トラブルシューティング: 問題と解決方法

このトピックでは、 に関する一般的な問題のトラブルシューティングのサポートを提供します。
gateway10
このトピックでは、
Layer7 API Gateway
に関する一般的な問題のトラブルシューティングのサポートを提供します。
目次
問題: CentOS 7 の問題
CentOS/RHEL 6.x の管理コマンドが動作しない
解決方法
: CentOS/RHEL 6.x の操作に慣れていて、アプライアンス Gateway バージョン 10.0+ のベース OS である CentOS 7 に移行する場合、root シェルでタスクを実行するときに、新しい Linux 管理コマンドを使用することが必要になる場合があります。 この移行に役立つ外部リソースとして、Red Hat 社が提供するこのチート シートがあります。
ホストに SSH 接続できない
解決方法
: 現在接続されているネットワーク デバイスを
ip a
コマンドで一覧表示し、プライマリ ネットワーク インターフェースが「ssg_eth0」という名前に変更されていることを確認します。 問題が解決しなかった場合は、iptables/ip6tables に「ssg_eth0」というエントリが含まれていることも確認してください。
「ssg_eth0」の ifcfg ファイルはどこにありますか。
解決方法
: ifcfg ファイルは
/etc/sysconfig/network-scripts/
にあります。 ただし、ifcfg ファイルには一貫性のある名前(「ifcg-ens160」など)が付いていることに注意してください。 Gateway では、ネットワーク設定ファイルの名前は変更されませんが、これらのファイルの NAME および DEVICE 属性は、新しい「ssg_eth#」の名前に変更されます。 ifcfg ファイルの NAME および DEVICE 属性を表示するには、
more
または
cat
コマンドを使用します。
問題: Gateway が再起動しない
LDAP ユーザとして Gateway にログインし、新しい認証設定ファイルをインポートしました。 「R」オプションを使用して再起動しようとしましたが、再起動されません。
解決方法:
認証方式を変更すると、マシンを再起動する権限が失われます。 以下のいずれかのアクションを実行します。
  • ssgconfig
    ユーザとしてログインし、[
    R
    ]( Reboot the SSG appliance)を選択します。
  • vSphere クライアントの場合は、[
    Restart Guest
    ]を選択します。
    警告:
    データが消失する可能性があるため、vSphere クライアントでは[Reset]オプションを使用しないでください。
問題: 復元後に Gateway が正しく実行されない
ssgrestore.sh
コマンドを使用して
Layer7 API Gateway
を復元しました。 その後、Policy Manager から Gateway に接続できなくなりました。 詳しく調べてみると、
gateway.jar
ファイルが実行されていないことと、Gateway のログ ファイルに情報が記録されていないことがわかりました。 (SSG-9735)
解決方法:
以下の手順に従います。
  1. 特権シェルを開き、以下のディレクトリに移動します。
    cd /opt/SecureSpan/Gateway/node/default/etc/conf/
  2. 以下のコマンドを実行します。
    # chmod g+r *
  3. Layer7 API Gateway
    を再起動します。 これで、正常に接続できるようになります。
問題: カスタム インストール後に Gateway が起動しない
カスタム インストールを完了した後に、Gateway が起動せず、以下のエラーが発生します。
Error: Unable to start the server: Error starting server: Error creating bean with name 'liquibaseManager' defined in class path resource: Constructor threw exception; nested exception is java.lang.RuntimeException: Could not find liquibase folder: /opt/SecureSpan/Gateway/config/etc/db?
解決方法:
/opt/SecureSpan/Gateway/node/default/etc/conf/
system.properties:
を開きます。
  1. com.l7tech.server.dbScriptsDirectory
    システム プロパティを追加し、データベース スクリプトのディレクトリを指定します。
  2. Gateway を再起動します。
デフォルトのスクリプト ディレクトリは、${ssgBase}${fs}Gateway${fs}config${fs}etc${fs}db または /opt/SecureSpan/Gateway/config/etc/db です。
問題: OAuth ポリシーを削除すると依存関係エラーが発生する
OAuth ポリシーを削除すると、多数の「dependency」エラーが発生し、それらを一度に 1 つずつ確認する必要があります。 これを回避するにはどうすればいいですか。
解決方法:
これは Policy Manager の検証チェックの結果であり、カプセル化されたアサーションのバッキング ポリシーとして現在機能しているポリシー フラグメントが削除されたことを警告しています。 依存関係エラーを個別に確認することを回避するには、最初に OAuth Toolkit に関連するカプセル化されたアサーションをすべて削除します。 これを行うには、カプセル化されたアサーションの管理タスクを使用します。 上級ユーザは、RESTMan サービスを使用して OAuth フォルダを削除することによって、このエラーを回避することもできます。 (SSM-5068)
問題: ソフトウェア アプライアンス(VMware)の低速のシャットダウンと起動
複数の月次およびリリース プラットフォーム パッチを適用したときに、ソフトウェア アプライアンス(VMware)のシャット ダウンおよび起動時間が著しく遅くなります。
解決方法:
VMware Tools を更新します。
問題: JDBC 接続障害
接続の急増のため、サーバが DDOS 攻撃を受けていると判断するため、データベースへの JDBC 接続が失敗します。
解決方法:
Layer7 API Management OAuth Toolkit または Layer7 Mobile API Gateway を使用する場合は特に、以下の推奨設定を使用します。
  • 以下の JDBC クラスタ プロパティが同じ値に設定されていることを確認します。
    jdbcConnection.pooling.maxPoolSize.defaultValue
    jdbcConnection.pooling.minPoolSize.defaultValue
  • JDBC 接続用の以下の追加のプロパティを設定します。
    • プロパティ名:
      maxIdleTime
      プロパティ値:
      0
      C3P0 プール プロパティを設定するには:
      selected
    • プロパティ名:
      maxConnectionAge
      プロパティ値:
      0
      C3P0 プール プロパティを設定するには:
      selected
    • プロパティ名:
      idleConnectionTestPeriod
      プロパティ値:
      600
      C3P0 プール プロパティを設定するには:
      selected
    • プロパティ名:
      EnableCancelTimeout
      プロパティ値:
      true
      C3P0 プール プロパティを設定するには:
      selected
  • Oracle DB を使用している場合、追加のプロパティも設定します。
    • プロパティ名:
      preferredTestQuery
      プロパティ値:
      select 1 from dual
      (値全体を入力します)
      C3P0 プール プロパティを設定するには:
      selected
問題: Policy Manager にログインした直後に「Gateway の非アクティブ タイムアウト期間に到達した」と表示される
Gateway が、Policy Manager を使用してログインしたばかりでも、非アクティブ タイムアウト期間に達したと言います。
解決方法:
ロード バランサでセッション永続性が設定されていない場合、この問題が発生する場合があります。 セッション永続性を設定するか、クラスタ ホスト名を使用する代わりに IP アドレスを使用して特定の Gateway ノードに接続します。
問題: インバウンド SSL ハンドシェイク問題 1: クライアントが、信頼された CA リストを必要とする
クライアント アプリケーションがクライアント証明書を Gateway に送信する前に、クライアントは、既知の信頼された CA リストを必要とします。
解決方法:
  • リスン ポートで TLS 1.1 または 1.2 が有効な場合:
    • Gateway では、プロパティに保存されている信頼された証明書に基づき、ハンドシェイクで受け入れられた発行者リストが入力されます。
  • リスン ポートで TLS 1.0 のみが有効である場合。
    • Gateway では、リスン ポートの拡張プロパティに
      acceptedIssuers=true
      を追加すると、ハンドシェイクで受け入れられた発行者リストを含めることができます(「証明書の管理」の「拡張プロパティ」を参照してください)。
  • すべてのリスン ポートを含む解決方法については、
    io.httpsAcceptedClientCa
    クラスタ プロパティを証明機関の PEM 形式の証明書にカンマ区切りで設定します。
    -----BEGIN CERTIFICATE-----
    <certificate contents>
    -----END CERTIFICATE-----,
    -----BEGIN CERTIFICATE-----
    <certificate contents>
    -----END CERTIFICATE-----
    この設定を有効にするには、Gateway を再起動します。
    io.httpsAcceptedClientCa
    クラスタ プロパティは非表示であり、[クラスタ全体のプロパティの管理]に手動で入力する必要があります。
問題: インバウンド SSL ハンドシェイク問題 2: SSL を介した接続が失敗する
クライアントは、SSL を介して Gateway に接続しません。
考えられる原因と解決方法:
  • クライアントでは、リスン ポートに設定された暗号スイートがサポートされていますか? クライアントのサポート状況を確認し、必要に応じてリスン ポートを調整してください。 暗号スイートは、[Listen Port Properties]の[SSL/TLS Settings]タブで定義されています。
  • CA 証明書が[Manage Certificates]に追加されており、適切な使用オプションが設定されていますか? そうでない場合、クライアント証明書の検証が失敗します。
  • クライアントは SSLv3 を使用して Gateway に接続しようとしていますか? このプロトコルにはセキュリティ上の問題があるため、Gateway ではサポートされなくなりました。 従来のシステムとの相互運用性を確保するために、このプロトコルを有効化する必要がある場合、リスン ポートの拡張プロパティに
    overrideProtocols=SSLv2Hello,SSLv3,TLSv1
    を追加します(「リスン ポートのプロパティ」の「拡張プロパティ」を参照してください)。
問題: HSM FIPS レベル 3 を使用する場合の Gateway のパフォーマンスに関する問題
ハードウェア セキュリティ モジュール(HSM)が FIPS レベル 3 用に設定されている場合、Gateway の暗号化パフォーマンスに影響が生じる場合があります。
解決方法:
FIPS レベル 3 の使用時にパフォーマンスに関する問題が発生した場合は、以下の手順に従います。
  1. 以下のファイルを検索し、テキスト エディタで開きます。
    /opt/SecureSpan/Gateway/node/default/etc/conf/system.properties
  2. 以下の Gateway システム プロパティを追加します。
    com.l7tech.ncipher.position=0
    com.l7tech.security.xml.processor.enableIndependentSignAndVerifyCiphers=true
  3. ファイルを保存して終了します。
  4. Gateway を再起動します。