3 agosto 2006
Le fonti seguenti forniscono ulteriori informazioni su Novell® Nsure Identity Manager:
Le informazioni in questo documento sostituiscono quelle esistenti nella Guida alla progettazione di Identity Manager, in particolare:
In questa documentazione, il simbolo di maggiore (>) viene utilizzato per separare le singole azioni di una procedura e i singoli elementi di un percorso di riferimento ad altra documentazione.
Inoltre, un simbolo di marchio di fabbrica (®, e così via) indica un marchio di fabbrica di Novell e un asterisco (*) indica un marchio di fabbrica di terze parti.
Per un elenco delle correzioni apportate ai difetti di Identity Manager 3.0.1, vedere il documento TID 3351724
Identity Manager 3.0.1 richiede quanto segue:
Tabella 1 Requisiti di sistema di Identity Manager 3.0.1
Per quanto riguarda eDirectory 8.7.3 SP8, gli aggiornamenti di protezione relativi a NMASâ„¢ non sono più inclusi nella patch eDirectory. È necessario scaricare NMAS separatamente dall'area download del sito Web Novell.
Se si utilizza eDirectory 8.7.3 SP8 o versione successiva e si esegue l'upgrade a Identity Manager 3.0.1, la funzione per l'autenticazione CHAP e altre funzioni relative alle parole d'ordine non possono essere utilizzate senza l'ultimo aggiornamento di NMAS.
Oltre a utilizzare eDirectory 8.7.3 SP8 o versione successiva, è possibile apportare le modifiche seguenti al sistema eDirectory per evitare il peggioramento dei tempi di risposta per il login, che si verifica talvolta in ambienti sottoposti a un carico intenso per un lungo periodo di tempo:
Per eseguire l'upgrade dell'applicazione utente di Identity Manager 3.0 all'applicazione utente di Identity Manager 3.0.1, attenersi ai suggerimenti seguenti:
Prima di iniziare:
Installare l'applicazione utente di IDM 3.0.1 scegliendo l'installazione personalizzata con le opzioni
e selezionate.Svuotare la directory jboss/server/<Nome applicazione>/work prima di avviare il server JBoss. Per ulteriori informazioni sui problemi di upgrade associati alle richieste di risorse in corso, vedere la sezione 8.5 del file Readme.
Nel corso dell'installazione di Identity Manager 3.0.1 su SLES 10, è possibile che si verifichino errori come quelli seguenti:
awk: errore durante il caricamento delle librerie condivise: libdl.so.2: impossibile aprire il file dell'oggetto condiviso: nessun file o directory di questo tipo
grep: errore durante il caricamento delle librerie condivise: libc.so.6: impossibile aprire il file dell'oggetto condiviso: nessun file o directory di questo tipo
Novell fornisce uno script per la risoluzione di questo tipo di problema, che viene installato allo stesso livello del file IdmUserApp.bin ed è denominato SLES10-install.sh. Lo script prende come argomento il file binario del programma di installazione:
sh SLES10-install.sh file binario del programma di installazione
Ad esempio, se la distribuzione ISO è stata decompressa in /tmp/IDM301, eseguire dalla riga di comando:
$ cd /tmp/IDM301
$ sh SLES10-install.sh IdmUserApp.bin
Lo script commenta l'impostazione di una variabile di ambiente nel file IdmUserApp.bin . Tale variabile può causare gli errori precedentemente menzionati in SLES 10. Una volta apportate le modifiche necessarie, lo script consente di riavviare normalmente il programma di installazione.
Nell'applicazione utente di Identity Manager, all'interno della scheda
, le modifiche degli attributi gruppo per l'eliminazione e l'aggiunta di gruppi devono essere eseguite come operazioni separate. Se si rimuovono e si aggiungono gruppi in un solo passaggio, il nome del gruppo eliminato viene visualizzato nuovamente quando si fa clic sul pulsante + (aggiunta).Il collegamento al supporto nella portlet dei segnalibri non funziona. L'URL dell'area supporto del sito Web Novell è http://www.novell.com/support/supportcentral/supportcentral.do?id=m1.
In Richiedi risorse del team, all'interno dell'applicazione utente di Identity Manager, âœDestinatarioâ? mantiene il valore precedente dopo che è stato utilizzato il pulsante
o . Se si desidera annullare lo stato corrente in modo da poter visualizzare il nuovo valore, tornare al menu delle azioni sul lato sinistro della pagina della scheda e fare clic suNell'applicazione utente, se si esegue il login come Utente A mediante un browser della famiglia Mozilla (Firefox, Netscape o Mozilla) e successivamente si apre un'altra istanza dello stesso tipo di browser e si esegue il login come Utente B, è possibile che vengano visualizzate informazioni relative all'Utente B quando si torna alla prima istanza del browser. Ciò accade poiché le istanze del browser condividono, e quindi sovrascrivono, lo stesso cookie. Tale comportamento è specifico dei browser della famiglia Mozilla, mentre non si verifica se si utilizza Internet Explorer.
È possibile che si verifichino eccezioni in Firefox durante le operazioni Taglia, Copia e Incolla quando si utilizza l'editor HTML all'interno delle preferenze relative agli organigrammi. Mozilla non consente agli script di accedere agli Appunti per ragioni di sicurezza. I pulsanti
, e non sono pertanto disponibili in Firefox.Per abilitare le operazioni Taglia, Copia e Incolla, è possibile utilizzare la procedura seguente:
In Firefox, è possibile scaricare un'estensione denominata Allow Clipboard Helper selezionando area di download estensioni del sito Web.
> , attraverso cui si accede all'Al termine del download, verrà visualizzato il percorso
> .Aprire e immettere l'indirizzo del server in cui si desidera concedere l'accesso agli Appunti, quindi fare clic su
.È possibile aggiungere un numero illimitato di siti Web. Al termine, chiudere tutti i browser Firefox, quindi riavviare Firefox. A questo punto dovrebbe essere possibile eseguire le operazioni Taglia, Copia e Incolla in Firefox.
Quando si esegue il login all'applicazione utente di IDM, nel menu a sinistra risulta disponibile un collegamento per la creazione di un utente. Per poter creare nuovi utenti, occorre disporre dei diritti eDirectory necessari per aggiungere voci alla directory. Poiché l'applicazione utente di IDM dispone di utenti eDirectory esistenti, tali utenti devono possedere già i diritti necessari.
Per assegnare diritti eDirectory a nuovi utenti:
In iManager, fare clic su
.Individuare e selezionare l'oggetto che contiene il container di utenti desiderato (ad esempio, Prova.novell), quindi fare clic su
.Aggiungere un trustee (ad esempio, Prova.novell) e modificare i diritti assegnati.
In [Diritti sulla voce], selezionare
. Lasciare negli altri campi i valori di default, quindi fare clic su .Ora tutti gli utenti presenti nel container utenti.Prova.novell possono creare nuovi utenti o gruppi all'interno dell'entità Prova.
Nell'applicazione utente, non è possibile attualmente richiedere una risorsa per un elenco di utenti. Nella pagina relativa alla richiesta di risorse del team viene indicato che tale funzionalità può essere supportata. Nel testo pertinente è specificato âœSelezionare un utente (o gli utenti se la risorsa selezionata era contrassegnata con Consentiti più destinatari) per il quale viene richiesta una risorsaâ?. In questa release la funzionalità tuttavia non è supportata.
Se si utilizza la portlet GroupWise® WebAccess e si accede a un server GroupWise 7.0, si riceve un messaggio di errore di pagina quando si fa clic sulla scheda
qualora sia in esecuzione Internet Explorer 6.x. In Firefox invece non si verificano errori. Il problema è stato risolto in GroupWise 7.0.1.Le ubicazioni delle immagini di sfondo specificate per i temi (manualmente o mediante un'operazione di ricerca e selezione) non vengono più visualizzate subito dopo l'immissione.
Per riprodurre tale comportamento:
Accedere ad
> > (da qualsiasi tema).Individuare e selezionare un file per l'ubicazione dell'immagine di sfondo o specificare un file manualmente digitandone il nome.
Selezionare un file JPG.
A questo punto si assisterà a uno sfarfallio del file, quindi quest'ultimo non verrà più visualizzato. Il nuovo tema verrà salvato, ma il campo risulterà vuoto.
In Novell Linux Desktop (NLD), quando viene visualizzato un organigramma per la prima volta, è possibile che si verifichi un problema estetico di lieve entità. Nello specifico, quando si esegue per la prima volta la ricerca di un utente, è possibile che l'icona del nodo della radice sinistra venga visualizzata da sola al centro dello schermo e non allineata con l'utente. Alla visualizzazione successiva, l'icona risulta allineata correttamente.
L'applicazione utente richiede l'abilitazione dei cookie nelle preferenze del browser.
Nell'applicazione utente sono supportati gli stessi caratteri di iManager. Per informazioni sui caratteri speciali non supportati, consultare la documentazione di iManager in merito ai caratteri speciali.
Quando un utente, dopo aver eseguito il login all'applicazione utente, carica la pagina di login di una portlet segnalibro o cronologia e tenta di eseguire nuovamente il login, la nuova sessione di portale non viene configurata correttamente nel secondo login. Ciò può causare l'esito negativo del secondo login.
Gli amministratori possono ora configurare la scadenza della parola d'ordine iniziale per i nuovi utenti. A tale scopo, modificare le preferenze della portlet Creazione come illustrato nella Guida all'amministrazione dell'applicazione utente di Identity Manager.
Specificare una preferenza
scegliendo tra le due opzioni seguenti:L'impostazione di default per la permanenza delle informazioni sui workflow completati corrisponde a 120 giorni. Tuttavia, è possibile modificare tale impoztazione mediante l'interfaccia SOAP per il motore di workflow. Per accedere all'interfaccia, digitare l'URL seguente in un browser:
http://server:host/IDMProv/provisioning/service?test
Quando viene visualizzata la pagina in cui sono elencati i metodi del motore di workflow che è possibile chiamare, selezionare il metodo setCompletedProcessTimeout. Il parametro che viene passato a questo metodo consente di modificare il periodo di permanenza. Il valore specificato deve essere espresso in millisecondi.
Tenere presente la correzione seguente alla definizione della pagina di logout ICS all'interno della Guida all'installazione di Novell Nsure Identity Manager 3.0, nella sezione 5.4 relativa all'installazione dell'applicazione utente:
laddove si parla di URL relativo alla pagina di logout di iChain® è necessario aggiungere che l'URL è un nome host che iChain prevede.
Tenere presente inoltre che per abilitare il logout ICS nell'applicazione utente di Identity Manager, è necessario attivare l'opzione per l'inoltro dei cookie in iChain, attenendosi alla procedura seguente:
Dalla console di gestione Web di iChain, fare clic su
nell'acceleratore in questione.Nella finestra Web Server Accelerator (Acceleratore server Web), fare clic su
. Viene visualizzata la finestra Add Authentication Profiles (Aggiungi profili di autenticazione).Selezionare configupdate.sh.
, quindi fare clic su . Con la presenza di tale cookie nell'intestazione viene comunicato a Identity Manager di eseguire il reindirizzamento in base all'URL specificato inL'utilizzo di una virgoletta singola nel nome comune (CN, Common Name) di un workflow impedisce a un evento eDirectory di attivare tale workflow. Evitare pertanto di inserire virgolette singole nei CN dei workflow.
È possibile che i task non completati non vengano visualizzati dopo l'upgrade di Identity Manager 3.0.0 a Identity Manager 3.0.1. Per risolvere il problema, implementare la procedura seguente prima di installare IDM 3.0.1:
Arrestare il server per applicazioni jboss ed eliminare la directory jboss/server/IDMProv/work .
Se Identity Manager 3.0.1 è già stato installato, arrestare il server jboss ed eliminare la directory jboss/server/IDMProv/work .
Il server jboss non deve essere in esecuzione quando si elimina la cartella di lavoro.
Nella Guida all'amministrazione dell'applicazione utente di Identity Manager mancano alcune informazioni importanti che consentono di coordinare più facilmente le parole d'ordine dell'applicazione utente di Identity Manager con le norme per le parole d'ordine di iManager.
Nelle sezioni 19.3.1 e 19.7.1, aggiungere le informazioni seguenti in cui è descritto il requisito Universal Password: âœSe è stata eseguita l'abilitazione di Universal Password, aprire iManager e accedere a
> > > . Accertarsi quindi che l'opzione seguente sia selezionata: â )ââ?.Nella sezione 16.2.1, aggiungere le informazioni seguenti in cui è descritta la proprietà relativa al container per la creazione: âœSe si utilizza la portlet Creazione per creare nuovi utenti e si desidera assegnare agli utenti norme per le parole d'ordine in iManager, assegnare al container specificato le stesse norme per le parole d'ordine in iManager. Ciò garantisce che agli utenti creati nell'applicazione utente vengano assegnate automaticamente le norme per le parole d'ordine di default in iManagerâ?.
Se la parola d'ordine del conto per l'installazione di Identity Manager contiene caratteri speciali, l'estensione dello schema potrebbe avere esito negativo. In tal caso, è necessario eseguire l'installazione utilizzando un conto differente oppure modificare la parola d'ordine.
Quando si utilizza la pagina di login dell'applicazione utente nel server JBoss, se si fa clic sul collegamento
e si immette il nome utente, è possibile che venga restituito il messaggio di errore seguente nella console JBoss e non venga eseguito il reindirizzamento:08:59:17,962 ERRORE [EboPortletProxyHelper] Entità portlet inesistente com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
L'errore deriva dal fatto che la preferenza ldap-sslport nella portlet Recupero parola d'ordine utilizza la porta TLS di default standard (ldaps) 636 anziché la porta configurata per la connessione sicura del server LDAP. L'amministratore di eDirectory probabilmente ha modificato la porta LDAP sicura di default nell'istanza di eDirectory sostituendola con una porta non standard. Gli amministratori di eDirectory cambiano frequentemente le porte LDAP quando eseguono eDirectory nello stesso hardware fisico di altri sistemi abilitati per LDAP, ad esempio Active Directory*.
Se nella configurazione LDAP sicura (TLS) è utilizzata una porta differente dalla porta 636, modificare la preferenza ldap-sslport nella portlet Recupero parola d'ordine specificando la porta configurata per la connessione sicura del server LDAP. A tale scopo, attenersi alla procedura seguente:
Aprire l'applicazione utente.
Accedere ad
> > >istanza della portlet Recupero parola d'ordine> .Modificare il valore di ldap-sslport sostituendo la porta di default 636 con la porta configurata per le connessioni LDAP sicure del server LDAP.
In un workflow di provisioning in cui viene utilizzata l'elaborazione parallela, l'assegnatario di un'attività di approvazione non deve far riferimento all'assegnatario di un'altra attività di approvazione nel flusso. Ciò è dovuto al fatto che il motore di workflow non è in grado di appurare in alcun modo quale passaggio verrà eseguito per primo, poiché le attività vengono elaorate in parallelo. Il plug-in di iManager per la configurazione delle richieste di provisioning, inoltre, non è in grado di stabilire quali assegnatari devono essere autorizzati in qualsiasi momento. Per restringere l'elenco dei possibili assegnatari, è necessario che il plug-in analizzi il flusso in modo da ottenere l'elenco delle attività a monte che sono state già completate. Tale funzionalità tuttavia non è supportata attualmente nel plug-in.
Per default, JBoss consente l'esplorazione delle directory. Se si digita pertanto l'URL http://server:8080/IDMProv/resources/, viene visualizzato l'elenco delle risorse presenti all'interno di tale URL.
Se non si desidera che l'esplorazione delle directory sia abilitata, accedere a jboss-4.0.2\server\Contesto applicazione IDM\deploy\jbossweb-tomcat55.sar\confe modificare la voce listings nel file web.xml :
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Per disabilitare la visualizzazione delle risorse, modificare il valore di listings da true a false.
I servizi relativi ai vari sottosistemi all'interno dell'applicazione utente possono contenere numeri di versione obsoleti. Non è necessario modificare tali file per correggere le versioni.
Ad esempio, il file IDMfw.jar contiene il file FrameworkService-conf\config.xml , che presenta la voce seguente come numero di versione:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
Nel plug-in di iManager per la configurazione delle richieste di provisioning, è possibile definire norme di escalation per il reindirizzamento di un'attività di workflow al manager dell'assegnatario originale.
Se l'assegnatario originale corrisponde a un gruppo di task con più di un manager, l'escalation ha esito negativo. Nel plug-in per la configurazione delle richieste di provisioning non viene impedito all'utente di definire questo tipo di escalation, per cui è necessario prestare molta attenzione per evitare il problema.
In Linux, il limite di file aperti di default non è sufficiente per supportare un numero elevato di richieste avviate mediante il servizio Web SOAP. È possibile che il driver dell'applicazione utente raggiunga questo limite se si utilizzano gli endpoint del servizio Web per attivare workflow in risposta a eventi di directory.
Il limite massimo di file aperti di default per Linux è pari a 1024 per ogni processo. Se si avvia il server JBoss con l'impostazione di default, potrebbero verificarsi errori qualora vengano avviate più di 40 o 45 richieste in sequenza mediante l'interfaccia del servizio Web SOAP. Una volta raggiunto il limite, l'utente potrebbe non essere più in grado di avviare alcuna richiesta per diversi minuti. In alcuni casi potrebbe essere necessario riavviare il server JBoss.
Per risolvere il problema, è possibile aumentare il limite massimo di file aperti da 1024 a 4096.
Se si utilizza BASH, eseguire i comandi seguenti per incrementare il limite:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Se si utilizza C Shell, eseguire i comandi seguenti per incrementare il limite:
su - root limit descriptors 4096 su - user start-jboss.sh
Il driver dell'applicazione utente consente di memorizzare diversi tipi di informazioni, ad esempio relative ai cluster e alla configurazione dei workflow, che sono specifiche di ogni applicazione. È necessario pertanto che una singola istanza del driver non venga condivisa tra più applicazioni.
Nell'applicazione utente vengono memorizzati dati specifici della singola applicazione in modo che sia possibile controllarne e configurarne l'ambiente. Tali dati comprendono informazioni relative al cluster del server per applicazioni JBoss e la configurazione del motore di workflow. Le sole applicazioni utente che devono condividere una singola istanza del driver dell'applicazione utente sono quelle che fanno parte dello stesso cluster JBoss. È necessario pertanto evitare di configurare un insieme di applicazioni utente in modo che condividano un singolo driver a meno che non facciano parte dello stesso cluster JBoss. Se non si rispetta tale regola, la configurazione definita potrebbe generare ambiguità ed errori per uno o più componenti in esecuzione all'interno dell'applicazione utente.
Nel programma di installazione dell'applicazione utente di Identity Manager, è possibile specificare i DN dei container di gruppi, utenti e radice per l'applicazione. In questa release, non è possibile specificare la radice dell'albero in eDirectory come container radice. Non è inoltre possibile specificare più di una radice di ricerca per un particolare tipo di oggetto (container, utente o gruppo). È necessario invece specificare un unico ambito di ricerca.
Un'organizzazione (o) tuttavia può essere contenuta in una nazione (n) o in una località (l), come illustrato nell'esempio seguente:
n=USA o=novell-provo l=novell-waltham
Questo tipo di configurazione funziona correttamente.
Se due istanze separate del driver dell'applicazione utente fanno riferimento allo stesso container di utenti, nelle impostazioni di disponibilità, cui si accede nella pagina Modifica disponibilità dell'applicazione utente, vengono visualizzate le voci relative alla disponibilità di entrambe le applicazioni.
Si consideri l'esempio seguente: Server 1 viene configurato in modo da utilizzare un dato driver (ad esempio, driver1,o=novell) e Server 2 viene configurato in modo da utilizzarne un altro (ad esempio, driver2,o=novell). Entrambi i server vengono configurati in modo da utilizzare gli stessi container di utenti, gruppi e radice (ad esempio, uo=utenti,o=novell). Un utente di Server 1 crea una definizione di delegato e una definizione di richiesta di provisioning. L'utente viene quindi contrassegnato come non disponibile per tale definizione di richiesta. Server 2 mostra l'utente come non disponibile, ma non è in grado di risolvere il nome per la definizione di richiesta. Se le definizioni di delegato dell'utente su Server 2 vengono esaminate, la definizione di Server 1 non viene visualizzata.
Ciò è dovuto al fatto che le informazioni sulle deleghe, create quando gli utenti contrassegnano se stessi come disponibili o non disponibili, vengono memorizzate nei record utente. Tali informazioni comprendono i dati relativi al delegato/delegante insieme alla definizione di richiesta di provisioning e all'ora di inizio/fine della delega. La definizione di delegato, da cui derivano le informazioni sulla delega, viene memorizzata nel driver, insieme alla definizione di richiesta di provisioning.
È consigliabile non configurare due istanze separate del driver in modo che facciano riferimento allo stesso container di utenti.
Quando si apportano modifiche alla configurazione della registrazione di un server dell'applicazione utente in un cluster, tali modifiche non vengono propagate agli altri server nello stesso cluster. Ad esempio, se si utilizza la pagina di amministrazione relativa alla registrazione in un server di un cluster per impostare il livello di registrazione di com.novell.afw.portal.aggregation su Traccia, tale impostazione non viene propagata agli altri server del cluster. Per risolvere il problema, è necessario configurare singolarmente il livello dei messaggi di registrazione per ogni server del cluster.
Il driver dell'applicazione utente legge l'elenco degli attributi di workflow quando viene avviato. Se si crea una nuova definizione di richiesta di provisioning e si tenta subito di creare nuove norme di mappatura dello schema, gli attributi relativi alla nuova definizione di richiesta di provisioning non vengono visualizzati nell'elenco degli attributi dell'applicazione quando si aggiorna lo schema dell'applicazione. Ciò si verifica poiché il driver dell'applicazione utente deve essere riavviato prima di rendere disponibile la nuova definizione di richiesta di provisioning. Dopo la creazione della nuova definizione, arrestare quindi il driver dell'applicazione utente e riavviarlo prima di tentare di utilizzare tale definizione nelle norme. In alternativa, nell'editor delle norme per la mappatura dello schema, aggiornare due volte lo schema dell'applicazione.
Quando si eseguono workflow in un cluster, il motore di workflow di ogni server deve disporre di un ID univoco. L'ID del motore viene identificato mediante il passaggio della proprietà -Dcom.novell.afw.wf.engine-id a Java VM (Virtual Machine). In Linux gli utenti devono modificare il file jboss/bin/run.conf e passare tale proprietà nella riga JAVA_OPTS. Ad esempio:
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
Nel programma di installazione non viene richiesto di specificare l'ID del motore di workflow. È necessario pertanto identificare il motore passando la proprietà JAVA_OPTS, come illustrato sopra.
Per default, in MySQL il numero massimo di connessioni è impostato su 100. Tale numero potrebbe risultare troppo piccolo per consentire la gestione del carico di richieste di workflow in un cluster. In tal caso, potrebbe verificarsi l'eccezione seguente:
(java.sql.SQLException: Connessione rifiutata dall'origine dati, messaggio del server: "Troppe connessioni".)
Per incrementare il numero massimo di connessioni, impostare in modo appropriato la variabile max_connections in my.cnf.
Se si modifica la modalità di visualizzazione delle immagini nell'intestazione della portlet dei dettagli specificando il tag $IMG: , è necessario svuotare la cache CompiledLayout per rendere effettive le modifiche. Per eliminare il contenuto della cache, eseguire i passaggi seguenti:
Accedere alla scheda Amministrazione dell'applicazione utente.
Passare alla scheda
.Selezionare
dall'elenco a discesa .Fare clic su
È possibile che un utente con accesso alla pagina Modifica utente della scheda Self-service identità apporti modifiche che alterano la struttura di dipendenza gerarchica. Ad esempio, è possibile modificare tale struttura in modo che un manager diventi dipendente di una persona all'interno della sua organizzazione.
Nell'utility Importazione dati portale (Amministrazione > Strumenti > Importazione dati portale) vengono utilizzati i file shared-pages.xml e container-pages.xml contenuti nel file ZIP di Esportazione dati portale per generare pagine container, pagine condivise e portlet. Se l'elemento <description/> è vuoto, le pagine non possono essere importate.
Per risolvere il problema, immettere testo per l'elemento <description/> ed eseguire nuovamente l'importazione.
Nella Guida all'amministrazione dell'applicazione utente di Identity Manager vengono fornite alcune informazioni sulla configurazione di JBoss. Se si desidera acquisire ulteriori informazioni in merito, consultare le fonti seguenti:
Per utilizzare il plug-in di iManager per la configurazione delle richieste di provisioning, è necessario disporre dei diritti di lettura e scrittura sugli attributi associati agli oggetti Richiesta di provisioning.
Per default, il filtro per la codifica dei set di caratteri è impostato per l'abilitazione nel file web.xml dell'applicazione utente. Questa impostazione in genere non richiede configurazioni specifiche, ma potrebbe richiedere l'apporto di alcune modifiche se è stato configurato Tomcat per la codifica URI. Nella configurazione del connettore http/https di Tomcat sono presenti due attributi che influiscono sulla configurazione del filtro e la codifica dei set di caratteri: URIEncoding e useBodyEncodingForURI.
Questa voce consente di definire la codifica di caratteri da utilizzare per decodificare i byte URI, dopo la decodifica %xx dell'URL. Se non viene specificata, si utilizza ISO-8859-1. I connettori http e i connettori https devono presentare la stessa configurazione e il filtro per la codifica dei set di caratteri deve essere modificato in modo da includere il parametro di inizializzazione uri-encoding. Il valore di tale parametro deve coincidere con il valore dell'attributo URIEncoding nella configurazione del connettore Tomcat.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Questa voce consente di specificare se la codifica definita in contentType deve essere utilizzata per i parametri di interrogazione URI in luogo di URIEncoding. Tale impostazione è presente per la compatibilità con Tomcat 4.1.x, dove la codifica viene specificata in contentType o impostata esplicitamente mediante il metodo Request.setCharacterEncoding per i parametri dall'URL. Per default, il valore è false.
Se si imposta useBodyEncodingForURI su true, la configurazione del filtro deve includere il parametro di inizializzazione use-body-encoding, ad esempio:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Per ulteriori dettagli, fare riferimento al sito Web in cui vengono fornite informazioni sulla configurazione dei connettori Tomcat.
Se si utilizza un controllo dei moduli DNDisplay per immettere dati nella mappa delle attività preliminari per un modulo di approvazione in una richiesta di provisioning, si verifica l'errore seguente:
Messaggio di errore: Indice:0, Dimensioni:0
Se il problema persiste, copiare il messaggio di errore e il log degli errori e inviarli all'amministratore di sistema. È possibile fare clic sul collegamento del log degli errori per visualizzare i dettagli relativi all'eccezione IndexOutOfBoundsException verificatasi.
La soluzione consiste nell'utilizzare un controllo DNLookup in luogo del controllo Impostare le proprietà seguenti di DNLookup su
:I due controlli presentano un aspetto differente, ma hanno la stessa funzione.
È stata apportata una modifica alle modalità di gestione dell'attributo multivalore DirXML-EntitlementResult. In precedenza i risultati delle autorizzazioni non venivano eliminati da questo attributo. Ora il comportamento di default è cambiato e i risultati vengono eliminati una volta completata l'elaborazione.
È possibile modificare il comportamento di default, specificando se eliminare o meno i risultati delle autorizzazioni e come.
In iManager, accedere alla pagina di panoramica driver di Identity Manager relativa al driver dell'applicazione utente in uso.
Fare clic sulle norme
.Fare clic sulle norme
relative al driver dell'applicazione utente in uso, quindi fare clic su .Fare clic su
.Nell'azione
, digitare una delle opzioni seguenti nel campo :current: dopo la notifica al driver dell'applicazione utente, consente di eliminare il risultato dell'autorizzazione che ha causato l'evento. Si tratta dell'impostazione di default, che viene inoltre utilizzata se non è stato configurato alcun tipo di eliminazione autorizzazioni o se è stato configurato un tipo non valido.
none: consente di non eliminare il risultato dell'autorizzazione.
previous: consente di eliminare tutti i risultati dell'autorizzazione precedenti fuorché quello che ha causato l'evento.
notnewer: consente di eliminare i risultati dell'autorizzazione precedenti compreso quello che ha causato l'evento. In tal modo vengono conservati tutti i risultati creati dopo quello che ha causato l'evento.
Quando si definiscono entità dello strato di astrazione directory che includono classi ausiliarie, tenere presente che tutte le associazioni di classi ausiliarie specificate nella definizione dell'entità vengono aggiunte all'istanza dell'oggetto quando l'entità viene creata o aggiornata dall'applicazione utente. Se la classe ausiliaria inclusa nella definizione dell'entità contiene attributi obbligatori, gli utenti potrebbero rilevare una violazione dello schema. Tale violazione verrà visualizzata nell'applicazione utente come eccezione NDS generica, ovvero mediante un errore NDS (-609) che segnala l'assenza di un valore obbligatorio.
È possibile evitare la visualizzazione del messaggio di errore nell'applicazione utente assicurandosi che sia selezionata la proprietà
dell'attributo. Per impostare tale proprietà, modificare l'attributo nell'editor dello strato di astrazione directory.Per default, il timeout di sessione del server è pari a 20 minuti. È necessario ottimizzare questo valore in base all'ambiente server e di utilizzo in cui verrà eseguita l'applicazione. In generale, è consigliabile che il timeout di sessione sia quanto più ridotto possibile. Se le esigenze aziendali consentono un timeout di 5 minuti, il server potrà rilasciare le risorse inutilizzate molto prima di quanto farebbe con un valore di timeout di 20 minuti, garantendo quindi una velocità più elevata e una maggiore scalabilità.
Tenere presenti, tuttavia, le considerazioni seguenti:
Il timeout di sessione viene impostato nel file web.xml .
Se si modifica l'origine specificando l'attributo di timeout per le attività utente, il valore di questo attributo può essere un numero, in un'unità specificata, oppure un'espressione che viene risolta in millisecondi. Un'espressione deve restituire un'istanza di java.lang.Number.
Esempi:
Se si abilita la notifica e-mail nelle definizioni di richiesta di provisioning ma non si configura alcun server di e-mail, le notifiche si accumulano nel server e non vengono mai inviate. Ciò comporta il progressivo consumo della memoria disponibile.
Se si attiva la notifica e-mail, accertarsi di configurare il server di e-mail in modo che i messaggi vengano effettivamente inviati. Per configurare il server di e-mail, selezionare
in all'interno di iManager.Per default, lo scanner della distribuzione di JBoss viene eseguito ogni cinque secondi. Per un server di produzione, ciò in genere non è necessario e potrebbe influire negativamente sulle prestazioni. È consigliabile pertanto prendere in considerazione l'opportunità di disattivare lo scanner.
Per ulteriori informazioni sull'ottimizzazione per gli ambienti di produzione, fare riferimento al sito di JBoss.
Il client di posta Windows GroupWise e il client Outlook* presentano un problema noto associato alla visualizzazione del testo dell'oggetto da un comando HTML âœmailto:â?. Il problema si verifica quando il browser utilizza una lingua con un set di caratteri a doppio byte, ad esempio cinese, giapponese o coreano.
In tal caso, quando si inviano informazioni sull'identità dalla pagina dei dettagli, nella riga dell'oggetto vengono visualizzati caratteri non validi poiché in questi client di posta non viene eseguita correttamente la riconversione dei caratteri di escape in caratteri normali.
Come conseguenza di questo problema, potrebbero verificarsi alcune anomalie. Ad esempio, è possibile che una parte dell'interfaccia utente venga visualizzata nella lingua localizzata e un'altra parte invece in inglese.
La soluzione consiste nel far corrispondere la lingua del browser alle impostazioni internazionali preferite di Identity Manager. In Firefox, impostare la lingua con il livello di preferenza più elevato. In Internet Explorer, impostare la lingua con il livello di priorità più elevato. Modificare le impostazioni internazionali preferite con iManager o con la funzione Modifica utente dell'applicazione utente di Identity Manager.
È necessario assicurarsi sempre che le codifiche dei caratteri di input e di output corrispondano a quelle utilizzate dall'applicazione di origine o di destinazione. Tutti i caratteri non rappresentabili nell'output selezionato vengono modificati in punti interrogativi (?).
Se si esegue lo strumento di configurazione dell'applicazione utente (per la configurazione delle impostazioni LDAP) in un ambiente di sistema operativo localizzato, tutte le caselle di input di testo vengono visualizzate correttamente. Ad esempio, se sono presenti nomi distinti cinesi in eDirectory o se si immettono caratteri cinesi, questi vengono visualizzati correttamente in un ambiente di sistema operativo cinese. Al contrario, se si utilizza un ambiente di sistema operativo inglese, qualsiasi carattere cinese immesso o restituito da eDirectory viene visualizzato come carattere non leggibile (molto probabilmente sotto forma di quadrato). Tale problema si verifica in quanto le impostazioni internazionali non sono configurate in modo appropriato.
Se si utilizza un ambiente operativo inglese e si desidera visualizzare i caratteri localizzati, eseguire le operazioni seguenti:
- In un ambiente Windows 2000, accedere al Pannello di controllo e selezionare
. Nella scheda , impostare l'opzione sulla lingua locale, ad esempio Cinese (RPC).- In un ambiente Windows 2003, accedere al Pannello di controllo e selezionare
. Nella scheda , selezionare e applicare la modifica.- In un ambiente SUSE Linux, impostare la variabile di ambiente LANG come segue: export LANG=zh_CN
La stessa procedura di base è valida per tutte le lingue.
Le portlet accessorie HTML, dei messaggi, dei flussi di articoli RSS e dei collegamenti non sono state localizzate. Non è stata localizzata inoltre la sezione della guida della portlet dell'editor HTML.
La descrizione della categoria di portlet nella scheda Categoria di Amministrazione portlet contiene caratteri di escape (barre rovesciate visualizzate accanto ai segni maggiore di e minore di). Tale problema sussiste in tutte le lingue localizzate.
In
> , all'interno della finestra di dialogo Preferenze contenuto viene sempre visualizzato in inglese il testo in cui viene segnalato che sono state apportate modifiche al contenuto selezionato e che è necessario fare clic su OK per salvare le modifiche o annullare per continuare senza salvare.Quando viene inviato mediante Identity Manager un messaggio di e-mail contenente una lingua con set di caratteri a doppio byte come il cinese o il giapponese, nel client di e-mail si verifica un problema durante la lettura del messaggio. Se si riscontra tale problema, contattare il supporto tecnico Novell.
Per aggiungere modelli di e-mail localizzati mediante iManager:
Eseguire il login a iManager.
In Ruoli e task, espandere
o .Fare clic su
(nel plug-in Parole d'ordine) o su (in Amministrazione workflow).Identificare il modello di e-mail (senza impostazioni internazionali nel nome) che si desidera copiare. Prendere nota del nome del modello, che dovrà essere utilizzato nel passaggio 5. Fare clic sull'oggetto del modello per aprire il modello e visualizzarne l'oggetto del messaggio, il corpo e i tag di sostituzione. Copiare l'oggetto del messaggio, il corpo (da tradurre) e i tag di sostituzione che si desidera utilizzare nel nuovo nodello. Fare clic su
.Fare clic su
e specificare il nome del modello con un'estensione relativa alle impostazioni internazionali in uso. Ad esempio, per creare un modello Suggerimento per il recupero in tedesco, immettere il nome Suggerimento per il recupero_de, in cui _de corrisponde a deutsch (tedesco). Fare clic su .Se si utilizzano solo due lettere per indicare la lingua e due lettere per indicare il codice di nazione, il comportamento è quello previsto. Se invece si utilizzano impostazioni internazionali con una variante, ad esempio en_US_TX, solo la variante e la lingua vengono prese in considerazione. Evitare di utilizzare varianti delle impostazioni internazionali quando si assegna un nome a un modello di e-mail in questa release.
Nell'elenco dei modelli, fare clic su quello appena creato, ad esempio Suggerimento per il recupero_de, e immettere l'oggetto e il corpo del messaggio tradotti, ad esempio in tedesco. Assicurarsi che non vengano rimossi i tag di sostituzione ai lati del simbolo di dollaro ($) nel corpo del messaggio.
Fare clic su
per immettere o incollare i tag di sostituzione, quindi fare clic su .Fare clic su
, quindi fare clic su .I modelli di e-mail consentono di inviare contenuto localizzato correttamente solo se le impostazioni internazionali preferite vengono impostate per l'utente cui il messaggio è destinato.
È possibile che si generi un'eccezione NullPointerReference quando si utilizza iManager per modificare e salvare le modifiche apportate a determinate richieste di provisioning distribuite da Designer per Identity Manager.
Per i flussi di lavoro in cui si presenta tale problema, eseguire l'intera configurazione utilizzando Designer per Identity Manager.
Per risolvere questo problema, eseguire l'upgrade a NMAS 2.3.9.
Se si desidera utilizzare la configurazione guidata dei certificati dei driver NDS2NDS, è necessario scaricare e installare il plug-in di iManager per Certificate Server.
Assicurarsi sempre che le codifiche dei caratteri di input e di output configurate nel driver per testo delimitato corrispondano a quelle utilizzate dall'applicazione di origine o di destinazione. Eventuali discordanze possono causare errori o corruzione dei dati in Identity Vault o nell'applicazione. I caratteri non rappresentabili nell'output selezionato vengono modificati in punti interrogativi (?).
L'utilizzo di una configurazione del database MySQL non Unicode causa errori dell'analizzatore nelle condizioni seguenti:
Il driver JDBC* utilizza il file di configurazione del server MySQL per stabilire il set di caratteri da usare per il trasferimento di dati da e verso l'applicazione utente/il server MySQL. Il database MySQL per l'applicazione utente di Identity Manager deve utilizzare la codifica UTF-8, che deve essere inoltre specificata nella configurazione del server MySQL.
Se tuttavia è necessario lasciare nella configurazione del server MySQL una codifica set di caratteri differente da UTF-8, è necessario forzare l'utilizzo della codifica corretta da parte del driver JDBC. A tale scopo, aggiungere parametri di connessione alla definizione di connessione JDBC memorizzata nel file mysqlds.xml distribuito con l'applicazione utente.
Creare un database per l'applicazione utente. Utilizzare una codifica caratteri di default utf8 e una collazione di default utf8_bin:
create database [nome-database] character set utf8 collate utf8_bin;
Per ulteriori informazioni sulla sintassi, visitare il sito Web all'indirizzo http://dev.mysql.com/doc/refman/5.0/en/createdatabase.html (in lingua inglese).
Modificare l'elemento <connection-url> nel file mysql-ds.xml distribuito con il file IDMProv.war o IDM.war (ad esempio, è possibile trovare il file in questione seguendo il percorso jboss-4.0.3.SP1/server/idm/deploy/mysql-ds.xml).
Modificare la specifica seguente:
<connection-url>jdbc:mysql://[host]:3306/nome-database]</connection-url>
in questa nuova specifica:
<connection-url>jdbc:mysql://[host]:3306/nome-database]?useUnicode=true&characterEncoding=utf8&connectionCollation=utf8_bin</connection-url>
in cui [host] rappresenta l'host del server di database e [nome-database] rappresenta il nome del database in uso.
I parametri relativi alla connessione MySQL sono illustrati nel sito Web all'indirizzo http://dev.mysql.com/doc/refman/5.0/en/cj-configuration-properties.html (in lingua inglese).
Se si modifica più di una definizione di richiesta di provisioning alla volta, è possibile che le modifiche immesse in una definizione siano visualizzate all'interno di un'altra definizione. Ciò si verifica se si utilizzano le viste relative alla mappatura dei dati e alla notifica e-mail. Per risolvere il problema, modificare una sola definizione di richiesta di provisioning alla volta.
Per altri problemi relativi a Designer fare riferimento al file Readme completo di Designer 1.2. Il file Readme viene fornito con il prodotto Designer ed è inoltre disponibile nell'area del sito Web Novell relativa a Novell Designer per Identity Manager.
Novell, Inc. non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito al contenuto o all'uso di questa documentazione e in particolare non riconosce alcuna garanzia, espressa o implicita, di commerciabilità o idoneità per uno scopo specifico. Novell, Inc. si riserva inoltre il diritto di aggiornare la presente pubblicazione e di modificarne il contenuto in qualsiasi momento, senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica.
Inoltre, Novell, Inc. non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito a qualsiasi software e in particolare non riconosce alcuna garanzia, espressa o implicita, di commerciabilità o idoneità per uno scopo specifico. Novell, Inc. si riserva inoltre il diritto di modificare qualsiasi parte del software Novell in qualsiasi momento, senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica.
Qualsiasi informazione tecnica o prodotto fornito in base a questo Contratto può essere soggetto ai controlli statunitensi relativi alle esportazioni e alla normativa sui marchi di fabbrica in vigore in altri paesi. L'utente si impegna a rispettare la normativa relativa al controllo delle esportazioni e a ottenere qualsiasi licenza o autorizzazione necessaria per esportare, riesportare o importare prodotti finali. L'utente si impegna inoltre a non esportare o riesportare verso entità incluse negli elenchi di esclusione delle esportazioni statunitensi o a qualsiasi paese sottoposto a embargo o che sostiene movimenti terroristici, come specificato nella legislazione statunitense in materia di esportazioni. L'utente accetta infine di non utilizzare i prodotti finali per utilizzi correlati ad armi nucleari, missilistiche o biochimiche. Per ulteriori informazioni sull'esportazione di software Novell, fare riferimento al sito Web all'indirizzo www.novell.com/info/exports/ (in lingua inglese). Novell non si assume alcuna responsabilità relativa al mancato ottenimento, da parte dell'utente, delle autorizzazioni di esportazione necessarie.
Copyright© 2006 Novell, Inc. Tutti i diritti riservati. È vietato riprodurre, fotocopiare, memorizzare su un sistema di recupero o trasmettere la presente pubblicazione senza l'espresso consenso scritto dell'editore.
Novell, Inc. detiene i diritti di proprietà intellettuale relativi alla tecnologia incorporata nel prodotto descritto in questo documento. In particolare, e senza alcuna limitazione, tali diritti di proprietà intellettuale possono includere uno o più brevetti USA riportati all'indirizzo http://www.novell.com/company/legal/patents e uno o più brevetti aggiuntivi o in corso di registrazione negli Stati Uniti e in altri paesi.
Per informazioni sui marchi di fabbrica Novell, vedere l'elenco dei marchi di servizio e di fabbrica Novell.