test

Sun Java System Access Manager 7 2005Q4 Versionshinweise

Bekannte Probleme und Einschränkungen

In diesem Abschnitt werden die folgenden bekannten Probleme und Lösungen beschrieben, die zum Zeitpunkt der Herausgabe verfügbar waren.

Kompatibilitätsprobleme

Inkompatibilität zwischen Java ES 2004Q2-Servern und IM auf Java ES 2005Q4 (6309082)

Folgendes Bereitstellungsszenario verursachte dieses Problem:

Beim Ausführen des Dienstprogramms imconfig zur Konfiguration von Instant Messaging auf server-4 war die Konfiguration nicht erfolgreich. Das Access Manager 7 2005Q4 SDK, das von Instant Messaging (IM) auf server-4 verwendet wird, ist nicht mit Java ES 2004Q2 kompatibel.

Umgehung: Idealerweise sollten der Access Manager-Server und das Access Manager-SDK dieselbe Version aufweisen. Weitere Informationen finden Sie im Sun Java Enterprise System 2005Q4 Aufrüstungshandbuch.

Im Kernauthentifizierungsmodul gibt es Inkompatibilitäten für den Legacy-Modus (6305840).

Der Access Manager 7 2005Q4-Legacy-Modus weist die folgenden Inkompatibilitäten im Kernauthentifizierungsmodus von Access Manager 6 2005Q1 auf:

Umgehung: Keine.

Agent kann sich nicht anmelden, weil in der Organisation kein Profil vorhanden ist (6295074)

Erstellen Sie in der Access Manager Console einen Agenten im Realm-Modus. Wenn Sie sich abmelden und dann erneut mithilfe des Agentennamens anmelden, gibt Access Manager einen Fehler aus, da der Agent nicht über die Berechtigungen für den Realm-Zugriff verfügt.

Umgehung: Ändern Sie die Berechtigungen, um den Lese-/Schreibzugriff für den Agenten zu ermöglichen.

Das Dienstprogramm commadmin von Delegated Administrator erstellt keinen Benutzer (6294603)

Das Dienstprogramm commadmin von Delegated Administrator mit der Option -S mail,cal erstellt keinen Benutzer in der Standarddomäne.

Umgehung: Dieses Problem tritt auf, wenn Sie Access Manager auf Version 7 2005Q4 aktualisieren, Delegated Administrator jedoch nicht aktualisieren. Weitere Informationen zum Aktualisieren von Delegated Administrator finden Sie im Sun Java Enterprise System 2005Q4 Aufrüstungshandbuch.

Wenn Sie nicht vorhaben, Delegated Administrator zu aktualisieren, gehen Sie wie folgt vor:

  1. Markieren Sie in der Datei UserCalendarService.xml die Attribute mail, icssubcribed und icsfirstday als optional und nicht als erforderlich. Diese Datei befindet sich auf Solaris-Systemen standardmäßig im Verzeichnis /opt/SUNWcomm/lib/services/.

  2. Entfernen Sie in Access Manager die bereits vorhandene XML-Datei, indem Sie den Befehl amadmin wie folgt ausführen:

    # ./amadmin -u amadmin -w password -r UserCalendarService

  3. Fügen Sie in Access Manager die aktualisierte XML-Datei wie folgt hinzu:

    # ./amadmin -u amadmin -w password 
-s /opt/SUNWcomm/lib/services/UserCalendarService.xml

  4. Starten Sie den Access Manager-Webcontainer neu.

Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Organisation (6292104)

Das Dienstprogramm commadmin von Delegated Administrator mit der Option -S mail,cal erstellt keine Organisation.

Umgehung: Die Lösung entspricht der des oben beschriebenen Problems.

Probleme bei der Installation

Nach Anwendung von Patch 1 haben alle Benutzer Lesezugriff auf die Datei /tmp/amsilent (6370691)

Nachdem Sie Patch 1 angewendet haben, verfügen alle Benutzer über Lesezugriff auf die Datei /tmp/amsilent.

Umgehung: Setzen Sie nach Anwendung des Patches die Berechtigungen für die Datei so zurück, dass nur der Access Manager-Administrator über Lesezugriff verfügt.

Bei der SDK-Installation mit der Containerkonfiguration ist der Benachrichtigungs-URL fehlerhaft (6327845)

Wenn Sie eine SDK-Installation mit der Containerkonfiguration (DEPLOY_LEVEL=4) durchführen, ist der Benachrichtigungs-URL fehlerhaft.

Umgehung:

  1. Legen Sie in der Datei AMConfig.properties die folgende Eigenschaft fest:

    com.iplanet.am.notification.url=
protocol://fqdn:port/amserver/servlet/com.iplanet.services.comm.client.
PLLNotificationServlet

  2. Starten Sie Access Manager neu, damit der neue Wert in Kraft tritt.

Access Manager classpath verweist auf das abgelaufene JCE 1.2.1-Paket (6297949)

Access Manager classpath verweist auf das Java Cryptography Extension (JCE) 1.2.1-Paket (Signing Certificate), das am 27. Juli 2005 abgelaufen ist.

Umgehung: Keine. Obwohl sich der Paketverweis im classpath befindet, verwendet Access Manager dieses Paket nicht.

Für die Installation von Access Manager auf einem bereits vorhandenen DIT ist eine Wiederherstellung der Directory Server-Indizes erforderlich (6268096)

Um die Suchleistung zu verbessern, bietet Directory Server mehrere neue Indizes.

Umgehung: Nachdem Sie Access Manager mit einem bereits vorhandenen Directory Information Tree (DIT) installiert haben, müssen Sie die Directory Server-Indizes neu erstellen, indem Sie das db2index.pl-Skript ausführen. Beispiel:

# ./db2index.pl -D "cn=Directory Manager" -w password -n userRoot

Das db2index.pl-Skript steht im Verzeichnis DS-install-directory/slapd-hostname/ zur Verfügung.

Die Protokollierungs- und Debug-Verzeichnisberechtigungen sind für Nicht-Root-Benutzer fehlerhaft (6257161)

Wenn in der automatischen Installationskonfigurationsdatei ein Nicht-root-Benutzer angegeben ist, wurden die Berechtigungen für die Debug-, Protokoll- und Startverzeichnisse nicht ordnungsgemäß festgelegt.

Umgehung: Ändern Sie die Berechtigungen für diese Verzeichnisse, um den Zugriff für einen Nicht-root-Benutzer zu erlauben.

Der Authentifizierungsdienst wird nicht initialisiert, wenn Access Manager und Directory Server auf unterschiedlichen Computern installiert sind. (6229897)

Obwohl die classpath-Variablen sowie andere Access Manager-Webcontainervariablen während der Installation aktualisiert, beim Installationsvorgang wird jedoch kein Neustart des Webcontainers durchgeführt. Wenn Sie versuchen, sich nach der Installation jedoch vor dem Neustart des Webcontainers bei Access Manager anzumelden, wird folgender Fehler ausgegeben: 

Authentication Service is not initialized. 
Contact your system administrator.

Umgehung: Starten Sie den Webcontainer neu, bevor Sie sich bei Access Manager anmelden. Directory Server muss ebenfalls ausgeführt werden, bevor Sie sich anmelden.

Das Installationsprogramm fügt für die bereits vorhandene Verzeichnisinstallation keinen Plattformeintrag hinzu (6202902)

Das Java ES-Installationsprogramm fügt für eine vorhandene Verzeichnisserverinstallation keinen Plattformeintrag hinzu (DIRECTORY_MODE=2).

Umgehung: Fügen Sie die Realm/DNS-Aliasnamen und Plattform-Serverlisteneinträge manuell hinzu. Anweisungen zu diesen Schritten finden Sie unter Adding Additional Instances to the Platform Server List and Realm/DNS Aliases in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Probleme bei der Aktualisierung

Access Manager-Skript ampre70upgrade entfernt lokalisierte Pakete nicht (6378444)

Wenn Sie Access Manager auf Access Manager 7 2005Q4 aktualisieren, entfernt das Skript ampre70upgrade keine auf Ihrem System vorhandenen lokalisierten Access Manager-Pakete.

Umgehung: Bevor Sie die Aktualisierung auf Access Manager 7 2005Q4 durchführen, verwenden Sie den Befehl pkgrm, um sämtliche auf Ihrem System installierten, lokalisierten Access Manager-Pakete manuell zu entfernen.

Die Datei AMConfig.properties enthält eine alte Version des Webcontainers (6316833)

Nachdem Access Manager und Application Server auf Java ES 2005Q4-Versionen aktualisiert wurden, enthält die AMConfig.properties-Datei von Access Manager eine alte Version von Application Server.

Umgehung: Bevor Sie das Delegated Administrator-Konfigurationsprogramm (config-commda) ausführen, ändern Sie die folgende Eigenschaft in der Datei AMConfig.properties: 

com.sun.identity.webcontainer=IAS8.1

Die Datei server.policy des Knotenagenten wird nicht als Teil einer Access Manager-Aktualisierung aktualisiert (6313416)

Nachdem Sie Access Manager aktualisiert haben, wird die Datei server.policy des Knotenagenten nicht aktualisiert.

Umgehung: Ersetzen Sie die Datei server.policy des Knotenagenten durch die folgende Datei:

/var/opt/SUNWappserver/domains/domain1/config/server.policy

Nach der Aktualisierung fehlt "Session Property Condition" in der Bedingungsliste (6309785)

Nachdem Sie Access Manager von Version 2005Q1 auf Version 2005Q4 aktualisiert haben, wird die Session Property Condition in der Richtlinienbedingungsliste nicht als Option angezeigt, wenn Sie versuchen, einer Richtlinie eine Bedingung hinzuzufügen.

Umgehung: Wählen Sie den Typ "Session Property Condition" in der Dienstvorlage zur Richtlinienkonfiguration im entsprechenden Realm.

Nach der Aktualisierung fehlt der Typ "Identity Subject" in der Richtlinienthemaliste (6304617)

Nachdem Sie Access Manager von Version 2005Q1 auf Version 2005Q4 aktualisiert haben, wird "Identity Subject", ein neuer Richtlinienthematyp, nicht als Option in der Richtlinienthemaliste angezeigt.

Umgehung: Wählen Sie den Typ "Identity Subject" als Standardthematyp in der Vorlage für den Richtlinienkonfigurationsdienst aus.

Die Access Manager-Aktualisierung ist fehlgeschlagen, weil keine classpath-Migration stattgefunden hat (6284595)

Während der Aktualisierung von Access Manager von Java ES 2004Q2 auf Java ES 2005Q4, ist die Aktualisierung von Java ES 2004Q2 auf Java ES 2005Q1 fehlgeschlagen. Access Manager wurde auf einem Application Server bereitgestellt, der ebenfalls von Java ES 2004Q2 auf Java ES 2005Q4 aufgerüstet wurde. Der classpath in der Datei domain.xml enthielt jedoch nicht die Pfadangaben für die Access Manager-JAR-Dateien.

Umgehung: Führen Sie diese Schritte durch:

  1. Bevor Sie das amupgrade-Skript ausführen, indizieren Sie Directory Server aufgrund eines Problems mit dem comm_dssetup.pl-Skript neu.

  2. Fügen Sie der Datei server.policy des Knotenagenten Einträge für Access Manager hinzu. Eine Kopie von server.policy aus der Standardserverrichtlinie (/var/opt/SUNWappserver/domains/domain1/config/server.policy) ist ausreichend.

  3. Aktualisieren Sie classpath in der domain.xml -Datei des Knotenagenten wie folgt. Kopieren Sie das classpath-suffix und den entsprechenden classpath aus den server-classpath-Attributen des java-config-Elements aus der Datei server.xml in die entsprechenden Attribute des java-config-Elements von domain.xml. Das java-config-Element ist unter dem config-Element in domain.xml zu finden.

Nach der Aktualisierung gibt der amadmin-Befehl eine falsche Version aus (6283758)

Nachdem Access Manager von Version 6 2005Q1 auf Version 7 2005Q4 aktualisiert wurde, gab der amadmin --version-Befehl die falsche Version aus: Sun Java System Access Manager Version 2005Q1.

Umgehung: Nachdem Sie Access Manager aktualisiert haben, führen Sie zur Konfiguration von Access Manager das amconfig-Skript aus. Wenn Sie amconfig ausführen, geben Sie den vollständigen Pfad der Konfigurationsdatei (amsamplesilent ) an. Auf einem Solaris-System zum Beispiel: 

# ./amconfig -s ./config-file

oder

# ./amconfig -s /opt/SUNWam/bin/config-file

Attribut ContainerDefaultTemplateRole nach Datenmigration hinzufügen (4677779)

Die Rolle eines Benutzers wird nicht in einer Organisation angezeigt, die nicht in Access Manager erstellt wurde. Im Debug-Modus wird folgende Meldung angezeigt:

ERROR: DesktopServlet.handleException()
com.iplanet.portalserver.desktop.DesktopException:
DesktopServlet.doGetPost(): no privilige to execute desktop

Dieser Fehler tritt auf, nachdem die Migrationsskripte des Java ES-Installationsprogramms ausgeführt wurden. Das Attribut ContainerDefaultTemplateRole wird der Organisation nicht automatisch hinzugefügt, wenn die Organisation aus einem vorhandenen Informationsverzeichnisbaum (Directory Information Tree, DIT) oder aus einer anderen Quelle migriert wurde.

Umgehung: Verwenden Sie die Directory Server-Konsole, um das Attribut ContainerDefaultTemplateRole aus einer anderen Access Manager-Organisation zu kopieren und es anschließend der betreffenden Organisation zuzuweisen.

Konfigurationsprobleme

Die Datei server.policy von Application Server 8.1 muss bei der Verwendung von nicht standardmäßigen URIs bearbeitet werden (6309759)

Wenn Sie Access Manager 7 2005Q4 auf Application Server 8.1 bereitstellen und Sie keine Standard-URIs für die Dienst-, Konsolen- und Passwortwebanwendungen verwenden, die die Standard-URI-Werte amserver, amconsole und ampassword aufweisen, müssen Sie die Datei server.policy der Anwendungsserverdomäne bearbeiten, bevor Sie versuchen, auf Access Manager über einen Webbrowser zuzugreifen.

Umgehung: Bearbeiten Sie die Datei server.policy wie folgt:

  1. Halten Sie die Application Server-Instanz, auf der Access Manager bereitgestellt wird, an.

  2. Wechseln Sie in das /config-Verzeichnis. Beispiel:

    cd /var/opt/SUNWappserver/domains/domain1/config

  3. Erstellen Sie eine Sicherungskopie der Datei server.policy. Beispiel:

    cp server.policy server.policy.orig

  4. Suchen Sie in der Datei server.policy nach folgenden Richtlinien:

    grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/amserver/-" { ... 
};
grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/amconsole/-" { ...
};
grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/ampassword/-" { ...
};

  5. Ersetzen Sie amserver durch die Nicht-Standard-URI, die für die Dienstwebanwendung verwendet wird, in der folgenden Zeile:

    grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/amserver/-" {

  6. Ersetzen Sie für Installationen im Legacy-Modus amconsole durch die Nicht-Standard-URI, die für die Konsolenwebanwendung verwendet wird, in der folgenden Zeile:

    grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/amconsole/-" {

  7. Ersetzen Sie amserver durch die Nicht-Standard-URI, die für die Passwortwebanwendung verwendet wird, in der folgenden Zeile: 

    grant codeBase "file:\${com.sun.aas.instanceRoot}/
applications/j2ee-modules/ampassword/-" {

  8. Starten Sie die Application Server-Instanz, auf der Access Manager bereitgestellt wird.

Die Plattformserverliste und das FQDN-Aliasattribut werden nicht aktualisiert (6309259, 6308649)

Bei einer Mehrfachserverbereitstellung werden die Plattformserverliste und das FQDN-Aliasattribut nicht aktualisiert, wenn Sie Access Manager auf den sekundären (und nachfolgenden) Servern installieren.

Umgehung: Fügen Sie die Realm/DNS-Aliasnamen und Plattform-Serverlisteneinträge manuell hinzu. Anweisungen zu diesen Schritten finden Sie unter Adding Additional Instances to the Platform Server List and Realm/DNS Aliases in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Datenvalidierung für erforderliche Attribute in Diensten (6308653)

Access Manager 7 2005Q4 erzwingt für die erforderlichen Attribute in XML-Dateien von Diensten Standardwerte.

Umgehung: Falls Sie über Dienste mit erforderlichen Attributen verfügen, die keine Werte aufweisen, fügen Sie für die Attribute Werte hinzu und laden Sie den Dienst dann erneut.

Dokumentieren der Abhilfe für die Bereitstellung auf einer sicheren WebLogic 8.1-Instanz (6295863)

Wenn Sie Access Manager 7 2005Q4 in einer sicheren (SSL-fähigen) BEA WebLogic 8.1 SP4-Instanz bereitstellen, tritt während der Bereitstellung der einzelnen Access Manager-Webanwendungen eine Ausnahme auf.

Umgehung: Führen Sie diese Schritte durch:

  1. Wenden Sie das WebLogic 8.1 SP4-Patch JAR CR210310_81sp4.jar an, das Sie von BEA beziehen können.

  2. Aktualisieren Sie im /opt/SUNWam/bin/amwl81config-Skript (Solaris-Systeme) oder im /opt/sun/identity/bin/amwl81config-Skript (Linux-Systeme) die doDeploy-Funktion und die undeploy_it-Funktion, um den Pfad der Patch-JAR wl8_classpath voranzustellen, wobei es sich um die Variable handelt, die den classpath enthält, der zum Bereitstellen und zum Aufheben der Bereitstellung der Access Manager-Webanwendungen verwendet wird.

    Suchen Sie die folgende Zeile, die den wl8_classpath enthält:

    wl8_classpath= ...

  3. Fügen Sie unmittelbar nach der Zeile, die Sie in Schritt 2 gefunden haben, die folgende Zeile hinzu:

    wl8_classpath=path-to-CR210310_81sp4.jar:$wl8_classpath

Das amconfig-Skript aktualisiert die Realm-/DNS-Aliasnamen und Plattformserver-Listeneinträge nicht (6284161)

Bei einer Mehrfachserverbereitstellung aktualisiert das amconfig-Skript die Realm-/DNS-Aliasnamen und Plattformserver-Listeneinträge für zusätzliche Access Manager-Instanzen nicht.

Umgehung: Fügen Sie die Realm/DNS-Aliasnamen und Plattform-Serverlisteneinträge manuell hinzu. Anweisungen zu diesen Schritten finden Sie unter Adding Additional Instances to the Platform Server List and Realm/DNS Aliases in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Der Access Manager-Standardmodus ist der Realm in der Konfigurationsstatus-Dateivorlage (6280844)

Der Access Manager-Modus (AM_REALM-Variable) ist in der Konfigurationsstatus-Dateivorlage aktiviert.

Umgehung: Um Access Manager im Legacy-Modus zu installieren oder zu konfigurieren, legen Sie die Variable in der Statusdatei neu fest:

AM_REALM = disabled

URL-Signierung in IBM WebSphere bei Verwendung des RSA-Schlüssels schlägt fehl (6271087)

Wenn Sie einen RSA-Schlüssel in IBM WebSphere verwenden, schlägt der Signiervorgang der URL-Zeichenfolge mit folgender Ausnahme fehl: 

ERROR: FSSignatureUtil.signAndReturnQueryString: FSSignatureException 
occured while signing query string: no such provider: SunRsaSign

Umgehung: Der Anbieter ?SunRsaSign“ fehlt in dem in WebSpere enthaltenen JDK. Um dieses Problem zu lösen, bearbeiten Sie die Datei websphere_jdk_root/jre/lib/security/java.security und fügen Sie folgende Zeile hinzu, um ?SunRSASign“ als einen der Anbieter zu aktivieren:

security.provider.6=com.sun.rsajca.Provider

Probleme mit Access Manager Console

Bei SAML treten beim Trusted Partner-Duplizieren in der Konsole Bearbeitungsfehler auf (6326634)

Erstellen Sie unter der Access Manager Console einen SAML Trusted Partner unter der Registerkarte "Federation > SAML". Wenn Sie versuchen, den Trusted Partner zu duplizieren, treten Fehler auf.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Die Remote-Protokollierung funktioniert für amConsole.access und amPasswordReset.access nicht (6311786)

Wenn die Remote-Protokollierung konfiguriert wird, werden alle Protokolle in die Access Manager-Remoteinstanz geschrieben, mit Ausnahme von amConsole.access und amPasswordReset.access für die Passwortrücksetzinformationen. Der Protokolldatensatz wird nirgendwo geschrieben.

Umgehung: Keine.

Das Hinzufügen von weiteren amadmin-Eigenschaften in der Konsole ändert das Benutzerpasswort amadmin (6309830)

Wenn einige der Eigenschaften für den amadmin-Benutzer in der Verwaltungskonsole hinzugefügt oder bearbeitet werden, ändert sich das amadmin-Benutzerpasswort.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Die neue Access Manager-Konsole kann keine CoS-Vorlagenprioritäten festlegen (6309262)

Die neue Access Manager 7 2005Q4 Console kann keine CoS-Vorlagenpriorität festlegen oder ändern.

Umgehung: Melden Sie sich an der Access Manager 6 2005Q1 Console an, um eine CoS-Vorlagenpriorität festzulegen oder zu ändern.

Es tritt ein Ausnahmefehler auf, wenn einem Benutzer eine Gruppe als Richtlinienadminbenutzer hinzugefügt wird (6299543)

Die Access Manager Console gibt einen Ausnahmefehler zurück, wenn Sie einem Benutzer eine Gruppe als Richtlinienadminbenutzer hinzufügen.

Umgehung: Keine.

Im Legacy-Modus können nicht alle Benutzer aus einer Rolle gelöscht werden (6293758)

Wenn Sie im Legacy-Modus alle Benutzer aus einer Rolle löschen möchten, bleibt ein Benutzer übrig.

Umgehung: Versuchen Sie erneut, den Benutzer aus der Rolle zu löschen.

Discovery Service-Ressourcenangebote können nicht hinzugefügt, gelöscht oder geändert werden (6273148)

Mit der Access Manager Administration Console können Sie die Ressourcenangebote für einen Benutzer, eine Rolle oder einen Realm nicht hinzufügen, löschen oder ändern.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Das falsche LDAP-Bindungspasswort sollte Fehler für die Themensuche ausgeben (6241241)

Die Access Manager Administration Console gibt keinen Fehler aus, wenn ein falsches LDAP-Bindungspasswort verwendet wird.

Umgehung: Keine.

Access Manager kann keine Organisation unter einem Container im Legacy-Modus erstellen (6290720)

Wenn Sie einen Container erstellen und dann versuchen, eine Organisation unter dem Container zu erstellen, gibt Access Manager einen Fehler aus, dass die Eindeutigkeit verletzt wurde.

Umgehung: Keine.

Beim Hinzufügen von Portal Server-verwandten Diensten wird die alte Konsole angezeigt (6293299)

Portal Server und Access Manager werden auf demselben Server installiert. Bei der Installation von Access Manager im Legacy-Modus melden Sie sich unter Verwendung von /amserver an der neuen Access Manager Console an. Wenn Sie einen bereits vorhandenen Benutzer wählen und versuchen, Dienste (wie NetFile oder Netlet) hinzuzufügen, wird plötzlich die alte Access Manager Console (/amconsle) angezeigt.

Umgehung: Keine. Für die aktuelle Version von Portal Server ist die Access Manager 6 2005Q1 Console erforderlich.

Console gibt nicht die Ergebnisse aus, die von Directory Server nach Erreichen des Ressourcenlimits festgelegt wurden (6239724)

Installieren Sie Directory Server und dann Access Manager mit der bereits vorhandenen DIT-Option. Melden Sie sich an der Access Manager Console an und erstellen Sie eine Gruppe. Bearbeiten Sie die Benutzer in der Gruppe. Fügen Sie zum Beispiel Benutzer mit dem Filter uid=*999* hinzu. Das resultierende Listenfeld ist leer und die Konsole zeigt keinen Fehler, keine Informationen und keine Warnmeldungen an.

Umgehung: Die Gruppenmitgliedschaft darf die Directory Server-Suchgrößenbeschränkung nicht überschreiten. Ist die Gruppenmitgliedschaft größer, müssen Sie die Suchgrößenbeschränkung entsprechend ändern.

SDK- und Client-Probleme

Die Session Service-Konfiguration für einen untergeordneten Realm kann nicht entfernt werden (6318296)

Nachdem Sie einen untergeordneten Realm des obersten Realms erstellt und ihm den Session Service hinzugefügt haben, führte der nachfolgende Versuch, die Session Service-Konfiguration zu entfernen, zu einer Fehlermeldung.

Umgehung: Entfernen Sie das oberste ID-Standardrepository AMSDK1 und fügen Sie dann dieses Repository wieder der Konfiguration hinzu.

Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

CDC-Servletumleitung an die ungültige Anmeldeseite, wenn die Richtlinienbedingung angegeben ist (6311985)

Wenn sich der Apache-Agent 2.2 beim Zugriff auf die Agent-geschützte Ressource im CDSSO-Modus befindet, leitet das CDC-Servlet den Benutzer auf die anonyme Authentifizierungsseite und nicht auf die Standardanmeldeseite um.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Die Clients erhalten nach dem Serverneustart keine Benachrichtigungen (6309161)

Anwendungen, die mit dem Client-SDK (amclientsdk.jar) geschrieben wurden, erhalten bei einem Serverneustart keine Benachrichtigungen.

Umgehung: Keine.

SDK-Clients müssen nach Dienstschemaänderung neu gestartet werden (6292616)

Beim Ändern eines Dienstschemas gibt ServiceSchema.getGlobalSchema das alte Schema und nicht das neue Schema zurück.

Umgehung: Starten Sie den Client nach einer Dienstschemaänderung neu.

Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Probleme mit den Befehlszeilendienstprogrammen

Die Suche nach Null-Attributen gibt einen Fehler zurück, wenn Access Manager auf Directory Proxy (6357975) verweist.

Wenn Sie Sun Java System Directory Proxy Server verwenden, gibt die LDAP-Suche einen Fehler zurück. Beispiel:

# ldapsearch -b base-dn uid=user ""

Wenn Access Manager direkt auf den LDAP Directory Server verweist, ist dieselbe Suche erfolgreich.

Umgehung:Wenn Sie Directory Proxy Server verwenden, aktivieren Sie entweder Null-Attribut-Suchen, oder geben Sie einen Attributnamen für die Suche an.

Im amserveradmin-Skript fehlen neue Schemadateien (6255110)

Wenn Sie nach der Installation das amserveradminSkript zum Laden der Dienste in Directory Server ausführen möchten, fehlen im Skript die defaultDelegationPolicies.xml- und idRepoDefaults.xml-Schemadateien.

Umgehung: Laden Sie die defaultDelegationPolicies.xml- und idRepoDefaults.xml-Dateien unter Verwendung des amadmin-CLI-Tools mit der Option -t manuell.

XML-Dokumente mit Escape-Zeichen können in Internet Explorer 6.0 nicht gespeichert werden (4995100)

Wenn Sie ein Sonderzeichen (z. B. die Zeichenfolge “amp;” neben ein “&”) in einer XML-Datei hinzufügen, wird die Datei ordnungsgemäß gespeichert. Wenn Sie das XML-Profil jedoch zu einem späteren Zeitpunkt mit Internet Explorer 6.0 abrufen, wird die Datei nicht ordnungsgemäß angezeigt. Wenn Sie dann erneut versuchen, das Profil zu speichern, wird ein Fehler ausgegeben.

Umgehung: Keine.

Authentifizierungsprobleme

UrlAccessAgent-SSO-Token läuft ab (6327691)

Der UrlAccessAgent-SSO-Token läuft ab, da das Anwendungsmodul den speziellen Benutzer-DN nicht zurückgibt, was dazu führt, dass der spezielle Benutzer-DN und ein nicht ablaufendes Token fehlschlagen.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Anmeldung am untergeordneten Realm mit LDAPV3-Plugin/dynamischen Profil ist nach Korrigieren des Passworts nicht möglich (6309097)

Wenn Sie im Realm-Modus einen ldapv3-Datenspeicher in einem Realm mit einem “falschen” Passwort erstellen und Sie das Passwort zu einem späteren Zeitpunkt als amadmin ändern, schlägt die Anmeldung bei dem Versuch, sich erneut als Benutzer mit dem geänderten Passwort anzumelden, fehlt mit dem Hinweis, dass kein Profil vorhanden ist.

Umgehung: Keine.

Inkompatibilität für die Access Manager-Standardkonfiguration des Statistikdienstes für den Legacy-(kompatiblen)Modus (6286628)

Nach der Installation mit Access Manager im Legacy-Modus hat sich die Standardkonfiguration für den Statistikdienst geändert:

Umgehung: Keine.

Attributeindeutigkeit in der obersten Organisation für Namensattribute nicht eingehalten (6204537)

Melden Sie sich nach der Installation von Access Manager als amadmin an und fügen Sie die o-, sunPreferredDomain-, associatedDomain-, sunOrganizationAlias-, uid- und mail-Attribute der Liste eindeutiger Attribute hinzu. Wenn Sie zwei neue Organisationen mit demselben Namen erstellen, schlägt die Operation fehl, Access Manager zeigt jedoch die Meldung “organization already exists” (Organisation bereits vorhanden) statt der erwarteten Meldung “attribute uniqueness violated” (Attributeindeutigkeit verletzt) an.

Umgehung: Keine. Ignorieren Sie die falsche Meldung. Access Manager wird ordnungsgemäß ausgeführt.

Sitzungs- und SSO-Probleme

Die Access Manager-Instanzen über verschiedene Zeitzonen hinweg führen zu Zeitüberschreitungen anderer Benutzersitzungen (6323639)

Access Manager-Instanzen, die über verschiedene Zeitzonen hinweg und im selben Trustkreis installiert wurden, führen zu einer Zeitüberschreitung anderer Benutzersitzungen.

Das (amsfoconfig)-Sitzungsfailoverskript enthält fehlerhafte Berechtigungen auf dem Linux 2.1-System (6298433)

Das Sitzungsfailover-Konfigurationsskript (/opt/sun/identity/bin/amsfoconfig ) enthält fehlerhafte Berechtigungen und kann auf dem Linux 2.1-System nicht ausgeführt werden.

Umgehung: Ändern Sie die Berechtigungen so, dass das amsfoconfig-Skript ausgeführt werden kann (zum Beispiel 755).

Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Das Sitzungsfailover-Skript (amsfoconfig) schlägt auf dem Linux 2.1-System fehl (6298462)

Das Sitzungsfailover-Konfigurationsskript (amsfoconfig) schlägt auf dem Linux 2.1-Server fehl, weil das Tabulatorzeichen (\t) nicht ordnungsgemäß interpretiert wird.

Umgehung: Konfigurieren Sie den Sitzungsfailover manuell. Eine Beschreibung der einzelnen Schritte finden Sie unter Configuring Session Failover Manually in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

System erstellt einen ungültigen Diensthostnamen bei SSL-Anschluss des Load Balancer (6245660)

Wenn Access Manager mit dem Web Server als der Webcontainer verwendet wird, der einen Load Balancer mit SSL-Anschluss verwendet, werden die Clients nicht auf die richtige Web Server-Seite geleitet. Wenn Sie auf die Registerkarte "Sessions" in der Access Manager Console klicken, wird ein Fehler ausgegeben, da der Host ungültig ist.

Umgehung: In folgenden Beispielen hört Web Server Port 3030 ab. Der Load Balancer hört Port 80 ab und leitet alle Anforderungen an Web Server um.

Bearbeiten Sie in der Datei web-server-instance-name/config/server.xml das Attribut servername, um auf den Load Balancer zu verweisen, je nach der verwendeten Version des Web Servers.

Bearbeiten Sie für die Versionen von Web Server 6.1 Service Pack (SP) das Attribut servername wie folgt:

<LS id="ls1" port="3030" servername="loadbalancer.example.com:80" 
defaultvs="https-sample" security="false" ip="any" blocking="false" 
acceptorthreads="1"/>

Web Server 6.1 SP2 (oder höher) kann das Protokoll von http zu https oder von https zu http wechseln. Bearbeiten Sie deshalb servername wie folgt:

<LS id="ls1" port="3030" 
servername="https://loadbalancer.example.com:443" defaultvs="https-sample" 
security="false" ip="any" blocking="false" acceptorthreads="1"/>

Verwenden von HttpSession mit Drittanbieter-Containern (keine CR-Nummer)

Als Standardmethode für das Aufrechterhalten von Sitzungen für Authentifizierungen ist ?interne Sitzung“ und nicht HttpSession festgelegt. Der standardmäßige Wert von drei Minuten für die maximale Dauer einer Sitzung, bevor diese ungültig wird, ist ausreichend. Das Skript amtune legt für den Web Server und Application Server einen Wert von einer Minute fest. Wenn Sie jedoch einen Drittanbieter-Container (IBM WebSphere oder BEA WebLogic Server) und die Option HttpSession verwenden, müssen Sie die maximale HttpSession-Dauer des Webcontainers möglicherweise einschränken, um Leistungsprobleme zu vermeiden.

Richtlinienprobleme

Das Löschen der dynamischen Attribute im Policy Configuration Service führen zu Problemen beim Bearbeiten der Richtlinien (6299074)

Das Löschen der dynamischen Attribute im Policy Configuration Service führen zu Problemen beim Bearbeiten der Richtlinien für das folgende Szenario:

  1. Erstellen Sie zwei dynamische Attribute im Policy Configuration Service.

  2. Erstellen Sie eine Richtlinie und wählen Sie die dynamischen Attribute (aus Schritt 1) im Antwortanbieter aus.

  3. Entfernen Sie die dynamischen Attribute im Policy Configuration Service und erstellen Sie zwei weitere Attribute.

  4. Versuchen Sie, die in Schritt 2 erstellte Richtlinie zu bearbeiten.

Die Ergebnisse lauten: "Error Invalid Dynamic property being set" (Fehler: Es wurde eine ungültige dynamische Eigenschaft festgelegt). Es wurden standardmäßig keine Richtlinien in der Liste angezeigt. Nach einer Suche werden die Richtlinien angezeigt, Sie können die bereits vorhandenen Richtlinien jedoch nicht bearbeiten oder löschen oder eine neue Richtlinie erstellen.

Umgehung: Bevor Sie die dynamischen Attribute aus dem Policy Configuration Service entfernen, müssen Sie die Verweise auf diese Attribute aus den Richtlinien entfernen.

Probleme beim Starten des Servers

Debug-Fehler tritt beim Starten von Access Manager auf (6309274, 6308646)

Beim Starten von Access Manager 7 2005Q4 werden in den Debug-Dateien amDelegation und amProfile Debug-Fehler ausgegeben:

Umgehung: Keine. Sie können diese Meldungen ignorieren.

Verwenden von BEA WebLogic Server als Webcontainer

Wenn Sie Access Manager mit BEA WebLogic Server als Webcontainer bereitstellen, kann Access Manager unter Umständen nicht aufgerufen werden.

Umgehung: Starten Sie WebLogic Server ein zweites Mal, damit Sie Access Manager aufrufen können.

Probleme auf Linux OS

JVM-Probleme treten auf, wenn Access Manager auf Application Server ausgeführt wird (6223676).

Wenn Sie Application Server 8.1 unter Red Hat Linux ausführen, ist die vom Red Hat OS für Application Server festgelegte Stackgröße für Threads 10 MB. Dadurch kann es zu JVM-Ressourcenproblemen kommen, wenn die Anzahl der Access Manager-Benutzersitzungen 200 erreicht.

Umgehung: Legen Sie als anzuwendende Stackgröße unter Red Hat OS einen niedrigeren Wert fest, z. B. 2048 oder 256 KB. Führen Sie hierfür den Befehl ulimit aus, bevor Sie Application Server starten. Führen Sie den Befehl ulimit auf derselben Konsole aus, auf der Sie auch Application Server starten. Beispiel: 

# ulimit -s 256;

Verbund- und SAML-Probleme

Ausführen des Webdienstes gibt Fehler "Ressourcenangebot nicht gefunden" zurück (6359900)

Wenn Access Manager für den Zugriff auf die Beispiele für den Webdienst im Verzeichnis AccessManager-base/SUNWam/samples/phase2/wsc (Solaris-Systeme) bzw. im Verzeichnis AccessManager-base /identity/samples/phase2/wsc (Linux-Systeme) konfiguriert wurde, wird beim Abfragen des Erkennungsdienstes und beim Bearbeiten des Ressourcenangebots folgende Fehlermeldung zurückgegeben: "Ressourcenangebot nicht gefunden".

AccessManager-base ist das Basisinstallationsverzeichnis. Das standardmäßige Basisinstallationsverzeichnis lautet /opt auf Solaris-Systemen und /opt/sun auf Linux-Systemen.

Umgehung:

  1. Wechseln Sie in das folgende Beispielverzeichnis: AccessManager-base /SUNWam/samples/phase2/wsc auf Solaris-Systemen und AccessManager-base/identity/samples/phase2/wsc auf Linux-Systemen

  2. Suchen Sie in der Datei index.jsp folgende Zeichenfolge:

    com.sun.org.apache.xml.security.utils.XMLUtils.outputDOM

  3. Fügen Sie unmittelbar vor der Zeile mit der im vorherigen Schritt gesuchten Zeichenfolge folgende Zeile ein:

    com.sun.org.apache.xml.security.Init.init();

  4. Führen Sie das Beispiel erneut aus. (Sie müssen Access Manager nicht neu starten.)

Der Verbund schlägt bei der Verwendung eines Artifact-Profils fehl (6324056)

Wenn Sie einen Identitätsanbieter (IDP) und einen Dienstanbieter (SP) einrichten, das Kommunikationsprotokoll für die Verwendung des Browser-Artifact-Profils ändern und dann versuchen, die Benutzer zwischen dem IDP und SP zu verbinden, schlägt dies fehl.

Umgehung: Keine.

Die Sonderzeichen (&) in SAML-Anweisungen sollten codiert sein (6321128)

Wenn Access Manager als die Quellsite und die Zielsite und SSO konfiguriert sind, tritt auf der Zielsite ein Fehler auf, weil das Sonderzeichen ( &) in den SAML-Anweidungen nicht codiert ist und deshalb die Analyse der Prüfung fehlschlägt.

Umgehung: Keine. Dieses Problem wurde in Patch 1 behoben. Informationen zur Anwendung des Patches für Ihre Plattform finden Sie unter Access Manager 7 2005Q4-Patch 1.

Fehler beim Hinzufügen des Disco Service zu einer Rolle (6313437)

Wenn Sie versuchen, in der Access Manager Console ein Ressourcenangebot zum Disco Service hinzuzufügen, tritt eine unbekannte Ausnahme auf.

Umgehung: Keine.

Die Auth Context-Attribute können nicht konfiguriert werden, solange Sie keine anderen Attribute konfiguriert und gespeichert haben (6301338)

Die Auth Context-Attribute können nicht konfiguriert werden, solange Sie keine anderen Attribute konfiguriert und gespeichert haben

Umgehung: Konfigurieren und speichern Sie ein Anbieterprofil, bevor Sie die Auth Context-Attribute konfigurieren.

EP Sample funktioniert nicht, wenn das Root-Suffix ein “ &”-Zeichen enthält (6300163)

Wenn Directory Server einen Root-Suffix mit dem “& ”-Zeichen enthält und Sie versuchen, ein Employee Profile Service Resource Offering hinzuzufügen, wird eine Ausnahme ausgelöst.

Umgehung: Keine.

Im Verbund tritt ein Abmeldefehler auf (6291744)

Wenn Sie im Realm-Modus Benutzerkonten für einen Identitätsanbieter (IDP) und einen Dienstanbieter (SP) verbinden, den Verbund dann beenden und sich abmelden, tritt ein Fehler auf: Fehler: Es wurde keine untergeordnete Organisation gefunden.

Umgehung: Keine.

Globalisierungsprobleme (g11n)

Die Benutzerländereinstellungen werden nicht auf die Administrationskonsole angewandt (6326734)

Teile der Access Manager-Administrationskonsole stimmen nicht mit den Benutzerländereinstellungen überein, sondern verwenden stattdessen die Browserländereinstellungen. Dieses Problem betrifft die Versions-, Abmelde- und Onlinehilfeschaltflächen sowie den Inhalt der Versions- und Onlinehilfe.

Umgehung: Ändern Sie die Browsereinstellungen in dieselbe Ländereinstellung wie die Benutzereinstellungen.

Die Onlinehilfe steht für europäische Sprachen nicht vollständig zur Verfügung, wenn Access Manager auf IBM WebSphere bereitgestellt wird (6325024)

Bei allen europäischen Ländereinstellungen (Spanisch, Deutsch und Französisch) kann auf die Onlinehilfe nicht vollständig zugegriffen werden, wenn Access Manager in einer IBM WebSphere Application Server-Instanz bereitgestellt wird. Die Onlinehilfe zeigt für die folgenden Rahmen einen Anwendungsfehler an:

Umgehung: Legen Sie als Browsersprache Englisch fest und aktualisieren Sie die Seite, um auf den linken Rahmen zugreifen zu können. Im oberen Rahmen wird jedoch weiterhin ein Anwendungsfehler angezeigt.

Die Versionsinformationen sind leer, wenn Access Manager auf IBM WebSphere bereitgestellt wird (6319796)

Bei jeder Ländereinstellung ist die Produktversion bei der Bereitstellung von Access Manager in der IBM WebSphere Application Server-Instanz nicht sichtbar, wenn Sie auf die Versionsschaltfläche klicken. Stattdessen wird eine leere Seite angezeigt.

Umgehung: Keine.

Entfernen von UTF-8 schlägt in Client Detection fehl (5028779)

Die Client Detection-Funktion funktioniert nicht ordnungsgemäß. Änderungen der Access Manager 7 2005Q4 Console werden nicht automatisch vom Browser übernommen.

Umgehung: Es gibt zwei Lösungen:

Mehrfachbyte-Zeichen werden in den Protokolldateien als Fragezeichen angezeigt (5014120)

Die Mehrfachbyte-Nachrichten in den Protokolldateien im Verzeichnis /var/opt/SUNWam/logs werden als Fragezeichen angezeigt (?). Protkolldateien befinden sich in der nativen Verschlüsselung und nicht immer im UTF-8-Format. Wenn eine Instanz eines Web-Containers in einem Gebietsschema gestartet wird, werden die Protokolldateien in der nativen Verschlüsselung für dieses Gebietsschema gespeichert. Wenn Sie zu einer anderen Ländereinstellung wechseln und die Webcontainerinstanz neu starten, liegen alle weiteren Nachrichten für die aktuelle Ländereinstellung in der nativen Codierung vor, die Nachrichten aus früheren Codierungen werden jedoch als Fragezeichen angezeigt.

Umgehung: Stellen Sie sicher, die Webcontainerinstanzen immer mit derselben nativen Codierung zu starten.

Dokumentationsprobleme

Access Manager kann nicht vom Realm-Modus in den Legacy-Modus wechseln (6508473)

Wenn Sie Access Manager 7 2005Q4 im Realm-Modus installieren, können Sie nicht in den Legacy-Modus wechseln.

Wenn Sie Access Manager 7 2005Q4 jedoch im Legacy-Modus installieren, können Sie mit dem Befehl amadmin und der Option -M in den Realm-Modus wechseln. Beispiel:

amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com

Weitere Informationen zum Deaktivieren von persistenten Suchabfragen (6486927)

Access Manager verwendet persistente Suchabfragen, um Informationen zu geänderten Sun Java System Directory Server-Einträgen abzurufen. Access Manager erstellt beim Serverstart standardmäßig die folgenden persistenten Suchverbindungen:

aci - Änderungen des Attributs aci, wobei bei der Suche der LDAP-Filter (aci=*) angewendet wird.

sm - Änderungen des Access Manager-Informationsbaums (oder des Dienstverwaltungskontens), der Objekte mit der Markerobjektklasse sunService oder sunServiceComponent enthält. Sie können beispielsweise eine Richtlinie erstellen, um Zugriffsberechtigungen für eine geschützte Ressource festzulegen, oder die Regeln, Subjekte, Bedingungen oder Antwortanbieter für eine bestehende Richtlinie ändern.

um - Änderungen des Benutzerverzeichnisses (oder des Benutzerverwaltungsknotens). Sie können beispielsweise den Namen oder die Adresse eines Benutzers ändern.

Achtung – Achtung –

Das Deaktivieren von persistenten Suchabfragen für eine dieser Komponenten wird nicht empfohlen, da bei deaktivierter persistenter Suche keine Benachrichtigungen vom Directory Server empfangen werden. Folglich würde der Cache der jeweiligen Komponenten nicht über die in Directory Server vorgenommenen Änderungen der Komponente benachrichtigt werden und der Cache würde veralten.

Wenn Sie beispielsweise die persistenten Suchabfragen für Änderungen des Benutzerverzeichnisses (um) deaktivieren, erhält der Access Manager-Server keine Benachrichtigungen vom Directory Server. Der Agent erhält folglich keine Benachrichtigungen von Access Manager für die Aktualisierung seines lokalen Benutzer-Caches mit den neuen Werten des Benutzerattributs. Wenn nun eine Anwendung die Benutzerattribute vom Agenten abfragt, erhält die Anwendung unter Umständen den alten Wert für das Attribut.

Verwenden Sie diese Eigenschaft nur in Ausnahmefällen, in denen die Eigenschaft unbedingt erforderlich ist. Wenn beispielsweise keine Dienstkonfigurationsänderungen (keine Änderung von Werten eines Dienstes, z. B. des Sitzungs- oder Authentifizierungsdienstes) in der Produktionsumgebung stattfinden, kann die persistente Suche für die Dienstverwaltungskomponente (sm) deaktiviert werden. Wenn jedoch eine Änderung in einem der Dienste auftritt, ist ein Neustart des Servers erforderlich. Dies gilt auch für andere persistente Suchabfragen, die von den Werten aci und um angegeben werden.

Weitere Informationen finden Sie unter Neue Eigenschaft zum Deaktivieren persistenter Suchabfragen zur Anwendung in Ausnahmefällen (6363157).

Von Access Manager unterstützte und nicht unterstützte Berechtigungen (2143066)

Mit Berechtigungen werden die Zugriffsrechte für Administratoren festgelegt, die Mitglieder von Rollen oder Gruppen sind, die innerhalb eines Bereichs bestehen. Access Manager ermöglicht die Konfiguration der Berechtigungen für folgende Administratortypen:

Die folgenden Berechtigungen werden unterstützt:

Cookie-basiertes "Sticky Request Routing" (6476922)

Wenn Access Manager-Server hinter einem Load Balancer bereitgestellt werden, verhindert das Cookie-basierte so genannte "Sticky Request Routing" (zähe Anforderungsweiterleitung), dass Client-Anfragen an einen falschen Access Manager-Server weitergeleitet werden (d. h., auf einen Server, der nicht der Host der Sitzung ist). Diese Funktion wurde in Access Manager 7 2005Q4-Patch 3 implementiert.

Das frühere Verhalten, ohne Cookie-basiertes Sticky Request Routing, führte häufig dazu, dass Anforderungen von nicht browserbasierten Clients (z. B. Richtlinienagenten und Clients, die das Remote-Access Manager Client SDK verwenden) fälschlicherweise an einen Access Manager, der nicht Host der Sitzung ist, weitergeleitet wurden. Um die Anforderung an den richtigen Server zu senden, musste der Access Manager-Server die Sitzung durch Kommunikation über einen Rückkanal überprüfen, was in den meisten Fällen zu Leistungseinbußen führte. Durch den Einsatz von Cookie-basiertem Sticky Request Routing wird diese Rückkanal-Kommunikation nicht benötigt und dadurch die Leistung von Access Manager verbessert.

Um Cookie-basiertes Request Routing zu implementieren, muss die Access Manager-Bereitstellung als Site konfiguriert sein. Weitere Informationen finden Sie unter Configuring an Access Manager Deployment as a Site in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

So konfigurieren Sie Cookie-basiertes Sticky Request Routing

  1. Um einen Cookie-Namen anzugeben, legen Sie die Eigenschaft com.iplanet.am.lbcookie.name in der Datei AMConfig.properties fest. Access Manager erzeugt anschließend unter Verwendung der 2-Byte-Server-ID (z. B. 01, 02 oder 03) den Cookie-Wert für den Load Balancer. Wenn Sie keinen Cookie-Namen angeben, erzeugt Access Manager das Cookie für den Load Balancer mit dem Standardnamen amlbcookie und der 2-Byte-Server-ID.

    Wenn Sie den Cookie-Namen auf dem Access Manager-Server festlegen, müssen Sie denselben Namen in der Datei AMAgent.properties für einen Richtlinienagenten verwenden. Ebenso müssen Sie denselben Cookie-Namen wie den vom Access Manager-Server verwendeten Namen verwenden, wenn Sie das Access Manager Client-SDK verwenden.

    Hinweis: Legen Sie nicht die Eigenschaft com.iplanet.am.lbcookie.value fest, da Access Manager den Cookie-Wert unter Verwendung der 2-Byte-Server-ID festlegt.

  2. Konfigurieren Sie Ihren Load Balancer mit dem Cookie-Namen aus Schritt 1. Mit der Access Manager-Bereitstellung kann ein Hardware- oder Software-Lastenausgleichssystem verwendet werden.

  3. Wenn Sitzungs-Failover implementiert ist, aktivieren Sie die Eigenschaft com.sun.identity.session.resetLBCookie für beide Richtlinienagenten und für den Access Manager-Server.

    • Fügen Sie für den Richtlinienagenten die Eigenschaft der Datei AMAgents.properties hinzu und aktivieren Sie sie.

    • Fügen Sie für Access Manager-Server die Eigenschaft der Datei AMConfig.properties hinzu und aktivieren Sie sie.

    Beispiel:

    com.sun.identity.session.resetLBCookie='true'

    Tritt eine Failover-Situation auf, wird die Sitzung an einen sekundären Access Manager-Server weitergeleitet und der Cookie-Wert des Load Balancer unter Verwendung der Server-ID des sekundären Access Manager-Servers festgelegt. Alle nachfolgenden Anforderungen für die Sitzung werden an den sekundären Access Manager-Server weitergeleitet.

Windows Desktop SSO-Konfiguration für Windows 2003 (6487361)

Um Windows Desktop SSO auf Windows 2003 zu konfigurieren (wie unter Configuring Windows Desktop SSO in Sun Java System Access Manager 7 2005Q4 Administration Guide beschrieben), verwenden Sie folgenden ktpass-Befehl:

ktpass /out filename /mapuser username 
/princ HTTP/hostname.domainname /crypto encryptiontype /rndpass 
/ptype principaltype /target domainname

Beispiel:

ktpass /out demo.HTTP.keytab 
/mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM 
/crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

Syntaxdefinitionen finden Sie auf folgender Website:

http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true

Schrittanleitung für das Einrichten von Passwörtern für einen Server mit Verteilter Authentifizierungsbenutzeroberfläche (6510859)

Das folgende Verfahren beschreibt, wie Sie die verschlüsselten Passwörter für einen Server mit Verteilter Authentifizierungsbenutzeroberfläche einrichten, der mit einem Access Manager-Server kommuniziert.

So richten Sie die Passwörter für einen Server mit Verteilter Authentifizierungsbenutzeroberfläche ein

  1. Führen Sie folgende Schritte auf dem Access Manager-Server durch:

    1. Verwenden Sie das Dienstprogramm ampassword -e, um das amadmin-Passwort zu verschlüsseln. Beispielsweise auf Solaris-Systemen:

      # cd /opt/SUNWam/bin 
# ./ampassword -e amadmin-password 
AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX

      Speichern Sie den verschlüsselten Wert.

    2. Kopieren und speichern Sie die Eigenschaft am.encryption.pwd aus der Access Manager-Serverdatei AMConfig.properties. Beispiel:

      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

  2. Nehmen Sie auf dem Server mit Verteilter Authentifizierungsbenutzeroberfläche folgende Änderungen der Datei AMConfig.properties vor:

    1. Kommentieren Sie die Eigenschaft com.iplanet.am.service.password aus.

    2. Legen Sie die Eigenschaft com.iplanet.am.service.secret auf das in Schritt 1a verschlüsselte amadmin-Passwort fest.

    3. Fügen Sie am.encryption.pwd und den in Schritt 1b verschlüsselten Wert hinzu. Beispiel:

      com.sun.identity.agents.app.username=username 
#com.iplanet.am.service.password=password 
com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 
am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

  3. Starten Sie den Server mit Verteilter Authentifizierungsbenutzeroberfläche neu.

Fehlender Schritt in Onlinehilfe unter ?So erstellen Sie einen neuen Site-Namen“ (2144543)

In der Onlinehilfe der Access Manager-Konsole fehlt unter ?So erstellen Sie einen neuen Site-Namen“ in ?Konfiguration>Systemeingenschaften>Plattform“ der Schritt mit der Anweisung zum Speichern. Wenn Sie nach dem Hinzufügen einer neuen Site nicht auf ?Speichern“ und anschließend einen Instanznamen hinzufügen möchten, schlägt der Vorgang fehl. Klicken Sie daher nach dem Hinzufügen eines Site-Namens immer auf ?Speichern“ und fügen Sie anschließend den Instanznamen hinzu.

Konfigurationsparameter für Administrator-Passwort lautet auf Windows-Systemen ADMIN_PASSWD (6470793)

Auf Solaris- und Linux-Systemen lautet der in der Datei amsamplesilent enthaltene Konfigurationsparameter für das Passwort des Access Manager-Administrators (amadmin ) ADMINPASSWD. Auf Windows-Systemen lautet der Parameter in der Datei AMConfigurator.properties jedoch ADMIN_PASSWD.

Wenn Sie amconfig.bat auf einem Windows-System ausführen, legen Sie das amadmin-Passwort in der Datei AMConfigurator.properties mit dem Parameter ADMIN_PASSWORD und nicht mit ADMINPASSWD fest.

Versionshinweise enthalten falsche Lösung für ein bekanntes Problem (6422907)

Schritt 3 der Lösung für Ausführen des Webdienstes gibt Fehler "Ressourcenangebot nicht gefunden" zurück (6359900) wurde korrigiert.

Dokument com.iplanet.am.session.protectedPropertiesList in AMConfig.properties (6351192)

Der com.iplanet.am.session.protectedPropertiesList-Parameter ermöglicht es Ihnen, bestimmte Eigenschaften von Kernsitzungen bzw. internen Sitzungen vor Remote-Aktualisierungen per SetProperty-Methode des Sitzungs-Dienstes zu schützen. Durch Festlegen dieses "versteckten" Schlüsselsicherheitsparameters können Sie Sitzungsattribute anpassen, um bei der Autorisierung sowie bei anderen Access Manager-Funktionen teilzunehmen. So verwenden Sie diesen Parameter:

  1. Fügen Sie den parameter mit einem Texteditor zur AMConfig.properties -Datei hinzu.

  2. Stellen Sie den Parameter für die Sitzungseigenschaften ein, die Sie schützen möchten. Beispiel:

    com.iplanet.am.session.protectedPropertiesList = 
PropertyName1,PropertyName2,PropertyName3

  3. Starten Sie den Access Manager-Webcontainer neu, damit die Werte in Kraft treten.

Beschreibung der Unterstützung für Rollen und gefilterte Rolle für das LDAPv3-Plugin (6365196)

Nach Anwendung des entsprechenden Patches können Sie Rollen und gefilterte Rollen für das LDAPv3-Plugin konfigurieren, wenn die Daten in Sun Java System Directory Server gespeichert sind (behebt Problem 6349959). Geben Sie auf der Access Manager 7 2005Q4 Administrator Console für die LDAPv3-Konfiguration in das Feld "LDAPc3-Plugin: Unterstützte Typen und Vorgänge" die Werte wie folgt ein:

role: read,edit,create,delete
filteredrole: read,edit,create,delete

Sie können einen oder beide der oben genannten Einträge eingeben, je nachdem, welche Rollen und gefilterte Rollen Sie in Ihrer LDAPv3-Konfiguration verwenden möchten.

Beschreibung nicht verwendeter Eigenschaften in der Datei AMConfig.properties (6344530)

Die folgenden Eigenschaften in der Datei AMConfig.properties werden nicht verwendet: 

com.iplanet.am.directory.host
com.iplanet.am.directory.port

com.iplanet.am.session.client.polling.enable auf Serverseite darf nicht true sein (6320475)

Die com.iplanet.am.session.client.polling.enable-Eigenschaft in der AMConfig.properties-Datei darf auf Serverseite niemals auf true festgelegt werden.

Umgehung: Diese Eigenschaft wird standardmäßig auf false festgelegt und sollte niemals erneut auf true festgelegt werden.

Der Standarderfolgs-URL ist in der Konsolenonlinehilfe fehlerhaft (6296751)

Der Standarderfolgs-URL ist in der Onlinehilfedatei service.scserviceprofile.iplanetamauthservice.html fehlerhaft. Das Feld "Default Success URL" akzeptiert eine Liste mit mehreren Werten, die den URL angeben, an den die Benutzer nach einer erfolgreichen Authentifizierung geleitet werden. Das Format dieses Attributs lautet clientType|URL, obwohl Sie nur den Wert des URL angeben können, der einen HTML-Standardtyp annimmt.

Der Standardwert “/amconsole” ist fehlerhaft.

Umgehung: Der richtige Standardwert lautet “/amserver/console”.

Beschreibung der Aktivierung der XML-Verschlüsselung (6275563)

Um die XML-Verschlüsselung für Access Manager oder Federation Manager unter Verwendung der Bouncy Castle-JAR-Datei für das Generieren eines Transportschlüssels zu aktivieren, gehen Sie wie folgt vor:

  1. Wenn Sie eine ältere JDK-Version als JDK 1.5 verwenden, laden Sie den Bouncy Castle-JCE-Anbieter von der Bouncy Castle-Website (http://www.bouncycastle.org/) herunter. Wenn Sie beispielsweise JDK 1.4 verwenden, laden Sie die Datei bcprov-jdk14-131.jar herunter.

  2. Wenn Sie im vorherigen Schritt eine JAR-Datei heruntergeladen haben, kopieren Sie die Datei in das Verzeichnis jdk_root/jre/lib/ext.

  3. Laden Sie für die verwendete Version des JDK die JCE Unlimited Strength Jurisdiction Policy Files von der Sun-Website (http://java.sun.com) für Ihre JDK-Version herunter. Laden Sie für IBM WebSphere die erforderlichen Dateien von der IMB-Website herunter.

  4. Kopieren Sie die heruntergeladenen Dateien US_export_policy.jar und local_policy.jar in das Verzeichnis jdk_root/jre/lib/security .

  5. Wenn Sie eine ältere JDK-Version als JDK 1.5 verwenden, bearbeiten Sie die Datei jdk_root/jre/lib/security/java.security und fügen Sie Bouncy Castle als einen der Anbieter hinzu. Beispiel:

    security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider

  6. Legen Sie in der Datei AMConfig.properties die folgende Eigenschaft als true fest:

    com.sun.identity.jss.donotInstallAtHighestPriority=true

  7. Starten Sie den Access Manager-Webcontainer neu.

Weitere Informationen erhalten Sie unter der Problemnummer 5110285 (XML-Verschlüsselung erfordert Bouncy Castle-JAR-Datei).