18. Januar 2008
In diesem Dokument werden die bekannten Probleme des funktionsbasierten Bereitstellungsmoduls für Identity Manager, Version 3.6, beschrieben. Informationen zu Problemen, die möglicherweise die Benutzeranwendung betreffen, jedoch nicht mit dem Funktionssubsystem zusammenhängen, finden Sie in der Readme-Datei zu Identity Manager 3.5.1. Unter Abschnitt 7.0, In IDM 3.6 behobene Fehler finden Sie eine Liste der IDM 3.5.1-Probleme, die im funktionsbasierten Bereitstellungsmodul Version 3.6 behoben sind.
Die Dokumentation wird regelmäßig aktualisiert. Korrekturen und Verbesserungen werden bei Bedarf durchgeführt. Aktualisierungen werden auf der Produktdokumentations-Website für Novell Identity Manager 3.6 bereitgestellt.
In den folgenden Abschnitten werden mit der Dokumentation zusammenhängende Probleme beschrieben.
Tabelle 1-1 mit den Systemanforderungen gibt fälschlicherweise Metadirectory 3.5 als unterstützte Systemkomponente an. Sie müssen Metadirectory 3.5.1 verwenden. Die Verwendung von Metadirectory 3.5 ist nicht möglich.
In Abschnitt 2.6, „Sicherheitsvoraussetzungen“, wird die Funktion „Gleichzeitige Abmeldung“ aufgeführt. Hierbei handelt es sich um eine Funktion, nicht um eine Voraussetzung.
Wenn Sie NetWare verwenden, müssen Sie die Datei nrf-extensions.sch umbenennen, bevor Sie das nwconfig-Dienstprogramm verwenden. Das nwconfig-Dienstprogramm unterstützt nur 8.3-Dateinamen, daher kann es die Datei nrf-extensions.sch nicht mit dem Standardnamen verwenden. Benennen Sie nrf-extensions.sch in ein unterstütztes Namensformat um, z. B. nrfext.sch.
Der für NetWare angegebene Pfad ist falsch. Der korrekte Pfad lautet:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Der für NetWare angegebene Pfad ist falsch. Der korrekte Pfad lautet:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
In den folgenden Abschnitten werden bekannte Probleme mit der Registerkarte „Funktionen“ der Benutzeranwendung beschrieben.
Die Objektauswahl, die Sie zum Suchen oder Filtern einer Suche verwenden, fügt immer einen Platzhalter (*) am Ende der Suchkriterien ein.
Bei der Funktionssuche wird in der Objektauswahl die Groß- und Kleinschreibung berücksichtigt.
Beim Filtern von Funktionsnamen wird auf folgenden Seiten NICHT zwischen Groß- und Kleinschreibung unterschieden:
Meine Funktionen
Funktionszuweisungen
Anforderungsstatus anzeigen
Funktionskatalog durchsuchen
Funktionsbeziehungen verwalten
Der Funktionsname und der Name der Funktionstrennungsbeschränkung können nur die folgenden Zeichen enthalten:
Alphanumerische Zeichen.
Einen - (Bindestrich) oder _ (Unterstrich) in der Zeichenkette (jedoch nicht am Anfang oder am Ende der Zeichenkette).
Folgende Zeichen dürfen NICHT verwendet werden, da sie zu Fehlern führen:
! # % & , " ' ; \ / +
Für den Anzeigenamen gilt bei dessen ursprünglicher Erstellung die gleiche Beschränkung auf den genannten Zeichensatz. Nach dem ersten Speichern der Funktion oder der Funktionstrennungsbeschränkung können Sie den Anzeigenamen ändern und dabei andere Zeichen verwenden.
Wenn der Funktionsname nicht unterstützte Zeichen enthält, tritt ein Fehler auf, wenn Benutzer versuchen, mit dieser Funktion eine Aktion durchzuführen. Der Fehler lautet:
796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped.
Wenn Sie einer OU eine Funktion zuweisen, jedoch keiner der Benutzer in dieser OU mit einer Bereitstellung für diese Funktion ausgestattet ist, müssen Sie im Fehlerprotokoll des Funktionsservice-Treibers nach einem entsprechenden Fehler suchen. Die Benutzeroberfläche der Benutzeranwendung gibt diese Art von Fehler nicht an. Es zeigt sich aber, dass die Funktion auf der Seite „Anforderung anzeigen“ bereitgestellt wurde.
Wenn Sie Funktionszuweisungen über „Meine Funktionen“ oder „Funktionszuweisungen (nach Benutzer)“ anzeigen, werden nicht alle Container oder Gruppen für die Funktion angezeigt. Es wird nur einer bzw. eine angezeigt. Wenn sich beispielsweise die Funktion „TestRole“ in zwei Containern befindet, zeigt die Benutzerschnittstelle die Funktion nur in einem Container an.
Die Benutzeranwendung prüft, ob Beschränkungsausnahmen für Funktionstrennungen vorhanden sind, wenn ein Benutzer eine Funktionszuweisung anfordert, nicht aber, wenn eine Funktionszuweisung in Kraft tritt. Es ist daher möglich, dass es einen Funktionskonflikt gibt, jedoch keine entsprechende Benachrichtigung oder Genehmigung erfolgt. Angenommen, es besteht ein Konflikt zwischen den Funktionen „Krankenschwester“ und „Apotheker“. Sie können Benutzer A die Funktion „Krankenschwester“ zuweisen und den Tag des Inkrafttretens auf zwei Wochen später festlegen. In der Zwischenzeit können Sie dem Benutzer A die Funktion „Apotheker“ zuweisen und diese Funktion sofort aktivieren. Sie werden von diesem Konflikt nicht unterrichtet, da die Ausnahme zum Zeitpunkt der Anforderung geprüft wird. In obigem Beispiel besteht für den Benutzer bei der Anforderung jedoch kein Funktionskonflikt.
Die Seite „Funktionszuweisungen“ zeigt keine Zuweisungen mit dem Status „Ausstehende Aktivierung“ an. Zuweisungen, die in Zukunft aktiviert werden, werden auf der Seite „Anforderungsstatus anzeigen“ angezeigt.
Wenn das aktuelle Datum des Benutzeranwendungs-Servers nicht mit dem aktuellen Datum des eDirectory-Servers übereinstimmt, werden auf den verschiedenen Seiten der Registerkarte „Funktionen“ möglicherweise unterschiedliche Datumsangaben angezeigt. Wenn zum Beispiel das aktuelle Datum des Benutzeranwendungs-Servers „5. Dez.“ lautet, das Datum des eDirectory-Servers jedoch der 26. Dez. ist, werden auf den Seiten „Meine Funktionen“ und „Funktionszuweisungen“ die Tage des Inkrafttretens auf der Basis des eDirectory-Server-Datums angezeigt. Auf der Seite „Anforderungsstatus anzeigen“ werden die Tage des Inkrafttretens und das Anforderungsdatum jedoch auf der Basis des Benutzeranwendungs-Server-Datums angezeigt.
Wenn der Tag des Inkrafttretens nicht angegeben wurde, verwendet die Seite „Funktionszuweisungen“ die Systemzeit des eDirectory-Servers, auf der Seite „Anforderungsstatus anzeigen“ wird der Tag des Inkrafttretens jedoch anhand der Systemzeit des Benutzeranwendungs-Servers bemessen. Diese Diskrepanz besteht in einer Produktionsumgebung vermutlich nicht, da dort Zeitsynchronisierungsmethoden zur Behebung dieser Probleme eingesetzt werden können.
Darüber hinaus werden die Zuweisungs- und Zuweisungsanforderungsdaten in verschiedenen Objekten verwaltet. Ein Objekt enthält das Datum, zu dem der Benutzer die Anforderung gestellt hat, das andere Objekt enthält den Status der Funktionszuweisung. Wenn der Benutzer keinen Tag des Inkrafttretens angibt (was bedeutet, dass die Funktionszuweisung sofort wirksam werden soll), ist das auf der Seite „Anforderungsstatus anzeigen“ angegebene Datum das Datum, zu dem die Anforderung an den Anwendungsserver gesendet wurde. Dieses Datum entspricht nicht dem Datum auf der Seite „Funktionszuweisungen“, welches auf dem Zeitpunkt basiert, zu dem die Funktionszuweisung tatsächlich verarbeitet wurde.
Auf der Seite „Funktionen verwalten“ kann der Funktionsmanager alle Funktionscontainer sehen, kann jedoch nur neue Funktionen erstellen und vorhandene Funktionen bearbeiten, für die er über die Berechtigung zum Durchsuchen verfügt.
In den folgenden Abschnitten werden mit Funktionsberichten zusammenhängende bekannte Probleme beschrieben.
Zum Anzeigen von Berichten muss das Adobe Reader-Plugin für Ihren Browser installiert sein. Wenn das Plugin nicht installiert ist, werden die Berichte nicht angezeigt.
Wenn ein PDF-Bericht chinesischen, japanischen oder russischen Inhalt enthält, müssen Sie das von Ihnen bevorzugte Gebietsschema auf die entsprechende Sprache einstellen. Wenn die PDF eine Mischung aus diesen Sprachen enthält, müssen Sie das von Ihnen bevorzugte Gebietsschema auf eine dieser Sprachen einstellen. Anderenfalls können Sie den Bericht nicht korrekt anzeigen.
Es gibt ein bekanntes Sun JDKProblem mit NullPointerExceptions, die beim gleichzeitigen Ausführen mehrerer Berichte auftreten. Wenn eine NullPointerException auftritt, müssen Sie den Bericht gegebenenfalls erneut ausführen. Weitere Informationen finden Sie im Fehlerbericht von Sun.
Das Generieren von Berichten ist ein Arbeitsspeicher-intensiver Vorgang. Nachfolgend sind einige hilfreiche Schritte aufgeführt, um die bestmögliche Leistung während der Berichterstellung zu gewährleisten:
Konfigurieren Sie eine große Java Heap Size für den Anwendungsserver.
Vermeiden Sie, eine große Anzahl an Berichten gleichzeitig zu generieren.
Generieren Sie Berichte nach Möglichkeit zu einem Zeitpunkt, wenn der Server wenig ausgelastet ist, um die Auswirkungen auf die aktiven Benutzer zu minimieren.
Bestimmen Sie in einem Cluster einen Anwendungsserver für die Berichterstellung, um die Auswirkungen auf die aktiven Benutzer zu minimieren.
In den folgenden Abschnitten werden mit der Lokalisierung zusammenhängende bekannte Probleme beschrieben.
Der SessionWarning-Text wird bei vereinfachtem Chinesisch nicht angezeigt. Nach der Zeitüberschreitung wird der Benutzer zur Seite „Sitzungszeitüberschreitung“ umgeleitet und kann sich erneut erfolgreich anmelden. Jedoch wird bei jeder Seite, die der Benutzer aufruft, ein JavaScript-Fehler beim Laden der Seite angezeigt.
Wenn Sie die Benutzeranwendung mit einem der chinesischen Gebietsschemata ausführen, können Sie Designer nicht zum Definieren lokalisierter Namen oder Beschreibungen für Funktionen oder Funktionstrennungsbeschränkungen verwenden. Diese werden zwar in Designer korrekt angezeigt, nicht aber, nachdem sie bereitgestellt wurden. Sie können zur Umgehung dieses Problems die Namen und Beschreibungen auf der Registerkarte „Funktionen“ der Benutzeranwendung lokalisieren.
Die mit dem Produkt mitgelieferten Systemfunktionen werden auf chinesischen Systemen standardmäßig nicht korrekt dargestellt. Sie erscheinen in Englisch. Ändern Sie die Namen und Beschreibungen auf der Registerkarte „Funktionen“ der Benutzeranwendung in die entsprechende Sprache.
In den folgenden Abschnitten werden bekannte Probleme in Verbindung mit iManager beschrieben.
Sie können in iManager nicht mit den funktionsbasierten Bereitstellungsanforderungsdefinitionen arbeiten. Wenn Sie versuchen, eine Definition zu öffnen, wird folgender Fehler angezeigt.
The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.
Verwenden Sie nicht den Treiber-Inspector von iManager (über den Identity Manager-Link in der linken Navigationsleiste verfügbar), da sonst möglicherweise der eDirectory-Server abstürzt. Wenn Sie ihn verwenden, wird die Meldung „Verknüpfungen werden gelesen“ angezeigt, gefolgt von einer Fehlermeldung, die etwa wie folgt lautet:
The following SPI error has occurred...(-621)...
Wenn Sie den eDirectory-Server neu starten, wird die Meldung angezeigt, dass eDirectory nicht ordnungsgemäß heruntergefahren wurde.
In den folgenden Abschnitten werden mit der Integration zusammenhängende bekannte Probleme beschrieben.
Die JBoss- und WebSphere-Container handhaben JSF-Seiten unterschiedlich. Dies bedeutet, dass die FormFill-Richtlinie von Access Manager die Formular-ID statt des Formularnamens verwenden muss.
Wenn Sie Novell Security Services 2.0.5 (inklusive NMAS 3.2.0.2) verwenden und die Umgebungsvariable NDSD_TRY_NMASLOGIN_FIRST=true haben, können Sie den Funktionsservice-Treiber nicht starten. Beim Versuch, den Treiber zu starten, wird folgender NMAS-Fehler angezeigt:
locallogin -799 ERR_CANNOT_GO_REMOTE
Setzen Sie zur Umgehung dieses Problems die Umgebungsvariable NDSD_TRY_NMASLOGIN_FIRST auf „false“ oder besorgen Sie das erforderliche NMAS-Patch.
Unter NetWare ist die Umgebungsvariable NDSD_TRY_NMASLOGIN_FIRST standardmäßig auf „true“ gesetzt. Auf anderen Plattformen ist sie standardmäßig auf „false“ gesetzt.
Dieser Abschnitt umfasst die Liste der in der Readme-Datei zur IDM 3.5 Benutzeranwendung beschriebenen Probleme, die im funktionsbasierten Bereitstellungsmodul von IDM 3.6 behoben wurden.
4.4 GUI-Installation unter Solaris 9 und 10 schlägt bei Verwendung von eDirectory 8.8.1 fehl.
4.5 Configupdate-Skript schlägt fehl, wenn Dateien zur WAR-Datei hinzugefügt werden.
4.8 Gleichzeitiges Abmelden von der Benutzeranwendung und Access Manager
6.9 SSL-Konfigurationsparameter einstellen
6.12 Benutzeranwendungstreiber erfordert Aktivierung
6.15 Vertrauliche Daten in einer Benutzersitzung werden nicht verschlüsselt
6.18 Ein Workflow wird nicht von einem eDirectory-Ereignis ausgelöst
6.23 Service-config.xml-Dateien enthalten veraltete Versionsnummern
6.25 Starten von Workflows mit dem SOAP-Web-Service kann manchmal zu Fehlern führen.
6.30 Bei der Installation auf einem Cluster wird die Workflow-Engine-ID nicht abgefragt.
In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.
Ein Markensymbol (®, ™ etc.) kennzeichnet eine eine Novell®-Marke. Ein Sternchen (*) kennzeichnet eine Drittanbieter-Marke.
Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.
Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.
Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Weitere Informationen zum Export von Novell-Software finden Sie auf der Webseite Novell International Trade Services. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.
Copyright © 2008, Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Ausstellers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.
Novell, Inc., besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Diese Rechte auf geistiges Eigentum umfassen möglicherweise insbesondere ein oder mehrere Patente in den USA, die auf der Novell-Webseite Novell Legal Patents aufgeführt sind, sowie ein oder mehrere andere Patente oder laufende Patentanträge in den USA und in anderen Ländern
Novell-Marken finden Sie in der Liste der Novell-Marken.
Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.