上次更新 2007 年 9 月 28 日。
本文件包含 Identity Manager 3.5.1 的已知問題。
目前提供以下額外的文件資源:
本節說明兩個屬於 Identity Manager 3.5.1 安裝指南中「新增功能」一節新功能清單的項目。
「Identity Manager 使用者應用程式」支援透過 Access Manager 單次登入,並使用任何可登入 Access Manager 的協力廠商驗證服務。這個功能可使用無密碼技術來透過 Access Manager 登入「使用者應用程式」。舉例來說,透過使用者 (用戶端) 證書登入,例如智慧卡。如需詳細資訊,請參閱 Identity Manager 3.5.1 使用者應用程式:管理指南「設計生產環境」中「安全性」一節。
您現在可以在參照到「Identity Manager 白皮書」的 URL 上新增搜尋參數。
本節說明 Identity Manager 3.5.1 的系統需求:
Identity Manager 3.5.1 Java* 需求如下:
「使用者應用程式」需要 Java 5.0.10 才能支援數位簽名與 Cryptovision。
在 JBoss* 應用程式伺服器上,您必須下載並安裝下列 Sun* JDK*:Java 2 Platform Standard Edition Development Kit 5.0。使用 JRE* 1.5.0_10 版。
注意:請勿使用 SUSE® Linux Enterprise Server (SLES) 隨附的 IBM* JDK。使用 SLES 隨附的 IBM JDK 可造成主要金鑰毀損錯誤。
在「WebSphere 應用程式伺服器」上,使用 WebSphere* 應用程式 6.1.0.9 或以上版本隨附的 IBM JDK,其中具有已套用的無限制規則檔。此外,您也必須套用 6.1.0.9 的 WAS JDK 修正套件。
Metadirectory 安裝程式會在所有 NetWare 以外的平台上安裝它自己的 JVM。在 NetWare 上,Metadirectory 會使用在系統上安裝的 Java 任何版本。
Identity Manager 3.5.1 支援 Novell Audit 2.0.2。
下列為列於 Identity Manager 3.5.1 安裝指南中系統需求的附錄:「使用者應用程式」需要 WebSphere Application Server (WAS) 6.1.0.9 和 WAS SDK Fixpack 6.1.0.9。
如果您看到「因為鎖死或逾時,目前交易已復原」錯誤時使用 DB2,則問題可能是由高層使用者和資料庫發生時造成。
DB2 提供許多技術可解決鎖定衝突,包括微調成本最佳程式。《DB2 管理》文件中的效能指南是極佳的資訊來源,包含豐富的微調主題資訊。
沒有指示自從發生層級和資料大小變更後用於所有安裝的微調值。但是,在此有一些與您的安裝有關的 DB2 微調提示:
reorgchk update statistics 命令將更新最佳化工具使用的統計資料。 定期更新這些統計資料便足以減輕這個問題。
透過不鎖定已插入或更新列的下一個索引鍵來使用 DB2 登錄參數 DB2_RR_TO_RS,可改善發生狀況。
在資料庫中增加 MAXLOCKS 和 LOCKLIST 參數。
在資料庫連接集區中增加 currentLockTimeout 內容。
使用「資料庫組態顧問」,並最佳化以加快異動速度。
將所有的「使用者應用程式」表改變為 VOLATILE,以讓最佳化程式了解,表格基數將明顯改變。例如,若要將 AFACTIVITY 表變成 VOLATILE 表,您可發出命令:ALTER TABLE AFACTIVITY VOLATILE
在「使用者應用程式」已啟動且資料庫表已建立後,必須執行 ALTER TABLE 命令。如需此陳述式的詳細資訊,請參閱 ALTER TABLE 文件。以下是所有「使用者應用程式」表的 SQL 陳述式:
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
使用 Oracle* 9i 驅動程式建立下列例外狀況:org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta]
若要避免這個問題,請使用 Oracle 10g 驅動程式、ojdbc14.jar 和 orai18n.jar。 這些驅動程式可向後相容至 Oracle 9i。
下節說明安裝錯誤和解決方法。
在做為 Windows 服務執行的 JBoss 上啟動「使用者應用程式」時發生錯誤,您會看到以下的錯誤。
com.sssw.fw.exception.EboUnrecoverableSystemException: Failed to initialize EboPortletContainer framework service. at com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Caused by: java.lang.ClassCastException: . . .
如果 JBoss 服務在啟動期間從 Identity Manager 預期的檔案載入不同的 xalan.jar 檔時便會發生這個錯誤。若要解決這個問題,請將路徑附加至該服務其 -Djava.class.path 上的 xalan.jar。服務的結果登錄項目看起來應如下例所示:
‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
接著,重新啟動服務。
您可以在服務建立時或建立後附加該路徑。
如果您在 64 位元系統上安裝「Identity Manager 使用者應用程式」,並使用 JBossMysql.bin 安裝 JBoss 和 MySQL ,則您在安裝 MySQL 資料庫時可能會碰到錯誤。若要解決這個問題,請執行 setup-mysql.sh,再執行 start-mysql.sh。
在 64 位元 SLES 10 上安裝「使用者應用程式」時若嘗試存取根容器 DN,會顯示錯誤的字元或「」按鈕。如果發生此狀況,請確定已為環境安裝正確的 JRE。
使用 eDirectory™ 8.8.1 時,在 Solaris* 9 與 10 上安裝 GUI 失敗。解決方法包含以下:
執行文字式安裝程式。
使用 eDirectory 8.8.2,其包含此問題的修復。
若使用 SLES 9 配送之 /usr/bin/jar 中的 jar 二進位建立 WAR,則 configupdate.sh 指令碼會在您手動將自定檔案新增到 IDM.war 時失敗。錯誤為:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (預期 16176 但取得 16177 位元組) at java.util.zip.ZipOutputStream.closeEntry(未知的來源) at java.util.zip.ZipOutputStream.putNextEntry(未知的來源)
若要解決或預防問題,請使用較新的 jar 版本來建立 WAR,如本範例中所示:/usr/lib/java/bin/jar -cvf IDM.war *
以下警告訊息可能會在您使用預設 JBoss 伺服器組態開始「使用者應用程式」時出現:
WARN [TomcatDeployer] 無法設定叢集,叢集已停用。NoClassDefFoundError: org/jboss/cache/CacheException
若您在「使用者應用程式」安裝期間關閉預設組態 (單一節點),則可以忽略此訊息。此訊息來自 JBoss 應用程式伺服器其表示雖然 Identity Manager 使用者應用程式可以支援叢集,但您選擇的應用程式伺服器組態不支援叢集。
若您的 Identity Manager 安裝帳戶的密碼包含特殊字元,則可能會看見綱要延伸失敗。您應使用不同帳戶安裝或變更密碼。
最新版的 Access Manager 不支援「ICS 登出頁面」的預設 URL 路徑,該登出頁面位於設定「使用者應用程式」時「顯示進階選項」頁面的「」下。如果 https://yourIChainServer/cmd/ICSLogout 的預設 URL 路徑無效時,請嘗試 https://yourAccessManagerServer/AGLogout。
如果伺服器已在連接埠 3306 上執行 MySQL,而不提供在不同連接埠上安裝 MySQL 的機會,則「使用者應用程式」安裝程式會失敗。這個問題是因為「使用者應用程式」隨附的 JbossMysql 公用程式有限制,但可透過使用獨立 MySQL 安裝程式克服這個問題。
解決方法是停止現有的 MySQL 執行個體,並執行安裝。安裝程式會在連接埠 3306 上安裝 MySQL,但會詢問您要連線到哪一個連接埠。指定新連接埠時,再前往 my.cnf 檔案,將它變更為這個新連接埠,然後重新啟動「使用者應用程式 MySQL 執行個體」。接著重新啟動其他的 MySQL 執行個體,從那個時候開始應用程式應會正常執行。「使用者應用程式」安裝程式會讓您在不同的連接埠上安裝,再啟動新的連接埠。現在,「使用者應用程式」安裝程式似乎只有在 3306 釋放時才能作用。
下節說明會影響「使用者應用程式」其使用者介面的錯誤和修正程式。
「使用者應用程式」不支援包含前置空白或後置空白的「密碼規則」名稱。如果您的密碼規則不包含前置空白或後置空白,使用者會在「忘記密碼」頁面上輸入其使用者名稱後立即碰到「處理安全回應失敗」的訊息。
密碼處理安全設定其名稱結尾處一或多個空白會在「使用者應用程式」嘗試傳回密碼處理安全問題時造成錯誤。若要避免這個問題,請勿在處理安全設定名稱結尾處附加任何空白。
若您在「使用者應用程式」中建立如使用者這類的項目,且在名稱中包含反斜線,則反斜線在完整 DN 中是多重的,例如 myusername\ 會變成 mysusername\\\。這是已知錯誤。若要解決這個錯誤,請避免在實體名稱中使用反斜線。
在「Identity Manager 使用者應用程式」中,「」索引標籤中,編輯群組屬性以刪除和新增群組應做為不同的作業完成。將移除和新增群組做為單步驟的程序中,當按一下 + (新增) 按鈕時會重新顯示已刪除群組的名稱。
在「使用者應用程式」中,若您使用 Mozilla 系列瀏覽器 (Firefox、Netscape* 或 Mozilla*) 以使用者 A 的身份登入,然後開啟另一個瀏覽器例項 (相同種類的瀏覽器) 並以使用者 B 身份登入,則您會在返回第一個瀏覽器例項時看到使用者 B 的資訊。這是因為瀏覽器例項會共享 (與改寫) 相同的 cookie。這個行為對是 Mozilla 系列的瀏覽器特有的;Internet Explorer 並不會發生這個行為。
當在組織圖表優先設定內使用 HTMLEditor 時,則可能會在 Firefox 中進行剪下、貼上、複製操作時發生例外。Mozilla 不允許指令碼因為安全性理由存取剪貼簿。因此,在 Firefox 中無法使用剪下、複製、與貼上按鈕。
在 Firefox 中,您可以透過「工具」>「延伸」來下載名為「允許剪貼簿協助程式」的延伸,這可以帶領您到延伸下載網頁
下載之後,您將在中看見。
開啟該程式,指定您要取得剪貼簿存取權限的伺服器位址,然後按一下「」。您可以盡量新增您喜歡的網頁。關閉所有 Firefox 瀏覽器,重新啟動 Firefox,則應該可以在 Firefox 上執行剪下、複製與貼上操作。
登入「Identity Manager 使用者應用程式」時,左邊功能表中有一個連結可建立使用者。若要建立使用者,您必須有新增項目至目錄的必要 eDirectory 權利。因為「Identity Manager 使用者應用程式」有現有的 eDirectory 使用者,所以這些使用者已有必要的權利。
在 iManager 中,按一下「」。
瀏覽至包含您使用者容器的物件 (例如,MySample.novell) 並按一下「」。
新增託管者 (例如 MySample.novell) 並變更指派的權利。
在 中,選取「」。 其他欄位保留為預設值,再按一下「」。
現在 users.MySample.novell 容器中的所有使用者可在 MySample 實體之內建立使用者或群組。
使用者應用程式支援的字元與 iManager 相同。如需溢出特殊字元的詳細資訊,請前往 http://www.novell.com/documentation/imanager26/index.html,並參閱 iManager 2.6 管理指南 中第 20 頁,第 3 章〈巡覽 iManager 介面〉中第 3.2 節「特殊字元」。
當使用者登入「使用者應用程式」,從「書籤」或「歷程」載入登入 portlet 或頁面,並嘗試再次登入時,第二次登入將無法正確設定新入口網站會期。這可能會導致第二次登入失敗。若要解決這個問題,請務必在登入之前使用登出連結。
「使用者應用程式」中的最上層索引標籤現在強制執行其允許的字元數限制。欄位限制為 22 個字元。對於英文之外的語言,文字如果超過限制便會被截斷,並會顯示省略符號 (...) 表示有部分文字未顯示。若要顯示完整的文字,使用者可以將滑鼠停留在索引標籤名稱上。
下節說明會影響「使用者應用程式」管理的錯誤和修正程式。
進行稽核所需要的檔案 (NAuditPA.jar 和 logevent.conf) 已複製到「使用者應用程式」安裝資料夾中,即使您在安裝時選擇不啟用「稽核」。但是,如果您在執行安裝程式時停用了稽核,則 logevent.conf 檔中包含一些參數是您在安裝後必須手動編輯的。這些參數會在《Identity Manager 使用者應用程式:管理指南》的第三章〈設定記錄〉中解釋。
當嘗試使用資料流格式的單一值更新時,您會得到以下的錯誤訊息。
LDAP: error code 19 - NDS error: can’t have multiple values (-612)
解決方法是使用字串語法,例如當您在 iManager 中建立類別屬性時,使用 Case Ignore String,而非 Stream syntax。資料流語法不能濫用,因為會造成效能過載。
根據預設,「使用者應用程式」會在連接埠 8009 上啟動 JBoss 應用程式伺服器。 這會造成衝突,因為 OES 2 Linux 已使用連接埠 8009。 若要避免這個衝突,請先變更 service.xml 檔中的 JBoss 連接埠,再啟動 JBoss 應用程式伺服器。
「忘記密碼」功能在叢集的環境中執行時,您會看到如下的堆疊追蹤:
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using exteranl forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
此僅供參考,不需要動作。這發生於使用者執行「忘記密碼」動作時。這些錯誤訊息並不影響使用者執行「忘記密碼」動作。使用者不會看見任何問題,可成功完成其「忘記密碼」動作。
使用 WebSphere 時,有些使用 JSF 的 portlet 可能會碰到以下錯誤:java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity
這個錯誤為良性,不會影響 JSF 或 portlet 作業。若要隱藏此錯誤,請將下列元件新增至「WebSphere 變更記錄細節層級」:com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
為了安全起見,我們建議將管理員與 LDAP guest 帳戶限制為滿足指定角色所需的最小權限設定。在「使用者應用程式」中指派以下角色時 (在安裝期間,或在安裝之後使用 configupdate 公用程式),請為以下人員指定個別的實體 Identity Vault 使用者帳戶:
LDAP 管理員
LDAP guest (若有使用)
使用者應用程式管理員
提供應用程式的管理員
密碼規則未承襲「使用者應用程式」管理員必須明確地將密碼規則套用到建立使用者的容器。不這樣做可能會導致這個錯誤:
無效的安全密碼管理員 (SPM) 申請。若問題持續存在,請聯絡系統管理員。
設定 configupdate 公用程式中的「」和「」參數可允許作業不需要 SSL 即可作業。需要 SSL 的作業,例如密碼功能,仍要使用 SSL。
若使用者在登入變更密碼或安全處理回應提示重新導向,則在下次登入之前,使用者可以輸入入口網站的 URL 與跳過驗證檢查。這是已知的問題,目前沒有解決方法。
在 Windows XP SP2 中,configupdate 公用程式中的「」按鈕有時會損壞 JVM。若要解決這個問題,請輸入完整的檔案路徑名稱,而非使用「」按鈕。
當「應用程式伺服器」當機,且重新啟動已啟用的「使用者應用程式」驅動程式時,驅動程式的啟用狀態會顯示為需要啟用,即使已對驅動程式載入啟用認證。這是已知錯誤。若要避免或解決這個問題,請在啟動「使用者應用程式」伺服器且可用之後,啟動「使用者應用程式」的驅動程式。
包含於 JBoss 4.0.5 GA 的 JGroups 版本 (2.2.7 版) 有一個問題,會導致在叢集環境中發生效能問題。如需關於問題的詳細資料,請參閱 Deadlock - JBoss.org JIRA。這個問題已在 JGroups 2.4 中獲得解決。我們建議升級到 JGroups 2.4 或更新版本就可以避免發生 JGRP-292 中的問題。
在升級到 JGroups 2.4.x (或在升級任何 JBoss 安裝中其他元件之前) 之前,請查閱 JBoss 應用程式伺服器、JBossCache 與 JGroups 相容矩陣所提供的相容性清單。
如需關於 JGroups 的下載與資訊,請參閱 JGroups - JGroups 專案。
java.util.NoSuchElementException 例外會在「使用者應用程式」執行於叢集時發生。這個例外是 JBoss 中的已知問題,且已在更新版本中修復了。如需詳細資訊,請參閱 JBoss 網站。
這裡是此問題引發的堆疊追蹤範例:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
此版本中,使用者會期裡的機密資料 (例如單一簽入的登入密碼) 的未加密。這可能會將機密資料暴露給網路監聽者。若要在叢集環境中保護暫存於使用者會期與在會期複製期間於網路上傳輸的機密資料,則您需要執行以下任一作業:
啟用 JGroups 的加密。如需更多關於啟用 JGroups 加密的資訊,請參閱 JGroups 加密。
請確定叢集設有防火牆。
管理者現在可為新使用者設定首次密碼過期。若要這麼做,請編輯在 Identity Manager 使用者應用程式:管理指南中記載的「建立 Portlet 優先設定」。
指定「」優先設定。
為在新使用者第一次登入時密碼過期。
(預設值) 使用 eDirectory 設定來決定密碼何時過期。
保留完整工作流程資訊的預設設定為 120 天。但是您可以使用工作流程引擎的 SOAP 介面變更此設定。若要存取工作流程引擎的 SOAP 介面,請在瀏覽器中輸入這個 URL:
http://server:host/IDMProv/provisioning/service?test
當您看見頁面列出您可呼叫的「工作流程引擎」方法清單時,請選取 方法。您傳遞給此方法的參數會變更保留期間。您指定的值必須以毫秒為單位。
工作流程 CN 中的單引號會讓 eDirectory 事件無法觸發該工作流程。避免在工作流程公用名稱 (CN) 中使用單引號。
Identity Manager 使用者應用程式:管理指南缺少下列資訊可協助您使用 iManager 密碼規則協調 Identity Manager 使用者應用程式密碼。
19.3.1 節和 19.7.1 節說明「通用密碼」需求:「如果啟用通用密碼,則開啟 iManager,並移至 確定下列選項已勾選:。」
16.2.1 節,說明建立容器屬性:「如果您使用「建立 portlet」建立使用者,並要將使用者指派至 iManager 密碼規則,請亦指派指定的容器至同一個 iManager 密碼規則。這可確保在使用者應用程式中建立的使用者會自動指派至預設的 iManager 密碼規則。」
在您的「使用者應用程式伺服器」(JBoss 伺服器) 上,當使用「使用者登入頁面」時,如果您按一下「」連結並輸入用者密碼,入口網站可能會在 JBoss 主控台上傳回下列錯誤訊息,且不會重新導向:
08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
發生錯誤的原因是 ForgotPasswordPortlet portlet 中的 ldap-sslport 優先設定使用標準的預設 TLS (ldaps) 連接埠 636,而非為您的 LDAP 伺服器安全連線設定的連接埠。eDirectory 管理員或許將 eDirectory 執行個體上預設的安全 LDAP 連接埠變更為非標準連接埠。eDirectory 管理員會在與其他 LDAP 啟用系統 (如 Active Directory*) 相同的實體硬體上執行 eDirectory 時,共同變更 LDAP 連接埠。
如果您的安全 LDAP (TLS) 組態使用 636 以外的連接埠,請將 ForgotPasswordPortlet 中的 ldap-sslport 優先設定變更成為您安全 LDAP 設定的連接埠,如下所示:
開啟使用者應用程式。
開啟「」。
將 ldap-sslport 的值從預設的連接埠 636 變更成為您 LDAP 伺服器的安全 LDAP 連線設定的連接埠。
在使用平行處理的提供工作流程中,一個核准活動的收件者不應參考流程中其他核准活動的收件者。原因是工作流程引擎無法知道要先執行哪一個步驟,因為活動是平行處理的。此外,「提供申請組態」的 iManager 外掛程式無法在任何時間點上判斷應允許哪一個收件者。 若要限制可能的收件者清單,外掛程式必須能夠分析流程來取得已完成的上游活動清單。目前外掛程式不支援此功能。
根據預設,JBoss 允許目錄瀏覽。因此,如果您輸入 URL http://server:8080/IDMProv/resources/,則會顯示此 URL 之下的資源清單。
如果您不要啟用目錄瀏覽,請前往 jboss-4.0.2\server\<IDM-Application Context>\deploy\jbossweb-tomcat55.sar\conf,並編輯 web.xml 檔案中的清單項目:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
若要隱藏顯示資源,請將清單值從 true 變更為 false。
「使用者應用程式」內各種子系統的服務可能包含舊的版本號碼。您不必修改這些檔案來更正版本。
例如,IDMfw.jar 包含 FrameworkService-conf\config.xml 檔案,它有以下的版本號碼項目:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
在 iManager 的「提供申請組態」外掛程式中,您可以定義轉呈規則,將工作流程活動重新導向至原始收件人的管理員。
如果原始位址是有多個管理員的任務群組,則轉呈失敗。「提供申請組態」外掛程式無法讓您不能定義此類型的轉呈,所以您必須小心避免這類型的組態。
在 Linux* 上,預設開啟限制不足以支援透過 SOAP Web 服務啟動的大量要求。「使用者應用程式驅動程式」在使用 Web 服務端點觸發工作流程回應目錄事件時,可能會達到這個限制。
Linux 對每個程序的預設開啟檔案限制為 1024。如果您以預設的設定啟動 JBoss 伺服器,當有超過 40 或 45 個申請透過 SOAP Web 服務介面依序啟動時,您會看到錯誤。在到達限制後,您會再也無法啟動任何申請達數分鐘。在某些狀況中,您必須重新啟動 JBoss 伺服器。
若要解決這個問題,您可以從開啟檔案限制從 1024 增加到 4096。
如果您使用的是 BASH,請執行這些命令來增加開啟檔案的限制:
su - root ulimit -n 4096 su - <user> start-jboss.sh
如果您使用的是 C Shell,請執行這些命令來增加開啟檔案的限制:
su - root limit descriptors 4096 su - user start-jboss.sh
「使用者應用程式」驅動程式存放應用程式特定的各種資訊 (例如工作流程組態和叢集資訊)。因此,多個應用程式不應共用「使用者應用程式」驅動程式的單一執行個體。
「使用者應用程式」會存放應用程式的特定資料,來控制和設定應用程式環境。 這包含「JBoss 應用程式伺服器」資訊和工作流程引擎組態。唯一可共用單一「使用者應用程式驅動程式」執行個體的使用者應用程式是在相同 JBoss 叢集中的應用程式。您不應設定一組使用者應用程式來共用單一驅動程式,除非它們屬於同一個 JBoss 叢集。否則,您的組態會變更矛盾,在「使用者應用程式」中執行的一或多個元件其組態會錯誤。
在「Identity Manager 使用者應用程式」的安裝程式中,您可以為應用程式指定根容器 DN、使用者容器 DN 和群組容器 DN。在本版本中,您無法將 eDirectory 內的 treeRoot 指定為根容器。此外,您也無法為任何特定的物件類型 (容器、使用者或群組) 指定多個搜尋根部。您必須指定單一搜尋範圍。
組織 (o) 可以包含在國家 (c) 或地區 (l) 中,如下所示:
c=US o=novell-provo o=novell-waltham
這類型的組態會起作用。
如果「使用者應用程式」驅動程式有兩個不同的執行個體指向同一個使用者容器,則可用性設定 (在使用者應用程式的「編輯可用性」頁面上) 會顯示兩個應用程式的可用性項目。
假設伺服器 1 設定為使用一個驅動程式 (如 driver1,o=novell),伺服器 2 設定為使用另一個驅動程式 (如 driver2,o=novell)。兩台伺服器設定為使用使用者、群組和根容器的相同容器 (如 ou=users,o=novell)。 伺服器 1 上的使用者會建立使用者和提供申請定義的委託定義。使用者應標示為無法供申請定義使用。伺服器 2 顯示使用者無法使用,但它無法解析申請定義的易記名稱。如果使用者在伺服器 2 上的委託定義已檢測,則看不見伺服器 1 的定義。
這個行為的原因是委託資訊 (在使用者標記自己為可用/不可用時產生) 是存放在使用者記錄上。這個資訊包括委託/委託者資訊,以及提供申請定義和委託的開始/停止時間。衍生委託資訊的委託定義會連同提供申請定義存放在驅動程式中。
建議不要設定兩個不同的驅動程式執行個體指向同一個使用者容器。
「使用者應用程式」的驅動程式會在啟動驅動程式時讀取工作流程屬性的清單。若您建立新的提供申請定義,且若您立即嘗試建立「綱要映射」規則,則在重新整理應用程式綱要之後,新提供申請定義不會出現在應用程式屬性的清單中。這是因為「使用者應用程式」的驅動程式必須在可以使用提供申請定義之前重新啟動。在建立新的提供申請定義之後,在嘗試使用規則中的提供申請定義之前停止「使用者應用程式」的驅動程式然後重新啟動。或者,只要在「綱要映射」規則編輯器中重新整理應用程式綱要兩次即可。
執行叢集中的工作流程時,每個伺服器的工作流程引擎必須有獨一無二的 ID。 透過將 -Dcom.novell.afw.wf.engine-id 傳遞至 Java VM,來識別引擎 ID。 在 Linux,使用者不必編輯 jboss/bin/run.conf 檔案,也不必在 JAVA_OPTS 行中傳遞該內容。例如:
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
安裝程式不提示您指定工作流程引擎 ID。 因此,您必須透過傳遞 JAVA_OPTS 內容來識別引擎,如上所述。
如果您透過 $IMG: 標記變更影像在詳細資料 portlet 標題中顯示的方式,您必須清除 CompiledLayout 快取,讓變更生效。請依照這些步驟清除快取:
前往使用者應用程式的「」標籤。
前往「」標籤。
選取「」下拉式清單中的「」。
按一下「」。
「入口網站資料匯入」公用程式 ( 管理 > 工具 > 入口網站資料匯入) 使用「入口網站資料匯出 ZIP 檔」中的 shared-pages.xml 和 container-pages.xml 產生容器、共用頁面和 portlet。如果「<說明/>」項目為空白,則無法匯入頁面。
若要解決這個問題,請提供「<說明/>」項目的文字,並再次執行匯入。
Identity Manager 使用者應用程式:管理指南包含一些設定 JBoss 的資訊。如果您需要 JBoss 設定的進一步資訊,請參閱以下來源:
如需關於將 JBoss 設定為 SUSE 服務的詳細資料,請參閱 Novell 的 Cool Solutions 網站。
如需 Apache SSL 設定的資訊,請參閱 JBoss 網站中的適當章節。
如需關於 IIS SSL 設定的資訊,請參閱 JBoss 論壇:安裝、組態與部署。
若要使用「iManager 提供申請組態」外掛程式,您必須有與「提供申請」物件相關聯屬性的讀取權限和寫入權限。
依預設,「使用者應用程式」字元編碼過濾器在使用者應用程式的 web.xml 中設定為「啟用」。這個設定一般不需要任何特定的組態,但若您已設定 URI 編碼的 Tomcat,則可能需要變更。Tomcat HTTP/HTTPS 連接器的組態中有兩個會影響字元集編碼與過濾器組態的屬性。
在 %xx 解碼 URL 之後,此項目會指定用來解碼 URI 位元組的字元編碼。若未指定將使用 ISO-8859-1。需求包括:
HTTP 與 HTTPS 都要有相同的組態。
「字元集」編碼過濾器應修改為包括 URI 編碼的 init 參數。此參數的值應與 Tomcat 連接器組態中的 URIEncoding 屬性值相同。
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
此外,也將 URIEncoding="UTF-8" 新增至 jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml,例如:
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />If SSL is enabled, make the same change for the SSL HTTP/1.1 Connector.
這個項目會指定 contentType 中指定的編碼是否應用於 URI 查詢參數,而非使用 URIEncoding。這個設定在與 Tomcat 4.1.x 相容的環境是可行的,其中編碼是在 contentType 中指定,或明確設定為 URL 的參數使用 Request.setCharacterEncoding 方法。預設值為假。
若 useBodyEncodingForURI 設定為 true,則過濾器組態應包括 use-body-encoding init 參數,例如:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
如需更多詳細資訊,請參閱 Tomcat 連接器組態資訊的網站。
已變更處理 DirXML-EntitlementResult 多值屬性的方式。過去,權利結果不會從此屬性中清除。現在,預設行為已改變。現在在處理權利結果後,可清除權利結果。
您可以變更預設行為 (指定權利結果是否清除,以及清除方式)。 若要設定權利清除類型:
在 iManager 中,顯示您使用者應用程式驅動程式的「Identity Manager 驅動程式綜覽」頁面。
按一下「」。
按一下您使用者應用程式的「管理修改」規則,再按一下「」。
按一下「」。
對於「﹞動作,在「」欄位中輸入以下其中之一:
目前:在通知使用者應用程式驅動程式後,刪除造成事件的權利結果。這是預設的行為。它也用於未設定權利清除類型,或設定無效權利清除類型時。
無:不清除權利結果。
先前:刪除任何先前的權利結果,而不刪除造成該事件的結果。
無較新:刪除先前的權利結果,包括造成該事件的結果。 這可保留任何在造成該事件的權利結果之後建立的權利結果。
網路檔案附加 portlet 有下列新的優先設定:ShortcutsUseFullyQualifiedPath。 若此選項為 True,則您在「捷徑」優先設定中指定的任何捷徑都必須具有完全合格的路徑。若此選項為 False,則您在「捷徑」優先設定中指定的任何捷徑都必須具有與 InitialDirectory 相關的路徑。若使用者僅瀏覽路徑中的子目錄,則請選擇 False。
透過最新的 JBoss,經由 RMI 存取 NetWare 的網路檔案 portlet 設定已變更。
現在文件說明將 NetWare/RMI 伺服器上 sys:\java\njclv2r\lib 的 njclv2r.jar 複製到您入口網站平台上的 $JAVA_HOME$/jre/lib/ext 目錄。
透過最新版的 JBoss,您必須將 njclv2r.jar 複製到 .../jboss/server/IDM/lib 目錄,您的「使用者應用程式」一開始是部署在此目錄中。接著重新啟動 JBoss。
若要結束 NetStorage 會期並關閉您使用的檔案存取,請按一下 NetStorage 網路介面中的登出按鈕。
在 Identity Manager 附加 Portlet 參考指南 中,以這個程序取代每一個如何啟用 portlet SSO 的說明:
若要啟用 portlet 單次登入,請執行下列步驟:
在「使用者應用程式」中,開啟「」標籤並選擇「」。
選取。
按一下啟用 SSO 的圓形按鈕。
記錄檔案的名稱 jboss/server/IDM/conf/extendlogging.xml 已變更為 jboss/server/IDM/conf/idmuserapp_logging.xml。新的記錄檔案名稱用於 Identity Manager 3.5.1 使用者應用程式:管理指南, 5.1.4 節〈記錄組態〉的「保留您記錄設定」的小節中。
將套件新增至記錄清單時,它會立即在「記錄組態」畫面中顯示。若要從清單中移除套件:
不要按下「」。 下次您啟動伺服器時,新套件將從記錄清單中消失。
如果您按下「」,您必須手動將套件從 $JBOSS/servers/$seafang/conf 目錄中的 idmuserapp_logging.xml 檔中移除。
在 Identity Manager 3.5 或 3.5.1 中,如果您重新部署「使用者應用程式」,您可能會碰到 java.lang.OutOfMemoryError: PermGen space 錯誤。
若要避免這個錯誤,請執行以下任一作業:
重新啟動 JBoss 伺服器
藉由 start-jboss 指令碼的 JAVA_OPTS,將 -XX:MaxPermSize 傳送到 Java 虛擬機器來增加 PermSpace 值。
對於 32 位元機器,指定 128 MB,例如 -XX:MaxPermSize=128m。
對於 64 位元機器,指定 256 MB,例如 -XX:MaxPermSize=256m。
叢集中的工作流程引擎偵測到叢集中的工作流程引擎已失敗,並自動將在失敗工作流程引擎上執行的任何程序重新指派到另一個工作流程引擎。
但是,有許多時候您需要手動將一個工作流程引擎中的工作流程程序指派給另一個 (例如當失敗的工作流程引擎恢復上線時,要將程序傳送回去)。 若要這麼做,您要使用「iManager 工作流程管理」外掛程式,如下所示:
在 iManager 中,選取「」中的「」分類。
選取「」。
如果您尚未存取工作流程伺服器,請在「」欄位中指定驅動程式名稱,並按一下「」。
iManager 即會為您填入螢幕上的其餘欄位。
(選擇性) 置換「」欄位中的使用者名稱和「」欄位中的密碼。
使用者必須是「使用者應用程式管理員」(提供管理員)。在預設狀態下,使用者名稱會設為目前登入到 iManager 的使用者。如果這個使用者不是使用者應用程式管理員,則您必須變更使用者名稱。
按一下「登入」。
「工作流程管理」外掛程式會顯示一頁面,讓您指定過濾器以尋找工作流程。
按一下「」,再按一下「」。
iManager 會顯示在所指定使用者應用程式驅動程式上執行的工作流程程序。「」欄列出工作流程引擎的引擎 ID。
若要將一個引擎的工作流程程序重新指派給另一個工作流程,請在「工作流程」面板中按一下工作流程名稱旁的核取方塊,以選取該工作流程,再按一下「」。
在提供工作流程中使用「整合」活動時,您會在關機時於 JBoss 主控台中看到這個錯誤。
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
這些錯誤訊息不是嚴重錯誤的指示。當您再次啟動 JBoss 時,伺服器和「使用者應用程式」的行為應該會正常。
「使用者應用程式」設定為使用電子郵件通知時,記錄中可能會出現下列錯誤。您可以忽略這些錯誤。使用者仍會收到電子郵件通知。
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Notification email server host unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email server host unspecified. Check eDirectory setup. . . .
或
13:39:47,264 ERROR [MailEngine] Notification email default -from- unspecified. Check eDirectory setup. com.novell.soa.notification.impl.NotificationException: Notification email default -from- unspecified. Check eDirectory setup. at . . .
根據預設,伺服器的會期逾時為 20 分鐘。您應該調整此值,以符合要執行應用程式的伺服器和使用環境。一般而言,會期逾時應儘可能小。如果企業需求可容許 5 分鐘的會期逾時,這可讓伺服器較預設值更快釋放出未使用的資源,並加快本身速度且更具擴充性。
較長的會期逾時可能會在許多使用者登入時造成 JBoss 伺服器記憶體用盡。這對任何有過多開啟會期的應用程式都成立。
使用者登入使用者應用程式時,會為使用者建立 LDAP 連線,並繫結至會期。因此,如果開啟更多會期,就會讓更多的 LDAP 連線保持開啟,而會期的逾時越長,這些連線保留開啟的時間也越長。對 LDAP 伺服器開啟過多的連線會造成系統效能降低,甚至連線閒置。
如果伺服器開始使用 OutOfMemoryErrors,且 JVM 堆積和記憶體回收微調參數已針對伺服器和使用環境最佳化,則您應考慮降低會期逾時。
會期逾時是在 web.xml 檔中設定的。
如果您在提供申請定義中啟用電子郵件通知,但您沒有設定任何電子郵件伺服器,則電子郵件通知會在伺服器上堆積,永遠不會寄出。最後會佔用所有可用的記憶體。
如果您開啟電子郵件通知,請確定有設定電子郵件伺服器,讓電子郵件會確實寄出。若要設定電子郵件伺服器,請在 iManager 中選取「」下的「」。
Windows GroupWise® Mail 與 Outlook* 用戶端具有從 HTML mailto: 命令顯示標題文字的已知問題。這個問題會在瀏覽器使用雙位元組字元集語言 (例如中文、日文或韓文) 時出現。
在這個情況下,當您從「詳細資訊」頁面傳送身份資訊,則「標題」行會有無效的字元,因為這些郵件用戶端未將雙位元組字元正確逸出。
您應確保輸入和輸出字元編碼符合由來源或目的地應用程式使用的那些編碼。任何在所選輸出中無法顯示的字元都會變成問號 (“?”)。
若您在當地語系化的作業系統環境中執行「使用者應用程式」組態工具 (進行 LDAP 組態設定),則可以正確顯示所有文字輸入方塊。例如,若 eDirectory 中有任何中文可辨識名稱,或您輸入任何中文字元,則這些可以在中文作業系統環境中正確顯示。然而,若您在英文作業系統中,則從 eDirectory 輸入或傳回的任何中文字元會顯示為無法讀取的字元 (最可能是方塊)。這是因為未正確設定「地區設定」。
若您在英文作業系統環境中,且希望顯示當地語系化的字元,則請執行以下作業:
- 在 Windows 2000 環境中,請至「控制台」並選擇「」。在「」標籤下,將「」設定為本地語言 (例如,中文 (PRC))。 (from translator: please confirm that it is correct setting for Traditional Chinese users)
- 在 Windows 2003 環境中,請至「控制台」並選擇「」。在「」標籤之下,選取「」並套用變更。
- 在 SUSE Linux 環境中,環境變數 LANG 設定為下:export LANG=zh_CN
相同的基本程序適用於所有語言。
「訊息」附屬入口網站應用程式未進行當地語系化。
在「 > 」中,「內容優先設定」對話方塊永遠以英文顯示以下內容:“Changes have been made to your Selected Content.Click OK to save your changes or cancel to continue without saving.” (您的「選取內容」已變更。按一下「確定」以儲存變更,或按一下「取消」繼續而不儲存)。
當 Identity Manager 傳送包含雙位元組語言 (例如中文或日文) 的電子郵件時,電子郵件用戶端在讀取郵件時會發生錯誤。若您碰到這個問題,請聯絡 Novell 技術支援。
下節列出 iManager 的錯誤、修正程式和解決方法。
Identity Manager 3.5.1 外掛程式使用 JClient.readReference ( ) API。 這個 API 在 iManager 2.7 中已更新。如果您執行的是 iManager 2.6,則 Novell 建議在 iManager 2.6 中將基礎 JClient 升級為與 iManager 2.7 中相同的版本。舊版的 JClient 會造成 iManager 毀損或無法工作。
在 iManager 中,特別是「規則建置程式」,Internet Explorer 7 會持續提示您存取剪貼簿。若要停用提示:
按一下「」>「」。
選取「」標籤,然後按一下「」。
尋找「」>「」,然後選取「」。
重新啟動 Internet Explorer 後提示就會停止。
若要透過 iManager 新增當地語系化電子郵件範本:
登入至 iManager。
在「角色和任務」下,展開「」或「」。
按一下 (密碼外掛程式下的)「」或 (「工作流程管理」下的)「」。
識別您要複製的電子範本 (名稱中不含任何地區設定)。寫下要在「步驟 5」中使用的範本名稱。 按一下範本標題以開啟範本,並檢視其訊息標題、內文和取代標籤。複製要在新範本中使用的訊息標題、內文 (待翻譯) 和取代標籤。按一下「」。
按一下「」並輸入範本名稱及地區設定延伸。例如,若要以德文建立「忘記提示」範本,請輸入名稱「Forgot Hint_de」,其中 _de 表示德文。按一下。
注意:如果您使用雙字母語言或雙字母國家代碼,這依然適用。如果您嘗試使用具有變數的地區設定,如 en_US_TX,則只會考量變數和語言。在本版本中的命名電子郵件範本時,請勿使用地區設定變數。
在範本清單中,按一下新建立的範本,如 Forgot Hint_de,並輸入翻譯的標題和訊息內文,例如以德文輸入。在訊息內文中,確定保留前後加上金錢 ($) 符號的取代標籤。
按一下「」輸入或貼上取代標籤,再按一下「」。
按一下「」,然後按一下「」。
如果電子郵件的收件者已設定慣用地點,則電子郵件範本只會傳送適當的當地語系化內容。
這個問題可藉由升級到 NMAS™ 2.3.9 修復。
若您想要使用 NDS-to-NDS 驅動程式證書精靈,您必須下載並安裝 iManager 外掛程式才能取得「證書伺服器」。
使用 Identity Manager 3.5 外掛程式和 Mobile iManager 2.6 時,當您選擇「」時 iManager 會無預警結束。這個問題的發生原因為內嵌式 Mozilla 瀏覽器的 Javascript* 處理常式發生錯誤 (使用 Linux 上的 Mobile iManager 傳送)。
若要解決這個問題:
啟動 Mobile iManager 並將其最小化。
開啟慣用的瀏覽器,然後在以下地址存取 iManager:http:\\localhost:48080\nps\iManager.html。
確定在分隔符號文字驅動程式中設定的輸入和輸出字元編碼方式符合來源應用程式或目標應用程式使用的編碼方式。不符合會造成 Identity Vault 或應用程式中發生錯誤或資料毀損。任何在所選輸出中無法顯示的字元都會變成問號 (?)。
下節說明與密碼管理有關的錯誤、修正程式和解決措施。
使用者應用程式在下列狀況中,會移除使用者物件「限制寬限登入」設定中的值:
您建立了密碼規則,但未設定密碼規則的「密碼生命期間」設定。
您透過設定使用者物件的「限制寬限登入」來修改該規則的密碼,以讓其密碼過期。
該使用者透過「使用者應用程式」登入。「使用者應用程式」會忽略使用者的「限制寬限登入」設定,然後將寬限登入從使用者物件中移除。
如果密碼管理 JSF 入口網站應用程式在叢集的環境中執行,且執行入口網站應用程式的伺服器故障,則使用者會自動切換至另一台伺服器。入口網站應用程式會對使用者顯示,但沒有原始伺服器上的入口網站應用程式作業是否成功或失敗的訊息。使用者可進行測試,以了解在伺服器故障或重新執行入口網站應用程式之前作業是否已成功。 受影響的密碼管理入口網站應用程式是:
密碼處理安全回應
密碼提示變更
變更密碼
Identity Manager 3.5 包含的「使用者應用程式」支援使用多語言處理安全集的全部功能。您可以透過 iManager 設定此功能與設定密碼規則。
若您使用 Novell Client™ 4.9.1 或更舊版本,或 Novell eDirectory 的密碼管理,則不支援此多語言功能。若您已在多個語言中定義處理安全集,則不應將密碼規則指派給使用者。例如,您可以定義法文的處理安全集,但不能同時定義法文與德文。
使用者在進行下列動作時可能會碰到「處理安全回應失敗」錯誤:
在「忘記密碼」頁面中輸入使用者名稱。
請不要回答處理安全問題。
按一下瀏覽器的「」按鈕,並在「忘記密碼」頁面上輸入不同的使用者名稱。
若要解決這個問題,使用者應存取以下 URL 來重新啟動「忘記密碼」程序:
http://<servername>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf
2007 年 4 月 9 日之前的 Identity Manager 3.5 下載有安全性問題。在某些狀況中,iManager 外掛程式會對管理使用者顯示隱藏屬性的值。iManager 外掛程式已經修復,因此不允許顯示已由 Identity Manager 驅動程式同步化的隱藏屬性。因為驅動程式通常會同步化機密資訊,所以應限制這些驅動程式的管理權限以防止未授權存取。
原始受影響媒體的 CRC 為:
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
您可以從 Novell 下載網站取得最新的修補程式。
本節說明 Identity Manager 3.5.1 文件的變更,包括更正和其他產品資訊。
請注意下列對《Identity Manager 3.5.1 安裝指南》,第 5 章〈安裝使用者應用程式〉中「使用者應用程式」組態參數所有「進階選項」表的變更:
替代《Identity Manager 3.5.1 安裝指南》5.6.12 節的下列內容:
將「使用者應用程式」安裝目錄中的 sys-configuration-xmldata.xml 檔案,複製到代管 WebSphere 伺服器的機器上的目錄,例如 /UserAppConfigFiles。「使用者應用程式」安裝目錄是您安裝「使用者應用程式」所在的目錄。
將路徑設定到 JVM 系統內容中的 sys-configuration-xmldata.xml 檔案。 以 admin 使用者身分登入 WebSphere 管理主控台。
從左面板中,移至「」
在伺服器清單中的伺服器名稱上按一下,例如 server1。
在右面板的設定清單中,移至「」中的「」。
展開連結,選取「」。
在「」清單下,選取「」。
選取 JVM 頁面「」標題下的「」。
按一下「」以新增新的 JVM 自訂內容。
為「」輸入 extend.local.config.dir。
為「」輸入您在安裝期間指定的安裝資料夾 (目錄) 名稱。(安裝程式將 sys-configuration-xmldata.xml 檔寫入此資料夾中)。
為「」輸入內容的描述,例如「到 sys-configuration-xmldata.xml 的路徑」。
按一下來儲存變更。
按一下「」以新增另一個新 JVM 自訂內容。
為「」輸入 idmuserapp.logging.config.dir。
為「」輸入您在安裝期間指定的安裝資料夾 (目錄) 名稱。
為「」輸入內容的描述,例如「到 idmuserapp_logging.xml 的路徑」。
按一下來儲存變更。
注意:idmuserapp-logging.xml 檔並不存在,除非您透過「」持續變更。
在本文件中,大於符號 (>) 是用來分隔步驟中的動作,以及交互參照路徑中的項目。
商標符號 (®、™ 等) 代表 Novell® 的商標;星號 (*) 代表協力廠商的商標。
Novell, Inc. 對本文件的內容與使用不做任何陳述或保證,對本產品在任何特定用途的適銷性與適用性上,亦不做任何明示或默示的保證。此外,Novell, Inc. 保留隨時修改本出版品及其內容的權利,進行此類修正或更動時,亦毋需另行通知任何人士或公司組織。
此外,Novell, Inc. 對軟體不做任何陳述或保證,對本產品在任何特定用途的適銷性與適用性上,亦不做任何明示或默示的保證。此外,Novell, Inc. 保留隨時修改任何或全部 Novell 軟體的權利,進行此類更動時,亦毋需通知任何人士或公司。
此合約下提到的任何產品或技術資訊可能受美國出口管制法與其他國家/地區的貿易法的限制。您同意遵守所有出口管制法規,並取得出口、再出口或進口交付物品所需之任何必要的授權或類別。您同意不出口或再出口至目前美國出口排除清單上所列之實體,或是任何美國出口法所指定之禁運或恐怖主義國家。您同意不將交付產品用在禁止的核武、飛彈或生化武器等用途上。請參閱 Novell 國際貿易服務網頁,以取得有關出口 Novell 軟體的詳細資訊。Novell 無需承擔您無法取得任何必要的出口核准之責任。
Copyright © 2007 Novell, Inc. 版權所有。未獲得出版者署名的書面同意下,不得對本出版品之任何部分進行重製、複印、儲存於可取回系統或傳輸的動作。
本文件所述產品所使用技術的智慧財產權屬於 Novell, Inc. 所有。特別¯ (但不限於) 這些智慧財產權可能包含 Novell 法律專利網頁中所列的一或多項美國專利,以及在美國與其他國家/地區的一或多項其他專利或申請中的專利。
如需 Novell 商標之相關資訊,請參閱 Novell 商標和服務標誌清單。
所有的協力廠商商標均為其各別擁有廠商的財產。