CA SiteMinder 集成 › 更新并导入环境定义 › 在 WebLogic 上安装代理插件 › 配置 Apache 代理插件

配置 Apache 代理插件

配置 Apache 代理插件需要编辑 http.conf 文件。

遵循这些步骤:

1. 在 Solaris 上安装了 Web 代理之后，停止 Apache Web 服务器，然后将 mod_wl_20.so 文件从以下位置：

   weblogic_home/server/lib/solaris

   复制到

   apache_home/modules

2. 编辑 http.conf 文件（位于 apache_home/conf）并且进行以下更改：
   1. 在“加载模块”部分下，添加以下代码：

      LoadModule weblogic_module     modules/mod_wl_20.so
      

   2. 用 Apache 服务器系统的名称来编辑服务器名称。
   3. 在文件结尾添加一个 If 块，如下所示：

      <IfModule mod_weblogic.c>
        WebLogicHost weblogic_server.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. 保存 http.conf 文件。
4. 重新启动 Apache Web 服务器。

将 SiteMinder 代理与 CA Identity Manager 域关联

策略管理员在完成 CA Identity Manager 任务之后执行此任务。 当您将环境加载到 CA Identity Manager 时，请引用 4.X 代理。 当在 SiteMinder 策略服务器上创建域/领域时，SiteMinder 使用该代理。 此代理验证 SMSESSION cookie。 更新域/领域，然后引用用于访问 CA Identity Manager 的 Web 服务器上的全功能代理。 此 Web 服务器充当 CA Identity Manager 的访问点，并创建 SMSESSION cookie。

遵循这些步骤:

1. 登录到 SiteMinder 管理 UI。
2. 导航到“策略”、“域”。
3. 修改环境的域。
4. 在“领域”选项卡上，编辑第一个列出的域：XXX_ims_realm。
5. 搜索并选择代理服务器上的代理。

   注意：如果您没有代理服务器代理（Web 服务器代理），请创建一个。 确认您拥有一个针对 CA Identity Manager 的 Web 服务器和代理服务器。

6. 两次单击“确定”，然后对公共的领域 XXX_pub_realm 重复此流程。
7. 在更新这两个域之后，单击“提交”。
8. 等待代理刷新，或重新启动代理服务器代理所在的 Web 服务器。

配置 SiteMinder LogOffUrI 参数

将 SiteMinder 添加到环境后，在 CA Identity Manager 中注销不会进行任何操作。 要重新启用此功能，请在代理服务器上更新代理的代理配置对象 (ACO)。

遵循这些步骤:

1. 登录到 SiteMinder 管理 UI。 依次单击“基础架构”选项卡、“代理”、“扩展代理配置”，然后单击“修改代理配置”。
2. 找到您的 ACO。 查找参数 #LogoffUri。 单击该参数左边的播放按钮（指向右边的箭头）。
3. 从“值”字段的名称中删除磅字符 (#)，然后输入 /idm/logout.jsp。
4. 单击“确定”，然后单击“提交”以更新代理配置对象。

   在下次代理从策略服务器获取其配置时，传播新的设置。

疑难解答

下列主题说明您可能会遇到的常见错误。 在所有可能的地方都会提供错误以及相应的解决方案，以便为您在集成过程中提供帮助。

丢失 Windows DLL

症状：

丢失 Windows DLL (MSVCP71.dll)

据我们所观察，在启用 SiteMinder 连接之后，JBoss 会抛出丢失 DLL (MSVCP71.dll) 的 Java 错误。

注意：如果 JBoss 作为服务运行时，可能不出现此错误。 如果可以的话，在不将 JBoss 作为服务运行的情况下测试您的配置。

解决方案：

遵循这些步骤:

1. 如果 SiteMinder 策略服务器运行在 Windows 上，在该策略服务器上找到 MSVCP71.dll。
2. 将此 DLL (MSVCP71.dll) 复制到 \Windows\system32 文件夹。
3. 在您将此文件放置在正确的位置后，通过操作系统来注册该文件。
4. 从命令窗口中运行 regsvr32 命令。 只要加载了此文件，就应该能够排除此故障。
5. 重新启动应用程序服务器。

不正确的 SiteMinder 策略服务器位置

症状：

不正确的 SiteMinder 策略服务器位置。

解决方案：

ra.xml 中引用不正确的位置时，会出现“Cannot connect to policy server: xxx”错误。

遵循这些步骤:

1. 检查 ra.xml 中所提供的主机名。

   

2. 在 ConnectionURL 属性中指定 SiteMinder 策略服务器的主机名。 使用 FQN （完全限定的名称）。

不正确的管理员名称

症状：

不正确的管理员名称

解决方案：

ra.xml 中引用不正确的管理员时，此时显示错误“未知管理员”。

遵循这些步骤:

1. 检查 ra.xml 中的 UserName 属性。

   

2. 在 UserName 属性中，指定用于与 CA SiteMinder 通讯的帐户。 例如，使用 SiteMinder 帐户（默认值）。

不正确的管理密钥

症状：

不正确的管理密钥

解决方案：

ra.xml 中使用了不正确的管理密钥时，会出现“Cannot connect to the policy server: Invalid credentials”错误。

遵循这些步骤:

1. 检查 ra.xml 中的 AdminSecret 属性。

   

2. 在 AdminSecret 属性中，为 UserName 属性中引用的用户名指定加密密码。

更多信息：

修改 SiteMinder 密码或共享密钥

不正确的代理名称

症状：

不正确的代理名称

解决方案：

ra.xml 中使用了不正确的代理名称时，会出现“Cannot connect to the policy server: Failed to init Agent API: -1”错误。

遵循这些步骤:

1. 检查 ra.xml 中的 AgentName 属性。

   

2. 指定您在 SiteMinder 配置期间的第 3 步中所创建的 4.X 代理名称。

不正确的代理密钥

症状：

不正确的代理密钥

解决方案：

ra.xml 中使用了不正确的代理密钥时，会出现“Cannot connect to the policy server: Failed to init Agent API: -1”错误，同时在前面出现加密处理程序错误。

遵循这些步骤:

1. 检查 ra.xml 中的 AgentSecret 属性。

   

2. 指定在创建此代理时所使用的加密密码。

更多信息：

修改 SiteMinder 密码或共享密钥

CA Identity Manager 中无用户上下文

症状：

CA Identity Manager 中无用户上下文。

用户尝试在不使用 SMSESSION cookie 的情况下访问 CA Identity Manager 时，CA Identity Manager 无法验证此用户。 在此情况下，您可能会看到空白的 CA Identity Manager 用户界面。

如果您已为环境启用了工作流，则可能会看到如下所示的故障。

解决方案：

若干因素会导致此问题，但通常会是以下之一：

• 您直接访问 CA Identity Manager。
• 代理服务器的 SiteMinder 代理被禁用（也就是说，没有保护任何内容－没有在创建 SMSESSION Cookie）。
• CA Identity Manager 环境的 SiteMinder 域配置错误。

前两种原因是显而易见的。 确保您在已启用完全功能的 Web 代理的情况下路由到 Web 服务器。 但是，如果直接访问 Web 服务器并且已启用了代理，那么您就需要修改域。

遵循这些步骤:

1. 登录到 SiteMinder 管理 UI。
2. 找到 CA Identity Manager 域，然后单击逐个层以进行修改。 单击“领域”选项卡，然后单击列表中的第一个领域。
3. 正斜杠的默认位置为该领域的下方。 将其删除。
4. 单击此领域下方的“规则”。

   此规则的默认有效资源是星号“*”。

5. 在星号的前面添加正斜杠“/”。

   您已将正斜杠从领域移到此规则。 保护是相同的，但是 SiteMinder 以不同的方式进行处理。

   您可以通过 SiteMinder 成功登录到 CA Identity Manager。 要验证适当的保护，请查阅 SiteMinder 代理日志。

加载环境时的错误

症状：

完成与 SiteMinder 的集成后，当将环境导回到 CA Identity Manager 时，可能会出现有关“requireadminpassword”属性和“WebService”元素的错误。

注意：当 SiteMinder 不属于部署的一部分时，也可能产生此问题。

解决方案：

此错误允许部分部署环境。 部分部署会在 CA Identity Manager 对象存储中创建空元素。 更正环境 XML 之一并重新导入。

遵循这些步骤:

1. 找到并浏览存档的 ZIP 文件。
2. 创建一个 XXX_environment_settings.xml 的副本。
3. 编辑该文件，然后找到“WebService”元素。
4. 删除标记“requireadminpassword=false”。

   注意：请同时删除标记和值。 而不是仅删除值。

5. 保存所作的更改，然后将文件放回到 ZIP 文件。
6. 重新导入此已归档的环境 zip 文件。

   您不必删除在失败的尝试时创建的环境。 重新导入校正后的文件可以修复上次失败尝试中出现的错误。