Integração do CA SiteMinder › Atualizar e importar as definições de ambiente › Instalar o plugin de proxy no WebLogic › IM_12.8--Configurar o plugin de proxy do Apache

IM_12.8--Configurar o plugin de proxy do Apache

A configuração do plugin de proxy do Apache exige o arquivo http.conf.

Siga estas etapas:

1. Pare o servidor web do Apache após a instalação de um Agente web no Solaris e copie o arquivo mod_wl_20.so do seguinte local:

   base_do_weblogic/server/lib/solaris

   em

   base_do_apache/modules

2. Edite o arquivo http.conf (localizado no base_do_apache/conf) e faça as seguintes alterações:
   1. Na seção Carregar o módulo, adicione o seguinte código:

      LoadModule weblogic_module     modules/mod_wl_20,so
      

   2. Edite o nome do servidor com o nome do sistema de servidor do Apache.
   3. Adicione um bloco If no fim do arquivo, como se segue:

      <IfModule mod_weblogic.c>
        WebLogicHost servidor_do_weblogic.com
        WebLogicPort 7001
        MatchExpression /iam
        MatchExpression /castylesr5.1.1
        MatchExpression /ca/Odata
      </IfModule>
      

3. Salve o arquivo http.conf.
4. Reinicie o servidor web do Apache.

Associar o agente do SiteMinder a um domínio do CA IdentityMinder

O administrador de políticas executa essa tarefa após a conclusão das tarefas do CA IdentityMinder. Ao carregar os ambientes no CA IdentityMinder, faça referência ao agente do 4.X. O SiteMinder usa esse agente ao criar o Domínio/Realm no Servidor de políticas do SiteMinder. Esse agente valida os cookies SMSESSION. Atualize o Domínio/Realm e faça referência ao agente em pleno funcionamento que está no servidor web que é usado para acessar o CA IdentityMinder. Este servidor web age como o ponto de acesso para o CA IdentityMinder e cria cookies SMSESSION.

Siga estas etapas:

1. Efetue logon na Interface de usuário administrativa do SiteMinder.
2. Vá para Políticas, Domínios.
3. Modifique o domínio para o seu ambiente.
4. Na guia Realms, edite o primeiro realm listado: XXX_ims_realm.
5. Procure e selecione o agente no seu proxy.

   Observação: se você não tiver um agente proxy (agente do servidor web), crie um. Verifique se você tem um servidor web e um proxy definidos para a frente do CA IdentityMinder.

6. Clique em OK duas vezes e repita esse processo para o realm Público território XXX_pub_realm.
7. Depois de atualizar ambos os realms, clique em Enviar.
8. Aguarde até que o agente seja atualizado ou reinicie o servidor web onde o agente proxy está localizado.

Configurar o parâmetro LogOffUrI do SiteMinder

Depois de adicionar o SiteMinder ao ambiente, o logoff no CA IdentityMinder não terá nenhum efeito. Para ativar novamente essa funcionalidade, atualize o ACO (Agent Configuration Object - objeto de configuração do agente) para o agente no proxy.

Siga estas etapas:

1. Efetue logon na Interface de usuário administrativa do SiteMinder. Clique na guia Infraestrutura, Agentes, Expandir configuração do agente e clique em Modificar configuração do agente.
2. Localize seu ACO. Localize o parâmetro #LogoffUri. Clique no botão de reprodução (seta apontando para a direita) à esquerda do parâmetro.
3. Remova o sinal de cerquilha (#) do nome no campo Valor e insira /idm/logout.jsp.
4. Clique em OK e em Enviar para atualizar o objeto de configuração do agente.

   Na próxima vez que o agente recuperar sua configuração do servidor de políticas, a nova configuração será propagada.

Solução de problemas

Os tópicos a seguir descrevem erros comuns que podem ocorrer. Onde foi possível, uma resolução foi emparelhada com o erro para ajudar você com sua integração.

DDL ausente do Windows

Sintoma:

DLL ausente do Windows (MSVCP71.dll)

Observamos que depois que a conexão do SiteMinder foi ativada, o JBoss lançou um erro java reclamando sobre uma DLL ausente (MSVCP71.dll).

Observação: esse erro poderá não aparecer se o JBoss estiver sendo executado como um serviço. Se possível, teste a configuração sem executar o JBoss como um serviço.

Solução:

Siga estas etapas:

1. Localize MSVCP71.dll no Servidor de políticas do SiteMinder, caso esteja em execução no Windows.
2. Copie essa DLL (MSVCP71.dll) na pasta \Windows\system32.
3. Depois de posicionar esse arquivo no local correto, registre-o no sistema operacional.
4. Em uma janela de comando, execute o comando regsvr32. Depois que o arquivo for carregado, o processo estará concluído.
5. Reinicie o servidor de aplicativos.

Local do Servidor de políticas do SiteMinder incorreto

Sintoma:

Local do Servidor de políticas do SiteMinder incorreto.

Solução:

Um local incorreto é apontado no ra.xml. O erro "Cannot connect to policy server: xxx" é exibido, conforme mostrado na tela a seguir:

Siga estas etapas:

1. Verifique o nome do host fornecido no ra.xml.

   

2. Na propriedade ConnectionURL, especifique o nome do host do Servidor de políticas do SiteMinder. Use um FQN (Fully Qualified Name - nome totalmente qualificado).

Nome de administrador incorreto

Sintoma:

Nome de administrador incorreto

Solução:

Um administrador incorreto é apontado no ra.xml. O erro "Unknown administrator" é exibido, conforme mostrado na tela a seguir:

Siga estas etapas:

1. Verifique a propriedade UserName no ra.xml.

   

2. Na propriedade UserName, especifique a conta usada para se comunicar com o CA SiteMinder. Por exemplo, use a conta do SiteMinder (valor padrão).

Segredo do administrador incorreto

Sintoma:

Segredo do administrador incorreto

Solução:

Um segredo de administrador incorreto é usado no ra.xml. O erro "Cannot connect to the policy server: Invalid credentials" é exibido, conforme mostrado na tela a seguir:

Siga estas etapas:

1. Verifique a propriedade AdminSecret no ra.xml.

   

2. Na propriedade AdminSecret, especifique a senha criptografada para o nome de usuário apontado na propriedade UserName.

Mais informações:

Modificar uma senha ou um shared secret do SiteMinder

Nome do agente incorreto

Sintoma:

Nome do agente incorreto

Solução:

Um nome de agente incorreto é usado no ra.xml. O erro "Cannot connect to the policy server: Failed to init Agent API: -1" é exibido, conforme mostrado na tela a seguir:

Siga estas etapas:

1. Verifique a propriedade AgentName no ra.xml.

   

2. Especifique o nome do agente 4.X que você criou durante a 3ª etapa das configurações do SiteMinder.

Segredo de agente incorreto

Sintoma:

Segredo de agente incorreto

Solução:

Um segredo de agente incorreto é usado no ra.xml. O erro "Cannot connect to the policy server: Failed to init Agent API: -1" é exibido com um erro de manipulador criptografado precedente, conforme mostrado na tela a seguir:

Siga estas etapas:

1. Verifique a propriedade AgentSecret no ra.xml.

   

2. Especifique a senha criptografada que foi usada durante a criação desse agente.

Mais informações:

Modificar uma senha ou um shared secret do SiteMinder

Nenhum contexto de usuário no CA IdentityMinder

Sintoma:

Nenhum contexto de usuário no CA IdentityMinder.

Se um usuário tentar acessar o CA IdentityMinder sem um cookie SMSESSION, o CA IdentityMinder não poderá autenticar o usuário. Nesse caso, você pode esperar para ver a interface de usuário do CA IdentityMinder em branco.

Se você tiver ativado o fluxo de trabalho para o seu ambiente, espere ver uma falha muito semelhantes a esta.

Solução:

Alguns itens podem causar esse problema, mas geralmente é um destes:

• Você acessou o CA IdentityMinder diretamente.
• O agente do SiteMinder no proxy está desativado (ou seja, nada será protegido - o cookie SMSESSION não está sendo criado).
• O domínio do SiteMinder para o ambiente do CA IdentityMinder foi configurado incorretamente.

As duas primeiras causas são bastante simples e diretas. Certifique-se de usar o servidor web com o agente web em pleno funcionamento ativado. Se, no entanto, você estiver examinando a o servidor web e o agente estiver ativado, será necessário modificar o Domínio.

Siga estas etapas:

1. Efetue logon na Interface de usuário administrativa do SiteMinder.
2. Localize o Domínio do CA IdentityMinder e clique nas camadas para modificá-lo. Clique na guia Realm e no primeiro realm da lista.
3. O local padrão da barra é sob o realm. Exclua-a.
4. Clique na Regra sob este Realm.

   O recurso eficaz padrão para a regra é um asterisco "*".

5. Adicione a barra "/" na frente do asterisco.

   Você moveu a barra do realm para a regra. A proteção é a mesma, mas o SiteMinder a trata de forma diferente.

   É possível efetuar logon com êxito no CA IdentityMinder usando o SiteMinder. Para validar a proteção adequada, examine os logs do agente do SiteMinder.

Erro ao carregar ambientes

Sintoma:

Ao importar um ambiente de volta no CA IdentityMinder após a integração com o SiteMinder, será exibido um erro sobre o atributo "requireadminpassword" e o elemento "WebService".

Observação: esse problema também pode ocorrer quando o SiteMinder não fizer parte da implantação.

Solução:

Esse erro permite a implantação parcial do ambiente. A implantação parcial pode criar elementos vazios no repositório de objetos do CA IdentityMinder. Corrija um dos XMLs do ambiente e reimporte.

Siga estas etapas:

1. Localize o arquivo ZIP arquivado e explore-o.
2. Crie uma cópia do XXX_environment_settings.xml.
3. Edite esse arquivo e localize o elemento "WebService".
4. Exclua a tag "requireadminpassword="false".

   Observação: remova a tag e o valor. Não remova apenas o valor.

5. Salve as alterações e coloque o arquivo de volta no arquivo ZIP.
6. Reimporte o arquivo zip arquivado do ambiente.

   Você não deve excluir o ambiente que foi criado na tentativa que falhou. Reimportar um arquivo corrigido elimina os erros da tentativa que falhou.