Voor het laatst bijgewerkt op 28 september 2007.
In dit document worden de bekende problemen voor Identity Manager 3.5.1 beschreven.
Momenteel zijn de volgende aanvullende documentatiebronnen beschikbaar:
In dit gedeelte komen nog twee onderworpen aan bod die horen in het overzicht van nieuwe functies in het gedeelte Nieuw van de handleiding Identity Manager 3.5.1 Installation Guide.
De gebruikerstoepassing Identity Manager ondersteunt Single Sign-On via Access Manager, waarbij een verificatieservice wordt gebruikt waarmee kan worden aangemeld bij Access Manager. Dankzij deze capaciteit kunt u zich met een technologie die niet is gebaseerd op wachtwoorden bij de gebruikerstoepassing aanmelden via Access Manager. Zo kunt u zich aanmelden via een gebruikerscertificaat (clientcertificaat), bijvoorbeeld met een smartcard. Raadpleeg het gedeelte over beveiliging in 'Designing the Production Environment' in de handleiding Identity Manager 3.5.1 User Application: Administration Guide voor meer informatie.
U kunt nu zoekparameters toevoegen aan een URL die verwijst naar de artikelen over Identity Manager.
In dit gedeelte worden de systeemvereisten voor Identity Manager 3.5.1 beschreven:
Voor Identity Manager 3.5.1 gelden de volgende vereisten met betrekking tot Java*:
De gebruikerstoepassing vereist Java 5.0.10 voor de ondersteuning van digitale ondertekeningen en Cryptovision.
Op JBoss*-toepassingsservers moet u de volgende Sun* JDK* downloaden en installeren: Java 2 Platform Standard Edition Development Kit 5.0. Gebruik JRE* 1.5.0_10.
Opmerking:gebruik niet de IBM* JDK die wordt meegeleverd met SUSE® Linux Enterprise Server (SLES). De IBM JDK die wordt meegeleverd met SLES kan hoofdsleutels beschadigen.
Op WebSphere-toepassingsservers gebruikt u de IBM JDK die wordt meegeleverd met WebSphere* Application Server 6.1.0.9 of hoger, met de bestanden voor niet-beperkend beleid toegepast. Daarnaast moet u het WAS JDK-fixpack voor 6.1.0.9 toepassen.
Het Metadirectory-installatieprogramma installeert de eigen kopie van de JVM op alle platforms, met uitzondering van NetWare. Op NetWare-platforms wordt de Java-versie gebruikt die is geïnstalleerd op het systeem.
Identity Manager 3.5.1 ondersteunt Novell Audit 2.0.2.
De volgende informatie hoort bij de systeemvereisten die worden vermeld in de handleiding Identity Manager 3.5.1 Installation Guide: de gebruikerstoepassing vereist WebSphere Application Server (WAS) 6.1.0.9 en WAS SDK-fixpack 6.1.0.9.
Wanneer u DB2 gebruikt en de fout "The current transaction has been rolled back because of a deadlock or timeout" wordt weergegeven, kan het probleem worden veroorzaakt door een groot aantal gelijktijdige gebruikers en databasebewerkingen.
DB2 biedt een groot aantal technieken voor het oplossen van vergrendelingsconflicten, waaronder het instellen van het optimalisatieprogramma op basis van kosten. De handleidingPerformance Guide, die is opgenomen in de DB2-beheerdocumentatie, is een uitstekende bron met veel informatie over het onderwerp instellen.
Er zijn geen voorgeschreven instellingswaarden die voor alle installaties kunnen worden gebruikt aangezien de hoeveelheid gebruikers en gelijktijdige bewerkingen, en de grootte van gegevens kunnen variëren. Hier volgen wel enkele instellingstips die nuttig kunnen zijn voor uw DB2-installatie:
Met de opdrachtreorgchk update statistics worden de statistieken bijgewerkt die worden gebruikt door het optimalisatieprogramma. Het probleem kan mogelijk al grotendeels worden opgelost door regelmatig updates uit te voeren.
Met de DB2-registerparameter DB2_RR_TO_RS kunt u de gelijktijdigheid verbeteren door de volgende sleutel van de rij die is ingevoegd of bijgewerkt niet te vergrendelen.
Verhoog de waarden van de databaseparameters MAXLOCKS en LOCKLIST.
Verhoog de waarde van de eigenschap currentLockTimeout voor de databaseverbindingsgroep.
Gebruik Database Configuration Advisor en voer optimalisaties uit voor snellere transacties.
Wijzig alle tabellen van de gebruikerstoepassing in VOLATILE om aan het optimalisatieprogramma aan te geven dat de volgorde van de tabel aanzienlijk varieert. U kunt de tabel AFACTIVITY bijvoorbeeld als VOLATILE instellen met de opdracht: ALTER TABLE AFACTIVITY VOLATILE
Opdrachten van het type ALTER TABLE moeten pas worden uitgevoerd als de gebruikerstoepassing al eens is gestart en de databasetabellen zijn gemaakt. Raadpleeg de documentatie over de opdracht ALTER TABLE voor meer informatie over deze instructie. Hier volgen de SQL-instructies voor gebruikerstoepassingstabellen:
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
Wanneer de Oracle* 9i-stuurprogramma's worden gebruikt, treedt de volgende uitzondering op: org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta]
U voorkomt dit probleem door de Oracle 10g-stuurprogramma's ojdbc14.jar en orai18n.jar te gebruiken. Deze stuurprogramma's zijn neerwaarts compatibel met Oracle 9i.
In de volgende gedeelten worden problemen en oplossingen met betrekking tot installaties beschreven.
Wanneer u de gebruikerstoepassing als een Windows-service start op JBoss, kan de volgende fout optreden:
com.sssw.fw.exception.EboUnrecoverableSystemException: Failed to initialize EboPortletContainer framework service. at com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Caused by: java.lang.ClassCastException: . . .
Deze fout treedt op wanneer de JBoss-service tijdens het opstarten een andere versie van het bestand xalan.jar laadt dan wordt verwacht door Identity Manager. U lost dit probleem op door het pad naar xalan.jar toe te voegen aan de vermelding item -Djava.class.path voor de service. De resulterende registervermelding voor de service lijkt op het volgende voorbeeld:
‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
Start de service vervolgens opnieuw.
U kunt het pad toevoegen terwijl de service wordt gemaakt, maar u kunt dit ook later doen.
Als u de gebruikerstoepassing Identity Manager installeert op een 64-bits systeem en JBoss en MySQL installeert met JBossMysql.bin, kan er een fout optreden tijdens de installatie van de MySQL-database. U omzeilt dit probleem door eerst setup-mysql.sh en vervolgens start-mysql.sh uit te voeren.
Wanneer bij het installeren van de gebruikerstoepassing op een 64-bits SLES 10 wordt geprobeerd verbinding te maken met de hoofdcontainer-DN, kunnen er onjuiste tekens of kan de knop worden weergegeven. In dit geval moet u controleren of u de juiste JRE voor uw omgeving hebt geïnstalleerd.
De installatie van de grafische gebruikersinterface in Solaris* 9 en 10 mislukt wanneer u eDirectory™ 8.8.1 gebruikt. U omzeilt dit probleem als volgt:
Voer het tekstuele installatieprogramma uit.
Gebruik eDirectory 8.8.2. In deze versie is dit probleem opgelost.
Het script configupdate.sh mislukt wanneer u handmatig aangepaste bestanden aan het bestand IDM.war toevoegt en het WAR-bestand is gemaakt met het binaire JAR-bestand in /usr/bin/jar, dat is gedistribueerd in SLES 9. Dit is de volgende fout:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)
U voorkomt dit probleem of lost het op door een nieuwere versie van het binaire JAR-bestand te gebruiken om het WAR-bestand te maken, zoals in het voorbeeld /usr/lib/java/bin/jar -cvf IDM.war *
Het volgende waarschuwingsbericht kan worden weergegeven wanneer u de gebruikerstoepassing start met de standaardserverconfiguratie van JBoss:
WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException
Als u de standaardconfiguratie (enkel knooppunt) hebt gekozen tijdens de installatie van de gebruikerstoepassing, kunt u dit bericht negeren. Dit bericht is afkomstig van de JBoss-toepassingsserver. In dit bericht wordt aangegeven dat de gebruikerstoepassing Identity Manager clusteren weliswaar ondersteunt, maar de gekozen toepassingsserverconfiguratie niet.
Als het wachtwoord van de account waarmee u Identity Manager hebt geïnstalleerd speciale tekens bevat, kan de schema-uitbreiding mislukken. Voer de installatie met een andere account uit of wijzig uw wachtwoord.
De meest recente versies van Access Manager bieden mogelijk geen ondersteuning voor het standaard URL-pad voor de ICS-afmeldingspagina onder op de pagina Geavanceerde opties weergeven wanneer de gebruikerstoepassing wordt geconfigureerd. Als het standaard URL-pad van https://uwIChainServer/cmd/ICSLogout niet werkt, kunt u https://uwAccessManagerServer/AGLogout proberen.
Het installatieprogramma van de gebruikerstoepassing mislukt als MySQL al wordt uitgevoerd op poort 3306 van de server en MySQL niet op een andere poort kan worden geïnstalleerd. Dit probleem wordt veroorzaakt door een beperking van het hulpprogramma JbossMysql, dat wordt meegeleverd met de gebruikerstoepassing, maar kan worden opgelost met het zelfstandige installatieprogramma van MySQL.
U stopt de bestaande MySQL-instantie en voert de installatie uit. Met het installatieprogramma wordt MySQL op poort 3306 geïnstalleerd, maar wordt u gevraagd met welke poort u verbinding wilt maken. Geef een nieuwe poort op, ga naar het bestand my.cnf, wijzig het poortnummer en start de MySQL-instantie van de gebruikerstoepassing. Wanneer u de andere MySQL-instantie opnieuw start, moet de toepassing naar behoren functioneren. In het installatieprogramma van de gebruikerstoepassing moet u de installatie op een andere poort kunnen uitvoeren en de toepassing vervolgens op die nieuwe poort starten. Momenteel lijkt het erop dat het installatieprogramma van de gebruikerstoepassing alleen werkt als 3306 beschikbaar is.
In de volgende gedeelten worden problemen en oplossingen voor de gebruikersinterface van de gebruikerstoepassing beschreven.
De gebruikerstoepassing biedt geen ondersteuning voor wachtwoordbeleidsnamen met voorloop- of volgspaties. Als u een wachtwoordbeleid hebt dat voorloop- of volgspaties toestaat, wordt voor gebruikers het foutbericht 'Challenge-Response mislukt' weergegeven wanneer ze hun gebruikersnaam hebben ingevoerd op de pagina Wachtwoord vergeten.
Een of meer spaties aan het einde van de naam van de challenge-set van een wachtwoord kunnen een fout veroorzaken wanneer de gebruikerstoepassing de challenge-vragen van een wachtwoord probeert te retourneren. U voorkomt dit probleem door geen spaties toe te voegen aan het einde van de naam van uw challenge-set.
Als u een eenheid zoals een gebruiker in de gebruikerstoepassing maakt en een backslash in de naam opneemt, wordt de backslash vermenigvuldigd in de volledige DN. mijngebruikersnaam\ wordt bijvoorbeeld mijngebruikersnaam\\\. Dit is een bekend probleem. Dit probleem treedt niet op als u geen backslashes gebruikt in eenheidsnamen.
Op het tabblad in de gebruikerstoepassing Identity Manager moeten bewerkingen van het groepattribuut om groepen te verwijderen en groepen toe te voegen worden uitgevoerd als afzonderlijke bewerkingen. Als u een groep in een proces van één stap verwijdert en toevoegt, wordt de naam van de verwijderde groep weer weergegeven als op de knop + (toevoegen) wordt geklikt.
Wanneer u zich in de gebruikerstoepassing als Gebruiker A aanmeldt met een Mozilla-browser (Firefox*, Netscape* of Mozilla*) en nog een browservenster van hetzelfde type browser opent en zich aanmeldt als Gebruiker B, kan er informatie voor Gebruiker B worden weergegeven wanneer u terugkeert naar het eerste browservenster. Browserversies delen (overschrijven) namelijk dezelfde cookie. Dit gedrag is typisch voor Mozilla-browsers en komt niet voor in Internet Explorer.
In Firefox kunnen bij het gebruik van knip-, plak- en kopieerbewerkingen met de HTML-editor voor organigrammen uitzonderingen optreden. In Mozilla hebben scripts om beveiligingsredenen geen toegang tot het Klembord. Daarom zijn de knoppen voor knippen, kopiëren en plakken niet beschikbaar in Firefox.
In Firefox kunt u de extensie Allow Clipboard Helper downloaden via de website voor het downloaden van extensies (Tools > Extensions)
Na het downloaden wordt weergegeven in .
Open de extensie, geef het serveradres op waarvoor u het Klembord toegang wilt verlenen en klik op . U kunt zoveel websites toevoegen als u wilt. Wanneer u alle Firefox-browsers sluit en Firefox opnieuw start, moeten de functies voor knippen, kopiëren en plakken werken in Firefox.
Wanneer u zich aanmeldt bij de gebruikerstoepassing Identity Manager, wordt in het linkermenu een koppeling weergegeven waarmee u een gebruiker kunt maken. Als u gebruikers wilt maken, moet u over de benodigde eDirectory-rechten beschikken om items te kunnen toevoegen aan de map. Omdat de gebruikerstoepassing Identity Manager al eDirectory-gebruikers bevat, moeten deze gebruikers al over de benodigde rechten beschikken.
Klik in iManager op .
Blader naar het object dat uw gebruikerscontainer bevat (bijvoorbeeld MijnVoorbeeld.novell.) en klik op .
Voeg een beheerder toe (bijvoorbeeld MijnVoorbeeld.novell) en wijzig de toegewezen rechten.
Selecteer onder . Laat de standaardwaarden in de overige velden ongewijzigd en klik op .
Nu kunnen alle gebruikers in de container gebruikers.MijnVoorbeeld.novell gebruikers of groepen in die eenheid MijnVoorbeeld maken.
De gebruikerstoepassing ondersteunt dezelfde tekens als iManager. Ga naar http://www.novell.com/documentation/imanager26/index.html en raadpleeg sectie 3.2 'Special Characters' op pagina 20 in hoofdstuk 3 'Navigating the iManager Interface' van de handleiding iManager 2.6 Administration Guide.
Wanneer een gebruiker is aangemeld bij de gebruikerstoepassing, de aanmeldingsportlet of -pagina laadt via een bladwijzer of de geschiedenis en zich vervolgens opnieuw probeert aan te melden, wordt de nieuwe portaalsessie niet correct ingesteld. Als gevolg daarvan kan de tweede aanmelding mislukken. U kunt dit probleem voorkomen door altijd de afmeldingskoppeling te gebruiken voordat u zich aanmeldt.
In de gebruikerstoepassing geldt voor de namen van de tabbladen op het hoogste niveau nu een maximumaantal tekens. De naam mag uit maximaal 22 tekens bestaan. Voor andere talen dan het Engels wordt de tekst afgebroken als de limiet wordt overschreden en worden er weglatingstekens (...) weergegeven om aan te geven dat niet alle tekst wordt weergegeven. De gebruiker kan de muisaanwijzer op de tabnaam plaatsen om de volledige tekst weer te geven.
In de volgende gedeelten worden problemen en oplossingen met betrekking tot het beheren van de gebruikerstoepassing beschreven.
De benodigde bestanden voor het controleren van ( NAuditPA.jar en logevent.conf) worden nu naar de installatiemap van de gebruikerstoepassing gekopieerd, zelfs wanneer u de optie voor controleren niet inschakelt bij het installeren. Het bestand logevent.conf bevat echter enkele parameters die na de installatie handmatig moeten worden bewerkt als u de optie voor controle uitschakelt tijdens het uitvoeren van het installatieprogramma. Deze parameters worden uitgelegd in hoofdstuk 3 'Setting Up Logging' van de handleiding Identity Manager User Application: Administration Guide.
Het volgende bericht kan worden weergegeven wanneer u probeert bij te werken met een attribuut met één waarde met stream-notatie:
LDAP: error code 19 - NDS error: can’t have multiple values (-612)
U voorkomt dit probleem door String-syntaxis te gebruiken, bijvoorbeeld Case Ignore String, en niet Stream-syntaxis wanneer u klasseattributen in iManager maakt. Stream-syntaxis moet met het oog op de prestaties zo min mogelijk worden gebruikt.
Standaard wordt de JBoss-toepassingsserver op poort 8009 gestart. Hierdoor kan er een conflict ontstaan omdat poort 8009 al wordt gebruikt door OES 2 Linux. Als u dit conflict wilt voorkomen, wijzigt u de JBoss-poort in het bestand service.xml voordat u de JBoss-toepassingsserver start.
Wanneer de functie Wachtwoord vergeten wordt uitgevoerd in een geclusterde omgeving, kan er een stacktracering als de volgende te zien zijn:
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using exteranl forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
Dit foutbericht is informatief. U hoeft niet te reageren. Dit gebeurt wanneer gebruikers de opties onder Wachtwoord vergeten gebruiken. Deze foutberichten hebben geen invloed op gebruikers die deze handelingen uitvoeren. Gebruikers zien geen problemen en kunnen hun handelingen voltooien.
Wanneer u WebSphere gebruikt, kan in sommige portlets die gebruikmaken van JSF de volgende fout optreden: java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity
Deze fout is niet schadelijk en heeft geen invloed op JSF of de werking van de portlet. U kunt deze fout onderdrukken door de volgende component toe te voegen op detailniveau van het WebSphere-wijzigingslogboek: com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
Voor een optimale beveiliging kunt u aan beheerders en LDAP-gastaccounts het beste de minimale hoeveelheid rechten toewijzen die ze nodig hebben hun functies naar behoren te kunnen uitvoeren. Wanneer u de volgende functies toewijst in de gebruikerstoepassing (tijdens installatie, of na installatie met het hulpprogramma configupdate), moet u voor elk een aparte gebruikersaccount met fysieke opslagplaats voor id's opgeven:
LDAP-beheerder
LDAP-gast (indien gebruikt)
Beheerder gebruikerstoepassing
Beheerder toepassing voor toegangsbeheer
Wachtwoordbeleid is niet overneembaar. De beheerder van de gebruikerstoepassing moet het wachtwoordbeleid expliciet toepassen op een container waarin gebruikers worden gemaakt. Als dit wordt nagelaten, kan de volgende fout optreden:
Invalid Secure Password Manager (SPM) request. Als dit probleem zich blijft voordoen, neemt u contact op met uw systeembeheerder.
Met de parameters en in het hulpprogramma configupdate kunt u instellen dat bewerkingen die SSL niet nodig hebben zonder SSL worden uitgevoerd. Voor bewerkingen waarvoor SSL vereist is, zoals wachtwoordfuncties, wordt SSL nog wel gebruikt.
Als een gebruiker na het aanmelden wordt omgeleid om de suggestie voor het wachtwoord of de challenge-response te wijzigen, kan de gebruiker een URL van de portal typen en de verificatiecontroles tot de volgende aanmelding omzeilen. Dit is een bekend probleem waarvoor momenteel geen oplossing bestaat.
De knop in het hulpprogramma configupdate is er soms verantwoordelijk voor dat de JVM vastloopt in Windows XP SP2. U omzeilt dit probleem door in plaats van de knop te gebruiken de volledige bestandsnaam te typen.
Wanneer de toepassingsserver is uitgeschakeld en u het geactiveerde stuurprogramma van de gebruikerstoepassing opnieuw start, kan als activeringsstatus voor het stuurprogramma worden aangegeven dat het moet worden geactiveerd, ondanks dat de activeringsreferenties voor het stuurprogramma zijn geladen. Dit is een bekend probleem. U kunt dit probleem voorkomen of oplossen door het stuurprogramma van de gebruikerstoepassing te starten als de server van de gebruikerstoepassing al is gestart en beschikbaar is.
De versie van JGroups (versie 2.2.7) die wordt meegeleverd met JBoss 4.0.5 GA kan prestatieproblemen veroorzaken in een geclusterde omgeving. Raadpleeg Deadlock - JBoss.org JIRA voor meer informatie over het probleem. Het probleem is opgelost in JGroups 2.4. U kunt het beste bijwerken naar JGroups 2.4 of hoger om het probleem te voorkomen dat wordt beschreven in JGRP-292.
Voordat u bijwerkt naar JGroups 2.4.x (of voordat u enig ander onderdeel in de JBoss-installatie bijwerkt), moet u de compatibiliteitslijst raadplegen die wordt geleverd door JBoss Application Server, JBossCache en JGroups Compatibility Matrix .
Raadpleeg JGroups - The JGroups Project voor downloads en informatie over JGroups.
De uitzondering java.util.NoSuchElementException kan plaatsvinden wanneer de gebruikerstoepassing wordt uitgevoerd in een cluster. Deze uitzondering is een bekend probleem in JBoss en is opgelost in een hogere versie. Raadpleeg de website van JBoss voor meer informatie.
Hier volgt een voorbeeld van de stacktracering die optreedt bij dit probleem:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
In deze versie worden gevoelige gegevens (zoals een aanmeldingswachtwoord voor één aanmelding) in de gebruikerssessie niet gecodeerd. Hierdoor kunnen gevoelige gegevens voor anderen toegankelijk zijn via het netwerk. U moet een van de volgende handelingen uitvoeren om gevoelige gegevens te beveiligen die tijdelijk worden opgeslagen in de gebruikerssessie en tijdens sessiereplicatie in een geclusterde omgeving via het netwerk kunnen worden verzonden:
Schakel codering in voor JGroups. Raadpleeg JGroups Encrypt voor informatie over het inschakelen van JGroups-codering.
Controleer of het cluster zich achter een firewall bevindt.
Beheerders kunnen nu instellen wanneer het voorlopige wachtwoord voor nieuwe gebruikers vervalt. Bewerk hiervoor de voorkeuren voor het maken van portlets op de in de handleiding Identity Manager User Application: Administration Guide beschreven wijze.
Geef een instelling op bij .
: het wachtwoord vervalt wanneer de nieuwe gebruiker zich voor het eerst aanmeldt.
(standaard): de eDirectory-instellingen worden gebruikt om te bepalen wanneer het wachtwoord vervalt.
De standaardinstelling voor retentie van voltooide werkstroomgegevens is 120 dagen. U kunt deze instelling wijzigen met de SOAP-interface voor de werkstroomengine. Geef de volgende URL op in een browser om de SOAP-interface voor de werkstroomengine te openen:
http://server:host/IDMProv/provisioning/service?test
Als de pagina met de beschikbare methoden voor de werkstroomengine wordt weergegeven, selecteert u de methode . Met de parameter die u aan deze methode doorgeeft, wordt de retentieperiode gewijzigd. U moet een waarde in milliseconden opgeven.
Vanwege een enkele aanhalingsteken in de werkstroom-CN kan de werkstroom niet worden gegenereerd op basis van een eDirectory-gebeurtenis. Gebruik geen enkele aanhalingstekens in een werkstroom-CN.
In de handleiding Identity Manager User Application: Administration Guide ontbreekt de volgende informatie waarmee u wachtwoorden van de gebruikerstoepassing Identity Manager kunt coördineren met het wachtwoordbeleid van iManager.
In secties 19.3.1 en 19.7.1 wordt de Universal Password-vereiste beschreven: "Als Universal Password is ingeschakeld, opent u iManager en gaat u naar Controleer of de volgende option is geselecteerd: ."
In sectie 16.2.1 wordt de container voor de eigenschap Create beschreven: "Als u de portlet Create gebruikt om gebruikers te maken en de gebruikers aan een iManager-wachtwoordbeleid wilt toewijzen, moet u de opgegeven container aan hetzelfde iManager-wachtwoordbeleid toewijzen. Hiermee zorgt u ervoor dat gebruikers die worden gemaakt in de gebruikerstoepassing automatisch worden toegewezen aan het standaardwachtwoordbeleid van iManager."
Wanneer u op de server van uw gebruikerstoepassing (JBoss-server) de aanmeldingspagina van de gebruikerstoepassing gebruikt, op de koppeling klikt en de gebruikersnaam invoert, kan het volgende foutbericht worden weergegeven op de JBoss-console en wordt u mogelijk niet omgeleid:
08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
Deze fout treedt op omdat in de voorkeursinstelling ldap-sslport in de portlet ForgotPasswordPortlet de standaard TLS-poort (ldaps) 636 wordt gebruikt in plaats van de poort die is geconfigureerd voor de beveiligde verbinding van uw LDAP-server. De eDirectory-beheerder heeft de standaard beveiligde LDAP-poort waarschijnlijk gewijzigd in een niet-standaardpoort. eDirectory-beheerders wijzigen de LDAP-poorten regelmatig wanneer ze eDirectory op dezelfde fysieke hardware uitvoeren als andere LDAP-systemen zoals Active Directory*.
Als in uw beveiligde LDAP-configuratie (TLS) een andere poort wordt gebruikt dan 636, wijzigt u de voorkeursinstelling ldap-sslport in ForgotPasswordPortlet in de poort die is geconfigureerd voor uw beveiligde LDAP:
Open de gebruikerstoepassing.
Open .
Wijzig de waarde van ldap-sslport van de standaardpoort 636 in de poort die is geconfigureerd voor de beveiligde LDAP-verbindingen van uw LDAP-server.
In een toegangswerkstroom met parallelle verwerking mag de geadresseerde voor een goedkeuringsactiviteit niet verwijzen naar een geadresseerde voor een andere goedkeuringsactiveit in de werkstroom. De reden hiervoor is dat de werkstroomengine niet beschikt over een methode waarmee kan worden vastgesteld welke stap als eerste moet worden uitgevoerd, omdat de activiteiten parallel worden uitgevoerd. Tevens kan met de iManager-invoegtoepassing Toegangsaanvraag configureren niet worden vastgesteld welke geadresseerde op welk moment toegang moet worden verleend. De invoegtoepassing zou de werkstroom moeten analyseren voor een overzicht van voltooide upstreamactiviteiten zodat de lijst met mogelijke geadresseerden kan worden verkleind. Deze functionaliteit wordt momenteel niet ondersteund in de invoegtoepassing.
Standaard is bladeren door directory's toegestaan in JBoss. Als u de URL http://server:8080/IDMProv/resources/ opgeeft, wordt de lijst met resources bij deze URL weergegeven.
Als u bladeren door directory's niet wilt toestaan, gaat u naar jboss-4.0.2\server\<IDM-Application Context>\deploy\jbossweb-tomcat55.sar\conf en bewerkt u de invoer bij listings in het bestand web.xml:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Als u de weergave van resources wilt onderdrukken, wijzigt u de waarde bij listings van true in false.
De services voor verschillende subsystemen in de gebruikerstoepassing kunnen verouderde versienummers bevatten. U hoeft deze bestanden niet aan te passen en de versie te corrigeren.
IDMfw.jar bevat bijvoorbeeld het bestand FrameworkService-conf\config.xml dat de volgende invoer voor het versienummer bevat:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
In de invoegtoepassing Toegangsaanvraag configureren voor iManager kunt u een escalatiebeleid definiëren waarmee een werkstroomactiviteit wordt doorgestuurd naar de manager van de oorspronkelijke geadresseerde.
Als de oorspronkelijke geadresseerde een taakgroep met meerdere managers is, mislukt de escalatie. De invoegtoepassing Toegangsaanvraag configureren bevat geen functie om deze escalatie te voorkomen. Vermijd daarom dit type configuratie.
In Linux* is de standaardlimiet voor het openen van bestanden niet voldoende om een groot aantal aanvragen via de SOAP-webservice te ondersteunen. Deze limiet wordt mogelijk bereikt als in het stuurprogramma voor de gebruikerstoepassing webservice-eindpunten worden gebruikt voor het activeren van werkstromen als reactie op directorygebeurtenissen.
In Linux geldt voor elk proces voor het openen van bestanden een standaardlimiet van 1024. Als u de JBoss-server met de standaardinstelling start, kunnen er foutberichten worden weergegeven wanneer meer dan 40 of 45 aanvragen achter elkaar worden gestart via de interface van de SOAP-webservice. Wanneer de limiet is bereikt, kunt u mogelijk enkele minuten geen aanvragen meer initiëren. In sommige gevallen moet u de JBoss-server mogelijk opnieuw opstarten.
U kunt het probleem voorkomen door de limiet voor het openen van bestanden te verhogen van 1024 naar 4096.
Als u BASH gebruikt, voert u deze opdrachten uit om de limiet voor het openen van bestanden te verhogen:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Als u C Shell gebruikt, voert u deze opdrachten uit om de limiet voor het openen van bestanden te verhogen:
su - root limit descriptors 4096 su - user start-jboss.sh
Het stuurprogramma van de gebruikerstoepassing bevat verschillende soorten toepassingsspecifieke informatie, zoals werkstroomconfiguratie en clustergegevens. Daarom mag één exemplaar van het stuurprogramma niet worden gedeeld door meerdere toepassingen.
In de gebruikerstoepassing worden toepassingsspecifieke gegevens opgeslagen om de toepassingsomgeving te beheren en configureren. Hierbij gaat het onder andere om de clustergegevens voor de JBoss-toepassingsserver en de configuratiegegevens voor de werkstroomengine. Alleen toepassingen in dezelfde JBoss-cluster kunnen één exemplaar van het stuurprogramma delen. U moet een verzameling gebruikerstoepassingen niet zo configureren dat ze één stuurprogramma delen, tenzij deze deel uitmaken van hetzelfde JBoss-cluster. Anders kan uw configuratie leiden tot ambiguïteit en misconfiguratie voor een of meer componenten die worden uitgevoerd in de gebruikerstoepassing.
In het installatieprogramma voor de gebruikerstoepassing Identity Manager kunt u de DN van de hoofdcontainer, gebruikerscontainer en groepscontainer voor de toepassing opgeven. In deze versie kunt u de structuurbasis in eDirectory niet opgeven als de hoofdcontainer. Daarnaast kunt u niet meerdere zoekhoofdmappen opgeven voor een bepaald objecttype (container, gebruiker of groep). In plaats daarvan moet u één zoekbereik opgeven.
Een organisatie (o) kan zich in een land (c) of plaats (l) bevinden, zoals hieronder wordt aangegeven:
c=US o=novell-provo o=novell-waltham
Dit type configuratie werkt.
Als twee aparte exemplaren van het stuurprogramma van de gebruikerstoepassing naar dezelfde gebruikerscontainer wijzen, worden in de beschikbaarheidsinstellingen (op de pagina Beschikbaarheid bewerken van de gebruikerstoepassing) beschikbaarheidsvermeldingen van beide toepassingen weergegeven.
Stel dat server 1 wordt geconfigureerd om een stuurprogramma te gebruiken (zoals driver1,o=novell), en server 2 wordt geconfigureerd om een ander stuurprogramma te gebruiken (zoals driver2,o=novell). Beide servers worden geconfigureerd om dezelfde containers voor gebruikers, groepen en de hoofdcontainer te gebruiken (zoals ou=users,o=novell). Een gebruiker op server 1 maakt een delegatiedefinitie voor een gebruiker en toegangsaanvraagdefinitie. De gebruiker wordt vervolgens als niet beschikbaar gemarkeerd voor die aanvraagdefinitie. Op server 2 wordt de gebruiker weergegeven als niet beschikbaar, maar de beschrijvende naam voor de definitie voor een toegangsaanvraag kan niet worden weergegeven. Als de definities van de gedelegeerde van de gebruiker op server 2 worden gecontroleerd, wordt de definitie van server 1 niet herkend.
De reden hiervoor is dat de informatie van de delegatie (die wordt gemaakt wanneer gebruikers zichzelf als beschikbaar of niet beschikbaar instellen) wordt opgeslagen in gebruikersrecords. Deze informatie bevat zowel de gegevens van de gedelegeerde/delegerende als de definitie voor de toegangsaanvraag en begin/-eindtijd van de delegatie. De definitie van de gedelegeerde waaruit de informatie van de delegatie is verkregen, wordt opgeslagen in het stuurprogramma, naast de definitie voor de toegangsaanvraag.
We raden u aan niet twee verschillende gebruikerstoepassingen te configureren die verwijzen naar dezelfde gebruikerscontainer.
Wanneer het stuurprogramma voor de gebruikerstoepassing wordt gestart, wordt de lijst met werkstroomattributen gelezen. Als u een nieuwe definitie voor een toegangsaanvraag maakt en als u meteen een beleid Schematoewijzing probeert te maken, worden de attributen voor de nieuwe definitie voor een toegangsaanvraag niet weergegeven in de lijst met toepassingsattributen wanneer u het toepassingsschema vernieuwt. De reden hiervoor is dat het stuurprogramma voor de gebruikerstoepassing opnieuw moet worden gestart voordat de definitie voor een toegangsaanvraag beschikbaar wordt gemaakt. Wanneer u de nieuwe definitie voor een toegangsaanvraag hebt gemaakt, beëindigt u het stuurprogramma voor de gebruikerstoepassing en start u het opnieuw voordat u de definitie voor een toegangsaanvraag probeert te gebruiken in beleid. U kunt ook eenvoudig in de beleidseditor voor schematoewijzing het toepassingsschema tweemaal vernieuwen.
Wanneer u werkstromen uitvoert in een cluster, moet de werkstroomengine van elke server beschikken over een unieke id. De engine-id wordt geïdentificeerd door -Dcom.novell.afw.wf.engine-id over te brengen naar Java VM. In Linux moet de gebruiker het bestand jboss/bin/run.conf bewerken en die eigenschap doorgeven in de regel JAVA_OPTS. Bijvoorbeeld:
als [ "x$JAVA_OPTS" = "x" ]; dan JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
Er wordt u niet gevraagd om de werkstroomengine-id op te geven. Daarom moet u de engine identificeren door de eigenschap JAVA_OPTS over te brengen, zoals hierboven is weergegeven.
Als u de manier waarop afbeeldingen worden weergegeven in de koptekst van de portlet Detail wijzigt door de IMG:-tag op te geven, moet u de cache CompiledLayout leegmaken om de wijzigen te activeren. Voer de volgende stappen uit om de cache leeg te maken:
Ga naar het tabblad van de gebruikerstoepassing.
Ga naar het tabblad .
Selecteer in de vervolgkeuzelijst .
Klik op .
In het hulpprogramma Portalgegevens importeren ( Beheer > Extra > Portalgegevens importeren) worden de bestanden shared-pages.xml en container-pages.xml uit het ZIP-bestand Portalgegevens exporteren gebruikt om containerbestanden, gedeelde bestanden en portlets te genereren. Als het element <description/> leeg is, kunnen pagina's niet worden geïmporteerd.
U kunt dit probleem voorkomen door tekst op te geven voor het element <description/> en de importeerbewerking nogmaals uit te voeren.
De handleiding Identity Manager User Application: Administration Guide bevat enige informatie over het configureren van JBoss. Raadpleeg de volgende bronnen voor meer informatie over het instellen van JBoss:
Raadpleeg de Novell Cool Solutions-website voor meer informatie over het configureren van JBoss als een service op SUSE.
Zie voor het instellen van Apache SSL het betreffende gedeelte op de website van JBoss.
Raadpleeg voor informatie over het instellen van IIS SSL het forum van JBoss over installatie, configuratie en implementatie.
Als u de invoegtoepassing Toegangsaanvraag configureren van iManager wilt gebruiken, moet u beschikken over lees- en schrijfrechten voor de attributen die zijn gekoppeld aan de toegangsaanvraagobjecten.
Standaard is het tekencoderingsfilter van de gebruikerstoepassing ingeschakeld in het bestand web.xml van de gebruikerstoepassing. Voor deze instelling is normaal gesproken geen specifieke configuratie vereist, maar u moet mogelijk wijzigingen aanbrengen als u Tomcat hebt geconfigureerd voor URI-codering. Er zijn twee attributen in de configuratie van de HTTP-/HTTPS-connector van Tomcat die invloed hebben op de tekensetcodering en filterconfiguratie.
Dit item geeft de tekencodering aan die wordt gebruikt om de URI-bytes te decoderen, nadat %xx de URL heeft gedecodeerd. Als dit niet is opgegeven, wordt ISO-8859-1 gebruikt. Hiervoor gelden de volgende vereisten:
HTTP- en HTTPS-verbindingen hebben dezelfde configuratie.
Het coderingsfilter Charest moet worden gewijzigd zodat het de beginparameter uri-encoding bevat. De waarde van deze parameter moet overeenkomen met de waarde van het attribuut URIEncoding in de configuratie van de Tomcat-connector.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Voeg daarnaast URIEncoding="UTF-8" toe aan jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml, bijvoorbeeld:
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />Als SSL is ingeschakeld, voert u dezelfde wijziging door voor de SSL HTTP/1.1-connector.
Dit item geeft aan of de codering die is opgegeven in contentType moet worden gebruikt voor URI-queryparameters in plaats van URIEncoding. Deze instelling kan worden gebruikt in Tomcat 4.1.x, waarin de codering kan worden opgegeven in contentType of expliciet kan worden ingesteld met de methode Request.setCharacterEncoding voor de parameters van de URL. De standaardwaarde is onwaar.
Als useBodyEncodingForURI is ingesteld op waar, moet de filterconfiguratie de initialisatieparameter use-body-encoding bevatten, bijvoorbeeld:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Raadpleeg voor meer informatie de website met informatie over de configuratie van de Tomcat-connector.
De manier waarop het attribuut met meerdere waarden DirXML-EntitlementResult wordt verwerkt, is veranderd. Eerder werden rechtenresultaten niet verwijderd uit dit attribuut. Nu is de standaardwerking veranderd. Rechtenresultaten worden nu verwijderd nadat deze zijn verwerkt.
U kunt de standaardwerking wijzigen (aangeven of rechtenresultaten wel of niet worden verwijderd en de manier waarop deze worden verwijderd). Manier van verwijderen voor rechten instellen:
Geef in iManager de pagina Identity Manager Driver Overview voor het stuurprogramma van uw gebruikerstoepassing weer.
Klik op .
Klik op de optie Manage Modify policy voor het stuurprogramma van uw gebruikerstoepassing en klik vervolgens op .
Klik op .
Typ voor de actie het volgende in het veld :
current: verwijder het rechtenresultaat dat de gebeurtenis heeft veroorzaakt nadat het stuurprogramma voor de gebruikerstoepassing op de hoogte is gebracht. Dit is de standaardwerking. Dit wordt ook gebruikt als er geen manier van verwijderen van rechten is ingesteld of als een ongeldige manier van verwijderen van rechten is ingesteld.
none: verwijder het rechtenresultaat niet.
previous: verwijder eerdere rechtenresultaten zonder het resultaat te verwijderen dat de gebeurtenis heeft veroorzaakt.
notnewer: verwijder eerdere rechtenresultaten inclusief het resultaat dat de gebeurtenis heeft veroorzaakt. Hierdoor worden alle rechtenresultaten behouden die zijn gemaakt na het rechtenresultaat dat de gebeurtenis heeft veroorzaakt.
De accessoire-portlet Netwerkbestand heeft de volgende nieuwe standaardinstelling: ShortcutsUseFullyQualifiedPath. Als deze optie is ingesteld op Waar, moeten de snelkoppelingen die u opgeeft in de voorkeursinstelling Snelkoppelingen volledig gekwalificeerde paden hebben. Als deze optie is ingesteld op Onwaar, moeten de snelkoppelingen die u opgeeft in de voorkeursinstelling Snelkoppelingen relatieve paden ten opzichte van de InitialDirectory hebben. Selecteer Onwaar alleen wanneer gebruikers naar submappen in het pad navigeren.
Voor de huidige versie van JBoss is de procedure voor het configureren van de portlet Netwerkbestand voor toegang tot een NetWare-server via RMI gewijzigd.
In de bestaande documentatie wordt aangegeven dat u njclv2r.jar van sys:\java\njclv2r\lib op de NetWare/RMI-server naar de map $JAVA_HOME$/jre/lib/ext op uw portalplatform moet kopiëren.
Met de huidige versie van JBoss moet u njclv2r.jar naar de map .../jboss/server/IDM/lib kopiëren waarin uw gebruikerstoepassing is geïnstalleerd. Start JBoss opnieuw.
Als u uw NetStorage-sessie wilt beëindigen en de toegang tot de bestanden die u hebt gebruikt wilt sluiten, klikt u op de afmeldingsknop in de NetStorage-webinterface.
Vervang in de naslaggids Identity Manager Accessory Portlet Reference Guide elke procedure voor het inschakelen van portlet-SSO door de volgende procedure:
Ga als volgt te werk om Single Sign-On in te schakelen voor portlets:
Open in de gebruikerstoepassing het tabblad en kies .
Selecteer .
Selecteer het betreffende keuzerondje om SSO in te schakelen.
De naam van het logboekbestand jboss/server/IDM/conf/extendlogging.xml is gewijzigd in jboss/server/IDM/conf/idmuserapp_logging.xml. De naam van het nieuwe logboekbestand wordt gebruikt in sectie 5.1.4 'Logging Configuration' in de subsectie 'Persisting Your Logging Settings' van de handleiding Identity Manager 3.5.1 User Application: Administration Guide.
Wanneer u een pakket toevoegt aan de lijst met logboekbestanden, wordt het onmiddellijk weergegeven in het venster Loboekconfiguratie. Een pakket verwijderen uit de lijst met logboekbestanden:
Klik niet op . De volgende keer dat u de server start, wordt het nieuwe pakket niet meer weergegeven in de lijst met logboekbestanden.
Als u op klikt, moet u het pakket handmatig verwijderen uit het bestand idmuserapp_logging.xml in de map $JBOSS/servers/$seafang/conf.
In Identity Manager 3.5 of 3.5.1 kan de java.lang.OutOfMemoryError: PermGen-ruimtefout optreden als u de gebruikerstoepassing opnieuw installeert.
Voer een van de volgende handelingen uit om deze fout te voorkomen:
Start de JBoss-server opnieuw op.
Verhoog de PermSpace-waarde door -XX:MaxPermSize door te geven aan de virtuele Java-machine. U doet dit met JAVA_OPTS in het script start-jboss.
Voor 32-bits machines geeft u 128 megabytes op, bijvoorbeeld -XX:MaxPermSize=128m.
Voor 64-bits machines geeft u 256 megabytes op, bijvoorbeeld -XX:MaxPermSize=256m.
Werkstroomengines in een cluster detecteren nu wanneer een werkstroomengine in het cluster niet werkt. Processen die op die werkstroomengine worden uitgevoerd, worden automatisch toegewezen aan een andere werkstroomengine.
Het kan ook voorkomen dat u een werkstroomproces handmatig aan een andere werkstroomengine wilt toewijzen (bijvoorbeeld om processen weer terug te geven aan een werkstroomengine die niet werkte). Hiervoor gebruikt u de iManager-invoegtoepassing Workflow Administration:
Selecteer de categorie in in iManager.
Selecteer .
Als u nog geen werkstroomserver hebt gebruikt, typt u de naam van het stuurprogramma in het veld en klikt u op .
De resterende velden op het scherm worden voor u ingevuld door iManager.
(Desgewenst kunt u de gebruikersnaam in het veld en het wachtwoord in het veld vervangen.
De gebruiker moet de beheerder van de gebruikerstoepassing zijn (toegangsbeheerder). Standaard is de gebruikersnaam ingesteld op de gebruiker die momenteel is aangemeld bij iManager. Als deze gebruiker niet de beheerder van de gebruikerstoepassing is, moet u de gebruikersnaam wijzigen.
Klik op Aanmelden.
Er wordt een pagina weergegeven waarop u een filter voor het zoeken van werkstromen kunt opgeven.
Klik op en vervolgens op .
In iManager worden de werkstroomprocessen weergegeven die worden uitgevoerd op het opgegeven stuurprogramma voor de gebruikerstoepassing. In de kolom wordt de engine-id van een werkstroomengine weergegeven.
Als u een werkstroomproces aan een andere engine wilt toewijzen, selecteert u de werkstroom in het deelvenster Workflows door het selectievakje naast de werkstroomnaam in te schakelen en op te klikken.
Wanneer u de integratieactiviteit in een toegangswerkstroom gebruikt, kan bij het afsluiten de volgende fout worden weergegeven in de JBoss-console.
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
Deze foutberichten duiden niet op een ernstig probleem. Als het goed is, functioneren de server en gebruikerstoepassing naar behoren wanneer u JBoss opnieuw opstart.
In het logboek kunnen de volgende fouten voorkomen wanneer de gebruikerstoepassing zo is geconfigureerd dat gebruik wordt gemaakt van e-mailmeldingen. U kunt deze fouten negeren. Gebruikers blijven e-mailnotificaties ontvangen.
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Notification email server host unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email server host unspecified. Check eDirectory setup. . . .
or
13:39:47,264 ERROR [MailEngine] Notification email default -from- unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email default -from- unspecified. Check eDirectory setup. at . . .
Standaard is de sessietime-out voor de server ingesteld op 20 minuten. De sessietime-out moet worden afgestemd op de server en de gebruiksomgeving waarin de toepassing wordt uitgevoerd. In het algemeen wordt u aangeraden de sessietime-out zo laag mogelijk te houden. Als een sessietime-out van vijf minuten voor de bedrijfsvereisten aanvaardbaar is, kan de server de ongebruikte resources sneller vrijgeven dan standaard het geval is en wordt de server sneller en schaalbaarder.
Langere sessietime-outs kunnen ertoe leiden dat de JBoss-server niet meer over voldoende geheugen beschikt wanneer een groot aantal gebruikers zich aanmeldt. Dit geldt voor elke toepassingsserver met te veel open sessies.
Wanneer een gebruiker zich aanmeldt bij de gebruikerstoepassing, wordt een LDAP-verbinding voor de gebruiker tot stand gebracht en aan de sessie gekoppeld. Als er meerdere sessies geopend zijn, worden meer LDAP-verbindingen opengehouden en hoe langer de sessietime-out, hoe langer deze verbindingen open worden gehouden. Te veel open verbindingen met de LDAP-server kunnen de systeemprestaties nadelig beïnvloeden, zelfs wanneer de verbindingen niet worden gebruikt.
Als de server fouten begint te vertonen als gevolg van te weinig geheugen en de parameters voor het optimaliseren van de heap- en garbage-verzameling van JVM al zijn geoptimaliseerd voor de server en de gebruiksomgeving, kunt u overwegen de sessietime-out te verlagen.
De sessietime-out is ingesteld in het bestand web.xml.
Als u e-mailmeldingen in uw definities van toegangsaanvragen inschakelt, maar geen e-mailservers configureert, stapelen de e-mailmeldingen zich op de server op en worden deze niet verzonden. Dit verbruikt uiteindelijke het beschikbare geheugen.
Als u e-mailmeldingen inschakelt, moet u de e-mailserver zo configureren dat de e-mailberichten worden verzonden. Als u de e-mailserver wilt configureren, selecteert u onder in iManager.
In de Windows GroupWise® Mail- en Outlook*-clients treedt een bekend probleem op wanneer de onderwerptekst wordt weergegeven vanuit de HTML-opdracht mailto. Dit probleem treedt op wanneer in de browser een taal met double-bytetekens, zoals Chinees, Japans of Koreaans, wordt gebruikt.
Wanneer u in dit geval identiteitsgegevens vanaf de detailpagina verzendt, bevat de onderwerpregel ongeldige tekens omdat deze e-mailclients de double-bytetekens niet op de juiste wijze omzetten.
Controleer of de coderingen voor invoer- en uitvoertekens overeenkomen met die van de bron- of doeltoepassing. Tekens die niet kunnen worden weergegeven in de geselecteerde uitvoer worden gewijzigd in vraagtekens ('?').
Als u het configuratieprogramma van de gebruikerstoepassing (voor het configureren van LDAP-instellingen) in een gelokaliseerde besturingssysteemomgeving uitvoert, worden alle tekstinvoervakken correct weergegeven. Als er bijvoorbeeld Chinese DN-namen voorkomen in eDirectory, of als u Chinese tekens invoert, worden deze correct weergegeven in een Chinese besturingssysteemomgeving. In een Nederlandse besturingssysteemomgeving worden ingevoerde of uit eDirectory geretourneerde Chinese tekens echter weergegeven als onleesbare tekens (waarschijnlijk vierkantjes). Dit gebeurt omdat de landinstelling niet correct is ingesteld.
Ga als volgt te werk als u in een Nederlands besturingssysteem gelokaliseerde tekens wilt weergeven:
- Ga in een Windows 2000-omgeving naar het Configuratiescherm en selecteer . Stel op het tabblad de optie in op de lokale taal (bijvoorbeeld Chinees (China)).
- Ga in een Windows 2003-omgeving naar het Configuratiescherm en selecteer . Selecteer op het tabblad de optie en pas de wijziging toe.
- Stel in een SUSE Linux-omgeving de omgevingsvariabele LANG als volgt in: export LANG=zh_CN
Deze standaardprocedure kan voor alle talen worden gevolgd.
De accessoire-portlet Message is niet gelokaliseerd.
In > wordt in het dialoogvenster Voorkeuren inhoud de volgende tekst altijd in het Engels weergegeven: "Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving."
Wanneer vanuit Identity Manager een e-mailbericht met een taal met een double-bytetekenset, zoals Chinees of Japans, wordt verzonden, kan het bericht niet worden gelezen door de e-mailclient. Neem contact op met Novell Technical Support als dit probleem zich voordoet.
In de volgende gedeelten worden problemen en oplossingen voor iManager beschreven.
De invoegtoepassingen van Identity Manager 3.5.1 gebruiken de API JClient.readReference ( ). De API is bijgewerkt in iManager 2.7. Als u iManager 2.6 uitvoert, kunt u de onderliggende JClient-versie in iManager 2.6 het beste bijwerken naar de versie in iManager 2.7. Wanneer u de oudere versie van JClient gebruikt, bestaat de kans dat iManager vastloopt of niet werkt.
In iManager, en met name in de opbouwfunctie voor beleid, verzoekt Internet Explorer 7 doorlopend om toegang tot het Klembord. U schakelt deze verzoeken als volgt uit:
Klik op > .
Selecteer de tab en klik op .
Ga naar > en selecteer .
Wanneer u Internet Explorer opnieuw start, worden deze verzoeken niet meer weergegeven.
Gelokaliseerde e-mailsjablonen toevoegen via iManager:
Meld u aan bij iManager.
Breid of uit onder Roles and Tasks (Rollen en taken).
Klik op (onder de invoegtoepassing Wachtwoorden) of (onder Werkstroombeheer).
Zoek de e-mailsjabloon (zonder landaanduidingen in de naam) die u wilt kopiëren. Noteer de sjabloonnaam die u wilt gebruiken in stap 5. Klik op het sjabloononderwerp om de sjabloon te openen en het berichtonderwerp, de hoofdtekst en vervangingstags weer te geven. Kopieer het berichtonderwerp, de hoofdtekst (die moet worden vertaald) en vervangingstags die u wilt gebruiken in uw nieuwe sjabloon. Klik op .
Klik op en geef de sjabloonnaam met de landextensie op. Wanneer u de sjabloon Suggestie vergeten in het Duits wilt maken, geeft u bijvoorbeeld de naam Suggestie vergeten_de op waarbij _de voor Deutsch (Duits) staat. Klik op .
Opmerking:dit werkt als u zowel voor de taal als voor het land een code van twee letters gebruikt. Als u een landinstelling met een variant probeert te gebruiken, zoals en_US_TX, wordt alleen naar de variant en de taal gekeken. Gebruik in deze versie niet dergelijke varianten voor e-mailsjablonen.
Klik in de lijst met sjablonen op de nieuwe sjabloon, bijvoorbeeld Suggestie vergeten_de, en geef het vertaalde onderwerp en de hoofdtekst op. Let erop dat u de vervangingstags tussen de dollartekens ($) in de hoofdtekst van het bericht niet verwijdert.
Klik op om vervangingstags op te geven of te plakken en klik vervolgens op .
Klik op en .
In e-mailsjablonen wordt alleen gelokaliseerde inhoud verzonden als de voorkeurslandinstellingen zijn ingesteld voor de geadresseerde.
U kunt dit probleem oplossen door bij te werken naar NMAS™ 2.3.9.
Als u de wizard NDS-to-NDS Driver Certificates wilt gebruiken, moet u de iManager-invoegtoepassing voor Certificate Server downloaden en installeren.
Wanneer u de invoegtoepassingen van Identity Manager 3.5 en Mobile iManager 2.6 gebruikt, kan iManager onverwacht worden afgesloten wanneer u selecteert. Dit probleem wordt veroorzaakt door een fout in de JavaScript*-handler van de ingesloten Mozilla-browser die bij Mobile iManager wordt geleverd voor Linux.
U lost dit probleem als volgt op:
Start Mobile iManager en minimaliseer het venster.
Open de gewenste browser en open iManager op het volgende adres: http:\\localhost:48080\nps\iManager.html.
Zorg ervoor dat de in het Delimited Text-stuurprogramma geconfigureerde tekencoderingen voor invoer en uitvoer overeenkomen met de coderingen die worden gebruikt door de bron- of doeltoepassing. Niet-overeenkomende codering kan fouten of beschadigde gegevens in de opslagplaats voor id's of de toepassing veroorzaken. Tekens die niet kunnen worden weergegeven in de geselecteerde uitvoer worden gewijzigd in vraagtekens (?).
In de volgende gedeelten worden problemen en oplossingen met betrekking tot wachtwoordbeheer beschreven.
In de gebruikerstoepassing worden de waarden in de instelling Limit grace logins van het gebruikersobject in de volgende gevallen verwijderd:
U maakt een wachtwoordbeleid, maar geeft de instelling Password Lifetime voor het wachtwoordbeleid niet op.
U wijzigt een gebruiker van dat beleid zodat zijn of haar wachtwoord verloopt wanneer de instelling Limit grace logins van het gebruikersobject wordt opgegeven.
Die gebruiker meldt zich aan via de gebruikerstoepassing. In de gebruikerstoepassing wordt de instelling Limit grace logins van de gebruiker genegeerd en de waarden voor die instelling worden verwijderd uit het gebruikersobject.
Als de JSF-portlet voor wachtwoordbeheer wordt uitgevoerd in een clusteromgeving en er een storing optreedt op de portletserver, wordt de gebruiker automatisch overgebracht naar een andere server. De portlet wordt weergegeven zonder informatie over de portletbewerking op de oorspronkelijke server. De gebruiker kan de portlet opnieuw uitvoeren, maar kan ook testen of de bewerking was voltooid op het moment dat de serverstoring optrad. De betreffende portlets voor wachtwoordbeheer zijn:
Challenge-response van wachtwoord
Wijzigen van suggestie voor het wachtwoord
Wachtwoord wijzigen
De gebruikerstoepassing die wordt meegeleverd met Identity Manager 3.5 ondersteunt het volledige gebruik challenge-sets voor meerdere talen. U kunt deze functionaliteit configureren via iManager en door wachtwoordbeleid in te stellen.
In Novell Client™ 4.9.1 of eerdere versies, of Password Management for Novell eDirectory, wordt deze functie voor meerdere talen nog niet ondersteund. U moet geen wachtwoordbeleid aan gebruikers toewijzen als u challenge-sets in meerdere talen hebt gedefinieerd. U kunt bijvoorbeeld challenge-sets voor Frans definiëren, maar niet voor Frans en Duits.
De fout Challenge-Response mislukt kan optreden wanneer een gebruiker:
Een gebruikersnaam op de pagina Wachtwoord vergeten typt.
De challenge-vraag niet beantwoordt.
In de browser op de knop klikt en op de pagina Wachtwoord vergeten een andere gebruikersnaam opgeeft.
De gebruiker kan dit probleem voorkomen door het proces voor vergeten wachtwoorden opnieuw te starten via de volgende URL:
http://<servername>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf
Downloads van Identity Manager 3.5 van voor 9 april 2007 bevatten een beveiligingsprobleem. In bepaalde gevallen zorgden de iManager-invoegtoepassingen ervoor dat beheerders de waarden van verborgen attributen te zien kregen. De iManager-invoegtoepassing is bijgewerkt om ervoor te zorgen dat verborgen attributen die zijn gesynchroniseerd door Identity Manager-stuurprogramma's niet worden weergegeven. Omdat stuurprogramma's vaak gevoelige informatie synchroniseren, mag slechts een beperkt aantal mensen over beheerrechten voor deze stuurprogramma's beschikken om onbevoegde toegang te voorkomen.
De CRC's van de media die hierdoor werden beïnvloed:
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
De meest recente patches zijn beschikbaar via de Novell-website voor downloads.
Dit gedeelte bevat wijzigingen in de documentatie van Identity Manager 3.5.1, inclusief correcties en aanvullende productinformatie.
Houd rekening met de volgende wijzigingen in alle tabellen met de naam Geavanceerde opties met configuratieparameters voor de gebruikerstoepassing in hoofdstuk 5 "Installing the User Application" van de handleiding Identity Manager 3.5.1 Installation Guide :
Het volgende gedeelte vervangt sectie 5.6.12 van de handleiding Identity Manager 3.5.1 Installation Guide:
Kopieer het bestand sys-configuration-xmldata.xml van de installatiemap van de gebruikerstoepassing naar een map op het systeem dat als host optreedt voor de WebSphere-server, bijvoorbeeld /UserAppConfigFiles. De installatiemap van de gebruikerstoepassing is de map waarin u de gebruikerstoepassing hebt geïnstalleerd.
Stel het pad in op het bestand sys-configuration-xmldata.xml in de JVM-systeemeigenschappen. Hiervoor moet u zich als beheerder bij de WebSphere-beheerconsole aanmelden.
Ga vanuit het linkerdeelvenster naar
Klik op de servernaam in de serverlijst, bijvoorbeeld server1.
Ga in de lijst met instellingen rechts naar onder .
Vouw de koppeling uit en selecteer .
Selecteer in de lijst de optie .
Selecteer onder de koptekst voor de JVM-pagina.
Klik op om een nieuwe aangepaste JVM-eigenschap toe te voegen.
Geef bij de bestandsnaam extend.local.config.dir op.
Geef bij de naam op van de installatiemap die u tijdens de installatie hebt opgegeven. (Het installatieprogramma heeft het bestand sys-configuration-xmldata.xml naar deze map geschreven.).
Geef bij een beschrijving voor de eigenschap op, bijvoorbeeld het pad naar sys-configuration-xmldata.xml.
Klik op om de eigenschap op te slaan.
Klik op om een nieuwe aangepaste JVM-eigenschap toe te voegen.
Geef bij de bestandsnaam idmuserapp.logging.config.dir op.
Geef bij de naam op van de installatiemap die u tijdens de installatie hebt opgegeven.
Geef bij een beschrijving voor de eigenschap op, bijvoorbeeld het pad naar idmuserapp_logging.xml.
Klik op om de eigenschap op te slaan.
Opmerking:het bestand idmuserapp-logging.xml bestaat pas als u de wijzigingen doorvoert via .
In deze documentatie wordt het groter-dan-teken (>) gebruikt om handelingen binnen een stap en onderdelen van een verwijzing te scheiden.
Een handelsmerkteken (®, ™, enzovoort) duidt op een handelsmerk van Novell, een asterisk (*) duidt op een handelsmerk van derden.
Novell, Inc. geeft geen garanties betreffende de inhoud of het gebruik van deze documentatie, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor deze uitgave te allen tijde te herzien of te verbeteren zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit.
Bovendien levert Novell, Inc. geen garantie met betrekking tot software, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor om de Novell-software te allen tijde geheel of gedeeltelijk te herzien zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit.
Op producten of technische informatie die onder deze overeenkomst vallen kunnen exportbeperkingen van de Verenigde Staten en de handelswetten van andere landen van toepassing zijn. U stemt ermee in te voldoen aan alle regelingen ten aanzien van exportbeperking en alle vereiste licenties of classificaties te verkrijgen ten behoeve van het exporteren, opnieuw exporteren of importeren van af te leveren goederen. U stemt ermee in niet te exporteren of opnieuw te exporteren naar entiteiten op de huidige lijst voor uitsluiting van export van de Verenigde Staten of naar landen die in de exportwetgeving van de Verenigde Staten als onder embargo of als terroristisch worden aangemerkt. U stemt ermee in af te leveren goederen niet te gebruiken voor verboden eindgebruik in nucleaire, raket- of chemisch-biologische wapensystemen. Op de webpagina Novell International Trade Services vindt u meer informatie over het exporteren van Novell-software. Novell aanvaardt geen aansprakelijkheid voor gevallen waarin u er niet in slaagt de benodigde exportvergunningen te verkrijgen.
Copyright © 2007 Novell, Inc. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, gefotokopieerd, opgeslagen in een geautomatiseerd gegevensbestand of verzonden zonder de uitdrukkelijke schriftelijke goedkeuring van de uitgever.
Novell, Inc. beschikt over intellectuele eigendomsrechten met betrekking tot de geïntegreerde technologie van het product dat in dit document wordt beschreven. Deze intellectuele eigendomsrechten omvatten vooral, en zonder beperkingen, een of meer van de Amerikaanse octrooien die worden vermeld op de webpagina Novell Legal Patents en een of meer aanvullende octrooien of octrooiaanvragen in de V.S. of andere landen.
Raadpleeg de lijst met handelsmerken en servicemerken van Novell voor meer informatie over handelsmerken van Novell.
Alle handelsmerken van derden zijn het eigendom van hun respectieve eigenaren.