Integrazione di CA SiteMinder › Aggiornamento e importazione delle definizioni di ambiente › Installazione del plug-in proxy su WebLogic › IM_12.8--Configurazione del plug-in proxy Apache

IM_12.8--Configurazione del plug-in proxy Apache

La configurazione del plug-in proxy di Apache richiede la modifica del file http.conf.

Procedere come descritto di seguito:

1. Arrestare il server Web di Apache dopo avere installato un agente Web su Solaris e copiare il file mod_wl_20.so dalla posizione seguente:

   weblogic_home/server/lib/solaris

   nella posizione

   apache_home/modules

2. Modificare il file http.conf (che si trova in apache_home/conf) e apportarvi le seguenti modifiche:
   1. Nella sezione load-module, aggiungere il seguente codice:

      LoadModule weblogic_module modules/mod_wl_20.so
      

   2. Modificare il nome server con il nome del sistema server di Apache.
   3. Aggiungere un blocco If alla fine del file nel seguente modo:

      <IfModule mod_weblogic.c>
        WebLogicHost weblogic_server.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. Salvare il file http.conf.
4. Riavviare il server Web Apache.

Associazione dell'agente di SiteMinder a un dominio di CA IdentityMinder

L'amministratore dei criteri esegue questa attività dopo avere completato le attività di CA IdentityMinder. Durante il caricamento degli ambienti in CA IdentityMinder, fare riferimento all'agente 4.X. SiteMinder utilizza quell'agente durante la creazione di dominio/area di autenticazione nel Policy Server di SiteMinder. Questo agente convalida i cookie SMSESSION. Aggiornare il dominio o l'area di autenticazione e fare riferimento all'agente funzionante nel server Web utilizzato per accedere a CA IdentityMinder. Questo server Web funge da punto di accesso a CA IdentityMinder e crea i cookie SMSESSION.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder.
2. Accedere a Criteri, Domini.
3. Modificare il dominio per l'ambiente.
4. Nella scheda Aree di autenticazione, modificare la prima area di autenticazione elencata: XXX_ims_realm.
5. Cercare e selezionare l'agente nel proxy.

   Nota: Se non si dispone di un agente proxy (agente del server Web), crearne uno. Verificare di disporre di un server Web e un proxy per CA IdentityMinder.

6. Fare clic su OK due volte, quindi ripetere questo processo per l'area di autenticazione Public XXX_pub_realm.
7. Dopo avere aggiornato ambedue le aree di autenticazione, fare clic su Invia.
8. Attendere che l'agente venga aggiornato o riavviare il server Web in cui si trova l'agente proxy.

Configurazione del parametro LogOffUrI di SiteMinder

Dopo aver aggiunto SiteMinder all'ambiente, la disconnessione in CA IdentityMinder non ha alcun effetto. Per riabilitare questa funzionalità, aggiornare l'oggetto Configurazione agente (ACO) per l'agente sul proxy.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder. Fare clic sulla scheda Infrastruttura, Agenti, Expand Agent Configuration (Espandi configurazione agente), quindi fare clic su Modifica configurazione agente.
2. Individuare l'ACO. Individuare il parametro #LogoffUri. Fare clic sul pulsante di riproduzione (freccia verso destra) a sinistra del parametro.
3. Rimuovere il segno del cancelletto (#) dal nome nel campo Valore e immettere /idm/logout.jsp.
4. Fare clic su OK, quindi su Invia per aggiornare l'oggetto Configurazione agente.

   La volta successiva che l'agente recupera la propria configurazione dal Policy Server, la nuova impostazione viene propagata.

Risoluzione dei problemi

I seguenti argomenti descrivono gli errori comuni che possono verificarsi. Dove possibile, all'errore è stata associata una soluzione per fornire assistenza durante l'integrazione.

DLL Windows mancante

Sintomo:

DLL Windows mancante (MSVCP71.dll)

È stato rilevato che dopo che l'abilitazione della connessione di SiteMinder, JBoss ha generato un errore java relativo a un DLL mancante (MSVCP71.dll).

Nota: questo errore potrebbe non essere visualizzato se JBoss è in esecuzione come servizio. Se possibile, verificare la propria configurazione senza che JBoss sia in esecuzione come servizio.

Soluzione:

Procedere come descritto di seguito:

1. Individuare MSVCP71.dll sul Policy Server di SiteMinder, se in esecuzione su Windows.
2. Copiare questo DLL (MSVCP71.dll) nella cartella \Windows\system32.
3. Dopo avere collocato questo file nella posizione corretta, registrarlo nel sistema operativo.
4. Da una finestra di comando, eseguire il comando regsvr32. Se il file è stato caricato, il problema dovrebbe essere risolto.
5. Riavviare il server applicazioni.

Posizione del Policy Server di SiteMinder errata

Sintomo:

Posizione del Policy Server di SiteMinder errata.

Soluzione:

Nel file ra.xml si fa riferimento a una posizione errata, pertanto viene visualizzato l'errore "Impossibile connettersi al Policy Server: xxx", così come illustrato nella seguente schermata:

Procedere come descritto di seguito:

1. Verificare il nome host fornito in ra.xml.

   

2. Nella proprietà ConnectionURL, specificare il nome host del Policy Server di SiteMinder. Utilizzare un FQN (nome completo).

Nome amministratore errato

Sintomo:

Nome amministratore errato

Soluzione:

Nel file ra.xml si fa riferimento a un amministratore errato, pertanto viene visualizzato l'errore "Amministratore sconosciuto", così come illustrato nella seguente schermata:

Procedere come descritto di seguito:

1. Controllare la proprietà UserName in ra.xml.

   

2. Nella proprietà UserName, specificare l'account utilizzato per comunicare con CA SiteMinder. Ad esempio, utilizzare l'account di SiteMinder (valore predefinito).

Segreto amministratore errato

Sintomo:

Segreto amministratore errato

Soluzione:

Nel file ra.xml viene utilizzato un segreto di amministratore errato, pertanto viene visualizzato l'errore "Impossibile connettersi al Policy Server: credenziali non valide", così come illustrato nella seguente schermata:

Procedere come descritto di seguito:

1. Controllare la proprietà AdminSecret in ra.xml.

   

2. Nella proprietà AdminSecret, specificare la password crittografata per il nome utente a cui si fa riferimento nella proprietà UserName.

Ulteriori informazioni:

Modifica di una password o di un segreto condiviso di SiteMinder

Nome agente errato

Sintomo:

Nome agente errato

Soluzione:

Nel file ra.xml viene utilizzato un nome agente errato, pertanto viene visualizzato l'errore "Impossibile connettersi al Policy Server: impossibile inizializzare l'API agente: -1", così come illustrato nella seguente schermata:

Procedere come descritto di seguito:

1. Controllare la proprietà AgentName in ra.xml.

   

2. Specificare il nome dell'Agente 4.X creato durante la terza fase delle configurazioni di SiteMinder.

Segreto agente errato

Sintomo:

Segreto agente errato

Soluzione:

In ra.xml viene utilizzato un segreto agente errato, pertanto viene visualizzato l'errore "Impossibile connettersi al Policy Server: impossibile inizializzare l'API agente: -1 con un errore del gestore crittografia precedente", così come illustrato nella seguente schermata:

Procedere come descritto di seguito:

1. Controllare la proprietà AgentSecret in ra.xml.

   

2. Specificare la password crittografata utilizzata durante la creazione di quell'agente.

Ulteriori informazioni:

Modifica di una password o di un segreto condiviso di SiteMinder

Nessun contesto utente in CA IdentityMinder

Sintomo:

Nessun contesto utente in CA IdentityMinder.

Se un utente prova ad accedere a CA IdentityMinder senza un cookie SMSESSION, CA IdentityMinder non può autenticare l'utente. In questo caso, è possibile attendersi un'interfaccia utente CA IdentityMinder vuota.

Se il flusso di lavoro è abilitato per l'ambiente in uso, verrà visualizzato un errore simile a questo.

Soluzione:

Questo errore può essere causato da alcune situazioni, ma di solito è una delle seguenti:

• È stato eseguito un accesso diretto a CA IdentityMinder.
• L'agente di SiteMinder nel proxy viene disabilitato (ovvero, nessun elemento è protetto e il cookie SMSESSION non viene creato).
• Il dominio di SiteMinder per l'ambiente di CA IdentityMinder non è configurato correttamente.

Le prime due cause sono piuttosto semplici. Assicurarsi di essere instradati attraverso il server Web con l'agente Web completo abilitato. Tuttavia, se si sta passando attraverso il server Web e l'agente è abilitato, è necessario modificare il dominio.

Procedere come descritto di seguito:

1. Accedere all'interfaccia di amministrazione di SiteMinder.
2. Individuare il dominio di CA IdentityMinder in uso e fare clic sui livelli per modificarlo. Fare clic sulla scheda Area autenticazione, quindi sulla prima area di autenticazione nell'elenco.
3. La posizione predefinita della barra è sotto l'area di autenticazione. Eliminarla.
4. Fare clic sulla regola in questa area di autenticazione.

   La risorsa effettiva predefinita per la regola è un asterisco "*".

5. Aggiungere la barra "/" prima dell'asterisco.

   La barra è stata spostata dall'area di autenticazione alla regola. La protezione è la stessa, ma in SiteMinder viene considerata in maniera diversa.

   Ora è possibile eseguire correttamente l'accesso a CA IdentityMinder attraverso SiteMinder. Per convalidare la protezione adeguata, rivedere i registri dell'agente di SiteMinder.

Errore durante il caricamento degli ambienti

Sintomo:

Durante la reimportazione dell'ambiente in CA IdentityMinder dopo l'integrazione con SiteMinder, viene visualizzato un errore relativo all'attributo requireadminpassword e all'elemento WebService.

Nota: questo problema può verificarsi anche quando SiteMinder non fa parte della distribuzione.

Soluzione:

Questo errore consente la distribuzione parziale dell'ambiente. La distribuzione parziale può creare elementi vuoti nell'archivio oggetti di CA IdentityMinder. Correggere uno degli XML dell'ambiente ed eseguire nuovamente l'importazione.

Procedere come descritto di seguito:

1. Individuare il file .zip archiviato ed esplorarlo.
2. Creare una copia del file XXX_environment_settings.xml.
3. Modificare questo file e individuare l'elemento WebService.
4. Eliminare il tag "requireadminpassword="false."

   Nota: rimuovere il tag e il valore, non soltanto il valore.

5. Salvare le modifiche e collocare il file nuovamente nel file .zip.
6. Reimportare il file .zip dell'ambiente archiviato.

   Non è necessario eliminare l'ambiente creato dal tentativo non riuscito. La nuova importazione di un file corretto corregge gli errori del tentativo non riuscito.