Модуль персонифицированного доступа к информации на основе ролей Novell Identity Manager 3.6. Важные сведения.

18 января 2008 г.

Этот документ содержит сведения об известных проблемах для модуля обеспечения на основе ролей Novell Identity Manager, версия 3.6. Проблемы, которые могут возникнуть в User Application, не относящиеся к подсистеме ролей, рассмотрены в документе Важные сведения о Novell Identity Manager 3.5.1. Список проблем IDM 3.5.1, которые были устранены в модуле обеспечения на основе ролей версии 3.6, см. в разделе Раздел 7.0, Проблемы, устраненные в IDM 3.6

Ресурсы, содержащие эту документацию, периодически обновляются. По мере необходимости вносятся исправления и дополнения. Просмотрите обновления на веб-узле документации по продукту Novell Identity Manager 3.6.

1.0 Документация

В следующих разделах перечислены проблемы, связанные с документацией.

1.1 Модуль обеспечения на основе ролей Novell Identity Manager 3.6. User Application. Руководство по установке.

1.1.1 Ошибка в разделе 1.3 "Требования к системе"

В таблице 1-1 "Требования к системе" в качестве поддерживаемого системного компонента указывается Metadirectory 3.5 Metadirectory 3.5 использовать нельзя. Следует использовать Metadirectory 3.5.1.

1.1.2 Ошибка в разделе 2.6 "Необходимые условия безопасности"

В разделе 2.6 "Необходимые условия безопасности" упомянута функциональная возможность "Одновременная разрегистрация". Это функциональная возможность, а не необходимое условие.

1.1.3 Изменение для раздела 2.8.1 "Расширение схемы eDirectory для модуля обеспечения на основе ролей версии 3.6"

При использовании NetWare необходимо переименовать файл nrf-extensions.sch перед применением утилиты nwconfig. Утилита nwconfig поддерживает для имен файлов только формат 8.3, поэтому имя файла по умолчанию nrf-extensions.sch использовать нельзя. Измените имя nrf-extensions.sch так, чтобы оно имело поддерживаемый формат, например: nrfext.sch.

1.1.4 Ошибка в разделе 2.8.3 "Копирование файла конфигурации драйвера сервиса ролей"

Указан неправильный путь для NetWare. Правильный путь:

SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers

1.1.5 Ошибка в разделе 2.8.4 "Копирование файла конфигурации драйвера User Application"

Указан неправильный путь для NetWare. Правильный путь:

SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers

2.0 User Application: роли

Следующие разделы описывают известные проблемы для вкладки "Роли" компонента User Application.

2.1 Проблемы поиска

2.1.1 В диалоговом окне поиска ролей ко всем записям в конце добавляется звездочка (*) в качестве универсального символа.

Средство "Выбор объектов", используемое для поиска или фильтрации его результатов всегда добавляет универсальный символ (*).

2.1.2 Учет регистра при поиске

При поиске ролей в средстве "Выбор объектов" учитывается регистр.

Фильтрация имен ролей не учитывает регистр на следующих страницах:

  • Мои роли

  • Назначения ролей

  • Просмотр состояния запроса

  • Просмотр справочника ролей

  • Управление отношениями ролей

2.2 Символы, допустимые в именах ролей и разделений обязанностей (SoD)

Имена ролей и ограничений SoD могут состоять только из следующих символов:

  • Алфавитно-цифровые символы

  • Дефис (-) или подчеркивание (_), стоящие не в начале и не в конце имени.

Нельзя использовать следующие символы (они вызывают ошибки):

! # % & , " ' ; \ / +

При первом создании отображаемого имени следует также использовать символы с указанными ограничениями. После сохранения роли или ограничения SoD можно изменить отображаемое имя с использованием других символов.

Если имя роли содержит недопустимые символы, при попытке пользователей выполнить какие-либо действия с этой ролью будет возникать ошибка. Возникает следующая ошибка:

796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped. 

2.3 Назначение подразделения роли в то время, как роль не применена

Если роль назначается в подразделение, но в этом подразделении ни один пользователь не наделен правами для этой роли, необходимо поискать ошибку в журнале ошибок драйвера сервиса ролей. Пользовательский интерфейс User Application не отображает ошибки такого типа, и роль выглядит обеспеченной на странице "Просмотр запросов"

2.4 Просмотр назначений ролей

При просмотре назначений ролей из представлений "Мои роли" и "Назначения ролей" (по пользователю) нельзя увидеть все контейнеры или группы для роли. Они отображаются по одному. Например, если роль ПримерРоли присутствует в двух контейнерах, она отображается в пользовательском интерфейсе только в одном контейнере.

2.5 О конфликтах разделения обязанностей сообщается не во время "Дата вступления в действие", а во время запроса.

User Application проверяет исключения ограничений SoD при запросе пользователем назначения роли, но не тогда, когда назначение роли вступает в силу. Это значит, что роль может находиться в состоянии нарушения, но это никак не отмечается и не подтверждается. Предположим, что существует конфликт между ролями медсестры и фармацевта. Пользователь А был назначен на роль медсестры с датой вступления в действие через две недели. В течение этого времени пользователь А назначается на роль фармацевта с немедленным вступлением в действие. Вы не получите уведомления об этом конфликте, потому что исключение проверяется во время запроса, а на момент запроса пользователь не имел конфликтующей роли.

2.6 На странице назначения ролей не отображаются элементы с датой начала в будущем

Страница "Назначение ролей" не отображает назначения с состоянием "Ожидает активации". Чтобы увидеть назначения, которые должны активироваться в будущем, перейдите на страницу "Просмотр состояния запросов".

2.7 Пользовательский интерфейс ролей иногда отображает несоответствующие даты вступления в действие

Если текущая дата на сервере User Application отличается от даты на сервере eDirectory, на разных страницах вкладки "Роли" даты, которые видит пользователь, могут отличаться. Предположим, что текущая дата на сервере User Application — 5 декабря, а текущая дата на сервере eDirectory — 26 декабря. В этом случае на страницах "Мои роли" и "Назначение ролей" даты вступления в действие соответствуют дате сервера eDirectory. Однако на странице "Просмотр состояния запросов" даты вступления в действие и запроса соответствуют дате сервера User Application.

Если дата вступления в действие не задана, на странице "Назначение ролей" используется системное время сервера eDirectory, но на странице "Просмотр состояния запросов" дата вступления в действие получается из системного времени сервера User Application. Такое несоответствие невозможно в производственной среде, в которой для устранения подобных проблем используются методы синхронизации времени.

Кроме того, даты назначения и запроса назначения содержатся отдельно в различных объектах. Один объект представляет дату, заданную в тот момент, когда пользователь делает запрос, а другой объект представляет состояние фактического назначения роли. Если пользователь не указал дату вступления в действие (то есть назначение роли должно вступить в силу немедленно, то дата вступления в действие, отображаемая на странице "Просмотр состояния запросов", — это дата на момент передачи запроса серверу приложений. Это не та же самая дата, которая отображается на экране "Назначение ролей" и которая основана на моменте фактической обработки назначения роли.

2.8 Права менеджера ролей на просмотр контейнеров ролей

На странице "Управление ролями" менеджеры ролей могут видеть все контейнеры ролей, но создавать и изменять они могут лишь те роли, для которых у них есть права на просмотр.

3.0 Компонент User Application: отчеты о ролях

В следующих разделах описываются известные проблемы для отчетов о ролях.

3.1 Для просмотра отчетов требуется подключаемый модуль Adobe Reader

Для просмотра отчетов необходимо, чтобы в навигаторе был установлен подключаемый модуль Adobe Reader. Если этот подключаемый модуль не установлен, отчеты не будут отображаться.

3.2 Поддержка смешанных языков

Если в отчете в формате PDF имеется содержимое на китайском, японском или русском языке, соответствующий язык должен быть выбран как предпочтительный язык пользователя. Если PDF-документ содержит смесь этих языков, один из них должен быть выбран как предпочтительный язык пользователя. В противном случае отчет будет отображаться для пользователя неправильно.

3.3 Отчеты ограничений SoD вызывают исключение NullPointerException

Известна проблема Sun JDK, связанная с исключениями NullPointerException, возникающими при одновременном выполнении нескольких отчетов. При возникновении исключения NullPointerException, возможно, потребуется выполнить отчет заново. Дополнительную информацию см. в разделе Отчет об ошибке Sun.

3.4 Как избежать ошибок "Недостаточно памяти" при параллельном выполнении отчетов

Создание отчетов — операция, интенсивно использующая оперативную память. Чтобы обеспечить наилучшую производительность при создании отчетов, воспользуйтесь следующими советами.

  • Установите на сервере приложений большой объем динамически выделяемой памяти для среды Java.

  • Старайтесь не создавать большого числа отчетов одновременно.

  • По возможности планируйте создание отчетов на время, когда сервер наименее загружен, чтобы не мешать активным пользователям.

  • При работе в кластере выделите для создания отчетов сервер приложений кластера, чтобы не мешать активным пользователям.

4.0 Локализация

В следующих разделах описываются известные проблемы локализации.

4.1 Текст предупреждения об окончании сеанса и китайский язык (упрощенное письмо)

Текст предупреждения об окончании сеанса не отображается на китайском языке (упрощенное письмо). После окончания времени сеанса пользователь перенаправляется на страницу окончания сеанса и может заново войти в систему. Однако на каждой страницы, на которую переходит пользователь, отображается сообщение ошибки загрузки страницы JavaScript.

4.2 Проблемы с именами и описаниями ролей и ограничений SoD на китайском языке.

При работе в компоненте User Application с использованием одного из вариантов китайского языка невозможно задавать с помощью Проектировщика локализованные имена и описания ролей и ограничений SoD. Они будут правильно отображаться в Проектировщике, но не будут отображаться правильно после развертывания. Чтобы обойти эту проблему, можно локализовать имена и описания на вкладке "Роли" компонента User Application.

Системные роли, входящие в состав продукта не будут правильно отображаться по умолчанию на системах с китайским языком. Они будут отображаться на английском языке. Чтобы заменить имена и описания их правильными переводами, воспользуйтесь вкладкой "Роли" компонента User Application.

5.0 iManager

В следующих разделах описываются известные проблемы для компонента iManager.

5.1 Невозможно просмотреть определения запросов обеспечения на основе ролей в iManager

Компонент iManager нельзя использовать для работы с определениями запросов обеспечения на основе ролей. При попытках открыть их будет возникать следующая ошибка.

The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.

5.2 При использовании инспектора драйверов для драйвера сервиса ролей происходит аварийное завершение работы eDirectory

Не используйте инспектор драйверов iManager (доступный по ссылке в левой области навигации Identity Manager), поскольку это может привести к аварийному завершению работы сервера eDirectory. Если он используется, будет появляться сообщение о чтении связей, а затем диалоговое окно ошибки с сообщением следующего вида:

The following SPI error has occurred...(-621)...

После перезапуска сервера eDirectory появится сообщение о некорректном завершении работы eDirectory.

6.0 Интеграция

В следующих разделах описываются известные проблемы интеграции.

6.1 Различие политик Login.jsf и FormFill в JBoss и WebSphere

Контейнеры JBoss и WebSphere обрабатывают страницы JSF по-разному. Это значит, что в политике FormFill диспетчера доступа следует использовать ID формы, а не имя формы.

6.2 Из-за ошибок NMAS невозможен запуск драйвера сервиса ролей

Если используется компонент Novell Security Services 2.0.5 (включает NMAS 3.2.0.2), и значение переменной среды NDSD_TRY_NMASLOGIN_FIRST=true, запуск драйвера сервиса ролей будет невозможен. При попытке запуска будет появляться следующее сообщение об ошибке NMAS:

locallogin -799 ERR_CANNOT_GO_REMOTE

Чтобы обойти эту проблему, задайте для переменной среды NDSD_TRY_NMASLOGIN_FIRST значение false, или установите соответствующее исправление для NMAS.

В NetWare переменная среды NDSD_TRY_NMASLOGIN_FIRST имеет значение true по умолчанию. На других платформах она имеет по умолчанию значение false.

7.0 Проблемы, устраненные в IDM 3.6

В этом разделе приведен список проблем, описанных в документе "Важные сведения о компоненте User Application IDM 3.5.1", которые были устранены в модуле обеспечения на основе ролей IDM 3.6.

  • 4.4 Не удается установить GUI на ОС Solaris 9 и 10 при использовании eDirectory 8.8.1.

  • 4.5 Ошибка при выполнении сценария configupdate после добавления файлов к WAR.

  • 4.8 Одновременная разрегистрация в компоненте User Application и в диспетчере доступа

  • 6.9 Настройка параметров конфигурации SSL

  • 6.12 Драйвер компонента User Application требует активации

  • 6.15 Конфиденциальные данные пользовательского сеанса не зашифрованы

  • 6.18 Событию eDirectory не удается запустить рабочий процесс

  • 6.23 Файлы config.xml для сервисов содержат устаревшие номера версий

  • 6.25 Запуск рабочего процесса с помощью веб-сервисов SOAP иногда генерирует ошибки.

  • 6.30 При установке в кластер не выдается запрос на ввод ID механизма рабочего процесса.

8.0 Условные обозначения, использующиеся в документации

В данной документации символ "больше" (>) используется для разделения операций внутри одного действия и элементов в пути перекрестных ссылок.

Символ товарного знака (®, ™ и т.д.) означает товарный знак Novell®; звездочка (*) означает товарный знак независимых производителей.

9.0 Юридическая информация

Компания Novell, Inc. не дает никаких гарантий или обещаний относительно содержания или возможностей использования данной документации, особо оговаривая отказ от любых явных или подразумеваемых гарантий назначения или пригодности для любой конкретной цели. Кроме того, компания Novell оставляет за собой право в любое время пересматривать данную публикацию и изменять ее содержимое, не беря на себя обязательств по уведомлению об изменениях каких-либо юридических и физических лиц.

Кроме того, компания Novell не дает никаких гарантий и обещаний относительно любого программного обеспечения, особо оговаривая отказ от любых явных или подразумеваемых гарантий пригодности для продажи и иной цели. Кроме того, Novell, Inc. оставляет за собой право в любое время изменять программные продукты Novell частично или целиком, не беря на себя обязательств по уведомлению об этих изменениях каких-либо юридических и физических лиц.

На любые продукты и техническую информацию, предоставляемые по этому Соглашению, могут распространяться правила экспортного контроля США и положения торгового права, принятые в других странах. Вы обязуетесь соблюдать все правила экспортного контроля и получать любые необходимые лицензии или классификации для выполнения операций экспорта, реэкспорта и импорта поставляемых товаров. Вы обязуетесь не экспортировать и не реэкспортировать товары лицам, находящимся в запретных списках США на экспорт, и в страны, в отношении которых действует эмбарго или которые определены в экспортных законах США как террористические. Вы обязуетесь не применять результаты в целях производства и использования запрещенного ядерного, ракетного, химического и биологического оружия. Дополнительные сведения об экспорте ПО Novell см.на веб-странице Novell International Trade Services. Компания Novell не несет ответственности, если Вы не сможете получить необходимое разрешение на экспорт.

Авторские права © 2008 Novell, Inc. Все права защищены. Никакая часть настоящего документа не может быть воспроизведена, фотокопирована, сохранена в какой-либо поисковой системе или передана без явного письменного согласия издателя.

Novell, Inc. обладает правами интеллектуальной собственности на технологии, встроенные в продукт, описываемый в данном документе. В частности (но не ограничиваясь этим) права на интеллектуальную собственность могут включать один или несколько патентов США, список которых приведен на веб-странице Novell Legal Patents, а также один или несколько дополнительных или заявленных патентов в США и других странах.

Товарные знаки компании "Novell" см. в списке товарных знаков и знаков обслуживания компании "Novell".

Все торговые марки независимых производителей являются собственностью их владельцев.