|
Sun Java System Access Manager Versionshinweise f�r HP-UX |
Sun Java™ System Access Manager Versionshinweise f�r HP-UX
Version 7 2005Q4
Teilenummer 819-5981-10
Diese Versionshinweise enthalten wichtige Informationen, die zum Zeitpunkt der Ver�ffentlichung von Sun Java System Access Manager 7 2005Q4 (vormals Sun JavaTM System Identity Server) f�r HP-UX verf�gbar waren. In diesem Dokument werden bekannte Probleme und Einschr�nkungen sowie sonstige Informationen angesprochen. Lesen Sie dieses Dokument, bevor Sie diese Version installieren und verwenden.
Die neueste Ausgabe dieser Versionshinweise finden Sie auf der Sun Java System-Dokumentationswebsite:
Besuchen Sie diese Website vor der Installation und Konfiguration Ihrer Software und sp�ter regelm��ig, um stets die neuesten Versionshinweise und eine aktuelle Produktdokumentation verf�gbar zu haben.
Die Versionshinweise sind in die folgenden Abschnitte gegliedert:
Diese Dokumentation kann URLs zu Produkten von Drittanbietern zur Bereitstellung zus�tzlicher zugeh�riger Informationen enthalten.
�nderungsprotokoll der Versionshinweise
Tabelle 1 �nderungsprotokoll
Datum
Beschreibung der �nderungen
Februar 2006
Revenue-Release
November 2005
Beta-Release
�ber Access Manager 7 2005Q4Sun Java System Access Manager (Access Manager) ist Bestandteil der Sun Identity Management-Infrastruktur, die es einer Organisation erlaubt, einen sicheren Zugang zu Webanwendungen und anderen Ressourcen zu gew�hrleisten, sowohl innerhalb eines Unternehmens als auch �ber B2B-Wertsch�pfungsketten (Business-to-Business) hinweg. Access Manager stellt folgende Hauptfunktionen bereit:
- Zentralisierte Authentifizierungs- und Autorisierungsdienste unter Verwendung einer rollen- und regelbasierten Zugriffssteuerung
- Single Sign-On (SSO) f�r den Zugriff auf die webbasierten Anwendungen einer Organisation
- Federated Identity-Unterst�tzung �ber das Liberty Alliance-Projekt und SAML (Security Assertions Markup Language)
- Protokollierung von kritischen Informationen wie beispielsweise Administrator- und Benutzeraktivit�ten durch Access Manager-Komponenten f�r eine anschlie�ende Analyse, Berichterstellung und �berwachung Die Protokollierung basiert auf den J2SE-Protokollierungs-APIs (java.util.logging).
Dieser Abschnitt enth�lt Informationen zu folgenden Themen:
Neuheiten in dieser Version
Diese Version umfasst die folgenden neuen Funktionen:
Access Manager-Modi
Access Manager 7 2005Q4 umfasst den Realm- und den Legacy-Modus. Beide Modi bieten Unterst�tzung f�r:
- Neue Access Manager 7 2005Q4-Funktionen
- Access Manager 6 2005Q1-Funktionen, abgesehen von diesen Einschr�nkungen:
- Bei der Erstellung von Bereichen (Realms) werden die entsprechenden Organisationen nicht in Sun Java System Directory Server erstellt.
- �ber die neue Access Manager 7 2005Q4-Konsole kann keine CoS-Vorlagenpriorit�t (Class of Service) festgelegt werden. Siehe Festlegung der CoS-Vorlagenpriorit�t �ber die neue Access Manager-Konsole nicht m�glich (6309262).
- Identity-Repositories in Sun Java System Directory Server und anderen Datenspeichern
Der Legacy-Modus ist erforderlich f�r:
- Sun Java System Portal Server
- Sun Java System Communications Services-Server, einschlie�lich Messaging Server, Calendar Server, Instant Messaging oder Delegated Administrator
- Parallele Bereitstellungen, bei denen Access Manager 6 2005Q1 und Access Manager 7 2005Q4 auf denselben Directory Server zugreifen
Neue Access Manager-Konsole
Die Access Manager-Konsole wurde f�r diese Version umgestaltet. Wenn Access Manager jedoch mit Portal Server, Messaging Server, Calendar Server, Instant Messaging oder Delegated Administrator bereitgestellt wird, m�ssen Sie Access Manager im Legacy-Modus installieren und die Access Manager 6 2005Q1-Konsole verwenden:
- Weitere Informationen finden Sie unter Kompatibilit�tsprobleme.
Identity-Repository
Ein Access Manager-Identity-Repository enth�lt Informationen zu Identit�ten wie etwa Benutzern, Gruppen und Rollen. Sie k�nnen ein Identity-Repository mit Access Manager oder einem anderen Provisioning-Produkt wie beispielsweise Sun Java System Identity Manager erstellen und verwalten.
In der aktuellen Version kann ein Identity-Repository entweder in Sun Java System Directory Server oder Microsoft Active Directory gespeichert werden. Access Manager kann �ber Lese-/Schreibzugang oder schreibgesch�tzten Zugriff auf ein Identity-Repository verf�gen.
Access Manager-Informationsstruktur
Die Access Manager-Informationsstruktur enth�lt Informationen in Bezug auf den Systemzugriff. Jede Access Manager-Instanz erstellt und verwaltet eine separate Informationsstruktur in Sun Java System Directory Server. Eine Access Manager-Informationsstruktur kann �ber einen beliebigen Namen (Suffix) verf�gen. Die Access Manager-Informationsstruktur kann Bereiche (und Unterbereiche, falls erforderlich) umfassen, wie im nachfolgenden Abschnitt beschrieben.
Access Manager-Bereiche
Ein Bereich (Realm) und eventuelle Unterbereiche sind Bestandteil der Access Manager-Informationsstruktur und k�nnen Konfigurationsinformationen enthalten, die einen Satz aus Benutzern und/oder Gruppen, die Art der Benutzerauthentifizierung, die f�r einen Benutzer zug�nglichen Ressourcen sowie die Informationen definieren, die f�r Anwendungen verf�gbar sind, nachdem einem Benutzer Zugriff auf die Ressourcen erteilt wurde. Ein Bereich oder Unterbereich kann dar�ber hinaus weitere Konfigurationsinformationen enthalten, beispielsweise die Globalisierungskonfiguration, die Konfiguration zum Zur�cksetzen des Passworts, die Sitzungs- und Konsolenkonfiguration sowie Benutzereinstellungen. Ein Bereich oder Unterbereich kann auch leer sein.
Sie k�nnen einen Bereich entweder mithilfe der Access Manager-Konsole oder �ber das Befehlszeilenprogramm amadmin erstellen. Weitere Informationen finden Sie in der Onlinehilfe zur Konsole oder in Kapitel 14, "The amadmin Command Line Tool", im Sun Java System Access Manager 7 2005Q4 Administration Guide.
�nderungen in Bezug auf das Sitzungs-Failover
Access Manager stellt eine vom Webcontainer unabh�ngige Sitzungs-Failover-Implementierung mit Verwendung von Sun Java System Message Queue (Message Queue) als Kommunikations-Broker und der Berkeley DB von Sleepycat Software, Inc. als Datenbank f�r die Sitzungsspeicherung. Zu den Erweiterungen von Access Manager 7 2005Q4 z�hlen das Skript amsfoconfig zur Konfiguration der Umgebung f�r das Sitzungs-Failover sowie das Skript amsfo zum Starten und Stoppen von Message Queue-Broker und Berkeley DB-Client.
Weitere Informationen finden Sie unter "Implementing Access Manager Session Failover" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Benachrichtigung bei �nderung von Sitzungseigenschaften
�ber die Access Manager-Funktion zur Benachrichtigung bei �nderung von Sitzungseigenschaften wird eine Benachrichtigung an den konfigurierten Listener gesendet, sobald sich eine bestimmte Sitzungseigenschaft �ndert. Diese Funktion tritt in Kraft, wenn das Attribut "Enable Property Change Notifications" (Benachrichtigung �ber Eigenschaften�nderung) in der Access Manager-Administratorkonsole aktiviert wird. In einer SSO-Umgebung (Single Sign-On) beispielsweise kann eine Access Manager-Sitzung von mehreren Anwendungen gemeinsam genutzt werden. Sobald sich eine spezifische, in der Liste "Notification Properties" (Benachrichtigungseigenschaften) definierte Sitzungseigenschaft �ndert, sendet Access Manager eine Benachrichtigung an alle registrierten Listener.
Weitere Informationen finden Sie unter "Session Property Change Notifications" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Beschr�nkung von Sitzungskontingenten
�ber die Funktion zur Beschr�nkung von Sitzungskontingenten kann der Access Manager-Administrator (amadmin) unter Verwendung des Attributs "Active User Sessions" (Aktive Benutzersitzungen) die maximale Anzahl an parallelen Sitzungen festlegen, die f�r einen Benutzer zul�ssig sind. Der Administrator kann eine Sitzungskontingentbeschr�nkung auf globaler Ebene f�r alle Benutzer oder auf Elementebene, z. B. f�r Organisationen, Bereiche, Rollen oder Benutzer festlegen.
Per Voreinstellung ist die Beschr�nkung der Sitzungskontingente deaktiviert (OFF), der Administrator kann diese Funktion jedoch �ber das Attribut "Enable Quota Constraints" (Kontingentbeschr�nkung aktivieren) in der Access Manager-Administratorkonsole aktivieren.
Der Administrator kann dar�ber hinaus �ber das Attribut "Resulting Behavior If Session Quota Exhausted" (Verhalten bei �berschreitung des Sitzungskontingents) das Verhalten bei �berschreitung des festgelegten Sitzungskontingents f�r einen Benutzer konfigurieren.
Das Attribut "Exempt Top-Level Admins From Constraint Checking" (Top-Level-Administratoren von der Kontingentpr�fung ausnehmen) legt fest, ob Sitzungskontingente auch f�r Administratoren mit der Rolle "Top-Level-Administrator" gelten oder nicht.
Weitere Informationen finden Sie unter "Setting Session Quota Constraints" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Verteilte Authentifizierung
Der Dienst f�r die verteilte Authentifizierung erm�glicht einen Austausch von Benutzeridentit�ts- und Anmeldeinformationen f�r die demilitarisierte Zone (DMZ, demilitarized zone). Zur Authentifizierung bei Access Manager muss der Benutzer Identifikations- und Anmeldeinformationen bereitstellen. W�hrend dieses Vorgangs werden die Access Manager-Dienst-URLs gegen�ber dem Benutzer offengelegt. Sie k�nnen diese Offenlegung durch Einsatz eines Proxy-Servers vermeiden; ein Proxy-Server ist in einigen Bereitstellungen jedoch keine akzeptable L�sung.
Die Mehrzahl der sicheren Bereitstellungen l�sst eine direkte Agenten-Umleitung von Anforderungen (aus der demilitarisierten Zone) an den Access Manager-Server (in der sicheren Zone hinter der Firewall) nicht zu, deshalb ist dies die prim�re Anforderung den Distributed Authentication-Dienst.
Diese Funktion wird auf jedem Servlet-f�higen Webcontainer als J2EE-Webanwendung bereitgestellt. Der Authentifizierungsdienst kann eine Remote-Authentifizierung und ein Extrahierungs-Framework (d. h. eine Benutzerschnittstelle f�r die verteilte Authentifizierung) bieten, die als J2EE-Webanwendung in der DMZ-Schicht (auf einem Computer mit Access Manager) bereitgestellt wird, die wiederum mit den Backend-Servern zur Durchf�hrung der eigentlichen Authentifizierung kommuniziert. Der Dienst f�r die verteilte Authentifizierung kommuniziert (remote) mit dem Authentifizierungsserver und f�hrt die eigentliche Authentifizierung �ber eine Remote-API aus.
Unterst�tzung f�r mehrere Authentifizierungsmodulinstanzen
Alle Authentifizierungsmodule (Standard) wurden zur Unterst�tzung des Unterschemas mit Konsolen-UI-Unterst�tzung erweitert. Es k�nnen f�r jeden Modultyp (geladene Modulklasse) mehrere Authentifizierungsmodulinstanzen erstellt werden. Beispielsweise kann bei Instanzen mit Namen ldap1 und ldap2 f�r einen LDAP-Modultyp jede Instanz auf einen anderen LDAP-Directory Server verweisen. Modulinstanzen, deren Namen mit denen der zugeh�rigen Typen �bereinstimmen, werden aus Gr�nden der Abw�rtskompatibilit�t unterst�tzt. Der Aufruf erfolgt �ber server_deploy_uri/UI/Login? module=module-instance-name.
"Benannte Konfiguration" oder "verketteter" Namespace f�r die Authentifizierung
Unterhalb einer Organisation/eines Bereichs wird ein separater Namespace erstellt, der eine Kette von Authentifizierungsmodulinstanzen darstellt. Die Kette kann wiederverwendet und einer Organisation/einem Bereich, einer Rolle oder einem Benutzer zugewiesen werden. Die Authentifizierungsdienstinstanz entspricht der Authentifzierungskette. Der Aufruf erfolgt �ber server_deploy_uri/UI/Login? service=authentication-chain-name.
Verbessertes Richtlinienmodul
Personalisierungsattribute
Zus�tzlich zu Regeln, Objekten und Bedingungen k�nnen Richtlinien ab sofort personalisierte Attribute (IDResponseProvider) umfassen. Die von der Richtlinienauswertung an den Client gesendete Richtlinienentscheidung umfasst nun richtlinienbasierte Antwortpersonalisierungsattribute in den anwendbaren Richtlinien. Es werden zwei Arten von Personalisierungsattributen unterst�tzt:
PEP-Agenten (Policy Enforcement Points) leiten diese Attribute typischerweise als HTTP-Header oder Cookies oder Anforderungsattribute an die gesch�tzte Anwendung weiter.
Access Manager 7 2005Q4 bietet keine Unterst�tzung f�r durch den Benutzer angepasste Implementierungen der Response Provider-Schnittstelle.
Bedingungen f�r Sitzungseigenschaften
Die Implementierung von Bedingungen f�r Sitzungseigenschaften (SessionPropertyCondition) legt basierend auf den in einer Access Manager-Benutzersitzung eingestellten Eigenschaftenwerten fest, ob eine Richtlinie auf die Anforderung anwendbar ist. Bei Auswertung der Richtlinie wird f�r die Bedingung nur dann der Wert "true" zur�ckgegeben, wenn die Access Manager-Benutzersitzung alle in der Bedingung definierten Eigenschaftenwerte umfasst. F�r Eigenschaften, f�r die in der Bedingung mehrere Werte definiert wurden, reicht es aus, dass die Benutzersitzung mindestens einen der in der Bedingung aufgef�hrten Eigenschaftenwerte enth�lt.
Richtlinienobjekt
Die Richtlinienobjektimplementierung (AMIdentitySubject) erm�glicht Ihnen die Verwendung von Eintr�gen aus dem konfigurierten Identity-Repository als Richtlinienobjektwerte.
Richtlinienexport
Sie k�nnen �ber den Befehl amadmin Richtlinien im XML-Format exportieren. Die neuen Elemente GetPolices und RealmGetPolicies in der Datei amAdmin.dtd bieten Unterst�tzung f�r diese Funktion.
Richtlinienstatus
Eine Richtlinie weist nun ein Statusattribut auf, das als aktiv oder inaktiv gesetzt werden kann. Inaktive Richtlinien werden bei der Richtlinienauswertung ignoriert.
Site-Konfiguration
In Access Manager 7 2005Q4 wird das "Site-Konzept" eingef�hrt, das eine zentralisierte Konfigurationsverwaltung f�r eine Access Manager-Bereitstellung bietet. Wenn Access Manager als Site konfiguriert wird, werden Clientanforderungen immer an den Load Balancer gesendet, der die Bereitstellung vereinfacht und Probleme wie z. B. eine Firewall zwischen Client und Backend-Access Manager-Server l�st.
Weitere Informationen finden Sie unter "Configuring an Access Manager Deployment as a Site" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Bulk Federation
Access Manager 7 2005Q4 bietet eine Bulk Federation-Funktion zur Verbindung von Benutzerkonten mit Anwendungen, die an Gesch�ftspartner ausgelagert sind. Bisher erfolgte der Verbund von Konten zwischen einem Service Provider (SP) und einem Identity Provider (IDP) folgenderma�en: Der Benutzer musste sowohl auf die SP- als auch auf die IDP-Site zugreifen, es mussten Konten erstellt werden, und anschlie�end wurden die zwei Konten �ber einen Weblink miteinander verbunden. Dieser Prozess war sehr zeitaufw�ndig. Dar�ber hinaus war diese Vorgehensweise nicht f�r Bereitstellungen mit vorhandenen Konten sowie f�r Sites geeignet, die selbst als Identity Provider fungierten oder einen ihrer Partner als Authentifizierungs-Provider einsetzten.
Weitere Informationen finden Sie im Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide.
Verbesserungen hinsichtlich der Protokollierung
Access Manager 7 2005Q4 umfasst verschiedene Verbesserungen im Hinblick auf die Protokollierung:
- Neue Felder (oder Spalten): Das Feld MessageID enth�lt die Meldungskennung f�r das protokollierte Ereignis. Das Feld ContextID umfasst die Kontextkennung, die einer Sitzungskennung entspricht und f�r alle Ereignisse einer bestimmten Benutzeranmeldesitzung gilt. Bei einer spezifischen Anmeldesitzung eines Benutzers ist ContextID in allen Protokolldateien f�r protokollierte Ereignisse identisch.
- Protokollierungs-API. Die API umfasst Erweiterungen f�r das Lesen von Protokolleintr�gen. Dies schlie�t Datenbanken ein, wenn die Protokollierung in einer Datenbank konfiguriert wurde. Informationen zum Abruf von Protokolleintr�gen aus einer flachen Datei oder einem Datenbanktabellen-Repository finden Sie in der Datei LogReaderSample.java im Verzeichnis /opt/SUN/identity/samples/logging .
Hardware- und Softwareanforderungen
Folgende Hardware und Software ist f�r den Einsatz dieser Version von Access Manager erforderlich:
Tabelle 2 Hardware- und Software-Anforderungen
Komponente
Anforderung
Betriebssystem
HP-UX11i V1
RAM
512 MB
Festplattenspeicher
250 MB f�r Access Manager und verkn�pfte Anwendungen
Unterst�tzte Browser
Die folgende Tabelle zeigt die f�r Sun Java Enterprise System 2005Q4 unterst�tzten Browser.
Behobene Fehler in dieser VersionKeine.
Kompatibilit�tsprobleme
Legacy-Modus von Access Manager
Wenn Sie Access Manager mit einem der folgenden Produkte installieren, m�ssen Sie den Access Manager-Legacy (6.x)-Modus w�hlen:
Die Auswahl des Access Manager-Legacy (6.x)-Modus richtet sich danach, wie das Java ES-Installationsprogramm ausgef�hrt wurde:
Automatische Java ES-Installation mit einer Statusdatei
Die automatische Java ES-Installation ist ein nicht interaktiver Modus, mit dem Sie Java ES-Komponenten auf mehreren Hostservern installieren k�nnen, die �hnliche Konfigurationen aufweisen. Sie f�hren zun�chst das Installationsprogramm aus, um eine Statusdatei zu erzeugen (ohne tats�chlich Komponenten zu installieren), und dann bearbeiten Sie eine Kopie der Statusdatei f�r jeden Hostserver, auf dem Sie Access Manager und andere Komponenten installieren m�chten.
Zur Auswahl des Legacy (6.x)-Modus von Access Manager setzen Sie den folgenden Parameter (zusammen mit anderen Parametern) in der Statusdatei, bevor Sie das Installationsprogramm im automatischen Modus ausf�hren:
...
AM_REALM = disabled
...
Weitere Informationen zur Ausf�hrung des Java ES-Installationsprogramms im automatischen Modus mit einer Statusdatei finden Sie in Kapitel 5, "Installing in Silent Mode", im Sun Java Enterprise System 2005Q4 Installation Guide for UNIX.
Installationsoption "Jetzt konfigurieren" im grafischen Modus
Wenn Sie das Java ES-Installationsprogramm im grafischen Modus mit der Option "Jetzt konfigurieren" ausf�hren, w�hlen Sie im Fenster "Access Manager: Administration (1 von 6)" die Einstellung "Legacy (Version 6.x)". Dies ist die Standardeinstellung.
Installationsoption "Jetzt konfigurieren" im Textmodus
Wenn Sie das Java ES-Installationsprogramm im textbasierten Modus mit der Option "Jetzt konfigurieren" ausf�hren, w�hlen Sie als Installationstyp "(Realm/Legacy) [Legacy]" die Option "Legacy". Dies ist die Standardeinstellung.
Installationsoption "Sp�ter konfigurieren"
Wenn Sie das Java ES-Installationsprogramm mit der Option "Sp�ter konfigurieren" ausf�hren, m�ssen Sie nach der Installation die Datei amconfig bat ausf�hren, um Access Manager zu konfigurieren. Zur Auswahl des Legacy (6.x)-Modus setzen Sie in der Konfigurationsskript-Eingabedatei den folgenden Parameter (amsamplesilent):
...
AM_REALM=disabled
...
Weitere Informationen zum Konfigurieren von Access Manager durch Ausf�hren des Skripts amconfig finden Sie im Sun Java System Access Manager 7 2005Q4 Administration Guide.
Ermitteln des Access Manager-Modus
�ber den folgenden Befehl k�nnen Sie ermitteln, ob eine ausgef�hrte Access Manager 7 2005Q4-Installation im Realm- oder Legacy-Modus konfiguriert wurde:
http(s)://host:port/amserver/SMSServlet?method=isRealmEnabled.
Ergebnis:
Access Manager-Richtlinienagenten
Die folgende Tabelle zeigt die Kompatibilit�t der Richtlinienagenten mit den Access Manager 7 2005Q4-Modi.
Wichtige InformationenIn diesem Abschnitt werden die Anforderungen zur Installation von Sun Java System Access Manager Enterprise Edition 2005Q4 aufgef�hrt. In diesem Abschnitt sind die folgenden wichtigen Informationen enthalten:
Web Server oder Application Server k�nnen als Webcontainer f�r die Bereitstellung von Access Manager verwendet werden.
Informationen zum Ausf�hren der Konfigurationsskripts finden Sie im Access Manager 6 2005Q4 Administration Guide.
Aktualisierungsanweisungen f�r Access Manager
Wenn Sie eine Aktualisierung auf Access Manager 7 2005Q4 durchf�hren, folgen Sie den Anweisungen im Sun Java Enterprise System 2005Q4 Upgrade Guide for HP-UX unter http://docs.sun.com/app/docs/doc/819-4460.
Eingabehilfen f�r Benutzer mit Behinderungen
Informationen zu Eingabehilfen, die seit der Ver�ffentlichung dieses Dokuments herausgegeben wurden, finden Sie in der Produktbewertung nach Section 508. Dieses Dokument, das Sie bei Sun anfordern k�nnen, stellt Informationen dazu bereit, welche Produktversionen am besten f�r die Bereitstellung von barrierefreien L�sungen geeignet sind. Aktualisierte Anwendungsversionen finden Sie unter http://sun.com/software/javaenterprisesystem/get.html.
Informationen �ber die Sun-Projekte zur Barrierefreiheit finden Sie unter http://sun.com/access.
Bekannte Probleme und Einschr�nkungenIn diesem Abschnitt werden bekannte Probleme und Einschr�nkungen sowie Umgehungen f�r diese (sofern verf�gbar) zum Zeitpunkt der Ver�ffentlichung dieser Version beschrieben.
Kompatibilit�tsprobleme
Inkompatibilit�t zwischen Java ES 2004Q2-Servern und IM unter Java ES 2005Q4 (6309082)
Es bestehen Inkompatibilit�ten im Kernauthentifizierungsmodul f�r den Legacy-Modus (6305840)
Anmeldung als Agent nicht m�glich, da kein Profil in der Organisation vorhanden ist (6295074)
Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Benutzer (6294603)
Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Organisation (6292104)
Inkompatibilit�t zwischen Java ES 2004Q2-Servern und IM unter Java ES 2005Q4 (6309082)
Dieses Problem wurde durch das folgende Bereitstellungsszenario verursacht:
Bei Ausf�hrung des Dienstprogramms imconfig zur Konfiguration von Instant Messaging auf Server-4 war die Konfiguration nicht erfolgreich. Das von Instant Messaging (IM) auf Server-4 verwendete Access Manager 7 2005Q4 SDK ist nicht mit der Java ES 2004Q2-Version kompatibel.
Umgehung:
Idealerweise sollten der Access Manager-Server und das Access Manager SDK dieselbe Version aufweisen. Weitere Informationen finden Sie im Sun Java Enterprise System 2005Q4 Upgrade Guide.
Es bestehen Inkompatibilit�ten im Kernauthentifizierungsmodul f�r den Legacy-Modus (6305840)
Der Access Manager 7 2005Q4-Legacy-Modus weist folgende Inkompatibilit�ten mit dem Kernauthentifizierungsmodul von Access Manager 6 2005Q1 auf:
- Organisations-Authentifizierungsmodule werden im Legacy-Modus entfernt.
- Die Darstellung von "Administrator Authentication Configuration" (Administrator-Authentifizierungskonfiguration) und "Organization Authentication Configuration" (Organisations-Authentifizierungskonfiguration) wurde ge�ndert. In der Access Manager 7 2005Q4-Konsole ist per Voreinstellung der Eintrag ldapService ausgew�hlt. In der Access Manager 6 2005Q1-Konsole wurde eine Bearbeitungsschaltfl�che bereitgestellt, und das LDAP-Modul war nicht standardm��ig ausgew�hlt.
Umgehung:
Keine.
Anmeldung als Agent nicht m�glich, da kein Profil in der Organisation vorhanden ist (6295074)
Erstellen Sie im Realm-Modus �ber die Access Manager-Konsole einen Agenten. Wenn Sie sich abmelden und anschlie�end unter Verwendung des Agentennamens neu anmelden, gibt Access Manager einen Fehler aus, da der Agent keine Berechtigungen zum Zugriff auf den Bereich besitzt.
Umgehung:
�ndern Sie die Berechtigungen ab, um dem Agenten Lese- und Schreibzugriff zu erteilen.
Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Benutzer (6294603)
Das Dienstprogramm commadmin von Delegated Administrator erstellt �ber die Optionen -S mail, cal keinen Benutzer in der Standarddom�ne.
Umgehung:
Dieses Problem tritt auf, wenn Sie Access Manager auf Version 7 2005Q4 aktualisieren, jedoch keine Aktualisierung von Delegated Administrator vornehmen. Informationen zur Aktualisierung von Delegated Administrator finden Sie im Sun Java Enterprise System 2005Q4 Upgrade Guide for Microsoft Windows.
Wenn Sie keine Aktualisierung von Delegated Administrator planen, f�hren Sie die folgenden Schritte aus:
- Markieren Sie in der Datei UserCalendarService.xml die Attribute mail, icssubcribed und icsfirstday anstelle von erforderlich als optional. Diese Datei befindet sich auf Solaris-Systemen standardm��ig im Verzeichnis /opt/sun/comms/commcli/lib/services/.
- Entfernen Sie in Access Manager die vorhandene XML-Datei durch Ausf�hrung des Befehls amadmin:
# ./amadmin -u amadmin -w password -r UserCalendarService
- F�gen Sie in Access Manager die aktualisierte XML-Datei hinzu:
# ./amadmin -u amadmin -w password
-s /opt/sun/comms/commcli/lib/services/UserCalendarService.xml
- Starten Sie den Access Manager-Webcontainer neu.
Das Dienstprogramm commadmin von Delegated Administrator erstellt keine Organisation (6292104)
Das Dienstprogramm commadmin von Delegated Administrator erstellt �ber die Optionen -S mail, cal keine Organisation.
Umgehung:
Siehe Umgehung f�r das vorherige Problem.
Installationsprobleme
Bei SDK-Installation mit Containerkonfiguration ist der Benachrichtigungs-URL nicht korrekt (6327845)
Wenn Sie eine SDK-Installation mit Containerkonfiguration (DEPLOY_LEVEL=4) vornehmen, ist der Benachrichtigungs-URL nicht richtig angegeben.
Umgehung:
Bereitstellung von Access Manager auf WebSphere mit nicht standardm��igen URIs nicht m�glich (6306605)
Wenn Sie Access Manager mit IBM WebSphere bereitstellen und nicht standardm��ige Werte (andere Werte als amconsole, amserver, ampassword und amcommon) f�r die URI-Parameter (CONSOLE_DEPLOY_URI, SERVER_DEPLOY_URI, PASSWORD_DEPLOY_URI, COMMON_DEPLOY_URI) verwenden, treten folgende Probleme auf:
- Wenn Sie versuchen, mit dem nicht standardm��igen URI auf Access Manager zuzugreifen, gibt der Browser einen 404-Fehler zur�ck.
- Wenn Sie versuchen, mit dem standardm��igen URI (/amserver) auf Access Manager zuzugreifen, fehlen die Bilder auf der Anmeldeseite, und Sie k�nnen sich nicht als amadmin anmelden.
Umgehung:
F�gen Sie im Skript /opt/sun/identity/bin/amwas51config vor der Zeile ". $AMUTILS" die folgenden Zeilen ein:
Access Manager-Klassenpfad verweist auf abgelaufenes JCE 1.2.1-Paket (6297949)
Der Access Manager-Klassenpfad verweist auf das Java Cryptography Extension (JCE) 1.2.1-Paket (Signing Certificate), das am 27. Juli 2005 abgelaufen ist.
Umgehung:
Keine. Wenngleich sich der Paketverweis inclasspath befindet, wird dieses Paket nicht von Access Manager verwendet.
Bei der Installation von Access Manager in einer vorhandenen Verzeichnisinformationsstruktur (Directory Information Tree, DIT) m�ssen die Directory Server-Indizes neu erstellt werden (6268096)
Zum Verbessern der Suchleistung bietet Directory Server mehrere neue Indizes.
Umgehung:
F�hren Sie nach der Installation von Access Manager mit einer vorhandenen Verzeichnisinformationsstruktur (Directory Information Tree, DIT) das Skript db2index.pl aus, um die Directory Server-Indizes neu zu erstellen. Beispiel:
#./db2index.pl -D "cn=Directory Manager" -w password -n userRoot
Das Skript db2index.pl befindet sich im Verzeichnis DS-install-directory/slapd-hostname/.
Falsche Protokollierungs- und Debug-Verzeichnisberechtigungen f�r Nicht-Root-Benutzer (6257161)
Wenn ein Nicht-Root-Benutzer in der Konfigurationsdatei f�r die unbeaufsichtigte Installation angegeben ist, werden die Berechtigungen f�r Debug-, Protokollierungs- und Startverzeichnisse nicht richtig festgelegt.
Umgehung:
�ndern Sie die Berechtigungen f�r diese Verzeichnisse, um dem Nicht-Root-Benutzer Zugriff zu erteilen.
Das Installationsprogramm f�gt keine Plattformeintr�ge f�r vorhandene Verzeichnisinstallationen hinzu (6202902)
Das Java ES-Installationsprogramm f�gt f�r eine vorhandene Verzeichnisserverinstallation keinen Plattformeintrag hinzu (DIRECTORY_MODE=2).
Umgehung:
F�gen Sie Bereichs-/DNS-Aliase und Plattformserver-Listeneintr�ge manuell hinzu. Die erforderlichen Schritte werden unter "Adding Additional Instances to the Platform Server List and Realm/DNS Aliases" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide beschrieben.
Konfigurationsprobleme
Application Server 8.1-Datei server.policy muss bearbeitet werden, wenn keine Standard-URIs verwendet werden (6309759)
Wenn Sie Access Manager 7 2005Q4 auf Application Server 8.1 bereitstellen und f�r Dienste-, Konsolen- und Passwort-Webanwendungen nicht die Standard-URI-Werte amserver, amconsole und ampassword verwenden, m�ssen Sie die Datei server.policy der Anwendungsserverdom�ne bearbeiten, bevor Sie versuchen, �ber einen Webbrowser auf Access Manager zuzugreifen.
Umgehung:
Bearbeiten Sie die Datei server.policy wie folgt:
- Beenden Sie die Application Server-Instanz, auf der Access Manager bereitgestellt wurde.
- Wechseln Sie zum Verzeichnis /config. Beispiel:
cd /var/opt/sun/appserver/domains/domain1/config
- Erstellen Sie eine Sicherungskopie der Datei server.policy . Beispiel:
cp server.policy server.policy.orig
- Suchen Sie in der Datei server.policy nach den folgenden Richtlinien:
Plattformserverliste und FQDN-Aliasattribut werden nicht aktualisiert (6309259, 6308649)
In einer Multi-Server-Bereitstellung werden die Plattformserverliste und das FQDN-Aliasattribut nicht aktualisiert, wenn Sie Access Manager auf dem zweiten Server (und nachfolgenden Servern) installieren.
Umgehung:
F�gen Sie Bereichs-/DNS-Aliase und Plattformserver-Listeneintr�ge manuell hinzu. Die erforderlichen Schritte werden unter "Adding Additional Instances to the Platform Server List and Realm/DNS Aliases" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide beschrieben.
Datenvalidierung f�r erforderliche Attribute in den Diensten (6308653)
Access Manager 7 2005Q4 erzwingt f�r erforderliche Attribute in Dienste-XML-Dateien das Vorhandensein von Standardwerten.
Umgehung:
Wenn Sie Dienste mit erforderlichen Attributen verwenden, die keine Werte aufweisen, f�gen Sie Werte f�r die Attribute hinzu, und laden Sie den Dienst neu.
Ausnahme bei Bereitstellung auf einer sicheren WebLogic 8.1-Instanz (6295863)
Wenn Sie Access Manager 7 2005Q4 in einer sicheren (SSL-aktivierten) BEAWebLogic 8.1 SP4-Instanz bereitstellen, tritt bei Bereitstellung jeder Access Manager-Webanwendung ein Ausnahmefehler auf.
Umgehung:
F�hren Sie die folgenden Schritte aus:
- Wenden Sie das WebLogic 8.1 SP4-Patch JAR CR210310_81sp4.jar an, das von BEA bereitgestellt wird.
- Aktualisieren Sie im Skript /opt/sun/identity/am/bin/amwl81config (Solaris-Systeme) oder /opt/sun/identity/bin/amwl81config (Linux-Systeme) die Funktion doDeploy und die Funktion undeploy_it, um den Pfad der Patch-JAR wl8_classpath voranzustellen. Hierbei handelt es sich um die Variable, die den Klassenpfad zur Bereitstellung und Aufhebung der Bereitstellung der Access Manager-Webanwendungen enth�lt.
Suchen Sie nach der folgenden Zeile, die wl8_classpath enth�lt:
wl8_classpath= ...
- F�gen Sie nach der in Schritt 2 ermittelten Zeile die folgende Zeile ein:
wl8_classpath=path-to-CR210310_81sp4.jar:$wl8_classpath
Das Skript amconfig f�hrt keine Aktualisierung der Bereichs-/DNS-Aliase und Plattformserver-Listeneintr�ge durch (6284161)
In einer Multi-Server-Bereitstellung f�hrt das Skript amconfig keine Aktualisierung der Bereichs-/DNS-Aliase und Plattformserver-Listeneintr�ge f�r zus�tzliche Access Manager-Instanzen durch.
Umgehung:
F�gen Sie Bereichs-/DNS-Aliase und Plattformserver-Listeneintr�ge manuell hinzu. Die erforderlichen Schritte werden unter "Adding Additional Instances to the Platform Server List and Realm/DNS Aliases" im Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide beschrieben.
Access Manager-Realm-Modus ist Standardwert in der Statusdateivorlage f�r die Konfiguration (6280844)
Per Voreinstellung ist der Access Manager-Realm-Modus (Variable AM_REALM) in der Statusdateivorlage f�r die Konfiguration aktiviert.
Umgehung:
Zur Installation oder Konfiguration von Access Manager im Legacy-Modus setzen Sie die Variable in der Statusdatei zur�ck:
AM_REALM = disabled
Access Manager-Konsolenprobleme
F�r SAML werden beim Duplizieren von Trusted Partner-Eintr�gen in der Konsole Fehler generiert (6326634)
Erstellen Sie in der Access Manager-Konsole unterhalb der Registerkarte "Federation > SAML" einen "SAML Trusted Partner". Wenn Sie versuchen, den Trusted Partner zu duplizieren, werden Fehler ausgegeben.
Umgehung:
Keine.
Remote-Protokollierung funktioniert nicht f�r amConsole.access und amPasswordReset.access (6311786)
Wenn die Remote-Protokollierung konfiguriert wurde, werden alle Protokolle in die Remote-Instanz von Access Manager geschrieben, nicht jedoch f�r amConsole.access und amPasswordReset.access zur Aufzeichnung von Informationen zum Zur�cksetzen von Passw�rtern. Protokolleintr�ge werden an keiner Stelle aufgezeichnet.
Umgehung:
Keine.
Das Hinzuf�gen weiterer amadmin-Eigenschaften in der Konsole f�hrt zur �nderung des amadmin-Benutzerpassworts (6309830)
Das Hinzuf�gen oder Bearbeiten einiger Eigenschaften f�r den Benutzer amadmin in der Administrationskonsole f�hrt dazu, dass das amadmin-Benutzerpasswort ge�ndert wird.
Umgehung:
Keine.
Festlegung der CoS-Vorlagenpriorit�t �ber die neue Access Manager-Konsole nicht m�glich (6309262)
�ber die neue Access Manager 7 2005Q4-Konsole kann keine CoS-Vorlagenpriorit�t (Class of Service) festgelegt oder ge�ndert werden.
Umgehung:
Melden Sie sich an der Access Manager 6 2005Q1-Konsole an, um eine CoS-Vorlagenpriorit�t festzulegen oder zu �ndern.
Ausnahmefehler beim Hinzuf�gen einer Gruppe zu einem Benutzer als Richtlinien-Administratorbenutzer (6299543)
Die Access Manager-Konsole gibt einen Ausnahmefehler aus, wenn Sie als Richtlinien-Administratorbenutzer eine Gruppe einem Benutzer hinzuf�gen.
Umgehung:
Keine.
Im Legacy-Modus k�nnen nicht alle Benutzer aus einer Rolle entfernt werden (6293758)
Wenn Sie im Legacy-Modus versuchen, alle Benutzer aus einer Rolle zu entfernen, bleibt ein Benutzer erhalten.
Umgehung:
Versuchen Sie erneut, den Benutzer aus der Rolle zu l�schen.
Hinzuf�gen, L�schen oder Bearbeiten von Discovery Service-Ressourcenangeboten nicht m�glich (6273148)
In der Access Manager-Administrationskonsole ist es nicht m�glich, die Ressourcenangebote f�r einen Benutzer, eine Rolle oder einen Bereich zu l�schen oder zu bearbeiten oder solche hinzuzuf�gen.
Umgehung:
Keine.
Falsches LDAP-Bindungspasswort sollte Fehler f�r die Antragstellersuche ausgeben (6241241)
Die Access Manager-Administrationskonsole gibt keinen Fehler aus, wenn das falsche LDAP-Bindungspasswort verwendet wird.
Umgehung:
Keine.
Access Manager kann unterhalb eines Containers im Legacy-Modus keine Organisation erstellen (6290720)
Wenn Sie einen Container erstellen und anschlie�end versuchen, unterhalb des Containers eine Organisation zu erstellen, gibt Access Manager einen Fehler zur Verletzung der Eindeutigkeit aus.
Umgehung:
Keine.
Beim Hinzuf�gen von Portal Server-bezogenen Diensten wird die alte Konsole ge�ffnet (6293299)
Portal Server und Access Manager sind auf demselben Server installiert. Access Manager befindet sich im Legacy-Modus. Melden Sie sich unter Verwendung von /amserver an der neuen Access Manager-Konsole an. Wenn Sie einen vorhandenen Benutzer ausw�hlen und versuchen, Dienste hinzuzuf�gen (z. B. NetFile oder Netlet), wird pl�tzlich die alte Access Manager-Konsole (/amconsle) angezeigt.
Umgehung:
Keine. Die aktuelle Version von Portal Server erfordert die Access Manager 6 2005Q1-Konsole.
Konsole gibt nach Erreichen des Ressourcenlimits keine Ergebniss�tze aus Directory Server zur�ck (6239724)
Installieren Sie Directory Server und Access Manager mit der vorhandenen DIT-Option. Melden Sie sich an der Access Manager-Konsole an, und erstellen Sie eine Gruppe. Bearbeiten Sie die Benutzer in der Gruppe. F�gen Sie beispielsweise Benutzer mit dem Filter uid=*999* hinzu. Die Ergebnisliste ist leer, und die Konsole zeigt weder eine Fehler-, Informations- noch eine Warnmeldung an.
Umgehung:
Die Gruppenmitgliedschaft darf die Directory Server-Suchgr��enbeschr�nkung nicht �berschreiten. Ist die Gruppenmitgliedschaft h�her, m�ssen Sie die Suchgr��enbeschr�nkung entsprechend �ndern.
SDK- und Client-Probleme
Sitzungsdienstkonfiguration f�r einen Unterbereich kann nicht entfernt werden (6318296)
Nach der Erstellung eines Unterbereichs des Top-Level-Bereichs und dem Hinzuf�gen des Sitzungsdienstes zu diesem Unterbereich f�hren anschlie�ende Versuche zum Entfernen der Sitzungsdienstkonfiguration zu einer Fehlermeldung.
Umgehung:
Entfernen Sie das standardm��ige ID-Repository erster Ebene, AMSDK1, und f�gen Sie dieses Repository anschlie�end erneut in die Konfiguration ein.
CDC-Servlet-Umleitung auf ung�ltige Anmeldeseite wenn Richtlinienbedigung angegeben (6311985)
Wenn sich der Apache-Agent 2.2 im CDSSO-Modus befindet und auf die agentengesch�tzte Ressource zugegriffen wird, leitet das CDC-Servlet den Benutzer nicht auf die standardm��ige Anmeldeseite, sondern auf die Seite zur anonymen Authentifizierung um.
Umgehung:
Keine.
Clients erhalten nach Serverneustart keine Benachrichtigung (6309161)
Mit dem Client-SDK (amclientsdk.jar) geschriebene Anwendungen erhalten keine Benachrichtigung, wenn der Server neu gestartet wird.
Umgehung:
Keine.
Identity-Repository ldapv3-Plug-In und openldap erfordern Patch (6305268)
openldap unterst�tzt keine fortlaufende Suche, und ohne eine Verbindung f�r die fortlaufende Suche kann das Plug-In nicht gestartet werden.
Umgehung:
Fordern Sie zur Verwendung des ldapv3-Plug-Ins ein Access Manager-Patch beim technischen Support von Sun Microsystems an.
SDK-Clients m�ssen nach �nderung des Dienstschemas neu gestartet werden (6292616)
Wenn Sie ein Dienstschema �ndern, gibt ServiceSchema.getGlobalSchema nicht das neue, sondern weiterhin das alte Schema zur�ck.
Umgehung:
Starten Sie den Client nach einer �nderung des Dienstschemas neu.
Probleme mit Befehlszeilen-Dienstprogrammen
Neue Schemadateien fehlen in Skript amserveradmin (6255110)
Wenn Sie nach der Installation das Skript amserveradmin ausf�hren, um die Dienste in Directory Server zu laden, fehlen im Skript die Schemadateien defaultDelegationPolicies.xml und idRepoDefaults.xml.
Umgehung:
Laden Sie die Dateien defaultDelegationPolicies.xml und idRepoDefaults.xml mithilfe des CLI-Dienstprogramms amadmin und der Option -t manuell.
XML-Dokumente mit Escape-Zeichen k�nnen in Internet Explorer 6.0 nicht gespeichert werden (4995100)
Wenn Sie ein Sonderzeichen (z. B. die Zeichenfolge "amp;" neben einem "&") in eine XML-Datei einf�gen, wird die Datei zun�chst ordnungsgem�� gespeichert. Wenn Sie das XML-Profil sp�ter jedoch unter Verwendung von Internet Explorer 6.0 abrufen, wird die Datei nicht ordnungsgem�� angezeigt. Wenn Sie anschlie�end versuchen, das Profil erneut zu speichern, wird ein Fehler ausgegeben.
Umgehung:
Keine.
Authentifizierungsprobleme
UrlAccessAgent-SSO-Token l�uft ab (6327691)
Das UrlAccessAgent-SSO-Token l�uft ab, da das Anwendungsmodul nicht den spezifischen Benutzer-DN zur�ckgibt, wodurch der Abgleich des Benutzer-DNs und damit ein Token ohne Ablaufdatum fehlschl�gt.
Umgehung:
Keine.
Anmeldung an Unterbereich mit LDAPV3-Plug-In/dynamischem Profil nach Passwortkorrektur nicht m�glich (6309097)
Wenn Sie im Realm-Modus einen ldapv3-Datenspeicher in einem Bereich mit einem "falschen" Passwort erstellen und das Passwort sp�ter als Benutzer amadmin �ndern, wird bei der erneuten Anmeldung als der Benutzer, dessen Passwort ge�ndert wurde, ein Anmeldefehler zur�ckgegeben, nach dem kein Profil vorhanden ist.
Umgehung:
Keine.
Inkompatibilit�t f�r Access Manager-Standardkonfiguration des Statistikdienstes im (kompatiblen) Legacy-Modus (6286628)
Nach der Installation mit Access Manager im Legacy-Modus hat sich die Standardkonfiguration f�r den Statistikdienst ge�ndert:
- Der Dienst ist per Voreinstellung aktiviert (com.iplanet.services.stats.state=file). Vor der Installation war der Dienst deaktiviert.
- Das Standardintervall (com.iplanet.am.stats.interval) wurde von 3600 in 60 ge�ndert.
- Das standardm��ige stats-Verzeichnis (com.iplanet.services.stats.directory) wurde ge�ndert (vormals /var/opt/sun/identity/debug to /var/opt/sun/identity/stats).
Umgehung:
Keine.
Attributeindeutigkeit in Top-Level-Organisation f�r Namensattribute nicht gegeben (6204537)
Melden Sie sich nach der Installation von Access Manager als amadmin an, und f�gen Sie die Attribute o, sunPreferredDomain, associatedDomain, sunOrganizationAlias, uid und mail zur Liste der eindeutigen Attribute hinzu. Wenn Sie zwei neue Organisationen mit identischen Namen erstellen, schl�gt die Operation fehl. Access Manager zeigt jedoch anstelle der erwarteten Fehlermeldung zur Verletzung der Eindeutigkeit eine Meldung an, nach der die Organisation bereits vorhanden ist.
Umgehung:
Keine. Ignorieren Sie die falsche Meldung. Access Manager funktioniert ordnungsgem��.
Sitzungs- und SSO-Probleme
Access Manager-Instanzen f�r unterschiedliche Zeitzonen f�hren zu Timeouts anderer Benutzersitzungen (6323639)
Access Manager-Instanzen, die �ber unterschiedliche Zeitzonen hinweg installiert wurden und sich im selben Vertrauensbereich befinden, k�nnen zu Timeouts bei Benutzersitzungen f�hren.
Das System erzeugt ung�ltige Diensthostnamen, wenn ein Load Balancer mit SSL-Terminierung verwendet wird (6245660)
Wenn Access Manager mit Web Server als Webcontainer und einem Load Balancer mit SSL-Terminierung bereitgestellt wird, werden Clients nicht an die richtige Web Server-Seite weitergeleitet. Beim Klicken auf die Registerkarte "Sessions" (Sitzungen) in der Access Manager-Konsole wird ein Fehler zur�ckgegeben, da der Host ung�ltig ist.
Umgehung:
In den folgenden Beispielen �berwacht Web Server Port 3030. Der Load Balancer �berwacht Port 80 und leitet Anforderungen an Web Server um.
Bearbeiten Sie in der Datei web-server-instance-name/config/server.xml das Attribut servername gem�� der verwendeten Web Server-Version, damit dieses auf den Load Balancer verweist.
Bearbeiten Sie das Attribut servername f�r Web Server 6.1 Service Pack (SP) folgenderma�en:
Web Server 6.1 SP2 (oder h�her) kann einen Protokollwechsel von http auf https oder von https auf http vornehmen. Daher muss servername wie folgt bearbeitet werden:
Richtlinienprobleme
Das L�schen von dynamischen Attributen im Richtlinienkonfigurationsdienst f�hrt zu Problemen bei der Richtlinienbearbeitung (6299074)
Das L�schen von dynamischen Attributen im Richtlinienkonfigurationsdienst f�hrt im folgenden Szenario zu Problemen bei der Richtlinienbearbeitung:
- Erstellen Sie zwei dynamische Attribute im Richtlinienkonfigurationsdienst.
- Erstellen Sie eine Richtlinie, und w�hlen Sie die dynamischen Attribute (aus Schritt 1) im Response Provider aus.
- Entfernen Sie die dynamischen Attribute im Richtlinienkonfigurationsdienst, und erstellen Sie zwei weitere Attribute.
- Versuchen Sie, die in Schritt 2 erstellte Richtlinie zu bearbeiten.
Ergebnis: Es wird eine Fehlermeldung ausgegeben, nach der eine ung�ltige dynamische Eigenschaft gesetzt wurde. Es wurden per Voreinstellung keine Richtlinien in der Liste angezeigt. Nach einem Suchlauf werden die Richtlinien angezeigt, Sie k�nnen die vorhandenen Richtlinien jedoch weder bearbeiten noch l�schen, und es ist nicht m�glich, eine neue Richtlinie zu erstellen.
Umgehung:
Bevor Sie die dynamischen Attribute aus dem Richtlinienkonfigurationsdienst entfernen, entfernen Sie die Verweise auf diese Attribute aus den Richtlinien.
Probleme beim Serverstart
Debug-Fehler beim Access Manager-Start (6309274, 6308646)
Beim Start von Access Manager 7 2005Q4 wird ein Debug-Fehler in den Debug-Dateien amDelegation und amProfile zur�ckgegeben:
Umgehung: Keine. Sie k�nnen diese Meldungen ignorieren.
Verwenden von BEAWebLogic Server als Webcontainer
Wenn Sie Access Manager mit BEAWebLogic Server als Webcontainer bereitstellen, kann auf Access Manager m�glicherweise nicht zugegriffen werden.
Umgehung: Starten Sie WebLogic Server ein zweites Mal neu, damit auf Access Manager zugegriffen werden kann.
Federation- und SAML-Probleme
Federation schl�gt fehl, wenn das Artifact-Profil verwendet wird (6324056)
Wenn Sie einen Identity Provider (IDP) und einen Service Provider (SP) einrichten, das Kommunikationsprotokoll zur Verwendung des Browser-Artifact-Profils �ndern und anschlie�end versuchen, Benutzer zwischen IDP und SP zu verbinden, schl�gt der Federation-Vorgang fehl.
Umgehung:
Keine.
Sonderzeichen (&) in SAML-Anweisungen m�ssen codiert werden (6321128)
Bei Verwendung von Access Manager als Quell- und Ziel-Site und Einsatz von SSO tritt ein Fehler in der Ziel-Site auf, da die Sonderzeichen (&) in den SAML-Anweisungen nicht codiert sind und die Assertionspr�fung fehlschl�gt.
Umgehung:
Keine.
Ausnahmefehler bei dem Versuch, einer Rolle den Disco Service hinzuzuf�gen (6313437)
Wenn Sie im Access Manager versuchen, dem Disco Service ein Ressourcenangebot hinzuzuf�gen, wird eine unbekannte Ausnahme ausgegeben.
Umgehung:
Keine.
Auth Context-Attribute erst konfigurierbar, wenn andere Attribute konfiguriert und gespeichert wurden (6301338)
Auth Context-Attribute sind erst konfigurierbar, wenn Sie andere Attribute konfiguriert und gespeichert haben.
Umgehung:
Konfigurieren und speichern Sie ein Provider-Profil, bevor Sie die Auth Context-Attribute konfigurieren.
EP-Beispiel funktioniert nicht, wenn Root-Suffix das Zeichen "&" enth�lt (6300163)
Wenn Directory Server �ber ein Root-Suffix mit dem Zeichen "&" verf�gt und Sie versuchen, ein Employee Profile Service-Ressourcenangebot hinzuzuf�gen, wird eine Ausnahme ausgegeben.
Umgehung:
Keine.
Abmeldefehler bei Federation (6291744)
Wenn Sie im Realm-Modus Benutzerkonten auf einem Identity Provider (IDP) und Service Provider (SP) verbinden, den Federation-Vorgang beenden und sich anschlie�end abmelden, wird ein Fehler erzeugt: Fehler: Keine Unterorganisation gefunden.
Umgehung:
Keine.
Globalisierungsprobleme (G11N)
L�ndereinstellungen des Benutzers werden nicht auf die gesamte Administrationskonsole angewendet (6326734)
Teile der Access Manager-Administrationskonsole entsprechen nicht der L�ndereinstellung des Benutzers, sondern verwenden die L�ndereinstellung des Browsers. Dieses Problem betrifft die Schaltfl�chen f�r Version, Abmeldung und den Aufruf der Onlinehilfe sowie die Inhalte von Versionsanzeige und Onlinehilfe.
Umgehung:
�ndern Sie die Browsereinstellungen so ab, dass sie mit den Benutzereinstellungen �bereinstimmen.
Onlinehilfe steht f�r europ�ische Sprachen nicht vollst�ndig zur Verf�gung, wenn Access Manager auf IBM WebSphere bereitgestellt wird (6325024)
Die Onlinehilfe steht in allen europ�ischen L�ndereinstellungen (Spanisch, Deutsch und Franz�sisch) nicht vollst�ndig zur Verf�gung, wenn Access Manager auf einer IBM WebSphere Application Server-Instanz bereitgestellt wird. Die Onlinehilfe zeigt einen "Anwendungsfehler" f�r diese Frames:
Umgehung:
Legen Sie die Spracheinstellung des Browsers auf Englisch fest, und aktualisieren Sie die Seite, um auf den linken Frame zuzugreifen. F�r den oberen Frame wird weiterhin ein Anwendungsfehler angezeigt.
Versionsinformationen sind leer, wenn Access Manager auf IBM WebSphere bereitgestellt wird (6319796)
Wenn Access Manager auf einer IBM WebSphere Application Server-Instanz bereitgestellt wird, ist die Produktversion unabh�ngig von der L�ndereinstellung nicht sichtbar, wenn Sie auf die Schaltfl�che zur Anzeige von Versionsinformationen klicken. Stattdessen wird eine leere Seite angezeigt.
Umgehung:
Keine.
Entfernung von UTF-8-Zeichensatz funktioniert nicht in Clienterkennung (5028779)
Die Client-Erkennungsfunktion arbeitet nicht ordnungsgem��. �nderungen an der Access Manager 7 2005Q4-Konsole werden nicht automatisch an den Browser �bertragen.
Umgehung: Es gibt zwei M�glichkeiten zur Umgehung:
- F�hren Sie in der Access Manager-Konsole die folgenden Schritte aus:
- Klicken Sie unterhalb der Registerkarte Configuration (Konfiguration) auf Client Detection (Client-Erkennung).
- Klicken Sie auf den Link Edit (Bearbeiten) f�r genericHTML.
- Klicken Sie unterhalb der Registerkarte HTML auf den Link genericHTML.
- F�gen Sie in die Liste mit den Zeichens�tzen den folgenden Eintrag ein: UTF-8;q=0.5 (Stellen Sie sicher, dass der Faktor UTF-8 q niedriger ist als f�r die anderen Zeichens�tze Ihrer L�ndereinstellung.)
- Speichern Sie, melden Sie sich ab, und melden Sie sich erneut an.
Multibyte-Zeichen werden in Protokolldateien als Fragezeichen angezeigt (5014120)
Multibyte-Meldungen in Protokolldateien im Verzeichnis /var/opt/sun/identitiy/logs werden als Fragezeichen (?) angezeigt. Protokolldateien werden nicht immer in UTF-8, sondern in der systemeigenen Codierung gespeichert. Wenn eine Webcontainerinstanz in einer bestimmten L�ndereinstellung gestartet wird, werden die Protokolldateien in der systemeigenen Codierung f�r diese L�ndereinstellung gespeichert. Wenn Sie auf eine andere L�ndereinstellung wechseln und die Webcontainerinstanz neu starten, werden neue Meldungen in der systemeigenen Codierung f�r die aktuelle L�ndereinstellung, Meldungen mit der vorherigen Codierung werden jedoch als Fragezeichen angezeigt.
Umgehung:
Stellen Sie sicher, dass Webcontainerinstanzen immer mit derselben systemeigenen Codierung gestartet werden.
Dokumentationsprobleme
Serverseitige Eigenschaft com.iplanet.am.session.client.polling.enable darf nicht auf "true" gesetzt werden (6320475)
Die Eigenschaft com.iplanet.am.session.client.polling.enable in der Datei AMConfig.properties darf auf Serverseite nicht auf true gesetzt werden.
Umgehung:
Diese Eigenschaft ist per Voreinstellung auf false gesetzt und darf nicht in true ge�ndert werden.
Standardm��iger URL bei erfolgreicher Authentifizierung in der Konsolen-Onlinehilfe falsch dokumentiert (6296751)
Der Standard-URL bei erfolgreicher Authentifizierung ist in der Onlinehilfedatei service.scserviceprofile.iplanetamauthservice.html falsch dokumentiert. Das Feld "Default Success URL" (Standardm��iger Erfolgs-URL) akzeptiert eine aus mehrereren Werten bestehende Liste, die den URL angibt, auf den Benutzer nach einer erfolgreichen Authentifizierung umgeleitet werden. Das Format f�r dieses Attribut lautet clientType|URL, wenngleich Sie auch nur den URL-Wert angeben k�nnen, was den Standardtyp HTML voraussetzt.
Der Standardwert "/amconsole" ist falsch.
Umgehung:
Der richtige Standardwert lautet "/amserver/console".
Dateien f�r NeuverteilungSun Java System Access Manager 6 2005Q4 enth�lt keine Dateien f�r die Neuverteilung.
Problemmeldungen und FeedbackWenn Sie mit Sun Java System Access Manager Probleme haben, wenden Sie sich an den Kundensupport von Sun. Dazu stehen Ihnen folgende M�glichkeiten zur Verf�gung:
- Sun-Softwaresupport unter
http://www.sun.com/service/sunone/softwareDamit wir Sie optimal beraten k�nnen, halten Sie bitte die folgenden Informationen bereit, wenn Sie sich an den Kundensupport wenden:
- Beschreibung des Problems einschlie�lich der Situation, in der das Problem auftrat, sowie seine Auswirkungen auf Ihre Arbeit.
- Rechnertyp, Betriebssystem- und Produktversion einschlie�lich s�mtlicher Patches und anderer Software, die mit dem Problem in Zusammenhang stehen k�nnen.
- Detaillierte Schritte zu den von Ihnen f�r die Reproduktion des Problems verwendeten Methoden.
- S�mtliche Fehlerprotokolle oder Kernspeicherausz�ge.
Kommentare sind willkommen
Sun ist daran interessiert, seine Dokumentation zu verbessern und freut sich auf Ihre Kommentare und Vorschl�ge.
Wenn Sie uns Ihre Kommentare mitteilen m�chten, gehen Sie zu http://docs.sun.com, und klicken Sie auf Kommentare senden. Geben Sie im Onlineformular den Dokumenttitel und die Teilenummer an. Die Teilenummer ist eine 7-stellige oder 9-stellige Zahl, die Sie auf der Titelseite des Handbuchs oder am Anfang des Dokuments finden.
Weitere Sun-RessourcenN�tzliche Ressourcen zu Sun Java System finden Sie unter den folgenden Internetadressen:
- Sun Java System Dokumentation
http://docs.sun.com/prod/entsys.05q4- Sun Java System-Services
http://www.sun.com/service/products/software/javaenterprisesystem/- Sun Java System-Softwareprodukte und -Services
http://www.sun.com/software/- Sun Java System-Softwaresupport
http://www.sun.com/support/- Sun Java System-Support und Knowledge Base
http://sunsolve.sun.com- Sun Java System-Consulting und -Services
http://www.sun.com/service/products/software/javaenterprisesystem- Sun Java System-Informationen f�r Entwickler
http://developers.sun.com/- Sun-Entwicklersupport
http://www.sun.com/developers/support
Copyright � 2006 Sun Microsystems, Inc. Alle Rechte vorbehalten.
Sun Microsystems, Inc., hat Rechte in Bezug auf geistiges Eigentum an der Technologie, die in dem in diesem Dokument beschriebenen Produkt enthalten ist. Im Besonderen und ohne Einschr�nkung umfassen diese Anspr�che in Bezug auf geistiges Eigentum eines oder mehrere der unter http://www.sun.com/patents aufgef�hrten US-Patente und eines oder mehrere Patente oder Anwendungen mit laufendem Patent in den USA und in anderen L�ndern.
VON SUN URHEBERRECHTLICH GESCH�TZT/VERTRAULICH.
Rechte der US-Regierung – Kommerzielle Software. Regierungsbenutzer unterliegen der standardm��igen Lizenzvereinbarung von Sun Microsystems, Inc., sowie den anwendbaren Bestimmungen der FAR und ihrer Zus�tze.
Die Verwendung unterliegt den Lizenzbestimmungen.
Diese Ausgabe kann von Drittanbietern entwickelte Bestandteile enthalten.
Teile dieses Produkts wurden m�glicherweise von Berkeley BSD-Systemen abgeleitet, die durch die University of California lizenziert wurden.
Sun, Sun Microsystems, das Sun-Logo, Java und Solaris sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen L�ndern. S�mtliche SPARC-Marken werden unter Lizenz verwendet und sind Marken oder eingetragene Marken von SPARC International Inc. in den Vereinigten Staaten und anderen L�ndern.
Copyright � 2006 Sun Microsystems, Inc. Tous droits r�serv�s.
Sun Microsystems, Inc. d�tient les droits de propri�t� intellectuels relatifs � la technologie incorpor�e dans le produit qui est d�crit dans ce document. En particulier, et ce sans limitation, ces droits de propri�t� intellectuelle peuvent inclure un ou plus des brevets am�ricains list�s � l'adresse http://www.sun.com/patents et un ou les brevets suppl�mentaires ou les applications de brevet en attente aux Etats - Unis et dans les autres pays.
Propri�t� de SUN/CONFIDENTIEL.
L'utilisation est soumise aux termes du contrat de licence.
Cette distribution peut comprendre des composants d�velopp�s par des tierces parties.
Des parties de ce produit pourront �tre d�riv�es des syst�mes Berkeley BSD licenci�s par l'Universit� de Californie.
Sun, Sun Microsystems, le logo Sun, Java et Solaris sont des marques de fabrique ou des marques d�pos�es de Sun Microsystems, Inc. aux Etats-Unis et dans d'autres pays.
Toutes les marques SPARC sont utilis�es sous licence et sont des marques de fabrique ou des marques d�pos�es de SPARC International, Inc. aux Etats-Unis et dans d'autres pays.