Limitaciones y problemas conocidos
Esta sección describe los siguientes problemas conocidos y sus soluciones (si las hay) en el momento de la publicación.
Problemas de compatibilidad
-
Incompatibilidad entre los servidores de Java ES 2004Q2 e IM en Java ES 2005Q4 (6309082)
-
El agente no puede iniciar sesión porque el perfil no se encuentra en la organización (6295074)
-
La utilidad commadmin de Delegated Administrator no crea un usuario (6294603)
-
La utilidad commadmin de Delegated Administrator no crea una organización (6292104)
Incompatibilidad entre los servidores de Java ES 2004Q2 e IM en Java ES 2005Q4 (6309082)
La siguiente implementación ha provocado este problema:
-
servidor-1: Java ES 2004Q2: Directory Server
-
servidor-2: Java ES 2004Q2: Application Server, Access Manager y Portal Server
-
servidor-3: Java ES 2004Q2: Calendar Server y Messaging Server
-
servidor-4: Java ES 2005Q4: Application Server, Instant Messaging y Access Manager SDK
Al ejecutar la utilidad imconfig para configurar Instant Messaging en el servidor-4, la configuración no se pudo realizar con éxito. Access Manager 7 2005Q4 SDK, utilizado por Instant Messaging (IM) en el servidor-4, no es compatible con la versión Java ES 2004Q2.
Solución: es recomendable que el servidor de Access Manager y Access Manager SDK tengan la misma versión. Para obtener más información, consulte Guía de actualización de Sun Java Enterprise System 2005Q4.
Existen incompatibilidades en el módulo de autenticación principal para el modo tradicional (6305840)
El modo tradicional de Access Manager 7 2005Q4 presenta las siguientes incompatibilidades en el módulo de autenticación principal a partir de la versión Access Manager 6 2005Q1:
-
Los módulos de autenticación de la organización se eliminan en el modo tradicional.
-
Se ha modificado la presentación de la “Configuración de autenticación del administrador” y la “Configuración de autenticación de la organización”. En la consola de Access Manager 7 2005Q4, la lista desplegable muestra la opción ldapService seleccionada de forma predeterminada. En la consola de Access Manager 6 2005Q1, se mostraba el botón de edición y el módulo LDAP no aparecía seleccionado de forma predeterminada.
Solución: Ninguna.
El agente no puede iniciar sesión porque el perfil no se encuentra en la organización (6295074)
En la consola de Access Manager, puede crear un agente en el modo de dominio. Si cierra la sesión y, a continuación, vuelve a iniciarla con el mismo nombre de agente, Access Manager devuelve un mensaje de error debido a que el agente no cuenta con los privilegios suficientes para acceder al dominio.
Solución: modifique los permisos para brindar acceso de lectura y escritura al agente.
La utilidad commadmin de Delegated Administrator no crea un usuario (6294603)
La utilidad commadmin de Delegated Administrator, junto con la opción -S mail,cal, no crea un usuario en el dominio predeterminado.
Solución: este problema se produce al actualizar Access Manager a la versión 7 2005Q4 sin actualizar Delegated Administrator. Para obtener información sobre la actualización de Delegated Administrator, consulte la Guía de actualización de Sun Java Enterprise System 2005Q4.
Si no desea actualizar Delegated Administrator, siga estos pasos:
-
En el archivo UserCalendarService.xml, marque los atributos mail, icssubcribed e icsfirstday como opcionales en lugar de obligatorios. Este archivo se encuentra de forma predeterminada en el directorio /opt/SUNWcomm/lib/services/ de los sistemas Solaris.
-
En Access Manager, elimine el archivo XML existente. Para ello, ejecute el comando amadmin de la siguiente forma:
# ./amadmin -u amadmin -w password -r UserCalendarService
-
En Access Manager, agregue el archivo XML actualizado como se muestra a continuación:
# ./amadmin -u amadmin -w password -s /opt/SUNWcomm/lib/services/UserCalendarService.xml
-
Reinicie el contenedor web de Access Manager.
La utilidad commadmin de Delegated Administrator no crea una organización (6292104)
La utilidad commadmin de Delegated Administrator, junto con la opción -S mail,cal, no crea una organización.
Solución: consulte la solución del problema anterior.
Problemas de instalación
Después de aplicar la revisión 1, el archivo /tmp/amsilent concede acceso de lectura a todos los usuarios (6370691)
Después de aplicar la revisión 1, el archivo /tmp/amsilent concede acceso de lectura a todos los usuarios.
Solución: Una vez aplicada la revisión, restablezca los permisos del archivo para conceder sólo acceso de lectura al administrador de Access Manager.
En la instalación de SDK con la configuración del contenedor, la dirección URL de notificación no es correcta (6327845)
Si realiza una instalación de SDK con la configuración del contenedor (DEPLOY_LEVEL=4), la dirección URL de notificación no se mostrará correctamente.
Solución:
-
establezca la siguiente propiedad en el archivo AMConfig.properties:
com.iplanet.am.notification.url= protocol://fqdn:port/amserver/servlet/com.iplanet.services.comm.client. PLLNotificationServlet
-
Reinicie Access Manager para que se aplique el nuevo valor.
classpath de Access Manager hace referencia a un paquete de JCE 1.2.1 caducado (6297949)
La variable classpath de Access Manager hace referencia a un paquete de Java Cryptography Extension (JCE) 1.2.1 (Certificado de firma) que caducó el 27 de julio de 2005.
Solución: Ninguna. Aunque la referencia del paquete se encuentra en classpath, Access Manager no utiliza este paquete.
Para instalar Access Manager en un DIT existente, es necesario volver a crear los índices de Directory Server (6268096)
Directory Server dispone de nuevos índices para mejorar el rendimiento de la búsqueda.
Solución: después de instalar Access Manager con un Árbol de información de directorios (DIT, Directory Information Tree) existente, vuelva a crear los índices de Directory Server ejecutando la secuencia de comandos db2index.pl. Por ejemplo:
# ./db2index.pl -D "cn=Directory Manager" -w password -n userRoot
La secuencia de comandos db2index.pl está disponible en el directorio DS-install-directory/slapd-hostname/.
Permisos de directorios de registro y depuración incorrectos para los usuarios que no son root (6257161)
Cuando se especifica un usuario que no es root en el archivo de configuración de la instalación silenciosa, los permisos de los directorios de depuración, registro e inicio no se establecen adecuadamente.
Solución: cambie los permisos de estos directorios para permitir el acceso a un usuario no root.
El servicio de autenticación no se inicializa si se instala Access Manager y Directory Server en distintos equipos (6229897)
Aunque se actualicen classpath y otras variables de entorno del contenedor web de Access Manager durante la instalación, el proceso de instalación no reinicia el contenedor web. Si se intenta iniciar la sesión en Access Manager después de la instalación y antes de que se reinicie el contenedor web, se devolverá el siguiente error:
Authentication Service is not initialized. Contact your system administrator.
Solución: reinicie el contenedor web antes de iniciar la sesión en Access Manager. Directory Server debe estar ejecutándose también antes de iniciar la sesión.
El programa de instalación no agrega la entrada de plataforma para la instalación de Directory Server existente (6202902)
El programa de instalación de Java ES no agrega ninguna entrada de plataforma para una instalación de Directory Server existente (DIRECTORY_MODE=2).
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para ver los pasos, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Problemas de actualización
-
El archivo AMConfig.properties incluye una versión antigua del contenedor web (6316833)
-
Error en la actualización de Access Manager debido a que no se ha migrado classpath (6284595)
-
Una vez realizada la actualización, el comando amadmin muestra una versión incorrecta (6283758)
-
Adición del atributo ContainerDefaultTemplateRole después de la migración de datos (4677779)
La secuencia de comandos ampre70upgrade de Access Manager no elimina los paquetes traducidos (6378444)
Si actualiza Access Manager a la versión Access Manager 7 2005Q4, la secuencia de comandos ampre70upgrade no elimina ninguno de los paquetes traducidos de Access Manager presentes en el sistema.
Solución: antes de actualizar a Access Manager 7 2005Q4, utilice el comando pkgrm para eliminar manualmente los paquetes traducidos de Access Manager instalados en el sistema.
El archivo AMConfig.properties incluye una versión antigua del contenedor web (6316833)
Una vez actualizados Access Manager y Application Server a la versión Java ES 2005Q4, el archivo AMConfig.properties de Access Manager incluye una versión antigua de Application Server.
Solución: antes de ejecutar el programa de configuración de Delegated Administrator (config-commda), cambie la siguiente propiedad en el archivo AMConfig.properties:
com.sun.identity.webcontainer=IAS8.1
El archivo server.policy del agente del nodo no se ha actualizado durante el proceso de actualización de Access Manager (6313416)
El archivo server.policy del agente del nodo no se actualiza después de actualizar Access Manager.
Solución: sustituya el archivo server.policy del agente del nodo por el siguiente archivo:
/var/opt/SUNWappserver/domains/domain1/config/server.policy
Una vez realizada la actualización, falta la condición de propiedad de sesión en la lista de condiciones (6309785)
Después de actualizar Access Manager de la versión 2005Q1 a la 2005Q4, la condición de propiedad de sesión no se muestra como una opción en la lista de condiciones de la directiva al intentar agregar una condición a una directiva.
Solución: seleccione el tipo de condición de propiedad de sesión en la plantilla de servicio de configuración de directivas del dominio correspondiente.
Una vez realizada la actualización, falta el tipo de asunto de identidad en la lista de asuntos de la directiva (6304617)
Después de actualizar Access Manager de la versión 2005Q1 a la 2005Q4, el asunto de identidad, un tipo de asunto de directiva recién agregado, no se muestra como opción en la lista de asuntos de la directiva.
Solución: seleccione el tipo de asunto de identidad como tipo de asunto predeterminado en la plantilla de servicio de configuración de directivas.
Error en la actualización de Access Manager debido a que no se ha migrado classpath (6284595)
Durante la actualización de Access Manager de Java ES 2004Q2 a Java ES 2005Q4, ha fallado la actualización de Java ES 2004Q2 a Java ES 2005Q1. Access Manager se estaba implementando en Application Server, que también se estaba actualizando de Java ES 2004Q2 a Java ES 2005Q4. La secuencia de comandos classpath en el archivo domain.xml no disponía de rutas a los archivos JAR de Access Manager.
Solución: Siga estos pasos:
-
Antes de ejecutar la secuencia de comandos amupgrade, deberá volver a indexar Directory Server debido a un problema con la secuencia de comandos comm_dssetup.pl.
-
Agregue entradas de Access Manager al archivo server.policy del agente del nodo. Basta con una copia de server.policy desde la política del servidor predeterminado(/var/opt/SUNWappserver/domains/domain1/config/server.policy ).
-
Actualice classpath en el archivo domain.xml del agente del nodo de la siguiente forma. Copie el sufijo classpath-suffix y la ruta classpath pertinentes de los atributos server-classpath del elemento java-config del archivo server.xml en los atributos correspondientes del elemento java-config de domain.xml. El elemento java-config se encuentra bajo el elemento config de domain.xml.
Una vez realizada la actualización, el comando amadmin muestra una versión incorrecta (6283758)
Después de actualizar Access Manager de la versión 6 2005Q1 a la versión 7 2005Q4, el comando amadmin --version devuelve una versión incorrecta: Sun Java System Access Manager versión 2005Q1.
Solución: después de actualizar Access Manager, ejecute la secuencia de comandos amconfig para configurar esta aplicación. Al ejecutar amconfig, especifique la ruta completa al archivo de configuración (amsamplesilent ). Por ejemplo, en un sistema Solaris:
# ./amconfig -s ./config-file
o
# ./amconfig -s /opt/SUNWam/bin/config-file
Adición del atributo ContainerDefaultTemplateRole después de la migración de datos (4677779)
El rol del usuario no se muestra en una organización que no se haya creado en Access Manager. En el modo de depuración, aparece el siguiente mensaje:
ERROR: DesktopServlet.handleException() com.iplanet.portalserver.desktop.DesktopException: DesktopServlet.doGetPost(): no privilige to execute desktop
Este error se muestra después de que se ejecuten las secuencias de comandos de migración del programa de instalación de Java ES. El atributo ContainerDefaultTemplateRole no se agrega automáticamente a la organización cuando ésta se migra desde un árbol de información de directorio (DIT, Directory Information Tree) o desde otro origen.
Solución: utilice la consola de Directory Server para copiar el atributo ContainerDefaultTemplateRole desde otra organización de Access Manager y agréguelo a continuación a la organización en cuestión.
Problemas de configuración
-
Validación de datos para los atributos necesarios en los servicios (6308653)
-
Solución para la implementación en una instancia de WebLogic 8.1 segura (6295863)
-
Error en la firma de URL en IBM WebSphere al utilizar la clave RSA (6271087)
El archivo server.policy de Application Server 8.1 debe editarse al utilizar valores de URI no predeterminados (6309759)
Si implementa Access Manager 7 2005Q4 en Application Server 8.1 y utiliza URI no predeterminados para los servicios, la consola y las aplicaciones web de contraseña, que presentan valores de URI predeterminados en amserver, amconsole y ampassword respectivamente, debe editar el archivo server.policy del dominio de Application Server antes de intentar acceder a Access Manager mediante un explorador web.
Solución: edite el archivo server.policy de la siguiente forma:
-
Detenga la instancia de Application Server en la que se ha implementado Access Manager.
-
Vaya al directorio /config. Por ejemplo:
cd /var/opt/SUNWappserver/domains/domain1/config
-
Realice una copia de seguridad del archivo server.policy. Por ejemplo:
cp server.policy server.policy.orig
-
En el archivo server.policy, busque las siguientes directivas:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amserver/-" { ... }; grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amconsole/-" { ... }; grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/ampassword/-" { ... }; -
Sustituya amserver por el valor de URI no predeterminado que se utiliza para la aplicación web de servicios en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amserver/-" { -
En las instalaciones con el modo tradicional, sustituya amconsole por el valor de URI no predeterminado que se utiliza para la aplicación web de la consola en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amconsole/-" { -
Sustituya ampassword por el valor de URI no predeterminado que se utiliza para la aplicación web de contraseña en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/ampassword/-" { -
Inicie la instancia de Application Server en la que se ha implementado Access Manager.
No se actualizan la lista de servidores de plataforma ni el atributo de alias FQDN (6309259, 6308649)
En una implementación con varios servidores, no se actualizan la lista de servidores de plataforma ni el atributo de alias FQDN cuando se instala Access Manager en el segundo servidor (y en los siguientes).
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para obtener información sobre los pasos de este proceso, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Validación de datos para los atributos necesarios en los servicios (6308653)
En Access Manager 7 2005Q4, los atributos necesarios para los archivos XML de los servicios deben establecerse obligatoriamente en los valores predeterminados.
Solución: si tiene servicios con atributos necesarios sin valores, agregue los valores para dichos atributos y, a continuación, vuelva a cargar el servicio.
Solución para la implementación en una instancia de WebLogic 8.1 segura (6295863)
Si se implementa Access Manager 7 2005Q4 en una instancia de BEA WebLogic 8.1 SP4 segura (con SSL activado), se producirá una excepción durante la implementación de cada aplicación web de Access Manager.
Solución: Siga estos pasos:
-
Aplique el archivo JAR de la revisión de WebLogic 8.1 SP4, CR210310_81sp4.jar , disponible en BEA.
-
En la secuencia de comandos /opt/SUNWam/bin/amwl81config (sistemas Solaris) o /opt/sun/identity/bin/amwl81config (sistemas Linux), actualice las funciones doDeploy y undeploy_it para especificar la ruta del archivo JAR de la revisión al principio de wl8_classpath , que es la variable que contiene la ruta classpath empleada para implementar las aplicaciones Web de Access Manager y anular la implementación.
Busque la línea que contiene wl8_classpath:
wl8_classpath= ...
-
Justo detrás de la línea indicada en el paso 2, agregue la siguiente línea:
wl8_classpath=path-to-CR210310_81sp4.jar:$wl8_classpath
La secuencia de comandos amconfig no actualiza los alias de dominio/DNS ni las entradas de la lista de servidores de plataforma (6284161)
En una implementación con varios servidores, la secuencia de comandos amconfig no actualiza los alias de dominio/DNS ni las entradas de la lista de servidores de plataforma para las instancias de Access Manager adicionales.
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para obtener información sobre los pasos de este proceso, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
El modo de dominio es el modo predeterminado de Access Manager en la plantilla del archivo de estado de la configuración (6280844)
El modo de Access Manager (variable AM_REALM) se activa de forma predeterminada en la plantilla del archivo de estado de la configuración.
Solución: para instalar o configurar Access Manager en el modo tradicional, restablezca la variable en el archivo de estado:
AM_REALM = disabled
Error en la firma de URL en IBM WebSphere al utilizar la clave RSA (6271087)
Al utilizar una clave RSA en IBM WebSphere, la firma de la cadena de URL falla con la siguiente excepción:
ERROR: FSSignatureUtil.signAndReturnQueryString: FSSignatureException occured while signing query string: no such provider: SunRsaSign
Solución: falta el proveedor “SunRsaSign” en el JDK incluido en WebSphere. Para solucionar este problema, edite el archivo websphere_jdk_root/jre/lib/security/java.security y agregue la siguiente línea para habilitar "SunRsaSign" como uno de los proveedores:
security.provider.6=com.sun.rsajca.Provider
Problemas de la consola de Access Manager
-
Errores de edición en la consola al duplicar un socio de confianza en SAML (6326634)
-
No funciona el registro remoto para amConsole.access y amPasswordReset.access (6311786)
-
La nueva consola de Access Manager no puede establecer las prioridades de plantilla de CoS (6309262)
-
En el modo tradicional, no se pueden eliminar todos los usuarios de un rol. (6293758)
-
No se pueden agregar, eliminar ni modificar las ofertas de recursos de Discovery Service (6273148)
-
Access Manager no puede crear una organización en un contenedor en el modo tradicional (6290720)
-
Aparece la antigua consola al agregar servicios relacionados con Portal Server (6293299)
Errores de edición en la consola al duplicar un socio de confianza en SAML (6326634)
En la consola de Access Manager, cree un socio de confianza de SAML en Federation (Federación) > ficha SAML. Si intenta duplicar el socio de confianza, se producirán errores.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
No funciona el registro remoto para amConsole.access y amPasswordReset.access (6311786)
Al configurar el registro remoto, todos los registros se escriben en la instancia remota de Access Manager, excepto la información de restablecimiento de contraseña de amConsole.access y amPasswordReset.access . El registro no se escribe en ninguna ubicación.
Solución: Ninguna.
La adición de más propiedades de amadmin en la consola cambia la contraseña de usuario amadmin (6309830).
La adición o edición de algunas de las propiedades del usuario amadmin en la consola de administración provoca que se modifique la contraseña de usuario amadmin.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
La nueva consola de Access Manager no puede establecer las prioridades de plantilla de CoS (6309262)
La nueva consola de Access Manager 7 2005Q4 no puede establecer ni modificar una prioridad de plantilla de Clase de servicio (CoS).
Solución: inicie una sesión en la consola de Access Manager 6 2005Q1 para establecer o modificar la prioridad de plantilla de CoS.
Se produce una excepción al agregar un grupo a un usuario como usuario de administración de directivas (6299543)
La consola de Access Manager devuelve una excepción al agregar un grupo a un usuario como usuario de administración de directivas.
Solución: Ninguna.
En el modo tradicional, no se pueden eliminar todos los usuarios de un rol. (6293758)
En el modo tradicional, al intentar eliminar todos los usuarios de un rol, siempre queda un usuario.
Solución: intente eliminar de nuevo el usuario del rol.
No se pueden agregar, eliminar ni modificar las ofertas de recursos de Discovery Service (6273148)
La consola de administración de Access Manager no permite la adición, eliminación ni modificación de las ofertas de recursos de un usuario, rol o dominio.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Una contraseña de enlace LDAP incorrecta debería provocar un error en la búsqueda de asuntos (6241241)
La consola de administración de Access Manager no devuelve un error al utilizar una contraseña de enlace LDAP incorrecta.
Solución: Ninguna.
Access Manager no puede crear una organización en un contenedor en el modo tradicional (6290720)
Si se intenta crear un contenedor y, a continuación, una organización en el mismo, Access Manager devuelve un error de infracción de la unicidad.
Solución: Ninguna.
Aparece la antigua consola al agregar servicios relacionados con Portal Server (6293299)
Portal Server y Access Manager se instalan en el mismo servidor. Con Access Manager instalado en el modo tradicional, inicie sesión en la nueva consola mediante /amserver. Si se selecciona un usuario existente y se intentan agregar servicios (como NetFile o Netlet), aparecerá la antigua consola de Access Manager (/amconsle).
Solución: Ninguna. La versión actual de Portal Server requiere la consola de Access Manager 6 2005Q1.
La consola no devuelve el conjunto de resultados de Directory Server una vez alcanzado el límite de recursos (6239724)
Instale Directory Server y, a continuación, Access Manager con la opción de DIT existente. Inicie sesión en la consola de Access Manager y cree un grupo. Edite los usuarios de dicho grupo. Por ejemplo, agregue usuarios con el filtro uid=*999*. La lista resultante estará vacía y la consola no mostrará ningún mensaje de error, advertencia o informativo.
Solución: los miembros del grupo no deben superar el límite de tamaño de búsqueda de Directory Server. En caso contrario, cambie el límite de tamaño de búsqueda proporcionalmente.
Problemas de SDK y de cliente
-
No se puede eliminar la configuración del servicio de sesión para un subdominio (6318296)
-
Los clientes no reciben notificaciones después de reiniciarse el servlet (6309161)
-
Los clientes de SDK deben reiniciarse después del cambio de esquema de servicio. (6292616)
No se puede eliminar la configuración del servicio de sesión para un subdominio (6318296)
Después de crear un subdominio en el dominio de nivel superior y agregarle el servicio de sesión, si se intenta eliminar la configuración del servicio de sesión, se devolverá un mensaje de error.
Solución: elimine el repositorio de Id. de nivel superior predeterminado (AMSDK1) y, a continuación, vuelva a agregarlo en la configuración.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
El servlet CDC redirecciona a una página de inicio de sesión no válida al especificar la condición de directiva (6311985)
Con el agente Apache 2.2 en el modo CDSSO, al acceder al recurso protegido del agente, el servlet CDC redirecciona al usuario a la página de autenticación anónima en lugar de a la página de inicio de sesión predeterminada.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Los clientes no reciben notificaciones después de reiniciarse el servlet (6309161)
Las aplicaciones escritas con el cliente SDK (amclientsdk.jar) no reciben notificaciones si se reinicia el servidor.
Solución: Ninguna.
Los clientes de SDK deben reiniciarse después del cambio de esquema de servicio. (6292616)
Si se modifica un esquema de servicio, ServiceSchema.getGlobalSchema devuelve el antiguo esquema en lugar del nuevo.
Solución: reinicie el cliente tras modificar un esquema de servicio.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Problemas de las utilidades de línea de comandos
-
Faltan los nuevos archivos de esquema en la secuencia de comandos amserveradmin (6255110)
-
No se pueden guardar los documentos XML con caracteres de escape en Internet Explorer 6.0 (4995100)
La búsqueda LDAP de atributos nulos devuelve un error cuando Access Manager señala a Directory Proxy (6357975)
Si está utilizando Sun Java System Directory Proxy Server, la búsqueda LDAP de atributos nulos devolverá un error. Por ejemplo:
# ldapsearch -b base-dn uid=user ""
Si Access Manager señala directamente al servidor de directorios LDAP, la misma búsqueda se realizará satisfactoriamente.
Solución: si utiliza Directory Proxy Server, habilite las búsquedas de atributos nulos o proporcione un nombre de atributo para la búsqueda.
Faltan los nuevos archivos de esquema en la secuencia de comandos amserveradmin (6255110)
Después de la instalación, al ejecutar la secuencia de comandos amserveradmin para cargar los servicios en Directory Server, no se encuentran los archivos de esquema defaultDelegationPolicies.xml e idRepoDefaults.xml en la secuencia de comandos.
Solución: cargue manualmente los archivos defaultDelegationPolicies.xml e idRepoDefaults.xml utilizando la herramienta de CLI amadmin con la opción -t.
No se pueden guardar los documentos XML con caracteres de escape en Internet Explorer 6.0 (4995100)
Si agrega un carácter especial (como, por ejemplo, “amp;” junto a “&”) en un archivo XML, éste se guardará correctamente. Sin embargo, al recuperar el perfil XML más adelante con Internet Explorer 6.0, el archivo no se mostrará correctamente. Si, a continuación, intenta guardar el perfil de nuevo, se devolverá un error.
Solución: Ninguna.
Problemas de autenticación
El token SSO UrlAccessAgent está a punto de caducar. (6327691)
El token SSO UrlAccessAgent puede caducar debido a que el módulo de la aplicación no devuelve el DN de usuario especial, lo que provoca la coincidencia de dicho DN y, por tanto, el error de un token que no caduque.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
No se puede iniciar sesión en un subdominio con un perfil dinámico/de complemento LDAPV3 después de corregir la contraseña (6309097)
En el modo de dominio, si se crea un almacén de datos ldapv3 en un dominio con una contraseña “incorrecta” y, a continuación, se cambia la contraseña como amadmin, al intentar iniciar sesión con la contraseña modificada, el inicio de sesión fallará debido a que no se encuentra ningún perfil.
Solución: Ninguna.
Incompatibilidad de la configuración predeterminada del servicio de estadísticas de Access Manager en el modo tradicional (compatible) (6286628)
Al instalar Access Manager en el modo tradicional, se modifica la configuración predeterminada del servicio de estadísticas:
-
El servicio se activa de forma predeterminada (com.iplanet.services.stats.state=file ). Anteriormente, estaba desactivado.
-
El intervalo predeterminado (com.iplanet.am.stats.interval) cambia de 3600 a 60.
-
El directorio de estadísticas predeterminado (com.iplanet.services.stats.directory ) cambia de /var/opt/SUNWam/debug a /var/opt/SUNWam/stats.
Solución: Ninguna.
La unicidad del atributo se ha interrumpido en las organizaciones de nivel superior para los atributos de nombre (6204537)
Después de instalar Access Manager, inicie una sesión como amadmin y agregue los atributos o, sunPreferredDomain, associatedDomain , sunOrganizationAlias, uid y mail a la lista de atributos exclusivos. Si crea dos nuevas organizaciones con el mismo nombre, la operación fallará, aunque Access Manager mostrará un mensaje en el que se indica que la organización ya existe y no el mensaje previsto, en el que se indica que se ha infringido la unicidad del atributo.
Solución: Ninguna. No haga caso del mensaje incorrecto. Access Manager funciona correctamente.
Problemas de sesión y SSO
Las instancias de Access Manager en diferentes zonas horarias provocan que se agote el tiempo de espera de las otras sesiones de usuario (6323639)
Las instancias de Access Manager instaladas en diferentes zonas horarias y en el mismo círculo de confianza provocan que se agote el tiempo de espera de las sesiones de usuario.
La secuencia de comandos de conmutación por error de sesión (amsfoconfig) tiene permisos incorrectos en el sistema Linux 2.1 (6298433)
La secuencia de comandos de conmutación por error de sesión (/opt/sun/identity/bin/amsfoconfig ) incluye permisos incorrectos y no se puede ejecutar en el sistema Linux 2.1.
Solución: cambie los permisos para que la secuencia de comandos amsfoconfig sea ejecutable (por ejemplo, 755).
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
La secuencia de comandos de conmutación por error de sesión (amsfoconfig) presenta errores en el sistema Linux 2.1 (6298462)
La secuencia de comandos de conmutación por error de sesión (amsfoconfig) presenta errores en el servidor Linux 2.1 debido a que el carácter de tabulación (\t) no se interpreta correctamente.
Solución: configure manualmente la conmutación por error de sesión. Para obtener información sobre los pasos de este proceso, consulte Configuring Session Failover Manually de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
El sistema crea un nombre de host de servicio no válido cuando el equilibrador de carga tiene una finalización SSL (6245660)
Si Access Manager se implementa con Web Server como contenedor web mediante un equilibrador de carga con finalización SSL, los clientes no se envían a la página correcta de Web Server. Al hacer clic en la ficha Sesiones (Sessions) de la consola de Access Manager, se devuelve un error debido a que el host no es válido.
Solución: en los siguientes ejemplos, Web Server recibe las conexiones en el puerto 3030. El equilibrador de carga recibe las conexiones en el puerto 80 y redirecciona las solicitudes a Web Server.
En el archivo web-server-instance-name/config/server.xml , edite el atributo servername para que señale al equilibrador de carga en función de la versión de Web Server que esté utilizando.
Para las versiones Web Server 6.1 Service Pack (SP), edite el atributo servername de la siguiente forma:
<LS id="ls1" port="3030" servername="loadbalancer.example.com:80" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
Web Server 6.1 SP2 (o posterior) permite el cambio de protocolo de http a https o de https a http. Por lo tanto, edite servername de la siguiente forma:
<LS id="ls1" port="3030" servername="https://loadbalancer.example.com:443" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
Uso de HttpSession con contenedores web de otros fabricantes (Sin número de CR)
El método predeterminado para mantener las sesiones de autenticación es “sesión interna” en lugar de HttpSession. El valor predeterminado de tiempo máximo de sesión no válida de tres minutos es suficiente. La secuencia de comandos amtune define este valor en un minuto para Web Server o Application Server. Sin embargo, si utiliza un contenedor web de otros fabricantes (IBM WebSphere o el servidor BEA WebLogic) y el elemento opcional HttpSession, es posible que necesite limitar el tiempo máximo de HttpSession del contenedor web para evitar problemas de rendimiento.
Problemas de directivas
La eliminación de atributos dinámicos en el servicio de configuración de directivas provoca problemas de edición de directivas (6299074)
La eliminación de atributos dinámicos en el servicio de configuración de directivas provoca problemas al editar las directivas, como se muestra a continuación:
-
Cree dos atributos dinámicos en el servicio de configuración de directivas.
-
Cree una directiva y seleccione los atributos dinámicos del paso 1 en el proveedor de respuesta.
-
Elimine los atributos dinámicos en el servicio de configuración de directivas y cree dos atributos adicionales.
-
Intente editar la directiva creada en el paso 2.
Se mostrarán los siguientes resultados: "Error Invalid Dynamic property being set" (Error, se está estableciendo una propiedad dinámica no válida). No se muestra de forma predeterminada ninguna directiva en la lista. Después de realizar la búsqueda, se mostrarán las directivas, pero no se podrán editar o eliminar las directivas existentes ni crear una nueva.
Solución: antes de eliminar los atributos dinámicos del servicio de configuración de directivas, elimine las referencias a dichos atributos en las directivas.
Problemas de inicio del servidor
Error de depuración al iniciar Access Manager (6309274, 6308646)
Al iniciar Access Manager 7 2005Q4, se devuelven los siguientes errores de depuración en los archivos amDelegation y amProfile:
-
amDelegation: no se puede obtener una instancia del complemento para la delegación
-
amProfile: se recibió una excepción de delegación.
Solución: Ninguna. No tenga en cuenta estos mensajes.
Uso del servidor BEA WebLogic como contenedor web
Si se implementa Access Manager utilizando el servidor BEA WebLogic como contenedor web, es posible que no se pueda acceder a Access Manager.
Solución: reinicie de nuevo el servidor WebLogic para poder acceder a Access Manager.
Problemas relacionados con el SO Linux
Se producen problemas de JVM cuando se ejecuta Access Manager en Application Server (6223676)
Si ejecuta Application Server 8.1 en Red Hat Linux, el tamaño de pila de los subprocesos creados por el SO Red Hat para Application Server es de 10 Mbytes, lo que puede provocar problemas en los recursos de JVM cuando el número de sesiones de usuario de Access Manager alcance las 200.
Solución: defina el tamaño de pila del SO Red Hat con un valor inferior como, por ejemplo, 2048 o, incluso, 256 Kbytes, ejecutando el comando ulimit antes de iniciar Application Server. Ejecute el comando ulimit en la misma consola que utilizará para iniciar Application Server. Por ejemplo:
# ulimit -s 256;
Problemas de federación y SAML
-
La federación presenta errores al utilizar el perfil de artefacto (6324056)
-
Los caracteres especiales (&) de las declaraciones SAML deberían codificarse (6321128)
-
Se produce una excepción al intentar agregar el servicio de disco a un rol (6313437)
-
El ejemplo de EP no funciona si el sufijo root contiene el carácter “ &” (6300163)
La ejecución de los ejemplos de servicios web devuelve el mensaje “Oferta de recursos no encontrada” (6359900)
Si Access Manager se ha configurado para acceder a ejemplos de servicios web en el directorio AccessManager-base/SUNWam/samples/phase2/wsc en los sistemas Solaris o en el directorio AccessManager-base /identity/samples/phase2/wsc en los sistemas Linux, la consulta de Discovery Service o la modificación de la oferta de recursos devuelve el mensaje de error: “Oferta de recursos no encontrada”.
AccessManager-base es el directorio base de instalación. El directorio base de instalación predeterminado es /opt en los sistemas Solaris y /opt/sun en los sistemas Linux.
Solución:
-
Acceda al siguiente directorio de ejemplos: AccessManager-base /SUNWam/samples/phase2/wsc) en los sistemas Solaris o AccessManager-base/identity/samples/phase2/wsc en los sistemas Linux
-
En el archivo index.jsp, busque la siguiente cadena:
com.sun.org.apache.xml.security.utils.XMLUtils.outputDOM
-
Justo antes de la línea que contiene la cadena indicada en el paso anterior, inserte la siguiente nueva línea:
com.sun.org.apache.xml.security.Init.init();
-
Vuelva a ejecutar el ejemplo: (No es necesario que reinicie Access Manager.)
La federación presenta errores al utilizar el perfil de artefacto (6324056)
Si se configuran un proveedor de identidades (IDP, Identity Provider) y un proveedor de servicios (SP, Service Provider), se cambia el protocolo de comunicación para utilizar el perfil de artefacto del explorador y, a continuación, se intenta realizar la federación de usuarios entre el IDP y el SP, el proceso de federación fallará.
Solución: Ninguna.
Los caracteres especiales (&) de las declaraciones SAML deberían codificarse (6321128)
Si se establece Access Manager como el sitio de origen y destino, y se configura SSO, se producirá un error en el sitio de destino. Esto se debe a que el carácter especial ( &) de las declaraciones SAML no se ha codificado, por lo que falla el análisis de la aserción.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Se produce una excepción al intentar agregar el servicio de disco a un rol (6313437)
En la consola de Access Manager, si se intenta agregar una oferta de recurso al servicio de disco, se produce una excepción desconocida.
Solución: Ninguna.
Los atributos del contexto de autenticación no se pueden configurar hasta que se hayan configurado y guardado los demás atributos (6301338)
Los atributos del contexto de autenticación no se pueden configurar hasta que se hayan configurado y guardado los demás atributos.
Solución: configure y guarde el perfil del proveedor antes de configurar los atributos del contexto de autenticación.
El ejemplo de EP no funciona si el sufijo root contiene el carácter “ &” (6300163)
Si Directory Server tiene un sufijo root que contiene el carácter “& ” y se intenta agregar una oferta de recurso del servicio de perfil de empleado, se producirá una excepción.
Solución: Ninguna.
Error de cierre de sesión en la federación (6291744)
En el modo de dominio, si se intenta realizar la federación de cuentas de usuario en un proveedor de identidades (IDP) y un proveedor de servicios (SP), se finaliza la federación y, a continuación, se cierra la sesión, se producirá un error: Error: no se ha encontrado ninguna suborganización (Error: No sub organization found.)
Solución: Ninguna.
Problemas de internacionalización (g11n)
Las preferencias de configuración regional de usuario no se aplican en toda la consola de administración (6326734)
Parte de la consola de administración de Access Manager no sigue las preferencias de configuración regional del usuario, sino que utiliza los valores de configuración regional del explorador. Este problema afecta a los botones de ayuda en línea, versión y cierre de sesión, así como al contenido de la versión y la ayuda en línea.
Solución: cambie la configuración del explorador para que se ajuste a las preferencias de configuración regional del usuario.
La ayuda en línea no está disponible completamente para los idiomas europeos cuando Access Manager se implementa en IBM WebSphere (6325024)
La ayuda en línea no está accesible por completo para todas las configuraciones regionales europeas (español, alemán y francés) cuando Access Manager se implementa en una instancia de IBM WebSphere Application Server. La ayuda en línea muestra un error de aplicación en los siguientes marcos:
-
En el marco superior, en el que deberían estar los botones Ayuda (Help) y Cerrar (Close).
-
En el marco izquierdo, en el que deberían estar los botones Contenido (Contents), Índice (Index) y Buscar (Search).
Solución: establezca la configuración del explorador en inglés y actualice la página para acceder al marco izquierdo. No obstante, el marco superior seguirá mostrando el mensaje de error de aplicación.
La información de versión aparece en blanco cuando Access Manager se implementa en IBM WebSphere (6319796)
En cualquier configuración regional, cuando Access Manager se implementa en una instancia de IBM WebSphere Application Server, no se puede ver la versión del producto al hacer clic en el botón Versión (Version). En su lugar, aparece una página en blanco.
Solución: Ninguna.
No se puede eliminar UTF-8 en la sección de detección de cliente. (5028779)
La función de detección de cliente no funciona correctamente. Los cambios realizados en la consola de Access Manager 7 2005Q4 no se transfieren automáticamente al explorador.
Solución: existen dos soluciones:
-
Reinicie el contenedor web de Access Manager después de realizar un cambio en la sección de detección de cliente.
o
-
Siga estos pasos en la consola de Access Manager:
-
Haga clic en Client Detection en la ficha Configuration.
-
Haga clic en el vínculo Edit para genericHTML.
-
En la ficha HTML, haga clic en el vínculo genericHTML.
-
Introduzca la siguiente entrada en la lista de juegos de caracteres: UTF-8;q=0.5 (Asegúrese de que el factor q de UTF-8 sea inferior al de otros juegos de caracteres de su configuración regional.)
-
Guarde el cambio, cierre la sesión y vuelve a iniciarla.
-
Los caracteres de varios bytes se muestran en forma de signos de interrogación en los archivos de registro (5014120)
Los mensajes de varios bytes de los archivos de registro del directorio /var/opt/SUNWam/logs se muestran en forma de signos de interrogación (?). Los archivos de registro están codificados de forma nativa y no siempre en UTF-8. Cuando una instancia del contenedor web se inicia en una determinada configuración local, los archivos de registro presentarán la codificación nativa de esa configuración local. Si se cambia a otra configuración regional y se reinicia la instancia del contenedor web, los mensajes actuales presentarán la codificación nativa para dicha configuración regional, pero los mensajes de codificaciones anteriores se mostrarán en forma de signos de interrogación.
Solución: asegúrese de iniciar siempre las instancias del contenedor web con la misma codificación nativa.
Problemas de documentación
-
Access Manager no puede pasar del modo tradicional al modo de dominio (6508473)
-
Información acerca de la deshabilitación de búsquedas persistentes (6486927)
-
Información sobre privilegios admitidos y no admitidos de Access Manager (2143066)
-
Información sobre encaminamiento de solicitudes persistentes basadas en cookies (6476922)
-
Las Notas de la versión presentan una solución incorrecta para un problema conocido. (6422907)
-
Documento com.iplanet.am.session.protectedPropertiesList en AMConfig.properties (6351192)
-
Información sobre las propiedades no utilizadas en el archivo AMConfig.properties (6344530)
-
La dirección URL de éxito predeterminada es incorrecta en la ayuda en línea de la consola (6296751)
Access Manager no puede pasar del modo tradicional al modo de dominio (6508473)
Si instala Access Manager 7 2005Q4 en modo de dominio, no puede volver al modo tradicional.
Sin embargo, si instala Access Manager 7 2005Q4 en modo tradicional, puede cambiar al modo de dominio utilizando el comando amadmin con la opción-M. Por ejemplo:
amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com
Información acerca de la deshabilitación de búsquedas persistentes (6486927)
Access Manager utiliza búsquedas persistentes para recibir información acerca de las entradas de Sun Java Directory Server que cambian. De manera predeterminada, Access Manager crea las siguientes conexiones de búsquedas persistentes durante el inicio del servidor:
aci - Cambios del atributo aci, con la búsqueda utilizando el filtro LDAP (aci=*)
sm - Cambios en el árbol de información de Access Manager (o nodo de administración de servicios), que incluye objetos con la clase de objeto de marcador sunService o sunServiceComponent. Por ejemplo, puede crear una directiva que defina privilegios de acceso a un recurso protegido o puede modificar las reglas, temas, condiciones o proveedores de respuesta de una directiva existente.
um - Cambios en el directorio de usuario (o nodo de administración de usuarios). Por ejemplo, puede cambiar el nombre o la dirección del usuario.
Precaución – No es recomendable deshabilitar las búsquedas persistentes de ninguno de estos componentes, ya que un componente con una búsqueda persistente deshabilitada no recibe notificaciones de Directory Server. Consecuentemente, los cambios realizados en Directory Server en ese determinado componente no se notificarán a la caché del componente y ésta caduca.
Por ejemplo, si deshabilita las búsquedas persistentes de cambios en el directorio de usuarios(um), el servidor de Access Manager no recibirá notificaciones de Directory Server. Por tanto, un agente no recibirá notificaciones de Access Manager para que actualice su caché de usuario local con los nuevos valores de atributo de usuario. Si una aplicación solicita al agente los atributos de usuario, puede recibir el valor antiguo de ese atributo.
Utilice esta propiedad sólo en circunstancias especiales cuando sea absolutamente necesario. Por ejemplo, si sabe que los cambios de la configuración del servicio (referente a los valores cambiantes de alguno de los servicios como, por ejemplo, los servicios de autenticación y el servicio de sesiones) no se producirán en el entorno de producción, puede deshabilitarse la búsqueda persistente en el componente (sm) de administración de servicios. Sin embargo, si se produce un cambio en alguno de los servicios, es necesario el reinicio de un servidor. Esto es también aplicable a otras búsquedas persistentes, especificadas por los valores aci y um.
Para obtener más información, consulte CR# 6363157: la nueva propiedad deshabilita las búsquedas persistentes si son absolutamente necesarias.
Información sobre privilegios admitidos y no admitidos de Access Manager (2143066)
Los privilegios definen los permisos de acceso de los administradores que son miembros de roles o grupos que existen dentro de un dominio. Access Manager permite configurar permisos para los siguientes tipos de administradores:
-
Los administradores de dominios pueden realizar todas las tareas relacionadas con el dominio, incluidas la definición de depósitos de identidades (almacenes de datos), la configuración de autenticación y la definición de directivas.
-
Los administradores de directivas pueden configurar directivas en dominios existentes.
Se admiten los siguientes privilegios:
-
Acceso de lectura y escritura a todas las propiedades de directivas y dominio. Define los privilegios de acceso de lectura y escritura para los administradores de dominios.
-
Acceso de lectura y escritura sólo a las propiedades de directivas. Define los privilegios de acceso de lectura y escritura para los administradores de directivas.
-
Combinación de privilegios admitidos: Acceso de lectura y escritura sólo para propiedades de directivas y acceso de sólo lectura a almacenes de datos. No se admiten otras combinaciones de privilegios.
Información sobre encaminamiento de solicitudes persistentes basadas en cookies (6476922)
Si los servidores de Access Manager se implementan detrás de un equilibrador de carga, el encaminamiento de solicitudes persistentes basadas en cookies evita que la solicitud de un cliente sea mal enrutada a un servidor de Access Manager incorrecto (es decir, a un servidor que no aloje la sesión). Esta función se implementó en la revisión 3 de Access Manager 7 2005Q4.
Anteriormente, sin encaminamiento de solicitudes persistentes basadas en cookies, las solicitudes de clientes no basados en navegador (como, por ejemplo, agentes de directivas y clientes que utilizan el SDK de cliente de Access Manager remoto) se enrutaban mal en un servidor de Access Manager que no alojaba la sesión. Posteriormente, para enviar la solicitud al servidor correcto, el servidor de Access Manager tenía que validar la sesión utilizando comunicación alternativa, lo cual solía causar una degradación del rendimiento. El enrutamiento de solicitudes persistentes basadas en cookies evita la necesidad de esta comunicación alternativa y, por tanto, mejora el rendimiento de Access Manager.
Para implementar el encaminamiento de solicitudes persistentes basadas en cookies, debe configurarse la implementación de Access Manager como un sitio. Para obtener más información, consulte Configuring an Access Manager Deployment as a Site de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Para configurar el encaminamiento de solicitudes persistentes basadas en cookies:
-
Para especificar un nombre de cookie, establezca la propiedad com.iplanet.am.lbcookie.name en el archivo AMConfig.properties. Access Manager generará el valor de la cookie del equilibrador de carga utilizando el Id. de servidor de dos bytes (por ejemplo 01, 02 y 03). Si no especifica un nombre de cookie, Access Manager genera el valor de la cookie del equilibrador de carga utilizando el nombre predeterminado amlbcookie más el Id. de servidor de dos bytes.
Si define el nombre de la cookie en el servidor de Access Manager, debe utilizar el mismo nombre en el archivo AMAgent.properties del agente de directivas. Además, si utiliza el SDK de cliente de Access Manager, debe usar el mismo nombre de cookie utilizado por el servidor de Access Manager.
Nota: No establezca la propiedad com.iplanet.am.lbcookie.value, pues Access Manager establece el valor de la cookie utilizando el Id. de servidor de dos bytes.
-
Configure su equilibrador de carga con el nombre de la cookie del paso 1. Puede utilizar un equilibrador de carga de hardware o software con la implementación de Access Manager.
-
Si se implementa la migración tras error de sesión, habilite la propiedad com.sun.identity.session.resetLBCookie para los agentes de directivas y el servidor de Access Manager.
-
Para un agente de directivas, agregue y habilite la propiedad en el archivo AMAgent.properties.
-
Para el servidor de Access Manager, agregue y habilite la propiedad en el archivo AMConfig.properties.
Por ejemplo:
com.sun.identity.session.resetLBCookie='true'
Si se produce una situación de migración tras error, se enruta la sesión a un servidor secundario de Access Manager y se establece el valor de la cookie del equilibrador de carga utilizando el Id. de servidor para el servidor secundario de Access Manager. Las solicitudes posteriores de la sesión se enrutarán al servidor secundario de Access Manager.
-
Información sobre configuración de inicio de sesión único (SSO) de Windows Desktop para Windows 2003 (6487361)
Para configurar el inicio de sesión único (SSO) de Windows Desktop en Windows 2003, tal como se describe en Configuring Windows Desktop SSO de Sun Java System Access Manager 7 2005Q4 Administration Guide, utilice el siguiente comando ktpass:
ktpass /out filename /mapuser username /princ HTTP/hostname.domainname /crypto encryptiontype /rndpass /ptype principaltype /target domainname
Por ejemplo:
ktpass /out demo.HTTP.keytab /mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM /crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM
Para obtener las definiciones de sintaxis, consulte el siguiente sitio:
Información sobre los pasos para configurar las contraseñas del servidor de la IU de autenticación distribuida (6510859)
El siguiente procedimiento describe cómo configurar las contraseñas cifradas para un servidor de la IU de autenticación distribuida que se comunica con un servidor de Access Manager.
Para configurar las contraseñas de un servidor de la IU de autenticación distribuida:
-
En el servidor de Access Manager:
-
cifre la contraseña amadmin utilizando la utilidad ampassword -e. Por ejemplo, en sistemas Solaris:
# cd /opt/SUNWam/bin # ./ampassword -e amadmin-password AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX
Guarde este valor cifrado.
-
Copie y guarde el valor de la propiedad am.encryption.pwd del archivo AMConfig.properties del servidor de Access Manager. Por ejemplo:
am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
-
-
En el servidor de la IU de autenticación distribuida, realice estos cambios en el archivo AMConfig.properties:
-
Comente la propiedad com.iplanet.am.service.password.
-
Establezca la propiedad com.iplanet.am.service.secret en la contraseña amadmin cifrada del Paso 1a.
-
Agregue am.encryption.pwd y el valor cifrado que ha copiado en el paso 1b. Por ejemplo:
com.sun.identity.agents.app.username=username #com.iplanet.am.service.password=password com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
-
-
Reinicie el servidor de la IU de autenticación distribuida.
La ayuda en línea “To create new site name” ("Para crear un nuevo nombre de sitio") necesita más información (2144543)
Falta el paso Save (Guardar) en “To create new site name” ("Para crear un nuevo nombre de sitio") en la ayuda en línea de la consola de Access Manager que se ubica en Configuración>Propiedades del sistema>Plataforma. Si no hace clic en Save (Guardar) tras agregar un nuevo nombre de sitio e intenta agregar un nombre de instancia, el proceso fallará. Por tanto, haga siempre clic en Save (Guardar) tras agregar el nombre del sitio y, a continuación, agregue el nombre de la instancia.
El parámetro de configuración de contraseña de administrador es ADMIN_PASSWD en los sistemas Windows (6470793)
En los sistemas Solaris y Linux, el parámetro de configuración de contraseña de administrador de Access Manager (amadmin ) en el archivo amsamplesilent es ADMINPASSWD. En los sistemas Windows, sin embargo, el parámetro en el archivo AMConfigurator.properties es ADMIN_PASSWD .
Si ejecuta amconfig.bat en los sistemas Windows, establezca la contraseña amadmin en el archivo AMConfigurator.properties utilizando el parámetro ADMIN_PASSWORD y no ADMINPASSWD.
Las Notas de la versión presentan una solución incorrecta para un problema conocido. (6422907)
Se ha corregido el paso 3 de la solución del problema La ejecución de los ejemplos de servicios web devuelve el mensaje “Oferta de recursos no encontrada” (6359900).
Documento com.iplanet.am.session.protectedPropertiesList en AMConfig.properties (6351192)
El parámetro com.iplanet.am.session.protectedPropertiesList permite proteger determinadas propiedades de sesión interna o central frente a actualizaciones remotas mediante el método SetProperty del servicio de sesión. Al establecer este parámetro clave de seguridad "oculto", puede personalizar los atributos de sesión para participar en la autorización, así como en otras funciones de Access Manager. Para utilizar este parámetro:
-
Con un editor de textos, agregue el parámetro al archivo AMConfig.properties .
-
Establezca el parámetro en las propiedades de sesión que desee proteger. Por ejemplo:
com.iplanet.am.session.protectedPropertiesList = PropertyName1,PropertyName2,PropertyName3
-
Reinicie el contenedor Web de Access Manager para que se apliquen los valores.
Información sobre la compatibilidad de los roles y los roles filtrados con el complemento LDAPv3 (6365196)
Después de aplicar la respectiva revisión, puede configurar los roles y los roles filtrados del complemento LDAPv3, si los datos se han almacenado en Sun Java System Directory Server (soluciona el problema CR 6349959). En la consola de administración de Access Manager 7 2005Q4, en la configuración de LDAPv3 del campo “Operaciones y tipos admitidos del complemento LDAPv3”, introduzca los valores de la siguiente forma:
role: read,edit,create,delete filteredrole: read,edit,create,delete
Puede introducir una de las entradas anteriores o ambas en función de los roles y los roles filtrados que desee utilizar en la configuración de LDAPv3.
Información sobre las propiedades no utilizadas en el archivo AMConfig.properties (6344530)
Las siguientes propiedades del archivo AMConfig.properties no se utilizan:
com.iplanet.am.directory.host com.iplanet.am.directory.port
La propiedad com.iplanet.am.session.client.polling.enable del servidor no puede ser "true" (verdadera) (6320475)
La propiedad com.iplanet.am.session.client.polling.enable del archivo AMConfig.properties no debe establecerse nunca como "true" (verdadera) en el servidor.
Solución: esta propiedad debe establecerse como "false" (falsa) y nunca como "true" (verdadera).
La dirección URL de éxito predeterminada es incorrecta en la ayuda en línea de la consola (6296751)
La dirección URL de éxito predeterminada aparece de forma incorrecta en el archivo de ayuda en línea de la consola, service.scserviceprofile.iplanetamauthservice.html . El campo de URL de éxito predeterminada acepta una lista de varios valores que especifican la dirección URL a la que se redirigen los usuarios tras realizarse con éxito la autenticación. El formato de este atributo es clientType|URL, aunque se puede especificar únicamente el valor de la dirección URL, por lo que se presupone que se trata de un tipo predeterminado de HTML.
El valor predeterminado “/amconsole” es incorrecto.
Solución: El valor predeterminado correcto es “/amserver/console”.
Información sobre cómo habilitar el cifrado XML (6275563)
Para habilitar el cifrado XML para Access Manager o Federation Manager mediante el archivo JAR de Bouncy Castle con el fin de generar una clave de transporte, siga estos pasos:
-
Si utiliza una versión de JDK anterior a JDK 1.5, descargue el proveedor JCE de Bouncy Castle desde el sitio de Bouncy Castle (http://www.bouncycastle.org/). Por ejemplo, para JDK 1.4, descargue el archivo bcprov-jdk14-131.jar.
-
Si ha descargado un archivo JAR en el paso anterior, cópielo en el directorio jdk_root/jre/lib/ext.
-
Para la versión interna de JDK, descargue los archivos de "Unlimited Strength Jurisdiction Policy" de JCE para la versión de JDK en el sitio de Sun (http://java.sun.com). Para IBM WebSphere, acceda al sitio correspondiente de IBM para descargar los archivos necesarios.
-
Copie los archivos descargados US_export_policy.jar y local_policy.jar en el directorio jdk_root/jre/lib/security .
-
Si utiliza una versión de JDK anterior a JDK 1.5, edite el archivo jdk_root/jre/lib/security/java.security y agregue Bouncy Castle como uno de los proveedores. Por ejemplo:
security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider
-
Defina la siguiente propiedad en el archivo AMConfig.properties como "true" (verdadera):
com.sun.identity.jss.donotInstallAtHighestPriority=true
-
Reinicie el contenedor web de Access Manager.
Para obtener más información, consulte el Id. de problema 5110285 (El cifrado XML requiere el archivo JAR de Bouncy Castle).
- © 2010, Oracle Corporation and/or its affiliates