驗證是很複雜的主題,您目前的網路基礎架構可能會影響是否能成功執行 iManager 啟始登入。下列事實可協助您將與驗證相關的困難降到最低。如需驗證相關主題的詳細資訊,請參閱 NetIQ 模組驗證服務 (NMAS) 文件與 NetIQ eDirectory 文件。
iManager 驗證是依存於平台的作業,這代表其功能會根據執行 iManager 的平台而有所不同。
Linux 伺服器和 Windows 伺服器: 如果 iManager 是在 Linux 或 Windows 伺服器上執行,則會使用 eDirectory 傳統的驗證機制和一般的 eDirectory 密碼。此機制支援 eDirectory 的「通用密碼」選項,但不支援「簡易密碼」選項。
iManager Workstation: iManager Workstation 在用戶端工作站 (Linux 或 Windows) 上執行,且若經過設定,可運用允許其使用「通用密碼」的 NMAS 用戶端。
iManager 不會將 LDAP 用於啟始 iManager 驗證程序。而是使用 eDirectory 專屬的驗證通訊協定。但是,在啟始驗證之後,iManager 便可以視需要建立連至 eDirectory 的 LDAP 連線,以支援需要 LDAP 存取之安裝外掛程式的目錄存取。
iManager 不支援使用 eDirectory 的「簡易密碼」進行驗證。
驗證 iManager 時,您可能會碰到以下錯誤訊息。每則錯誤訊息區段都會說明可能的原因。
如果首次嘗試存取 iManager 時接收到 404 錯誤,則需要驗證 Apache 執行的埠。根據您安裝 iManager 的方法以及是否選擇使用 Apache 或 IIS,組態檔案的位置可能有所不同。Apache 使用 httpd.conf 檔案或 ssl.conf 檔案。請參閱 Microsoft 的文件以取得 IIS 連接埠設定的相關資訊。
如果接收到內部伺服器錯誤或伺服器常式容器錯誤 (不可用或正在升級),則 iManager 的 Tomcat 存在以下其中一個問題:
重新開機後,Tomcat 沒有完全啟始化。
Tomcat 啟動失敗。
等待幾分鐘,然後嘗試再次存取 iManager。如果您仍然收到相同錯誤,請確認 Tomcat 的狀態。
重新啟動 Tomcat。
如需重新啟動 Tomcat 的相關資訊,請參閱啟動和停止 Tomcat。
檢查 Tomcat 記錄中是否存在錯誤。
記錄檔案位於 UNIX、Linux 和 Windows 平台的 $tomcat_home$/logs 目錄中。在 UNIX 和 Linux 上,記錄檔案命名為 catalina.out 或 localhost_log。date.txt。在 Windows 上,記錄檔案命名為 stderr 與 stdout。
指定的網路位置中找不到輸入的物件名稱。
可能的原因包括:
無網路位置登入可能已經停用。
「使用者」物件可能不在設定的搜尋容器清單中。讓管理員將使用者位置新增至無網路位置登入搜尋容器中,或以完整網路位置進行登入。
「通用密碼」原則中已停用 NDS 密碼。這可能也是因為 222 錯誤訊息所引起。
安裝 用戶端,即可避免 iManager Workstation 發生這個錯誤,因為這可讓 iManager 使用「通用密碼」驗證機制,而不是使用 eDirectory 的傳統驗證程序。
此錯誤是一種系統故障,可能的原因有很多種。
目標伺服器沒有來源伺服器所申請之內容的副本,或來源伺服器沒有符合申請的物件,也沒有搜尋物件的轉介。
可能的原因包括:
輸入的「網路樹」或「IP 位址」不正確。如果使用 IP 位址,並且 eDirectory 安裝在非標準埠 (524) 上,請確保包括該連接埠。
逾時前,iManager 找不到「網路樹」或「IP 位址」。如果網路樹名稱無效,請使用 IP 位址。
使用了無效密碼;驗證失敗;一個伺服器嘗試與另一個伺服器進行同步,但目標伺服器的資料庫被鎖住;或者遠端 ID 或公用金鑰存在問題。
可能的原因包括:
鍵入的密碼不正確
網路樹中有多位使用相同使用者名稱的使用者。無網路位置登入會嘗試使用找到的第一個使用者帳戶及所提供的密碼進行登入。在此情況下,使用者應該在登入時提供完整的網路位置,或限制無網路位置登入搜尋的搜尋容器。
如果在預設連接埠 524 之外的其他連接埠上安裝並執行 eDirectory,同時還指定了連接埠,您可以使用 eDirectory 伺服器的 IP 位址或 DNS 名稱進行登入。例如:
對於 IPv4 位址:
https://127.0.0.1/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
對於 IPv6 位址:
https://[2001:db8::6]:1080/nps/servlet/webacc?taskId=fw.Startup&forceMaster=true
如果您使用網路樹名稱進行登入,則無需指定連接埠。
「網路樹名稱」欄位的可能值為網路樹名稱、伺服器 IP 位址和伺服器 DNS 名稱。為了獲得最佳結果,請使用 IP 位址。
若有必要,iManager 可以使用未裝載 eDirectory 複製本的伺服器來登入 eDirectory 網路樹。為了此目的,iManager 會保留內含成功登入所需資訊的連接快取。若要填入連接快取,首次以 iManager 登入 eDirectory 網路樹時,您必須登入代管複製本的伺服器。
重新啟動 Tomcat 或 iManager 伺服器將清除連接快取,所以在下列其中一種事件中首次登入 iManager 時,您必須登入一個代管複製本的伺服器。
如果密碼過期,系統便會顯示訊息來提示使用者。但是,使用者可能沒有意識到,執行某些操作 (例如,修改動態群組、簡單尋找以及設定簡單密碼),會很快消耗掉寬限登入。
每次使用者執行任務時,這些操作都會消耗掉額外的寬限登入。因此,我們強烈建議您鼓勵使用者在第一次收到提示時便更改密碼。
若要開啟使用其他物件類型的無網路位置驗證,請進行下列操作:
開啟 iManager 並瀏覽至「設定」>「iManager 伺服器」>「設定 iManager」>「驗證」。
如果沒有看到此任務,則表示您不是授權使用者。請參閱授權使用者與群組。
為有權讀取所需屬性的使用者設定「公用使用者名稱」和「密碼」。
修改 <TOMCAT_HOME>\webapps\nps\WEB-INF\config.xml,以包含列出您要新增至無網路位置搜尋之屬性的 <Setting> 內容,然後重新啟動 Tomcat。
如需重新啟動 Tomcat 的相關資訊,請參閱啟動和停止 Tomcat。
例如,以下 XML 會將「別名」和「使用者」物件新增至無網路位置搜尋:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginClass.NDAP.treename]]></name>
<value><![CDATA[User]]></value>
<value><![CDATA[Alias]]></value>
</setting>
同樣地,下列 XML 允許使用者使用 CN 或 uniqueID 屬性進行登入:
<setting> <name><![CDATA[Authenticate.Form.ContextlessLoginSearchAttributes.NDAP.treename]]></name>
<value><![CDATA[CN]]></value>
<value><![CDATA[uniqueID]]></value>
</setting>
重要:
在上述範例碼中,請以適當的目錄樹名稱 (小寫) 取代 treename。
如果您在編輯 config.xml 檔案之後,從「設定 iManager」任務儲存任何的 iManager 伺服器設定,則需驗證網路樹名稱仍為小寫,否則自訂的無網路位置登入將會失敗。