Readme do Módulo de Aprovisionamento Baseado em Funções do Novell Identity Manager 3.6

18 de janeiro de 2008

Este documento contém problemas conhecidos do Módulo de Aprovisionamento Baseado em Funções do Identity Manager, versão 3.6. Consulte o Readme do Identity Manager 3.5.1 sobre os problemas que podem afetar o Aplicativo do Usuário, mas que não estão relacionados ao subsistema de Função. Consulte Seção 7.0, Problemas corrigidos no IDM 3.6 para obter uma lista dos problemas do IDM 3.5.1 que foram corrigidos na versão 3.6 do Módulo de Aprovisionamento Baseado em Funções.

Os recursos da documentação são atualizados regularmente. As correções e os aprimoramentos são realizados conforme a necessidade. Consulte o site da documentação de produtos do Novell Identity Manager 3.6 na Web para obter atualizações.

1.0 Documentação

As seções a seguir listam problemas relacionados à documentação.

1.1 Aplicativo do Usuário: Módulo de Aprovisionamento Baseado em Funções do Novell Identity Manager 3.6: Guia de Instalação (em inglês)

1.1.1 Erro na seção 1.3, Requisitos do sistema

Tabela 1-1, a seção Requisitos do sistema lista incorretamente o Metadirectory 3.5 como um componente de sistema suportado. Você precisa usar o Metadirectory 3.5.1. Não é possível usar o Metadirectory 3.5.

1.1.2 Erro na seção 2.6, Pré-requisitos de segurança

A seção 2.6, "Pré-requisitos de segurança", lista o recurso Logout Simultâneo. Esse é um recurso, não um pré-requisito.

1.1.3 Atualização da seção 2.8.1, Ampliando o esquema do eDirectory para o Módulo de Aprovisionamento Baseado em Funções Versão 3.6

Se estiver no NetWare, você precisará renomear o arquivo nrf-extensions.sch antes de usar o utilitário nwconfig. O utilitário nwconfig apenas suporta nomes de arquivos 8.3, assim, não pode usar o arquivo nrf-extensions.sch com o nome padrão. Renomeie nrf-extensions.sch para um formato suportado, como nrfext.sch.

1.1.4 Erro na Seção 2.8.3, Copiando o arquivo de configuração do driver do serviço de função

O caminho especificado para o NetWare está incorreto. O caminho correto é:

SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers

1.1.5 Erro na Seção 2.8.4, Copiando o arquivo de configuração do driver do Aplicativo do Usuário

O caminho especificado para o NetWare está incorreto. O caminho correto é:

SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers

2.0 Aplicativo do Usuário: Funções

As seções a seguir descrevem problemas conhecidos da guia Funções do Aplicativo do Usuário.

2.1 Problemas de pesquisa

2.1.1 A caixa de diálogo Pesquisa de Funções sempre insere curingas nas entradas adicionando * no fim da pesquisa

O seletor de objetos que você usa para localizar ou filtrar a pesquisa sempre adiciona um curinga (*) no fim dos critérios de pesquisa.

2.1.2 Pesquisa e diferenciação entre maiúsculas e minúsculas

A pesquisa de função diferencia maiúsculas de minúsculas no seletor de objetos.

A filtragem de nome de função NÃO diferencia maiúsculas de minúsculas nas seguintes páginas:

  • Minhas Funções

  • Designações da Função

  • Ver Status da Solicitação

  • Procurar Catálogo de Funções

  • Gerenciar Relacionamentos de Funções

2.2 Caracteres suportados para nome de função e nome de SoD

O nome de função e o nome da restrição SoD podem conter apenas os seguintes caracteres:

  • Caracteres alfanuméricos.

  • Um - (traço) ou _ (sublinhado) na string (mas não no início ou no fim da string).

Os caracteres a seguir NÃO podem ser usados e causarão erros:

! # % & , " ' ; \ / +

O nome de exibição fica limitado a esse mesmo conjunto de caracteres quando é criado pela primeira vez. Após salvar a função ou restrição SoD pela primeira vez, você poderá então modificar o nome de exibição para usar outros caracteres.

Se o nome de função incluir caracteres que não são suportados, os usuários encontrarão um erro caso tentem executar qualquer ação nessa função. O erro é o seguinte:

796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped. 

2.3 Atribuindo uma Unidade Organizacional (UO) a uma função, mas a função não é aplicada

Se você atribuir uma função a uma UO, mas nenhum dos usuários nessa UO estiver aprovisionado para essa função, você precisará verificar o erro no registro de erros do driver de Serviço de Função. A interface de usuário do Aplicativo de Usuário não indica esse tipo de erro e, aparentemente, a função foi aprovisionada na página Ver Solicitações.

2.4 Vendo atribuições de funções

Ao ver atribuições de funções por meio de Minhas Funções ou Atribuições de Funções (pelo Usuário), você não verá todos os containers ou grupos dessa função. Você verá apenas um. Por exemplo, se a função TestRole estiver em dois containers, a interface de usuário exibirá a função em apenas um container.

2.5 Os conflitos de SoD são relatados no Horário de Solicitação e não na Data Efetiva

O Aplicativo do Usuário verifica as exceções de restrições SoD quando um usuário solicita uma atribuição de função, mas elas não são verificadas quando uma atribuição de função se torna efetiva. Isso significa que uma função pode estar sendo violada, mas nenhum aviso ou aprovação foi executado. Suponha que as funções de enfermeiro e farmacêutico estejam em conflito. Talvez você atribua o Usuário A à função de enfermeiro com uma data efetiva para daqui a duas semanas. Enquanto isso, você atribui o Usuário A à função de farmacêutico com uma data efetiva imediata. Você não será notificado a respeito desse conflito porque a exceção é verificada no horário da solicitação, momento em que o usuário ainda não está em uma função de conflito.

2.6 A página Atribuições de Funções não mostra itens com data de início no futuro

A página Atribuições de Funções não mostra atribuições que possuem o status "Ativação Pendente". Para ver atribuições que serão ativadas no futuro, vá até a página Ver Status da Solicitação.

2.7 A interface do usuário de função algumas vezes mostra datas efetivas inconsistentes

Se a data atual do servidor do Aplicativo do Usuário for diferente da data atual do servidor do eDirectory, o usuário talvez veja datas diferentes em páginas diferentes na guia Funções. Por exemplo, suponha que a data atual do servidor do Aplicativo do Usuário seja 5 de dezembro, mas a data atual do servidor do eDirectory seja 26 de dezembro. Nesse caso, nas páginas Minhas Funções e Atribuições de Funções, as datas efetivas mostram a data do servidor do eDirectory. No entanto, na página Ver Status da Solicitação, a data efetiva e a data de solicitação correspondem à data do servidor do Aplicativo do Usuário.

Se a data efetiva não estiver especificada, a página Atribuições de Funções usará a hora do sistema do servidor do eDirectory, mas na página Ver Status da Solicitação, a data efetiva corresponderá à hora do sistema do servidor do Aplicativo do Usuário. A discrepância pode não existir em um ambiente de produção porque técnicas de sincronização de horário podem ser usadas para corrigir esses problemas.

Além disso, a atribuição e a data de solicitação da atribuição são mantidas separadamente em objetos diferentes. Um objeto representa a data fornecida no horário em que o usuário fez a solicitação, enquanto o outro objeto representa o estado da atribuição da função atual. Se o usuário não especificar uma data efetiva (o que significa que a atribuição de função deve tornar-se efetiva imediatamente), a data efetiva mostrada na página Ver Status da Solicitação será a data em que a solicitação foi enviada ao servidor do aplicativo. Essa não é a mesma data mostrada na tela Atribuições de Funções, que é baseada na data em que a atribuição de função foi processada realmente.

2.8 Direitos do Gerente de Funções de procurar nos containers de função

Na página Gerenciar Funções, o Gerente de Funções pode ver todos os containers de função, mas pode apenas criar novas funções e modificar funções já existentes para as quais possua direitos Procurar.

3.0 Aplicativo do Usuário: Gerador de relatórios de função

As seções a seguir descrevem problemas conhecidos de relatórios de funções.

3.1 É necessário ter o plug-in do Adobe Reader para ver os relatórios

Para ver os relatórios, o seu browser precisa ter o plug-in do Adobe Reader instalado. Se você não tiver o plug-in instalado, os relatórios não serão exibidos.

3.2 Suporte a vários idiomas

Se um relatório em PDF tiver conteúdo gerado em chinês, japonês ou russo, o local preferido do usuário precisará ser definido para o idioma apropriado. Se o PDF contiver uma mistura desses idiomas, o local preferido do usuário precisará ser definido para um deles. Caso contrário, o usuário não poderá ver o relatório corretamente.

3.3 Relatórios de restrições SoD causando NullPointerExceptions

Existe um problema conhecido do Sun JDK relacionado a NullPointerExceptions observado ao serem executados vários relatórios simultaneamente. Se você encontrar o NullPointerException, talvez precise executar novamente o relatório. Consulte o relatório de erros do Sun para obter mais informações.

3.4 Dicas para evitar erros de falta de memória ao executar relatórios simultaneamente

A geração de relatórios é uma operação que requer bastante memória. Aqui estão algumas diretrizes para garantir o melhor desempenho durante a geração de relatórios:

  • Configure um grande tamanho de Java heap para o servidor do aplicativo.

  • Evite gerar um grande número de relatórios ao mesmo tempo.

  • Sempre que possível, gere relatórios quando o servidor estiver ocioso para minimizar o impacto nos usuários ativos.

  • Em um cluster, dedique um servidor de aplicativo ao cluster para a geração de relatórios, de modo a minimizar o impacto nos usuários ativos.

4.0 Localização

As seções a seguir descrevem problemas de localização conhecidos.

4.1 Texto SessionWarning (Aviso de Sessão) e chinês simplificado

A sessão Texto de aviso não é exibida para chinês simplificado Após o tempo de espera, o usuário é redirecionado à página de tempo de espera da sessão e pode efetuar o login novamente com sucesso. No entanto, qualquer página que o usuário acesse exibe um erro de carregamento JavaScript da página.

4.2 Problemas com nome e descrição da restrição SoD e da função em chinês

Se você executa o Aplicativo do Usuário usando um dos locais chineses, não pode usar o Designer para definir nomes ou descrições da restrição SoD ou da função localizados. Eles serão exibidos corretamente no Designer, mas não serão exibidos corretamente quando tiverem sido distribuídos. Para contornar esse problema, você pode localizar os nomes e as descrições na guia Funções do Aplicativo do Usuário.

As funções de sistema que são fornecidas com o produto não serão exibidas corretamente por padrão nos sistemas chineses. Elas serão exibidas em inglês. Use a guia Funções do Aplicativo do Usuário para atualizar os nomes e as descrições para a tradução correta.

5.0 iManager

As seções a seguir listam problemas conhecidos do iManager.

5.1 Não é possível examinar definições de solicitação de aprovisionamento baseadas em funções no iManager

Não é possível usar o iManager para trabalhar com definições de solicitação de aprovisionamento baseadas em funções. Se você tentar abrir uma, verá o seguinte erro.

The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.

5.2 O uso do Inspetor de Driver no driver do serviço de funções causa falha no eDirectory

Não use o Inspetor de Driver do iManager (disponível pelo link Identity Manager no lado esquerdo da navegação), pois o servidor do eDirectory poderá falhar. Se você usá-lo, verá a mensagem Lendo associações seguida de uma caixa de diálogo de erro com uma mensagem parecida com a seguinte:

The following SPI error has occurred...(-621)...

Quando você reinicializa o servidor do eDirectory, ele exibe uma mensagem avisando que o eDirectory não foi encerrado corretamente.

6.0 Integração

As seções a seguir descrevem problemas de integração conhecidos.

6.1 Diferenças das políticas Login.jsf e FormFill no JBoss e WebSphere

Os containers JBoss e WebSphere lidam com páginas JSF de formas diferentes. Isso significa que a política FormFill do Gerenciador de Acesso precisa usar ID de formulário em vez de Nome de formulário

6.2 Erros NMAS impedem que o driver de serviço de funções seja inicializado

Se você estiver usando o Novell Security Services 2.0.5 (que inclui o NMAS 3.2.02) e possuir a variável de ambiente NDSD_TRY_NMASLOGIN_FIRST=true, não poderá inicializar o driver de serviço de funções. Você receberá o seguinte erro NMAS ao tentar iniciá-lo:

locallogin -799 ERR_CANNOT_GO_REMOTE

Para contornar esse problema, defina a variável de ambiente NDSD_TRY_NMASLOGIN_FIRST como falso, ou obtenha o patch do NMAS necessário.

No NetWare, a variável de ambiente NDSD_TRY_NMASLOGIN_FIRST é definida como verdadeiro por padrão. Para outras plataformas, é definida como falso por padrão.

7.0 Problemas corrigidos no IDM 3.6

Esta seção inclui uma lista de problemas descritos no Readme do Aplicativo do Usuário IDM 3.5.1 que foram corrigidos no Módulo de Aprovisionamento Baseado em Funções do IDM 3.6.

  • 4.4 Falha na instalação da GUI no Solaris 9 e 10 durante utilização do eDirectory 8.8.1.

  • 4.5 Falha no script Configupdate depois de adicionar arquivos ao WAR.

  • 4.8 Logout simultâneo do Aplicativo do Usuário e do Access Manager

  • 6.9 Definindo os parâmetros de configuração do SSL

  • 6.12 O driver do Aplicativo do Usuário requer ativação

  • 6.15 Os dados confidenciais em uma sessão do usuário não são criptografados

  • 6.18 Ocorre falha no acionamento de um workflow a partir de um evento do eDirectory

  • 6.23 Os arquivos config.xml de serviço contêm números de versão desatualizados

  • 6.25 Iniciar os workflows com o Serviço Web SOAP às vezes causa erros.

  • 6.30 A instalação em um cluster não solicita o ID do mecanismo de workflow.

8.0 Convenções da documentação

Nesta documentação, o símbolo maior que (>) é utilizado para separar ações dentro de uma etapa e itens em um caminho de referência cruzada.

Um símbolo de marca registrada (®, ™, etc.) indica uma marca registrada da Novell®; um asterisco (*) indica uma marca registrada de terceiros.

9.0 Informações legais

A Novell, Inc. não faz representações ou garantias com relação ao conteúdo ou uso desta documentação, e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer mudanças em seu conteúdo, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais revisões ou mudanças.

A Novell, Inc. não faz ainda representações ou garantias com relação a qualquer software e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de fazer mudanças em qualquer uma ou todas as partes do software da Novell, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais mudanças.

Quaisquer informações técnicas ou sobre produtos fornecidas de acordo com este Contrato estão sujeitas aos controles de exportação dos EUA e às leis comerciais de outros países. Você concorda em obedecer a todos os regulamentos de controle de exportação e em adquirir quaisquer licenças ou classificações necessárias para exportar, reexportar ou importar produtos. Você concorda em não exportar nem reexportar para entidades que constam nas listas de exclusão de exportação atual dos EUA ou para qualquer país embargado ou terrorista conforme especificado nas leis de exportação dos EUA. Você concorda em não usar produtos para fins proibidos relacionados a armas nucleares, biológicas e químicas ou mísseis. Consulte a página da Web Novell International Trade Services para obter mais informações sobre como exportar softwares da Novell. A Novell não se responsabiliza pela falha na aquisição de quaisquer aprovações necessárias para exportação.

Copyright © 2008 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem o consentimento expresso por escrito do editor.

A Novell, Inc. tem direitos de propriedade intelectual relacionados à tecnologia incorporada no produto descrito neste documento. Especificamente e sem limitações, esses direitos de propriedade intelectual podem incluir uma ou mais das patentes dos E.U.A. listadas na página de patentes legais da Novell na Web e uma ou mais patentes adicionais ou aplicativos de patentes pendentes nos E.U.A. e em outros países.

Para as marcas registradas da Novell, consulte a Lista de Marcas Registradas e Marcas de Serviço da Novell.

Todas as marcas registradas de terceiros pertencem aos seus respectivos proprietários.