Cisco Unified Communications Manager Release 10.0(1) での IM and Presence Service の設定と管理
シングル サインオンのトラブルシューティング
シングル サインオンのトラブルシューティング

目次

シングル サインオンのトラブルシューティング

セキュリティ信頼エラー メッセージ

問題    シングル サインオン機能を有効にすると、「Security trust error(セキュリティ信頼エラー)」というメッセージが表示されます。
考えられる原因    IM and Presence Service ノードで OpenAM ノードが信頼されない原因としてセキュリティ証明書の問題が考えられます。
解決法    Java をインストールしたときに選択したアプローチであった場合の OpenAM 自己署名証明書、ならびに、Java をインストールしたときに選択したアプローチであった場合に OpenAM 証明書に署名したルート証明書および中間証明書が IM and Presence Service ノード、および 再起動した IM and Presence Service ノードの Tomcat サービスにアップロードされていることを確認します。また、SSO を有効にしたときに正しい OpenAM URL が GUI で指定されていることも確認する必要があります。OpenAM URL はポート番号を指定した完全修飾ドメイン名である必要があります。たとえば、https://openam-01.corp28.com:8443/opensso などです。

「Invalid Profile Credentials(プロファイル クレデンシャルが無効です)」メッセージ

問題    SSO を有効にすると、「Invalid Profile Credentials(プロファイル クレデンシャルが無効です)」というメッセージが表示されます。
考えられる原因    IM and Presence Service ノード J2EE エージェントに誤った名前とパスワードを指定している可能性があります。
解決法    OpenAM サーバの J2EE エージェント プロファイル用に設定された名前とパスワードの値を確認します。これらの値は、SSO を有効にするときに指定する必要があります。

「モジュール名が無効です(Module Name Is Invalid)」というメッセージ

問題    シングル サインオンを有効にすると、「Module Name is Invalid(モジュール名が無効です)」というメッセージが表示されます。
考えられる原因    SSO モジュール インスタンスに誤った名前を指定している可能性があります。
解決法    SSO モジュール インスタンスを設定する手順を確認します。

「Invalid OpenAM Access Manager (Openam)Server URL(OpenAM Access Manager(Openam)サーバ URL が無効です)」メッセージ

問題    シングル サインオンを有効にすると、「'Invalid OpenAM Access Manager (Openam) Server URL(OpenAM Access Manager(Openam)サーバ URL が無効です)」というメッセージが表示されます。
考えられる原因    SSO を有効にしたときに GUI または CLI で指定した OpenAM URL が誤っていた可能性があります。
解決法    SSO を有効にしたときに GUI で指定した OpenAM URL が正しいことを確認します。OpenAM URL はポート番号を指定した完全修飾ドメイン名である必要があります。たとえば、https://server1.cisco.com:8443/opensso などです。また、OpenAM サーバが稼動中であり、OpenAM 管理 GUI にアクセスできることを保証する必要があります。

Web ブラウザに 401 エラーが表示される

問題    IM and Presence ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに HTTP 401 エラー コードが表示されます。
考えられる原因    ユーザのブラウザの設定に問題がある可能性があります。
解決法    シングル サインオン用にクライアント ブラウザを設定する手順を確認します。

Web ブラウザに 403 エラーが表示されたり、空白の画面が表示される

問題    IM and Presence Service ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに HTTP 403 エラー コードや空白の画面が表示されます。
考えられる原因    この IM and Presence Service ノード用の OpenAM ポリシーの設定に問題がある可能性があります。
解決法    この IM and Presence Service ノードの 6 個のポリシー規則をすべて追加し、すべてのポリシー規則が GET/POST アクションで有効になっていることを確認します。また、サブジェクトをポリシーに追加したことを確認する必要があります。

「User is not Authorized to Perform this Function(ユーザはこの機能を実行する権限がありません)」エラー メッセージ

問題    Web アプリケーションにアクセスし、ページにアクセスしようとすると、「User is not Authorized to Perform this Function(ユーザはこの機能を実行する権限がありません)」というメッセージが表示されます。
考えられる原因    IM and Presence Service に割り当てられているユーザの権限に問題がある可能性があります。
解決法    IM and Presence Service Web アプリケーションへのアクセスに失敗する場合は、そのユーザが、標準 CCM スーパー ユーザ グループ、またはこの IM and Presence Service ノードで同等な役割を持つグループのメンバーであることを確認します。

Web ブラウザに HTTP 404 エラーが表示される

問題    IM and Presence Service ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに HTTP 404 エラー コードが表示されます。
考えられる原因    この IM and Presence Service ノード用の OpenAM ポリシー設定、または OpenAM J2EE エージェントの設定のいずれかに問題がある可能性があります。
解決法    ホスト名のみを含む URL を使用してこの IM and Presence Service ノードにアクセスしようとしていないことを確認します。これは、Web アプリケーションに対して SSO が有効になっている場合はサポートされません。この IM and Presence Service ノードのポリシー ルールを確認します。また、OpenAM サーバのこの IM and Presence Service の J2EE エージェント設定にログイン処理 URI を追加したことも確認します。

Web ブラウザに HTTP 500 エラーが表示されたり、空白の画面が表示される

問題    IM and Presence Service ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに HTTP 500 エラー コードや空白の画面が表示されます。
考えられる原因    この IM and Presence Service ノード用の OpenAM J2EE エージェントの設定に問題がある可能性があります。
解決法    1)このノードの J2EE エージェントのログイン処理 URL を追加したこと、および 2)[OpenAM Services] タブにログイン処理 URL を追加し、その他すべてのログイン URL を削除したことを確認します。

「Authentication Failed(認証に失敗しました)」メッセージ

問題    IM and Presence Service ノード用の SSO 対応 Web アプリケーションにアクセスすると、「Authentication failed(認証に失敗しました)」というメッセージを示す OpenAM ログイン画面が表示されます。
考えられる原因    WindowsDesktopSSO のログイン モジュールに問題がある可能性があります。
1)すべての SSO モジュール インスタンスの設定が正しいこと、2)指定したディレクトリにキータブ ファイルが存在すること、および 3)クロックが次のデバイスに対して同期化されていることを確認します。
  • 解決法    ユーザの Windows ベースのコンピュータ
  • 解決法    Active Directory
  • 解決法    OpenAM サーバ
  • 解決法    IM and Presence Service ノード

Web ブラウザに OpenAM のログイン画面が表示される

問題    IM and Presence Service ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに OpenAM のログイン画面が表示されます。
考えられる原因    この IM and Presence Service ノード用の OpenAM J2EE エージェントの設定に問題がある可能性があります。
解決法    ログイン URL を [OpenAM Services ]タブに追加し、他のすべてのログイン URL を除外したことを確認します。

Web ブラウザに IM and Presence Service のログイン画面が表示される

問題    IM and Presence Service ノードの SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに Web アプリケーションのログイン画面が表示されます。
考えられる原因    この IM and Presence Service ノード用の OpenAM J2EE エージェントの設定に問題がある可能性があります。
解決法    この IM and Presence Service ノードの J2EE エージェントの ログイン処理 URL を追加したことを確認してください。

ユーザ名とパスワード用の Internet Explorer のプロンプト

問題    IM and Presence Service ノード用の SSO 対応 Web アプリケーションにアクセスすると、Internet Explorer Web ブラウザがユーザ名とパスワードの入力を求めるメッセージを表示します。
考えられる原因    ユーザのブラウザの設定に問題がある可能性があります。
解決法    シングル サインオン用にクライアント ブラウザを設定する手順を確認します。

「User has no profile on this organization(ユーザにこの組織のプロファイルはありません」メッセージ

問題    IM and Presence Service ノード用の SSO 対応 Web アプリケーションにアクセスすると、Web ブラウザに「User has no profile on this organization(ユーザにこの組織のプロファイルはありません)」というメッセージが表示された OpenAM 画面が表示されます。
考えられる原因    OpenAM ユーザ プロファイルが [無視(ignored)] に設定されていない可能性があります。
解決法    GUI コンフィギュレータを使用して OpenAM を設定する手順を参照してください。

SSO 有効化の問題

問題    SSO 機能を有効にできません。
考えられる原因    OpenAM サーバが展開されている Tomcat インスタンスが応答しない、または突然シャットダウンした場合は、IM and Presence Service のSSO 機能を有効にできないことがあります。SSO を IM and Presence Service で正常に有効にするには、OpenAM が動作可能である必要があります。IM and Presence は OpenAM Tomcat インスタンスを監視しません。その結果、この発生に対して IM and Presence Service アラームまたは通知は生成されません。
解決法    Cisco Unified IM and Presence オペレーティング システムの管理 GUI から SSO を有効にできない場合は、OpenAM サーバで Tomcat が実行されていることを確認します。OpenAM サーバで Tomcat が実行されていることを確認した後も問題が引き続き発生する場合は、OpenAM サーバで Tomcat を再起動し、もう一度 SSO を有効にしてみてください。 解決法    OpenAM サーバで Tomcat がクラッシュすると、OpenAM が応答不能状態になり、これが IM and Presence Service に通知されない場合があります。

証明書エラー

問題    OpenAM と IM and Presence Service 間の通信を確認するために、証明書インポート ツールを使用すると、「Verify SSL connectivity to the specified certificate server(指定した証明書サーバへの SSL 接続の確認)」テストでエラーが発生する場合があります。このテストは、「The Troubleshooter has encountered an internal error(トラブルシュータで内部エラーが検出されました)」というエラーで失敗する可能性があります。
考えられる原因    このエラーは、OpenAM/Tomcat インスタンスが HTTP コネクタを設定した方法が原因である場合があります。

解決法    次の手順を実行し、証明書のエラーを解決します。

  1. OpenAM/Tomcat サーバで server.xml コンフィギュレーション ファイルを検索します。通常、このファイルには次の場所からアクセスできます。

    C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml

  2. ポート値が 8443 の [コネクタ(Connector)][clientAuth] 属性の値セットを確認します。この属性が True に設定されていると、証明書インポート ツールが失敗する可能性があります。

  3. [clientAuth] 属性を [want] または [false] に変更します。

  4. OpenAM サーバの Tomcat サービスを再起動します。

  5. 証明書インポート ツールを再実行し、IM and Presence Service に OpenAM 証明書をインポートします。

  6. clientAuth 属性を元の値に戻します。

  7. OpenAM サーバの Tomcat サービスを再起動します。