Sun ONE Identity Server 6.1 发行说明

Sun™ ONE Identity Server 6.1 发行说明

版本 6.1

部件号 817-3784-10

2003 年 12 月

这些发行说明包含 Sun™ Open Net Environment (Sun ONE) Identity Server 6.1 版发行时可用的重要信息。这里介绍了新功能和增强功能、已知的限制和问题、技术说明及其它信息。开始使用 Identity Server 6.1 之前,请先阅读此文档。

您可以在 Sun ONE 文档 Web 站点 http://docs.sun.com/prod/sunone 找到这些发行说明的最新版本。请在安装和设置软件之前先访问此 Web 站点,以后再定期查看最新的发行说明和手册。

本发行说明包含以下内容:


版本历史记录

表 1 版本历史记录

日期

更改说明

2003 年 12 月 8 日

这些发行说明的初始版本


Identity Server 6.1 文档集

Identity Server 文档集包含以下内容:

Identity Server Policy Agent 文档集

获得 Identity Server Policy Agent 的时间与获取服务器产品本身的时间不同。因此,Policy Agent 文档集可以在 Identity Server 核心文档集之外获得。本文档集包括以下内容:


Identity Server 版本 6.1 的新功能

以下各节列出了 Identity Server 6.1 的新功能和固有的错误。

Identity Server 6.1 中已修正的错误

下表简要说明了自 Identity Server 6.0 发布以来最重要的固有错误。

表 2 Identity Server 6.1 中已修正的错误

错误编号

说明

4787204

如果 SAML 信赖关系使用基本验证,则密码将以明文形式存储在 Directory Server 中。

4702556

用户搜索使用不同的范围进行简单搜索和高级搜索。

4784279

在子组织中创建标准策略时收到错误。

4787748

无法为未定义资源的服务定义候选策略。

4786584

无法在多个 Identity Server 实例中同时执行注消。

4816388

联合管理代码中的端口 80 有问题。

4825448

预登录服务缺少 LRURL 的 URL 编码。

4837673

验证无法使用来自外部 Directory Server 的属性创建用户。

4757643

必须手动设置对其它 Identity Server 实例的调试目录的读写权限。

4788320

如果第二个服务实例是通过 SSL 创建的,则登录将失败。

4781602

如果 Directory Server 启用了密码策略,则安装将失败。

4697120

重新装入会话超时页面将验证用户的有效用户名和密码。

4759858

如果未将起始用户搜索的 DN 设置为对象,则用户登录将失败。

4756294

必须为多个 SafeWord 服务器指定不同的目录。

4738577

使用 amadmin 命令行实用程序创建策略时出现问题。

4786292

Directory Server 处于 SSL 模式时,am2bak 不备份服务配置数据。

4786299

Identity Server 无法在恢复后创建日志/调试文件。


硬件和软件要求

本发行版的 Identity Server 要求配备以下硬件和软件。

表 3 硬件和软件要求

组件

Solaris 要求

操作系统

Solaris 8 或 Solaris 9(SPARC® 平台)

Sun Solaris 9 用于 x86

CPU

Sun Ultra™ 1(或兼容)工作站

RAM

512 MB

磁盘空间

200 MB,用于 Identity Server 和相关的应用程序


新信息

本节包括在核心产品文档中未包含的最新信息。

6.1 中不支持 Identity Server 安全服务 (Sun ONE Certificate Server 4.7)

Identity Server 6.0 提供与名为 Identity Server 安全服务 (ISS) 的 Sun ONE Certificate Server 4.7 的集成。此集成允许经 Identity Server 6.0 验证的用户在其用户配置文件页面中显示数字证书发布按钮。

在 2003 年 3 月,Sun 已宣布 Certificate Server 使用期已满 (EOL)。因此,Identity Server 6.1 中不存在 ISS 功能,本产品将来的发行版中也不再提供 ISS 功能。

Errata 和 Identity Server 文档更新

下一节列出了有关 Identity Server 功能的信息,该信息未包含在 Identity Server 6.1 文档集的原始发行版中。

Identity Server 无法在高可用性环境中正确切换

安装过程中设置的部分默认值可能导致 Identity Server 在高可用性方案中失败。在此类方案中,切换节点之后,Identity Server 控制台将不允许您登录。在高可用性方案中,应为 Identity Server 的两个安装实例填写相同的加密密钥。

Identity Server 在安装过程中删除匿名绑定

在安装过程中,Identity Server 删除匿名绑定 ACI,以便进行一次新的目录(未预设的)安装。如果有依赖匿名绑定的应用程序或样例,则它们将失败。Identity Server 不会删除用于现有(预设的)目录安装的 ACI。

多个 Identity Server 实例不包含附加 MAP

如果您有自定义的验证屏幕,而且正在使用 amserver 创建新的 Identity Server 实例,则 MAP 不会更新 Identity Server 的 services.war(Web 归档文件),因此新创建的实例不会包含附加 MAP。

解决方法

更新 services.war 文件。默认情况下,此文件位于以下位置:

IdentityServer_base/SUNWam/services.war

要更新 services.war 文件,请输入以下命令:

jar -uvf services.war IdentityServer_base/SUNWam/services.war

uvf 选项将用已修改的新文件替换旧文件。例如:

cd /opt/SUNWam

jar -uvf services.war index.html

rm index.html

可以修改以下文件:

Web 容器重新部署

要将 .war 文件重新部署到 Application Server 的 Web 容器中,请输入以下命令:

asadmin deploy -u $IAS7_ADMIN -w $IAS7_ADMINPASSWD -H $SERVER_HOST -p $IAS7_ADMINPORT --type web $SECURE_FLAG --contextroot

$SERVER_DEPLOY_URI --name amserver --instance $IAS7INSTANCE ${BASEDIR}/${PRODUCT_DIR}/services.war

要将 .war 文件重新部署到 BEA WebLogic 的 Web 容器中,请输入以下命令:

java weblogic.deploy -url $SERVER_URL -component ${SERVER_DEPLOY_URI}:${WL61 _SERVER} deploy $WL61_ADMINPASSWD

${SERVER_DEPLOY_URI}

${BASEDIR}/${PRODUCT_DIR} /services.war

要将 .war 文件重新部署到 BEA WebLogic 的 Web 容器中,请参见位于以下位置的部署文档:

http://www-3.ibm.com/software/webservers/studio/doc/v40/studioguide/en/html/sdsscenario1.html


已知问题

本节包含发行 Identity Server 6.1 时已知的重要问题的列表。本节包括以下主题:

验证

匿名绑定导致验证失败 (#4919897)

安装过程中,系统将要求您输入 LDAP 用户 ID 和 LDAP 密码。如果将这两个字段保留为空,则默认情况下,Identity Server 将在验证过程中执行到 Directory Server 的匿名绑定。这与设计的运行方式相同。如果将 Directory Server 配置为允许匿名绑定访问,则验证将成功;否则,验证将失败。

解决方法

重新安装 Identity Server,并确保在安装过程中提供 LDAP 用户 ID 和 LDAP 密码的值。

重新装入会话超时页面将验证用户的有效用户名和密码 (#4697120)

在登录页面中,如果用户等待页面超时,然后输入了有效的用户名和密码,则用户将看到会话超时页面。如果用户重新装入此页面而未重新输入用户名和密码,则将通过 Identity Server 验证用户。

HTTP Basic 不能在 Internet Explorer 中与 Authlevel 登录一起使用 (#4945190)

执行 Authlevel 登录时,HTTP Basic 验证模块不能在 Internet Explorer 中使用。

必须为多个 SafeWord 服务器指定不同的目录 (#4756295)

配置多个使用各自 SafeWord 服务器的组织时,必须在其 SafeWord 验证服务模板中指定各自的 .../serverVerification 目录。如果您保留默认值,并且所有服务器均使用同一目录,则第一个要通过其 SafeWord 服务器进行验证的组织将成为唯一有效的组织。

命令行工具

使用 amserver 不能从平台列表中正确删除 Identity Server 实例 (#4889686)

先使用 amserver 命令创建新的 Identity Server 实例,然后再删除此实例,则此实例不会从服务配置标签中的平台列表中删除。

解决方法

要从平台列表中手动删除实例名称,请:

  1. 在服务配置标签中,单击左侧框架中的平台。
  2. 在右侧框架的服务器列表中,选择实例名称,然后单击删除。

未正确删除启动脚本 (#4794971)

先使用 multiserverinstall 实用程序创建新的 Identity Server 实例,然后再删除此新实例,则安装时创建的启动脚本将保留在默认目录 /etc/rc3.d/ 中。您可以手动删除这些启动脚本。

示例:

cd /etc/rc3.d

rm S86amserver.<instanceName>

rm K86amserver.<instanceName>

Identity Sever 控制台

无法正确显示重新注册的服务 (#4915234)

在您注册了一项服务,然后将此服务指定给某位用户后,此服务应显示在用户配置文件中。您撤消注册服务后,此服务将不再显示在用户配置文件中。这与设计的运行方式相同。但是,如果您在将服务指定给用户前重新注册此服务,则用户配置文件中可能显示此服务。这是已知的问题。直到您将此服务指定给用户,才应该显示此服务。

用户视图中无法显示过滤后的角色成员身份 (#4947334)

当您查看用户的角色时,Identity Server 控制台不能显示用户过滤后的角色成员身份。

策略和角色排序不正确 (#4914819)

如果您创建了大量策略和角色,则它们不会在 Identity Server 控制台中以正确的顺序排序。

未注册服务被错误地作为已注册服务列出 (#4918930)

如果您仅将一项服务注册到组织,然后又撤消注册此服务,则此服务仍会列在 Identity Server 控制台中的已注册服务下。

角色页面中的关闭按钮不起作用 (#4919099)

如果用户登录时视图设置为 roleDN,则在 Identity Sever 控制台中,单击角色页面中的关闭按钮不起作用。

联合管理模块中的托管提供商存在刷新问题 (#4915894)

在联合管理模块中,如果您在托管提供商的身份提供商视图中修改并保存了任何属性,则您的更改将被保存,但不会在显示中自动刷新。

解决方法

通过选择另一个模块(例如,服务配置)退出联合管理模块,然后再返回联合管理模块。这将刷新显示。

控制台不能刷新用户属性更改 (#4931455)

Identity Server 控制台的浏览框不能刷新,因此无法指明在数据框中所作的用户属性值的更改。手动刷新页面,以查看已更改的值。

子组织名称中的撇号导致错误 (#4922287)

创建子组织时,名称中不应包含任何撇号 (′)。子组织名称中的撇号导致 javascript 错误。

日志服务

启用 Java 安全性时出现日志问题 (#4926520)

启用 Java 安全性时,jdk_logging.jar 可能无法运行。

解决方法

启用了 Java 安全性后,如果您使用的是 JDK 1.4 以前的版本,则请在 Java 安全性文件中包含以下权限:

permission java.lang.RuntimePermission shutdownHooks

策略

策略范例有问题 (#4923898)

位于策略范例中的 Readme.html 不包括导致范例无法运行的信息。为了运行范例,LD_LIBRARY_PATH 需要包含到 NSPRNSSJSS 共享库的路径。

将环境变量 LD_LIBRARY_PATH 设置为 /usr/lib/mps/secv1。如果未正确设置此环境变量,您将遇到错误。

会话服务

未清除闲置会话 (#4959071)

当前未正确清除闲置会话。请与支持人员联系,以获得修补程序以解决此问题。有关详细信息,请参见如何报告问题和提供反馈

SDK

命名属性应为小写 (#4931163)

由于 SDK 的限制,命名属性必须为小写。例如,如果您在 Directory Server 之上安装了 Identity Server 实例,并按定义为 CN 的命名属性装入用户 Identity Server 模式,则用户创建将失败。

解决方法

在 Directory Sever 控制台中更改命名属性。例如,将创建模板的 basicuser 用户命名属性由 CN 更改为 cn

组创建选项仅添加一个 memberURL 属性 (#4931958)

如果您使用多个 LDAP 过滤器选项 (-f) 创建了一个组,则不能正确创建只有一个 memberURL 属性的组。

服务注册问题 (#4853809)

如果您创建了服务模板,并在父组织中进行了注册,然后尝试为子组织注册这些模板,则已在父组织中注册的某些服务将无法在子组织中注册,尽管 amConsole.access 显示这些服务已注册。

解决方法

刷新 Identity Server 控制台并重新注册服务。

用户以服务类型角色登录时服务消失 (#4931907)

如果以服务类型角色登录的用户在管理起始视图设置为 orgDN 的情况下登录到 Identity Server,然后用户尝试撤消注册某项服务,则列出的所有服务将消失。

解决方法

重新启动服务器,服务将重新显示。

单点登录

无法用不同的部署 URI 执行 SSO (#4770271)

如果两个不同 Identity Server 实例间的部署 URI 不同,则单点登录将无法正常运行。

国际化 (i18n)

使用 zh_CN.GB18030 语言环境时出现问题 (#4925958)

zh_CN.GB18030 语言环境中启动 Identity Server 时可能会出现包括文件损坏和启动 Identity Server 功能失败这样的问题。

解决方法

在 Identity Server 控制台中,转至全球化设置服务,并将 UTF-8 设置为用于 zh 语言环境的默认字符集。

对于 ja 字符集,使用多字节角色参数登录 URL 时,登录页面失败 (#4905708)

如果您创建了多字节角色,然后尝试以已经注册为多字节角色的用户登录 URL,则登录页面将产生失败错误。

解决方法为使验证框架对 URL 中指定的多字节角色值进行解码,您需要同时指定 gx_charset 和参数。例如:

http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charset=utf-8

URL 中的语言环境参数显示混合语言的登录页面 (#4915137)

如果您现在将基于非英语的浏览器与用 WebServer 安装的 Identity Server 实例一起使用,并且登录到 http://<host>:<port>/amserver/UI/Login?locale=en,则登录页面将显示英语和非英语的混合字符。

解决方法

将以下符号链接

/opt/SUNWam/web-apps/services/config/auth/default

更改为

/opt/SUNWam/web-apps/services/config/auth/default_en

HTTP Basic 的错误消息未本地化 (#4921418)

如果您使用 HTTP Basic 验证模块登录,并单击取消按钮,将会显示未本地化错误消息。仅在用 Application Server 部署 Identity Server 时才出现此消息。

韩语字符集的默认全球化设置不正确 (#4921424)

在全球化设置服务中,各个语言环境属性支持的字符集当前均包含以下默认值:

locale=ko|charset=UTF-8;Johab

该值应包含以下语言环境:

UTF-8;EUC-KR

Application Server 为 ja 时,登录窗口中为混合语言 (#4932089)

当浏览器的语言设置为 en,而 Application Server 的语言环境设置为 ja 时,Identity Server 登录窗口不会改变为默认的英文。

解决方法

运行语言环境设置为 en 的 Application Server。

锁定通知发送不可读的电子邮件 (#4938511)

如果您用 Web 容器(此 Web 容器的首选语言环境已设置为除 C 之外的任一值)运行 Identity Server,并且有一个用户被服务器锁定,则会发送锁定通知电子邮件,但是它不可读。

解决方法

在用于发送锁定通知的电子邮件地址属性中,设置 email|local|charset(而不仅仅是 email 参数)。例如:

user1@example.com|zh|GB2312

使用 zh_CN.GB18030 语言环境时出现 Javascript 错误 (#4948665)

如果启动 Web 容器时将语言环境定义为 zh_CN.GB180130,Identity Server 将显示一个 Javascript 错误。

解决方法

在其它语言环境(例如 Czh)中重新启动服务器。

serverconfig.xml 不为 UTF-8 格式时无法用 amserver 重新启动服务器 (#4910650)

ampssword 将更新 serverconfig.xml,并且在默认情况下,serverconfig.xml 在安装后为 UTF-8 格式。如果 serverconfig.xml 包含多字节数据,并且您在非 UTF-8 语言环境中运行 ampassword,则 serverconfig.xml 将为 natice 编码。amserver 将无法重新启动服务器。

解决方法

在 UTF-8 语言环境中运行 ampassword,然后再重新启动 amserver

固定语言环境中的冲突解决级别 (#4922030)

如果用户在特定的语言环境(例如 zh)中登录到 Identity Server 控制台,则注册了验证配置服务,为服务创建了模板,然后注消并在另一种语言环境中重新登录后,冲突解决级别项目将以原始语言环境的格式不正确地列出。

仅有英文 am2bak 和 bak2am 版本消息 (#4930610)

本发行版仅能提供英文版的 am2bakbak2am 恢复实用程序的版本消息。

多字节名称在自注册中不起作用 (#4732470)

如果您在自注册模块中创建了一个名字、姓氏和全名均为多字节的用户,然后选择一个多字节名称并单击提交,则存储用户配置文件时将会出现错误。这对于将姓氏列在前面的位置的管理员很重要。

解决方法

  1. 在 Directory Server 控制台,单击配置标签。
  2. 依次单击插件、7 位检查和从参数中清除 UID。
  3. 单击保存。
  4. 重新启动 Directory Server。

日文版 Identity Server 不能与 Netscape 6.22 和 6.23 一起运行 (#4902421)

在日文版 Identity Server 6.1 中,您不能用 Netscape 6.22 或 6.23 登录控制台。

时间条件格式未更改 (#4888416)

在为策略定义的时间条件中,不管采用何种语言环境,以下时间显示格式都不会更改:

Hour:Munute AM/PM

backup_restore.po 中用于 msgid-msgstr 对的消息未本地化 (#4916683)

如果您收到说明 backup_restore.po 脚本中缺少 msgid-mgstr 对并且 Directory Server 证书未备份的消息,但 Directory Server 仍会备份该证书。此消息尚未本地化。

客户机检测屏幕未本地化 (#4922013)

在本发行版中,客户机检测界面的当前式样属性屏幕的某些部分未本地化。

已更新的 genericHTML 客户机属性未被应用 (#4922348)

如果您从客户机检测服务的 genericHTML 客户机属性中的字符集列表中删除了 UTF-8,然后保存此更改,启动客户机检测,注消再重新登录,则登录页面仍然使用 UTF-8 字符集。

解决方法

amserver 重新手动启动服务器。

日志文件标题未本地化 (#4923536)

所有日志文件的前两行均未本地化,特别是 VersionField 部分及其字段列表。

amSSO.access 中的数据字段值未本地化 (#4923549)

amSSO.access 日志文件中,Data 字段下的所有值均未本地化。

Exception.jsp 有固定编码的消息 (#4773213)

Exception.jsp 未本地化,它包含固定编码的标题、错误消息和版权信息。


如何报告问题和提供反馈

如果您的 Sun ONE Identity Server 有问题,请使用以下机制之一与 Sun 客户支持人员联系:

为使我们能够更好地帮助您解决问题,请在联系支持人员时准备好以下信息:

Sun 欢迎您提出宝贵意见

Sun 非常愿意改进其文档,并欢迎您提出意见和建议。请将您的意见通过电子邮件发送到 Sun 的以下地址:

请在电子邮件的主题行中输入要发送文档的部件号和完整的标题。您可以在本书的标题页面找到部件号,部件号通常包含七个或十个数字(例如,123-4567-10)。


其它 Sun 资源

您可以从以下 Internet 位置找到有用的 Sun ONE 信息:


版权所有 © 2003 Sun Microsystems, Inc.。保留所有权利。

Sun、Sun Microsystems、Sun 徽标、Solaris、Java 和 Java 咖啡杯徽标是 Sun Microsystems, Inc. 在美国和其它国家/地区的商标或注册商标。Identity Server 的使用应遵循其附带的许可证协议中说明的条款。