Access Manager 7 2005Q4 Patch 2
Le patch 2 (révision 02) d'Access Manager 7 2005Q4 a résolu de nombreux problèmes, répertoriés dans le fichier LISEZMOI accompagnant le patch. Le patch 2 inclut également les nouvelles fonctions et problèmes connus suivants :
Nouvelles fonctions du patch 2
-
Nouvelles propriétés des caches User Management, Identity Repository et Service Management
-
Nouvelle propriété pour le fournisseur de services de fédération
Problèmes et restrictions connus du patch 2
Nouvelles propriétés des caches User Management, Identity Repository et Service Management
Le patch 2 inclut également les nouvelles propriétés suivantes pour les caches User Management (Access Manager SDK), Identity Repository (IdRepo) et Service Management. Ces propriétés vous permettent d'activer et de désactiver les différents caches indépendamment, en fonction de vos besoins de déploiement et de définir la durée de vie des entrées de cache.
Tableau 3 Nouvelles propriétés des caches User Management, Identity Repository et Service Management|
Propriété |
Description |
|
Nouvelles propriétés d'activation/désactivation de caches |
|
|
com.iplanet.am.sdk.caching.enabled |
Propriété globale activant (vrai) ou désactivant (faux) les caches Identity Repository (IdRepo), User Management et Service Management. Si cette propriété est réglée sur vrai ou absente du fichier AMConfig.properties , les trois caches sont activés. |
|
Remarque Les trois propriétés suivantes pour activer ou désactiver les caches spécifiques ne s'appliquent que si la propriété globale ci-dessus est réglée sur faux. |
|
|
com.sun.identity.amsdk.cache.enabled |
Active (vrai) ou désactive (faux) le cache User Management (Access Manager SDK) uniquement. |
|
com.sun.identity.idm.cache.enabled |
Active (vrai) ou désactive (faux) le cache Identity Repository (IdRepo) uniquement. |
|
com.sun.identity.sm.cache.enabled |
Active (vrai) ou désactive (faux) le cache Service Management uniquement. |
|
Nouvelles propriétés du cache User Management de durée de vie |
|
|
com.iplanet.am.sdk.cache.entry.expire.enabled |
Active (vrai) ou désactive (faux) le délai d'expiration (défini par les deux propriétés suivantes) du cache User Management. |
|
com.iplanet.am.sdk.cache.entry.user.expire.time |
Définit la durée de validité en minutes des entrées utilisateur du cache User Management après leur dernière modification. A savoir, après la durée spécifiée écoulée (après la dernière modification ou lecture dans le répertoire), les données de l'entrée mise en cache expirent. De nouvelles demandes de données pour ces entrées doivent alors être lues depuis le répertoire. |
|
com.iplanet.am.sdk.cache.entry.default.expire.time |
Définit la durée de validité en minutes des entrées non-utilisateur du cache User Management après leur dernière modification. A savoir, après la durée spécifiée écoulée (après la dernière modification ou lecture dans le répertoire), les données de l'entrée mise en cache expirent. De nouvelles demandes de données pour ces entrées doivent alors être lues depuis le répertoire. Nouvelles propriétés de durée de vie du cache Identity Repository |
|
com.sun.identity.idm.cache.entry.expire.enabled |
Active (vrai) ou désactive (faux) le délai d'expiration (défini par les deux propriétés suivantes) du cache IdRepo. |
|
com.sun.identity.idm.cache.entry.default.expire.time |
Définit la durée de validité en minutes des entrées non-utilisateur du cache IdRepo après leur dernière modification. A savoir, après la durée spécifiée écoulée (après la dernière modification ou lecture dans le référentiel), les données de l'entrée mise en cache expirent. De nouvelles demandes de données pour ces entrées doivent alors être lues depuis le référentiel. |
Utilisation des nouvelles propriétés de cache
Les patchs Access Manager 7 2005Q4 n'ajoutent pas automatiquement les nouvelles propriétés de cache au fichier AMConfig.properties.
Pour utiliser les nouvelles propriétés de cache :
-
A l'aide d'un éditeur de texte, ajoutez les propriétés et leurs valeurs au fichier AMConfig.properties dans le répertoire suivant, en fonction de votre plate-forme :
-
Systèmes Solaris : /etc/opt/SUNWam/config
-
Systèmes Linux : /etc/opt/sun/identity/config
-
-
Redémarrez le conteneur Web d'Access Manager pour appliquer les valeurs.
Nouvelle propriété pour le fournisseur de services de fédération
La nouvelle propriété com.sun.identity.federation.spadapter définit la classe de mise en œuvre de com.sun.identity.federation.plugins.FederationSPAdapter qui permet d'ajouter le traitement spécifique à l'application pendant le traitement de fédération côté fournisseur de services.
Voir aussi CR# 6385696 : Les IDP et SP existants et nouveaux n'apparaissent pas..
Prise en charge de la condition de filtre LDAP
La prise en charge de la condition de filtre LDAP est ajoutée dans le patch 2. Un administrateur de stratégies peut désormais spécifier un filtre LDAP dans la condition lors de la définition d'une stratégie. La stratégie ne s'applique à l'utilisateur que si l'entrée LDAP de l'utilisateur est conforme au filtre LDAP spécifié dans la condition. L'entrée LDAP de l'utilisateur est recherchée dans le répertoire indiqué dans le service de configuration de la stratégie.
Pour enregistrer et utiliser la condition de filtre LDAP, exécutez les commandes suivantes une fois Access Manager 7 patch 2 installé. Elles sont illustrées avec Access Manager installé dans le répertoire par défaut sous Solaris :
# /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -s /etc/opt/SUNWam/AddLDAPFilterCondition.xml # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml
Remarque sur le patch 5 Si vous avez ajouté Access Manager 7 2005Q4 Patch 5 et exécuté le script updateschema.sh, vous n'avez pas besoin de charger ces fichiers à l'aide de amadmin. Pour plus d'informations, consultez la section Nouveau script updateschema.sh de chargement des fichiers LDIF et XML.
CR# 6283582 : Le nombre d'échecs de connexion n'est pas réparti entre les instances d'Access Manager.
Une fois Access Manager 7 patch 2 installé, exécutez les commandes suivantes, illustrées avec Access Manager installé dans le répertoire par défaut sous Solaris :
# cd DirectoryServer-base/shared/bin # ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort -D "cn=Directory Manager" -w DirectoryMangerPassword -a -f /etc/opt/SUNWam/accountLockout.ldif # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/accountLockoutData.xml
La valeur par défaut de DirectoryServer-base est /var/opt/mps/serverroot sous Solaris et /var/opt/sun/directory-server sous Linux.
Remarque sur le patch 5 Si vous avez ajouté Access Manager 7 2005Q4 Patch 5 et exécuté le script updateschema.sh, vous n'avez pas besoin de charger ces fichiers à l'aide de amadmin. Pour plus d'informations, consultez la section Nouveau script updateschema.sh de chargement des fichiers LDIF et XML.
CR# 6293673 : Les informations de session d'origine doivent être conservées pendant l'envoi de la notification du délai d'expiration de session.
La nouvelle propriété com.sun.identity.session.property.doNotTrimList du fichier AMConfig.properties peut contenir une liste des noms de propriétés de session séparés par une virgule. Une fois qu'une session a expiré, les propriétés définies dans cette liste ne seront pas supprimées afin de pouvoir y accéder avant la purge de la session. Exemple :
com.sun.identity.session.property.doNotTrimList=UserId,HostName
CR# 6244578 : Access Manager doit avertir l'utilisateur que la prise en charge de cookie/l'activation des cookies de navigateur est désactivée/indisponible.
La nouvelle propriété com.sun.identity.am.cookie.check du fichier AMConfig.properties indique si le serveur doit vérifier la prise en charge de cookie/l'activation des cookies dans le navigateur. La valeur true amène le serveur à vérifier la prise en charge de cookie/l'activation des cookies dans le navigateur et à renvoyer une page d'erreur si le navigateur ne prend pas en charge les cookies ou s'ils ne sont pas activés. Cette valeur doit être paramétrée sur false (valeur par défaut) si le serveur doit prendre en charge un mode sans cookies pour l'authentification.
CR# 6236892 : Substituant d'image/texte pendant que CDCServlet traite AuthNResponse après la connexion
Les nouvelles propriétés suivantes sont ajoutées au fichier AMConfig.properties et lues par CDCServlet :
-
com.iplanet.services.cdc.WaitImage.display entraîne l'affichage d'une image dans le navigateur pendant que l'utilisateur attend la page sécurisée d'un scénario, si cette propriété est paramétrée sur true. La valeur par défaut est faux.
-
com.iplanet.services.cdc.WaitImage.name indique le nom de l'image. La valeur par défaut est waitImage.gif. Cette image peut être copiée du répertoire login_images.
-
com.iplanet.services.cdc.WaitImage.width indique la largeur de l'image. La valeur par défaut est 420.
-
com.iplanet.services.cdc.WaitImage.height indique la hauteur de l'image. La valeur par défaut est 120.
CR# 6363157 : la nouvelle propriété désactive les recherches persistantes si cela est absolument nécessaire
La nouvelle propriété com.sun.am.event.connection.disable.list du fichier AMConfig.properties indique la connexion d'événement pouvant être désactivée. Les valeurs (sensibles à la casse) peuvent être :
aci - Modifications de l'attribut aci, la recherche utilisant le filtre LDAP (aci=*)
sm - Modifications de l'arborescence d'informations d'Access Manager (ou du nœud de gestion du service) qui comprend les objets appartenant à la classe d'objet marqueur sunService ou sunServiceComponent. Vous pouvez, par exemple, créer une stratégie visant à définir les privilèges d'accès à une ressource protégée ou modifier les règles, objets, conditions ou fournisseurs de réponse d'une stratégie existante.
um - Modifications dans le répertoire utilisateur (ou nœud de gestion des utilisateurs). Vous pouvez, par exemple, modifier le nom ou l'adresse de l'utilisateur.
Par exemple, pour désactiver des recherches persistantes de modifications de l'arborescence d'informations d'Access Manager (ou du nœud de gestion du service) :
com.sun.am.event.connection.disable.list=sm
Pour spécifier plusieurs valeurs, séparez chaque valeur par une virgule.
Attention – Les recherches persistantes provoquent quelques dépassements de performances sur Directory Server. Si vous déterminez que la suppression d'une partie de ce dépassement de performances est absolument indispensable dans un environnement de production, vous pouvez désactiver une ou plusieurs recherches persistantes à l'aide de la propriété com.sun.am.event.connection.disable.list.
Cependant, avant de désactiver une recherche persistante, vous devez comprendre les restrictions présentées ci-après. Nous vous recommandons fortement de ne pas modifier cette propriété à moins que cela ne soit absolument nécessaire. Cette propriété a été initialement introduite pour éviter tout dépassement sur Directory Server lorsque plusieurs agents 2.1 J2EE sont utilisés car chacun de ces agents crée ces recherches persistantes. Les agents 2.2 J2EE ne créant plus ces recherches persistantes, il n'est pas nécessaire d'utiliser cette propriété.
Pour plus d'informations, consultez la section Obtention de davantage d'informations sur la désactivation des recherches persistantes (6486927).
CR# 6385696 : Les IDP et SP existants et nouveaux n'apparaissent pas.
La nouvelle propriété com.sun.identity.federation.spadapter du fichier AMConfig.properties spécifie la mise en œuvre par défaut de l'adaptateur de fournisseur de services de fédération dans laquelle l'application peut obtenir des assertions et des informations de réponse. Exemple :
com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter
- © 2010, Oracle Corporation and/or its affiliates