La revisión 2 de Access Manager 7 (versión 02) soluciona diversos problemas, como se indica en el archivo README (LÉAME) incluido con la revisión. Además, incluye también las siguientes nuevas funciones y problemas conocidos:
New Features in Patch 2
Problemas conocidos y limitaciones de la revisión 2
La revisión 2 incluye las siguientes nuevas propiedades para las cachés de administración de usuarios, el repositorio de identidades (IdRepo) y la administración de usuarios (SDK de Access Manager). Estas propiedades permiten habilitar y deshabilitar de forma independiente las diferentes cachés en función de los requisitos de implementación, y establecer el periodo de vida (TTL, Time To Live) de las entradas de la caché.
Tabla 3 Nuevas propiedades de las cachés de administración de usuarios, repositorio de identidades y administración de servicios
Propiedad |
Descripción |
Nuevas propiedades para habilitar y deshabilitar las cachés |
|
com.iplanet.am.sdk.caching.enabled |
Propiedad global que habilita (true) o deshabilita (false) las cachés del repositorio de identidades (IdRepo), la administración de usuarios y la administración de servicios. Si se establecer como true (verdadero), o si la propiedad no está presente en el archivo AMConfig.properties, se habilitan las tres cachés. |
Nota Las siguientes tres propiedades para habilitar o deshabilitar las cachés específicas sólo se aplican si la propiedad global anterior se establece en false (falso). |
|
com.sun.identity.amsdk.cache.enabled |
Habilita (true) o deshabilita (false) únicamente la caché de administración de usuarios (Access Manager SDK). |
com.sun.identity.idm.cache.enabled |
Habilita (true) o deshabilita (false) sólo la caché del repositorio de identidades (IdRepo). |
com.sun.identity.sm.cache.enabled |
Habilita (true) o deshabilita (false) sólo la caché de administración de servicios. |
Nuevas propiedades de la caché de administración de usuarios para TTL |
|
com.iplanet.am.sdk.cache.entry.expire.enabled |
Habilita (true) o deshabilita (false) la caducidad (tal y como se define en las dos propiedades siguientes) para la caché de administración de usuarios. |
com.iplanet.am.sdk.cache.entry.user.expire.time |
Especifica el tiempo en minutos que las entradas de usuario de la caché de administración de usuarios seguirán siendo válidas desde su última modificación. Es decir, una vez transcurrido el periodo de tiempo especificado (después de la última modificación o lectura desde el directorio), los datos de la entrada almacenada en la caché caducarán. Las solicitudes de datos de dichas entradas deberán leerse desde el directorio. |
com.iplanet.am.sdk.cache.entry.default.expire.time |
Especifica el tiempo en minutos que las entradas de la caché de administración de usuarios que no son de usuario seguirán siendo válidas desde su última modificación. Es decir, una vez transcurrido el periodo de tiempo especificado (después de la última modificación o lectura desde el directorio), los datos de la entrada almacenada en la caché caducarán. Las solicitudes de datos de dichas entradas deberán leerse desde el directorio. Nuevas propiedades de la caché del repositorio de identidades para TTL |
com.sun.identity.idm.cache.entry.expire.enabled |
Habilita (true) o deshabilita (false) la caducidad (como se define en la siguiente propiedad) para la caché de IdRepo. |
com.sun.identity.idm.cache.entry.default.expire.time |
Especifica el tiempo en minutos que las entradas de la caché de IdRepo que no son de usuario seguirán siendo válidas desde su última modificación. Es decir, una vez transcurrido el periodo de tiempo especificado (después de la última modificación o lectura desde el repositorio), los datos de la entrada almacenada en la caché caducarán. Las nuevas solicitudes de datos de dichas entradas deberán leerse desde el repositorio. |
Using the New Caching Properties
Las revisiones de Access Manager 7 2005Q4 no actualizan automáticamente las nuevas propiedades de caché en el archivo AMConfig.properties.
Para utilizar las nuevas propiedades de caché:
Con un editor de textos, agregue las propiedades y sus valores al archivo AMConfig.properties en el siguiente directorio en función de su plataforma:
Sistemas Solaris: /etc/opt/SUNWam/config
Sistemas Linux: /etc/opt/sun/identity/config
Reinicie el contenedor Web de Access Manager para que se apliquen los valores.
La nueva propiedad com.sun.identity.federation.spadapter define la clase de implementación para com.sun.identity.federation.plugins.FederationSPAdapter , que se utiliza para agregar el procesamiento específico de la aplicación durante el procesamiento de la federación en el proveedor de servicios.
Consulte también CR# 6385696: los IDP y SP nuevos y existentes no están visibles..
Se ha agregado la compatibilidad con la condición de filtro LDAP en la revisión 2. Un administrador de directivas puede ahora especificar un filtro LDAP en la condición al definir una directiva. La directiva sólo se aplica al usuario si la entrada LDAP del usuario satisface el filtro LDAP especificado en la condición. La entrada LDAP del usuario se consulta desde el directorio especificado en el servicio de configuración de directivas.
Para registrar y utilizar la condición de filtro LDAP, ejecute los siguientes comandos una vez instalada la revisión 2 de Access Manager 7 que aparece con Access Manager instalado en el directorio predeterminado en los sistemas Solaris:
# /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -s /etc/opt/SUNWam/AddLDAPFilterCondition.xml # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml
Nota sobre la revisión 5 si agregó la revisión 5 de Access Manager 7 2005Q4 y ejecutó la secuencia de comandos updateschema.sh, no es necesario cargar estos archivos utilizando amadmin. Para obtener más información consulte Nueva secuencia de comandos updateschema.sh para cargar archivos LDIF y XML.
Una vez instalada la revisión 2 de Access Manager 7, ejecute los siguientes comandos que aparecen con Access Manager instalado en el directorio predeterminado en los sistemas Solaris:
# cd DirectoryServer-base/shared/bin # ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort -D "cn=Directory Manager" -w DirectoryMangerPassword -a -f /etc/opt/SUNWam/accountLockout.ldif # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/accountLockoutData.xml
El valor predeterminado de DirectoryServer-base es /var/opt/mps/serverroot en los sistemas Solaris y /var/opt/sun/directory-server en los sistemas Linux.
Nota sobre la revisión 5 si agregó la revisión 5 de Access Manager 7 2005Q4 y ejecutó la secuencia de comandos updateschema.sh, no es necesario cargar estos archivos utilizando amadmin. Para obtener más información consulte Nueva secuencia de comandos updateschema.sh para cargar archivos LDIF y XML.
La nueva propiedad com.sun.identity.session.property.doNotTrimList del archivo AMConfig.properties puede contener una lista de nombres de propiedades de sesión separados por comas. Una vez agotado el tiempo de espera de una sesión, las propiedades definidas en esta lista no se recortarán, para que se pueda acceder a ellas antes de que se purgue la sesión. Por ejemplo:
com.sun.identity.session.property.doNotTrimList=UserId,HostName
La nueva propiedad com.sun.identity.am.cookie.check del archivo AMConfig.properties indica si el servidor debe comprobar si existe compatibilidad con las cookies o si las cookies están habilitadas en el explorador. El valor true (verdadero) provoca que el servidor compruebe la compatibilidad con las cookies o si éstas están habilitadas en el explorador, y genera una página de error en caso de que no exista compatibilidad o no estén habilitadas. Este valor debería establecerse como "false" (falso), que es el valor predeterminado, si se espera que el servidor admita el modo sin cookies para la función de autenticación.
CDCServlet agrega las siguientes propiedades a AMConfig.properties y las lee:
Si se ha establecido como "true" (verdadero); com.iplanet.services.cdc.WaitImage.display provoca que se muestre una imagen en el explorador mientras un usuario espera la página protegida, en caso de utilizar CDSSO. El valor predeterminado es false.
com.iplanet.services.cdc.WaitImage.name especifica el nombre de la imagen. El valor predeterminado es waitImage.gif. Esta imagen se copia del directorio de login_images.
com.iplanet.services.cdc.WaitImage.width especifica el ancho de la imagen. El valor predeterminado es 420.
com.iplanet.services.cdc.WaitImage.height especifica el alto de la imagen. El valor predeterminado es 120.
La nueva propiedad com.sun.am.event.connection.disable.list del archivo AMConfig.properties especifica la conexión que puede deshabilitarse. Los valores (no se distingue entre mayúsculas y minúsculas) pueden ser:
aci - Cambios del atributo aci con la búsqueda utilizando el filtro LDAP (aci=*)
sm - Cambios en el árbol de información de Access Manager (o nodo de administración de servicios), que incluye objetos con la clase de objeto de marcador sunService o sunServiceComponent. Por ejemplo, puede crear una directiva que defina privilegios de acceso a un recurso protegido o puede modificar las reglas, temas, condiciones o proveedores de respuesta de una directiva existente.
um - Cambios en el directorio de usuario (o nodo de administración de usuarios). Por ejemplo, puede cambiar el nombre o la dirección del usuario.
Por ejemplo, para deshabilitar las búsquedas persistentes de cambios en el árbol de información de Access Manager (o nodo de administración de servicios):
com.sun.am.event.connection.disable.list=sm
Para especificar varios valores, separe cada valor con una coma.
Las búsquedas persistentes causan una sobrecarga en el rendimiento en Directory Server. Si cree que el hecho de eliminar parte de esta sobrecarga en el rendimiento es muy importante en un entorno de producción, puede deshabilitar una o más búsquedas persistentes utilizando la propiedad com.sun.am.event.connection.disable.list.
Sin embargo, antes de deshabilitar una búsqueda persistente, debe comprender las limitaciones descritas anteriormente. Se recomienda que no se modifique esta propiedad a menos que sea absolutamente necesario. Esta propiedad fue introducida principalmente para evitar la sobrecarga en Directory Server cuando se utilizan varios agentes J2EE 2.1, porque cada uno de estos agentes establece estas búsquedas persistentes. Los agentes J2EE 2.2 ya no establecen estas búsquedas persistentes, así que puede que no sea necesario utilizar esta propiedad.
Para obtener más información, consulte Información acerca de la deshabilitación de búsquedas persistentes (6486927).
La nueva propiedad com.sun.identity.federation.spadapter del archivo AMConfig.properties especifica la implementación predeterminada del adaptador del proveedor de servicios de federación en el que la aplicación puede obtener la información de aserciones y de respuesta. Por ejemplo:
com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter