IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de

IBM® Tivoli® Federated Identity Manager
Versión 6.2.2.7
Guía de resolución de problemas
GC11-8432-02
IBM® Tivoli® Federated Identity Manager
Versión 6.2.2.7
Guía de resolución de problemas
GC11-8432-02
Nota
Antes de utilizar esta información y el producto al que da soporte, lea la información que aparece en el apartado “Avisos”
en la página 71.
Nota sobre la edición
Nota: Esta edición es aplicable a la versión 6, release 2, modificación 2.7 de IBM Tivoli Federated Identity
Manager (número de producto 5724-L73) y a todos los releases y modificaciones posteriores hasta que se indique
lo contrario en nuevas ediciones.
© Copyright IBM Corporation 2006, 2013.
Contenido
Acerca de esta publicación . . . . . . v
Destinatarios . . . . . . . . . . . . . . v
Acceso a publicaciones y terminología . . . . . . v
Biblioteca de IBM Tivoli Federated Identity
Manager . . . . . . . . . . . . . . vi
Publicaciones de requisitos previos . . . . . vii
Publicaciones relacionadas . . . . . . . . vii
Acceso a la terminología en línea . . . . . . viii
Acceso a las publicaciones en línea . . . . . viii
Pedido de publicaciones . . . . . . . . . viii
Accesibilidad . . . . . . . . . . . . . viii
Formación técnica de Tivoli . . . . . . . . . ix
Información de soporte . . . . . . . . . . ix
Sentencia de buenas prácticas de seguridad . . . . ix
Convenciones utilizadas en esta publicación . . . ix
Convenios de tipo de letra. . . . . . . . . x
Variables y vías de acceso que dependen del
sistema operativo . . . . . . . . . . . . x
Capítulo 1. Resolución de problemas y
soporte . . . . . . . . . . . . . . . 1
Capítulo 2. Más información sobre los
síntomas del problema . . . . . . . . 3
Acerca de
Acerca de
Acerca de
Acerca de
Acerca de
Acerca de
bloqueos.
Acerca de
anómalas
la resolución de problemas . . . . .
los problemas de conectividad . . . .
Tivoli Federated Identity Manager . .
los arreglos y las actualizaciones . . .
los mensajes . . . . . . . . . .
los problemas de rendimiento y los
. . . . . . . . . . . . . .
interrupciones, bloqueos y finalizaciones
. . . . . . . . . . . . . .
.
.
.
.
.
3
5
5
6
7
. 7
. 8
Capítulo 3. Lista de comprobación para
la resolución de problemas de Tivoli
Federated Identity Manager . . . . . . 11
Capítulo 4. Problemas y soluciones
conocidas . . . . . . . . . . . . . 13
Problemas de instalación . . . . . . . . .
Problemas de desinstalación . . . . . . . .
Problemas de configuración de Tivoli Federated
Identity Manager . . . . . . . . . . .
Problemas de Integrated Solutions Console . . .
Varias solicitudes para reiniciar WebSphere
Application Server . . . . . . . . . .
Incomplete operations after logging off the
console . . . . . . . . . . . . . .
Reiniciar WebSphere Application Server después
de volver a configurar los valores de seguridad
en la consola de gestión . . . . . . . .
© Copyright IBM Corp. 2006, 2013
. 13
. 15
. 16
. 28
Detener WebSphere Application Server desde la
línea de mandatos después de reiniciar Tivoli
Federated Identity Manager desde la consola . .
Limitaciones en el panel Instancias de módulo .
La tablas podrían no representarse correctamente
en Integrated Solutions Console podrían cuando
se utiliza Microsoft Internet Explorer 10 . . . .
WebSEAL con OTP no se visualiza en la página
Punto de contacto después de volver a crear un
dominio . . . . . . . . . . . . . .
Se muestra una versión incorrecta en el panel
Gestión de nodos de ejecución de Tivoli
Federated Identity Manager . . . . . . . .
Problemas de consola de WebSphere Application
Server . . . . . . . . . . . . . . . .
WebSphere Application Server debe estar
instalado por separado en cada instancia de la
consola de gestión . . . . . . . . . . .
La consola de administración de WebSphere no
abre la aplicación de ejecución o de gestión. . .
Los cambios de configuración no se propagan a
cada nodo de clúster antes de que se reinicie el
entorno de ejecución de Tivoli Federated Identity
Manager . . . . . . . . . . . . . .
La consola de WebSphere indica que el servicio
de gestión no está disponible . . . . . . .
Consultar el estado de ejecución de Tivoli
Federated Identity Manager . . . . . . . .
Los perfiles con enlaces POST para el inicio de
sesión único podrían no funcionar cuando se
utiliza WebSphere Application Server 6.1.0.17 o
6.1.0.19 . . . . . . . . . . . . . . .
Error de tiempo de ejecución . . . . . . . .
Problemas operativos . . . . . . . . . . .
No se puede iniciar sesión en WebSphere cuando
se utiliza el adaptador de Tivoli Access Manager
VMM . . . . . . . . . . . . . . .
Problemas del despliegue. . . . . . . . . .
Se ha recibido un error sobre la operación de
despliegue . . . . . . . . . . . . . .
Despliegue de Tivoli Federated Identity Manager
en un entorno de clúster vertical de WebSphere .
El despliegue de Tivoli Federated Identity
Manager en un clúster requiere el descubrimiento
de agentes de nodo . . . . . . . . . . .
Problemas de personalización . . . . . . . .
29
30
30
31
31
32
32
32
33
33
34
34
34
35
40
41
41
42
43
44
Capítulo 5. Arreglos . . . . . . . . . 47
. 28
Obtención de arreglos . . . . . . .
Recepción de notificaciones de arreglos .
.
.
.
.
.
.
. 47
. 47
. 29
. 29
iii
Capítulo 6. Búsqueda en bases de
conocimiento . . . . . . . . . . . . 49
Capítulo 7. Recopilación de datos . . . 51
Registros de mensajes y rastreo . . . . .
Registros de mensajes . . . . . . .
Registros de rastreo. . . . . . . .
Configuración de valores de registro . . .
Configurar el registro de mensajes . . .
Habilitación del registro de rastreo . .
Visualización de registros . . . . . . .
Utilización de IBM Support Assistant . . .
Utilización de IBM Support Assistant en
modalidad gráfica . . . . . . . .
Utilización de IBM Support Assistant en
modalidad de consola . . . . . . .
iv
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
52
52
53
54
55
56
58
59
.
.
. 59
.
.
. 60
Capítulo 8. Análisis de datos . . . . . 63
Capítulo 9. Contacto con el soporte
técnico. . . . . . . . . . . . . . . 65
Visión general de ISA . . . . . . . . . .
Contratos de mantenimiento de software de IBM .
Determinación del impacto empresarial . . . .
Descripción de un problema . . . . . . . .
Envío de datos . . . . . . . . . . . .
.
.
.
.
.
65
67
67
67
68
Avisos . . . . . . . . . . . . . . . 71
Índice . . . . . . . . . . . . . . . 75
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Acerca de esta publicación
IBM® Tivoli Federated Identity Manager Versión 6.2.2 implementa soluciones para
el inicio de sesión único federado, la gestión de la seguridad de servicios Web y el
suministro basadas en estándares abiertos. IBM Tivoli Federated Identity Manager
amplía las soluciones de autenticación y autorización proporcionadas por IBM
Tivoli Access Manager para simplificar la integración de varias soluciones web
existentes.
Esta guía describe cómo resolver problemas relacionados con IBM Tivoli Federated
Identity Manager.
Destinatarios
Los destinatarios de esta publicación incluyen arquitectos de seguridad de red,
administradores del sistema, administradores de red e integradores de sistemas.
Los lectores de esta publicación deben tener conocimiento de trabajo sobre
cuestiones de seguridad de red, tecnología de cifrado, claves y certificados.
También deben estar familiarizados con la implementación de políticas de
autenticación y autorización en un entorno distribuido.
Esta publicación describe una implementación de una solución de servicios Web
que da soporte a varios estándares de servicios Web. Los lectores deben tener
conocimientos de estándares de servicios Web específicos, que pueden obtenerse a
partir de la documentación generada por el cuerpo de estándares de cada estándar
en cuestión.
Los lectores deben estar familiarizados con el desarrollo y despliegue de
aplicaciones para utilizarlas en un entorno de servicios Web. Esto incluye
experiencia en el despliegue de aplicaciones en un entorno de IBM WebSphere
Application Server.
Acceso a publicaciones y terminología
Esta sección proporciona:
v Una lista de publicaciones en la biblioteca de IBM Tivoli Federated Identity
Manager.
v Enlaces a “Publicaciones en línea” en la página vi.
v Un enlace a la “Sitio web de terminología de IBM” en la página vi.
Biblioteca de IBM Tivoli Federated Identity Manager
Los siguientes documentos están disponibles en la biblioteca de IBM Tivoli
Federated Identity Manager:
v IBM Tivoli Federated Identity Manager - Guía de inicio rápido
v IBM Tivoli Federated Identity Manager Installation Guide, GC27-2718-01
v IBM Tivoli Federated Identity Manager - Guía de configuración, GC11-8430-02
(GC27-2719-02)
v IBM Tivoli Federated Identity Manager - Instalación, configuración y administración de
accesos basados en riesgos, SC11-8429-02 (SC27-4445-02)
© Copyright IBM Corp. 2006, 2013
v
v IBM Tivoli Federated Identity Manager
GC32-0169-04
v IBM Tivoli Federated Identity Manager
v IBM Tivoli Federated Identity Manager
(GC32-2287-05)
v IBM Tivoli Federated Identity Manager
GC11-8432-01 (GC27-2715-01)
Configuring web services security,
Administration Guide, SC23-6191-02
- Guía de auditoría, GC11-8431-05
- Guía de resolución de problemas,
v IBM Tivoli Federated Identity Manager Error Message Reference, GC32-2289-04
Publicaciones en línea
IBM publica publicaciones cuando se presenta el producto y cuando se actualizan
las publicaciones en las siguientes ubicaciones:
Information Center de IBM Tivoli Federated Identity Manager
El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.tspm.doc_7.1/welcome.html muestra la página de bienvenida del
Information Center de este producto.
IBM Security Systems Documentation Central y página de bienvenida
IBM Security Systems Documentation Central proporciona una lista
alfabética de toda la documentación de producto de IBM Security Systems
y enlaces al centro de información del producto para las versiones
específicas de cada producto.
Bienvenido a los centros de información de IBM Security Systems
proporciona una introducción a los centros de información de IBM Security
Systems, así como enlaces e información general sobre ellos.
Centro de publicaciones de IBM
El sitio http://www-05.ibm.com/e-business/linkweb/publications/
servlet/pbi.wss ofrece funciones de búsqueda personalizadas para
ayudarle a encontrar todas las publicaciones de IBM que necesite.
Sitio web de terminología de IBM
El sitio web de terminología de IBM unifica la terminología de las bibliotecas de
productos en una sola ubicación. Puede acceder al sitio web de terminología en
http://www.ibm.com/software/globalization/terminology.
Biblioteca de IBM Tivoli Federated Identity Manager
La biblioteca de IBM Tivoli Federated Identity Manager contiene las publicaciones
siguientes:
v Guía de inicio rápido de IBM Tivoli Federated Identity Manager
v
v
v
v
vi
Ofrece instrucciones de iniciación a IBM Tivoli Federated Identity Manager.
IBM Tivoli Federated Identity ManagerGuía de instalación
Ofrece instrucciones de instalación de IBM Tivoli Federated Identity Manager.
IBM Tivoli Federated Identity Manager Guía de configuración (manual en inglés)
Ofrece instrucciones de configuración de IBM Tivoli Federated Identity Manager.
IBM Tivoli Federated Identity Manager Guía de administración (manual en inglés)
Proporciona instrucciones para realizar tareas de administración que son
necesarias para todos los despliegues.
IBM Tivoli Federated Identity Manager Guía de la gestión de la seguridad de servicios
web (manual en inglés)
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Proporciona instrucciones para completar las tareas de configuración para la
gestión de la seguridad de servicios web.
v IBM Tivoli Federated Identity Manager Guía de auditoría (manual en inglés)
Ofrece instrucciones para la auditoría de sucesos de IBM Tivoli Federated
Identity Manager.
v IBM Tivoli Federated Identity Manager Consulta de mensajes de error (manual en
inglés)
Ofrece descripciones de los mensajes de error de IBM Tivoli Federated Identity
Manager.
v IBM Tivoli Federated Identity Manager Guía de resolución de problemas
Proporciona información sobre la resolución de problemas e instrucciones para
resolver problemas.
Puede obtener las publicaciones en IBM Tivoli Federated Identity Manager
Information Center:
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html
Publicaciones de requisitos previos
Para utilizar eficazmente la información de esta publicación, debe tener
conocimientos acerca de los productos de software relacionados, que puede
obtener en las siguientes fuentes:
v Tivoli Access Manager Information Center:
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/
com.ibm.itame.doc/toc.xml
v IBM WebSphere Application Server Versión 8.0 Information Center:
http://publib.boulder.ibm.com/infocenter/wasinfo/v8r0/index.jsp
Puede obtener versiones en formato PDF de la documentación de IBM
WebSphere Application Server en:
http://www.ibm.com/software/webservers/appserv/was/library/
Publicaciones relacionadas
Puede obtener publicaciones relacionadas en los siguientes sitios Web de IBM:
v Enterprise Security Architecture que utilizan IBM Tivoli Security Solutions. Esta
publicación está disponible en formato PDF (Portable Document Format) en
http://www.redbooks.ibm.com/redbooks/pdfs/sg246014.pdf o en formato
HTML (lenguaje de marcado de hipertexto) en http://www.redbooks.ibm.com/
redbooks/SG246014/
v Federated Identity Management and Web Services Security with IBM Tivoli Security
Solutions (SG24-6394-01). Esta publicación está disponible en formato PDF en
http://www.redbooks.ibm.com/redbooks/pdfs/sg246394.pdf o en formato
HTML en http://www.redbooks.ibm.com/redbooks/SG246394/
v La biblioteca Tivoli Software Library proporciona una amplia variedad de
publicaciones de Tivoli como, por ejemplo, documentación técnica, hojas de
datos, demostraciones, Redbooks y cartas de anuncio. La biblioteca de software
de Tivoli está disponible en el sitio Web: http://publib.boulder.ibm.com/tividd/
td/tdprodlist.html
Acerca de esta publicación
vii
v La publicación Tivoli Software Glossary incluye definiciones de muchos de los
términos técnicos relacionados con el software Tivoli. El glosario de software de
Tivoli está disponible en http://publib.boulder.ibm.com/tividd/td/
tdprodlist.html
Acceso a la terminología en línea
El sitio web de terminología de IBM consolida la terminología de las bibliotecas de
productos de IBM en una única ubicación. Puede acceder al sitio Web de
terminología en http://www.ibm.com/software/globalization/terminology
Acceso a las publicaciones en línea
IBM publica publicaciones para este y todos los demás productos Tivoli, conforme
estos pasan a estar disponibles y siempre que se actualizan, en el sitio web del
Centro de información de Tivoli en la dirección http://publib.boulder.ibm.com/
infocenter/tivihelp/v3r1/index.jsp.
Nota: Si imprime documentos PDF en papel de otro tamaño que no sea carta,
defina la opción en Archivo → Imprimir que permite a Adobe Reader imprimir en
papel de tamaño personalizado.
Pedido de publicaciones
Puede solicitar copias en papel de algunas publicaciones.
Muchos países ofrecen un servicio de pedidos en línea.
Siga estos pasos para acceder a este servicio:
1. Vaya a http://www-947.ibm.com/support/entry/portal/
Documentation
2. Seleccione Centro de publicaciones de IBM en Cómo empezar.
3. Seleccione su país en Seleccionar un país/región/idioma para empezar
y pulse el icono de flecha.
4. Siga las instrucciones sobre cómo realizar un pedido de publicaciones
en copia impresa en la página Bienvenido del Centro de publicaciones
de IBM.
Si su país no proporciona un servicio de pedidos en línea, póngase en contacto
con el representante de su cuenta de software para solicitar publicaciones.
Siga estos pasos para encontrar su contacto local:
1. Vaya a http://www.ibm.com/planetwide/
2. Pulse el nombre de su país para visualizar una lista de contactos.
Accesibilidad
Las características de accesibilidad ayudan a un usuario que tenga una
discapacidad física (como una movilidad restringida o una visión limitada) a
utilizar satisfactoriamente los productos de software. Con este producto, puede
utilizar las tecnologías de asistencia para escuchar y navegar por la interfaz.
También puede utilizar el teclado en lugar del ratón para realizar todas las
funciones de la interfaz gráfica de usuario.
Para obtener más información, consulte el tema relativo a la accesibilidad del
centro de información, en http://publib.boulder.ibm.com/infocenter/tivihelp/
v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html.
viii
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Formación técnica de Tivoli
Para obtener información sobre la formación técnica de Tivoli, consulte el siguiente
sitio web de IBM Tivoli Education en http://www.ibm.com/software/tivoli/
education.
Información de soporte
Si tiene un problema al utilizar software de IBM, deseará resolverlo rápidamente.
IBM facilita las siguientes opciones para obtener el soporte necesario:
En línea
Vaya al sitio de soporte de software de IBM Software Support, en
http://www.ibm.com/software/support/probsub.html y siga las
instrucciones.
IBM Support Assistant
IBM Support Assistant (ISA) es un entorno de trabajo gratuito para
proporcionar servicio al software local que le ayuda a resolver preguntas y
problemas con los productos de software de IBM. ISA proporciona un
acceso rápido a información relacionada con soporte y a herramientas de
capacidad de servicio para la determinación de problemas. Para instalar el
software de ISA, consulte el manual IBM Tivoli Federated Identity
ManagerGuía de instalación. Consulte también: http://www.ibm.com/
software/support/isa.
Guía de resolución de problemas
Para obtener más información acerca de la resolución de problemas,
consulte el manual IBM Tivoli Federated Identity Manager Guía de resolución
de problemas.
Sentencia de buenas prácticas de seguridad
La seguridad de los sistemas de las tecnologías de la información involucra
proteger los sistemas y la información mediante la prevención, detección y
respuesta al acceso inadecuado desde adentro y fuera de la empresa. El acceso
inadecuado puede resultar en la alteración, destrucción apropiación indebida o
empleo erróneo de la información, pero también puede resultar daño o utilización
indebida de sus sistemas, incluyendo su utilización para atacar a otros. Ningún
producto o sistema de las tecnologías de la información debería considerarse
completamente seguro y ningún producto, servicio o medida de seguridad puede
ser completamente efectivo al prevenir la utilización o acceso impropio. Los
sistemas, productos y servicios de IBM están diseñados para formar parte de un
método de seguridad completo, el que necesitará incluir procedimientos operativos
adicionales y puede requerir otros sistemas, productos o servicios para contar con
el máximo de efectividad. IBM NO GARANTIZA QUE NINGÚN SISTEMA,
PRODUCTO O SERVICIO SEA INMUNE, O HAGAN A SU EMPRESA INMUNE,
A LA CONDUCTA MALINTENCIONADA O ILEGAL DE CUALQUIERA DE LAS
PARTE.
Convenciones utilizadas en esta publicación
En este documento se utilizan varias convenciones para términos y acciones
especiales y para mandatos y vías de acceso que dependen del sistema operativo.
Acerca de esta publicación
ix
Convenios de tipo de letra
En esta publicación se utilizan los convenios de tipo de letra siguientes:
Negrita
v Mandatos en minúsculas y con combinación de mayúsculas y
minúsculas que de otra forma serían difíciles de distinguir del resto del
texto.
v Controles de la interfaz (recuadros de selección, pulsadores, selectores
cíclicos, campos, carpetas, iconos, recuadros de lista, elementos dentro de
recuadros de lista, listas de varias columnas, elecciones de menú,
nombres de menú, fichas, hojas de propiedades) y etiquetas (tales como
Consejo: y Consideraciones sobre el sistema operativo:).
v Palabras clave y parámetros en el texto.
Cursiva
v Citas (ejemplos: títulos de publicaciones, disquetes y CD).
v Palabras definidas en el texto (ejemplo: una línea no conmutada se
denomina línea punto a punto).
v Palabras y letras enfatizadas (ejemplo con palabras: "Utilice la palabra
that para introducir una cláusula restrictiva."; ejemplo de letras: "La
dirección LUN debe comenzar por la letra L").
v Nuevos términos en el texto (excepto en una lista de definiciones): una
vista es un marco de un espacio de trabajo que contiene datos.
v Variables y valores que el usuario debe proporcionar: ... donde minombre
representa....
Monoespaciado
v Ejemplos y ejemplos de código
v Nombres de archivo, palabras clave de programación y otros elementos
que son difíciles de distinguir del texto circundante
v Solicitudes y texto de mensajes dirigidos al usuario.
v Texto que el usuario debe escribir
v Valores para los argumentos o las opciones de mandatos.
Variables y vías de acceso que dependen del sistema
operativo
Esta publicación utiliza el convenio de UNIX para especificar variables de entorno
y para la notación de directorios.
Cuando utilice la línea de mandatos de Windows, sustituya $variable por %
variable% para las variables de entorno, y sustituya cada barra inclinada (/) por una
barra inclinada invertida (\) en las vías de acceso de directorios. Los nombres de
las variables de entorno no siempre son las mismas en los entornos Windows y
UNIX. Por ejemplo, %TEMP% en entornos Windows es equivalente a $TMPDIR en
entornos UNIX.
Nota: Si utiliza el shell Bash en un sistema Windows, puede utilizar las
convenciones UNIX.
x
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 1. Resolución de problemas y soporte
El proceso de resolución de problemas, en general, requiere que aísle e identifique
el problema, luego que busque una resolución. Para Tivoli Federated Identity
Manager, puede utilizar una lista de comprobación de resolución de problemas
para ayudarle. Si la lista de comprobación no le guía hacia a ninguna resolución,
puede recopilar datos de diagnóstico adicionales y analizarlos usted mismo.
También puede enviar los datos a IBM Software Support para que los analice.
Los temas de la resolución de problemas de Tivoli Federated Identity Manager
están organizados según la secuencia de estos pasos:
1. Obtener más información sobre un síntoma o una característica.
Para poder solucionar correctamente un síntoma o un problema con una
característica determinada de un producto, debe tener conocimientos básicos
sobre dicho síntoma o característica.
2. Siga la lista de comprobación de resolución de problemas para la característica
o síntoma adecuado.
La lista de comprobación de resolución de problemas ofrece una serie de
preguntas para guiarle en el proceso de aislamiento e identificación de
problemas. Si el problema es conocido para IBM, la lista de comprobación le
guiará hacia un arreglo, solución o método alternativo publicados.
Si la lista de comprobación de resolución de problemas no le ha conducido a
ninguna resolución, continúe con el paso siguiente.
3. Recopilar datos de diagnóstico.
Esta información describe cómo reunir la información necesaria que usted, o
IBM Software Support debe tener para determinar el origen de un problema.
4. Analizar los datos de diagnóstico.
Esta información describe cómo analizar los datos de diagnóstico que ha
recopilado.
© Copyright IBM Corp. 2006, 2013
1
2
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 2. Más información sobre los síntomas del problema
Este primer paso del proceso de resolución de problemas consiste en obtener más
información sobre los síntomas del problema, o sobre la característica afectada del
producto.
Los siguientes temas pueden ayudarle a adquirir información conceptual sobre
cómo resolver eficazmente problemas con IBM Tivoli Federated Identity Manager:
Acerca de la resolución de problemas
La resolución de problemas es un enfoque sistemático para solucionar un
problema. El objetivo es determinar por qué algo no funciona como debería y
cómo resolver el problema.
El primer paso del proceso de resolución de problemas es describir por completo el
problema. Una descripción del problema ayuda a IBM a determinar por dónde
empezar a buscar la causa del problema. Este paso incluye el hacerse algunas
preguntas básicas, tales como:
v ¿Cuáles son los síntomas del problema?
v ¿Dónde se produce el problema?
v ¿Cuándo se produce el problema?
v ¿Bajo qué condiciones se produce el problema?
v ¿Se puede reproducir el problema?
Las respuestas a estas preguntas normalmente conducen a una buena descripción
del problema. Una buena descripción del problema es la mejor manera de iniciar el
camino hacia la resolución del problema.
¿Cuáles son los síntomas del problema?
Al empezar a describir un problema, la pregunta más evidente es "¿Cuál es el
problema?". La pregunta podría parecer sencilla, sin embargo, puede detallarse en
varias preguntas más concisas que crear una imagen más descriptiva del problema.
Estas preguntas pueden ser:
v ¿Quién o qué está informando acerca del problema?
v ¿Cuáles son los códigos y los mensajes de error?
v ¿De qué manera falla el sistema? Por ejemplo, ¿se trata de un bucle, un fallo,
una caída del sistema, una degradación del rendimiento o un resultado
incorrecto?
v ¿Cómo afecta el problema al negocio?
¿Dónde se produce el problema?
Determinar dónde se origina el problema no siempre es fácil, pero es uno de los
pasos más importantes para resolver un problema. Muchas capas de tecnología
pueden existir entre los componentes de informe y los componentes anómalos. Las
redes, discos y controladores son sólo algunos de los componentes que deben
tenerse en cuenta al investigar los problemas. Las siguientes preguntas pueden
ayudarle a centrarse donde se ha producido el problema a fin de aislar la capa del
problema.
© Copyright IBM Corp. 2006, 2013
3
v ¿El problema es específico de una plataforma o sistema operativo o es común en
varias plataformas o sistemas operativos?
v ¿El entorno y la configuración actuales reciben soporte?
Recuerde que obtener un informe de la capa donde hay el problema no significa
que el problema se haya originado desde dicha capa. Para poder identificar dónde
se origina un problema, es necesario comprender el entorno en el que se encuentra.
Dedique un tiempo a describir exhaustivamente el entorno del problema, incluido
el sistema operativo, su versión, todo el software y las versiones correspondientes,
e información sobre el hardware. Confirme que está trabajando en un entorno con
una configuración soportada. Muchos problemas se pueden originar debido a
niveles de software incompatibles que no se han diseñado para que funcionen
conjuntamente o que no se han probado exhaustivamente cuando funcionan juntos.
¿Cuándo se produce el problema?
Desarrolle una línea temporal detallada de sucesos que den como resultado un
error, especialmente para los casos que sólo ocurran una vez. Puede rastrear más
fácilmente la línea temporal del problema trabajando de modo retrospectivo: Iniciar
en el momento que se ha notificado el error (de la manera más precisa posible,
incluso calculando los milisegundos) y trabajar hacia atrás a través de la
información y los registros.
Por lo general, sólo suele ser necesario llegar hasta el primer suceso sospechoso
que encuentra en un registro de diagnóstico. No obstante, trabajar así no siempre
es fácil y requiere práctica. Saber cuándo detener la búsqueda es especialmente
difícil si hay varias capas de tecnología, y si cada una de ellas tiene su propia
información de diagnóstico.
Para desarrollar una línea cronológica de sucesos, responda estas preguntas:
v ¿El problema sucede únicamente a una hora concreta del día o de la noche?
v ¿Con qué frecuencia sucede el problema?
v ¿Qué secuencia de sucesos conduce al momento en que se ha informado acerca
del problema?
v ¿Sucede el problema después de un cambio de entorno como, por ejemplo, la
actualización o instalación de software o hardware?
Responder a las preguntas anteriores puede ayudar a proporcionarle un marco de
referencia en el que podrá investigar el problema.
¿Bajo qué condiciones se produce el problema?
Saber qué otros sistemas y aplicaciones se ejecutan en el momento en que se
produce un problema es una parte importante de la resolución de problemas. Las
preguntas siguientes, entre otras, acerca del entorno pueden ayudarle a identificar
la causa del problema:
v ¿El problema siempre se produce al realizar la misma tarea?
v ¿Se debe producir una determinada secuencia de sucesos para que se produzca
el problema?
v ¿Fallan otras aplicaciones al mismo tiempo?
4
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
¿Se puede reproducir el problema?
Desde el punto de vista de la resolución de problemas, el problema ideal es aquel
que se puede reproducir. Ocurre habitualmente con los problemas que se pueden
reproducir que se dispone de un conjunto mayor de herramientas o
procedimientos que ayuden a la investigación. Por lo tanto, los problemas que se
pueden reproducir suelen más fáciles de depurar y resolver. No obstante, los
problemas que pueden reproducirse pueden presentar una desventaja. Si el
problema afecta significativamente el negocio, no deseará que se repita. Si es
posible, vuelva a crear el problema en un entorno de prueba o desarrollo, que
generalmente ofrece más flexibilidad y control durante la investigación.
v ¿Se puede reproducir el problema en un sistema de prueba?
v ¿Hay varios usuarios o aplicaciones que encuentren el mismo tipo de problema?
v ¿Puede volver a crearse el problema ejecutando un solo mandato, un conjunto
de mandatos, una aplicación determinada o una aplicación autónoma?
Acerca de los problemas de conectividad
Los problemas de conectividad generalmente implican a varios sistemas, incluido
software, hardware y comunicaciones. La mejor forma de solucionar los problemas
de conectividad es a través de un proceso de eliminación.
En primer lugar, recopile datos relevantes y determine qué sabe, qué datos no ha
recopilado y qué vías puede eliminar. Como mínimo, responda a estas preguntas.
v ¿Están operativas las vías de comunicación?
v ¿Ha sido satisfactoria la conexión inicial?
v ¿El problema es intermitente o permanente?
v ¿Se han realizado cambios en la red de comunicaciones que podrían invalidar las
anteriores entradas de directorio?
v ¿Dónde se ha detectado la interrupción en la comunicación? Por ejemplo, la
interrupción se produjo entre el cliente y un servidor?
v ¿Se ha encontrado el problema sólo en una aplicación determinada?
v ¿Qué puede determinar a partir el contenido del mensaje y de las señales
devueltas en el mensaje?
v ¿Hay algún otro sistema que pueda realizar satisfactoriamente tareas similares?
Si la tarea es una tarea remota, ¿ha sido satisfactoria cuando se ha realizado
localmente?
A continuación, intente aislar el problema respondiendo a las preguntas de la
Capítulo 3, “Lista de comprobación para la resolución de problemas de Tivoli
Federated Identity Manager”, en la página 11.
Acerca de Tivoli Federated Identity Manager
El primer paso para resolver un problema es obtener información de la
característica afectada del software.
Puede obtener más información acerca de Tivoli Federated Identity Manager a
partir de las siguientes fuentes:
v Information Center de IBM Tivoli Federated Identity Manager:
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/
com.ibm.tivoli.fim.doc_6.2.2/toc.xml
Capítulo 2. Más información sobre los síntomas del problema
5
v IBM Tivoli Education for Tivoli Federated Identity Manager. Consulte el catálogo
de formación de Tivoli en http://www-306.ibm.com/software/tivoli/education/
edu_prd.html
v Federated Identity Management and Web Services Security with IBM Tivoli Security
Solutions (SG24-6394-01). Esta publicación está disponible en formato PDF en
http://www.redbooks.ibm.com/redbooks/pdfs/sg246394.pdf o en formato
HTML en http://www.redbooks.ibm.com/redbooks/SG246394/
Acerca de los arreglos y las actualizaciones
Si encuentra un problema con el software de IBM Tivoli Federated Identity
Manager, primero debe comprobar la lista de actualizaciones para confirmar que su
software se encuentra en el nivel de mantenimiento más reciente. A continuación,
compruebe la lista de problemas arreglados para ver si IBM ya ha publicado un
arreglo individual para solucionar el problema.
Estas listas se encuentran en el sitio web de Tivoli Support para Tivoli Federated
Identity Manager: http://www.ibm.com/software/sysmgmt/products/support/
IBMTivoliFederatedIdentityManager.html
Los arreglos individuales se publican con la frecuencia necesaria para resolver los
defectos de IBM Tivoli Federated Identity Manager. Hay dos tipos de
recopilaciones acumulativas de arreglos, denominados fixpacks y paquetes de
renovación, que se publican periódicamente para IBM Tivoli Federated Identity
Manager. Los paquetes de arreglos y los paquetes de renovación aportan a los
usuarios el nivel de mantenimiento más reciente. Instale estos paquetes de
actualización lo más pronto posible para evitar problema.s
Para recibir una notificación semanal de los arreglos y las actualizaciones,
suscríbase a Mis actualizaciones de correo electrónico de soporte. Para obtener más
información, consulte el apartado “Recepción de notificaciones de arreglos” en la
página 47.
La siguiente tabla describe las características de cada arreglo.
Tabla 1. Tipos de mantenimiento
Nombre
Características
Arreglo
v Arreglo único que se publica entre actualizaciones para resolver un
problema concreto.
v Después de instalar un arreglo, pruebe las funciones que podrían verse
afectadas por el componente arreglado.
Fixpack
v Un fixpack contiene todos los arreglos que se han publicado desde el
fixpack o el fixpack de renovación anterior. Un fixpack también podría
contener arreglos nuevos.
v Los fixpacks incrementan el nivel de modificación del producto y se
denominan consecuentemente, por ejemplo 5.0.1
v Un fixpack puede actualizar componentes específicos, o puede actualizar
toda la imagen del producto.
v Durante la instalación de fixpack, todos los arreglos aplicados
anteriormente se desinstalan automáticamente.
v Después de instalar un fixpack, realice una prueba de regresión de todas
las funciones críticas.
v Los dos fixpacks más recientes están disponibles para su descarga (por
ejemplo, 5.0.2 y 5.0.1). Los fixpack anteriores no están disponibles.
6
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Tabla 1. Tipos de mantenimiento (continuación)
Nombre
Características
Paquete de
renovación
v Un paquete de renovación contiene todos los arreglos que se han publicado
desde el fixpack o el paquete de renovación anterior, además de nuevos
arreglos.
v Un paquete de renovación normalmente contiene una nueva función,
además de los arreglos, y actualiza toda la imagen del producto.
v Los paquetes de renovación incrementan el nivel de modificación del
producto y se denominan consecuentemente, por ejemplo 5.0.1.
v Durante la instalación del paquete de renovación, todos los arreglos
aplicados anteriormente se desinstalan automáticamente.
v Después de instalar un paquete de renovación, realice una prueba de
regresión en todas las funciones críticas.
Acerca de los mensajes
A menudo puede resolver el problema indicado en el aviso o el mensaje de error
que recibe de IBM Tivoli Federated Identity Manager leyendo todo el texto del
mensaje y las acciones de recuperación que están asociadas con el mensaje.
Puede encontrar todo el texto de los mensajes, sus explicaciones y las acciones de
recuperación buscando el identificador del mensaje en el IBM Tivoli Federated
Identity Manager Consulta de mensajes de error (manual en inglés).
Acerca de los problemas de rendimiento y los bloqueos
Los problemas de rendimiento surgen en distintas situaciones. Un bloqueo es un
tipo de problema de rendimiento en el que los usuarios deben esperar una
respuesta durante un tiempo indefinido. Las técnicas de resolución de problemas
son similares a las técnicas que debería utilizar para otros problemas de
rendimiento.
A continuación figuran algunos ejemplos de situaciones en las que los problemas
de rendimiento se hacen evidentes:
v El rendimiento de la consulta es más lento de lo esperado.
v La carga de trabajo o un trabajo por lotes no finaliza tan pronto como cabría
esperar, o se produce una reducción en la tasa o rendimiento de la transacción.
v El sistema en general funciona con más lentitud.
v Se sospecha que hay un cuello de botella en uno de los recursos del sistema,
como un procesador, E/S o memoria.
v La consulta u otro tipo de proceso de carga de trabajo está utilizando más
recursos de los que se esperaba o que no están disponibles.
v Un sistema presenta mejor rendimiento que otro.
v Se cuelga una consulta, una aplicación o un sistema.
Los bloqueos o las caídas de un sistema pueden ser difíciles de resolver porque
normalmente los síntomas coinciden con otros problemas. Por ejemplo, si un
usuario espera bastante tiempo una respuesta a una consulta, dicho usuario podría
pensar que el sistema se ha colgado. En muchos casos, la consulta podría ser
compleja y el sistema podría estar muy cargado de trabajo en ese momento, de
modo que el sistema no se ha quedado colgado o bloqueado. Sin embargo, el
sistema podría ser lento en responder. Asimismo, durante un cierre del sistema,
Capítulo 2. Más información sobre los síntomas del problema
7
una acumulación significativa de actividad podría provocar que pareciera que la
mayoría o todos los mandatos se quedaran colgados.
Además de caracterizar el problema correctamente en términos de cuáles son los
síntomas, y donde se observan dichos síntomas, también necesita otro tipo de
información para poder contextualizar el problema. Normalmente los síntomas van
de la lentitud a demasiados recursos utilizados, etc. Los síntomas normalmente se
encuentran en un recurso del sistema, una aplicación, una consulta, etc.
Responda las preguntas siguientes para determinar con rapidez cuál es el mejor
lugar para empezar a buscar la causa del problema de rendimiento.
1. ¿Cuando se ha producido el problema por primera vez?
Si el problema se ha producido durante algún tiempo, podría utilizar los datos
históricos para encontrar diferencias. Los datos históricos le ayudan a centrarse
en cambios en el comportamiento del sistema y en por qué estos cambios se
han producido. También debería considerar si se han producido cambios
recientemente, por ejemplo actualizaciones de hardware o software, un nuevo
despliegue de supresión de aplicación, usuarios adicionales, etc.
2. ¿El problema de rendimiento es constante o intermitente?
Si el bajo rendimiento es continuo, compruebe si el sistema ha empezado a
manejar una mayor carga de trabajo. También puede comprobar si un recurso
de base de datos compartido tiene un cuello de botella. Otras posibles causas
de degradación del rendimiento pueden ser un aumento de la actividad de los
usuarios, el uso de varias aplicaciones de gran tamaño o la eliminación de
dispositivos de hardware. Si rendimiento es pobre sólo durante períodos de
tiempo breves, empiece a buscar las aplicaciones o programas de utilidad
comunes que se ejecutan durante dichos períodos. Si los usuarios indican que
un grupo de aplicaciones experimentan problemas de rendimiento, puede
iniciar su análisis centrándose en dichas aplicaciones.
3. ¿El problema sucede en todo el sistema o de forma aislada en Tivoli Federated
Identity Manager o sus componentes?
Los problemas de rendimiento de todo el sistema sugieren que hay un
problema fuera de Tivoli Federated Identity Manager. Se debe arreglar algo a
nivel de sistema operativo.
4. ¿Y si el problema está aislado en un componente, alguna actividad concreta
provoca el problema?
Si un componente parece que causa el problema, puede evaluar si los usuarios
que están notificando esta actividad concreta experimentan una desaceleración.
Podría aislar el problema a un componente y una actividad específica.
5. ¿Ha notado que alguna característica habitual tenga un rendimiento bajo o si el
problema se produce de forma aleatoria?
Determine si algunas funciones comunes están implicadas. La función de
implicación podría indicar que estas funciones son un punto de contención.
Acerca de interrupciones, bloqueos y finalizaciones anómalas
Los términos trap (interrupción), crash (bloqueo) y abend (finalización anómala) a
menudo se utilizan como sinónimos.
Si Tivoli Federated Identity Manager no puede continuar el proceso como
resultado de una interrupción, una violación de segmentación o una excepción, se
genera un error.
8
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
La mayoría de interrupciones, bloqueos o finalizaciones anómalas de Tivoli
Federated Identity Manager dan como resultado una excepción. La excepción se
incluye en el registro de mensajes y normalmente no es necesario habilitar un
rastreo a fin de notificarla. Sin embargo, estos errores pueden registrarse en un
registro de rastreo, en caso de que el equipo de soporte de IBM indique que hay
que habilitar el registro. Si abre un informe de problema con IBM, debe
proporcionar el registro de rastreo para poder realizar un análisis.
Sólo debe generar archivos de rastreo cuando IBM Software Support se lo pida,
aunque Tivoli Federated Identity Manager puede generar registros de rastreo bajo
demanda. Consulte “Registros de rastreo” en la página 53 para obtener más
información.
Capítulo 2. Más información sobre los síntomas del problema
9
10
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 3. Lista de comprobación para la resolución de
problemas de Tivoli Federated Identity Manager
Las siguientes preguntas pueden ayudarle a identificar el origen de un problema
que se ha producido con Tivoli Federated Identity Manager.
1. ¿Están los arreglos temporales y fixpack actualizados?
Consulte el apartado “Obtención de arreglos” en la página 47 para obtener
más información.
2. ¿el problema está documentado en la información de release de Tivoli Federated
Identity Manager ?
Consulte la información de release en el Information Center de Tivoli
Federated Identity Manager: http://publib.boulder.ibm.com/infocenter/
tiv2help/index.jsp
3. ¿La base de conocimiento de IBM contiene información adicional sobre el
problema?
Consulte el apartado Capítulo 6, “Búsqueda en bases de conocimiento”, en la
página 49.
4. ¿Ha recibido algún mensaje de error?
Consulte IBM Tivoli Federated Identity Manager Consulta de mensajes de error
(manual en inglés) para obtener información sobre los mensajes de error.
5. ¿Los registros contienen mensajes sobre el problema?
Consulte los apartados “Registros de mensajes” en la página 52 y “Registros
de rastreo” en la página 53 para obtener más información.
6. ¿El problema se produce al realizar la instalación o desinstalación de una de
las siguientes características?
v Tivoli Federated Identity Manager o sus componentes
Consulte el apartado IBM Tivoli Federated Identity Manager Guía de instalación
(manual en inglés).
v Common Auditing and Reporting Service
Consulte el apartado IBM Tivoli Federated Identity Manager Guía de auditoría
(manual en inglés).
v IBM Tivoli Access Manager for e-business
Consulte el manual IBM Tivoli Access Manager for e-business Troubleshooting
Guide.
v WebSphere Application Server
Consulte los temas de resolución de problemas de instalación en el
Information Center de IBM WebSphere Application Server en
http://www.ibm.com/software/webservers/appserv/was/library/.
7. ¿El problema se produce cuando configura Tivoli Federated Identity Manager?
Consulte “Problemas de configuración de Tivoli Federated Identity Manager”
en la página 16.
8. ¿El problema se produce cuando intenta ejecutar la consola de administración?
Consulte los apartados “Problemas de Integrated Solutions Console” en la
página 28 y “Problemas de consola de WebSphere Application Server” en la
página 32.
9. ¿El problema implica una anomalía de despliegue?
© Copyright IBM Corp. 2006, 2013
11
Consulte “Se ha recibido un error sobre la operación de despliegue” en la
página 41.
10. Si no puede resolver el problema con los pasos anteriores, recopile
información adicional sobre la ubicación del problema, o las condiciones
durante las cuales se ha producido el problema:
v ¿El problema se ha producido durante el proceso de ejecución?
– ¿La conexión ha fallado?
– ¿Se ha quedado colgado?
– ¿Ha tenido algún problema de rendimiento como una respuesta lenta o
un "bloqueo"?
– ¿Ha tenido una interrupción, se ha terminado anormalmente o se ha
emitido una excepción Java™?
v ¿Se ha producido el problema al configurar una función específica?
v ¿Se ha producido el problema al realizar una tarea específica?
Las respuestas a estas preguntas le podrían ayudar a determinar la ubicación
del problema y encontrar información adicional sobre el problema. Por
ejemplo, si el problema se produce al configurar una función o una tarea
específica, podría encontrar una solución en la documentación relativa a dicha
función o tarea.
Si la lista de comprobación no le guía hacia una resolución, puede recopilar datos
de diagnóstico adicionales. Los datos adicionales podrían ser necesarios para el
personal de soporte de IBM a fin de ayudarle a resolver el problema. Consulte el
apartado Capítulo 7, “Recopilación de datos”, en la página 51 para obtener
detalles.
12
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 4. Problemas y soluciones conocidas
Los problemas conocidos más habituales y sus soluciones se describen en las
siguientes secciones.
Problemas de instalación
Este apartado describe los problemas asociados al instalar Tivoli Federated Identity
Manager.
La instalación de Tivoli Federated Identity Manager falla en los
sistemas Solaris
Bajo circunstancias poco comunes, es posible que el daemon de gestión de
volúmenes de Solaris (vold) impida una instalación de Tivoli Federated Identity
Manager. Después de solicitar los parámetros de instalación, el programa de
instalación no puede encontrar la JVM correcta.
Nota: El montaje de la imagen ISO de Tivoli Federated Identity Manager con un
dispositivo de bucle de retorno no tiene este problema.
Para arreglar este problema, puede reiniciar el daemon de gestión de volúmenes
(vold) o montar el CD manualmente.
Para detener y reiniciar vold:
1. Detenga vold con el mandato /etc/init.d/volmgt stop.
2. Inicie vold con el mandato /etc/init.d/volmgt start.
3. Ejecute la instalación de Tivoli Federated Identity Manager.
Para colocar manualmente el CD:
1. Detenga vold con el mandato /etc/init.d/volmgt stop.
2. Encuentre el dispositivo de CD con el mandato ls -la /dev/sr0.
Este mandato genera el dispositivo c#t#d#s2 para el CD.
3. Utilice el mandato mount -F hsfs /dev/c#t#d#s2punto_montaje para montar el
dispositivo.
4. Ejecute la instalación de Tivoli Federated Identity Manager.
5. Elimine el dispositivo después de instalar Tivoli Federated Identity Manager y
reiniciar vold con los mandatos siguientes:
umount punto_montaje/etc/init.d/volmgt start
El archivo de respuestas de instalación generado de Tivoli
Federated Identity Manager no funciona correctamente en una
instalación silenciosa
El archivo de respuestas de instalación generado utilizando la opción de
instalación -record-options contiene dos parámetros licenseAccepted adicionales
establecidos en false. Los parámetros licenseAccepted adicionales impiden que el
archivo de respuestas de instalación generado funcione correctamente durante una
instalación silenciosa.
© Copyright IBM Corp. 2006, 2013
13
Como solución temporal, debe editar el archivo de respuestas del instalador
generado y suprimir las instancias adicionales de -G licenseAccepted=false.
Asegúrese de que sólo falte un parámetro licenseAccepted y que esté definido en
true. Por ejemplo: -G licenseAccepted=true.
Los mandatos de la interfaz de línea de mandatos de Tivoli
Federated Identity Manager no funcionan correctamente
inmediatamente después de la instalación del producto
La interfaz de línea de mandatos (CLI) de Tivoli Federated Identity Manager no
funciona inmediatamente después de que se instale el producto porque el
programa de instalación no detiene y reinicia WebSphere Application Server.
Utilice los mandatos CLI de Tivoli Federated Identity Manager para detener
manualmente y, a continuación, reiniciar el servidor WebSphere Application Server
antes de empezar.
El script de instalación del fixpack ha fallado debido a una no
coincidencia del puerto SOAP
La instalación del fixpack del tiempo de ejecución de Tivoli Federated Identity
Manager se debe conectar al puerto SOAP de WebSphere Application Server para
desplegar el tiempo de ejecución. El instalador del fixpack adquiere su valor de
puerto SOAP de la línea siguiente en el archivo /<-installation-directory>/etc/
fim.appservers.properties de la instancia de Tivoli Federated Identity Manager
que se está arreglando:
was.soap.port=8880
O BIEN
ewas.soap.port=8880
Este valor se define en el archivo cuando se instala la instancia de Tivoli Federated
Identity Manager.
Para que la conexión tenga éxito, la instancia de WebSphere Application Server en
la que se está realizando el despliegue debe seguir usando dicho puerto SOAP. Si
no es así, la instalación del fixpack de Tivoli Federated Identity Manager falla en el
UPDI de WebSphere Application Server y se informa del error del modo siguiente:
La comprobación de requisitos previos ha fallado. Pulse Atrás para
seleccionar un paquete diferente, o pulse Cancelar para salir.
Los mensajes de error asociados son:
El servidor WebSphere no parece que esté escuchando en un puerto localhost
de host 8881 tal como se especifica en /opt/IBM/FIM/etc/
fim.appservers.properties. Asegúrese de que el servidor se está ejecutando
y que el puerto y el host especificados son correctos.
Si el puerto especificado es diferente del puerto SOAP real utilizado, cambie el
valor en el archivo fim.appservers.properties para trabajar con el puerto que está
siendo utilizado por WebSphere Application Server. A continuación, vuelva a
aplicar el fixpack.
14
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
El instalador FIM falla si se utiliza un valor '$' en un JKS de
WebSphere Application Server o en la contraseña de un archivo
P12
Se trata de una restricción permanente en Tivoli Federated Identity Manager 6.1.1.
El instalador del fixpack utiliza el mismo código, de forma que se aplica la misma
restricción a las instalaciones de fixpack.
La solución temporal para esta restricción se documenta en la nota técnica
#1307656 que lleva por título Un símbolo $ en una contraseña de almacén de
confianza o de almacén de claves impide la instalación. Está disponible de forma
pública en el sitio de soporte de Tivoli Federated Identity Manager.
La instalación de IBM Tivoli Federated Identity Manager falla en
Windows Server 2008 R2 si se utiliza la modalidad de interfaz
gráfica de usuario
La instalación de Tivoli Federated Identity Manager mediante la interfaz gráfica de
usuario en Windows Server 2008 R2 falla. Es posible que encuentre el siguiente
mensaje de error: El instalador no puede ejecutarse en la modalidad gráfica.
Intente ejecutar el instalador con el distintivo -console o -silent. Este
problema es específico al uso de Windows 7 o Windows Server 2008 R2.
Para resolver el problema de instalación:
1. Pulse con el botón secundario del ratón en Propiedades, en el archivo
install.exe, en la carpeta Tivoli Federated Identity Manager de la imagen de
instalación para Tivoli Federated Identity Manager. Se abre la ventana
Propiedades.
2. Pulse el tabulador Compatibilidad en la ventana Propiedades.
3. Pulse Cambiar valores para todos los usuarios en el tabulador
Compatibilidad. Se abre una nueva ventana Propiedades.
4. Seleccione la opción Ejecutar el programa en la modalidad de compatibilidad
y seleccione la modalidad Windows Server 2008 (Service Pack 1).
5. Pulse Aceptar en la parte inferior de la ventana y pulse Aceptar en la ventana
restante.
Problemas de desinstalación
Este tema describe temas asociados con la desinstalación Tivoli Federated Identity
Manager.
Los archivos JAR incorporados de WebSphere Application
Server se suprimen después del reinicio del sistema
Sólo en plataformas Windows, si instala Tivoli Federated Identity Manager y luego
desinstala y vuelve a instalar Tivoli Federated Identity Manager, reiniciar el sistema
provoca que la versión incorporada de los archivos JAR de WebSphere Application
Serveren en el directorio ewas\java\jre\lib y otros archivos no se supriman
durante el proceso de instalación; se deben suprimir después de reiniciar el
sistema.
Nota: Esto ocurrirá sólo si:
v Tivoli Federated Identity Manager está instalado en la misma ubicación que los
archivos que están bloqueados,
Capítulo 4. Problemas y soluciones conocidas
15
-ANDv La ubicación del directorio está marcada para que se suprima.
Estos archivos JAR deberían haberse suprimido durante la desinstalación, pero no
se han podido suprimir porque un proceso ha bloqueado los archivos. Por lo tanto,
el sistema operativo marca estos archivos para suprimirlos en otro momento y el
reinicio del sistema hace que los archivos se supriman.
Debe reiniciar el sistema después de que se haya completado la desinstalación de
Tivoli Federated Identity Manager.
Problemas de configuración de Tivoli Federated Identity Manager
Los siguientes problemas y soluciones están relacionados con la configuración de
Tivoli Federated Identity Manager.
No añada archivos o subdirectorios a la biblioteca compartida
ITFIM_WSSM
No añada archivos o subdirectorios al directorio ITFIM_WSSM. Si añade archivos o
subidrectorios al directorio ITFIM_WSSM, es posible que se muestren en la vía de
acceso de clase y tenga efectos adversos. La biblioteca compartida ITFIM_WSSM
afecta a la vía de acceso de clase compartida para todas las aplicaciones que se
ejecutan en el servidor. La vía de acceso de clases de biblioteca compartida incluye
el directorio de instalación ITFIM_WSSM.
Valores de propiedad SSL para la alteración temporal del
servicio de auditoría que no sean los valores de propiedad de
SSL
Las propiedades SSL que se utilizan para una conexión HTTP de salida de un
servidor de aplicaciones a un servidor Common Auditing and Reporting Service
pueden alterar temporalmente las propiedades SSL en solicitudes HTTPS de salida
de otras aplicaciones que están desplegadas en el mismo WebSphere Application
Server.
Si el cliente de Common Auditing and Reporting Service WebSphere establece las
propiedades del sistema para el almacén de claves de confianza, los valores
alterarán temporalmente otros clientes SSL que se ejecuten en la JVM si éstos
deben utilizar la misma configuración de propiedad del sistema.
Por ejemplo, si Tivoli Federated Identity Manager está configurado para que utilice
una conexión HTTPS a un servidor Common Auditing and Reporting Service, se
utiliza el almacén de claves de confianza que se ha especificado para la conexión
en todas las demás conexiones de salida HTTPS de ese WebSphere Application
Server. Las posteriores peticiones de salida HTTPS pueden fallar y devolver la
siguiente excepción:
javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown
Para arreglar este problema en WebSphere Application Server Versión 6.0.2, añada
el certificado de la CA de otras solicitudes HTTPS de salida del servidor de
aplicaciones al almacén de claves de confianza que se utiliza para la conexión
HTTPS con el servidor Common Auditing and Reporting Service.
Ejemplo:
16
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Si una aplicación de servicio web que se ejecuta en un servidor de aplicaciones
está configurado para realizar una conexión de salida en un servicio de confianza
de Tivoli Federated Identity Manager HTTPS, añada el certificado de la CA de esa
conexión HTTPS al almacén de claves de confianza utilizado para la conexión
HTTPS con el servidor Common Auditing and Reporting Service.
Para arreglar este problema en WebSphere Application Server 6.1, defina
configuraciones SSL dinámicas de punto final de salida.
En la consola administrativa de WebSphere, seleccione Seguridad > Gestión de
claves y certificado SSL > Configuraciones SSL dinámicas de punto final de
salida.
Defina una conexión de salida que se base en el nombre de host de destino, un
puerto y un protocolo, y especifique la configuración SSL que se utilizará.
Puede definir propiedades SSL exclusivas para conexiones de salida en el servidor
Common Auditing and Reporting Service y en otros sistemas de destino de las
solicitudes SSL de salida.
No utilice caracteres de idioma nacional en los nombres de
federación
Tivoli Federated Identity Manager podría no funcionar correctamente cuando se
incluyen caracteres de idioma nacional en el nombre de federación. El uso de
caracteres de idioma nacional en nombre de federación no está soportado. Los
nombres de federación se incluyen en URL y en distintos servidores web, y los
navegadores soportan las convenciones incompatibles para convertir los caracteres
de idioma nacional en componentes URL.
Utilice sólo los siguientes caracteres en nombres de federación:
v Caracteres alfabéticos: A-Z, a-z
Utilice caracteres alfanuméricos US-ASCII.
v Números: 0-9
Soluciones temporales para espacios en la vía de acceso al
archivo de tabla de claves para SPNEGO
Si WebSphere Application Server está instalado en un directorio que contiene un
espacio en el nombre, por ejemplo el directorio de instalación predeterminado en
una plataforma Windows, la autenticación SPNEGO no se puede configurar
correctamente.
Este problema se aplica a la versión incorporada de WebSphere Application Server
y a las versiones autónomas de WebSphere Application Server.
La siguiente sección describe las dos maneras de eludir este problema.
Si la autenticación SPNEGO ya está configurada en la consola de gestión de
Tivoli Federated Identity Manager:
Después de configurar la autenticación SPNEGO en la consola de gestión
de Tivoli Federated Identity Manager, actualice el archivo krb5.ini para
cambiar la vía de acceso al archivo de tabla de claves Kerberos a un
formato que no contenga espacios. Por ejemplo, el formato Windows 8.3.
Capítulo 4. Problemas y soluciones conocidas
17
La vía de acceso al archivo krb5.ini se puede describir de la siguiente
manera:
WAS_HOME/profiles/WAS_PROFILE/config/itfim/ FIM_DOMAIN/etc/krb5.ini
El archivo krb5.ini contiene una línea similar a:
default_keytab_name = C:/Program Files/ IBM/WebSphere/AppServer/
profiles/AppSrv01/config/itfim/default/etc/krb5.keytab
Normalmente, sólo debe cambiar Archivos de programa por Progra~1, por
ejemplo:
default_keytab_name = C:/Progra~1/ IBM/WebSphere/AppServer/profiles/
AppSrv01/config/itfim/default/etc/krb5.keytab
Después de realizar esta actualización, reinicie WebSphere Application
Server. Debe volver a aplicar este cambio cada vez que modifique los
valores de configuración del proveedor de identidad en la consola de
gestión de Tivoli Federated Identity Manager.
Si la autenticación SPNEGO todavía NO está configurada en la consola de
gestión de Tivoli Federated Identity Manager:
Especifique la vía de acceso con formato 8.3 en el archivo de plantilla
krb5.ini.template antes de configurar la autenticación SPNEGO en la
consola de gestión de Tivoli Federated Identity Manager. Es posible que la
vía de acceso varíe en función del directorio de instalación de WebSphere
Application Server.
El siguiente directorio contiene el archivo krb5.ini.template:
FIM_install_root/etc/krb5.ini.template
Sustituya la siguiente línea en krb5.ini.template:
default_keytab_name = @KEYTAB@
con el nombre de archivo 8.3 completo, por ejemplo:
default_keytab_name = C:/Progra~1/IBM/WebSphere/AppServer/profiles/
AppSrv01/config/itfim/default/etc/krb5.keytab
La actualización garantiza que el nombre de archivo se conserva cada vez
que configura los valores de configuración del proveedor de identidad en
la consola de gestión de Tivoli Federated Identity Manager
Actualizar permisos para grabar archivos de registro en el
directorio de registros
Este tema sólo es relevante para clientes con el conector de Tivoli Federated
Identity Manager para IIS en sistemas Windows.
En entornos locales que no sean en inglés, los archivos de registro se pueden
añadir al directorio FIM_install_dir\fimpi\log.
Utilice el mandato cacls.exe y el nombre específico del entorno local para el
grupo "NETWORK SERVICE", para asignar los permisos para que se pueda grabar
el archivo de registro en el directorio FIM_install_dir\fimpi\log.
Utilice el mandato siguiente:
cacls.exe FIM_install_dir\fimpi\log /t /e /g
name_of_network_service_group:F
Donde name_of_network_service_group es el nombre traducido del grupo
NETWORK SERVICE para su entorno local.
18
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
No se puede habilitar la seguridad 2 de Java en un sistema
Tivoli Federated Identity Manager
No se puede habilitar la seguridad 2 de Java en un sistema Tivoli Federated
Identity Manager. Es posible que el producto Tivoli Federated Identity Manager no
funcione y que esta configuración no esté soportada.
Algunos de los síntomas son:
v Un error informa de que la consola no se puede comunicar con el servicio de
gestión.
FBTCON257E Se ha producido un error al comunicar con el servicio de
gestión. Consulte los archivos de registro del servidor para obtener más
información.
v Errores en los registros que indican un problema de permiso en el arranque.
Rastreo de pila:
ava.security.AccessControlException:
Acceso denegado (java.util.PropertyPermission * read,write)
en java.security.AccessController.checkPermission(AccessController.java:108)
v Las excepciones de tiempo de ejecución de la consola son:
javax.management.RuntimeOperationsException:
El parámetro "name" no puede ser nulo en
com.ibm.ws.management.AdminClientImpl.assertObjectNameValid(AdminClientImpl.java:287)
Nota:
v El objetivo principal de la seguridad 2 de Java es proteger el contenedor de
WebSphere Application Server de código Java no fiable. Puesto que el cliente
confía en IBM, no hay ninguna razón técnica para habilitarla.
v Cuando se utiliza esta función, afecta significativamente al rendimiento.
Compare el coste de utilizar esta función con el riesgo del código.
Utilización del elemento ServiceName y PortType para
seleccionar una cadena específica del módulo STS
En función de los valores que se utilizan dentro de los elementos ServiceName y
PortType, puede haber una discrepancia con el siguiente error en el rastreo:
FBTSTM015E No hay ningún XPath configurado que haya seleccionado un nodo de
la solicitud, o el TokenType o AppliesTo proporcionados
También podría haber distintas solicitudes que se correlacionen con la misma
cadena si se utiliza un "*" genéricamente en ambos campos.
Los siguientes valores deben coincidir en el Nombre de servicio y el Tipo de
puerto:
v La parte izquierda de los dos puntos debe coincidir con el NSURI del espacio de
nombres de WS-Addressing que se utiliza para los elementos PortType y
ServiceName de la solicitud.
v La parte derecha de los dos puntos debe coincidir con los valores que se utilizan
en los elementos ServiceName y PortType.
Llamada a clases Java desde XSLT en ITFIM 6.2
Tivoli Federated Identity Manager 6.2 se ha desarrollado utilizando el modelo de
infraestructura OSGI.
Capítulo 4. Problemas y soluciones conocidas
19
Tivoli Federated Identity Manager 6.2 cambia la manera en que cada módulo
encuentra otras clases. Llamar a Java desde XSLT se basa en un detalle de
implementación que está fuera de control de ITFIM. Esta restricción es una
limitación y oficialmente no está soportada. La manera correcta y soportada de
utilizar clases Java personalizadas en una regla de correlación es desarrollar un
modelo personalizado. El modelo se utiliza en la modalidad de correlación en una
cadena STS.
Parámetros de configuración de DirectoryIntegratorSTSModule
v Tamaño de la agrupación de manejadores de línea de ensamblaje
v Número de hebras de espera
v Cantidad de tiempo que deben esperar las hebras a que un manejador de línea
de ensamblaje esté disponible
Los manejadores de la línea de ensamblaje (ALH) de Tivoli Directory Integrator
son síncronos y de proceso múltiple. Esta limitación es la razón por la cual se crea
una agrupación.
Establezca el tamaño de la agrupación para que sea el número previsto de clientes
simultáneos que se espera para el sistema. Establecer el tamaño de la agrupación
en un número grande no hace ninguna diferencia si hay llamadas de bloqueo que
la propia línea de ensamblaje está realizado.
De forma similar, no se obtiene ninguna ventaja en hacer que el tamaño de la
agrupación sea mayor que el número máximo de hebras en WebSphere o
WebSEAL. El número de hebras de espera indica cuántas hebras podrá bloquear
Tivoli Federated Identity Manager al esperar un ALH libre para llamar a Tivoli
Directory Integrator.
Si se indica cero, las hebras no harán ningún bloqueo si un ALH no está
inmediatamente disponible y se devuelve un error. Si se indica un número inferior
a cero, las hebras se bloquearán indefinidamente.
Si el número indicado es mayor que cero, se bloquearán durante un número de
segundos especificados. Evite establecer la hebra de espera con un número
negativo a fin de evitar otros problemas como el hecho de que se puedan colgar
todas las hebras en WebSEAL.
Error al utilizar la conexión de prueba para el servicio ITFIM
Cuando utiliza ITFIM 6.2 en Linux, podría encontrar un problema al crear un
dominio. Después de instalar Tivoli Federated Identity Manager 6.2 y seleccionar la
conexión de prueba, podría encontrar el error siguiente:
FBTCON313E Se ha producido un error al invocar el servicio de gestión de
ITFIM. Es posible que el servicio de gestión no esté disponible.
Este error es debido al hecho de tener varias repeticiones de instalación y
desinstalación en el entorno.
Para resolver este problema, desinstale manualmente ITFIM del entorno. Todos los
siguientes mandatos se ejecutan desde el indicador wsadmin.
Para desinstalar manualmente ITFIM del entorno:
20
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
1. Asegúrese de que WebSphere Application Server se haya iniciado antes de
ejecutar wsadmin.
2. Inicie wsadmin con el siguiente mandato:
/<WAS_INSTALL_ROOT>/profiles/<server_name>/bin/wsadmin.sh -user <user>
-password <password>
por ejemplo: /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/bin/
wsadmin.sh -user wasadmin -password passw0rd
3. Liste las aplicaciones que estén actualmente instaladas en WebSphere
Application Server con el siguiente mandato:
wsadmin>$AdminApp list
Nota: La consola de Tivoli Federated Identity Manager no aparece listada aquí
porque se ha desinstalado como aplicación del sistema en WebSphere.
4. Desinstale una aplicación.
v Para desinstalar una aplicación (como ITFIMManagementService y
ITFIMRuntime) de un WebSphere Application Server autónomo, ejecute estos
mandatos por orden:
wsadmin>$AdminApp uninstall <application_name>
wsadmin>$AdminConfig save
El <application_name> se puede determinar utilizando el mandato $AdminApp
list.
v Para desinstalar una aplicación de un clúster de WebSphere Application
Server, ejecute el mismo mandato pero desde el indicador wsadmin del
gestor de despliegue.
5. Es necesaria una sincronización de nodos en un clúster a fin de propagar los
cambios de configuración al nodo o a los nodos afectados. De forma
predeterminada, esta situación se produce periódicamente si el nodo se puede
comunicar con el gestor de despliegue. Puede propagar los cambios
explícitamente desde el indicador wsadmin del gestor de despliegue con el
mandato siguiente:
wsadmin>set Sync1 [$AdminControl completeObjectName
type=NodeSync,node=myNodeName,*] wsadmin>$AdminControl invoke $Sync1
sync
6. Desinstale fimconsole de WebSphere Application Server, con el siguiente
mandato:
wsadmin>$AdminApp update isclite modulefile {-operation delete
-contenturi itfim-fimconsole-e.war} wsadmin>$AdminConfig save
7. Después de utilizar los mandatos de wsadmin para eliminar
ITFIMManagementService, ITFIMRuntime y Fimconsole de WebSphere, elimine los
siguientes directorios del sistema de archivos:
/opt/IBM/FIM
/opt/IBM/WebSphere/AppServer/systemApps/isclite.ear/itfim-fimconsole-*.war
Excepción en SystemOut.log durante el arranque de servidor de
ITFIM
Cuando se inicia un nodo donde está desplegado el entorno de ejecución de
ITFIM, el arranque del servidor puede fallar y devolver la excepción siguiente:
com.tivoli.am.fim.rte.config.impl.RuntimeConfigurationImpl setThreadSubject
java.lang.NullPointerException
Capítulo 4. Problemas y soluciones conocidas
21
La excepción de rastreo de pila completa en el servidor SystemOut.log contiene la
información siguiente:
13/11/09 13.24.25:502 CET] 00000036 RuntimeConfig I
com.tivoli.am.fim.rte.config.impl.RuntimeConfigurationImpl
setThreadSubject java.lang.NullPointerException at
com.ibm.ws.security.auth.ContextManagerImpl.isWSSubject
El problema se ha generado por una configuración de dominio de ITFIM errónea
que está utilizando SSL para conectarse con el gestor de despliegue. No obstante,
la seguridad de WebSphere Application Server no está habilitada en la célula de
WebSphere Application Server, de modo que el tráfico del puerto 8879 (puerto
SOAP para el gestor de despliegue) no está utilizando SSL.
Para resolver este problema inhabilite la opción La seguridad global de
WebSphere está habilitada. Esta configuración se puede realizar en la
configuración de punto final de servicio de gestión de dominios ITFIM de la
consola ISC si la seguridad de WebSphere Application Server no está habilitada en
la célula.
El cierre de sesión único de ITFIM no funciona correctamente
El problema se produce por una configuración de unión incorrecta.
El problema se produce en las siguientes condiciones:
v WebSEAL es el punto de contacto.
v El método que se utiliza para invalidar las sesiones requiere que Tivoli
Federated Identity Manager sepa el ID de sesión de la sesión que está
invalidando.
Para que WebSEAL pase el ID de sesión como un atributo, debe estar configurada
la unión que apunta a Tivoli Federated Identity Manager.
Utilice la herramienta tfimcfg.jar para configurar WebSEAL en la creación de la
unión con la configuración necesaria a fin de que WebSEAL pase el ID de sesión.
Ejemplo de una unión:
object show /WebSEAL/ip-ip/FIM/
Name: /WebSEAL/ip-ip/FIM
Description: Object from host saml20sp3.
Type: 16 (Management Object)
Is Policy Attachable: Yes
Extended Attributes
Name: HTTP-Tag-Value
Value(s): ssn=ssn
name=name
email=email
user_session_id=user_session_id
Attached ACL: itfim_saml20ip2_nobody
Attached POP:
Attached AuthzRule:
Effective Extended Attributes
Protected Object Location: /WebSEAL/ip-ip/FIM
Name: HTTP-Tag-Value
Value(s): ssn=ssn
name=name
email=email
22
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
user_session_id=user_session_id
Effective ACL: itfim_saml20ip2_nobody
Effective POP:
Effective AuthzRule:
Asegúrese de que el ID de sesión haya pasado por la unión.
itfimcfg.jar también habilita EAI para la instancia de WebSEAL de
SOAP
itfimcfg.jar también habilita la autenticación EAI cuando utiliza el programa de
utilidad Tivoli Federated Identity Manager para configurar la instancia SOPA
WebSEAL.
EAI está habilitado en SOAP porque la misma instancia de WebSEAL se puede
utilizar para el punto de contacto de inicio de sesión único y el canal de SOAP. Se
ha añadido una mejora a WebSEAL para que pueda aceptar la solicitud de
terminación de sesión directamente desde un servidor de Tivoli Federated Identity
Manager. WebSEAL puede aceptar la solicitud de terminación de sesión en lugar
de hacerlo a través de la interfaz de programación de la aplicación PDadmin. Esta
función requiere que WebSEAL se configure para la configuración de EAI.
Un desencadenante de EAI debe estar configurado en todos los URL que pueden
recibir una solicitud de cierre de sesión. Puesto que puede utilizar SOAP para
iniciar un cierre de sesión, la herramienta de configuración establece un
desencadenante EAI en el punto final de SOAP.
Si el punto final de SOAP está alojado en un servidor de WebSEAL distinto del
que maneja las sesiones de usuario, Tivoli Federated Identity Manager detectará
que se están utilizando distintos servidores. Tivoli Federated Identity Manager
vuelve a utilizar la interfaz de programación de aplicaciones de PDadmin para
cerrar sesión a no ser que el entorno esté habilitado para que utilice SMS (Session
Management Server). En el caso de que no se utilice SMS, la configuración de EAI
en el punto final de SOAP no es útil y se puede inhabilitar manualmente.
La consola no muestra el nuevo miembro del clúster en la tabla
Nodos de ejecución
La consola no muestra el nuevo miembro del clúster en la tabla Nodos de
ejecución después de que se haya añadido al clúster.
Para mostrar el nuevo miembro del clúster:
1. Edite el archivo software.properties del subdirectorio /pkg donde Tivoli
Federated Identity Manager está instalado.
2. Actualice com.tivoli.am.fim.rte.software.serialId con un valor distinto.
Por ejemplo, cambie: com.tivoli.am.fim.rte.software.serialId=1197396816285
por com.tivoli.am.fim.rte.software.serialId=1197396816286
3. Inicie sesión en la consola de gestión.
4. Pulse Tivoli Federated Identity Manager > Gestión de dominios > Gestión de
nodos de ejecución. Cuando se abra el portlet, comprueba si
software.properties serialId se ha actualizado.
5. Pulse Desplegar el entorno de ejecución.
Después de que se haya completado el despliegue, el nodo estará visible en la
tabla.
Capítulo 4. Problemas y soluciones conocidas
23
LTPA Versión 2 BinarySecurityToken ValueType no está
soportado por WebSphere Application Server Versiones 6.0.2 y
6.1
Si configura un módulo de señal de LTPA Versión 2, la capa de servicios web no
distingue entre LTPA V1 y LTPA V2 si está utilizando WebSphere Application
Server versión 6.0.2 o 6.1. Si envía una señal LTPA con el QName
http://www.ibm.com/websphere/appserver/tokentype#LTPAv2 como tipo de valor, la
señal se rechaza en WebSphere Application Server Versiones 6.0.2 y 6.1.
WebSphere Application Server Versiones 6.0.2 y 6.1 no distingue entre una señal de
LTPA V1 o LTPA V2 en la capa de servicios web. Sólo hay un BinarySecurityToken
ValueType soportado para señales LTPA y el QName del tipo de valor es:
http://www.ibm.com/websphere/appserver/tokentype/5.0.2#LTPA.
Como solución temporal, puede continuar utilizando una señal LTPA V1 o LTPA
V2. Sin embargo, asegúrese de que establece el QName con el siguiente tipo de
valor independientemente de la señal que contenga: http://www.ibm.com/
websphere/appserver/tokentype/5.0.2#LTPA.
Para habilitar el tipo http://www.ibm.com/websphere/appserver/tokentype/
5.0.2#LTPA para las señales LTPAv2, establezca la siguiente propiedad
personalizada de ejecución:
v Para habilitar globalmente la señal:
– Clave: ltpa.enable.compat.mode
– Tipo: Valor booleano: true o false
– Descripción: el valor predeterminado es "false". Si se ha habilitado este valor,
se asegura de que las señales de problemas del módulo STS de LTPA sean
compatibles con WebSphere Application Server 6.0.2 y WebSphere Application
Server 6.1.
v Para habilitar la señal en una única cadena STS:
– Clave: ltpa.enable.compat.mode.[ID_cadena]
– Clave de ejemplo: ltpa.enable.compat.mode.[uuid3778696c-0124-1fa7-9b85be0cd9adb32a]
– Tipo: booleano
– Valor: true o false
– Descripción: el valor predeterminado es "false". Si se ha habilitado este valor,
se asegura de que las señales de problemas del módulo STS de LTPA sean
compatibles con WebSphere Application Server 6.0.2 y WebSphere Application
Server 6.1. Esta propiedad permite que la configuración se establezca en una
cadena específica.
La consola de Tivoli Federated Identity Manager no se puede
conectar con el servicio de gestión durante la creación del
dominio
El problema de conexión podría ser causado por alguna de las siguientes razones:
v El servicio de gestión no se está ejecutando.
v El servicio de gestión no se ha inicializado correctamente.
v La información que se ha proporcionado en el panel Valores de seguridad de
WebSphere no es correcta.
Para resolver el problema, debe completar este procedimiento:
24
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
1. Asegúrese de que el servicio de gestión de Tivoli Federated Identity Manager
esté instalado y en ejecución.
Si el servicio de gestión no se está ejecutando, se muestra el siguiente mensaje
de error:
Para una conexión remota:
FBTCON313E
Se ha producido un error al invocar el servicio de gestión de ITFIM.
Puede que el servicio de gestión no esté disponible.
Para una conexión local:
FBTCON166E
Se ha producido un error al intentar recuperar la configuración del
entorno. Compruebe la configuración del entorno e inténtelo de nuevo.
Para ejecutar la aplicación del servicio de gestión, siga estos pasos:
a. En la consola de administración, seleccione Aplicaciones > Tipos de
aplicación > Aplicaciones de negocio de WebSphere.
b. Seleccione ITFIMManagementService.
c. Pulse Iniciar.
2. Asegúrese de que la información del panel Seguridad de WebSphere del
asistente de dominios sea correcta.
Si la información es inexacta, aparecerá el siguiente mensaje de error:
FBTCON314E
Al contactar con el servicio de gestión de ITFIM, no se ha podido crear un conector de WebSphere AdminClient
en el servidor de aplicaciones del servicio de gestión
con el puerto y el host proporcionados.
3. Reinicie WebSphere Application Server.
La herramienta tfimcfg.jar no puede configurar Tivoli Access
Manager cuando FIPS está habilitado
Se ha producido un error cuando Tivoli Federated Identity Manager está
accediendo al entorno de WebSphere Application Server para consultar el
InfoService sobre la información de federación configurada. El problema se ha
producido porque la herramienta tfimcfg intenta utilizar el protocolo SSL que no
está soportado en el entorno habilitado de FIPS.
Tivoli Federated Identity Manager proporciona la opción de ejecutarse en un
entorno compatible con FIPS. Después de habilitar FIPS, se debe utilizar la fábrica
de conexiones de SSL TLS cuando ejecuta la herramienta tfimcfg.jar. Especifique
el parámetro del mandato -sslfactory TLS cuando ejecute tfimcfg para configurar
el entorno Tivoli Access Manager. Por ejemplo:
java -jar tfimcfg.jar -action tamconfig -cfgfile
/opt/pdweb/etc/webseald.conf -sslfactory TLS
El proceso de datos de configuración de asunto de titular de
SAML 2.0 no es conforme
El atributo de destinatario (Recipient) de SubjectConfirmationData no está
establecido cuando se emite una aserción en las siguientes condiciones:
v La aserción SAML 2.0 se genera con un método de configuración de asunto de
titular.
v No se proporciona ningún elemento "Claims" (reclamaciones) en la RST.
Capítulo 4. Problemas y soluciones conocidas
25
Como solución temporal, establezca un atributo en la sección ContextAttributes de
STSUniversalUser en la regla de correlación para alterar temporalmente el atributo
Destinatario (Recipient) en SubjectConfirmationData para el método de
confirmación de asunto de titular. Esta solución está disponible para los escenarios
de proveedor de identidad de SAML 2.0 u otros escenarios STS que emiten
aserciones SAML 2.0.
Un ejemplo de este atributo seria algo similar a lo siguiente:
https://saml.some.recepient.com
Otro problema es que la validación de la aserción falla cuando:
v El método de asunto de titular está presente.
v El atributo "Recipient" no coincide con el URL de servicio del consumidor de la
aserción en las reclamaciones.
Durante la validación de la aserción SAML 2.0, el atributo Recipient sólo se valida
para los métodos de configuración de asunto de titular cuando la aserción se
valida como parte de un flujo de inicio de sesión única. Una excepción de esto es
si establece una propiedad personalizada de ejecución:
SAML2.AlwaysValidateBearerSubjectConfirmationData = true
Se ha producido un error al utilizar el entorno de tiempo de
ejecución Java proporcionado con WebSphere Application
Server versión 8.0 y posteriores para ejecutar la herramienta
tfimcfg
Es posible que encuentra un error cuando utilice el entorno de tiempo de ejecución
Java proporcionado con WebSphere Application Server versión 8.0 y posteriores
para ejecutar la herramienta tfimcfg.
Añada los siguientes argumentos de la máquina virtual Java cuando ejecute la
herramienta tfimcfg:
v -Djava.ext.dirs
– En Windows: <WAS_HOME>\tivoli\tam;<WAS_HOME>\java\jre\lib\ext
– En UNIX: <WAS_HOME>/tivoli/tam:<WAS_HOME>/java/jre/lib/ext
v -Dpd.cfg.home
– En Windows: <WAS_HOME>\tivoli\tam
– En UNIX: <WAS_HOME>/tivoli/tam
Por ejemplo:
/opt/IBM/WebSphere/AppServer/java/jre/bin/java
-Djava.ext.dirs=/opt/IBM/WebSphere/AppServer/tivoli/tam:/opt/IBM/WebSphere/AppServer/java/jre/lib/ext
-Dpd.cfg.home=/opt/IBM/WebSphere/AppServer/tivoli/tam -jar tfimcfg.jar
-action tamconfig -cfgfile /opt/pdweb/etc/webseald-default.conf
Tivoli Federated Identity Manager devuelve la página con el
entorno local menos preferido
Cuando el navegador envía una solicitud con varios entornos locales en la cabecera
Accept-Language, Tivoli Federated Identity Manager podría devolver la página con
el entorno local menos preferido de forma predeterminada. Por ejemplo, cuando el
navegador envía una solicitud con los entornos locales en_US, de (se prefiere en_US
antes que de) Tivoli Federated Identity Manager devuelve la página en de, en lugar
de en.
26
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Cree una correlación desde el entorno local al directorio raíz de las páginas de
dicho entorno local. En el ejemplo anterior, cree una correlación de en_US al
directorio raíz de las páginas de en. Cree la correlación completando estos pasos:
1.
2.
3.
4.
5.
6.
7.
8.
Inicie sesión en la Integrated Solutions Console.
Pulse Gestión de dominios > Páginas de suceso > Entorno local de página.
Pulse Crear.
Especifique el entorno local y el directorio raíz de la página.
Pulse Aplicar.
Pulse Publicar páginas.
Cierre la sesión de Integrated Solutions Console.
Inicie una sesión en la consola Integrated Solutions Console.
9. Pulse Gestión de dominios > Páginas de suceso.
10. Pulse Cargar los cambios de configuración en el entorno de ejecución de
Tivoli Federated Identity Manager.
Las cadenas STS de administración automática no se actualizan
automáticamente después de aplicar el fixpack
Si previamente ha modificado las cadenas STS antes de utilizar la función de varias
preguntas secretas, debe modificar manualmente las cadenas STS.
Hay tres cadenas que se ven afectadas por la función de varias preguntas secretas:
v Cadena uscCreateAccount predeterminada
v Cadena uscForgottenPassword predeterminada
v Cadena uscProfileManagement predeterminada
1. Inicie sesión en Integrated Solutions Console.
2. Navegue hasta Tivoli Federated Identity Manager > Configurar el servicio
de confianza > Instancia de módulo.
3. Compruebe si la opción Módulo de almacén de preguntas secretas USC
predeterminado se encuentra en la lista de instancias de módulo. Si se
visualiza, vaya al paso 5. De lo contrario, vaya al siguiente paso.
4. Añada manualmente la instancia de módulo:
a. Pulse Crear.
b. En el tipo de módulo seleccione com.tivoli.am.fim.trustserver.sts.modules.
USCSecretQuestionStoreSTSModule.
c. Pulse Siguiente.
d. Complete el nombre de la instancia de módulo con Módulo de almacén
de preguntas secretas USC predeterminado y la descripción del módulo
con Módulo de almacén de preguntas secretas USC.
e. Pulse Finalizar.
5. Cambie el valor de la propiedad personalizada de ejecución
STS.showUSCChains:
a. Vaya a Tivoli Federated Identity Manager > Gestor de dominios >
Gestión de nodos del entorno de ejecución.
b. Pulse Propiedades personalizadas del entorno de ejecución.
c. Cambie el valor del parámetro STS.showUSCChains a "true".
d. Pulse Aceptar.
e. Pulse Cargar los cambios de configuración en el entorno de ejecución de
Tivoli Federated Identity Manager.
Capítulo 4. Problemas y soluciones conocidas
27
6.
7.
8.
9.
f. Cierre sesión e inicie sesión en Integrated Solutions Console.
Vaya a Tivoli Federated Identity Manager > Configurar servicio de
confianza > Cadenas de servicio de confianza.
Seleccione la cadena que desea comprobar.
Pulse Propiedades.
Compruebe las tres cadenas y verifique si se deben arreglar manualmente.
v Cadena uscCreateAccount predeterminada - El módulo de almacén de
preguntas secretas USC (modalidad de validación) se debe añadir después
del módulo de creación de cuentas USC predeterminado (modalidad de
validación).
v Cadena uscProfileManagement predeterminada - El módulo de almacén de
preguntas secretas USC (modalidad de validación) se debe añadir después
del módulo de gestión de perfiles USC predeterminado (modalidad de
validación).
v Cadena uscForgottenPassword predeterminada - El módulo de preguntas
secretas USC (modalidad de validación) se debe añadir después del módulo
de recuperación de cuentas USC predeterminado (modalidad de
validación). El módulo de preguntas secretas USC (modalidad de emisión)
se debe añadir después del módulo de identidad de VMM USC (modalidad
de correlación).
Si las cadenas STS no se actualizan correctamente, debe modificar las cadenas
manualmente.
a. Vaya a Tivoli Federated Identity Manager > Configurar servicio de
confianza > Cadenas de servicio de confianza.
b.
c.
d.
e.
Seleccione la cadena que desea modificar.
Pulse Modificar cadena.
Pulse Continuar con la modificación.
Modifique las cadenas correspondientes tal como se visualizan en la lista
con viñetas.
10. Pulse Cargar los cambios de configuración en el entorno de ejecución de
Tivoli Federated Identity Manager.
Problemas de Integrated Solutions Console
Los siguientes problemas y solucionados están relacionados con el uso de la
consola de gestión de Tivoli Federated Identity Manager, que funciona como
conector de IBM Integrated Solutions Console.
Varias solicitudes para reiniciar WebSphere Application Server
Después de realizar una operación en la consola, puede que se le solicite reiniciar
WebSphere Application Server varias veces.
Acerca de esta tarea
Puede que se le solicite reiniciar de nuevo el servidor de WebSphere si no ha
podido asignar suficiente tiempo para que se complete el reinicio.
Procedimiento
1. Espere un tiempo suficiente después de reiniciar WebSphere Application Server
y asegúrese de que se complete el reinicio. Puede comprobar los registros de
WebSphere Application Server para determinar si se ha completado el reinicio.
28
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
2. Cuando el reinicio finalice, continúe utilizando la consola.
Incomplete operations after logging off the console
Si cierra sesión de la consola antes de que finalice una operación, se puede
producir un resultado incompleto.
Acerca de esta tarea
Para varias operaciones, por ejemplo crear una federación, es necesario completar
varios paneles de información en la consola. Si cierra sesión antes de pulsar
Finalizar del panel final, se realiza la operación en curso con los datos
especificados actualmente. Como resultado de ello, la operación, por ejemplo una
definición de una federación, podría estar incompleta. Los pasos siguientes pueden
evitar operaciones incompletas.
Procedimiento
1. Finalice la operación en curso.
2. Cierre la sesión de la consola. Si debe cerrar sesión de la consola en medio de
una operación:
a. Inicie la sesión en la consola.
b. Verifique que la operación se haya completado.
c. Si la operación no se ha completado, modifique los valores necesarios.
Reiniciar WebSphere Application Server después de volver a
configurar los valores de seguridad en la consola de gestión
Debe reiniciar WebSphere Application Server si especifica nuevos valores de
seguridad en la consola de gestión.
La consola de gestión de Tivoli Federated Identity Manager funciona como un
conector para IBM Integrated Solutions Console, que funciona como una aplicación
en WebSphere Application Server.
También puede configurar la seguridad de WebSphere Application Server. Cuando
la seguridad de WebSphere Application Server está habilitada, IBM Integrated
Solutions Console y la consola de gestión de Tivoli Federated Identity Manager
deben estar configuradas para que utilicen los valores de seguridad de WebSphere
Application Server adecuados. Por ejemplo, la ubicación de los archivos de cifrado
y las contraseñas necesarias para acceder a los archivos.
Detener WebSphere Application Server desde la línea de
mandatos después de reiniciar Tivoli Federated Identity
Manager desde la consola
Este tema sólo se aplica a sistemas Windows. Si selecciona reiniciar en la consola
de gestión de Tivoli Federated Identity Manager, utilice la línea de mandatos para
detener WebSphere Application Server.
En sistemas Windows donde se ejecuta WebSphere Application Server como un
servicio, si pulsa Reiniciar en la consola de gestión de Tivoli Federated Identity
Manager provoca que el servicio, tal como se ve en el panel Servicios de Windows,
pierda contacto con WebSphere Application Server. El reinicio de WebSphere
Application Server es satisfactorio. Sin embargo, es posible que el panel Servicios
no indique que el servicio se haya reiniciado.
Capítulo 4. Problemas y soluciones conocidas
29
Si se produce este problema, no puede detener el servicio de WebSphere
Application Server a través del panel Servicios. La consola de gestión de Tivoli
Federated Identity Manager también puede perder la conexión con WebSphere
Application Server. Para detener el servicio de WebSphere Application Server,
utilice la línea de mandatos para detenerlo. Consulte el Information Center de
WebSphere Application Server para obtener detalles sobre cómo detener el servicio
con la línea de mandatos.
Para encontrar una solución temporal para este problema, haga lo siguiente:
1. Reinicie WebSphere Application Server desde la consola de gestión de Tivoli
Federated Identity Manager.
2. Cierre sesión de la consola de gestión de Tivoli Federated Identity Manager.
3. Inicie sesión en la consola de gestión de Tivoli Federated Identity Manager.
Cuando la solución sea más permanente, podrá instalar WebSphere Application
Server en Windows sin tener que registrarlo como un servicio. Cuando WebSphere
Application Server no está registrado como servicio, la consola de gestión de Tivoli
Federated Identity Manager puede reiniciarlo satisfactoriamente emitiendo los
mandatos apropiados.
Limitaciones en el panel Instancias de módulo
Al configurar el servicio de confianza en Tivoli Federated Identity Manager, el
panel Instancias de módulo utiliza el idioma del entorno local del servidor.
El domino de Tivoli Federated Identity Manager se crea en función del entorno
local del servidor. El idioma que se utiliza en el servidor se basa en el entorno
local del servidor. El idioma utilizado en el servidor se implementa
independientemente del idioma que haya utilizado el navegador al conectarse con
el servidor.
Por ejemplo, un navegador en inglés se conecta a una consola de Tivoli Federated
Identity Manager que no sea en inglés. El idioma que se visualiza en el panel
Instancias de módulo es el idioma que no es inglés.
La tablas podrían no representarse correctamente en
Integrated Solutions Console podrían cuando se utiliza
Microsoft Internet Explorer 10
Es posible que algunas tablas no se representen correctamente en Integrated
Solutions Console cuando utiliza Microsoft Internet Explorer 10.
Acerca de esta tarea
Debe establecer el navegador a la modalidad de compatibilidad de Microsoft
Internet Explorer 10.
Procedimiento
1. Acceda a la página de inicio de la consola de WebSphere Application Server.
2. Pulse herramientas > Valores de vista de compatibilidad en Internet Explorer.
3. En la ventana Valores de vista de compatibilidad, pulse Añadir para añadir la
dirección IP o el nombre de host del sistema que alberga el gestor de
despliegue para un clúster de WebSphere Application Server o donde está
instalado WebSphere Application Server. La dirección IP o el nombre de host se
añade a la lista de valores de vista de compatibilidad.
30
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Resultados
Las tablas en Integrated Solutions Console se representan correctamente.
Qué hacer a continuación
Si las tablas no se representan correctamente después de aplicar los valores de
configuración, utilice las Herramientas de desarrollo F12 y verifique:
v La modalidad de documento eficaz es Internet Explorer 5, modo quirks.
v La modalidad de navegador eficaz es Internet Explorer 10, vista de
compatibilidad.
WebSEAL con OTP no se visualiza en la página Punto de
contacto después de volver a crear un dominio
Cuando después de borrar un dominio, lo vuelve a crear, WebSEAL con OTP no se
visualiza en la página Punto de contacto.
Siga los pasos siguientes:
1. Inicie sesión en la Integrated Solutions Console.
2. Seleccione Tivoli Federated Identity Manager > Gestión de dominios >
Gestión de nodos del entorno de ejecución.
3. Pulse Desplegar el entorno de ejecución.
4. Pulse Publicar conectores.
Se muestra una versión incorrecta en el panel Gestión de
nodos de ejecución de Tivoli Federated Identity Manager
Después de desinstalar el fixpack, el usuario podrá desplegar la versión base de
Tivoli Federated Identity Manager desde el panel Gestión de nodos de ejecución.
Después del despliegue de ejecución, el panel Gestión de ejecución mostrará la
versión correcta de Tivoli Federated Identity Manager.
Sin embargo, el panel Nodos de ejecución muestra una versión de ejecución
incorrecta.
Siga los pasos siguientes:
1. Seleccione Tivoli Federated Identity Manager > Dominios > Propiedades de
dominio > Información de dominio.
2. Pulse Renovar servicio de gestión.
3. Seleccione Tivoli Federated Identity Manager > Gestión de dominios >
Gestión de nodos del entorno de ejecución.
4. Pulse Publicar conectores.
5. Pulse Cargar los cambios de configuración en el entorno de ejecución de
Tivoli Federated Identity Manager desde la Integrated Solutions Console.
6. Cierre sesión de la Integrated Solutions Console.
7. Inicie sesión otra vez.
8. Seleccione Tivoli Federated Identity Manager > Gestión de dominios >
Gestión de nodos del entorno de ejecución.
La versión de ejecución de Tivoli Federated Identity Manager correcta se muestra
en los paneles Gestión de ejecución y Nodos de ejecución.
Capítulo 4. Problemas y soluciones conocidas
31
Problemas de consola de WebSphere Application Server
En esta sección podrá leer información sobre los problemas y las soluciones de la
consola de administración de WebSphere Application Server.
WebSphere Application Server debe estar instalado por
separado en cada instancia de la consola de gestión
Sólo puede instalar un componente de la consola de gestión en cada instalación de
WebSphere Application Server.
El componente de la consola de gestión de IBM Tivoli Federated Identity Manager
se puede instalar en un único perfil de sólo una instalación de WebSphere
Application Server. Instale un WebSphere Application Server para cada instancia
de la consola de gestión si debe instalar el componente de la consola de gestión
varias veces en una única máquina.
La consola de administración de WebSphere no abre la
aplicación de ejecución o de gestión
Si la consola de administración de WebSphere Application Server no abre la
aplicación de ejecución o de gestión, cierre la sesión de la consola y vuelva a
iniciar la sesión en la consola.
Acerca de esta tarea
Pulse en enlace Cerrar sesión en la consola para cerrar sesión correctamente.
Cerrando el navegador no se cierra correctamente una sesión. Si con cerrar e iniciar
de nuevo la sesión no se soluciona el problema, utilice los pasos siguientes:
Procedimiento
1. Busque los archivos EAR adecuados:
Componente
Nombre de archivo
Servicio de gestión
ITFIMManagementService.ear
Ejecución
ITFIMRuntime.ear
Según el entorno de WebSphere Application Server, estos archivos se pueden
encontrar en algunas de las siguientes ubicaciones:
Configuración del servidor
Vía de acceso predeterminada
Servidor único
$WAS_PROFILE_HOME/installedApps/
cell_name/node_name/
Clúster
$WAS_PROFILE_HOME/installedApps/
cell_name
2. Si no encuentra los archivos EAR, podría tener un problema de instalación.
Consulte IBM Tivoli Federated Identity Manager Guía de instalación (manual en
inglés).
32
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Los cambios de configuración no se propagan a cada nodo
de clúster antes de que se reinicie el entorno de ejecución de
Tivoli Federated Identity Manager
El entorno de ejecución de Tivoli Federated Identity Manager se reinicia antes de
que se hayan propagado los cambios de configuración en cada nodo del clúster.
Después de hacer un cambio de configuración de Tivoli Federated Identity
Manager utilizando la consola administrativa de WebSphere, se muestran la opción
y el siguiente mensaje:
FBTCON197W Los cambios de configuración recientes
se deben volver a cargar en el entorno de ejecución de Tivoli Federated Identity Manager...
Cargar cambios de configuración en el entorno de ejecución de Tivoli Federated
Identity Manager
Cuando selecciona Cargar cambios de configuración al entorno de ejecución de
Tivoli Federated Identity Manager, el entorno de ejecución de Tivoli Federated
Identity Manager se empieza a reiniciar en cada servidor de aplicaciones del
clúster.
Normalmente, los cambios de configuración se actualizan en sólo un segundo o
dos en cada en entorno de ejecución de Tivoli Federated Identity Manager. No
obstante, es posible que, debido a retrasos de la red, pulse la opción e inicie los
entornos de ejecución antes de que todos los cambios se hayan propagado a cada
nodo de la célula de WebSphere.
Si se produce este escenario, puede volver a iniciar el entorno de ejecución de
Tivoli Federated Identity Manager desde la consola administrativa de WebSphere.
Seleccione la siguiente secuencia de opciones: Tivoli Federated Identity Manager >
Gestión de dominios > Gestión de nodos de ejecución > Volver a cargar
configuración.
La consola de WebSphere indica que el servicio de gestión no
está disponible
Es posible que la consola de administración de WebSphere Application Server
indique incorrectamente que el servicio de gestión de IBM Tivoli Federated
Identity Manager no está disponible.
Acerca de esta tarea
El servicio de gestión de IBM Tivoli Federated Identity Manager se ejecuta como
una aplicación de WebSphere. La página Enterprise Applications de la consola de
administración de WebSphere Application Server se utiliza para ver la
disponibilidad de las aplicaciones de WebSphere.
En un entorno (clúster) de despliegue de redes deWebSphere Application Server, es
posible que la página Enterprise Applications muestre el estado del servicio de
gestión como no disponible. El servicio puede convertirse en no disponible aunque
la aplicación esté en ejecución. El estado se indica mediante un icono en gris con
una barra inclinada.
Procedimiento
1. Utilice uno de los métodos siguientes para verificar el estado de la aplicación,
detener o iniciar la aplicación:
Capítulo 4. Problemas y soluciones conocidas
33
v Utilice el mandato wsadmin la interfaz de línea de mandatos.
v Utilice la consola de WebSphere Application Server.
2. Compruebe la consola para ver si el servicio de gestión se muestra como
disponible.
Consultar el estado de ejecución de Tivoli Federated Identity
Manager
Puede utilizar algunos mandatos wsadmin para consultar el estado de ejecución de
IBM Tivoli Federated Identity Manager.
No es posible consultar el estado de la ejecución de IBM Tivoli Federated Identity
Manager desde la consola eWAS. Los siguientes mandatos wsadmin muestran
cómo consultar el estado del entorno de ejecución de IBM Tivoli Federated Identity
Manager y cómo iniciar y detener la ejecución de IBM Tivoli Federated Identity
Manager desde una línea de mandatos.
Estos mandatos dan por hecho que la instancia de WebSphere Application Server
se denomina server1.
v Determine se el entorno de ejecución de IBM Tivoli Federated Identity Manager
está instalado (si lo está se visualiza "ITFIMRuntime"):
wsadmin>$AdminApp list
v Compruebe si el entorno de ejecución de IBM Tivoli Federated Identity Manager
se está ejecutando (si no se devuelve ninguna salida el entorno de ejecución no
está en ejecución):
wsadmin>$AdminControl queryNames
type=Application,process=server1,name=ITFIMRuntime,*
v Detenga el entorno de ejecución de IBM Tivoli Federated Identity Manager:
wsadmin>set appManager [$AdminControl queryNames
type=ApplicationManager,process=server1,*]
wsadmin>$AdminControl invoke $appManager stopApplication ITFIMRuntime
v Inicie el entorno de ejecución de IBM Tivoli Federated Identity Manager:
wsadmin>set appManager [$AdminControl queryNames
type=ApplicationManager,process=server1,*]
wsadmin>$AdminControl invoke $appManager startApplication ITFIMRuntime
Los perfiles con enlaces POST para el inicio de sesión único
podrían no funcionar cuando se utiliza WebSphere Application
Server 6.1.0.17 o 6.1.0.19
WebSphere v6.1.0.17 y v6.1.0.21 tiene un defecto que provoca que los flujos de
Tivoli Federated Identity Manager que utilizan un perfil POST fallen.
Para obtener más información sobre este problema, consulte la nota técnica
#1326460: IBM Tivoli Federated Identity Manager 6.1.1 and 6.2 POST profile SSO
might fail with a SRVE0216E error.
Error de tiempo de ejecución
Tivoli Federated Identity Manager podría encontrar errores que están relacionados
con el tiempo de ejecución. Obtenga información sobre problemas identificados y
cómo arreglarlos.
34
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Un usuario no puede iniciar varias solicitudes de contraseña
única en la misma sesión
Se visualiza un error cuando un usuario inicia una segundo flujo de contraseña
única en la misma sesión.
Inicie otro flujo de autenticación de contraseña única en una sesión nueva. Esta
tarea puede hacerse iniciando el flujo de autenticación de contraseña única en una
ventana de navegador nueva.
Problemas operativos
Tivoli Federated Identity Manager podría encontrar problemas relacionados con el
funcionamiento del sistema. Obtenga información sobre problemas identificados y
cómo arreglarlos.
El inicio de sesión único (SSO) federado falla aunque el usuario
esté definido en el directorio de punto de contacto
Cuando se utiliza Tivoli Access Manager, un intento de inicio de sesión único
podría fallar bajo las circunstancias siguientes:
v Si WebSphere Application Server se especifica como servidor de punto de
contacto, y
v el servidor de autorización de Tivoli Access Manager (pdacld) no está
sincronizado con el directorio de usuarios de WebSphere Application Server.
Si especifica WebSphere Application Server como punto de contacto, y el directorio
no está sincronizado con el registro de usuarios de Tivoli Access Manager, al
intentar iniciar sesión en un usuario durante una operación de inicio de sesión
único, todavía se llama al servidor de autorización de Tivoli Access Manager
(pdacld) para recuperar el principal usuario (por ejemplo, para una federación
SAML11).
Aunque el usuario esté definido en el directorio de usuarios de WebSphere
Application Server, si Tivoli Access Manager está utilizando un directorio distinto
y el usuario no se encuentra en dicho directorio, el intento de SSO falla con el
mensaje:
HPDIA0202W
Se ha presentado un nombre de usuario desconocido a Access Manager.
Solución temporal:
Cuando se crea un dominio para el inicio de sesión único federado, el asistente
solicita si desea realizar la configuración en un entorno de Tivoli Access Manager.
Configure el entorno de Tivoli Access Manager sólo si está utilizando WebSEAL
como servidor de punto de contacto o si el registro de usuarios de Tivoli Access
Manager está sincronizado con el directorio de usuarios de punto de contacto
específico.
Anomalías intermitentes al validar los mensajes que se reciben
Las anomalías intermitentes en la validación de mensajes recibidos puede
producirse en el entorno de Tivoli Federated Identity Manager si el arreglo IY93387
no está instalado el arreglo para la JVM.
Capítulo 4. Problemas y soluciones conocidas
35
Los errores del archivo de registro indican una anomalía para validar el XML
recibido. La siguiente entrada de rastreo es un ejemplo:
[9/7/07 17:05:27:813 EST] 0000002d KessServiceJk 3 \
com.tivoli.am.fim.kess.service.jks.worker.impl.\
KessServiceJksWorkerImpl validateXML
Signature was NOT valid on the XML document.
Core Validity: false
SignedInfo: false
Msg: SignatureValue mismatched.
Este problema los resuelve el APAR IY93387, y se arregla en la JVM 1.4.2 SR9 y
JVM 5.0 SR4.
El nivel de arreglo de Java SDK 1.4.2 SR9 se puede descargar del siguiente sitio
web:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24011104
El nivel de arreglo Java SDK 1.5 SR5 se puede descargar del siguiente sitio web:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24015843
Inhabilitación la detección de validación de reproducción en la
validación PassTicket
Un PassTicket incluye una indicación de fecha y hora que sólo es granular para un
segundo completo. Si se generan dos PassTickets para el mismo objeto (usuario,
app de destino, clave secreta) en un segundo, los dos PassTickets serán idénticos.
El contenido de los PassTickets es un poco diferente, pero los valores de la
indicación de fecha y hora son iguales.
Se produce un error durante la validación de la señal cuando se llama al STS un
PassTicket con una indicación de fecha y hora que tiene el mismo valor que una
solicitud anterior. Este comportamiento se considera que es una solicitud de
reproducción.
Este mensaje de error se muestra en la respuesta que indica que el PassTicket se ha
reproducido:
FBTSTS024E
La señal Username proporcionada se ha reproducido.
La señal Username proporcionada ya se comprobó anteriormente, y ahora se está volviendo a usar.
La configuración de este servidor no permite volver a usar señales Username.
La única forma de eludir este problema es inhabilitar la detección de validación de
reproducción entendiendo que con esto las aplicaciones no podrán reutilizar el
mismo PassTicket.
Los administradores deben considerar los riesgos de seguridad implicados en la
inhabilitación de la detección de validación de reproducción.
Para gestionar este problema, utilice la funcionalidad disable replay detection
que soporta RACF. Para inhabilitar la validación de reproducción, puede establecer
algunas o bien todas siguientes propiedades de ejecución personalizadas:
passticket.disable.replay.check.[chainid_uuid]=true
passticket.disable.replay.check=true
36
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Donde chainid_uuid es el valor del UUID de cadena de la cadena personalizada que
utiliza la instancia de módulo de STS PassTicket.
Por ejemplo:
passticket.disable.replay.check.[uuideb42e428-011b-1ebc-a0cb9e6c4b35c1c7]=true
Para determinar el valor del UUID de cadena, en la consola de administración
seleccione Cadenas de servicio de confianza > Seleccionar acción > Mostrar ID
de cadena en la columna de la tabla. Esta selección de acción añade una columna
nueva en la tabla que muestra el ID de cadena exclusivo.
Se emite StringIndexOutOfBoundsException al añadir un
proveedor de servicios de SAML 2.0 como socio
Esta excepción se produce si el parámetro ValidateKeyIdentifier no contiene un
carácter de subrayado y los parámetrossignatureKeyAlias y
signatureKeystoreName no se especifican. Esta excepción también se produce si el
parámetro EncryptionKeyIdentifier no contiene un carácter de subrayado y los
parámetros encryptionKeyAlias y encryptionKeystore no se han especificado.
Los módulos STS de SAML calculan un periodo de validez
incorrecto de la aserción
Se produce un error durante la validación de indicaciones de fecha y hora de la
aserción SAML si establece la propiedad de tiempo de ejecución personalizada a
saml.use.legacy.clockskew.default = true.
Para arreglar este error, cambie este error, cambie el valor de la propiedad a
saml.use.legacy.clockskew.default = false.
Nota: Tivoli Federated Identity Manager 6.2.2, de forma predeterminada, no utiliza
un desfase horario al validar las indicaciones de fecha y hora de la aserción SAML.
En lugar de ello, utiliza el reloj local del entorno de ejecución.
El servicio de alias de Tivoli Federated Identity Manager no
funciona con la base de datos Oracle
Los intentos para utilizar la base de datos Oracle para el servicio de alias de Tivoli
Federated Identity Manager muestra errores como el siguiente:
com.ibm.ws.ejbpersistence.utilpm.PersistenceManagerException:
PMGR1012E: El ID de programa de fondo actual DB2UDBNT_V8_1, no coincide con
el origen de datos con el que está conectado.
Para arreglar este error, debe seguir los pasos adicionales después de instalar el
fixpack de Tivoli Federated Identity Manager Versión 6.2.1 (en un sistema basado
en UNIX).
Pasos de configuración para utilizar la base de datos de Oracle para el servicio
de alias de Tivoli Federated Identity Manager:
1. Cree una copia de seguridad del archivo itfim.ear con los mandatos:
cd FIM_INSTALL_DIR/pkg/release
Capítulo 4. Problemas y soluciones conocidas
37
cp itfim.ear itfim-orig.ear
2. Modifique el EAR para que sea sensible para Oracle y para poder hacer el
despliegue con los mandatos:
mkdir /tmp/work
rm FIM_INSTALL_DIR/pkg/release/itfim.ear
WEBSPHERE_INSTALL_DIR/AppServer/bin/ejbdeploy.sh FIM_INSTALL_DIR/pkg/
release/itfim-orig.ear /tmp/work FIM_INSTALL_DIR/pkg/release/itfimoracle.ear -dbschema FIMAliasesSchema -dbname FIMAliases -dbvendor
ORACLE_V10G -trace
cp FIM_INSTALL_DIR/pkg/release/itfim-oracle.ear FIM_INSTALL_DIR/pkg/
release/itfim.ear
rm -rf /tmp/work
3. Ahora está disponible un nuevo FIM_INSTALL_DIR/pkg/release/itfim.ear para
el despliegue y poder trabajar con Oracle. Utilice un editor de texto para
actualizar el archivo FIM_INSTALL_DIR/pkg/software.properties para cambiar
la propiedad com.tivoli.am.fim.rte.software.serialId por un valor distinto,
por ejemplo, "increment".
4. Utilice la consola de Tivoli Federated Identity Manager para seleccionar Tivoli
Federated Identity Manager > Gestor de dominios > Gestión de nodos del
entorno de ejecución. Hay un mensaje que indica que hay un nuevo entorno
de ejecución disponible para el despliegue. Utilice la consola para desplegar el
nuevo entorno de ejecución.
5. Reinicie el proceso de WebSphere donde el entorno de ejecución se ha
desplegado.
Para obtener más detalles sobre cómo configurar la base de datos de Oracle y
configurar WebSphere Application Server para que utilice JDBC, consulte la nota
técnica titulada "After installing FP3 for FIM 6.2, Oracle db still cannot be used for
FIM Alias Service."
Nota: Si no recibe fixpacks posteriores o cualquier cosa que altere el itfim.ear
desplegado, debe volver a realizar los pasos de configuración.
Falta el delimitador de cierre de la macro "@" de la plantilla
consent.html
Falta el delimitador de cierre de macro @OPTIONAL_ATTRIBUTE@ de la plantilla
consent.html, lo cual provoca que el campo de etiqueta de los atributos opcionales
no se represente correctamente.
Para modificar la plantilla consent.html:
1. Abra la plantilla de página <fim_install_root>/pages/<lang>/openid/
consent.html
2. Busque <label for="chk_@OPTIONAL_ATTRIBUTE">@OPTIONAL_ATTRIBUTE@></
label><br/> y cámbiela por:
<label for="chk_@OPTIONAL_ATTRIBUTE@>OPTIONAL_ATTRIBUTE@></label><br/>
3. Utilice la consola para Publicar páginas y Recargar configuraciones para que los
cambios entren en vigor.
38
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Generación de sentencias de depuración para identificar
correlaciones en reglas XSLT
Al crear reglas XSLT para la identificación de correlaciones no hay ningún
mecanismo para registrar o rastrear sentencias con el objetivo de realizar una
depuración. Puede utilizar una extensión para generar sentencias de depuración
para reglas XSLT.
Para iniciar las sentencias de depuración para la correlación de identidades, añada
entradas en las reglas XSLT con la sintaxis:
<xsl:variable name="variablename" select="mapping-ext:traceString(’debug
string’)">
Para habilitar la configuración de rastreo, establezca el nivel de rastreo en fine
para la clase com.tivoli.am.fim.trustserver.sts.utilities.IDMappingExtUtils.
Normalmente la salida se representa en /opt/IBM/WebSphere/AppServer/profiles/
<profile-name>/logs/<server-name>.
La comprobación de destinatario no se realiza correctamente por
parte del soporte de publicaciones del navegador SAML
Si un proveedor de servicios de SAML 1.x debe aceptar un samlp:Response que no
contiene ningún atributo Destinatario (Recipient), esta propiedad personalizada de
ejecución se puede utilizar en un proveedor de identidad de Tivoli Federated
Identity Manager que está emitiendo una respuesta SAML:
SAML.AllowNoRecipient=true
Normalmente, el destinatario (Recipient) es un atributo necesario, de modo que no
es necesario establecer esta propiedad personalizada de ejecución. Sólo se ofrece
para casos de uso de compatibilidad con versiones anteriores.
El módulo STS IVCred de IBM Tivoli Federated Identity Manager
no valida las señales IVCRED que se corresponden con un
usuario no autenticado
Cuando se utiliza una unión WebSeal configurada para invocar el STS de Tivoli
Federated Identity Manager para que genere una señal, el modulo STS IVCred
generará NullPointerException si el punto final accedido tiene un ACL no
autenticado. Cuando el punto final tiene un ACL autenticado, la credencial que
recibe Tivoli Federated Identity Manager se corresponde con un usuario no
autenticado.
El módulo STS IVCred se ha habilitado para consumir y validar las señales de
IVCred que se corresponden con un usuario no autenticado.
Hay dos modalidades de funcionamiento:
v El módulo STS generará un error si una señal recibida se corresponde con un
usuario no autenticado. Este es el valor predeterminado. El error es:
FBTSTS015E La señal binaria IV-Cred no es válida o no está presente.
v El módulo STS IVCred puede configurarse para correlacionar la señal del
usuario no autenticado con una cuenta de usuario especial que se puede
configurar. La cuenta de usuario seleccionada se debería considerar como una
cuenta de invitado o de baja autorización.
Capítulo 4. Problemas y soluciones conocidas
39
El módulo STS IVCred STS añade un nombre de usuario no autenticado en la
estructura de usuario universal.
Para habilitar esta modalidad, añada la propiedad personalizada:
ivcred.unauthenticated.user.name=myusername
Donde myusername es el valor del nombre de usuario que se debe utilizar para la
correlación.
También se pueden proporcionar propiedades adicionales para describir la
cuenta de usuario con la que se quiere hacer la correlación:
ivcred.unauthenticated.user.registry.id - se utiliza para incluir el ID de
registro de la cuenta.
ivcred.unauthenticated.user.uuid - se utiliza para indicar el ID exclusivo de la
cuenta de usuario
No se puede iniciar sesión en WebSphere cuando se utiliza el
adaptador de Tivoli Access Manager VMM
Síntoma: No se puede iniciar sesión como administrador de WebSphere o bien no
se puede detener WebSphere Application Server. Un mensaje de error indica que
hay un problema al inicializar o contactar con el registro del adaptador de Tivoli
Access Manager VMM (Virtual Member Management). Este error puede producirse
cuando la seguridad de WebSphere Application Server está habilitada y el
adaptador está configurado para que se utilicen los repositorios federados de
WebSphere.
Acerca de esta tarea
El adaptador Tivoli Access Manager VMM utiliza los registros soportados de Tivoli
Access Manager. Este uso requiere que el registro de Tivoli Access Manager esté
disponible cuando el adaptador esté en uso. El archivo de configuración de Tivoli
Access Manager que necesita el adaptador de Tivoli Access Manager VMM
también debe existir. El archivo de configuración debe estar ubicado en la
ubicación exacta que ha especificado al configurar el adaptador.
El problema con el inicio de sesión de WebSphere se puede producir si alguna de
las siguientes condiciones es verdadera (true):
v La propiedad de configuración para el adaptador de Tivoli Access Manager
VMM se ha suprimido.
v El servidor de registro de Tivoli Access Manager no se está ejecutando.
v La Tivoli Access Manager ya está configurada.
Cuando se produce este problema, debe recuperar el acceso a WebSphere
Application Server.
Nota: En primer lugar, compruebe el registro de WebSphere Application Server y
determine si el registro de Tivoli Access Manager subyacente no esté en ejecución.
Si este es el caso, reinicie el servidor de registro y verifique que puede alcanzarlo
desde el entorno de WebSphere. Si lo consigue, no es necesario que realiza los
pasos de la tarea de este tema.
Los pasos siguientes describen cómo restaurar el acceso a WebSphere Application
Server. Los pasos sólo se aplican a las configuraciones donde dos condiciones son
verdaderas (true):
1. Los repositorios federados de WebSphere Application Server están configurados
para que contengan más de un adaptador.
40
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Nota: Necesita un adaptador para cada tipo de registro configurado.
2. El adaptador de Tivoli Access Manager VMM es uno de los adaptadores
configurados en los repositorios federados de WebSphere Application Server.
Procedimiento
1. Detenga WebSphere Application Server.
Si no puede iniciar sesión, utilice un mandato del sistema operativo para
detener el proceso.
2. Conéctese a WebSphere Application Server:
wsadmin -conntype none
3. Si hay una entrada base configurada para el adaptador de Tivoli Access
Manager VMM, suprímala del dominio.
Por ejemplo, si el nombre del dominio es defaultWIMFileBasedRealm, y la
entrada de la base de adaptador es o=ibm,c=us:
$AdminTask deleteIdMgrRealmBaseEntry {-name defaultWIMFileBasedRealm
-baseEntry o=ibm,c=us}
4. Suprima la entrada del repositorio del adaptador de Tivoli Access Manager
VMM.
Por ejemplo, si el ID de registro del adaptador de Tivoli Access Manager VMM
es TAMRegistryAdapter:
$AdminTask deleteIdMgrRepository {-id TAMRegistryAdapter}
5. Guarde la configuración.
$AdminConfig save
6. Reinicie WebSphere Application Server.
7. Si es necesario, vuelva a configurar el adaptador de Tivoli Access Manager
VMM.
Problemas del despliegue
Los siguientes temas y soluciones están relacionados con las operaciones de
despliegue en IBM Tivoli Federated Identity Manager.
Se ha recibido un error sobre la operación de despliegue
FBTCON137E: Se ha producido un error durante la operación de despliegue.
Este mensaje es una descripción genérica de un error de despliegue. Puede recibir
este error aunque la operación haya sido satisfactoria, pero la operación ha tardado
más tiempo que el valor de tiempo de espera de solicitud de SOAP especificado.
Después de crear el dominio y pulsar Desplegar en el panel Gestión de nodos de
ejecución, es posible que reciba este mensaje.
Para validar el despliegue, realice los pasos siguientes:
1. Cierre el panel Gestión de nodos de ejecución.
2. Abra el panel Gestión de nodos de ejecución.
La ejecución se muestra como desplegada con una marca de selección en la
columna estado. Ahora puede configurar la ejecución.
Capítulo 4. Problemas y soluciones conocidas
41
Tiempo de espera excedido de SOAP
Incremente el valor del parámetro com.ibm.SOAP.requestTimeout para que el
tiempo tenga 45 segundos más de lo que tarda la operación en completarse. De
este modo evitará que SOAP Client Connector no exceda el tiempo de espera
durante la operación.
Para determinar el valor de tiempo de espera adecuado, siga los pasos siguientes:
1. Inhabilite el valor de tiempo de espera estableciendo el valor del parámetro
com.ibm.SOAP.requestTimeout a 0.
2. Despliegue la aplicación y registre el tiempo que ha tardado.
3. Defina el valor de tiempo de espera estableciendo el valor del parámetro
com.ibm.SOAP.requestTimeout 45 segundos más del tiempo que ha registrado.
Por ejemplo, si ha tardado 3 minutos y 45 segundos en desplegar la aplicación,
establezca com.ibm.SOAP.requestTimeout en 270 (4 minutos y 30 segundos).
Para establecer el valor del parámetro com.ibm.SOAP.requestTimeout, lleve a cabo
los pasos siguientes:
1. Detenga el nodo de WebSphere Application Sever donde está instalada la
consola de administración.
2. Edite el archivo $ISC/AppServer/properties/soap.client.props .
3. Modifique el valor del parámetro com.ibm.SOAP.requestTimeout.
4. Guarde y cierre el archivo.
5. Inicie el nodo de WebSphere Application Sever donde está instalada la consola
de administración.
Despliegue de Tivoli Federated Identity Manager en un
entorno de clúster vertical de WebSphere
El despliegue en la segunda instancia de servidor falla cuando Tivoli Federated
Identity Manager se despliega en un entorno de clúster vertical.
Se crea un entorno de clúster vertical de WebSphere Application Server alojando
varias instancias de servidor de aplicaciones en la misma máquina física (nodo).
Todas las instancias de WebSphere Application Server utilizan el mismo entorno de
JVM.
Si intenta desplegar el servidor de Tivoli Federated Identity Manager en varias
instancias de WebSphere Application Server en el mismo sistema, el despliegue
falla en la segunda instancia de servidor porque ya está configurada en la JVM.
Para eludir el problema, haga una copia de seguridad y elimine los archivos
siguientes antes de configurar el servidor de IBM Tivoli Federated Identity
Manager en la segunda instancia de WebSphere Application Server:
WAS_HOME/java/jre/PolicyDirector/PD.properties
WAS_HOME/java/jre/PolicyDirector/PDCA.ks
Repita este procedimiento cada vez que despliegue el servidor de Tivoli Federated
Identity Manager en una instancia separada de WebSphere Application Server en el
mismo nodo.
42
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
El despliegue de Tivoli Federated Identity Manager en un
clúster requiere el descubrimiento de agentes de nodo
En un despliegue de clúster de WebSphere Application Server, la ejecución de
Tivoli Federated Identity Manager requiere el descubrimiento de un agente de
nodo para que se inicialice correctamente.
Es posible que un agente de nodo no esté disponible en el arranque del servidor
de nodo gestionado, aunque para la ejecución de Tivoli Federated Identity
Manager requiera que el descubrimiento de un agente de nodo se inicialice
correctamente.
La lista siguiente incluye razones clave de porqué el agente de nodo no se ha
descubierto en el arranque:
El agente de nodo no se ha iniciado
El agente de nodo no se ha iniciado antes de que se iniciaran los nodos
gestionados. Los agentes de nodo se deben iniciar antes de que se inicien
los nodos gestionados, de lo contrario las aplicaciones no los detectarán
cuando se inicien.
Problemas de rendimiento
El entorno de Tivoli Federated Identity Manager utiliza un suceso de
descubrimiento de agente de nodo para volver a iniciar sus componentes.
Es posible que este suceso no lo haya emitido WebSphere Application
Server en algunas de las siguientes circunstancias:
v Si el sistema o la red están muy cargados
v Si las latencias de respuesta son grandes por otros motivos
Como resultado, la ejecución de Tivoli Federated Identity Manager se
queda en un estado inicializado incorrecto.
Los siguientes escenarios describen cómo se puede detectar un nodo:
v La ejecución de Tivoli Federated Identity Manager está configurada sin errores a
través de la consola administrativa. O bien, el nodo de ejecución se muestra
como desplegado y configurado en la página Gestión de nodos de ejecución.
v Cuando el rastreo de Federated Identity Management está habilitado, podrá
encontrar una entrada que ha registrado el método
com.tivoli.am.fim.fedmgr2.servlet.SSOPSServlet handleNotification() en la que se
indica:
notificación de bean gestionado recibida: <mensaje_notificación>
donde mensaje_notificación indica un tipo de suceso
com.ibm.websphere.management.NotificationConstants.
Solución temporal:
Si el agente de nodo no se puede detectar, vuelva a inicializar el entorno de Tivoli
Federated Identity Manager reiniciando el EAR ITFIMRuntime o inciando el nodo
gestionado. Asegúrese de que tanto el agente de nodo como el gestor de
despliegue (dmgr) se ejecuten antes de intentar iniciar o reiniciar el entorno de
Tivoli Federated Identity Manager.
Capítulo 4. Problemas y soluciones conocidas
43
Problemas de personalización
Los siguientes problemas y soluciones están relacionados con la personalización de
Tivoli Federated Identity Manager, por ejemplo desarrollo o modificación de
conectores.
Resolución de ClassDefNotFoundErrors o
ClassNotFoundExceptions
Ponga el paquete que falta de la clase en la sección Export-Package del archivo
MANIFEST.MF en com.tivoli.am.fim.osgi.connector si ha recibido un error
class-not-found o class-definition-not-found en una clase de contenedor J2EE
de WebSphere. Ejemplo de los mensajes de error:ClassDefNotFoundErrors y
ClassNotFoundExceptions.
Puede cambiar el archivo MANIFEST.MF que está ubicado en $WAS_PROFILE/config/
itfim/com.tivoli.am.fim.osgi.connector_6.2.1/META-INF/.
Nota: Cambie el cargador de clases de contexto cuando implique métodos en el
contenedor J2EE de WebSphere J2EE.
Depuración de problema de inicio y resolución de paquete OSGi
Puede ejecutar ejecuciones de Tivoli Federated Identity Manager Eclipse en
modalidad de depuración, que abre un puerto a la consola OSGi (osgiConsole).
Puede utilizar telnet para conectarse a la osgiConsole.
También puede hacer lo siguiente mediante la osgiConsole:
v Consultar el estado de todos los paquete del directorio de conectores de Tivoli
Federated Identity Manager.
v Realizar operaciones de gestión de ciclo de vida en los paquetes. Por ejemplo,
iniciar, detener y desinstalar.
Siga estos pasos para iniciar una ejecución de Tivoli Federated Identity Manager
Eclipse en modalidad de depuración:
1. Vaya al directorio donde está instalado el archivo launch.ini para
com.tivoli.am.fim.war.management.war:
WAS_PROFILE/installedApps/node/ITFIMManagementService.ear/
com.tivoli.am.fim.war.management.war/WEB-INF/eclipse/launch.ini
o vaya a com.tivoli.am.fim.war.runtime.war:
WAS_PROFILE/installedApps/node/ITFIMRuntime.ear/
com.tivoli.am.fim.war.runtime.war/WEB-INF/eclipse/launch.ini
2. Edite el archivo launch.ini, especifique un valor para la propiedad
osgi.console.port (por ejemplo, osgi.console.port=8888) y luego guarde el
archivo. Si está depurando el entorno de ejecución y el servicio de gestión en la
misma máquina, asegúrese de que utiliza distintos valores de puerto.
3. Reinicie el EAR de ITFIMManagementService o el EAR de ITFIMRuntime.
4. En la línea de mandatos, o shell, ejecute telnet localhost 8888 para acceder a
la consola OSGi para un entorno de ejecución Tivoli Federated Identity
Manager Eclipse determinado. Puede ver un indicador osgi> después de
establecer una conexión telnet con ese puerto.
44
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
5. En el indicador osgi>, ejecute el mandato ss para obtener una lista de paquetes
del entorno de ejecución de Eclipse y el estado de cada paquete. Ejecute help
para ver una lista de posibles opciones del mandato.
6. Busque el paquete que ha especificado y el número que aparece junto a él. Si el
estado del paquete es INSTALLED y no RESOLVED o STARTED, ejecute el
mandato start number. Si ejecuta el mandato startnumber se imprime un
rastreo de pila de excepción Java que está asociado con el inicio del paquete
personalizado.
7. Para salir de la consola OSGi, ejecute disconnect para restituir del puerto.
Ubicación del directorio temporal de los registros de error de
OSGi
Para depurar un error de OSGI de Tivoli Federated Identity Manager, compruebe
los registros de errores de OSGi. Cuando se inicia Tivoli Federated Identity
Manager, se copian los archivos siguientes del repositorio de configuración al
directorio temporal de WebSphere Application Server
v Conectores
v Configuración
v Directorios de características
Es la misma ubicación donde se ha iniciado la instancia OSGi de Tivoli Federated
Identity Manager OSGi.
La ubicación normalmente se encuentra en uno de los siguientes directorios:
WAS_APPSERVER/profiles/profilename/temp/node/server/
ITFIMManagementService/com.tivoli.am.fim.war.management.war/itfim/
WAS_APPSERVER/profiles/profilename/temp/node/server/ITFIMRuntime/
com.tivoli.am.fim.war.runtime.war/itfim/
Los registros de errores de OSGi se encuentra en el directorio itfim/configuration
del directorio temporal.
Invocación de un método API de WebSphere desde un módulo
personalizado
Puede utilizar J2EEContainerAction en un módulo personalizado para iniciar un
método API de WebSphere (por ejemplo búsqueda JNDI, búsqueda RMI o SOAP
MessageFactory).
Un mecanismo de devolución de llamada puede hacer que una parte del código
del conector de Tivoli Federated Identity Manager se ejecute como si estuviera en
ejecución en el contenedor J2EE. Este mecanismo es necesario porque algunas
llamadas de método se basan en los recursos que sólo están visibles para los
cargadores de clases en el contenedor J2EE. Entre los ejemplos de llamadas de
método actuales que hay en Tivoli Federated Identity Manager se incluyen: JNDI
lookup, RMI endpoint lookup, SOAP MessageFactory creation y JAAS login.
Para utilizar este mecanismo, primero debe crear una clase que implemente
com.tivoli.am.fim.osgi.J2EEContainerAction, que contiene un método run():
Capítulo 4. Problemas y soluciones conocidas
45
J2EEContainerAction myAction = new J2EEContainerAction(){
public Object run() throws Exception{
//do something that needs to run within a J2EE container
}
};
A continuación, inicie su clase de acción utilizando
com.tivoli.am.fim.osgi.J2EEContainerFactory:
J2EEContainerFactory.runInJ2EEContainer(myAction);
J2EEContainerFactory maneja la conmutación contextclassloader de la ejecución de
Eclipse al contenedor J2EE. Luego llama al método run() en su clase de acción y
vuelve a conmutar contextclassloader a su posición original. A continuación se
muestran los tres J2EEContainActions más habituales que ya están definidos y
puede reutilizarlos:
com.tivoli.am.fim.j2eeactions.CreateMessageFactoryAction
\\creates a SOAP Message Factory
com.tivoli.am.fim.j2eeactions.JndiLookupAction
\\performs a JNDI lookup in WAS
com.tivoli.am.fim.j2eeactions.RmiLookupAction
\\performs a RMI lookup in WAS
46
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 5. Arreglos
Puede obtener arreglos del sitio web de soporte del producto y puede registrarse
para recibir notificaciones sobre información de soporte del producto, incluidos los
arreglos.
Obtención de arreglos
Es posible que haya un arreglo de producto que esté disponible para resolver el
problema. Compruebe el sitio de soporte del producto para determinar los arreglos
que están disponibles para Tivoli Federated Identity Manager.
Procedimiento
1. Vaya al sitio IBM Software Support de Tivoli Federated Identity Manager en
http://www.ibm.com/software/sysmgmt/products/support/
IBMTivoliFederatedIdentityManager.html. En la sección Descarga del a página
encontrará una lista con los arreglos más recientes.
2. Pulse en el nombre de un arreglo para leer la descripción. También puede
descargar la información del arreglo.
Recepción de notificaciones de arreglos
Puede recibir notificaciones por correo electrónico sobre arreglos y otras noticias
acerca de los productos de IBM.
Procedimiento
1. Vaya al sitio de IBM Software Support para Tivoli Federated Identity
Manager: http://www.ibm.com/software/sysmgmt/products/support/
IBMTivoliFederatedIdentityManager.html.
2. Pulse Mi soporte en la esquina superior derecha de la página. Se abre una
página de inicio de sesión.
3. Si ya se ha registrado, vaya al siguiente paso. Si no se ha registrado, pulse
Registrar ahora para establecer el ID de usuario y la contraseña.
4. Inicie la sesión en Mi soporte.
5. Haga clic en el separador Editar perfil.
6. Seleccione Software > Seguridad > Acceso en los campos que se muestran.
7. Seleccione IBM Tivoli Federated Identity Manager de la lista de productos.
8. Pulse Añadir productos.
9. Para utilizar la notificación por correo electrónico, pulse Suscribir correo
electrónico en la parte superior de la página.
10. En la lista, pulse Software.
11. Seleccione los recuadros de selección para describir mejor las notificaciones de
correo electrónico que desea recibir.
12. Pulse Actualizar.
13. Cierre la sesión pulsando Cerrar sesión o pulse Ir a mi página personalizada
para ver la página de soporte personalizada.
© Copyright IBM Corp. 2006, 2013
47
48
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 6. Búsqueda en bases de conocimiento
IBM Support para Tivoli Federated Identity Manager mantiene una base de
conocimiento con documentación técnica, problemas y soluciones temporales.
Acerca de esta tarea
IBM Support Assistant incluye una herramienta de búsqueda jerárquica para
ayudarle a centrar la búsqueda de información relacionada con un producto,
plataforma o problema específicos. Consulte “Visión general de ISA” en la página
65 para obtener más información.
El siguiente procedimiento describe cómo realizar una búsqueda manual para
obtener información.
Procedimiento
1. Vaya al sitio IBM Software Support para Tivoli Federated Identity Manager:
http://www.ibm.com/software/sysmgmt/products/support/
IBMTivoliFederatedIdentityManager.html.
2. Bajo Resolver un problema, pulse alguna de las opciones siguientes:
v Notas técnicas, donde se muestra información sobre el producto por título de
documento.
v APAR, que muestran una lista de problemas conocidos de acuerdo con
números de APAR (informe autorizado de análisis de programa).
3. De forma opcional, puede buscar términos específicos, códigos de error o APAR
utilizando el campo Buscar en la página de soporte del producto. También
puede buscar por las páginas de notas técnicas o de APAR.
© Copyright IBM Corp. 2006, 2013
49
50
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 7. Recopilación de datos
Hay otras maneras de arreglar un problema además de solucionar los síntomas.
Otra manera de resolver un problema es recopilar más datos de diagnóstico.
Antes de empezar a recopilar datos para notificar un problema, instale y ejecute
IBM Support Assistant. Esta herramienta de resolución de problemas incluye una
consola donde puede enviar un registro de gestión de problemas en línea (PMR).
Como parte del proceso, se recopila información específica del sistema, el entorno
y el producto en un archivo que utiliza IBM Software Support. Para obtener más
información sobre IBM Support Assistant, consulte el apartado “Visión general de
ISA” en la página 65 para obtener más detalles.
Recopilar datos en seguida, incluso antes de abrir un registro de gestión de
problemas (PMR), puede ayudarle a responder a las siguientes preguntas:
1. ¿Coinciden los síntomas con algún problema conocido?
2. Si es así, ¿se ha publicado algún arreglo o solución temporal?
3. ¿El problema es un problema no orientado a defectos que se puede identificar y
resolver sin un arreglo de código?
4. ¿Dónde se origina el problema?
Los datos de diagnóstico que debe recopilar y los orígenes a partir de los cuales
recopila dichos datos dependen del tipo de problema que está investigando. Por
ejemplo, si investiga un posible error de disco en un entorno AIX, un origen
importante de datos de diagnóstico es la salida del mandato errpt.
Para obtener ayuda para identificar el componente en el que se ha originado el
problema, responda a estas preguntas de la lista de comprobación de resolución de
problemas de Tivoli Federated Identity Manager.
Recopilación de datos generales
Cuando envía un problema a IBM Software Support, hay un conjunto básico de
información que normalmente debe proporcionar con detalles sobre el sistema o
los sistemas afectados, por ejemplo:
v Versión de Tivoli Federated Identity Manager y de los niveles de parche en los
sistemas afectados
v Nombre y versión del sistema operativo
v Detalles generales sobre la estructura del entorno, por ejemplo el número de
servidores y software instalados, dominios y federaciones configuradas, etc.
Recopilación de datos específicos del problema
Para síntomas específicos o para problemas en una parte específica del producto,
debe recopilar datos adicionales, por ejemplo información de rastreo o de mensajes.
Consulte el apartado “Registros de mensajes y rastreo” en la página 52 para
obtener más información. Después de recopilar los datos de diagnóstico adecuados,
puede intentar analizarlos usted mismo o bien puede enviarlos a IBM Software
Support.
© Copyright IBM Corp. 2006, 2013
51
Registros de mensajes y rastreo
Los registros de mensajes y rastreo de Tivoli Federated Identity Manager los
gestiona y almacena WebSphere Application Server.
Consulte los temas de resolución de problemas en el Information Center de
WebSphere Application Server para obtener información detallada sobre los
registros.
Registros de mensajes
Los registros de mensajes son archivos de texto en los que se graban las
operaciones del sistema.
Los siguientes tipos de mensajes se registran de forma predeterminada:
Mensajes informativos
Indican condiciones que merece la pena anotar pero que no requieren que
tome precauciones o que realice ninguna acción.
Mensajes de aviso
Indican que se ha detectado una condición que debe tener en cuenta pero
que no es necesario realizar ninguna acción.
Mensajes de error
Indican que se ha producido una condición que requiere una acción.
Archivos de registro de mensajes
Todos los mensajes de Tivoli Federated Identity Manager se registran en los
siguientes registros de mensajes de WebSphere Application Server
predeterminados.
Tabla 2. Registros de mensajes
Registro
Nombre de archivo
predeterminado
Registros de JVM
SystemOut.log
Mensajes en formato de texto
para la instancia del servidor
de aplicaciones.
Registro de servicio de IBM
activity.log
Mensajes en formato suceso
base común binario para la
instalación del servidor de
aplicaciones.
Nota: Las herramientas para
visualizar este formato se
proporcionan junto con
WebSphere Application
Server. Consulte el
Information Center de
WebSphere Application
Server para obtener más
información.
Contenido
Puede utilizar la consola administrativa de WebSphere Application Server para
configurar los siguientes valores de registro:
v ubicación
v nombre
52
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
v tamaño máximo de los archivos de registro
v niveles de gravedad que desea registrar, por ejemplo Aviso o Muy grave
Consulte el apartado “Configuración de valores de registro” en la página 54 para
obtener más información.
Ubicaciones del registro de mensajes
De forma predeterminada, los registros de mensajes están ubicados en los
siguientes directorios.
Tabla 3. Ubicaciones predeterminadas del registro de mensajes del servidor de aplicaciones
Registro
Vía de acceso
Registros de JVM
UNIX y Linux:
/opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/
nombre_servidor/SystemOut.log
Windows:
C:\Program Files\IBM\WebSphere\AppServer\profiles\
nombre_perfil\ logs\nombre_servidor\SystemOut.log
Registro de servicio
de IBM
UNIX y Linux:
/opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/
activity.log
Windows:
C:\Program Files\IBM\WebSphere\AppServer\profiles\
nombre_perfil\ logs\nombre_servidor\activity.log
Los registros de mensajes de la consola se guardan en directorios de registros de
mensajes del nodo de WebSphere Application Server donde está instalada la
consola de administración.
Registros de rastreo
El registro de rastreo, o rastreo, proporciona al personal de IBM Software Support
información adicional relacionada con la condición del sistema en el momento que
se produjo el problema.
Los registros de rastreo capturan información transitoria sobre el entorno operativo
actual cuando un componente o una aplicación dejan de funcionar como es
esperado. Los registros de rastreo son distintos de los registros de mensajes porque
los registros de mensajes recopilan sólo la aparición de sucesos significativos. Los
registros de rastreo sólo están disponibles en inglés.
El registro de rastreo no está habilitado de forma predeterminada. En algunas
circunstancias, el registro de rastreo podría producir grandes cantidades de datos
que se recopilan en poco tiempo, lo cual provoca una degradación significativa del
rendimiento. Por lo tanto, sólo debe habilitar el registro de rastreo si lo solicita el
personal de IBM Software Support. Consulte el apartado “Configuración de valores
de registro” en la página 54 para obtener detalles.
Las entradas del registro de rastreo pueden proporcionar el siguiente nivel de
detalle:
Capítulo 7. Recopilación de datos
53
Preciso
Detalle mínimo.
Más preciso
Detalle moderado.
Muy preciso
Detalle máximo (verboso).
Archivo de registro de rastreo
Si el rastreo está habilitado para un servidor de aplicaciones, la información de
rastreo de Tivoli Federated Identity Manager se registra en el siguiente registro de
rastreo de WebSphere Application Server predeterminado.
Tabla 4. Registro de rastreo
Nombre de registro
predeterminado
Nombre de archivo
predeterminado
Rastreo de diagnóstico
trace.log
Contenido
Información de rastreo en
formato texto para la
instancia del servidor de
aplicaciones.
Si utiliza la consola administrativa de WebSphere Application Server, puede
configurar algunos valores de los registros, por ejemplo la ubicación, el nombre, el
tamaño máximo de los archivos de registro y el nivel de detalle que desea registrar
(por ejemplo Preciso, Más preciso, Muy preciso). Consulte “Configuración de
valores de registro” para obtener más información.
Ubicaciones del registro de rastreo
De forma predeterminada, el registro de rastreo está ubicado en los directorios
siguientes.
Tabla 5. Ubicaciones del registro de rastreo predeterminado del servidor de aplicaciones
Registro
Vía de acceso
Rastreo de
diagnóstico
UNIX y Linux:
/opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/
nombre_servidor/trace.log
Windows:
C:\Program Files\IBM\WebSphere\AppServer\profiles\
nombre_perfillogs\nombre_servidor\trace.log
Los registros de rastreo de la consola se guardan en los directorios de registros de
rastreo del nodo de WebSphere Application Server donde está instalada la consola
de administración.
Configuración de valores de registro
Puede utilizar la consola de administración para configurar los valores de los
registros de mensajes y rastreo. La creación de registros de mensajes está habilitada
de forma predeterminada. El registro de rastreo sólo debe estar habilitado si así lo
solicita el personal de soporte deIBM.
54
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Configurar el registro de mensajes
El registro de mensajes en el registro de JVM y el registro de servicio de IBM están
habilitados de forma predeterminada. Ambos archivos están configurados para
registrar mensajes de todos los componentes de Tivoli Federated Identity Manager
de todos los niveles de gravedad. Puede modificar los nombres, la ubicación, el
tamaño de archivo y el nivel de gravedad que se deben registrar.
Configuración del registro de JVM
Puede modificar el nombre de archivo, la ubicación, el formato de archivo, el
tamaño de archivo, las veces que se puede iniciar y detener el registro, el número
de registros que se desean conservar y el nivel de gravedad que se registrará en el
registro de JVM.
Acerca de esta tarea
El registro de JVM, también denominado SystemOut.log, es un registro estándar de
WebSphere Application Server que se utiliza para mensajes. Para obtener
información detallada, consulte los temas del registro de JVM en el Information
Center de WebSphere Application Server.
Procedimiento
1. Inicie la consola administrativa de WebSphere Application Server y, si es
necesario, inicie sesión.
2. Pulse Resolución de problemas > Registros y rastreo para abrir la página
Registro y rastreo.
3. Pulse el nombre del servidor que desea configurar, por ejemplo, servidor1.
4. Pulse Registros de JVM para ver las opciones de configuración.
5. Seleccione el separador Configuración.
6. Desplácese por el panel para mostrar los atributos que se deben configurar.
7. Cambie los atributos de configuración pertinentes.
8. Pulse Aplicar.
9. Guarde los cambios de configuración.
Configuración del registro de IBM Service
El registro de IBM Service está habilitado de forma predeterminada. Puede cambiar
este valor o modificar los nombres, la ubicación, el tamaño de archivo y el nivel de
gravedad que se anotarán en el registro.
Acerca de esta tarea
El registro de servicio, también denominado activity.log, es un registro estándar de
WebSphere Application Server que se utiliza para los mensajes. Para obtener
información detallada sobre el registro, consulte los temas de registro de servicio
en el Information Center de WebSphere Application.
Procedimiento
1. Inicie la consola administrativa de WebSphere Application Server y, si es
necesario, inicie sesión.
2. Pulse Resolución de problemas > Registros y rastreo para abrir la página
Registro y rastreo.
3. Pulse el nombre del servidor que desea configurar, por ejemplo, server1.
4. Pulse Registros de IBM Service para ver las opciones de configuración.
Capítulo 7. Recopilación de datos
55
5. Marque o desmarque la casilla Habilitar registro de servicio para habilitar o
inhabilitar la creación del registro. El registro de servicio está habilitado de
forma predeterminada.
6. Establezca el nombre del registro de servicio en el campo Nombre de archivo.
El nombre predeterminado es activity.log. Si el nombre se modifica, el entorno
de ejecución necesitará acceso de grabación en el archivo nuevo y el archivo
deberá utilizar la extensión .log.
7. Especifique el número de megabytes que puede llegar a tener el archivo en el
campo Tamaño máximo de archivo. Cuando el archivo alcanza este tamaño,
vuelve al principio, sustituyendo los datos antiguos por los nuevos.
8. Haga clic en Aplicar para guardar los cambios de configuración.
9. Reinicie el servidor para que los cambios de configuración entren en vigor.
Habilitación del registro de rastreo
Puede habilitar el registro de rastreo en el inicio del servidor o en un servidor en
ejecución. Para mantener el rendimiento del sistema, sólo debería habilitar el
registro de rastreo si así lo indica el personal de soporte de IBM Support.
Habilitación del rastreo al iniciar el servidor
El registro de rastreo se puede habilitar al iniciar el servidor.
Acerca de esta tarea
El registro de rastreo es un registro estándar de WebSphere Application Server que
se utiliza para rastrear información. Para obtener información detallada del
registro, consulte el Information Center de WebSphere Application Server.
Procedimiento
1. Inicie la consola administrativa de WebSphere Application Server y, si es
necesario, inicie sesión.
2. Pulse Resolución de problemas > Registros y rastreo para abrir la página
Registro y rastreo.
3. Pulse el nombre del servidor que desea configurar, por ejemplo, server1.
4. Pulse Rastreo de diagnóstico para ver las opciones de configuración.
5. Pulse el separador Configuración.
6. Marque o desmarque la casilla Habilitar registro para habilitar o inhabilitar la
creación del registro. El registro de rastreo está inhabilitado de forma
predeterminada.
7. Complete la configuración tal como se le indique el personal de soporte de
IBM. Para obtener información adicional sobre los valores de configuración,
consulte los temas de registro de rastreo y resolución de problemas en el
Information Center de WebSphere Application Server.
8. Pulse Aplicar para guardar los cambios de configuración.
9. Para especificar una serie de rastreo para establecer la especificación de
rastreo en el estado necesario:
a. Pulse Resolución de problemas > Registros y rastreo para abrir la página
Registro y rastreo.
b. Pulse el servidor que desee configurar, por ejemplo server1.
c. Pulse Cambiar niveles de detalle de registro.
d. Si la opción Todos los componentes está habilitada, desáctivela y habilite
componentes específicos.
56
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
10. Pulse un componente o nombre de grupo. Consulte “Rastrear componentes”
para obtener una lista de componentes de Tivoli Federated Identity Manager.
Nota: Si el servidor seleccionado no se está ejecutando, no se mostrará en la
lista.
11. Escriba una serie de rastreo en el recuadro de serie de rastreo. Por ejemplo,
para especificar el rastreo sólo para el servidor de confianza, escriba: *=info:
com.tivoli.am.fim.trustserver.*=all Para obtener más información sobre
series de rastreo, consulte el Information Center de WebSphere Application
Server.
12. Pulse Aceptar.
13. Pulse Guardar para guardar los cambios. Debe reiniciar WebSphere
Application Server para que los cambios entren en vigor.
Habilitación del rastreo en un servidor en ejecución
El registro de rastreo se puede habilitar en un servidor en ejecución.
Acerca de esta tarea
El registro de rastreo es un registro estándar de WebSphere Application Server que
se utiliza para rastrear información. Para obtener información detallada sobre el
registro, consulte el Information Center de WebSphere Application Server.
Procedimiento
1. Inicie la consola administrativa de WebSphere Application Server y, si es
necesario, inicie sesión.
2. Pulse Resolución de problemas > Registros y rastreo para abrir la página
Registro y rastreo.
3. Pulse el nombre del servidor que desea configurar, por ejemplo, servidor1.
4. Pulse Rastreo de diagnóstico.
5. Pulse el separador Tiempo de ejecución.
6. Seleccione el recuadro Guardar cambios de ejecución también en la
configuración si desea guardar los cambios en la configuración de servidor.
7. Modifique el estado de rastreo actual modificando la especificación de rastreo
al estado necesario.
8. Configure la salida de rastreo si desea guardar el existente.
9. Pulse Aplicar.
Rastrear componentes
Rastree componentes específicos sólo si se lo indica el personal de soporte de IBM.
En función de los síntomas del problema, el personal de soporte de IBM podría
sugerir que habilite el rastreo para componentes adicionales que no están descritos
en este tema.
La siguiente tabla describe una lista parcial de los componentes para los cuales
puede especificar la creación del registro de rastreo.
Tabla 6. Descripciones y nombres de componentes de rastreo
Componente de rastreo
Descripción del componente
com.tivoli.am.fim
Todos los componentes de Tivoli Federated Identity
Manager
com.tivoli.am.fim.audit
Auditoría
Capítulo 7. Recopilación de datos
57
Tabla 6. Descripciones y nombres de componentes de rastreo (continuación)
Componente de rastreo
Descripción del componente
com.tivoli.am.fim.fedmgr2
Servicio de protocolo de inicio de sesión único (SPS)
com.tivoli.am.fim.kess
Servicio de claves
com.tivoli.am.fim.liberty
Protocolo de inici de sesión único de Liberty
Nota: El protocolo Liberty pasará a estar en desuso en
el release 6.2.2 de Tivoli Federated Identity Manager.
com.tivoli.am.fim.management
Gestión de consola
com.tivoli.am.fim.mgmt
Gestión de consola
com.tivoli.am.fim.saml
Protocolo de inicio de sesión único de SAML
com.tivoli.am.fim.saml20
Protocolo de inicio de sesión único de SAML 2.0
com.tivoli.am.fim.soap
Conexiones de SOAP
com.tivoli.am.fim.sps
Infraestructura de servicio de protocolo de inicio de
sesión único
com.tivoli.am.fim.trust
Cliente del servicio de confianza
com.tivoli.am.fim.trustserver
Servicio de confianza
com.tivoli.am.fim.wsfederation
Protocolo de inicio de sesión único de WS-Federation
com.tivoli.am.fim.wssm
Gestión de seguridad de servicios web
Visualización de registros
El formato de los registros determina cómo se pueden visualizar.
registros de JVM
Puede ver los registros de JVM con cualquiera de las opciones siguientes:
v Utilice la consola administrativa de WebSphere Application Server, que también
soporta la visualización desde una máquina remota.
v Utilice un editor de texto en una máquina donde se almacenan los archivos de
registro.
Consulte la sección Ver registros de JVM en el Information Center de WebSphere
Application Server para obtener más información.
Registros de servicio de IBM
Los registros de servicio se graban en formato binario. Para ver el registro, puede
utilizar las herramientas que forman parte de WebSphere Application Server.
Busque el tema ver el registro de servicio en el Information Center de
WebSphere Application Server para obtener más información.
Registros de rastreo
Los datos de rastreo se generan como texto plano en formato básico, avanzado o
Log Analyzer. En un servidor de aplicaciones, los datos de rastreo pueden dirigirse
a un archivo o a un almacenamiento intermedio circular en memoria. Si se utiliza
el almacenamiento intermedio circular, los datos deben volcarse a un archivo para
poder visualizarlos.
58
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
En un proceso autónomo o un cliente de aplicaciones, los datos de registro pueden
dirigirse a un archivo o a una ventana de la consola de procesos. Busque el tema
salida de rastreo en el Information Center de WebSphere Application Server para
obtener más información.
Utilización de IBM Support Assistant
La herramienta IBM Support Assistant Lite for Tivoli Federated Identity Manager
ayuda a la resolución de problemas de Tivoli Federated Identity Manager. Utilice la
herramienta para recopilar automáticamente datos del problema.
Debe instalar el conector de Tivoli Federated Identity Manager para IBM Support
Assistant como parte de la instalación de Tivoli Federated Identity Manager. Si no
especifica el componente de IBM Support Assistant al instalar el producto, instálelo
ahora.
Para utilizar la herramienta, consulte:
Utilización de IBM Support Assistant en modalidad gráfica
Puede utilizar una interfaz gráfica de usuario para recopilar datos con IBM
Support Assistant.
Acerca de esta tarea
Para acceder a la interfaz gráfica de usuario, ejecute un script desde la línea de
mandatos.
Procedimiento
1. Asegúrese de que el entorno Java esté configurado correctamente:
a. Verifique que el entorno de ejecución de Java sea del nivel 1.4.2 o superior.
b. Determine si la ubicación del entorno de ejecución de Java está incluido en
el valor de entorno de PATH. Si la ubicación no está incluida en la vía de
acceso, establezca la variable JAVA_HOME de modo que apunte al entorno de
ejecución de Java.
Tabla 7. Especificar JAVA_HOME para su entorno
Sistema operativo
Mandato de ejemplo
Windows
Por ejemplo, si tiene un kit de desarrollo de Java instalado
en c:\jre1.4.2, utilice el mandato:
SET JAVA_HOME=c:\jre1.4.2
UNIX o Linux
Por ejemplo, si está utilizando el shell Bash y tiene un kit
de desarrollo de Java instalado en /opt/jre142, utilice el
mandato:
export JAVA_HOME=/opt/jre142
2. Inicie la herramienta IBM Support Assistant:
Abra un indicador de mandatos y cambie el directorio por el directorio de
instalación de ISAlite. El directorio de instalación de ISAlite es la ubicación
donde ha descomprimido el archivo TFIMISALite.zip. Escriba el mandato para
el entorno:
Capítulo 7. Recopilación de datos
59
Tabla 8. Ejecución de IBM Support Assistant
Tipo de sistema operativo
Mandato
Windows
runISALite.bat
UNIX o Linux
runISALite.sh
Nota: Asegúrese de que el script sea
ejecutable. Si es necesario, utilice el siguiente
mandato para cambiar los permisos del
archivo:
chmod 755 runISALite.sh
Ahora IBM Support Assistant inicia una interfaz gráfica de usuario.
3. En la ventana Tipo de problema, seleccione un tipo de problema.
Expanda las carpetas para que se vean todos los tipos de problemas. Busque su
tipo de problema y selecciónelo.
4. Proporcione un nombre de archivo para el archivo de recopilación de datos
.zip.
Puede utilizar cualquier nombre de archivo. La herramienta añade
automáticamente la extensión de archivo .zip. Por ejemplo, si especifica el
nombre de archivo Install_problem, el archivo se denominará
Install_problem.zip.
5. Pulse Recopilar datos.
El script de recopilación se ejecuta y le solicita información adicional. La
información puede incluir información de configuración o la secuencia de
sucesos que conducen al problema. El script también puede solicitarle
preferencias de recopilación de datos.
Cuando el script termine de recopilar la información de configuración,
recopilará los datos necesarios. La herramienta crea un archivo .zip que puede
enviar a IBM Support.
6. Cuando se le solicite, especifique un nombre de archivo en el recuadro Output
Filename/Path.
La herramienta añade el nombre de host de servidor y la indicación de fecha y
hora actual al nombre del archivo que ha especificado.
7. Envíe el archivo .zip a IBM Support
Puede elegir FTP o HTTPS para transferir el archivo.
Nota: El FTP está no está cifrado, en canvio HTTPS sí que está cifrado.
Utilización de IBM Support Assistant en modalidad de consola
Puede recopilar datos con IBM Support Assistant en modalidad de consola.
Acerca de esta tarea
La modalidad de consola proporciona un control de línea de mandatos de los
scripts de recopilación de IBM Support Assistant Lite. Puede utilizar la herramienta
para registrar las respuestas de una sesión de modalidad de consola en un archivo
de respuestas. Luego podrá utilizar el archivo de respuestas para llevar a cabo
ejecuciones posteriores del mismo script de recopilación.
Procedimiento
1. Asegúrese de que el entorno Java esté configurado correctamente:
a. Verifique que el entorno de ejecución de Java sea del nivel 1.4.2 o posterior.
60
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
b. Determine si la ubicación del entorno de ejecución de Java está incluido en
el valor de entorno de PATH. Si la ubicación no está incluida en la vía de
acceso, establezca la variable JAVA_HOME de modo que apunte al entorno de
ejecución de Java.
Tabla 9. Especificar JAVA_HOME para su entorno
Sistema operativo
Mandato de ejemplo
Windows
Por ejemplo, si tiene un kit de desarrollo de Java instalado
en c:\jre1.4.2, utilice el mandato:
SET JAVA_HOME=c:\jre1.4.2
UNIX o Linux
Por ejemplo, si está utilizando el shell Bash y tiene un kit
de desarrollo de Java instalado en /opt/jre142, utilice el
mandato:
export JAVA_HOME=/opt/jre142
2. Inicie la herramienta IBM Support Assistant:
Abra una ventana de mandatos y cambie el directorio por el directorio de
instalación de ISAlite. El directorio de instalación de ISAlite es la ubicación
donde ha descomprimido el archivo TFIMISALite.zip. Escriba el mandato para
el entorno:
Tabla 10. Ejecución de IBM Support Assistant
Tipo de sistema operativo
Mandato
Windows
runISALiteConsole.bat
UNIX o Linux
runISALiteConsole.sh
Nota: Asegúrese de que el script sea
ejecutable. Si es necesario, utilice el siguiente
mandato para cambiar los permisos del
archivo:
chmod 755 runISALite.sh
Ahora IBM Support Assistant se inicia en modalidad de consola.
3. Cree un archivo de respuestas.
Tabla 11. Sintaxis para grabar la entrada de datos de IBM Support Assistant
Tipo de sistema operativo
Mandato
Windows
runISALiteConsole.bat -record response.txt
UNIX o Linux
runISALiteConsole.sh -record response.txt
Puede especificar su propio nombre de archivo para response.txt.
Cuando se ejecuta en esta modalidad, proporciona la entrada de datos durante
una sesión interactiva. La herramienta graba las respuestas en el archivo que
especifica.
4. Utilice el archivo de respuestas para ejecutar la herramienta.
Tabla 12. Sintaxis para utilizar IBM Support Assistant con un archivo de respuestas
Tipo de sistema operativo
Mandato
Windows
runISALiteConsole.bat response.txt
UNIX o Linux
runISALiteConsole.sh response.txt
Nota:
Capítulo 7. Recopilación de datos
61
v El archivo de respuestas es un archivo de texto sin formato. Puede editarlo
para modificar los valores según sea necesario. Por ejemplo, puede utilizar el
archivo en otro sistema después de ajustar los valores del archivo de
respuestas para que refleje los valores para el sistema local.
v Recuerde que la información confidencial, como por ejemplo los nombres de
usuario y las contraseñas, puede estar almacenada en el archivo de
respuestas. Gestione el archivo detenidamente, para evitar el acceso no
autorizado a información importante.
v Algunas sesiones de recopilación de datos necesitan interacción con el
usuario, y por lo tanto no son aconsejables para la opción de recopilación
silenciosa. Por ejemplo, IBM Support podría pedirle que reprodujera el
problema durante la recopilación de datos, a fin de recopilar archivos de
registro y de rastreo. En este caso, la recopilación silenciosa no puede grabar
y reproducir todos los pasos.
62
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 8. Análisis de datos
Después de recopilar datos de varias fuentes, debe determinar cómo dichos datos
pueden ayudarle a resolver un problema.
Para analizar datos, lleve a cabo las acciones siguientes:
v Determine qué orígenes de datos son más probables que contengan información
sobre el problema e inicie el análisis de estos orígenes. Por ejemplo, si el
problema está relacionado con la instalación, inicie el análisis con los archivos de
registro de la instalación, si hay alguno. Esta acción le puede ayudar a reducir el
problema, en lugar de empezar por los archivos de registro del sistema
operativo o del producto en general.
v Debe comprender cómo los distintos fragmentos de datos están relacionados
entre ellos. Por ejemplo, si los datos abarcan a más de un sistema, mantenga los
datos organizados para saber qué fragmentos de datos proceden de qué
orígenes.
v Utilice la indicación de fecha y hora para confirmar que cada fragmento de
datos de diagnóstico es relevante teniendo en cuenta el momento del problema.
Nota: Los datos de distintos orígenes pueden tener distintos formatos de
indicación de fecha y hora. Debe comprender la secuencia de los distintos
elementos en cada formato de indicación de fecha y hora, de modo que pueda
decir cuando se han producido los distintos sucesos.
El método específico de análisis es exclusivo de cada origen de datos. Una
sugerencia que es aplicable a la mayoría de archivos de registro y rastreo es
empezar por identificar el punto en los datos donde se ha producido el problema.
Después de identificar ese punto, muévase por los datos para rastrear la causa raíz
del problema.
Para investigar un problema para el cual tiene datos comparativos de un entorno
de trabajo o no de trabajo, empiece comparando los detalles de configuración del
producto y del sistema operativo de cada entorno.
© Copyright IBM Corp. 2006, 2013
63
64
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Capítulo 9. Contacto con el soporte técnico
El servicio de soporte de software de IBM proporciona ayuda para resolver
defectos de los productos.
Puede ponerse en contacto con IBM Software Support de las siguientes maneras:
v IBM Support Assistant: Puede buscar información sobre un problema y
recopilar la información registrada necesaria para resolver un problema
utilizando IBM Support Assistant. También puede utilizarlo para abrir un
informe de gestión de problemas (PMR) en línea. También es útil utilizar IBM
Support Assistant para notificar un problema a IBM Software Support. Necesita
su ID de cuenta de usuario y contraseña para enviar un PMR a través de IBM
Support Assistant. El cliente de IBM Support Assistant está incluido en el CD del
producto y puede descargarse actualizaciones desde el siguiente sitio web:
http://www.ibm.com/software/support/isa/
v En línea: Vaya al separador Enviar y Rastrear problemas en el sitio de IBM
Software Support en http://www.ibm.com/software/support/probsub.html.
Escriba la información en la herramienta de envío de problemas adecuada.
v Por teléfono: para saber el número al que llamar en su país, vaya a la página de
contactos de IBM Software Support Handbook en http://
www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html y pulse
el nombre de su área geográfica.
Si el problema que ha enviado es un defecto de software, de falta de contenido o
documentación imprecisa, IBM Software Support creará un Informe autorizado de
análisis de programa (APAR). El APAR describe el problema de forma detallada.
Siempre que sea posible, IBM Software Support proporciona una solución
provisional que se puede implementar hasta que se resuelva el APAR y se ofrezca
un arreglo. IBM publica los APAR resueltos en el sitio web de soporte de software
a diario, para que los otros usuarios que experimenten el mismo problema pueden
beneficiarse de la misma resolución.
Antes de enviar un problema al Soporte de Sofware deIBM, responda a estas
preguntas:
1. ¿Dispone de un contrato de mantenimiento de software de IBM activo?
2. ¿Comprende el impacto empresarial que puede suponer el problema?
3. ¿Podría describir el problema?
Visión general de ISA
IBM Support Assistant simplifica el proceso de investigar y notificar problemas de
software.
IBM Support Assistant proporciona un acceso rápido a las herramientas de
capacidad de servicio y de información relacionada con el soporte para la
determinación de problemas. IBM Support Assistant cuenta con tres herramientas:
Búsqueda
Utilice varios filtros para centrar su búsqueda a fin de acceder rápidamente
a la información de repositorio de resolución de problemas. La herramienta
© Copyright IBM Corp. 2006, 2013
65
de búsqueda concurrente abarca la mayor parte de la documentación de
IBM y devuelve los resultados que están clasificados según el origen para
facilitar su revisión.
Enlaces de información del producto
Estos enlaces de autoayuda incluyen:
v Páginas de soporte del producto
v Páginas de presentación del producto
v Guías de resolución de problemas del producto
v Hojas de ruta de formación del producto e IBM Education Assistant
v Actualizaciones de productos
v Foros y grupos de noticias de productos
Característica de servicio
La característica de servicio es un recopilador automatizado del sistema y
un recopilador basado en síntomas. El recopilador del sistema reúne
información general del sistema operativo, el registro y otras fuentes. El
recopilador basado en síntomas reúne información específica del producto
relativa a un problema concreto que está teniendo. Utilice la característica
de servicio para establecer automáticamente el rastreo a fin de ayudar al
soporte de IBM en el proceso de recopilación de datos.
La característica de servicio también permite enviar un problema en línea a
IBM Software Support. Especifique una vez la información de titularidad y
guárdela para futuras sesiones. Puede crear un informe del problema para
IBM y adjuntar los datos recopilados en un archivo de recopilación.
IBM Support Assistant ofrece una guía de usuario completa y en línea que le
ayudará en la configuración y uso de la herramienta. Los siguientes pasos
describen el procedimiento básico para configurar el sistema para que utilice IBM
Support Assistant:
1. Instale la herramienta IBM Support Assistant desde el CD del producto o desde
el siguiente sitio web:
http://www.ibm.com/software/support/isa/
2. En un repositorio de software de IBM, localice el conector de IBM Support
Assistant para la versión de WebSphere Application Server que está ejecutando.
El conector de Tivoli Federated Identity Manager utiliza el conector de
WebSphere Application Server como código base.
3.
4.
5.
6.
66
Nota: Tenga paciencia al descargar el conector de WebSphere Application
Server; puede tardar bastante tiempo en función del tráfico de la red y de la
disponibilidad de los recursos del sistema.
Instale el conector de WebSphere Application Server en el subdirectorio \plugin
del directorio de instalación de IBM Support Assistant.
Busque el conector de IBM Support Assistant para Tivoli Federated Identity
Manager en el CD del producto o en un repositorio de software de IBM.
Instale el conector de IBM Support Assistant en el subdirectorio \plugin del
directorio de instalación de IBM Support Assistant.
Pulse el icono de escritorio de IBM Support Assistant para iniciarlo. Seleccione
el separador Guía de usuario para obtener información sobre cómo realizar las
distintas tareas disponibles.
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Contratos de mantenimiento de software de IBM
Asegúrese de que su empresa tiene un contrato de mantenimiento activo antes de
enviar un problema a IBM Software Support. Asegúrese de que también esté
autorizado a enviar problemas a IBM.
Si no está seguro del tipo de contrato de mantenimiento de software que necesita,
llame a 1-800-IBMSERV (1-800-426-7378) en Estados Unidos. Desde otros países,
vaya a la página Contactos de IBM Software Support Handbook en
http://www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html, y
pulse el nombre de su región geográfica para obtener los números de teléfono de
las personas que ofrecen soporte en su zona.
Determinación del impacto empresarial
Cuando envíe un problema a IBM, se le pedirá que proporcione un nivel de
gravedad. Por lo tanto, debe comprender y evaluar el impacto empresarial del
problema que está notificando.
Utilice los criterios siguientes:
Tabla 13. Niveles de gravedad
Gravedad 1
El problema tiene un impacto empresarial crítico: No puede utilizar el
programa, lo que produce un impacto crítico en las operaciones. Esta
condición requiere una solución inmediata.
Gravedad 2
Este problema tiene un impacto empresarial significativo: El programa
es utilizable, pero está gravemente limitado.
Gravedad 3
El problema tiene algún impacto empresarial: El programa es
utilizable, pero las características menos significativas (no críticas para
las operaciones) no están disponibles.
Gravedad 4
El problema tiene un impacto empresarial mínimo: el problema ejerce
un impacto mínimo en las operaciones, o se ha implementado una
solución alterna razonable al problema.
Descripción de un problema
Cuando describa un problema en IBM, sea lo más específico posible. Incluya toda
la información de fondo relevante para que el especialista de IBM Software
Support pueda ayudarle a solucionar el problema de manera eficaz.
Para ahorrar tiempo, busque la respuesta a estas preguntas:
v ¿Qué versiones de software ejecutaba cuando se ha producido el problema?
v ¿Tiene anotaciones, rastreos y mensajes que estén relacionados con los síntomas
del problema?
v ¿Puede recrear el problema? Si es así, ¿qué pasos realiza para reproducir el
problema?
v ¿Ha modificado alguna cosa del sistema? Por ejemplo, ¿ha modificado algo del
hardware, del sistema operativo, del software de red o de otros componentes del
sistema?
v ¿Utiliza actualmente una solución temporal para el problema? Si es así, esté
preparado para describir la solución temporal cuando informe del problema.
Capítulo 9. Contacto con el soporte técnico
67
Envío de datos
Puede enviar datos de diagnóstico, por ejemplo archivos de registro y archivos de
configuración, a IBM Software Support.
Utilice uno de los siguientes métodos:
v IBM Support Assistant
v FTP (EcuRep)
v Herramienta ESR
IBM Support Assistant
IBM Support Assistant incluye una función que tiene un recopilador de sistema
automatizado y un recopilador basado en síntomas. El recopilador del sistema
reúne información general del sistema operativo, el registro y otras fuentes. El
recopilador basado en síntomas reúne información específica del producto relativa
a un problema concreto que está teniendo. La función de servicio también permite
establecer automáticamente el rastreo para ayudar al servicio de soporte de IBM en
el proceso de recopilación de datos. Consulte “Visión general de ISA” en la página
65 para obtener más información acerca de IBM Support Assistant.
FTP (EcuRep)
Utilice el servicio FTP denominado EcuRep para enviar archivos de datos a IBM.
Empaquete los archivos de datos que ha recopilado en formato ZIP o RAR y
denomine el paquete según su identificador de Registro de gestión de problemas
(PRM). El nombre del archivo debe utilizar el siguiente convenio de denominación
para que pueda asociarse correctamente con el PMR:
xxxxx.bbb.ccc.yyy.yyy
donde:
Tabla 14. Convención de denominación de archivos
xxxxx
Número de PMR
bbb
Ramificación del identificador PMR
ccc
Código de país del identificador PMR
yyy.yyy
Tipo de archivo (formato ZIP o TAR)
Utilice FTP para transferir los archivos y siga estos pasos:
1. Mediante un programa de utilidad FTP, conéctese al servidor emea.ibm.com
(por ejemplo, ftp.emea.ibm.com).
2. Inicie sesión como usuario anónimo.
3. Escriba la dirección de correo electrónico y la contraseña.
4. Vaya el directorio toibm (por ejemplo, cd toibm).
5. Vaya a uno de los subdirectorios específicos de la plataforma: aix, cae, hw,
linux, lotus, mvs, os2, os400, swm, tivoli, unix, vm, vse y windows.
6. Cambie a la modalidad binaria (bin) (por ejemplo, bin).
7. Ponga el archivo en el servidor. Puede enviar pero no actualizar los archivos en
el servidor FTP. Por lo tanto, en cualquier momento posterior que debe cambiar
el archivo, se crea un archivo con un nombre exclusivo.
68
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Para obtener más información sobre el servicio EcuRep, consulte IBM EMEA
Centralized Customer Data Store Service en http://www.ibm.com/de/support/
ecurep/index.html.
Herramienta ESR
Los usuarios registrados que están en una lista de emisores autorizados pueden
utilizar la herramienta Electronic Service Request (ESR) para enviar datos de
diagnóstico. Utilice la herramienta ESR para enviar y gestionar registros de gestión
de problemas (PMR) según el orden, 24 horas al día, siete días a la semana y 365
días al año.
Para enviar datos utilizando ESR, siga estos pasos:
1. Inicie sesión en ESR.
2. En la página de bienvenida, especifique el número de PMR en el campo Enter
a report number y pulse Go.
3. Desplácese hasta el campo Attach Relevant File.
4. Pulse Examinar para localizar el archivo de registro, de rastreo u otro tipo de
archivo de diagnóstico que desee enviar a IBM Software Support.
5. Pulse Enviar. El archivo se envía a IBM Software Support mediante FTP y se
asocia con su PMR.
Capítulo 9. Contacto con el soporte técnico
69
70
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Avisos
Esta información se ha desarrollado para productos y servicios que se ofrecen en
EE.UU. Es posible que en otros países IBM no ofrezca los productos, los servicios o
las características que se describen en este documento. Consulte con el
representante local de IBM para obtener información acerca de los productos y
servicios que actualmente están disponibles en su localidad. Las referencias a
productos, programas o servicios de IBM no pretenden establecer ni implicar que
sólo puedan utilizarse dichos productos, programas o servicios de IBM. En su
lugar se puede utilizar cualquier producto, programa o servicio funcionalmente
equivalente que no vulnere los derechos de propiedad intelectual de IBM. Sin
embargo, es responsabilidad del cliente evaluar y verificar el funcionamiento de
cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patente pendientes de aprobación que
cubran alguno de los temas tratados en este documento. El suministro de este
documento no le otorga ninguna licencia sobre estas patentes. Puede enviar las
consultas sobre licencias, por escrito, a la siguiente dirección:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504-1785 EE. UU.
Para consultas sobre licencias relativas a la información de doble byte (DBCS),
póngase en contacto con el departamento de propiedad intelectual de IBM de su
país o envíe sus consultas, por escrito, a:
Intellectual Property Licensing
Legal and Intellectual Property Law
IBM Japan, Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokyo 103-8510, Japón
El siguiente párrafo no se aplica al Reino Unido ni a ningún otro país donde
estas disposiciones sean incoherentes con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA
ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGUNA CLASE, NI
EXPLÍCITA NI IMPLÍCITA, QUE INCLUYE, PERO NO SE LIMITA A, LAS
GARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, MERCANTILIZACIÓN O
ADECUACIÓN A UN PROPÓSITO DETERMINADO.
Algunos estados no permiten la declaración de limitación de responsabilidad de las
garantías implícitas o explícitas en determinadas transacciones y, por lo tanto, es
posible que esta declaración no sea aplicable en su caso.
Esta información puede contener errores tipográficos o inexactitudes técnicas.
Periódicamente se efectúan cambios en la información aquí contenida; estos
cambios se incorporarán en nuevas ediciones de la publicación. IBM puede realizar
en cualquier momento mejoras o cambios en los productos o programas descritos
en esta publicación sin previo aviso.
© Copyright IBM Corp. 2006, 2013
71
Cualquier referencia en esta información a sitios Web que no sean de IBM se
proporciona, únicamente, a efectos de comodidad y no sirve, en modo alguno, de
endoso de dichos sitios Web. El contenido de esos sitios web no forma parte del
contenido de este producto de IBM, por lo que la utilización de dichos sitios es
responsabilidad del usuario.
IBM puede utilizar o distribuir cualquier información que se le proporcione en la
forma que considere adecuada, sin incurrir por ello en ninguna obligación para
usted.
Los propietarios de una licencia de este programa que deseen obtener información
sobre él con el fin de permitir: (i) el intercambio de información entre programas
creados de forma independiente y otros programas (incluido éste) y (ii) el uso
mutuo de la información intercambiada, deben ponerse en contacto con:
IBM Corporation
2Z4A/101
11400 Burnet Road
Austin, TX 78758 EE. UU.
Dicha información puede estar disponible, sujeta a los términos y condiciones
correspondientes, incluyendo, en algunos casos, el pago de una tarifa.
El programa bajo licencia descrito en este documento y todo el material bajo
licencia disponible, los proporciona IBM según los términos del Acuerdo de cliente
de IBM, del Acuerdo internacional de programas bajo licencia de IBM o de
cualquier otro acuerdo equivalente entre ambas partes.
Cualquier información de rendimiento contenida aquí fue determinada en un
entorno controlado. Por tanto, los resultados obtenidos en otros entornos
operativos pueden variar de forma significativa. Algunas mediciones pueden
haberse realizado en sistemas en nivel de desarrollo y no existe garantía alguna de
que estas mediciones sean iguales en los sistemas de disponibilidad general.
Además, algunas mediciones pueden haberse estimado mediante extrapolación.
Los resultados reales pueden variar. Los usuarios de este documento deben
verificar los datos aplicables a sus entornos específicos.
La información relativa a los productos que no son de IBM se ha obtenido de los
proveedores de dichos productos, sus anuncios publicados u otras fuentes
disponibles públicamente. IBM no ha comprobado estos productos y no puede
confirmar la precisión de su rendimiento, compatibilidad ni contemplar ninguna
otra reclamación relacionada con productos que no son de IBM. Las consultas
acerca de las posibilidades de los productos no IBM deben dirigirse a los
proveedores de los mismos.
Todas las declaraciones relativas a las intenciones futuras de IBM están sujetas a
cambios o cancelaciones sin previo aviso y únicamente representan planes y
objetivos.
Todos los precios de IBM que se muestran son precios de distribución sugeridos
por IBM, actuales y sujetos a cambios sin previo aviso. Los precios de los
distribuidores pueden variar.
Está información está concebida únicamente para ser utilizada de modo
orientativo. La información contenida en el presente documento está sujeta a
cambios antes de que los productos descritos salgan al mercado.
72
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Esta información cuenta con ejemplos de datos e informes que se utilizan en
operaciones de negocios a diario. Para ilustrarlos de la forma más completa
posible, los ejemplos incluyen los nombres de personas, compañías, marcas y
productos. Todos estos nombres son ficticios y cualquier similitud con nombres y
direcciones utilizados en una empresa comercial real es pura coincidencia.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de muestra en lenguaje fuente,
que ilustran las técnicas de programación en distintos plataformas operativas.
Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier
formato sin abonar ninguna cantidad a IBM con el propósito de desarrollo, uso,
comercialización o distribución de dichos programas de aplicación en conformidad
con la interfaz de programación de aplicaciones que corresponde a la plataforma
operativa para la que se han escrito dichos programas de ejemplo. Estos ejemplos
no se han probado exhaustivamente bajo todas las condiciones. Por lo tanto, IBM
no puede garantizar ni dar a entender la fiabilidad, utilidad o funcionamiento de
dichos programas. Puede copiar, modificar y distribuir estos programas de ejemplo
en cualquier formato sin necesidad de efectuar ningún pago a IBM con el fin de
desarrollar, utilizar, comercializar o distribuir los programas de aplicación que se
ajusten a las interfaces de programación de aplicaciones de IBM.
Si ve esta información en copia software, es posible que las fotografías y las
ilustraciones en color no se vean.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales
registradas de International Business Machines Corp., patentadas en muchas
jurisdicciones de todo el mundo. Otros nombres de productos y de servicios
pueden ser marcas registradas de IBM o de otras empresas. La página web
www.ibm.com/legal/copytrade.shtml, titulada Copyright and trademark
information (Información de copyright y marcas registradas) contiene una lista
actualizada de las marcas registradas de IBM.
Adobe, Acrobat, PostScript y todas las marcas de Adobe son marcas registradas o
marcas comerciales registradas de Adobe Systems Incorporated en Estados Unidos,
otros países o ambos.
IT Infrastructure Library es una marca registrada de la Agencia Central de
Telecomunicaciones y Computación (CCTA, UK), actualmente parte de la OGC
(Office of Government Commerce, UK).
Intel, el logotipo de Intel, Intel Inside, el logotipo de Intel Inside, Intel Centrino, el
logotipo de Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium y Pentium
son marcas registradas de Intel Corporation o de sus subsidiarias en los Estados
Unidos y/o en otros países.
Linux es una marca registrada de Linus Torvalds en los Estados Unidos y otros
países.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas
registradas de Microsoft Corporation en Estados Unidos, en otros países o en
ambos.
Avisos
73
ITIL es una marca registrada y una marca de comunidad registrada de Office of
Government Commerce, y está registrada en la oficina de patentes y marcas
registradas de los Estados Unidos (U.S. Patent and Trademark Office).
UNIX es una marca registrada de The Open Group en Estados Unidos y en otros
países.
Java y todas las marcas registradas y logotipos basados en Java son marcas
registradas de Sun Microsystems, Inc. en Estados Unidos o en otros países.
Cell Broadband Engine es una marca registrada de Sony Computer en Estados
Unidos y/o en otros países y se utiliza bajo licencia.
Linear Tape-Open, LTO, el logotipo de LTO, Ultrium y el logotipo de Ultrium son
marcas registradas de HP, IBM Corp. y Quantum en Estados Unidos y en otros
países.
Otros nombres de compañías, productos o servicios pueden ser marcas registradas
o de servicio de otros.
74
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Índice
A
accesibilidad viii
activity.log
configuración 55
Nombre predeterminado de registro
de servicio de IBM 52
actualizaciones de productos
visión general 6
agente de nodo
resolución de problemas de
descubrimiento de 43
API de WebSphere
invocar método 45
aplicación de gestión
resolución de problemas 32
archivo de tabla de claves
resolución de problemas 17
archivos de datos
empaquetado utilizando EcuRept 68
archivos de registro
grabar 18
permisos 16
archivos EAR
ubicación 32
archivos JAR
resolución de problemas 15
arreglo IY93387
error de validación de mensaje 35
arreglos
obtener 47
ubicación 6
visión general 47
arreglos de productos
visión general 6
B
bases de conocimiento
buscar 49
bloqueos
visión general 8
C
cambios de configuración
resolución de problemas 33
caracteres de idioma nacional
uso en nombre de federación 17
CLI no funcionará después de la
instalación 14
clúster
despliegue de clúster vertical 42
clúster de WebSphere
agente de nodo no descubierto 43
clúster vertical de WebSphere
desplegar 42
componentes de rastreo
habilitación 57
conectividad
resolución de problemas 5
© Copyright IBM Corp. 2006, 2013
consola de gestión
resolución de problemas de varias
instancias 32
contratos de mantenimiento
visión general 67
contratos de mantenimiento de software
visión general 67
convenios
tipo de letra x
convenios de tipo de letra x
D
datos
recopilar para un problema
datos de diagnóstico
envío 69
datos de registro
analizar 63
directorio ITFIM_WSSM
añadir archivos 16
añadir subdirectorios 16
51
IBM Support Assistant (continuación)
visión general 65
IBM Support Assistant (ISA)
utilización 59
informe autorizado de análisis de
programa (APAR)
buscar 49
integrated solutions console
problemas 31
resolución de problemas 28
interrupciones
visión general 8
ITFIMManagementService.ear
uso del archivo de servicio de
gestión 32
ITFIMRuntime.ear
uso del archivo de ejecución 32
L
la interfaz de línea de mandatos no
funciona después de la instalación
E
M
en línea
publicaciones v
terminología v
error de instalación de Solaris 13
error de instalación en Solaris 13
errores de carga de clases
ClassDefNotFoundErrors 44
ClassNotFoundExceptions 44
estado de ejecución
consultar 34
mandato cacls.exe
usar 18
mandato errpt
uso 51
mandatos
calcs.exe 51
errpt 51
wsadmin 51
máquina virtual Java (JVM)
arreglar error IY93387 35
mensajes
errores 7
tipos 52
mensajes de error
visión general 7
F
finalizaciones anómalas
visión general 8
fixpack
visión general 6
formación
Véase formación técnica de Tivoli
formación, técnica de Tivoli ix
formación técnica de Tivoli ix
H
Herramienta Electronic Service Request
(ESR)
uso 69
I
IBM Software Support
contactar 65
IBM Support Assistant
envío de datos a 68
14
N
nombres de componentes de rastreo
comprender 57
nombres de directorio, notación x
nombres de federación
uso de caracteres válidos 17
nombres de vía de acceso, notación x
notación
nombres de vía de acceso x
tipo de letra x
variables de entorno x
notas técnicas
buscar 49
notificaciones de arreglos
obtener 47
recepción 47
75
O
operación
error de validación de mensaje
operación de despliegue
error 41
operaciones
resolución de problemas 29
osgiConsole (OSGi)
depurar 44
35
P
paquete de renovación
visión general 6
personalización
método API de WebSphere 45
registros de error de OSGi 45
resolución de paquete OSGi 44
problemas
describir 67
envío de datos a IBM 68
informe 67
niveles de gravedad 67
obtención de información 3
obtener síntomas 3
recopilar datos específicos 51
recopilar datos generales 51
problemas de conectividad
visión general 5
problemas de configuración
caracteres de idioma nacional 17
directorio ITFIM_WSSM 16
espacios en la vía de acceso de
archivo de tabla de claves 17
valores de propiedad de SSL 16
problemas de consola
cambios de configuración 33
detener WebSphere Application
Server 29
iniciar WebSphere Application
Server 29
operaciones incompletas 29
problemas de despliegue
agente de nodo 43
clúster vertical de WebSphere 42
tiempo de espera excedido de SOAP
(Simple Object Access Protocol) 42
visión general 41
problemas de rendimiento
resolución de problemas 7
visión general 7
publicaciones
acceder en línea v
lista para este producto v
realizar pedidos viii
relacionadas vii
R
realizar pedidos de publicaciones viii
Registro de IBM Service
configuración 55
Registro de JVM
vía de acceso de archivo 53
registro de la máquina virtual Java (JVM)
configuración 55
76
Registro de servicio de IBM
vía de acceso 53
registros
analizar datos 63
habilitación del rastreo en el inicio del
servidor 56
habilitar rastreo en un servidor en
ejecución 57
nombres de archivo 53
rastreo 54
tipos de mensaje 52
ubicaciones 54
ver 58
registros de error de OSGi
ubicación 45
registros de error de osgiConsole (OSGi)
ubicar directorio 45
registros de mensaje
configuración 55
visión general 52
registros de rastreo
habilitación 56
uso de nombres de archivo 54
visión general 53
resolución de paquete OSGi
depurar 44
resolución de problemas
desinstalación 15
instalación 13, 14
lista de comprobación 1
obtener síntomas 3
proceso 1
resolución de problemas de software
buscar 47
S
servicio de gestión
resolución de problemas 33
servicio EcuRep
uso 68
Simple and Protected GSSAPI
Negotiation Mechanism (SPNEGO)
espacios de vía de acceso de archivo
de tabla de claves 17
Simple Object Access Protocol (SOAP)
tiempo de espera excedido 42
soluciones
visión general 13
soporte
contactar 65
soporte de manuales
visión general 67
soporte de software
contactar 65
SPNEGO
configurar espacios en la vía de acceso
de archivo de tabla de claves 17
SystemOut.log
registros de mensaje 52
U
Utilizaciónde IBM Support Assistant
uso 59
V
valores de propiedad de la capa de
sockets segura (SSL)
configuración 16
valores de propiedad de SSL
alterar temporalmente otros valores de
propiedad 16
configuración para el servicio de
auditoría 16
valores de registro
configuración 55
valores de seguridad
volver a configurar 29
variables, notación para x
variables de entorno, notación x
W
WebSphere Application Server
detener desde la línea de
mandatos 29
instalación de varias consolas 32
problemas de consola 29
reiniciar tras volver a configurar
valores de seguridad 29
resolución de problemas de servicio
de gestión 33
resolución de problemas de varias
instancias de la consola de
gestión 32
visualizar la aplicación de ejecución o
gestión 32
wsadmin
mediante 34
T
terminología v
tiempo de ejecución
problema 35
IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas
Impreso en España
GC11-8432-02