18.3 安裝和解除安裝疑難排解

下表列出了您可能會遇到的問題,以及用於解決這些問題的建議動作。如果問題持續發生,請聯絡您的 NetIQ 代表。

問題

建議的動作

執行 ConfigUpdate 公用程式後,您無法登入 Identity Applications。catalina.out 記錄檔案中顯示了以下錯誤訊息:

javax.net.ssl.SSLHandshakeException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Could not determine revocation status.

如果在 LDAP 伺服器上將加密的繫結限制設定為使用 SuiteB 加密 (128 位元),Identity Manager 4.8.4 (包含 eDirectory 9.2.5) 中會出現此問題。Identity Manager 使用數位證書來進行授權並與其元件安全通訊。透過檢查 CRL 發佈點 (CDP) 欄位指定的證書撤銷清單 (CRL) 來驗證證書,該項檢查可確定證書是否已撤銷。根證書以及金鑰儲存區檔案 tomcat.ksidm.jks 中的中繼證書都會提供 CRLDP。但是,預設已停用證書撤銷檢查。因此,PKIX 信任管理員無法確定證書的撤銷狀態。

若要解決此問題,請將 -Dcom.sun.security.enableCRLDP 內容設定為 true 以啟用 CRL 發佈點檢查。

若要設定該內容,請執行以下動作:

  1. 停止 Tomcat。

  2. 移至位於 Tomcat 的 bin 資料夾中的 setenv.sh 檔案。例如 C:\NetIQ\idm\apps\tomcat\bin\setenv.bat

  3. 如下所示在 CATALINA_OPTS 中新增內容 -Dcom.sun.security.enableCRLDP=true

    export CATALINA_OPTS="-Dcom.sun.security.enableCRLDP=true"

  4. 啟動 Tomcat。

升級 Identity Manager 後,非管理員使用者在 Identity Manager 儀表板中的登入速度非常緩慢。載入「應用程式」和「儀表板」頁面時出現很高的延遲。

此問題是由預設已啟用的巢狀群組搜尋所導致。無論環境中是否存在任何巢狀群組,應用程式都會透過巢狀群組成員資格尋找已登入使用者繼承的許可權。

(視情況而定) 以下步驟適用於 Identity Manager 4.8.5 和更高版本。

  1. 登入其中 Identity Applications 已升級至版本 4.8.5 的伺服器。

  2. 導覽至 C:\NetIQ\IDM\apps\tomcat\conf 位置。

  3. 在文字編輯器中開啟 ism-configuration.properties 檔案。

  4. 在該檔案的末尾新增以下內容:

    DirectoryService/realms/jndi/params/USE_NESTED_GROUPS=false

  5. 儲存該檔案並重新啟動 Tomcat。

將 Identity Applications 升級至版本 4.8.x 後,您無法登入 Identity Applications 儀表板。如果在 Identity Applications 升級期間未將 Identity Vault 可信證書儲存區路徑更新為正確的金鑰儲存區 (cacerts) 檔案位置,則會出現此問題。catalina.out 檔案中記錄了以下例外:

com.netiq.idm.auth.oauth.AuthenticationCommunicationException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, OU=idm, O=***, L=***, ST=***, C=**" is not a CA certificate"

Identity Applications 使用設定為 <安裝路徑>\Common\JREJAVA_HOME 環境變數。如果未在 JAVA_HOME 中將可信證書儲存區路徑設定為 cacerts 檔案所在位置,則 SSL 通訊會失敗,導致出現與「TrustAnchor」相關的 SSL 錯誤 (信賴起點用做 SSL 證書的增強式 Java 安全性檢查措施)。

若要解決此問題,請執行以下動作:

  1. 停止 Tomcat 服務。

  2. 登入 Identity Applications 伺服器,並啟動位於 <安裝路徑>\idm\apps\configupdate 中的 configupdate 公用程式。

  3. 在「使用者應用程式」索引標籤中,移至 Identity Vault 證書,並確定可信證書儲存區路徑設定為 <安裝路徑>\Common\JRE\lib\security\cacerts

  4. 啟動 Tomcat 服務。

將分散式環境中的 Identity Manager 升級至版本 4.8.1 後,登入 Identity Applications 失敗。將會顯示以下錯誤訊息:

您的登入程序未成功完成。

登入 Identity Applications 需要提供信賴起點證書,以便在 Identity Applications 與 OSP 之間建立安全連接。信賴起點證書必須包含「標題類型」設定為「CA」的「基本限制」延伸。Identity Manager 利用 jdk.security.allowNonCaAnchor 內容來驗證證書中的信賴起點。此內容預設為 false。因此,如果在證書中找不到信賴起點,則無法在 Identity Applications 與 OSP 之間建立連接,登入也會失敗。您還會在 idm-osp.log 檔案中看到以下例外:

sun.security.validator.ValidatorException: TrustAnchor with subject "CN=***, L=***, O=***" is not a CA certificate

若要解決此問題,必須符合下列任一條件:

  • 確定用於在 Identity Applications 與 OSP 之間建立安全連接的證書是包含正確「基本限制」延伸的可信 CA 證書。

  • 如果使用的是用戶端信任的自行簽署的證書和自訂證書,您可以變更 jdk.security.allowNonCaAnchor 內容,以允許使用不包含「基本限制」延伸的非 CA 證書。請執行以下動作來修改 Java 安全性設定:

  1. 導覽至 C:\NetIQ\idm\apps\jre\lib\security\java.security 目錄。

  2. 設定內容值 jdk.security.allowNonCaAnchor=true

  3. 儲存檔案。

升級至 Identity Applications 4.8.1 版本後,在 Identity Applications 儀表板中申請許可權時無法開啟表單。

若要解決此問題,請執行以下步驟:

  1. 在鍵盤上按 Windows + R,輸入 services.msc,然後選取確定以開啟 Windows 的「服務」介面。

  2. 搜尋服務名稱 NetIQ Nginx ServiceNetIQ IGA Form Renderer Service。在相應服務上按一下滑鼠右鍵並選取重新啟動選項。

Identity Applications 使用 NGNIX 服務在 Identity Applications 儀表板中轉譯表單。

將 Identity Applications 或 Identity Reporting 升級至版本 4.8 後,控制台中會顯示多個 PostgreSQL 項目。

在控制台中解除安裝以前的 PostgreSQL 版本。

解除安裝程序報告未完成,但記錄檔案未顯示失敗資訊。

依預設,解除安裝程序無法刪除包含安裝檔案的 netiq 目錄。如果您已從電腦中移除所有 NetIQ 軟體,則可以自己來刪除該目錄。

當您升級 Identity Manager 後,系統會將以下內容新增至 ism-configuration.properties 檔案:

com.netiq.idm.osp.ldap.admin-dn = cn=admin,ou=sa,o=system

請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。

升級 Identity Manager 後,即使您的部署中不包含 SSPR,系統也會將以下 SSPR 內容新增至 ism-configuration.properties 檔案:

com.netiq.sspr.redirect.url = https://___SSPR_IP___:___SSPR_TOMCAT_HTTPS_PORT___/sspr/public/oauth

請在 ism-configuration.properties 檔案中將該內容設為備註,然後重新啟動 Tomcat。它不會導致功能受損。

升級 Identity Manager 之後,無法啟動 Tomcat。在 Tomcat 記錄中,您會發現幾項例外以及工作流程引擎與 Identity Vault 之間的通訊失敗事件。

  1. 登入 iManager。

  2. 導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書

  3. 選取 SSL 證書 DNS 核取方塊並按一下輸出

  4. 證書下拉式清單中,選取 SSL CertificateDNS

  5. 清除輸出私密金鑰核取方塊。確定輸出格式設定為 DER

  6. 下一步 > 儲存輸出的證書以將證書下載到您的系統中。

  7. 登入 Identity Applications 伺服器。

  8. 停止 Tomcat。

  9. 導覽至 C:\NetIQ\Common\JRE\bin\ 目錄,並使用以下指令將證書輸入至 idm.jks 檔案:

    <Installed_path>\NetIQ\Common\JRE\bin\keytool -import -trustcacerts -alias <certificate_alias_name> -keystore <idm.jks> -file <certificate_file_downloaded>

  10. 重新啟動 Tomcat。

將 Identity Manager 從 4.7.4 升級至 4.8 後,Tomcat 服務不會啟動,並且記錄檔案中未報告任何錯誤。如果未在 igaworkflow 資料庫的 afenginestate 表中正確更新活動訊號計時器,便會出現此問題。

若要解決此問題,請登入 pgAdmin 等資料庫管理工具。執行以下查詢,以手動更新 igaworkflow 資料庫的 afenginestate 表中的活動訊號計時器。

update afenginestate set heartbeat=now()::timestamp;