Sun ONE Identity Server 6.1 リリースノート |
SunTM ONE Identity Server 6.1 リリースノート
バージョン 6.1
Part No. 817-3783-10
2003 年 12 月
このリリースノートには、SunTM Open Net Environment (Sun ONE) Identity Server のバージョン 6.1 のリリース時における重要な情報が記載されています。ここでは、新機能、拡張機能、既知の制限および問題、技術情報、および他の情報について説明します。Identity Server 6.1 の使用を始める前に、このリリースノートをお読みください。
このリリースノートの最新バージョンは、Sun ONE マニュアル Web サイト http://docs.sun.com/prod/sunone?l=ja にあります。ソフトウェアをインストールおよび設定する前に、この Web サイトを確認してください。その後も定期的に確認して、最新のリリースノートおよびマニュアルを参照するようにしてください。
このリリースノートは、次の節で構成されています。
改訂履歴
Identity Server 6.1 のマニュアルセットIdentity Server のマニュアルセットには、次のマニュアルが含まれています。
- 『Product Brief』: Identity Server アプリケーションの概要およびその特徴と機能について説明します。
- 『Migration Guide』: 既存のデータおよび Sun ONE 製品の配備を最新バージョンの Identity Server に移行する方法について詳しく説明します。Identity Server のインストール方法については、『Sun Java Enterprise System 2003Q4 インストールガイド』を参照してください。
- 『管理ガイド』: Identity Server コンソールの使用方法と、コマンド行によるユーザー管理およびデータサービスの方法について説明します。
- 『Customization and API Guide』: Identity Server インストールのカスタマイズ方法について説明します。また、公開の API を使ってアプリケーションに新しいサービスを付加する方法についても説明します。
- 『配備ガイド』: 既存の IT インフラストラクチャへの Identity Server の配備の計画に必要な情報について説明します。
- 『リリースノート』: 製品のリリース後にオンラインで参照できます。リリースノートには、最新リリースの新機能に関する説明、既知の問題および制限事項、インストール上の注意、およびソフトウェアまたはマニュアルに関する問題の報告方法など、さまざまな最新情報が記載されています。
Identity Server ポリシーエージェントのマニュアルセット
Identity Server のポリシーエージェントは、サーバー製品自体と異なるスケジュールで提供しています。このため、ポリシーエージェントのマニュアルセットも、Identity Server の主要なマニュアルとは異なるセットとして提供します。このマニュアルセットには、次のマニュアルが含まれています。
- 『Web Policy Agents Guide』: Identity Server ポリシーエージェントをさまざまな Web サーバーおよびプロキシサーバーにインストールおよび設定する方法について説明します。また、トラブルシューティングや、各エージェントに固有の情報についても説明します。
- 『J2EE Policy Agents Guide』: さまざまなホストされた J2EE アプリケーションを保護できる Identity Server ポリシーエージェントのインストールおよび設定方法について説明します。また、トラブルシューティングや、各エージェントに固有の情報についても説明します。
- 『リリースノート』: エージェント製品群のリリース後にオンラインで参照できます。通常は、各エージェントタイプのリリースごとに 1 つの『リリースノート』ファイルを提供します。このリリースノートには、最新リリースの新機能に関する説明、既知の問題および制限事項、インストール上の注意、およびソフトウェアまたはマニュアルに関する問題の報告方法など、さまざまな最新情報が記載されています。
Identity Server バージョン 6.1 の新機能ここでは、Identity Server 6.1 で追加された機能と修正されたバグを示します。
- Java Enterprise System の統合
- Liberty 1.1 Specification の要件が組み込まれた連携管理
- SecurID 認証モジュールのサポート
- HTTP 基本認証モジュールのサポート
- Sun ONE Application Server 7.0 への配備のサポート
- BEA WebLogic、IBM WebSphere Application Server などの J2EE コンテナ上での SDK のサポート
- クライアント認証およびシングルサインオン用の C 言語 API
- ユーザー管理用のフィルタリングされたロールのサポート
- パスワードリセット / パスワード再発行サービス
- グローバル化の設定サービス
- リソースベースのセッションタイムアウトをサポートするための新しいポリシー条件
Identity Server 6.1 で修正されたバグ
以下の表で、Identity Server 6.0 のリリース以降に修正された重要性の高いバグについて簡単に説明します。
ハードウェアおよびソフトウェアの要件このリリースの Identity Server には、次のハードウェアおよびソフトウェアが必要です。
新しい情報この節では、主要製品のマニュアルに含まれていない最新情報について説明します。
Identity Server Security Service、つまり Sun ONE Certificate Server 4.7 は 6.1 でサポートされていない
Identity Server 6.0 では、Sun ONE Certificate Server 4.7、つまり Identity Server Security Service (ISS) との統合が可能でした。つまり、ユーザーが Identity Server 6.0 で認証されると、「ユーザープロファイル」ページでデジタル証明書発行ボタンが使用できました。
2003 年 3 月に、Sun は Certificate Server の販売終了を発表しました。このため、ISS 機能は Identity Server 6.1 では使用できなくなり、この製品の今後のリリースにも引き継がれません。
Identity Server のマニュアルの記述の誤りの訂正および追加事項
この節では、Identity Server 6.1 マニュアルセットの最初のリリースに含まれていなかった Identity Server の機能に関連する情報を記載します。
可用性の高い環境では Identity Server の切り替えが適切に行われない
可用性の高い環境では、インストール時に設定された一部のデフォルト値が原因で、Identity Server に障害が発生することがあります。このような環境では、ノードが切り替わると、Identity Server コンソールにログインできなくなります。可用性の高い環境の場合には、Identity Server の 2 つのインストールインスタンスに対して同じ暗号化鍵を設定する必要があります。
Identity Server がインストール中に匿名バインドを消去する
Identity Server をインストールしているときに、提供されていない新しいディレクトリをインストールすると、匿名バインド ACI が消去されます。匿名バインドに依存するアプリケーションまたはサンプルでは、エラーが発生します。提供されている既存のディレクトリをインストールする場合には、この ACI は消去されません。
Identity Server のインスタンスが複数存在する場合に、MAP の追加が適用されない
認証画面をカスタマイズしてから、amserver を使用して新しい Identity Server インスタンスを作成しようとしても、MAP は Identity Server の services.war (Web Archive file) を更新しません。このため、新しく作成したインスタンスに MAP の追加が適用されません。
回避策
services.war ファイルを更新してください。デフォルトでは、このファイルは次の場所にあります。
services.war ファイルを更新するには、次のコマンドを入力します。
jar -uvf services.war IdentityServer_base/SUNWam/services.war
uvf オプションを指定すると、古いファイルが修正された新しいファイルに置き換わります。たとえば、次のように指定します。
cd /opt/SUNWam
jar -uvf services.war index.html
rm index.html
次のファイルを修正できます。
- JSP (IdentityServer_base/SUNWam/web-apps/services/config/auth/default/*.jsp )
- JavaScript (IdentityServer_base/SUNWam/web-apps/services/js/*.js)
- イメージ (IdentityServer_base/SUNWam/web-apps/services/login_images/*.gif )
- カスケード型スタイルシート (IdentityServer_base/SUNWam/web-apps/services/css/*.css)
- xml ファイル (IdentityServer_base/SUNWam/web-apps/services/config/auth/default/*.xml)
Web コンテナの再配備
.war ファイルを Application Server の Web コンテナに再配備するには、次のコマンドを入力します。
asadmin deploy -u $IAS7_ADMIN -w $IAS7_ADMINPASSWD -H $SERVER_HOST -p $IAS7_ADMINPORT --type web $SECURE_FLAG --contextroot
$SERVER_DEPLOY_URI --name amserver --instance $IAS7INSTANCE ${BASEDIR}/${PRODUCT_DIR}/services.war
.war ファイルを IBM WebSphere の Web コンテナに再配備するには、次のコマンドを入力します。
java weblogic.deploy -url $SERVER_URL -component ${SERVER_DEPLOY_URI}:${WL61 _SERVER} deploy $WL61_ADMINPASSWD
${SERVER_DEPLOY_URI}
${BASEDIR}/${PRODUCT_DIR} /services.war.war ファイルを IBM WebSphere の Web コンテナに再配備するには、次の場所にある配備に関する記述を参照してください。
http://www-3.ibm.com/software/webservers/studio/doc/v40/studioguide/en/html/sdsscenario1.html
既知の問題点この節では、Identity Server 6.1 リリース時での、より重要な既知の問題点について説明します。この節は、次のトピックで構成されています。
認証
匿名バインド時に認証に失敗する (#4919897)
Identity Server のインストール中に、LDAP ユーザー ID と LDAP パスワードの入力を求められます。これらのフィールドを両方とも空白にすると、Identity Server はデフォルトで認証時に Directory Server への匿名バインドを実行します。この動作は設計通りの動作です。Directory Server が匿名バインドアクセスを許可するように設定されている場合には、認証は成功しますが、設定されていない場合には、認証は失敗します。
回避策
Identity Server を再インストールし、インストール中に LDAP ユーザー ID と LDAP パスワードの値を入力してください。
セッションタイムアウトページを再度読み込むと、ユーザー名とパスワードが有効なユーザーが認証される (#4697120)
ログインページで、ページがタイムアウトになってから有効なユーザー名とパスワードを入力すると、セッションタイムアウトページが表示されます。ユーザー名とパスワードを再度入力しなくてもページを再度読み込むと、このユーザーは Identity Server に認証されます。
認証レベルログインを使用すると、Internet Explorer で HTTP 基本認証が機能しない (#4945190)
認証レベルログインを実行すると、HTTP 基本認証モジュールは Internet Explorer で機能しません。
SafeWord サーバーが複数存在する場合に、それぞれ別のディレクトリを指定する必要がある (#4756295)
複数の組織がそれぞれ独自の SafeWord サーバーを使用するように設定している場合には、それぞれ独自の .../serverVerification ディレクトリを SafeWord 認証サービステンプレートに指定する必要があります。デフォルト値をそのまま使用し、すべてのサーバーが同じディレクトリを使用する場合には、SafeWord サーバーを使って認証する最初の組織だけが機能します。
コマンド行ツール
amserver を使用すると、Identity Server インスタンスがプラットフォームリストから正しく削除されない (#4889686)
amserver コマンドを使用して Identity Server の新しいインスタンスを作成した後に、そのインスタンスを削除しようとしても、そのインスタンスは「サービス設定」タブの「プラットフォーム」のリストからは削除されません。
回避策
プラットフォームリストからこのインスタンス名を手動で削除するには、次の手順に従います。
起動スクリプトが正しく削除されない (#4794971)
multiserverinstall ユーティリティを使用して、Identity Server の新しいインスタンスを作成した後で、そのインスタンスを削除しても、インストール時に作成された起動スクリプトはデフォルトディレクトリ /etc/rc3.d/ に残ります。これらの起動スクリプトは手動で消去できます。
例 :
cd /etc/rc3.d
rm S86amserver.<instanceName>
rm K86amserver.<instanceName>
Identity Sever コンソール
再登録したサービスが正しく表示されない (#4915234)
登録したサービスをユーザーに割り当てると、そのサービスはユーザーのプロファイルに表示されます。そのサービスの登録を解除すると、ユーザーのプロファイルに表示されなくなります。この動作は設計通りの動作です。ただし、このサービスをユーザーに割り当てる前に再登録すると、ユーザーのプロファイルにサービスが表示される場合があります。これは既知の問題です。本来は、ユーザーに割り当てるまでサービスは表示されないはずです。
フィルタリングされたロールがユーザーに表示されない (#4947334)
ユーザーのロールを表示するときに、そのユーザーのフィルタリングされたロールは Identity Server コンソールに表示されません。
ポリシーとロールが正しくソートされない (#4914819)
多数のポリシーとロールを作成した場合、正しい順序で Identity Server コンソールにソートされません。
未登録のサービスが登録済みのサービスとして間違ってリストに表示される (#4918930)
組織にサービスを 1 つだけ登録しているときに、そのサービスの登録を解除しても、Identity Server コンソールの登録済みサービスのリストに表示されます。
「ロール」ページの「閉じる」ボタンが機能しない (#4919099)
Identity Sever コンソールでは、表示設定を roleDN にしている場合には、ログインした「ロール」ページの「閉じる」ボタンをクリックしても機能しません。
連携管理モジュールのホストプロバイダの更新に関する問題 (#4915894)
連携管理モジュールで、ホストプロバイダのアイデンティティプロバイダ表示で属性を変更および保存した場合、変更は保存されますが、表示は自動的に更新されません。
回避策
別のモジュール (サービス設定など) を選択して連携管理モジュールを終了してから、連携管理モジュールに戻ります。この操作により、表示が更新されます。
コンソールでユーザー属性の変更が更新されない (#4931455)
Identity Server コンソールのナビゲーションフレームでは、データフレームで作成されたユーザー属性値を変更しても、その変更を適用した状態に更新されません。ページを手動で更新して変更した値を表示してください。
サブ組織名にアポストロフィが含まれているとエラーが発生する (#4922287)
サブ組織を作成する場合は、名前にアポストロフィ (') を含めないでください。サブ組織名にアポストロフィが含まれていると JavaScript エラーが発生します。
ログサービス
Java Security 有効時のログに関する問題 (#4926520)
Java Security が有効になっている場合、jdk_logging.jar が機能しないことがあります。
回避策
Java Security が有効になっているときに、1.4 より前のバージョンの J2SE SDK を使用している場合は、次の権限を java セキュリティファイルに追加してください。
permission java.lang.RuntimePermission shutdownHooks
ポリシー
ポリシーサンプルに関する問題 (#4923898)
ポリシーサンプルにある Readme.html には、サンプルが動作しない原因について記載されていません。サンプルを実行するには、LD_LIBRARY_PATH に NSPR、NSS、および JSS 共有ライブラリへのパスを含める必要があります。
環境変数 LD_LIBRARY_PATH を /usr/lib/mps/secv1 に設定します。この環境変数が正しく設定されていない場合は、エラーが発生します。
セッションサービス
アイドルセッションが正しくクリーンアップされない (#4959071)
アイドルセッションは、現時点では正しくクリーンアップされません。この問題を修正するためのパッチについては、サポートセンターにお問い合わせください。詳細は、「問題の報告およびフィードバックの提供方法」を参照してください。
SDK
ネーミング属性には小文字を使用する必要がある (#4931163)
SDK の制限によって、ネーミング属性には小文字を使用する必要があります。たとえば、Identity Server インスタンスを Directory Server にインストールし、CN として定義されたユーザーネーミング属性を持つ Identity Server スキーマを読み込むと、ユーザーの作成に失敗します。
回避策
Directory Sever コンソールでネーミング属性を変更してください。たとえば、作成テンプレートの basicuser ユーザーネーミング属性を、CN から cn に変更します。
グループ作成オプションを使用しても、1 つの memberURL 属性しか追加されない (#4931958)
複数の LDAP フィルタオプション (-f) を使用してグループを作成すると、1 つの memberURL 属性しか持たないグループが間違って作成されます。
サービスの登録に関する問題 (#4853809)
サービステンプレートを作成し、それらを親組織に登録してからサブ組織に登録しようとすると、親組織で登録されている一部のサービスが登録されていません。しかし amConsole.access にはそれらのサービスが登録されていると表示されます。
回避策
Identity Server コンソールを更新し、それらのサービスを再登録してください。
サービスタイプロールユーザーがログインするとサービスが消える (#4931907)
サービスタイプロールのユーザーが Identity Server にログインしたときに、Admin 開始表示が orgDN に設定されている場合は、サービスの登録を解除しようとすると、リストのすべてのサービスが表示から消えます。
回避策
サーバーを再起動すると、サービスが再び表示されます。
シングルサインオン
URI が一致しないと、SSO を実行できない (#4770271)
2 つの異なる Identity Server インスタンス間で配備 URI が一致しない場合には、シングルサインオンは正しく機能しません。
国際化 (i18n)
zh_CN.GB18030 ロケールに関する問題 (#4925958)
Identity Server が zh_CN.GB18030 ロケールで起動された場合に、ファイルが破損したり、Identity Server の機能の起動に失敗するなどの問題が発生する場合があります。
回避策
Identity Server コンソールで、「グローバル化の設定」サービスに移動し、zh ロケールのデフォルト文字セットとして UTF-8 を設定します。
ja 文字セットに対して URL にマルチバイトのロールパラメータを指定すると、ログインページでエラーが発生する (#4905708)
マルチバイトのロールを作成してから、そのマルチバイトのロールに登録されているユーザーとして URL にログインしようとすると、ログインページでエラーが発生します。
回避策
URL に指定されたマルチバイトのロールの値を認証フレームワークでデコードするには、パラメータと一緒に gx_charset を指定する必要があります。たとえば、次のように指定します。http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charse t=utf-8
URL にロケールパラメータを指定すると、文字が混在したログインページが表示される (#4915137)
WebServer と Identity Server のインスタンスが一緒にインストールされている環境で英語以外の言語のブラウザを使用している場合に、http://<host>:<port>/amserver/UI/Login?locale=en にログインすると、表示されたログインページに英語と英語以外の文字が混在します。
回避策
次のシンボリックリンクを英語ロケール用に変更します。
/opt/SUNWam/web-apps/services/config/auth/default
次に変更した例を示します。
/opt/SUNWam/web-apps/services/config/auth/default_en
HTTP 基本モジュールのローカライズされていないエラーメッセージ (#4921418)
HTTP 基本認証モジュールを使用してログインし、「取消し」ボタンをクリックすると、ローカライズされていないエラーメッセージが表示されます。この問題は、Identity Server と Application Server が一緒に配備されている場合にだけ発生します。
韓国語文字セットのデフォルトのグローバル化の設定が正しくない (#4921424)
「グローバル化設定」の各ロケール属性によってサポートされている文字セットには、現在次のデフォルト値が含まれます。
locale=ko|charset=UTF-8;Johab
次のロケールを含める必要があります。
UTF-8;EUC-KR
Application Server が ja のときにログインウィンドウにロケールが混在する (#4932089)
ブラウザの言語設定が en のときに、Application Server のロケールが ja に設定されている場合には、Identity Server のログインウィンドウのデフォルト値は英語にはなりません。
回避策
Application Server のロケールを en に設定してから Application Server を実行してください。
ロックアウト通知から送信される電子メールが判読できない (#4938511)
優先ロケールが C 以外に設定されている Web コンテナを使用して Identity Server を実行しているときに、ユーザーがそのサーバーからロックアウトされると、判読できないロックアウト通知の電子メールが送信されます。
回避策
「ロックアウト通知を送信するための電子メールアドレス」属性に、email パラメータだけでなく email|local|charset を設定します。たとえば、次のように指定します。
zh_CN.GB18030 ロケールを使用したときの JavaScript エラー (#4948665)
ロケールを zh_CN.GB180130 と定義して Web コンテナを起動した場合には、Identity Server で JavaScript エラーが表示されます。
回避策
C や zh などの他のロケールを使用してサーバーを再起動してください。
serverconfig.xml が UTF-8 形式でない場合に、amserver を使用してサーバーを再起動できない (#4910650)
serverconfig.xml は、ampassword によって更新されます。また、serverconfig.xml のロケールは、インストール後にはデフォルトで UTF-8 に設定されています。serverconfig.xml にマルチバイトデータが含まれているときに、ampassword を UTF-8 以外のロケールで実行した場合には、serverconfig.xml はネイティブエンコーディングになり、amserver を実行してもサーバーを再起動できなくなります。
回避策
ampassword を UTF-8 ロケールで実行してから、amserver を使用してサーバーを再起動します。
固定ロケールにおける競合解決レベル (#4922030)
ユーザーが特定のロケール (zh など) で Identity Server コンソールにログインし、「認証設定」サービスを登録し、サービスのテンプレートを作成してから、ログアウトして別のロケールで再度ログインしても、「競合の解決レベル」項目はもとのロケールの形式で間違って表示されます。
am2bak と bak2am のバージョンメッセージは英語のみ (#4930610)
このリリースの am2bak および bak2am 復元ユーティリティのバージョンメッセージは、英語だけで表示されます。
自己登録でマルチバイトの名前が機能しない (#4732470)
重複したユーザー ID、マルチバイトの名前および姓を使用して、自己登録 (メンバーシップ認証サービス) モジュールでユーザーを作成した場合、エラーが発生します。マルチバイトのユーザー ID はサポートされていません。
回避策
ユーザーがマルチバイト環境で自己登録を使用してログインする場合、管理者はコア認証の「ユーザー名ジェネレータ」属性が選択されていないことを確認してください。
または、ユーザーが「自己登録」ログインページで「別のユーザー名を作成」オプションを選択することもできます。
日本語バージョンの Identity Server で Netscape 6.22 と 6.23 を使用できない (#4902421)
日本語バージョンの Identity Server 6.1 では、Netscape 6.22 または 6.23 のコンソールにログインできません。
「時間」条件の形式が変化しない (#4888416)
ポリシー定義の「時間」条件では、ロケールにかかわらず次の形式から時刻表示を変更できません。
Hour:Munute AM/PM
backup_restore.po の msgid-msgstr ペアのメッセージがローカライズされていない (#4916683)
backup_restore.po スクリプトの中に msgid と mgstr のペアが見つからず、Directory Server の証明書がバックアップされていないことを通知するメッセージ "Directory Server is still backed up" が英語で表示された場合、このメッセージはローカライズされていません。
クライアントディテクション画面がローカライズされていない (#4922013)
このリリースでは、「クライアントディテクション」インタフェースの「現在のスタイルのプロパティ」画面の一部がローカライズされませんでした。
更新した genericHTML クライアントプロパティが適用されない (#4922348)
「クライアントディテクション」サービスの genericHTML クライアントプロパティの文字セットのリストから UTF-8 を消去し、その変更を保存して、「クライアントディテクション」を有効にしてから、ログアウト後に再度ログインしても、ログインページは UTF-8 の文字セットのままです。
回避策
amserver を使用して、サーバーを手動で再起動してください。
ログファイルヘッダがローカライズされていない (#4923536)
すべてのログファイルの最初の 2 行がローカライズされていません。具体的には、Version セクションと Fields セクション、およびそれらのすべてのフィールドです。
amSSO.access の Data フィールドの値がローカライズされていない (#4923549)
amSSO.access ログファイルでは、Data フィールドのすべての値がローカライズされていません。
Exception.jsp にハードコードされたメッセージがある (#4773213)
Exception.jsp はローカライズされていません。つまり、ハードコードされたタイトル、エラーメッセージ、および著作権情報が含まれています。
問題の報告およびフィードバックの提供方法Sun ONE Identity Server に関する問題が発生した場合には、次のいずれかの方法で Sun カスタマサポートまでご連絡ください。
- Sun ソフトウェアサポートサービスオンラインの Web サイト
http://www.sun.com/service/sunone/software最善の問題解決のため、テクニカルサポートに連絡する際はあらかじめ次の情報をご用意ください。
コメントの送付方法
弊社ではマニュアルの改善に努力しており、お客様からのコメントおよび提案を歓迎いたします。コメントは下記宛てに電子メールでお送りください。
電子メールの件名には対象となるマニュアルの Part No. と正式タイトルもご記入ください。Part No. はマニュアルのタイトルページに記載されています。通常は、123-4567-10 のような 7 桁または 10 桁の数字です。
Sun が提供しているその他の情報その他の Sun ONE 情報については、次の Web サイトを参照してください。
- Sun ONE マニュアル
http://docs.sun.com/prod/sunone?l=ja- Sun ONE プロフェッショナルサービス
http://www.sun.com/service/sunps/sunone- Sun ONE ソフトウェア製品およびサービス
http://jp.sun.com/software- Sun ONE ソフトウェアサポートサービス
http://www.sun.com/service/sunone/software- Sun ONE サポートおよびナレッジベース
http://www.sun.com/service/support/software- Sun サポートおよびトレーニングサービス
http://www.sun.com/supportraining- Sun ONE コンサルティングおよびプロフェッショナルサービス
http://www.sun.com/service/sunps/sunone- Sun ONE 開発者用情報
http://sunonedev.sun.com- Sun 開発者サポートサービス
http://www.sun.com/developers/support- Sun ONE ソフトウェアトレーニング
http://www.sun.com/software/training- Sun ソフトウェアデータシート
http://jp.sun.com/software
Copyright © 2003 Sun Microsystems, Inc. All rights reserved.
Sun、Sun Microsystems、Sun のロゴマーク、Solaris、Java および Java Coffee Cup のロゴは、米国およびその他の国における Sun Microsystems, Inc. の商標もしくは登録商標です。Identity Serverの使用は、付属のライセンス契約の諸条件に基づいて許可されます。