Version | Datum | Författare | Kommentar |
---|
1.0 | | | Upprättad |
1.1 | | |
|
1.2 | | |
|
1.3 | | |
|
1.4 | | | Versionering |
Inledning
Detta är en felsökningsguide som syftar till att hjälpa till att felsöka åtkomst till TEST- och Produktionsmiljöer för följande komponenter inom Ineras infrastruktur för Identitet och åtkomsthantering:
- IdP och Autentiseringstjänst
- Utfärdandeportal för Mobilt SITHS
Information om aktuella Sökvägar, IP-adresser, Routing och hantering för Sjunet för respektive miljö återfinns här:
Guider för felsökning
Innehåller en översikt och målgruppsanpassade felsökningsguider
Allmän felsökning för nätadminitratörer
- DNS uppslag: Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät)
- nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
- nslookup mobiltsiths.inera.se (resultatet som klienten ska få är 82.136.183.103)
- Routing: Vilken väg tar trafiken (Sjunet/Internet)?
Använd tracert för att se vilken väg trafiken tar.
tracert -d 82.136.182.2
(Om den i slutet passerar hop 81.89.157.4 så går trafiken över sjunet) - NAT: Om ni
- inte kan Source-routa och
- måste skicka alla era interna nät över sjunet för att nå 82.136.182.0/24
så glöm inte att kontrollera så att även dessa nya nät NAT'as!
För eTjänsts förvaltning
- Finns eTjänsten på Sjunet?
- JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
- NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
- Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
- Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
För sjunetansluten organisations nätverksadministratörer
- Kontrollera att portar öppnats och Guide till IdP följts kring Conditional Forwards
- Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
- JA: Kontrollera routingtabell för 82.136.182.0/24 (exponeras både på Sjunet och internet)
- Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
- Justera tabell / BGP
- NEJ: Kontrollera routingtabell för 82.136.182.0/24 (exponeras både på Sjunet och internet)
- Båda routrarna bör få näten annonserade till sig - alternativt static/default route
- Justera tabell / BGP
- Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät
För EJ sjunetansluten organisations nätverksadministratörer
- Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
- JA: Öppna dessa mot 82.136.182.0/24
- NEJ: Om klienter på aktuella nät för slutanvändare besöker https://idp.inera.se och https://idp.ineratest.org i webbläsare ser de då "404"?
- NEJ: Kontrollera att portar öppnats och Guide till IdP#Sjunet följts kring Conditional Forwards
- JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar
Fullständigt fråga-svarsträd och översikt
Översikt: tre olika nätscenarier för slutkund
Fullständigt fråga-svarsträd