カスタム コネクタの問題のトラブルシューティング
トラブルシューティングが必要となる 2 つのコンポーネントは、TCF が実行されているカスタム コネクタ サーバと
PAM
アプライアンスです。これら 2 つのコンポーネント間に通信の問題がある場合は、これらの問題の解決が必要な場合もあります。capam33
トラブルシューティングが必要となる 2 つのコンポーネントは、TCF が実行されているカスタム コネクタ サーバと
PAM
アプライアンスです。これら 2 つのコンポーネント間に通信の問題がある場合は、これらの問題の解決が必要な場合もあります。以下のトピックでは、カスタム コネクタ サーバと TCF の一般的な問題の解決策について説明します。
2
カスタム コネクタ(Tomcat)サーバのスタートアップの問題
カスタム コネクタ(Tomcat)サーバが正常に起動できないか、サービスの開始に失敗します。問題を確認するには、Tomcat catalina.out ログでエラーを探します。
スタートアップの問題で考えられる理由は次のとおりです。
プロパティ ソースのロード中に問題が発生した
TCF は独自のプロパティ ソースを使用して catalina.properties ファイルから暗号化されたキーストア パスワードを読み取ります。TCF は、パスワードを Tomcat サーバに渡して TLS キーストアにアクセスする前に、パスワードを復号化します。
エラー:
以下の例外が表示される場合:25-Apr-2019 13:37:57.382 SEVERE [main] org.apache.tomcat.util.digester.Digester.<clinit> Error loading property source [com.ca.pam.extensions.tcfcryptoutil.TCFPropertySource]java.lang.ClassNotFoundException: com.ca.pam.extensions.tcfcryptoutil.TCFPropertySource
アクション:
capamextensionstcfCryptoUtil-x.x.x.jar ファイルを $CATALINA_HOME/lib にコピーしたことを確認します。サーバがコネクタ コンポーネントを初期化できない
エラー: 以下の例外が表示される場合:
25-Apr-2019 14:46:50.353 SEVERE [main] org.apache.catalina.util.LifecycleBase.handleSubClassException Failed to initialize component [Connector[HTTP/1.1-8443]] org.apache.catalina.LifecycleException: Protocol handler initialization failed
アクション:
server.xml ファイルを確認します。カスタム コネクタ サーバ上の TLS キーストアへの正しいフル パスがファイルに示されていることを確認します。また、キーストアのパスワードが正しいことを確認します。キーストア パスワードは ${tomcat.keystore.pwd} プロパティに設定する必要があります。このプロパティは catalina.properties ファイルで指定されています。許可ヘッダを復号化できない
エラー:
以下の例外が表示される場合:25-Apr-2019 14:52:48.157 SEVERE [https-jsse-nio-8443-exec-6] com.ca.pam.extensions.framework.util.ExtensionAuthenticationFilter.validateAuthToken [5435a4b9-9c8c-4e6a-b1d8-eef45857569b] [PAMTargetConnector] Authorization header cannot be decrypted: org.jose4j.lang.InvalidKeyException: The key must not be null.
アクション:
- extension_framework.properties ファイルで、extension.encryption.pwd が設定されていることを確認します。
- extension_framework.properties で extension.keystore.file が設定されていることを確認します。ファイル パスが正しいことを確認します。
- カスタム コネクタ サーバ上にキーストアが存在することを確認し、キーストアに暗号化キーがあることを確認します。
ネットワーク ポートの問題
カスタム コネクタ サーバが以下のネットワーク ポートでリスニングしているかどうかを確認します。
- 任意のアドレスのポート 8080
- ループバック アドレス(127.0.0.1:18080)でポート 18080
- TLS が有効な場合、任意のアドレスのポート 8443
ネットワーク ポートにバインドされているプロセスを確認するには、プラットフォームに対して以下のコマンドを実行します。
Linux
: netstat -tulpn
Windows
: netstat -aon
この Windows コマンドには、管理者権限が必要です。
server.xml ファイルで指定されたポートは、
netstat
コマンドの出力に表示される必要があります。ポートが表示されない場合は、カスタム コネクタ サーバが実行されていることを確認します。また、ポートに関連付けられているサービスが開始されていることを確認します。Tomcat サーバでデフォルト以外のポートを使用している場合は、これらのデフォルト以外のポートが netstat
の出力に表示されていることを確認します。ポートが表示されない場合、server.xml ファイルで定義されていることを確認します。TLS 接続の問題
カスタム コネクタの設定で TLS を有効にした場合は、catalina.properties ファイルで適切なプロパティに適切な値が設定されていることを確認します。適切なプロパティは以下のとおりです。
- org.apache.tomcat.util.digester.PROPERTY_SOURCE
- tomcat.keystore.pwd
PAM
Tomcat のログに java.net.NoRouteToHostException: No route to host (Host unreachable)
という例外が表示されている場合は、traceroute
コマンドを実行します。traceroute
コマンドで、アプライアンスからカスタム コネクタ サーバへの経路がつながっているかどうかを確認します。サーバが到達可能な場合、TLS のプロパティが問題となっています。これらのプロパティを確認してください。カスタム コネクタ サーバの運用上の問題
すべてのカスタム コネクタ フレームワーク診断情報は Tomcat ログ(catalina.out)にあります。診断および Java パッケージに固有の診断のレベルは、logging.properties ファイルで定義されます。このファイルは、ディレクトリ $CATALINA_HOME/conf にあります。デフォルトのログ レベルは、INFO です。
例: com.ca.pam.extensions.framework.level = INFO
ログを確認する場合は、Tomcat および Java のロギングの知識が役立ちます。
PAM
アプライアンスの問題PAM
でトラブルシューティングする際に重視する 2 つの主な領域が PAM
Tomcat サーバと UI です。PAM
Tomcat ログの確認アプライアンスでの操作を確認するには、
PAM
Tomcat ログ catalina.out を調べます。診断情報のほとんどは、このログに含まれています。通信の問題が疑われる場合、このログも確認できます。アプライアンスは、A2A トランザクションを除くすべての通信を開始します。UI から
Tomcat ログ レベル
を制御できます。[構成]-[診断]-[診断ログ]
を選択します。デフォルトのレベルは、[警告]です。
TCF 固有の診断のほとんどは、CustomConnectorUtil および CustomConnectorResult クラスによるものです。
UI の問題
問題:
UI を表示するときに、JavaScript エラーが表示されます。Actions
- UI ログ記録を有効化します。[構成]-[診断]-[UI ログ]を選択し、[UI ログ設定]を設定します。ログ結果を表示するには、[UI ログ エントリ]タブを選択します。
- uiDefinitions.json ファイルの整合性を確認します。[設定]-[TCF 定義の検証]を選択して、バリデータ ユーティリティを使用します。詳細については、「カスタム ターゲット コネクタの構築」の「UI 定義のテストおよび検証」を参照してください。
問題:
カスタム コネクタ用のターゲット アプリケーションまたはターゲット アカウントを作成すると、エラーが発生することがあります。エラーは、ターゲット アプリケーションまたはターゲット アカウントの UI ページにポップアップ メッセージとして表示されます。ターゲット コネクタが登録されていないといったエラーから、コネクタ開発者によってコーディングされたカスタム エラー メッセージまでさまざまです。アクション:
問題の原因に関する情報をポップアップ メッセージで確認します。ポップアップが TCF からのメッセージによる場合は、カスタム コネクタ サーバのアドレスが含まれています。ログ、およびカスタム コネクタ サーバの設定を確認します。問題:
カスタム コネクタの接続のテストが失敗します。[構成]-[カスタム コネクタ]ページの[テスト]
ボタンを使用して、テストに失敗しました。アクション:
- [カスタム コネクタ]ページで構成設定を確認します。
- PAMTomcat catalina.log でタイムアウトや接続拒否などの通信エラーがないか調べます。
- カスタム コネクタ サーバの Tomcat catalina.log を確認します。アプライアンスからのリクエストが受信されたかどうかを判断します。
問題:
ターゲット アプリケーションのリストにカスタム コネクタが含まれていません。アクション:
- アプライアンスがカスタム コネクタ サーバと通信できることを確認します。[構成]-[カスタム コネクタ]ページの[テスト]ボタンを使用します。
- PAMTomcat catalina.log でタイムアウトや接続拒否などの通信エラーがないか調べます。
- カスタム コネクタ サーバの Tomcat catalina.log を確認します。アプライアンスからのリクエストが受信されて処理されているかどうかを判断します。
認証情報管理の問題
問題:
パスワード管理に潜在的な問題があります。 TCF は
PAM
認証情報マネージャの機能に結び付けられています。アプライアンスは、カスタム コネクタを使用してパスワードの検証または変更を試みることができます。すべての問題は、セッション ログに記録されます。 アクション:
セッション ログ内のメッセージには、通信のどちらの側で問題が発生しているのかを示すラベルが付けられます。- PAM-CFで始まるメッセージは、アプライアンス側コネクタが関係しています。
- PAM-EFで始まるメッセージは、カスタム コネクタ サーバと TCF 関連です。
- カスタム コネクタ サーバ自体からのメッセージにはアドレスが含まれ、場合によってはホスト名も含まれます。