2008 年 1 月 18 日
本文档包含 Identity Manager 基于角色的供应模块版本 3.6 的已知问题。有关可能影响 User Application 但与角色子系统无关的问题,请参阅 Identity Manager 3.5.1 README。有关在基于角色的供应模块版本 3.6 中已修复的 IDM 3.5.1 问题列表,请参阅部分 7.0, IDM 3.6 中修复的问题。
定期刷新文档资源。根据需要进行修正和增强。请查阅 Novell Identity Manager 3.6 产品文档万维网站点,以获取更新。
以下几节列出了与本文档相关的问题。
表 1-1 系统要求错误地将 Metadirectory 3.5 列为支持的系统组件。您必须使用 Metadirectory 3.5.1,而不能使用 Metadirectory 3.5。
2.6 小节“安全先决条件”列出了同时注销功能。它是一项功能,而不是先决条件。
如果您使用的是 NetWare,则必须在使用 nwconfig 实用程序前重命名 nrf-extensions.sch 文件。nwconfig 实用程序仅支持 8.3 文件名,因此它不能使用默认名为 nrf-extensions.sch 的文件。将 nrf-extensions.sch 重命名为支持的格式,如:nrfext.sch。
为 NetWare 指定的路径是不正确的。正确的路径为:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
为 NetWare 指定的路径是不正确的。正确的路径为:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
以下几节描述 User Application“角色”选项卡的已知问题。
您用于查找或过滤搜索的对象选择器将始终在搜索准则的末尾添加通配符 (*)。
角色搜索在对象选择器中是区分大小写的。
角色名称过滤在以下几页中是不区分大小写的:
我的角色
职能指派
查看请求状态
浏览角色编目
管理角色关系
角色名称和 SoD 约束名称只能包含以下字符:
字母数字字符。
字符串中可以包含 - (短划线)或 _ (下划线)(但不得位于字符串的开头或结尾处)。
不可使用以下字符,否则将导致错误:
! # % & , " ' ; \ / +
显示名称仅限于最初创建时设置的字符集。在首次保存角色或 SoD 约束名称后,您可以修改显示名称以便使用其他字符。
如果角色名称包含不支持的字符,则用户尝试在该角色上执行任何操作时将遇到错误。错误如下:
796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped.
如果您将角色指派到某一 OU,但该 OU 中的用户都未供应给该角色,则必须检查角色服务驱动程序错误日志中是否有错误记录。User Application 用户界面不显示该错误类型,且似乎在查看请求页面上已供应角色。
在从我的角色或角色指派(按用户)查看角色指派时,将看不到角色的所有容器或组。您只能看到其中一个。例如:如果角色 TestRole 位于两个容器,用户界面只能在一个容器中显示该角色。
User Application 在用户请求角色指派时检查 SoD 约束异常,但在角色指派生效时不进行检查。这意味着角色可能出现违例,但未发出通知或执行批准。假设护士和药剂师的角色存在冲突。您可能将 UserA 指派给护士角色,有效日期为未来两周后。同时,将 UserA 指派给药剂师角色,有效日期为立即有效。由于异常是在请求时检查的,且用户在请求时并不处于冲突角色,因此,您可能不会接到此冲突的通知。
角色指派页面不显示“待发激活”状态的指派。要查看将在未来激活的指派,请转到“查看请求状态”页面。
如果 User Application 服务器的当前日期与 eDirectory 服务器的当前日期不同,则用户可能在“角色”选项卡内看到不同页面上有不同日期。例如:假设 User Application 服务器的当前日期为 12 月 5 日,但 eDirectory 服务器的当前日期为 12 月 26 日。在这种情况下,在我的角色和角色指派页面上,有效日期显示 eDirectory 服务器的日期。但是,在查看请求状态页面上,有效日期和请求日期显示 User Application 服务器的日期。
如果未指定有效日期,角色指派页面使用 eDirectory 服务器的系统时间,但在查看请求状态页面上,有效日期取自 User Application 服务器的系统时间。由于时间同步技术可用于改正这些问题,因此,这种差异在生产环境下可能不存在。
此外,指派和指派请求数据在不同的对象中单独进行维护。一个对象表示用户发出请求时提供的日期,而另一个对象则表示实际角色指派的状态。如果用户未指定有效日期(这意味着角色指派将立即生效),则查看请求状态页面上显示的有效日期为将请求提交给应用程序服务器的日期。这与角色指派屏幕上显示的日期不同,该日期基于实际处理角色指派的时间。
在管理角色页面上,角色管理器可以查看所有角色容器,但它们可以创建新的角色并可修改有浏览权限的现有角色。
以下几节描述角色报告的已知问题。
要查看报告,浏览器必须安装 Adobe Reader 插件。如果未安装插件,将不会显示报告。
如果 PDF 报告包含用中文、日语或俄语生成的内容,则用户的首选区域设置必须设为相应的语言。如果 PDF 包含这些语言,则用户的首选区域设置必须设定为其中一种语言。否则,用户不能正确地查看该报告。
在同时运行多个报告时,您将观察到与 NullPointerExceptions 相关的已知 Sun JDK 问题。如果您遇到 NullPointerException,可能需要重新运行该报告。有关更多信息,请参阅 Sun 的错误报告。
生成报告是内存密集型操作。以下指导用于确保报告生成期间系统具有最佳性能:
为应用程序服务器配置大的 Java 堆大小。
避免同时生成大量报告。
为最大程度降低对活动用户的影响,尽量在服务器空闲时生成报告。
在群集中,将该群集中的应用程序服务器专门用于生成报告,以最大程度降低对活动用户的影响。
以下几节描述本地化的已知问题。
SessionWarning 文本不显示简体中文。超时后,用户将被重定向到会话超时页面,并可成功重新登录。但是,用户转到的任何页面都将显示页面装载的 JavaScript 错误。
如果您用某个中文区域设置运行 User Application,则不能使用 Designer 来定义已本地化的角色名称或 SoD 约束名称或者说明。它们将在 Designer 中正确显示,但是一旦部署则不会正确显示。为解决此问题,您可以本地化“User Application 角色”选项卡中的名称和说明。
随该产品提供的系统角色在中文系统上不能默认正确显示。它们将用英语显示。使用“User Application 角色”选项卡,可以将名称和说明更新为正确的译文。
以下几节列出了 iManager 的已知问题。
不能使用 iManager 来操作基于角色的供应请求定义。如果您试图打开一个,将看到以下错误。
The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.
请勿使用 iManager 的 Driver Inspector(可通过左侧导航中的 Identity Manager 链接使用),否则可能使 eDirectory 服务器崩溃。如果确实要使用它,请参阅讯息读取相关事项(位于带有类似以下讯息的错误对话框之后):
The following SPI error has occurred...(-621)...
当您重启动 eDirectory 服务器时,它将显示 eDirectory 未正确关闭的讯息。
以下几节描述已知的集成问题。
JBoss 和 WebSphere 容器以不同的方式处理 JSF 页面。这意味着 Access Manager FormFill 策略必须使用表单 ID 而非表单名。
如果您正在使用 Novell Security Services 2.0.5(包括 NMAS 3.2.0.2),并且拥有环境变量 NDSD_TRY_NMASLOGIN_FIRST=true,则无法启动角色服务驱动程序。在试图启动它时,将出现以下 NMAS 错误:
locallogin -799 ERR_CANNOT_GO_REMOTE
为解决此问题,请将环境变量 NDSD_TRY_NMASLOGIN_FIRST 设置为 False,或获取必需的 NMAS 增补程序。
在 NetWare 上,环境变量 NDSD_TRY_NMASLOGIN_FIRST 默认设置为 True。对于其他平台,它默认设置为 False。
本节包括在 IDM 3.6 基于角色的供应模块上修复的 IDM 3.5.1 User Application README 中描述的问题列表。
当使用 eDirectory 8.8.1 时,4.4 GUI 在 Solaris 9 和 10 上安装失败。
4.5 在将文件添加到 WAR 之后配置更新脚本失败.
4.8 User Application 和 Access Manager 同时注销
6.9 设置 SSL 配置参数
6.12 User Application 驱动程序需要激活
6.15 用户会话中的敏感数据不会加密
6.18 某工作流程未能从 eDirectory 事件触发
6.23 服务的 config.xml 文件包含过期版本号
6.25 用 SOAP Web Service 启动工作流程有时会导致错误.
6.30 安装至群集时不会提示输入工作流程引擎 ID.
在本文档中,大于号 (>) 用于分隔步骤内的操作和交叉参照路径中的项目。
商标符号(®、™ 等)代表 Novell® 的商标;星号 (*) 表示第三方商标。
Novell, Inc. 对于本文档的内容或使用不做任何陈述或保证,特别是对用于任何特定目的的适销性或适用性不做任何明示或暗示的保证。另外,Novell, Inc. 保留随时修订本出版物和更改其内容的权利,并且没有义务将这些修订或更改通知任何个人或实体。
另外,Novell, Inc. 对任何软件不做任何声明或保证,特别是对用于任何特定目的的适销性或适用性不做任何明示或暗示的保证。另外,Novell, Inc. 保留随时更改 Novell 软件全部或部分内容的权利,并且没有义务将这些更改通知任何个人或实体。
依据本协议提供的任何产品或技术信息都将受到美国出口控制和其他国家/地区的贸易法律的约束。您已经同意遵守所有的出口控制法规,并同意在出口、再出口或进口可交付产品之前取得任何必要的许可证或分类证书。您同意不出口或再出口至当前美国出口排除列表上所列的实体,或者美国出口法律中规定的任何被禁运的国家/地区或支持恐怖主义的国家/地区。您同意不将可交付产品用于禁止的核武器、导弹或生物化学武器等终端用途。有关出口 Novell 软件的详细信息,请访问 Novell International Trade Services 万维网页面。如果您未能获得任何必要的出口许可,Novell 对此不负任何责任。
版权所有 © 2008 Novell, Inc. 保留所有权利。未经出版商的明确书面许可,不得复制、影印、传送此出版物的任何部分或将其储存在检索系统上。
Novell, Inc. 拥有与本文档所述产品中包含的技术相关的知识产权。特别是,这些知识产权包括但不限于 Novell Legal Patents 万维网页面中列出的一项或多项美国专利,以及美国和其他国家/地区的一项或多项其他专利或正在申请的专利。
有关 Novell 商标,请参见 Novell 商标和服务标记列表。
所有第三方商标均是其各自所有者的财产。