|
Interstage Application Server/Interstage Web Server トラブルシューティング集
|
目次
索引
 
|
15.2.6 ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する場合のトラブル
リポジトリサーバの起動時にihs01027のメッセージが出力され、起動に失敗する
ディレクトリサービスのURLに誤りがないか確認してください。(注1)
【シングル・サインオンの拡張スキーマを使用しない場合】
保護パスにアクセスして統合Windows認証を行うが、認証に失敗する
以下の点を確認してください。
- ディレクトリサービスとの接続情報(接続用DN、接続用DNのパスワード)が、すべてのユーザ情報に対して参照権限があるか確認してください。(注2)(注3)
- ユーザ情報の登録先エントリ配下に、対象のユーザ情報が存在するか確認してください。(注3)(注4)
- ユーザ情報の登録先エントリ配下の対象のユーザ情報に、必要な属性が存在するか確認してください。(注3)(注5)
保護パスにアクセスして統合Windows認証を行うが、保護パスが表示されない
以下の点を確認してください。
- リポジトリサーバの環境設定の[Active Directoryの設定]で指定した[ロールに使用する属性名]の値に誤りがないか確認してください。(注6)
- リポジトリサーバの環境設定の[Active Directoryの設定]で指定した[ロールに使用する属性名]の値が、ユーザ情報に登録されているか確認してください。
- ユーザ情報に登録されていない場合は、[ロール定義に使用する属性名]の値を登録してください。
- ユーザ情報に登録されている場合は、アクセスした保護パスに設定したロール/ロールセットのいずれかに設定したロールに使用する属性値に、ユーザ情報に登録されている値が存在するか確認してください。
なお、アクセスした保護パスに設定したロール/ロールセットが多階層で登録されている場合は、ロールセットの内容に設定したすべてのロール/ロールセットについても確認してください。(注7)
- 上記に問題がない場合は、ロール定義の関連付けを見直してください。(注8)
【シングル・サインオンの拡張スキーマを使用する場合】
保護パスにアクセスして統合Windows認証、またはパスワード認証を行うが、認証に失敗する
利用者のロック解除を行うが、利用者を特定できず、ロック解除に失敗する
以下の点を確認してください。
- ディレクトリサービスとの接続情報(接続用DN、接続用DNのパスワード)が、すべてのユーザ情報に対して参照、および更新権限があるか確認してください。(注2)(注3)
- ユーザ情報の登録先エントリ配下に、対象のユーザ情報が存在するか確認してください。(注3)(注4)
- ユーザ情報の登録先エントリ配下の対象のユーザ情報に、必要な属性が存在するか確認してください。(注3)(注5)
- ユーザ情報に、“inetOrgPerson”オブジェクトクラスが含まれているか確認してください。(注3)
- ユーザ情報の“ssoUserStatus”属性に値(“good”、または“locked”)が設定されているか確認してください。(注3)
- シングル・サインオンの拡張スキーマの設定が正しく行われているか、以下の点を確認してください。
- Active Directoryスキーマに“inetOrgPerson”オブジェクトクラスが存在するか確認してください。(注9)
- Active Directoryスキーマに“ssoUser”オブジェクトクラスが存在するか確認してください。(注9)
- Active Directoryスキーマに、シングル・サインオンのすべての属性が存在するか確認してください。(注9)(注10)
- Active Directoryスキーマの“ssoUser”オブジェクトクラスのオプション属性に、シングル・サインオンのすべての属性が設定されているか確認してください。(注9)(注10)
- Active Directoryスキーマの“inetOrgPerson”ブジェクトクラスの補助型クラスに、“ssoUser”オブジェクトクラスが設定されているか確認してください。(注9)
保護パスにアクセスして統合Windows認証、またはパスワード認証を行うが、保護パスが表示されない
ユーザ情報に、保護パスにアクセス可能なロール名または、ロールセット名(ssoRoleName)が設定されているか確認してください。(注3)
注1)Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ] > [Active Directoryの設定]の[ディレクトリサービスのURL]で確認してください。
注2)Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ] > [Active Directoryの設定]の[接続用DN]および、[接続用DNのパスワード]で確認してください。
注3)Microsoftが提供するADSI Editツールなどを使用して確認してください。
注4)Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ] > [ユーザ情報の登録先エントリ]で確認してください。
注5)ユーザ情報に必要な属性については、“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”−“ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する”−“Active Directoryのユーザ情報の設定”を参照してください。
注6)Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]をクリックし、[リポジトリ] > [Active Directoryの設定]の[ロールに使用する属性名]で確認してください。
注7)アクセスした保護パスに設定したロール/ロールセットの確認方法については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [保護リソース] > [サイト定義] > [保護パス]をクリックし、パス定義の一覧からアクセスした保護パスをクリックして、ロール/ロールセット、ロールセットの内容、およびロールに使用する属性値を確認してください。
注8)ロール定義の関連付けについては、“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”−“ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する”−“SSOリポジトリの設定(ロール定義の関連付け)”を参照してください。
注9)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
注10)シングル・サインオンの属性は、以下に示す9つです。
- ssoAuthType
- ssoCredentialTTL
- ssoFailureCount
- ssoLockTimeStamp
- ssoNotAfter
- ssoNotBefore
- ssoRoleName
- ssoSessionInfo
- ssoUserStatus
Copyright 2008 FUJITSU LIMITED