7.身份管理与认证项目常见问题解答 - V1.2 - 图文

中国石油天然气集团公司 信息系统用户身份管理与认证项目

用户常见问题解答

中国石油用户身份管理与认证项目组

2011年7月

目 录

第1章 第2章

名词解释 ............................................................................................................................ 4 用户常见问题解答 ............................................................................................................ 4

2.1. ESSO登录异常问题 ........................................................................................................ 4 2.1.1. 通用检查项.................................................................................................................. 4 2.1.2. 插入key，没有弹出PIN码输入框.......................................................................... 5 2.1.3. 对于vpn用户登录的解决方法： ............................................................................. 6 2.1.4. 双击AA打不开AA的登陆框 ................................................................................... 6 2.1.5. Windows 脚本编制主机或该主机已损坏 ............................................................... 7 2.1.6. 输入正确pin 码,弹出意外错误 ................................................................................ 8 2.1.7. 上次关机未拔出USBKey，登入时出现空白页面 ................................................. 9 2.1.8. 用户不能使用域名登录............................................................................................10 2.1.9. Windows7下，用户成功单点登录后，弹出IAMkeymonitor通信失败的提示10 2.1.10. 登录时显示有多人的证书可供选择，检查IE是否缓存过其他证书？ ..............10 2.1.11. Win7系统点击应用图标登录ERP后，菜单栏被遮挡 .......................................10 2.1.12. 密码同步....................................................................................................................12 2.2. 自映射问题 ......................................................................................................................12 2.2.1. 自映射操作校验应用帐号和密码失败后，如何处理？........................................12 2.2.2. 用户自映射一个工作日后，登录身份认证平台，看不到已映射系统的图标。12 2.2.3. 自映射应用系统校验用户名和密码成功后，还是不能单点登录应用系统。....13 2.2.4. 在已映射信息系统列表中显示邮件系统图标，点击出现提示页面，告知用户修改密码。....................................................................................................................................13 2.2.5. 同一应用系统有两个帐号，已自映射成功其中一个，还有一个帐号如何处理13 2.2.6. 用户通过IAM平台第一次访问应用系统前，是否需要进行自映射？ ..............13 2.3. PKI相关问题...................................................................................................................13 2.3.1. 提示非本系统用户，无法登录................................................................................13 2.3.2. 没有员工编号的人员制作证书................................................................................14 2.3.3. 无法识别USBKey ...................................................................................................14 2.3.4. USBKey丢失后如何处理？ ...................................................................................14 2.3.5. RA系统管理员变更，如何操作？ .........................................................................15 2.3.6. 制做新证书失败........................................................................................................15 2.3.7. 与捷德KEY冲突......................................................................................................15 2.3.8. 与IPAD充电软件冲突.............................................................................................15 2.4. 日常使用问题处理方法： ..............................................................................................15 2.4.1. 请在出现“msxml6r.dll受Windows系统保护”的计算机上， ........................15

尝试以下操作：............................................................................................................................15 2.4.2. ERP系统口令不代填问题： ..................................................................................16 2.4.3. 安装补丁出现问题：................................................................................................16 2.4.4. 登录ERP系统报错： .............................................................................................17 2.4.5. 输入PIN码登录IAM系统失败： ..........................................................................17

第1章 名词解释

? 用户：普通用户、IAM管理员用户、RA管理员用户 ? SSO：单点登录，即一次认证后登录列表中所有应用系统

? E-SSO：身份管理与统一认证平台桌面单点登录软件，为C/S模式的

应用系统提供单点登录服务

? IAM：身份管理与统一认证平台 https://iam.cnpc/ ? PKI：公钥基础设施 http://ra.pki.cnpc:8080/ ? RA：PKI子系统

? RA代理点：为地区公司用户发放数字证书的虚拟机构 ? PIN码：USBKey密码

注：本文档主要用于描述普通用户登录出现的问题及解决方法。

第2章 用户常见问题解答

2.1. ESSO登录异常问题

2.1.1. 通用检查项

? 是否曾经成功登录过

成功登录过的用户，重点从“中国石油USBKey用户工具”（包括USBKey驱动和IAM控件）和IE设置等个人电脑相关方面排查问题，具体参考以下通用检查项；

未成功登录过的用户，根据用户反映的具体情况查找相应章节。 ? 检查是否已正确安装USBKey工具和IAM控件：

检查用户桌面是否已出现两个宝石花图标；使用“中国石油USBKey用户工具”中的“一键恢复”功能查看所有项是否正常。

IAM控件会在桌面生成一个快捷方式，即单点登录访问地址(https://iam.cnpc/)。用户可在“开始菜单”中查看是否有“中国石油USBKey用户工具”文件夹，若包含“中国石油身份管理与认证平台客户端V1.72卸

载”即表示安装成功。 ? 驱动是否为最新发布版本：

截至目前最新版本是“3.4.0.1”，打开“中国石油USBKey用户工具”能看到“工具版本”的版本号。 ? 检查Smart Card服务

进入“控制面板”——管理工具——服务——Smart Card，是否为启动状态和自动启动类型。

安装完成USBKey驱动后，在计算机服务中会有‘Smart card’这个服务。 装有360杀毒软件的电脑，360里的开机加速，一键优化会将此服务禁掉。如果此服务被禁用，插入USBkey后将无法识别。 浏览器相关设置：

? 将IE浏览器中“工具-Internet选项-连接-局域网设置”勾选“跳过本地

地址的代理服务器”。

? 将IE浏览器中“工具-Internet选项-连接-局域网设置-代理服务器-高级-不使用代理服务器”的例外中填写“10.*;*.cnpc”。

? 设置Internet安全性属性，“工具-Internet选项-安全-本地Intranet-站

点-高级”中添加“https://*.iam.cnpc”；并且将“该区域的安全级别”调整为“中低”；IE 8“工具-Internet选项-安全-本地Intranet”中不能勾选“启用保护模式”。

? 目前只支持IE浏览器，暂不支持火狐等其他浏览器。

若不能解决，请联系技术人员并提交问题，提交具体问题时请告知管理员用户姓名、员工编号、员工单位，并将问题截屏发送管理员邮箱（sfrz_iam@cnpc.com.cn），与系统运维人员沟通针对问题的解决方案。

2.1.2. 插入key，没有弹出PIN码输入框

故障现象：插入key后，没有自动弹出PIN码输入框 解决方法：

（1） 检查操作系统是否为XP SP2，如果是XP SP2，需要先安装“WindowsXP-KB909425-x86-CHS.exe”补丁 （2） 检查网络连接

ping besso.iam.cnpc，是否能ping通；返回的IP应该是10.27.140.187

（3） 检查主机名是否为中文，如果是中文，改为标准的英文机器名 （4） 检查计算机隶属于“域”还是“工作组”，如果是隶属“域”，请先修改为隶属于“工作组”，组名称只能是英文（最好改为WORKGROUP），然后重启计算机。

（5） 如果问题还没有解决，卸载AccessAgent，重启windows，再重新安装AccessAgent

2.1.3. 对于vpn用户登录的解决方法：

由于新VPN用户没有要求强制用key登录（即不插key也可以登录），所以请和用户说明：开机后，请不要插key，登录vpn之后再插key。 请注意处理过程（处理方法针对内网用户也有效）：

请用户登录VPN，老VPN在任务栏会显示一个A,新VPN在任务栏会显示SVN。 （1） ping besso.iam.cnpc 确定是否可以返回10.27.140.187的正确地址。

（VPN用户ping返回超时为正常情况）

（2） telnet besso.iam.cnpc 443 确定是否有权限访问身份认证系统。 （3） 请用户拔key，然后运行5k3s里面的kill_5.bat,将esso所有进程和服

务都杀掉。

（4） 删除C:\\Program Files\\Encentuate\\Cryptoboxes 里面的所有文件 （5） 将all_sync_data_xml.rar 里面的两个xml文件替换到C:\\Program

Files\\Encentuate\\

（6） 运行start_3.bat,等待esso重启完毕。 （7） 让用户重新插key尝试登录。

至此，一般用户都可进行正常登录。若还有用户不弹pin，请运行Pinpop.rar里面的pin_pop.reg让他强行弹框（慎用）。

另外，在处理过程中，若用户是新vpn用户，请随时关注VPN是否超时（新VPN超时时间为20分钟左右），具体表现为，Ping besso.iam.cnpc可ping通且返回的为外网地址。如果有些用户登录vpn之后ping besso.iam.cnpc，返回的就是外网地址，请在命令行里运行ipconfig /flushdns将dns清空再继续操作。

若遇到VPN不能正常登录，请让他们直接拨打84882903联系VPN项目组

2.1.4. 双击AA打不开AA的登陆框

操作步骤如下 : 我的电脑-->管理-->服务

找到如下两个服务 ObsService

SOCIAccess 这两服务是否启动

没有启动右击服务启动即可，如果是手动请改成自动；

2.1.5. Windows 脚本编制主机或该主机已损坏

安装过程中出现如下错误:

需要安装Windows scripts组件（系统补丁文件名称为scripten.exe）

如果提示已经安装，不能重复安装的时候，需要手工注册相关dll和ocx文件

jscript.dll、vbscript.dl、scrrun.dll、scrobj.dll、wshext.dll、wshcon.dll、wshom.ocx

（如果用户的windows操作系统安装在c:\\windows目录中，可以使用下面的脚本进行dll文件的注册）

scripten-注册dll.bat

2.1.6. 输入正确pin 码,弹出意外错误

问题如下图

解决方法：

（1） 请用户拔key，然后运行5k3s里面的kill_5.bat,将esso所有进程和服

务都杀掉；

（2） 运行start_3.bat,等待esso重启完毕，请用户插key登录。

2.1.7. 启动Obsservice服务后，计算机很慢

故障现象：

启动Obsservice服务后，CPU占用率很高，计算机响应速度非常慢. 解决方法：

检查是否安装了Inter rapid storage technology软件，如果已安装，请在“控制面板”—“添加删除程序”中卸载这个软件，然后重启Obsservice服务（或者重启计算机）

2.1.8. 上次关机未拔出USBKey，登入时出现空白页面

答：告知用户拔出USBKey，关闭默认的浏览器；然后重新插入USBKey，再打开

统一身份管理与认证平台（https://iam.cnpc/）。

2.1.9. 用户不能使用域名登录

答：告知用户修改hosts文件（无任何后缀）：使用记事本打开

“C:\\Windows\\System32\\drivers\\etc\\”下的hosts文件，在文件末尾添加一条记录“10.27.140.122 iam.cnpc”，并保存退出。

2.1.10. Windows7下，用户成功单点登录后，弹出IAMkeymonitor通信失败的提示

答：这个涉及用户帐号控制（UAC）的调整；用户需要进入“控制面板”——系

统和安全——操作中心——更改用户帐号控制设置；然后将级别调整到“从不通知”，即可避免该提示信息。

2.1.11. 登录时显示有多人的证书可供选择，检查IE是否缓存过其他证书？

答：打开“工具-Internet选项-内容-证书-个人”，去掉IE缓存中多余的证书

即可。

2.1.12. Win7系统点击应用图标登录ERP后，菜单栏被遮挡

ERP系统通过IAM平台成功登录后，IE9 的界面显示会出现，最小化和关闭按钮不起作用的问题。如下图所示问题：

（1） 如要关闭SAP页面，可点SAP系统中的按钮，“系统”-“退出登录”。

具体如下图所示：

本文来源：https://www.bwwdw.com/article/rrdd.html