Sun ONE Identity Server 6.1 版次注意事項

這些版次注意事項包含 Sun™ Open Net Environment (Sun ONE) Identity Server 6.1 版發行時可用的重要資訊。此處將介紹新功能和增強功能、已知的限制和問題、技術備註以及其他資訊。在您開始使用 Identity Server 6.1 之前，請先閱讀本文件。

這些版次注意事項的最新版本位於 Sun ONE 說明文件網站：http://docs.sun.com/prod/sunone。安裝與設定軟體之前，請先查閱此網站，以後應定期檢視最新版次注意事項與手冊。

修訂歷程

表 1 修訂歷程
日期	變更說明
2003 年 12 月 8 日	這些版次注意事項的首次發行版本

Identity Server 6.1 說明文件集

Product Brief 提供 Identity Server 應用程式及其特性與功能的概觀。

移轉指南 提供有關如何將現有資料與 Sun ONE 產品部署移轉至最新版 Identity Server 的詳細資訊。如需有關安裝 Identity Server 的說明，請參閱「Sun Java Enterprise System 2003Q4 安裝指南」。

管理指南 說明如何使用 Identity Server 主控台，以及如何透過指令行管理使用者和服務資料。

Customization and API Guide 說明如何自訂 Identity Server 安裝。它還包含有關如何使用公用 API 在應用程式中增加新服務的說明。

Deployment Guide 提供有關在現有資訊技術基礎架構內規劃 Identity Server 部署的資訊。

版次注意事項 可在本產品發佈之後，於線上獲得。它們匯集了各類最新資訊，包括對目前版次中新功能的描述、已知問題和限制、安裝注意事項，以及如何報告軟體或說明文件的問題。

Identity Server 策略代理程式說明文件集

Identity Server 的策略代理程式適用於本伺服器產品本身之外的不同排程。因此，策略代理程式的說明文件集不在 Identity Server 說明文件核心集之中。本集合包括以下標題：

Web Policy Agents Guide 說明如何在各種網路伺服器和代理伺服器上安裝與配置 Identity Server 策略代理程式。它還包含疑難排解以及每個代理程式的特定資訊。

J2EE Policy Agents Guide 說明如何安裝與配置可以保護各種託管 J2EE 應用程式的 Identity Server 策略代理程式。它還包含疑難排解以及每個代理程式的特定資訊。

版次注意事項 可在此組代理程式發佈之後，於線上獲得。每版代理程式類型一般都有一個版次注意事項檔案。版次注意事項匯集了各類最新資訊，包括對目前版次中新功能的描述、已知問題和限制、安裝注意事項，以及如何報告軟體或說明文件的問題。

Identity Server 6.1 版的新功能

以下各節列出了 Identity Server 6.1 中的新功能和已修正的錯誤。

Java Enterprise System 整合

聯合管理包括 Liberty 1.1 規格需求

支援 SecurID® 認證模組

支援 HTTP Basic 認證模組

支援在 Sun ONE Application Server 7.0 上部署

對 J2EE 容器 (包括 BEA WebLogic® Application Server 和 IBM WebSphere® 應用程式) 的 SDK 支援

用於用戶端認證和單一登入的 C API

對使用者管理的過濾角色支援

密碼重設/遺忘密碼服務

全域設定服務

支援基於資源的階段作業逾時的新策略條件

Identity Server 6.1 中已修正的錯誤

以下是自 Identity Server 6.0 發行以來已修正的最重要錯誤之簡短描述。

表 2 Identity Server 6.1 中已修正的錯誤
錯誤號碼	描述
4787204	在 Directory Server 中，如果 SAML 信任關係使用的是基本認證，則密碼會以明文形式儲存。
4702556	針對簡單搜尋和進階搜尋，使用者搜尋使用不同的範圍。
4784279	在子組織中建立一般策略時收到錯誤。
4787748	無法為沒有定義資源的服務定義參考策略。
4786584	登出無法與多個 Identity Server 實例配合使用。
4816388	聯合管理程式碼中的連接埠 80 問題。
4825448	預先登入服務遺漏 LRURL 的 URL 編碼。
4837673	認證無法從外部 Directory Server 建立具有屬性的使用者。
4757643	附加 Identity Server 實例的除錯目錄必須手動設定讀取和寫入許可權。
4788320	如果經由 SSL 建立了第二個服務實例，則登入失敗。
4781602	與已啟用密碼策略的 Directory Server 一同安裝時會失敗。
4697120	重新載入 [階段作業逾時] 頁面將使用有效的使用者名稱與密碼認證使用者。
4759858	如果沒有將 [開始使用者搜尋的 DN] 設定至物件，使用者登入會失敗。
4756294	必須為多台 SafeWord 伺服器指定不同的目錄。
4738577	使用 amadmin 指令行公用程式建立策略時發生問題。
4786292	Directory Server 為 SSL 模式時，am2bak 不備份服務配置資料。
4786299	復原後 Identity Server 無法建立日誌/除錯檔案。

硬體與軟體需求

表 3 硬體與軟體需求
元件	Solaris 需求
作業系統	Solaris 8 或 Solaris 9 (SPARC^® 平台) 適用於 x86 的 Sun Solaris 9
CPU	Sun Ultra™ 1 (或相容) 工作站
RAM	512 百萬位元組
磁碟空間	200 百萬位元組 (用於 Identity Server 及相關的應用程式)

新資訊

6.1 版不支援 Identity Server 安全服務和 Sun ONE Certificate Server 4.7

Identity Server 6.0 提供與 Sun ONE Certificate Server 4.7 的整合，稱為 Identity Server 安全服務 (ISS)。該整合可在經過 Identity Server 6.0 認證的使用者之 [使用者設定檔] 頁面上提供一個數位證書發佈按鈕。

2003 年 3 月，Sun 宣佈 Certificate Server 終結 (EOL)。因此，Identity Server 6.1 中不提供 ISS 功能，本產品未來版次也不再提供該功能。

勘誤表與 Identity Server 說明文件更新

以下各節列出未納入原始版次的 Identity Server 6.1 說明文件集中的有關 Identity Server 功能的資訊。

在高可用性環境中，Identity Server 不能正確切換。

安裝期間設定的某些預設值可能會導致 Identity Server 在高可用性方案中失敗。在這種方案中，一旦節點切換，Identity Server 主控台將不允許您登入。在高可用性方案中，Identity Server 的兩個安裝實例之加密金鑰應填寫一致。

安裝期間，Identity Server 會移除匿名連結

安裝期間，Identity Server 會移除新目錄 (未佈建) 安裝的匿名連結 ACI。如果您有任何應用程式或範例依賴於匿名連結，則這些應用程式或範例將失敗。Identity Server 不會移除現有 (已佈建) 目錄安裝的 ACI。

Identity Server 的多個實例不包含對映附加

如果您已自訂認證畫面，並且還要使用 amserver 建立新的 Identity Server 實例，但 MAP 不會更新 Identity Server 的 services.war (Web 歸檔檔案)，因此新建立的實例不包含 MAP 附加。

Web 容器重新部署

若要將 .war 檔案重新部署至 Application Server Web 容器，請輸入以下指令：

asadmin deploy -u $IAS7_ADMIN -w $IAS7_ADMINPASSWD -H $SERVER_HOST -p $IAS7_ADMINPORT --type web $SECURE_FLAG --contextroot

$SERVER_DEPLOY_URI --name amserver --instance $IAS7INSTANCE ${BASEDIR}/${PRODUCT_DIR}/services.war

若要將 .war 檔案重新部署至 BEA WebLogic Web 容器，請輸入以下指令：

java weblogic.deploy -url $SERVER_URL -component ${SERVER_DEPLOY_URI}:${WL61 _SERVER} deploy $WL61_ADMINPASSWD

若要將 .war 檔案重新部署至 BEA WebLogic Web 容器，請參閱以下位置的部署說明文件：

已知問題

本節包含 Identity Server 6.1 發行時比較重要的已知問題清單。本節包含以下主題：

認證

對匿名連結認證失敗 (#4919897)

安裝期間，系統會要求您輸入 LDAP 使用者 ID 和 LDAP 密碼。如果您保留這兩個欄位為空白，則依預設，認證期間 Identity Server 會執行至 Directory Server 的匿名連結。此程序依設計方式進行工作。如果 Directory Server 被配置為允許匿名連結存取，則認證將成功，否則認證將失敗。

重新安裝 Identity Server，並務必在安裝期間提供 [LDAP 使用者 ID] 和 [LDAP 密碼] 的值。

重新載入 [階段作業逾時] 頁面將使用有效的使用者名稱與密碼認證使用者 (#4697120)

在登入頁面上，如果使用者等待頁面逾時，然後輸入有效的使用者名稱和密碼，則會看到階段作業逾時頁面。如果使用者重新載入該頁面，則無需重新輸入使用者名稱和密碼，即可認證至 Identity Server。

HTTP Basic 在 Internet Explorer 中無法與 Authlevel 登入配合使用 (#4945190)

執行 Authlevel 登入時，HTTP Basic 認證模組無法與 Internet Explorer 配合使用。

必須為多台 SafeWord 伺服器指定不同目錄 (#4756295)

配置多個使用各自 SafeWord 伺服器的組織時，必須在其 SafeWord 認證服務範本中指定各自的 .../serverVerification 目錄。如果保留預設值，並且所有伺服器都使用同一目錄，則第一個使用其 SafeWord 伺服器認證的組織將是唯一有效的組織。

指令行工具

使用 amserver 不能從 [平台清單] 中正確地刪除 Identity Server 實例 (#4889686)

使用 amserver 指令建立新的 Identity Server 實例，然後將其刪除時，不能從 [服務配置] 標籤的 [平台清單] 中正確刪除該實例。

不能正確刪除啟動程序檔 (#4794971)

使用 multiserverinstall 公用程式建立新的 Identity Server 實例，然後將其刪除時，安裝時建立的啟動程序檔會保留在預設目錄 /etc/rc3.d/ 中。您可以手動移除這些啟動程序檔。

Identity Sever 主控台

重新註冊的服務不能正確顯示 (#4915234)

註冊服務然後將其指定給某位使用者後，該服務應顯示在使用者的設定檔之中。取消註冊該服務後，該服務便不再顯示在使用者的設定檔之中。此程序依設計方式進行工作。但是，如果重新註冊該服務，則在被指定給某位使用者之前，使用者設定檔可能會顯示該服務。這是已知的問題。該服務在被指定給該使用者之前不應顯示。

過濾的角色成員身份未顯示在使用者視區中 (#4947334)

當您檢視某位使用者的角色時，Identity Server 主控台不顯示該使用者之過濾的角色成員身份。

策略與角色排序不正確 (#4914819)

如果您建立大量策略和角色，它們在 Identity Server 主控台中不能正確排序。

已取消註冊的服務被錯誤地列為註冊服務 (#4918930)

如果您僅將一個服務註冊至組織，然後將其取消註冊，它仍會列在 Identity Server 主控台的註冊服務中。

[角色] 頁面中的 [關閉] 按鈕無效 (#4919099)

在 Identity Sever 主控台中，在視區被設定為 roleDN 的已登入使用者之 [角色] 頁面中，按一下 [關閉] 按鈕無效。

聯合管理模組中託管供應程式的更新問題 (#4915894)

在聯合管理模組中，如果您修改並儲存託管供應程式之 [身份供應程式] 視區中的任何屬性，變更將被儲存，但不會更新顯示內容。

透過選取不同模組 (例如，服務配置) 結束聯合管理模組，然後再返回聯合管理模組。這樣會更新顯示內容。

主控台不能更新使用者屬性變更 (#4931455)

Identity Server 主控台 [導覽] 框架不能更新以指示 [資料] 框架中使用者屬性值的變更。手動更新頁面以檢視變更的值。

子組織名稱中的撇號導致錯誤 (#4922287)

建立子組織時，其名稱不允許包含任何撇號 (')。子組織名稱中的撇號會導致 javascript 錯誤。

記錄服務

啟用 Java Security 時發生記錄問題 (#4926520)

啟用 Java Security 時，如果您擁有 JDK 1.4 之前的版本，請在 Java 安全檔案中納入以下許可權：

策略

策略範例問題 (#4923898)

位於策略範例中的 Readme.html 不包括導致範例無法執行的資訊。為執行範例，LD_LIBRARY_PATH 需要包括 NSPR、NSS 以及 JSS 共用程式庫的路徑。

將環境變數 LD_LIBRARY_PATH 設定為 /usr/lib/mps/secv1。如果未正確設定此項，則將發生錯誤。

階段作業服務

不能清除閒置階段作業 (#4959071)

目前不能正確清除閒置階段作業。請與支援人員聯絡，以取得解決此問題的修補程式。請參閱「如何報告問題和提供回饋」，以取得更多資訊。

SDK

命名屬性應為小寫 (#4931163)

由於 SDK 中的限制，命名屬性必須為小寫。例如，如果您在 Directory Server 上安裝 Identity Server 實例，並在使用者命名屬性定義為 CN 的情況下載入 Identity Server 綱目，則建立使用者將失敗。

變更 Directory Sever 主控台中的命名屬性。例如，將建立範本的 basicuser 使用者命名屬性從 CN 變更為 cn。

群組建立選項僅加入一個 memberURL 屬性 (#4931958)

如果您透過多重 LDAP 過濾器選項 (-f) 建立群組，則該群組不會被正確建立，且僅包含一個 memberURL 屬性。

服務註冊問題 (#4853809)

如果您建立服務範本並在父系組織中註冊它們，然後嘗試為子組織註冊它們，則在父系組織中註冊的某些服務不會被註冊，但 amConsole.access 卻顯示這些服務已被註冊。

「服務類型」角色的使用者登入時服務消失 (#4931907)

如果「服務類型」角色中的使用者在管理員啟動視區設定為 orgDN 的情況下登入 Identity Server，然後嘗試取消註冊服務，則所有列出的服務都會消失。

單一登入

使用不同的部署 URI 無法執行 SSO (#4770271)

如果兩個不同 Identity Server 實例的部署 URI 不同，則單一登入將無法正確發揮作用。

國際化 (i18n)

zh_CN.GB18030 語言環境問題 (#4925958)

在 zh_CN.GB18030 語言環境中啟動 Identity Server 時，可能會發生問題，包括檔案損壞以及無法啟動 Identity Server 功能。

在 Identity Server 主控台中，移至全域設定服務並將 UTF-8 設定為 zh 語言環境的預設字元集。

使用多位元組角色參數登入 ja 字元集的 URL 時，登入頁面失敗 (#4905708)

如果您建立多位元組角色，然後使用已註冊至該多位元組角色的使用者身份嘗試進行 URL 登入，則登入頁面將產生失敗錯誤。

解決方法
為使認證框架解碼 URL 中指定的多位元組角色值，需要隨參數指定 gx_charset。例如：

http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charset=utf-8

URL 中的語言環境參數顯示混雜的登入頁面 (#4915137)

如果您使用的是基於非英文的瀏覽器，並且 Identity Server 實例與 Web Server 一同安裝，則登入 http://<host>:<port>/amserver/UI/Login?locale=en 時，登入頁面顯示的字元既有英文又有非英文。

適用於 HTTP Basic 的非本地化錯誤訊息 (#4921418)

如果使用 HTTP Basic 認證模組登入，則按一下 [取消] 按鈕，螢幕上會顯示非本地化錯誤訊息。此錯誤僅在使用 Application Server 部署 Identity Server 時發生。

韓語字元集的預設全域設定錯誤 (#4921424)

目前，全域設定服務中每種語言環境屬性所支援的字元集包含以下預設值：

Application Server 為 ja 時，[登入] 視窗中為混雜的語言環境 (#4932089)

瀏覽器語言設定為 en，而 Application Server 的語言環境設定為 ja 時，Identity Server 的登入視窗不會預設回英文。

鎖定通知傳送不可讀的電子郵件 (#4938511)

如果您所執行的 Identity Server 之 Web 容器的喜好語言環境設定為 C 以外的任何語言環境，並且使用者被鎖定於伺服器之外，則系統將傳送鎖定通知電子郵件，但電子郵件不可讀。

在 [傳送鎖定通知的電子郵件位址] 屬性中設定 email|local|charset (而不只是 email 參數)。例如：

zh_CN.GB18030 語言環境的 Javascript 錯誤 (#4948665)

如果已啟動語言環境定義為 zh_CN.GB180130 的 Web 容器，則 Identity Server 將顯示 Javascript 錯誤。

如果 serverconfig.xml 不是 UTF-8 格式，則無法使用 amserver 重新啟動伺服器 (#4910650)

安裝之後，ampssword 將更新 serverconfig.xml，並且依預設，serverconfig.xml 為 UTF-8。如果 serverconfig.xml 包括多位元組資料，並且您在非 UTF-8 語言環境中執行 ampassword，則 serverconfig.xml 將為 natice 編碼，amserver 將無法重新啟動伺服器。

已修正的語言環境中的衝突解決層級 (#4922030)

如果使用者在特定語言環境 (例如 zh) 中登入 Identity Server 主控台，註冊認證配置服務，建立服務範本，然後登出再以不同語言環境登入，則列出的衝突解決層級項目將錯誤地使用原始語言環境的格式。

am2bak 和 bak2am 版本訊息僅為英文 (#4930610)

在本版次中，只有 am2bak 和 bak2am 復原公用程式的英文版本訊息可用。

多位元組名稱在自行註冊中無效 (#4732470)

如果您在自行註冊模組中使用多位元組名字、姓氏以及全名建立使用者，然後選取一個多位元組名稱並按一下 [提交]，則儲存此使用者設定檔時會發生錯誤。對於將姓氏列在前面的管理員而言，這一點很重要。

日文版 Identity Server 無法與 Netscape 6.22 和 6.23 配合使用 (#4902421)

在日文版 Identity Server 6.1 中，您無法使用 Netscape 6.22 或 6.23 登入主控台。

時間條件格式不變 (#4888416)

在策略定義的時間條件中，不論語言環境為何，以下時間顯示格式均不變：

適用於 backup_restore.po 中 msgid-msgstr 對的訊息未本地化 (#4916683)

如果收到說明 backup_restore.po 程序檔中遺漏 msgid-mgstr 對且 Directory Server 證書未備份的訊息，Directory Server 仍會備份。本訊息未被本地化。

[用戶端偵測] 畫面未本地化 (#4922013)

在本版次中，[用戶端偵測] 介面的 [目前樣式特性] 畫面部分未本地化。

更新的 genericHTML 用戶端特性未被套用 (#4922348)

如果您從用戶端偵測服務之 genericHTML 用戶端特性中的字元集清單內移除 UTF-8，儲存變更，啟用用戶端偵測，然後登出再登入，登入頁面仍為 UTF-8 字元集。

日誌檔標頭未本地化 (#4923536)

所有日誌檔的頭兩行未本地化，特別是 Version 和 Fields 區段及其欄位清單。

amSSO.access 中的資料欄位值未本地化 (#4923549)

Exception.jsp 具有固化程式碼訊息 (#4773213)

Exception.jsp 未本地化，且包含固化程式碼標題、錯誤訊息以及版權資訊。

如何報告問題和提供回饋

如果您遇到有關 Sun ONE Identity Server 的問題，請使用以下機制之一與 Sun 客戶支援人員聯絡：

為便於我們最有效地協助您解決問題，請在聯絡支援人員時準備好以下資訊：

Sun 歡迎您提出意見

Sun 有志於改善其說明文件，並歡迎您提出意見和建議。請使用電子郵件將您的意見傳送給 Sun，位址如下：

請在電子郵件的主題行中填寫您要討論的文件之文件號碼與完整標題。文件號碼位於本書標題頁面上，通常是七位或十位數字，例如：123-4567-10。

其他 Sun 資源

Sun、Sun Microsystems、Sun 標誌、Solaris、Java 和 Java 咖啡杯標誌是 Sun Microsystems, Inc. 在美國和其他國家/地區的商標或註冊商標。Identity Server 的使用應遵守其隨附的授權合約中的規定。

Sun™ ONE Identity Server 6.1 版次注意事項

版本 6.1