager 4.8.4 (包含 eDirectory 9.2.5) 中會出現此問題。Identity Manager 使用數位證書來進行授權並與其元件安全通訊。透過檢查 CRL 發佈點 (CDP) 欄位指定的證書撤銷清單 (CRL) 來驗證證書,該項檢查可確定證書是否已撤銷。根證書以及金鑰儲存區檔案 tomcat.ksidm.jks 中的中繼證書都會提供 CRLDP。但是,預設已停用證書撤銷檢查。因此,PKIX 信任管理員無法確定證書的撤銷狀態。

若要解決此問題,請將 -Dcom.sun.security.enableCRLDP 內容設定為 true 以啟用 CRL 發佈點檢查。

若要設定該內容,請執行以下動作:

  1. 停止 Tomcat。

  2. 移至位於 Tomcat 的 bin 目錄中的 setenv.sh 檔案。例如 /opt/netiq/idm/apps/tomcat/bin/setenv.sh

  3. 如下所示在 CATALINA_OPTS 中新增內容 -Dcom.sun.security.enableCRLDP=true

    export CATALINA_OPTS="-Dcom.sun.security.enableCRLDP=true"

  4. 啟動 Tomcat。

升級 Identity Manager 後,非管理員使用者在 Identity Manager 儀表板中的登入速度非常緩慢。載入「應用程式」和「儀表板」頁面時出現很高的延遲。

此問題是由預設已啟用的巢狀群組搜尋所導致。無論環境中是否存在任何巢狀群組,應用程式都會透過巢狀群組成員資格尋找已登入使用者繼承的許可權。

(視情況而定) 以下步驟適用於 Identity Manager 4.8.5 和更高版本。

  1. 登入其中 Identity Applications 已升級至版本 4.8.5 的伺服器。

  2. 導覽至 /opt/etiq/idm/apps/tomcat/conf/ 位置。

  3. 在文字編輯器中開啟 ism-configuration.properties 檔案。

  4. 在該檔案的末尾新增以下內容:

    DirectoryService/realms/jndi/params/USE_NESTED_GROUPS=false

  5. 儲存該檔案並重新啟動 Tomcat。

將 Identity Applications 從舊版升級至版本 4.8 後,表單轉譯器不依預期運作。將預設 IDMProv 部署網路位置修改為自訂網路位置後會出現此問題。

若要解決此問題,請執行以下步驟:

  1. 登入其中 Identity Applications 已升級至版本 4.8 的伺服器。

  2. 導覽至 /opt/netiq/idm/apps/sites 目錄。

  3. 編輯 ServiceRegistry.json 檔案。

  4. 將部署網路位置從 IDMProv 修改為在升級之前指定的自訂網路位置。

  5. 儲存 ServiceRegistry.json 檔案。

  6. 導覽至 /opt/netiq/idm/apps/sites/forms/ 目錄。

  7. 編輯 main.<version>.js 檔案,其中 <version> 是隨機產生的英數字元值。

  8. 將部署網路位置從 IDMProv 修改為在升級之前指定的自訂網路位置。

  9. 儲存 main.<version>.js 檔案。

  10. 重新啟動 Tomcat。

將分散式環境中的 Identity Manager 升級至版本 4.8.1 後,登入 Identity Applications 失敗。將會顯示以下錯誤訊息:

您的登入程序未成功完成。

登入 Identity Applications 需要提供信賴起點證書,以便在 Identity Applications 與 OSP 之間建立安全連接。信賴起點證書必須包含「標題類型」設定為「CA」的「基本限制」延伸。Identity Manager 利用 jdk.security.allowNonCaAnchor 內容來驗證證書中的信賴起點。此內容預設為 false。因此,如果在證書中找不到信賴起點,則無法在 Identity Applications 與 OSP 之間建立連接,登入也會失敗。您將在 idm-osp.log 檔案中看到以下例外:

sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate

若要解決此問題,必須符合下列任一條件:

  • 確定用於在 Identity Applications 與 OSP 之間建立安全連接的證書是包含正確「基本限制」延伸的可信 CA 證書。

  • 如果使用的是用戶端信任的自行簽署的證書和自訂證書,您可以變更 jdk.security.allowNonCaAnchor 內容,以允許使用不包含「基本限制」延伸的非 CA 證書。請執行以下動作來修改 Java 安全性設定:

  1. 導覽至 /opt/netiq/common/jre/lib/security/java.security 目錄。

  2. 設定內容值 jdk.security.allowNonCaAnchor=true

  3. 儲存檔案。

升級至 Identity Applications 4.8.1 版本後,在 Identity Applications 儀表板中申請許可權時無法開啟表單。

若要解決此問題,請使用以下指令手動重新啟動 NGNIX 和 Golang 服務:

  • NGNIX: /opt/netiq/common/ngnix/ngnix

  • Golang: /etc/init.d/netiq-golang.sh

Identity Applications 使用 NGNIX 服務在 Identity Applications 儀表板中轉譯表單。

在標準版中升級 Identity Reporting 後,configupdate.sh.properties 中的 is_prov 參數設定為 true。因為在標準版中無法使用 Identity Applications,所以此參數的值必須設定為 false

configupdate.sh.properties 檔案中手動將 is_prov 參數設定為 false

如果先前的 Identity Manager 引擎升級失敗,將無法重新執行 Identity Manager 引擎安裝程式。例如,如果第一次嘗試將 Identity Manager 引擎升級至 4.8 失敗,然後再次嘗試升級 Identity Manager 引擎,則無法觸發升級程序。

請執行以下步驟:

  1. 使用 novell-DXMLengnx RPM 將 Identity Manager 引擎降級至舊版本。

  2. 升級 Identity Manager 引擎。

當您升級 Identity Manager 後,系統會將以下內容新增至 ism-configuration.properties 檔案:

com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system

請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。

升級 Identity Manager 後,即使您的部署中不包含 SSPR,系統也會將以下 SSPR 內容新增至 ism-configuration.properties 檔案:

com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth

請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。

升級 Identity Manager 後,ism-configuration.properties 檔案中會填入 java.protocol.handler.pkgs 內容的某些重複值。

不會出現功能受損的情況。若要解決此問題,請執行以下動作:

  1. 導覽至 /opt/netiq/idm/apps/tomcat/conf 目錄中的 ism-configuration.properties 檔案。

  2. 修改 ism-configuration.properties 檔案,移除 java.protocol.handler.pkgs 內容的重複值。

  3. 儲存該檔案並重新啟動 Tomcat。

升級 Identity Manager 之後,無法啟動 Tomcat。在 Tomcat 記錄中,您會發現幾項例外以及工作流程引擎與 Identity Vault 之間的通訊失敗事件。

  1. 登入 iManager。

  2. 導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書

  3. 選取 SSL 證書 DNS 核取方塊並按一下輸出

  4. 證書下拉式清單中,選取 SSL CertificateDNS

  5. 清除輸出私密金鑰核取方塊。確定輸出格式設定為 DER

  6. 下一步 > 儲存輸出的證書以將證書下載到您的系統中。

  7. 登入 Identity Applications 伺服器。

  8. 停止 Tomcat。

  9. 導覽至 opt/netiq/common/jre/bin 目錄,並使用以下指令將證書輸入至 idm.jks 檔案:

    opt/netiq/common/jre/bin/keytool -import -trustcacerts -alias <certificate_alias_name> -keystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -file <certificate_file_downloaded>

  10. 重新啟動 Tomcat。