3 de agosto de 2006
Las siguientes fuentes proporcionan información acerca del Gestor de identidades de Novell®:
La información de este libro reemplaza a la información de la Identity Manager Administration Guide(Guía de administración del Gestor de identidades), específicamente:
En esta documentación, el símbolo mayor que (>) se utiliza para separar las acciones que componen un mismo paso y los elementos de una vía de referencias cruzadas.
Un símbolo de marca comercial (®, ™, etc.) indica una marca comercial de Novell; un asterisco (*) indica una marca comercial de otros fabricantes.
Si desea obtener una lista de los defectos de fábrica incluidos en el Gestor de identidades, consulte TID 3351724
Requisitos del sistema para el Gestor de identidades 3.0.1:
Tabla 1Requisitos del sistema para el Gestor de identidades 3.0.1
A partir de eDirectory 8.7.3 SP8, las actualizaciones de seguridad de NMAS™ no se incluyen con la revisión de eDirectory. Es necesario descargar NMAS de forma separada desde el sitio Web de descargas de Novell.
Si se utiliza eDirectory 8.7.3 SP8 o posterior y se actualiza a Gestor de identidades 3.0.1, la respuesta de verificación y otras funciones de contraseña no funcionan sin la última actualización de NMAS.
Además de utilizar eDirectory 8.7.3 SP8 o posterior, puede realizar los siguientes cambios en el sistema eDirectory para evitar la degradación del tiempo de respuesta de entrada de sesión (cosa que sucede en entornos de carga consecuente durante períodos prolongados):
Siga las sugerencias siguientes para actualizar la aplicación de usuario del Gestor de identidades 3.0 a la aplicación de usuario del Gestor de identidades 3.0.1:
Antes de empezar:
Instale la aplicación de usuario de IDM 3.0.1 mediante la instalación personalizada con las opciones
y seleccionadas.Vacíe el directorio jboss/server/<Nombre de la aplicación>/work antes de iniciar el servidor JBoss. Consulte el apartado 6.5 del archivo Readme para obtener más información sobre temas relativos a la actualización asociados con las peticiones de recursos en curso.
Durante la instalación del Gestor de identidades 3.0.1 en SLES 10 puede encontrarse con los siguientes errores:
awk: error while loading shared libraries: libdl.so.2: cannot open shared object file: No such file or directory
grep: error while loading shared libraries: libc.so.6: cannot open shared object file: No such file or directory
Novell proporciona un guión para solucionar este problema. El guión está instalado en el mismo nivel que el archivo IdmUserApp.bin y se denomina SLES10-install.sh. El guión toma el nombre del archivo binario de instalación como argumento:
sh SLES10-install.sh binario de instalación
Por ejemplo, si ha desempaquetado la distribución ISO en /tmp/IDM301, ejecute el comando siguiente en la línea de comandos:
$ cd /tmp/IDM301
$ sh SLES10-install.sh IdmUserApp.bin
El guión comenta la configuración de una variable de entorno en el archivo IdmUserApp.bin . Esta variable de entorno puede provocar el error anterior en SLES 10. Después de haber realizado la modificación, el guión inicia la instalación normalmente.
En la aplicación de usuario del Gestor de identidades, bajo la pestaña
la edición de atributos de grupo para eliminar o añadir grupos se debe realizar por separado. Si quita y añade grupos en un mismo proceso, el nombre del grupo eliminado vuelve a aparecer al hacer clic en el botón + (añadir).El enlace a la asistencia técnica en el portlet de marcador no funciona. La URL del sitio Web de asistencia técnica de Novell es http://www.novell.com/support.
En la petición de recursos del equipo de la aplicación de usuario del Gestor de identidades, el destinatario conserva el valor anterior después de utilizar los botones
o . Para borrar el estado actual de modo que pueda visualizar el nuevo valor, vuelva al menú de acciones situado en la parte izquierda de la pestaña y haga clic enEn la aplicación de usuario, si entra como Usuario A mediante un navegador de la familia Mozilla (Firefox, Netscape o Mozilla) y, a continuación, abre otra instancia de navegador (del mismo tipo) y entra como Usuario B, es posible que vea la información para el Usuario B cuando vuelva a la primera instancia del navegador. Esto se debe a que las instancias de navegador están compartiendo (y sobrescribiendo) la misma cookie. Este comportamiento es específico de los navegadores de la familia Mozilla y no ocurre con Internet Explorer.
Es posible que en Firefox se produzcan excepciones en las operaciones de Cortar, Pegar y Copiar cuando se utiliza el editor HTML con las preferencias del organigrama corporativo. Mozilla no permite el acceso de los guiones al portapapeles por motivos de seguridad. Por lo tanto, los botones
, y no están disponibles en Firefox.Para activar la función de cortar, copiar y pegar, siga el procedimiento siguiente:
En Firefox, descargue una extensión denominada Allow Clipboard Helper a través de sitio Web de descarga de extensiones
> , que le conducirá alUna vez finalizada la descarga, verá
> .Ábralo, introduzca la dirección del servidor en el que desea permitir el acceso al portapapeles y, a continuación, haga clic en
.Puede añadir tantos sitios Web como desee. Cierre el navegador Firefox completamente y reinícielo; la función de cortar, copiar y pegar deberá estar activada.
Al entrar en una aplicación de usuario IDM, encontrará un enlace en el menú izquierdo para crear un usuario. Para ello, es necesario disponer de los derechos de eDirectory necesarios para añadir entradas al directorio. Puesto que la aplicación de usuario IDM ya cuenta con usuarios eDirectory, éstos ya tienen los derechos necesarios.
Para otorgar derechos de eDirectory a nuevos usuarios:
En iManager, haga clic en
.Examine hasta el objeto que incluya el contenedor de usuario (por ejemplo, MiEjemplo.novell.) y haga clic en
.Añada un trustee (por ejemplo, MiEjemplo.novell) y cambie los derechos asignados.
Bajo [Derechos de entrada], seleccione
. Deje el resto de campos con los valores por defecto y, a continuación, haga clic en .Ahora todos los usuarios del contenedor users.MiEjemplo.novell pueden crear usuarios o grupos dentro de la entidad MiEjemplo.
En la aplicación de usuario, actualmente no es posible pedir un recurso para una lista de usuarios. Es posible que la página de petición de recursos del equipo incluya texto que indique que sí se puede realizar. El texto dice “Seleccionar un usuario (o usuarios, si el recurso seleccionado está marcado como "Varios destinatarios permitidos") del que se está solicitando un recurso.”. Sin embargo, en esta versión dicha función no está disponible.
Al utilizar el portlet GroupWise® WebAccess e intentar acceder al servidor GroupWise 7.0, recibirá un mensaje de error de página al hacer clic en la pestaña
si está utilizando Internet Explorer 6.0 x. En Firefox no se producen errores. Este error se ha solucionado en GroupWise 7.0.1.Las ubicaciones de las imágenes de fondo que especifica para los temas (tanto manualmente como al ejecutar una función del navegador) desaparecen justo después de haberlas introducido.
Para reproducirlas:
Vaya a
> > (de cualquier tema).Navegue hasta un archivo que quiera utilizar como ubicación de imagen de fondo o bien, escriba el nombre para especificar el archivo.
Seleccione un archivo JPG.
El archivo parpadeará y desaparecerá de la pantalla. El nuevo tema se guardará, pero el campo permanece vacío.
En Novell Linux Desktop (NLD), es posible que encuentre un pequeño problema estético cuando visualice el organigrama corporativo por primera vez. La primera vez que busque un usuario, es posible que el icono del nodo raíz izquierdo aparezca en centro de la pantalla, sin estar alineada con el usuario. La siguiente vez, el icono aparecerá correctamente colocado.
La aplicación de usuario requiere la activación de las cookies en los ajustes del navegador.
La aplicación de usuario admite los mismos caracteres que iManager. Para obtener más información acerca del uso de la tecla de escape con los caracteres especiales, consulte la documentación de iManager en sobre caracteres especiales.
Cuando el usuario entra a la sesión de la aplicación de usuario, carga el portlet o la página de entrada desde la opción Favoritos o Historial e intenta entrar a la sesión de nuevo, la nueva entrada no configura correctamente la nueva sesión del portal. Esto puede provocar un fallo en la segunda entrada a la sesión.
Los administradores ahora pueden configurar la caducidad de la contraseña inicial para los nuevos usuarios. Para ello, edite las preferencias de creación del portlet tal como se indica en la Aplicación de usuario del Gestor de identidades: Guía de administración.
Especifique una preferencia para la opción
.La configuración por defecto para la retención de información del flujo de trabajo completada es de 120 días. Sin embargo, puede utilizar la interfaz de SOAP en el motor de flujo de trabajo para cambiar este ajuste. Para acceder a la interfaz de SOAP para el motor de flujo de trabajo, escriba la siguiente URL en el navegador:
http://server:host/IDMProv/provisioning/service?test
Cuando aparezca la página que indica todos los métodos de motor de flujo de trabajo que se pueden invocar, seleccione el método setCompletedProcessTimeout. El parámetro que se pase a este método cambiará el periodo de retención. El valor debe especificarse en milisegundos.
Tenga en cuenta la siguiente corrección en la definición de la página de salida de ICS en la Identity Manager 3.0 Installation Guide(Guía instalación del Gestor de identidades 3.0) en la sección 5.4 “Installing the User Application” (Instalación de la aplicación de usuario).
El apartado “The URL to the iChain® logout page” (URL de la página de salida de iChain®) debe ser “The URL to the iChain logout page, where the URL is a hostname that iChain expects” (La URL de la página de salida de iChain®, donde la URL es un nombre de host que iChain espera.
Además, tenga en cuenta que para permitir la salida de ICS en la aplicación de usuario del Gestor de identidades, deberá activar la opción Cookie Forward (Remitir Cookie) en iChain, tal como se indica a continuación:
En la consola de gestión Web de iChain, haga clic en
(Modificar) en el acelerador en cuestión.En la ventana del acelerador del servidor Web, haga clic en
. Se abrirá la ventana Add Authentication Profiles (Añadir perfiles de autenticación).Seleccione configupdate.sh.
(Remitir Cookie iChain al servidor Web) y, a continuación, haga clic en . La presencia de la cookie en el encabezado indica al Gestor de identidades que redireccione con la URL que hay enUna comilla simple en el nombre común (CN) del flujo de trabajo impide que el evento eDirectory active dicho flujo de trabajo. Procure no utilizar una comilla simple en el nombre de un flujo de trabajo.
Es posible que las tareas sin finalizar no se visualicen después de actualizar el Gestor de identidades 3.0.0 al Gestor de identidades 3.0.1. Para solucionar el problema, realice los pasos siguientes antes de instalar IDM 3.0.1:
Detenga el servidor de aplicación Jboss y elimine el directorio jboss/server/IDMProv/work.
Si ya ha instalado el Gestor de identidades 3.0.1, detenga el servidor Jboss y elimine el directorio jboss/server/IDMProv/work.
El servidor Jboss no debe encontrarse en ejecución mientras se eliminen las carpetas de trabajo.
En la Aplicación de usuario del Gestor de identidades: Guía de administración falta la siguiente información para ayudar a coordinar las contraseñas de la aplicación de usuario del Gestor de identidades con las directivas de contraseña de iManager
En las secciones 19.3.1 y 19.7.1, añada la siguiente información que describe los requisitos de la contraseña universal: “Si la contraseña universal está habilitada, abra iManager y vaya a
> > > Asegúrese de que las siguientes opciones están seleccionadas: “ )”.En la sección 16.2, añada la siguiente información que describe la propiedad Contenedor para crear: “Si utiliza el portlet Crear para crear usuarios y desea asignarlos a una directiva de contraseñas iManager, asigne también el contenedor específico a la misma directiva de contraseñas iManager. De este modo se asegura que los usuarios creados en la aplicación de usuario se asignan automáticamente a la directiva de contraseñas iManager predeterminada.”
Si la contraseña de la cuenta con la que realiza la instalación del Gestor de identidades contiene caracteres especiales, es posible que se produzca un fallo en la ampliación del esquema. Deberá realizar la instalación con otra cuenta o cambiar la contraseña.
En el servidor de la aplicación de usuario (servidor JBoss), cuando utilice la página de entrada a la aplicación de usuario, si hace clic en el enlace
e introduce el nombre de usuario, es posible que aparezca el siguiente mensaje de error en la consola Jboss y que no redirija:08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
El error resulta de la preferencia ldap-sslport en el portlet de contraseña olvidada mediante el puerto 636 TLS (ldaps) estándar por defecto en vez del puerto configurado para la conexión segura del servidor LDAP. Es posible que el administrador de eDirectory haya modificado el puerto LDAP seguro por defecto en la instancia de eDirectory a un puerto no estándar. Es común que los administradores de eDirectory cambien los puertos LDAP cuando se ejecuta eDirectory en el mismo hardware físico como otro sistema LDAP activo, por ejemplo, Active Directory*.
Si la configuración segura LDAP (TLS) utiliza un puerto diferente al 636, cambie la preferencia ldap-sslport en el portlet de contraseña olvidada al puerto configurado para la conexión segura del servidor LDAP como sigue:
Abra la aplicación de usuario
Abra
> > >Instancia del portlet de contraseña olvidada> .Cambie el valor de ldap-sslport del puerto 636 por defecto al puerto configurado para la conexión segura del servidor LDAP.
En flujo de trabajo de provisión que utiliza un proceso paralelo, el destinatario de una actividad de aprobación no debe referirse al destinatario de otra actividad de aprobación en el flujo. Esto se debe a que el motor del flujo de trabajo no puede saber el paso que se ejecutará en primer lugar, puesto que las actividades se han procesado de forma paralela. Además, el módulo auxiliar de iManager para la configuración de la petición de provisión no es capaz de determinar el destinatario que debe permitirse en cada momento. Para restringir la lista de posibles destinatarios, el módulo auxiliar necesitaría analizar el flujo para obtener la lista de las actividades de conexión al servidor que ya se han completado. En este momento, el módulo auxiliar no admite esta función.
Por defecto, el directorio JBoss permite la examinación. Por tanto, si escribe la URL http://server:8080/IDMProv/resources/, se mostrara la lista de recursos de esta URL.
Si desea desactivar la examinación del directorio, vaya a jboss-4.0.2\server\Contexto de la aplicación IDM\deploy\jbossweb-tomcat55.sar\conf, y edite las entradas de la lista en el archivo web.xml:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Para suprimir la visualización de los recursos, cambie el valor de la lista de true a false.
Es posible que distintos subsistemas dentro de la aplicación de usuario contengas números de versión obsoletos. No es necesario que modifique estos archivos para corregir las versiones.
Por ejemplo, IDMfw.jar contiene el archivo FrameworkService-conf\config.xml que tiene la siguiente entrada para el número de versión:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
En el módulo auxiliar de la configuración de la petición de provisión de iManager, puede definir una directiva de traspaso que redirija una actividad de flujo de trabajo al supervisor del destinatario original.
Si el destinatario original es un grupo de tareas que tiene más de un supervisor, el traspaso se interrumpe. El módulo auxiliar de configuración de la petición de provisión no impide la definición del tipo de traspaso, por tanto, asegúrese de evitarlo.
En Linux, el límite de apertura por defecto no es suficiente para admitir un gran número de peticiones iniciadas a través de SOAP Web Service. Es posible que el controlador de la aplicación de usuario alcance el límite cuando utilice los puntos finales del servicio Web para iniciar flujos de trabajo como respuesta a eventos del directorio.
Linux tiene un límite de apertura de archivos por defecto de 1024 para cada proceso. Si inicia el servidor JBoss con la configuración por defecto, es posible que se produzcan errores cuando se hayan iniciado más de 40 ó 45 peticiones de manera secuencial a través de la interfaz SOAP Web Service. Después de alcanzar el límite, es posible que no pueda iniciar más peticiones durante unos minutos. En algunos casos, puede que tenga que reiniciar el servido JBoss.
Para solucionar el problema, puede aumentar el límite de apertura de archivos de 1024 a 4096.
Si utiliza BASH, ejecute los comandos siguientes para aumentar el límite de apertura de archivos:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Si utiliza C Shell, ejecute los comandos siguientes para aumentar el límite de apertura de archivos:
su - root limit descriptors 4096 su - user start-jboss.sh
El controlador de la aplicación de usuario almacena distintos tipos de información (por ejemplo, la configuración del flujo de trabajo y la información de clúster) que son específicos de la aplicación. Por tanto, una única instancia del controlador de la aplicación de usuario no debe compartirse con varias aplicaciones.
La aplicación de usuario almacena los datos específicos de la aplicación para controlar y configurar el entorno de ésta. Esto incluye la información de clúster del servidor de aplicación JBoss y la configuración del motor de flujo de trabajo. Las únicas aplicaciones de usuario que pueden compartir una única instancia del controlador de la aplicación de usuario son aquellas aplicaciones que forman parte del mismo clúster de JBoss. No configure un conjunto de aplicaciones de usuario para que compartan un único controlador, a menos que éstas formen parte del mismo clúster de JBoss. De lo contrario, la configuración podría llevar a la ambigüedad y a una mala configuración de uno o más de los componentes que se están ejecutando dentro de la aplicación de usuario.
En el programa de instalación de la aplicación de usuario de identidades, puede especificar el DN del contenedor de la raíz, del contenedor del usuario y del contenedor del grupo para la aplicación. En esta versión, no es posible especificar la raíz del árbol en eDirectory como contenedor de la raíz. Tampoco es posible especificar más de una raíz de búsqueda para cada tipo de objeto concreto (contenedor, usuario o grupo). En su lugar, debe especificar un único ámbito de búsqueda.
Sin embargo, es posible que un país (c) o localidad (l) contengan una organización (o), tal como se muestra a continuación:
c=US o=novell-provo o=novell-waltham
Este tipo de configuración funciona.
Si dos instancias independientes del controlador de la aplicación de usuario señalan al mismo contenedor de usuario, los ajustes de disponibilidad (en la página Editar disponibilidad de la aplicación de usuario) muestran la disponibilidad de las entradas de ambas aplicaciones .
Por ejemplo, el servidor 1 está configurado para utilizar un controlador (por ejemplo driver1,o=novell), y el servidor 2 está configurado para utilizar otro (por ejemplo driver2,o=novell). Ambos servidores están configurados para utilizar el mismo contenedor de usuarios, grupos y raíz (por ejemplo ou=users,o=novell). Un usuario en el servidor 1 crea una definición de delegado para un usuario y una definición de petición de provisión. A continuación, el usuario queda marcado como no disponible para esta definición de petición. El servidor 2 muestra al usuario como no disponible, pero no es capaz de determinar un nombre fácil para la definición de petición. Si se examinan las definiciones de delegado del usuario en el servidor 2, la definición del servidor 1 no se verá.
Este comportamiento se debe a que la información de delegado (creada cuando los usuarios se marcan como disponibles o no disponibles) se almacena en el registro del usuario. Se incluye la información del delegado junto con la definición de petición de provisión la hora de inicio/detención de la delegación. La información de delegado, de la que deriva la información de delegación, se almacena en el controlador junto con la definición de petición de provisión.
Se recomienda no configurar dos instancias de controlador independientes que señalen al mismo contenedor de usuario.
Cuando realiza cambios en la configuración de inicio de sesión para un servidor de la aplicación de usuario en un clúster, los cambios no se propagan al resto de servidores de un clúster. Por ejemplo, si utiliza la página de administración de registro en un servidor de un clúster para ajustar el nivel de registro de com.novell.afw.portal.aggregation en Seguimiento, este ajuste no se propaga al resto de servidores del clúster. Para solucionar este problema, debe configurar de forma individual el nivel de los mensajes de registro para cada servidor del clúster.
Al iniciar el controlador, la aplicación de usuario lee la lista de los atributos de flujo de trabajo. Si crea una nueva definición de petición de provisión e intenta inmediatamente crear una directiva de asignación de esquemas, los atributos de la nueva definición de petición de provisión no aparecen en la lista de atributos de la aplicación hasta que no actualice el esquema de actualización. Esto se debe a que el controlador de la aplicación de usuario debe reiniciarse para que la definición de una petición de provisión esté disponible. Después de crear una nueva definición de una petición de provisión, detenga el controlador de la aplicación de usuario y, a continuación, reinícielo antes de utilizar la definición de petición de provisión en las directivas. Como alternativa, en el editor de directivas de asignación de esquemas, simplemente actualice dos veces el esquema de la aplicación.
Cuando ejecute flujos de trabajo en un clúster, cada motor de flujos de trabajo del servidor debe tener un solo ID. El ID del motor se identifica pasando -Dcom.novell.afw.wf.engine-id a Java VM. En Linux, es necesario que el usuario edite el archivo jboss/bin/run.conf y pase esa propiedad a la línea JAVA_OPTS. Por ejemplo:
si [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
El programa de instalación no solicitará el ID de motor de flujos específico. Por tanto, deberá identificar el motor pasando la propiedad JAVA_OPTS, como se ha mostrado anteriormente.
Por defecto, MySQL ajusta el número máximo de conexiones en 100. Es posible que este número sea demasiado pequeño para gestionar la petición de flujo de trabajo en un clúster. Si el número es demasiado pequeño, puede darse la siguiente excepción:
(java.sql.SQLException: Data source rejected establishment of connection, message from server: "Too many connections.")
Para aumentar el número máximo de conexiones, ajuste la variable max_connections en my.cnf.
Si cambia el modo en el que se visualizan las imágenes en el encabezado del portlet de información especificando la etiqueta $IMG:, debe limpiar el caché de diseño compilado para que los cambios entren en vigor. Siga los pasos siguientes para limpiar el caché:
Vaya a la pestaña Administración de la aplicación de usuario.
Vaya a la pestaña
.Seleccione
(Diseño compilado) de la lista desplegable .Haga clic en
Es posible que un usuario que accede a la página Editar usuario de la pestaña Autoservicio de identidades realice cambios que rompan con la estructura de dependencia jerárquica. Por ejemplo, es posible cambiar la estructura de dependencia de modo que el supervisor esté bajo las órdenes de una persona de su propia organización.
La utilidad de importación de datos del portal (Administración > Herramientas > Importación de datos del portal) utiliza los archivos shared-pages.xml y container-pages.xml en el archivo ZIP de exportación de datos del portal para generar páginas de contenedor y compartidas, así como portlets. Si el elemento <description/> está en blanco, las páginas no se podrán importar.
Para resolver el problema, escriba algo en el elemento <description/> y vuelva a realizar la importación.
La Aplicación de usuario del Gestor de identidades: Guía de administración contiene información sobre la configuración de JBoss. Si necesita más información sobre la configuración de JBoss, consulte las siguientes fuentes:
Para utilizar el módulo auxiliar de configuración de petición de provisión de iManager, debe disponer de derechos de lectura y escritura para los atributos asociados con los objetos de petición de provisión.
Por defecto, el filtro de codificación de caracteres de la aplicación de usuario está activado en la aplicación de usuario web.xml. Normalmente, este ajuste no requiere ninguna configuración específica, pero es posible que requiera cambios si tiene configurado Tomcat para la codificación URI. Existen dos atributos en la configuración del conector http/https de Tomcat que afectan a la codificación del conjunto de caracteres y de la configuración del filtro: URIEncoding y useBodyEncodingForURI.
Esta entrada especifica la codificación de caracteres utilizada para descodificar los bytes URI, después de que %xx descodifique la URL. Si no se especifica lo contrario, se utiliza ISO-8859-1. Ambos conectores, http y https, deben tener la misma configuración, y el filtro de codificación de caracteres debe modificarse para incluir el parámetro init de codificación uri. El valor de este parámetro debe ser el mismo que el valor del atributo URIEncoding en la configuración del conector tomcat.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Esta entrada indica si la codificación especificada en el parámetro contentType debe utilizarse en los parámetros de consulta de URI en lugar de utilizar URIEncoding. Este ajuste se realiza para que sea compatible con Tomcat 4.1.x, donde la codificación se especifica en el contentType, o se ajusta explícitamente mediante el método Request.setCharacterEncoding para los parámetros de la URL. El valor por defecto es false.
Si useBodyEncodingForURI se ajusta en true, la configuración del filtro debe incluir los parámetros de codificación use-body, por ejemplo.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Para obtener más información, consulte el sitio Web sobre la información de configuración del conector Tomcat (en inglés).
Es posible que aparezcan los siguientes errores al utilizar el control de visualización de DN para introducir datos en la asignación previa a las actividades para un formulario de aprobación en la petición de provisión:
Error Message: Index:0, Size:0
Si el problema continúa, copie el mensaje de error y el registro y envíelos al administrador del sistema. Para ver los detalles de la excepción IndexOutOfBoundsException, haga clic en el enlace del registro de errores.
La solución es utilizar los tipos de control de búsqueda de DN. Ajuste las siguientes propiedades de búsqueda de DN en:
:Los dos controles tienen un aspecto diferente pero realizan la misma función.
Se ha realizado un cambio en el modo en que se gestiona el atributo de varios valores DirXML-EntitlementResult. Anteriormente, los resultados de derechos no se limpiaban en este atributo. El comportamiento por defecto se ha modificado, y ahora, los resultados de derechos se limpian después de ser procesados.
Es posible cambiar este comportamiento por defecto (especifique si desea limpiar los resultados o no, y cómo se deben limpiar).
En iManager, aparecerá la página de descripción general del controlador del Gestor de identidades para el controlador de la aplicación de usuario:
Haga clic en
.Haga clic en la directiva
para el controlador de la aplicación de usuario y, a continuación, haga clic en .Haga clic en
.En la acción
, escriba una de los siguientes opciones en el campo :current: después de notificar al controlador de la aplicación de usuario, borrar los resultados de derecho que han producido el evento. Este es el comportamiento por defecto. También se utiliza si no se ha introducido ningún tipo de limpieza de derechos, o si se ha introducido un tipo incorrecto.
none: no limpiar los resultados de derechos
previous: borrar los resultados de derechos anteriores sin borrar el que ha producido el evento.
notnewer: borrar los resultados de derechos anteriores, incluido el que ha producido el evento. De este modo, se conserva cualquier resultado de derechos que se haya creado después del que ha producido el evento.
Cuando se definen entidades del nivel de abstracción del directorio que incluyen clases auxiliares, debe tenerse en cuenta que todas las asociaciones de clases auxiliares especificadas en la definición de entidad se añaden a la instancia de objeto cuando se la aplicación de usuario crea o actualiza la entidad. Si la clase auxiliar que se incluye en la definición de entidad contiene atributos obligatorios, es posible que los usuarios se encuentren con una vulnerabilidad del esquema. Aparecerá una excepción de los servicios del directorio de Novell (NDS) genérica en la aplicación de usuario (NDS error: missing mandatory (-609)).
Para evitar que aparezca el mensaje de error en la aplicación de usuario, asegúrese de seleccionar la propiedad
del atributo. Para configurar la propiedad, modifique el atributo en el editor del nivel de abstracción del directorio.Por defecto, el tiempo límite de sesión para el servidor es de 20 minutos. El tiempo límite de sesión debe ajustarse para que se adapte al entorno de uso y del servidor donde se ejecutará la aplicación. En general, se recomienda que el tiempo límite de sesión sea tan corto como posible. Si los requisitos del negocio permiten un tiempo límite de sesión de 5 minutos, el servidor podrá liberar los recursos sin utilizar antes del recurso por defecto y aumentar así la velocidad y la capacidad de ampliación del servidor.
Sin embargo, tenga en cuenta las siguientes consideraciones:
El tiempo límite de la sesión se ajusta en el archivo web.xml.
Si edita la fuente especificando el atributo de tiempo límite para las actividades de usuario, el valor de este atributo puede ser tanto un número (en una unidad especificada) como una expresión que determine un número en milisegundos. La expresión debe devolver una instancia de java.lang.Number.
Ejemplos:
Si activa la notificación por correo electrónico de las definiciones de petición de provisión, pero no configura ningún servidor de correo electrónico, las notificaciones se acumularán en el servidor y no se enviarán. Esto ocupa espacio en la memoria.
Si activa la notificación por correo electrónico, asegúrese de configurar un servidor de correo electrónico de modo que los mensajes se puedan enviar. Para configurar el servidor de correo electrónico, seleccione
bajo en iManager.Por defecto, la lectura de la implantación de Jboss se ejecuta cada cinco segundos. Para un servidor de producción, esto no suele ser necesario y puede influir en el rendimiento. Considere desactivar esta opción.
Consulte el sitio Web de JBoss (en inglés) para obtener más información sobre los entornos de producción.
Los clientes Windows GroupWise Mail y Outlook* tienen un defecto de fábrica conocido cuando se muestra el texto del asunto desde un comando "malito:" en HTML. Este error aparece cuando el navegador utiliza idiomas de conjuntos de caracteres de dos bytes como, por ejemplo, el chino, japonés o coreano.
En este caso, cuando se envía información de identidad desde la página de detalles, la línea del asunto contiene caracteres no válidos puesto que estos clientes de correo no eliminan el uso del escape correctamente con los caracteres de dos bytes.
Como resultado de este error, es posible que se produzcan anomalías como, por ejemplo, que una parte de la interfaz de usuario aparezca en el idioma localizado y el resto en inglés.
La solución a este problema es ajustar el mismo idioma en navegador y en la configuración regional preferida del Gestor de identidades. En Firefox, ajuste el idioma con preferencia alta. En Internet Explorer, ajuste el idioma con preferencia alta. Cambie la configuración regional preferida con iManager o con la función Editar usuario en la aplicación de usuario del Gestor de identidades.
Debe comprobarse que la codificación de caracteres de entrada y salida coincida con la de la aplicación original o de destino. Los caracteres que no se puedan representar en la salida seleccionada se mostrarán como un signo de interrogación (?).
Si ejecuta la herramienta de configuración de la aplicación de usuario (para configurar los ajustes de LDAP) en un sistema operativo localizado, todos los cuadros de entrada de texto se visualizarán correctamente. Por ejemplo, si hay nombres completos en chino en eDirectory, o bien introduce algún carácter en chino, éstos se visualizarán correctamente en un sistema operativo en chino. Sin embargo, si se utiliza un sistema operativo en inglés, todos los caracteres en chino que introduzca o que reciba de eDirectory aparecerán como caracteres no legibles (la mayoría se representarán con un cuadrado). Esto se debe a que no se ha ajustado correctamente la configuración regional.
Si se utiliza un sistema operativo en inglés y desea visualizar caracteres localizados, siga el procedimiento siguiente:
- En Windows 2000, vaya a Panel de control y seleccione
. Bajo la pestaña ajuste al idioma que utilice (por ejemplo, chino (PRC)).- En Windows 2003, vaya a Panel de control y seleccione
. Bajo la pestaña seleccione y acepte el cambio.- En Linux SUSE, ajuste la variable de entono LANG como sigue: export LANG=zh_CN
El mismo procedimiento básico se aplica para todos los idiomas.
Los portlets de accesorios de mensaje, HTML, transferencia de noticias RSS y accesos directos no se han localizado. Además, la ayuda del portlet del editor HTML no se ha localizado.
La descripción de la categoría de portlet en la pestaña Categoría de la administración de portlets contiene caracteres de escape (barras inversas que aparecen alrededor de los símbolos mayor que y menor que). Este problema se da en todos los idiomas localizados.
En
> , el cuadro de diálogo Preferencias de contenido siempre muestra el siguiente texto en inglés: "Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving."Cuando el Gestor de identidades envía un correo electrónico que contiene un idioma con caracteres de dos bytes como, por ejemplo, el chino, japonés o coreano, el cliente de correo tiene problemas para leerlo. Si se encuentra con este problema, póngase en contacto con el servicio de asistencia técnica de Novell.
Para añadir plantillas de correo electrónico localizadas a través de iManager
Entre en iManager.
Bajo Funciones y tareas, amplíe
o .Haga clic en
(bajo el módulo auxiliar Contraseñas) o (bajo Administración del flujo de trabajo).Identifique la plantilla de correo electrónico (sin introducir ninguna configuración regional en el nombre) que desea copiar. Write down the template name to use in step 5. Haga clic en el asunto de la plantilla para abrir esta última y visualizar el asunto del mensaje, el cuerpo y las etiquetas de sustitución. Copie el asunto del mensaje, el cuerpo (que se traducirá) y las etiquetas de sustitución que desea utilizar en la nueva plantilla. Haga clic en
.Haga clic en
y especifique el nombre de la plantilla con la extensión de configuración regional. Por ejemplo, para crear una plantilla Sugerencia olvidada en alemán, introduzca el nombre Sugerencia olvidada_de, donde _de significa alemán. Haga clic en .Si utiliza un idioma o código de país con dos letras, esta operación funcionará correctamente. Si desea utilizar una configuración regional con una variante como en_US_TX, sólo se considerará la variante y el idioma. En esta versión no utilice variantes de configuración regional a la hora de asignar nombres a las plantillas de correo electrónico.
En la lista de plantillas, haga clic en la nueva plantilla, por ejemplo Sugerencia olvidada_de e introduzca el asunto y el cuerpo del mensaje traducidos, por ejemplo, en alemán. Asegúrese de conservar las etiquetas de sustitución rodeadas con el símbolo del dólar ($) en el cuerpo del mensaje.
Haga clic en
para introducir o pegar etiquetas de sustitución y, a continuación, haga clic en .Haga clic en
y, a continuación, en .Las plantillas de correo electrónico sólo envían correctamente contenido localizado si la configuración regional se establece para el destinatario del mensaje.
Es posible que reciba una excepción de referencia de puntero nulo cuando utilice iManager para editar o guardar modificaciones en ciertas peticiones de provisión que haya implantado el diseñador para el Gestor de identidades.
Para los flujos de trabajo con este problema, realice todas las configuraciones mediante el diseñador para el Gestor de identidades.
Este error se soluciona con la actualización a NMAS 2.3.9.
Si desea utilizar el asistente de certificados de controlador NDS-to-NDS, debe descargar e instalar el módulo auxiliar de iManager para el servidor de certificados.
Asegúrese de que la codificación de caracteres de entrada y salida configurada en el controlador de texto delimitado coincide con la de la aplicación original o de destino. Los desajustes provocan errores o datos dañados en la caja de identidades o en la aplicación. Los caracteres que no se puedan representar en la salida seleccionada se mostrarán como un signo de interrogación (?).
El uso de la configuración de una base de datos MySQL que no sea Unicode provoca errores en el analizador bajo las siguientes condiciones:
El controlador JDBC* utiliza el archivo de configuración del servidor MySQL para determinar el conjunto de caracteres que se utilizará para transferir datos hacia y desde la aplicación de usuario/servidor MySQL. La base de datos MySQL para la aplicación de usuario del Gestor de identidades debe utilizar la codificación UTF-8, y la configuración del servidor MySQL también debe especificar UTF-8.
Sin embargo, si es necesario dejar la configuración del servidor MySQL con una codificación de conjunto de caracteres diferente a UTF-8, debe obligar al controlador JDBC a utilizar la codificación correcta. Para ello, añada los parámetros de conexión a la definición de conexión de JDBC almacenada en el archivo mysqlds.xml implantado en la aplicación de usuario.
Cree una base de datos para la aplicación de usuario. Utilice la codificación de conjunto de caracteres por defecto (utf8) y la intercalación por defecto (utf8_bin):
create database [nombre de la base de datos] character set utf8 collate utf8_bin;
Para obtener más información sobre la sintaxis, consulte http://dev.mysql.com/doc/refman/5.0/en/createdatabase.html (en inglés).
Edite el elemento <connection-url> en el archivo mysql-ds.xml implantado con los archivos IDMProv.war o IDM.war (por ejemplo, es posible que encuentre el archivo en jboss-4.0.3.SP1/server/idm/deploy/mysql-ds.xml).
Cambie lo siguiente:
<connection-url>jdbc:mysql://[host]:3306/[nombre de la base de datos]</connection-url>
A esta nueva especificación:
<connection-url>jdbc:mysql://[host]:3306/nombre de la base de datos]?useUnicode=true&characterEncoding=utf8&connectionCollation=utf8_bin</connection-url>
Donde [host] es el host del servidor de la base de datos y [nombre de la base de datos] es el nombre de la base de datos.
Encontrará documentación sobre los parámetros de conexión de MySQL en http://dev.mysql.com/doc/refman/5.0/en/cj-configuration-properties.html (en inglés).
La edición simultánea de más de una definición de petición de provisión puede hacer que los cambios introducidos en una definición aparezcan en otra. Esto sucede al utilizar las vistas de asignación de elementos de datos o de notificación por correo electrónico. Para solucionar el problema, edite una definición de petición de provisión a la vez.
Para conocer más temas relacionados con el Diseñador, consulte el Readme completo del Diseñador 1.2. El archivo Readme se incluye con el producto y, además, está disponible en el sito Web Diseñador de Novel para el Gestor de identidades (en inglés).
Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación, y específicamente renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho a revisar esta publicación y a realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales revisiones o cambios a ninguna persona o entidad.
Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software, y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho a realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.
Todos los productos o información técnica que se proporcionen bajo este Contrato pueden estar sujetos a los controles de exportación de Estados Unidos y a las leyes de comercio de otros países. Acepta cumplir con todas las regulaciones de control de exportaciones y obtener todas las licencias necesarias para exportar, reexportar o importar bienes. Acepta no realizar exportaciones o reexportaciones a entidades que se encuentren en las actuales listas de exclusión de exportaciones estadounidenses ni a países con embargos comerciales o con problemas de terrorismo, tal como especifican las leyes de exportación de Estados Unidos. Acepta no utilizar bienes para uso nuclear, o fabricación de misiles o armas biológicas prohibidas. Para obtener más información acerca de la exportación del software de Novell, consulte www.novell.com/info/exports/ (en inglés). Novell no asume ninguna responsabilidad sobre su imposibilidad de obtención de las aprobaciones necesarias para la exportación.
Copyright © 2006 Novell, Inc. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación o transmitida sin la expresa autorización por escrito del editor.
Novell, Inc. tiene derechos de propiedad intelectual referentes a la tecnología empleada en el producto que se describe en el presente documento. Dichos derechos de propiedad intelectual pueden incluir específicamente, y sin limitación alguna, una o más patentes estadounidenses incluidas en la lista de http://www.novell.com/company/legal/patents/ (en inglés) y una o más patentes adicionales o solicitudes pendientes de patente en Estados Unidos y otros países
Para obtener más información sobre las marcas comerciales de Novell, consulte la lista de marcas comerciales y marcas de servicio de Novell.