IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7 Guía de resolución de problemas GC11-8432-02 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7 Guía de resolución de problemas GC11-8432-02 Nota Antes de utilizar esta información y el producto al que da soporte, lea la información que aparece en el apartado “Avisos” en la página 71. Nota sobre la edición Nota: Esta edición es aplicable a la versión 6, release 2, modificación 2.7 de IBM Tivoli Federated Identity Manager (número de producto 5724-L73) y a todos los releases y modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones. © Copyright IBM Corporation 2006, 2013. Contenido Acerca de esta publicación . . . . . . v Destinatarios . . . . . . . . . . . . . . v Acceso a publicaciones y terminología . . . . . . v Biblioteca de IBM Tivoli Federated Identity Manager . . . . . . . . . . . . . . vi Publicaciones de requisitos previos . . . . . vii Publicaciones relacionadas . . . . . . . . vii Acceso a la terminología en línea . . . . . . viii Acceso a las publicaciones en línea . . . . . viii Pedido de publicaciones . . . . . . . . . viii Accesibilidad . . . . . . . . . . . . . viii Formación técnica de Tivoli . . . . . . . . . ix Información de soporte . . . . . . . . . . ix Sentencia de buenas prácticas de seguridad . . . . ix Convenciones utilizadas en esta publicación . . . ix Convenios de tipo de letra. . . . . . . . . x Variables y vías de acceso que dependen del sistema operativo . . . . . . . . . . . . x Capítulo 1. Resolución de problemas y soporte . . . . . . . . . . . . . . . 1 Capítulo 2. Más información sobre los síntomas del problema . . . . . . . . 3 Acerca de Acerca de Acerca de Acerca de Acerca de Acerca de bloqueos. Acerca de anómalas la resolución de problemas . . . . . los problemas de conectividad . . . . Tivoli Federated Identity Manager . . los arreglos y las actualizaciones . . . los mensajes . . . . . . . . . . los problemas de rendimiento y los . . . . . . . . . . . . . . interrupciones, bloqueos y finalizaciones . . . . . . . . . . . . . . . . . . . 3 5 5 6 7 . 7 . 8 Capítulo 3. Lista de comprobación para la resolución de problemas de Tivoli Federated Identity Manager . . . . . . 11 Capítulo 4. Problemas y soluciones conocidas . . . . . . . . . . . . . 13 Problemas de instalación . . . . . . . . . Problemas de desinstalación . . . . . . . . Problemas de configuración de Tivoli Federated Identity Manager . . . . . . . . . . . Problemas de Integrated Solutions Console . . . Varias solicitudes para reiniciar WebSphere Application Server . . . . . . . . . . Incomplete operations after logging off the console . . . . . . . . . . . . . . Reiniciar WebSphere Application Server después de volver a configurar los valores de seguridad en la consola de gestión . . . . . . . . © Copyright IBM Corp. 2006, 2013 . 13 . 15 . 16 . 28 Detener WebSphere Application Server desde la línea de mandatos después de reiniciar Tivoli Federated Identity Manager desde la consola . . Limitaciones en el panel Instancias de módulo . La tablas podrían no representarse correctamente en Integrated Solutions Console podrían cuando se utiliza Microsoft Internet Explorer 10 . . . . WebSEAL con OTP no se visualiza en la página Punto de contacto después de volver a crear un dominio . . . . . . . . . . . . . . Se muestra una versión incorrecta en el panel Gestión de nodos de ejecución de Tivoli Federated Identity Manager . . . . . . . . Problemas de consola de WebSphere Application Server . . . . . . . . . . . . . . . . WebSphere Application Server debe estar instalado por separado en cada instancia de la consola de gestión . . . . . . . . . . . La consola de administración de WebSphere no abre la aplicación de ejecución o de gestión. . . Los cambios de configuración no se propagan a cada nodo de clúster antes de que se reinicie el entorno de ejecución de Tivoli Federated Identity Manager . . . . . . . . . . . . . . La consola de WebSphere indica que el servicio de gestión no está disponible . . . . . . . Consultar el estado de ejecución de Tivoli Federated Identity Manager . . . . . . . . Los perfiles con enlaces POST para el inicio de sesión único podrían no funcionar cuando se utiliza WebSphere Application Server 6.1.0.17 o 6.1.0.19 . . . . . . . . . . . . . . . Error de tiempo de ejecución . . . . . . . . Problemas operativos . . . . . . . . . . . No se puede iniciar sesión en WebSphere cuando se utiliza el adaptador de Tivoli Access Manager VMM . . . . . . . . . . . . . . . Problemas del despliegue. . . . . . . . . . Se ha recibido un error sobre la operación de despliegue . . . . . . . . . . . . . . Despliegue de Tivoli Federated Identity Manager en un entorno de clúster vertical de WebSphere . El despliegue de Tivoli Federated Identity Manager en un clúster requiere el descubrimiento de agentes de nodo . . . . . . . . . . . Problemas de personalización . . . . . . . . 29 30 30 31 31 32 32 32 33 33 34 34 34 35 40 41 41 42 43 44 Capítulo 5. Arreglos . . . . . . . . . 47 . 28 Obtención de arreglos . . . . . . . Recepción de notificaciones de arreglos . . . . . . . . 47 . 47 . 29 . 29 iii Capítulo 6. Búsqueda en bases de conocimiento . . . . . . . . . . . . 49 Capítulo 7. Recopilación de datos . . . 51 Registros de mensajes y rastreo . . . . . Registros de mensajes . . . . . . . Registros de rastreo. . . . . . . . Configuración de valores de registro . . . Configurar el registro de mensajes . . . Habilitación del registro de rastreo . . Visualización de registros . . . . . . . Utilización de IBM Support Assistant . . . Utilización de IBM Support Assistant en modalidad gráfica . . . . . . . . Utilización de IBM Support Assistant en modalidad de consola . . . . . . . iv . . . . . . . . . . . . . . . . . . . . . . . . 52 52 53 54 55 56 58 59 . . . 59 . . . 60 Capítulo 8. Análisis de datos . . . . . 63 Capítulo 9. Contacto con el soporte técnico. . . . . . . . . . . . . . . 65 Visión general de ISA . . . . . . . . . . Contratos de mantenimiento de software de IBM . Determinación del impacto empresarial . . . . Descripción de un problema . . . . . . . . Envío de datos . . . . . . . . . . . . . . . . . 65 67 67 67 68 Avisos . . . . . . . . . . . . . . . 71 Índice . . . . . . . . . . . . . . . 75 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Acerca de esta publicación IBM® Tivoli Federated Identity Manager Versión 6.2.2 implementa soluciones para el inicio de sesión único federado, la gestión de la seguridad de servicios Web y el suministro basadas en estándares abiertos. IBM Tivoli Federated Identity Manager amplía las soluciones de autenticación y autorización proporcionadas por IBM Tivoli Access Manager para simplificar la integración de varias soluciones web existentes. Esta guía describe cómo resolver problemas relacionados con IBM Tivoli Federated Identity Manager. Destinatarios Los destinatarios de esta publicación incluyen arquitectos de seguridad de red, administradores del sistema, administradores de red e integradores de sistemas. Los lectores de esta publicación deben tener conocimiento de trabajo sobre cuestiones de seguridad de red, tecnología de cifrado, claves y certificados. También deben estar familiarizados con la implementación de políticas de autenticación y autorización en un entorno distribuido. Esta publicación describe una implementación de una solución de servicios Web que da soporte a varios estándares de servicios Web. Los lectores deben tener conocimientos de estándares de servicios Web específicos, que pueden obtenerse a partir de la documentación generada por el cuerpo de estándares de cada estándar en cuestión. Los lectores deben estar familiarizados con el desarrollo y despliegue de aplicaciones para utilizarlas en un entorno de servicios Web. Esto incluye experiencia en el despliegue de aplicaciones en un entorno de IBM WebSphere Application Server. Acceso a publicaciones y terminología Esta sección proporciona: v Una lista de publicaciones en la biblioteca de IBM Tivoli Federated Identity Manager. v Enlaces a “Publicaciones en línea” en la página vi. v Un enlace a la “Sitio web de terminología de IBM” en la página vi. Biblioteca de IBM Tivoli Federated Identity Manager Los siguientes documentos están disponibles en la biblioteca de IBM Tivoli Federated Identity Manager: v IBM Tivoli Federated Identity Manager - Guía de inicio rápido v IBM Tivoli Federated Identity Manager Installation Guide, GC27-2718-01 v IBM Tivoli Federated Identity Manager - Guía de configuración, GC11-8430-02 (GC27-2719-02) v IBM Tivoli Federated Identity Manager - Instalación, configuración y administración de accesos basados en riesgos, SC11-8429-02 (SC27-4445-02) © Copyright IBM Corp. 2006, 2013 v v IBM Tivoli Federated Identity Manager GC32-0169-04 v IBM Tivoli Federated Identity Manager v IBM Tivoli Federated Identity Manager (GC32-2287-05) v IBM Tivoli Federated Identity Manager GC11-8432-01 (GC27-2715-01) Configuring web services security, Administration Guide, SC23-6191-02 - Guía de auditoría, GC11-8431-05 - Guía de resolución de problemas, v IBM Tivoli Federated Identity Manager Error Message Reference, GC32-2289-04 Publicaciones en línea IBM publica publicaciones cuando se presenta el producto y cuando se actualizan las publicaciones en las siguientes ubicaciones: Information Center de IBM Tivoli Federated Identity Manager El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/ com.ibm.tspm.doc_7.1/welcome.html muestra la página de bienvenida del Information Center de este producto. IBM Security Systems Documentation Central y página de bienvenida IBM Security Systems Documentation Central proporciona una lista alfabética de toda la documentación de producto de IBM Security Systems y enlaces al centro de información del producto para las versiones específicas de cada producto. Bienvenido a los centros de información de IBM Security Systems proporciona una introducción a los centros de información de IBM Security Systems, así como enlaces e información general sobre ellos. Centro de publicaciones de IBM El sitio http://www-05.ibm.com/e-business/linkweb/publications/ servlet/pbi.wss ofrece funciones de búsqueda personalizadas para ayudarle a encontrar todas las publicaciones de IBM que necesite. Sitio web de terminología de IBM El sitio web de terminología de IBM unifica la terminología de las bibliotecas de productos en una sola ubicación. Puede acceder al sitio web de terminología en http://www.ibm.com/software/globalization/terminology. Biblioteca de IBM Tivoli Federated Identity Manager La biblioteca de IBM Tivoli Federated Identity Manager contiene las publicaciones siguientes: v Guía de inicio rápido de IBM Tivoli Federated Identity Manager v v v v vi Ofrece instrucciones de iniciación a IBM Tivoli Federated Identity Manager. IBM Tivoli Federated Identity ManagerGuía de instalación Ofrece instrucciones de instalación de IBM Tivoli Federated Identity Manager. IBM Tivoli Federated Identity Manager Guía de configuración (manual en inglés) Ofrece instrucciones de configuración de IBM Tivoli Federated Identity Manager. IBM Tivoli Federated Identity Manager Guía de administración (manual en inglés) Proporciona instrucciones para realizar tareas de administración que son necesarias para todos los despliegues. IBM Tivoli Federated Identity Manager Guía de la gestión de la seguridad de servicios web (manual en inglés) IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Proporciona instrucciones para completar las tareas de configuración para la gestión de la seguridad de servicios web. v IBM Tivoli Federated Identity Manager Guía de auditoría (manual en inglés) Ofrece instrucciones para la auditoría de sucesos de IBM Tivoli Federated Identity Manager. v IBM Tivoli Federated Identity Manager Consulta de mensajes de error (manual en inglés) Ofrece descripciones de los mensajes de error de IBM Tivoli Federated Identity Manager. v IBM Tivoli Federated Identity Manager Guía de resolución de problemas Proporciona información sobre la resolución de problemas e instrucciones para resolver problemas. Puede obtener las publicaciones en IBM Tivoli Federated Identity Manager Information Center: http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/ com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html Publicaciones de requisitos previos Para utilizar eficazmente la información de esta publicación, debe tener conocimientos acerca de los productos de software relacionados, que puede obtener en las siguientes fuentes: v Tivoli Access Manager Information Center: http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/ com.ibm.itame.doc/toc.xml v IBM WebSphere Application Server Versión 8.0 Information Center: http://publib.boulder.ibm.com/infocenter/wasinfo/v8r0/index.jsp Puede obtener versiones en formato PDF de la documentación de IBM WebSphere Application Server en: http://www.ibm.com/software/webservers/appserv/was/library/ Publicaciones relacionadas Puede obtener publicaciones relacionadas en los siguientes sitios Web de IBM: v Enterprise Security Architecture que utilizan IBM Tivoli Security Solutions. Esta publicación está disponible en formato PDF (Portable Document Format) en http://www.redbooks.ibm.com/redbooks/pdfs/sg246014.pdf o en formato HTML (lenguaje de marcado de hipertexto) en http://www.redbooks.ibm.com/ redbooks/SG246014/ v Federated Identity Management and Web Services Security with IBM Tivoli Security Solutions (SG24-6394-01). Esta publicación está disponible en formato PDF en http://www.redbooks.ibm.com/redbooks/pdfs/sg246394.pdf o en formato HTML en http://www.redbooks.ibm.com/redbooks/SG246394/ v La biblioteca Tivoli Software Library proporciona una amplia variedad de publicaciones de Tivoli como, por ejemplo, documentación técnica, hojas de datos, demostraciones, Redbooks y cartas de anuncio. La biblioteca de software de Tivoli está disponible en el sitio Web: http://publib.boulder.ibm.com/tividd/ td/tdprodlist.html Acerca de esta publicación vii v La publicación Tivoli Software Glossary incluye definiciones de muchos de los términos técnicos relacionados con el software Tivoli. El glosario de software de Tivoli está disponible en http://publib.boulder.ibm.com/tividd/td/ tdprodlist.html Acceso a la terminología en línea El sitio web de terminología de IBM consolida la terminología de las bibliotecas de productos de IBM en una única ubicación. Puede acceder al sitio Web de terminología en http://www.ibm.com/software/globalization/terminology Acceso a las publicaciones en línea IBM publica publicaciones para este y todos los demás productos Tivoli, conforme estos pasan a estar disponibles y siempre que se actualizan, en el sitio web del Centro de información de Tivoli en la dirección http://publib.boulder.ibm.com/ infocenter/tivihelp/v3r1/index.jsp. Nota: Si imprime documentos PDF en papel de otro tamaño que no sea carta, defina la opción en Archivo → Imprimir que permite a Adobe Reader imprimir en papel de tamaño personalizado. Pedido de publicaciones Puede solicitar copias en papel de algunas publicaciones. Muchos países ofrecen un servicio de pedidos en línea. Siga estos pasos para acceder a este servicio: 1. Vaya a http://www-947.ibm.com/support/entry/portal/ Documentation 2. Seleccione Centro de publicaciones de IBM en Cómo empezar. 3. Seleccione su país en Seleccionar un país/región/idioma para empezar y pulse el icono de flecha. 4. Siga las instrucciones sobre cómo realizar un pedido de publicaciones en copia impresa en la página Bienvenido del Centro de publicaciones de IBM. Si su país no proporciona un servicio de pedidos en línea, póngase en contacto con el representante de su cuenta de software para solicitar publicaciones. Siga estos pasos para encontrar su contacto local: 1. Vaya a http://www.ibm.com/planetwide/ 2. Pulse el nombre de su país para visualizar una lista de contactos. Accesibilidad Las características de accesibilidad ayudan a un usuario que tenga una discapacidad física (como una movilidad restringida o una visión limitada) a utilizar satisfactoriamente los productos de software. Con este producto, puede utilizar las tecnologías de asistencia para escuchar y navegar por la interfaz. También puede utilizar el teclado en lugar del ratón para realizar todas las funciones de la interfaz gráfica de usuario. Para obtener más información, consulte el tema relativo a la accesibilidad del centro de información, en http://publib.boulder.ibm.com/infocenter/tivihelp/ v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html. viii IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Formación técnica de Tivoli Para obtener información sobre la formación técnica de Tivoli, consulte el siguiente sitio web de IBM Tivoli Education en http://www.ibm.com/software/tivoli/ education. Información de soporte Si tiene un problema al utilizar software de IBM, deseará resolverlo rápidamente. IBM facilita las siguientes opciones para obtener el soporte necesario: En línea Vaya al sitio de soporte de software de IBM Software Support, en http://www.ibm.com/software/support/probsub.html y siga las instrucciones. IBM Support Assistant IBM Support Assistant (ISA) es un entorno de trabajo gratuito para proporcionar servicio al software local que le ayuda a resolver preguntas y problemas con los productos de software de IBM. ISA proporciona un acceso rápido a información relacionada con soporte y a herramientas de capacidad de servicio para la determinación de problemas. Para instalar el software de ISA, consulte el manual IBM Tivoli Federated Identity ManagerGuía de instalación. Consulte también: http://www.ibm.com/ software/support/isa. Guía de resolución de problemas Para obtener más información acerca de la resolución de problemas, consulte el manual IBM Tivoli Federated Identity Manager Guía de resolución de problemas. Sentencia de buenas prácticas de seguridad La seguridad de los sistemas de las tecnologías de la información involucra proteger los sistemas y la información mediante la prevención, detección y respuesta al acceso inadecuado desde adentro y fuera de la empresa. El acceso inadecuado puede resultar en la alteración, destrucción apropiación indebida o empleo erróneo de la información, pero también puede resultar daño o utilización indebida de sus sistemas, incluyendo su utilización para atacar a otros. Ningún producto o sistema de las tecnologías de la información debería considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo al prevenir la utilización o acceso impropio. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un método de seguridad completo, el que necesitará incluir procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para contar con el máximo de efectividad. IBM NO GARANTIZA QUE NINGÚN SISTEMA, PRODUCTO O SERVICIO SEA INMUNE, O HAGAN A SU EMPRESA INMUNE, A LA CONDUCTA MALINTENCIONADA O ILEGAL DE CUALQUIERA DE LAS PARTE. Convenciones utilizadas en esta publicación En este documento se utilizan varias convenciones para términos y acciones especiales y para mandatos y vías de acceso que dependen del sistema operativo. Acerca de esta publicación ix Convenios de tipo de letra En esta publicación se utilizan los convenios de tipo de letra siguientes: Negrita v Mandatos en minúsculas y con combinación de mayúsculas y minúsculas que de otra forma serían difíciles de distinguir del resto del texto. v Controles de la interfaz (recuadros de selección, pulsadores, selectores cíclicos, campos, carpetas, iconos, recuadros de lista, elementos dentro de recuadros de lista, listas de varias columnas, elecciones de menú, nombres de menú, fichas, hojas de propiedades) y etiquetas (tales como Consejo: y Consideraciones sobre el sistema operativo:). v Palabras clave y parámetros en el texto. Cursiva v Citas (ejemplos: títulos de publicaciones, disquetes y CD). v Palabras definidas en el texto (ejemplo: una línea no conmutada se denomina línea punto a punto). v Palabras y letras enfatizadas (ejemplo con palabras: "Utilice la palabra that para introducir una cláusula restrictiva."; ejemplo de letras: "La dirección LUN debe comenzar por la letra L"). v Nuevos términos en el texto (excepto en una lista de definiciones): una vista es un marco de un espacio de trabajo que contiene datos. v Variables y valores que el usuario debe proporcionar: ... donde minombre representa.... Monoespaciado v Ejemplos y ejemplos de código v Nombres de archivo, palabras clave de programación y otros elementos que son difíciles de distinguir del texto circundante v Solicitudes y texto de mensajes dirigidos al usuario. v Texto que el usuario debe escribir v Valores para los argumentos o las opciones de mandatos. Variables y vías de acceso que dependen del sistema operativo Esta publicación utiliza el convenio de UNIX para especificar variables de entorno y para la notación de directorios. Cuando utilice la línea de mandatos de Windows, sustituya $variable por % variable% para las variables de entorno, y sustituya cada barra inclinada (/) por una barra inclinada invertida (\) en las vías de acceso de directorios. Los nombres de las variables de entorno no siempre son las mismas en los entornos Windows y UNIX. Por ejemplo, %TEMP% en entornos Windows es equivalente a $TMPDIR en entornos UNIX. Nota: Si utiliza el shell Bash en un sistema Windows, puede utilizar las convenciones UNIX. x IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 1. Resolución de problemas y soporte El proceso de resolución de problemas, en general, requiere que aísle e identifique el problema, luego que busque una resolución. Para Tivoli Federated Identity Manager, puede utilizar una lista de comprobación de resolución de problemas para ayudarle. Si la lista de comprobación no le guía hacia a ninguna resolución, puede recopilar datos de diagnóstico adicionales y analizarlos usted mismo. También puede enviar los datos a IBM Software Support para que los analice. Los temas de la resolución de problemas de Tivoli Federated Identity Manager están organizados según la secuencia de estos pasos: 1. Obtener más información sobre un síntoma o una característica. Para poder solucionar correctamente un síntoma o un problema con una característica determinada de un producto, debe tener conocimientos básicos sobre dicho síntoma o característica. 2. Siga la lista de comprobación de resolución de problemas para la característica o síntoma adecuado. La lista de comprobación de resolución de problemas ofrece una serie de preguntas para guiarle en el proceso de aislamiento e identificación de problemas. Si el problema es conocido para IBM, la lista de comprobación le guiará hacia un arreglo, solución o método alternativo publicados. Si la lista de comprobación de resolución de problemas no le ha conducido a ninguna resolución, continúe con el paso siguiente. 3. Recopilar datos de diagnóstico. Esta información describe cómo reunir la información necesaria que usted, o IBM Software Support debe tener para determinar el origen de un problema. 4. Analizar los datos de diagnóstico. Esta información describe cómo analizar los datos de diagnóstico que ha recopilado. © Copyright IBM Corp. 2006, 2013 1 2 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 2. Más información sobre los síntomas del problema Este primer paso del proceso de resolución de problemas consiste en obtener más información sobre los síntomas del problema, o sobre la característica afectada del producto. Los siguientes temas pueden ayudarle a adquirir información conceptual sobre cómo resolver eficazmente problemas con IBM Tivoli Federated Identity Manager: Acerca de la resolución de problemas La resolución de problemas es un enfoque sistemático para solucionar un problema. El objetivo es determinar por qué algo no funciona como debería y cómo resolver el problema. El primer paso del proceso de resolución de problemas es describir por completo el problema. Una descripción del problema ayuda a IBM a determinar por dónde empezar a buscar la causa del problema. Este paso incluye el hacerse algunas preguntas básicas, tales como: v ¿Cuáles son los síntomas del problema? v ¿Dónde se produce el problema? v ¿Cuándo se produce el problema? v ¿Bajo qué condiciones se produce el problema? v ¿Se puede reproducir el problema? Las respuestas a estas preguntas normalmente conducen a una buena descripción del problema. Una buena descripción del problema es la mejor manera de iniciar el camino hacia la resolución del problema. ¿Cuáles son los síntomas del problema? Al empezar a describir un problema, la pregunta más evidente es "¿Cuál es el problema?". La pregunta podría parecer sencilla, sin embargo, puede detallarse en varias preguntas más concisas que crear una imagen más descriptiva del problema. Estas preguntas pueden ser: v ¿Quién o qué está informando acerca del problema? v ¿Cuáles son los códigos y los mensajes de error? v ¿De qué manera falla el sistema? Por ejemplo, ¿se trata de un bucle, un fallo, una caída del sistema, una degradación del rendimiento o un resultado incorrecto? v ¿Cómo afecta el problema al negocio? ¿Dónde se produce el problema? Determinar dónde se origina el problema no siempre es fácil, pero es uno de los pasos más importantes para resolver un problema. Muchas capas de tecnología pueden existir entre los componentes de informe y los componentes anómalos. Las redes, discos y controladores son sólo algunos de los componentes que deben tenerse en cuenta al investigar los problemas. Las siguientes preguntas pueden ayudarle a centrarse donde se ha producido el problema a fin de aislar la capa del problema. © Copyright IBM Corp. 2006, 2013 3 v ¿El problema es específico de una plataforma o sistema operativo o es común en varias plataformas o sistemas operativos? v ¿El entorno y la configuración actuales reciben soporte? Recuerde que obtener un informe de la capa donde hay el problema no significa que el problema se haya originado desde dicha capa. Para poder identificar dónde se origina un problema, es necesario comprender el entorno en el que se encuentra. Dedique un tiempo a describir exhaustivamente el entorno del problema, incluido el sistema operativo, su versión, todo el software y las versiones correspondientes, e información sobre el hardware. Confirme que está trabajando en un entorno con una configuración soportada. Muchos problemas se pueden originar debido a niveles de software incompatibles que no se han diseñado para que funcionen conjuntamente o que no se han probado exhaustivamente cuando funcionan juntos. ¿Cuándo se produce el problema? Desarrolle una línea temporal detallada de sucesos que den como resultado un error, especialmente para los casos que sólo ocurran una vez. Puede rastrear más fácilmente la línea temporal del problema trabajando de modo retrospectivo: Iniciar en el momento que se ha notificado el error (de la manera más precisa posible, incluso calculando los milisegundos) y trabajar hacia atrás a través de la información y los registros. Por lo general, sólo suele ser necesario llegar hasta el primer suceso sospechoso que encuentra en un registro de diagnóstico. No obstante, trabajar así no siempre es fácil y requiere práctica. Saber cuándo detener la búsqueda es especialmente difícil si hay varias capas de tecnología, y si cada una de ellas tiene su propia información de diagnóstico. Para desarrollar una línea cronológica de sucesos, responda estas preguntas: v ¿El problema sucede únicamente a una hora concreta del día o de la noche? v ¿Con qué frecuencia sucede el problema? v ¿Qué secuencia de sucesos conduce al momento en que se ha informado acerca del problema? v ¿Sucede el problema después de un cambio de entorno como, por ejemplo, la actualización o instalación de software o hardware? Responder a las preguntas anteriores puede ayudar a proporcionarle un marco de referencia en el que podrá investigar el problema. ¿Bajo qué condiciones se produce el problema? Saber qué otros sistemas y aplicaciones se ejecutan en el momento en que se produce un problema es una parte importante de la resolución de problemas. Las preguntas siguientes, entre otras, acerca del entorno pueden ayudarle a identificar la causa del problema: v ¿El problema siempre se produce al realizar la misma tarea? v ¿Se debe producir una determinada secuencia de sucesos para que se produzca el problema? v ¿Fallan otras aplicaciones al mismo tiempo? 4 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas ¿Se puede reproducir el problema? Desde el punto de vista de la resolución de problemas, el problema ideal es aquel que se puede reproducir. Ocurre habitualmente con los problemas que se pueden reproducir que se dispone de un conjunto mayor de herramientas o procedimientos que ayuden a la investigación. Por lo tanto, los problemas que se pueden reproducir suelen más fáciles de depurar y resolver. No obstante, los problemas que pueden reproducirse pueden presentar una desventaja. Si el problema afecta significativamente el negocio, no deseará que se repita. Si es posible, vuelva a crear el problema en un entorno de prueba o desarrollo, que generalmente ofrece más flexibilidad y control durante la investigación. v ¿Se puede reproducir el problema en un sistema de prueba? v ¿Hay varios usuarios o aplicaciones que encuentren el mismo tipo de problema? v ¿Puede volver a crearse el problema ejecutando un solo mandato, un conjunto de mandatos, una aplicación determinada o una aplicación autónoma? Acerca de los problemas de conectividad Los problemas de conectividad generalmente implican a varios sistemas, incluido software, hardware y comunicaciones. La mejor forma de solucionar los problemas de conectividad es a través de un proceso de eliminación. En primer lugar, recopile datos relevantes y determine qué sabe, qué datos no ha recopilado y qué vías puede eliminar. Como mínimo, responda a estas preguntas. v ¿Están operativas las vías de comunicación? v ¿Ha sido satisfactoria la conexión inicial? v ¿El problema es intermitente o permanente? v ¿Se han realizado cambios en la red de comunicaciones que podrían invalidar las anteriores entradas de directorio? v ¿Dónde se ha detectado la interrupción en la comunicación? Por ejemplo, la interrupción se produjo entre el cliente y un servidor? v ¿Se ha encontrado el problema sólo en una aplicación determinada? v ¿Qué puede determinar a partir el contenido del mensaje y de las señales devueltas en el mensaje? v ¿Hay algún otro sistema que pueda realizar satisfactoriamente tareas similares? Si la tarea es una tarea remota, ¿ha sido satisfactoria cuando se ha realizado localmente? A continuación, intente aislar el problema respondiendo a las preguntas de la Capítulo 3, “Lista de comprobación para la resolución de problemas de Tivoli Federated Identity Manager”, en la página 11. Acerca de Tivoli Federated Identity Manager El primer paso para resolver un problema es obtener información de la característica afectada del software. Puede obtener más información acerca de Tivoli Federated Identity Manager a partir de las siguientes fuentes: v Information Center de IBM Tivoli Federated Identity Manager: http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?toc=/ com.ibm.tivoli.fim.doc_6.2.2/toc.xml Capítulo 2. Más información sobre los síntomas del problema 5 v IBM Tivoli Education for Tivoli Federated Identity Manager. Consulte el catálogo de formación de Tivoli en http://www-306.ibm.com/software/tivoli/education/ edu_prd.html v Federated Identity Management and Web Services Security with IBM Tivoli Security Solutions (SG24-6394-01). Esta publicación está disponible en formato PDF en http://www.redbooks.ibm.com/redbooks/pdfs/sg246394.pdf o en formato HTML en http://www.redbooks.ibm.com/redbooks/SG246394/ Acerca de los arreglos y las actualizaciones Si encuentra un problema con el software de IBM Tivoli Federated Identity Manager, primero debe comprobar la lista de actualizaciones para confirmar que su software se encuentra en el nivel de mantenimiento más reciente. A continuación, compruebe la lista de problemas arreglados para ver si IBM ya ha publicado un arreglo individual para solucionar el problema. Estas listas se encuentran en el sitio web de Tivoli Support para Tivoli Federated Identity Manager: http://www.ibm.com/software/sysmgmt/products/support/ IBMTivoliFederatedIdentityManager.html Los arreglos individuales se publican con la frecuencia necesaria para resolver los defectos de IBM Tivoli Federated Identity Manager. Hay dos tipos de recopilaciones acumulativas de arreglos, denominados fixpacks y paquetes de renovación, que se publican periódicamente para IBM Tivoli Federated Identity Manager. Los paquetes de arreglos y los paquetes de renovación aportan a los usuarios el nivel de mantenimiento más reciente. Instale estos paquetes de actualización lo más pronto posible para evitar problema.s Para recibir una notificación semanal de los arreglos y las actualizaciones, suscríbase a Mis actualizaciones de correo electrónico de soporte. Para obtener más información, consulte el apartado “Recepción de notificaciones de arreglos” en la página 47. La siguiente tabla describe las características de cada arreglo. Tabla 1. Tipos de mantenimiento Nombre Características Arreglo v Arreglo único que se publica entre actualizaciones para resolver un problema concreto. v Después de instalar un arreglo, pruebe las funciones que podrían verse afectadas por el componente arreglado. Fixpack v Un fixpack contiene todos los arreglos que se han publicado desde el fixpack o el fixpack de renovación anterior. Un fixpack también podría contener arreglos nuevos. v Los fixpacks incrementan el nivel de modificación del producto y se denominan consecuentemente, por ejemplo 5.0.1 v Un fixpack puede actualizar componentes específicos, o puede actualizar toda la imagen del producto. v Durante la instalación de fixpack, todos los arreglos aplicados anteriormente se desinstalan automáticamente. v Después de instalar un fixpack, realice una prueba de regresión de todas las funciones críticas. v Los dos fixpacks más recientes están disponibles para su descarga (por ejemplo, 5.0.2 y 5.0.1). Los fixpack anteriores no están disponibles. 6 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Tabla 1. Tipos de mantenimiento (continuación) Nombre Características Paquete de renovación v Un paquete de renovación contiene todos los arreglos que se han publicado desde el fixpack o el paquete de renovación anterior, además de nuevos arreglos. v Un paquete de renovación normalmente contiene una nueva función, además de los arreglos, y actualiza toda la imagen del producto. v Los paquetes de renovación incrementan el nivel de modificación del producto y se denominan consecuentemente, por ejemplo 5.0.1. v Durante la instalación del paquete de renovación, todos los arreglos aplicados anteriormente se desinstalan automáticamente. v Después de instalar un paquete de renovación, realice una prueba de regresión en todas las funciones críticas. Acerca de los mensajes A menudo puede resolver el problema indicado en el aviso o el mensaje de error que recibe de IBM Tivoli Federated Identity Manager leyendo todo el texto del mensaje y las acciones de recuperación que están asociadas con el mensaje. Puede encontrar todo el texto de los mensajes, sus explicaciones y las acciones de recuperación buscando el identificador del mensaje en el IBM Tivoli Federated Identity Manager Consulta de mensajes de error (manual en inglés). Acerca de los problemas de rendimiento y los bloqueos Los problemas de rendimiento surgen en distintas situaciones. Un bloqueo es un tipo de problema de rendimiento en el que los usuarios deben esperar una respuesta durante un tiempo indefinido. Las técnicas de resolución de problemas son similares a las técnicas que debería utilizar para otros problemas de rendimiento. A continuación figuran algunos ejemplos de situaciones en las que los problemas de rendimiento se hacen evidentes: v El rendimiento de la consulta es más lento de lo esperado. v La carga de trabajo o un trabajo por lotes no finaliza tan pronto como cabría esperar, o se produce una reducción en la tasa o rendimiento de la transacción. v El sistema en general funciona con más lentitud. v Se sospecha que hay un cuello de botella en uno de los recursos del sistema, como un procesador, E/S o memoria. v La consulta u otro tipo de proceso de carga de trabajo está utilizando más recursos de los que se esperaba o que no están disponibles. v Un sistema presenta mejor rendimiento que otro. v Se cuelga una consulta, una aplicación o un sistema. Los bloqueos o las caídas de un sistema pueden ser difíciles de resolver porque normalmente los síntomas coinciden con otros problemas. Por ejemplo, si un usuario espera bastante tiempo una respuesta a una consulta, dicho usuario podría pensar que el sistema se ha colgado. En muchos casos, la consulta podría ser compleja y el sistema podría estar muy cargado de trabajo en ese momento, de modo que el sistema no se ha quedado colgado o bloqueado. Sin embargo, el sistema podría ser lento en responder. Asimismo, durante un cierre del sistema, Capítulo 2. Más información sobre los síntomas del problema 7 una acumulación significativa de actividad podría provocar que pareciera que la mayoría o todos los mandatos se quedaran colgados. Además de caracterizar el problema correctamente en términos de cuáles son los síntomas, y donde se observan dichos síntomas, también necesita otro tipo de información para poder contextualizar el problema. Normalmente los síntomas van de la lentitud a demasiados recursos utilizados, etc. Los síntomas normalmente se encuentran en un recurso del sistema, una aplicación, una consulta, etc. Responda las preguntas siguientes para determinar con rapidez cuál es el mejor lugar para empezar a buscar la causa del problema de rendimiento. 1. ¿Cuando se ha producido el problema por primera vez? Si el problema se ha producido durante algún tiempo, podría utilizar los datos históricos para encontrar diferencias. Los datos históricos le ayudan a centrarse en cambios en el comportamiento del sistema y en por qué estos cambios se han producido. También debería considerar si se han producido cambios recientemente, por ejemplo actualizaciones de hardware o software, un nuevo despliegue de supresión de aplicación, usuarios adicionales, etc. 2. ¿El problema de rendimiento es constante o intermitente? Si el bajo rendimiento es continuo, compruebe si el sistema ha empezado a manejar una mayor carga de trabajo. También puede comprobar si un recurso de base de datos compartido tiene un cuello de botella. Otras posibles causas de degradación del rendimiento pueden ser un aumento de la actividad de los usuarios, el uso de varias aplicaciones de gran tamaño o la eliminación de dispositivos de hardware. Si rendimiento es pobre sólo durante períodos de tiempo breves, empiece a buscar las aplicaciones o programas de utilidad comunes que se ejecutan durante dichos períodos. Si los usuarios indican que un grupo de aplicaciones experimentan problemas de rendimiento, puede iniciar su análisis centrándose en dichas aplicaciones. 3. ¿El problema sucede en todo el sistema o de forma aislada en Tivoli Federated Identity Manager o sus componentes? Los problemas de rendimiento de todo el sistema sugieren que hay un problema fuera de Tivoli Federated Identity Manager. Se debe arreglar algo a nivel de sistema operativo. 4. ¿Y si el problema está aislado en un componente, alguna actividad concreta provoca el problema? Si un componente parece que causa el problema, puede evaluar si los usuarios que están notificando esta actividad concreta experimentan una desaceleración. Podría aislar el problema a un componente y una actividad específica. 5. ¿Ha notado que alguna característica habitual tenga un rendimiento bajo o si el problema se produce de forma aleatoria? Determine si algunas funciones comunes están implicadas. La función de implicación podría indicar que estas funciones son un punto de contención. Acerca de interrupciones, bloqueos y finalizaciones anómalas Los términos trap (interrupción), crash (bloqueo) y abend (finalización anómala) a menudo se utilizan como sinónimos. Si Tivoli Federated Identity Manager no puede continuar el proceso como resultado de una interrupción, una violación de segmentación o una excepción, se genera un error. 8 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas La mayoría de interrupciones, bloqueos o finalizaciones anómalas de Tivoli Federated Identity Manager dan como resultado una excepción. La excepción se incluye en el registro de mensajes y normalmente no es necesario habilitar un rastreo a fin de notificarla. Sin embargo, estos errores pueden registrarse en un registro de rastreo, en caso de que el equipo de soporte de IBM indique que hay que habilitar el registro. Si abre un informe de problema con IBM, debe proporcionar el registro de rastreo para poder realizar un análisis. Sólo debe generar archivos de rastreo cuando IBM Software Support se lo pida, aunque Tivoli Federated Identity Manager puede generar registros de rastreo bajo demanda. Consulte “Registros de rastreo” en la página 53 para obtener más información. Capítulo 2. Más información sobre los síntomas del problema 9 10 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 3. Lista de comprobación para la resolución de problemas de Tivoli Federated Identity Manager Las siguientes preguntas pueden ayudarle a identificar el origen de un problema que se ha producido con Tivoli Federated Identity Manager. 1. ¿Están los arreglos temporales y fixpack actualizados? Consulte el apartado “Obtención de arreglos” en la página 47 para obtener más información. 2. ¿el problema está documentado en la información de release de Tivoli Federated Identity Manager ? Consulte la información de release en el Information Center de Tivoli Federated Identity Manager: http://publib.boulder.ibm.com/infocenter/ tiv2help/index.jsp 3. ¿La base de conocimiento de IBM contiene información adicional sobre el problema? Consulte el apartado Capítulo 6, “Búsqueda en bases de conocimiento”, en la página 49. 4. ¿Ha recibido algún mensaje de error? Consulte IBM Tivoli Federated Identity Manager Consulta de mensajes de error (manual en inglés) para obtener información sobre los mensajes de error. 5. ¿Los registros contienen mensajes sobre el problema? Consulte los apartados “Registros de mensajes” en la página 52 y “Registros de rastreo” en la página 53 para obtener más información. 6. ¿El problema se produce al realizar la instalación o desinstalación de una de las siguientes características? v Tivoli Federated Identity Manager o sus componentes Consulte el apartado IBM Tivoli Federated Identity Manager Guía de instalación (manual en inglés). v Common Auditing and Reporting Service Consulte el apartado IBM Tivoli Federated Identity Manager Guía de auditoría (manual en inglés). v IBM Tivoli Access Manager for e-business Consulte el manual IBM Tivoli Access Manager for e-business Troubleshooting Guide. v WebSphere Application Server Consulte los temas de resolución de problemas de instalación en el Information Center de IBM WebSphere Application Server en http://www.ibm.com/software/webservers/appserv/was/library/. 7. ¿El problema se produce cuando configura Tivoli Federated Identity Manager? Consulte “Problemas de configuración de Tivoli Federated Identity Manager” en la página 16. 8. ¿El problema se produce cuando intenta ejecutar la consola de administración? Consulte los apartados “Problemas de Integrated Solutions Console” en la página 28 y “Problemas de consola de WebSphere Application Server” en la página 32. 9. ¿El problema implica una anomalía de despliegue? © Copyright IBM Corp. 2006, 2013 11 Consulte “Se ha recibido un error sobre la operación de despliegue” en la página 41. 10. Si no puede resolver el problema con los pasos anteriores, recopile información adicional sobre la ubicación del problema, o las condiciones durante las cuales se ha producido el problema: v ¿El problema se ha producido durante el proceso de ejecución? – ¿La conexión ha fallado? – ¿Se ha quedado colgado? – ¿Ha tenido algún problema de rendimiento como una respuesta lenta o un "bloqueo"? – ¿Ha tenido una interrupción, se ha terminado anormalmente o se ha emitido una excepción Java™? v ¿Se ha producido el problema al configurar una función específica? v ¿Se ha producido el problema al realizar una tarea específica? Las respuestas a estas preguntas le podrían ayudar a determinar la ubicación del problema y encontrar información adicional sobre el problema. Por ejemplo, si el problema se produce al configurar una función o una tarea específica, podría encontrar una solución en la documentación relativa a dicha función o tarea. Si la lista de comprobación no le guía hacia una resolución, puede recopilar datos de diagnóstico adicionales. Los datos adicionales podrían ser necesarios para el personal de soporte de IBM a fin de ayudarle a resolver el problema. Consulte el apartado Capítulo 7, “Recopilación de datos”, en la página 51 para obtener detalles. 12 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 4. Problemas y soluciones conocidas Los problemas conocidos más habituales y sus soluciones se describen en las siguientes secciones. Problemas de instalación Este apartado describe los problemas asociados al instalar Tivoli Federated Identity Manager. La instalación de Tivoli Federated Identity Manager falla en los sistemas Solaris Bajo circunstancias poco comunes, es posible que el daemon de gestión de volúmenes de Solaris (vold) impida una instalación de Tivoli Federated Identity Manager. Después de solicitar los parámetros de instalación, el programa de instalación no puede encontrar la JVM correcta. Nota: El montaje de la imagen ISO de Tivoli Federated Identity Manager con un dispositivo de bucle de retorno no tiene este problema. Para arreglar este problema, puede reiniciar el daemon de gestión de volúmenes (vold) o montar el CD manualmente. Para detener y reiniciar vold: 1. Detenga vold con el mandato /etc/init.d/volmgt stop. 2. Inicie vold con el mandato /etc/init.d/volmgt start. 3. Ejecute la instalación de Tivoli Federated Identity Manager. Para colocar manualmente el CD: 1. Detenga vold con el mandato /etc/init.d/volmgt stop. 2. Encuentre el dispositivo de CD con el mandato ls -la /dev/sr0. Este mandato genera el dispositivo c#t#d#s2 para el CD. 3. Utilice el mandato mount -F hsfs /dev/c#t#d#s2punto_montaje para montar el dispositivo. 4. Ejecute la instalación de Tivoli Federated Identity Manager. 5. Elimine el dispositivo después de instalar Tivoli Federated Identity Manager y reiniciar vold con los mandatos siguientes: umount punto_montaje/etc/init.d/volmgt start El archivo de respuestas de instalación generado de Tivoli Federated Identity Manager no funciona correctamente en una instalación silenciosa El archivo de respuestas de instalación generado utilizando la opción de instalación -record-options contiene dos parámetros licenseAccepted adicionales establecidos en false. Los parámetros licenseAccepted adicionales impiden que el archivo de respuestas de instalación generado funcione correctamente durante una instalación silenciosa. © Copyright IBM Corp. 2006, 2013 13 Como solución temporal, debe editar el archivo de respuestas del instalador generado y suprimir las instancias adicionales de -G licenseAccepted=false. Asegúrese de que sólo falte un parámetro licenseAccepted y que esté definido en true. Por ejemplo: -G licenseAccepted=true. Los mandatos de la interfaz de línea de mandatos de Tivoli Federated Identity Manager no funcionan correctamente inmediatamente después de la instalación del producto La interfaz de línea de mandatos (CLI) de Tivoli Federated Identity Manager no funciona inmediatamente después de que se instale el producto porque el programa de instalación no detiene y reinicia WebSphere Application Server. Utilice los mandatos CLI de Tivoli Federated Identity Manager para detener manualmente y, a continuación, reiniciar el servidor WebSphere Application Server antes de empezar. El script de instalación del fixpack ha fallado debido a una no coincidencia del puerto SOAP La instalación del fixpack del tiempo de ejecución de Tivoli Federated Identity Manager se debe conectar al puerto SOAP de WebSphere Application Server para desplegar el tiempo de ejecución. El instalador del fixpack adquiere su valor de puerto SOAP de la línea siguiente en el archivo /<-installation-directory>/etc/ fim.appservers.properties de la instancia de Tivoli Federated Identity Manager que se está arreglando: was.soap.port=8880 O BIEN ewas.soap.port=8880 Este valor se define en el archivo cuando se instala la instancia de Tivoli Federated Identity Manager. Para que la conexión tenga éxito, la instancia de WebSphere Application Server en la que se está realizando el despliegue debe seguir usando dicho puerto SOAP. Si no es así, la instalación del fixpack de Tivoli Federated Identity Manager falla en el UPDI de WebSphere Application Server y se informa del error del modo siguiente: La comprobación de requisitos previos ha fallado. Pulse Atrás para seleccionar un paquete diferente, o pulse Cancelar para salir. Los mensajes de error asociados son: El servidor WebSphere no parece que esté escuchando en un puerto localhost de host 8881 tal como se especifica en /opt/IBM/FIM/etc/ fim.appservers.properties. Asegúrese de que el servidor se está ejecutando y que el puerto y el host especificados son correctos. Si el puerto especificado es diferente del puerto SOAP real utilizado, cambie el valor en el archivo fim.appservers.properties para trabajar con el puerto que está siendo utilizado por WebSphere Application Server. A continuación, vuelva a aplicar el fixpack. 14 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas El instalador FIM falla si se utiliza un valor '$' en un JKS de WebSphere Application Server o en la contraseña de un archivo P12 Se trata de una restricción permanente en Tivoli Federated Identity Manager 6.1.1. El instalador del fixpack utiliza el mismo código, de forma que se aplica la misma restricción a las instalaciones de fixpack. La solución temporal para esta restricción se documenta en la nota técnica #1307656 que lleva por título Un símbolo $ en una contraseña de almacén de confianza o de almacén de claves impide la instalación. Está disponible de forma pública en el sitio de soporte de Tivoli Federated Identity Manager. La instalación de IBM Tivoli Federated Identity Manager falla en Windows Server 2008 R2 si se utiliza la modalidad de interfaz gráfica de usuario La instalación de Tivoli Federated Identity Manager mediante la interfaz gráfica de usuario en Windows Server 2008 R2 falla. Es posible que encuentre el siguiente mensaje de error: El instalador no puede ejecutarse en la modalidad gráfica. Intente ejecutar el instalador con el distintivo -console o -silent. Este problema es específico al uso de Windows 7 o Windows Server 2008 R2. Para resolver el problema de instalación: 1. Pulse con el botón secundario del ratón en Propiedades, en el archivo install.exe, en la carpeta Tivoli Federated Identity Manager de la imagen de instalación para Tivoli Federated Identity Manager. Se abre la ventana Propiedades. 2. Pulse el tabulador Compatibilidad en la ventana Propiedades. 3. Pulse Cambiar valores para todos los usuarios en el tabulador Compatibilidad. Se abre una nueva ventana Propiedades. 4. Seleccione la opción Ejecutar el programa en la modalidad de compatibilidad y seleccione la modalidad Windows Server 2008 (Service Pack 1). 5. Pulse Aceptar en la parte inferior de la ventana y pulse Aceptar en la ventana restante. Problemas de desinstalación Este tema describe temas asociados con la desinstalación Tivoli Federated Identity Manager. Los archivos JAR incorporados de WebSphere Application Server se suprimen después del reinicio del sistema Sólo en plataformas Windows, si instala Tivoli Federated Identity Manager y luego desinstala y vuelve a instalar Tivoli Federated Identity Manager, reiniciar el sistema provoca que la versión incorporada de los archivos JAR de WebSphere Application Serveren en el directorio ewas\java\jre\lib y otros archivos no se supriman durante el proceso de instalación; se deben suprimir después de reiniciar el sistema. Nota: Esto ocurrirá sólo si: v Tivoli Federated Identity Manager está instalado en la misma ubicación que los archivos que están bloqueados, Capítulo 4. Problemas y soluciones conocidas 15 -ANDv La ubicación del directorio está marcada para que se suprima. Estos archivos JAR deberían haberse suprimido durante la desinstalación, pero no se han podido suprimir porque un proceso ha bloqueado los archivos. Por lo tanto, el sistema operativo marca estos archivos para suprimirlos en otro momento y el reinicio del sistema hace que los archivos se supriman. Debe reiniciar el sistema después de que se haya completado la desinstalación de Tivoli Federated Identity Manager. Problemas de configuración de Tivoli Federated Identity Manager Los siguientes problemas y soluciones están relacionados con la configuración de Tivoli Federated Identity Manager. No añada archivos o subdirectorios a la biblioteca compartida ITFIM_WSSM No añada archivos o subdirectorios al directorio ITFIM_WSSM. Si añade archivos o subidrectorios al directorio ITFIM_WSSM, es posible que se muestren en la vía de acceso de clase y tenga efectos adversos. La biblioteca compartida ITFIM_WSSM afecta a la vía de acceso de clase compartida para todas las aplicaciones que se ejecutan en el servidor. La vía de acceso de clases de biblioteca compartida incluye el directorio de instalación ITFIM_WSSM. Valores de propiedad SSL para la alteración temporal del servicio de auditoría que no sean los valores de propiedad de SSL Las propiedades SSL que se utilizan para una conexión HTTP de salida de un servidor de aplicaciones a un servidor Common Auditing and Reporting Service pueden alterar temporalmente las propiedades SSL en solicitudes HTTPS de salida de otras aplicaciones que están desplegadas en el mismo WebSphere Application Server. Si el cliente de Common Auditing and Reporting Service WebSphere establece las propiedades del sistema para el almacén de claves de confianza, los valores alterarán temporalmente otros clientes SSL que se ejecuten en la JVM si éstos deben utilizar la misma configuración de propiedad del sistema. Por ejemplo, si Tivoli Federated Identity Manager está configurado para que utilice una conexión HTTPS a un servidor Common Auditing and Reporting Service, se utiliza el almacén de claves de confianza que se ha especificado para la conexión en todas las demás conexiones de salida HTTPS de ese WebSphere Application Server. Las posteriores peticiones de salida HTTPS pueden fallar y devolver la siguiente excepción: javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown Para arreglar este problema en WebSphere Application Server Versión 6.0.2, añada el certificado de la CA de otras solicitudes HTTPS de salida del servidor de aplicaciones al almacén de claves de confianza que se utiliza para la conexión HTTPS con el servidor Common Auditing and Reporting Service. Ejemplo: 16 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Si una aplicación de servicio web que se ejecuta en un servidor de aplicaciones está configurado para realizar una conexión de salida en un servicio de confianza de Tivoli Federated Identity Manager HTTPS, añada el certificado de la CA de esa conexión HTTPS al almacén de claves de confianza utilizado para la conexión HTTPS con el servidor Common Auditing and Reporting Service. Para arreglar este problema en WebSphere Application Server 6.1, defina configuraciones SSL dinámicas de punto final de salida. En la consola administrativa de WebSphere, seleccione Seguridad > Gestión de claves y certificado SSL > Configuraciones SSL dinámicas de punto final de salida. Defina una conexión de salida que se base en el nombre de host de destino, un puerto y un protocolo, y especifique la configuración SSL que se utilizará. Puede definir propiedades SSL exclusivas para conexiones de salida en el servidor Common Auditing and Reporting Service y en otros sistemas de destino de las solicitudes SSL de salida. No utilice caracteres de idioma nacional en los nombres de federación Tivoli Federated Identity Manager podría no funcionar correctamente cuando se incluyen caracteres de idioma nacional en el nombre de federación. El uso de caracteres de idioma nacional en nombre de federación no está soportado. Los nombres de federación se incluyen en URL y en distintos servidores web, y los navegadores soportan las convenciones incompatibles para convertir los caracteres de idioma nacional en componentes URL. Utilice sólo los siguientes caracteres en nombres de federación: v Caracteres alfabéticos: A-Z, a-z Utilice caracteres alfanuméricos US-ASCII. v Números: 0-9 Soluciones temporales para espacios en la vía de acceso al archivo de tabla de claves para SPNEGO Si WebSphere Application Server está instalado en un directorio que contiene un espacio en el nombre, por ejemplo el directorio de instalación predeterminado en una plataforma Windows, la autenticación SPNEGO no se puede configurar correctamente. Este problema se aplica a la versión incorporada de WebSphere Application Server y a las versiones autónomas de WebSphere Application Server. La siguiente sección describe las dos maneras de eludir este problema. Si la autenticación SPNEGO ya está configurada en la consola de gestión de Tivoli Federated Identity Manager: Después de configurar la autenticación SPNEGO en la consola de gestión de Tivoli Federated Identity Manager, actualice el archivo krb5.ini para cambiar la vía de acceso al archivo de tabla de claves Kerberos a un formato que no contenga espacios. Por ejemplo, el formato Windows 8.3. Capítulo 4. Problemas y soluciones conocidas 17 La vía de acceso al archivo krb5.ini se puede describir de la siguiente manera: WAS_HOME/profiles/WAS_PROFILE/config/itfim/ FIM_DOMAIN/etc/krb5.ini El archivo krb5.ini contiene una línea similar a: default_keytab_name = C:/Program Files/ IBM/WebSphere/AppServer/ profiles/AppSrv01/config/itfim/default/etc/krb5.keytab Normalmente, sólo debe cambiar Archivos de programa por Progra~1, por ejemplo: default_keytab_name = C:/Progra~1/ IBM/WebSphere/AppServer/profiles/ AppSrv01/config/itfim/default/etc/krb5.keytab Después de realizar esta actualización, reinicie WebSphere Application Server. Debe volver a aplicar este cambio cada vez que modifique los valores de configuración del proveedor de identidad en la consola de gestión de Tivoli Federated Identity Manager. Si la autenticación SPNEGO todavía NO está configurada en la consola de gestión de Tivoli Federated Identity Manager: Especifique la vía de acceso con formato 8.3 en el archivo de plantilla krb5.ini.template antes de configurar la autenticación SPNEGO en la consola de gestión de Tivoli Federated Identity Manager. Es posible que la vía de acceso varíe en función del directorio de instalación de WebSphere Application Server. El siguiente directorio contiene el archivo krb5.ini.template: FIM_install_root/etc/krb5.ini.template Sustituya la siguiente línea en krb5.ini.template: default_keytab_name = @KEYTAB@ con el nombre de archivo 8.3 completo, por ejemplo: default_keytab_name = C:/Progra~1/IBM/WebSphere/AppServer/profiles/ AppSrv01/config/itfim/default/etc/krb5.keytab La actualización garantiza que el nombre de archivo se conserva cada vez que configura los valores de configuración del proveedor de identidad en la consola de gestión de Tivoli Federated Identity Manager Actualizar permisos para grabar archivos de registro en el directorio de registros Este tema sólo es relevante para clientes con el conector de Tivoli Federated Identity Manager para IIS en sistemas Windows. En entornos locales que no sean en inglés, los archivos de registro se pueden añadir al directorio FIM_install_dir\fimpi\log. Utilice el mandato cacls.exe y el nombre específico del entorno local para el grupo "NETWORK SERVICE", para asignar los permisos para que se pueda grabar el archivo de registro en el directorio FIM_install_dir\fimpi\log. Utilice el mandato siguiente: cacls.exe FIM_install_dir\fimpi\log /t /e /g name_of_network_service_group:F Donde name_of_network_service_group es el nombre traducido del grupo NETWORK SERVICE para su entorno local. 18 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas No se puede habilitar la seguridad 2 de Java en un sistema Tivoli Federated Identity Manager No se puede habilitar la seguridad 2 de Java en un sistema Tivoli Federated Identity Manager. Es posible que el producto Tivoli Federated Identity Manager no funcione y que esta configuración no esté soportada. Algunos de los síntomas son: v Un error informa de que la consola no se puede comunicar con el servicio de gestión. FBTCON257E Se ha producido un error al comunicar con el servicio de gestión. Consulte los archivos de registro del servidor para obtener más información. v Errores en los registros que indican un problema de permiso en el arranque. Rastreo de pila: ava.security.AccessControlException: Acceso denegado (java.util.PropertyPermission * read,write) en java.security.AccessController.checkPermission(AccessController.java:108) v Las excepciones de tiempo de ejecución de la consola son: javax.management.RuntimeOperationsException: El parámetro "name" no puede ser nulo en com.ibm.ws.management.AdminClientImpl.assertObjectNameValid(AdminClientImpl.java:287) Nota: v El objetivo principal de la seguridad 2 de Java es proteger el contenedor de WebSphere Application Server de código Java no fiable. Puesto que el cliente confía en IBM, no hay ninguna razón técnica para habilitarla. v Cuando se utiliza esta función, afecta significativamente al rendimiento. Compare el coste de utilizar esta función con el riesgo del código. Utilización del elemento ServiceName y PortType para seleccionar una cadena específica del módulo STS En función de los valores que se utilizan dentro de los elementos ServiceName y PortType, puede haber una discrepancia con el siguiente error en el rastreo: FBTSTM015E No hay ningún XPath configurado que haya seleccionado un nodo de la solicitud, o el TokenType o AppliesTo proporcionados También podría haber distintas solicitudes que se correlacionen con la misma cadena si se utiliza un "*" genéricamente en ambos campos. Los siguientes valores deben coincidir en el Nombre de servicio y el Tipo de puerto: v La parte izquierda de los dos puntos debe coincidir con el NSURI del espacio de nombres de WS-Addressing que se utiliza para los elementos PortType y ServiceName de la solicitud. v La parte derecha de los dos puntos debe coincidir con los valores que se utilizan en los elementos ServiceName y PortType. Llamada a clases Java desde XSLT en ITFIM 6.2 Tivoli Federated Identity Manager 6.2 se ha desarrollado utilizando el modelo de infraestructura OSGI. Capítulo 4. Problemas y soluciones conocidas 19 Tivoli Federated Identity Manager 6.2 cambia la manera en que cada módulo encuentra otras clases. Llamar a Java desde XSLT se basa en un detalle de implementación que está fuera de control de ITFIM. Esta restricción es una limitación y oficialmente no está soportada. La manera correcta y soportada de utilizar clases Java personalizadas en una regla de correlación es desarrollar un modelo personalizado. El modelo se utiliza en la modalidad de correlación en una cadena STS. Parámetros de configuración de DirectoryIntegratorSTSModule v Tamaño de la agrupación de manejadores de línea de ensamblaje v Número de hebras de espera v Cantidad de tiempo que deben esperar las hebras a que un manejador de línea de ensamblaje esté disponible Los manejadores de la línea de ensamblaje (ALH) de Tivoli Directory Integrator son síncronos y de proceso múltiple. Esta limitación es la razón por la cual se crea una agrupación. Establezca el tamaño de la agrupación para que sea el número previsto de clientes simultáneos que se espera para el sistema. Establecer el tamaño de la agrupación en un número grande no hace ninguna diferencia si hay llamadas de bloqueo que la propia línea de ensamblaje está realizado. De forma similar, no se obtiene ninguna ventaja en hacer que el tamaño de la agrupación sea mayor que el número máximo de hebras en WebSphere o WebSEAL. El número de hebras de espera indica cuántas hebras podrá bloquear Tivoli Federated Identity Manager al esperar un ALH libre para llamar a Tivoli Directory Integrator. Si se indica cero, las hebras no harán ningún bloqueo si un ALH no está inmediatamente disponible y se devuelve un error. Si se indica un número inferior a cero, las hebras se bloquearán indefinidamente. Si el número indicado es mayor que cero, se bloquearán durante un número de segundos especificados. Evite establecer la hebra de espera con un número negativo a fin de evitar otros problemas como el hecho de que se puedan colgar todas las hebras en WebSEAL. Error al utilizar la conexión de prueba para el servicio ITFIM Cuando utiliza ITFIM 6.2 en Linux, podría encontrar un problema al crear un dominio. Después de instalar Tivoli Federated Identity Manager 6.2 y seleccionar la conexión de prueba, podría encontrar el error siguiente: FBTCON313E Se ha producido un error al invocar el servicio de gestión de ITFIM. Es posible que el servicio de gestión no esté disponible. Este error es debido al hecho de tener varias repeticiones de instalación y desinstalación en el entorno. Para resolver este problema, desinstale manualmente ITFIM del entorno. Todos los siguientes mandatos se ejecutan desde el indicador wsadmin. Para desinstalar manualmente ITFIM del entorno: 20 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas 1. Asegúrese de que WebSphere Application Server se haya iniciado antes de ejecutar wsadmin. 2. Inicie wsadmin con el siguiente mandato: /<WAS_INSTALL_ROOT>/profiles/<server_name>/bin/wsadmin.sh -user <user> -password <password> por ejemplo: /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/bin/ wsadmin.sh -user wasadmin -password passw0rd 3. Liste las aplicaciones que estén actualmente instaladas en WebSphere Application Server con el siguiente mandato: wsadmin>$AdminApp list Nota: La consola de Tivoli Federated Identity Manager no aparece listada aquí porque se ha desinstalado como aplicación del sistema en WebSphere. 4. Desinstale una aplicación. v Para desinstalar una aplicación (como ITFIMManagementService y ITFIMRuntime) de un WebSphere Application Server autónomo, ejecute estos mandatos por orden: wsadmin>$AdminApp uninstall <application_name> wsadmin>$AdminConfig save El <application_name> se puede determinar utilizando el mandato $AdminApp list. v Para desinstalar una aplicación de un clúster de WebSphere Application Server, ejecute el mismo mandato pero desde el indicador wsadmin del gestor de despliegue. 5. Es necesaria una sincronización de nodos en un clúster a fin de propagar los cambios de configuración al nodo o a los nodos afectados. De forma predeterminada, esta situación se produce periódicamente si el nodo se puede comunicar con el gestor de despliegue. Puede propagar los cambios explícitamente desde el indicador wsadmin del gestor de despliegue con el mandato siguiente: wsadmin>set Sync1 [$AdminControl completeObjectName type=NodeSync,node=myNodeName,*] wsadmin>$AdminControl invoke $Sync1 sync 6. Desinstale fimconsole de WebSphere Application Server, con el siguiente mandato: wsadmin>$AdminApp update isclite modulefile {-operation delete -contenturi itfim-fimconsole-e.war} wsadmin>$AdminConfig save 7. Después de utilizar los mandatos de wsadmin para eliminar ITFIMManagementService, ITFIMRuntime y Fimconsole de WebSphere, elimine los siguientes directorios del sistema de archivos: /opt/IBM/FIM /opt/IBM/WebSphere/AppServer/systemApps/isclite.ear/itfim-fimconsole-*.war Excepción en SystemOut.log durante el arranque de servidor de ITFIM Cuando se inicia un nodo donde está desplegado el entorno de ejecución de ITFIM, el arranque del servidor puede fallar y devolver la excepción siguiente: com.tivoli.am.fim.rte.config.impl.RuntimeConfigurationImpl setThreadSubject java.lang.NullPointerException Capítulo 4. Problemas y soluciones conocidas 21 La excepción de rastreo de pila completa en el servidor SystemOut.log contiene la información siguiente: 13/11/09 13.24.25:502 CET] 00000036 RuntimeConfig I com.tivoli.am.fim.rte.config.impl.RuntimeConfigurationImpl setThreadSubject java.lang.NullPointerException at com.ibm.ws.security.auth.ContextManagerImpl.isWSSubject El problema se ha generado por una configuración de dominio de ITFIM errónea que está utilizando SSL para conectarse con el gestor de despliegue. No obstante, la seguridad de WebSphere Application Server no está habilitada en la célula de WebSphere Application Server, de modo que el tráfico del puerto 8879 (puerto SOAP para el gestor de despliegue) no está utilizando SSL. Para resolver este problema inhabilite la opción La seguridad global de WebSphere está habilitada. Esta configuración se puede realizar en la configuración de punto final de servicio de gestión de dominios ITFIM de la consola ISC si la seguridad de WebSphere Application Server no está habilitada en la célula. El cierre de sesión único de ITFIM no funciona correctamente El problema se produce por una configuración de unión incorrecta. El problema se produce en las siguientes condiciones: v WebSEAL es el punto de contacto. v El método que se utiliza para invalidar las sesiones requiere que Tivoli Federated Identity Manager sepa el ID de sesión de la sesión que está invalidando. Para que WebSEAL pase el ID de sesión como un atributo, debe estar configurada la unión que apunta a Tivoli Federated Identity Manager. Utilice la herramienta tfimcfg.jar para configurar WebSEAL en la creación de la unión con la configuración necesaria a fin de que WebSEAL pase el ID de sesión. Ejemplo de una unión: object show /WebSEAL/ip-ip/FIM/ Name: /WebSEAL/ip-ip/FIM Description: Object from host saml20sp3. Type: 16 (Management Object) Is Policy Attachable: Yes Extended Attributes Name: HTTP-Tag-Value Value(s): ssn=ssn name=name email=email user_session_id=user_session_id Attached ACL: itfim_saml20ip2_nobody Attached POP: Attached AuthzRule: Effective Extended Attributes Protected Object Location: /WebSEAL/ip-ip/FIM Name: HTTP-Tag-Value Value(s): ssn=ssn name=name email=email 22 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas user_session_id=user_session_id Effective ACL: itfim_saml20ip2_nobody Effective POP: Effective AuthzRule: Asegúrese de que el ID de sesión haya pasado por la unión. itfimcfg.jar también habilita EAI para la instancia de WebSEAL de SOAP itfimcfg.jar también habilita la autenticación EAI cuando utiliza el programa de utilidad Tivoli Federated Identity Manager para configurar la instancia SOPA WebSEAL. EAI está habilitado en SOAP porque la misma instancia de WebSEAL se puede utilizar para el punto de contacto de inicio de sesión único y el canal de SOAP. Se ha añadido una mejora a WebSEAL para que pueda aceptar la solicitud de terminación de sesión directamente desde un servidor de Tivoli Federated Identity Manager. WebSEAL puede aceptar la solicitud de terminación de sesión en lugar de hacerlo a través de la interfaz de programación de la aplicación PDadmin. Esta función requiere que WebSEAL se configure para la configuración de EAI. Un desencadenante de EAI debe estar configurado en todos los URL que pueden recibir una solicitud de cierre de sesión. Puesto que puede utilizar SOAP para iniciar un cierre de sesión, la herramienta de configuración establece un desencadenante EAI en el punto final de SOAP. Si el punto final de SOAP está alojado en un servidor de WebSEAL distinto del que maneja las sesiones de usuario, Tivoli Federated Identity Manager detectará que se están utilizando distintos servidores. Tivoli Federated Identity Manager vuelve a utilizar la interfaz de programación de aplicaciones de PDadmin para cerrar sesión a no ser que el entorno esté habilitado para que utilice SMS (Session Management Server). En el caso de que no se utilice SMS, la configuración de EAI en el punto final de SOAP no es útil y se puede inhabilitar manualmente. La consola no muestra el nuevo miembro del clúster en la tabla Nodos de ejecución La consola no muestra el nuevo miembro del clúster en la tabla Nodos de ejecución después de que se haya añadido al clúster. Para mostrar el nuevo miembro del clúster: 1. Edite el archivo software.properties del subdirectorio /pkg donde Tivoli Federated Identity Manager está instalado. 2. Actualice com.tivoli.am.fim.rte.software.serialId con un valor distinto. Por ejemplo, cambie: com.tivoli.am.fim.rte.software.serialId=1197396816285 por com.tivoli.am.fim.rte.software.serialId=1197396816286 3. Inicie sesión en la consola de gestión. 4. Pulse Tivoli Federated Identity Manager > Gestión de dominios > Gestión de nodos de ejecución. Cuando se abra el portlet, comprueba si software.properties serialId se ha actualizado. 5. Pulse Desplegar el entorno de ejecución. Después de que se haya completado el despliegue, el nodo estará visible en la tabla. Capítulo 4. Problemas y soluciones conocidas 23 LTPA Versión 2 BinarySecurityToken ValueType no está soportado por WebSphere Application Server Versiones 6.0.2 y 6.1 Si configura un módulo de señal de LTPA Versión 2, la capa de servicios web no distingue entre LTPA V1 y LTPA V2 si está utilizando WebSphere Application Server versión 6.0.2 o 6.1. Si envía una señal LTPA con el QName http://www.ibm.com/websphere/appserver/tokentype#LTPAv2 como tipo de valor, la señal se rechaza en WebSphere Application Server Versiones 6.0.2 y 6.1. WebSphere Application Server Versiones 6.0.2 y 6.1 no distingue entre una señal de LTPA V1 o LTPA V2 en la capa de servicios web. Sólo hay un BinarySecurityToken ValueType soportado para señales LTPA y el QName del tipo de valor es: http://www.ibm.com/websphere/appserver/tokentype/5.0.2#LTPA. Como solución temporal, puede continuar utilizando una señal LTPA V1 o LTPA V2. Sin embargo, asegúrese de que establece el QName con el siguiente tipo de valor independientemente de la señal que contenga: http://www.ibm.com/ websphere/appserver/tokentype/5.0.2#LTPA. Para habilitar el tipo http://www.ibm.com/websphere/appserver/tokentype/ 5.0.2#LTPA para las señales LTPAv2, establezca la siguiente propiedad personalizada de ejecución: v Para habilitar globalmente la señal: – Clave: ltpa.enable.compat.mode – Tipo: Valor booleano: true o false – Descripción: el valor predeterminado es "false". Si se ha habilitado este valor, se asegura de que las señales de problemas del módulo STS de LTPA sean compatibles con WebSphere Application Server 6.0.2 y WebSphere Application Server 6.1. v Para habilitar la señal en una única cadena STS: – Clave: ltpa.enable.compat.mode.[ID_cadena] – Clave de ejemplo: ltpa.enable.compat.mode.[uuid3778696c-0124-1fa7-9b85be0cd9adb32a] – Tipo: booleano – Valor: true o false – Descripción: el valor predeterminado es "false". Si se ha habilitado este valor, se asegura de que las señales de problemas del módulo STS de LTPA sean compatibles con WebSphere Application Server 6.0.2 y WebSphere Application Server 6.1. Esta propiedad permite que la configuración se establezca en una cadena específica. La consola de Tivoli Federated Identity Manager no se puede conectar con el servicio de gestión durante la creación del dominio El problema de conexión podría ser causado por alguna de las siguientes razones: v El servicio de gestión no se está ejecutando. v El servicio de gestión no se ha inicializado correctamente. v La información que se ha proporcionado en el panel Valores de seguridad de WebSphere no es correcta. Para resolver el problema, debe completar este procedimiento: 24 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas 1. Asegúrese de que el servicio de gestión de Tivoli Federated Identity Manager esté instalado y en ejecución. Si el servicio de gestión no se está ejecutando, se muestra el siguiente mensaje de error: Para una conexión remota: FBTCON313E Se ha producido un error al invocar el servicio de gestión de ITFIM. Puede que el servicio de gestión no esté disponible. Para una conexión local: FBTCON166E Se ha producido un error al intentar recuperar la configuración del entorno. Compruebe la configuración del entorno e inténtelo de nuevo. Para ejecutar la aplicación del servicio de gestión, siga estos pasos: a. En la consola de administración, seleccione Aplicaciones > Tipos de aplicación > Aplicaciones de negocio de WebSphere. b. Seleccione ITFIMManagementService. c. Pulse Iniciar. 2. Asegúrese de que la información del panel Seguridad de WebSphere del asistente de dominios sea correcta. Si la información es inexacta, aparecerá el siguiente mensaje de error: FBTCON314E Al contactar con el servicio de gestión de ITFIM, no se ha podido crear un conector de WebSphere AdminClient en el servidor de aplicaciones del servicio de gestión con el puerto y el host proporcionados. 3. Reinicie WebSphere Application Server. La herramienta tfimcfg.jar no puede configurar Tivoli Access Manager cuando FIPS está habilitado Se ha producido un error cuando Tivoli Federated Identity Manager está accediendo al entorno de WebSphere Application Server para consultar el InfoService sobre la información de federación configurada. El problema se ha producido porque la herramienta tfimcfg intenta utilizar el protocolo SSL que no está soportado en el entorno habilitado de FIPS. Tivoli Federated Identity Manager proporciona la opción de ejecutarse en un entorno compatible con FIPS. Después de habilitar FIPS, se debe utilizar la fábrica de conexiones de SSL TLS cuando ejecuta la herramienta tfimcfg.jar. Especifique el parámetro del mandato -sslfactory TLS cuando ejecute tfimcfg para configurar el entorno Tivoli Access Manager. Por ejemplo: java -jar tfimcfg.jar -action tamconfig -cfgfile /opt/pdweb/etc/webseald.conf -sslfactory TLS El proceso de datos de configuración de asunto de titular de SAML 2.0 no es conforme El atributo de destinatario (Recipient) de SubjectConfirmationData no está establecido cuando se emite una aserción en las siguientes condiciones: v La aserción SAML 2.0 se genera con un método de configuración de asunto de titular. v No se proporciona ningún elemento "Claims" (reclamaciones) en la RST. Capítulo 4. Problemas y soluciones conocidas 25 Como solución temporal, establezca un atributo en la sección ContextAttributes de STSUniversalUser en la regla de correlación para alterar temporalmente el atributo Destinatario (Recipient) en SubjectConfirmationData para el método de confirmación de asunto de titular. Esta solución está disponible para los escenarios de proveedor de identidad de SAML 2.0 u otros escenarios STS que emiten aserciones SAML 2.0. Un ejemplo de este atributo seria algo similar a lo siguiente: https://saml.some.recepient.com Otro problema es que la validación de la aserción falla cuando: v El método de asunto de titular está presente. v El atributo "Recipient" no coincide con el URL de servicio del consumidor de la aserción en las reclamaciones. Durante la validación de la aserción SAML 2.0, el atributo Recipient sólo se valida para los métodos de configuración de asunto de titular cuando la aserción se valida como parte de un flujo de inicio de sesión única. Una excepción de esto es si establece una propiedad personalizada de ejecución: SAML2.AlwaysValidateBearerSubjectConfirmationData = true Se ha producido un error al utilizar el entorno de tiempo de ejecución Java proporcionado con WebSphere Application Server versión 8.0 y posteriores para ejecutar la herramienta tfimcfg Es posible que encuentra un error cuando utilice el entorno de tiempo de ejecución Java proporcionado con WebSphere Application Server versión 8.0 y posteriores para ejecutar la herramienta tfimcfg. Añada los siguientes argumentos de la máquina virtual Java cuando ejecute la herramienta tfimcfg: v -Djava.ext.dirs – En Windows: <WAS_HOME>\tivoli\tam;<WAS_HOME>\java\jre\lib\ext – En UNIX: <WAS_HOME>/tivoli/tam:<WAS_HOME>/java/jre/lib/ext v -Dpd.cfg.home – En Windows: <WAS_HOME>\tivoli\tam – En UNIX: <WAS_HOME>/tivoli/tam Por ejemplo: /opt/IBM/WebSphere/AppServer/java/jre/bin/java -Djava.ext.dirs=/opt/IBM/WebSphere/AppServer/tivoli/tam:/opt/IBM/WebSphere/AppServer/java/jre/lib/ext -Dpd.cfg.home=/opt/IBM/WebSphere/AppServer/tivoli/tam -jar tfimcfg.jar -action tamconfig -cfgfile /opt/pdweb/etc/webseald-default.conf Tivoli Federated Identity Manager devuelve la página con el entorno local menos preferido Cuando el navegador envía una solicitud con varios entornos locales en la cabecera Accept-Language, Tivoli Federated Identity Manager podría devolver la página con el entorno local menos preferido de forma predeterminada. Por ejemplo, cuando el navegador envía una solicitud con los entornos locales en_US, de (se prefiere en_US antes que de) Tivoli Federated Identity Manager devuelve la página en de, en lugar de en. 26 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Cree una correlación desde el entorno local al directorio raíz de las páginas de dicho entorno local. En el ejemplo anterior, cree una correlación de en_US al directorio raíz de las páginas de en. Cree la correlación completando estos pasos: 1. 2. 3. 4. 5. 6. 7. 8. Inicie sesión en la Integrated Solutions Console. Pulse Gestión de dominios > Páginas de suceso > Entorno local de página. Pulse Crear. Especifique el entorno local y el directorio raíz de la página. Pulse Aplicar. Pulse Publicar páginas. Cierre la sesión de Integrated Solutions Console. Inicie una sesión en la consola Integrated Solutions Console. 9. Pulse Gestión de dominios > Páginas de suceso. 10. Pulse Cargar los cambios de configuración en el entorno de ejecución de Tivoli Federated Identity Manager. Las cadenas STS de administración automática no se actualizan automáticamente después de aplicar el fixpack Si previamente ha modificado las cadenas STS antes de utilizar la función de varias preguntas secretas, debe modificar manualmente las cadenas STS. Hay tres cadenas que se ven afectadas por la función de varias preguntas secretas: v Cadena uscCreateAccount predeterminada v Cadena uscForgottenPassword predeterminada v Cadena uscProfileManagement predeterminada 1. Inicie sesión en Integrated Solutions Console. 2. Navegue hasta Tivoli Federated Identity Manager > Configurar el servicio de confianza > Instancia de módulo. 3. Compruebe si la opción Módulo de almacén de preguntas secretas USC predeterminado se encuentra en la lista de instancias de módulo. Si se visualiza, vaya al paso 5. De lo contrario, vaya al siguiente paso. 4. Añada manualmente la instancia de módulo: a. Pulse Crear. b. En el tipo de módulo seleccione com.tivoli.am.fim.trustserver.sts.modules. USCSecretQuestionStoreSTSModule. c. Pulse Siguiente. d. Complete el nombre de la instancia de módulo con Módulo de almacén de preguntas secretas USC predeterminado y la descripción del módulo con Módulo de almacén de preguntas secretas USC. e. Pulse Finalizar. 5. Cambie el valor de la propiedad personalizada de ejecución STS.showUSCChains: a. Vaya a Tivoli Federated Identity Manager > Gestor de dominios > Gestión de nodos del entorno de ejecución. b. Pulse Propiedades personalizadas del entorno de ejecución. c. Cambie el valor del parámetro STS.showUSCChains a "true". d. Pulse Aceptar. e. Pulse Cargar los cambios de configuración en el entorno de ejecución de Tivoli Federated Identity Manager. Capítulo 4. Problemas y soluciones conocidas 27 6. 7. 8. 9. f. Cierre sesión e inicie sesión en Integrated Solutions Console. Vaya a Tivoli Federated Identity Manager > Configurar servicio de confianza > Cadenas de servicio de confianza. Seleccione la cadena que desea comprobar. Pulse Propiedades. Compruebe las tres cadenas y verifique si se deben arreglar manualmente. v Cadena uscCreateAccount predeterminada - El módulo de almacén de preguntas secretas USC (modalidad de validación) se debe añadir después del módulo de creación de cuentas USC predeterminado (modalidad de validación). v Cadena uscProfileManagement predeterminada - El módulo de almacén de preguntas secretas USC (modalidad de validación) se debe añadir después del módulo de gestión de perfiles USC predeterminado (modalidad de validación). v Cadena uscForgottenPassword predeterminada - El módulo de preguntas secretas USC (modalidad de validación) se debe añadir después del módulo de recuperación de cuentas USC predeterminado (modalidad de validación). El módulo de preguntas secretas USC (modalidad de emisión) se debe añadir después del módulo de identidad de VMM USC (modalidad de correlación). Si las cadenas STS no se actualizan correctamente, debe modificar las cadenas manualmente. a. Vaya a Tivoli Federated Identity Manager > Configurar servicio de confianza > Cadenas de servicio de confianza. b. c. d. e. Seleccione la cadena que desea modificar. Pulse Modificar cadena. Pulse Continuar con la modificación. Modifique las cadenas correspondientes tal como se visualizan en la lista con viñetas. 10. Pulse Cargar los cambios de configuración en el entorno de ejecución de Tivoli Federated Identity Manager. Problemas de Integrated Solutions Console Los siguientes problemas y solucionados están relacionados con el uso de la consola de gestión de Tivoli Federated Identity Manager, que funciona como conector de IBM Integrated Solutions Console. Varias solicitudes para reiniciar WebSphere Application Server Después de realizar una operación en la consola, puede que se le solicite reiniciar WebSphere Application Server varias veces. Acerca de esta tarea Puede que se le solicite reiniciar de nuevo el servidor de WebSphere si no ha podido asignar suficiente tiempo para que se complete el reinicio. Procedimiento 1. Espere un tiempo suficiente después de reiniciar WebSphere Application Server y asegúrese de que se complete el reinicio. Puede comprobar los registros de WebSphere Application Server para determinar si se ha completado el reinicio. 28 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas 2. Cuando el reinicio finalice, continúe utilizando la consola. Incomplete operations after logging off the console Si cierra sesión de la consola antes de que finalice una operación, se puede producir un resultado incompleto. Acerca de esta tarea Para varias operaciones, por ejemplo crear una federación, es necesario completar varios paneles de información en la consola. Si cierra sesión antes de pulsar Finalizar del panel final, se realiza la operación en curso con los datos especificados actualmente. Como resultado de ello, la operación, por ejemplo una definición de una federación, podría estar incompleta. Los pasos siguientes pueden evitar operaciones incompletas. Procedimiento 1. Finalice la operación en curso. 2. Cierre la sesión de la consola. Si debe cerrar sesión de la consola en medio de una operación: a. Inicie la sesión en la consola. b. Verifique que la operación se haya completado. c. Si la operación no se ha completado, modifique los valores necesarios. Reiniciar WebSphere Application Server después de volver a configurar los valores de seguridad en la consola de gestión Debe reiniciar WebSphere Application Server si especifica nuevos valores de seguridad en la consola de gestión. La consola de gestión de Tivoli Federated Identity Manager funciona como un conector para IBM Integrated Solutions Console, que funciona como una aplicación en WebSphere Application Server. También puede configurar la seguridad de WebSphere Application Server. Cuando la seguridad de WebSphere Application Server está habilitada, IBM Integrated Solutions Console y la consola de gestión de Tivoli Federated Identity Manager deben estar configuradas para que utilicen los valores de seguridad de WebSphere Application Server adecuados. Por ejemplo, la ubicación de los archivos de cifrado y las contraseñas necesarias para acceder a los archivos. Detener WebSphere Application Server desde la línea de mandatos después de reiniciar Tivoli Federated Identity Manager desde la consola Este tema sólo se aplica a sistemas Windows. Si selecciona reiniciar en la consola de gestión de Tivoli Federated Identity Manager, utilice la línea de mandatos para detener WebSphere Application Server. En sistemas Windows donde se ejecuta WebSphere Application Server como un servicio, si pulsa Reiniciar en la consola de gestión de Tivoli Federated Identity Manager provoca que el servicio, tal como se ve en el panel Servicios de Windows, pierda contacto con WebSphere Application Server. El reinicio de WebSphere Application Server es satisfactorio. Sin embargo, es posible que el panel Servicios no indique que el servicio se haya reiniciado. Capítulo 4. Problemas y soluciones conocidas 29 Si se produce este problema, no puede detener el servicio de WebSphere Application Server a través del panel Servicios. La consola de gestión de Tivoli Federated Identity Manager también puede perder la conexión con WebSphere Application Server. Para detener el servicio de WebSphere Application Server, utilice la línea de mandatos para detenerlo. Consulte el Information Center de WebSphere Application Server para obtener detalles sobre cómo detener el servicio con la línea de mandatos. Para encontrar una solución temporal para este problema, haga lo siguiente: 1. Reinicie WebSphere Application Server desde la consola de gestión de Tivoli Federated Identity Manager. 2. Cierre sesión de la consola de gestión de Tivoli Federated Identity Manager. 3. Inicie sesión en la consola de gestión de Tivoli Federated Identity Manager. Cuando la solución sea más permanente, podrá instalar WebSphere Application Server en Windows sin tener que registrarlo como un servicio. Cuando WebSphere Application Server no está registrado como servicio, la consola de gestión de Tivoli Federated Identity Manager puede reiniciarlo satisfactoriamente emitiendo los mandatos apropiados. Limitaciones en el panel Instancias de módulo Al configurar el servicio de confianza en Tivoli Federated Identity Manager, el panel Instancias de módulo utiliza el idioma del entorno local del servidor. El domino de Tivoli Federated Identity Manager se crea en función del entorno local del servidor. El idioma que se utiliza en el servidor se basa en el entorno local del servidor. El idioma utilizado en el servidor se implementa independientemente del idioma que haya utilizado el navegador al conectarse con el servidor. Por ejemplo, un navegador en inglés se conecta a una consola de Tivoli Federated Identity Manager que no sea en inglés. El idioma que se visualiza en el panel Instancias de módulo es el idioma que no es inglés. La tablas podrían no representarse correctamente en Integrated Solutions Console podrían cuando se utiliza Microsoft Internet Explorer 10 Es posible que algunas tablas no se representen correctamente en Integrated Solutions Console cuando utiliza Microsoft Internet Explorer 10. Acerca de esta tarea Debe establecer el navegador a la modalidad de compatibilidad de Microsoft Internet Explorer 10. Procedimiento 1. Acceda a la página de inicio de la consola de WebSphere Application Server. 2. Pulse herramientas > Valores de vista de compatibilidad en Internet Explorer. 3. En la ventana Valores de vista de compatibilidad, pulse Añadir para añadir la dirección IP o el nombre de host del sistema que alberga el gestor de despliegue para un clúster de WebSphere Application Server o donde está instalado WebSphere Application Server. La dirección IP o el nombre de host se añade a la lista de valores de vista de compatibilidad. 30 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Resultados Las tablas en Integrated Solutions Console se representan correctamente. Qué hacer a continuación Si las tablas no se representan correctamente después de aplicar los valores de configuración, utilice las Herramientas de desarrollo F12 y verifique: v La modalidad de documento eficaz es Internet Explorer 5, modo quirks. v La modalidad de navegador eficaz es Internet Explorer 10, vista de compatibilidad. WebSEAL con OTP no se visualiza en la página Punto de contacto después de volver a crear un dominio Cuando después de borrar un dominio, lo vuelve a crear, WebSEAL con OTP no se visualiza en la página Punto de contacto. Siga los pasos siguientes: 1. Inicie sesión en la Integrated Solutions Console. 2. Seleccione Tivoli Federated Identity Manager > Gestión de dominios > Gestión de nodos del entorno de ejecución. 3. Pulse Desplegar el entorno de ejecución. 4. Pulse Publicar conectores. Se muestra una versión incorrecta en el panel Gestión de nodos de ejecución de Tivoli Federated Identity Manager Después de desinstalar el fixpack, el usuario podrá desplegar la versión base de Tivoli Federated Identity Manager desde el panel Gestión de nodos de ejecución. Después del despliegue de ejecución, el panel Gestión de ejecución mostrará la versión correcta de Tivoli Federated Identity Manager. Sin embargo, el panel Nodos de ejecución muestra una versión de ejecución incorrecta. Siga los pasos siguientes: 1. Seleccione Tivoli Federated Identity Manager > Dominios > Propiedades de dominio > Información de dominio. 2. Pulse Renovar servicio de gestión. 3. Seleccione Tivoli Federated Identity Manager > Gestión de dominios > Gestión de nodos del entorno de ejecución. 4. Pulse Publicar conectores. 5. Pulse Cargar los cambios de configuración en el entorno de ejecución de Tivoli Federated Identity Manager desde la Integrated Solutions Console. 6. Cierre sesión de la Integrated Solutions Console. 7. Inicie sesión otra vez. 8. Seleccione Tivoli Federated Identity Manager > Gestión de dominios > Gestión de nodos del entorno de ejecución. La versión de ejecución de Tivoli Federated Identity Manager correcta se muestra en los paneles Gestión de ejecución y Nodos de ejecución. Capítulo 4. Problemas y soluciones conocidas 31 Problemas de consola de WebSphere Application Server En esta sección podrá leer información sobre los problemas y las soluciones de la consola de administración de WebSphere Application Server. WebSphere Application Server debe estar instalado por separado en cada instancia de la consola de gestión Sólo puede instalar un componente de la consola de gestión en cada instalación de WebSphere Application Server. El componente de la consola de gestión de IBM Tivoli Federated Identity Manager se puede instalar en un único perfil de sólo una instalación de WebSphere Application Server. Instale un WebSphere Application Server para cada instancia de la consola de gestión si debe instalar el componente de la consola de gestión varias veces en una única máquina. La consola de administración de WebSphere no abre la aplicación de ejecución o de gestión Si la consola de administración de WebSphere Application Server no abre la aplicación de ejecución o de gestión, cierre la sesión de la consola y vuelva a iniciar la sesión en la consola. Acerca de esta tarea Pulse en enlace Cerrar sesión en la consola para cerrar sesión correctamente. Cerrando el navegador no se cierra correctamente una sesión. Si con cerrar e iniciar de nuevo la sesión no se soluciona el problema, utilice los pasos siguientes: Procedimiento 1. Busque los archivos EAR adecuados: Componente Nombre de archivo Servicio de gestión ITFIMManagementService.ear Ejecución ITFIMRuntime.ear Según el entorno de WebSphere Application Server, estos archivos se pueden encontrar en algunas de las siguientes ubicaciones: Configuración del servidor Vía de acceso predeterminada Servidor único $WAS_PROFILE_HOME/installedApps/ cell_name/node_name/ Clúster $WAS_PROFILE_HOME/installedApps/ cell_name 2. Si no encuentra los archivos EAR, podría tener un problema de instalación. Consulte IBM Tivoli Federated Identity Manager Guía de instalación (manual en inglés). 32 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Los cambios de configuración no se propagan a cada nodo de clúster antes de que se reinicie el entorno de ejecución de Tivoli Federated Identity Manager El entorno de ejecución de Tivoli Federated Identity Manager se reinicia antes de que se hayan propagado los cambios de configuración en cada nodo del clúster. Después de hacer un cambio de configuración de Tivoli Federated Identity Manager utilizando la consola administrativa de WebSphere, se muestran la opción y el siguiente mensaje: FBTCON197W Los cambios de configuración recientes se deben volver a cargar en el entorno de ejecución de Tivoli Federated Identity Manager... Cargar cambios de configuración en el entorno de ejecución de Tivoli Federated Identity Manager Cuando selecciona Cargar cambios de configuración al entorno de ejecución de Tivoli Federated Identity Manager, el entorno de ejecución de Tivoli Federated Identity Manager se empieza a reiniciar en cada servidor de aplicaciones del clúster. Normalmente, los cambios de configuración se actualizan en sólo un segundo o dos en cada en entorno de ejecución de Tivoli Federated Identity Manager. No obstante, es posible que, debido a retrasos de la red, pulse la opción e inicie los entornos de ejecución antes de que todos los cambios se hayan propagado a cada nodo de la célula de WebSphere. Si se produce este escenario, puede volver a iniciar el entorno de ejecución de Tivoli Federated Identity Manager desde la consola administrativa de WebSphere. Seleccione la siguiente secuencia de opciones: Tivoli Federated Identity Manager > Gestión de dominios > Gestión de nodos de ejecución > Volver a cargar configuración. La consola de WebSphere indica que el servicio de gestión no está disponible Es posible que la consola de administración de WebSphere Application Server indique incorrectamente que el servicio de gestión de IBM Tivoli Federated Identity Manager no está disponible. Acerca de esta tarea El servicio de gestión de IBM Tivoli Federated Identity Manager se ejecuta como una aplicación de WebSphere. La página Enterprise Applications de la consola de administración de WebSphere Application Server se utiliza para ver la disponibilidad de las aplicaciones de WebSphere. En un entorno (clúster) de despliegue de redes deWebSphere Application Server, es posible que la página Enterprise Applications muestre el estado del servicio de gestión como no disponible. El servicio puede convertirse en no disponible aunque la aplicación esté en ejecución. El estado se indica mediante un icono en gris con una barra inclinada. Procedimiento 1. Utilice uno de los métodos siguientes para verificar el estado de la aplicación, detener o iniciar la aplicación: Capítulo 4. Problemas y soluciones conocidas 33 v Utilice el mandato wsadmin la interfaz de línea de mandatos. v Utilice la consola de WebSphere Application Server. 2. Compruebe la consola para ver si el servicio de gestión se muestra como disponible. Consultar el estado de ejecución de Tivoli Federated Identity Manager Puede utilizar algunos mandatos wsadmin para consultar el estado de ejecución de IBM Tivoli Federated Identity Manager. No es posible consultar el estado de la ejecución de IBM Tivoli Federated Identity Manager desde la consola eWAS. Los siguientes mandatos wsadmin muestran cómo consultar el estado del entorno de ejecución de IBM Tivoli Federated Identity Manager y cómo iniciar y detener la ejecución de IBM Tivoli Federated Identity Manager desde una línea de mandatos. Estos mandatos dan por hecho que la instancia de WebSphere Application Server se denomina server1. v Determine se el entorno de ejecución de IBM Tivoli Federated Identity Manager está instalado (si lo está se visualiza "ITFIMRuntime"): wsadmin>$AdminApp list v Compruebe si el entorno de ejecución de IBM Tivoli Federated Identity Manager se está ejecutando (si no se devuelve ninguna salida el entorno de ejecución no está en ejecución): wsadmin>$AdminControl queryNames type=Application,process=server1,name=ITFIMRuntime,* v Detenga el entorno de ejecución de IBM Tivoli Federated Identity Manager: wsadmin>set appManager [$AdminControl queryNames type=ApplicationManager,process=server1,*] wsadmin>$AdminControl invoke $appManager stopApplication ITFIMRuntime v Inicie el entorno de ejecución de IBM Tivoli Federated Identity Manager: wsadmin>set appManager [$AdminControl queryNames type=ApplicationManager,process=server1,*] wsadmin>$AdminControl invoke $appManager startApplication ITFIMRuntime Los perfiles con enlaces POST para el inicio de sesión único podrían no funcionar cuando se utiliza WebSphere Application Server 6.1.0.17 o 6.1.0.19 WebSphere v6.1.0.17 y v6.1.0.21 tiene un defecto que provoca que los flujos de Tivoli Federated Identity Manager que utilizan un perfil POST fallen. Para obtener más información sobre este problema, consulte la nota técnica #1326460: IBM Tivoli Federated Identity Manager 6.1.1 and 6.2 POST profile SSO might fail with a SRVE0216E error. Error de tiempo de ejecución Tivoli Federated Identity Manager podría encontrar errores que están relacionados con el tiempo de ejecución. Obtenga información sobre problemas identificados y cómo arreglarlos. 34 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Un usuario no puede iniciar varias solicitudes de contraseña única en la misma sesión Se visualiza un error cuando un usuario inicia una segundo flujo de contraseña única en la misma sesión. Inicie otro flujo de autenticación de contraseña única en una sesión nueva. Esta tarea puede hacerse iniciando el flujo de autenticación de contraseña única en una ventana de navegador nueva. Problemas operativos Tivoli Federated Identity Manager podría encontrar problemas relacionados con el funcionamiento del sistema. Obtenga información sobre problemas identificados y cómo arreglarlos. El inicio de sesión único (SSO) federado falla aunque el usuario esté definido en el directorio de punto de contacto Cuando se utiliza Tivoli Access Manager, un intento de inicio de sesión único podría fallar bajo las circunstancias siguientes: v Si WebSphere Application Server se especifica como servidor de punto de contacto, y v el servidor de autorización de Tivoli Access Manager (pdacld) no está sincronizado con el directorio de usuarios de WebSphere Application Server. Si especifica WebSphere Application Server como punto de contacto, y el directorio no está sincronizado con el registro de usuarios de Tivoli Access Manager, al intentar iniciar sesión en un usuario durante una operación de inicio de sesión único, todavía se llama al servidor de autorización de Tivoli Access Manager (pdacld) para recuperar el principal usuario (por ejemplo, para una federación SAML11). Aunque el usuario esté definido en el directorio de usuarios de WebSphere Application Server, si Tivoli Access Manager está utilizando un directorio distinto y el usuario no se encuentra en dicho directorio, el intento de SSO falla con el mensaje: HPDIA0202W Se ha presentado un nombre de usuario desconocido a Access Manager. Solución temporal: Cuando se crea un dominio para el inicio de sesión único federado, el asistente solicita si desea realizar la configuración en un entorno de Tivoli Access Manager. Configure el entorno de Tivoli Access Manager sólo si está utilizando WebSEAL como servidor de punto de contacto o si el registro de usuarios de Tivoli Access Manager está sincronizado con el directorio de usuarios de punto de contacto específico. Anomalías intermitentes al validar los mensajes que se reciben Las anomalías intermitentes en la validación de mensajes recibidos puede producirse en el entorno de Tivoli Federated Identity Manager si el arreglo IY93387 no está instalado el arreglo para la JVM. Capítulo 4. Problemas y soluciones conocidas 35 Los errores del archivo de registro indican una anomalía para validar el XML recibido. La siguiente entrada de rastreo es un ejemplo: [9/7/07 17:05:27:813 EST] 0000002d KessServiceJk 3 \ com.tivoli.am.fim.kess.service.jks.worker.impl.\ KessServiceJksWorkerImpl validateXML Signature was NOT valid on the XML document. Core Validity: false SignedInfo: false Msg: SignatureValue mismatched. Este problema los resuelve el APAR IY93387, y se arregla en la JVM 1.4.2 SR9 y JVM 5.0 SR4. El nivel de arreglo de Java SDK 1.4.2 SR9 se puede descargar del siguiente sitio web: http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24011104 El nivel de arreglo Java SDK 1.5 SR5 se puede descargar del siguiente sitio web: http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24015843 Inhabilitación la detección de validación de reproducción en la validación PassTicket Un PassTicket incluye una indicación de fecha y hora que sólo es granular para un segundo completo. Si se generan dos PassTickets para el mismo objeto (usuario, app de destino, clave secreta) en un segundo, los dos PassTickets serán idénticos. El contenido de los PassTickets es un poco diferente, pero los valores de la indicación de fecha y hora son iguales. Se produce un error durante la validación de la señal cuando se llama al STS un PassTicket con una indicación de fecha y hora que tiene el mismo valor que una solicitud anterior. Este comportamiento se considera que es una solicitud de reproducción. Este mensaje de error se muestra en la respuesta que indica que el PassTicket se ha reproducido: FBTSTS024E La señal Username proporcionada se ha reproducido. La señal Username proporcionada ya se comprobó anteriormente, y ahora se está volviendo a usar. La configuración de este servidor no permite volver a usar señales Username. La única forma de eludir este problema es inhabilitar la detección de validación de reproducción entendiendo que con esto las aplicaciones no podrán reutilizar el mismo PassTicket. Los administradores deben considerar los riesgos de seguridad implicados en la inhabilitación de la detección de validación de reproducción. Para gestionar este problema, utilice la funcionalidad disable replay detection que soporta RACF. Para inhabilitar la validación de reproducción, puede establecer algunas o bien todas siguientes propiedades de ejecución personalizadas: passticket.disable.replay.check.[chainid_uuid]=true passticket.disable.replay.check=true 36 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Donde chainid_uuid es el valor del UUID de cadena de la cadena personalizada que utiliza la instancia de módulo de STS PassTicket. Por ejemplo: passticket.disable.replay.check.[uuideb42e428-011b-1ebc-a0cb9e6c4b35c1c7]=true Para determinar el valor del UUID de cadena, en la consola de administración seleccione Cadenas de servicio de confianza > Seleccionar acción > Mostrar ID de cadena en la columna de la tabla. Esta selección de acción añade una columna nueva en la tabla que muestra el ID de cadena exclusivo. Se emite StringIndexOutOfBoundsException al añadir un proveedor de servicios de SAML 2.0 como socio Esta excepción se produce si el parámetro ValidateKeyIdentifier no contiene un carácter de subrayado y los parámetrossignatureKeyAlias y signatureKeystoreName no se especifican. Esta excepción también se produce si el parámetro EncryptionKeyIdentifier no contiene un carácter de subrayado y los parámetros encryptionKeyAlias y encryptionKeystore no se han especificado. Los módulos STS de SAML calculan un periodo de validez incorrecto de la aserción Se produce un error durante la validación de indicaciones de fecha y hora de la aserción SAML si establece la propiedad de tiempo de ejecución personalizada a saml.use.legacy.clockskew.default = true. Para arreglar este error, cambie este error, cambie el valor de la propiedad a saml.use.legacy.clockskew.default = false. Nota: Tivoli Federated Identity Manager 6.2.2, de forma predeterminada, no utiliza un desfase horario al validar las indicaciones de fecha y hora de la aserción SAML. En lugar de ello, utiliza el reloj local del entorno de ejecución. El servicio de alias de Tivoli Federated Identity Manager no funciona con la base de datos Oracle Los intentos para utilizar la base de datos Oracle para el servicio de alias de Tivoli Federated Identity Manager muestra errores como el siguiente: com.ibm.ws.ejbpersistence.utilpm.PersistenceManagerException: PMGR1012E: El ID de programa de fondo actual DB2UDBNT_V8_1, no coincide con el origen de datos con el que está conectado. Para arreglar este error, debe seguir los pasos adicionales después de instalar el fixpack de Tivoli Federated Identity Manager Versión 6.2.1 (en un sistema basado en UNIX). Pasos de configuración para utilizar la base de datos de Oracle para el servicio de alias de Tivoli Federated Identity Manager: 1. Cree una copia de seguridad del archivo itfim.ear con los mandatos: cd FIM_INSTALL_DIR/pkg/release Capítulo 4. Problemas y soluciones conocidas 37 cp itfim.ear itfim-orig.ear 2. Modifique el EAR para que sea sensible para Oracle y para poder hacer el despliegue con los mandatos: mkdir /tmp/work rm FIM_INSTALL_DIR/pkg/release/itfim.ear WEBSPHERE_INSTALL_DIR/AppServer/bin/ejbdeploy.sh FIM_INSTALL_DIR/pkg/ release/itfim-orig.ear /tmp/work FIM_INSTALL_DIR/pkg/release/itfimoracle.ear -dbschema FIMAliasesSchema -dbname FIMAliases -dbvendor ORACLE_V10G -trace cp FIM_INSTALL_DIR/pkg/release/itfim-oracle.ear FIM_INSTALL_DIR/pkg/ release/itfim.ear rm -rf /tmp/work 3. Ahora está disponible un nuevo FIM_INSTALL_DIR/pkg/release/itfim.ear para el despliegue y poder trabajar con Oracle. Utilice un editor de texto para actualizar el archivo FIM_INSTALL_DIR/pkg/software.properties para cambiar la propiedad com.tivoli.am.fim.rte.software.serialId por un valor distinto, por ejemplo, "increment". 4. Utilice la consola de Tivoli Federated Identity Manager para seleccionar Tivoli Federated Identity Manager > Gestor de dominios > Gestión de nodos del entorno de ejecución. Hay un mensaje que indica que hay un nuevo entorno de ejecución disponible para el despliegue. Utilice la consola para desplegar el nuevo entorno de ejecución. 5. Reinicie el proceso de WebSphere donde el entorno de ejecución se ha desplegado. Para obtener más detalles sobre cómo configurar la base de datos de Oracle y configurar WebSphere Application Server para que utilice JDBC, consulte la nota técnica titulada "After installing FP3 for FIM 6.2, Oracle db still cannot be used for FIM Alias Service." Nota: Si no recibe fixpacks posteriores o cualquier cosa que altere el itfim.ear desplegado, debe volver a realizar los pasos de configuración. Falta el delimitador de cierre de la macro "@" de la plantilla consent.html Falta el delimitador de cierre de macro @OPTIONAL_ATTRIBUTE@ de la plantilla consent.html, lo cual provoca que el campo de etiqueta de los atributos opcionales no se represente correctamente. Para modificar la plantilla consent.html: 1. Abra la plantilla de página <fim_install_root>/pages/<lang>/openid/ consent.html 2. Busque <label for="chk_@OPTIONAL_ATTRIBUTE">@OPTIONAL_ATTRIBUTE@></ label><br/> y cámbiela por: <label for="chk_@OPTIONAL_ATTRIBUTE@>OPTIONAL_ATTRIBUTE@></label><br/> 3. Utilice la consola para Publicar páginas y Recargar configuraciones para que los cambios entren en vigor. 38 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Generación de sentencias de depuración para identificar correlaciones en reglas XSLT Al crear reglas XSLT para la identificación de correlaciones no hay ningún mecanismo para registrar o rastrear sentencias con el objetivo de realizar una depuración. Puede utilizar una extensión para generar sentencias de depuración para reglas XSLT. Para iniciar las sentencias de depuración para la correlación de identidades, añada entradas en las reglas XSLT con la sintaxis: <xsl:variable name="variablename" select="mapping-ext:traceString(’debug string’)"> Para habilitar la configuración de rastreo, establezca el nivel de rastreo en fine para la clase com.tivoli.am.fim.trustserver.sts.utilities.IDMappingExtUtils. Normalmente la salida se representa en /opt/IBM/WebSphere/AppServer/profiles/ <profile-name>/logs/<server-name>. La comprobación de destinatario no se realiza correctamente por parte del soporte de publicaciones del navegador SAML Si un proveedor de servicios de SAML 1.x debe aceptar un samlp:Response que no contiene ningún atributo Destinatario (Recipient), esta propiedad personalizada de ejecución se puede utilizar en un proveedor de identidad de Tivoli Federated Identity Manager que está emitiendo una respuesta SAML: SAML.AllowNoRecipient=true Normalmente, el destinatario (Recipient) es un atributo necesario, de modo que no es necesario establecer esta propiedad personalizada de ejecución. Sólo se ofrece para casos de uso de compatibilidad con versiones anteriores. El módulo STS IVCred de IBM Tivoli Federated Identity Manager no valida las señales IVCRED que se corresponden con un usuario no autenticado Cuando se utiliza una unión WebSeal configurada para invocar el STS de Tivoli Federated Identity Manager para que genere una señal, el modulo STS IVCred generará NullPointerException si el punto final accedido tiene un ACL no autenticado. Cuando el punto final tiene un ACL autenticado, la credencial que recibe Tivoli Federated Identity Manager se corresponde con un usuario no autenticado. El módulo STS IVCred se ha habilitado para consumir y validar las señales de IVCred que se corresponden con un usuario no autenticado. Hay dos modalidades de funcionamiento: v El módulo STS generará un error si una señal recibida se corresponde con un usuario no autenticado. Este es el valor predeterminado. El error es: FBTSTS015E La señal binaria IV-Cred no es válida o no está presente. v El módulo STS IVCred puede configurarse para correlacionar la señal del usuario no autenticado con una cuenta de usuario especial que se puede configurar. La cuenta de usuario seleccionada se debería considerar como una cuenta de invitado o de baja autorización. Capítulo 4. Problemas y soluciones conocidas 39 El módulo STS IVCred STS añade un nombre de usuario no autenticado en la estructura de usuario universal. Para habilitar esta modalidad, añada la propiedad personalizada: ivcred.unauthenticated.user.name=myusername Donde myusername es el valor del nombre de usuario que se debe utilizar para la correlación. También se pueden proporcionar propiedades adicionales para describir la cuenta de usuario con la que se quiere hacer la correlación: ivcred.unauthenticated.user.registry.id - se utiliza para incluir el ID de registro de la cuenta. ivcred.unauthenticated.user.uuid - se utiliza para indicar el ID exclusivo de la cuenta de usuario No se puede iniciar sesión en WebSphere cuando se utiliza el adaptador de Tivoli Access Manager VMM Síntoma: No se puede iniciar sesión como administrador de WebSphere o bien no se puede detener WebSphere Application Server. Un mensaje de error indica que hay un problema al inicializar o contactar con el registro del adaptador de Tivoli Access Manager VMM (Virtual Member Management). Este error puede producirse cuando la seguridad de WebSphere Application Server está habilitada y el adaptador está configurado para que se utilicen los repositorios federados de WebSphere. Acerca de esta tarea El adaptador Tivoli Access Manager VMM utiliza los registros soportados de Tivoli Access Manager. Este uso requiere que el registro de Tivoli Access Manager esté disponible cuando el adaptador esté en uso. El archivo de configuración de Tivoli Access Manager que necesita el adaptador de Tivoli Access Manager VMM también debe existir. El archivo de configuración debe estar ubicado en la ubicación exacta que ha especificado al configurar el adaptador. El problema con el inicio de sesión de WebSphere se puede producir si alguna de las siguientes condiciones es verdadera (true): v La propiedad de configuración para el adaptador de Tivoli Access Manager VMM se ha suprimido. v El servidor de registro de Tivoli Access Manager no se está ejecutando. v La Tivoli Access Manager ya está configurada. Cuando se produce este problema, debe recuperar el acceso a WebSphere Application Server. Nota: En primer lugar, compruebe el registro de WebSphere Application Server y determine si el registro de Tivoli Access Manager subyacente no esté en ejecución. Si este es el caso, reinicie el servidor de registro y verifique que puede alcanzarlo desde el entorno de WebSphere. Si lo consigue, no es necesario que realiza los pasos de la tarea de este tema. Los pasos siguientes describen cómo restaurar el acceso a WebSphere Application Server. Los pasos sólo se aplican a las configuraciones donde dos condiciones son verdaderas (true): 1. Los repositorios federados de WebSphere Application Server están configurados para que contengan más de un adaptador. 40 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Nota: Necesita un adaptador para cada tipo de registro configurado. 2. El adaptador de Tivoli Access Manager VMM es uno de los adaptadores configurados en los repositorios federados de WebSphere Application Server. Procedimiento 1. Detenga WebSphere Application Server. Si no puede iniciar sesión, utilice un mandato del sistema operativo para detener el proceso. 2. Conéctese a WebSphere Application Server: wsadmin -conntype none 3. Si hay una entrada base configurada para el adaptador de Tivoli Access Manager VMM, suprímala del dominio. Por ejemplo, si el nombre del dominio es defaultWIMFileBasedRealm, y la entrada de la base de adaptador es o=ibm,c=us: $AdminTask deleteIdMgrRealmBaseEntry {-name defaultWIMFileBasedRealm -baseEntry o=ibm,c=us} 4. Suprima la entrada del repositorio del adaptador de Tivoli Access Manager VMM. Por ejemplo, si el ID de registro del adaptador de Tivoli Access Manager VMM es TAMRegistryAdapter: $AdminTask deleteIdMgrRepository {-id TAMRegistryAdapter} 5. Guarde la configuración. $AdminConfig save 6. Reinicie WebSphere Application Server. 7. Si es necesario, vuelva a configurar el adaptador de Tivoli Access Manager VMM. Problemas del despliegue Los siguientes temas y soluciones están relacionados con las operaciones de despliegue en IBM Tivoli Federated Identity Manager. Se ha recibido un error sobre la operación de despliegue FBTCON137E: Se ha producido un error durante la operación de despliegue. Este mensaje es una descripción genérica de un error de despliegue. Puede recibir este error aunque la operación haya sido satisfactoria, pero la operación ha tardado más tiempo que el valor de tiempo de espera de solicitud de SOAP especificado. Después de crear el dominio y pulsar Desplegar en el panel Gestión de nodos de ejecución, es posible que reciba este mensaje. Para validar el despliegue, realice los pasos siguientes: 1. Cierre el panel Gestión de nodos de ejecución. 2. Abra el panel Gestión de nodos de ejecución. La ejecución se muestra como desplegada con una marca de selección en la columna estado. Ahora puede configurar la ejecución. Capítulo 4. Problemas y soluciones conocidas 41 Tiempo de espera excedido de SOAP Incremente el valor del parámetro com.ibm.SOAP.requestTimeout para que el tiempo tenga 45 segundos más de lo que tarda la operación en completarse. De este modo evitará que SOAP Client Connector no exceda el tiempo de espera durante la operación. Para determinar el valor de tiempo de espera adecuado, siga los pasos siguientes: 1. Inhabilite el valor de tiempo de espera estableciendo el valor del parámetro com.ibm.SOAP.requestTimeout a 0. 2. Despliegue la aplicación y registre el tiempo que ha tardado. 3. Defina el valor de tiempo de espera estableciendo el valor del parámetro com.ibm.SOAP.requestTimeout 45 segundos más del tiempo que ha registrado. Por ejemplo, si ha tardado 3 minutos y 45 segundos en desplegar la aplicación, establezca com.ibm.SOAP.requestTimeout en 270 (4 minutos y 30 segundos). Para establecer el valor del parámetro com.ibm.SOAP.requestTimeout, lleve a cabo los pasos siguientes: 1. Detenga el nodo de WebSphere Application Sever donde está instalada la consola de administración. 2. Edite el archivo $ISC/AppServer/properties/soap.client.props . 3. Modifique el valor del parámetro com.ibm.SOAP.requestTimeout. 4. Guarde y cierre el archivo. 5. Inicie el nodo de WebSphere Application Sever donde está instalada la consola de administración. Despliegue de Tivoli Federated Identity Manager en un entorno de clúster vertical de WebSphere El despliegue en la segunda instancia de servidor falla cuando Tivoli Federated Identity Manager se despliega en un entorno de clúster vertical. Se crea un entorno de clúster vertical de WebSphere Application Server alojando varias instancias de servidor de aplicaciones en la misma máquina física (nodo). Todas las instancias de WebSphere Application Server utilizan el mismo entorno de JVM. Si intenta desplegar el servidor de Tivoli Federated Identity Manager en varias instancias de WebSphere Application Server en el mismo sistema, el despliegue falla en la segunda instancia de servidor porque ya está configurada en la JVM. Para eludir el problema, haga una copia de seguridad y elimine los archivos siguientes antes de configurar el servidor de IBM Tivoli Federated Identity Manager en la segunda instancia de WebSphere Application Server: WAS_HOME/java/jre/PolicyDirector/PD.properties WAS_HOME/java/jre/PolicyDirector/PDCA.ks Repita este procedimiento cada vez que despliegue el servidor de Tivoli Federated Identity Manager en una instancia separada de WebSphere Application Server en el mismo nodo. 42 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas El despliegue de Tivoli Federated Identity Manager en un clúster requiere el descubrimiento de agentes de nodo En un despliegue de clúster de WebSphere Application Server, la ejecución de Tivoli Federated Identity Manager requiere el descubrimiento de un agente de nodo para que se inicialice correctamente. Es posible que un agente de nodo no esté disponible en el arranque del servidor de nodo gestionado, aunque para la ejecución de Tivoli Federated Identity Manager requiera que el descubrimiento de un agente de nodo se inicialice correctamente. La lista siguiente incluye razones clave de porqué el agente de nodo no se ha descubierto en el arranque: El agente de nodo no se ha iniciado El agente de nodo no se ha iniciado antes de que se iniciaran los nodos gestionados. Los agentes de nodo se deben iniciar antes de que se inicien los nodos gestionados, de lo contrario las aplicaciones no los detectarán cuando se inicien. Problemas de rendimiento El entorno de Tivoli Federated Identity Manager utiliza un suceso de descubrimiento de agente de nodo para volver a iniciar sus componentes. Es posible que este suceso no lo haya emitido WebSphere Application Server en algunas de las siguientes circunstancias: v Si el sistema o la red están muy cargados v Si las latencias de respuesta son grandes por otros motivos Como resultado, la ejecución de Tivoli Federated Identity Manager se queda en un estado inicializado incorrecto. Los siguientes escenarios describen cómo se puede detectar un nodo: v La ejecución de Tivoli Federated Identity Manager está configurada sin errores a través de la consola administrativa. O bien, el nodo de ejecución se muestra como desplegado y configurado en la página Gestión de nodos de ejecución. v Cuando el rastreo de Federated Identity Management está habilitado, podrá encontrar una entrada que ha registrado el método com.tivoli.am.fim.fedmgr2.servlet.SSOPSServlet handleNotification() en la que se indica: notificación de bean gestionado recibida: <mensaje_notificación> donde mensaje_notificación indica un tipo de suceso com.ibm.websphere.management.NotificationConstants. Solución temporal: Si el agente de nodo no se puede detectar, vuelva a inicializar el entorno de Tivoli Federated Identity Manager reiniciando el EAR ITFIMRuntime o inciando el nodo gestionado. Asegúrese de que tanto el agente de nodo como el gestor de despliegue (dmgr) se ejecuten antes de intentar iniciar o reiniciar el entorno de Tivoli Federated Identity Manager. Capítulo 4. Problemas y soluciones conocidas 43 Problemas de personalización Los siguientes problemas y soluciones están relacionados con la personalización de Tivoli Federated Identity Manager, por ejemplo desarrollo o modificación de conectores. Resolución de ClassDefNotFoundErrors o ClassNotFoundExceptions Ponga el paquete que falta de la clase en la sección Export-Package del archivo MANIFEST.MF en com.tivoli.am.fim.osgi.connector si ha recibido un error class-not-found o class-definition-not-found en una clase de contenedor J2EE de WebSphere. Ejemplo de los mensajes de error:ClassDefNotFoundErrors y ClassNotFoundExceptions. Puede cambiar el archivo MANIFEST.MF que está ubicado en $WAS_PROFILE/config/ itfim/com.tivoli.am.fim.osgi.connector_6.2.1/META-INF/. Nota: Cambie el cargador de clases de contexto cuando implique métodos en el contenedor J2EE de WebSphere J2EE. Depuración de problema de inicio y resolución de paquete OSGi Puede ejecutar ejecuciones de Tivoli Federated Identity Manager Eclipse en modalidad de depuración, que abre un puerto a la consola OSGi (osgiConsole). Puede utilizar telnet para conectarse a la osgiConsole. También puede hacer lo siguiente mediante la osgiConsole: v Consultar el estado de todos los paquete del directorio de conectores de Tivoli Federated Identity Manager. v Realizar operaciones de gestión de ciclo de vida en los paquetes. Por ejemplo, iniciar, detener y desinstalar. Siga estos pasos para iniciar una ejecución de Tivoli Federated Identity Manager Eclipse en modalidad de depuración: 1. Vaya al directorio donde está instalado el archivo launch.ini para com.tivoli.am.fim.war.management.war: WAS_PROFILE/installedApps/node/ITFIMManagementService.ear/ com.tivoli.am.fim.war.management.war/WEB-INF/eclipse/launch.ini o vaya a com.tivoli.am.fim.war.runtime.war: WAS_PROFILE/installedApps/node/ITFIMRuntime.ear/ com.tivoli.am.fim.war.runtime.war/WEB-INF/eclipse/launch.ini 2. Edite el archivo launch.ini, especifique un valor para la propiedad osgi.console.port (por ejemplo, osgi.console.port=8888) y luego guarde el archivo. Si está depurando el entorno de ejecución y el servicio de gestión en la misma máquina, asegúrese de que utiliza distintos valores de puerto. 3. Reinicie el EAR de ITFIMManagementService o el EAR de ITFIMRuntime. 4. En la línea de mandatos, o shell, ejecute telnet localhost 8888 para acceder a la consola OSGi para un entorno de ejecución Tivoli Federated Identity Manager Eclipse determinado. Puede ver un indicador osgi> después de establecer una conexión telnet con ese puerto. 44 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas 5. En el indicador osgi>, ejecute el mandato ss para obtener una lista de paquetes del entorno de ejecución de Eclipse y el estado de cada paquete. Ejecute help para ver una lista de posibles opciones del mandato. 6. Busque el paquete que ha especificado y el número que aparece junto a él. Si el estado del paquete es INSTALLED y no RESOLVED o STARTED, ejecute el mandato start number. Si ejecuta el mandato startnumber se imprime un rastreo de pila de excepción Java que está asociado con el inicio del paquete personalizado. 7. Para salir de la consola OSGi, ejecute disconnect para restituir del puerto. Ubicación del directorio temporal de los registros de error de OSGi Para depurar un error de OSGI de Tivoli Federated Identity Manager, compruebe los registros de errores de OSGi. Cuando se inicia Tivoli Federated Identity Manager, se copian los archivos siguientes del repositorio de configuración al directorio temporal de WebSphere Application Server v Conectores v Configuración v Directorios de características Es la misma ubicación donde se ha iniciado la instancia OSGi de Tivoli Federated Identity Manager OSGi. La ubicación normalmente se encuentra en uno de los siguientes directorios: WAS_APPSERVER/profiles/profilename/temp/node/server/ ITFIMManagementService/com.tivoli.am.fim.war.management.war/itfim/ WAS_APPSERVER/profiles/profilename/temp/node/server/ITFIMRuntime/ com.tivoli.am.fim.war.runtime.war/itfim/ Los registros de errores de OSGi se encuentra en el directorio itfim/configuration del directorio temporal. Invocación de un método API de WebSphere desde un módulo personalizado Puede utilizar J2EEContainerAction en un módulo personalizado para iniciar un método API de WebSphere (por ejemplo búsqueda JNDI, búsqueda RMI o SOAP MessageFactory). Un mecanismo de devolución de llamada puede hacer que una parte del código del conector de Tivoli Federated Identity Manager se ejecute como si estuviera en ejecución en el contenedor J2EE. Este mecanismo es necesario porque algunas llamadas de método se basan en los recursos que sólo están visibles para los cargadores de clases en el contenedor J2EE. Entre los ejemplos de llamadas de método actuales que hay en Tivoli Federated Identity Manager se incluyen: JNDI lookup, RMI endpoint lookup, SOAP MessageFactory creation y JAAS login. Para utilizar este mecanismo, primero debe crear una clase que implemente com.tivoli.am.fim.osgi.J2EEContainerAction, que contiene un método run(): Capítulo 4. Problemas y soluciones conocidas 45 J2EEContainerAction myAction = new J2EEContainerAction(){ public Object run() throws Exception{ //do something that needs to run within a J2EE container } }; A continuación, inicie su clase de acción utilizando com.tivoli.am.fim.osgi.J2EEContainerFactory: J2EEContainerFactory.runInJ2EEContainer(myAction); J2EEContainerFactory maneja la conmutación contextclassloader de la ejecución de Eclipse al contenedor J2EE. Luego llama al método run() en su clase de acción y vuelve a conmutar contextclassloader a su posición original. A continuación se muestran los tres J2EEContainActions más habituales que ya están definidos y puede reutilizarlos: com.tivoli.am.fim.j2eeactions.CreateMessageFactoryAction \\creates a SOAP Message Factory com.tivoli.am.fim.j2eeactions.JndiLookupAction \\performs a JNDI lookup in WAS com.tivoli.am.fim.j2eeactions.RmiLookupAction \\performs a RMI lookup in WAS 46 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 5. Arreglos Puede obtener arreglos del sitio web de soporte del producto y puede registrarse para recibir notificaciones sobre información de soporte del producto, incluidos los arreglos. Obtención de arreglos Es posible que haya un arreglo de producto que esté disponible para resolver el problema. Compruebe el sitio de soporte del producto para determinar los arreglos que están disponibles para Tivoli Federated Identity Manager. Procedimiento 1. Vaya al sitio IBM Software Support de Tivoli Federated Identity Manager en http://www.ibm.com/software/sysmgmt/products/support/ IBMTivoliFederatedIdentityManager.html. En la sección Descarga del a página encontrará una lista con los arreglos más recientes. 2. Pulse en el nombre de un arreglo para leer la descripción. También puede descargar la información del arreglo. Recepción de notificaciones de arreglos Puede recibir notificaciones por correo electrónico sobre arreglos y otras noticias acerca de los productos de IBM. Procedimiento 1. Vaya al sitio de IBM Software Support para Tivoli Federated Identity Manager: http://www.ibm.com/software/sysmgmt/products/support/ IBMTivoliFederatedIdentityManager.html. 2. Pulse Mi soporte en la esquina superior derecha de la página. Se abre una página de inicio de sesión. 3. Si ya se ha registrado, vaya al siguiente paso. Si no se ha registrado, pulse Registrar ahora para establecer el ID de usuario y la contraseña. 4. Inicie la sesión en Mi soporte. 5. Haga clic en el separador Editar perfil. 6. Seleccione Software > Seguridad > Acceso en los campos que se muestran. 7. Seleccione IBM Tivoli Federated Identity Manager de la lista de productos. 8. Pulse Añadir productos. 9. Para utilizar la notificación por correo electrónico, pulse Suscribir correo electrónico en la parte superior de la página. 10. En la lista, pulse Software. 11. Seleccione los recuadros de selección para describir mejor las notificaciones de correo electrónico que desea recibir. 12. Pulse Actualizar. 13. Cierre la sesión pulsando Cerrar sesión o pulse Ir a mi página personalizada para ver la página de soporte personalizada. © Copyright IBM Corp. 2006, 2013 47 48 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 6. Búsqueda en bases de conocimiento IBM Support para Tivoli Federated Identity Manager mantiene una base de conocimiento con documentación técnica, problemas y soluciones temporales. Acerca de esta tarea IBM Support Assistant incluye una herramienta de búsqueda jerárquica para ayudarle a centrar la búsqueda de información relacionada con un producto, plataforma o problema específicos. Consulte “Visión general de ISA” en la página 65 para obtener más información. El siguiente procedimiento describe cómo realizar una búsqueda manual para obtener información. Procedimiento 1. Vaya al sitio IBM Software Support para Tivoli Federated Identity Manager: http://www.ibm.com/software/sysmgmt/products/support/ IBMTivoliFederatedIdentityManager.html. 2. Bajo Resolver un problema, pulse alguna de las opciones siguientes: v Notas técnicas, donde se muestra información sobre el producto por título de documento. v APAR, que muestran una lista de problemas conocidos de acuerdo con números de APAR (informe autorizado de análisis de programa). 3. De forma opcional, puede buscar términos específicos, códigos de error o APAR utilizando el campo Buscar en la página de soporte del producto. También puede buscar por las páginas de notas técnicas o de APAR. © Copyright IBM Corp. 2006, 2013 49 50 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 7. Recopilación de datos Hay otras maneras de arreglar un problema además de solucionar los síntomas. Otra manera de resolver un problema es recopilar más datos de diagnóstico. Antes de empezar a recopilar datos para notificar un problema, instale y ejecute IBM Support Assistant. Esta herramienta de resolución de problemas incluye una consola donde puede enviar un registro de gestión de problemas en línea (PMR). Como parte del proceso, se recopila información específica del sistema, el entorno y el producto en un archivo que utiliza IBM Software Support. Para obtener más información sobre IBM Support Assistant, consulte el apartado “Visión general de ISA” en la página 65 para obtener más detalles. Recopilar datos en seguida, incluso antes de abrir un registro de gestión de problemas (PMR), puede ayudarle a responder a las siguientes preguntas: 1. ¿Coinciden los síntomas con algún problema conocido? 2. Si es así, ¿se ha publicado algún arreglo o solución temporal? 3. ¿El problema es un problema no orientado a defectos que se puede identificar y resolver sin un arreglo de código? 4. ¿Dónde se origina el problema? Los datos de diagnóstico que debe recopilar y los orígenes a partir de los cuales recopila dichos datos dependen del tipo de problema que está investigando. Por ejemplo, si investiga un posible error de disco en un entorno AIX, un origen importante de datos de diagnóstico es la salida del mandato errpt. Para obtener ayuda para identificar el componente en el que se ha originado el problema, responda a estas preguntas de la lista de comprobación de resolución de problemas de Tivoli Federated Identity Manager. Recopilación de datos generales Cuando envía un problema a IBM Software Support, hay un conjunto básico de información que normalmente debe proporcionar con detalles sobre el sistema o los sistemas afectados, por ejemplo: v Versión de Tivoli Federated Identity Manager y de los niveles de parche en los sistemas afectados v Nombre y versión del sistema operativo v Detalles generales sobre la estructura del entorno, por ejemplo el número de servidores y software instalados, dominios y federaciones configuradas, etc. Recopilación de datos específicos del problema Para síntomas específicos o para problemas en una parte específica del producto, debe recopilar datos adicionales, por ejemplo información de rastreo o de mensajes. Consulte el apartado “Registros de mensajes y rastreo” en la página 52 para obtener más información. Después de recopilar los datos de diagnóstico adecuados, puede intentar analizarlos usted mismo o bien puede enviarlos a IBM Software Support. © Copyright IBM Corp. 2006, 2013 51 Registros de mensajes y rastreo Los registros de mensajes y rastreo de Tivoli Federated Identity Manager los gestiona y almacena WebSphere Application Server. Consulte los temas de resolución de problemas en el Information Center de WebSphere Application Server para obtener información detallada sobre los registros. Registros de mensajes Los registros de mensajes son archivos de texto en los que se graban las operaciones del sistema. Los siguientes tipos de mensajes se registran de forma predeterminada: Mensajes informativos Indican condiciones que merece la pena anotar pero que no requieren que tome precauciones o que realice ninguna acción. Mensajes de aviso Indican que se ha detectado una condición que debe tener en cuenta pero que no es necesario realizar ninguna acción. Mensajes de error Indican que se ha producido una condición que requiere una acción. Archivos de registro de mensajes Todos los mensajes de Tivoli Federated Identity Manager se registran en los siguientes registros de mensajes de WebSphere Application Server predeterminados. Tabla 2. Registros de mensajes Registro Nombre de archivo predeterminado Registros de JVM SystemOut.log Mensajes en formato de texto para la instancia del servidor de aplicaciones. Registro de servicio de IBM activity.log Mensajes en formato suceso base común binario para la instalación del servidor de aplicaciones. Nota: Las herramientas para visualizar este formato se proporcionan junto con WebSphere Application Server. Consulte el Information Center de WebSphere Application Server para obtener más información. Contenido Puede utilizar la consola administrativa de WebSphere Application Server para configurar los siguientes valores de registro: v ubicación v nombre 52 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas v tamaño máximo de los archivos de registro v niveles de gravedad que desea registrar, por ejemplo Aviso o Muy grave Consulte el apartado “Configuración de valores de registro” en la página 54 para obtener más información. Ubicaciones del registro de mensajes De forma predeterminada, los registros de mensajes están ubicados en los siguientes directorios. Tabla 3. Ubicaciones predeterminadas del registro de mensajes del servidor de aplicaciones Registro Vía de acceso Registros de JVM UNIX y Linux: /opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/ nombre_servidor/SystemOut.log Windows: C:\Program Files\IBM\WebSphere\AppServer\profiles\ nombre_perfil\ logs\nombre_servidor\SystemOut.log Registro de servicio de IBM UNIX y Linux: /opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/ activity.log Windows: C:\Program Files\IBM\WebSphere\AppServer\profiles\ nombre_perfil\ logs\nombre_servidor\activity.log Los registros de mensajes de la consola se guardan en directorios de registros de mensajes del nodo de WebSphere Application Server donde está instalada la consola de administración. Registros de rastreo El registro de rastreo, o rastreo, proporciona al personal de IBM Software Support información adicional relacionada con la condición del sistema en el momento que se produjo el problema. Los registros de rastreo capturan información transitoria sobre el entorno operativo actual cuando un componente o una aplicación dejan de funcionar como es esperado. Los registros de rastreo son distintos de los registros de mensajes porque los registros de mensajes recopilan sólo la aparición de sucesos significativos. Los registros de rastreo sólo están disponibles en inglés. El registro de rastreo no está habilitado de forma predeterminada. En algunas circunstancias, el registro de rastreo podría producir grandes cantidades de datos que se recopilan en poco tiempo, lo cual provoca una degradación significativa del rendimiento. Por lo tanto, sólo debe habilitar el registro de rastreo si lo solicita el personal de IBM Software Support. Consulte el apartado “Configuración de valores de registro” en la página 54 para obtener detalles. Las entradas del registro de rastreo pueden proporcionar el siguiente nivel de detalle: Capítulo 7. Recopilación de datos 53 Preciso Detalle mínimo. Más preciso Detalle moderado. Muy preciso Detalle máximo (verboso). Archivo de registro de rastreo Si el rastreo está habilitado para un servidor de aplicaciones, la información de rastreo de Tivoli Federated Identity Manager se registra en el siguiente registro de rastreo de WebSphere Application Server predeterminado. Tabla 4. Registro de rastreo Nombre de registro predeterminado Nombre de archivo predeterminado Rastreo de diagnóstico trace.log Contenido Información de rastreo en formato texto para la instancia del servidor de aplicaciones. Si utiliza la consola administrativa de WebSphere Application Server, puede configurar algunos valores de los registros, por ejemplo la ubicación, el nombre, el tamaño máximo de los archivos de registro y el nivel de detalle que desea registrar (por ejemplo Preciso, Más preciso, Muy preciso). Consulte “Configuración de valores de registro” para obtener más información. Ubicaciones del registro de rastreo De forma predeterminada, el registro de rastreo está ubicado en los directorios siguientes. Tabla 5. Ubicaciones del registro de rastreo predeterminado del servidor de aplicaciones Registro Vía de acceso Rastreo de diagnóstico UNIX y Linux: /opt/IBM/WebSphere/AppServer/profiles/nombre_perfil/logs/ nombre_servidor/trace.log Windows: C:\Program Files\IBM\WebSphere\AppServer\profiles\ nombre_perfillogs\nombre_servidor\trace.log Los registros de rastreo de la consola se guardan en los directorios de registros de rastreo del nodo de WebSphere Application Server donde está instalada la consola de administración. Configuración de valores de registro Puede utilizar la consola de administración para configurar los valores de los registros de mensajes y rastreo. La creación de registros de mensajes está habilitada de forma predeterminada. El registro de rastreo sólo debe estar habilitado si así lo solicita el personal de soporte deIBM. 54 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Configurar el registro de mensajes El registro de mensajes en el registro de JVM y el registro de servicio de IBM están habilitados de forma predeterminada. Ambos archivos están configurados para registrar mensajes de todos los componentes de Tivoli Federated Identity Manager de todos los niveles de gravedad. Puede modificar los nombres, la ubicación, el tamaño de archivo y el nivel de gravedad que se deben registrar. Configuración del registro de JVM Puede modificar el nombre de archivo, la ubicación, el formato de archivo, el tamaño de archivo, las veces que se puede iniciar y detener el registro, el número de registros que se desean conservar y el nivel de gravedad que se registrará en el registro de JVM. Acerca de esta tarea El registro de JVM, también denominado SystemOut.log, es un registro estándar de WebSphere Application Server que se utiliza para mensajes. Para obtener información detallada, consulte los temas del registro de JVM en el Information Center de WebSphere Application Server. Procedimiento 1. Inicie la consola administrativa de WebSphere Application Server y, si es necesario, inicie sesión. 2. Pulse Resolución de problemas > Registros y rastreo para abrir la página Registro y rastreo. 3. Pulse el nombre del servidor que desea configurar, por ejemplo, servidor1. 4. Pulse Registros de JVM para ver las opciones de configuración. 5. Seleccione el separador Configuración. 6. Desplácese por el panel para mostrar los atributos que se deben configurar. 7. Cambie los atributos de configuración pertinentes. 8. Pulse Aplicar. 9. Guarde los cambios de configuración. Configuración del registro de IBM Service El registro de IBM Service está habilitado de forma predeterminada. Puede cambiar este valor o modificar los nombres, la ubicación, el tamaño de archivo y el nivel de gravedad que se anotarán en el registro. Acerca de esta tarea El registro de servicio, también denominado activity.log, es un registro estándar de WebSphere Application Server que se utiliza para los mensajes. Para obtener información detallada sobre el registro, consulte los temas de registro de servicio en el Information Center de WebSphere Application. Procedimiento 1. Inicie la consola administrativa de WebSphere Application Server y, si es necesario, inicie sesión. 2. Pulse Resolución de problemas > Registros y rastreo para abrir la página Registro y rastreo. 3. Pulse el nombre del servidor que desea configurar, por ejemplo, server1. 4. Pulse Registros de IBM Service para ver las opciones de configuración. Capítulo 7. Recopilación de datos 55 5. Marque o desmarque la casilla Habilitar registro de servicio para habilitar o inhabilitar la creación del registro. El registro de servicio está habilitado de forma predeterminada. 6. Establezca el nombre del registro de servicio en el campo Nombre de archivo. El nombre predeterminado es activity.log. Si el nombre se modifica, el entorno de ejecución necesitará acceso de grabación en el archivo nuevo y el archivo deberá utilizar la extensión .log. 7. Especifique el número de megabytes que puede llegar a tener el archivo en el campo Tamaño máximo de archivo. Cuando el archivo alcanza este tamaño, vuelve al principio, sustituyendo los datos antiguos por los nuevos. 8. Haga clic en Aplicar para guardar los cambios de configuración. 9. Reinicie el servidor para que los cambios de configuración entren en vigor. Habilitación del registro de rastreo Puede habilitar el registro de rastreo en el inicio del servidor o en un servidor en ejecución. Para mantener el rendimiento del sistema, sólo debería habilitar el registro de rastreo si así lo indica el personal de soporte de IBM Support. Habilitación del rastreo al iniciar el servidor El registro de rastreo se puede habilitar al iniciar el servidor. Acerca de esta tarea El registro de rastreo es un registro estándar de WebSphere Application Server que se utiliza para rastrear información. Para obtener información detallada del registro, consulte el Information Center de WebSphere Application Server. Procedimiento 1. Inicie la consola administrativa de WebSphere Application Server y, si es necesario, inicie sesión. 2. Pulse Resolución de problemas > Registros y rastreo para abrir la página Registro y rastreo. 3. Pulse el nombre del servidor que desea configurar, por ejemplo, server1. 4. Pulse Rastreo de diagnóstico para ver las opciones de configuración. 5. Pulse el separador Configuración. 6. Marque o desmarque la casilla Habilitar registro para habilitar o inhabilitar la creación del registro. El registro de rastreo está inhabilitado de forma predeterminada. 7. Complete la configuración tal como se le indique el personal de soporte de IBM. Para obtener información adicional sobre los valores de configuración, consulte los temas de registro de rastreo y resolución de problemas en el Information Center de WebSphere Application Server. 8. Pulse Aplicar para guardar los cambios de configuración. 9. Para especificar una serie de rastreo para establecer la especificación de rastreo en el estado necesario: a. Pulse Resolución de problemas > Registros y rastreo para abrir la página Registro y rastreo. b. Pulse el servidor que desee configurar, por ejemplo server1. c. Pulse Cambiar niveles de detalle de registro. d. Si la opción Todos los componentes está habilitada, desáctivela y habilite componentes específicos. 56 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas 10. Pulse un componente o nombre de grupo. Consulte “Rastrear componentes” para obtener una lista de componentes de Tivoli Federated Identity Manager. Nota: Si el servidor seleccionado no se está ejecutando, no se mostrará en la lista. 11. Escriba una serie de rastreo en el recuadro de serie de rastreo. Por ejemplo, para especificar el rastreo sólo para el servidor de confianza, escriba: *=info: com.tivoli.am.fim.trustserver.*=all Para obtener más información sobre series de rastreo, consulte el Information Center de WebSphere Application Server. 12. Pulse Aceptar. 13. Pulse Guardar para guardar los cambios. Debe reiniciar WebSphere Application Server para que los cambios entren en vigor. Habilitación del rastreo en un servidor en ejecución El registro de rastreo se puede habilitar en un servidor en ejecución. Acerca de esta tarea El registro de rastreo es un registro estándar de WebSphere Application Server que se utiliza para rastrear información. Para obtener información detallada sobre el registro, consulte el Information Center de WebSphere Application Server. Procedimiento 1. Inicie la consola administrativa de WebSphere Application Server y, si es necesario, inicie sesión. 2. Pulse Resolución de problemas > Registros y rastreo para abrir la página Registro y rastreo. 3. Pulse el nombre del servidor que desea configurar, por ejemplo, servidor1. 4. Pulse Rastreo de diagnóstico. 5. Pulse el separador Tiempo de ejecución. 6. Seleccione el recuadro Guardar cambios de ejecución también en la configuración si desea guardar los cambios en la configuración de servidor. 7. Modifique el estado de rastreo actual modificando la especificación de rastreo al estado necesario. 8. Configure la salida de rastreo si desea guardar el existente. 9. Pulse Aplicar. Rastrear componentes Rastree componentes específicos sólo si se lo indica el personal de soporte de IBM. En función de los síntomas del problema, el personal de soporte de IBM podría sugerir que habilite el rastreo para componentes adicionales que no están descritos en este tema. La siguiente tabla describe una lista parcial de los componentes para los cuales puede especificar la creación del registro de rastreo. Tabla 6. Descripciones y nombres de componentes de rastreo Componente de rastreo Descripción del componente com.tivoli.am.fim Todos los componentes de Tivoli Federated Identity Manager com.tivoli.am.fim.audit Auditoría Capítulo 7. Recopilación de datos 57 Tabla 6. Descripciones y nombres de componentes de rastreo (continuación) Componente de rastreo Descripción del componente com.tivoli.am.fim.fedmgr2 Servicio de protocolo de inicio de sesión único (SPS) com.tivoli.am.fim.kess Servicio de claves com.tivoli.am.fim.liberty Protocolo de inici de sesión único de Liberty Nota: El protocolo Liberty pasará a estar en desuso en el release 6.2.2 de Tivoli Federated Identity Manager. com.tivoli.am.fim.management Gestión de consola com.tivoli.am.fim.mgmt Gestión de consola com.tivoli.am.fim.saml Protocolo de inicio de sesión único de SAML com.tivoli.am.fim.saml20 Protocolo de inicio de sesión único de SAML 2.0 com.tivoli.am.fim.soap Conexiones de SOAP com.tivoli.am.fim.sps Infraestructura de servicio de protocolo de inicio de sesión único com.tivoli.am.fim.trust Cliente del servicio de confianza com.tivoli.am.fim.trustserver Servicio de confianza com.tivoli.am.fim.wsfederation Protocolo de inicio de sesión único de WS-Federation com.tivoli.am.fim.wssm Gestión de seguridad de servicios web Visualización de registros El formato de los registros determina cómo se pueden visualizar. registros de JVM Puede ver los registros de JVM con cualquiera de las opciones siguientes: v Utilice la consola administrativa de WebSphere Application Server, que también soporta la visualización desde una máquina remota. v Utilice un editor de texto en una máquina donde se almacenan los archivos de registro. Consulte la sección Ver registros de JVM en el Information Center de WebSphere Application Server para obtener más información. Registros de servicio de IBM Los registros de servicio se graban en formato binario. Para ver el registro, puede utilizar las herramientas que forman parte de WebSphere Application Server. Busque el tema ver el registro de servicio en el Information Center de WebSphere Application Server para obtener más información. Registros de rastreo Los datos de rastreo se generan como texto plano en formato básico, avanzado o Log Analyzer. En un servidor de aplicaciones, los datos de rastreo pueden dirigirse a un archivo o a un almacenamiento intermedio circular en memoria. Si se utiliza el almacenamiento intermedio circular, los datos deben volcarse a un archivo para poder visualizarlos. 58 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas En un proceso autónomo o un cliente de aplicaciones, los datos de registro pueden dirigirse a un archivo o a una ventana de la consola de procesos. Busque el tema salida de rastreo en el Information Center de WebSphere Application Server para obtener más información. Utilización de IBM Support Assistant La herramienta IBM Support Assistant Lite for Tivoli Federated Identity Manager ayuda a la resolución de problemas de Tivoli Federated Identity Manager. Utilice la herramienta para recopilar automáticamente datos del problema. Debe instalar el conector de Tivoli Federated Identity Manager para IBM Support Assistant como parte de la instalación de Tivoli Federated Identity Manager. Si no especifica el componente de IBM Support Assistant al instalar el producto, instálelo ahora. Para utilizar la herramienta, consulte: Utilización de IBM Support Assistant en modalidad gráfica Puede utilizar una interfaz gráfica de usuario para recopilar datos con IBM Support Assistant. Acerca de esta tarea Para acceder a la interfaz gráfica de usuario, ejecute un script desde la línea de mandatos. Procedimiento 1. Asegúrese de que el entorno Java esté configurado correctamente: a. Verifique que el entorno de ejecución de Java sea del nivel 1.4.2 o superior. b. Determine si la ubicación del entorno de ejecución de Java está incluido en el valor de entorno de PATH. Si la ubicación no está incluida en la vía de acceso, establezca la variable JAVA_HOME de modo que apunte al entorno de ejecución de Java. Tabla 7. Especificar JAVA_HOME para su entorno Sistema operativo Mandato de ejemplo Windows Por ejemplo, si tiene un kit de desarrollo de Java instalado en c:\jre1.4.2, utilice el mandato: SET JAVA_HOME=c:\jre1.4.2 UNIX o Linux Por ejemplo, si está utilizando el shell Bash y tiene un kit de desarrollo de Java instalado en /opt/jre142, utilice el mandato: export JAVA_HOME=/opt/jre142 2. Inicie la herramienta IBM Support Assistant: Abra un indicador de mandatos y cambie el directorio por el directorio de instalación de ISAlite. El directorio de instalación de ISAlite es la ubicación donde ha descomprimido el archivo TFIMISALite.zip. Escriba el mandato para el entorno: Capítulo 7. Recopilación de datos 59 Tabla 8. Ejecución de IBM Support Assistant Tipo de sistema operativo Mandato Windows runISALite.bat UNIX o Linux runISALite.sh Nota: Asegúrese de que el script sea ejecutable. Si es necesario, utilice el siguiente mandato para cambiar los permisos del archivo: chmod 755 runISALite.sh Ahora IBM Support Assistant inicia una interfaz gráfica de usuario. 3. En la ventana Tipo de problema, seleccione un tipo de problema. Expanda las carpetas para que se vean todos los tipos de problemas. Busque su tipo de problema y selecciónelo. 4. Proporcione un nombre de archivo para el archivo de recopilación de datos .zip. Puede utilizar cualquier nombre de archivo. La herramienta añade automáticamente la extensión de archivo .zip. Por ejemplo, si especifica el nombre de archivo Install_problem, el archivo se denominará Install_problem.zip. 5. Pulse Recopilar datos. El script de recopilación se ejecuta y le solicita información adicional. La información puede incluir información de configuración o la secuencia de sucesos que conducen al problema. El script también puede solicitarle preferencias de recopilación de datos. Cuando el script termine de recopilar la información de configuración, recopilará los datos necesarios. La herramienta crea un archivo .zip que puede enviar a IBM Support. 6. Cuando se le solicite, especifique un nombre de archivo en el recuadro Output Filename/Path. La herramienta añade el nombre de host de servidor y la indicación de fecha y hora actual al nombre del archivo que ha especificado. 7. Envíe el archivo .zip a IBM Support Puede elegir FTP o HTTPS para transferir el archivo. Nota: El FTP está no está cifrado, en canvio HTTPS sí que está cifrado. Utilización de IBM Support Assistant en modalidad de consola Puede recopilar datos con IBM Support Assistant en modalidad de consola. Acerca de esta tarea La modalidad de consola proporciona un control de línea de mandatos de los scripts de recopilación de IBM Support Assistant Lite. Puede utilizar la herramienta para registrar las respuestas de una sesión de modalidad de consola en un archivo de respuestas. Luego podrá utilizar el archivo de respuestas para llevar a cabo ejecuciones posteriores del mismo script de recopilación. Procedimiento 1. Asegúrese de que el entorno Java esté configurado correctamente: a. Verifique que el entorno de ejecución de Java sea del nivel 1.4.2 o posterior. 60 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas b. Determine si la ubicación del entorno de ejecución de Java está incluido en el valor de entorno de PATH. Si la ubicación no está incluida en la vía de acceso, establezca la variable JAVA_HOME de modo que apunte al entorno de ejecución de Java. Tabla 9. Especificar JAVA_HOME para su entorno Sistema operativo Mandato de ejemplo Windows Por ejemplo, si tiene un kit de desarrollo de Java instalado en c:\jre1.4.2, utilice el mandato: SET JAVA_HOME=c:\jre1.4.2 UNIX o Linux Por ejemplo, si está utilizando el shell Bash y tiene un kit de desarrollo de Java instalado en /opt/jre142, utilice el mandato: export JAVA_HOME=/opt/jre142 2. Inicie la herramienta IBM Support Assistant: Abra una ventana de mandatos y cambie el directorio por el directorio de instalación de ISAlite. El directorio de instalación de ISAlite es la ubicación donde ha descomprimido el archivo TFIMISALite.zip. Escriba el mandato para el entorno: Tabla 10. Ejecución de IBM Support Assistant Tipo de sistema operativo Mandato Windows runISALiteConsole.bat UNIX o Linux runISALiteConsole.sh Nota: Asegúrese de que el script sea ejecutable. Si es necesario, utilice el siguiente mandato para cambiar los permisos del archivo: chmod 755 runISALite.sh Ahora IBM Support Assistant se inicia en modalidad de consola. 3. Cree un archivo de respuestas. Tabla 11. Sintaxis para grabar la entrada de datos de IBM Support Assistant Tipo de sistema operativo Mandato Windows runISALiteConsole.bat -record response.txt UNIX o Linux runISALiteConsole.sh -record response.txt Puede especificar su propio nombre de archivo para response.txt. Cuando se ejecuta en esta modalidad, proporciona la entrada de datos durante una sesión interactiva. La herramienta graba las respuestas en el archivo que especifica. 4. Utilice el archivo de respuestas para ejecutar la herramienta. Tabla 12. Sintaxis para utilizar IBM Support Assistant con un archivo de respuestas Tipo de sistema operativo Mandato Windows runISALiteConsole.bat response.txt UNIX o Linux runISALiteConsole.sh response.txt Nota: Capítulo 7. Recopilación de datos 61 v El archivo de respuestas es un archivo de texto sin formato. Puede editarlo para modificar los valores según sea necesario. Por ejemplo, puede utilizar el archivo en otro sistema después de ajustar los valores del archivo de respuestas para que refleje los valores para el sistema local. v Recuerde que la información confidencial, como por ejemplo los nombres de usuario y las contraseñas, puede estar almacenada en el archivo de respuestas. Gestione el archivo detenidamente, para evitar el acceso no autorizado a información importante. v Algunas sesiones de recopilación de datos necesitan interacción con el usuario, y por lo tanto no son aconsejables para la opción de recopilación silenciosa. Por ejemplo, IBM Support podría pedirle que reprodujera el problema durante la recopilación de datos, a fin de recopilar archivos de registro y de rastreo. En este caso, la recopilación silenciosa no puede grabar y reproducir todos los pasos. 62 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 8. Análisis de datos Después de recopilar datos de varias fuentes, debe determinar cómo dichos datos pueden ayudarle a resolver un problema. Para analizar datos, lleve a cabo las acciones siguientes: v Determine qué orígenes de datos son más probables que contengan información sobre el problema e inicie el análisis de estos orígenes. Por ejemplo, si el problema está relacionado con la instalación, inicie el análisis con los archivos de registro de la instalación, si hay alguno. Esta acción le puede ayudar a reducir el problema, en lugar de empezar por los archivos de registro del sistema operativo o del producto en general. v Debe comprender cómo los distintos fragmentos de datos están relacionados entre ellos. Por ejemplo, si los datos abarcan a más de un sistema, mantenga los datos organizados para saber qué fragmentos de datos proceden de qué orígenes. v Utilice la indicación de fecha y hora para confirmar que cada fragmento de datos de diagnóstico es relevante teniendo en cuenta el momento del problema. Nota: Los datos de distintos orígenes pueden tener distintos formatos de indicación de fecha y hora. Debe comprender la secuencia de los distintos elementos en cada formato de indicación de fecha y hora, de modo que pueda decir cuando se han producido los distintos sucesos. El método específico de análisis es exclusivo de cada origen de datos. Una sugerencia que es aplicable a la mayoría de archivos de registro y rastreo es empezar por identificar el punto en los datos donde se ha producido el problema. Después de identificar ese punto, muévase por los datos para rastrear la causa raíz del problema. Para investigar un problema para el cual tiene datos comparativos de un entorno de trabajo o no de trabajo, empiece comparando los detalles de configuración del producto y del sistema operativo de cada entorno. © Copyright IBM Corp. 2006, 2013 63 64 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Capítulo 9. Contacto con el soporte técnico El servicio de soporte de software de IBM proporciona ayuda para resolver defectos de los productos. Puede ponerse en contacto con IBM Software Support de las siguientes maneras: v IBM Support Assistant: Puede buscar información sobre un problema y recopilar la información registrada necesaria para resolver un problema utilizando IBM Support Assistant. También puede utilizarlo para abrir un informe de gestión de problemas (PMR) en línea. También es útil utilizar IBM Support Assistant para notificar un problema a IBM Software Support. Necesita su ID de cuenta de usuario y contraseña para enviar un PMR a través de IBM Support Assistant. El cliente de IBM Support Assistant está incluido en el CD del producto y puede descargarse actualizaciones desde el siguiente sitio web: http://www.ibm.com/software/support/isa/ v En línea: Vaya al separador Enviar y Rastrear problemas en el sitio de IBM Software Support en http://www.ibm.com/software/support/probsub.html. Escriba la información en la herramienta de envío de problemas adecuada. v Por teléfono: para saber el número al que llamar en su país, vaya a la página de contactos de IBM Software Support Handbook en http:// www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html y pulse el nombre de su área geográfica. Si el problema que ha enviado es un defecto de software, de falta de contenido o documentación imprecisa, IBM Software Support creará un Informe autorizado de análisis de programa (APAR). El APAR describe el problema de forma detallada. Siempre que sea posible, IBM Software Support proporciona una solución provisional que se puede implementar hasta que se resuelva el APAR y se ofrezca un arreglo. IBM publica los APAR resueltos en el sitio web de soporte de software a diario, para que los otros usuarios que experimenten el mismo problema pueden beneficiarse de la misma resolución. Antes de enviar un problema al Soporte de Sofware deIBM, responda a estas preguntas: 1. ¿Dispone de un contrato de mantenimiento de software de IBM activo? 2. ¿Comprende el impacto empresarial que puede suponer el problema? 3. ¿Podría describir el problema? Visión general de ISA IBM Support Assistant simplifica el proceso de investigar y notificar problemas de software. IBM Support Assistant proporciona un acceso rápido a las herramientas de capacidad de servicio y de información relacionada con el soporte para la determinación de problemas. IBM Support Assistant cuenta con tres herramientas: Búsqueda Utilice varios filtros para centrar su búsqueda a fin de acceder rápidamente a la información de repositorio de resolución de problemas. La herramienta © Copyright IBM Corp. 2006, 2013 65 de búsqueda concurrente abarca la mayor parte de la documentación de IBM y devuelve los resultados que están clasificados según el origen para facilitar su revisión. Enlaces de información del producto Estos enlaces de autoayuda incluyen: v Páginas de soporte del producto v Páginas de presentación del producto v Guías de resolución de problemas del producto v Hojas de ruta de formación del producto e IBM Education Assistant v Actualizaciones de productos v Foros y grupos de noticias de productos Característica de servicio La característica de servicio es un recopilador automatizado del sistema y un recopilador basado en síntomas. El recopilador del sistema reúne información general del sistema operativo, el registro y otras fuentes. El recopilador basado en síntomas reúne información específica del producto relativa a un problema concreto que está teniendo. Utilice la característica de servicio para establecer automáticamente el rastreo a fin de ayudar al soporte de IBM en el proceso de recopilación de datos. La característica de servicio también permite enviar un problema en línea a IBM Software Support. Especifique una vez la información de titularidad y guárdela para futuras sesiones. Puede crear un informe del problema para IBM y adjuntar los datos recopilados en un archivo de recopilación. IBM Support Assistant ofrece una guía de usuario completa y en línea que le ayudará en la configuración y uso de la herramienta. Los siguientes pasos describen el procedimiento básico para configurar el sistema para que utilice IBM Support Assistant: 1. Instale la herramienta IBM Support Assistant desde el CD del producto o desde el siguiente sitio web: http://www.ibm.com/software/support/isa/ 2. En un repositorio de software de IBM, localice el conector de IBM Support Assistant para la versión de WebSphere Application Server que está ejecutando. El conector de Tivoli Federated Identity Manager utiliza el conector de WebSphere Application Server como código base. 3. 4. 5. 6. 66 Nota: Tenga paciencia al descargar el conector de WebSphere Application Server; puede tardar bastante tiempo en función del tráfico de la red y de la disponibilidad de los recursos del sistema. Instale el conector de WebSphere Application Server en el subdirectorio \plugin del directorio de instalación de IBM Support Assistant. Busque el conector de IBM Support Assistant para Tivoli Federated Identity Manager en el CD del producto o en un repositorio de software de IBM. Instale el conector de IBM Support Assistant en el subdirectorio \plugin del directorio de instalación de IBM Support Assistant. Pulse el icono de escritorio de IBM Support Assistant para iniciarlo. Seleccione el separador Guía de usuario para obtener información sobre cómo realizar las distintas tareas disponibles. IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Contratos de mantenimiento de software de IBM Asegúrese de que su empresa tiene un contrato de mantenimiento activo antes de enviar un problema a IBM Software Support. Asegúrese de que también esté autorizado a enviar problemas a IBM. Si no está seguro del tipo de contrato de mantenimiento de software que necesita, llame a 1-800-IBMSERV (1-800-426-7378) en Estados Unidos. Desde otros países, vaya a la página Contactos de IBM Software Support Handbook en http://www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html, y pulse el nombre de su región geográfica para obtener los números de teléfono de las personas que ofrecen soporte en su zona. Determinación del impacto empresarial Cuando envíe un problema a IBM, se le pedirá que proporcione un nivel de gravedad. Por lo tanto, debe comprender y evaluar el impacto empresarial del problema que está notificando. Utilice los criterios siguientes: Tabla 13. Niveles de gravedad Gravedad 1 El problema tiene un impacto empresarial crítico: No puede utilizar el programa, lo que produce un impacto crítico en las operaciones. Esta condición requiere una solución inmediata. Gravedad 2 Este problema tiene un impacto empresarial significativo: El programa es utilizable, pero está gravemente limitado. Gravedad 3 El problema tiene algún impacto empresarial: El programa es utilizable, pero las características menos significativas (no críticas para las operaciones) no están disponibles. Gravedad 4 El problema tiene un impacto empresarial mínimo: el problema ejerce un impacto mínimo en las operaciones, o se ha implementado una solución alterna razonable al problema. Descripción de un problema Cuando describa un problema en IBM, sea lo más específico posible. Incluya toda la información de fondo relevante para que el especialista de IBM Software Support pueda ayudarle a solucionar el problema de manera eficaz. Para ahorrar tiempo, busque la respuesta a estas preguntas: v ¿Qué versiones de software ejecutaba cuando se ha producido el problema? v ¿Tiene anotaciones, rastreos y mensajes que estén relacionados con los síntomas del problema? v ¿Puede recrear el problema? Si es así, ¿qué pasos realiza para reproducir el problema? v ¿Ha modificado alguna cosa del sistema? Por ejemplo, ¿ha modificado algo del hardware, del sistema operativo, del software de red o de otros componentes del sistema? v ¿Utiliza actualmente una solución temporal para el problema? Si es así, esté preparado para describir la solución temporal cuando informe del problema. Capítulo 9. Contacto con el soporte técnico 67 Envío de datos Puede enviar datos de diagnóstico, por ejemplo archivos de registro y archivos de configuración, a IBM Software Support. Utilice uno de los siguientes métodos: v IBM Support Assistant v FTP (EcuRep) v Herramienta ESR IBM Support Assistant IBM Support Assistant incluye una función que tiene un recopilador de sistema automatizado y un recopilador basado en síntomas. El recopilador del sistema reúne información general del sistema operativo, el registro y otras fuentes. El recopilador basado en síntomas reúne información específica del producto relativa a un problema concreto que está teniendo. La función de servicio también permite establecer automáticamente el rastreo para ayudar al servicio de soporte de IBM en el proceso de recopilación de datos. Consulte “Visión general de ISA” en la página 65 para obtener más información acerca de IBM Support Assistant. FTP (EcuRep) Utilice el servicio FTP denominado EcuRep para enviar archivos de datos a IBM. Empaquete los archivos de datos que ha recopilado en formato ZIP o RAR y denomine el paquete según su identificador de Registro de gestión de problemas (PRM). El nombre del archivo debe utilizar el siguiente convenio de denominación para que pueda asociarse correctamente con el PMR: xxxxx.bbb.ccc.yyy.yyy donde: Tabla 14. Convención de denominación de archivos xxxxx Número de PMR bbb Ramificación del identificador PMR ccc Código de país del identificador PMR yyy.yyy Tipo de archivo (formato ZIP o TAR) Utilice FTP para transferir los archivos y siga estos pasos: 1. Mediante un programa de utilidad FTP, conéctese al servidor emea.ibm.com (por ejemplo, ftp.emea.ibm.com). 2. Inicie sesión como usuario anónimo. 3. Escriba la dirección de correo electrónico y la contraseña. 4. Vaya el directorio toibm (por ejemplo, cd toibm). 5. Vaya a uno de los subdirectorios específicos de la plataforma: aix, cae, hw, linux, lotus, mvs, os2, os400, swm, tivoli, unix, vm, vse y windows. 6. Cambie a la modalidad binaria (bin) (por ejemplo, bin). 7. Ponga el archivo en el servidor. Puede enviar pero no actualizar los archivos en el servidor FTP. Por lo tanto, en cualquier momento posterior que debe cambiar el archivo, se crea un archivo con un nombre exclusivo. 68 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Para obtener más información sobre el servicio EcuRep, consulte IBM EMEA Centralized Customer Data Store Service en http://www.ibm.com/de/support/ ecurep/index.html. Herramienta ESR Los usuarios registrados que están en una lista de emisores autorizados pueden utilizar la herramienta Electronic Service Request (ESR) para enviar datos de diagnóstico. Utilice la herramienta ESR para enviar y gestionar registros de gestión de problemas (PMR) según el orden, 24 horas al día, siete días a la semana y 365 días al año. Para enviar datos utilizando ESR, siga estos pasos: 1. Inicie sesión en ESR. 2. En la página de bienvenida, especifique el número de PMR en el campo Enter a report number y pulse Go. 3. Desplácese hasta el campo Attach Relevant File. 4. Pulse Examinar para localizar el archivo de registro, de rastreo u otro tipo de archivo de diagnóstico que desee enviar a IBM Software Support. 5. Pulse Enviar. El archivo se envía a IBM Software Support mediante FTP y se asocia con su PMR. Capítulo 9. Contacto con el soporte técnico 69 70 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Avisos Esta información se ha desarrollado para productos y servicios que se ofrecen en EE.UU. Es posible que en otros países IBM no ofrezca los productos, los servicios o las características que se describen en este documento. Consulte con el representante local de IBM para obtener información acerca de los productos y servicios que actualmente están disponibles en su localidad. Las referencias a productos, programas o servicios de IBM no pretenden establecer ni implicar que sólo puedan utilizarse dichos productos, programas o servicios de IBM. En su lugar se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no vulnere los derechos de propiedad intelectual de IBM. Sin embargo, es responsabilidad del cliente evaluar y verificar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patente pendientes de aprobación que cubran alguno de los temas tratados en este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes. Puede enviar las consultas sobre licencias, por escrito, a la siguiente dirección: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 EE. UU. Para consultas sobre licencias relativas a la información de doble byte (DBCS), póngase en contacto con el departamento de propiedad intelectual de IBM de su país o envíe sus consultas, por escrito, a: Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan, Ltd. 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japón El siguiente párrafo no se aplica al Reino Unido ni a ningún otro país donde estas disposiciones sean incoherentes con la legislación local: INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGUNA CLASE, NI EXPLÍCITA NI IMPLÍCITA, QUE INCLUYE, PERO NO SE LIMITA A, LAS GARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, MERCANTILIZACIÓN O ADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunos estados no permiten la declaración de limitación de responsabilidad de las garantías implícitas o explícitas en determinadas transacciones y, por lo tanto, es posible que esta declaración no sea aplicable en su caso. Esta información puede contener errores tipográficos o inexactitudes técnicas. Periódicamente se efectúan cambios en la información aquí contenida; estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puede realizar en cualquier momento mejoras o cambios en los productos o programas descritos en esta publicación sin previo aviso. © Copyright IBM Corp. 2006, 2013 71 Cualquier referencia en esta información a sitios Web que no sean de IBM se proporciona, únicamente, a efectos de comodidad y no sirve, en modo alguno, de endoso de dichos sitios Web. El contenido de esos sitios web no forma parte del contenido de este producto de IBM, por lo que la utilización de dichos sitios es responsabilidad del usuario. IBM puede utilizar o distribuir cualquier información que se le proporcione en la forma que considere adecuada, sin incurrir por ello en ninguna obligación para usted. Los propietarios de una licencia de este programa que deseen obtener información sobre él con el fin de permitir: (i) el intercambio de información entre programas creados de forma independiente y otros programas (incluido éste) y (ii) el uso mutuo de la información intercambiada, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 EE. UU. Dicha información puede estar disponible, sujeta a los términos y condiciones correspondientes, incluyendo, en algunos casos, el pago de una tarifa. El programa bajo licencia descrito en este documento y todo el material bajo licencia disponible, los proporciona IBM según los términos del Acuerdo de cliente de IBM, del Acuerdo internacional de programas bajo licencia de IBM o de cualquier otro acuerdo equivalente entre ambas partes. Cualquier información de rendimiento contenida aquí fue determinada en un entorno controlado. Por tanto, los resultados obtenidos en otros entornos operativos pueden variar de forma significativa. Algunas mediciones pueden haberse realizado en sistemas en nivel de desarrollo y no existe garantía alguna de que estas mediciones sean iguales en los sistemas de disponibilidad general. Además, algunas mediciones pueden haberse estimado mediante extrapolación. Los resultados reales pueden variar. Los usuarios de este documento deben verificar los datos aplicables a sus entornos específicos. La información relativa a los productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados u otras fuentes disponibles públicamente. IBM no ha comprobado estos productos y no puede confirmar la precisión de su rendimiento, compatibilidad ni contemplar ninguna otra reclamación relacionada con productos que no son de IBM. Las consultas acerca de las posibilidades de los productos no IBM deben dirigirse a los proveedores de los mismos. Todas las declaraciones relativas a las intenciones futuras de IBM están sujetas a cambios o cancelaciones sin previo aviso y únicamente representan planes y objetivos. Todos los precios de IBM que se muestran son precios de distribución sugeridos por IBM, actuales y sujetos a cambios sin previo aviso. Los precios de los distribuidores pueden variar. Está información está concebida únicamente para ser utilizada de modo orientativo. La información contenida en el presente documento está sujeta a cambios antes de que los productos descritos salgan al mercado. 72 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Esta información cuenta con ejemplos de datos e informes que se utilizan en operaciones de negocios a diario. Para ilustrarlos de la forma más completa posible, los ejemplos incluyen los nombres de personas, compañías, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con nombres y direcciones utilizados en una empresa comercial real es pura coincidencia. LICENCIA DE COPYRIGHT: Esta información contiene programas de aplicación de muestra en lenguaje fuente, que ilustran las técnicas de programación en distintos plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propósito de desarrollo, uso, comercialización o distribución de dichos programas de aplicación en conformidad con la interfaz de programación de aplicaciones que corresponde a la plataforma operativa para la que se han escrito dichos programas de ejemplo. Estos ejemplos no se han probado exhaustivamente bajo todas las condiciones. Por lo tanto, IBM no puede garantizar ni dar a entender la fiabilidad, utilidad o funcionamiento de dichos programas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin necesidad de efectuar ningún pago a IBM con el fin de desarrollar, utilizar, comercializar o distribuir los programas de aplicación que se ajusten a las interfaces de programación de aplicaciones de IBM. Si ve esta información en copia software, es posible que las fotografías y las ilustraciones en color no se vean. Marcas registradas IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales registradas de International Business Machines Corp., patentadas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y de servicios pueden ser marcas registradas de IBM o de otras empresas. La página web www.ibm.com/legal/copytrade.shtml, titulada Copyright and trademark information (Información de copyright y marcas registradas) contiene una lista actualizada de las marcas registradas de IBM. Adobe, Acrobat, PostScript y todas las marcas de Adobe son marcas registradas o marcas comerciales registradas de Adobe Systems Incorporated en Estados Unidos, otros países o ambos. IT Infrastructure Library es una marca registrada de la Agencia Central de Telecomunicaciones y Computación (CCTA, UK), actualmente parte de la OGC (Office of Government Commerce, UK). Intel, el logotipo de Intel, Intel Inside, el logotipo de Intel Inside, Intel Centrino, el logotipo de Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium y Pentium son marcas registradas de Intel Corporation o de sus subsidiarias en los Estados Unidos y/o en otros países. Linux es una marca registrada de Linus Torvalds en los Estados Unidos y otros países. Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos, en otros países o en ambos. Avisos 73 ITIL es una marca registrada y una marca de comunidad registrada de Office of Government Commerce, y está registrada en la oficina de patentes y marcas registradas de los Estados Unidos (U.S. Patent and Trademark Office). UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países. Java y todas las marcas registradas y logotipos basados en Java son marcas registradas de Sun Microsystems, Inc. en Estados Unidos o en otros países. Cell Broadband Engine es una marca registrada de Sony Computer en Estados Unidos y/o en otros países y se utiliza bajo licencia. Linear Tape-Open, LTO, el logotipo de LTO, Ultrium y el logotipo de Ultrium son marcas registradas de HP, IBM Corp. y Quantum en Estados Unidos y en otros países. Otros nombres de compañías, productos o servicios pueden ser marcas registradas o de servicio de otros. 74 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Índice A accesibilidad viii activity.log configuración 55 Nombre predeterminado de registro de servicio de IBM 52 actualizaciones de productos visión general 6 agente de nodo resolución de problemas de descubrimiento de 43 API de WebSphere invocar método 45 aplicación de gestión resolución de problemas 32 archivo de tabla de claves resolución de problemas 17 archivos de datos empaquetado utilizando EcuRept 68 archivos de registro grabar 18 permisos 16 archivos EAR ubicación 32 archivos JAR resolución de problemas 15 arreglo IY93387 error de validación de mensaje 35 arreglos obtener 47 ubicación 6 visión general 47 arreglos de productos visión general 6 B bases de conocimiento buscar 49 bloqueos visión general 8 C cambios de configuración resolución de problemas 33 caracteres de idioma nacional uso en nombre de federación 17 CLI no funcionará después de la instalación 14 clúster despliegue de clúster vertical 42 clúster de WebSphere agente de nodo no descubierto 43 clúster vertical de WebSphere desplegar 42 componentes de rastreo habilitación 57 conectividad resolución de problemas 5 © Copyright IBM Corp. 2006, 2013 consola de gestión resolución de problemas de varias instancias 32 contratos de mantenimiento visión general 67 contratos de mantenimiento de software visión general 67 convenios tipo de letra x convenios de tipo de letra x D datos recopilar para un problema datos de diagnóstico envío 69 datos de registro analizar 63 directorio ITFIM_WSSM añadir archivos 16 añadir subdirectorios 16 51 IBM Support Assistant (continuación) visión general 65 IBM Support Assistant (ISA) utilización 59 informe autorizado de análisis de programa (APAR) buscar 49 integrated solutions console problemas 31 resolución de problemas 28 interrupciones visión general 8 ITFIMManagementService.ear uso del archivo de servicio de gestión 32 ITFIMRuntime.ear uso del archivo de ejecución 32 L la interfaz de línea de mandatos no funciona después de la instalación E M en línea publicaciones v terminología v error de instalación de Solaris 13 error de instalación en Solaris 13 errores de carga de clases ClassDefNotFoundErrors 44 ClassNotFoundExceptions 44 estado de ejecución consultar 34 mandato cacls.exe usar 18 mandato errpt uso 51 mandatos calcs.exe 51 errpt 51 wsadmin 51 máquina virtual Java (JVM) arreglar error IY93387 35 mensajes errores 7 tipos 52 mensajes de error visión general 7 F finalizaciones anómalas visión general 8 fixpack visión general 6 formación Véase formación técnica de Tivoli formación, técnica de Tivoli ix formación técnica de Tivoli ix H Herramienta Electronic Service Request (ESR) uso 69 I IBM Software Support contactar 65 IBM Support Assistant envío de datos a 68 14 N nombres de componentes de rastreo comprender 57 nombres de directorio, notación x nombres de federación uso de caracteres válidos 17 nombres de vía de acceso, notación x notación nombres de vía de acceso x tipo de letra x variables de entorno x notas técnicas buscar 49 notificaciones de arreglos obtener 47 recepción 47 75 O operación error de validación de mensaje operación de despliegue error 41 operaciones resolución de problemas 29 osgiConsole (OSGi) depurar 44 35 P paquete de renovación visión general 6 personalización método API de WebSphere 45 registros de error de OSGi 45 resolución de paquete OSGi 44 problemas describir 67 envío de datos a IBM 68 informe 67 niveles de gravedad 67 obtención de información 3 obtener síntomas 3 recopilar datos específicos 51 recopilar datos generales 51 problemas de conectividad visión general 5 problemas de configuración caracteres de idioma nacional 17 directorio ITFIM_WSSM 16 espacios en la vía de acceso de archivo de tabla de claves 17 valores de propiedad de SSL 16 problemas de consola cambios de configuración 33 detener WebSphere Application Server 29 iniciar WebSphere Application Server 29 operaciones incompletas 29 problemas de despliegue agente de nodo 43 clúster vertical de WebSphere 42 tiempo de espera excedido de SOAP (Simple Object Access Protocol) 42 visión general 41 problemas de rendimiento resolución de problemas 7 visión general 7 publicaciones acceder en línea v lista para este producto v realizar pedidos viii relacionadas vii R realizar pedidos de publicaciones viii Registro de IBM Service configuración 55 Registro de JVM vía de acceso de archivo 53 registro de la máquina virtual Java (JVM) configuración 55 76 Registro de servicio de IBM vía de acceso 53 registros analizar datos 63 habilitación del rastreo en el inicio del servidor 56 habilitar rastreo en un servidor en ejecución 57 nombres de archivo 53 rastreo 54 tipos de mensaje 52 ubicaciones 54 ver 58 registros de error de OSGi ubicación 45 registros de error de osgiConsole (OSGi) ubicar directorio 45 registros de mensaje configuración 55 visión general 52 registros de rastreo habilitación 56 uso de nombres de archivo 54 visión general 53 resolución de paquete OSGi depurar 44 resolución de problemas desinstalación 15 instalación 13, 14 lista de comprobación 1 obtener síntomas 3 proceso 1 resolución de problemas de software buscar 47 S servicio de gestión resolución de problemas 33 servicio EcuRep uso 68 Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) espacios de vía de acceso de archivo de tabla de claves 17 Simple Object Access Protocol (SOAP) tiempo de espera excedido 42 soluciones visión general 13 soporte contactar 65 soporte de manuales visión general 67 soporte de software contactar 65 SPNEGO configurar espacios en la vía de acceso de archivo de tabla de claves 17 SystemOut.log registros de mensaje 52 U Utilizaciónde IBM Support Assistant uso 59 V valores de propiedad de la capa de sockets segura (SSL) configuración 16 valores de propiedad de SSL alterar temporalmente otros valores de propiedad 16 configuración para el servicio de auditoría 16 valores de registro configuración 55 valores de seguridad volver a configurar 29 variables, notación para x variables de entorno, notación x W WebSphere Application Server detener desde la línea de mandatos 29 instalación de varias consolas 32 problemas de consola 29 reiniciar tras volver a configurar valores de seguridad 29 resolución de problemas de servicio de gestión 33 resolución de problemas de varias instancias de la consola de gestión 32 visualizar la aplicación de ejecución o gestión 32 wsadmin mediante 34 T terminología v tiempo de ejecución problema 35 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de resolución de problemas Impreso en España GC11-8432-02