Integración de CA SiteMinder › Actualización e importación de las definiciones del entorno › Instalación del complemento del proxy en WebLogic › Configuración del complemento del proxy de Apache

Configuración del complemento del proxy de Apache

La configuración del complemento del proxy de Apache requiere la edición del archivo http.conf.

Siga estos pasos:

1. Detenga el servidor Web de Apache después de haber instalado un agente Web en Solaris y copie el archivo mod_wl_20.so de la ubicación siguiente:

   weblogic_home/server/lib/solaris

   en

   apache_home/modules

2. Edite el archivo http.conf (ubicado en apache_home/conf) y realice los siguientes cambios:
   1. En la sección de carga del módulo, agregue el código siguiente:

      LoadModule weblogic_module     modules/mod_wl_20.so
      

   2. Edite el nombre del servidor con el nombre del sistema de servidor de Apache.
   3. Agregue un bloque If al final del archivo como se muestra a continuación:

      <IfModule mod_weblogic.c>
        WebLogicHost weblogic_server.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. Guarde el archivo http.conf.
4. Reinicie el servidor web de Apache.

Asocie el agente de SiteMinder con un dominio de CA Identity Manager.

El administrador de políticas realiza esta tarea después de haber completado las tareas de CA Identity Manager. Mientras se cargan los entornos en CA Identity Manager, se debe hacer referencia al agente de 4.X. SiteMinder utiliza ese agente al crear el dominio o territorio en el servidor de políticas de SiteMinder. Este agente valida las cookies SMSESSION. Se debe actualizar el dominio o territorio y hacer referencia al agente en funcionamiento completo que está en el servidor web que se utiliza para acceder a CA Identity Manager. Este servidor web actúa como el punto de acceso a CA Identity Manager y crea cookies SMSESSION.

Siga estos pasos:

1. Inicie sesión en la interfaz de usuario administrativa de SiteMinder.
2. Vaya a Políticas, Dominios.
3. Modifique el dominio para el entorno.
4. En la ficha Territorios, edite el primer territorio que aparece: XXX_ims_realm.
5. Busque y seleccione el agente en su proxy.

   Nota: Si no se dispone de un agente de proxy (agente de servidor web), se deberá crear uno. Verifique que tiene un servidor Web y proxy en su lugar para dirigir CA Identity Manager.

6. Haga clic en Aceptar dos veces y, a continuación, repita este proceso para el territorio público XXX_pub_realm.
7. Después de actualizar los dos territorios, haga clic en Enviar.
8. Se debe esperar a que el agente se actualice o reiniciar el servidor Web donde se encuentra el agente de proxy.

Configuración del parámetro LogOffUrI de SiteMinder

Después de agregar SiteMinder al entorno, el cierre de sesión en CA Identity Manager no funciona. Para volver a activar esta funcionalidad, actualice el objeto de configuración del agente (ACO) correspondiente al agente en el proxy.

Siga estos pasos:

1. Inicie sesión en la interfaz de usuario administrativa de SiteMinder. Haga clic en la ficha Infraestructura, Agentes, Expand Agent Configuration (Expandir configuración del agente) y, a continuación, haga clic en Modificar configuración del agente.
2. Busque el ACO. Busque el parámetro #LogoffUri. Haga clic en el botón de reproducción (flecha derecha) a la izquierda de ese parámetro.
3. Elimine el signo de almohadilla (#) del nombre del campo Valor e introduzca /idm/logout.jsp.
4. Haga clic en Aceptar y, a continuación, en Enviar para actualizar el objeto configuración del agente.

   La próxima vez que el agente recupere su configuración del servidor de políticas, se propagará la nueva configuración.

Resolución de problemas

En los siguientes temas se describen los errores comunes que se pueden producir. Siempre que sea posible, se equiparará una resolución con su error con el fin de prestar asistencia con la integración.

Ausencia de DLL de Windows

Síntoma:

Ausencia de DLL de Windows (MSVCP71.dll)

Se ha observado que después de que la conexión de SiteMinder se active, se produce un error de Java en el que se indica que falta una DLL (MSVCP71.dll).

Nota: Es posible que no se muestre este error si JBoss se ejecuta como servicio. En la medida de lo posible, pruebe la configuración sin ejecutar JBoss como servicio.

Solución:

Siga estos pasos:

1. Busque MSVCP71.dll en el servidor de políticas de SiteMinder, si se está ejecutando en Windows.
2. Copie esta DLL (MSVCP71.dll) en la carpeta \Windows\system32.
3. Después de colocar este archivo en la ubicación adecuada, regístrelo con el SO.
4. En una ventana de comandos, ejecute el comando regsvr32. Debe ser correcto siempre y cuando el archivo esté cargado.
5. Reinicie el servidor de aplicaciones.

Ubicación del servidor de políticas de SiteMinder incorrecta

Síntoma:

La ubicación del servidor de políticas de SiteMinder no es correcta.

Solución:

Se hace referencia a una ubicación incorrecta en ra.xml y se muestra el error Cannot connect to policy server: xxx (No se puede conectar al servidor de políticas: xxx).

Siga estos pasos:

1. Verifique el nombre de host que se ha proporcionado en ra.xml.

   

2. En la propiedad ConnectionURL, especifique el nombre de host del servidor de políticas de SiteMinder. Utilice un FQN (Nombre completo).

Nombre del administrador incorrecto

Síntoma:

Nombre del administrador incorrecto

Solución:

Se hace referencia a un administrador incorrecto en ra.xml y se muestra el error Unknown administrator (Administrador desconocido).

Siga estos pasos:

1. Compruebe la propiedad UserName en ra.xml.

   

2. En la propiedad UserName, especifique la cuenta que se utiliza para comunicarse con CA SiteMinder. Por ejemplo, utilice la cuenta de SiteMinder (valor predeterminado).

Secreto de administrador incorrecto

Síntoma:

Secreto de administrador incorrecto

Solución:

Se utiliza un secreto de administrador incorrecto en ra.xml y se muestra el error Cannot connect to the policy server: Invalid credentials (No se puede conectar al servidor de políticas: credenciales no válidas).

Siga estos pasos:

1. Compruebe la propiedad AdminSecret en ra.xml.

   

2. En la propiedad AdminSecret, especifique la contraseña cifrada para el nombre de usuario al cual se hace referencia en la propiedad UserName.

Más información:

Modificación de un secreto compartido o una contraseña de SiteMinder

Nombre de agente incorrecto

Síntoma:

Nombre de agente incorrecto

Solución:

Se utiliza un nombre de agente incorrecto en ra.xml y se muestra el error Cannot connect to the policy server: Failed to init Agent API: -1 (No se puede conectar al servidor de políticas: se ha producido un error al iniciar API de agente: -1).

Siga estos pasos:

1. Compruebe la propiedad AgentName en ra.xml.

   

2. Especifique el nombre de agente de 4.X creado durante el 3.º paso de la configuración de SiteMinder.

Secreto de agente incorrecto

Síntoma:

Secreto de agente incorrecto

Solución:

Se utiliza un secreto de agente incorrecto en ra.xml y se muestra el error Cannot connect to the policy server: Failed to init Agent API: -1 (No se puede conectar al servidor de políticas: se ha producido un error al iniciar API de agente: -1).

Siga estos pasos:

1. Compruebe la propiedad AgentSecret en ra.xml.

   

2. Especifique la contraseña cifrada que se ha utilizado al crear ese agente.

Más información:

Modificación de un secreto compartido o una contraseña de SiteMinder

Ningún contexto del usuario en CA Identity Manager

Síntoma:

No existe ningún contexto del usuario en CA Identity Manager.

Si un usuario intenta acceder a CA Identity Manager sin una cookie SMSESSION, CA Identity Manager no podrá autenticar el usuario. En este caso, se mostrará la interfaz de usuario de CA Identity Manager vacía.

Si se tiene activado Flujo de trabajo para el entorno, se podrá ver un error como el siguiente:

Solución:

Pueden ser varias las causas de este error, pero normalmente es una de las siguientes:

• Se ha accedido directamente a CA Identity Manager.
• El agente de SiteMinder en el proxy está desactivado (es decir, no existe ningún elemento protegido). La cookie SMSESSION no se ha creado).
• El dominio de SiteMinder para el entorno de CA Identity Manager tiene una configuración errónea.

Las primeras dos causas son bastante directas. Es necesario asegurarse de que se accede a través del servidor web con el agente web completamente funcional activado. Sin embargo, si se accede a través del servidor web y el agente está activado; a continuación, se tendrá que modificar el dominio.

Siga estos pasos:

1. Inicie sesión en la interfaz de usuario administrativa de SiteMinder.
2. Busque el dominio de CA Identity Manager y haga clic en las capas para modificarlo. Haga clic en la ficha Territorio y, a continuación, seleccione el primer dominio de la lista.
3. La ubicación predeterminada de la barra diagonal es bajo el territorio. Suprímalo.
4. Haga clic en la regla bajo este territorio.

   El recurso efectivo predeterminado de la regla es un asterisco "*".

5. Agregue la barra diagonal "/" delante del asterisco.

   Se ha movido la barra diagonal del territorio a la regla. La protección es la misma, pero SiteMinder lo trata de forma diferente.

   Se puede iniciar sesión correctamente en CA Identity Manager a través de SiteMinder. Para validar la protección correcta, consulte los registros del agente de SiteMinder.

Error al cargar entornos

Síntoma:

Al volver a importar un entorno en CA Identity Manager después de integrarse con SiteMinder, se produce un error sobre el atributo requireadminpassword y el elemento WebService.

Nota: Esta incidencia puede producirse también cuando SiteMinder no forma parte de la implementación.

Solución:

Este error permite la implementación parcial del entorno. La implementación parcial puede crear elementos vacíos en el almacén de objetos de CA Identity Manager. Corrija uno de los XML de entorno y vuelva a importarlo.

Siga estos pasos:

1. Busque el archivo ZIP archivado y examínelo.
2. Cree una copia de XXX_environment_settings.xml.
3. Edite este archivo y busque el elemento WebService.
4. Suprima la etiqueta requireadminpassword=false.

   Nota: Elimine la etiqueta y el valor. No elimine solamente el valor.

5. Guarde los cambios y vuelva a colocar el archivo en el archivo ZIP.
6. Vuelva a importar el archivo ZIP de entorno archivado.

   No se tiene que suprimir el entorno que se ha creado a partir del intento erróneo. Al volver a importar un archivo corregido, se corrigen los errores del intento erróneo.