18 januari 2008
Dit document bevat de bekende problemen van de Module toegangsbeheer op basis van rollen voor Identity Manager versie 3.6. Raadpleeg de Identity Manager 3.5.1 Leesmij voor problemen die invloed kunnen hebben op de gebruikerstoepassing maar niet gerelateerd zijn aan het rolsubsysteem. Zie Sectie 7.0, Problemen opgelost in IDM 3.6 voor een lijst met IDM 3.5.1-problemen die zijn opgelost in de module toegangsbeheer op basis van rollen versie 3.6.
De documentatiebronnen worden regelmatig bijgewerkt. Er worden zo nodig correcties en verbeteringen doorgevoerd. Controleer de website met productdocumentatie voor Novell Identity Manager 3.6 voor updates.
In de volgende gedeelten worden problemen die gerelateerd zijn aan de documentatie weergegeven
In tabel 1-1, Systeemvereisten, wordt Metadirectory 3.5 onjuist weergegeven als een ondersteund systeemonderdeel. Gebruik Metadirectory 3.5.1. U kunt Metadirectory 3.5 niet gebruiken.
In gedeelte 2.6, 'Beveiligingsvoorwaarden' wordt de functie Gelijktijdig afmelden weergegeven. Het is een functie, en geen voorwaarde.
Als u gebruikmaakt van NetWare, moet u het bestand nrf-extentions.sch hernoemen voordat u gebruik maakt van het hulpprogramma nwconfig. Het hulpprogramma nwconfig ondersteunt alleen 8.3-bestandnamen. Het bestand nrf-extentions.sch kan met de standaardnaam niet worden gebruikt. Geef nrf-extensions.sch een andere naam met een ondersteunde indeling zoals nrfext.sch.
Het opgegeven pad voor NetWare is onjuist. Het juiste pad is:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Het opgegeven pad voor NetWare is onjuist. Het juiste pad is:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
In de volgende gedeelten worden bekende problemen beschreven met het tabblad Rollen van de Gebruikerstoepassing..
De objectselector die u gebruikt om een zoekopdracht te vinden of te filteren, voegt altijd een wildcard (*) toe aan het einde van de zoekcriteria.
Rol-zoekopdracht is hoofdlettergevoelig in de objectselector.
Het filteren van rolnamen is in de volgende pagina's niet hoofdlettergevoelig:
Mijn rollen
Roltoewijzingen
Aanvraagstatus weergeven
Bladeren door de rollencatalogus
Rolrelaties beheren
De rolnaam en de restrictienaam voor scheiding van taken mag de volgende tekens bevatten:
Alfanumerieke tekens.
Een - (streepje) of _ (underscore) in de reeks (maar niet aan het begin of het einde van de reeks).
De volgende tekens veroorzaken problemen en kunnen dus NIET worden gebruikt:
! # % & , " ' ; \ / +
Wanneer u de weergavenaam voor het eerst definieert, is de naam ook beperkt tot deze tekenset. Nadat u de rol of de beperking van scheiding van taken de eerste keer hebt opgeslagen, kunt u de weergegeven naam aanpassen met andere tekens.
Als de rolnaam niet-ondersteunde tekens bevat, zullen gebruikers een foutbericht krijgen als ze acties willen uitvoeren op die rol. Dit is de volgende fout:
796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped.
Als u een rol toewijst aan een OU, maar er zijn geen gebruikers in die OU die toegang hebben tot die rol, controleert u het foutenlogboek van het rolservicestuurprogramma op fouten. De gebruikersinterface van de gebruikerstoepassing geeft dit type fout niet aan en hierdoor lijkt het alsof de rol is toegewezen op de pagina Verzoeken weergeven.
Wanneer u roltoewijzingen wilt weergeven vanuit Mijn rollen of Roltoewijzingen (op gebruiker), worden niet alle containers of groepen voor de rol weergegeven. Er wordt er maar één weergegeven. Als de rol TestRole zich bijvoorbeeld in twee containers bevindt, geeft de gebruikersinterface de rol weer in maar één container.
De gebruikerstoepassing controleert op beperkingsuitzonderingen van scheidingen van taken wanneer een gebruiker een roltoewijzing aanvraagt, maar ze worden niet gecontroleerd wanneer een roltoewijzing wordt toegepast. Dit houdt in dat een rol een schending kan veroorzaken, maar dat er geen kennisgeving of goedkeuring plaatsvindt. Stel dat de rollen van de verpleger en de apotheker in conflict zijn. U wijst gebruiker A de verplegerrol toe waarvan de ingangsdatum over twee weken is. Tegelijkertijd wijst u gebruiker A de apothekersrol toe die per direct ingaat. U wordt niet op de hoogte gesteld van dit conflict omdat de uitzondering wordt gecontroleerd op de aanvraagtijd en de gebruiker op de aanvraagtijd geen conflicterende rol heeft.
De pagina Roltoewijzingen geeft geen toewijzingen weer met de status 'Activering in behandeling'. Om toewijzingen te zien die in de toekomst worden geactiveerd, gaat u naar de pagina Verzoekstatus weergeven.
Als de huidige datum voor de gebruikerstoepassingsserver anders is dan de huidige datum voor de eDirectory-server, kan de gebruiker verschillende data zien op verschillende pagina's van het tabblad Rollen. Stel dat bijvoorbeeld de huidige datum van de gebruikerstoepassingsserver 5 december is, maar de huidige datum van de eDirectory-server 26 december is. In dit geval zou als ingangsdatum op de pagina's Mijn rollen en Roltoewijzingen de datum van de eDirectory-server worden weergegeven. Op de pagina Verzoekstatus weergeven wordt echter de ingangsdatum en verzoekdatum van de gebruikerstoepassingsserver weergegeven.
Als de ingangsdatum niet is aangegeven, gebruikt de pagina Roltoewijzingen de tijd van het eDirectory-serversysteem. De pagina Verzoekstatus weergeven gebruikt echter voor de ingangsdatum de tijd van het gebruikerstoepassingsserversysteem. Deze tegenstrijdigheid zou niet voor moeten komen in een productieomgeving omdat daar tijdssynchronisatietechnieken gebruikt worden om deze problemen te corrigeren.
Verder worden toewijzingen en gegevens van toewijzingsverzoeken apart bewaard in verschillende objecten. Eén object stelt de datum voor die is toegevoegd op het moment dat de gebruiker de aanvraag heeft gedaan en een ander object stelt de toestand van de werkelijke roltoewijzing voor. Als de gebruiker geen ingangsdatum heeft opgegeven (met de bedoeling dat de roltoewijzing per direct in zal gaan), is de ingangsdatum op de pagina Verzoekstatus weergeven, de datum van het indienen van het verzoek bij de toepassingsserver. Deze datum is niet gelijk aan de datum die wordt weergegeven in het venster Roltoepassing, die gebaseerd is op het moment dat de roltoewijzing werkelijk werd verwerkt.
Op de pagina Rollen beheren kan de rolbeheerder alle rolcontainers zien, maar hij kan alleen nieuwe rollen maken en bestaande rollen aanpassen waarvoor hij bladerrechten heeft.
In de volgende gedeelten worden bekende problemen met rolrapporten besproken.
Als u rapporten wilt weergeven, moet de Adobe Reader Plug-in zijn geïnstalleerd op uw browser. Als u de plug-in niet hebt geïnstalleerd, worden de rapporten niet weergegeven.
Als een PDF inhoud bevat in het Chinees, Japans of Russisch moeten de voorkeurslandinstellingen van de gebruiker zijn ingesteld op de betreffende taal. Als een PDF meerdere van deze talen bevat, moeten de voorkeurslandinstellingen van de gebruiker zijn ingesteld op één van de talen. Anders wordt het rapport niet correct weergegeven.
Er is een bekend Sun JDK-probleem in relatie tot NullPointerException dat optreedt wanneer u meerdere rapporten tegelijkertijd uitvoert. Als u de NullPointerException tegenkomt, moet u het rapport wellicht opnieuw uitvoeren. Raadpleeg het foutrapport van Sun voor meer informatie.
Het uitvoeren van rapporten is een bewerking waarbij veel geheugen wordt gebruikt. Hieronder vindt u een aantal tips voor het verkrijgen van de beste prestaties tijdens het uitvoeren van rapporten:
Stel een groot Java heapformaat in voor de toepassingsserver.
Probeer niet te veel rapporten tegelijk te genereren.
Voer, wanneer mogelijk, rapporten uit op momenten dat de server niet actief is om de invloed op actieve gebruikers zo klein mogelijk te houden.
Wijs in de cluster een toepassingsserver toe voor het genereren van rapporten om de invloed op actieve gebruikers zo veel mogelijk te beperken.
In de volgende gedeeltes worden bekende lokalisatieproblemen behandeld.
De SessionWarning-tekst wordt niet weergegeven voor vereenvoudigd Chinees. Na de time-out wordt de gebruiker omgeleid naar de sessietime-outpagina en kan de gebruiker zich daar opnieuw aanmelden. Alle pagina's die de gebruiker opent worden echter weergegeven met een JavaScript-fout.
Als u de gebruikerstoepassing uitvoert met een van de Chinese landinstellingen, kunt u Designer niet gebruiken om beschrijvingen of namen van rollen of beperkingen van scheiding van taken op te geven. Ze worden correct weergegeven in Designer, maar zullen niet worden weergegeven zodra ze zijn geïmplementeerd. Om dit probleem te voorkomen, kunt u de namen en beschrijvingen lokaliseren op het tabblad Rollen van de gebruikerstoepassing.
De systeemrollen die met het product worden meegeleverd, worden niet standaard correct weergegeven op Chinese systemen. Ze worden in het Engels weergegeven. Gebruik het tabblad Rollen van de gebruikerstoepassing om de namen en beschrijvingen correct te vertalen.
In het volgende gedeelte worden bekende problemen voor iManager besproken.
U kunt iManager niet gebruiken met definities voor toegangsaanvragen op basis van rollen. Als u er een probeert te openen, wordt de volgende fout weergegeven.
The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.
Gebruik de stuurprogrammacontrole van iManager (beschikbaar via de koppeling voor de Identity Manager in het linkermenu) niet want hiermee kan uw e-Directory-server crashen. Als u het toch gebruikt, wordt het bericht voor leeskoppelingen weergegeven gevolgd door een foutmelding met het volgende bericht:
The following SPI error has occurred...(-621)...
Wanneer u de eDirectoryserver opnieuw opstart, wordt een bericht weergegeven dat e-Directory niet correct is afgesloten.
In de volgende gedeeltes worden bekende integratieproblemen beschreven.
De containers van JBoss en WebSphere behandelen JSF-pagina's verschillend. Dit betekent dat door het FormFill-beleid van de toegangsbeheerder Form-ID moet worden gebruikt in plaats van Form-naam.
Als u gebruikmaakt van Novell Security Services 2.0.5 (inclusief NMAS 3.2.0.2) en u hebt de omgevingsvariabele NDSD_TRY_NMASLOGIN_FIRST=true niet, kunt u het rolservicestuurprogramma niet starten. Het volgende NMAS-foutbericht wordt weergegeven wanneer u het wilt opstarten:
locallogin -799 ERR_CANNOT_GO_REMOTE
Om dit probleem te voorkomen, kunt u de omgevingsvariabeleNDSD_TRY_NMASLOGIN_FIRST instellen op onwaar, of kunt u de benodigde NMAS-patch toepassen.
Op NetWare is de omgevingsvariabele NDSD_TRY_NMASLOGIN_FIRST standaard ingesteld op waar. Voor andere platforms staat het standaard ingesteld op onwaar.
Dit gedeelte bevat een lijst met problemen die beschreven staan in de IDM 3.5.1 Gebruikerstoepassing Leesmij die zijn opgelost in de IDM 3.6 Module Toegangsbeheer op basis van rollen.
4.4 Installatie van grafische gebruikersinterface in Solaris 9 en 10 mislukt bij gebruik van eDirectory 8.8.1.
4.5 Hert script Configupdate werkt niet meer als er bestanden worden toegevoegd aan het WAR-bestand.
4.8 Gelijktijdig afmelden bij gebruikerstoepassing en Access Manager
6.9 Parameters voor SSL-configuratie instellen
6.12 Stuurprogramma van gebruikerstoepassing moet worden geactiveerd
6.15 Gevoelige gegevens in een gebruikerssessie worden niet gecodeerd
6.18 Er wordt geen werkstroom gegenereerd op basis van een eDirectory-gebeurtenis
6.23 De config.xml-bestanden voor services bevatten verouderde versienummers
6.25 Het starten van werkstromen met de SOAP-webservices leidt soms tot fouten.
6.30 Er wordt niet om een werkstroomengine-id gevraagd bij het installeren naar een cluster.
In deze documentatie wordt het groter-dan-teken (>) gebruikt om handelingen binnen een stap en onderdelen van een verwijzing te scheiden.
Een handelsmerkteken (®, ™, enzovoort) duidt op een handelsmerk van Novell, een asterisk (*) duidt op een handelsmerk van derden.
Novell, Inc. geeft geen garanties betreffende de inhoud of het gebruik van deze documentatie, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor deze uitgave te allen tijde te herzien of te verbeteren zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit.
Bovendien levert Novell, Inc. geen garantie met betrekking tot software, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor om de Novell-software te allen tijde geheel of gedeeltelijk te herzien zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit.
Op producten of technische informatie die onder deze overeenkomst vallen kunnen exportbeperkingen van de Verenigde Staten en de handelswetten van andere landen van toepassing zijn. U stemt ermee in te voldoen aan alle regelingen ten aanzien van exportbeperking en alle vereiste licenties of classificaties te verkrijgen ten behoeve van het exporteren, opnieuw exporteren of importeren van af te leveren goederen. U stemt ermee in niet te exporteren of opnieuw te exporteren naar entiteiten op de huidige lijst voor uitsluiting van export van de Verenigde Staten of naar landen die in de exportwetgeving van de Verenigde Staten als onder embargo of als terroristisch worden aangemerkt. U stemt ermee in af te leveren goederen niet te gebruiken voor verboden eindgebruik in nucleaire, raket- of chemisch-biologische wapensystemen. Op de webpagina Novell International Trade Services vindt u meer informatie over het exporteren van Novell-software. Novell aanvaardt geen aansprakelijkheid voor gevallen waarin u er niet in slaagt de benodigde exportvergunningen te verkrijgen.
Copyright © 2008 Novell, Inc. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, gefotokopieerd, opgeslagen in een geautomatiseerd gegevensbestand of verzonden zonder de uitdrukkelijke schriftelijke goedkeuring van de uitgever.
Novell, Inc. beschikt over intellectuele eigendomsrechten met betrekking tot de geïntegreerde technologie van het product dat in dit document wordt beschreven. Deze intellectuele eigendomsrechten omvatten vooral, en zonder beperkingen, een of meer van de Amerikaanse octrooien die worden vermeld op de webpagina Novell Legal Patents en een of meer aanvullende octrooien of octrooiaanvragen in de V.S. of andere landen.
Raadpleeg de lijst met handelsmerken en servicemerken van Novell voor meer informatie over handelsmerken van Novell.
Alle handelsmerken van derden zijn het eigendom van hun respectieve eigenaren.