Novell Identity Manager 3.5 Readme

最終更新: 2007年3月19日

この文書には、Identity Manager 3.5の既知の問題が含まれています。

目次

追加のマニュアルについては、次を参照してください。

1.0 Identity Manager 3.5のシステム要件

この項では、Identity Manager 3.5のシステム要件について説明します。

1.1 サポートされるサーバオペレーティングシステム

Identity Manager 3.5では、表1に一覧表示されているサーバオペレーティングシステムがサポートされています。

表1Identity Manager 3.5: サポートされるサーバオペレーティングシステム

サーバOS

32ビットプロセッサ上の32ビットOS

64ビットプロセッサ上の32ビットOS

64ビットプロセッサ上の64ビットOS

NetWare® 6.5 SP6

該当なし

OES 1.0 NetWare

該当なし

Windows* NT

該当なし

Windows 2000 Server

該当なし

Windows Server 2003

このリリースでは、パスワード同期はサポートされていますが、メタディレクトリエンジンを含むその他のコンポーネントはサポートされていません。

Red Hat* Linux* AS 3.0

該当なし

Red Hat Linux AS 4.0

SLES 8

SLES 9

SLES 10

該当なし

OES 1.0 Linux

該当なし

Solaris* 9

該当なし

該当なし

Solaris 10

該当なし

該当なし

AIX* 5.2L

該当なし

該当なし

AIX 5.3

該当なし

該当なし

Linux (Red HatとSLES)、NetWare、およびWindowsオペレーティングシステムの32ビットプロセッサ:

  • Intel* x86-32

  • AMD* x86-32

Linux (Red HatとSLES)、NetWare、およびWindowsオペレーティングシステムの64ビットプロセッサ:

  • Intel EM64T

  • AMD Athlon64

  • AMD Opteron*

1.2 メタディレクトリエンジンのプラットフォーム

Identity Manager 3.5では、以下のメタディレクトリエンジンのプラットフォームがサポートされています。

  • NetWare 6.5 (最新のSPおよびeDirectory™ 8.7.3または8.8.1搭載)

  • OES 1.0 NetWare SP2 (eDirectory 8.7.3または8.8.1等再)

  • Windows NT* (eDirectory 8.7.3、8.8 SP2、またはRemote Loader搭載)

  • Windows 2000 Server SP (eDirectory 8.7.3、8.8.1、またはRemote Loader搭載)

  • Windows Server 2003 SP (eDirectory 8.7.3、 8.8.1、またはRemote Loader搭載)

  • Red Hat Linux AS 3.0 (eDirectory 8.7.3、8.8、またはRemote Loader搭載)

  • Red Hat Linux AS 4.0 64ビット版(eDirectory 8.7.3、 8.8.1、またはRemote Loader搭載)

  • SLES 8 (eDirectory 8.7.3、またはRemote Loader搭載)

  • SLES 9 (eDirectory 8.7.3、8.8.1、またはRemote Loader搭載)

  • SLES 10 (eDirectory 8.8.1、またはRemote Loader搭載) (Xen* virtualizationは使用できません。)

  • OES 1.0 Linux (eDirectory 8.7.3、8.8.1、またはRemote Loader搭載)

  • Solaris 8 (eDirectory 8.7.3、またはRemote Loader搭載) (eDirectory 8.8.xは、Solaris 8ではサポートされていません)

  • Solaris 9 (eDirectory 8.7.3、8.8.1、またはRemote Loader搭載)

  • Solaris 10 (eDirectory 8.8.1、またはRemote Loader搭載)

  • AIX 5.2L (eDirectory 8.7.3、8.8.1、またはRemote Loader搭載)

  • AIX 5.3 (eDirectory 8.8.1、またはRemote Loader搭載) IDM 3.5は、eDirectory 8.8.2の出荷後、AIX 5.3で有効になります。

サポートの追加条件は以下のとおりです。

  1. IDM 3.5 では、次の2つのeDirectory 8.8.xの機能がサポートされています。

    • マルチインスタンス

    • 暗号化属性

  2. IDM 3.5では、root以外のインストールメカニズムでインストールされたeDirectoryのインスタンスはサポートされていません。

1.3 Java

Identity Manager 3.5には以下のものが必要です。これらはメディアには含まれていません。

1.4 管理サーバプラットフォーム

管理サーバ、iManager 2.6には、以下のプラットフォームのいずれかが必要です。

  • NetWare 6.5

  • OES 1.0 SP2 on NetWare

  • Windows 2000 Server SP4

  • Windows Server 2003

  • Windows XP Professional SP2 (iManagerワークステーションのみ)

  • Red Hat Linux AS 3.0

  • Red Hat Linux AS 4.0 64ビット版(eDirectory 8.8.1は64ビットのRed Hat Linux AS 4.0をサポート)

  • Red Hat Enterprise Linux Workstation (iManagerワークステーションのみ)

  • SLES 9 SP2

  • SLES 10 (Code 10)

  • SUSE® Linux 9.1 iManagerワークステーションのみ

  • SUSE Linux 9.3 iManagerワークステーションのみ

  • OES 1.0 SP2 on Linux

  • Solaris 9

  • Solaris 10

1.5 Novell Audit

Identity Manager 3.5ではNovell® Audit 2.0.2がサポートされています。

1.6 サポートされるブラウザ

Identity Manager (iManagerプラグインとユーザアプリケーションの両方)では、次のブラウザがサポートされています。

  • Internet Explorer 6 SP1

  • Internet Explorer 7

  • Firefox* 2

1.7 アプリケーションサーバのプラットフォーム

アプリケーションサーバでサポートされるプラットフォームは、次のとおりです。

  • SLES 9 SP2

  • SLES 9 SP2 (OES SP2に内蔵)

  • OES 1.0

  • SLES 10

  • Windows 2000 Server

  • Windows Server 2003

  • Solaris 10

1.8 データベースのプラットフォーム

サポートされるデータベースは以下のとおりです。

  • MySQL* 5.0.x
  • Oracle* 9i
  • Oracle 10g
  • MS SQL 2005

2.0 Identity Managerのインストール

次の項では、インストールの情報、既知の問題、および使用可能な対処法について説明します。

2.1 eDirectory 8.8.1を使用しているときに、Solaris 9および10でGUIのインストールが失敗する

eDirectory 8.8.1を使用している場合、Solaris 9および10でGUIのインストールが失敗する場合の対処法は以下のとおりです。

  • テキストベースのインストールプログラムを実行するか、

  • この問題の修正プログラムが含まれているeDirectory 8.8.2を使用します。

2.2 パスワード内で特殊文字が使用されている場合、インストール時にスキーマを拡張できない

Identity Managerのインストール用のアカウントパスワードに特殊文字が使用されている場合、スキーマを拡張できないことがあります。その場合は、別のアカウントを使用するか、パスワードを変更してインストールする必要があります。

2.3 ソースパスにスペースが含まれている場合、LinuxにIdentity Managerをインストールできない

Linuxインストールディレクトリをパスにスペースが含まれている場所にコピーする場合、install.binの実行時にインストールが失敗します。ディレクトリパスにスペースを使用しないことをお勧めします。

2.4 インストールプログラムの実行時に、ユーザアプリケーションの環境設定パネル上のテキストが消えることがある

非常にまれな状況において、パネルを再度立ち上げたときに、ユーザアプリケーションの環境設定パネルの一部のオプションに関連付けられているテキストが消えることがあります。

次の手順を実行すると、この問題が発生することがあります。

  1. ユーザアプリケーションをインストールするためにIdmUserApp.exeを実行します。

  2. JBOSS-MYSQLのインストールを完了し、Identity Managerのインストールを続行します。

  3. ユーザアプリケーションの環境設定パネルで、必須の情報を入力し、[OK]をクリックします。

  4. 概要ウィンドウで、[前へ]をクリックして、前のウィンドウに戻ります。

  5. 戻ったウィンドウで[次へ]をクリックして、パネルを再度立ち上げます。

パネルが再度表示されたときに、入力フィールドが表示されないことがあります。この問題は、Dell* Optiplex* GX260 (1GBのRAM搭載)でのみ再現されています。

2.5 configupdateユーティリティをサイレントインストールで起動する

サイレントインストールをリモートで開始する場合、configupdateユーティリティがGUIモードで開始しようとして失敗し、Headlessexceptionメッセージが表示されます。この問題を回避するには、

-use_console true

をコマンドに追加して、configupdateスクリプトを実行します。

2.6 WARにファイルを追加した後で、configupdateスクリプトが失敗する

WARがSLES 9で配布される/usr/bin/jarのjar binaryで作成されている場合、カスタムファイルを手動でIDM.warに追加した後で、configupdate.shスクリプトが失敗します。エラーメッセージは次のとおりです。

DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)

この問題を解決または回避するには、jarの新しいバージョンを使用してWARを作成します。以下の例を参照してください。/usr/lib/java/bin/jar -cvf IDM.war *

2.7 クラスタリングのセットアップが失敗する

デフォルトのJBossサーバの設定でユーザアプリケーションを起動すると、次の警告メッセージが表示されることがあります。

WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException

ユーザアプリケーションのインストール中にデフォルトの設定(シングルノード)を選択した場合は、このメッセージは無視できます。このメッセージの表示元はJBoss Application Serverです。このメッセージは、Identity Managerのユーザアプリケーションではクラスタリングがサポートされていますが、アプリケーションサーバの環境設定でクラスタリングをサポートしないことを選択したことを示しています。

2.8 JBoss Application ServerおよびMySQLをインストールする

MySQLおよびJBoss Application Serverは、ユーザアプリケーションのインストールとは独立した手順で、別々にインストールされます。

ユーザアプリケーションのインストール手順では、MySQLもJBoss Application Serverもインストールされません。 この説明は、すべてのユーザアプリケーションのインストール手順(GUI、コンソール、サイレント)に当てはまります。ユーザアプリケーションのインストール手順には、ユーザアプリケーションをMySQLおよびJBossに設定するオプションはありません。

SSH(Secure Shell)セッションでは、MySQLおよびJBoss Application Serverのインストール手順の使用はサポートされていません。SSHセッションでMySQLおよびJBossをインストールしようとすると、次のエラーが表示されます。


Invocation of this Java Application has caused an InvocationTargetException. This application will now exit. (LAX) Stack Trace: java.awt.HeadlessException: No X11 DISPLAY variable was set, but this program performed an operation which requires it. at java.awt.GraphicsEnvironment.checkHeadless(Unknown Source) at java.awt.Window.<init>(Unknown Source) at java.awt.Frame.<init>(Unknown Source)

2.9 MySQLをサービスとしてインストールする

Windowsシステムでは、Windowsシステムが開始および停止したときに、自動的に開始および停止するように、MySQLをWindowsサービスとして実行したい場合があります。NovellのMySQLのインストールユーティリティには、このオプションはありません。一方、MySQL独自のインストール手順にはこのオプションがあります。詳細については、http://dev.mysql.com/doc/refman/5.0/en/windows-start-service.htmlを参照してください。

3.0 ユーザアプリケーション用のデータベースをセットアップする

この項では、ユーザアプリケーションで使用するためにデータベースをセットアップするための要件について説明します。

3.1 データベースはUnicodeエンコード方式の文字セットを使用する必要があります。

ユーザアプリケーションには、Unicodeエンコード方式を使用するデータベース文字セットが必要です。たとえば、UTF-8はUnicodeエンコード方式を使用する文字セットですが、Latin1はUnicodeエンコード方式を使用しません。ユーザアプリケーションをインストールする前に、データベースがUnicodeエンコード方式がある文字セットで設定されていることを確認してください。

3.2 ユーザアプリケーション用のMySQLデータベースをセットアップする

  1. MySQLサーバをインストールします。オプションで、UTF-8の文字セットをサーバ全体に設定します。

  2. データベースを作成し、文字セットを設定します。mysql環境設定ファイルを編集します(Windowsではmy.ini、Linuxではmy.cnf)。次の値を設定します。

    character_set_server=utf8default-table-type=innodb
    
  3. MySQLサーバにログインするユーザを作成し、そのユーザに権限を与えます。たとえば次のようにします。

    GRANT ALL PRIVILEGES ON <dbname.>* TO <username>@ <host> IDENTIFIED BY ‘ password

    最小の権限のセットは、CREATE、INDEX、INSERT、UPDATE、DELETE、およびLOCK TABLESです。GRANTコマンドのマニュアルについては、http://www.mysql.org/doc/refman/5.0/en/grant.htmlを参照してください。

  4. 多くのユーザが同時にワークフロー操作を実行する場合は、データベースのパフォーマンスを向上するために、MySQLの環境設定の次の値を増やすことを検討してください。

    • table_cache
    • sort_buffer_size
    • innodb_buffer_pool_size
    • Innodb_log_file_size
    • innodb_log_buffer_size

3.3 UIの文字が正しく表示されない

UIの文字が正しく表示されない場合、データベースでUTF-8文字セットがサポートされていることを確認してください。

MySQLデータベースの文字セットを確認するには、次の手順に従います。

  1. MySQLサーバに対してMySQL Administratorを実行します。

  2. [変数の設定]>[詳細]の順に選択します。

  3. デフォルトの文字セットがutf8であるかどうか確認します。

文字セットがutf8でない場合は、MySQLの環境設定ファイルを編集します(Windowsではmy.ini、Linuxではmy.cnf)。次の値を設定します。

character_set_server=utf8default-table-type=innodb

Identity Manager 3.5のインストールガイド』の「ユーザアプリケーションのインストール」に記載されているデータベース文字セットの設定に関する説明も参照してください。

3.4 ユーザアプリケーション用のOracleデータベースをセットアップする

  1. Oracleサーバを作成し、AL32UTF8を使用して、Unicodeエンコード方式の文字セットを指定します。(AL32UTF8を参照してください)。

  2. ユーザを作成します。(これにより、自動的にデータベースが作成されます)。SQL Plusユーティリティを使用して、次のステートメントを生成します。これらのステートメントにより、ユーザが作成され、ユーザの権限が設定されます。次を参照してください。

    CREATE USER idmuser IDENTIFIED BY password
    
    GRANT CONNECT, RESOURCE to idmuser
    

    ユーザに次の権限を与えます。

    • CONNECT
    • RESOURCE
    • CREATE SEQUENCE
    • CREATE TABLE
    • CREATE VIEW

3.5 ユーザアプリケーション用のMS SQL Serverデータベースをセットアップする

  1. MS SQL Serverをインストールします。

  2. サーバに接続し、データベースとデータベースユーザを作成するアプリケーションを開きます(通常は、SQL Server Management Studioアプリケーション)。

  3. データベースを作成します。

    SQL Serverでは、データベースの文字セットの選択はできません。IDMユーザアプリケーションは、SQL Serverの文字データをNCHAR、NVARCHAR、またはNTEXTのカラムタイプに格納します。これらのカラムでは、UTF-8がサポートされています。

  4. ログインを作成します。

  5. ログインをデータベースのユーザとして追加します。

  6. ログインに次の権限を与えます。CREATE TABLE、CREATE INDEX、SELECT、INSERT、UPDATE、およびDELETE。

4.0 ユーザアプリケーション: ユーザインタフェース

この項では、ユーザアプリケーションインタフェースの問題と対処法について説明します。

4.1 adminにより割り当てが作成されたときにユーザを「利用可能」に設定しようとすると、EboSecurityExceptionになる

ユーザを「利用可能」に設定しようとすると、Team Managerでセキュリティ例外が発生することがあります。これは、Team ManagerではなくAdministratorによって作成された既存の割り当てを委任するときに発生します。そして、Team ManagerはChange Status of 'Available for All Requestsを使用して、チームメンバーを「利用可能」に設定しようと試みます。

この問題に対処するには、Team ManagerでそれぞれのTeam Availability設定を個々に削除する必要があります。このようにすることで、ドロップダウンオプションを使用したかのように、1つずつ削除できます。

4.2 ワークフローを送信するときに、重複エントリ"Welcome_IdentityMgrIntroMessagePortlet' for key 1"エラーになる

次のエラーが表示される場合に

2007-01-19 14:08:17,805 ERROR [org.hibernate.util.JDBCExceptionReporter:error]Duplicate entry 'Welcome_IdentityMgrIntroMessagePortlet' for key 12007-01-19 14:08:17,811 ERROR

必要な操作はブラウザのリフレッシュだけです。このエラーは、2人以上のユーザが新たに起動したサーバに対して、同じページまたはポートレットを同時にリクエストしているような競合状態のときに、まれに発生します。ポートレットはそのポートレットに対する初期リクエストの間に登録されます。そのため、複数のリクエストが同時に発生する場合、ポータルのフレームワークが複数の登録を実行しようとし、上記の重複データエラーが発生します。

4.3 検索リストポートレット: 複数値の属性の検索

複数値の属性に対して、否定的な検索(does not containなど)を実行する場合、値のいずれかが条件に一致しているオブジェクトではなく、オブジェクトの値のいずれも一致しないオブジェクトのみが返されます。たとえば、数字203を含まない電話番号を持っているユーザの検索を実行するとします。ユーザ1が電話番号を2つ持っていて、1つの番号に203が含まれている場合、ユーザ1は検索結果の一部として返されません。複数値の属性に対して、肯定的な検索(starts-withまたはcontainsなど)を実行する場合、その属性の値のいずれかが条件に一致するオブジェクトが返されます。たとえば、電話番号に203を含むユーザの検索ではユーザ1が返されます。

4.4 家の住所がユーザアプリケーション内で正しく表示されない

その他]タブを使用して、iManagerにユーザの家の住所を入力した場合、ユーザアプリケーションでは、このアドレスが余分な文字(区切り文字)を含んでいるアドレスとして認識されます。これは既知のの問題です。 現在、Identity Manager 3.5のユーザアプリケーションでは、Postal Address Syntax (0.9.2342.19200300.100.1.39)はサポートされていません。

4.5 匿名で送信されたリソース要求により、[マイタスク]ページに例外が発生する

リソース要求を匿名で送信する場合、サーバで例外が発生することがあります。例外は、ユーザが承認者としてログインしている場合に発生することがあります。[マイタスク]を選択すると、サーバに次の例外が発生することがあります。

08:04:32,640 INFO [LogEvent] [Workflow_Started] Initiated by GUEST_UID, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreat eNewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID, Secondary User: null 08:04:33,109 INFO [LogEvent] [Workflow_Forwarded] Initiated by System, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreate NewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID 08:05:02,468 ERROR [VirtualDataAccess] Ldap error getting attributes for object: GUEST_UID. Error: javax.naming.InvalidNameException: GUEST_UID: [LDAP : error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID' javax.naming.InvalidNameException: GUEST_UID: [LDAP: error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID'...

ゲストアカウントを作成する場合は、このエラーを発生させることはできません。

4.6 ログイン文字列内の空白と下線

eDirectoryでは下線付き文字は空白として扱われます。eDirectoryでは、送信された検索文字列の先頭と最後の空白が切り取られます。そのため、ユーザ'jmiller'は、ユーザ名' jmiller ' '_jmiller' 'jmiller_' または '______jmiller______'としてログインすることができます。これはeDirectoryの動作であり、Identity Managerの問題ではありません。この件については、https://secure-support.novell.com/KanisaPlatform/Publishing/463/3656313_f.SAL_Public.htmlを参照してください。

4.7 複数値の属性ではコロン(:)の使用を避ける

複数値の属性または属性の説明でコロン(:)を使用すると、オブジェクトの更新時にLDAPエラーが発生します。Identity Managerのユーザアプリケーションは、複数値の属性の値をアンパックするときに、コロンをセパレータとして使用します。対処法としては、複数値の属性およびその説明を指定するときに、コロンの使用を避けます。

4.8 エンティティ名内のバックスラッシュが増える

ユーザアプリケーションにユーザなどのエンティティを作成し、名前にバックスラッシュを含める場合、full dn内でバックスラッシュが増えます。例、myusername\mysusername\\\となります。

対処法としては、エンティティ名内でのバックスラッシュの使用を避けます。

4.9 Firefoxに2つの別のユーザとして同時にログインできない

ユーザアプリケーションで、Mozilla系ブラウザ(Firefox、Netscape*、またはMozilla*)を使用してユーザAとしてログインし、次に、同じ種類のブラウザの別のブラウザインスタンスを開いてユーザBとしてログインした場合、1つ目のブラウザインスタンスに戻ると、ユーザBの情報が表示されます。これは、両方のブラウザインスタンスで同じCookieを共有してるため、2つ目を開いたときにCookieの内容が上書きされるためです。この問題はMozilla系ブラウザでのみ発生します。Internet Explorerでは発生しません。

4.10 Firefoxの組織図でHTMLエディタを使用すると、例外が発生する

Firefoxを使用している場合、[組織図]ページでHTMLエディタを使用しているときに、切り取り操作、貼り付け操作、またはコピー操作を行うと、例外が発生する場合があります。Mozillaではセキュリティ上の理由により、スクリプトからクリップボードにアクセスすることができません。そのため、Firefoxでは、[切り取り]、[コピー]、[貼り付け]の各ボタンは無効になっています。

Firefoxでは、[ツール]メニューの[拡張機能]をクリックし、拡張機能ダウンロード用Webサイトを開いて、AllowClipboard Helperという拡張機能をダウンロードできます。

ダウンロードすると、Firefoxの[ツール]メニューに[AllowClipboard Helper]というコマンドが表示されます。

このコマンドをクリックして[AllowClipboard Helper]ウィンドウを開き、クリップボードの使用権限を付与したいサーバのアドレスを指定し、[許可]をクリックします。サーバは、必要なだけ追加できます。すべてのFirefoxのブラウザを閉じてから、Firefoxを再起動します。これで、Firefoxで切り取り/コピー/貼り付けの各操作を実行できるようになります。

4.11 ユーザアプリケーションでは特殊文字をエスケープする必要がある

ユーザアプリケーションでは、iManagerと同じ文字がサポートされています。特殊文字のエスケープの詳細については、iManagerのマニュアルの「特殊文字」を参照してください。

4.12 先にログアウトしないでログインすると、ログインが失敗する

あるユーザがユーザアプリケーションにログインした後、ブックマークまたは履歴を使ってログインポートレットまたはログインページをロードし、再度ログインしようとした場合、2回目のログインでは、新しいポータルセッションが正しく確立されません。そのため、2回目のログインが失敗する場合があります。この問題に対処するには、ログインする前には常にログアウトリンクを使用してください。

5.0 ユーザアプリケーション: 管理

この項では、ユーザアプリケーションの管理に関する問題と対処法について説明します。

5.1 ワークフローエンジンがクラスタ内で早くタイムアウトになることがある

クラスタ内のサーバがダウンしているときに、ハートビート間隔およびファクタに変更を加えると、そのサーバのワークフローエンジンが開始後の早い時期にタイムアウトになることがあります。そのクラスタ内のすべてのサーバを再起動すると、この問題は解決できます。

5.2 configupdateユーティリティで設定を保存すると、期待どおりの動作をしない

configupdateユーティリティの[詳細オプション]パネルを使用して、デフォルトの設定をカスタマイズしている場合、[OK]をクリックする前に[詳細オプションを隠す]をクリックすると、その設定は保存されません。このバグに対処するには、[詳細オプションを隠す]をクリックしないで[OK]をクリックします。

5.3 [参照]ボタンをクリックして、configupdateユーティリティ内でプロビジョニングアプリケーションのドライバを選択する

configupdateユーティリティでプロビジョニングアプリケーションのドライバの名前を入力する場合、オブジェクトの名前を指定する際に大文字と小文字を間違って入力することができます。大文字と小文字を正しく使用して名前を指定するようにするには、入力フィールドの右側にある[参照]ボタンをクリックし、プロビジョニングアプリケーションのドライバを検索して、選択します。

5.4 Linuxユーザーに"Too Many Open Files"エラーが表示されることがある

Linuxではプロセスごとに1024ファイルを開くことができますが、ユーザアプリケーションではそれ以上のファイルが必要なことがよくあります。Too Many Open Filesエラーが表示されないようにするために、開けるファイルの数を4096に増やすことをお勧めします。

開けるファイルの数を増やすには、ulimitコマンドを使用します。root以外のユーザの場合、ulimitコマンドの使用には制限がありますが、ulimitコマンドを使用して、root以外のユーザが開けるファイルの数を4096に増やす方法の例を次に示します。

  1. rootとしてログインします。

  2. ファイル/etc/security/limits.confを編集します。ユーザ名smithにエントリを追加し、nofileの値を4096まで認めます。

    smith hard nofile 4096
    
  3. ユーザsmithとしてログインし、ulimit -nコマンドに4096を渡します。引数を設定しないでこのコマンドを再度発行して、現在の値を確認することができます。

    smith@myhost:~> ulimit -n 4096smith@myhost:~> ulimit -n

  4. 新しい値が常に使用されるように、ユーザ環境にulimitを指定するか、start-jbossスクリプトを指定することができます。

5.5 ユーザアプリケーションのGroupWiseポートレットが、Access Manager Version 3.0のLinuxバージョンで動作しない

IDM Version 3.5のユーザアプリケーション内のGroupWiseポートレットは、Access Manager Version 3.0のLinuxバージョンでは動作しません。これは既知のバグです。IDM Version 3.5のユーザアプリケーション内のGroupWiseポートレットは、Access Manager Version 3.0のNewWareベースのバージョンの暫定リリース1では動作します。

5.6 Novell Auditに対するログの有効化が失敗すると、ログの環境設定画面に紛らわしいメッセージが表示される

ユーザアプリケーションで、管理者が[管理]タブのログページで[Novell Auditにもログメッセージを送信する]を選択していて、Auditサーバが稼動していない場合、紛らわしいメッセージが表示されることがあります。Auditサーバが稼動していない場合、ユーザアプリケーションではAuditキャッシュを検出できません。これは、Novell Auditへのログが有効ではなく、リクエストの送信後もチェックボックスが(予想どおり)オフのままであることを意味します。一方、ページの上部に表示されるメッセージには、ログの変更が正常に更新されましたと表示されます。このメッセージは、Novell Auditへのログが有効になっていないことを示し、問題の原因を説明するものである必要があります。

5.7 ワークフローがシングルフロープロビジョニングメンバーを使用し、受信者がグループ内である場合、プロビジョニング管理者がステータスを確認できない

プロビジョニング管理者が、シングルフロープロビジョニングメンバー戦略で定義されたワークフローを使用して、グループのためにチームリソースをリクエストする場合、プロビジョニング管理者は[チームリクエスト]ページでリクエストのステータスを確認できません。これは、[チームリクエスト]ページでは、グループではなく、個々のチームメンバーの選択のみ許可されているためです。

この問題に対処するために、検索条件を使用して、[チームリクエスト]ページに対するリクエストをフィルタすることができます。たとえば、管理者がイニシエータであるリクエストを検索することができ、期間やリクエストのカテゴリを指定することもできます。

5.8 ゲストユーザを使用して送信されたリクエストに対する通知が送信されない

テンプレートのデフォルトが変更されていない定義テンプレートを使用して作成されたリクエスト定義のために、ゲストユーザを使用して送信されたリクエストには通知が送信されないことがあります。このエラーはアプリケーションサーバのコンソールにログされます。

リクエストテンプレートのデフォルトの動作では、完了の通知がリクエストのイニシエータに送信されます。GUEST UIDを使用しており、それがゲストアカウントに関連付けられていない場合が、電子メールアドレスの評価が失敗します。その結果、電子メールは送信されず、エラーがアプリケーションサーバのコンソールにログされます。

通知のセットアップを完了するには、次のいずれかの操作を行います。

  • GUEST UIDとアカウントを関連付けます。詳細については、『Identity Manager 3.5ユーザアプリケーション: 管理ガイド』の「ユーザアプリケーションへの匿名またはゲストアクセスを有効にする」を参照してください。

  • GUEST UIDにリクエストの送信を許可する予定の場合は、リクエストフォームに入力フォームフィールドを追加して、このフィールドに確認メッセージが送信される電子メールアドレスを指定することができます。確認の電子メールアドレスをフローデータのドキュメントに保存します。保存した電子メールアドレスをTOマッピングに使用するために、操作終了メールを変更します。

または、リクエスト定義の通知をオフにします。

5.9 ネットワークファイルポートレットのNoClassDefFoundError

ネットワークファイルポートレットのNoClassDefFoundErrorは、ポートレットがnjclv2rアーカイブファイルを検出できなかったことを示しています。この問題を解決するには、次の手順に従います。

  • 該当するnovell-njcl-devel-2006.02.22-.....ファイルをhttp://developer.novell.com/wiki/index.php/Njclcからシステムにコピーします。

  • njcl.jarアーカイブファイルをユーザアプリケーションのWebアーカイブ(WAR)ファイル内の(WEB-INF/libディレクトリに追加します。WEB-INF/libは、JBoss Application Serverの展開ディレクトリにあります。このディレクトリは通常jboss/server/APP_NAME/deployです。

5.10 プロキシでワークフローを正常に開始する

プロキシでワークフローを開始するには、以下のすべてが真である必要があります。

  • プロキシがあるユーザは、ユーザアプリケーション管理者でもある必要があります。

  • ユーザアプリケーション管理者には、ワークフローを使用する権限がある必要があります。

  • ユーザアプリケーション管理者には、イニシエータになる人のプロキシを保持している必要があります。

  • ユーザアプリケーションのドライバパラメータ[イニシエータの上書きを許可する]が[はい]に設定されている必要があります。

通常どおり、プロキシのワークフローだけではなく、ユーザアプリケーションのすべての作業を行うには、ユーザアプリケーションドライバ内のユーザはユーザアプリケーション管理者である必要があります。

5.11 アカウントの権限を制限する

セキュリティのため、管理者やLDAPゲストのアカウントは、意図する役割を果たすために必要な最小の権限セットに制限することをお勧めします。ユーザアプリケーションで次の役割を(インストール中、またはインストール後にconfigupdateユーティリティを使用して)割り当てるときに、次の各ユーザに対して別々の物理識別ボールトのユーザアカウントを指定します。

  • LDAP管理者

  • LDAPゲスト(使用する場合)

  • ユーザアプリケーション管理者

  • プロビジョニングアプリケーション管理者

5.12 [参照]ボタンをクリックすると、configupdateユーティリティがWindowsでクラッシュする

configupdateユーティリティの[ファイル参照]ボタンをクリックすると、Windows XP SP2でJVMがクラッシュすることがあります。この問題に対処するには、[ファイル参照]ボタンを使用せずに、ファイルのフルパス名を入力します。

5.13 ネットワークファイルのアクセサリポートレットに新しい環境設定がある

ネットワークファイルのアクセサリポートレットに、ShortcutsUseFullyQualifiedPathが新しい環境設定として追加されています。「True」の場合、ショートカット環境設定で指定するショートカットには、完全修飾パスが必要になります。「False」の場合、ショートカット環境設定で指定するショートカットには、InitialDirectoryへの相対パスが必要になります。ユーザをパス内のサブディレクトリにのみ移動させる場合は、「False」を選択します。

5.14 NetStorageアクセサリポートレットセッションを終了する

NetStorageセッションを終了して、使用したファイルへのアクセスを閉じるには、NetStorage Webインタフェースの[ログアウト]ボタンをクリックします。

5.15 認証に必要な証明書

以下の証明書に関する情報は、GroupWise® Mail、Mail/Calendar、およびWebアクセスの各ポートレットに当てはまります。

証明書は実行中のJVMにインストールする必要があります。インストールしない場合、HTTPクライアントが接続を試みたときに、信頼された証明書ではなく、SSL例外が表示されます。

ユーザ認証を機能させるためには、以下の順番で操作を行う必要があります。

  1. ブラウザから、GroupWiseサーバにログインします。

  2. 右下隅にあるロックアイコンをダブルクリックします。

  3. 詳細]タブをクリックして、[ファイルにコピー]>[次へ]の順にクリックします。

  4. Base64を選択して、[次へ]をクリックします。

  5. ファイルの名前を指定します。 [次へ]をクリックして、[終了]をクリックします。

  6. 使用しているjre/binに移動して、次のコマンドを入力します。keytool -import -trustcacerts -file drive:\folder\ cert_file_name - keystore ../lib/security/cacerts

GroupWise WebAccessに接続するために使用されるURLは、ポートレットのGroupWise WebAccessへの完全修飾URL環境設定値で指定する必要があります。このURLを使用して、ユーザを認証するために /servlet/webaccに対してコールが行われます。これは、commons-HTTPクライアントからのSSL経由で行われます。

有効なログイン時には、 /servlet/webaccからUser.context=kjshgfdgjsgdfが返されます(ここで、kjshgfdgjsgdfはGroupWiseセッションの値です)。 これは、後の使用とURLレンダリングのためにUsersPortletSessionに配置されます。

GroupWiseでは、このリクエストに対してcookiesも発行されます。そのため、ポートレットがそのcookiesをプルし、それらの値をPortletSessionに配置します。

doViewリクエストがポートレットに対して行われるときは常に、そのポートレットはcookiesをポートレットのレスポンスにプッシュする必要があります。そのポートレットサイトのドメインは、GroupWise /servletと一致する必要があります。一致しない場合、クロスドメインブラウザの問題が発生します。これはcookiesに対するセキュリティ制限です。

ユーザがWebアクセスのためのユーザとパスワードをセットアップしていない場合、プロンプトが表示され、設定を自分の環境設定内に保持することが許可されます。

6.0 ユーザアプリケーション: パフォーマンス

この項では、ユーザアプリケーションのパフォーマンス問題、対処法、および推奨事項について説明します。

6.1 ワークフロークエリより返される結果の数を制限する

iManagerワークフロー管理プラグイン内のワークフロークエリより返される結果の数の制限を変更することができます。次のSOAPエンドポイントの設定は、1000行に制限されています。

getAllProcesses()、getProcesses(String、long、T_Operator、String、String)、getProcessesByApprovalStatus(T_ApprovalStatus)、getProcessesByCreationInterval(long、long)、getProcessesByCreationTime(long、T_Operator)、getProcessesById(String)、getProcessesByInitiator(String)、getProcessesByRecipient(String)、getProcessesByStatus(T_ProcessStatus)

これらのメソッドの多くは、iManagerワークフロー管理関数で使用されます。

この設定を変更するには、次の手順に従います。

  1. IDMProv.warを開きます。

  2. IDMfw.jarからWorkflowService-Conf/config.xmlファイルを抽出します。

  3. WorkflowService/SOAP-End-Points-Process-Query-MaxRowsプロパティの値を1000から新しい設定値に変更します。

    <property>
    
      <key>WorkflowService/SOAP-End-Points-Process-Query-MaxRows</key>
    
      <value>1000</value>
    
    </property>
    
  4. JARとWARにあるファイルを置き換えて、再度展開します。

6.2 検索条件に一致するものが少なくとも8000エントリある場合に、スタックオーバーフローのエラー結果を制限する

デフォルトでは、検索のサイズは無制限です。検索のサイズ(エントリ数)と時間(秒数)を制御することをお勧めします。制御するには、次のいずれかの設定を調整します。

eDirectory: iManagerを使用して、TimeLimitおよびsearchSizeLimit ldapServerオブジェクト属性の検索を変更します。デフォルトでは、これらの属性の値は0(制限なし)に設定されています。これらの設定は、DALの設定より優先されます。ldapServerオブジェクトは通常、組織root内にあります(例、foo,o=novell)。

DAL/VDX: DALエディタを使用して、DALエンティティ定義のサイズと時間の制限を設定します。ここで設定する制限で、既存のeDirectoryの制限を限定することはできますが、拡大することはできません。たとえば、eDirectory内のエントリの制限が100になっている場合、その数をDAL内で増やすことはできません。ただし、100から減らすことはできます。DALのデフォルトのサイズと時間の制限は0(制限なし)で、eDirectoryの設定が優先されます。

Searchlist portlet: このポートレットの結果制限の環境設定を設定します。値が0(デフォルト)の場合、DALの値が優先されます。

ParamList portlet: このポートレットの結果制限の環境設定を設定します。値が0(デフォルト)の場合、DALの値が優先されます。

7.0 ローカライズ

この項では、Identity Managerのローカライズに関する既知の問題について説明します。

7.1 電子メールの件名に表示されるテキストに関する問題

WindowsのGroupWise MailクライアントおよびOutlookクライアントには、HTMLのmailto: コマンドで指定されている件名を表示するときに既知のバグがあります。このバグが表面化するのは、ブラウザで中国語や日本語などの2バイト文字セット言語を使用している場合です。

この場合、[詳細]ページから識別情報を送信する際に、件名の行に無効な文字が表示されます。これは、これらの電子メールクライアントでは、2バイト文字が正しくエスケープ解除されないためです。

7.2 文字セットのエンコードに関する可能性のある問題

入力文字および出力文字のエンコード方式を、入力元または出力先のアプリケーションで使用されるエンコード方式と一致させる必要があります。選択された出力先で表示できない文字は、疑問符(?)に変換されます。

7.3 英語のオペレーティングシステムでローカライズ文字を表示するには、ロケールを正しく設定する必要がある

ローカライズされたオペレーティングシステム環境で(LDAPの設定を行うために)ユーザアプリケーション環境設定ツールを実行した場合、すべてのテキスト入力ボックス内の文字は正しく表示されます。たとえば、eDirectory内に中国語の識別名がある場合や、中国語文字を入力した場合、それらの文字は、中国語のオペレーティングシステム環境で正しく表示されます。一方、英語のオペレーティングシステム環境では、入力した中国語文字やeDirectoryから返された中国語文字は、文字化けします(多くの場合、四角形の記号で表示されます)。これは、ロケールが正しく設定されていないからです。

英語版オペレーティングシステム環境でローカライズ先言語文字を表示するには、次の手順を実行します。

Windows 2000環境: コントロールパネルを開いて[地域のオプション]アイコンをクリックします。[全般]タブの[ロケール(国または地域)]ボックスの一覧で、自国の言語(例: [中国語(中国)])を選択します。

Windows 2003環境: コントロールパネルを開いて[地域のオプション]アイコンをクリックします。[地域のオプション]タブで自国の言語(例: [中国語(中国)])を選択し、変更内容を適用します。

SUSE Linux環境: 環境変数LANGを次のように設定します。export LANG=zh_CN)

同じ基本的な手順が、すべての言語に当てはまります。

7.4 2バイト文字セットが含まれている電子メールメッセージが正しく表示されない

2バイト文字セット言語(中国語や日本語など)が含まれている電子メールをIdentity Managerから送信する場合、電子メールクライアントでそれらの文字が正しく表示されないことがあります。この問題が発生した場合は、Novellテクニカルサポートにお問い合わせください。

8.0 ユーザアプリケーションドライバ

この項では、ユーザアプリケーションドライバの問題、対処法、および推奨事項について説明します。

8.1 IDMユーザアプリケーションドライバに丸括弧が含まれている場合に、VDXクエリが失敗する

ユーザアプリケーションドライバ名に丸括弧が含まれている場合、検索を行うと次のようなエラーが発生します。

Error: javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis;

ドライバ名に丸括弧は使用しないでください。検索では、ユーザアプリケーションドライバ名の丸括弧は、区切り文字として解釈されます。

8.2 ユーザアプリケーションドライバをアクティブにする必要がある

アプリケーションサーバがダウンし、アクティブになっているユーザアプリケーションドライバを再起動する場合、アクティベーションキーがドライバにロードされているとしても、ドライバのアクティベーションステータスにアクティベーションが必要であると表示されることがあります。 これは既知のの問題です。 この問題を回避または解決するには、ユーザアプリケーションサーバが起動し使用可能になった後で、ユーザアプリケーションドライバを起動します。

8.3 新しいプロビジョニング要求定義の作成後、ユーザアプリケーションドライバを再起動する必要がある

ユーザアプリケーションドライバでは、起動時にワークフロー属性のリストが参照されます。新しいプロビジョニング要求定義を作成し、すぐにスキーママッピングポリシーを作成しようとした場合、アプリケーションスキーマをリフレッシュした後は、その新しいプロビジョニング要求定義に対する属性が、アプリケーション属性のリストに表示されません。これは、ユーザアプリケーションドライバを再起動してからでないと、新しいプロビジョニング要求定義が有効にならないからです。新しいプロビジョニング要求定義を作成した後、そのプロビジョニング要求定義をポリシーの中で使用するには、ユーザアプリケーションドライバを停止してから再起動します。 あるいは、スキーママッピングポリシーエディタで、アプリケーションスキーマを2度リフレッシュします。

9.0 JBoss Application Server

この項では、JBoss Application Serverの問題と対処法について説明します。

9.1 JAVA_OPTSをstart-jboss.batに追加しても認識されない

Windows 2003では、バッチファイル内のリマークに従いstart-jboss.batファイルのJAVA_OPTSを非コメント化すると、スタートアップでその変更が無視されます。この設定が機能させるには、run.batファイルのJAVA_OPTS設定を編集します。

9.2 Serializer analyzeBeanエラー

ユーザアプリケーションにロギングするときに、JBossコンソールに次のエラーが表示されることがあります。

13:33:56,410 ERROR [STDERR] Dec 4, 2006 1:33:56 PM
com.metaparadigm.jsonrpc.Bean
Serializer analyzeBean
INFO: analyzing com.novell.ajax.juice.AjaxServiceResult

このエラーは無視してください。これは、Identity Managerで使用されるサードパーティコンポーネントであるSystem.err.printlnが不必要にJSONSerializerクラスで実施されるために発生します。

9.3 nproduct.logファイルがない

JBossコンソールに次のエラーが表示されることがあります。

INFO [STDOUT] Initialize Novell Audit...

ERROR [STDERR] Error writing to NAudit Log file:

/var/opt/novell/naudit/nproduct.log (No such file or directory)

[jlogevent]: Using primary Secure Log Server 164.99.26.214.

このエラーを解決または回避し、Linux/UNIX環境にあるNovellAudit (またはSentinel*)サーバにイベントをログするには、次の手順に従います。

  1. パス/var/opt/novell/naudit/を作成し、Identity Managerユーザアプリケーションを実行するユーザに書き込み権限を与えます。

  2. /etc/logevent.confに次のようにエントリを追加します。

    LogCachePort=<n> (ここで、n > 1000)

    たとえば、LogCachePort=1234

9.4 JGroupsの問題を解決するには、JGroups 2.4xにアップグレードする必要がある

JBoss 4.0.5 GAに含まれているJGroups (Version 2.2.7)のバージョンには問題があり、クラスタ化環境でパフォーマンスの問題が発生することがあります。この問題の詳細については、Deadlock - JBoss.org JIRAを参照してください。この問題は、JGroups 2.4では解決されています。 JGRP-292で説明されている問題を回避するには、JGroups 2.4以降にアップグレードすることをお勧めします。

JGroups 2.4.xにアップグレードする前(またはJBossインストール内のその他のコンポーネントをアップグレードする前)には、 JBoss Application Server、JBossCache、およびJGroups Compatibility Matrix で提供されている互換性リストを確認してください。

JGroupsのダウンロードおよび情報については、JGroups - The JGroups Projectを参照してください。

9.5 java.util.NoSuchElementException例外

ユーザアプリケーションをクラスタで実行中に、java.util.NoSuchElementException例外が発生することがあります。この例外はJBossの既知の問題で、後からリリースされたものでは修正されています。詳細については、JBossCacheManager.findLocalSessionsの同時並行性の問題を参照してください。

この問題で発生するスタックトレースの例を示します。

2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)

9.6 文字セットエンコード方式のサポートとTomcat

デフォルトでは、ユーザアプリケーションの文字エンコードフィルタは、ユーザアプリケーションのweb.xml ファイル内で有効になるように設定されています。この設定では通常、特別な環境設定を行う必要はありません。ただし、URIのエンコード方式にTomcatを設定している場合は、環境設定を変更する必要があります。Tomcatのhttp/httpsコネクタに対する環境設定の中で、文字セットのエンコード設定とフィルタ設定に影響を及ぼす属性は、URIEncodingとuseBodyEncodingForURIの2つです。

--URIEncoding

このエントリで、URLをデコードする%xxに続く、URIバイトのデコードに使われる文字エンコード方式を指定します。この属性を指定しなかった場合、ISO-8859-1が使用されます。これを使用するためには、HTTPコネクタとHTTPSコネクタの両方が同じ設定になっている必要があります。Charsetエンコードフィルタは、uri-encoding initパラメータが含まれるように変更する必要があります。このパラメータの値は、Tomcatのコネクタ設定内のURIEncoding属性の値と同じにする必要があります。

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>

<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>

--useBodyEncodingForURI

このエントリで、URIEncodingを使用する代わりに、contentTypeで指定されたエンコード方式をURIクエリパラメータに対して使用すべきかどうかを指定します。この設定は、Tomcat 4.1.xとの互換性を確保するためにあり、エンコード方式は、contentTypeで指定するか、または、URLのパラメータに対するRequest.setCharacterEncodingメソッドを使用して明示的に指定します。デフォルト値は「false」です。

useBodyEncodingForURIが「True」に設定されている場合、フィルタ設定には、use-body-encoding init パラメータを含める必要があります。次に例を示します。

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>

詳細については、Tomcatのコネクタの環境設定情報に関するWebサイトを参照してください。

PermGenスペースエラー

ユーザアプリケーションを展開ステージなどに頻繁に再展開すると、次のエラーが表示されることがあります。

11:32:20,194 ERROR [[PortalAggregator]] Servlet.service() for servletPortalAggregator threw exceptionjava.lang.OutOfMemoryError: PermGen space

このエラーを回避するには、次のいずれかの操作を行います。

  • JBossサーバを再起動する

  • -XX:MaxPermSize (for example -XX:MaxpermSize=128m)start-jbossスクリプト内のJAVA_OPTSを使用してJava仮想マシンに渡して、PermSpaceの値を増やす

9.8 キャッシュエラー

ユーザアプリケーションがイベントをNovell Auditに送信するように設定されている場合、JBossサーバの起動後にJBossのコンソールに次のようなメッセージが表示されることがあります。

03:53:08,625 INFO [STDOUT] CACHE ERROR>java.net.SocketTimeoutException: Read timed out03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.socketRead0(Native Method)03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.read(SocketInputStream.java:129)
03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.fill(BufferedInputStream.java:218) 03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.read(BufferedInputStream.java:235)03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.DataInputStream.readInt(DataInputStream.java:353)03:53:08,640 INFO [STDOUT] CACHE ERROR> at com.novell.naudit.lcache.ClientConnection.run(Unknown Source)

これらのメッセージは、Novell Auditのログには影響を与えません。これらは無視できます。

10.0 iManager

この項では、iManagerの問題と対処法について説明します。

10.1 Internet Explorer 7から頻繁にクリップボードへのアクセスがプロンプトされる

iManager、特にPolicy Builderを使用しているときに、Internet Explorer 7から頻繁にクリップボードへのアクセスのプロンプトが表示されます。このプロンプトを無効にするには、次の手順に従います。

  1. ツール]>[インターネットオプション]の順にクリックします。

  2. セキュリティ]タブをクリックして、[レベルのカスタマイズ]をクリックします。

  3. スクリプト]>[スクリプトによる貼り付け処理の許可]を探し、[有効にする]をオンにします。

    Internet Explorerを再起動すると、プロンプトが停止します。

10.2 iManagerプラグインエラー: ドライバのパスワードを保存できませんでした

この問題を解決するには、NMAS® 2.3.9にアップグレードしてください。

10.3 NDS to NDS間ドライバ証明書ウィザードを使用する際に必要なiManagerプラグイン

NDS to NDS間ドライバ証明書ウィザードを使用する場合、iManagerのCertificate Serverプラグインをダウンロードしてインストールする必要があります。

10.4 iManager 2.6をSLEDまたはSLES 10で使用するときに、iManagerタスクで問題が発生する

Identity Manager 3.5プラグインおよびMobile iManager 2.6を使用するときに、特定のIdentity Managerタスクを選択すると、iManagerが突然終了することがあります。この問題は、Mobile iManager on Linuxに組み込まれているMozillaブラウザのJavascript*ハンドラのエラーが原因で発生します。

対処するには、次の手順に従います。

  1. Mobile iManagerを起動して、最小化します。

  2. サポートされているブラウザを開いて、次のiManagerのアドレスにアクセスします。http://localhost:48080/nps/iManager.html。

11.0 パスワード管理

この項では、パスワード管理の問題、対処法、および推奨事項について説明します。

11.1 多言語のチャレンジセットの限定されたサポート

Identity Manager 3.5に含まれているユーザアプリケーションでは、多言語チャレンジセットの全面的な使用がサポートされています。この機能はiManagerでパスワードポリシーを設定することで設定できます。

Novell Client™ 4.9.1以前のバージョン、またはPassword Management for Novell eDirectoryを使用している場合は、この多言語機能はサポートされていません。チャレンジセットを複数の言語で定義している場合は、パスワードポリシーをユーザに割り当てないでください。たとえば、フランス語にチャレンジセットを定義することはできますが、フランス語とドイツ語に定義することはできません。

11.2 自己署名付き証明書およびExternal Forgot Password Management WARの使用時にエラーが発生する

自己署名付き証明書およびexternal forgot password management WARをJBossで使用すると、次の例外が表示されることがあります。

java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

これは、external forgot password management WARにより、ユーザアプリケーションで実行中のWebサービスがSSL経由でコールされたときに発生します(これは、configupdateユーティリティ内で "Forgot Password Return Link" フィールドとして定義されています)。上記のエラーは、サーバの証明書が認証局による信頼を得ておらず、サーバの信頼された証明書がトラステッドストアにインポートされていない場合に発生します。

この問題に対処するには、ユーザアプリケーションを実行しているJBoss SSLサーバから信頼された証明書を取得する必要があります。次に、JBossがexternal forgot password management WARを実行しているJREのcacertsにその証明書をインポートします。

使用するコマンドは次のようなものです。

keytool -import -file trusted_cert_from_ua_server.cer -keystore cacerts -storepass changeit -alias extpwd_certs

11.3 パスワードポリシーを継承できない

パスワードポリシーは継承できません。ユーザアプリケーションの管理者は、ユーザが作成されたコンテナに明示的にパスワードポリシーを適用する必要があります。適用できない場合、このエラーが発生します。

無効なSPM(Secure Password Manager)リクエスト問題が解決しない場合は、システム管理者に問い合わせてください。

11.4 ユーザをリダイレクトすると、認証の確認をバイパスできる

パスワードまたはチャレンジレスポンスのヒントを変更するためにログインした後で、ユーザがリダイレクトされると、そのユーザはポータルのURLを入力して、次のログイン時まで認証の確認をバイパスすることができます。

11.5 ユーザセッション内の機密データが暗号化されない

ユーザセッション内の機密データ(シングルログインのログインパスワードなど)は、このリリースでは暗号化されません。そのため、機密データがネットワークスニファに見られる可能性があります。ユーザセッションに一時的に格納されていて、クラスタ環境でのセッションの反復の間にネットワークに送信される可能性がある機密データを保護するには、次のいずれかの操作を行う必要があります。

  • JGroupsの暗号化を有効にします。JGroupsの暗号化を有効にする方法の詳細については、JGroups Encryptを参照してください。

  • クラスタがファイアウォールの背後にあることを確認します。

12.0 マニュアル

この項では、追加のマニュアルリソースとIDMマニュアルの訂正箇所について説明します。

12.1 JBossのセットアップに関する追加ドキュメント

Identity Manager 3.5ユーザアプリケーション管理ガイド』には、JBossの環境設定に関する一部の情報が含まれています。JBossのセットアップに関する詳細が必要な場合は、次のソースを参照してください。

12.2 アクセサリポートレットでシングルサインオンを有効にする

Identity Manager 3.5では、『アクセサリポートレットガイド』のポートレットSSOを有効にする方法に関するそれぞれの説明が次の手順で置き換えられます。

ポートレットシングルサインオンを有効にするには、次の手順に従います。

  1. ユーザアプリケーションで、[管理]タブを開き、[アプリケーションの環境設定]を選択します。

  2. [パスワードモジュールのセットアップ]>[ログイン]の順に選択します。

  3. ラジオボタンをクリックして、SSOを有効にします。

12.3 『IDM 3.5 ユーザアプリケーション: ユーザガイド』のセクション13.3内のテキストの配置が正しくない

『IDM 3.5 ユーザアプリケーション: ユーザガイド』のセクション13.3には、プロビジョニングアプリケーション管理者は、組織内のユーザ、グループ、またはコンテナに対する割り当ての委任を定義できると記載されています。このテキストの内容は正しいのですが、間違った場所に配置されています。これは、セクション11.5に追加される必要がありました。

12.4 『ユーザアプリケーション: ユーザガイド』、セクション9.2

IDM 3.5ユーザアプリケーション: ユーザガイド』のセクション9.2の最初の段落は、次のように記載される必要があります。「デフォルトでは、Identity Managerユーザインタフェイスにログインした後で、[リクエストと承認]タブをクリックすると、[マイタスク]ページが表示されます。」

13.0 表記規則

こマニュアルでは、「より大きい」記号(>)を使用して、手順内の操作と相互参照パス内の項目の順序が区切られています。

商標記号(®、TM)などは、Novellの商標を示し、アスタリスク(*)は、サードパーティの商標を示します。

14.0 保証と著作権

米国Novell, Inc.およびノベル株式会社は、この文書の内容または使用について、いかなる保証、表明または約束も行っていません。また文書の商品性、および特定の目的への適合性について、いかなる黙示の保証も否認し、排除します。 また、本書の内容は予告なく変更されることがあります。

米国Novell, Inc.およびノベル株式会社は、すべてのノベル製ソフトウェアについて、いかなる保証、表明または約束も行っていません。またノベル製ソフトウェアの商品性、および特定の目的への適合性について、いかなる黙示の保証も否認し、排除します。 米国Novell, Inc.およびノベル株式会社は、ノベル製ソフトウェアの内容を変更する権利を常に留保します。

本契約の下で提供される製品または技術情報はすべて、米国の輸出規制および他国の商法の制限を受けます。ユーザは、すべての輸出規制を遵守し、製品の輸出、再輸出、または輸入に必要なすべての許可または等級を取得することに同意します。 お客様は、現在の米国の輸出除外リストに掲載されている企業、および米国の輸出管理規定で指定された輸出禁止国またはテロリスト国に本製品を輸出または再輸出しないものとします。 お客様は、取引対象製品を、禁止されている核兵器、ミサイル、または生物化学兵器を最終目的として使用しないものとします。 ノベル製ソフトウェアの輸出に関する詳細については、www.novell.com/info/exports/を参照してください。 弊社は、お客様が必要な輸出承認を取得しなかったことに対し如何なる責任も負わないものとします。

Copyright © 2007 Novell, Inc. All rights reserved. 本ドキュメントの一部または全体を無断で複写・転載することは、その形態を問わず禁じます。

米国Novell, Inc.は、本文書に記載されている製品に統合されている技術に関する知的所有権を保有します。 これらの知的所有権は、http://www.novell.com/company/legal/patents/に記載されている1つ以上の米国特許、および米国およびその他の国における1つ以上の特許または出願中の特許を含む場合があります。

Novellは、Novell, Inc.の米国およびその他の国における登録商標です。

SUSEは、Novell, Inc.の米国およびその他の国における登録商標です。

サードパーティの商標は、それぞれの所有者に属します。