7.身份管理与认证项目常见问题解答_V1.2.doc

中国石油天然气集团公司中国石油天然气集团公司 信息系统用户身份管理与认证项目信息系统用户身份管理与认证项目 用户常见问题解答用户常见问题解答 中国石油用中国石油用户户身份管理与身份管理与认证项认证项目目组组 2011 年年 7 月月 目目 录录 第第 1 章章名词解释名词解释 4 第第 2 章章用户常见问题解答用户常见问题解答 4 2 1 ESSO 登录异常问题 4 2 1 1 通用检查项 4 2 1 2 插入 key 没有弹出 PIN 码输入框 5 2 1 3 对于 vpn 用户登录的解决方法 6 2 1 4 双击 AA 打不开 AA 的登陆框 6 2 1 5 Windows 脚本编制主机或该主机已损坏 7 2 1 6 输入正确 pin 码 弹出意外错误 8 2 1 7 上次关机未拔出 USBKey 登入时出现空白页面 9 2 1 8 用户不能使用域名登录 9 2 1 9 Windows7 下 用户成功单点登录后 弹出 IAMkeymonitor 通信失败的提示10 2 1 10 登录时显示有多人的证书可供选择 检查 IE 是否缓存过其他证书 10 2 1 11 Win7 系统点击应用图标登录 ERP 后 菜单栏被遮挡 10 2 1 12 密码同步 11 2 2 自映射问题 12 2 2 1 自映射操作校验应用帐号和密码失败后 如何处理 12 2 2 2 用户自映射一个工作日后 登录身份认证平台 看不到已映射系统的图标 12 2 2 3 自映射应用系统校验用户名和密码成功后 还是不能单点登录应用系统 12 2 2 4 在已映射信息系统列表中显示邮件系统图标 点击出现提示页面 告知用户修 改密码 12 2 2 5 同一应用系统有两个帐号 已自映射成功其中一个 还有一个帐号如何处理13 2 2 6 用户通过 IAM 平台第一次访问应用系统前 是否需要进行自映射 13 2 3 PKI 相关问题 13 2 3 1 提示非本系统用户 无法登录 13 2 3 2 没有员工编号的人员制作证书 13 2 3 3 无法识别 USBKey 13 2 3 4 USBKey 丢失后如何处理 14 2 3 5 RA 系统管理员变更 如何操作 14 2 3 6 制做新证书失败 14 2 3 7 与捷德 KEY 冲突 14 2 3 8 与 IPAD 充电软件冲突 15 2 4 日常使用问题处理方法 15 2 4 1 请在出现 msxml6r dll 受 Windows 系统保护 的计算机上 15 尝试以下操作 15 2 4 2 ERP 系统口令不代填问题 15 2 4 3 安装补丁出现问题 16 2 4 4 登录 ERP 系统报错 17 2 4 5 输入 PIN 码登录 IAM 系统失败 17 第第 1 章章 名词解释名词解释 用户 普通用户 IAM 管理员用户 RA 管理员用户 SSO 单点登录 即一次认证后登录列表中所有应用系统 E SSO 身份管理与统一认证平台桌面单点登录软件 为 C S 模式 的应用系统提供单点登录服务 IAM 身份管理与统一认证平台 pc PKI 公钥基础设施 pc 8080 RA PKI 子系统 RA 代理点 为地区公司用户发放数字证书的虚拟机构 PIN 码 USBKey 密码 注 本文档主要用于描述普通用户登录出现的问题及解决方法 第第 2 章章 用户常见问题解答用户常见问题解答 2 1 ESSO 登录异常问题登录异常问题 2 1 1 通用检查项通用检查项 是否曾经成功登录过是否曾经成功登录过 成功登录过的用户 重点从 中国石油 USBKey 用户工具 包括 USBKey 驱 动和 IAM 控件 和 IE 设置等个人电脑相关方面排查问题 具体参考以下通 用检查项 未成功登录过的用户 根据用户反映的具体情况查找相应章节 检查是否已正确安装检查是否已正确安装 USBKeyUSBKey 工具和工具和 IAMIAM 控件 控件 检查用户桌面是否已出现两个宝石花图标 使用 中国石油 USBKey 用户工 具 中的 一键恢复 功能查看所有项是否正常 IAM 控件会在桌面生成一个快捷方式 即单点登录访问地址 pc 用户可在 开始菜单 中查看是否有 中国石油 USBKey 用户工具 文件夹 若包含 中国石油身份管理与认证平台客户端 V1 72 卸载 即表示安装成功 驱动是否为最新发布版本 驱动是否为最新发布版本 截至目前最新版本是 3 4 0 1 打开 中国石油 USBKey 用户工具 能看 到 工具版本 的版本号 检查检查 SmartSmart CardCard 服务服务 进入 控制面板 管理工具 服务 Smart Card 是否为启动状 态和自动启动类型 安装完成 USBKey 驱动后 在计算机服务中会有 Smart card 这个服务 装有 360 杀毒软件的电脑 360 里的开机加速 一键优化会将此服务禁掉 如果此服务被禁用 插入 USBkey 后将无法识别 浏览器相关设置 浏览器相关设置 将 IE 浏览器中 工具工具 Internet Internet 选项选项 连接连接 局域网设置局域网设置 勾选 跳过本地跳过本地 地址的代理服务器地址的代理服务器 将 IE 浏览器中 工具工具 Internet Internet 选项选项 连接连接 局域网设置局域网设置 代理服务器代理服务器 高级高级 不使用代理服务器不使用代理服务器 的例外中填写 10 cnpc 设置 Internet 安全性属性 工具工具 Internet Internet 选项选项 安全安全 本地本地 Intranet Intranet 站站 点点 高级高级 中添加 https pc 并且将 该区域的安全级别该区域的安全级别 调整为 中低 IE 8 工具工具 Internet Internet 选项选项 安全安全 本地本地 Intranet Intranet 中不能 勾选 启用保护模式 目前只支持 IE 浏览器 暂不支持火狐等其他浏览器 若不能解决 请联系技术人员并提交问题 提交具体问题时请告知管理员 用户姓名 员工编号 员工单位 并将问题截屏发送管理员邮箱 sfrz iam 与系统运维人员沟通针对问题的解决方案 2 1 2 插入插入 key 没有弹出 没有弹出 PIN 码输入框码输入框 故障现象 插入 key 后 没有自动弹出 PIN 码输入框 解决方法 1 检查操作系统是否为 XP SP2 如果是 XP SP2 需要先安装 WindowsXP KB909425 x86 CHS exe 补丁 2 检查网络连接 ping pc 是否能 ping 通 返回的 IP 应该是 10 27 140 187 3 检查主机名是否为中文 如果是中文 改为标准的英文机器名 4 检查计算机隶属于 域 还是 工作组 如果是隶属 域 请先修改 为隶属于 工作组 组名称只能是英文 最好改为 WORKGROUP 然后重启计 算机 5 如果问题还没有解决 卸载 AccessAgent 重启 windows 再重新安装 AccessAgent 2 1 3 对于对于 vpn 用户登录的解决方法 用户登录的解决方法 由于新 VPN 用户没有要求强制用 key 登录 即不插 key 也可以登录 所以请 和用户说明 开机后 请不要插 key 登录 vpn 之后再插 key 请注意处理过程 处理方法针对内网用户也有效 请用户登录 VPN 老 VPN 在任务栏会显示一个 A 新 VPN 在任务栏会显示 SVN 1 ping pc 确定是否可以返回 10 27 140 187 的正确地址 VPN 用户 ping 返回超时为正常情况 2 telnet pc 443 确定是否有权限访问身份认证系统 3 请用户拔 key 然后运行 5k3s 里面的 kill 5 bat 将 esso 所有进程和 服务都杀掉 4 删除 C Program Files Encentuate Cryptoboxes 里面的所有文件 5 将 all sync data xml rar 里面的两个 xml 文件替换到 C Program Files Encentuate 6 运行 start 3 bat 等待 esso 重启完毕 7 让用户重新插 key 尝试登录 至此 一般用户都可进行正常登录 若还有用户不弹 pin 请运行 Pinpop rar 里面的 pin pop reg 让他强行弹框 慎用 另外 在处理过程中 若用户是新 vpn 用户 请随时关注 VPN 是否超时 新 VPN 超时时间为 20 分钟左右 具体表现为 Ping pc 可 ping 通且返回的为外网地址 如果有些用户登录 vpn 之后 ping pc 返回的就是外网地址 请在命令行里运行 ipconfig flushdns 将 dns 清空再继续操作 若遇到 VPN 不能正常登录 请让他们直接拨打 84882903 联系 VPN 项目组 2 1 4 双击双击 AA 打不开打不开 AA 的登陆框的登陆框 操作步骤如下 我的电脑 管理 服务 找到如下两个服务 ObsService SOCIAccess 这两服务是否启动 没有启动右击服务启动即可 如果是手动请改成自动 2 1 5 Windows 脚本编制主机或该主机已损坏脚本编制主机或该主机已损坏 安装过程中出现如下错误 需要安装 Windows scripts 组件 系统补丁文件名称为 scripten exe 如果提示已经安装 不能重复安装的时候 需要手工注册相关 dll 和 ocx 文件 jscript dll vbscript dl scrrun dll scrobj dll wshext dll wsh con dll wshom ocx 如果用户的 windows 操作系统安装在 c windows 目录中 可以使用下面 的脚本进行 dll 文件的注册 scripten 注册dll bat 2 1 6 输入正确输入正确 pin 码码 弹出意外错误弹出意外错误 问题如下图 解决方法 1 请用户拔 key 然后运行 5k3s 里面的 kill 5 bat 将 esso 所有进程和 服务都杀掉 2 运行 start 3 bat 等待 esso 重启完毕 请用户插 key 登录 2 1 7 启动启动 Obsservice 服务后 计算机很慢服务后 计算机很慢 故障现象 启动 Obsservice 服务后 CPU 占用率很高 计算机响应速度非常慢 解决方法 检查是否安装了 Inter rapid storage technology 软件 如果已安装 请 在 控制面板 添加删除程序 中卸载这个软件 然后重启 Obsservice 服 务 或者重启计算机 2 1 8 上次关机未拔出上次关机未拔出 USBKey 登入时出现空白页面 登入时出现空白页面 答 告知用户拔出 USBKey 关闭默认的浏览器 然后重新插入 USBKey 再打开 统一身份管理与认证平台 pc 2 1 9 用户不能使用域名登录用户不能使用域名登录 答 告知用户修改 hosts 文件 无任何后缀 使用记事本打开 C Windows System32 drivers etc 下的 hosts 文件 在文件末尾添 加一条记录 10 27 140 122 pc 并保存退出 2 1 10 Windows7 下 用户成功单点登录后 弹出下 用户成功单点登录后 弹出 IAMkeymonitor 通信失败的提示通信失败的提示 答 这个涉及用户帐号控制 UAC 的调整 用户需要进入 控制面板 系 统和安全 操作中心 更改用户帐号控制设置 然后将级别调整到 从不通知 即可避免该提示信息 2 1 11 登录时显示有多人的证书可供选择 检查登录时显示有多人的证书可供选择 检查 IE 是否缓存是否缓存 过其他证书 过其他证书 答 打开 工具工具 Internet Internet 选项选项 内容内容 证书证书 个人个人 去掉 IE 缓存中多余的证书 即可 2 1 12 Win7 系统点击应用图标登录系统点击应用图标登录 ERP 后 菜单栏被遮挡后 菜单栏被遮挡 ERP 系统通过 IAM 平台成功登录后 IE9 的界面显示会出现 最小化和关闭按 钮不起作用的问题 如下图所示问题 1 如要关闭 SAP 页面 可点 SAP 系统中的按钮 系统 退出登录 具体如下图所示 或者 2 找到 C Program Files SAP FrontEnd 文件夹下的 SAPgui exe 文件 点击右键 找到 属性 将 禁用桌面元素 前打勾 如图所示 2 1 13 密码同步密码同步 邮件帐号邮件帐号 如果用户已在 IAM 平台完成邮件系统帐号自映射 即 该用户在 IAM 平台 页面上能看到邮件系统的图标 在通过自助服务界面修改密码后 将会同步修 改邮件系统帐号 口令 以及所有使用邮件系统帐号 口令进行认证的应用系统 帐号 口令 若没有在 IAM 平台上对使用邮件帐号 口令进行认证系统的帐号自映射 则 不会同步修改邮件系统帐号 口令 其他系统帐号其他系统帐号 如果用户已在 IAM 平台完成其他系统帐号 包括 HR 系统 化工销售 ERP 系统等不使用邮件系统帐号 口令进行认证的系统 自映射 即 该用户在 IAM 平台页面上能看到应用系统的图标 则用户在通过自助服务界面修改密码后 将会同步修改这些系统的帐号 口令 2 2 自映射问题自映射问题 2 2 1 自映射操作校验应用帐号和密码失败后 如何处理 自映射操作校验应用帐号和密码失败后 如何处理 答 请用户联系该应用系统管理员解决 确认自己的帐号是否就有效或未处于 锁定状态 2 2 2 用户自映射一个工作日后 登录身份认证平台 看不到用户自映射一个工作日后 登录身份认证平台 看不到 已映射系统的图标 已映射系统的图标 答 用户映射的帐号非本人帐号或由于其他原因 映射请求被驳回 请联系管 理员或重新映射 2 2 3 自映射应用系统校验用户名和密码成功后 还是不能单自映射应用系统校验用户名和密码成功后 还是不能单 点登录应用系统 点登录应用系统 答 告知用户下一个工作日登录 若还存在该问题 则需要联系身份管理项目 组解决 并提供用户姓名 员工编号 所在单位 2 2 4 在已映射信息系统列表中显示邮件系统图标 点击出现在已映射信息系统列表中显示邮件系统图标 点击出现 提示页面 告知用户修改密码 提示页面 告知用户修改密码 答 用户通过已有信息系统列表首次访问邮件系统 是不能直接打开邮件系统 界面的 需要用户点击页面右侧的 自助服务 按钮进行密码修改 密码修改 成功后请再次通过已映射信息系统列表进入邮件系统 此时该邮件系统帐号及 其他使用该邮件帐号的应用系统帐号密码都会被用户同步更改 2 2 5 同一应用系统有两个帐号 已自映射成功其中一个 还同一应用系统有两个帐号 已自映射成功其中一个 还 有一个帐号如何处理有一个帐号如何处理 答 目前阶段只开放一个用户在同一应用系统中对应一个帐号的自映射功能 2 2 6 用户通过用户通过 IAM 平台第一次访问应用系统前 是否需要进平台第一次访问应用系统前 是否需要进 行自映射 行自映射 答 应用系统中已经存在的帐号必须进行自映射操作 在电子审批流程开通后 新增的用户不需要再做自映射 2 3 PKI 相关问题相关问题 2 3 1 提示非本系统用户 无法登录提示非本系统用户 无法登录 答 登录者所用的 Key 没有权限登录 RA 系统 请使用具有 RA 管理员权限的 Key 登录 2 3 2 没有员工编号的人员制作证书没有员工编号的人员制作证书 答 如确定此用户为外部人员 提交外部用户帐号申请和证书申请 此申请表 及相关说明可到 IAM 平台登录页面下载 对于没有员工编号的内部人员 新员工 到人力资源部门咨询 待生成员工编 号后再向数字证书管理员申请证书 如用户急需使用 USBkey 可以为其创建外 部用户 2 3 3 无法识别无法识别 USBKey 答 1 1 驱动安装错误驱动安装错误 查看设备管理器中通用串行总线控制器 WatchKey Virtual Reader 是否正常 2 2 驱动已安装驱动已安装 WIN7 系统首次使用 USBKey 时 USB 口识别较慢 需等识别后再查 看 打开管理工具 使用一键修复查看相应服务是否启用 如未启用 则进行修复 一键修复无法完成时 在计算机管理中的 服务 项中检查 SmartCard 服务是否启动 如未启动则手动启动 并添加到开机启 动项中 WIN7 系统需要使用管理员打开管理工具 被 360 安全卫士禁止启动的 Smart Card 服务无法通过一键修复 恢复启动 必须通过 360 开启 2 3 4 USBKey 丢失后如何处理 丢失后如何处理 答 USBKey 设备丢失后如确定无法找到 则向管理员提出补办证书的申请 如 此用户为 ERP 系统用户 需将此用户的信息报知身份认证项目组 要求各 RA 管 理员严格按照 PKI 组下发的管理规范执行 2 3 5 RA 系统管理员变更 如何操作 系统管理员变更 如何操作 RA 有 5 个管理员 权限管理员 审计管理员 录入员 审核员和制证员 只有权限管理员变更要找身份认证项目组 其他管理员变更 各 RA 代理点可 自行进行权限变更处理 2 3 6 制做新证书失败制做新证书失败 如果有新 Key 制证失败 先在 RA 系统中格式化制证失败的 USBKey 然后再 重新制证 如仍不能制证 请使用管理员工具进行格式化 不要把有证书的 Key 格掉 以上两种办法都无法解决时 请将其作为坏 Key 记录 并定期反馈给项目组 2 3 7 与捷德与捷德 KEY 冲突冲突 如发生与捷德 USBKey 冲突的问题 请将原捷德驱动卸载 先安装身份认证 的 USBKey 驱动 再重新安装捷德的驱动 一般财务人员使用 2 3 8 与与 IPAD 充电软件冲突充电软件冲突 用户电脑已安装 IPAD 充电软件的将无法正常安装 USBKey 驱动 先安装驱 动再安装 IPAD 充电软件将会导致驱动不可用 解决方法 1 用户卸载充电软件 2 申请新 Key 并及时下载安装最新驱动 有些单位没有 需要联系身份管理与认证 项目组申请 序列号在 8000500000 之后的是新 Key 2 4 日常使用问题处理方法 日常使用问题处理方法 2 4 1 请在出现请在出现 msxml6r dll 受受 Windows 系统保护系统保护 的计算的计算 机上 机上 尝试以下操作 在控制面板添加删除程序中将 windows 更新 KB9554559 移除 卸载后 最好重启计算机 然后再重新安装 TAM E SSO AccessAgent 2 4 2 ERP 系统口令不代填问题 系统口令不代填问题 IE9 通过 IAM 登录 ERP 系统时 会下载口令代填的小软件 如果在下载时弹 出迅雷下载提示框 请做以下处理 点击 Internet 选项 程序 管理加 载项 找到如图所示的迅雷加载部分 点击禁用 重启下 IE 再使用 如下 图 2 4 3 安装补丁出现问题 安装补丁出现问题 如出现下图提示问题 需要个人计算机装一个微软的 KB971737 的补丁 然后 再装发给用户的那个 SP2 补丁 2 4 4 登录登录 ERP 系统报错 系统报错 此问题为 SAP 安装软件有问题 需要将 SAP logon 进行修复或者重装 2 4 5 输入输入 PIN 码登录码登录 IAM 系统失败 系统失败 有些电脑查 Ukey 弹 PIN 框正常 登录 IAM 平台输入 PIN 框也正常 但是却无 法打开 IAM 界面 提示如下图所示 解决办法 将电脑上的所有网页都关闭 然后在插 UKey 按原步骤进行登陆 原因 有时需要先登录上 ESSO 再打开网页 否则报错 2 5 补充内容 补充内容 2 5 1