Juli 2007
Teilenr. 819-4683-13
Die Versionshinweise zu Sun JavaTM System Access Manager 7.1 enthalten wichtige Informationen zur Sun Java Enterprise System (Java ES)-Version, einschließlich neuer Access Manager-Funktionen und bekannter Probleme mit Lösungen (falls verfügbar). Lesen Sie dieses Dokument vor der Installation und Verwendung dieser Version.
Die Java ES-Produktdokumentation, einschließlich der Access Manager-Sammlung, können Sie unter http://docs.sun.com/prod/entsys.05q4 anzeigen.
Lesen Sie die Informationen auf dieser Website, bevor Sie die Software installieren und einrichten, und besuchen Sie die Website dann regelmäßig, um die aktuellste Dokumentation einzusehen.
Diese Versionshinweise sind in folgende Abschnitte unterteilt:
Die folgende Tabelle erhält das Änderungsprotokoll der Versionshinweise zu Access Manager 7.1.
Tabelle 1 Revisionsverlauf
Datum |
Beschreibung der Änderungen |
---|---|
Juli 2006 |
Beta-Release. |
März 2007 |
Java Enterprise System 5-Version |
Mai 2007 |
Aktualisiert mit neuen bekannten Problemen 6555040, 6550261, 6554379, 6554372, 6480354 |
Juni 2007 |
Aktualisiert mit neuen bekannten Problemen 6562076, 6490150 |
Juli 2007 |
Aktualisiert mit neuem bekanntem Problem 6485695 |
Sun Java System Access Manager ist Teil der Sun Identity Management-Infrastruktur, die es einem Unternehmen ermöglicht, sicheren Zugriff auf Webanwendungen und andere Ressourcen sowohl innerhalb eines Unternehmens als auch über B2B-Wertschöpfungsketten (Business-to-Business) hinweg zu verwalten.
Access Manager bietet die folgenden Hauptfunktionen:
Zentrale Authentifizierungs- und Genehmigungsdienste unter Verwendung einer rollen- und regelbasierten Zugriffssteuerung
Single Sign-On (SSO) für den Zugriff auf die webbasierten Anwendungen eines Unternehmens
Verbundidentitätsunterstützung mit Liberty Alliance Project und Security Assertions Markup Language (SAML)
Protokollierung von wichtigen Informationen, einschließlich Administrator- und Benutzeraktivitäten, durch Access Manager-Komponenten für nachfolgende Analysen, Berichterstellung und Prüfung.
Diese Version bietet die folgenden neuen Funktionen:
Access Manager 7.1 wird über Java Management Extensions (JMX) in das Java Enterprise System Monitoring Framework integriert. Die JMX Technology bietet Werkzeuge zum Erstellen von verteilten, webbasierten, modularen und dynamischen Lösungen für die Verwaltung und Überwachung von Geräten, Anwendungen und dienstgesteuerten Netzwerken. Nachfolgend werden einige typische Einsatzbereiche der JMX Technology aufgelistet: Überprüfen und Ändern der Anwendungskonfiguration, Sammeln statistischer Daten zum Anwendungsverhalten, Benachrichtigen bei Statusänderungen und Auftreten von Fehlern. Die Daten werden an eine zentrale Überwachungskonsole gesendet.
Access Manager 7.1 verwendet das Java ES Monitoring Framework, um Statistiken und dienstbezogene Daten zu erfassen, beispielsweise:
Anzahl an versuchten, erfolgreichen und fehlgeschlagenen Authentifizierungen.
Statistiken zum Richtlinien-Caching.
Transaktionszeiten der Richtlinienauswertung.
Access Manager 7.1 erweitert die Authentifizierungsfähigkeiten für Webdienste in folgender Art und Weise:
In ausgehende Nachrichten werden Token eingefügt.
Eingehende Nachrichten werden auf Sicherheitstoken überprüft.
Ermöglicht die Auswahl von Authentifizierungsanbietern durch Anklicken für neue Anwendungen.
Access Manager enthält eine einzelne WAR-Datei, die Sie verwenden können, um Access Manager-Dienste konsistent auf allen unterstützten Containern und Plattformen bereitzustellen. Die Access Manager WAR-Datei koexistiert neben dem Java Enterprise System-Installer, der viele JAR-, XML-, JSP-, HTML-, GIF- und verschiedene .properties-Dateien bereitstellt.
Unterstützte Webcontainer
Sun Java System Web Server 7.0
Sun Java System Application Server 8.2
BEA WL 8.1 SP4
IBM WebSphere 5.1.1.6
Monitoring Framework-Integration
Access Manager kann das JES Monitoring Framework zur Überwachung der folgenden Punkte verwenden:
Authentifizierung
Anzahl an versuchten Authentifizierungen
Anzahl an versuchten entfernten Authentifizierungen (optional)
Anzahl an erfolgreichen Authentifizierungen
Anzahl an fehlgeschlagenen Authentifizierungen
Anzahl an erfolgreichen Abmeldevorgängen
Anzahl der fehlgeschlagenen Abmeldevorgänge
Transaktionszeit für jedes Modul, falls möglich (im Ausführungs- und Wartestatus)
Sitzungen
Größe der Sitzungstabelle (maximale Anzahl an Sitzungen)
Anzahl an aktiven Sitzungen (inkrementeller Zähler)
Profildienst
Maximale Cachegröße
Transaktionszeit für Vorgänge (im Ausführungs- und Wartestatus)
Richtlinie
Ein- und ausgehende Anforderungen für Richtlinienbewertung
Statistiken zum Richtlinienverbindungspool für den LDAP-Server des Objekt-Plugins
Authentifizierungsmodul
Dienst für verteilte Authentifizierung, der nicht auf einen einzigen Server beschränkt ist, für Bereitstellungen mit Load Balancer
Authentifizierungsdienst und -server, die nicht auf einen einzigen Server beschränkt sind, für Bereitstellungen mit Load Balancer
Unterstützt zusammengesetzte Advices neben Authentifizierungsdienst, Richtlinien-Agenten und Richtliniendienst. Enthält die Bedingungen AuthenticateToRealm und AuthenticateToService sowie die Bereichsqualifizierung für alle Bedingungen.
Advice-Organisation (bereichsqualifizierte Authentifizierungsbedingungen)
Authentifizierungskonfigurationen/Authentifizierungsketten (AuthServiceCondition)
Bei aktivierter Authentifizierungsverkettung kann die modulbasierte Authentifizierung verweigert werden.
Der Dienst für verteilte Authentifizierung unterstützt das Zertifikatauthentifizierungs-Modul.
Zu Distributed Authentication UI wurde CertAuth hinzugefügt, um eine voll funktionsfähige Extractor-Präsentation für Anmeldeinformationen zu bieten.
Neues Data Store-Authentifizierungsmodul, das die Authentifizierung anhand des konfigurierten Data Store für einen bestimmten Bereich durchführt.
Die Konfiguration der Kontosperre ist nun über mehrere AM-Serverinstanzen hinweg persistent.
Verkettung von Vorverarbeitungs-SPI-Klassen.
Richtlinienmodul
Die neue Richtlinienbedingung AuthenticateToServiceCondition wurde hinzugefügt, um die Authentifizierung des Benutzers bei einer bestimmten Authentifizierungsdienstkette zu erzwingen.
Die neue Richtlinienbedingung AuthenticateToRealmCondition wurde hinzugefügt, um die Authentifzierung des Benutzers bei einem bestimmten Bereich zu erzwingen.
Die neue Richtlinienbedingung LDAPFilterCondition wurde hinzugefügt, um die Übereinstimmung des Benutzers mit dem angegebenen LDAP-Filter zu erzwingen.
Unterstützung von Ein-Ebenen-Platzhalter-Vergleichen; hierdurch kann der Inhalt des Verzeichnisses geschützt werden, ohne das Unterverzeichnis zu schützen.
Richtlinien können ohne explizite Bezugsrichtlinien des übergeordneten Bereichs in Unterbereichen erstellt werden, wenn in der globalen Richtlinienkonfiguration Organisations-Aliasbezüge aktiviert wurden.
AuthLevelCondition kann zusätzlich zur Authentifizierungsebene den Bereichsnamen angeben.
AuthSchemeCondition kann zusätzlich zum Namen des Authentifizierungsmoduls den Bereichsnamen angeben.
Dienst-Verwaltungs-Modul
Unterstützt das Speichern der Dienst-Verwaltungs-/Richtlinienkonfiguration in Active Directory.
Access Manager-SDK
Unterstützt APIs zum Authentifizieren von Benutzern anhand einer standardmäßigen Identitäts-Repository-Framework-Datenbank.
Unterstützung von Webdiensten
Liberty ID-WSF SOAP-Anbieter: Authentifizierungsanbieter, der die Liberty ID-WSF SOAP-Binding als Implementierung von Access Manager enthält. Dies umfasst einen Client und einen Dienstanbieter.
SSO-Anbieter auf HTTP-Ebene: Authentifizierungsanbieter auf HttpServlet-Ebene, der den Access Manager-basierten SSO auf der Serverseite enthält.
Installationsmodul
Erneute Bereitstellung von Access Manager als J2EE Application, wobei eine einzelne WAR-Datei erzeugt wird, die im Web bereitgestellt werden kann.
Unterstützt 64 Bit-SJS Web Server 7.0, um die 64 Bit-JVM zu unterstützen.
Delegationsmodul
Unterstützt die Gruppierung von Delegationsberechtigungen
Aktualisieren
Unterstützt die Aktualisierung auf Access Manager 7.1 von den folgenden Versionen: Access Manager 7.0 2005Q4, Access Manager 6.3 2005Q1 und Identity Server 6.2 2004Q2.
Protokollierung
Unterstützt die Delegation im Protokollierungsmodul und kontrolliert, welche Identitäten die Protokolldateien bearbeiten oder lesen können.
Unterstützt JCE-basierte SecureLogHelper - auf diese Weise kann JCE (neben JSS) als Sicherheitsanbieter für die Implementierung der sicheren Protokollierung verwendet werden.
Mit den Identitätsverwaltung-APIs und XML-Vorlagen in Sun Java(TM) System Access Manager 7.1 können Systemadministratoren Identitätseinträge in Sun Java System Directory Server erstellen, löschen und verwalten. Access Manager stellt außerdem APIs für die Identitätsverwaltung bereit. Entwickler verwenden die im Paket com.iplanet.am.sdk definierten öffentlichen Schnittstellen und Klassen, um Verwaltungsfunktionen in externe Anwendungen oder Dienste zu integrieren, die von Access Manager verwaltet werden sollen. Access Manager-APIs bieten eine Möglichkeit, identitätsbezogene Objekte zu erstellen oder zu löschen sowie die Objektattribute von Directory Server abzurufen, zu ändern, hinzuzufügen oder zu löschen.
Das Access Manager com.iplanet.am.sdk-Paket, allgemein als AMSDK bekannt, ist in künftigen Versionen von Access Manager nicht enthalten. Dies umfasst alle verwandten APIs und XML-Vorlagen. Derzeit sind keine Migrationsoptionen verfügbar und auch für künftige Versionen nicht vorgesehen. Die in Sun Java System Identity Manager verfügbaren Benutzerbereitstellungslösungen sind kompatible Ersatzoptionen, die Sie von nun an verwenden können. Weitere Informationen über Sun Java System Identity Manager finden Sie unter http://www.sun.com/software/products/identity_mgr/index.xml.
Die folgende Tabelle enthält eine Auflistung der für diese Version erforderlichen Hardware und Software.
Tabelle 2 Hardware- und Softwareanforderungen
Komponente |
Anforderung |
---|---|
Betriebssystem (OS) |
Die aktuellste Liste der unterstützten Betriebssysteme finden Sie unter Platform Requirements and Issues in Sun Java Enterprise System 5 Release Notes for UNIX in den Sun Java Enterprise System 5 Versionshinweisen für UNIX bzw. unter Hardware and Software Platform Information in Sun Java Enterprise System 5 Release Notes for Microsoft Windows in den Sun Java Enterprise System 5 Versionshinweisen für Windows. |
Java 2 Standard Edition (J2SE) |
J2SE Platform 6.0, 5.0 Update 9 (HP-UX: 1.5.0.03) und 1.4.2 Update 11. |
Directory-Server |
Access Manager-Informationsbaum: Sun Java System Directory Server 6.0 oder Sun Java System Directory Server 5.2 2005Q4 Access Manager-Identitätsrepository: Sun Java System Directory Server 5.2 und 6.0 sowie Microsoft Active Directory |
Webcontainer |
Sun Java System Web Server 7.0 auf unterstützten Plattform-/OS-Kombinationen, die Sie zum Ausführen der Web Server-Instanz in einer 64 Bit-JVM verwenden möchten. Unterstützte Plattformen: Solaris 9/SPARC, Solaris 10/SPARC, Solaris 10/AMD64, Red Hat AS oder ES 3.0/AMD64, Red Hat AS oder ES 4.0/AMD64 Sun Java System Application Server Enterprise Edition 8.2 BEA WebLogic 8.1 SP4 IBM WebSphere Application Server 5.1.1.6 |
RAM |
Basistests: 512 MB Tatsächliche Bereitstellung: 1 GB für Threads, Access Manager SDK, HTTP-Server sowie andere interne Komponenten |
Festplattenspeicherplatz |
512 MB für Access Manager und die zugehörigen Anwendungen |
Falls Sie Fragen zur Unterstützung von anderen Versionen dieser Komponenten haben, wenden Sie sich an die technischen Mitarbeiter von Sun Microsystems.
In der folgenden Tabelle sind die von der Sun Java Enterprise System 5-Version unterstützten Browser aufgelistet.
Tabelle 3 Unterstützte Browser
Browser |
Plattform |
---|---|
Firefox 1.0.7 |
Windows XP Windows 2000 Solaris OS, Versionen 9 und 10 Red Hat Linux 3 und 4 Mac OS X |
Microsoft Internet ExplorerTM 6.0 SP2 |
Windows XP |
Microsoft Internet Explorer 6.0 SP1 |
WindowsTM 2000 |
MozillaTM 1.7.12 |
Solaris OS, Versionen 9 und 10 Windows XP Windows 2000 Red Hat Linux 3 und 4 Mac OS X |
Netscape™ Communicator 8.0.4 |
Windows XP Windows 2000 |
Netscape Communicator 7.1 |
Solaris OS, Versionen 9 und 10 |
Inkompatibilität von AMSDK-Systemen und Access Manager-Server
Aufrüstung der Access Manager-HPUX-Version nicht unterstützt
Bei folgenden Kombinationen und in folgenden Java Enterprise System-Versionen bestehen Inkompatibilitäten von AMSDK und dem Access Manager-Server:
Java Enterprise System 2004Q2 AMSDK ist mit dem Java Enterprise System 5 Access Manager-Server (vorliegende Version) nicht kompatibel.
Java Enterprise System 5 AMSDK (vorliegende Version) ist nicht mit dem Java Enterprise System Access Manger 2004Q2-Server (ehemals: Identity Server) kompatibel.
Die Aufrüstung von Access Manager 7 2005Q4 auf Access Manger 7.1 (vorliegende Version) wird bei der HPUX-Version nicht unterstützt.
Wenn Sie Access Manager mit einem der folgenden Produkte installieren, müssen Sie den Access Manager Legacy (6.x)-Modus auswählen:
Sun Java System Portal Server
Sun Java System Communications Services-Server, u.a. Messaging Server, Calendar Server, Instant Messaging oder Delegated Administrator
Die Auswahl des Access Manager Legacy (6.x)-Modus richtet sich danach, wie das Java ES-Installationsprogramm ausgeführt wurde:
Installationsoption “Jetzt konfigurieren” im grafischen Modus
Installationsoption “Jetzt konfigurieren” im textbasierten Modus
Weitere Informationen zum Modus einer Access Manager 7.1-Installation finden Sie unter Ermitteln des Access Manager-Modus.
Die automatische Installation des Java ES-Installationsprogramms ist ein nicht interaktiver Modus, mit dem Sie Java ES-Komponenten auf mehreren Hostservern installieren können, die ähnliche Konfigurationen aufweisen. Zuerst führen Sie das Installationsprogramm aus, um eine Statusdatei zu generieren (ohne tatsächlich Komponenten zu installieren) und dann bearbeiten Sie eine Kopie der Statusdatei für jeden Hostserver, auf dem Sie die Installation von Access Manager und anderen Komponenten planen.
Um Access Manager im Legacy (6.x)-Modus auszuwählen, legen Sie den folgenden Parameter (zusammen mit anderen Parametern) in der Statusdatei fest, bevor Sie das Installationsprogramm im automatischen Modus ausführen:
... AM_REALM = disabled ...
Weitere Informationen zum Ausführen des Java ES-Installationsprogramms im automatischen Modus mithilfe einer Statusdatei finden Sie in Kapitel 5, Installing in Silent Mode in Sun Java Enterprise System 5 Installation Guide for UNIX.
Wenn Sie das Java ES-Installationsprogramm mit der Option “Jetzt konfigurieren” im grafischen Modus ausführen, müssen Sie im Fenster “Access Manager: Administration (1 of 6)” die Option “Legacy (version 6.x style)” auswählen, also den Standardwert.
Wenn Sie das Java ES-Installationsprogramm im textbasierten Modus mit der Option “Jetzt konfigurieren” ausführen, wählen Sie für Install type (Realm/Legacy) [Legacy] die Option Legacy, also den Standardwert.
Wenn Sie das Java ES-Installationsprogramm mit der Option “Später konfigurieren” ausgeführt haben, müssen Sie nach der Installation das amconfig-Skript zur Konfiguration von Access Manager ausführen. Um den Legacy (6.x)-Modus auszuwählen, legen Sie den folgenden Parameter in der Konfigurationsskript-Eingabedatei (amsamplesilent) fest:
... AM_REALM=disabled ...
Weitere Informationen zur Konfiguration von Access Manager durch Ausführen des amconfig-Skripts finden Sie hier: Sun Java System Access Manager 7.1 Administration Guide .
Um zu ermitteln, ob eine ausgeführte Access Manager 7.1-Installation im Realm- oder Legacy-Modus konfiguriert wurde, führen Sie folgenden Aufruf durch:
http(s)://host:port/amserver/SMSServlet?method=isRealmEnabled
Die Ergebnisse lauten:
true: Realm-Modus
false: Legacy-Modus
In der folgenden Tabelle wird die Kompatibilität von Richtlinienagenten mit den Access Manager 7.1-Modi dargestellt.
Tabelle 4 Kompatibilität von Richtlinienagenten mit den Access Manager 7.1-Modi
Agent und Version |
Kompatibler Modus |
---|---|
Web- und J2EE-Agenten, Version 2.2 |
Legacy- und Realm-Modus |
Web- und J2EE-Agenten (Version 2.1) werden in Access Manager 7.1 nicht unterstützt |
In diesem Abschnitt werden die folgenden bekannten Probleme und ggf. Lösungen beschrieben, die zum Zeitpunkt der Veröffentlichung von Access Manager 7.1 verfügbar waren.
Informationen zu Installationsproblemen bei Java Enterprise System finden Sie in den Versionshinweisen zu JES5. Lesen Sie den Abschnitt Access Manager Installation Issues in Sun Java Enterprise System 5 Release Notes for UNIX .
Dieser Abschnitt enthält folgende bekannte Probleme:
Es besteht ein bekanntes Problem für die auf Weblogic 8.1 bereitgestellte einzelne WAR-Datei bei der JAX-RPC-Initialisierung. Damit Access Manager mit dem Client-SDK kommunizieren kann, müssen Sie die JAX-RCP 1.1-JAR-Dateien durch JAX-RPC 1.0-JAR-Dateien ersetzen.
Problemumgehung:
Es gibt zwei Möglichkeiten, um an die WAR-Datei zu gelangen. Sie erhalten sie entweder über das Installationsprogramm für Java Enterprise System 5, indem Sie für Access Manager die Option "Später konfigurieren" einstellen, oder über die Download-Site von Sun.
Wenn Sie die WAR-Datei mit dem JES 5-Installationsprogramm über die Option "Später konfigurieren" generiert haben:
Entfernen Sie folgende .jar-Dateien von JAXRPC 1.1 aus AccessManager-base/SUNWam/web-src/WEB-INF/lib :
jaxrpc-api.jar
jaxrpc-spi.jar
jaxrpc-impl.jar
Kopieren Sie folgende .jar-Dateien von ihrem jeweiligen Speicherort nach AccessManager-base/SUNWam/web-src/WEB-INF/lib :
jaxrpc-api.jar aus /opt/SUNWam/lib/jaxrpc 1.0
jaxrpc_ri.jar aus /opt/SUNWam/lib/jaxrpc 1.0
commons-logging.jar aus /opt/SUNWmfwk/lib
Wechseln Sie zu AccessManager-base/SUNWam/bin/ , und führen Sie nachfolgenden Befehl aus:
amconfig —s samplesilent
Weitere Informationen zur Konfiguration von Access Manager mithilfe des amconfig-Skripts finden Sie unter Running the Access Manager amconfig Script im Access Manager Post Installation Guide.
Wenn Sie die WAR-Datei von der Download-Site von Sun (http://www.sun.com/download/index.jsp) heruntergeladen haben:
Sobald Sie über die Datei ZIP_ROOT/applications/jdk14/amserver.war verfügen, entpacken Sie sie in einen Staging-Bereich, z. B. /tmp/am-staging .
Entfernen Sie folgende .jar-Dateien von JAXRPC 1.1 aus /tmp/am-staging/WEB-INF/lib:
jaxrpc-api.jar
jaxrpc-spi.jar
jaxrpc-impl.jar
Kopieren Sie nachfolgende .jar-Dateien von JAXRPC 1.0 und die .jar-Datei für Commons-Logging aus dem Verzeichnis ZIP_ROOT/applications/jdk14/jarFix nach /tmp/am-staging/WEB-INF/lib:
jaxrpc-api.jar
jaxrpc-ri.jar
commons-logging.jar
Erstellen Sie die WAR-Datei von Access Manager neu, und stellen Sie sie bereit. Weitere Informationen finden Sie unter Deploying Access Manager as a Single WAR File im Access Manager Post Installation Guide.
Wenn die einzelne WAR-Datei von Access Manager mithilfe des JES 5-Installationsprogramms über die Option "Später konfigurieren" generiert wird, sind zusätzliche .jar-Dateien erforderlich, damit Sie Websphere 5.1 bereitstellen können.
Problemumgehung:
Kopieren Sie jsr173_api.jar aus dem Verzeichnis /usr/share/lib nach AcessManager-base/opt/SUNWam/web-src/WEB-INF/lib .
Wechseln Sie zu AccessManager-base/SUNWam/bin/ , und führen Sie nachfolgenden Befehl aus:
amconfig —s samplesilent
Weitere Informationen zur Konfiguration von Access Manager mithilfe des amconfig-Skripts finden Sie unter Running the Access Manager amconfig Script im Access Manager Post Installation Guide.
Damit die Bereitstellung der einzelnen WAR-Datei von Access Manager mit Websphere 5.1 mit der Client-SDK kommunizieren kann, müssen Sie Änderungen an der Datei server.xml vornehmen.
Problemumgehung:
Gehen Sie folgendermaßen vor, um die Datei server.xml ordnungsgemäß zu ändern:
Beschaffen Sie die Datei amserver.war. Es gibt zwei Möglichkeiten, die einzelne WAR-Datei zu erhalten: über das JES 5-Installationsprogramm mithilfe der Option "Später konfigurieren" oder über die Download-Site von Sun.
Wenn Sie die WAR-Datei über das JES 5-Installationsprogramm generiert haben, gehen Sie gemäß den im bekannten Problem Nr. 6550261 angegebenen Schritten vor.
Entpacken Sie die Access Manager-WAR in einen Staging-Bereich, z. B. /tmp/am-staging.
Kopieren Sie folgende gemeinsam genutzte .jar-Dateien von /tmp/am-staging/WEB-INF/lib an einen Speicherort mit gemeinsamem Zugriff, beispielsweise /export/jars:
jaxrpc-api.jar jaxrpc-spi.jar jaxrpc-impl.jar saaj-api.jar saaj-impl.jar xercesImpl.jar namespace.jar xalan.jar dom.jar jax-qname.jar jaxb-api.jar jaxb-impl.jar jaxb-libs.jar jaxb-xjc.jar jaxr-api.jar jaxr-impl.jar xmlsec.jar swec.jar acmecrypt.jar iaik_ssl.jar iaik_jce_full.jar mail.jar activation.jar relaxngDatatype.jar xsdlib.jar mfwk_instrum_tk.jar FastInfoset.jar jsr173_api.jar
Entfernen Sie dieselben .jar-Dateien aus dem Verzeichnis /tmp/am-staging/WEB-INF/lib im Staging-Bereich.
Aktualisieren Sie die Datei server.xml der Websphere-Instanz. Nehmen Sie nachfolgend beschriebene Änderungen an jvmEntries in der Datei server.xml vor, wenn der Standardspeicherort der Instanz /opt/WebSphere/AppServer/config/cells/ node-name/nodes/node-name/servers/server1 lautet:
<classpath>/export/jars/jaxrpc-api.jar:/export/jars/jaxrpc-spi.jar: /export/jars/jaxrpc-impl.jar:/export/jars/saaj-api.jar: /export/jars/saaj-impl.jar:/export/jars/xercesImpl.jar: /export/jars/namespace.jar:/export/jars/xalan.jar:/export/jars/dom.jar: /export/jars/jax-qname.jar:/export/jars/jaxb-api.jar:/export/jars/jaxb-impl.jar: /export/jars/jaxb-libs.jar:/export/jars/jaxb-xjc.jar:/export/jars/jaxr-api.jar: /export/jars/jaxr-impl.jar:/export/jars/xmlsec.jar:/export/jars/swec.jar: /export/jars/acmecrypt.jar:/export/jars/iaik_ssl.jar: /export/jars/iaik_jce_full.jar:/export/jars/mail.jar: /export/jars/activation.jar::/export/jars/relaxngDatatype.jar: /export/jars/xsdlib.jar:/export/jars/mfwk_instrum_tk.jar: /export/jars/FastInfoset.jar:/export/jars/jsr173_api.jar</classpath>
Starten Sie den Container neu.
Erstellen Sie die WAR-Datei von Access Manager neu, und stellen Sie sie über /tmp/am-staging bereit. Weitere Informationen finden Sie unter Deploying Access Manager as a Single WAR File im Access Manager Deployment Planning Guide.
Für die WAR-Datei zur verteilten Authentifizierung werden zusätzliche .jar-Dateien für das Parsing sowohl für Weblogic 8.1 und Websphere 5.1 benötigt, da die Containerversion JDK14 ist. Die .jar -Dateien von JDK14 befinden sich in der .zip-Datei in folgendem Verzeichnis:
ZIP-ROOT/applications/jdk14/jarFix
Problemumgehung:
Für Weblogic 8.1:
Konfigurieren Sie die verteilte Authentifizierung mithilfe der Setup-Skripts. Informationen hierzu finden Sie unter Deploying a Distributed Authentication UI Server im Access Manager Post Installation Guide.
Entpacken Sie die aktualisierte WAR-Datei für die verteilte Authentifizierung in ein temporäres Verzeichnis, beispielsweise /tmp/dist-auth.
Kopieren Sie xercesImpl.jar, dom.jar und xalan.jar von ZIP-ROOT/applications/jdk14/jarFix in das Verzeichnis /tmp/dist_auth/WEB-INF/lib.
Erzeugen Sie die WAR-Datei für die verteilte Authentifizierung über das temporäre Verzeichnis erneut, und stellen Sie sie bereit. Weitere Informationen finden Sie unter Deploying a Distributed Authentication UI Server WAR File im Access Manager Post Installation Guide.
Für Websphere 5.1:
Konfigurieren Sie die verteilte Authentifizierung mithilfe der Setup-Skripts. Informationen hierzu finden Sie unter Deploying a Distributed Authentication UI Server im Access Manager Post Installation Guide.
Entpacken Sie die aktualisierte WAR-Datei für die verteilte Authentifizierung in ein temporäres Verzeichnis, beispielsweise /tmp/dist_auth.
Kopieren Sie xercesImpl.jar, dom.jar und xalan.jar von ZIP-ROOT/applications/jdk14/jarFix in das Verzeichnis /tmp/dist_auth/WEB-INF/lib.
Bearbeiten Sie die Datei WEB-INF/web.xml und ersetzen Sie jar://web-app_2_3.dtd durch http://java.sun.com/dtd/web-app_2_3.dtd .
Erzeugen Sie die WAR-Datei für die verteilte Authentifizierung über das temporäre Verzeichnis erneut, und stellen Sie sie bereit. Weitere Informationen finden Sie unter Deploying a Distributed Authentication UI Server WAR File im Access Manager Post Installation Guide.
Wenn Access Manager als einzelne WAR-Datei bereitgestellt wird, schlägt die Konfiguration auf Directory Server 6 mit einem Einzelkomponenten-Root-Suffix fehl. Beispiel: dc=example. Mit einem Mehrfachkomponenten-Root-Suffix wie beispielsweise dc=example,dc=com ist der Vorgang jedoch erfolgreich.
Problemumgehung: Verwenden Sie das Mehrfachkomponenten-Root-Suffix, z. B. dc=example,dc=com.
Bei der Konfiguration der zweiten Instanz der einzelnen WAR-Datei von Access Manager auf demselben Host gegen Directory Server wird beim Aktualisieren des Organisations-Alias ein Ausnahmefehler zurückgegeben. Dieses Problem tritt nicht auf, wenn die zweite Instanz auf einem anderen Host konfiguriert wird.
Informationen zu Upgrade-Problemen finden Sie im Abschnitt Upgrade Issues in Sun Java Enterprise System 5 Release Notes for UNIX in den Sun Java Enterprise System 5 Release Notes for UNIX.
Access Manager Single Sign-On schlägt unter Universal Web Client (6367058, 6429573) fehl
StackOverflowError tritt unter Web Server 7.0 im 64–Bit-Modus auf (6449977)
Im Kernauthentifizierungsmodul gibt es Inkompatibilitäten für den Legacy-Modus (6305840).
Das Dienstprogramm commadmin von Delegated Administrator erstellt keinen Benutzer (6294603)
Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Organisation (6292104)
Dieses Problem tritt auf, nachdem Sie Access Manager, Messaging Server und Calendar Server installiert, für den gemeinsamen Betrieb konfiguriert und anschließend den JES5 120955-01 Patch installiert haben. Der Benutzer erhält einen Anmeldefehler. Dieser Fehler tritt aufgrund einer Inkompatibilität zwischen den Eigenschaften von Policy Agent 2.1 und AMSDK auf. Derzeit ist keine Abhilfemöglichkeit bekannt.
Wird Access Manager auf einer Web Server 7.0-Instanz unter Verwendung einer 64-Bit-JVM konfiguriert, wird beim Zugriff auf die Anmeldeseite der Konsole ein Serverfehler ausgegeben. Im Web Server-Fehlerprotokoll ist die Ausnahme StackOverflowError enthalten.
Problemumgehung: Ändern Sie die Web Server-Konfiguration, indem Sie die folgenden Schritte durchführen:
Melden Sie sich bei der Web Server-Administration Console als Web Server-Administrator an.
Klicken Sie auf “Edit Configuration„.
Wählen Sie im Feld “Edit Configuration„ die Option “64„ und klicken Sie auf “Speichern„.
Klicken Sie auf die Registerkarte “Java„ und anschließend auf “JVM Settings„.
Suchen Sie unter “Optionen„ nach dem Mindestwert für die Heap-Größe (z. B.: -Xms). Der Mindestwert für die Heap-Größe sollte mindestens 512m betragen. Wenn der Wert für die Heap-Größe nicht -Xms512m oder höher beträgt, ändern Sie diesen Wert in mindestens -Xms512m.
Der Höchstwert für die Heap-Größe sollte mindestens 768m betragen. Wenn der Höchstwert für die Heap-Größe nicht -Xmx768m oder höher ist, ändern Sie diesen Wert in mindestens -Xmx768m.
Legen Sie die Java Stack-Größe auf 512k oder 768k fest, indem Sie -Xss512k oder -Xss768k verwenden. Sie können den Standardwert für 64 Bit-JVM unter Solaris Sparc (1024k) verwenden, indem Sie den Wert leer lassen.
Klicken Sie auf die Registerkarte “Performance„ und klicken Sie auf den Link “Thread Pool Settings—
Ändern Sie den Wert der Stack-Größe in mindestens 261144 und klicken Sie auf “Speichern„.
Klicken Sie oben rechts im Bildschirm auf “Deployment Pending„.
Klicken Sie auf der Seite “Configuration Deployment„ auf “Deploy„.
Klicken Sie im Fenster “Ergebnisse„ auf “OK„, um die Web Server-Instanz neu zu starten.
Klicken Sie im Fenster “Ergebnisse„ auf “Schließen„, nachdem Web Server neu gestartet wurde.
Der Access Manager 7.1-Legacy-Modus weist die folgenden Inkompatibilitäten im Kernauthentifizierungsmodus von Access Manager 6 2005Q1 auf:
Im Legacy-Modus werden die Organisationsauthentifizierungsmodule entfernt.
Die Darstellung der “Administrator Authentication Configuration” und “Organization Authentication Configuration” hat sich geändert. In der Dropdown-Liste der Access Manager 7.1 Console ist standardmäßig ldapService ausgewählt. In der Access Manager 6 2005Q1 Console wurde die Schaltfläche zum Bearbeiten (Edit) bereitgestellt und das LDAP-Modul wurde nicht standardmäßig ausgewählt.
Problemumgehung: Keine.
Das Dienstprogramm commadmin von Delegated Administrator mit der Option -S mail,cal erstellt keinen Benutzer in der Standarddomäne.
Problemumgehung: Dieses Problem tritt auf, wenn Sie Access Manager auf Version 7.1 aufrüsten, Delegated Administrator jedoch nicht aufrüsten.
Wenn Sie nicht vorhaben, Delegated Administrator zu aktualisieren, gehen Sie wie folgt vor:
Markieren Sie in der Datei UserCalendarService.xml die Attribute mail, icssubcribed und icsfirstday als optional und nicht als erforderlich. Diese Datei befindet sich auf Solaris-Systemen standardmäßig im Verzeichnis /opt/SUNWcomm/lib/services/.
Entfernen Sie in Access Manager die bereits vorhandene XML-Datei, indem Sie den Befehl amadmin wie folgt ausführen:
# ./amadmin -u amadmin -w password -r UserCalendarService
Fügen Sie in Access Manager die aktualisierte XML-Datei wie folgt hinzu:
# ./amadmin -u amadmin -w password -s /opt/SUNWcomm/lib/services/UserCalendarService.xml
Starten Sie den Access Manager-Webcontainer neu.
Das Dienstprogramm commadmin von Delegated Administrator mit der Option -S mail,cal erstellt keine Organisation.
Problemumgehung: Die Lösung entspricht der des oben beschriebenen Problems.
Die Plattformserverliste und das FQDN-Aliasattribut werden nicht aktualisiert (6309259, 6308649)
Datenvalidierung für erforderliche Attribute in Diensten (6308653)
Dokumentieren der Abhilfe für die Bereitstellung auf einer sicheren WebLogic 8.1-Instanz (6295863)
Der Access Manager-Standardmodus ist der Realm in der Konfigurationsstatus-Dateivorlage (6280844)
Wenn Sie Instanzen von Access Manager hinter einem Load Balancer bereitgestellt haben, wird die Anmeldung bei der Access Manager Console möglicherweise an eine der Access Manager-Instanzen umgeleitet anstatt an den Load Balancer. Die URL im Browser ändert sich ebenfalls in die der Access Manager-Instanz. Dieses Problem kann beispielsweise auftreten, wenn Sie sich über folgende URL bei der Konsole anmelden:
http://loadbalancer.example.com/amserver/realm
Diese Umleitung kann sowohl bei der Bereitstellung für den Bereichsmodus als auch für den Legacy-Modus auftreten.
Das Problem kann auf zwei verschiedene Arten umgangen werden. Sie können eine der folgenden Möglichkeiten nutzen:
Melden Sie sich über eine der folgenden URLs an:
http:// loadbalancer/amserver/UI/Login
http:// loadbalancer/amserver
Stellen Sie in AMConfig.properties für die Eigenschaft com.sun.identity.loginurl den Namen des Load Balancers ein. Dieser Vorgang muss für jede Access Manager-Instanz wiederholt werden, die sich hinter dem Load Balancer befindet.
Wenn Sie das Access Manager-SDK ohne Webcontainer installieren, indem Sie das Java ES 5-Installationsprogramm mit der Option "Jetzt konfigurieren" ausführen, ist die Eigenschaft com.iplanet.am.notification.url in der Datei AMConfig.properties auf NOTIFICATION_URL eingestellt. Wenn Sie keine zusätzliche Webcontainerkonfiguration vornehmen, erhalten die Benutzer vom Access Manager-Remote-Server keine Benachrichtigungen.
Problemumgehung: Ändern Sie diese Eigenschaft wie folgt: com.iplanet.am.notification.url=""
Wenn ein Passwort geändert wird, sendet Access Manager die E-Mail-Benachrichtigung mithilfe des nicht qualifizierten Sendernamens Identity-Server, was zu Fehlereinträgen in den amPasswordReset-Protokollen führt. Beispiel:
07/19/2006 10:26:04:010 AM PDT: Thread[service-j2ee,5,main] ERROR: Could not send email to user [Ljava.lang.String;@999262 com.sun.mail.smtp.SMTPSendFailedException: 553 5.5.4 <Identity-Server>... Domain name required for sender address Identity-Server |
Problemumgehung: Ändern Sie die Konfiguration in /opt/SUNWam/locale/amPasswordResetModuleMsgs.properties.
Ändern Sie die from-Adresse. Ändern Sie fromAddress.label=<Identity-Server> in fromAddress.label=<IdentityServer@myhost.company.com>.
Ändern Sie die Eigenschaft lockOutEmailFrom, um sicherzustellen, dass Sperrbenachrichtigungen die richtige from-Adresse verwenden.
Bei einer Mehrfachserverbereitstellung werden die Plattformserverliste und das FQDN-Aliasattribut nicht aktualisiert, wenn Sie Access Manager auf den sekundären (und nachfolgenden) Servern installieren.
Problemumgehung: Fügen Sie die Realm/DNS-Aliasnamen und Plattform-Serverlisteneinträge manuell hinzu. Schrittweise Anleitungen finden Sie im Abschnitt Adding Additional Instances to the Platform Server List and Realm/DNS Aliases in Sun Java System Access Manager 7.1 Postinstallation Guide.
Access Manager 7.1 erzwingt für die erforderlichen Attribute in XML-Dateien von Diensten Standardwerte.
Problemumgehung: Falls Sie über Dienste mit erforderlichen Attributen verfügen, die keine Werte aufweisen, fügen Sie für die Attribute Werte hinzu und laden Sie den Dienst dann erneut.
Wenn Sie Access Manager 7.1 in einer sicheren (SSL-fähigen) BEA WebLogic 8.1 SP4-Instanz bereitstellen, tritt während der Bereitstellung der einzelnen Access Manager-Webanwendungen eine Ausnahme auf.
Problemumgehung: Gehen Sie wie folgt vor:
Wenden Sie das WebLogic 8.1 SP4-Patch JAR CR210310_81sp4.jar an, das Sie von BEA beziehen können.
Aktualisieren Sie im /opt/SUNWam/bin/amwl81config-Skript (Solaris-Systeme) oder im /opt/sun/identity/bin/amwl81config-Skript (Linux-Systeme) die doDeploy-Funktion und die undeploy_it-Funktion, um den Pfad der Patch-JAR wl8_classpath voranzustellen, wobei es sich um die Variable handelt, die den classpath enthält, der zum Bereitstellen und zum Aufheben der Bereitstellung der Access Manager-Webanwendungen verwendet wird.
Suchen Sie die folgende Zeile, die den wl8_classpath enthält:
wl8_classpath= ...
Fügen Sie unmittelbar nach der Zeile, die Sie in Schritt 2 gefunden haben, die folgende Zeile hinzu:
wl8_classpath=path-to-CR210310_81sp4.jar:$wl8_classpath
Bei einer Mehrfachserverbereitstellung aktualisiert das amconfig-Skript die Realm-/DNS-Aliasnamen und Plattformserver-Listeneinträge für zusätzliche Access Manager-Instanzen nicht.
Problemumgehung: Fügen Sie die Realm/DNS-Aliasnamen und Plattform-Serverlisteneinträge manuell hinzu. Schrittweise Anleitungen finden Sie im Abschnitt Adding Additional Instances to the Platform Server List and Realm/DNS Aliases in Sun Java System Access Manager 7.1 Postinstallation Guide.
Der Access Manager-Modus (AM_REALM-Variable) ist in der Konfigurationsstatus-Dateivorlage aktiviert.
Problemumgehung: Um Access Manager im Legacy-Modus zu installieren oder zu konfigurieren, legen Sie die Variable in der Statusdatei neu fest:
AM_REALM = disabled
Wenn Access Manager im Bereichsmodus installiert ist, erstellt Access Manager, immer wenn eine neue Gruppe erstellt wird, dynamisch einen neuen Gruppenadministrator mit den ACIs, die zur Verwaltung der Gruppe erforderlich sind. Im Bereichsmodus werden diese Gruppenadministrator-ACIs nicht verwendet. Directory Server wertet diese jedoch beim Verarbeiten von Einträgen unter dem Suffix trotzdem aus, wodurch die Leistung von Access Manager beeinträchtigt werden kann, insbesondere wenn bei der Bereitstellung eine große Anzahl von Gruppen erstellt wird.
Problemumgehung: Um das Problem zu umgehen, sind zwei Maßnahmen erforderlich:
Verhindern, dass Access Manager einen Gruppenadministrator und entsprechende ACIs erstellt, wenn eine neue Gruppe erstellt wird
Entfernen vorhandener Gruppenadministrator-ACIs von Directory Server
Verhindern, dass Gruppenadministrator-ACIs erstellt werden
Mit dem folgenden Verfahren wird verhindert, dass Acccess Manager einen Gruppenadministrator und entsprechende ACIs erstellt, wenn ein neue Gruppe erstellt wird.
Durch dieses Verfahren wird dauerhaft verhindert, dass beim Erstellen neuer Gruppen Gruppenadministratoren und entsprechende ACIs erstellt werden. Wenden Sie dieses Verfahren nur an, wenn dieses Verhalten für Ihre Bereitstellung geeignet ist.
Sichern Sie die Datei amAdminConsole.xml. Diese Datei befindet sich je nach Plattform im folgenden Verzeichnis:
Solaris: /etc/opt/SUNWam/config/xml
Linux- und HP-UX-Systeme: /etc/opt/sun/identity/config/xml
Windows-Systeme: javaes-install-dir\identity\config\xml
javaes-install-dir steht für das Java ES 5-Installationsverzeichnis. Der Standardwert ist C:\Program Files\Sun\JavaES5.
Entfernen Sie in der Datei amAdminConsole.xml den folgenden Gruppenadministrator-Eintrag, der zwischen den Kommentarzeilen angezeigt wird:
<AttributeSchema name="iplanet-am-admin-console-dynamic-aci-list" type="list" syntax="string" i18nKey="g111"> <DefaultValues> ... # Beginning of entry to delete <Value>Group Admin|Group Admin Description|ORGANIZATION:aci: (target="ldap:///GROUPNAME")(targetattr = "*") (version 3.0; acl "Group and people container admin role"; allow (all) roledn = "ldap:///ROLENAME";)##ORGANIZATION:aci: (target="ldap:///ORGANIZATION") (targetfilter=(&FILTER(!(|(nsroledn=cn=Top-level Admin Role,dc=iplanet,dc=com) (nsroledn=cn=Top-level Help Desk Admin Role,dc=iplanet,dc=com) (nsroledn=cn=Top-level Policy Admin Role,dc=iplanet,dc=com) (nsroledn=cn=Organization Admin Role,ORGANIZATION) (nsroledn=cn=Container Admin Role,ORGANIZATION) (nsroledn=cn=Organization Policy Admin Role,ORGANIZATION))))) (targetattr != "iplanet-am-web-agent-access-allow-list || iplanet-am-web-agent-access-not-enforced-list|| iplanet-am-domain-url-access-allow || iplanet-am-web-agent-access-deny-list ||nsroledn") (version 3.0; acl "Group admin's right to the members"; allow (read,write,search) roledn = "ldap:///ROLENAME";)</Value> # End of entry to delete ... </DefaultValues> </AttributeSchema>
Verwenden Sie amadmin, um den Admin- Konsolen-Dienst von Access Manager zu löschen. Beispielsweise auf Solaris-Systemen:
# cd /opt/SUNWam/bin # ./amadmin -u amadmin -w amadmin_password --deleteService iPlanetAMAdminConsoleService
Laden Sie den Admin-Konsolen-Dienst mit amadmin in Access Manager aus der in Schritt 2 bearbeiteten Datei amAdminConsole.xml. Beispiel:
# ./amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/config/xml/amAdminConsole.xml
Starten Sie den Access Manager-Webcontainer neu. (Wenn Sie ACIs von Directory Server wie im nächsten Verfahren beschrieben entfernen möchten, warten Sie, und starten Sie den Webcontainer neu, nachdem Sie dieses Verfahren abgeschlossen haben.)
Entfernen vorhandener Gruppenadministrator-ACIs
Im folgenden Verfahren werden die Dienstprogramme ldapsearch und ldapmodify verwendet, um die Gruppenadministrator-ACIs zu suchen und zu entfernen. Wenn in Ihrer Bereitstellung Directory Server 6.0 verwendet wird, können Sie auch Directory Server Control Center (DSCC) oder den Befehl dsconf für diese Funktionen verwenden. Weitere Informationen finden Sie in der Dokumentation zu Directory Server 6.0:
http://docs.sun.com/app/docs/coll/1224.1
Durch das folgende Verfahren werden Gruppenadministrator-ACIs entfernt, die bereits in Directory Server vorhanden sind.
Erstellen Sie eine LDIF-Datei für die Verwendung mit ldapmodify, um die Gruppenadministrator-ACIs zu entfernen. Suchen Sie nach diesen ACIs mit ldapsearch (oder einem anderen Tool zur Verzeichnissuche, das Sie bevorzugen).
Beispielsweise entfernen die folgenden Einträge in der LDIF-Beispieldatei Remove_Group_ACIs.ldif ACIs für eine Gruppe namens New Group:
dn: ROOT_SUFFIX changetype: modify delete: aci aci: (target="ldap:///cn=New Group,ou=Groups,o=isp")(targetattr = "*") (version 3.0; acl "Group and people container admin role"; allow (all) roledn = "ldap:///cn=cn=New Group_ou=Groups_o=isp,o=isp";) dn: ROOT_SUFFIX changetype: modify delete: aci aci: (target="ldap:///ou=People,o=isp")(targetattr="nsroledn") (targattrfilters="add=nsroledn:(!(nsroledn=*)), del=nsroledn:(!(nsroledn=*))") (version 3.0; acl "Group admin's right to add user to people container"; allow (add) roledn = "ldap:///cn=cn=New Group_ou=Groups_o=isp,o=isp";) dn: ROOT_SUFFIX changetype: modify delete: aci aci: (target="ldap:///o=isp") (targetfilter=(&(|(memberof=*cn=New Group,ou=Groups,o=isp) (iplanet-am-static-group-dn=*cn=New Group,ou=Groups,o=isp)) (!(|(nsroledn=cn=Top-level Admin Role,o=isp) (nsroledn=cn=Top-level Help Desk Admin Role,o=isp) (nsroledn=cn=Top-level Policy Admin Role,o=isp) (nsroledn=cn=Organization Admin Role,o=isp)( nsroledn=cn=Container Admin Role,o=isp) (nsroledn=cn=Organization Policy Admin Role,o=isp))))) (targetattr != "iplanet-am-web-agent-access-allow-list || iplanet-am-web-agent-access-not-enforced-list || iplanet-am-domain-url-access-allow || iplanet-am-web-agent-access-deny-list ||nsroledn") (version 3.0; acl "Group admin's right to the members"; allow (read,write,search) roledn = "ldap:///cn=cn=New Group_ou=Groups_o=isp,o=isp";) aci: (target="ldap:///o=isp")(targetattr="*") (version 3.0; acl "S1IS special dsame user rights for all under the root suffix"; allow (all) userdn = "ldap: ///cn=dsameuser,ou=DSAME Users,o=isp"; )
Verwenden Sie ldapmodify mit der LDIF-Datei aus dem vorherigen Schritt, um die Gruppen-ACIs von Directory Server zu entfernen. Beispiel:
# ldapmodify -h ds-host -p 389 -D "cn=Directory Manager" -w ds-bind-password -f Remove_Group_ACIs.ldif
Starten Sie den Access Manager-Webcontainer neu.
Die neue Access Manager-Konsole kann keine CoS-Vorlagenprioritäten festlegen (6309262)
Beim Hinzufügen von Portal Server-verwandten Diensten wird die alte Konsole angezeigt (6293299)
Attribut ContainerDefaultTemplateRole nach Datenmigration hinzufügen (4677779)
Die neue Access Manager 7.1 Console kann keine Class of Service (CoS)-Vorlagenpriorität festlegen oder ändern.
Problemumgehung: Melden Sie sich an der Access Manager 6 2005Q1 Console an, um eine CoS-Vorlagenpriorität festzulegen oder zu ändern.
Portal Server und Access Manager werden auf demselben Server installiert. Bei der Installation von Access Manager im Legacy-Modus melden Sie sich unter Verwendung von /amserver an der neuen Access Manager Console an. Wenn Sie einen bereits vorhandenen Benutzer wählen und versuchen, Dienste (wie NetFile oder Netlet) hinzuzufügen, wird plötzlich die alte Access Manager Console (/amconsle) angezeigt.
Problemumgehung: Keine. Für die aktuelle Version von Portal Server ist die Access Manager 6 2005Q1 Console erforderlich.
Installieren Sie Directory Server und dann Access Manager mit der bereits vorhandenen DIT-Option. Melden Sie sich an der Access Manager Console an und erstellen Sie eine Gruppe. Bearbeiten Sie die Benutzer in der Gruppe. Fügen Sie zum Beispiel Benutzer mit dem Filter uid=*999* hinzu. Das resultierende Listenfeld ist leer und die Konsole zeigt keinen Fehler, keine Informationen und keine Warnmeldungen an.
Problemumgehung: Die Gruppenmitgliedschaft darf die Directory Server-Suchgrößenbeschränkung nicht überschreiten. Ist die Gruppenmitgliedschaft größer, müssen Sie die Suchgrößenbeschränkung entsprechend ändern.
Im Legacy-Modus wird die Rolle des Benutzers nicht unterhalb einer Organisation angezeigt, die nicht in Access Manager erstellt wurde. Im Debug-Modus wird folgende Meldung angezeigt:
ERROR: DesktopServlet.handleException() com.iplanet.portalserver.desktop.DesktopException: DesktopServlet.doGetPost(): no privilige to execute desktop
Dieser Fehler tritt auf, nachdem die Migrationsskripte des Java ES-Installationsprogramms ausgeführt wurden. Das Attribut ContainerDefaultTemplateRole wird der Organisation nicht automatisch hinzugefügt, wenn die Organisation aus einem vorhandenen Informationsverzeichnisbaum (Directory Information Tree, DIT) oder aus einer anderen Quelle migriert wurde.
Problemumgehung: Verwenden Sie die Directory Server-Konsole, um das Attribut ContainerDefaultTemplateRole aus einer anderen Access Manager-Organisation zu kopieren und es anschließend der betreffenden Organisation zuzuweisen.
Ein Administrator, dem die Organisations-Admin-Rolle zugewiesen wurde, kann aufgrund falscher Protokollierberechtigungen mit dem amadmin-Befehlszeilendienstprogramm keinen neuen Benutzer erstellen.
Umgehung: Sowohl der Organisations-Admin als auch der Top-Level-Admin dürfen die Berechtigungen festlegen. Zur Durchführung dieses Schritts über Administration Console:
Begeben Sie sich zu der Organisation, der der Organisations-Admin zugehörig ist.
Klicken Sie auf die Registerkarte “Berechtigungen„.
Klicken Sie auf den Link der Organisations-Admin-Rolle.
Wählen Sie Read and write access to all log files oder Write access to all log files.
Klicken Sie auf “Speichern„.
Die Clients erhalten nach dem Serverneustart keine Benachrichtigungen (6309161)
SDK-Clients müssen nach Dienstschemaänderung neu gestartet werden (6292616)
Anwendungen, die mit dem Client-SDK (amclientsdk.jar) geschrieben wurden, erhalten bei einem Serverneustart keine Benachrichtigungen.
Problemumgehung: Keine.
Beim Ändern eines Dienstschemas gibt ServiceSchema.getGlobalSchema das alte Schema und nicht das neue Schema zurück.
Problemumgehung: Starten Sie den Client nach einer Dienstschemaänderung neu.
Dieses Problem wird mit Patch 1 behoben.
Wenn Sie den Distributed Authentication UI-Server mit dem standardmäßigen Anwendungsbenutzer bereitstellen, kommt es aufgrund der eingeschränkten Berechtigungen dieses Benutzers zu einem beträchtlichen Leistungsabfall.
Problemumgehung: Erstellen Sie einen neuen Benutzer mit den erforderlichen Berechtigungen.
So erstellen Sie einen Benutzer mit den erforderlichen ACIs:
Erstellen Sie in der Access Manager-Konsole einen neuen Benutzer. Erstellen Sie beispielsweise einen Benutzer mit dem Namen AuthUIuser.
Fügen Sie in der Directory Server-Konsole die folgende ACI hinzu.
dn:ou=1.0,ou=SunAMClientData,ou=ClientData,<ROOT_SUFFIX> changetype:modifyadd:aci aci: (target="ldap:///ou=1.0,ou=SunAMClientData,ou=ClientData,<ROOT_SUFFIX>") (targetattr = "*"(version 3.0; acl "SunAM client data anonymous access"; allow (read, search, compare) userdn = "ldap:///<AuthUIuser's DN>";) |
Beachten Sie, dass userdn auf “ldap:///<AuthUIuser's DN>„ eingestellt ist.
Lesen Sie die Anweisungen in To Install and Configure a Distributed Authentication UI Server in Sun Java System Access Manager 7.1 Postinstallation Guide hinsichtlich der Bearbeitung der Datei amsilent und der Ausführung des Befehls amadmin.
Legen Sie in der Datei amsilent die folgenden Eigenschaften fest:
Geben Sie AuthUIuser ein.
Geben Sie ein Passwort für AuthUIuser ein.
Speichern Sie die Datei.
Führen Sie das Skript amconfig mit der neuen Konfigurationsdatei aus. Beispielsweise auf einem Solaris-System, auf dem Access Manager im Standardverzeichnis installiert ist:
# cd /opt/SUNWam/bin
# ./amconfig -s ./DistAuth_config
Starten Sie den Webcontainer auf dem Distributed Authentication UI-Server neu.
Nach der Installation mit Access Manager im Legacy-Modus hat sich die Standardkonfiguration für den Statistikdienst geändert:
Der Dienst wird standardmäßig aktiviert (com.iplanet.services.stats.state=file ). Zuvor war er deaktiviert.
Das Standardintervall (com.iplanet.am.stats.interval) hat sich von 3600 zu 60 geändert.
Das Standardstatusverzeichnis (com.iplanet.services.stats.directory) hat sich von /var/opt/SUNWam/debug zu /var/opt/SUNWam/stats geändert.
Problemumgehung: Keine.
Melden Sie sich nach der Installation von Access Manager als amadmin an und fügen Sie die o-, sunPreferredDomain-, associatedDomain-, sunOrganizationAlias-, uid- und mail-Attribute der Liste eindeutiger Attribute hinzu. Wenn Sie zwei neue Organisationen mit demselben Namen erstellen, schlägt die Operation fehl, Access Manager zeigt jedoch die Meldung “organization already exists” (Organisation bereits vorhanden) statt der erwarteten Meldung “attribute uniqueness violated” (Attributeindeutigkeit verletzt) an.
Problemumgehung: Keine. Ignorieren Sie die falsche Meldung. Access Manager wird ordnungsgemäß ausgeführt.
System erstellt einen ungültigen Diensthostnamen bei SSL-Anschluss des Load Balancer (6245660)
Verwendung von HttpSession mit Webcontainern anderer Hersteller
Wenn Access Manager mit dem Web Server als der Webcontainer verwendet wird, der einen Load Balancer mit SSL-Anschluss verwendet, werden die Clients nicht auf die richtige Web Server-Seite geleitet. Wenn Sie auf die Registerkarte “Sessions„ in der Access Manager Console klicken, wird ein Fehler ausgegeben, da der Host ungültig ist.
Problemumgehung: In den folgenden Beispielen hört der Web Server Port 3030 ab. Der Load Balancer hört Port 80 ab und leitet die Anforderungen an den Web Server um.
Bearbeiten Sie in der Datei web-server-instance-name/config/server.xml das Attribut servername, um auf den Load Balancer zu verweisen, je nach der verwendeten Version des Web Servers.
Bearbeiten Sie für die Versionen von Web Server 6.1 Service Pack (SP) das Attribut servername wie folgt:
<LS id="ls1" port="3030" servername="loadbalancer.example.com:80" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
Web Server 6.1 SP2 (oder höher) kann das Protokoll von http zu https oder von https zu http wechseln. Bearbeiten Sie deshalb servername wie folgt:
<LS id="ls1" port="3030" servername="https://loadbalancer.example.com:443" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
Als Standardmethode für das Aufrechterhalten von Sitzungen für Authentifizierungen ist “interne Sitzung„ und nicht HttpSession festgelegt. Der standardmäßige Wert von drei Minuten für die maximale Dauer einer Sitzung, bevor diese ungültig wird, ist ausreichend. Das Skript amtune legt für den Web Server und Application Server einen Wert von einer Minute fest. Wenn Sie jedoch einen Drittanbieter-Container (IBM WebSphere oder BEA WebLogic Server) und die Option HttpSession verwenden, müssen Sie die maximale HttpSession-Dauer des Webcontainers möglicherweise einschränken, um Leistungsprobleme zu vermeiden.
Das Löschen der dynamischen Attribute im Policy Configuration Service führt zu Problemen beim Bearbeiten der Richtlinien für das folgende Szenario:
Erstellen Sie zwei dynamische Attribute im Policy Configuration Service.
Erstellen Sie eine Richtlinie und wählen Sie die dynamischen Attribute (aus Schritt 1) im Antwortanbieter aus.
Entfernen Sie die dynamischen Attribute im Policy Configuration Service und erstellen Sie zwei weitere Attribute.
Versuchen Sie, die in Schritt 2 erstellte Richtlinie zu bearbeiten.
Die Ergebnisse lauten: Fehlermeldung, dass eine ungültige dynamische Eigenschaft festgelegt wurde.Es wurden standardmäßig keine Richtlinien in der Liste angezeigt. Nach einer Suche werden die Richtlinien angezeigt, Sie können die bereits vorhandenen Richtlinien jedoch nicht bearbeiten oder löschen oder eine neue Richtlinie erstellen.
Problemumgehung: Bevor Sie die dynamischen Attribute aus dem Policy Configuration Service entfernen, müssen Sie die Verweise auf diese Attribute aus den Richtlinien entfernen.
Beim Starten von Access Manager 7.1 werden in den Debug-Dateien amDelegation und amProfile Debug-Fehler ausgegeben:
amDelegation: Kann keine Plugin-Instanz zur Delegation abrufen
amProfile: Bekommt Delegationsausnahme
Problemumgehung: Keine. Sie können diese Meldungen ignorieren.
Bei Ausführung von AMIdentity.modifyService wird ein Fehler ausgegeben (6506448)
Gruppenmitglieder werden nicht in der ausgewählten Liste angezeigt (6459598)
Wenn AMIdentity.modifyService zur Festlegung des dynamischen Attributs eines Desktopdienstes für einen Bereich (Realm) verwendet wird, gibt Access Manager eine Null-Zeiger-Ausnahme zurück.
Problemumgehung:Fügen Sie AMConfig.properties die nachfolgend angegebene Eigenschaft hinzu und starten Sie dann den Server neu.:
com.sun.am.ldap.connnection.idle.seconds=7200
Das Problem tritt unter den folgenden Bedingungen auf:
Definieren Sie einen Bereich mit der folgenden Bereichsdefinition:
Die oberste Bereichsebene lautet amroot. Ein untergeordneter Bereich lautet example.com.
Der untergeordnete Bereich example.com enthält zwei Data Stores: exampleDB und exampledminDB.
Der Data Store exampleDB enthält alle Benutzer ab dc=example,dc=com. Die unterstützten LDAPv3-Operationen sind auf user=read,write,create,delete,service eingestellt.
Der Data Store exampleadminDB enthält eine Admin-Gruppe für den Bereich. Die Admin-Gruppe lautet DN: cn=example.com Realm Administrators,ou=Groups,dc=example,dc=com. Diese Gruppe enthält ein einziges Mitglied mit dem Namen scarter. Die unterstützten LDAPv3-Operationen sind auf group=read,write,create,delete eingestellt.
Klicken Sie auf die Registerkarte "Betreffe", dann "Gruppen" und anschließend auf den Eintrag für example.com Realm Administrators.
Klicken Sie auf die Registerkarte “Benutzer„.
Alle Benutzer im Data Store exampleDB werden als verfügbar angezeigt, der Benutzer scarter wird jedoch nicht im Feld “Ausgewählt„ angezeigt.
Problemumgehung: Fügen Sie die Operation user=read den unterstützten LDAPv3-Operationen im Data Store exampleadminDB hinzu.
Dieses Problem kann aufgrund von Groß- und Kleinschreibung im vollständig qualifizierten Domänennamen (FQDN) auftreten.
Beispiel: HostName.PRC.Example.COM
Lösung: Verwenden Sie nach der Installation nicht den standardmäßigen Anmelde-URL von Access Manager. Fügen Sie der Anmelde-URL stattdessen den LDAP-Speicherort der Standardorganisation hinzu. Beispiel:
http://HostName.PRC.Example.COM/amserver/UI/Login?org=dc=PRC,dc=Example,dc=COM
Nachdem Sie sich erfolgreich bei Access Manager angemeldet haben, können Sie die Einstellung so ändern, dass es nicht mehr erforderlich ist, beim Anmelden bei Access Manager den gesamten Pfad zur Organisation des Benutzers einzugeben. Gehen Sie wie folgt vor:
Öffnen Sie im Realm-Modus die Registerkarte “Bereich„ oder im Legacy-Modus die Registerkarte “Organisation„.
Klicken Sie auf den standardmäßigen Bereichs- oder Organisationsnamen.
Klicken Sie in diesem Beispiel auf prc.
Ändern Sie alle Großbuchstaben des Werts Bereich-/DNS-Alias in Kleinbuchstaben.
Fügen Sie in diesem Beispiel den in Kleinbuchstaben geschriebenen Wert hostname.prc.example.com zur Liste hinzu, und entfernen Sie den in Groß- und Kleinbuchstaben geschriebenen Wert HostName.PRC.Example.COM aus der Liste.
Klicken Sie auf “Speichern„ und melden Sie sich von der Access Manager-Konsole ab.
Sie können sich nun mit jedem der folgenden URLs anmelden:
http://hostname.PRC.Example.COM/amserver/UI/Login
http://hostname.PRC.Example.COM/amserver
http://hostname.PRC.Example.COM/amserver/console
Dieses Problem tritt auf, wenn die Multi-Master-Replikation zwischen zwei Directory-Servern aktiviert ist und Sie versuchen, mit dem Dienstprogramm amadmin eine untergeordnete Organisation zu erstellen.
Problemumgehung: Stellen Sie auf beiden Directory Servern die Eigenschaft nsslapd-lookthroughlimit auf -1 ein.
Wenn der Access Manager-Container im SSL-Modus ausgeführt wird und das SSL-Zertifikat des Containers abgelaufen ist, schlägt amconfig fehl und kann zu einer Klassenpfadbeschädigung führen.
Problemumgehung: Wenn Sie amconfig bereits mit einem abgelaufenen Zertifikat ausgeführt haben und der Klassenpfad beschädigt ist, benötigen Sie zunächst ein gültiges SSL-Zertifikat. Verwenden Sie die ursprüngliche Datei domain.xml oder eine Kopie der Datei domain.xml, in der der Klassenpfad nicht beschädigt ist. Führen Sie dann den Befehl amconfig erneut aus:
/opt/SUNWam/bin/amconfig -s $PWD/amsamplesilent
Beispieldateien sind im Client-SDK enthalten. Aus ihnen geht hervor, wie eigenständige Programme und Webanwendungen geschrieben werden. Die Beispiele befinden sich unterhalb des Verzeichnisses, in dem Sie Makefile.clientsdk erstellt haben, sowie in folgenden Unterverzeichnissen:
.../clientsdk-samples/
.../clientsdk-webapps/
Clientsdk-samples enthält Beispiele für eigenständige Authentifizierungs-, Protokollierungs und Richtlinienprogramme sowie eigenständige SAML-Programme. Clientsdk-webapps enthält Beispiele für Benutzerverwaltungs-, Dienstverwaltungs- und Richtlinienprogramme. Zu jedem Beispiel gehört eine Readme.html-Datei mit Anweisungen zum Kompilieren und Ausführen des Beispielprogramms.
Zur Kompilierung der Beispiele sollte das Makefile im entsprechenden Unterverzeichnis ausgeführt werden. Das Top-Level-Makefile kompiliert die Beispiele in den Unterverzeichnissen nicht.
Wenn Sie Application Server 8.1 unter Red Hat Linux ausführen, ist die vom Red Hat OS für Application Server festgelegte Stackgröße für Threads 10 MB. Dadurch kann es zu JVM-Ressourcenproblemen kommen, wenn die Anzahl der Access Manager-Benutzersitzungen 200 erreicht.
Problemumgehung: Legen Sie als anzuwendende Stackgröße unter Red Hat OS einen niedrigeren Wert fest, z. B. 2048 oder 256 KB. Führen Sie hierfür den Befehl ulimit aus, bevor Sie Application Server starten. Führen Sie den Befehl ulimit auf derselben Konsole aus, auf der Sie auch Application Server starten. Beispiel:
# ulimit -s 256;
Problemumgehung: Unter den Gebietsschemata zh_TW und es auf der HP-UX-Plattform darf Access Manager nur im Modus “Später konfigurieren„ konfiguriert werden. Starten Sie das JavaES-Installationsprogramm, installieren Sie das Access Manager-Produkt und beenden Sie das JavaES-Installationsprogramm. Rufen Sie dann das Access Manager-Konfigurationsprogramm wie nachfolgend dargestellt auf:
LANG=C
export LANG
Bearbeiten Sie die Datei accessmanager-base/bin/amsamplesilent.
Führen Sie accessmanager-base/bin/amconfig -s amsamplesilent aus.
Für dieses Problem gibt es derzeit keine Lösung.
Wenn Sie im Realm-Modus Benutzerkonten für einen Identitätsanbieter (IDP) und einen Dienstanbieter (SP) verbinden, den Verbund dann beenden und sich abmelden, tritt ein Fehler auf: Fehler: Es wurde keine untergeordnete Organisation gefunden.
Problemumgehung: Keine.
Aktueller Wert und neuer Wert werden in der Console nicht richtig angezeigt (6476672)
Entfernen von UTF-8 schlägt in Client Detection fehl (5028779)
Mehrfachbyte-Zeichen werden in den Protokolldateien als Fragezeichen angezeigt (5014120)
Wenn das Gebietsschema des Browsers auf zh eingestellt wird, werden die Administration Console-Komponenten, etwa die Schaltfläche für Version, Hilfe und Abmeldung, in englischer Sprache angezeigt.
Problemumgehung: Stellen Sie das Gebietsschema des Browsers anstelle von zh auf zh-cn ein.
In der lokalisierten Version von Administration Console werden die Bezeichnungen für den aktuellen Wert und den neuen Wert nicht richtig angezeigt, nämlich als label.current.value bzw. label.new.value.
Die Datumformatbeschriftungen der Richtlinienbedingung in der chinesischen Ländereinstellung werden nicht richtig angezeigt. Die Beschriftungen schlagen das englische Datumformat vor. Verwandte Felder akzeptieren ebenfalls englische Datumformate.
Problemumgehung: Verwenden Sie für jedes Feld das in der Feldbeschriftung vorgeschlagene Datumformat.
Die Client Detection-Funktion funktioniert nicht ordnungsgemäß. Änderungen der Access Manager 7 .1 Console werden nicht automatisch vom Browser übernommen.
Problemumgehung: Es gibt zwei Lösungen:
Starten Sie den Access Manager-Webcontainer neu, nachdem Sie im Client Detection-Abschnitt eine Änderung vorgenommen haben.
oder
Befolgen Sie die nachfolgenden Schritte in der Access Manager Console:
Klicken Sie auf der Registerkarte Configuration auf Client Detection.
Klicken Sie auf den Link Bearbeiten für genericHTML.
Klicken Sie auf der Registerkarte "HTML" auf den Link genericHTML.
Nehmen Sie in der Zeichensatzliste den folgenden Eintrag vor: UTF-8;q=0.5 (Stellen Sie sicher, dass der UTF-8-Faktor q niedriger ist als die anderen Zeichensätze für Ihre Ländereinstellung.)
Speichern Sie, melden Sie sich ab und dann erneut an.
Die Mehrfachbyte-Nachrichten in den Protokolldateien im Verzeichnis /var/opt/SUNWam/logs werden als Fragezeichen angezeigt (?). Die Protokolldateien liegen in der nativen Codierung und nicht immer als UTF-8 vor. Wenn eine Webcontainerinstanz unter einer bestimmten Ländereinstellung gestartet wird, liegen die Protokolldateien für diese Ländereinstellung in der nativen Codierung vor. Wenn Sie zu einer anderen Ländereinstellung wechseln und die Webcontainerinstanz neu starten, liegen alle weiteren Nachrichten für die aktuelle Ländereinstellung in der nativen Codierung vor, die Nachrichten aus früheren Codierungen werden jedoch als Fragezeichen angezeigt.
Problemumgehung: Stellen Sie sicher, die Webcontainerinstanzen immer mit derselben nativen Codierung zu starten.
Beschreibung der Unterstützung für Rollen und gefilterte Rollen für das LDAPv3-Plugin (6365196)
Beschreibung nicht verwendeter Eigenschaften in der Datei AMConfig.properties (6344530)
Beschreibung der Aktivierung der XML-Verschlüsselung (6275563)
Nach Anwendung des entsprechenden Patches können Sie Rollen und gefilterte Rollen für das LDAPv3-Plugin konfigurieren, wenn die Daten in Sun Java System Directory Server gespeichert sind (behebt Problem 6349959). Geben Sie in Access Manager 7.1 Administration Console für die LDAPv3-Konfiguration in das Feld “LDAPv3-Plugin: Unterstützte Typen und Vorgänge„ die Werte wie folgt ein:
role: read,edit,create,delete filteredrole: read,edit,create,delete
Sie können einen oder beide der oben genannten Einträge eingeben, je nachdem, welche Rollen und gefilterte Rollen Sie in Ihrer LDAPv3-Konfiguration verwenden möchten.
Die folgenden Eigenschaften in der Datei AMConfig.properties werden nicht verwendet:
com.iplanet.am.directory.host com.iplanet.am.directory.port
Um die XML-Verschlüsselung für Access Manager oder Federation Manager unter Verwendung der Bouncy Castle-JAR-Datei für das Generieren eines Transportschlüssels zu aktivieren, gehen Sie wie folgt vor:
Wenn Sie eine ältere JDK-Version als JDK 1.5 verwenden, laden Sie den Bouncy Castle-JCE-Anbieter von der Bouncy Castle-Website herunter (http://www.bouncycastle.org/). Wenn Sie beispielsweise JDK 1.4 verwenden, laden Sie die Datei bcprov-jdk14-131.jar herunter.
Wenn Sie im vorherigen Schritt eine JAR-Datei heruntergeladen haben, kopieren Sie die Datei in das Verzeichnis jdk_root/jre/lib/ext.
Laden Sie für die verwendete Version des JDK die JCE Unlimited Strength Jurisdiction Policy Files von der Sun-Website (http://java.sun.com) für Ihre JDK-Version herunter. Laden Sie für IBM WebSphere die erforderlichen Dateien von der IMB-Website herunter.
Kopieren Sie die heruntergeladenen Dateien US_export_policy.jar und local_policy.jar in das Verzeichnis jdk_root/jre/lib/security .
Wenn Sie eine ältere JDK-Version als JDK 1.5 verwenden, bearbeiten Sie die Datei jdk_root/jre/lib/security/java.security und fügen Sie Bouncy Castle als einen der Anbieter hinzu. Beispiel:
security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider
Legen Sie in der Datei AMConfig.properties die folgende Eigenschaft als true fest:
com.sun.identity.jss.donotInstallAtHighestPriority=true
Starten Sie den Access Manager-Webcontainer neu.
Weitere Informationen erhalten Sie unter der Problemnummer 5110285 (XML-Verschlüsselung erfordert Bouncy Castle-JAR-Datei).
Sie können auf diese Dokumente in der Access Manager 7.1-Sammlung unter folgender Adresse zugreifen:
http://docs.sun.com/coll/1292.1
Die Access Manager 7 2005Q4-Sammlung wurde um ein neues Dokument mit dem Titel Kapitel 1, Technical Note: Deploying Access Manager Instances to an Application Server Cluster in Technical Note: Deploying Access Manager to an Application Server Cluster ergänzt.
Die Sun Java System Access Manager Richtlinien-Agenten 2.2-Sammlung beinhaltet nun auch eine Dokumentation zu den neuen Agenten:
http://docs.sun.com/coll/1322.1
Sun Java System Access Manager 7.1 enthält keine Dateien, die Sie an nicht lizenzierte Benutzer des Produkts weitervertreiben können.
Wenn Sie mit Access Manager oder Sun Java Enterprise System Probleme haben, wenden Sie sich an den Kundensupport von Sun. Dazu stehen folgende Möglichkeiten zur Auswahl:
Sun Support Resources-Dienste (SunSolve) unter http://sunsolve.sun.com/.
Diese Site bietet Links zur Knowledge Base, zum Online Support Center und ProductTracker sowie zu Wartungsprogrammen und Supportkontaktnummern.
Die auf Ihrem Wartungsvertrag angegebene Telefonnummer.
Damit wir Sie bestmöglich bei der Problembeseitigung unterstützen können, sollten Sie folgende Informationen zur Hand haben, wenn Sie unser Support-Team kontaktieren:
Beschreibung des Problems, einschließlich der Situation, in der das Problem auftrat, sowie seine Auswirkungen auf Ihre Arbeit.
Computertyp, Betriebssystem- und Produktversion, u. a. Patches und andere Softwareanwendungen, die das Problem verursacht haben könnten.
Detaillierte Schritte zu den von Ihnen verwendeten Methoden, um das Problem zu reproduzieren.
Sämtliche Fehlerprotokolle oder Kernspeicherauszüge.
Sun möchte seine Dokumentation laufend verbessern. Ihre Kommentare und Vorschläge sind daher immer willkommen. Klicken Sie unter http://docs.sun.com/ auf “Send Comments„.
Geben Sie in den entsprechenden Feldern den vollständigen Dokumenttitel sowie die Teilenummer ein. Die Teilenummer ist eine 7-stellige oder 9-stellige Zahl, die Sie auf der Titelseite des Handbuchs oder am Anfang des Dokuments finden. Die Teilenummer von Access Manager Versionshinweise lautet z. B. 819-4683-13.
Unter folgenden Adressen finden Sie nützliche Access Manager-Informationen und Ressourcen:
Sun Java Enterprise System Documentation: http://docs.sun.com/prod/entsys.05q4
Sun Services: http://www.sun.com/service/consulting/
Software Products and Service: http://wwws.sun.com/software/
Support Resources http://sunsolve.sun.com/
Developer Information: http://developers.sun.com/
Sun Developer Support Services: http://www.sun.com/developers/support/
Um Eingabehilfen zu erhalten, die nach der Veröffentlichung dieses Dokuments auf den Markt gekommen sind, lesen Sie Abschnitt 508 der Produktbewertungen, die Sie bei Sun anfordern können, um zu ermitteln, welche Versionen am besten geeignet sind. Aktualisierte Anwendungsversionen finden Sie unter: http://sun.com/software/javaenterprisesystem/get.html.
Informationen zum Engagement von Sun für Eingabehilfen finden Sie unter http://sun.com/access.
Diese Dokumentation nimmt Bezug auf URLs zu Produkten von Drittanbietern und bietet weitere relevante Informationen.
Sun ist nicht für die Verfügbarkeit von Websites Dritter verantwortlich, die in diesem Dokument genannt werden. Sun ist nicht verantwortlich oder haftbar für die Inhalte, Werbung, Produkte oder andere Materialien, die auf solchen Websites/Ressourcen oder über diese verfügbar sind, und unterstützt diese nicht. Sun lehnt jede Verantwortung oder Haftung für direkte oder indirekte Schäden oder Verluste ab, die durch die bzw. in Verbindung mit der Verwendung von oder der Stützung auf derartige Inhalte, Waren oder Dienstleistungen, die auf oder über diese Sites oder Ressourcen verfügbar sind, entstehen können.