Skip to Content
0

IDM Logon Help 7.20.0.8 - Could not reset password....

Jan 05 at 05:26 PM

56

avatar image

Hola,

Primero, gracias por la ayuda que me puedan brindar.

He implementado IDM 8.0 y configurado la integración con mi directorio activo. Puedo leer y crear usuarios en mi Identity Store (que automaticamente se replican a mi AD y viceversa). Todo funciona correctamente.

Tambien he configurado todos los requerimientos de Password Self-Service y funciona perfecto, puedo acceder por "https://myhost:50001/idm", "https://myhost:50001/idm/pwdreset", "https://myhost:50001/idm/admin". A través de esas URL puedo configurar y actualizar mis 5 preguntas y respuestas con normalidad. Tambien puedo acceder y restablecer mi password o el de cualquiera de mis usuarios sin problemas. He podido comprobar despues, que puedo acceder a windows o a los servicios de IDM con el password nuevo sin problemas.

Hasta aquí, he seguido la documentación de IDM y LogonHelp para implementación al pie de la letra, y en teoría, mi escenario está listo para que Logon Help funcione como herramienta de restablecimiento de password en Windows, en la interface de inicio de sesión. Lo anterior quiere decir que tambien he importado en mi AD el ADM de LogonHelp y he realizado en mi GPO la configuración indicada. Esta se despliega correctamente a los 3 clientes Windows en los que he probado con Sistemas Operativos "Windows 7", "Windows 8.1" y "Windows 10".

Sin embargo con toda la configuración que he mencionado y que a través de las URL funciona, en el cliente LogonHelp no funciona correctamente, pidiendome el ID, las respuestas a las preguntas de seguridad y un nuevo password, generando posteriormente el siguiente error: "Could not reset password; check whether security answers are correct and whether password meets the security policy".

De acuerdo al error que se genera, realicé la prueba configurando exactamente la misma palabra como respuesta a mis 5 preguntas y el error persiste.

Luego, en la Security Policy de Identity Management, retiré toda complejidad de password, aceptando lo que el usuario quiera ingresar como password, de igual manera realicé lo mismo en mi AD, configurando la politica de contraseñas a minima complejidad. La prueba en las URL de IDM restableciendo el password con una complejidad minima funciona, pero en LogonHelp, en las 3 maquinas me sigue mostrando el mismo error.

Entiendo que el cliente de LogonHelp logra conectar a IDM por que cuando ingreso el ID de un usuario que no existe ni en el UME ni en el LDAP (AD), el error que se muestra es: "Could not connect to IDM server", pero si ingreso un usuario que sí existe, el error es: "Could not reset password; check whether security answers are correct and whether password meets the security policy".

Revisando el log de LogonHelp en mis PC clientes, encuentro el siguiente error:

The retrieving of the sequrity questions for user 'america' returned empty response or the execution of one of the methods - CWinHttpHelper::SendRequest or CLowCommon::ConvertAsciiToUnicode returned error.

He seguido las recomendaciones que se indican en las siguientes URL:

https://archive.sap.com/discussions/thread/3420629 https://archive.sap.com/discussions/thread/3596392

Pero el error persiste.

He dejado en un documento de Google Drive, todo el paso a paso descrito:

https://drive.google.com/file/d/1Lw7zIlNX0YBlKJo9DFKIYHltRIUIf2qL/view?usp=sharing

En el documento se puede observar tambien el log del cliente LogonHelp, una captura del Dispactcher funcionando correctamente y la Sincronización tambien ejecutandose con normalidad sin errores.

De nuevo muchas gracias por la ayuda que me puedan aportar.

Saludos,

Paul Andres Pedroza Martinez

10 |10000 characters needed characters left characters exceeded
* Please Login or Register to Answer, Follow or Comment.

1 Answer

Edison Borrero Jan 05 at 11:03 PM
0

https://launchpad.support.sap.com/#/notes/1806098

Temporarily disabling the new protection mechanism (until all REST clients have been updated)

If you cannot update all relevant REST clients immediately, temporarily disable the new protection mechanism and thus switch back to the previous mechanism. If you decide to do this, make sure that you apply all possible measures to protect the REST interface against this kind of attack. Especially refer to "Limiting access to the REST interface to certain hosts" below.
To switch back from the new to the previous protection mechanism, do the following:

    1. In SAP NetWeaver Administrator, choose Configuration > Infrastructure > Java System Properties.
    2. On the Applications tab, filter for the tc~idm~jmx~rest~app web application.
    3. On the Properties tab, filter for the v72alpha.security.xsrf.disable_token_based_protection property.
    4. Select the property, and choose Modify.
    5. In the Modify Property Value dialog, set the value to true.
    6. Restart the AS Java.
Share
10 |10000 characters needed characters left characters exceeded