Novell ACCESS MANAGER 3.1 SP2 - POLICY GUIDE 2010 Manual page 7

4.9 Sample Identity Injection Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5 Creating Form Fill Policies
5.1 Understanding an HTML Form. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
5.2 Creating a Form Fill Policy for the Sample Form . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5.3 Implementing Form Fill Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
5.3.1 Designing a Form Fill Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
5.3.2 Creating a Form Fill Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
5.3.3 Creating a Login Failure Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.3.4 Troubleshooting a Form Fill Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.4 Creating and Managing Shared Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
5.4.1 Naming Conventions for Shared Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
5.4.2 Creating a Shared Secret Independent of a Policy . . . . . . . . . . . . . . . . . . . . . . . . . 153
5.4.3 Modifying and Deleting a Shared Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.5 Importing and Exporting Form Fill Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.6 Configuring a Form Fill Policy for Forms With Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
5.6.1 Why Does Form Fill Fail with the Default Policy? . . . . . . . . . . . . . . . . . . . . . . . . . . 155
5.6.2 Understanding How a Form Is Submitted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
5.6.3 Creating a Form Fill Policy for Autosubmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
5.6.4 Creating Touch Files for Autosubmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
6 Troubleshooting Access Manager Policies
6.1 Turning on Logging for Policy Evaluation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
6.2 Understanding Policy Evaluation Traces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
6.2.1 Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
6.2.2 Policy Result Values . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
6.2.3 Role Assignment Traces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
6.2.4 Identity Injection Traces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
6.2.5 Authorization Traces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
6.2.6 Form Fill Traces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
6.3 Common Configuration Problems That Prevent a Policy from Being Applied as Expected. . 181
6.3.1 Enabling Roles for Authorization Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
6.3.2 LDAP Attribute Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
6.3.3 Result on Condition Error Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
6.3.4 An External Secret Store and Form Fill . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
6.4 The Policy Is Using Old User Data. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
6.5 Form Fill and Identity Injection Silently Fail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
6.6 Checking for Corrupted Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
6.7 Policy Page Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
6.8 Policy Creation and Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
6.9 Policy Distribution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
6.10 Policy Evaluation: Access Gateway Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
6.10.1 Successful Policy Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
6.10.2 No Policy Defined Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
6.10.3 Deny Access Configuration/Evaluation Example. . . . . . . . . . . . . . . . . . . . . . . . . . . 189
133
161
Contents 7