PasswordSync 問題のトラブルシューティング (Sun Identity Manager 8.1 システム管理者ガイド)

Sun Identity Manager 8.1 システム管理者ガイド

PasswordSync 問題のトラブルシューティング

PasswordSync の問題をトラブルシューティングしようとする際は、次のログを参考までにお読みください。

PasswordSync Error Logs。 PasswordSync はすべての障害情報を Windows イベントビューアに書き込みます。(イベントビューアの詳細は、Windows のヘルプを参照してください。)エラーログエントリのソース名は「PasswordSync」です。
PasswordSync Trace Logs。 PasswordSync はすべてのログを、トレースを設定したときに指定したファイルの場所に書き込みます。「PasswordSync 設定ツールの使用方法」を参照してください。

よくある PasswordSync 問題とソリューションは、次のとおりです。

PasswordSync は、Windows サーバーから Identity Manager へパスワード変更を伝えません。

PasswordSync は、Active Directory から Identity Manager Server への接続を作成したときのレジストリ設定を基にしています。PasswordSync は、レジストリを読み取ってその設定を処理しますが、接続を作成できるかどうかを調べるチェックは一切行いません。

次に、PasswordSync サーバーのレジストリエントリ例を示します。この例では、デフォルトのレジストリ設定値が含まれていますが、PasswordSync が使用したすべての設定が表示されているわけではありません。

[HKEY_LOCAL_MACHINE\SOFTWARE\Waveset\Lighthouse\PasswordSync]
"reinitIntervalMilli"=dword:0001d4c0
"securityIgnoreCertRevoke"=dword:00000000
"securityAllowInvalidCert"=dword:00000000
"directMode"=dword:00000001
"lhuser"="config"
"lhcred"="rsVtQZpa5Ys="
"endpointURL"="http://10.10.10.10:8080/idm/servlet/PasswordSync"
"installdir"="C:\\Program Files\\Sun Microsystems\\Sun Identity Manager
PasswordSync"
"tracelevel"=dword:00000000
"tracemaxKB"=dword:00002710
"tracefile"="C:\\Program Files\\Sun Microsystems\\Sun Identity Manager
PasswordSync\\trace.log"

適切なレベルのトレースを有効していないと、PasswordSync はあまり詳細な接続障害情報のログを記録しません。詳細なトレース情報の詳細を表示するには、「レジストリキーの編集方法」で説明したとおりに PasswordSync レジストリ設定を編集してください。最大トレース情報を出力するように tracelevel 4 を指定し、tracefile 値を書き込み可能ファイルを指すように変更します。例を示します。

"tracelevel"=dword:00000004
"tracefile"="C:\\Program Files\\Sun\\IdentityManager\\PasswordSync\\pwicsvc.log"

このレジストリ設定は、レジストリの <i>reinitIntervalMilli</i> 設定を基に再読み取りされます。このレジストリ設定の再読み取り後、PasswordSync はレジストリに設定されたトレースパラメータに応じて自動的にトレースを開始したり終了したりします。阻止されたそれぞれのパスワード変更については、PasswordSync がそのパスワードを Identity Manager へ転送するために講じた措置のログを記録します。

作成中に接続障害がある場合は、次の状況が考えられます。

注 –
このような状況には、それぞれ独自のエラーコードとログエントリ一式が用意されています。Identity Manager は、省略するためにこれらのエントリから日付、タイムスタンプ、およびプロセス番号を削除します。
- 不正または到達不能な URL エラー。サーバーが到達できない場合、サーバーが実行中でない場合、またはサーバーが正しい応答で応答しない場合などに起こります。
  
  PasswordSync からサーバーとページにアクセスできることを確認します。
  - サーバーが実行中であること、ファイアウォールとルーターを正しく設定していることを確認します。
  - アプリケーションサーバーが実行中であること、アプリケーションパスがなくても PasswordSync がエンドポイント URL に接続できることを確認します。PasswordSync がページもエラーも返さない場合は、アプリケーションサーバーが実行されていません。
  - エンドポイント URL を標準ブラウザで開いて、サーブレットの応答を確認します。com.waveset.util.WavesetException で始まるエラーが表示されない場合は、サーブレットがコンパイルで使用できるかどうか確認します。
  - PasswordSync のJMS 使用は、クラスパスで使用可能になっている jms.jar を基にしています。正しいファイルを配備せずにエンドポイント URL にアクセスすると、次の例外メッセージが表示されます。
    com.waveset.util.WavesetException: A JMS request arrived, but JMS PasswordSync is unavailable. Is JMS jar file available?
- lhuser エントリに格納されている userID に誤りがあると、不正なユーザー名エラーが発生することがよくあります。ユーザーを置き換えるか lhuser レジストリのキー値を有効な userID と置き換えるには、Configure.exe ユーティリティーを使用します。
- 不正なパスワードエラーは、lhcred エントリに格納されているパスワードが、userID stored in lhuser に格納されている userID と組み合わせて使用されたときに誤っているとよく起こります。パスワードを置き換えるには、Configure.exe ユーティリティーを使用します。ただし、lhcred レジストリキーは手動で編集しないでください。
- パスワードエントリエラーのガベージは、レジストリキーが壊れている場合やレジストリキーが手動で編集されている場合によく起こり、これがパスワードエントリのガベージの原因となります。
- この状況によって RAEncryptor::Decrypt3DES 内のプロセスがハングし、PasswordSync がそのエントリを複合化できなくなります。パスワードを置き換えるには、Configure.exe ユーティリティーを使用してください。