目录系统常见问题汇总

27/27启明星一体化项目组目录系统实施培训常见问题汇总引言编写目的本文档用于为系统开发部署提供指导，以利于系统建设任务的保质保量完成。在项目实施过程中，实施人员必须严格遵守该文档进行系统环境的配置，并结合该文档制定安装测试用例。读者对象本文档面向对象包含以下人员：直属单位目录服务开发实施项目负责人；直属单位目录服务开发实施项目工作组成员；直属单位目录管理维护人员；术语和缩略语定义术语定义身份目录身份目录是一个eDirectory实例，其功能是实现用户身份数据的集中存储，保存有来自所有其他应用系统账号的、最全面的数据，也称为“身份库”。认证目录认证目录是一个eDirectory实例，其功能是提供用户身份认证服务，保存有用户认证所需的数据，也称为“认证库”。企业资源目录企业资源目录是一个eDirectory实例，为层次化结构，其功能是实现组织、用户管理与分级授权，保存有全面的用户组织架构、授权、角色等数据。访问网关指AccessGateway，是NovellAccessManager的一个组件，作为用户的统一访问入口，来提升总体门户与应用的访问安全。身份认证管理服务器指IdentityServer，是NovellAccessManager的一个组件，其管理用户相关的访问控制策略，并负责与访问网关通讯。目录复制指eDirectory内部的一种数据复制机制，可保障目录分区内部数据的完整、一致；实现容错功能，并分散访问负载。目录同步指通过NovellIdentityManager身份管理系统实现门户、目录平台之间的数据交换，保证目录数据的一致性和实时性。目录Schema其定义目录中所存储的信息对象的类型，以及信息对象之间的关系，从而形成目录的完整的结构定义。LDIF指LDAPDataInterchangeFormat，一种普遍用于描述目录信息或可对目录执行的修改操作的文件格式。SAML指安全性断言标记语言（SecureAssertionMarkupLanguage），是一种标记安全断言的XML扩展，它提供了一种封装验证、授权等安全信息的形式，已经被用来解决SSO（单点登录）和Web服务安全等重要问题。缩略语AM是NovellAccessManager的缩写。AG是NovellAccessGateway的缩写。IDS是NovellIdentityServer的缩写。IDM是NovellIdentityManager的缩写。NTP是NetworkTimeProtocol的缩写。目录平台系统环境说明目录平台软硬件环境软件及版本序号软件版本补丁1SLES11SP12eDirectory8.8.53iManager2.7.14IdentityManager3.6.1操作系统以及软硬件说明物理机名IP地址硬件配置操作系统运行系统DNS域名auth[视具体情况定]2GMEM2GXERON双核Suselinux11NovelleDirectory_8.8.5SP2[根据国网主机名要求定].[公司子域名].ids[视具体情况定]2GMEM2GXERON双核Suselinux11NovellIdentityServerSP3.1.2[根据国网主机名要求定].[公司子域名].ag[视具体情况定]2GMEM2GXERON双核NovellSUSELinuxAccessGatewayNovellAccessGatewaySP3.1.2[根据国网主机名要求定].[公司子域名].id[视具体情况定]2GMEM2GXERON双核Suselinux11NovelleDirectory_8.8.2[根据国网主机名要求定].[公司子域名].erd[视具体情况定]2GMEM2GXERON双核Suselinux11NovelleDirectory_8.8.2[根据国网主机名要求定].[公司子域名].dns[视具体情况定]ntp[视具体情况定]注意事项前提以及准备以下所有问题以及解决方案均不包含系统本身BUG相关内容。为了保证所有问题的针对性，建议将AM系统升级至最新版本以避免AM系统本身BUG干扰错误判断。目录系统问题汇总AM系统常见问题错误编号100101043现象：当用户在访问受保护资源时IDS报告100101043错误原因：IDP无法访问ESP的metadata连接，或者IDP不信任ESP所提供的SSL安全证书，或者ESP停止服务，或DNS配置错误；处理：在IDP中重新导入ESP的SSL安全证书。检查ESP对应metadata连接能否访问，其连接组成内容如下：http://<DNS_name>/nesp/idff/metadata，检查DNS系统中对应反向代理域名是否正确错误编号100101044现象：当用户在访问受保护资源时IDS报告100101044错误原因：ESP无法访问IDP的metadataURL或者ESP无法解析IDP域名，ESP不信任IDP对应SSL安全证书或者IDP没有运行。处理：在ESP中重新导入IDP的安全证书。检查IDP对应连接是否能够访问，其对应访问连接如下：http://<DNS_name>/nidp/idff/metadata，检查ESP对应DNS是否配置正确。错误编号100102005现象：无法访问NovellSecretStore原因：IDP与用户存储必须使用SSL连接。处理：在用户存储配置界面，将用户存储配置为使用安全LDAP连接。错误编号200102008现象：当用户登录IDS后，长时间无操后IDS报告200102008信息。原因：用户SESSION过期。处理：用户重新登录。错误编号200104001现象：当用户访问含有证书认证时，IDS报告200104001错误原因：无法从浏览器中获取用户证书。处理：重新导入用户证书。错误编号200104004现象：当用户访问含有证书认证时，IDS报告200104004错误；原因：用户证书不合法；处理：重新签发用户证书，确定用户证书符合证书合法性的三个必要条件；错误编号200104006现象：当用户使用证书登录后，IDS报告200104006错误；原因：通过用户证书在目录中匹配到不止一个用户；处理：检查当前用户是否存在重名；错误编号200104009现象：当用户使用证书登录后，IDS报告200104009错误原因：用户证书已过期；处理：重新签发用户证书；错误编号300101023现象：当用户级联时，IDS报告300101023错误；原因：用户无法通过级联匹配策略查找到对应用户；处理：检查匹配规则是否符合相应需求；错误编号300101037现象：当用户访问后台受保护页面时，IDS报告300101037错误；原因：IDS被手工停止；处理：重新启动IDS；错误编号300101040现象：当用户登录IDS后，报告300101040错误；原因：用户密码已过期；处理：更新用户密码；错误编号300101047现象：用户通过级联方式访问任意页面，IDS均报告300101047错误；原因：未受信的用户信息提供来源；处理：检查并重新建立IDS与IDP之间的信任关系；错误编号300101048现象：当用户进行认证时，IDS报告300101048错误；原因：IDS与ED之间的缓冲池占满，导致用户认证请求超时；处理：稍等后重新登录，或者提高ED硬件配置以及缓冲池大小；错误编号0现象：无法删除目录中已经存在的密钥信息；原因：在目录中对应密钥信息已经被手工删除；处理：手工修改配置文件中对应密钥信息，将其从配置文件中删除；错误编号300101014现象：用户访问时AM报错；原因：IDS与AG间时间不同步；处理：手工同步IDS与AG间的时间；错误编号300101015现象：用户访问时AM报错；原因：的IDS与AG间时间不同步；处理：手工同步IDS与AG间的时间；错误编号300101032现象：用户访问时AM报错；原因：用户在级联以及本地访问时未登出便尝试使用其他用户强行登录；处理：关闭当前开启的所有相同SESSION的浏览器并重新登录；错误编号300101034现象：用户通过级联访问时IDS没有跳转；原因：用户在级联是所使用的级联链接没有指定需要跳转到的目标地址；处理：添加需要跳转到的目标地址；错误编号300101038现象：用户通过访问时报错；原因：恢复系统或在IDS中配置完自定义页面属性后没有创建对应处理的JSP文件；处理：手工创建需要对应处理的JSP文件；错误编号300101041现象：用户通过级联访问到达被级联端后无法通过认证；原因：该用户在被级联端通过被级联端的匹配策略无法找到唯一的对应用户；处理：可参考以下步骤：检查被级联端的匹配策略是否正确配置；检查通过匹配策略能否匹配到用户；检查匹配策略能否匹配到唯一用户；检查该用户是否过期或被禁用；错误编号300101051现象：用户在IDS认证时被拒绝；原因：该用户在为注销的情况下多次登录IDS并达到IDS个人SEESION数的最大限制；处理：可参考以下操作：修改IDS的最大SESSION数或取消IDSsession限制；关闭所有具有该用户SESSION的浏览器；IDS认证速度缓慢现象：在IDS认证用户过程中，处理速度很慢，但是能够成功返回用户认证成功与否的结果；原因：IDS无法反向解析认证目录的IP或DNS无法正常解析域名；处理：在DNS服务器中添加对于认证目录域名的反向解析；IDS级联访问在认证目录存在用户的时候无法认证用户现象：在IDS认证用户过程中，处理速度很慢，直接出现无法认证的情况；原因：认证目录数据量太大，导致认证目录查询用户超时；处理：可参考以下操作：修改IDS认证查询超时时间。为认证目录中用户级联匹配属性添加索引，加快查询速度。IDS级联访问606错误现象：在IDS级联访问时，如果用户在某台客户端登录后更换其它客户端，将随机（可以通过其他方式确认）出现606对象已存在错误；原因：该问题触发条件如下：级联的IDS均为集群环境；用户在访问级联对象时更换客户端，并且客户端被负载均衡设备分发至于上次访问不同的IDS上。由于用户在IDS中相关的SESSION信息均保存在AC的底层目录中，当用户首次访问时，AC目录中已经存在此用户的SESSION信息。用户更换客户端后，重新登录其它IDS则将会导致用户在另外一台IDS上存在同样的SESSION。如果以该SESSION进行级联，则SP方将会把该级联视为一个新的会话申请并且将该会话申请发给IDP方，IDP截获该申请后进行新建级联SESSION的操作。由于上一次SESSION已经建立，此时IDP建立SESSION将会导致无法在目录中创建对象，从而出现606对象已存在错误。处理：可参考以下内容：解决方法一：通过手工修改ERR.JSP对606错误信息进行单独处理，并强制将606错误页面进行跳转至之前的级联登录页面。解决方法二：通过修改负载均衡设备，使其将不同SP所需求的级联请求转发至同一台物理机。AG失去响应现象：常见情况:AG在使用过程中在AC状态突然变为无响应状态（Servernotresponding）原因：IDP启动失败，并且AG状态为"Serverisnotresponding"，同样在JCC日志中能够获取到如下信息：SEVERE:AM#100707003:NoclientfoundwithIDidp-esp-F767FB7B1D63C5FEcom.novell.jcc.servlet.DispatchServletA处理：检查AM版本并考虑升级；使用的证书用户不在指定的容器中现象：原因：用户无法通过匹配策略查询到唯一值；处理：确定用户在指容器内有效；配置跳转策略没有使用HTTPS现象：策略中使用HTTP时，无法正常跳转图STYLEREF2\s4.1SEQ图\*ARABIC\s21图STYLEREF2\s4.1SEQ图\*ARABIC\s22配置前后对比原因：配置跳转策略没有使用HTTPS处理：将转的HTTP改为HTTPS图STYLEREF2\s4.1SEQ图\*ARABIC\s23图STYLEREF2\s4.1SEQ图\*ARABIC\s24结果前后对比IDS与认证树636通信慢现象：IDS与认证树636通信慢原因：IDS无法正常解析认证目录主机名以及域名处理：在IDS上配置正确的DNS以及主机名解析浏览器通过SSL访问应用系统存在安全提示现象：使用用户证书登录时，出现的错误提示图STYLEREF2\s4.1SEQ图\*ARABIC\s25原因：证书不满足用户浏览器安全要求；处理：将AG上的证书从证书管理服务器中,导出来再导入用户浏览器证书库中域名没有指向所代理的AG的IP地址现象：使用用户证书登录时，出现的错误提示图STYLEREF2\s4.1SEQ图\*ARABIC\s26原因：域名没有指向所代理的AG的IP地址处理：设置DNS正确解析各个应用的IP地址IDS与认证树之间没有使用安全端口现象：使用用户证书登录时，出现的错误提示：图STYLEREF2\s4.1SEQ图\*ARABIC\s27原因：与认证树之间没有使用安全端口处理：如下：图STYLEREF2\s4.1SEQ图\*ARABIC\s28勾选UsesecureLDAPconnection.输入域名弹出保护资源的登录页面现象：使用用户证书登录时，出现的错误提示：原因：域名出错处理：资源路径不正确，重新输入正确的资源路径4.2.8 通过第三方证书服务器签发的用户证书在认证时无法选择（在证书列表中不显示）现象：通过第三方证书服务器签发的用户证书在认证时无法选择（在证书列表中不显示）原因：IDS尚未信任三方证书处理：在IDP的信任根中没有导入第三方证书服务器的信任根证书当提交用户证书后出现无法认证现象：当提交用户证书后出现无法认证原因：该证书不满足用户证书合法性要求，请确保该证书是由系统内指定的证书服务器签发并且该证书有效时间处理：图STYLEREF2\s4.1SEQ图\*ARABIC\s29图STYLEREF2\s4.1SEQ图\*ARABIC\s210图STYLEREF2\s4.1SEQ图\*ARABIC\s211图STYLEREF2\s4.1SEQ图\*ARABIC\s212图STYLEREF2\s4.1SEQ图\*ARABIC\s213IDM问题汇总错误代号0原因：在目录中对应密钥信息已经被手工删除；处理：手工修改配置文件中对应密钥信息，将其从配置文件中删除；错误createEntry-613ERR_SYNTAX_VIOLATION原因以及处理:1.DN格式不符合系统要求2.数据长度不满足属性长度限制3.数据格式与属性要求格式不匹配错误Code(-9010)Anexceptionoccurred:novell.jclient.JCException:modifyEntry-608ERR_ILLEGAL_ATTRIBUTE原因以及处理:1.试图修改一个类中不存在的属性2.试图添加一个属于附属类的属性，但添加操作是在CommandTransformate策略或者之后才执行的错误代号Code(-9010)Anexceptionoccurred:novell.jclient.JCException:createEntry-606ERR_ENTRY_ALREADY_EXISTS原因以及处理:1.使用了错误的命名策略导致用户DN重复2.使用了错误的布局策略导致用户DN重复错误代号Code(-9010)Anexceptionoccurred:novell.jclient.JCException:createEntry-630ERR_DIFFERENT_TREE原因以及处理1.在构建DN时使用了树名作为DN的起始，但使用了错误的树名错误代号Code(-9011)eDirectoryreturnedanerrorindicatingthattheoperationshouldberetriedlater:novell.jclient.JCException:modifyEntry-659ERR_TIME_NOT_SYNCHRONIZED原因以及处理1.目录树副本间未进行时间同步2.目录树副本间时间同步错误错误代号Code(-9010)Anexceptionoccurred:java.lang.NullPointerExceptionatcom.novell.nds.dirxml.engine.XmlInputProcessor$OperationProcessor.checkWriteManaged(XmlInputProcessor.java:1286)atcom.novell.nds.dirxml.engine.XmlInputProcessor$AddProcessor.doJClientCall(XmlInputProcessor.java:1857)atcom.novell.nds.dirxml.engine.XmlInputProcessor$OperationProcessor.makeCall(XmlInputProcessor.java:698)atcom.novell.nds.dirxml.engine.XmlInputProcessor$AddPcess(XmlInputProcessor.java:1820)atcom.novell.nds.dirxml.engine.XmlInputPcessOperationElement(XmlInputProcessor.java:596)atcom.novell.nds.dirxml.engine.XmlInputPcess(XmlInputProcessor.java:316)(...)原因以及处理1.所同步的属性Schem