Notas de la versión de Sun ONE Identity Server 6.1

Estas notas de la versión contienen información importante disponible en el momento del lanzamiento de la versión 6.1 de Sun™ Open Net Environment (Sun ONE) Identity Server. Aquí se tratan nuevas funciones y mejoras, problemas y limitaciones conocidos, notas técnicas e información de otro tipo. Lea este documento antes de empezar a utilizar Identity Server 6.1.

La versión más actualizada de estas notas de la versión se encuentra en el sitio Web de documentación de Sun ONE: http://docs.sun.com/prod/sunone. Consulte este sitio Web antes de instalar y configurar el software y después de forma periódica para ver los manuales y las notas de la versión más actualizados.

Historial de revisiones

Tabla 1 Historial de revisiones
Fecha	Descripción de los cambios
8 de diciembre de 2003	Versión inicial de estas notas de la versión

Juego de documentación de Identity Server 6.1

Descripción breve del producto ofrece una visión general de la aplicación Identity Server y de sus características y funciones.

Migration Guide ofrece información detallada sobre cómo migrar los datos existentes y las implementaciones de productos de Sun ONE a la versión más reciente de Identity Server. Para obtener instrucciones sobre la instalación de Identity Server, consulte la guía de instalación Sun Java Enterprise System 2003Q4 Installation Guide.

Administration Guide describe cómo utilizar la consola de Identity Server, así como gestionar datos de servicio y usuario mediante la línea de comandos.

Customization and API Guide documenta cómo personalizar una instalación de Identity Server. También incluye instrucciones sobre cómo añadir nuevos servicios a la aplicación mediante las API públicas.

Deployment Guide ofrece información sobre cómo planificar una implementación de Identity Server en una infraestructura de tecnología de la información existente.

Las Notas de la versión estarán disponibles en línea después del lanzamiento del producto. Recopilan la información más reciente, incluida una descripción de las novedades de esta versión, los problemas y limitaciones conocidos, notas de instalación y cómo informar de problemas con el software o la documentación.

Juego de documentación de agentes de políticas de Identity Server

Los agentes de políticas de Identity Server estarán disponibles en un plazo diferente al del propio producto. Por lo tanto, el juego de documentación para los agentes de políticas está disponible fuera del juego principal de documentación de Identity Server. En el juego se incluyen los siguientes títulos:

Web Policy Agents Guide documenta cómo instalar y configurar un agente de políticas de Identity Server en varios servidores Web y proxy. También incluye información y soluciones para problemas específicos de cada agente.

J2EE Policy Agents Guide documenta cómo instalar y configurar un agente de políticas de Identity Server que pueda proteger diversas aplicaciones J2EE alojadas. También incluye información y solución para problemas específicos de cada agente.

Las Notas de la versión estarán disponibles en línea después del lanzamiento de los agentes. Por lo general, suele haber un archivo de Notas de la versión para cada versión de tipo de agente. Las Notas de la versión incluyen una selección de la información más reciente, incluida una descripción de las novedades de la versión actual, los problemas y limitaciones conocidos, notas de instalación y cómo informar de problemas con el software o la documentación.

Novedades de Identity Server, versión 6.1

Los siguientes apartados enumeran las nuevas características y los errores que han sido solucionados en Identity Server 6.1.

Integración de Java Enterprise System

Administración de federación incluye los requisitos de especificación de Liberty 1.1

Soporte para el módulo de autenticación SecurID®

Soporte para el módulo de autenticación HTTP Basic

Soporte para la implementación en Sun ONE Application Server 7.0

Soporte de SDK en contenedores J2EE, incluidos servidores de aplicación BEA WebLogic® e IBM WebSphere®

APIs C para la autenticación de cliente y el inicio de sesión único

Soporte de roles filtrados para Administración de usuarios

Servicio de restablecimiento de contraseña/contraseña olvidada

Servicio Preferencias de globalización

Nueva condición de política para admitir la finalización de sesiones basadas en recursos

Errores solucionados en Identity Server 6.1

A continuación se ofrece una descripción de los errores más importantes que han sido solucionados desde la versión de Identity Server 6.0.

Tabla 2 Errores solucionados en Identity Server 6.1
Número de error	Descripción
4787204	La contraseña se almacenaba en texto común en Directory Server cuando se utilizaba la autenticación básica para la relación de validación de SAML.
4702556	Las búsquedas del usuario utilizaban diferentes ámbitos para las búsquedas simples y avanzadas.
4784279	Se recibían errores al crear una política normal en una suborganización.
4787748	Imposibilidad de definir las políticas de referencia para los servicios sin recursos definidos.
4786584	El cierre de sesión no funciona con varias instancias de Identity Server.
4816388	Problema con el puerto 80 en el código de Administración de federación.
4825448	Falta codificación URL de LRURL para el servicio de pre-inicio de sesión.
4837673	La autenticación no puede crear usuarios con atributos desde un Directory Server externo.
4757643	Los directorios de depuración de errores para instancias adicionales de Identity Server deben tener permisos de lectura y escritura configurados manualmente.
4788320	El inicio de sesión falla si la instancia del segundo servicio se crea mediante SSL.
4781602	No se puede realizar la instalación con Directory Server y la política de contraseña activada.
4697120	Si se vuelve a cargar la página de tiempo de espera de la sesión, se autenticará al usuario con un nombre de usuario y una contraseña válidos.
4759858	El inicio de sesión de usuario falla si DN para iniciar búsqueda de usuario no se establece en el objeto.
4756294	Se deben especificar diferentes directorios para varios servidores de SafeWord.
4738577	Problemas al crear políticas con la utilidad de línea de comandos amadmin.
4786292	am2bak no realiza una copia de seguridad de los datos de configuración de servicio cuando Directory Server está en modo SSL.
4786299	Identity Server no puede crear archivos de registro/depuración después de una restablecimiento.

Requisitos de hardware y software

A continuación, aparece el hardware y el software necesarios para esta versión de Identity Server.

Tabla 3 Requisitos de hardware y software
Componente	Requisitos de Solaris
Sistema operativo	Solaris 8 o Solaris 9 (Plataformas SPARC^®) Sun Solaris 9 para x86
CPU	Estaciones de trabajo Sun Ultra™ 1 (o compatible)
RAM	512 Mbytes
Espacio en disco	200 Mbytes para Identity Server y aplicaciones asociadas

Información nueva

Esta sección contiene la información más reciente que no se especifica en la documentación del producto.

Servicio de seguridad de Identity Server, Sun ONE Certificate Server 4.7 no compatible con 6.1

Identity Server 6.0 ofrecía una integración con Sun ONE Certificate Server 4.7 llamada Servicio de seguridad de Identity Server (ISS). Dicha integración permitía a los usuarios autenticados mediante Identity Server 6.0 disponer de un botón de emisión de certificados digitales en su página de perfil de usuario.

En marzo de 2003, Sun anunció el fin de Certificate Server. Por lo tanto, la función ISS no está disponible en Identity Server 6.1 y no se mantendrá en las futuras versiones de este producto.

Erratas y actualizaciones de documentación de Identity Server

El siguiente apartado muestra información perteneciente a las características de Identity Server que no se incluyeron en el juego de documentación de la versión original de Identity Server 6.1.

Identity Server no conmuta correctamente en ambientes de alta disponibilidad

Algunos de los valores predeterminados configurados durante la instalación pueden causar fallos de Identity Server en escenarios de alta disponibilidad. En este tipo de situación, una vez conmutado el nodo, la consola de Identity Server no le permitirá iniciar la sesión. En escenarios de alta disponibilidad, la clave de cifrado debería completarse de forma idéntica para ambas instancias de instalación de Identity Server.

Identity Server elimina las conexiones anónimas durante la instalación

Durante la instalación, Identity Server elimina el ACI de conexión anónima para una instalación de directorio nueva (no provista). Si tiene alguna aplicación o muestra basada en conexiones anónimas, éstas no funcionarán. Identity Server no elimina este ACI para instalaciones de directorios existentes (provistas).

Varias instancias de Identity Server no contienen adiciones Map

Si dispone de pantallas de autenticación personalizadas que también están utilizando amserver para crear una nueva instancia de Identity Server, MAP no actualiza services.war de Identity Server (archivo de almacenamiento Web), por lo que la nueva instancia creada no contiene adiciones MAP.

Actualice el archivo services.war. De forma predeterminada, se encuentra en la siguiente ubicación:

La opción uvf reemplazará el archivo anterior por el nuevo modificado. Por ejemplo:

Reimplementación del contenedor Web

Para volver a implementar el archivo .war en el contenedor Web de Application Server, introduzca los siguientes comandos:

asadmin deploy -u $IAS7_ADMIN -w $IAS7_ADMINPASSWD -H $SERVER_HOST -p $IAS7_ADMINPORT --type web $SECURE_FLAG --contextroot

$SERVER_DEPLOY_URI --name amserver --instance $IAS7INSTANCE ${BASEDIR}/${PRODUCT_DIR}/services.war

Para volver a implementar el archivo .war en el contenedor Web de BEA WebLogic, introduzca los siguientes comandos:

java weblogic.deploy -url $SERVER_URL -component ${SERVER_DEPLOY_URI}:${WL61 _SERVER} deploy $WL61_ADMINPASSWD

Para volver a implementar el archivo .war en el contenedor Web de BEA WebLogic, consulte la documentación de implementación en:

Problemas conocidos

Este apartado contiene una lista de los problemas conocidos más importantes en el momento del lanzamiento de Identity Server 6.1. En este apartado, se describen los siguientes temas:

Autenticación

Fallo de autenticación en conexiones anónimas (4919897)

Durante la instalación, se le pide el Id. de usuario y la contraseña de LDAP. Si deja estos dos campos en blanco, Identity Server establecerá de forma predeterminada una conexión anónima con Directory Server durante la autenticación. Esta acción se realizará o no dependiendo de la configuración. Si Directory Server se configura para permitir el acceso de conexiones anónimas, la autenticación se llevará a cabo con éxito; en caso contrario, la autenticación fallará.

Vuelva a instalar Identity Server y asegúrese de ofrecer valores para el Id. de usuario y la contraseña de LDAP durante la instalación.

La recarga de la página de tiempo de espera de sesión autenticará al usuario con un nombre de usuario y una contraseña válidos (4697120)

En la página de inicio de sesión, si el usuario espera a que se agote el tiempo de espera de carga de la página y, a continuación, introduce un nombre de usuario y una contraseña válidos, verá la página de tiempo de espera de sesión. El usuario se autenticará en Identity Server si vuelve a cargar la página sin volver a introducir el nombre de usuario y contraseña.

HTTP Basic no funciona en Internet Explorer con un inicio de sesión Authlevel (4945190)

El módulo de autenticación HTTP Basic no funciona con Internet Explorer cuando se ejecuta un inicio de sesión Authlevel.

Se deben especificar diferentes directorios para varios servidores de SafeWord (4756295)

Una configuración con varias organizaciones que utilicen sus propios servidores SafeWord debe especificar sus propios directorios .../serverVerification en las plantillas de servicio de autenticación de SafeWord. Si deja el valor predeterminado y todos los servidores utilizan el mismo directorio, la primera organización que realice una autenticación con su servidor SafeWord será la única que funcione.

Herramientas de línea de comandos

Las instancias de Identity Server no se eliminan correctamente de la lista de plataformas utilizando amserver (4889686)

Cuando utiliza el comando amserver para crear una nueva instancia de Identity Server y luego elimina la instancia, ésta no se eliminará de la lista de plataformas en la ficha “Configuración de servicio”.

Las secuencias de comandos de inicio no se eliminan correctamente (4794971)

Cuando utiliza multiserverinstall para crear una nueva instancia de Identity Server y luego elimina la nueva instancia, las secuencias de comandos de inicio creadas en la instalación permanecen en el directorio predeterminado /etc/rc3.d/. Estas secuencias de comandos de inicio pueden eliminarse manualmente.

Consola de Identity Server

Los servicios registrados de nuevo no se abren correctamente (4915234)

Cuando registra un servicio y lo asigna a un usuario, el servicio debería mostrarse en el perfil del usuario. Cuando se anula el registro del servicio, éste no se volverá a mostrar en el perfil del usuario. Esto funciona según la configuración establecida. Sin embargo, si vuelve a registrar el servicio, es posible que el perfil de usuario lo muestre antes de que el servicio sea asignado al usuario. Éste es un problema conocido. El servicio no debería mostrarse hasta que se le haya asignado al usuario.

La condición de miembro de roles filtrados no se muestra en la pantalla del usuario (4947334)

Al mostrar los roles de un usuario, la consola de Identity Server no muestra la condición de miembro de roles filtrados del usuario.

Las políticas y los roles no se ordenan correctamente (4914819)

Si crea una serie de políticas y roles, no se ordenarán correctamente en la consola de Identity Server.

El servicio no registrado se muestra de forma incorrecta como registrado (4918930)

Si sólo tiene un servicio registrado en la organización y luego anula el registro, éste seguirá apareciendo en la lista de servicios registrados de la consola de Identity Server.

El botón Cerrar no funciona en las páginas de roles (4919099)

En la consola de Identity Server, el botón Cerrar no funcionará en las páginas de roles para los usuarios registrados con la visualización configurada en roleDN.

Problemas de actualización para los proveedores alojados del módulo Administración de federación (4915894)

En el módulo Administración de federación, si modifica y guarda cualquier atributo en la vista Proveedor de identidades de un proveedor alojado, los cambios se guardarán, pero no se actualizarán automáticamente en la pantalla.

Seleccione un módulo diferente para salir del módulo Administración de federación (por ejemplo, Configuración de servicio) y, a continuación, vuelva al módulo Administración de federación. De esta forma, se actualizará la pantalla.

La consola no actualiza los cambios de atributo del usuario (4931455)

El marco de navegación de la consola de Identity Server no actualiza ni señala los cambios en los valores de atributos del usuario realizados en el marco de datos. Actualice manualmente la página para mostrar los valores modificados.

Los apóstrofes en el nombre de las suborganizaciones provocan errores (4922287)

Al crear una suborganización, el nombre no debe contener ningún apóstrofe (‘). Los apóstrofes en el nombre de las suborganizaciones provocan errores de JavaScript.

Servicio de registro

Problema de registro cuando Java Security está activo (4926520)

Si Java Security está activo y tiene una versión de JDK anterior a la 1.4, incluya la siguiente autorización en el archivo de seguridad de Java:

Política

Problema con la política de muestra (4923898)

El archivo Readme.html ubicado en la política de muestra excluye información que impide que se ejecute la muestra. Para ejecutar la muestra, LD_LIBRARY_PATH debe incluir la ruta a las bibliotecas compartidas NSPR, NSS y JSS.

Establezca la variable de entorno LD_LIBRARY_PATH en /usr/lib/mps/secv1. Si no se configura correctamente, se producirá un error.

Servicio de sesión

Las sesiones inactivas no se limpian (4959071)

Las sesiones inactivas no se están limpiando correctamente. Póngase en contacto con el servicio de asistencia técnica para solucionar el problema. Consulte Información sobre problemas y respuestas de los clientes para obtener más información.

SDK

Los atributos de nomenclatura deben estar en minúsculas (4931163)

Debido a una limitación de SDK, los atributos de nomenclatura deben estar en minúsculas. Por ejemplo, si instala una instancia de Identity Server mediante Directory Server y carga el esquema de Identity Server con el atributo de nombre de usuario definido como CN, la creación de usuario fallará.

Cambie el atributo de nomenclatura en la consola de Directory Server. Por ejemplo, cambie el atributo de nombre de usuario basicuser de la plantilla de creación de CN a cn.

La opción para crear grupos añade solamente un atributo memberURL (4931958)

Si crea un grupo con la opción de filtro de LDAP múltiple (-f), el grupo se creará incorrectamente con un solo atributo memberURL.

Problema de registro de servicio (4853809)

Si crea plantillas de servicio y las registra en una organización principal, y, a continuación, intenta registrarlas en una suborganización, no se registrarán algunos de los servicios registrados en la organización principal, aunque en amConsole.access se muestre que el servicio sí está registrado.

Los servicios desaparecen al iniciar sesión con un rol de servicio (4931907)

Si un usuario con un rol de servicio inicia sesión en Identity Server con la pantalla de inicio de Admin configurada en orgDN y, a continuación, intenta anular el registro de un servicio, todos los servicios mostrados desaparecen de la pantalla.

Inicio de sesión único

No es posible ejecutar SSO con diferentes URI de implementación (4770271)

Si los URI de implementación son diferentes en dos instancias distintas de Identity Server, el inicio de sesión único no funcionará correctamente.

Internacionalización (i18n)

Problema con configuración regional zh_CN.GB18030 (4925958)

Si se inicia Identity Server con la configuración regional zh_CN.GB18030, pueden surgir problemas, incluidos archivos no válidos y la imposibilidad de ejecutar funciones de Identity Server.

En la consola de Identity Server, vaya al servicio Preferencias de globalización y establezca UTF-8 como conjunto de caracteres predeterminado para la configuración regional zh.

La página de inicio de sesión falla con el parámetro de rol de varios bytes en URL para el juego de caracteres ja (4905708)

Si crea un rol de varios bytes y después intenta iniciar una sesión de URL como usuario registrado en este rol, la página de inicio generará un error.

Para que el marco de autenticación pueda decodificar un valor de rol de varios bytes especificado en la URL, debe especificar gx_charset junto con el parámetro. Por ejemplo:

http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charset=utf-8

El parámetro de configuración regional de la URL muestra páginas de inicio con caracteres mezclados (4915137)

Si utiliza un navegador no inglés con una instancia de Identity Server instalada con Web Server e inicia sesión en http://<host>:<port>/amserver/UI/Login?locale=en, la página de inicio se abrirá con caracteres ingleses y no ingleses mezclados.

Mensaje de error no traducido para HTTP Basic (4921418)

Si inicia una sesión utilizando el módulo de autenticación HTTP Basic y hace clic en el botón “Cancelar”, aparecerá un mensaje de error no traducido. Esto sólo se produce cuando Identity Server se implementa con Application Server.

Preferencias de globalización predeterminadas incorrectas para el conjunto de caracteres coreanos (4921424)

Los conjuntos de caracteres compatibles con cada atributo de configuración regional en el servicio Preferencias de globalización contienen los siguientes valores predeterminados:

Configuraciones regionales mezcladas en la ventana de inicio cuando Application Server es ja (4932089)

La ventana de inicio de sesión de Identity Server no volverá a su configuración predeterminada en inglés cuando la preferencia de idioma del navegador sea en y la configuración regional de Application Server se defina en ja.

La notificación de bloqueo envía un mensaje de correo electrónico ilegible (4938511)

Si ejecuta Identity Server con un contenedor Web que tenga como configuración regional preferida alguna distinta a C y si se bloquea el acceso de un usuario en el servidor, se enviará un mensaje de correo electrónico con la notificación de bloqueo, pero éste será ilegible.

Defina email|local|charset (en lugar del únicamente el parámetro email) en la dirección de correo electrónico para el atributo de envío de notificación de bloqueo. Por ejemplo:

Error de JavaScript con la configuración regional zh_CN.GB18030 (4948665)

Identity Server mostrará un error de JavaScript si el contenedor Web se inicia con la configuración regional definida como zh_CN.GB180130.

Reinicie el servidor con otras configuraciones regionales, como, por ejemplo, C o zh.

No se puede reiniciar el servidor con amserver si serverconfig.xml no está en formato UTF-8 (4910650)

ampssword actualizará serverconfig.xml; serverconfig.xml tiene el formato UTF-8 de forma predeterminada después de la instalación. Si serverconfig.xml incluye datos de varios bytes y se ejecuta ampassword en una configuración regional no UTF-8, serverconfig.xml estará en una codificación original y no se podrá reiniciar el servidor con amserver.

Nivel de resolución de conflictos con una configuración regional determinada (4922030)

Si un usuario accede a la consola de Identity Server con una determinada configuración regional (por ejemplo, zh), registra el servicio de configuración de autenticación, crea una plantilla para el servicio y, a continuación, cierra la sesión y vuelve a iniciarla con una configuración regional diferente, los elementos de nivel de resolución de conflictos se mostrarán de forma incorrecta con el formato de la configuración regional original.

Versión de los mensajes am2bak y bak2am sólo en inglés (4930610)

Los mensajes de la versión de utilidades de restauración am2bak y bak2am sólo están disponibles en inglés para esta versión.

Nombres de varios bytes no funcionan en el autorregistro (4732470)

Si crea un usuario en el módulo de autorregistro con nombre, apellidos y nombre completo de varios bytes y luego selecciona un nombre de varios bytes y hace clic en “Enviar”, se producirá un error al guardar el perfil de usuario. Esto es importante para los administradores de lugares en los que se muestran primero los apellidos.

La versión japonesa de Identity Server no funciona con Netscape 6.22, 6.23 (4902421)

En la versión japonesa de Identity Server 6.1, no puede iniciar sesión en la consola con Netscape 6.22 o 6.23.

El formato de las condiciones de hora no varía (4888416)

En las condiciones de hora para las definiciones de la política, la visualización de la hora sigue siendo la siguiente independientemente de la configuración regional:

Mensaje para los pares msgid-msgstr no traducido en backup_restore.po (4916683)

Puede recibir un mensaje que señale que faltan los pares msgid-mgstr en la secuencia de comandos backup_restore.po y que no se ha guardado una copia de seguridad del certificado de Directory Server. Aun así, se realizará una copia de seguridad de Directory Server. Este mensaje no ha sido traducido.

Pantalla de detección de cliente no traducida (4922013)

Algunas partes de la pantalla de propiedades del estilo actual de la interfaz de detección de cliente no están traducidas en esta versión.

Las propiedades de cliente genericHTML actualizadas no se han aplicado (4922348)

Si elimina UTF-8 de la lista de conjuntos de caracteres de la propiedad de cliente genericHTML del servicio de detección de cliente, guarda los cambios y activa “Detección de cliente” y, a continuación, cierra la sesión y vuelve a iniciarla, la página de inicio seguirá teniendo el conjunto de caracteres UTF-8.

Encabezados de archivos de registro no traducidos (4923536)

No se traducen las dos primeras líneas de ningún archivo de registro, en concreto, las secciones Version y Fields y sus listas de campos.

Valores del campo Data no traducidos en amSSO.access (4923549)

En el archivo de registro amSSO.access, no aparece traducido ningún valor del campo Data.

Exception.jsp tiene mensajes no modificables (4773213)

Exception.jsp no se traduce y contiene títulos, mensajes de error e información de copyright no modificables.

Información sobre problemas y respuestas de los clientes

Si experimenta problemas con Sun ONE Identity Server, póngase en contacto con el servicio de atención al cliente de Sun usando uno de estos procedimientos:

Para que podamos ayudarle de forma óptima en la resolución de problemas, tenga a mano la siguiente información cuando se ponga en contacto con el servicio de asistencia:

Sun valora sus comentarios

Sun tiene interés en mejorar su documentación y valora sus comentarios y sugerencias. Dirija sus comentarios a Sun a esta dirección de correo electrónico:

Incluya el número de pieza y el título completo del documento de su interés en la línea del asunto del mensaje de correo electrónico. Encontrará el número de pieza en la portada del libro. Suele ser un número de siete o diez dígitos, como, por ejemplo: 123-4567-10.

Recursos adicionales de Sun

Puede encontrar información útil de Sun ONE en las siguientes direcciones de Internet:

Documentación de Sun ONE
http://docs.sun.com/prod/sunone

Servicios profesionales de Sun ONE
http://www.sun.com/service/sunps/sunone

Sun ONE Servicio y productos de software
http://www.sun.com/software

Servicios de asistencia al cliente de software de Sun ONE
http://www.sun.com/service/sunone/software

Base de datos de soluciones y asistencia al cliente de Sun ONE
http://www.sun.com/service/support/software

Servicios de formación y asistencia al cliente de Sun
http://www.sun.com/supportraining

Servicios profesionales y de consultoría de Sun ONE
http://www.sun.com/service/sunps/sunone

Sun ONE Información de desarrolladores
http://sunonedev.sun.com

Servicios de asistencia de desarrolladores de Sun
http://www.sun.com/developers/support

Formación de software de Sun ONE
http://www.sun.com/software/training

Hojas de datos de software de Sun
http://wwws.sun.com/software

Sun, Sun Microsystems, el logotipo de Sun, Solaris, Java y el logotipo de la taza de café de Java son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en los Estados Unidos y en otros países. El uso de Identity Server está sujeto a los términos descritos en el acuerdo de licencia que lo acompaña.

Notas de la versión de Sun™ ONE Identity Server 6.1

Versión 6.1