Notes de version de Sun Java System Identity Installation Pack 2005Q4M3 SP4 |
Identity Installation Pack 2005Q4M3 SP4 - Fonctions
Avant d’installer ou de mettre à niveau le logiciel Sun Java™ System Identity Installation Pack, consultez la section « Remarques sur l’installation et la mise à jour » ainsi que toute la documentation fournie avec le service pack Identity Manager 2005Q4M3 le plus récent.
Nouveautés et défauts corrigés dans cette versionCette section résume puis détaille les nouveautés d’Identity Installation Pack 2005Q4M3 SP4. Pour de plus amples détails, reportez-vous aux différentes sections de ce chapitre.
Interface administrateur
- Lorsque vous affichez Tâches du serveur, la colonne Heure de début sous l’onglet Toutes les tâches permet dorénavant de trier les éléments selon un ordre chronologique correct. Dans les versions antérieures, la colonne Heure de début triait mal les éléments. (ID-16783)
- Lors d’une recherche d’utilisateurs effectuée sur l’onglet Liste des comptes (Comptes > Liste des comptes), la fonction de recherche affiche désormais les utilisateurs une seule fois par organisation. Dans les versions antérieures, le même utilisateur figurait à plusieurs reprises dans les résultats de la recherche par organisation. (ID-16795)
Voir également : la section Problèmes connus concernant un problème distinct relatif à la table de l’arborescence des comptes disponible sous l’onglet Liste des comptes.
- Lors des recherches par utilisateur effectuées dans la table de l’arborescence des comptes, l’attribut du responsable de l’utilisateur retourné affiche désormais le nom complet de la personne. Dans les versions antérieures, seul l’ID du responsable de l’employé s’affichait. (ID-14645)
- La colonne Statut de la page Résultats du changement de mot de passe utilisateur a été supprimée. Elle a également été supprimée des pages suivantes : Changer les résultats des réponses, Changer tous les résultats et Résultats du changement de mot de passe. La colonne Statut n’affichait pas de données et n’avait pas d’intérêt particulier. (ID-16889)
- Vous pouvez désormais effacer la valeur de type de champ DatePicker sur les formulaires. (ID-17022)
- Le tri de la table Approbation en cours fonctionne à présent. Dans les versions antérieures, un utilisateur doté d’approbations en attente ne pouvait pas trier cette table. Le message « Impossible de formater la page des résultats, aucune ID et aucun résultat de tâche » s’affichait à la place. (ID-17304)
- Le composant d’affichage de texte permet dorénavant de générer le rendu autocomplete="off" sur des champs d’entrée pour lesquels la propriété d’affichage autocomplete a été définie sur off. (La définition de la propriété autocomplete sur off empêche les navigateurs de proposer le stockage des informations d’identification de l’utilisateur sur leur ordinateur.)
Vous pouvez effectuer cette personnalisation dans XPRESS en ajoutant la propriété d’affichage. L’utilisation de toute autre valeur que off empêche la génération de l’attribut de remplissage automatique (autocomplete) (ce qui revient à ne pas définir du tout la propriété). (ID-17045)
- Une vulnérabilité de script intersite a été identifiée et corrigée dans les pages suivantes (ID-17241) :
Audit
Synchronisation des mots de passe
- Un changement de comportement introduit dans Microsoft Windows Server 2003 SP2 a nécessité la modification de la DLL PasswordSync d’Identity Manager (lhpwic.dll). Dans SP2, les notifications de changement de mot de passe envoyées par Windows à PasswordSync peuvent contenir des données de comptes d’ordinateur mal formatées. Cela peut entraîner PasswordSync à émettre une exception. Enfin, cela peut provoquer le blocage du composant LSASS (Local Security Authority Subsystem) de Microsoft, ce qui entraîne le redémarrage du contrôleur de domaine.
Comme les données de comptes d’ordinateur ne sont pas traitées par PasswordSync (seuls les comptes utilisateur sont traités), la DLL PasswordSync a été mise à jour de manière à ignorer toutes les notifications de changement de comptes d’ordinateur dès leur réception.
Les comptes d’ordinateur Windows se terminent par un symbole de dollar américain ($). Par conséquent, vous noterez que PasswordSync ne traitera aucun compte se terminant par un signe $, y compris les comptes utilisateur qui le feraient. (ID-17245)
- Le journal de suivi de PasswordSync a été mis à jour. Lorsque PasswordSync/JMS transmet à Identity Manager une notification de changement de mot de passe provenant de Windows Active Directory et que l’utilisateur n’existe pas dans Identity Manager, le journal de suivi enregistre maintenant un message approprié. Dans les versions antérieures, dans les mêmes circonstances, PasswordSync émettait une exception de pointeur nul sans fournir d’explication. (ID-16920)
- L’initialisation d’un contrôleur de domaine Active Directory en mode « Directory Service Restore » n’entraîne plus de cycle de réinitialisation continu en cas de blocage de PasswordSync (lhpwic.dll). (ID-16695)
- PasswordSync a été mis à jour de manière à empêcher les erreurs « ingérables » survenant sur les contrôleurs de domaine Active Directory exécutant PasswordSync (lhpwic.dll). Lorsque des comptes d’ordinateur sont mis à jour dans un domaine, le contrôleur de domaine envoie de manière erronée une notification de mise à jour de mot de passe à la DLL PasswordSync d’Identity Manager. Par conséquent, la DLL ne ferme pas correctement les identificateurs de recherche. (ID-16495)
Voir également : un autre problème relatif à PasswordSync causant des fuites d’identificateurs a été résolu. (ID-16827)
- Une nouvelle entrée de registre Windows génère un fichier de vidage (dump) si la DLL PasswordSync émet une exception.
Nom de la clé : dumpFilebase
Type : REG_SZ
Cette clé devrait être ajoutée aux contrôleurs de domaine Windows exécutant PasswordSync. Normalement, la clé de registre doit être définie sur le chemin d’accès complet au répertoire où le vidage de la mémoire sera écrit, par exemple : c:\temp.
Si la valeur du registre est définie, chaque fois qu’une exception est détectée lors du traitement des mots de passe, le vidage de mémoire est écrit.
Remarque : sur le serveur Windows 2000 (avec n’importe quel Service Pack), vous devez également procéder à l’installation dans le répertoire configuré DbgHelp.dll, disponible auprès de Microsoft. La version minimale requise de ce fichier est la 5.1. Téléchargez ce fichier à l’adresse :
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
Si le fichier DbgHelp.dll n’est pas installé, aucun vidage ne sera généré sous Windows 2000.
Les fichiers dump sont nommés suivant ce format :
lhpwic-AAAAMMJJ-HHmm-xxxxx.dmp
Dans ce nom, AAAAMMJJ correspond à la date du fichier dump, HHmm à l’heure du fichier dump (au format 24 h) et xxxxx au numéro de thread de l’application.
Vous noterez que les fichiers dump doivent être supprimés manuellement. La taille de ces fichiers peut aller de 20 Mo à plus de 100 Mo, selon la taille du processus LSASS Windows. Au fil du temps, les systèmes dotés d’un espace disque limité peuvent saturer si vous ne supprimez jamais ces fichiers dump. (ID-17552)
Réconciliation
Rapports
- Les événements suivants seront désormais inclus dans les rapports du journal d’audit, notamment le rapport d’activité du jour :
- Tentatives de création d’un utilisateur doté d’un ID utilisateur ou d’un mot de passe manquant
- Tentatives de création d’un utilisateur doté d’un rôle inexistant (de même que les tentatives d’assignation d’un rôle inexistant à un utilisateur existant)
- Tentatives de création d’un utilisateur violant la stratégie d’ID de compte
- Tentatives de création d’un utilisateur auquel une ressource non accessible est assignée (de même que les tentatives d’assignation d’une ressource non accessible à un utilisateur existant)
- Tentatives de suppression d’utilisateurs inexistants
Ces événements seront également consignés dans le journal système.
Dans les versions antérieures, les tentatives infructueuses de création et de suppression d’utilisateurs étaient uniquement consignées dans le journal système. (ID-13284)
- Identity Manager prend désormais en charge le type de données CLOB pour acctAttrChanges lorsqu’une base de données Oracle est utilisée comme référentiel d’Identity Manager.
L’avantage de l’utilisation de CLOB (à la place du type de données par défaut VARCHAR(4000)) est que cette solution autorise la consignation d’un ensemble de changements bien plus important ; cela rend cependant cette colonne plus difficile à interroger à cause de la nature propriétaire des routines d’accès de CLOB.
Pour autoriser un ensemble de changements plus important, vous devez remplacer le type de colonne log.acctAttrChanges par CLOB (depuis VARCHAR(4000)) et ajuster en conséquence l’attribut maxLogAcctAttrChangesLength de l’objet de configuration RepositoryConfiguration. (ID-15326)
Ressources
- L’adaptateur de ressources Solaris oblige dorénavant les utilisateurs à changer leurs mots de passe lors de la connexion suivante. Pour activer cette fonction, ajoutez expirePassword à la colonne Attribut utilisateur Identity System de la carte schématique et force_change à la colonne Attribut d’utilisateur de ressources. Cet attribut doit être défini sur le type chaîne. (ID-17032, ID-17146)
- L’adaptateur de ressources Oracle a été mis à jour afin de fournir un message d’erreur plus détaillé dans l’éventualité où il pourrait pas ajouter, modifier ou supprimer une responsabilité utilisateur. L’adaptateur dresse désormais la liste des responsabilités qu’il n’a pas pu mettre à jour. (ID-16656)
- L’adaptateur de ressources Sun Access Manager peut désormais se connecter à Access Manager en mode SSL. Dans les versions antérieures, lors du test de la configuration de l’adaptateur de ressources, les administrateurs recevaient une erreur du type « Impossible de créer AuthContext ». (ID-16454)
- La passerelle Microsoft ADSI a été mise à jour. Si une ressource Active Directory est utilisée pour authentifier un utilisateur se connectant à Identity Manager, l’interface graphique d’Identity Manager invite désormais l’utilisateur à changer de mot de passe si son mot de passe Windows a expiré. Dans les versions antérieures, l’utilisateur recevait simplement un message d’erreur l’informant que son mot de passe était arrivé à échéance. (ID-16681)
- La prise en charge de l’accès aux serveurs Remedy a changé. La passerelle ne dépend plus de la version 4.5 des bibliothèques d’API Remedy. Les clients sont désormais obligés de placer les bibliothèques Remedy dans le répertoire de la passerelle. Ces bibliothèques sont disponibles sur le serveur Remedy. (ID-17361, ID-16551)
- Avec ce Service Pack, Identity Manager prend en charge les versions 6.3 et 7.0 de Remedy. Il existe toutefois de nombreuses différences conséquentes entre ces versions au niveau des exemples de données, des valeurs par défaut et de la configuration initiale. Par exemple, le nom du schéma « ticket » est HPD:HelpDesk dans la version 6.3 et HPD:Help Desk dans la 7.0. (ID-17361, ID-14611)
- Lors de la configuration d’une ressource Active Directory, il est désormais possible de spécifier un domaine dans la section des propriétés d’authentification des ressources. Les administrateurs doivent indiquer un domaine dans les environnements multidomaine ou forêts de sorte que seuls les identifiants de connexion soient authentifiés auprès du domaine Active Directory approprié. Si aucun domaine n’est spécifié, un utilisateur peut être bloqué après une seule tentative de connexion échouée. Cela s’explique par le fait que l’utilisateur peut recevoir un échec de mot de passe pour chacun des domaines partageant une relation de confiance avec le domaine principal. (ID-16603)
- Un problème relatif à l’adaptateur de ressources Unix SecurId a été résolu. Avant cette correction, une modification apportée au prénom ou au nom de famille d’un utilisateur entraînait la suppression des groupes auxquels appartenait l’utilisateur au sein de la ressource SecurId. (ID-16914)
Ordonnanceur
- L’ordonnanceur a été mis à jour de manière à masquer la sortie de l’entrée SystemLog (syslog) ‘EVNT00’, LockedByAnother. Dans les environnements clusterisés, ce message d’erreur était consigné dans le journal un nombre de fois trop élevé. (ID-15714)
- L’ordonnanceur a été mis à jour de manière à réduire les risques de voir deux instances d’Identity Manager exécutant simultanément le même flux de travaux. Avant cette mise à jour, les environnements clusterisés dotés de plusieurs ordonnanceurs utilisant le même référentiel étaient fragilisés par ce problème. (ID-16500)
Autres défauts corrigés
16382
Problèmes connus
- La table de l’arborescence des comptes disponible via l’onglet Liste des comptes (Comptes > Liste des comptes) n’affiche pas la colonne Responsable. (Seules les colonnes Nom, Nom de famille et Prénom sont visibles.)
Pour corriger ce problème, utilisez l’Éditeur de processus métier afin d’éditer l’objet de configuration UserUIConfig.
Localisez l’élément <AppletColumns> et insérez les lignes XML suivantes à la fin de la liste :
<Object name=‘idmManager’>
<Attribute name=‘label’ value=‘UI_ATTR_MANAGER’/>
</Object>
Enregistrez vos modifications et redémarrez le serveur d’application. (ID-17710)
- Dans l’interface administrateur, le seul moyen d’annuler une délégation envoyée (Approbations > Déléguer mes approbations) consiste à définir une date de fin identique à la date de début (ou à une date dépassée). (ID-16790, ID-16799)
- TaskScheduleViewer ne formate pas la date de début selon le format requis pour cette entrée. De ce fait, vous devez corriger la date de début lors de l’édition d’une programmation de tâche. (ID-5675)
- Par défaut, lorsqu’un utilisateur tape la réponse à une question d’authentification, les caractères sont remplacés par des astérisques (*). Toutefois, cette pratique désactive la capacité de certains éditeurs de méthode d’entrée (IME) de créer des caractères complexes, comme ceux utilisés en japonais kanji.
Pour permettre l’utilisation d’un IME pour répondre aux questions d’authentification, utilisez la page de débogage afin de modifier la valeur de la propriété secret sur false dans le formulaire utilisateur Question Login Form.
<Property name=‘secret’ value=‘false’/>
Remarque : la définition de cette valeur sur false présente un risque de sécurité, car les réponses aux questions d’authentification son désormais lisibles à l’écran. Les réponses sont toujours stockées sous forme chiffrée. (ID-7424)
- Certaines options de configuration disponibles dans l’interface administrateur d’Identity Manager ne sont pas utilisées avec Identity Manager SPE. (ID-10843). Il s’agit entre autres des suivantes :
- FireFox 1.5 n’affiche pas correctement certains formulaires d’Identity Manager. Par exemple, dans le formulaire Tabbed User, le navigateur n’intègre pas les étiquettes, ce qui a pour effet de décaler le tout vers la droite. (ID-13109)
- La case « Rapporter seulement les utilisateurs dont nom d’utilisateur » figure deux fois dans les rapports d’utilisateur et des questions utilisateur. L’une des cases possède I-help, mais pas l’autre. Les deux cases, utilisées individuellement, retournent les données correctes. (ID-13155)
- Si la journalisation dans les pages utilisateur final SPE produit une erreur HTTP Status 500, cela peut indiquer qu’il existe plusieurs clés de chiffrement dans la configuration SPE. Ceci peut être provoqué par la création d’une nouvelle dans Identity Manager pendant le processus de mise à niveau.
La solution consiste à supprimer les clés de chiffrement du répertoire de configuration SPE et de procéder à une nouvelle exportation à partir d’Identity Manager. (ID-13162)
- Lorsqu’une valeur a été définie pour un attribut email d’un utilisateur, elle ne peut pas être supprimée. Il est possible de changer la valeur, mais pas de la redéfinir comme nulle. (ID-13164)
- Si vous modifiez un formulaire de rôle en vue de changer la variable showSuperAndSubRoles de 0 à 1, puis vous importez un fichier de définition d’objet de super rôle contenant des sous-rôles existants à partir de l’onglet Configurer, ces sous-rôles ne contiendront pas la section <SuperRoles>. En revanche, si vous créez un super rôle via l’interface graphique d’Identity Manager, les sous-rôles référencés par ce super rôle seront mis à jour. (ID-15053)
Ce problème peut se produire avec des rôles créés en dehors d’Identity Manager et disposant de références à des rôles existants (des sous-rôles ou des super rôles) déjà présents sur le système.
Lors de l’importation de ces rôles, les rôles déjà présents sur le système ne sont pas mis à jour de manière à refléter les nouvelles relations. Ainsi, l’intégrité référentielle n’est pas conservée. Faites appel à la fonction RoleUpdater pour vérifier et corriger l’intégrité référentielle lorsque les rôles sont importés de cette manière.
Solution : voir ID-15482 décrit à la section « Rôles ».
- Les attributs de verrouillage de Microsoft SQL Server 2000 peuvent provoquer des erreurs d’interblocage dans des conditions de charge extrêmes dans Identity Manager. (ID-16068)
Solution : mettez à niveau Microsoft SQLServer de la version 2000 vers la version 2005 en mode natif.
Microsoft SQL Server 2005 (qui dispose d’une nouvelle fonctionnalité appelée Isolement de captures instantanées) a été testé avec Identity Manager sous une charge importante et ne présente pas les mêmes problèmes d’interblocage que SQL Server 2000.
Certains clients ont également trouvé qu’il était pratique de modifier leur base de données de manière à utiliser READ_COMMITTED_SNAPSHOT de la manière suivante :
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- À cause de problèmes d’interopérabilité entre les sources de données WebSphere et les pilotes JDBC Oracle, les clients d’Oracle qui veulent utiliser une source de données WebSphere avec Identity Manager doivent utiliser Oracle 10g R2 et le pilote JDBC correspondant (le pilote JDBC Oracle 9 ne fonctionnera pas avec une source de données WebSphere et Identity Manager). Si vous avez une version d’Oracle antérieure à la version 10g R2 et ne pouvez pas mettre à niveau Oracle vers 10g R2, configurez alors le référentiel d’Identity Manager de sorte qu’il se connecte à la base de données d’Oracle en utilisant le JDBC Driver Manager d’Oracle (et non pas une source de données WebSphere). (ID-16167)
Pour plus d’informations, reportez-vous à l’URL suivant :
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- Certains mots de l’onglet de l’écran Édition d’un utilisateur risquent de mal s’afficher en mode plurilingue. (ID-16054)
Solution : pour vous assurer que les mots des onglets s’affichent correctement, ajoutez ce qui suit à $WSHOME/styles/customStyle.css :
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}