Integration von CA SiteMinder › Aktualisieren und Importieren von Umgebungsdefinitionen › Installieren des Proxy-Plug-ins auf WebLogic › Konfigurieren des Proxy-Plug-ins für Apache

Konfigurieren des Proxy-Plug-ins für Apache

Das Konfigurieren des Apache-Proxy-Plug-ins bearbeiten Sie die Datei "http.conf".

Gehen Sie wie folgt vor:

1. Halten Sie den Apache-Webserver an, nachdem Sie einen Web-Agenten unter Solaris installiert haben, und kopieren Sie die Datei "mod_wl_20.so" vom folgenden Speicherort:

   weblogic_home/server/lib/solaris

   in

   apache_home/modules

2. Bearbeiten Sie die Datei "http.conf" (unter apache_home/conf), und nehmen Sie die folgenden Änderungen vor:
   1. Fügen Sie unter dem Lademodulabschnitt den folgenden Code hinzu:

      LoadModule weblogic_module     modules/mod_wl_20.so
      

   2. Bearbeiten Sie den Servernamen mit dem Namen des Apache-Serversystems.
   3. Fügen Sie einen If-Block am Ende der Datei hinzu, wie folgt:

      <IfModule mod_weblogic.c>
        WebLogicHost weblogic_server.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
      </IfModule>
      

3. Speichern Sie die Datei "http.conf".
4. Starten Sie den Apache-Webserver neu.

Ordnen Sie den SiteMinder-Agenten einer CA IdentityMinder-Domäne zu

Der Richtlinienadministrator führt diese Aufgabe aus, nachdem er die CA IdentityMinder-Aufgaben abgeschlossen hat. Während Sie Ihre Umgebungen in CA IdentityMinder laden, verweisen Sie auf den 4.X-Agenten. SiteMinder verwendet diesen Agenten, wenn er die Domäne bzw. den Bereich auf dem SiteMinder-Richtlinienserver erstellt. Dieser Agent validiert SMSESSION-Cookies. Aktualisieren Sie die Domäne bzw. den Bereich, und verweisen Sie auf den voll funktionsfähigen Agenten, der sich auf dem Webserver befindet und verwendet wird, um auf CA IdentityMinder zuzugreifen. Dieser Webserver handelt als Zugriffspunkt für CA IdentityMinder und erstellt SMSESSION-Cookies.

Gehen Sie wie folgt vor:

1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an.
2. Navigieren Sie zu "Richtlinien", "Domänen".
3. Ändern Sie die Domäne für Ihre Umgebung.
4. Bearbeiten Sie auf der Registerkarte "Bereiche" den ersten aufgelisteten Bereich: XXX_ims_realm.
5. Suchen Sie und wählen Sie den Agenten auf Ihrem Proxy aus.

   Hinweis: Wenn Sie keinen Proxy-Agenten (Webserver-Agent) haben, erstellen Sie einen. Überprüfen Sie, dass Sie einen Webserver und einen Proxy an Ort und Stelle vor CA IdentityMinder haben.

6. Klicken Sie zweimal auf "OK" und wiederholen Sie dann diesen Prozess für den öffentlichen Bereich "XXX_pub_realm".
7. Nachdem Sie beide Bereiche aktualisiert haben, klicken Sie auf "Senden".
8. Warten Sie auf die Aktualisierung des Agenten, oder starten Sie den Webserver neu, wo sich der Proxy-Agent befindet.

Konfigurieren des SiteMinder-Parameters "LogOffUrI"

Nachdem Sie SiteMinder zur Umgebung hinzugefügt haben, bewirkt das Abmelden in CA IdentityMinder eigentlich nichts. Um diese Funktionalität wieder zu aktivieren, aktualisieren Sie das Agent-Konfigurationsobjekt (ACO) für den Agenten auf dem Proxy.

Gehen Sie wie folgt vor:

1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an. Klicken Sie auf die Registerkarte "Infrastruktur", erweitern Sie "Agent-Konfiguration", und klicken Sie dann auf "Agent-Konfiguration ändern".
2. Suchen Sie Ihr ACO. Suchen Sie den Parameter "#LogoffUri". Klicken Sie auf die Wiedergabeschaltfläche (nach rechts gerichteter Pfeil) links von diesem Parameter.
3. Entfernen Sie das Rautenzeichen (#) aus dem Namen im Feld "Wert", und geben Sie "/idm/logout.jsp" ein.
4. Klicken Sie auf "OK" und dann "Senden", um das Agent-Konfigurationsobjekt zu aktualisieren.

   Wenn der Agent das nächste Mal seine Konfiguration aus dem Richtlinienserver abruft, wird die neue Einstellung übertragen.

Fehlerbehebung

Die folgenden Themen beschreiben häufige Fehler, die auftreten können. Wo eine Behebung möglich ist, wurde diese zusammen mit dem Fehler angegeben, um Ihnen bei der Integration zu helfen.

Fehlende Windows-DLL

Symptom:

Fehlende Windows-DLL (MSVCP71.dll)

Wir haben festgestellt, dass JBoss nach der Aktivierung der SiteMinder-Verbindung einen Java-Fehler über eine fehlende DLL auslöst (MSVCP71.dll).

Hinweis: Dieser Fehler wird möglicherweise nicht angezeigt, wenn JBoss als Dienst ausgeführt wird. Wenn möglich, testen Sie Ihre Konfiguration, ohne JBoss als Dienst auszuführen.

Lösung:

Gehen Sie wie folgt vor:

1. Suchen Sie MSVCP71.dll auf dem SiteMinder-Richtlinienserver, wenn es unter Windows läuft.
2. Kopieren Sie diese DLL (MSVCP71.dll) in den Ordner "\Windows\system32".
3. Nachdem Sie diese Datei am richtigen Speicherort platziert haben, registrieren Sie sie beim BS.
4. Führen Sie von einem Befehlsfenster den regsvr32-Befehl aus. Solange die Datei geladen ist, sollte alles in Ordnung sein.
5. Starten Sie den Anwendungsserver neu.

Falscher SiteMinder-Richtlinienserver-Speicherort

Symptom:

Falscher SiteMinder-Richtlinienserver-Speicherort.

Lösung:

Wird ein falscher Speicherort angegeben, wird in "ra.xml" der Fehler "Cannot connect to policy server: xxx" in der folgenden Abbildung dargestellt angezeigt:

Gehen Sie wie folgt vor:

1. Überprüfen Sie den in "ra.xml" angegebenen Hostnamen.

   

2. Geben Sie in der Eigenschaft "ConnectionURL" Ihren SiteMinder-Richtlinienserver-Hostnamen an. Verwenden Sie einen voll qualifizierten Namen (FQN).

Falscher Admin-Name

Symptom:

Falscher Admin-Name

Lösung:

Wird ein falscher Admin angegeben, wird in "ra.xml" der Fehler "Unknown administrator" wie in der folgenden Abbildung dargestellt angezeigt:

Gehen Sie wie folgt vor:

1. Überprüfen Sie die Eigenschaft "UserName" in "ra.xml".

   

2. Geben Sie in der Eigenschaft "UserName" das Konto an, das verwendet wird, um mit CA SiteMinder zu kommunizieren. Verwenden Sie zum Beispiel das SiteMinder-Konto (Standardwert).

Falscher geheimer Admin-Schlüssel

Symptom:

Falscher geheimer Admin-Schlüssel

Lösung:

Wird ein falscher geheimer Admin-Schlüssel angegeben, wird in "ra.xml" der Fehler über ungültige Anmeldeinformationen "Cannot connect to policy server: Invalid credentials" wie in der folgenden Abbildung dargestellt angezeigt:

Gehen Sie wie folgt vor:

1. Überprüfen Sie die Eigenschaft "AdminSecret" in "ra.xml".

   

2. Geben Sie in der Eigenschaft "AdminSecret" das verschlüsselte Kennwort für den in der UserName-Eigenschaft verwendeten Benutzernamen an.

Weitere Informationen:

Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels

Falscher Agentenname

Symptom:

Falscher Agentenname

Lösung:

Wird ein falscher Agentenname angegeben, wird in "ra.xml" der Initialisierungsfehler "Cannot connect to policy server: Failed to init Agent API: -1" wie in der folgenden Abbildung dargestellt angezeigt:

Gehen Sie wie folgt vor:

1. Überprüfen Sie die Eigenschaft "AgentName" in "ra.xml".

   

2. Geben Sie den 4.X-Agentennamen an, den Sie während Schritt 3 der SiteMinder-Konfiguration erstellt haben.

Falscher geheimer Agentenschlüssel

Symptom:

Falscher geheimer Agentenschlüssel

Lösung:

Wird ein falscher geheimer Agentenschlüssel angegeben, wird in "ra.xml" der Initialisierungsfehler "Cannot connect to policy server: Failed to init Agent API: -1" mit einem vorangestellten Fehler des Verschlüsselungshandlers wie in der folgenden Abbildung dargestellt angezeigt:

Gehen Sie wie folgt vor:

1. Überprüfen Sie die Eigenschaft "AgentSecret" in "ra.xml".

   

2. Geben Sie das verschlüsselte Kennwort an, das verwendet wurde, als Sie diesen Agenten erstellt haben.

Weitere Informationen:

Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels

Kein Benutzerkontext in CA IdentityMinder

Symptom:

Kein Benutzerkontext in CA IdentityMinder

Wenn ein Benutzer versucht, auf CA IdentityMinder ohne einen SMSESSION-Cookie zuzugreifen, kann CA IdentityMinder den Benutzer nicht authentifizieren. In diesem Fall können Sie eine leere CA IdentityMinder-Benutzeroberfläche erwarten.

Wenn Sie den Workflow für Ihre Umgebung aktiviert haben, sehen Sie etwa folgenden Fehler.

Lösung:

Ein paar Dinge können dies verursachen, aber es ist üblicherweise eines des Folgenden:

• Sie haben direkt auf CA IdentityMinder zugegriffen.
• Der SiteMinder-Agent am Proxy ist deaktiviert (das heißt, nichts ist geschützt – der SMSESSION-Cookie wird nicht erstellt).
• Die SiteMinder-Domäne für die CA IdentityMinder-Umgebung ist falsch konfiguriert.

Die ersten beiden Ursachen sind ziemlich offensichtlich. Vergewissern Sie sich, dass Sie über den Webserver mit dem voll funktionsfähigen, aktivierten Web-Agenten umleiten. Wenn Sie allerdings über den Webserver gehen und der Agent aktiviert ist, müssen Sie die Domäne ändern.

Gehen Sie wie folgt vor:

1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an.
2. Finden Sie Ihre CA IdentityMinder-Domäne, und klicken Sie durch die Schichten, um sie zu ändern. Klicken Sie auf die Registerkarte "Bereich" und dann auf den ersten Bereich in der Liste.
3. Der Standardspeicherort des Schrägstrichs ist unter dem Bereich. Löschen Sie ihn.
4. Klicken Sie in die Regel unter diesem Bereich.

   Die standardmäßige Ressource für die Regel ist ein Sternchen "*".

5. Fügen Sie den Schrägstrich "/" vor dem Sternchen hinzu.

   Sie haben den Schrägstrich vom Bereich zur Regel verschoben. Der Schutz ist der gleiche, aber SiteMinder behandelt es anders.

   Sie können sich erfolgreich bei CA IdentityMinder durch SiteMinder anmelden. Um den ordnungsgemäßen Schutz zu validieren, überprüfen Sie Ihre SiteMinder-Agentenprotokolle.

Fehler beim Laden der Umgebungen

Symptom:

Wenn man eine Umgebung nach der Integration mit SiteMinder zurück in CA IdentityMinder importiert, wird ein Fehler bezüglich des Attributs "requireadminpassword" und des Elements "WebService" angezeigt.

Hinweis: Dieses Problem kann auch auftreten, wenn SiteMinder nicht Teil der Bereitstellung ist.

Lösung:

Dieser Fehler erlaubt eine teilweise Bereitstellung der Umgebung. Die teilweise Bereitstellung kann leere Elemente im CA IdentityMinder-Objektspeicher erstellen. Korrigieren Sie eine der Umgebungs-XMLs, und importieren Sie erneut.

Gehen Sie wie folgt vor:

1. Suchen Sie die archivierte ZIP-Datei, und überprüfen Sie sie.
2. Erstellen Sie eine Kopie von "XXX_environment_settings.xml".
3. Bearbeiten Sie diese Datei, und suchen Sie das "WebService"-Element.
4. Löschen Sie den Tag "requireadminpassword="false".

   Hinweis: Entfernen Sie den Tag und den Wert. Entfernen Sie nicht nur den Wert.

5. Speichern Sie Ihre Änderungen, und fügen Sie die Datei zurück in die ZIP-Datei ein.
6. Importieren Sie die archivierte Umgebungs-ZIP-Datei erneut.

   Sie müssen die Umgebung nicht löschen, die aus dem fehlgeschlagenen Versuch erstellt wurde. Beim erneuten Importieren behebt eine korrigierte Datei die Fehler des fehlgeschlagenen Versuchs.