Gå till slutet av bannern
Gå till början av bannern

Felsökningsguide - Nätverksåtkomst till IAM för kunder med Sjunetuppkoppling

Hoppa till slutet på meta-data
  • Skapad av Former user, senast ändrad av Former user den feb. 03, 2021
Gå till början av metadata

Du visar en gammal version av den här sidan. Visa nuvarande version.

Jämför med nuvarande Visa sidhistorik

« Föregående Version 16 Nästa »

Sida under arbete

OBS: Sidan är under uppdatering för ytterligare tjänster, komponenter och IPadresser, se gärna Adresser, brandväggsöppningar & routing för detaljer.

Innehållsförteckning

Revisionshistorik

Inledning

Detta är en felsökningsguide som syftar till att hjälpa till att felsöka åtkomstproblem till TEST- och Produktionsmiljöer för Ineras komponenter Ineras komponenter för Identitet och åtkomsthantering:

  • IdP och Autentiseringstjänst
  • Utfärdandeportal för Mobilt SITHS

Information om aktuella Sökvägar, IP-adresser, Routing och hantering för Sjunet för respektive miljö återfinns här: Adresser, brandväggsöppningar & routing

Guider för felsökning

Innehåller en översikt och målgruppsanpassade felsökningsguider

 Allmän felsökning för nätadminitratörer
  • DNS uppslag: Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät) 
    • nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
    • nslookup mobiltsiths.inera.se (resultatet som klienten ska få är 82.136.183.103)
  • Routing: Vilken väg tar trafiken (Sjunet/Internet)?
    Använd tracert för att se vilken väg trafiken tar:
    • tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
    • tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
  • NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
    1. Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät
      1. OM ni routar trafik över Sjunet måste anropen routas bakom en Sjunet IP-adress
    2. Utan måste skicka alla era interna nät över sjunet för att nå 82.136.182.0/24 respektive 82.136.183.0/24
      glöm inte att kontrollera så att även era interna NAT'as bakom en Sjunet IP-adress så att trafiken kommer tillbaka via Sjunet!
 För eTjänsts slutanvändare
  1. Kan du inte logga in i etjänsten?
    1. har du provat från fler datorer?
      1. JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Felsökningsguide - Nätverksåtkomst till IAM för kunder med Sjunetuppkoppling
      2. NEJ: prova gärna med annan dator
    2. Anges något servicefönster med beräknad användarpåverkan på https://www.inera.se/aktuellt/planeringskalendern/ eller allmän driftstörning på https://www.inera.se/aktuellt/driftstatus/ för etjänsten eller dess stödtjänster?
      1. JA: avvakta tills störningen/servicefönstret är avslutat
      2. NEJ: Kan du surfa till https://idp.inera.se och få fram bilden:

        1. JA: Kan en kollega logga in i etjänsten?
          1. NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
          2. JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
        2. NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida (https://confluence.cgiostersund.se/pages/viewpage.action?pageId=200584684).


 För eTjänsts förvaltning
  1. Finns eTjänsten på Sjunet?
    1. JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
    2. NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
      1. Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
      2. Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
 För sjunetansluten organisations nätverksadministratörer
  1. Kontrollera att portar öppnats och Guide till IdP följts kring Conditional Forwards
  2. Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
    1. JA: Kontrollera routingtabell för 82.136.182.0/24 (exponeras både på Sjunet och internet)
      1. Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
      2. Justera tabell / BGP
    2. NEJ: Kontrollera routingtabell för 82.136.182.0/24 (exponeras både på Sjunet och internet)
      1. Båda routrarna bör få näten annonserade till sig - alternativt static/default route
      2. Justera tabell / BGP
  3. Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät
 För EJ sjunetansluten organisations nätverksadministratörer
  1. Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
    1. JA: Öppna dessa mot 82.136.182.0/24
  2. NEJ: Om klienter på aktuella nät för slutanvändare besöker https://idp.inera.se och https://idp.ineratest.org i webbläsare ser de då "404"?

    1. NEJ: Kontrollera att portar öppnats och Guide till IdP#Sjunet följts kring Conditional Forwards
  3. JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar



 Fullständigt fråga-svarsträd och översikt

Översikt: tre olika nätscenarier för slutkund

Fullständigt fråga-svarsträd



  • Inga etiketter

Publik Information