Senast uppdaterat den 28 september 2007.
Det här dokumentet innehåller de kända problemen i Identity Manager version 3.5.1.
Följande extra dokumentationsresurser är tillgängliga för närvarande:
I det här avsnittet beskrivs ytterligare två poster som ska finnas med i listan över nya funktioner i avsnittet Nyheter i Installationsguiden för Identity Manager 3.5.1.
Identity Manager-användarprogrammet har stöd för single-inloggning via Access Manager, med hjälp av valfri autentiseringstjänst från tredje part som kan logga in i Access Manager. Detta innebär att det går att logga in i användarprogrammet via Access Manager med en teknik som inte baseras på lösenord. Ett exempel är inloggning med hjälp av ett användarcertifikat (klientcertifikat), till exempel med ett smartkort. Mer information finns i avsnittet om säkerhet i kapitlet om att utforma produktmiljön i administrationsguiden för Identity Manager 3.5.1-användarprogrammet.
Du kan nu lägga till sökparametrar i en URL som hänvisar till informationssidor om Identity Manager.
I det här avsnittet beskrivs systemkraven för Identity Manager 3.5.1:
Kraven på Java* för Identity Manager 3.5.1 är följande:
Användarprogrammet kräver Java 5.0.10 för att det ska finnas stöd för digital signering och Cryptovision.
På JBoss*-programservrar måste du hämta och installera följande Sun* JDK*: Java 2 Platform Standard Edition Development Kit 5.0. Använd JRE* version 1.5.0_10.
OBS!Använd inte IBM* JDK som medföljer SUSE® Linux Enterprise Server (SLES). Om IBM JDK som medföljer SLES används kan det leda till huvudnyckelfel.
På WebSphere-programservrar använder du IBM JDK som medföljer WebSphere* Application Server 6.1.0.9 eller senare, med de obegränsade principfilerna tillämpade. Du måste också tillämpa WAS JDK-korrigeringspaketet för 6.1.0.9.
Installationsprogrammet för metakatalogen installerar en egen kopia av JVM på alla plattformar utom NetWare. På NetWare använder metakatalogen den version av Java som har installerats på datorn.
Identity Manager 3.5.1 har stöd för Novell Audit 2.0.2.
Följande är ett tillägg till systemkraven i installationsguiden för Identity Manager 3.5.1: Användarprogrammet kräver WebSphere Application Server (WAS) 6.1.0.9 och WAS SDK-korrigeringspaketet 6.1.0.9.
När du använder DB2 och felet ”The current transaction has been rolled back because of a deadlock or timeout” (”Den aktuella transaktionen har inte återställts på grund av ett dödläge eller en timeout”) visas, kan problemet bero på att ett stort antal användare och databaser är aktiva samtidigt.
DB2 innehåller många tekniker för att lösa låsningskonflikter, inklusive justering av den kostnadsbaserade optimeraren. Prestandaguiden i administrationsdokumentationen för DB2 är en utmärkt resurs som innehåller mycket information om ämnet justering.
Det finns inga rekommenderade justeringsvärden som kan användas för alla installationer eftersom nivån på samtidig användning och storleken på data varierar. Här följer emellertid en del DB2-justeringstips som kan vara relevanta för din installation:
Kommandot reorgchk update statistics uppdaterar den statistik som används av optimeraren. Regelbundna uppdateringar av den här statistiken kan vara tillräckligt för att åtgärda problemet.
Om DB2-registerparametern DB2_RR_TO_RS används kan prestanda vid samtidig användning förbättras genom att nästa nyckel för den rad som har infogats eller uppdaterats inte låses.
Öka värdet på parametrarna MAXLOCKS och LOCKLIST för databasen.
Öka värdet på egenskapen currentLockTimeout för databasanslutningspoolen.
Använd konfigurationsguiden för databaser och utför optimering för snabbare transaktioner.
Ändra alla användarprogramstabeller till värdet VOLATILE så att optimeraren kan identifiera att tabellens prioritet varierar avsevärt. Om du till exempel vill ange tabellen AFACTIVITY som VOLATILE kan du utfärda kommandot: ALTER TABLE AFACTIVITY VOLATILE
Kommandot ALTER TABLE måste köras när användarprogrammet har startats en gång och databastabellerna har skapats. Mer information om den här satsen finns i dokumentationen om ALTER TABLE. Nedan visas SQL-satser för alla tabeller i användarprogrammet:
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
Om Oracle* 9i-drivrutinen används uppstår följande undantag: org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta] ("org.hibernate.exception.GenericJDBCException: det gick inte att infoga: [com.sssw.fw.security.persist.EboPermissionMeta]")
Undvik det här problemet genom att använda Oracle 10g-drivrutinerna ojdbc14.jar och orai18n.jar. De här drivrutinerna är bakåtkompatibla med Oracle 9i.
I följande avsnitt beskrivs installationsbuggar och lösningar.
När användarprogrammet för Identity Manager startas på JBoss som en Windows-tjänst kan följande fel visas:
com.sssw.fw.exception.EboUnrecoverableSystemException: Det gick inte att initiera ramverktjänsten för EboPortletContainer. vid com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) vid com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) vid javax.servlet.GenericServlet.init(GenericServlet.java:211) vid org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) vid org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) vid org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Caused by: java.lang.ClassCastException: . . . (”Orsakat av: java.lang.ClassCastException:”)
Det här felet inträffar om tjänsten JBoss under starten läses in med en annan xalan.jar-fil än den som förväntas av Identity Manager. Du löser problemet genom att lägga till sökvägen till xalan.jar i posten -Djava.class.path för tjänsten. Registerposten för tjänsten kommer då att se ut ungefär som i följande exempel:
‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
Starta sedan om tjänsten.
Du kan lägga till sökvägen när tjänsten skapas eller efteråt.
Om du installerar användarprogrammet för Identity Manager på ett 64-bitarssystem och väljer att installera JBoss och MySQL med hjälp av JBossMysql.bin, kan det uppstå ett fel under installationen av MySQL-databasen. Du löser problemet genom att köra setup-mysql.sh och därefter start-mysql.sh.
Felaktiga tecken eller knappen kan visas om du försöker komma åt rotbehållaren DN under installationen av användarprogrammet på 64-bitars SLES 10. Om detta inträffar kontrollerar du att du har installerat korrekt JRE för din miljö.
Det går inte att installera gränssnittet på Solaris* 9 och 10 när eDirectory™ 8.8.1 används. Lösningen inbegriper följande:
Kör det textbaserade installationsprogrammet.
Använd eDirectory 8.8.2 som innehåller en korrigering för det här problemet.
Skriptet configupdate.sh fungerar inte när du manuellt har lagt till anpassade filer till IDM.war, om WAR-filen har skapats med jar-binärfilen i /usr/bin/jar som distribueras i SLES 9. Felet är:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source) (”DEBUG===WAR uppdateras...java.util.zip.ZipException: ogiltig komprimerad poststorlek (16176 byte förväntades men 16177 togs emot) vid java.util.zip.ZipOutputStream.closeEntry(Okänd källa) vid java.util.zip.ZipOutputStream.putNextEntry(Okänd källa)”)
Lös eller förhindra det här problemet genom att använda en senare version av jar-filen för att skapa WAR-filen, som i följande exempel: /usr/lib/java/bin/jar -cvf IDM.war *
Följande varningsmeddelande kan visas när du startar användarprogrammet med hjälp av standardkonfigurationen för JBoss-servern:
WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. (”Det går inte att konfigurera klustring, klustring har inaktiverats.”) NoClassDefFoundError: org/jboss/cache/CacheException
Om du valde standardkonfigurationen (enkel nod) under installationen av användarprogrammet kan du bortse från det här meddelandet. Det här meddelandet kommer från JBoss-programservern. Det anger att även om användarprogrammet för Identity Manager har stöd för klustring, har den valda programserverkonfigurationen inte stöd för klustring.
Om lösenordet för Identity Manager-installationskontot innehåller specialtecken kanske inte schematillägget fungerar. Du bör då använda ett annat konto vid installationen eller ändra lösenordet.
De senaste versionerna av Access Manager har kanske inte stöd för standard-URL-sökvägen till ICS-utloggningssidan under på sidan Visa avancerade alternativ när användarprogrammet konfigureras. Om standard-URL-sökvägen https://yourIChainServer/cmd/ICSLogout inte fungerar kan du försöka med https://yourAccessManagerServer/AGLogout.
Installationen av användarprogrammet misslyckas om MySQL redan körs på port 3306 på servern och det inte går att installera MySQL på någon annan port. Det här problemet beror på en begränsning i verktyget JbossMysql som medföljer användarprogrammet, men kan lösas genom att det fristående installationsprogrammet för MySQL används.
Lösningen går ut på att den befintliga MySQL-instansen stoppas och installationsprogrammet körs. Installationsprogrammet installerar MySQL på port 3306, men frågar vilken port du vill ansluta till. Ange en ny port, gå till filen my.cnf, ändra filen så att den nya porten anges och starta om MySQL-instansen för användarprogrammet. Starta sedan om den andra MySQL-instansen, så ska programmet kunna köras utan problem. Det bör nu gå att installera på en annan port och sedan starta på den nya porten med hjälp av användarprogrammets installationsprogram. För närvarande verkar användarprogrammets installationsprogram endast fungera om port 3306 är ledig.
I följande avsnitt beskrivs buggar och korrigeringar som påverkar användarprogrammets användargränssnitt.
Användarprogrammet har inte stöd för lösenordsprincipnamn som innehåller inledande eller avslutande blanksteg. Om du har en lösenordsprincip som innehåller inledande eller avslutande blanksteg visas meddelandet ”Challenge Response misslyckades” för användarna direkt efter att de har angett användarnamnet på sidan Glömt lösenord.
Ett eller flera blanksteg i slutet av namnet på en lösenordsutmaningsuppsättning orsakar ett fel när användarprogrammet gör ett försök att returnera lösenordsutmaningsfrågorna. Förhindra det här problemet genom att inte lägga till blanksteg i slutet på utmaningsuppsättningsnamnet.
Om du skapar en enhet (t.ex. en användare) i användarprogrammet och använder ett omvänt snedstreck i namnet, flerdubblas det omvända snedstrecket i det fullständiga DN. Exempelvis skulle mittanvändarnamn\ bli mittanvändarnamn\\\. Det här är en känd bugg. Lös den här buggen genom att inte använda omvända snedstreck i enhetsnamn.
På fliken i användarprogrammet för Identity Manager ska redigeringen av gruppattributet för att ta bort och lägga till grupper utföras som separata åtgärder. Om grupper tas bort och läggs till i en enstegsprocess, visas det borttagna gruppnamnet på nytt när du klickar på knappen + (lägg till).
Om du loggar in som Användare A i användarprogrammet med hjälp av en webbläsare i Mozilla-familjen (Firefox*, Netscape* eller Mozilla*) och sedan öppnar ytterligare en instans av samma sorts webbläsare och loggar in som Användare B, kanske informationen för Användare B visas när du går tillbaka till den första webbläsarinstansen. Detta beror på att webbläsarinstanserna delar på (och skriver över) samma cookie. Det här problemet gäller endast webbläsare i Mozilla-familjen och inträffar inte med Internet Explorer.
Undantagsfel kan inträffa i Firefox när åtgärder för att klippa ut, kopiera och klistra in utförs då HTML-redigeraren används med OrgChart-inställningar. I Mozilla tillåts inte skriptåtkomst till Urklipp av säkerhetsskäl. Därför är knapparna för att klippa ut, kopiera och klistra in inte tillgängliga i Firefox.
I Firefox kan du hämta ett tillägg med namnet Allow Clipboard Helper (hjälpprogram för att tillåta Urklipp) via Verktyg > Tillägg, som tar dig till webbplatsen för hämtning av tillägg
Efter hämtningen visas i .
Öppna tillägget och ange den serveradress du vill ska ha åtkomst till Urklipp. Klicka sedan på (Tillåt). Du kan lägga till så många webbplatser du vill. Stäng alla Firefox-webbläsare och starta om Firefox. Det ska nu fungera att klippa ut, kopiera och klistra in i Firefox.
När du loggar in i användarprogrammet för Identity Manager visas en länk för att skapa en användare i menyn till vänster. Om du ska kunna skapa användare måste du ha de eDirectory-rättigheter som krävs för att lägga till poster i katalogen. Eftersom användarprogrammet för Identity Manager innehåller befintliga eDirectory-användare bör de användarna redan ha de rättigheter som krävs.
Gå till iManager och klicka på (Visa objekt).
Leta reda på det objekt som innehåller användarbehållaren (till exempel MittExempel.novell.) och klicka på (Ändra förvaltare).
Lägg till en förvaltare (till exempel MittExempel.novell) och ändra de tilldelade rättigheterna.
Under ([Posträttigheter]) väljer du (Skapa). Låt standardvärdena stå kvar i övriga fält och klicka sedan på (Spara).
Nu kan alla användare i behållaren users.MittExempel.novell skapa användare eller grupper i den aktuella MittExempel-enheten.
Användarprogrammet har stöd för samma tecken som iManager. Om du vill ha information om hur du lägger till escape-tecken före specialtecken går du till http://www.novell.com/documentation/imanager26/index.html och läser administrationsguiden för iManager 2.6, kapitel 3 om att navigera i iManager-gränssnittet, avsnitt 3.2 om specialtecken på sidan 20.
När en användare är inloggad i användarprogrammet, läser in portleten eller sidan för inloggning från ett bokmärke eller från historiken och sedan försöker logga in igen, upprättas den nya portalsessionen inte korrekt av den andra inloggningen. Detta kan leda till att den andra inloggningen misslyckas. Lös det här problemet genom att alltid använda utloggningslänken innan du loggar in.
Flikarna på översta nivån i användarprogrammet har nu en gräns för antalet tillåtna tecken. Gränsen är 22 tecken. På andra språk än engelska trunkeras texten om den överskrider gränsen och tre punkter (...) visas för att ange att en del av texten inte syns. Användaren kan visa den fullständiga texten genom att hovra över fliknamnet.
I följande avsnitt beskrivs buggar och korrigeringar som påverkar administrationen av användarprogrammet.
De filer som krävs för granskning (NAuditPA.jar och logevent.conf) kopieras nu till användarprogrammets installationsmapp även om du väljer att inte aktivera granskning under installationen. Filen logevent.conf innehåller emellertid en del parametrar som måste redigeras manuellt efter installationen om du inaktiverar granskning när du kör installationsprogrammet. De här parametrarna förklaras i kapitel 3 om att konfigurera loggning i administrationsguiden för Identity Manager-användarprogrammet.
Följande felmeddelande kan visas när du försöker uppdatera med ett enskilt värdeattribut med hjälp av strömformat:
LDAP: error code 19 - NDS error: can’t have multiple values (-612) (”LDAP: felkod 19 - NDS-fel: får inte ha flera värden (-612)”)
Lösningen är att använda strängsyntax, till exempel Case Ignore String, i stället för strömsyntax när du skapar klassattribut i iManager. Strömsyntax bör användas sparsamt med tanke på prestandapåverkan.
Som standard startas JBoss-programservern på port 8009 av användarprogrammet. Detta orsakar en konflikt eftersom port 8009 redan används i OES 2 Linux. Undvik den här konflikten genom att ändra JBoss-porten i filen service.xml innan JBoss-programservern startas.
När funktionen Glömt lösenord används i en klustrad miljö kan följande stackspårning visas:
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using exteranl forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
Denna visas endast i informationssyfte och kräver ingen åtgärd. Detta inträffar när användare utför åtgärden Glömt lösenord. De här felmeddelandena påverkar inte användarnas möjlighet att utföra åtgärden Glömt lösenord. Användarna märker inte av några problem och kan obehindrat slutföra åtgärden Glömt lösenord.
När du använder WebSphere kan följande fel inträffa i vissa portletar som använder JSF: java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity
Det här felet är godartat och påverkar inte funktionen för JSF eller portleten. Du kan förhindra felet genom att lägga till följande komponent på detaljnivåerna i WebSphere-ändringsloggen: com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
Av säkerhetsskäl rekommenderas du att begränsa kontona LDAP-administratör och LDAP-gäst till den minsta rättighetsuppsättning som krävs för att rollerna ska fungera som det är tänkt. När följande roller tilldelas i användarprogrammet (under installationen eller med verktyget configupdate efter installationen) anger du ett separat, fysiskt användarkonto för identitetsarkiv för var och en av dem:
LDAP-administratör
LDAP-gäst (om den används)
Administratör för användarprogram
Administratör för logistikprogram
Lösenordsprinciper kan inte ärvas. Administratören för användarprogrammet måste uttryckligen ange lösenordsprincipen för en behållare i vilken användare skapas. Om inte detta görs kan följande fel inträffa:
Ogiltig begäran från SPM (Secure Password Manager). Kontakta systemadministratören om problemet kvarstår.
Om parametrarna och anges i verktyget configupdate kan åtgärder som inte kräver SSL utföras utan SSL. Åtgärder som kräver SSL, till exempel lösenordsfunktioner, använder fortfarande SSL.
Om en användare omdirigeras efter inloggning för att ändra lösenordet eller Challenge Response-ledtråden, kan användaren ange en URL till portalen och kringgå autentiseringskontrollerna tills nästa inloggning. Det här är en känd bugg som inte har någon lösning för närvarande.
Knappen i verktyget configupdate kraschar ibland JVM i Windows XP SP2. Lös det här problemet genom att ange filens fullständiga sökväg i stället för att använda knappen .
När programservern inte är tillgänglig och du startar om den aktiverade drivrutinen för användarprogrammet, kan drivrutinens aktiveringsstatus ange att aktivering krävs även om autentiseringsuppgifterna för aktivering har lästs in mot drivrutinen. Det här är en känd bugg. Undvik eller lös det här problemet genom att starta drivrutinen för användarprogrammet efter att användarprogramservern har startats och är tillgänglig.
Det finns ett problem i den version av JGroups (version 2.2.7) som ingår i JBoss 4.0.5 GA, som kan orsaka prestandaproblem i en klustrad miljö. Mer information om problemet finns i Deadlock - JBoss.org JIRA. Problemet har lösts i JGroups 2.4. Du rekommenderas att uppgradera till JGroups 2.4 eller senare för att undvika det problem som beskrivs i JGRP-292.
Innan du uppgraderar till JGroups 2.4.x (och innan du uppgraderar någon annan komponent i JBoss-installationen) ska du läsa kompatibilitetslistan som finns i JBoss Application Server, JBossCache och JGroups Compatibility Matrix.
Hämtningsbara filer och information om JGroups finns på JGroups - The JGroups Project.
Undantagsfelet java.util.NoSuchElementException kan inträffa när användarprogrammet körs i ett kluster. Det här undantagsfelet är ett känt problem i JBoss och har korrigerats i en senare version. Mer information finns på webbplatsen för JBoss.
Här följer ett exempel på den stackspårning som skapas för det här problemet:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
Känsliga data (exempelvis ett inloggningslösenord för single-inloggning) i användarsessionen krypteras inte i den här versionen. Detta kan innebära att nätverksanalysatorer kan komma åt känsliga data. Om du vill skydda känsliga data som lagras tillfälligt i användarsessionen och kan överföras via nätverket under sessionsreplikering i en klustrad miljö, måste du göra något av följande:
Aktivera kryptering för JGroups. Information om hur du aktiverar JGroups-kryptering finns i JGroups Encrypt.
Kontrollera att klustret finns bakom en brandvägg.
Administratörer kan nu konfigurera den inledande perioden innan lösenordet slutar gälla för nya användare. Detta går att göra genom att inställningarna för att skapa portlet redigeras enligt anvisningarna i administrationsguiden för Identity Manager-användarprogrammet.
Ange en inställning för .
Om (Sant) anges slutar lösenordet gälla efter den nya användarens första inloggning.
Om (Falskt, standardinställning) anges används eDirectory-inställningarna för att avgöra när lösenordet slutar gälla.
Standardinställningen för att behålla slutförd arbetsgångsinformation är 120 dagar. Du kan emellertid använda SOAP-gränssnittet med arbetsgångsmotorn om du vill ändra den här inställningen. Du kan komma åt SOAP-gränssnittet för arbetsgångsmotorn genom att ange följande URL i en webbläsare:
http://server:host/IDMProv/provisioning/service?test
När sidan med listan över arbetsgångsmotormetoder som kan anropas visas, väljer du metoden . Den parameter du skickar till den här metoden ändrar kvarhållningsperioden. Värdet måste anges i millisekunder.
Ett enkelt citattecken i CN för en arbetsgång förhindrar att en eDirectory-händelse utlöser den arbetsgången. Undvik att använda enkla citattecken i CN (Common Name) för arbetsgångar.
Följande information som hjälper dig att koordinera lösenord i användarprogrammet för Identity Manager med iManager-lösenordsprinciper saknas i administrationsguiden för Identity Manager-användarprogrammet.
Avsnitt 19.3.1 och 19.7.1 som beskriver kravet för globala lösenord: ”If Universal Password is enabled, open iManager and go to (”Om globalt lösenord har aktiverats öppnar du iManager och går till Lösenord > Lösenordsprinciper > Globalt lösenord > Konfigurationsalternativ.”) Make sure the following option is checked: .” (”Kontrollera att följande alternativ har markerats: Kontrollera huruvida befintliga lösenord stämmer överens med lösenordsprincipen (kontrollen utförs vid inloggning).”)
Avsnitt 16.2.1 som beskriver behållaren för egenskapen Skapa: ”If you use the Create portlet to create users and want to assign the users to an iManager password policy, also assign the specified container to the same iManager password policy. This ensures that users created in the user application are automatically assigned to the default iManager password policy.” (”Om du använder portleten Skapa för att skapa användare och vill tilldela användarna en iManager-lösenordsprincip, ska du även tilldela den angivna behållaren samma iManager-lösenordsprincip. Detta garanterar att användare som har skapats i användarprogrammet automatiskt tilldelas den standardinställda iManager-lösenordsprincipen.”)
Om du använder användarprogrammets inloggningssida på användarprogramservern (JBoss-servern), klickar på länken och anger användarnamnet, kan portalen returnera följande felmeddelande i JBoss-konsolen och inte omdirigera:
08:59:17,962 ERROR [EboPortletProxyHelper] Portletentiteten finns inte com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
Felet orsakas av att inställningen ldap-sslport i portleten ForgotPasswordPortlet använder standardporten 636 för TLS (ldaps) i stället för den port som har konfigurerats för LDAP-serverns säkra anslutning. eDirectory-administratören har antagligen ändrat den säkra LDAP-standardporten i eDirectory-instansen till en port som inte är standard. eDirectory-administratörer ändrar ofta LDAP-portarna när eDirectory körs på samma fysiska maskinvara som andra system med LDAP-stöd, till exempel Active Directory*.
Om din säkra konfiguration för LDAP (TLS) använder någon annan port än 636 ändrar du inställningen ldap-sslport i portleten ForgotPasswordPortlet till den port som har konfigurerats för säkra LDAP-anslutningar enligt följande:
Öppna användarprogrammet.
Öppna .
Ändra värdet för ldap-sslport från standardporten 636 till den port som har konfigurerats för LDAP-serverns säkra LDAP-anslutningar.
I en logistikarbetsgång som använder parallell behandling får adressaten för en godkännandeaktivitet inte referera till adressaten för en annan godkännandeaktivitet i arbetsgången. Orsaken till detta är att arbetsgångsmotorn inte kan identifiera vilket steg som ska köras först, eftersom aktiviteterna behandlas parallellt. Dessutom kan inte iManager-pluginprogrammet för konfigurering av logistikbegäran identifiera vilka adressater som ska tillåtas vid vilka tidpunkter. Pluginprogrammet skulle behöva kunna analysera arbetsgången och hämta listan över de föregående aktiviteter som redan har slutförts för att listan med möjliga adressater ska begränsas. Den här funktionen finns för närvarande inte i pluginprogrammet.
Katalogbläddring tillåts som standard i JBoss. Om du anger URL:en http://server:8080/IDMProv/resources/ visas därför listan över resurser under den här URL:en.
Om du inte vill att katalogbläddring ska vara aktiverat går du till jboss-4.0.2\server\<IDM-programkontext>\deploy\jbossweb-tomcat55.sar\conf och redigerar listings-posten i filen web.xml:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Förhindra visning av resurser genom att ändra värdet för listings från True till False.
Tjänsterna för olika undersystem i användarprogrammet kan innehålla inaktuella versionsnummer. Du behöver inte redigera de här filerna för att korrigera versionsnumren.
Exempelvis innehåller IDMfw.jar filen FrameworkService-conf\config.xml som har följande post för versionsnumret:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
I iManager-pluginprogrammet för konfigurering av logistikbegäran kan du definiera en eskaleringsprincip som omdirigerar en arbetsgångsaktivitet till den ursprungliga adressatens chef.
Om den ursprungliga adressaten är en aktivitetsgrupp som har mer än en chef misslyckas eskaleringen. Pluginprogrammet för konfigurering av logistikbegäran förhindrar inte att du definierar den här typen av eskalering, så du måste själv vara noga med att undvika den här typen av konfiguration.
I Linux* är standardgränsen för öppna filer inte tillräckligt hög för att det ska finnas stöd för ett stort antal begäranden som initieras via SOAP-webbtjänsten. Drivrutinen för användarprogrammet kan uppnå den här gränsen när webbtjänstens slutpunkter används för att utlösa arbetsgångar som svar på kataloghändelser.
Linux har en standardgräns på 1 024 öppna filer för varje process. Om du startar JBoss-servern med standardinställningen kan felmeddelanden visas när fler än 40 eller 45 begäranden startas i följd via SOAP-webbtjänstgränssnittet. När gränsen har uppnåtts kanske du inte kan initiera fler begäranden på flera minuter. I en del fall kan du behöva starta om JBoss-servern.
Du kan lösa det här problemet genom att öka gränsen för antal öppna filer från 1 024 till 4 096.
Om du använder BASH kör du följande kommandon för att öka gränsen för antal öppna filer:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Om du använder C Shell kör du följande kommandon för att öka gränsen för antal öppna filer:
su - root limit descriptors 4096 su - user start-jboss.sh
Drivrutinen för användarprogrammet innehåller olika typer av information (till exempel arbetsgångskonfiguration och klusterinformation) som är programspecifik. Därför ska en enskild instans av drivrutinen för användarprogrammet inte delas av flera program.
Drivrutinen för användarprogrammet innehåller programspecifika data som styr och konfigurerar programmiljön. Bland annat gäller detta klusterinformation för JBoss-programservern och arbetsgångsmotorns konfiguration. De enda användarprogram som får dela på en enskild instans av drivrutinen för användarprogrammet är de program som är en del av samma JBoss-kluster. Du bör inte konfigurera en uppsättning användarprogram för att dela på en enskild drivrutin om de inte är delar av samma JBoss-kluster. I annat fall kan konfigurationen orsaka dubbeltydighet och felkonfiguration för en eller flera av de komponenter som körs i användarprogrammet.
I installationsprogrammet för användarprogrammet för Identity Manager kan du ange rotbehållarens DN, användarbehållarens DN och gruppbehållarens DN för programmet. I den här versionen kan du inte ange trädroten i eDirectory som rotbehållare. Du kan inte heller ange mer än en sökrot för en viss objekttyp (behållare, användare eller grupp). I stället måste du ange en enskild sökomfattning.
En organisation (o) kan finnas i ett land (c) eller en lokalitet (l), enligt nedan:
c=US o=novell-provo o=novell-waltham
Den här typen av konfiguration fungerar.
Om två separata instanser av drivrutinen för användarprogrammet refererar till samma användarbehållare visar tillgänglighetsinställningarna (på sidan Redigera tillgänglighet i användarprogrammet) tillgänglighetsposter från båda programmen.
Anta att Server 1 har konfigurerats för att använda en drivrutin (till exempel driver1,o=novell) och Server 2 har konfigurerats för att använda en annan (till exempel driver2,o=novell). Båda servrarna har konfigurerats för att använda samma behållare för användare, grupper och rot (till exempel ou=users,o=novell). En användare på Server 1 skapar en delegatdefinition för en användare och en definition för logistikbegäran. Användaren markeras sedan som inte tillgänglig för den begärandedefinitionen. Server 2 visar användaren som inte tillgänglig, men kan inte matcha det egna namnet för begärandedefinitionen. Om användarens delegatdefinitioner på Server 2 undersöks, syns inte definitionen från Server 1.
Orsaken till detta är att delegeringsinformation (som skapas när användare markerar sig själva som tillgängliga/inte tillgängliga) lagras i användarposter. Den här informationen omfattar delegat-/delegerarinformationen ihop med definitionen för logistikbegäran och start-/sluttid för delegeringen. Delegatdefinitionen, varifrån delegeringsinformation hämtas, lagras i drivrutinen, ihop med definitionen för logistikbegäran.
Du rekommenderas att inte konfigurera två separata drivrutinsinstaner för att referera till samma användarbehållare.
Drivrutinen för användarprogrammet läser från listan över arbetsgångsattribut när den startas. Om du skapar en ny definition för logistikbegäran och omedelbart försöker skapa en schemaavbildningsprincip, visas inte attributen för den nya definitionen för logistikbegäran i listan över programattribut när du har uppdaterat programschemat. Detta beror på att drivrutinen för användarprogrammet måste startas om innan definitionen för logistikbegäran görs tillgänglig. När den nya definitionen för logistikbegäran har skapats stoppar du drivrutinen för användarprogrammet och startar sedan om den, innan du försöker använda definitionen för logistikbegäran i principer. Du kan också helt enkelt uppdatera programschemat två gånger i redigeraren för schemaavbildningsprincipen.
När arbetsgångar körs i ett kluster måste arbetsgångsmotorn för varje server ha ett unikt ID. Motorns ID identifieras genom att -Dcom.novell.afw.wf.engine-id skickas till Java VM. I Linux måste användaren redigera filen jboss/bin/run.conf och skicka egenskapen på raden JAVA_OPTS. Exempel:
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
I installationsprogrammet visas inget meddelande om att du ska ange arbetsgångsmotorns ID. Därför måste du identifiera motorn genom att skicka egenskapen JAVA_OPTS, enligt beskrivningen ovan.
Om du ändrar det sätt som bilder visas på i Detaljer-portlethuvudet genom att ange $IMG:-taggen måste du tömma CompiledLayout-cacheminnet för att ändringarna ska börja gälla. Töm cacheminnet genom att följa stegen nedan:
Gå till fliken i användarprogrammet.
Gå till fliken .
Välj i listrutan .
Klicka på .
Verktyget Import av portaldata ( Administration > Verktyg > Import av portaldata) använder shared-pages.xml och container-pages.xml i ZIP-filen för Export av portaldata för att generera behållarsidor och delade sidor samt portletar. Om elementet <description/> är tomt går det inte att importera sidorna.
Lös detta genom att ange texten för elementet <description/> och utföra importen igen.
Administrationsguiden för Identity Manager-användarprogrammet innehåller en del information om konfigurering av JBoss. Ytterligare information om konfigurationen av JBoss hittar du i källorna nedan:
Information om hur du konfigurerar JBoss som en tjänst i SUSE finns på Novells Cool Solutions-webbplats.
Information om konfigurering av Apache SSL finns i motsvarande avsnitt på JBoss-webbplatsen.
Information om konfigurering av IIS SSL finns i JBoss Forum: Installation, Configuration, and Deployment.
Du måste ha läsrättigheter och skrivrättigheter för de attribut som associeras med objekt för logistikbegäranden för att kunna använda iManager-pluginprogrammet för konfigurering av logistikbegäran.
Som standard är användarprogrammets kodningsfilter aktiverat i användarprogrammets web.xml. Den här inställningen kräver oftast ingen specifik konfiguration, men den kan kräva ändringar om du har konfigurerat Tomcat för URI-kodning. Det finns två attribut i konfigurationen av Tomcat HTTP/HTTPS-anslutaren som påverkar teckenuppsättningskodning och filterkonfiguration.
Den här posten anger den teckenkodning som används för att avkoda URI-byte, efter %xx-avkodning av URL:en. Om inget annat anges används ISO-8859-1. Kraven för detta är bland annat:
Både HTTP- och HTTPS-anslutare ska ha samma konfiguration.
Charset-kodningsfiltret ska ändras så att det innehåller init-parametern uri-encoding. Värdet för den här parametern ska vara detsamma som värdet för attributet URIEncoding i Tomcat-anslutarkonfigurationen.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Lägg också till URIEncoding="UTF-8" i jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml, till exempel:
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” /> Om SSL har aktiverats gör du samma ändring för SSL HTTP/1.1-anslutaren.
Den här posten anger huruvida den kodning som anges i contentType ska användas för URI-frågeparametrar i stället för den som anges i URIEncoding. Den här inställningen finns för att ge kompatibilitet med Tomcat 4.1.x, där kodningen anges i contentType eller ställs in explicit med hjälp av metoden Request.setCharacterEncoding för parametrarna från URL:en. Standardvärdet är False.
Om useBodyEncodingForURI har angetts till Tre ska filterkonfigurationen innehålla init-parametern use-body-encoding, till exempel:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Mer information finns på webbplatsen med information om Tomcat-anslutarkonfiguration.
Sättet som flervärdesattributet DirXML-EntitlementResult hanteras på har ändrats. Tidigare rensades inte rättighetsresultat från det här attributet. Nu har standardfunktionen ändrats. Rättighetsresultat rensas nu när de har behandlats.
Du kan ändra standardfunktionen (ange huruvida rättighetsresultat ska rensas eller inte samt hur de rensas). Så här anger du typen av rättighetsrensning:
Visa sidan Identity Manager Driver Overview (Översikt över Identity Manager-drivrutin) i iManager.
Klicka på (Principer för händelseomvandling).
Klicka på Manage Modify policy (Hantera ändringsprincip) för användarprogrammets drivrutin och klicka sedan på (Redigera).
Klicka på (Ange typ av rättighetsrensning).
För åtgärden (Lägg till XML-text) anger du något av följande i fältet (Ange sträng):
current: När du har meddelat användarprogrammets drivrutin tar du bort det rättighetsresultat som orsakade händelsen. Detta är standardfunktionen. Den används också om ingen typ av rättighetsrensning har angetts eller om en ogiltig typ av rättighetsrensning har angetts.
none: Rensa inte rättighetsresultatet.
previous: Ta bort alla tidigare rättighetsresultat utan att ta bort det som orsakade händelsen.
notnewer: Ta bort tidigare rättighetsresultat inklusive det som orsakade händelsen. Det här bevarar alla rättighetsresultat som har skapats efter det rättighetsresultat som orsakade händelsen.
Tillbehörsportleten Nätverksfil har följande nya inställning: ShortcutsUseFullyQualifiedPath. Om det här alternativet har angetts till True måste alla genvägar du anger i inställningen Genvägar ha fullständiga sökvägar. Om det här alternativet har angetts till False måste alla genvägar du anger i inställningen Genvägar ha sökvägar som hänvisar till InitialDirectory. Välj endast False om användarna uteslutande ska navigera till underkataloger inom sökvägen.
I den aktuella versionen av JBoss har konfigurationen av portleten Nätverksfil för åtkomst till en NetWare-server via RMI ändrats.
För närvarande anger dokumentationen att njclv2r.jar ska kopieras från sys:\java\njclv2r\lib på NetWare/RMI-servern till katalogen $JAVA_HOME$/jre/lib/ext på portalplattformen.
I den aktuella versionen av JBoss måste du kopiera njclv2r.jar till katalogen .../jboss/server/IDM/lib där användarprogrammet ursprungligen distribuerades. Starta sedan om JBoss.
Om du vill avsluta NetStorage-sessionen och förhindra åtkomst till de filer du använde klickar du på utloggningsknappen i webbgränssnittet för NetStorage.
Byt ut alla beskrivningar av hur du aktiverar SSO för portletar i referensguiden för Identity Manager-tillbehörsportletar mot följande procedur:
Om du vill aktivera single-inloggning för portletar gör du följande:
I användarprogrammet öppnar du fliken och väljer .
Välj .
Klicka på den alternativknapp som aktiverar SSO.
Namnet på loggfilen jboss/server/IDM/conf/extendlogging.xml har ändrats till jboss/server/IDM/conf/idmuserapp_logging.xml. Det nya loggfilsnamnet används i administrationsguiden för Identity Manager 3.5.1-användarprogrammet, avsnitt 5.1.4 om loggningskonfiguration, i underavsnittet om att bevara loggningsinställningarna.
När du lägger till ett paket i logglistan visas det omedelbart på skärmen Loggningskonfiguration. Så här tar du bort ett paket från logglistan:
Klicka inte på . Det nya paketet försvinner från logglistan nästa gång du startar servern.
Om du klickar på måste du ta bort paketet manuellt från filen idmuserapp_logging.xml som finns i katalogen $JBOSS/servers/$seafang/conf.
I Identity Manager 3.5 eller 3.5.1 kan felet java.lang.OutOfMemoryError: PermGen space inträffa om du distribuerar om användarprogrammet.
Undvik det här felet genom att göra följande:
Starta om JBoss-servern
Öka värdet PermSpace genom att skicka -XX:MaxPermSize till Java Virtual Machine med hjälp av JAVA_OPTS i skriptet start-jboss.
På 32-bitarsdatorer anger du 128 megabyte, till exempel -XX:MaxPermSize=128m.
På 64-bitarsdatorer anger du 256 megabyte, till exempel -XX:MaxPermSize=256m.
Arbetsgångsmotorer i ett kluster kan nu identifiera när en arbetsgångsmotor i klustret inte fungerar och automatiskt omtilldela alla processer som körs i den arbetsgångsmotorn till en annan arbetsgångsmotor.
Det kan dock finnas tillfällen när du vill omtilldela en arbetsgångsprocess manuellt från en arbetsgångsmotor till en annan (exempelvis för att omfördela processer till en arbetsgångsmotor som inte har fungerat när den är online igen). Om du vill göra detta använder du iManager-pluginprogrammet för administration av arbetsgångar, enligt följande:
Välj kategorin (Administration av arbetsgång) i (Roller och aktiviteter) i iManager.
Välj (Arbetsflöden).
Om du inte har anslutit till någon arbetsgångsserver ännu anger du drivrutinsnamnet i fältet (Drivrutin för användarprogram) och klickar på .
iManager fyller i återstående fält på skärmen åt dig.
(Valfritt) Åsidosätt användarnamnet i fältet (Användare) och lösenordet i fältet (Lösenord).
Användaren måste vara administratör i användarprogrammet (logistikadministratör). Som standard anges användarnamnet till den användare som för närvarande är inloggad i iManager. Om den här användaren inte är administratör i användarprogrammet måste du ändra användarnamnet.
Klicka på Login (Logga in).
I pluginprogrammet för administration av arbetsgångar visas en sida där du kan ange ett filter för att söka efter arbetsgångar.
Klicka på (Visa alla arbetsgångar) och klicka sedan på .
De arbetsgångsprocesser som körs med den angivna drivrutinen för användarprogrammet visas i iManager. I kolumnen (Motor) visas motor-ID för en arbetsgångsmotor.
Om du vill omtilldela en arbetsgångsprocess från en motor till en annan väljer du arbetsgången på panelen Workflows genom att klicka på kryssrutan bredvid arbetsgångsnamnet och klickar sedan på (Åtgärder > Omtilldela).
När integeringsaktiviteten används i en logistikarbetsgång kan följande fel visas i JBoss-konsolen vid stängning.
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
De här felmeddelandena anger inget allvarligt problem. När du startar JBoss igen bör servern och användarprogrammet fungera normalt.
Följande fel kan visas i loggen när användarprogrammet har konfigurerats för att använda meddelanden via e-post. Du kan ignorera de här felen. Användarna kan fortfarande ta emot meddelanden via e-post.
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Servervärden för meddelanden via e-post har inte angetts. Kontrollera inställningen för eDirectory. com.novell.soa.notification.impl.NotificationException: Servervärden för meddelanden via e-post har inte angetts. Kontrollera inställningen för eDirectory. . . .
eller
13:39:47,264 ERROR [MailEngine] Standardvärdet för -från- i e-postmeddelandet har inte angetts. Kontrollera inställningen för eDirectory. com.novell.soa.notification.impl.NotificationException: Standardvärdet för -från- i e-postmeddelandet har inte angetts. Kontrollera inställningen för eDirectory. vid . . .
Som standard är sessionstimeout för servern 20 minuter. Sessionstimeout ska justeras så att den matchar den server- och användningsmiljö som programmet ska köras i. I allmänhet rekommenderas det att sessionstimeout har ett så lågt värde som möjligt. Om verksamheten kan fungera med en sessionstimeout på fem minuter, innebär detta att servern kan frigöra resurser som inte används tidigare än med standardinställningen, vilket gör servern snabbare och mer skalbar.
En längre sessionstimeout kan innebära att JBoss-serverns minne tar slut om många användare loggar in. Detta kan emellertid inträffa på alla programservrar med för många öppna sessioner.
När en användare loggar in i användarprogrammet skapas en LDAP-anslutning för användaren och binds till sessionen. Om fler sessioner öppnas hålls även fler LDAP-anslutningar öppna, och ju längre sessionstimeout, desto längre hålls de här anslutningarna öppna. För många öppna anslutningar till LDAP-servern kan innebära att systemprestanda sjunker, även om anslutningarna är inaktiva.
Om minnesfel börjar inträffa på servern och justeringsparametrarna för JVM-heap och skräpinsamling redan har optimerats för server- och användningsmiljön, bör du överväga att sänka värdet för sessionstimeout.
Sessionstimeout anges i filen web.xml.
Om du aktiverar meddelanden via e-post i definitionerna för logistikbegäran utan att konfigurera några e-postservrar, samlas e-postmeddelanden på servern utan att skickas. Detta kommer till slut att förbruka allt ledigt minne.
Om du aktiverar meddelanden via e-post måste du konfigurera en e-postserver så att e-postmeddelandena faktiskt skickas. Du kan konfigurera e-postservern genom att välja (Alternativ för e-postserver) under (Arbetsgångsadministration) i iManager.
E-postklienterna Windows GroupWise® Mail och Outlook* innehåller en känd bugg när text i ämnesraden visas med HTML-kommandot mailto:. Den här buggen uppstår när webbläsaren använder ett språk med dubbel-byte-teckenuppsättning, som kinesiska, japanska eller koreanska.
När du skickar identitetsinformation från sidan Detaljer i det här fallet, innehåller ämnesraden ogiltiga tecken eftersom de här e-postklienterna inte ange escape-tecken för dubbel-byte-tecknen korrekt.
Du måste kontrollera att teckenkodningarna för indata och utdata matchar de som används av käll- eller målprogrammet. Alla tecken som inte kan representeras med den valda utdatakodningen ersätts med frågetecken (?).
Om du kör konfigurationsverktyget för användarprogrammet (för konfigurering av LDAP-inställningar) i en lokaliserad operativsystemsmiljö, visas alla textinmatningsrutor korrekt. Om det till exempel finns några kinesiska DN-namn i eDirectory, eller om du anger några kinesiska tecken, visas dessa korrekt i en kinesisk operativsystemsmiljö. Om du däremot använder en engelsk operativsystemsmiljö visas alla kinesiska tecken som anges eller returneras från eDirectory som oläsbara tecken (troligen som kvadrater). Detta beror på att språkinställningen inte har angetts korrekt.
Om du använder en engelsk operativsystemsmiljö och vill visa lokaliserade tecken gör du följande:
- I en Windows 2000-miljö går du till Kontrolpanelen och väljer . På fliken anger du till det lokala språket (till exempel Kinesiska (Folkrepubliken Kina)).
- I en Windows 2003-miljö går du till Kontrolpanelen och väljer . På fliken Under the väljer du och tillämpar inställningarna.
- I en SUSE Linux-miljö anger du miljövariabeln LANG enligt följande: export LANG=zh_CN
Samma grundprocedur gäller för alla språk.
Tillbehörsportleten Meddelande har inte lokaliserats.
I > visas alltid följande text på engelska i dialogrutan Innehållsinställningar: ”Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving.” (”Det valda innehållet har ändrats. Klicka på OK om du vill spara ändringarna. Klicka på Avbryt om du vill fortsätta utan att spara.”)
När e-postinnehåll på ett språk med dubbel-byte-teckenuppsättning (till exempel kinesiska eller japanska) skickas från Identity Manager, får e-postklienten problem med att läsa det. Kontakta Novells supportavdelning om du stöter på det här problemet.
I följande avsnitt beskrivs buggar, korrigeringar och lösningar för iManager.
Pluginprogrammen i Identity Manager 3.5.1 använder API:t JClient.readReference ( ). Det här API:t har uppdaterats i iManager 2.7. Om du kör iManager 2.6 rekommenderas du att uppgradera underliggande JClient i iManager 2.6 till samma version som i iManager 2.7. Den äldre versionen av JClient kan göra så att iManager kraschar eller inte fungerar.
När du arbetar i iManager, och särskilt i Policy Builder (verktyg för att skapa principer), visas kontinuerligt en fråga om åtkomst till Urklipp i Internet Explorer 7. Så här inaktiverar du frågan:
Klicka på > .
Välj fliken och klicka sedan på .
Leta reda på > och välj sedan .
När du startar om Internet Explorer visas inte längre frågan.
Så här lägger du till lokaliserade e-postmallar via iManager:
Logga in i iManager.
Under Roles and Tasks (Roller och aktiviteter) expanderar du (Lösenord) eller (Arbetsgångsadministration).
Klicka på (Redigera e-postmallar, under pluginprogrammet Passwords) eller (E-postmallar, under Workflow Administration).
Identifiera den e-postmall (utan något språk i namnet) som du vill kopiera. Skriv ned det mallnamn som ska användas i steg 5. Klicka på mallens ämne för att öppna mallen och visa ämnesraden, meddelandetexten och ersättningstaggarna. Kopiera ämnesraden, meddelandetexten (ska översättas) och ersättningstaggarna som du vill använda i den nya mallen. Klicka på (Avbryt).
Klicka på (Skapa) och ange mallnamnet med ett språktillägg. Om du till exempel vill skapa en mall för Glömt ledtråd på tyska anger du namnet Glömt ledtråd_de, där _de anger Deutsch (tyska). Klicka på .
OBS! Detta fungerar om du använder en språkkod med två bokstäver och en landskod med två bokstäver. Om du försöker använda en språkinställning med en variant, till exempel en_US_TX, identifieras endast varianten och språket. Använd inte språkinställningsvarianter när du namnger e-postmallar i den här versionen.
I mallistan klickar du på den mall som just har skapats, till exempel Glömt ledtråd_de, och anger den översatta ämnesraden och meddelandetexten på tyska, exempelvis. Var noga med att bevara de ersättningstaggar som omges av dollartecken ($) i meddelandetexten.
Klicka på (Lägg till) för att ange eller klistra in ersättningstaggar och klicka sedan på .
Klicka på (Tillämpa) och sedan på .
E-postmallar skickar endast korrekt lokaliserat innehåll om rätt språkinställning har angetts för den användare som e-postmeddelandet skickas till.
Du kan korrigera det här problemet genom att uppgradera till NMAS™ 2.3.9.
Om du vill använda guiden för NDS-to-NDS-drivrutinscertifikat måste du hämta iManager-pluginprogrammet för Certificate Server.
När Identity Manager 3.5-pluginprogrammen och Mobile iManager 2.6 används kan iManager avslutas oväntat när du väljer (Skapa en ny lösenordsprincip baserad på standardinställningar). Det här problemet uppstår på grund av ett fel i JavaScript*-hanteraren för den inbäddade Mozilla-webbläsare som levereras med Mobile iManager i Linux.
Så här löser du det här problemet:
Starta Mobile iManager och minimera det sedan.
Öppna den webbläsare du vill använda och öppna sedan iManager på följande adress: http:\\localhost:48080\nps\iManager.html.
Kontrollera att de teckenkodningar för indata och utdata som har konfigurerats i den avgränsade textdrivrutinen matchar de som används av käll- eller målprogrammet. Matchningsfel orsakar fel eller skadade data i identitetsarkivet eller programmet. Tecken som inte kan representeras med den valda utdatakodningen ersätts med frågetecken (?).
I följande avsnitt beskrivs buggar, korrigeringar och lösningar som har med lösenordshantering att göra.
Användarprogrammet tar bort värdena i användarobjektets inställning för begränsning av mjuka inloggningar i följande scenario:
Du skapar en lösenordsprincip utan att ange lösenordsprincipens inställning för lösenordslivslängd.
Du ändrar en användare i principen så att lösenordet upphör att gälla genom att ange användarobjektets inställning för begränsning av mjuka inloggningar.
Användaren loggar in via användarprogrammet. Användarprogrammet ignorerar användarens inställning för begränsning av mjuka inloggningar och tar sedan bort dem från användarobjektet.
Om en JSF-portlet för lösenordshantering körs i en klustrad miljö och servern där portleten körs slutar fungera, växlas användaren automatiskt till en annan server. Portleten visas för användaren utan något meddelande om huruvida portletåtgärden på den ursprungliga servern slutfördes eller misslyckades. Användaren kan testa för att se om åtgärden slutfördes före serverfelet eller köra portleten på nytt. De portletar för lösenordshantering som påverkas är:
Challenge Response för lösenord
Ändra av lösenordsledtråd
Ändra lösenord
Användarprogrammet i Identity Manager 3.5 har fullständigt stöd för utmaningsuppsättningar på flera språk. Du kan konfigurera de här funktionerna via iManager och ange lösenordsprinciper.
Om du använder Novell Client™ 4.9.1 eller tidigare, eller lösenordshantering för Novell eDirectory, finns det ännu inget stöd för den här flerspråksfunktionen. Du får inte tilldela användare lösenordsprinciper om du har definierat utmaningsuppsättningar på mer än ett språk. Exempelvis kan du definiera utmaningsuppsättningar för franska, men inte för franska och tyska.
Felet Challenge Response misslyckades kan visas för användarna när de:
Anger ett användarnamn på sidan Glömt lösenord.
Inte besvarar utmaningsfrågorna.
Klickar på knappen i webbläsaren och anger ett annat användarnamn på sidan Glömt lösenord.
Användaren ska starta om processen Glömt lösenord genom att öppna följande URL för att lösa problemet:
http://<servernamn>:<port>/<kontextnamn>/jsps/pwdmgt/ForgotPassword.jsf
Kopior av Identity Manager 3.5 som har hämtats före 9 april 2007 innehåller ett säkerhetsproblem. Under vissa omständigheter visades värden för dolda attribut för administratörsanvändare i iManager-pluginprogrammen. En korrigering har skapats för iManager-pluginprogrammen, som förhindrar visning av dolda attribut som har synkroniserats med Identity Manager-drivrutiner. Eftersom drivrutiner ofta synkroniserar känslig information bör administrativa rättigheter till drivrutinerna begränsas så att obehörig åtkomst förhindras.
CRC-procedurerna för de ursprungligen påverkade medierna är:
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
Du kan hämta de senaste korrigeringsfilerna på Novells webbplats för hämtning.
Det här avsnittet innehåller ändringar i Identity Manager 3.5.1-dokumentationen, inklusive korrigeringar och nytillkommen produktinformation.
Observera följande ändringar i alla tabeller för avancerade alternativ för användarprogrammets konfigurationsparametrar i installationsguiden för Identity Manager 3.5.1 , kapitel 5 om att installera användarprogrammet:
Byt ut följande mot avsnitt 5.6.12 i installationsguiden för Identity Manager 3.5.1:
Kopiera filen sys-configuration-xmldata.xml från användarprogrammets installationskatalog till en katalog på den dator där WebSphere-servern finns, till exempel /UserAppConfigFiles. Användarprogrammets installationskatalog är den katalog i vilken du installerade användarprogrammet.
Ange sökvägen till filen sys-configuration-xmldata.xml i systemegenskaperna för JVM. Du måste logga in i WebSphere-administrationskonsolen som administratör för att kunna göra detta.
Från vänster panel går du till (Servrar > Programservrar)
Klicka på servernamnet i serverlistan, till exempel server1.
I listan över inställningar till höger går du till (Java och processhantering) under (Serverinfrastruktur).
Expandera länken och välj (Processdefinition).
I listan (Ytterligare egenskaper) väljer du .
Välj (Anpassade egenskaper) under rubriken för JVM-sidan.
Klicka på (Ny) för att lägga till en ny anpassad egenskap för JVM.
I (Namn) anger du extend.local.config.dir.
I (Värde) anger du namnet på den installationsmapp (installationskatalog) som du angav under installationen. (Under installationen skrevs filen sys-configuration-xmldata.xml till den här mappen.)
I (Beskrivning) anger du en beskrivning av egenskapen, till exempel sökväg till sys-configuration-xmldata.xml.
Klicka på när du vill spara egenskapen.
Klicka på (Ny) för att lägga till ytterligare en ny anpassad egenskap för JVM.
I (Namn) anger du idmuserapp.logging.config.dir.
I (Värde) anger du namnet på den installationsmapp (installationskatalog) som du angav under installationen.
I (Beskrivning) anger du en beskrivning av egenskapen, till exempel sökväg till idmuserapp_logging.xml.
Klicka på när du vill spara egenskapen.
OBS! Filen idmuserapp-logging.xml finns inte förrän du gör ändringarna beständiga via (Användarprogram > Administration > Konfigurering av program > Loggning).
I den här dokumentationen används en större än-symbol (>) för att skilja mellan åtgärder i en instruktion och objekt i en korsreferens.
Varumärkessymboler (®, ™, osv) anger ett Novell®-varumärke; en asterisk (*) anger ett varumärke från tredje part.
Novell Inc. gör inga utfästelser och lämnar heller inga garantier med avseende på innehållet eller användningen av den här dokumentationen, i synnerhet inte några uttryckliga eller underförstådda garantier avseende den allmänna lämpligheten och/eller lämpligheten för något särskilt ändamål. Vidare reserverar Novell Inc. sig rätten att när som helst revidera den här publikationen och ändra dess innehåll, utan föregående meddelande till någon person eller myndighet om sådana revideringar eller ändringar.
Vidare gör Novell Inc. inga utfästelser och lämnar heller inga garantier med avseende på någon programvara, i synnerhet inte några uttryckliga eller underförstådda garantier avseende på den allmänna lämpligheten och/eller lämpligheten för något särskilt ändamål. Vidare reserverar Novell Inc. sig rätten att när som helst ändra Novell-programvara, delvis eller i helhet, utan föregående meddelande till någon person eller myndighet om sådana ändringar.
Produkter eller teknisk information som tillhandahålls under det här avtalet kan vara föremål för amerikansk exportkontroll och handelslagstiftning i andra länder. Du förbinder dig att följa alla exportregleringar och införskaffa alla licenser och klassificeringar som krävs för export, reexport eller import av produkter. Du förbinder dig att inte exportera eller reexportera till entiteter på U.S.A:s undantagslista eller till länder under handelsbojkott eller länder som klassas som terroristländer enligt U.S.A:s exportlagstiftning. Du förbinder dig att inte använda produkterna till ändamål som inbegriper nukleär, missilbaserad, kemisk eller biologisk krigsföring. Mer information om export av Novell-programvara hittar du på webbsidan Novell International Trade Services. Novell tar inte på sig något ansvar för eventuella uteblivna exportgodkännanden som kan krävas.
Copyright © 2007 Novell, Inc. Med ensamrätt. Ingen del av denna publikation får reproduceras, kopieras, lagras eller överföras utan skriftligt medgivande från utgivaren.
De tekniska lösningarna för den produkt som beskrivs i det här dokumentet är upphovsrättsskyddade av Novell, Inc. Detta gäller särskilt patenten i listan på Novells patentwebbsida samt övriga patent eller patentansökningar i USA och andra länder.
Novells varumärken finns i listan över Novells varumärken och tjänstmärken.
Alla varumärken från tredje part tillhör respektive ägare.