Sun Java System Identity Installation Pack 2005Q4M3 SP4 Notas de la versión |
Identity Installation Pack 2005Q4M3 Funciones de SP4
Antes de instalar o actualizar el software Sun Java™ System Identity Installation Pack, consulte la sección “Notas de instalación y actualización” en las notas de la versión y cualquier documentación suministrada con el paquete de servicios más reciente de Identity Manager 2005Q4M3.
Funciones nuevas y defectos corregidos en esta versiónEn esta sección se proporciona un resumen y detalles de las nuevas funciones de Identity Installation Pack 2005Q4M3 SP4. Consulte los detalles en las secciones correspondientes de este capítulo.
Interfaz de administrador
- Al visualizar las Tareas del servidor, la columna Hora de inicio de la ficha Todas las tareas se ordenará ahora cronológicamente de forma correcta. Anteriormente, la columna Hora de inicio no se ordenaba correctamente. (ID-16783)
- Al realizar una búsqueda de usuario en la ficha Listar cuentas (Cuentas > Listar cuentas), la función de búsqueda enumerará ahora los usuarios solamente una vez por organización. Anteriormente, el mismo usuario aparecía varias veces por organización en los resultados de búsqueda. (ID-16795)
También: consulte la sección Problemas detectados con respecto a un determinado problema con la tabla de árbol de cuentas de la ficha Listar cuentas.
- Al realizar una búsqueda por usuario en la tabla de árbol de cuentas, el atributo de administrador del usuario devuelto muestra ahora el nombre completo del administrador. Anteriormente, sólo se mostraba el ID del administrador. (ID-14645)
- La columna Estado de la página Modificar resultados de contraseña de usuario se ha eliminado. Además, la columna Estado se ha eliminado de estas páginas: Resultados de Cambiar las respuestas, Change All Results (Cambiar todos los resultados) y Resultados del cambio de contraseña. La columna Estado no mostraba ninguna información y no tenía ninguna finalidad. (ID-16889)
- Es posible borrar el valor del tipo de campo DatePicker en los formularios. (ID-17022)
- Ahora la tabla Pendiente de aprobación se puede ordenar. Anteriormente, los usuarios con aprobaciones pendientes no podían ordenar esta tabla. En su lugar, aparecía el mensaje “No se puede obtener la página de resultados, ninguna ID de tarea o resultado”. (ID-17304)
- El componente de presentación de texto ahora indica autocomplete="off" en los campos de entrada donde la propiedad de presentación autocomplete se ha configurado en off. (Si se configura autocomplete en off, se impide que los navegadores inviten a almacenar las credenciales del usuario en el equipo.)
Esta personalización se puede efectuar en XPRESS agregando la propiedad de presentación. Con un valor distinto a off se impide que se suministre el atributo autocomplete (lo que equivale a no definir la propiedad). (ID-17045)
- Se ha detectado y corregido una vulnerabilidad de secuencia de comandos entre sitios en las páginas siguientes (ID-17241):
Auditoría
Sincronización de contraseña
- Debido a un cambio de comportamiento introducido en Microsoft Windows Server 2003 SP2, ha sido necesario realizar un cambio en el DLL PasswordSync de Identity Manager (lhpwic.dll). En SP2, las notificaciones de cambio de contraseña enviadas de Windows a PasswordSync pueden incluir datos de cuentas de equipo con un formato incorrecto. Esto puede provocar que PasswordSync devuelva una excepción. Finalmente, también puede provocar que el componente Local Security Authority Subsystem (LSASS) de Microsoft se bloquee, por lo que será necesario reiniciar el controlador de dominio.
Puesto que PasswordSync no procesa datos de cuentas de equipo (sólo se procesan cuentas de usuario), el DLL PasswordSync se ha actualizado para descartar todas las notificaciones de cambio de cuentas de equipo en cuanto se reciben.
Las cuentas de equipo Windows finalizan con el símbolo del dólar “$”. Por tanto, tenga en cuenta que PasswordSync no procesará ninguna cuenta que finalice con el símbolo $, incluidas las cuentas de usuario que puedan finalizar con el símbolo $. (ID-17245)
- Se ha actualizado el registro de seguimiento de PasswordSync. Cuando PasswordSync/JMS envía una notificación de cambio de contraseña de Windows Active Directory a Identity Manager y el usuario no existe en Identity Manager, el registro de seguimiento registrará ahora el mensaje correspondiente. Anteriormente, en estas circunstancias PasswordSync devolvía una excepción de puntero nulo sin ninguna explicación. (ID-16920)
- Al iniciarse un controlador de dominio Active Directory en el modo “Directory Service Restore”, ya no se producirá un ciclo de reinicio continuo si PasswordSync (lhpwic.dll) se bloquea. (ID-16695)
- PasswordSync se ha actualizado para impedir que se produzcan errores de falta de identificador en controladores de dominio Active Directory que ejecuten PasswordSync (lhpwic.dll). Cuando se actualizan cuentas de equipo en un dominio, el controlador de dominio envía incorrectamente una notificación de actualización de contraseña al DLL PasswordSync de Identity Manager. En consecuencia, el DLL no cerraba correctamente los identificadores de búsqueda. (ID-16495)
También: se ha solucionado un problema de PasswordSync que provocaba pérdidas de identificador. (ID-16827)
- Una nueva entrada de registro de Windows generará un archivo de volcado si el DLL PasswordSync devuelve una excepción.
Nombre clave: dumpFilebase
Tipo: REG_SZ
Esta clave se debe añadir a los controladores de dominio Windows que ejecuten PasswordSync. La clave de registro se debe definir en la ruta de directorio completamente calificada en la que se debe escribir el volcado de memoria, por ejemplo: c:\temp
Si se define el valor de registro, el volcado de memoria se escribirá cada vez que se produzca una excepción durante el procesamiento de la contraseña.
Nota: En Windows 2000 server (cualquier paquete de servicios), también debe instalar en el directorio configurado DbgHelp.dll, que proporciona Microsoft. La versión mínima de este archivo debe ser 5.1. Descargue este archivo aquí:
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
Si no se instala el archivo DbgHelp.dll, no se generarán volcados en Windows 2000.
Los nombres de los archivos de volcado tendrán el siguiente formato:
lhpwic-AAAAMMDD-HHmm-xxxxx.dmp
Con este nombre, AAAAMMDD corresponderá a la fecha del volcado, HHmm será la hora del volcado (formato de 24 horas) y xxxxx será el número de subprocesos de la aplicación.
Tenga en cuenta que es necesario eliminar manualmente los archivos de volcado. El tamaño de estos archivos puede variar entre 20 MB y más de 100 MB, en función del tamaño del proceso de Local Security Authority Subsystem (LSASS) de Windows. Con el paso del tiempo, los sistemas con espacio de disco limitado podrían llenarse si no se eliminan estos archivos de volcado. (ID-17552)
Reconciliación
Informes
- Los siguientes eventos se incluirán ahora en los informes de registro de auditoría, tal como el “Informe de actividad de hoy”:
- Intentar crear un usuario con un ID de usuario o contraseña inexistente
- Intentar crear un usuario con un rol inexistente (así como intentar asignar un rol inexistente a un usuario existente)
- Intentar crear un usuario que infrinja la directiva de ID de cuenta
- Intentar crear un usuario asignado con un recurso inaccesible (así como intentar asignar un recurso inaccesible a un usuario existente)
- Intentar eliminar usuarios inexistentes
Estos eventos se escribirán también en el registro del sistema.
Anteriormente, los intentos fallidos de crear y eliminar usuarios sólo se escribían en el registro del sistema. (ID-13284)
- Identity Manager ahora admite el tipo de datos CLOB para acctAttrChanges cuando se utiliza una base de datos Oracle como repositorio de Identity Manager.
La ventaja de utilizar CLOB (en lugar del tipo de datos predeterminado VARCHAR(4000)) es que permite registrar muchos más cambios; sin embargo, también dificulta la consulta de esta columna debido a la naturaleza propietaria de las rutinas de acceso de CLOB.
Para habilitar conjuntos de cambios más amplios, debe cambiar el tipo de columna log.acctAttrChanges a CLOB (desde VARCHAR(4000)) y ajustar como corresponde el atributo maxLogAcctAttrChangesLength del objeto de configuración RepositoryConfiguration. (ID-15326)
Recursos
- Debido al adaptador de recursos Solaris, los usuarios deben cambiar ahora sus contraseñas en el siguiente inicio de sesión. Para habilitar esta función, añada expirePassword a la columna de atributos de usuario de Identity System del mapa de esquema y force_change a la columna de atributos de usuario de recurso. Este tipo de atributo se debe definir como cadena. (ID-17032, ID -17146)
- El adaptador de recursos de Oracle se ha actualizado para proporcionar un mensaje de error más detallado cuando el adaptador no pueda añadir, modificar o eliminar una responsabilidad de usuario. El adaptador incluye ahora la responsabilidad que no podía actualizar. (ID-16656)
- El adaptador de recursos de Sun Access Manager puede conectarse ahora a Access Manager en el modo SSL. Anteriormente, al comprobar la configuración del adaptador de recursos, los administradores recibían un error de imposibilidad de crear AuthContext (“AuthContext cannot be created”). (ID-16454)
- La puerta de enlace ADSI de Microsoft se ha actualizado. Si se utiliza un recurso de Active Directory para autenticar un usuario que inicie sesión en Identity Manager, la UI de Identity Manager solicitará ahora al usuario cambiar su contraseña si la contraseña de Windows del usuario ha caducado. Antes, el usuario sencillamente recibía un mensaje de error indicando que su contraseña había caducado. (ID-16681)
- Ha cambiado el tipo de acceso a los servidores de Remedy. La puerta de enlace ya no depende de la versión 4.5 de las bibliotecas de API de Remedy. Los clientes deberán situar ahora las bibliotecas de Remedy en el directorio de la puerta de enlace. Estas bibliotecas se hallan en el servidor de Remedy. (ID-17361, ID-16551)
- Con este paquete de servicios, Identity Manager es compatible con las versiones 6.3 y 7.0 de Remedy. Sin embargo, entre estas versiones existen abundantes diferencias fundamentales en cuanto a datos de ejemplo, valores predeterminados y configuración inmediata. Por ejemplo, el esquema “ticket” se denomina HPD:HelpDesk en la versión 6.3, mientras que en la 7.0 se ha cambiado a HPD:Help Desk. (ID-17361, ID-14611)
- Al configurar un recurso de Active Directory, ahora es posible especificar un dominio en la sección de propiedades de autenticación de recursos. Los administradores deben especificar un dominio en entornos multidominio o de bosques para que los inicios de sesión sólo se autentiquen según el dominio de Active Directory correcto. Si no se especifica un dominio, el usuario puede bloquearse tras sólo un intento fallido de inicio de sesión. Esto se debe a que el usuario puede recibir un fallo de contraseña por cada dominio que comparta una relación de confianza con el dominio principal. (ID-16603)
- Se ha solucionado un problema que existía con el adaptador de recursos de SecurId Unix. Antes de solucionarlo, un cambio en el nombre o el apellido del usuario provocaba que los grupos del usuario se eliminaran del recurso de SecurId. (ID-16914)
Programador
- El Programador se ha actualizado para suprimir la salida de la entrada de SystemLog (syslog) ‘EVNT00’, LockedByAnother. En entornos en clúster, este mensaje de error se enviaba al registro demasiadas veces. (ID-15714)
- El Programador se ha actualizado para reducir la posibilidad de que dos instancias de Identity Manager ejecuten a la vez el mismo flujo de trabajo. Antes de esta actualización, los entornos en clúster con varios Programadores que utilizaban todos ellos el mismo repositorio eran vulnerables a este problema. (ID-16500)
Otros problemas corregidos
16382
Problemas detectados
- La tabla de árbol de cuentas de la ficha Listar cuentas (Cuentas > Listar cuentas) no muestra la columna Manager. (Sólo aparecen las columnas Nombre, Apellido y Nombre.)
Para corregir este problema, utilice el editor de procesos de negocio para editar el objeto de configuración UserUIConfig.
Localice el elemento <AppletColumns> e introduzca el siguiente couplet XML al final de la lista:
<Object name='idmManager'>
<Attribute name='label' value='UI_ATTR_MANAGER'/>
</Object>
Guarde los cambios y reinicie el servidor de aplicaciones. (ID-17710)
- En la interfaz de administrador, la única forma de cancelar una delegación enviada (Aprobaciones > Delegar mis aprobaciones) es definiendo la misma Fecha final y Fecha de inicio (o una fecha pasada). (ID-16790, ID-16799)
- El visualizador TaskScheduleViewer no formatea la fecha de inicio con el mismo formato necesario para la entrada. En consecuencia, debe corregir la fecha de inicio al editar un programa de tareas. (ID-5675)
- De forma predeterminada, cuando un usuario introduce una respuesta a una pregunta de autenticación, los caracteres se enmascaran con asteriscos (*). No obstante, esta práctica inhabilita la capacidad de ciertos editores de métodos de entrada (IME) para crear caracteres complejos, tales como los utilizados en japonés kanji.
Para que los usuarios puedan utilizar un IME a fin de responder a preguntas de autenticación, utilice la página de depuración para cambiar el valor de la propiedad secret a false en el formulario de usuario de inicio de sesión con preguntas.
<Property name='secret' value='false'/>
Nota: La definición de este valor como “false” supone un riesgo de seguridad, ya que las respuestas a las preguntas de autenticación se podrán leer en la pantalla. Aún así, las respuestas se guardan cifradas. (ID-7424)
- Algunas de las opciones de configuración que aparecen en la interfaz del administrador de Identity Manager no se utilizan con Identity Manager SPE. (ID-10843). Entre ellas se encuentran:
- FireFox 1.5 no muestra correctamente algunos formularios de Identity Manager. Por ejemplo, en el formulario de usuario con fichas, el explorador no ajusta las etiquetas, por lo que todos los elementos se desplazan a la derecha. (ID-13109)
- La casilla de verificación “Report only users whose user name” aparece enumerada dos veces en los informes de usuario y de preguntas de usuario. Una casilla de verificación dispone de I-help, mientras que la otra no. Cualquiera de las casillas de verificación devolverá los datos correctos al utilizarse individualmente. (ID-13155)
- Si se produce un error HTTP Status 500 al conectarse a las páginas de usuario final SPE, ello podría indicar que hay múltiples claves de cifrado en la configuración de SPE. Esto podría estar provocado por generarse una nueva en Identity Manager durante el proceso de actualización.
La solución es eliminar las claves de cifrado (EncryptionKeys) del directorio de configuración de SPE y volver a exportarlas desde Identity Manager. (ID-13162)
- Una vez definido un valor para un atributo de correo electrónico de un usuario, no se podrá eliminar. El valor se puede cambiar, pero no se puede volver a definir como nulo. (ID-13164)
- Si modifica un formulario de roles para cambiar el valor de la variable showSuperAndSubRoles de 0 a 1 y luego importa un archivo de definición de súper roles que contenga los subroles existentes mediante la ficha Configurar, los subroles no se modificarán para incluir la sección <SuperRoles>. Sin embargo, si utiliza la interfaz gráfica de usuario de Identity Manager para crear un súper rol, los subroles asociados al súper rol se actualizarán. (ID-15053)
Este problema puede producirse con roles creados fuera de Identity Manager que hacen referencia a roles (subroles o súper roles) existentes en el sistema.
Cuando se importan estos roles, los existentes no se actualizan para reflejar la nueva relación; por ejemplo, no se mantiene la integridad referencial. Utilice RoleUpdater para comprobar y corregir la integridad referencial cuando importe roles de esta manera.
Solución: Consulte ID-15482, descrito en “Roles”.
- Las características de bloqueo de Microsoft SQL Server 2000 pueden dar lugar a errores de bloqueo en Identity Manager cuando se dan determinadas condiciones de sobrecarga. (ID-16068)
Solución: Actualice Microsoft SQL Server 2000 a Microsoft SQL Server 2005 utilizando un modo nativo.
Se ha probado el funcionamiento de Microsoft SQL Server 2005 (que incluye una función nueva denominada Snapshot Isolation) con Identity Manager en condiciones de sobrecarga y no presenta los mismos problemas de bloqueo que SQL Server 2000.
Algunos usuarios han descubierto que es conveniente modificar la base de datos para utilizar la opción READ_COMMITTED_SNAPSHOT de la siguiente forma:
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- Por problemas de interoperabilidad entre los orígenes de datos de WebSphere y los controladores Oracle JDBC, los clientes de Oracle que deseen utilizar un origen de datos de WebSphere con Identity Manager deben usar Oracle 10g R2 y el correspondiente controlador JDBC. (El controlador Oracle 9 JDBC no funciona con un origen de datos de WebSphere e Identity Manager.) Si tiene una versión de Oracle anterior a 10g R2 y no puede actualizar a 10g R2, configure el repositorio de Identity Manager de manera que se conecte a la base de datos de Oracle mediante un controlador administrador JDBC de Oracle (no un origen de datos de WebSphere). (ID-16167)
Para obtener más información, consulte la URL siguiente:
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- Algunas palabras de la ficha de la pantalla “Editar usuario” pueden ajustarse en el modo de varios idiomas. (ID-16054)
Solución: Para asegurarse de que las palabras mostradas en las fichas no se ajusten, agregue lo siguiente a $WSHOME/styles/customStyle.css:
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}