Integrazione di CA SiteMinder › Aggiornamento e importazione delle definizioni di ambiente › Installazione del plug-in proxy su WebLogic › Configurazione del plug-in proxy Apache

Configurazione del plug-in proxy Apache

La configurazione del plug-in proxy di Apache richiede la modifica del file http.conf.

Procedere come descritto di seguito:

1. Arrestare il server Web di Apache dopo avere installato un agente Web su Solaris e copiare il file mod_wl_20.so dalla posizione seguente:

   weblogic_home/server/lib/solaris

   nella posizione

   apache_home/modules

2. Modificare il file http.conf (che si trova in apache_home/conf) e apportarvi le seguenti modifiche:
   1. Nella sezione load-module, aggiungere il seguente codice:

      LoadModule weblogic_module modules/mod_wl_20.so
      

   2. Modificare il nome server con il nome del sistema server di Apache.
   3. Aggiungere un blocco If alla fine del file nel seguente modo:

      <IfModule mod_weblogic.c>
        WebLogicHost weblogic_server.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. Salvare il file http.conf.
4. Riavviare il server Web Apache.

Associazione dell'agente di SiteMinder a un dominio di CA Identity Manager

L'amministratore dei criteri esegue questa attività dopo avere completato le attività di CA Identity Manager. Durante il caricamento degli ambienti in CA Identity Manager, fare riferimento all'agente 4.X. SiteMinder utilizza quell'agente durante la creazione di dominio/area di autenticazione nel Policy Server di SiteMinder. Questo agente convalida i cookie SMSESSION. Aggiornare il dominio o l'area di autenticazione e fare riferimento all'agente funzionante nel server Web utilizzato per accedere a CA Identity Manager. Questo server Web funge da punto di accesso a CA Identity Manager e crea i cookie SMSESSION.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder.
2. Accedere a Criteri, Domini.
3. Modificare il dominio per l'ambiente.
4. Nella scheda Aree di autenticazione, modificare la prima area di autenticazione elencata: XXX_ims_realm.
5. Cercare e selezionare l'agente nel proxy.

   Nota: Se non si dispone di un agente proxy (agente del server Web), crearne uno. Verificare di disporre di un server Web e un proxy per CA Identity Manager.

6. Fare clic su OK due volte, quindi ripetere questo processo per l'area di autenticazione Public XXX_pub_realm.
7. Dopo avere aggiornato ambedue le aree di autenticazione, fare clic su Invia.
8. Attendere che l'agente venga aggiornato o riavviare il server Web in cui si trova l'agente proxy.

Configurazione del parametro LogOffUrI di SiteMinder

Dopo aver aggiunto SiteMinder all'ambiente, la disconnessione in CA Identity Manager non ha alcun effetto. Per riabilitare questa funzionalità, aggiornare l'oggetto Configurazione agente (ACO) per l'agente sul proxy.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder. Fare clic sulla scheda Infrastruttura, Agenti, Expand Agent Configuration (Espandi configurazione agente), quindi fare clic su Modifica configurazione agente.
2. Individuare l'ACO. Individuare il parametro #LogoffUri. Fare clic sul pulsante di riproduzione (freccia verso destra) a sinistra del parametro.
3. Rimuovere il segno del cancelletto (#) dal nome nel campo Valore e immettere /idm/logout.jsp.
4. Fare clic su OK, quindi su Invia per aggiornare l'oggetto Configurazione agente.

   La volta successiva che l'agente recupera la propria configurazione dal Policy Server, la nuova impostazione viene propagata.

Risoluzione dei problemi

I seguenti argomenti descrivono gli errori comuni che possono verificarsi. Dove possibile, all'errore è stata associata una soluzione per fornire assistenza durante l'integrazione.

DLL Windows mancante

Sintomo:

DLL Windows mancante (MSVCP71.dll)

È stato rilevato che dopo che l'abilitazione della connessione di SiteMinder, JBoss ha generato un errore java relativo a un DLL mancante (MSVCP71.dll).

Nota: questo errore potrebbe non essere visualizzato se JBoss è in esecuzione come servizio. Se possibile, verificare la propria configurazione senza che JBoss sia in esecuzione come servizio.

Soluzione:

Procedere come descritto di seguito:

1. Individuare MSVCP71.dll sul Policy Server di SiteMinder, se in esecuzione su Windows.
2. Copiare questo DLL (MSVCP71.dll) nella cartella \Windows\system32.
3. Dopo avere collocato questo file nella posizione corretta, registrarlo nel sistema operativo.
4. Da una finestra di comando, eseguire il comando regsvr32. Se il file è stato caricato, il problema dovrebbe essere risolto.
5. Riavviare il server applicazioni.

Posizione del Policy Server di SiteMinder errata

Sintomo:

Posizione del Policy Server di SiteMinder errata.

Soluzione:

Nel file ra.xml si fa riferimento a una posizione errata e viene visualizzato il messaggio di errore "Cannot connect to policy server: xxx" (Impossibile connettersi al Policy Server: xxx).

Procedere come descritto di seguito:

1. Verificare il nome host fornito in ra.xml.

   

2. Nella proprietà ConnectionURL, specificare il nome host del Policy Server di SiteMinder. Utilizzare un FQN (nome completo).

Nome amministratore errato

Sintomo:

Nome amministratore errato

Soluzione:

Nel file ra.xml si fa riferimento a un amministratore errato e viene visualizzato il messaggio di errore "Unknown administrator" (Amministratore sconosciuto).

Procedere come descritto di seguito:

1. Controllare la proprietà UserName in ra.xml.

   

2. Nella proprietà UserName, specificare l'account utilizzato per comunicare con CA SiteMinder. Ad esempio, utilizzare l'account di SiteMinder (valore predefinito).

Segreto amministratore errato

Sintomo:

Segreto amministratore errato

Soluzione:

Nel file ra.xml viene utilizzato un segreto amministratore errato e viene visualizzato il messaggio di errore "Cannot connect to the policy server: Invalid credentials" (Impossibile connettersi al Policy Server: credenziali non valide).

Procedere come descritto di seguito:

1. Controllare la proprietà AdminSecret in ra.xml.

   

2. Nella proprietà AdminSecret, specificare la password crittografata per il nome utente a cui si fa riferimento nella proprietà UserName.

Ulteriori informazioni:

Modifica di una password o di un segreto condiviso di SiteMinder

Nome agente errato

Sintomo:

Nome agente errato

Soluzione:

Nel file ra.xml viene utilizzato un nome agente errato e viene visualizzato il messaggio di errore "Cannot connect to the policy server: Failed to init Agent API: -1" (Impossibile connettersi al Policy Server: impossibile inizializzare l'API agente: -1).

Procedere come descritto di seguito:

1. Controllare la proprietà AgentName in ra.xml.

   

2. Specificare il nome dell'Agente 4.X creato durante la terza fase delle configurazioni di SiteMinder.

Segreto agente errato

Sintomo:

Segreto agente errato

Soluzione:

Nel file ra.xml viene utilizzato un segreto agente errato e viene visualizzato il messaggio di errore "Cannot connect to the policy server: Failed to init Agent API: -1" (Impossibile connettersi al Policy Server; impossibile inizializzare l'API agente: -1) con un errore del gestore crittografia precedente.

Procedere come descritto di seguito:

1. Controllare la proprietà AgentSecret in ra.xml.

   

2. Specificare la password crittografata utilizzata durante la creazione di quell'agente.

Ulteriori informazioni:

Modifica di una password o di un segreto condiviso di SiteMinder

Nessun contesto utente in CA Identity Manager

Sintomo:

Nessun contesto utente in CA Identity Manager.

Se un utente prova ad accedere a CA Identity Manager senza un cookie SMSESSION, CA Identity Manager non può autenticare l'utente. In questo caso, è possibile attendersi un'interfaccia utente CA Identity Manager vuota.

Se il flusso di lavoro è abilitato per l'ambiente in uso, verrà visualizzato un errore simile a questo.

Soluzione:

Questo errore può essere causato da alcune situazioni, ma di solito è una delle seguenti:

• È stato eseguito un accesso diretto a CA Identity Manager.
• L'agente di SiteMinder nel proxy viene disabilitato (ovvero, nessun elemento è protetto e il cookie SMSESSION non viene creato).
• Il dominio di SiteMinder per l'ambiente di CA Identity Manager non è configurato correttamente.

Le prime due cause sono piuttosto semplici. Assicurarsi di essere instradati attraverso il server Web con l'agente Web completo abilitato. Tuttavia, se si sta passando attraverso il server Web e l'agente è abilitato, è necessario modificare il dominio.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder.
2. Individuare il dominio di CA Identity Manager in uso e fare clic sui livelli per modificarlo. Fare clic sulla scheda Area autenticazione, quindi sulla prima area di autenticazione nell'elenco.
3. La posizione predefinita della barra è sotto l'area di autenticazione. Eliminarla.
4. Fare clic sulla regola in questa area di autenticazione.

   La risorsa effettiva predefinita per la regola è un asterisco "*".

5. Aggiungere la barra "/" prima dell'asterisco.

   La barra è stata spostata dall'area di autenticazione alla regola. La protezione è la stessa, ma in SiteMinder viene considerata in maniera diversa.

   Ora è possibile eseguire correttamente l'accesso a CA Identity Manager attraverso SiteMinder. Per convalidare la protezione adeguata, rivedere i registri dell'agente di SiteMinder.

Errore durante il caricamento degli ambienti

Sintomo:

Durante la reimportazione dell'ambiente in CA Identity Manager dopo l'integrazione con SiteMinder, viene visualizzato un errore relativo all'attributo requireadminpassword e all'elemento WebService.

Nota: questo problema può verificarsi anche quando SiteMinder non fa parte della distribuzione.

Soluzione:

Questo errore consente la distribuzione parziale dell'ambiente. La distribuzione parziale può creare elementi vuoti nell'archivio oggetti di CA Identity Manager. Correggere uno degli XML dell'ambiente ed eseguire nuovamente l'importazione.

Procedere come descritto di seguito:

1. Individuare il file .zip archiviato ed esplorarlo.
2. Creare una copia del file XXX_environment_settings.xml.
3. Modificare questo file e individuare l'elemento WebService.
4. Eliminare il tag "requireadminpassword="false."

   Nota: rimuovere il tag e il valore, non soltanto il valore.

5. Salvare le modifiche e collocare il file nuovamente nel file .zip.
6. Reimportare il file .zip dell'ambiente archiviato.

   Non è necessario eliminare l'ambiente creato dal tentativo non riuscito. La nuova importazione di un file corretto corregge gli errori del tentativo non riuscito.