下表列出了您可能會遇到的問題,以及用於解決這些問題的建議動作。如果問題持續發生,請聯絡您的 NetIQ 代表。
問題 |
建議的動作 |
---|---|
執行 ConfigUpdate 公用程式後,您無法登入 Identity Applications。catalina.out 記錄檔案中顯示了以下錯誤訊息: javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status. 如果在 LDAP 伺服器上將加密的繫結限制設定為使用 SuiteB 加密 (128 位元),Identity Manager 4.8.4 (包含 eDirectory 9.2.5) 中會出現此問題。Identity Manager 使用數位證書來進行授權並與其元件安全通訊。透過檢查 CRL 發佈點 (CDP) 欄位指定的證書撤銷清單 (CRL) 來驗證證書,該項檢查可確定證書是否已撤銷。根證書以及金鑰儲存區檔案 tomcat.ks 和 idm.jks 中的中繼證書都會提供 CRLDP。但是,預設已停用證書撤銷檢查。因此,PKIX 信任管理員無法確定證書的撤銷狀態。 |
若要解決此問題,請將 -Dcom.sun.security.enableCRLDP 內容設定為 true 以啟用 CRL 發佈點檢查。 若要設定該內容,請執行以下動作:
|
升級 Identity Manager 後,非管理員使用者在 Identity Manager 儀表板中的登入速度非常緩慢。載入「應用程式」和「儀表板」頁面時出現很高的延遲。 此問題是由預設已啟用的巢狀群組搜尋所導致。無論環境中是否存在任何巢狀群組,應用程式都會透過巢狀群組成員資格尋找已登入使用者繼承的許可權。 |
(視情況而定) 以下步驟適用於 Identity Manager 4.8.5 和更高版本。
|
將 Identity Applications 升級至版本 4.8.x 後,您無法登入 Identity Applications 儀表板。如果在 Identity Applications 升級期間未將 Identity Vault 可信證書儲存區路徑更新為正確的金鑰儲存區 (cacerts) 檔案位置,則會出現此問題。catalina.out 檔案中記錄了以下例外: com.netiq.idm.auth.oauth.AuthenticationCommunicationException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, OU=idm, O=***, L=***, ST=***, C=**" is not a CA certificate" Identity Applications 使用設定為 <安裝路徑>\Common\JRE 的 JAVA_HOME 環境變數。如果未在 JAVA_HOME 中將可信證書儲存區路徑設定為 cacerts 檔案所在位置,則 SSL 通訊會失敗,導致出現與「TrustAnchor」相關的 SSL 錯誤 (信賴起點用做 SSL 證書的增強式 Java 安全性檢查措施)。 |
若要解決此問題,請執行以下動作:
|
將分散式環境中的 Identity Manager 升級至版本 4.8.1 後,登入 Identity Applications 失敗。將會顯示以下錯誤訊息: 您的登入程序未成功完成。 登入 Identity Applications 需要提供信賴起點證書,以便在 Identity Applications 與 OSP 之間建立安全連接。信賴起點證書必須包含「標題類型」設定為「CA」的「基本限制」延伸。Identity Manager 利用 jdk.security.allowNonCaAnchor 內容來驗證證書中的信賴起點。此內容預設為 false。因此,如果在證書中找不到信賴起點,則無法在 Identity Applications 與 OSP 之間建立連接,登入也會失敗。您還會在 idm-osp.log 檔案中看到以下例外: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate |
若要解決此問題,必須符合下列任一條件:
|
升級至 Identity Applications 4.8.1 版本後,在 Identity Applications 儀表板中申請許可權時無法開啟表單。 |
若要解決此問題,請執行以下步驟:
Identity Applications 使用 NGNIX 服務在 Identity Applications 儀表板中轉譯表單。 |
將 Identity Applications 或 Identity Reporting 升級至版本 4.8 後,控制台中會顯示多個 PostgreSQL 項目。 |
在控制台中解除安裝以前的 PostgreSQL 版本。 |
解除安裝程序報告未完成,但記錄檔案未顯示失敗資訊。 |
依預設,解除安裝程序無法刪除包含安裝檔案的 netiq 目錄。如果您已從電腦中移除所有 NetIQ 軟體,則可以自己來刪除該目錄。 |
當您升級 Identity Manager 後,系統會將以下內容新增至 ism-configuration.properties 檔案: com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system |
請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。 |
升級 Identity Manager 後,即使您的部署中不包含 SSPR,系統也會將以下 SSPR 內容新增至 ism-configuration.properties 檔案: com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth |
請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。 |
升級 Identity Manager 之後,無法啟動 Tomcat。在 Tomcat 記錄中,您會發現幾項例外以及工作流程引擎與 Identity Vault 之間的通訊失敗事件。 |
|
將 Identity Manager 從 4.7.4 升級至 4.8 後,Tomcat 服務不會啟動,並且記錄檔案中未報告任何錯誤。如果未在 igaworkflow 資料庫的 afenginestate 表中正確更新活動訊號計時器,便會出現此問題。 |
若要解決此問題,請登入 pgAdmin 等資料庫管理工具。執行以下查詢,以手動更新 igaworkflow 資料庫的 afenginestate 表中的活動訊號計時器。 update afenginestate set heartbeat=now()::timestamp; |