Dernière mise à jour le 28 septembre 2007.
Ce document recense les problèmes connus sur Identity Manager version 3.5.1.
D'autres sources de documentation sont actuellement disponibles :
Cette section décrit deux autres éléments·de la liste des nouvelles fonctionnalités (partie Nouveautés du guide d'installation d'Identity Manager 3.5.1).
L'application utilisateur Identity Manager accepte une identification unique via Access Manager, en utilisant n'importe quel service d'authentification tiers capable de se connecter à Access Manager. Cette fonction permet d'utiliser une technologie autre que celle basée sur les mots de passe pour se connecter à l'application utilisateur via Access Manager. Il est ainsi possible de se connecter via un certificat utilisateur (client), avec une carte intelligente (par exemple). Pour plus d'informations sur la sécurité, reportez-vous à la section correspondante de Conception de l'environnement de production du guide d'administration de l'application utilisateur Identity Manager 3.5.1.
Vous pouvez maintenant ajouter des paramètres de recherche dans une URL qui référence les pages blanches d'Identity Manager.
Cette section décrit la configuration système requise pour Identity Manager 3.5.1 :
Identity Manager 3.5.1 pour Java* nécessite la configuration suivante :
L'application utilisateur nécessite Java 5.0.10 pour prendre en charge la signature numérique et Cryptovision.
Sur les serveurs d'applications JBoss*, vous devez télécharger et installer les éléments Sun* JDK* suivants : Java 2 Platform Standard Edition Development Kit 5.0. Utilisez JRE* version 1.5.0_10.
REMARQUE :n'utilisez pas IBM* JDK fourni avec SUSE® Linux Enterprise Server (SLES). IBM JDK fourni avec SLES peut générer des erreurs de corruption de clé principale.
Sur les serveurs d'applications WebSphere, utilisez IBM JDK livré avec WebSphere* Application Server 6.1.0.9 ou version ultérieure, dans le cadre de stratégies non restreintes. Vous devez également appliquer le kit de mise à jour WAS JDK pour 6.1.0.9.
Le programme·d'installation du méta-annuaire installe sa propre copie de JVM sur toutes les plates-formes à l'exception de NetWare. Sous NetWare, le méta-annuaire utilise la version de Java installée sur le système.
Identity Manager 3.5.1 est compatible avec Novell Audit 2.0.2.
Le guide d'installation d'Identity Manager 3.5.1 liste les éléments suivants de configuration requise : l'application utilisateur nécessite WebSphere Application Server (WAS) 6.1.0.9 et le kit de mise à jour WAS SDK pour 6.1.0.9.
En utilisant DB2, vous pouvez rencontrer l'erreur The current transaction has been rolled back because of a deadlock or timeout (La transaction actuelle a été annulée·du fait d'un blocage ou d'un timeout). Si tel est le cas, le problème peut s'expliquer par le fait d'avoir simultanément un grand nombre d'utilisateurs et de bases de données.
DB2 propose plusieurs moyens de résoudre les conflits de verrous, notamment le réglage de l'optimiseur basé sur les coûts. Excellente source de la documentation d'administration de DB2, le guide des performances contient de nombreuses informations sur le réglage.
Aucune valeur de réglage n'est définie·pour toutes les installations car le niveau de simultanéité et la taille des données varient. Toutefois, les conseils suivants sur le réglage de DB2 peuvent servir à votre installation :
La commande reorgchk update statistics actualisera les statistiques utilisées par l'optimiseur. Les mises à jour périodiques de ces statistiques peuvent suffire à minimiser·le problème.
L'utilisation du paramètre de registre DB2 DB2_RR_TO_RS peut améliorer la simultanéité du fait du non-verrouillage de la clé de ligne suivante insérée ou mise à jour.
Augmentez la valeur des paramètres MAXLOCKS et LOCKLIST (base de données).
Augmentez la valeur de la propriété currentLockTimeout (pool de connexion de la base de données).
Utilisez l'assistant de configuration de base de données et optimisez-le pour accélérer les transactions.
Rendez VOLATILES toutes les tables de l'application utilisateur pour indiquer à l'optimiseur que la cardinalité variera considérablement. Pour rendre VOLATILE la table AFACTIVITY par exemple, vous pouvez émettre la commande : ALTER TABLE AFACTIVITY VOLATILE
La commande ALTER TABLE doit être exécutée après le démarrage de l'application utilisateur et une fois les tables de la base de données créées. Pour plus d'informations, reportez-vous à la documentation sur cette instruction. Voici les instructions SQL pour toutes les tables de l'application utilisateur :
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
L'utilisation du pilote Oracle* 9i crée l'exception suivante : org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta]
Pour éviter ce problème, utilisez les pilotes Oracle 10g, ojdbc14.jar et orai18n.jar. Ces pilotes sont compatibles avec Oracle 9i.
Les sections suivantes décrivent les astuces et les bogues d'installation.
Au démarrage de l'application utilisateur sous JBoss s'exécutant comme service Windows, vous pouvez rencontrer l'erreur suivante :
com.sssw.fw.exception.EboUnrecoverableSystemException: Failed to initialize EboPortletContainer framework service. at com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Caused by: java.lang.ClassCastException: . . .
Cette erreur survient si le service JBoss a chargé au démarrage un fichier xalan.jar différent de celui attendu par Identity Manager. Pour contourner·ce problème, ajoutez le chemin au fichier xalan.jar dans·l'entrée -Djava.class.path. Par exemple, l'entrée de registre pour le service est la suivante :
-Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
Relancez ensuite le service.
Vous pouvez ajouter le chemin lors de la création du service ou par la suite.
Si vous installez l'application utilisateur Identity Manager sur un système 64 bits et si·vous choisissez d'installer JBoss et MySQL à l'aide de JBossMysql.bin, vous risquez de rencontrer une erreur lors de l'installation de la base de données MySQL. Pour contourner·ce problème, exécutez setup-mysql.sh, puis start-mysql.sh.
Sur SLES 10 64 bits, l'installation de l'application utilisateur peut entraîner l'affichage de caractères incorrects ou du bouton lorsque vous tentez d'accéder au DN du conteneur racine. Si tel est le cas, assurez-vous d'avoir installé le JRE approprié à votre environnement.
Sous Solaris* 9 et 10, l'installation de l'interface utilisateur graphique échoue lorsque vous utilisez eDirectory™ 8.8.1. Pour contourner le problème, vous pouvez notamment :
exécuter le programme texte d'installation ;
utiliser eDirectory 8.8.2 pour bénéficier·du correctif approprié.
Le script configupdate.sh échoue après l'ajout manuel de fichiers personnalisés à un fichier IDM.war, si SLES 9 sert de base à ce fichier WAR créé avec le binaire jardans /usr/bin/jar. L'erreur est la suivante :
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)
Pour résoudre ou éviter le problème, utilisez une version plus récente du fichier jar pour créer le WAR. Par exemple : /usr/lib/java/bin/jar -cvf IDM.war *
Le message d'avertissement suivant risque de s'afficher lorsque vous démarrez l'application utilisateur à l'aide de la configuration du serveur JBoss par défaut :
WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException
Si vous choisissez la configuration par défaut (noeud unique) au cours de l'installation de l'application utilisateur, vous pouvez ignorer ce message. Ce message provient du serveur d'applications JBoss. Il indique que la configuration choisie pour le serveur d'applications ne permet pas la mise en grappe bien que l'application utilisateur Identity Manager puisse la prendre en charge.
Si le mot de passe du compte d'installation d'Identity Manager contient des caractères spéciaux, il se peut que l'extension du schéma échoue. Vous devez effectuer l'installation avec un autre compte ou modifier le mot de passe.
Lors de la configuration de l'application utilisateur, les versions les plus récentes d'Access Manager risquent de ne pas prendre en charge le chemin d'URL par défaut de·la page de déconnexion ICS sous les de la page Afficher les options avancées. Si le chemin de l'URL par défaut de https://yourIChainServer/cmd/ICSLogout ne fonctionne pas, testez https://yourAccessManagerServer/AGLogout.
Le programme d'installation de l'application utilisateur échoue si le serveur exécute déjà MySQL sans que vous vous voyiez offrir la possibilité de l'installer sur un numéro de port différent de 3306. Ce problème est dû à une limitation de l'utilitaire JbossMysql fourni avec l'application utilisateur mais peut être surmonté à l'aide du programme d'installation MySQL autonome.
Pour contourner le problème, vous pouvez arrêter l'instance MySQL actuelle, puis lancer l'installation. Le programme installe MySQL sur le port 3306 mais demande le port auquel se connecter. Indiquez un nouveau port, puis modifiez le fichier my.cnf de manière à tenir compte de ce changement et relancez l'instance MySQL de l'application utilisateur. Une fois l'instance MySQL relancée, l'application doit désormais s'exécuter correctement. Le programme d'installation de l'application utilisateur doit vous permettre une installation sur un port différent, puis un démarrage·sur ce nouveau port. Pour l'instant, le programme d'installation de l'application utilisateur ne semble fonctionner que si le port 3306 est libre.
Les sections suivantes décrivent les bogues et les correctifs concernant l'interface utilisateur de l'application utilisateur.
L'application utilisateur n'accepte pas les noms de stratégie de mot de passe précédés ou suivis d'espaces. Si des espaces suivent ou précèdent votre stratégie de mot de passe, les utilisateurs verront le message La stimulation-réponse a échoué juste après avoir entré leur nom d'utilisateur dans·la page Mot de passe oublié.
Un ou plusieurs espaces à la fin du nom d'un ensemble·de stimulations peuvent entraîner une erreur lorsque l'application utilisateur tente de renvoyer les questions relatives au mot de passe. Pour éviter ce problème, n'ajoutez pas d'espace à la fin du nom d'un ensemble de stimulations.
Si vous créez une entité telle qu'un utilisateur dans l'application utilisateur et si vous incluez une barre oblique inverse dans son nom, cette barre oblique inverse est multipliée dans le DN complet. Par exemple : myusername\ devient mysusername\\\. Il s'agit d'un bogue connu. Pour contourner·ce bogue, évitez d'utiliser des barres obliques inverses dans les noms d'entité.
Dans l'onglet de l'application utilisateur Identity Manager, la modification des attributs du groupe pour supprimer et ajouter des groupes doit être réalisée sous la forme d'opérations distinctes. Si un groupe est supprimé ou ajouté en une seule étape, le nom du groupe effacé réapparaît lorsque l'utilisateur clique sur le bouton + (Ajouter).
Dans l'application utilisateur, si vous exploitez un navigateur de la famille Mozilla (Firefox*, Netscape* ou Mozilla*) en tant qu'utilisateur A, puis ouvrez une autre instance du navigateur (du même type) en tant qu'utilisateur B, des informations concernant·l'utilisateur B risquent de s'afficher une fois de retour à la première instance du navigateur. En effet, les instances du navigateur partagent (et remplacent) le même cookie. Ce comportement est spécifique aux navigateurs de la famille Mozilla ; il ne se produit pas avec Internet Explorer.
Dans le cadre d'opérations Couper, Coller ou Copier de Firefox, des exceptions peuvent se produire lorsque vous utilisez l'éditeur HTML dans les préférences d'Orgchart. Mozilla ne permet en effet pas aux scripts d'accéder au Presse-papiers pour des raisons de sécurité. Il ne comporte donc pas de bouton Couper, Copier ou Coller.
Dans Firefox, vous pouvez télécharger une extension nommée Assistant Accès au Presse-papiers ; pour cela, sélectionnez Outils > Modules complémentaires pour être dirigé vers le site Web de téléchargement des modules complémentaires.
Après l'avoir téléchargé, l' est accessible via le menu .
Après ouverture, saisissez l'adresse du serveur auquel vous voulez accorder l'accès au Presse-papiers, puis cliquez sur . Vous pouvez ajouter autant de sites Web que vous le souhaitez. Fermez tous les navigateurs Firefox, puis redémarrez Firefox. les opérations Couper/Copier/Coller doivent fonctionner dans Firefox.
Lorsque vous vous connectez à l'application utilisateur Identity Manager, un lien du menu de gauche permet de créer un utilisateur. Pour créer des utilisateurs, vous devez disposer des droits eDirectory nécessaires à l'ajout d'entrées à l'annuaire. L'application utilisateur Identity Manager contient des utilisateurs eDirectory existants. Ces utilisateurs doivent donc déjà disposer des droits nécessaires.
Dans iManager, cliquez sur .
Recherchez l'objet auquel appartient·votre conteneur utilisateur (par exemple, MySample.novell.), puis cliquez sur .
Ajoutez un ayant droit (par exemple, MySample.novell), puis modifiez les droits attribués.
Sous , sélectionnez . Laissez les valeurs par défaut dans les autres champs, puis cliquez sur .
Tous les utilisateurs du conteneur users.MySample.novell peuvent désormais créer des utilisateurs ou des groupes au sein de cette entité MySample.
L'application utilisateur prend en charge les caractères d'iManager. Pour plus d'informations sur le caractère d'échappement, rendez-vous à l'adresse http://www.novell.com/documentation/imanager26/index.html. Dans le guide d'administration d'iManager 2.6, reportez-vous au chapitre 3 (Navigation dans l'interface de iManager), section 3.2 (Caractères spéciaux), page 20.
Lorsqu'un utilisateur est logué à·l'application utilisateur, charge le portlet ou la page de login à partir d'un signet ou de l'historique, puis tente de se loguer de nouveau, le second login ne permet pas la définition correcte de la nouvelle session du portail. Cette seconde tentative de login peut donc échouer. La solution à ce problème consiste à toujours utiliser le lien de logout avant de se loguer.
Dans l'application utilisateur, les onglets de haut niveau appliquent désormais une limite au nombre autorisé de caractères. La limite est de 22 caractères. Dans·les langues autres que l'anglais, le texte est tronqué s'il dépasse la limite. Pour indiquer que le texte est partiellement masqué, des ellipses (...) apparaissent. Pour afficher l'ensemble du texte, l'utilisateur peut survoler le nom de l'onglet.
Les sections suivantes décrivent les bogues et les correctifs concernant l'administration de l'application utilisateur.
Les fichiers nécessaires à l'audit (NAuditPA.jar et logevent.conf) sont maintenant copiés dans le dossier d'installation de l'application utilisateur, même si vous choisissez de ne pas activer l'audit au moment de l'installation. Toutefois, le fichier logevent.conf contient des paramètres dont la modification manuelle est nécessaire après installation en cas de désactivation de l'audit. Ces paramètres sont expliqués dans le chapitre 3 du guide d'administration de l'application utilisateur Identity Manager sur la configuration de la consignation.
Vous risquez d'obtenir le message d'erreur suivant lorsque vous essayez d'effectuer une mise à jour avec un seul attribut de valeur à l'aide d'un format de flux :
LDAP: error code 19 - NDS error: can’t have multiple values (-612)
Pour contourner le problème, utilisez la syntaxe de chaîne et non celle de flux lorsque vous créez des attributs de classe dans iManager. Par exemple : Case Ignore String (la casse n'est pas respectée durant les comparaisons). La syntaxe de flux doit être utilisée avec parcimonie du fait des charges imposées aux performances.
Par défaut, l'application utilisateur lance le serveur d'applications JBoss sur le port 8009. Cette opération·entraîne un conflit car OES 2 pour Linux utilise déjà le port 8009. Pour éviter ce conflit, modifiez le port JBoss dans le fichier service.xml avant de lancer le serveur d'applications JBoss.
Lorsque la fonctionnalité Mot de passe oublié est exécutée dans un environnement en grappe, vous pouvez voir une trace de pile comme suit :
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using exteranl forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
Cela a un but purement informatif et ne nécessite aucune opération. Cela survient lorsque des utilisateurs exploitent la fonctionnalité Mot de passe oublié. Ces messages d'erreur ne concernent pas les utilisateurs de la fonctionnalité Mot de passe oublié. Les utilisateurs ne voient pas de problème et peuvent finir d'utiliser·avec succès la fonctionnalité Mot de passe oublié.
Lorsque vous utilisez WebSphere, certains portlets basés sur JSF risquent de·rencontrer l'erreur suivante : java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity.
L'erreur est bénigne et n'affecte ni JSF ni le fonctionnement du portlet. Pour l'éliminer, ajoutez le composant suivant à Modification des niveaux de détail de journalisation (WebSphere) : com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
Pour des raisons de sécurité, nous recommandons de limiter les comptes administrateur et invité LDAP à l'ensemble minimum des droits requis pour remplir les rôles respectifs qui leur sont dévolus. Lorsque vous assignez les rôles suivants dans l'application utilisateur (au cours de l'installation, ou avec l'utilitaire configupdate après l'installation), indiquez un compte utilisateur du Coffre-fort d'identité séparé pour chaque :
Administrateur LDAP
Invité LDAP (le cas échéant)
Administrateur de l'application utilisateur
Administrateur de l'application de provisioning
Les stratégies de mot de passe ne peuvent pas être héritées. L'administrateur de l'application utilisateur doit appliquer de façon explicite la stratégie de mot de passe à un conteneur dans lequel les utilisateurs sont créés. Si cela n'est pas fait, l'erreur suivante peut se produire :
Invalid Secure Password Manager (SPM) request. If the problem persists, contact your System Administrator.
Le réglage des paramètres et dans l'utilitaire configupdate permet des opérations sans SSL. Si SSL est nécessaire à des opérations (par exemple, à·la fonctionnalité du mot de passe), il continue d'être utilisé.
Si un utilisateur est redirigé après le login pour modifier le mot de passe ou l'indice de stimulation-réponse, l'utilisateur peut saisir une URL du portail et ignorer les vérifications d'authentification jusqu'au login suivant. Il s'agit d'un bogue connu sans solution à l'heure actuelle.
Le bouton de de l'utilitaire configupdate entraîne·parfois le blocage de JVM sous Windows XP SP2. Pour résoudre ce problème, saisissez le nom de chemin complet du fichier au lieu d'utiliser le bouton de .
Lorsque le serveur d'application est arrêté et lorsque vous redémarrez le pilote d'application utilisateur activé, l'état du pilote peut s'afficher comme nécessitant une activation même en cas de chargement des références d'activation. Il s'agit d'un bogue connu. Pour éviter ou résoudre ce problème, démarrez le pilote d'application utilisateur lorsque le serveur d'application utilisateur a démarré et est disponible.
Il existe un problème dans la version de JGroups (version 2.2.7) inclus dans JBoss 4.0.5 GA qui peut provoquer des problèmes de performances dans un environnement en grappe. Pour obtenir des détails concernant ce problème, reportez-vous à Deadlock - JBoss.org JIRA. Ce problème est résolu dans JGroups 2.4. Nous recommandons la mise à niveau vers JGroups 2.4 ou ultérieur pour éviter le problème décrit dans JGRP-292.
Avant d'effectuer la mise à niveau vers JGroups 2.4.x (ou avant d'effectuer la mise à niveau de n'importe quel composant dans l'installation de JBoss), reportez-vous à la liste de compatibilité fournie dans le tableau de compatibilité JBoss Application Server, JBossCache et JGroups.
Pour connaître les téléchargements et les informations relatives à JGroups, reportez-vous à JGroups - The JGroups Project.
Une exception java.util.NoSuchElementException peut se produire lorsque l'application utilisateur est exécutée dans une grappe. Cette exception est un problème connu dans JBoss qui a été corrigé dans une version plus récente. Pour plus d'informations, reportez-vous au site Web de JBoss.
Voici un exemple de la trace de pile qui se produit pour ce problème :
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
Les données sensibles (par exemple, un mot de passe de login pour Single Sign-On) d'une session utilisateur ne sont pas codées dans cette version. Cela peut exposer les données sensibles aux analyseurs réseau. Pour protéger les données sensibles temporairement stockées lors de·la session utilisateur et susceptibles d'être transmises sur le réseau au cours d'une réplication de session dans un environnement en grappe, vous devez effectuer l'une des opérations suivantes :
Activez le code pour JGroups. Pour obtenir des informations concernant l'activation du codage JGroups, reportez-vous à JGroups Encrypt.
Assurez-vous que la grappe se trouve derrière un pare-feu.
Les administrateurs peuvent maintenant configurer l'expiration du mot de passe initial pour les nouveaux utilisateurs. Pour ce faire, modifiez les préférences de création du portlet comme l'indique le guide d'administration de l'application utilisateur Identity Manager.
Indiquez votre préférence d'.
fait expirer le mot de passe au premier login du nouvel utilisateur.
(par défaut) utilise les paramètres eDirectory pour déterminer le moment où le mot de passe expire.
Le paramètre par défaut pour la conservation des informations de workflow complétées est de 120 jours. À des fins de modification, vous pouvez toutefois utiliser l'interface SOAP pour le moteur de workflow. Pour accéder à cette interface, tapez l'URL suivante dans un navigateur :
http://server:host/IDMProv/provisioning/service?test
Dans la page des méthodes de moteurs de workflow que vous pouvez appeler, sélectionnez . Le paramètre transféré à cette méthode modifie la période de conservation. La valeur indiquée doit être exprimée en millisecondes.
Une apostrophe dans un CN de workflow empêche un événement eDirectory de déclencher ce workflow. Évitez d'utiliser une apostrophe dans un CN de workflow.
Le guide d'administration de l'application utilisateur Identity Manager ne contient pas les informations suivantes pour vous aider à coordonner les mots de passe de l'application utilisateur Identity Manager et les stratégies de mots de passe iManager.
Les sections 19.3.1 et 19.7.1 décrivent le critère de mot de passe universel : si la fonctionnalité Mot de passe universel est activée, ouvrez iManager et accédez à Vérifiez que l'option suivante est cochée : .
La section 16.2.1 décrit le conteneur pour la création de propriété : si vous utilisez le portlet Créer pour créer des utilisateurs et si·vous souhaitez les assigner à une stratégie de mot de passe iManager, assignez également le conteneur spécifié à cette même stratégie. Cela permet de s'assurer que les utilisateurs créés dans l'application utilisateur sont automatiquement assignés à la stratégie des mots de passe iManager par défaut.
Dans la page de connexion de l'application utilisateur, le portail risque d'envoyer le message d'erreur suivant sur la console JBoss sans redirection si vous cliquez sur le lien et si vous entrez un nom d'utilisateur :
08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
Cette erreur provient de la préférence ldap-sslport dans le portlet ForgotPasswordPortlet basé sur le port TLS (ldaps) standard par défaut (636) et non sur le port configuré pour la connexion sécurisée de votre serveur LDAP. L'administrateur eDirectory a probablement modifié le port LDAP sécurisé par défaut sur l'instance eDirectory pour un port non standard. Les administrateurs eDirectory changent généralement les ports LDAP lorsqu'ils exécutent eDirectory sur le même matériel physique que d'autres systèmes LDAP tels que Active Directory*.
Si votre configuration sécurisée LDAP (TLS) utilise un autre port que le port 636, changez la préférence ldap-sslport dans le portlet ForgotPasswordPortlet pour le port ldap sécurisé configuré, de la façon suivante :
Ouvrez l'application utilisateur.
Ouvrez .
Remplacez la valeur de ldap-sslport du port 636 par défaut par le port configuré pour les connexions sécurisées de votre serveur LDAP.
Dans un workflow de provisioning basé sur·le traitement parallèle, le destinataire d'une activité d'approbation ne doit pas faire référence au destinataire d'une autre activité d'approbation dans le flux. En effet, le moteur de workflow n'a aucun moyen de savoir quelle sera la première étape exécutée, les activités étant traitées en parallèle. De plus, le plug-in iManager pour la configuration de demande de provisioning ne peut pas déterminer quels seront les destinataires autorisés à un instant donné. Pour réduire la liste des destinataires possibles, le plug-in doit pouvoir analyser le flux afin d'obtenir la liste des activités en amont qui sont déjà terminées. Cette fonctionnalité n'est pas prise en charge dans le plug-in pour l'instant.
Par défaut, JBoss autorise la navigation dans les répertoires. Par conséquent, si vous saisissez l'URL http://server:8080/IDMProv/resources/, la liste des ressources sous cette URL s'affiche.
Pour ne pas activer la fonctionnalité de navigation dans les répertoires, accédez à jboss-4.0.2\server\<IDM-Application Context>\deploy\jbossweb-tomcat55.sar\conf, puis modifiez l'entrée des listes dans le fichier web.xml :
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Pour supprimer l'affichage des ressources, changez la valeur des listes de fichiers de true à false.
Pour les différents sous-systèmes de l'application utilisateur, les fichiers de service peuvent contenir des numéros de version périmés. Il n'est pas nécessaire de modifier ces fichiers pour corriger les versions.
Par exemple, IDMfw.jar contient le fichier FrameworkService-conf\config.xmldont l'entrée suivante indique·le numéro de version :
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
Dans le plug-in iManager pour la configuration de demande de provisioning, vous pouvez définir une stratégie d'escalade qui redirige une activité de workflow vers le directeur du destinataire d'origine.
Si le destinataire d'origine correspond à un groupe de tâches pour lequel il existe plusieurs directeurs, l'escalade échoue. Le plug-in de configuration de demande de provisioning ne vous empêche pas de définir ce type d'escalade. Vous devez donc faire attention pour éviter ce type de configuration.
Sous Linux*, la limite de fichiers ouverts par défaut n'est pas suffisante pour prendre en charge un grand nombre de demandes lancées par l'intermédiaire du service Web SOAP. Le pilote d'application utilisateur peut atteindre cette limite lorsque des points de terminaison·du service Web sont utilisés pour déclencher des workflows en réponse aux événements du répertoire.
Linux a une limite par défaut de fichiers ouverts de 1 024 pour chaque processus. Si vous démarrez le serveur JBoss avec le paramètre par défaut, vous risquez de rencontrer des erreurs lorsque plus de 40 ou 45 requêtes sont démarrées de façon séquentielle par l'intermédiaire de l'interface du service Web SOAP. Lorsque la limite est atteinte, vous risquez de ne plus pouvoir lancer de demandes pendant plusieurs minutes. Dans certains cas, il se peut que vous deviez redémarrer le serveur JBoss.
Pour contourner ce problème, vous pouvez faire passer la limite de 1 024 à 4 096.
Si vous utilisez BASH, exécutez les commandes suivantes pour augmenter la limite des fichiers ouverts :
su - root ulimit -n 4096 su - <user> start-jboss.sh
Si vous utilisez C Shell, exécutez les commandes suivantes pour augmenter la limite des fichiers ouverts :
su - root limit descriptors 4096 su - user start-jboss.sh
Le pilote d'application utilisateur stocke diverses informations (telles que la configuration de workflow et les informations sur les grappes) spécifiques de l'application. Pour cette raison, une instance unique du pilote d'application utilisateur ne doit pas être partagée entre plusieurs applications.
L'application utilisateur stocke des données spécifiques de l'application pour contrôler et configurer l'environnement des applications. Cela inclut les informations de la grappe de serveurs d'applications JBoss et la configuration du moteur de workflow. Les seules applications utilisateur qui doivent partager une même instance de pilote d'application utilisateur sont celles qui font partie de la même grappe JBoss. Vous ne devez pas configurer un ensemble d'applications utilisateur pour leur faire partager un même pilote sauf si ces applications font partie de la même grappe JBoss. Si vous ne suivez pas cette recommandation, votre configuration peut générer des ambiguïtés et une mauvaise configuration pour un ou plusieurs composants exécutés à l'intérieur de l'application utilisateur.
Dans le programme d'installation de l'application utilisateur d'Identity Manager, vous pouvez spécifier le DN de conteneur racine, le DN de conteneur utilisateur et le DN de conteneur groupe pour l'application. Dans cette version, vous ne pouvez pas spécifier la racine de l'arborescence eDirectory comme conteneur racine. De plus, vous ne pouvez pas spécifier plusieurs racines de recherche pour un type d'objet donné (conteneur, utilisateur ou groupe). Vous devez spécifier une seule étendue de recherche.
Une organisation (o) doit être contenue dans un pays (c) ou une localité (l), comme indiqué ci-dessous :
c=US o=novell-provo o=novell-waltham
Ce type de configuration fonctionne.
Si deux instances séparées du pilote d'application utilisateur pointent vers le même conteneur utilisateur, les paramètres de disponibilité (sur la page Éditer la disponibilité de l'application utilisateur) montrent les entrées de disponibilité des deux applications.
Supposons que le serveur 1 soit configuré pour utiliser un pilote (par exemple, driver1,o=novell) et que le serveur 2 soit configuré pour en utiliser un autre (par exemple, driver2,o=novell). Les deux serveurs sont configurés pour utiliser les mêmes conteneurs pour le conteneur utilisateur, groupe et racine (par exemple, ou=users,o=novell). Un utilisateur du serveur 1 crée une définition de délégué pour un utilisateur et une définition de demande de provisioning. L'utilisateur est ensuite marqué comme étant non disponible pour cette définition de demande. Le serveur 2 affiche l'utilisateur comme n'étant pas disponible, mais il ne peut pas résoudre le nom convivial pour la définition de demande. Si les définitions de délégué de l'utilisateur du serveur 2 sont examinées, la définition du serveur 1 n'apparaît pas.
En effet, les informations de délégation (créées lorsque des utilisateurs se marquent comme étant disponibles ou non) sont stockées dans les enregistrements de l'utilisateur. Ces informations incluent celles du délégué/délégant, la définition de demande de provisioning et l'heure de début/fin de la délégation. La définition de délégué, d'où proviennent les informations de délégation, est stockée dans le pilote, avec la définition de demande de provisioning.
Nous vous recommandons de ne pas configurer deux instances de pilote séparées pointant vers le même conteneur utilisateur.
Le pilote d'application utilisateur lit la liste des attributs de workflow lors du démarrage du pilote. Si vous créez une nouvelle définition de demande de provisioning, puis si vous tentez immédiatement de créer une règle d'assignation de schéma, les attributs de la nouvelle définition de demande de provisioning n'apparaissent pas dans la liste des attributs de l'application lorsque vous rafraîchissez le schéma de l'application. En effet, le pilote d'application utilisateur doit être redémarré avant que la définition de demande de provisioning ne soit disponible. Après avoir créé la nouvelle définition de demande de provisioning, arrêtez le pilote d'application utilisateur, puis redémarrez avant de tenter d'utiliser la définition de demande de provisioning dans des stratégies. Une autre méthode consiste, à partir de l'éditeur de règles d'assignation de schéma, à rafraîchir deux fois le schéma de l'application.
Lorsque vous exécutez des workflows dans une grappe, chaque moteur de workflow du serveur doit avoir un ID unique. L'ID du moteur est identifié lors du transfert de -Dcom.novell.afw.wf.engine-id à la machine virtuelle Java. Sous Linux, l'utilisateur doit modifier le fichier jboss/bin/run.conf et transmettre cette propriété au niveau de la ligne JAVA_OPTS. Par exemple :
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
Le programme d'installation ne vous demande pas de spécifier l'ID du moteur de workflow. Vous devez donc identifier le moteur en transmettant la propriété JAVA_OPTS, comme indiqué ci-dessus.
Si vous modifiez la manière dont les images sont affichées dans l'en-tête de portlet Détails en spécifiant la balise $IMG:, vous devez vider le cache CompiledLayout pour que les changements prennent effet. Pour vider le cache, procédez de la façon suivante :
Ouvrez l'onglet de l'application utilisateur.
Accédez à l'onglet .
Sélectionnez dans la liste déroulante .
Cliquez sur .
L'utilitaire d'importation des données du portail ( Administration > Outils > Importation des données de portail) utilise shared-pages.xml et container-pages.xml dans le fichier zip Portal Data Export pour générer un conteneur, des pages partagées et des portlets. Si l'élément <description/> est vide, les pages ne peuvent pas être importées.
Pour résoudre ce problème, indiquez le texte de l'élément <description/> et réalisez à nouveau l'importation.
Le guide d'administration de l'application utilisateur Identity Manager contient des informations concernant la configuration de JBoss. Pour plus d'informations sur la configuration de JBoss, étudiez les sources répertoriées ci-dessous :
Pour obtenir des détails sur la configuration de JBoss en tant que service sur SUSE, reportez-vous au site Web Cool Solutions de Novell.
Pour la configuration d'Apache SSL, reportez-vous à la section correspondante du site Web de JBoss.
Pour obtenir des informations sur IIS SSL, reportez-vous au Forum JBoss : Installation, configuration et déploiement.
Pour utiliser le plug-in de configuration de demande de provisioning iManager, vous devez disposer de droits de lecture et d'écriture sur les attributs associés aux objets de requête de provisioning.
Par défaut, le filtre de codage de caractère de l'application utilisateur est activé dans le fichier web.xml de l'application utilisateur. Généralement, ce paramètre ne nécessite aucune configuration spécifique, mais il peut nécessiter des modifications si vous avez configuré Tomcat pour le codage de l'URI. Deux attributs de la configuration du connecteur Tomcat http/https peuvent affecter le codage du jeu de caractères et la configuration du filtre.
Cette entrée spécifie le codage des caractères utilisé pour décoder les octets de l'URI, après le décodage %xx de l'URL. En l'absence d'indication, ISO-8859-1 est utilisé. Les critères pour cela sont :
Les connecteurs HTTP et HTTPS ont la même configuration.
Le filtre de codage du jeu de caractères doit être modifié pour inclure le paramètre uri-encoding init. La valeur de ce paramètre doit être identique à la valeur de l'attribut URIEncoding dans la configuration du connecteur tomcat.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Ajoutez également URIEncoding="UTF-8" à jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml. Par exemple :
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />If SSL is enabled, make the same change for the SSL HTTP/1.1 Connector.
Cette entrée indique si le codage spécifié dans contentType doit être utilisé pour les paramètres de requête de l'URI au lieu d'URIEncoding. Ce paramètre est présent pour assurer la compatibilité avec la version Tomcat 4.1.x dans laquelle le codage est spécifié dans contentType ou défini de façon explicite à l'aide de la méthode Request.setCharacterEncoding pour les paramètres à partir de l'URL. La valeur par défaut est faux.
Si useBodyEncodingForURI est défini sur Vrai, la configuration du filtre doit inclure le paramètre use-body-encoding init. Par exemple :
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Pour plus de détails, reportez-vous au site Web consacré aux informations de configuration du connecteur Tomcat.
La méthode de gestion de l'attribut à plusieurs valeurs DirXML-EntitlementResult a changé. Auparavant, les résultats des droits n'étaient pas supprimés de cet attribut. Le fonctionnement par défaut a maintenant été modifié. Les résultats des droits sont maintenant purgés après avoir été traités.
Vous pouvez modifier le fonctionnement·par défaut (indiquez si les résultats des droits sont purgés ou non et la manière dont ils le sont). Pour définir le type de purge des droits :
Dans iManager, affichez la page d'aperçu du pilote Identity Manager pour votre pilote d'application utilisateur.
Cliquez sur .
Cliquez sur la stratégie d'édition pour votre pilote d'application utilisateur, puis sur .
Cliquez sur .
Pour l'opération , tapez l'un des éléments suivants dans le champ .
current : après avoir averti le pilote de l'application utilisateur, effacez le résultat des droits ayant entraîné l'événement. Il s'agit du fonctionnement·par défaut. L'élément sert également si le type de purge des droits n'est pas défini ou valable.
none : ne purgez pas le résultat des droits.
previous : effacez tous les précédents résultats de droits sauf celui à l'origine de l'événement.
notnewer : effacez les précédents résultats de droits, notamment celui à l'origine de l'événement. Cela préserve tout résultat de droit ayant été créé après le résultat de droit à l'origine de l'événement.
Le portlet d'accessoire de fichier réseau a·la nouvelle préférence suivante : ShortcutsUseFullyQualifiedPath. Si cette option est définie sur Vrai, les éléments·indiqués dans la préférence Raccourcis doivent contenir des chemins d'accès entièrement qualifiés. Si cette option est définie sur Faux, les éléments indiqués dans la préférence Raccourcis doivent contenir des chemins d'accès relatifs au répertoire InitialDirectory. Sélectionnez Faux si les utilisateurs doivent naviguer uniquement dans les sous-répertoires du chemin d'accès.
Avec la version actuelle de JBoss, la configuration du portlet de fichier réseau pour accéder à un serveur NetWare via RMI a changé.
Actuellement, la documentation invite à copier njclv2r.jar de sys:\java\njclv2r\lib sur le serveur NetWare/RMI vers le répertoire $JAVA_HOME$/jre/lib/ext de votre plate-forme de portail.
Avec la version actuelle de JBoss, vous devez copier njclv2r.jar dans le répertoire .../jboss/server/IDM/lib où votre application utilisateur a été initialement déployée. Relancez ensuite JBoss.
Pour terminer votre session NetStorage et fermer l'accès aux fichiers que vous avez utilisés, cliquez sur le bouton logout dans l'interface Web de NetStorage.
Dans le guide des références du portlet d'accessoires Identity Manager , remplacez chaque description sur la manière d'activer le portlet SSO par la procédure suivante.
Pour activer la connexion unique sur le portlet, procédez comme suit :
Dans l'application utilisateur, ouvrez l'onglet et choisissez .
Sélectionnez .
Cliquez sur le bouton radio qui active la simple demande de connexion.
Le nom du fichier journal jboss/server/IDM/conf/extendlogging.xml est remplacé par jboss/server/IDM/conf/idmuserapp_logging.xml. Le nouveau nom de fichier journal est utilisé dans le guide d'administration de l'application utilisateur Identity Manager 3.5.1, section 5.1.4 Configuration de la consignation, paragraphe Persistance des paramètres de consignation.
Lorsque vous ajoutez un package à la liste des journaux, il s'affiche immédiatement dans l'écran de configuration du login. Pour supprimer un package de la liste des journaux :
Ne cliquez pas sur . Le nouveau package disparaîtra de la liste des journaux au prochain démarrage du serveur.
Si vous cliquez sur , supprimez manuellement le package du fichier idmuserapp_logging.xml situé dans le répertoire $JBOSS/servers/$seafang/conf.
Dans Identity Manager 3.5 ou 3.5.1, vous risquez de rencontrer une erreur d'espacejava.lang.OutOfMemoryError: PermGen si vous redéployez l'application utilisateur.
Pour éviter cette erreur, appliquez l'une des solutions suivantes :
Redémarrez le serveur JBoss.
Augmentez la valeur PermSpace en transmettant -XX:MaxPermSize à la machine virtuelle Java au moyen de JAVA_OPTS dans le script start-jboss.
Pour les machines 32 bits, indiquez 128 mégaoctets. Par exemple : -XX:MaxPermSize=128m.
Pour les machines 64 bits, indiquez 256 mégaoctets. Par exemple -XX:MaxPermSize=256m.
Les moteurs de workflow d'une grappe détectent désormais le moment où un moteur de workflow de la grappe a échoué. Ils réassignent automatiquement toute procédure du moteur de workflow défaillant à un autre moteur de workflow.
Il peut toutefois y avoir des situations dans lesquelles vous souhaitez réassigner manuellement une procédure d'un moteur de workflow à un autre (par exemple, pour renvoyer des procédures à un moteur de workflow en panne lorsqu'il est ramené en ligne). Pour ce faire, utilisez le plug-in d'administration de workflows iManager comme suit :
Sélectionnez la catégorie dans la section d'iManager.
Sélectionnez .
Si vous ne vous pas êtes encore connecté à un serveur de workflow, indiquez le nom du pilote dans le champ , puis cliquez sur .
iManager complète automatiquement les autres champs de cet écran.
(Facultatif.) Écrasez le nom d'utilisateur dans le champ et le mot de passe dans le champ .
L'utilisateur doit être l'administrateur de l'application utilisateur (administrateur de provisioning). La valeur par défaut du nom d'utilisateur correspond à l'utilisateur actuellement logué à iManager. Si cet utilisateur n'est pas l'administrateur, vous devez choisir un autre nom d'utilisateur.
Cliquez sur Login.
Le plug-in d'administration du workflow affiche une page dans laquelle vous pouvez indiquer un filtre de recherche pour les workflows :
Cliquez sur , puis sur .
iManager affiche les procédures de workflow qui s'exécutent sur le pilote de l'application utilisateur spécifié. La colonne liste·l'identifiant d'un moteur de workflow.
Pour réassigner une procédure de workflow d'un moteur à un autre, sélectionnez le workflow dans le volet Workflows en cochant la case en regard de son nom, puis cliquez sur .
Lorsque l'activité Intégration se produit dans un workflow de provisioning, cette erreur s'affiche dans la console JBoss à la fermeture.
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
Ces messages d'erreur n'indiquent pas un problème grave. Lorsque vous redémarrez JBoss, le serveur et l'application utilisateur doivent fonctionner normalement.
Les erreurs ci-dessous·peuvent se présenter dans le journal lorsque l'application utilisateur est configurée de manière à utiliser la notification par message électronique. Vous pouvez ignorer ces erreurs. Les utilisateurs continuent à recevoir des notifications par messagerie.
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Notification email server host unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email server host unspecified. Check eDirectory setup. . . .
oi
13:39:47,264 ERROR [MailEngine] Notification email default -from- unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email default -from- unspecified. Check eDirectory setup. at . . .
Par défaut, le timeout de session du serveur est de 20 minutes. Le timeout de session doit être réglé pour correspondre au serveur et à l'environnement d'utilisation dans lequel l'application sera exécutée. En général, il est conseillé de régler la valeur de timeout de session sur une valeur aussi faible que possible. Si les exigences de l'activité permettent un timeout de session de cinq minutes, le serveur peut·libérer les ressources inutilisées plus tôt que la valeur par défaut. Il est donc plus rapide et plus évolutif.
Des timeouts de session supérieurs peuvent amener le serveur JBoss à manquer de mémoire si de nombreux utilisateurs sont logués. Cela est vrai de n'importe quel serveur d'applications qui a trop de sessions ouvertes.
Lorsqu'un utilisateur se connecte à l'application utilisateur, une connexion LDAP est créée pour l'utilisateur et est liée à la session. Ainsi, si plus·de sessions sont ouvertes, plus de connexions LDAP sont conservées ouvertes et, plus le timeout de session s'accroît, plus ces connexions sont conservées ouvertes. Un nombre trop élevé de connexions ouvertes sur le serveur LDAP peut provoquer la dégradation des performances du système, même si les connexions sont inactives.
Si le serveur rencontre des erreurs OutOfMemoryErrors, et si les paramètres de réglage de segment JVM* et de nettoyage de la mémoire ont déjà été optimisés pour les environnements du serveur et d'utilisation, vous pouvez envisager de réduire le timeout de session.
Le timeout de session est configuré dans le fichier web.xml.
Si vous activez la fonctionnalité de notification par messagerie dans vos définitions de requête de provisioning sans configurer de serveurs de messagerie, les notifications par messagerie s'empilent sur le serveur sans jamais être envoyées. Toute la mémoire disponible finit par être consommée.
Si vous activez la fonctionnalité de notification par messagerie électronique, veillez à configurer le serveur de messagerie de manière à bien envoyer les messages. Pour configurer le serveur de messagerie, sélectionnez sous dans iManager.
Les clients Windows GroupWise® et Outlook* présentent·un bogue connu lors de l'affichage du texte de l'objet à partir d'une commande HTML mailto:. Ce bogue apparaît lorsque le navigateur utilise une langue avec un jeu de caractères à deux octets. Par exemple : le chinois, le japonais ou le coréen.
Dans ce cas, lorsque vous envoyez des informations d'identité à partir de la page Détail, la ligne Objet comporte des caractères non valides car la fonction unescape de ces clients de messagerie relative aux caractères à double octet ne fonctionne pas correctement.
Vous devez vérifier que le codage des caractères d'entrée et de sortie correspond à celui utilisé par l'application source ou de destination. Les caractères qui ne peuvent pas être représentés dans la sortie sélectionnée sont transformés en points d'interrogation ("?").
Si vous exécutez l'outil de configuration de l'application utilisateur (pour configurer les paramètres LDAP) dans un environnement d'exploitation localisé, toutes les zones de saisie de texte s'affichent correctement. Par exemple, s'il existe des noms distinctifs chinois dans eDirectory, ou si vous saisissez des caractères chinois, ils s'affichent correctement dans un environnement d'exploitation chinois. En revanche, si vous utilisez un environnement d'exploitation anglais, les caractères chinois saisis ou renvoyés par eDirectory s'affichent comme des caractères illisibles (probablement des carrés). En effet, la préférence locale n'est pas configurée correctement.
Si vous utilisez un environnement d'exploitation anglais et si vous voulez afficher des caractères localisés, procédez de la façon suivante :
- Dans un environnement Windows 2000, accédez au Panneau de configuration et sélectionnez . Sous l'onglet , définissez sur la langue locale. Par exemple, Chinois (République Populaire de Chine).
- Dans un environnement Windows 2003, accédez au Panneau de configuration et sélectionnez . Sous l'onglet , sélectionnez et appliquez la modification.
- Dans un environnement SUSE Linux, définissez la variable d'environnement LANG de la façon suivante : export LANG=zh_CN
La même procédure de base s'applique à toutes les langues.
Le portlet d'accessoire de message n'a pas été localisé.
Dans > , la boîte de dialogue des préférences de contenu affiche toujours le texte suivant en anglais : "Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving."
Lorsqu'Identity Manager envoie un message électronique contenant une langue avec un jeu de caractères à double octet telle que le chinois ou le japonais, le client de messagerie rencontre un problème pour le lire. Contactez le Support technique de Novell si vous rencontrez ce problème.
Les sections suivantes décrivent les bogues, les correctifs et les solutions pour iManager.
Les plug-ins Identity Manager 3.5.1 utilisent l'API JClient.readReference ( ). Cette API a été mise à jour dans iManager 2.7. Si vous exécutez iManager 2.6, Novell recommande de mettre à niveau JClient pour qu'il utilise la même version que dans iManager 2.7. L'ancienne version de JClient peut aboutir·à un blocage ou à un arrêt d'iManager.
Lorsque vous vous trouvez dans iManager, en particulier dans le générateur de stratégies, Internet Explorer 7 vous invite continuellement à accéder au Presse-papiers. Pour désactiver cette invite :
Cliquez sur > .
Sélectionnez l'onglet , puis cliquez sur .
Accédez à > , puis sélectionnez .
Lorsque vous redémarrez Internet Explorer, l'invite disparaît.
Pour ajouter des modèles de messages localisés via iManager :
Loguez-vous à iManager.
Sous Rôles et tâches, détaillez ou .
Cliquez sur (sous le plug-in Mots de passe) ou (sous Administration du Workflow).
Identifiez le modèle de message électronique (sans paramètre régional dans le nom) à copier. Écrivez le nom du modèle à utiliser à l'étape 5. Cliquez sur l'objet du modèle pour l'ouvrir et consulter l'objet, le corps et les balises de remplacement du message. Copiez l'objet du message, le corps (à traduire) et les balises de remplacement à utiliser dans votre nouveau modèle. Cliquez sur .
Cliquez sur et entrez le nom du modèle avec une extension régionale. Par exemple, pour créer un modèle d'astuce en cas d'oubli en allemand, entrez le nom Forgot Hint_de où _de signifie Deutsch (allemand). Cliquez sur .
REMARQUE : si vous utilisez des codes de langue et de pays à deux lettres, cela fonctionne. Si vous tentez d'utiliser un paramètre régional avec une variante comme en_US_TX, seules la variante et la langue sont prises en compte. N'utilisez pas de variantes régionales pour donner un nom à des modèles de courriers électroniques dans cette version.
Dans la liste des modèles, cliquez sur le modèle récemment créé (par exemple, Forgot Hint_de), puis tapez l'objet traduit et le corps du message, (par exemple, en allemand). N'oubliez pas de préserver les balises de remplacement entourées par le signe du dollar ($) dans le corps du message.
Cliquez sur pour entrer ou coller des balises de remplacement, puis cliquez sur .
Cliquez sur , puis sur .
Les modèles de messages électroniques n'envoient le contenu correctement localisé que si le paramètre régional préféré est paramétré pour l'utilisateur à qui le courrier est envoyé.
Ce problème se corrige à l'aide de la mise à niveau vers NMAS™ 2.3.9.
Si vous voulez utiliser l'assistant Certificats de pilote NDS-to-NDS, vous devez télécharger et installer le plug-in iManager pour le serveur de certificats.
Lorsque vous utilisez les plug-ins Identity Manager 3.5 et Mobile iManager 2.6, iManager peut s'arrêter de manière inattendue·lorsque vous sélectionnez . Ce problème se produit du fait d'une erreur dans le gestionnaire Javascript* du navigateur Mozilla intégré qui est fourni avec Mobile iManager sous Linux.
Pour résoudre ce problème :
Démarrez Mobile iManager, puis réduisez-le.
Ouvrez votre navigateur, puis accédez à iManager à l'adresse suivante : http://localhost:48080/nps/iManager.html.
Vérifiez que les codages des caractères d'entrée et de sortie configurés dans le pilote de texte délimité correspondent à ceux utilisés par l'application source ou cible. Les non-concordances entraînent des erreurs ou des corruptions de données dans le coffre-fort des identités ou dans l'application. Les caractères qui ne peuvent pas être représentés dans la sortie sélectionnée sont transformés en points d'interrogation (?).
Les sections suivantes décrivent les bogues, les correctifs et les solutions concernant la gestion des mots de passe.
L'application utilisateur supprime les valeurs du paramètre de login de limite de l'objet utilisateur dans le cas·suivant :
Vous créez une stratégie de mot de passe sans définir le paramètre de durée de vie du mot de passe dans la stratégie.
Pour modifier un utilisateur de cette stratégie et ainsi permettre à son mot de passe d'arriver à expiration, définissez·les logins de limite sur l'objet utilisateur.
Cet utilisateur se logue via l'application utilisateur. L'application utilisateur ignore le paramètre de login de limite de l'utilisateur puis le supprime de l'objet utilisateur.
Si un portlet JSF de gestion des mots de passe s'exécute dans un environnement en grappe et si·le serveur qui exécute le portlet tombe en panne, une commutation de serveurs se produit automatiquement. Le portlet est affiché pour l'utilisateur sans message permettant de savoir si son fonctionnement sur le serveur initial a réussi ou échoué. L'utilisateur peut déterminer·si l'opération a réussi avant la panne du serveur ou revenir au portlet. Les portlets de gestion des mots de passe concernés sont :
Stimulation-réponse de mot de passe
Modification de l'indice du mot de passe
Modifier le mot de passe
L'application utilisateur intégrée à Identity Manager 3.5 prend en charge l'utilisation complète des ensembles de stimulation multilingue. Vous pouvez configurer cette fonctionnalité par l'intermédiaire d'iManager et en configurant les stratégies de mot de passe.
Si vous utilisez Novell Client™ 4.9.1 ou une version ultérieure, ou la gestion des mots de passe pour Novell eDirectory, cette fonction multilingue n'est pas encore prise en charge. Il n'est pas recommandé d'assigner des stratégies de mot de passe à des utilisateurs si vous avez défini des ensembles de stimulation dans plusieurs langues. Par exemple, vous pouvez définir des ensembles de stimulation pour le français, mais pas pour le français et l'allemand.
Un utilisateur peut rencontrer l'erreur La stimulation-réponse a échoué lorsqu'il :
Tape un nom d'utilisateur dans la page Mot de passe oublié.
Ne répond pas aux questions de stimulation.
Clique sur le bouton de du navigateur, puis tape un autre nom d'utilisateur dans·la page Mot de passe oublié.
Pour résoudre ce problème, l'utilisateur doit redémarrer la procédure d'oubli du mot de passe en accédant à cette adresse :
http://<nomserveur>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf
Les téléchargements d'Identity Manager 3.5 préalables au 9 avril 2007 présentaient·un problème de sécurité. Sous certaines conditions, les plug-ins iManager affichaient pour les administrateurs les valeurs d'attributs masqués. Un correctif a été réalisé sur le plug-in iManager pour interdire l'affichage d'attributs masqués ayant été synchronisés par les pilotes Identity Manager. Les pilotes synchronisant souvent des informations sensibles, leurs droits administratifs doivent être limités pour éviter un accès non autorisé.
Les CRC du support initial concerné·sont :
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
Vous pouvez vous procurer les derniers correctifs sur le site Web des téléchargements de Novell.
Cette section inclut des modifications de la documentation Identity Manager 3.5.1, notamment des corrections et des informations complémentaires sur le produit.
Remarque : pour les changements suivants apportés à toutes les tables Options avancées des paramètres de configuration de l'application utilisateur, reportez-vous au guide d'installation d'Identity Manager 3.5.1 , chapitre 5 (Installation de l'application utilisateur) :
Remplacez ce qui suit par la section 5.6.12 du guide d'installation d'Identity Manager 3.5.1 :
Copiez le fichier sys-configuration-xmldata.xml du répertoire d'installation de l'application utilisateur dans un répertoire de la machine hébergeant le serveur WebSphere, par exemple /UserAppConfigFiles. Le répertoire d'installation de l'application utilisateur est celui dans lequel vous avez installé l'application utilisateur.
Définissez le chemin d'accès du fichier sys-configuration-xmldata.xml dans les propriétés du système JVM. Loguez-vous à la console d'administration WebSphere en tant qu'utilisateur administrateur pour ce faire.
Dans le panneau de gauche, accédez à .
Cliquez sur le nom du serveur dans la liste des serveurs (par exemple, server1).
Dans la liste des paramètre de droite, accédez à sous .
Développez le lien et sélectionnez .
Sous la liste des , sélectionnez .
Sélectionnez sous le titre de la page JVM.
Cliquez sur pour ajouter une nouvelle propriété du système JVM.
Pour le , indiquez extend.local.config.dir.
Pour la , tapez le nom du dossier d'installation (répertoire) indiqué pendant l'installation. (Le système d'installation a écrit le fichier sys-configuration-xmldata.xml dans ce dossier.)
Pour la , entrez une description de la propriété. Par exemple : le chemin vers sys-configuration-xmldata.xml.
Cliquez sur pour enregistrer la propriété.
Cliquez sur pour ajouter une autre propriété du système JVM.
Pour le , indiquez idmuserapp.logging.config.dir.
Pour la , entrez le nom du dossier d'installation (répertoire) indiqué pendant l'installation.
Pour la , entrez une description de la propriété. Par exemple : le chemin vers idmuserapp_logging.xml.
Cliquez sur pour enregistrer la propriété.
REMARQUE : le fichier idmuserapp-logging.xml n'existe pas tant que vous maintenez les changements dans .
Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.
Un symbole de marque (®, ™, etc.) indique une marque de Novell®. Un astérisque (*) indique une marque commerciale de fabricant tiers.
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations·d'exportation nécessaires.
Copyright © 2007 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell.
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.