Intégration avec SiteMinder › Mise à jour et importation des définitions d'environnement › Installation du module d'extension de proxy sur WebLogic › Configuration du module d'extension de proxy Apache

Configuration du module d'extension de proxy Apache

La configuration du module d'extension de proxy Apache requiert la modification du fichier http.conf.

Procédez comme suit:

1. Arrêtez le serveur Web Apache après avoir installé un agent Web sur Solaris et copiez le fichier mod_wl_20.so de l'emplacement suivant :

   répertoire_installation_weblogic/server/lib/solaris

   vers

   répertoire_installation_apache/modules

2. Modifiez le fichier http.conf situé dans répertoire_installation_apache/conf et apportez les modifications suivantes :
   1. Dans la section du module de chargement, ajoutez le code suivant :

      LoadModule weblogic_module     modules/mod_wl_20.so
      

   2. Modifiez le nom de serveur avec le nom du système de serveur Apache.
   3. Ajoutez un bloc If à la fin du fichier comme suit :

      <IfModule mod_weblogic.c>
        WebLogicHost serveur_weblogic.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. Enregistrez le fichier http.conf.
4. Redémarrez le serveur Web Apache.

Association de l'agent SiteMinder à un domaine CA IdentityMinder

L'administrateur de stratégie associe l'agent SiteMinder à un domaine CA IdentityMinder après avoir effectué les tâches CA IdentityMinder. Lors du chargement des environnements dans CA IdentityMinder, référencez l'agent 4.X. SiteMinder utilise cet agent lors de la création du domaine sur le serveur de stratégies SiteMinder. Cet agent valide les cookies SMSESSION. Mettez à jour le domaine et référencez l'agent qui se trouve sur le serveur Web dans son intégralité pour accéder à CA IdentityMinder. Ce serveur Web est le point d'accès à CA IdentityMinder qui permet de créer des cookies SMSESSION.

Procédez comme suit:

1. Connectez-vous à l'interface d'administration SiteMinder.
2. Accédez à Stratégies, Domaines.
3. Modifiez le domaine pour votre environnement.
4. Dans l'onglet Domaines d'authentification, modifiez le premier domaine d'authentification répertorié : XXX_ims_realm.
5. Recherchez et sélectionnez l'agent sur votre proxy.

   Remarque : Si aucun agent proxy (agent de serveur Web) n'existe, créez-en un. Vérifiez qu'un serveur Web et un proxy sont bien placés avant CA IdentityMinder.

6. Cliquez sur OK deux fois, puis répétez ce processus pour le domaine public XXX_pub_realm.
7. Après avoir mis à jour les deux domaines, cliquez sur Soumettre.
8. Patientez jusqu'à la fin de l'actualisation de l'agent ou redémarrez le serveur Web sur lequel se trouve l'agent proxy.

Configuration du paramètre LogOffUrI de SiteMinder

Après avoir ajouté SiteMinder à l'environnement, le paramètre logoff de CA IdentityMinder ne sert plus à rien. Pour réactiver cette fonctionnalité, mettez à jour l'objet de configuration de l'agent sur le proxy.

Procédez comme suit:

1. Connectez-vous à l'interface d'administration SiteMinder. Cliquez sur l'onglet Infrastructure, Agents, développez la configuration d'agent, puis cliquez sur Modifier la configuration d'agent.
2. Recherchez l'objet de configuration d'agent, puis le paramètre #LogoffUri. Cliquez sur le bouton de lecture (flèche pointant vers la droite) à gauche de ce paramètre.
3. Supprimez le dièse du nom dans le champ Valeur et entrez /idm/logout.jsp.
4. Cliquez sur OK, puis sur Soumettre pour mettre à jour l'objet de configuration d'agent.

   Lorsque l'agent récupère sa configuration à partir du serveur de stratégies la fois suivante, le nouveau paramètre est propagé.

Dépannage

Les rubriques suivantes décrivent les erreurs communes susceptibles de se produire. Lorsque cela est possible, une solution a été associée avec l'erreur afin de vous aider à dépanner votre intégration.

Fichiers DLL Windows manquants

Symptôme :

Fichiers DLL Windows manquants (MSVCP71.dll)

JBoss peut renvoyer une erreur Java après l'activation de la connexion SiteMinder indiquant que la bibliothèque MSVCP71.dll est manquante.

Remarque : Cette erreur peut ne pas s'afficher si JBoss est exécuté en tant que service. Si vous le pouvez, testez la configuration sans exécuter JBoss en tant que service.

Solution :

Procédez comme suit:

1. Recherchez la bibliothèque MSVCP71.dll sur le serveur de stratégies SiteMinder, s'il est exécuté sur Windows.
2. Copiez le fichier MSVCP71.dll dans le dossier \Windows\system32.
3. Une fois que vous avez placé ce fichier dans l'emplacement correct, enregistrez-le dans le système d'exploitation.
4. Pour cela, ouvrez la fenêtre de commande et exécutez la commande regsvr32. Une fois que le fichier est chargé, l'erreur devrait être résolue.
5. Redémarrez le serveur d'applications.

Emplacement incorrect du serveur de stratégies SiteMinder

Symptôme :

L'emplacement du serveur de stratégies SiteMinder est incorrect.

Solution :

Un emplacement incorrect est référencé dans le fichier ra.xml et l'erreur Cannot connect to policy server: xxx (Impossible de se connecter au serveur de stratégies : xxx) s'affiche, comme dans l'illustration suivante :

Procédez comme suit:

1. Vérifiez le nom d'hôte spécifié dans le fichier ra.xml.

   

2. Dans la propriété ConnectionURL, spécifiez le nom d'hôte du serveur de stratégies SiteMinder. Utilisez un nom complet.

Nom d'administrateur incorrect

Symptôme :

Le nom de l'administrateur est incorrect.

Solution :

Un administrateur incorrect est référencé dans le fichier ra.xml et l'erreur Unknown administrator (Administrateur inconnu) s'affiche comme dans l'illustration suivante :

Procédez comme suit:

1. Vérifiez la propriété UserName dans le fichier ra.xml.

   

2. Dans la propriété UserName, spécifiez le compte utilisé pour les communications avec SiteMinder. Par exemple, utilisez le compte SiteMinder (valeur par défaut).

Secret d'administrateur incorrect

Symptôme :

Le secret d'administrateur est incorrect.

Solution :

Un secret d'administrateur incorrect est utilisé dans le fichier ra.xml et l'erreur Cannot connect to the policy server: Invalid credentials (Impossible de se connecter au serveur de stratégies : informations d'identification non valides) s'affiche, comme dans l'illustration suivante :

Procédez comme suit:

1. Vérifiez la propriété AdminSecret dans le fichier ra.xml.

   

2. Dans la propriété AdminSecret, spécifiez le mot de passe chiffré pour le nom d'utilisateur référencé dans la propriété UserName.

Informations complémentaires :

Modification d'un mot de passe ou d'un secret partagé SiteMinder

Nom d'agent incorrect

Symptôme :

Le nom de l'agent est incorrect.

Solution :

Un nom d'agent incorrect est utilisé dans le fichier ra.xml et l'erreur Cannot connect to the policy server: Failed to init Agent API: -1 (Impossible de se connecter au serveur de stratégies : échec de l'initialisation de l'API d'agent -1) s'affiche, comme dans l'illustration suivante :

Procédez comme suit:

1. Vérifiez la propriété AgentName dans le fichier ra.xml.

   

2. Spécifiez le nom d'agent 4.X que vous avez créé à la troisième étape des configurations SiteMinder.

Secret d'agent incorrect

Symptôme :

Le secret de l'agent est incorrect.

Solution :

Un secret d'agent incorrect est utilisé dans le fichier ra.xml et l'erreur Cannot connect to the policy server: Failed to init Agent API: -1 (Impossible de se connecter au serveur de stratégies : échec de l'initialisation de l'API d'agent -1) s'affiche après une erreur de gestionnaire de chiffrement, comme dans l'illustration suivante :

Procédez comme suit:

1. Vérifiez la propriété AgentSecret dans le fichier ra.xml.

   

2. Spécifiez le mot de passe chiffré qui a été utilisé lors de la création de l'agent.

Informations complémentaires :

Modification d'un mot de passe ou d'un secret partagé SiteMinder

Aucun contexte d'utilisateur dans CA IdentityMinder

Symptôme :

Il n'y a aucun contexte d'utilisateur dans CA IdentityMinder.

Si un utilisateur tente d'accéder à CA IdentityMinder sans cookie SMSESSION, CA IdentityMinder ne peut pas l'authentifier. Dans ce cas, l'interface utilisateur CA IdentityMinder sera vide.

Si les flux de travaux sont activés dans l'environnement, un échec se produira.

Solution :

Plusieurs facteurs peuvent être la cause de ce problème, mais habituellement, il s'agit de l'un des facteurs suivants :

• Vous avez accédé directement à CA IdentityMinder.
• L'agent SiteMinder du proxy est désactivé, c'est-à-dire qu'aucune protection n'est activée et que le cookie SMSESSION n'est pas créé.
• Le domaine SiteMinder de l'environnement CA IdentityMinder est configuré de manière incorrecte.

Les deux premières causes sont assez simples. Assurez-vous que les transactions sont routées vers le serveur Web et que l'agent Web soit activé et totalement fonctionnel. Si c'est déjà le cas, vous devez modifier le domaine.

Procédez comme suit:

1. Connectez-vous à l'interface d'administration SiteMinder.
2. Recherchez le domaine CA IdentityMinder et cliquez sur les couches pour le modifier. Cliquez sur l'onglet Domaine, puis sur le premier domaine de la liste.
3. L'emplacement par défaut de la barre oblique est sous le domaine. Supprimez-la.
4. Cliquez sur la règle sous ce domaine.

   La ressource en vigueur par défaut pour la règle est un astérisque (*).

5. Ajoutez la barre oblique en face de l'astérisque.

   Vous avez déplacé la barre oblique du domaine vers la règle. La protection est la même, mais SiteMinder la traite différemment.

   Vous pouvez vous connecter correctement à CA IdentityMinder via SiteMinder. Pour valider la protection appropriée, consultez les journaux de l'agent SiteMinder.

Erreur lors du chargement des environnements

Symptôme :

Lorsque vous importez un environnement dans CA IdentityMinder après avoir configuré l'intégration de SiteMinder, une erreur s'affiche pour l'attribut requireadminpassword et l'élément WebService.

Remarque : Ce problème peut également se produire lorsque SiteMinder n'est pas inclus dans le déploiement.

Solution :

Cette erreur permet un déploiement partiel de l'environnement. Le déploiement partiel peut créer des éléments vides dans le référentiel d'objets CA IdentityMinder. Corrigez l'un des fichiers XML de l'environnement et réimportez-le.

Procédez comme suit:

1. Recherchez le fichier ZIP archivé et ouvrez-le.
2. Créez une copie du fichier XXX_environment_settings.xml.
3. Modifiez ce fichier et recherchez l'élément WebService.
4. Supprimez la balise requireadminpassword="false".

   Remarque : Supprimez la balise et la valeur. Ne supprimez pas uniquement la valeur.

5. Enregistrez les modifications et placez le fichier dans le fichier ZIP à nouveau.
6. Réimportez le fichier ZIP d'environnement archivé.

   Ne supprimez pas l'environnement créé lors de l'échec du déploiement. Réimporter un fichier corrigé permet de corriger les erreurs rencontrées lors de l'échec du déploiement.