Novell Identity Manager 3.5.1 - Readme

Letzte Aktualisierung am 28. September 2007.

10.0 Treiber

1.0 Dokumentation

Dieses Dokument beschreibt die bekannten Probleme mit Identity Manager Version 3.5.1.

Darüber hinaus stehen zurzeit zusätzliche Dokumentationen zur Verfügung:

2.0 Neuerungen

In diesem Abschnitt werden zwei zusätzliche Elemente beschrieben, die zur Liste der neuen Funktionen im Abschnitt "Neuerungen" des Installationshandbuchs für Identity Manager 3.5.1 gehören.

2.1 SAML-Assertion für die einmalige Anmeldung bei der Benutzeranwendung

Die Identity Manager-Benutzeranwendung unterstützt die einmalige Anmeldung über Access Manager unter Verwendung eines beliebigen Authentifizierungsservices eines Drittanbieters, der sich bei Access Manager anmelden kann. Mithilfe dieser Funktionalität kann man sich unter Verwendung einer automatisierten Anmeldungstechnologie, die kein Passwort erfordert, über Access Manager bei der Benutzeranwendung anmelden. Beispielsweise kann man sich mit einer Smart Card über ein Benutzerzertifikat (Client-Zertifikat) anmelden. Nähere Informationen hierzu finden Sie unter "Sicherheit" im Abschnitt über die Planung für die Produktionsumgebung im Identity Manager 3.5.1 Benutzeranwendung: Administrationshandbuch.

2.2 Suchen in den Identity Manager Whitepages

Jetzt können Sie einer URL, die auf die Identity Manager Whitepages verweist, Suchparameter hinzufügen.

3.0 Systemanforderungen für Identity Manager 3.5.1

In diesem Abschnitt werden die Systemanforderungen für Identity Manager 3.5.1 beschrieben:

3.1 Java

Die Identity Manager 3.5.1 Java*-Anforderungen sind wie folgt:

  • Die Benutzeranwendung erfordert Java 5.0.10 zur Unterstützung von digitalen Signaturen und Cryptovision.

  • Für JBoss*-Anwendungsserver müssen Sie das folgende Sun* JDK* herunterladen und installieren: Java 2 Platform Standard Edition Development Kit 5.0. Verwenden Sie JRE* Version 1.5.0_10.

    Hinweis:Verwenden Sie nicht das mit SUSE® Linux Enterprise Server (SLES) mitgelieferte IBM* JDK. Durch die Verwendung des mit SLES mitgelieferten IBM JDKs kann der Master-Schlüssel beschädigt werden.

  • Verwenden Sie das für WebSphere Anwendungsserver mit WebSphere* Application Server 6.1.0.9 oder höher mitgelieferte IBM JDK mit den unbeschränkten Richtliniendateien. Außerdem müssen Sie das WAS JDK-Fixpack für 6.1.0.9 anwenden.

  • Das Metaverzeichnis-Installationsprogramm installiert seine eigene Kopie des JVM auf allen Plattformen außer NetWare. Unter NetWare verwendet das Metaverzeichnis die Version von Java, die auf dem System installiert ist.

3.2 Novell Audit

Identity Manager 3.5.1 unterstützt Novell Audit 2.0.2.

3.3 Erforderliche WebSphere-Version und Fixpack

Nachfolgend ist ein Nachtrag zu den Systemanforderungen, die im Identity Manager 3.5.1 Installationshandbuch aufgeführt sind: Die Benutzeranwendung benötigt WebSphere Application Server (WAS) 6.1.0.9 und das WAS SDK-Fixpack 6.1.0.9.

3.4 Datenbankplattformen

3.4.1 DB2-Datenbanken optimieren, um Deadlocks und Zeitüberschreitungen zu verhindern

Wenn Sie bei der Verwendung von DB2 eine Fehlermeldung erhalten, die besagt, dass aufgrund eines Deadlocks oder einer Zeitüberschreitung die aktuelle Transaktion rückabgewickelt wurde, kann dies auf eine hohe gleichzeitige Datenbanknutzung zurückzuführen sein.

DB2 stellt viele Techniken zum Auflösen von Sperrkonflikten bereit, darunter das Optimieren des kostenbasierten Optimierungsprogramms. Das Leistungshandbuch, das Bestandteil der DB2-Administratordokumentation ist, ist eine hervorragende Quelle mit vielen Optimierungstipps.

Es gibt keine vorgeschriebenen Optimierungswerte, die für alle Installationen verwendet werden können, da sich das Ausmaß des gemeinsamen Zugriffs und der Umfang der Daten unterscheiden können. Nichtsdestotrotz finden Sie hier einige DB2-Optimierungstipps, die für Ihre Installation von Belang sein könnten:

  • Der Befehl reorgchk update statistics aktualisiert die vom Optimierungsprogramm verwendeten Statistiken. Allein das regelmäßige Aktualisieren dieser Statistiken könnte genügen, um das Problem zu beheben.

  • Durch die Verwendung des DB2-Registrierungsparameters DB2_RR_TO_RS könnte der gemeinsame Zugriff verbessert werden, indem der nächste Schlüssel der Zeile, die eingefügt oder aktualisiert wurde, nicht gesperrt wird.

  • Erhöhen Sie die Werte für MAXLOCKS und LOCKLIST für die Datenbank.

  • Erhöhen Sie den Wert der currentLockTimeout-Eigenschaft für den Datenbank-Verbindungspool.

  • Verwenden Sie den Database Configuration Advisor und optimieren Sie für schnellere Transaktionen.

  • Ändern Sie alle Tabellen der Benutzeranwendung auf VOLATILE, damit das Optimierungsprogramm weiß, dass die Kardinalität der Tabelle deutlich abweichen kann. Beispielsweise können Sie die AFACTIVITY-Tabelle VOLATILE machen, indem Sie folgenden Befehl ausführen: ALTER TABLE AFACTIVITY VOLATILE

    Die ALTER TABLE-Befehle müssen ausgeführt werden, nachdem die Benutzeranwendung einmal gestartet wurde und die Datenbanktabellen erstellt wurden. Weitere Informationen zu dieser Anweisung finden Sie in der Dokumentation zu ALTER TABLE. Nachfolgend stehen die SQL-Anweisungen für alle Benutzeranwendungstabellen:

    ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
    

3.4.2 Hibernate-Ausnahme

Bei Verwendung des Oracle* 9i-Treibers wird folgende Ausnahme ausgelöst: org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta]

Um dieses Problem zu umgehen, verwenden Sie die Oracle 10g-Treiber ojdbc14.jar und orai18n.jar. Diese Treiber sind rückwärts-kompatibel mit Oracle 9i.

4.0 Installation von Identity Manager

Im folgenden Abschnitt finden Sie Informationen zu Installationsproblemen und Ausweichlösungen.

4.1 Fehler beim Start von Identity Manager-Benutzeranwendung unter JBoss, der als Windows-Dienst läuft

Beim Start von Identity Manager-Benutzeranwendung unter JBoss, der als Windows-Dienst läuft, könnte folgender Fehler auftreten:

com.sssw.fw.exception.EboUnrecoverableSystemException: Fehler bei der Initialisierung des EboPortletContainer Framework-Diensts. at com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Caused by: java.lang.ClassCastException: . . .

Dieser Fehler tritt auf, wenn während des Starts der JBoss-Dienst eine andere als die von Identity Manager erwartete xalan.jar-Datei geladen hat. Um dieses Problem zu umgehen, fügen Sie dem -Djava.class.path-Eintrag für den Service den Pfad der xalan.jar-Datei hinzu. Der neue Registrierungseintrag für den Dienst ist dann ähnlich wird im folgenden Beispiel:

‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar

Starten Sie anschließend den Dienst neu.

Sie können den Pfad hinzufügen, wenn der Dienst erstellt wird oder später.

4.2 JBossMysql.bin löst eine Ausnahme bei der MySql-Installation aus

Wenn Sie die Identity Manager-Benutzeranwendung auf einem 64-Bit-System installieren und JBoss und MySQL unter Verwendung von JBossMysql.bin installieren, könnte ein Fehler beim Installieren der MySQL-Datenbank auftreten. Um dieses Problem zu umgehen, führen Sie setup-mysql.sh und anschließend start-mysql.sh aus.

4.3 Falsche Zeichen oder die Schaltfläche 'Abbrechen' erscheinen, wenn die Benutzeranwendung auf 64-Bit SLES 10 installiert wird

Falsche Zeichen oder die Schaltfläche Abbrechen können erscheinen, wenn versucht wird, auf den Stammcontainer-DN zuzugreifen, wenn die Benutzeranwendung auf 64-Bit SLES 10 installiert wird. Sofern dieses Problem auftritt, stellen Sie sicher, dass Sie die richtige JRE für Ihre Umgebung installiert haben.

4.4 GUI-Installation unter Solaris 9 und 10 schlägt bei Verwendung von eDirectory 8.8.1 fehl

Die GUI-Installation schlägt unter Solaris* 9 und 10 fehl, wenn eDirectory™ 8.8.1 verwendet wird. Folgende Problembehebung steht zur Verfügung:

  • Führen Sie das textbasierte Installationsprogramm aus.

  • Verwenden Sie eDirectory 8.8.2, das eine Behebung dieses Problems enthält.

4.5 Configupdate-Skript schlägt fehl, wenn Dateien zur WAR-Datei hinzugefügt werden

Das Skript configupdate.sh schlägt fehl, wenn Sie benutzerdefinierte Dateien manuell zu IDM.war hinzufügen, falls die WAR-Datei mit der jar-Binärdatei in /usr/bin/jar erstellt wurde, die über SLES 9 verteilt wurde. Der Fehler lautet:

DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)

Verwenden Sie zur Behebung oder Vermeidung dieses Problems eine neuere Version der jar-Datei, um die WAR-Datei zu erstellen. Beispiel: /usr/lib/java/bin/jar -cvf IDM.war *

4.6 Einrichtung eines Clusters schlägt fehl

Folgende Warnmeldung kann angezeigt werden, wenn Sie die Benutzeranwendung mit der standardmäßigen JBoss-Serverkonfiguration starten:

WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException

Wenn Sie während der Installation der Benutzeranwendung die Standardkonfiguration gewählt haben (Einzelknoten), können Sie diese Meldung ignorieren. Diese Meldung stammt vom JBoss-Anwendungsserver. Sie besagt, dass Ihre ausgewählte Anwendungsserverkonfiguration keine Cluster unterstützt, obwohl die Identity Manager-Benutzeranwendung Cluster unterstützen kann.

4.7 Sonderzeichen in Passwörtern führen bei der Installation zu einem Schemaerweiterungsproblem

Wenn das Passwort Ihres Identity Manager-Installationskontos Sonderzeichen enthält, schlägt möglicherweise die Schemaerweiterung fehl. Sie sollten unter einem anderen Konto installieren oder Ihr Passwort ändern.

4.8 Gleichzeitiges Abmelden von der Benutzeranwendung und Access Manager

Möglicherweise unterstützen die neuesten Versionen von Access Manager nicht den Standard-URL-Pfad für die ICS-Abmeldungsseite, die sich unter iChain-Einstellungen auf der Seite "Erweiterte Optionen anzeigen" befindet, wenn die Benutzeranwendung konfiguriert wird. Wenn Ihr Standfard-URL-Pfad https://yourIChainServer/cmd/ICSLogout nicht funktioniert, versuchen Sie es mit https://yourAccessManagerServer/AGLogout.

4.9 Fehler beim Installieren der Benutzeranwendung, wenn bereits eine Instanz von MySQL läuft

Das Installationsprogramm für die Benutzeranwendung schlägt fehl, wenn auf dem Server MySQL bereits auf Port 3306 läuft, ohne dass der Benutzer Gelegenheit bekommt, MySQL auf einem anderen Port zu installieren. Dieses Problem tritt wegen einer Beschränkung des JbossMysql-Dienstprogramms auf, das mit der Benutzeranwendung mitgeliefert wird. Durch Verwenden des eigenständigen MySQL-Installationsprogramms kann es aber umgangen werden.

Um das Problem zu beheben, stoppen Sie die vorhandene MySQL-Instanz und führen Sie das Installationsprogramm aus. Das Installationsprogramm installiert MySQL auf Port 3306, dennoch werden Sie nach dem Port gefragt, mit dem Sie die Verbindung herstellen möchten. Geben Sie einen neuen Port an, ändern Sie die Portangabe in der Datei my.cnf und starten Sie die MySQL-Instanz der Benutzeranwendung neu. Starten Sie anschließend Ihre andere MySQL-Instanz neu. Die Anwendung dürfte dann immer korrekt laufen. Das Installationsprogramm für die Benutzeranwendung sollte Ihnen Gelegenheit geben, auf einem anderen Port zu installieren. Starten Sie dann auf diesem neuen Port. Es sieht zurzeit aus, als ob das Installationsprogramm für die Benutzeranwendung nur ordnungsgemäß funktioniert, wenn Port 3306 frei ist.

5.0 Benutzeranwendung: Benutzerschnittstelle

In den folgenden Abschnitten werden Probleme und Problembehebungen beschrieben, die die Benutzeranwendung betreffen.

5.1 NullPointerException in "Passwort vergessen"

Die Benutzeranwendung unterstützt keine Passwortrichtliniennamen, die führende oder nachgestellte Leerzeichen enthalten. Wenn Sie eine Passwortrichtlinie haben, die führende oder nachgestellte Leerzeichen enthält, erhalten Benutzer die Meldung "Sicherheitsantwort nicht erfolgt", wenn sie auf der Seite "Passwort vergessen" ihren Benutzernamen eingeben.

5.2 Ein Leerzeichen am Ende des Namens eines Sicherheitssatzes löst einen Fehler aus, wenn Sie versuchen, Sicherheitsabfragen zu verwenden

Ein oder mehrere Leerzeichen am Ende des Namens eines Sicherheitssatzes löst einen Fehler aus, wenn die Benutzeranwendung versucht, die Sicherheitsabfragen zurückzugeben. Zur Vermeidung dieses Problems fügen Sie dem Ende des Namens Ihres Sicherheitssatzes keine Leerzeichen hinzu.

5.3 Umgekehrte Schrägstriche in Entitätsnamen werden mehrfach eingefügt

Wenn Sie eine Entität wie beispielsweise einen Benutzer in der Benutzeranwendung erstellen und der Name einen umgekehrten Schrägstrich enthält, wird der Schrägstrich im vollständigen DN mehrfach angegeben. Beispiel: meinbenutzername\ wird zu meinbenutzername\\\. Hierbei handelt es sich um ein bekanntes Problem. Vermeiden Sie daher die Verwendung von umgekehrten Schrägstrichen in Entitätsnamen.

5.4 Löschen und Hinzufügen von Gruppen für ein Benutzerprofil über die Seite "Detail"

Beim Ändern des Gruppenattributs in der Registerkarte Identitätsselbstbedienung der Identity Manager-Benutzeranwendung sollten die Vorgänge zum Löschen und Hinzufügen von Gruppen separat vorgenommen werden. Wenn Sie Gruppen in einem einzigen Bearbeitungsschritt entfernen und hinzufügen, wird der Name der gelöschten Gruppe wieder angezeigt, wenn Sie auf die Schaltfläche + (Hinzufügen) klicken.

5.5 Gleichzeitige Anmeldung als zwei unterschiedliche Benutzer bei Firefox nicht möglich

Wenn Sie sich bei der Benutzeranwendung mit einem Mozilla-Browser (Firefox*, Netscape* oder Mozilla*) als Benutzer A anmelden, dann eine andere Browser-Instanz (desselben Browsers) öffnen und sich als Benutzer B anmelden, werden möglicherweise Informationen für Benutzer B angezeigt, wenn Sie wieder zur ersten Browser-Instanz wechseln. Dies liegt daran, dass Browser-Instanzen dasselbe Cookie verwenden (und überschreiben). Dieses Problem tritt nur bei Mozilla-Browsern auf, nicht bei Internet Explorer.

5.6 Verwendung des HTMLEditor für Organigrammeinstellungen in Firefox führt zu Ausnahmen

In Firefox können bei Ausschneide-, Einfüge- und Kopiervorgängen Ausnahmen auftreten, wenn der HTMLEditor für Organigrammeinstellungen verwendet wird. Aus Sicherheitsgründen lässt Mozilla den Zugriff von Skripts auf die Zwischenablage nicht zu. Deshalb sind die Schaltflächen zum Ausschneiden, Kopieren und Einfügen in Firefox nicht verfügbar.

In Firefox können Sie die Erweiterung "Allow Clipboard Helper" über "Extras > Erweiterungen" herunterladen. Diese Option führt Sie zur Website zum Herunterladen von Erweiterungen.

Nach dem Download finden Sie Allow Clipboard Helper unter Firefox > Extras.

Öffnen Sie die Erweiterung, geben Sie die Serveradresse ein, der Sie den Zugriff auf die Zwischenablage erlauben möchten, und klicken Sie anschließend auf Allow. Sie können beliebig viele Websites angeben. Schließen Sie alle Firefox-Browser und starten Sie Firefox neu. Nun sollten alle Ausschneide-, Kopier- und Einfügevorgänge in Firefox funktionieren.

5.7 Benutzer sollten die geeigneten eDirectory-Rechte zum Erstellen von Benutzern und Gruppen haben

Wenn Sie sich bei der IDM-Benutzeranwendung anmelden, finden Sie im linken Menü einen Link zum Erstellen eines Benutzers. Zum Erstellen von Benutzern benötigen Sie die erforderlichen eDirectory-Rechte zum Hinzufügen von Einträgen zum Verzeichnis. Für die IDM-Benutzeranwendung wurden bereits eDirectory-Benutzer angelegt. Diese Benutzer sollten bereits über die erforderlichen Rechte verfügen.

  1. Klicken Sie in iManager auf die Option Objekte anzeigen.

  2. Suchen Sie das Objekt, das Ihren Benutzercontainer (z. B "MySample.novell") enthält, und klicken Sie auf Trustees ändern.

  3. Fügen Sie einen Trustee (z. B. "MySample.novell") hinzu und ändern Sie die zugewiesenen Rechte.

  4. Wählen Sie unter [Eintragsrechte] die Option Erstellen. Belassen Sie die anderen Felder auf den Standardwerten und klicken Sie dann auf Speichern.

Nun können alle Benutzer im Container "users.MySample.novell" Benutzer oder Gruppen in der MySample-Entität erstellen.

5.8 Sonderzeichen in der Benutzeranwendung müssen mit Escape-Zeichen versehen werden

Die Benutzeranwendung unterstützt die gleichen Zeichen wie iManager. Weitere Informationen über das Versehen von Sonderzeichen mit Escape-Zeichen finden Sie unter http://www.novell.com/de-de/documentation/imanager26/index.html im iManager 2.6 Verwaltungshandbuch, Kapitel 3 "Navigation in der iManager-Oberfläche," Abschnitt 3.2, “Sonderzeichen” auf Seite 20.

5.9 Anmeldung ohne vorherige Abmeldung kann zu Anmeldefehlern führen

Wenn ein in der Benutzeranwendung angemeldeter Benutzer das Anmelde-Portlet oder eine Seite aus den Lesezeichen oder dem Verlauf lädt und versucht, sich erneut anzumelden, wird bei der zweiten Anmeldung die neue Portalsitzung nicht richtig eingerichtet. Dadurch kann die zweite Anmeldung fehlschlagen. Um dieses Problem zu umgehen, verwenden Sie immer den Link zur Abmeldung, bevor Sie sich anmelden.

5.10 Jetzt Beschränkung beim Registerkarten-Headertext

Bei den Registerkarten der obersten Ebene der Benutzeranwendung ist jetzt nur eine bestimmte Anzahl von Zeichen zulässig. Die Längenbegrenzung beträgt 22 Zeichen. Bei allen Sprachen außer Englisch wird der Text abgeschnitten, wenn er die Längenbegrenzung überschreitet, und Auslassungszeichen (...) erscheinen, um anzugeben, dass das Textende nicht angezeigt wird. Der vollständige Text wird angezeigt, wenn der Benutzer den Mauszeiger über den Namen der Registerkarte hält.

6.0 Benutzeranwendung: Verwaltung

In den folgenden Abschnitten werden bekannte Probleme und Problembehebungen beschrieben, die die Verwaltung der Benutzeranwendung betreffen.

6.1 Audit-Dateien werden jetzt in den Installationsordner kopiert, auch dann, wenn Sie die Audit-Prüfung nicht aktiviert haben

Die für das Prüfen erforderliche Dateien ( NAuditPA.jar und logevent.conf) werden jetzt in den Installationsordner der Benutzeranwendung kopiert, auch dann, wenn Sie während der Installation Audit-Prüfung nicht aktiviert haben. Allerdings enthält die Datei logevent.conf einige Parameter, die nach der Installation manuell angepasst werden müssen, falls Sie während des Installationsvorgangs Audit deaktivieren. Diese Parameter werden im Kapitel 3 "Einrichten der Protokollierung" im Administrationshandbuch der Identity Manager-Benutzeranwendung erläutert.

6.2 String-Syntax beim Erstellen von Klassenattributen in iManager verwenden

Der Versuch, mit einem Einzelwertattribut unter Verwendung des Stream-Formats zu aktualisieren, könnte folgende Fehlermeldung generieren:

LDAP: error code 19 - NDS error: can’t have multiple values (-612)

Verwenden Sie zur Behebung des Problems String-Syntax, z. B. Case Ignore String, nicht Stream-Syntax, wenn Sie in iManager Klassenattribute erstellen. Stream-Syntax sollte wegen möglicher Leistungseinbußen sparsam verwendet werden.

6.3 Port-Konflikt in Benutzeranwendung unter OES 2 Linux

Standardmäßig startet die Benutzeranwendung den JBoss-Anwendungsserver auf Port 8009. Dies verursacht einen Konflikt, da OES 2 Linux Port 8009 bereits verwendet. Diesen Konflikt können Sie vermeiden, wenn Sie den JBoss-Port in der Datei service.xml ändern, bevor Sie den JBoss-Anwendungsserver starten.

6.4 NotSerializableException, wenn in einer Cluster-Benutzeranwendung auf "Passwort vergessen" geklickt wird

Wenn "Passwort vergessen" in einer Cluster-Umgebung läuft, sehen Sie womöglich einen Stack-Trace wie den folgenden:

java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (sofern externe forgot password war verwendet wird)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr

Diese Meldung dient nur zur Information. Dies geschieht, wenn Benutzer Aktionen vom Typ "Passwort vergessen" durchführen. Diese Fehlermeldungen betreffen keine Benutzer, die Aktionen vom Typ "Passwort vergessen" durchführen. Benutzer sehen keine Probleme und können ihre Aktionen vom Typ "Passwort vergessen" erfolgreich durchführen

6.5 Bei einigen Portlets tritt ein javax.faces.application-Fehler auf

Wenn Sie WebSphere verwenden, kann bei einigen Portlets, die JSF benutzen, der folgende Fehler auftreten: java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity

Dieser Fehler ist unwesentlich und hat keine Auswirkung auf JSF oder den Portlet-Vorgang. Um den Fehler zu unterdrücken, fügen Sie die folgende Komponente zur WebSphere Change Log Detail Levels hinzu: com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal

6.6 Kontorechte beschränken

Aus Sicherheitsgründen wird empfohlen, das Administratorkonto und die LDAP-Gastkonten auf die Rechte zu beschränken, die zur Erfüllung der beabsichtigten Rollen erforderlich sind. Geben Sie bei der Zuweisung der folgenden Rollen in der Benutzeranwendung (während der Installation oder mithilfe des configupdate-Dienstprogramms nach der Installation) jeweils ein separates Identitätsdepotbenutzerkonto an:

  • LDAP-Administrator

  • LDAP-Gast (sofern verwendet)

  • Benutzeranwendungsadministrator

  • Administrator für Bereitstellungsanwendungen

6.7 Passwortrichtlinien sind nicht vererbbar

Passwortrichtlinien sind nicht vererbbar. Der Benutzeranwendungsadministrator muss einem Container, in dem Benutzer erstellt werden, die Passwortrichtlinie explizit zuweisen. Wenn dies nicht durchgeführt wird, kann es zu diesem Fehler führen.

Ungültige Anforderung für Secure Password Manager (SPM). Besteht das Problem weiterhin, wenden Sie sich an den Systemadministrator.

6.8 SSL-Konfigurationsparameter einstellen

Das Einstellen der Parameter Secure Administration Connection und Secure User Connection im Dienstprogramm "configupdate" ermöglicht die Durchführung von Vorgängen, die SSL nicht erfordern, ohne SSL. Vorgänge, die SSL erfordern, z. B. die Passwortfunktionalität, verwenden nach wie vor SSL.

6.9 Umgeleitete Benutzer können Authentifizierungsprüfungen umgehen

Wenn ein Benutzer nach der Anmeldung umgeleitet wird, um das Passwort zu ändern oder eine Sicherheitsantwort einzugeben, kann er eine URL des Portals eingeben und die Authentifizierungsüberprüfungen bis zur nächsten Anmeldung umgehen. Hierbei handelt es sich um ein bekanntes Problem, für das es zurzeit keine Lösung gibt.

6.10 Verwendung der Schaltfläche "Durchsuchen" führt zum Absturz von configupdate unter Windows

Die Schaltfläche Durchsuchen im Dienstprogramm configupdate führt gelegentlich zum Absturz der JVM unter Windows XP SP2. Um dieses Problem zu umgehen, geben Sie den vollständigen Pfadnamen ein, anstatt die Schaltfläche Durchsuchen zu verwenden.

6.11 Benutzeranwendungstreiber erfordert Aktivierung

Wenn der Anwendungsserver heruntergefahren ist und Sie den aktivierten Benutzeranwendungstreiber neu starten, wird als Aktivierungsstatus des Treibers möglicherweise angegeben, dass eine Aktivierung erforderlich ist, obwohl die Berechtigungsnachweise für die Aktivierung des Treibers geladen wurden. Hierbei handelt es sich um ein bekanntes Problem. Starten Sie zur Vermeidung dieses Problems den Benutzeranwendungstreiber, nachdem der Benutzeranwendungsserver gestartet und bereit steht.

6.12 JGroups-Problem erfordert eine Aufrüstung auf JGroups 2.4.x

Es gibt ein Problem in der in JBoss 4.0.5 GA enthaltenen Version von JGroups (Version 2.2.7), das zu Leistungsproblemen in einer Cluster-Umgebung führen kann. Informationen zu diesem Problem finden Sie unter Deadlock - JBoss.org JIRA. Dieses Problem wurde in JGoups 2.4 behoben. Es wird empfohlen, dass Sie eine Aufrüstung auf JGroups 2.4 oder höher vornehmen und somit das unter JGRP-292 beschriebene Problem vermeiden.

Lesen Sie vor der Aufrüstung auf JGroups 2.4.x (oder vor dem Aufrüsten einer anderen Komponente in der JBoss-Installation) die Kompatibilitätsliste, die unter JBoss-Anwendungsserver, JBossCache and JGroups Compatibility Matrix verfügbar ist.

Downloads und Informationen über JGroups finden Sie unter JGroups - The JGroups Project.

6.13 Ausnahme java.util.NoSuchElementException

Die Ausnahme java.util.NoSuchElementException kann auftreten, wenn die Benutzeranwendung in einem Cluster ausgeführt wird. Diese Ausnahme ist ein bekanntes Problem in JBoss und wurde in einer höheren Version behoben. Weitere Informationen finden Sie auf der JBoss-Website.

Hier ist ein Beispiel eines Stack-Traces, der bei diesem Problem auftritt:

2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)

6.14 Vertrauliche Daten in einer Benutzersitzung werden nicht verschlüsselt

In dieser Version werden vertrauliche Daten (beispielsweise das Anmeldungspasswort für die einmalige Anmeldung) der Benutzersitzung nicht verschlüsselt. Dadurch können vertrauliche Daten Netzwerkschnüfflern in die Hände fallen. Zum Schutz der vertraulichen Daten, die in der Benutzersitzung temporär gespeichert werden und die während der Sitzungsreplizierung in einer Cluster-Umgebung über das Netzwerk übertragen werden können, müssen Sie einen der folgenden Schritte ausführen:

  • Aktivieren Sie die Verschlüsselung für JGroups. Informationen zur Aktivierung der JGroups-Verschlüsselung finden Sie unter JGroups-Verschlüsselung.

  • Stellen Sie sicher, dass sich der Cluster hinter einer Firewall befindet.

6.15 Das Ablaufdatum für Anfangspasswörter für neue Benutzer und Gruppen kann jetzt konfiguriert werden

Administratoren können das Ablaufdatum für Anfangspasswörter für neue Benutzer jetzt konfigurieren. Zum Konfigurieren des Ablaufdatums bearbeiten Sie die Einstellungen für das Erstellen von Portlets. Weitere Informationen hierzu finden Sie im Identity Manager-Benutzeranwendung: Administratorhandbuch.

Geben Sie eine Einstellung für Ablauf des Passworts bei erster Anmeldung an.

  • Bei Angabe von True läuft das Passwort ab, wenn der neue Benutzer sich zum ersten Mal anmeldet.

  • Bei Angabe von False (Standardwert) läuft das Passwort gemäß den eDirectory-Einstellungen ab.

6.16 SOAP verwenden, um die Beibehaltungszeit für Workflows zu überschreiben

Die Standardeinstellung für die Beibehaltung von abgeschlossenen Workflows beträgt 120 Tage. Diese Einstellung kann allerdings unter Verwendung der SOAP-Schnittstelle für die Workflow-Engine geändert werden. Geben Sie in einem Browser die folgende URL ein, um auf die SOAP-Schnittstelle für die Workflow-Engine zuzugreifen:

http://server:host/IDMProv/provisioning/service?test

Wenn Sie die Seite sehen, auf der die Workflow-Engine-Methoden, die Sie aufrufen können, aufgeführt sind, wählen Sie die Methode setCompletedProcessTimeout aus. Der Parameter, den Sie dieser Methode übergeben, ändert die Beibehaltungszeit. Der von Ihnen angegebene Wert muss in Millisekunden sein.

6.17 Ein Workflow wird nicht von einem eDirectory-Ereignis ausgelöst

Wenn ein Workflow-CN ein einfaches Anführungszeichen enthält, kann ein eDirectory-Ereignis das Workflow nicht auslösen. Verwenden Sie das einfache Anführungszeichen nicht in Workflow-CNs.

6.18 Identity Manager-Benutzeranwendungspasswörter und iManager-Passwortrichtlinien koordinieren

Im Identity Manager Benutzeranwendung: Administratorhandbuch fehlen die folgenden Informationen, die Ihnen bei der Koordinierung von Identity Manager-Benutzeranwendungspasswörtern und iManager-Passwortrichtlinien helfen können.

Abschnitte 19.3.1 und 19.7.1, in denen die Vorgabe für das universelle Passwort beschrieben wird: "Wenn das universelle Passwort aktiviert ist, öffnen Sie iManager und wählen SiePasswörter > Passwortrichtlinien > Universelles Passwort > Konfigurationsoptionen. Vergewissern Sie sich, dass die folgende Option aktiviert ist: Überprüfen, ob vorhandene Passwörter der Passwortrichtlinie entsprechen (erfolgt bei der Anmeldung).”

Abschnitt 16.2.1, in dem der Container für die Eigenschaft "Erstellen" beschrieben wird: “Wenn Sie das Portlet zum Erstellen verwenden, um Benutzer zu erstellen, und Benutzer einer iManager-Passwortrichtlinie zuweisen möchten, weisen Sie auch den angegebenen Container derselben iManager-Passwortrichtlinie zu. Somit wird sichergestellt, dass in der Benutzeranwendung erstellte Benutzer automatisch der standardmäßigen iManager-Passwortrichtlinie zugewiesen werden.”

6.19 LDAP-Port muss in ForgotPasswordPortlet eingestellt sein

Wenn Sie sich bei Ihrem Anwendungsserver (JBoss-Server) auf der Anmeldeseite der Benutzeranmeldung anmelden, dabei auf den Link Passwort vergessen klicken und den Benutzernamen eingeben, gibt das Portal möglicherweise folgende Fehlermeldung auf der JBoss-Konsole aus und nimmt keine Umleitung vor:

08:59:17,962 ERROR [EboPortletProxyHelper] Die Portlet-Entität ist nicht vorhanden com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]

Der Fehler wird durch die ldap-sslport-Einstellung im ForgotPasswordPortlet-Portlet verursacht, wenn der standardmäßige TLS-Port (ldaps) 636 anstelle des Ports verwendet wird, der für die sichere Verbindung Ihres LDAP-Servers konfiguriert wurde. Der eDirectory-Administrator hat wahrscheinlich den standardmäßigen, sicheren LDAP-Port der eDirectory-Instanz in einen nicht-standardmäßigen Port geändert. eDirectory-Administratoren ändern LDAP-Ports normalerweise dann, wenn eDirectory auf derselben Hardware wie andere LDAP-fähige Systeme wie etwa Active Directory* ausgeführt wird.

Wenn in Ihrer sicheren LDAP-Konfiguration (TLS) ein anderer Port als 636 verwendet wird, ändern Sie die ldap-sslport-Einstellung im ForgotPasswordPortlet-Portlet wie folgt in den Port, der für Ihr sicheres LDAP konfiguriert wurde:

  1. Öffnen Sie die Benutzeranwendung.

  2. Öffnen Sie Administration > Portletadministration > ForgotPasswordPortlet > ForgotPasswordPortlet-Instanz > Einstellungen.

  3. Ändern Sie den Wert für ldap-sslport vom Standard-Port 636 auf den Port, der für sichere LDAP-Verbindungen Ihres LDAP-Servers konfiguriert wurde.

6.20 Parallele Genehmigungen funktionieren nicht, wenn der Adressat einer Genehmigung einen Adressaten einer anderen Genehmigung referenziert

In einem Bereitstellungs-Workflow mit paralleler Verarbeitung sollte der Adressat einer Genehmigungsaktivität nicht den Adressaten einer anderen Genehmigungsaktivität im Workflow referenzieren. Der Workflow-Engine ist nämlich nicht bekannt, welcher Schritt zuerst ausgeführt wird, da die Aktivitäten parallel verarbeitet werden. Zudem kann das iManager-Plugin für die Konfiguration von Bereitstellungsanforderungen nicht ermitteln, welche Adressaten zu welchem Zeitpunkt zulässig sind. Damit das Plugin die Liste der möglichen Adressaten einschränken könnte, müsste es zu jeder Zeit wissen, welche Aktivitäten bereits abgeschlossen wurden. Diese Funktion wird zurzeit vom Plugin nicht unterstützt.

6.21 Das Durchsuchen von JBoss-Verzeichnissen ist standardmäßig aktiviert

JBoss ermöglicht standardmäßig das Durchsuchen von Verzeichnissen. Wenn Sie die URL-Adresse "http://server:8080/IDMProv/resources/" aufrufen, erhalten Sie eine Liste der Ressourcen unter dieser URL.

Wenn das Durchsuchen von Verzeichnissen nicht aktiviert sein soll, wechseln Sie zu jboss-4.0.2\server\<IDM-Anwendungskontext>\deploy\jbossweb-tomcat55.sar\conf und bearbeiten Sie den "listings"-Eintrag in der Datei web.xml:

<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>

Ändern Sie den "listings"-Wert von "true" in "false", damit die Anzeige der Ressourcen unterdrückt wird.

6.22 Service-config.xml-Dateien enthalten veraltete Versionsnummern

Die Services für verschiedene Subsysteme der Benutzeranwendung enthalten möglicherweise veraltete Versionsnummern. Sie müssen die Versionsnummern in diesen Dateien nicht ändern.

Beispielsweise enthält IDMfw.jar die Datei FrameworkService-conf\config.xml, die folgenden Eintrag als Versionsnummer hat:

<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property> 

6.23 Die Eskalationsrichtlinie der Workflow-Aktivität kann zu Fehlern im Workflow und zur Prozessbeendigung führen

Im Plugin zur Konfiguration der Bereitstellungsanforderungen für iManager können Sie eine Eskalationsrichtlinie definieren, die eine Workflow-Aktivität an den Manager des Originaladressaten umleitet.

Ist der Originaladressat eine Aufgabengruppe mit mehr als einem Manager, schlägt die Eskalation fehl. Das Plugin zur Konfiguration der Bereitstellungsanforderungen verhindert die Definition dieses Eskalationstyps nicht. Seien Sie also vorsichtig und vermeiden Sie diese Konfiguration.

6.24 Starten von Workflows mit dem SOAP-Web-Service kann manchmal zu Fehlern führen

Auf Linux* reicht der Standardwert für gleichzeitig geöffnete Dateien nicht aus, um eine große Zahl an Anforderungen zu unterstützen, die über den SOAP-Web-Service initiiert werden. Der Benutzeranwendungstreiber könnte dieses Limit erreichen, wenn er Web-Service-Endpunkte zum Auslösen von Workflows als Reaktion auf Verzeichnisereignisse verwendet.

Bei Linux liegt die maximale Anzahl offener Dateien standardmäßig bei 1024 Dateien pro Prozess. Wenn Sie den JBoss-Server mit dieser Standardeinstellung starten, können Fehler auftreten, wenn mehr als 40 oder 45 Anforderungen sequenziell über die SOAP-Web-Service-Schnittstelle gestartet werden. Wird das Limit erreicht, können Sie möglicherweise für mehrere Minuten keine Anforderungen mehr starten. In einigen Fällen muss sogar der JBoss-Server neu gestartet werden.

Sie können das Problem umgehen, indem Sie die Anzahl maximal offener Dateien von 1024 auf 4096 erhöhen.

Wenn Sie die Bash-Shell verwenden, führen Sie diese Befehle aus, um das Limit für die Anzahl offener Dateien zu erhöhen:

su - root ulimit -n 4096 su - <user> start-jboss.sh

Wenn Sie die C-Shell verwenden, führen Sie diese Befehle aus, um das Limit für die Anzahl offener Dateien zu erhöhen:

su - root limit descriptors 4096 su - user start-jboss.sh

6.25 Getrennte Benutzeranwendungen sollten eine Instanz des Benutzeranwendungstreibers nicht gemeinsam nutzen

Der Benutzeranwendungstreiber speichert verschiedene anwendungsspezifische Informationen (z. B. die Workflow-Konfiguration und Cluster-Informationen). Deshalb sollte eine einzelne Instanz des Benutzeranwendungstreibers nicht von mehreren Anwendungen gemeinsam genutzt werden.

Die Benutzeranwendung speichert anwendungsspezifische Daten, mit denen die Anwendungsumgebung gesteuert und konfiguriert werden kann. Dazu gehören die Cluster-Informationen für den JBoss-Anwendungsserver und die Workflow-Engine-Konfiguration. Die einzigen Benutzeranwendungen, die eine Einzelinstanz des Benutzeranwendungstreibers gemeinsam nutzen sollten, sind Anwendungen, die Teil desselben JBoss-Clusters sind. Sie sollten mehrere Benutzeranwendungen nicht so konfigurieren, dass sie gemeinsam denselben Treiber nutzen, es sei denn, die Anwendungen gehören zu demselben JBoss-Cluster. Anderenfalls ist die Konfiguration möglicherweise nicht eindeutig und kann bei einer oder auch mehreren Komponenten, die innerhalb der Benutzeranwendung ausgeführt werden, zu einer Fehlkonfiguration führen.

6.26 DNs von Stamm-, Benutzer- und Gruppencontainern unterstützen den Stamm des Baums nicht oder lassen die Auswahl mehrerer Container-DNs zu

Im Installationsprogramm der Identity Manager-Benutzeranwendung können Sie die Stammcontainer-DN, Benutzercontainer-DN und Gruppencontainer-DN für die Anwendung angeben. In dieser Version können Sie "treeRoot" in eDirectory nicht als Stammcontainer angeben. Zudem können Sie nicht mehr als einen Suchstamm für einen bestimmten Objekttyp (Container, Benutzer oder Gruppe) angeben. Sie müssen stattdessen einen einzelnen Suchbereich angeben.

Eine Organisation (o) könnte innerhalb eines Landes (c) oder Standorts (l) definiert werden, wie nachfolgend dargestellt:

c=US o=novell-provo o=novell-waltham

Diese Konfiguration funktioniert.

6.27 Getrennte Instanzen des Benutzeranwendungstreibers sollten denselben Benutzercontainer nicht gemeinsam nutzen

Wenn zwei separate Instanzen des Benutzeranwendungstreibers auf denselben Benutzercontainer verweisen, enthalten die Verfügbarkeitseinstellungen (auf der Seite "Verfügbarkeit bearbeiten" der Benutzeranwendung) Einträge von beiden Anwendungen.

Angenommen, Server 1 ist so konfiguriert, dass er einen Treiber (z. B. driver1,o=novell) verwendet, und Server 2 ist so konfiguriert, dass er einen anderen Treiber (z. B. driver2,o=novell) verwendet. Beide Server sind zudem so konfiguriert, dass sie dieselben Container für Benutzer, Gruppen und Stammcontainer (z. B. ou=users,o=novell usw.) verwenden. Ein Benutzer auf Server 1 erstellt eine Delegiertendefinition für einen Benutzer und eine Bereitstellungsanforderungsdefinition. Der Benutzer wird dann als "nicht verfügbar" für diese Anforderungsdefinition markiert. Server 2 zeigt den Benutzer als "nicht verfügbar", aber er kann den "Friendly Name" (Anzeigename) für die Anforderungsdefinition nicht auflösen. Werden die Delegiertendefinitionen des Benutzers auf Server 2 überprüft, ist die Definition von Server 1 nicht sichtbar.

Die Ursache hierfür besteht darin, dass die Delegierteninformationen, die erstellt werden, wenn Benutzer sich als "verfügbar" bzw. "nicht verfügbar" einstufen, in Benutzerdatensätzen gespeichert werden. Diese Informationen bestehen aus Daten zu Delegierten/Delegierenden zusammen mit der Bereitstellungsanforderungsdefinition und der Anfangs- und Endezeit für die Delegierung. Die Delegiertendefinition, aus der die Delegierungsinformationen abgeleitet sind, wird zusammen mit der Bereitstellungsanforderungsdefinition im Treiber gespeichert.

Es wird empfohlen, nicht zwei separate Treiber-Instanzen zu konfigurieren, die auf denselben Benutzercontainer verweisen.

6.28 Der Benutzeranwendungstreiber muss neu gestartet werden, nachdem eine neue Bereitstellungsanforderungsdefinition erstellt wurde

Der Benutzeranwendungstreiber liest die Liste der Workflow-Attribute, wenn der Treiber gestartet wird. Wenn Sie eine neue Bereitstellungsanforderung definieren und sofort versuchen, eine Schemazuordnungsrichtlinie zu erstellen, werden die Attribute der neuen Bereitstellungsanforderungsdefinition nicht in der Liste der Anwendungsattribute angezeigt, nachdem Sie das Anwendungsschema aktualisiert haben. Der Benutzeranwendungstreiber muss neu gestartet werden, bevor die Bereitstellungsanforderungsdefinition zur Verfügung gestellt werden kann. Nachdem die neue Bereitstellungsanforderungsdefinition erstellt wurde, stoppen Sie den Benutzeranwendungstreiber und starten Sie ihn neu, bevor Sie die Bereitstellungsanforderungsdefinition in den Richtlinien verwenden. Alternativ dazu können Sie im Editor für Schemazuordnungsrichtlinien das Anwendungsschema zweimal aktualisieren.

6.29 Bei der Installation auf einem Cluster wird die Workflow-Engine-ID nicht abgefragt

Beim Ausführen von Workflows in einem Cluster muss die Workflow-Engine eines jeden Servers eine eindeutige ID haben. Diese Engine-ID wird durch Übergabe von "Dcom.novell.afw.wf.engine-id" an die Java VM identifiziert. Auf Linux muss der Benutzer die Datei "jboss/bin/run.conf" bearbeiten und diese Eigenschaft in der JAVA_OPTS-Zeile übergeben. Beispiel:

if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"

Das Installationsprogramm fordert Sie nicht dazu auf, die Workflow-Engine-ID anzugeben. Deshalb müssen Sie die Engine, wie oben beschrieben, durch Übergabe der JAVA_OPTS-Eigenschaft identifizieren.

6.30 Der Server-Cache verursacht Probleme im Zusammenhang mit Bildern im Detail-Portlet

Wenn Sie die Art der Anzeige von Bildern im Detail-Portlet-Header ändern, indem Sie den Tag "$IMG:" angeben, müssen Sie den CompiledLayout-Cache leeren, damit die Änderungen wirksam werden. Führen Sie folgende Schritte aus, um den Cache zu leeren:

  1. Wechseln Sie in der Benutzeranwendung zur Registerkarte Administration.

  2. Wählen Sie die Registerkarte Caching.

  3. Wählen Sie CompiledLayout aus der Dropdown-Liste Cache leeren aus.

  4. Klicken Sie auf Cache leeren.

6.31 Das Dienstprogramm "Portaldatenimport" importiert keine Seiten ohne Beschreibungen

Das Dienstprogramm "Portaldatenimport" ( Administration > Tools > Portaldatenimport) verwendet die Dateien shared-pages.xml und container-pages.xml in der Portaldatenimport-ZIP-Datei, um Container- und gemeinsam genutzte Seiten sowie Portlets zu generieren. Wenn das <description/>-Element leer ist, können keine Seiten importiert werden.

Um dieses Problem zu beheben, geben Sie eine Beschreibung für das <description/>-Element ein und führen Sie den Importvorgang erneut aus.

6.32 Zusätzliche JBoss-Einrichtungsdokumentation

Das Identity Manager Benutzeranwendung: Administrationshandbuch enthält einige Informationen zur Konfiguration von JBoss. Weitere Informationen zur Einrichtung von JBoss finden Sie in den folgenden Quellen:

6.33 Erforderliche Attributrechte für Bereitstellungsanforderungsobjekte

Für die Verwendung des iManager-Konfigurations-Plugins für Bereitstellungsanforderungen müssen Sie über Lese- und Schreibrechte für die den Bereitstellungsanforderungsobjekten zugehörigen Attribute verfügen.

6.34 Unterstützung von Zeichensatzkodierung und Tomcat

Standardmäßig ist der Zeichensatzkodierungsfilter der Benutzeranwendung in web.xml der Benutzeranwendung auf "Aktiviert" eingestellt. Für diese Einstellung ist üblicherweise keine bestimmte Konfiguration erforderlich. Wenn jedoch Tomcat für die URI-Kodierung konfiguriert ist, können Änderungen erforderlich sein. Bei der Konfiguration des Tomcat HTTP/HTTPS-Anschlusses gibt es zwei Attribute, die die Zeichensatzkodierung und Filterkonfiguration beeinflussen.

--URIEncoding

Dieser Eintrag gibt die Zeichensatzkodierung an, die zur Dekodierung der URI-Byte nach der %xx-Dekodierung der URL verwendet wird. Wenn nichts angegeben ist, wird ISO-8859-1 verwendet. Als Anforderung gilt, dass

  • der HTTP- und der HTTPS-Anschluss die gleiche Konfiguration haben.

  • Der Zeichensatzkodierungsfilter sollte so angepasst werden, dass er den Initialisierungsparameter für die URI-Kodierung enthält. Der Wert dieses Parameters sollte mit dem Wert des URIEncoding-Attributs der Tomcat-Anschlusskonfiguration übereinstimmen.

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>

<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>

Fügen Sie außerdem URIEncoding="UTF-8" zu jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml hinzu, z. B.:

<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />Falls SSL aktiviert ist, führen Sie die gleiche Änderung für den SSL HTTP/1.1-Anschluss durch.

--useBodyEncodingForURI

Dieser Eintrag legt fest, ob die in contentType angegebene Kodierung für URI-Abfrageparameter anstelle von URIEncoding verwendet werden soll. Diese Einstellung dient der Kompatibilität mit Tomcat 4.1.x, wobei die Kodierung in contentType angegeben oder explizit in der Request.setCharacterEncoding-Methode für die Parameter der URL festgelegt wird. Der Standardwert ist "false".

Wenn useBodyEncodingForURI auf "True" gesetzt ist, sollte die Filterkonfiguration den Initialisierungsparameter "use-body-encoding" enthalten. Beispiel:

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>

Weitere Details finden Sie auf der Website zur Tomcat-Anschlusskonfiguration

6.35 Änderung des Verhaltens des DirXML-EntitlementResult-Attributs

Die Art, in der das mehrwertige DirXML-EntitlementResult-Attribut behandelt wird, hat sich geändert. In früheren Versionen wurden Berechtigungsergebnisse nicht von diesem Attribut entfernt. Das Standardverhalten hat sich jetzt geändert. Berechtigungsergebnisse werden jetzt nach der Verarbeitung entfernt.

Sie können das Standardverhalten ändern (angeben, ob und ggf. wie Berechtigungsergebnisse entfernt werden sollen). So legen Sie den Berechtigungsentfernungstyp fest:

  1. Rufen Sie in iManager die Seite "Identity Manager - Treiberüberblick" für den Treiber Ihrer Benutzeranwendung auf.

  2. Klicken Sie auf Ereignistransformationsrichtlinien.

  3. Klicken Sie auf die Manage Modify-Richtlinie für den Treiber Ihrer Benutzeranwendung und anschließend auf Bearbeiten.

  4. Klicken Sie auf Berechtigungsentfernungstyp festlegen.

  5. Machen Sie für die Aktion XML-Text anfügen eine der folgenden Angaben in das Feld Zeichenkette eingeben:

    • current: Nachdem der Treiber der Benutzeranwendung benachrichtigt wurde, das Berechtigungsergebnis löschen, das das Ereignis ausgelöst hat. Dies ist das Standardverhalten. Es greift auch ein, wenn kein Berechtigungsentfernungstyp oder ein ungültiger Berechtigungsentfernungstyp festgelegt wurde.

    • none: Das Berechtigungsergebnis nicht entfernen.

    • previous: Alle vorherigen Berechtigungsergebnisse löschen, ohne das Ergebnis zu löschen, das das Ereignis ausgelöst hat.

    • notnewer: Alle vorherigen Berechtigungsergebnisse einschließlich des Ergebnisses, das das Ereignis ausgelöst hat, löschen. Dies sorgt dafür, dass alle Berechtigungsergebnisse beibehalten werden, die nach dem Berechtigungsergebnis erstellt wurden, das das Ereignis ausgelöst hat.

6.36 Zubehör-Portlet der Netzwerkdatei hat eine neue Einstellung

Das Zubehör-Portlet der Netzwerkdatei verfügt jetzt über die neue Einstellung "ShortcutsUseFullyQualifiedPath". Wenn diese Einstellung "True" ist, sind für alle Verknüpfungen, die in der Einstellung "Verknüpfungen" angegeben werden, vollständige Pfade erforderlich. Wenn der Wert "False" ist, müssen alle Verknüpfungen, die in der Einstellung "Verknüpfungen" gemacht werden, Pfade haben, die relativ zum InitialDirectory sind. Wählen Sie "False", wenn Benutzer nur zu Unterverzeichnissen im Pfad navigieren.

6.37 Das Netzwerkdatei-Portlet für den RMI-Zugriff auf NetWare konfigurieren

Bei der aktuellen Version von JBoss hat sich das Konfigurieren des Netzwerkdatei-Portlets für den Zugriff auf einen NetWare-Server über RMI geändert.

Die aktuelle Dokumentation sieht vor, dass njclv2r.jar von sys:\java\njclv2r\lib auf dem NetWare/RMI-Server in das Verzeichnis $JAVA_HOME$/jre/lib/ext auf Ihrer Portalplattform kopiert wird.

Bei der aktuellen Version von JBoss müssen Sie njclv2r.jar in das Verzeichnis .../jboss/server/IDM/lib, wo Ihre Benutzeranwendung anfänglich bereitgestellt wurde, kopieren. Starten Sie JBoss anschließend neu.

6.38 Beenden der Sitzung Ihres NetStorage-Zubehör-Portlets

Klicken Sie in der NetStorage-Web-Schnittstelle auf die Schaltfläche zum Abmelden, wenn Sie Ihre NetStorage-Sitzung beenden und den Zugriff auf alle verwendeten Dateien schließen möchten.

6.39 Single Sign-On (SSO) in Zubehör-Portlets aktivieren

Ersetzen Sie im Identity Manager Accessory Portlet Reference Guide alle Beschreibungen von der Aktivierung des Portlet-SSO mit der folgenden Prozedur:

So aktivieren Sie das Portlet-SSO:

  1. Öffnen Sie in der Benutzeranwendung die Registerkarte Administration und wählen Sie Anwendungskonfiguration.

  2. Wählen Sie Passwortmodul - Setup > Anmeldung.

  3. Klicken Sie auf die Optionsschaltfläche zur Aktivierung von SSO.

6.40 Namensänderung der Protokolldatei

Der Name der Protokolldatei jboss/server/IDM/conf/extendlogging.xml wurde in jboss/server/IDM/conf/idmuserapp_logging.xml geändert. Der neue Name wird im Identity Manager 3.5.1 Benutzeranwendung: Administrationshandbuch, Abschnitt 5.1.4 “Konfiguration der Protokollierung”, Unterabschnitt “Dauerhafte Übernahme von Protokolleinstellungen” verwendet.

6.41 Die Protokollierungskonfiguration lässt das Entfernen eines Pakets nicht zu

Wenn Sie ein Paket zur Protokollliste hinzufügen, wird es umgehend im Protokollierungskonfigurationsfenster angezeigt. So entfernen Sie ein Paket aus der Protokollliste:

  • Klicken Sie nicht auf Protokollierungsänderungen permanent speichern. Das neue Paket wird nicht mehr in der Protokollliste angezeigt, wenn Sie den Server das nächste Mal starten.

  • Wenn Sie auf Protokollierungsänderungen permanent speichern klicken, müssen Sie das Paket manuell aus der Datei idmuserapp_logging.xml entfernen, die sich im Verzeichnis $JBOSS/servers/$seafang/conf befindet.

6.42 PermGen-Speicherplatzfehler

Das Verlagern der Benutzeranwendung in Identity Manager 3.5 bzw. 3.5.1 könnte einen java.lang.OutOfMemoryError: PermGen-Speicherplatzfehler verursachen.

Zur Vermeidung dieser Fehlermeldung haben Sie folgende Möglichkeiten:

  • Starten Sie den JBoss-Server neu

  • Erhöhen Sie den PermSpace-Wert, indem Sie der Java Virtual Machine den Wert -XX:MaxPermSize über JAVA_OPTS im start-jboss-Skript übergeben.

    Geben Sie bei 32-Bit-Systemen 128 MB an, z. B. -XX:MaxPermSize=128m.

    Geben Sie bei 63-Bit-Systemen 256 MB an, z. B. -XX:MaxPermSize=256m.

6.43 Neuzuweisen eines Workflow-Prozesses von einer Workflow-Engine zu einer anderen in einem Cluster

Workflow-Engines in einem Cluster erkennen jetzt, wenn eine Workflow-Engine in dem Cluster fehlgeschlagen ist, und weisen alle Prozesse, die auf der fehlgeschlagenen Workflow-Engine laufen, einer anderen Workflow-Engine zu.

Es könnte allerdings Situationen geben, in denen Sie einen Workflow-Prozess von einer Workflow-Engine zu einer anderen manuell zuweisen möchten (beispielsweise, um Prozesse zurück an eine fehlgeschlagene Workflow-Engine zu verteilen, wenn sie wieder online ist). Verwenden Sie hierzu das iManager-Workflow-Administration-Plugin wie folgt:

  1. Wählen Sie in iManager die Kategorie Workflow-Administration unter Funktionen und Aufgaben.

  2. Wählen Sie Workflows.

  3. Wenn Sie das erste Mal eine Verbindung zu einem Workflow-Server herstellen, geben Sie im Feld Benutzeranwendungstreiber den Namen des Treibers ein und klicken Sie auf OK.

    Die anderen Felder auf dem Bildschirm werden automatisch von iManager ausgefüllt.

  4. (Optional) Überschreiben Sie den Benutzernamen und das Passwort in den Feldern Benutzer bzw. Passwort.

    Der Benutzer muss der Benutzeranwendungsadministrator (Bereitstellungsadministrator) sein. Standardmäßig wird der Benutzername des Benutzers verwendet, der zurzeit bei iManager angemeldet ist. Ist dieser kein Benutzeranwendungsadministrator, müssen Sie den Benutzernamen ändern.

  5. Klicken Sie auf Anmelden.

    Das Plugin "Workflow-Administration" öffnet eine Seite, auf der Sie einen Filter für die Workflow-Suche erstellen können.

  6. Klicken Sie auf Alle Workflows anzeigen und dann auf OK.

    iManager zeigt die Workflow-Prozesse an, die auf dem angegebenen Benutzeranwendungstreiber laufen. In der Spalte Engine wird die Engine-ID einer Workflow- Engine aufgeführt.

  7. Um einen Workflow-Prozess von einer Engine zu einer anderen Engine neu zuzuweisen, wählen Sie im Teilfenster "Workflows" den Workflow aus, indem Sie auf das Kontrollkästchen neben dem Workflow-Namen klicken, und wählen Sie anschließend Aktionen > Neu zuweisen.

6.44 Workflow-Integrationsaktivität verursacht beim Herunterfahren einen Fehler

Wenn die Integrationsaktivität in einem Bereitstellungs-Workflow verwendet wird, erscheint beim Herunterfahren möglicherweise folgender Fehler in der JBoss-Konsole.


15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)

Diese Fehlermeldungen deuten nicht auf ein ernsthaftes Problem hin. Beim nächsten Start von JBoss dürften sich der Server und die Benutzeranwendung normal verhalten.

6.45 Undefinierter Fehler des Email-Benachrichtigungsservers

Die folgenden Fehler treten möglicherweise auf, wenn die Benutzeranwendung zur Verwendung der Email-Benachrichtigung konfiguriert ist. Diese Fehler können Sie ignorieren. Benutzer erhalten nach wie vor Email-Benachrichtigungen.

[Datum Uhrzeit EDT] 00000056 SystemOut O 09:58:35,469 FEHLER [MailEngine] Host-Server für Email-Benachrichtigungen wurde nicht angegeben. Überprüfen Sie das eDirectory-Setup. com.novell.soa.notification.impl.NotificationException: Host-Server für Email-Benachrichtigungen wurde nicht angegeben. Überprüfen Sie das eDirectory-Setup. . . .

oder

13:39:47,264 FEHLER [MailEngine] Standardabsender für Email-Benachrichtigung wurde nicht angegeben. Überprüfen Sie das eDirectory-Setup. com.novell.soa.notification.impl.NotificationException: Standardabsender für Email-Benachrichtigung wurde nicht angegeben. Überprüfen Sie das eDirectory-Setup. unter . . .

7.0 Benutzeranwendung: Leistung

7.1 Zum Steigern der Serverleistung sollte der Zeitüberschreitungswert für Sitzungen optimiert werden

Standardmäßig ist der Zeitüberschreitungswert bei Sitzungen für den Server auf 20 Minuten eingestellt. Der Zeitüberschreitungswert für Sitzungen sollte so angepasst werden, dass er optimal auf die Serverumgebung und die bestehende Auslastung abgestimmt ist. Im Allgemeinen wird empfohlen, den Wert für die Zeitüberschreitung so niedrig wie möglich einzustellen. Wenn es die geschäftlichen Anforderungen erlauben, sollten 5 Minuten eingestellt werden, denn dies ermöglicht dem Server, ungenutzte Ressourcen früher als standardmäßig vorgesehen freizugeben, wodurch der Server schneller und skalierbarer wird.

  • Größere Zeitüberschreitungswerte für Sitzungen können dazu führen, dass auf dem JBoss-Server kein Arbeitsspeicher mehr zur Verfügung steht, wenn sich viele Benutzer anmelden. Dies gilt für alle Anwendungsserver mit zu vielen geöffneten Sitzungen.

  • Wenn sich ein Benutzer bei der Benutzeranwendung anmeldet, wird für den Benutzer eine LDAP-Verbindung hergestellt und an die Sitzung gebunden. Wenn mehr Sitzungen geöffnet sind, werden auch mehr LDAP-Verbindungen offen gehalten, und je höher der Wert für die Zeitüberschreitung eingestellt ist, desto länger werden diese Verbindungen offen gehalten. Zu viele offene Verbindungen zum LDAP-Server wirken sich negativ auf die Systemleistung aus, selbst wenn sich diese Verbindungen im Leerlauf befinden.

  • Wenn auf dem Server OutOfMemoryErrors auftreten und die Tuning-Parameter für den JVM-Heap und die Speicherbereinigung bereits für die Serverumgebung und die bestehende Auslastung optimiert wurden, sollten Sie den Zeitüberschreitungswert für Sitzungen senken.

Der Zeitüberschreitungswert für Sitzungen wird in der Datei web.xml festgelegt.

7.2 Das Aktivieren der Email-Benachrichtigung für Workflows ohne Konfigurierung der Email-Server-Ergebnisse führt zu höherer Arbeitsspeicherbeanspruchung

Wenn Sie die Email-Benachrichtigung in Ihren Bereitstellungsanforderungsdefinitionen aktivieren, aber die Email-Server nicht dafür konfigurieren, sammeln sich immer mehr Email-Benachrichtigungen auf dem Server an, die nie gesendet werden. Dadurch wird unnötig viel Arbeitsspeicher verbraucht.

Wenn Sie die Email-Benachrichtigung aktivieren, müssen Sie den Email-Server konfiguieren, damit auch alle Emails gesendet werden. Wählen Sie zum Konfigurieren des Email-Servers die Email-Serveroptionen in der Workflow-Administration von iManager.

8.0 Lokalisierung

8.1 Anzeigeproblem in der Betreffzeile von Emails

Die Windows GroupWise® Mail- und Outlook*-Clients enthalten einen bekannten Fehler bei der Anzeige des Betrefftextes eines mailto:-HTML-Befehls. Dieser Fehler tritt auf, wenn der Browser einen Doppelbyte-Zeichensatz wie beispielsweise Chinesisch, Japanisch oder Koreanisch verwendet.

In diesem Fall enthält die Betreffzeile beim Senden der Identitätsinformationen aus der Detailseite ungültige Zeichen, da diese Mail-Clients die Doppelbyte-Zeichen nicht richtig interpretieren.

8.2 Mögliches Problem mit der Zeichensatzkodierung

Stellen Sie sicher, dass die Eingabe- und Ausgabezeichensatzkodierungen mit denen der Quell- oder Zielanwendung übereinstimmen. Zeichen, die in der gewählten Ausgabe nicht dargestellt werden können, werden in Fragezeichen ("?") geändert.

8.3 Die Ländereinstellung muss ordnungsgemäß eingestellt sein, damit spezielle Sonderzeichen auf einem deutschen Betriebssystem korrekt dargestellt werden

Wenn Sie das Konfigurationswerkzeug für Benutzeranwendungen (zum Konfigurieren von LDAP-Einstellungen) in einer lokalisierten Betriebssystemumgebung ausführen, werden alle Zeichen in Texteingabefeldern ordnungsgemäß angezeigt. Gibt es beispielsweise chinesische Namen in eDirectory oder geben Sie chinesische Zeichen ein, werden diese in einer chinesischen Betriebssystemumgebung ordnungsgemäß angezeigt. In einer deutschen Betriebssystemumgebung werden eingegebene oder von eDirectory zurückgegebene chinesische Zeichen jedoch als nicht-lesbare Zeichen dargestellt (in der Regel als Quadrate). Dies liegt daran, dass die Ländereinstellung nicht korrekt festgelegt ist.

Wenn in einer deutschen Betriebssystemumgebung spezielle Sonderzeichen dargestellt werden sollen, gehen Sie wie folgt vor:

  • - Wechseln Sie in einer Windows 2000-Umgebung zur Systemsteuerung und wählen Sie Regions- und Sprachoptionen. Stellen Sie auf der Registerkarte Allgemein die Option Gebietsschema auf die lokale Sprache ein (zum Beispiel "Chinesisch (VRC)").

  • - Wechseln Sie in einer Windows 2003-Umgebung zur Systemsteuerung und wählen Sie Regions- und Sprachoptionen. Wählen Sie auf der Registerkarte Regionale Einstellungen die Option Chinesisch (VRC) und übernehmen Sie die Änderung.

  • - Legen Sie in einer SUSE Linux-Umgebung die Umgebungsvariable LANG folgendermaßen fest: export LANG=zh_CN

Diese Vorgehensweise gilt sinngemäß auch für alle anderen Sprachen.

8.4 Das Nachrichtenzubehör-Portlet wurde nicht lokalisiert

Das Nachrichtenzubehör-Portlet wurde nicht lokalisiert.

8.5 Die Schaltfläche "Abbrechen" im Dialogfeld "Kontexteinstellungen" ist nicht lokalisiert

Unter Portaladministration > Seitenadministration zeigt das Dialogfeld "Inhaltseinstellungen" immer den folgenden Text an: “An Ihren ausgewählten Inhalten wurden Änderungen vorgenommen. Klicken Sie auf 'OK', um die Änderungen zu speichern, oder auf 'Abbrechen', um die Bearbeitung abzubrechen."

8.6 Probleme bei der Anzeige des Inhalts von Emails in Sprachen mit Doppelbyte-Zeichensätzen

Wenn Identity Manager eine Email versendet, die Doppelbyte-Zeichen aus Sprachen wie Chinesisch oder Japanisch enthält, hat der Email-Client ein Problem beim Lesen dieser Emails. Wenden Sie sich bitte an den technischen Support von Novell, wenn dieses Problem auftritt.

9.0 iManager

Im folgenden Abschnitt finden Sie Informationen zu bekannten Problemen und Problembehebungen in iManager.

9.1 Aufrüstung des iManager JClient bei der Ausführung von iManager 2.6

Die Plugins von Identity Manager 3.5.1 verwenden die JClient.readReference ( )-API. Diese API wurde in iManager 2.7 aufgerüstet. Wenn Sie iManager 2.6 verwenden, empfiehlt Novell, dass Sie den zugrunde liegenden JClient in iManager 2.6 auf die gleiche Version in iManager 2.7 aufrüsten. Die ältere Version des JClient kann dazu führen, dass iManager abstürzt oder nicht funktioniert.

9.2 Internet Explorer 7 fordert ständig Zugriff auf die Zwischenablage

In iManager und besonders im Richtlinien-Builder fordert Internet Explorer 7 Sie zum Zugriff auf die Zwischenablage auf. So deaktivieren Sie die Aufforderung:

  1. Klicken Sie auf Extras > Internetoptionen.

  2. Wählen Sie das Register Sicherheit und klicken Sie anschließend auf Stufe anpassen.

  3. Suchen Sie Scripting > Programmatischen Zugriff auf die Zwischenablage zulassen und wählen Sie Aktivieren.

    Nach dem Neustart von Internet Explorer wird keine Aufforderung mehr angezeigt.

9.3 Hinzufügen von lokalisierten Email-Schablonen über iManager

So fügen Sie lokalisierte Email-Schablonen über iManager hinzu:

  1. Melden Sie sich bei iManager an.

  2. Erweitern Sie unter "Funktionen und Aufgaben" den Eintrag Passwörter oder Workflow-Administration.

  3. Klicken Sie auf Email-Schablonen bearbeiten (im Plugin "Passwörter") oder Email-Schablonen (unter "Workflow-Administration").

  4. Suchen Sie die Email-Schablone (ohne Gebietsschema im Namen), die Sie kopieren möchten. Notieren Sie sich den Schablonennamen, den Sie in Schritt 5 verwenden möchten. Klicken Sie auf den Betreff der Schablone, um die Schablone zu öffnen, und zeigen Sie den Nachrichtenbetreff, den Nachrichtentext und die Platzhalter-Tags an. Kopieren Sie den Nachrichtenbetreff, den Nachrichtentext (zu übersetzen) und die Platzhalter-Tags, die Sie verwenden möchten, in Ihre neue Schablone. Klicken Sie auf Abbrechen.

  5. Klicken Sie auf Erstellen und geben Sie den Schablonennamen mit einem Gebietsschema als Erweiterung ein. Wenn Sie beispielsweise eine Schablone "Forgot Hint" in Deutsch erstellen, geben Sie als Namen "Forgot Hint_de" ein. Hierbei steht "_de" für "Deutsch (German)". Klicken Sie auf OK.

    HINWEIS: Wenn Sie zwei Buchstaben für die Sprache und zwei Buchstaben für den Ländercode verwenden, funktioniert dies. Wenn Sie beispielsweise versuchen, das Gebietsschema "en_US_TX" verwenden, werden nur die Variante und die Sprache berücksichtigt. Verwenden Sie keine lokalen Varianten bei der Benennung von Email-Schablonen in dieser Version.

  6. Klicken Sie in der Schablonenliste auf die neu erstellte Schablone, beispielsweise "Forgot Hint_de", und geben Sie den übersetzten Betreff und Nachrichtentext z. B. in Deutsch ein. Stellen Sie sicher, dass die Platzhalter-Tags im Nachrichtentext in Dollarzeichen ($) eingefasst sind.

  7. Klicken Sie auf Hinzufügen, um die Platzhalter-Tags einzugeben oder einzufügen, und klicken Sie anschließend auf OK.

  8. Klicken Sie auf Übernehmen und dann auf OK.

Email-Schablonen senden nur dann den ordnungsgemäß lokalisierten Inhalt, wenn das bevorzugte Gebietsschema für den Benutzer eingestellt ist, an den die Mail gesendet wird.

9.4 iManager-Plugin-Fehler: Speichern des Treiberpassworts nicht möglich

Dieses Problem wurde durch Aufrüsten auf NMAS™ 2.3.9 behoben.

9.5 iManager Plugin-Abhängigkeit für den Assistenten für NDS-zu-NDS-Treiberzertifikate

Wenn Sie den NDS-zu-NDS-Treiberzertifikat-Assistenten verwenden möchten, müssen Sie das iManager-Plugin für den Zertifikatsserver herunterladen und installieren.

9.6 Problem beim Erstellen einer neuen Passwortrichtlinie basierend auf den Standardeinstellungen in Mobile iManager 2.6

Bei der Verwendung von Identity Manager 3.5-Plugins und Mobile iManager 2.6 kann iManager unerwartet beendet werden, wenn Sie Neue Passwortrichtlinie auf der Basis der Standardeinstellungen erstellen auswählen. Dieses Problem tritt wegen eines Fehlers im Javascript*-Handler des eingebetteten Mozilla-Browsers auf, der mit Mobile iManager unter Linux geliefert wird.

So können Sie das Problem umgehen:

  1. Starten Sie Mobile iManager und minimieren Sie ihn.

  2. Öffnen Sie Ihren unterstützten Browser und greifen Sie unter der folgenden Adresse auf iManager zu: http:\\localhost:48080\nps\iManager.html.

10.0 Treiber

Sie sollten sicherstellen, dass die Eingabe- und Ausgabezeichensatzkodierungen, die im Treiber für Text mit Begrenzungszeichen konfiguriert sind, mit denen der Quell- oder Zielanwendung übereinstimmen. Wenn sie nicht übereinstimmen, kann dies zu Fehlern oder beschädigten Daten im Identitätsdepot oder in der Anwendung führen. Zeichen, die in der gewählten Ausgabe nicht dargestellt werden können, werden in Fragezeichen ("?") geändert.

11.0 Passwortverwaltung

Im folgenden Abschnitt finden Sie Informationen zu bekannten Problemen und Problembehebungen in Verbindung mit der Passwortverwaltung.

11.1 Die Benutzeranwendung entfernt die Kulanzanmeldung des Benutzers, wenn die Passwortrichtlinie nicht ordnungsgemäß konfiguriert ist

Unter folgenden Umständen entfernt die Benutzeranwendung die Werte in der Einstellung für die Begrenzung der Kulanzanmeldungen des Benutzerobjekts:

  • Sie erstellen eine Passwortrichtlinie, legen aber die Einstellung "Gültigkeitsdauer des Passworts" für die Passwortrichtlinie nicht fest.

  • Sie ändern einen Benutzer dieser Richtlinie so, dass sein Passwort abläuft, indem Sie die Begrenzung der Kulanzanmeldungen des Benutzerobjekts festlegen.

  • Dieser Benutzer meldet sich über die Benutzeranwendung an. Die Benutzeranwendung ignoriert die Einstellung für die Begrenzung der Kulanzanmeldungen des Benutzers und entfernt sie anschließend aus dem Benutzerobjekt.

11.2 In einem Cluster verlieren Passwortverwaltungs-JSF-Portlets den Status, wenn die Benutzeranwendung fehlschlägt

Wenn das Passwortverwaltungs-JSF-Portlet in einer Cluster-Umgebung ausgeführt wird und der Server, der das Portlet ausführt, fehlschlägt, wird der Benutzer automatisch auf einen anderen Server umgeschaltet. Das Portlet wird dem Benutzer ohne Meldung dazu angezeigt, ob der Portlet-Vorgang auf dem Originalserver erfolgreich war oder fehlgeschlagen ist. Der Benutzer kann überprüfen, ob der Vorgang vor dem Serverfehler erfolgreich war oder er kann das Portlet erneut ausführen. Folgende Passwortverwaltungs-Portlets sind davon betroffen:

  • Sicherheitsantwort für Passwort

  • Änderung des Passworthinweises

  • Passwort ändern

11.3 Begrenzte Unterstützung für mehrsprachige Sicherheitssätze

Die in Identity Manager 3.5 enthaltene Benutzeranwendung unterstützt die volle Verwendung von mehrsprachigen Sicherheitssätzen. Sie können diese Funktionalität über iManager konfigurieren und Sie können Passwortrichtlinien festlegen.

Wenn Sie den Novell Client™ 4.9.1 oder älter oder die Passwortverwaltung für Novell eDirectory verwenden, wird diese mehrsprachige Funktionalität noch nicht unterstützt. Sie sollten Benutzern keine Passwortrichtlinien zuweisen, wenn Sie Sicherheitssätze in mehr als einer Sprache definiert haben. Sie können beispielsweise Sicherheitssätze für Deutsch definieren, aber nicht für Deutsch und Französisch.

11.4 Fehler bei der Sicherheitsantwort

Der Benutzer erhält unter folgenden Umständen möglicherweise den Fehler Sicherheitsantwort nicht erfolgt:

  1. Eingabe eines Benutzernamens in der Seite "Passwort vergessen".

  2. Keine Antwort auf die Sicherheitsabfragen.

  3. Klicken Sie auf die Schaltfläche Zurück des Browsers und geben Sie einen anderen Benutzernamen in der Seite "Passwort vergessen" ein.

Um dieses Problem zu umgehen, sollte der Benutzer den 'Passwort vergessen'-Prozess erneut starten, indem er auf diese URL zugreift:

http://<servername>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf

12.0 Sicherheit

Vor dem 9. April 2007 heruntergeladene Versionen von Identity Manager 3.5 enthielten ein Sicherheitsproblem. Unter gewissen Umständen zeigten die iManager-Plugins administrativen Benutzern die Werte von verborgenen Attributen. Das iManager-Plugin wurde so geändert, dass die Anzeige von verborgenen Attributen, die durch Identity Manager-Treiber synchronisiert wurden, nicht mehr erfolgt. Da Treiber oft vertrauliche Daten synchronisieren, sollten die administrativen Rechte dieser Treiber eingeschränkt werden, um unberechtigte Zugriffe zu vermeiden.

Die CRCs der ursprünglichen betroffenen Medien sind:

Identity_Manager_3_5_DVD.iso

0c8c61364414c71fd81df11c1e23737b

Identity_Manager_3_5_Linux_NW_Win.iso

497f707b19ca5cc71e7623269175299e

Identity_Manager_3_5_Unix.iso

5850fea9187075f7e89a05802e80bb74

Sie können die aktuellsten Patches von der Novell-Website herunterladen.

13.0 Änderungen an der Dokumentation

Dieser Abschnitt enthält Änderungen an der Dokumentation zu Identity Manager 3.5.1 einschließlich Korrekturen und zusätzlichen Produktinformationen.

13.1 Änderung an den iChain-Einstellungen der Konfiguration der Benutzeranwendung

Beachten Sie folgende Änderungen an allen Tabellen "Erweiterte Optionen" der Konfigurationsparameter der Benutzeranwendung im Identity Manager 3.5.1 Installationshandbuch , Kapitel 5, “Installation der Benutzeranwendung”:

Alter Name

Ersetzen durch:

iChain-Einstellungen

Access Manager- und iChain-Einstellungen

ICS-Abmeldung aktiviert und Beschreibung

Gleichzeitige Abmeldung aktiviert

Bei Auswahl dieser Option unterstützt die Benutzeranwendung die gleichzeitige Abmeldung von der Benutzeranwendung und von Novell Access Manager bzw. iChain. Bei der Abmeldung leitet die Benutzeranwendung den Benutzer bei Vorhandensein des Novell Access Manager- oder iChain-Cookies zur Seite für die gleichzeitige Abmeldung um.

ICS-Abmeldungsseite und Beschreibung

Seite 'Gleichzeitige Abmeldung'

Die URL für die Abmeldeseite von Novell Access Manager oder iChain, wobei die URL ein Hostname ist, den Novell Access Manager oder iChain erwartet. Wenn die gleichzeitige Abmeldung aktiviert ist und sich ein Benutzer von der Benutzeranwendung abmeldet, wird der Benutzer auf diese Seite umgeleitet. Eine der folgenden beiden URLs sollte die Funktion zum gleichzeitigen Abmelden abhängig von Ihrer Umgebung auf die richtige Seite umleiten:

Access Manager: https://IhrAccessGatewayServer/AGLogout

iChain: https://IhrIChainServer/cmd/ICSLogout

13.2 Angabe von benutzerdefinierten JVM-Eigenschaften in WebSphere

Ersetzen Sie das Folgende für Abschnitt 5.6.12 im Identity Manager 3.5.1 Installationshandbuch:

  1. Kopieren Sie die Datei sys-configuration-xmldata.xml aus dem Installationsverzeichnis der Benutzeranwendung in ein Verzeichnis auf dem Computer, der den WebSphere-Server hostet, beispielsweise /UserAppConfigFiles. Das Installationsverzeichnis der Benutzeranwendung ist das Verzeichnis, in dem Sie die Benutzeranwendung installiert haben.

  2. Geben Sie den Pfad zur Datei sys-configuration-xmldata.xml in den JVM-Systemeigenschaften an. Melden Sie sich dazu als Admin-Benutzer bei der Administrationskonsole von WebSphere an.

  3. Rufen Sie in der linken Kontrollleiste Server > Anwendungsserver auf.

  4. Klicken Sie in der Serverliste auf den Servernamen, z. B. „server1“.

  5. Rufen Sie in der Liste der Einstellungen auf der rechten Seite unter Server Infrastructure die Option Java and Process Management auf.

  6. Erweitern Sie den Link und wählen Sie Process Definition.

  7. Wählen Sie aus der Liste von zusätzlichen Eigenschaften die Option Java Virtual Machine.

  8. Wählen Sie unter der Überschrift Additional Properties für die JVM-Seite die Option Custom Properties.

  9. Klicken Sie auf Neu, um eine neue benutzerdefinierte JVM-Eigenschaft hinzuzufügen.

    1. Geben Sie als Namen extend.local.config.dir ein.

    2. Geben Sie als Wert den Namen des Installationsordners (Verzeichnis) ein, den Sie während der Installation angegeben haben. (Das Installationsprogramm hat in diesem Ordner die Datei sys-configuration-xmldata.xml erstellt.).

    3. Geben Sie als Beschreibung eine Beschreibung für die Eigenschaft ein, beispielsweise Pfad zu sys-configuration-xmldata.xml.

    4. Klicken Sie auf OK, um die Eigenschaft zu speichern.

  10. Klicken Sie auf Neu, um eine weitere neue benutzerdefinierte JVM-Eigenschaft hinzuzufügen.

    1. Geben Sie als Namen idmuserapp.logging.config.dir ein.

    2. Geben Sie als Wert den Namen des Installationsordners (Verzeichnis) ein, den Sie während der Installation angegeben haben.

    3. Geben Sie als Beschreibung eine Beschreibung für die Eigenschaft ein, beispielsweise Pfad zu idmuserapp_logging.xml.

    4. Klicken Sie auf OK, um die Eigenschaft zu speichern.

      HINWEIS:Die Datei idmuserapp-logging.xml wird erst dann erstellt, wenn Sie die Änderungen über Benutzeranwendung > Administration > Anwendungskonfiguration > Protokollierung permanent gespeichert haben.

14.0 Konventionen in der Dokumentation

In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.

Ein Markensymbol (®, ™ etc.) weist auf eine Novell®-Marke hin; Marken anderer Hersteller sind durch ein Sternchen (*) gekennzeichnet.

15.0 Rechtliche Hinweise

Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.

Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.

Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Weitere Informationen zum Export von Novell-Software finden Sie auf der Webseite Novell International Trade Services. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.

Copyright © 2007, Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.

Novell, Inc., besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Diese Rechte auf geistiges Eigentum umfassen möglicherweise insbesondere ein oder mehrere Patente in den USA, die auf der Novell-Webseite Novell Legal Patents aufgeführt sind, sowie ein oder mehrere andere Patente oder laufende Patentanträge in den USA und in anderen Ländern

Novell-Marken finden Sie in der Liste der Novell-Marken.

Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.