Sun ONE Identity Server 6.1 リリースノート

SunTM ONE Identity Server 6.1 リリースノート

バージョン 6.1

Part No. 817-3783-10

2003 年 12 月

このリリースノートには、SunTM Open Net Environment (Sun ONE) Identity Server のバージョン 6.1 のリリース時における重要な情報が記載されています。ここでは、新機能、拡張機能、既知の制限および問題、技術情報、および他の情報について説明します。Identity Server 6.1 の使用を始める前に、このリリースノートをお読みください。

このリリースノートの最新バージョンは、Sun ONE マニュアル Web サイト http://docs.sun.com/prod/sunone?l=ja にあります。ソフトウェアをインストールおよび設定する前に、この Web サイトを確認してください。その後も定期的に確認して、最新のリリースノートおよびマニュアルを参照するようにしてください。

このリリースノートは、次の節で構成されています。

改訂履歴

表 1 改訂履歴 

日付

変更の説明

2003 年 12 月 8 日

このリリースノートの最初のリリース

Identity Server 6.1 のマニュアルセット

Identity Server のマニュアルセットには、次のマニュアルが含まれています。

Identity Server ポリシーエージェントのマニュアルセット

Identity Server のポリシーエージェントは、サーバー製品自体と異なるスケジュールで提供しています。このため、ポリシーエージェントのマニュアルセットも、Identity Server の主要なマニュアルとは異なるセットとして提供します。このマニュアルセットには、次のマニュアルが含まれています。

Identity Server バージョン 6.1 の新機能

ここでは、Identity Server 6.1 で追加された機能と修正されたバグを示します。

Identity Server 6.1 で修正されたバグ

以下の表で、Identity Server 6.0 のリリース以降に修正された重要性の高いバグについて簡単に説明します。

表 2 Identity Server 6.1 で修正されたバグ 

バグ番号

説明

4787204

SAML 信頼関係に基本認証が使用された場合に、パスワードが Directory Server にクリアテキストで保存されていた

4702556

ユーザーを検索する際に、基本の検索および詳細な検索で使用される範囲が異なっている

4784279

標準のポリシーをサブ組織に作成するとエラーが表示される

4787748

リソースが定義されていないサービスに対して参照ポリシーを定義できない

4786584

Identity Server インスタンスが複数存在するときにログアウトが機能しない

4816388

連携管理コードのポート 80 に関する問題

4825448

ログイン前サービスで、LRURL の URL エンコーディングが行われない

4837673

認証サービスは、外部ディレクトリサーバーから読み込まれた属性を持つユーザーを作成できない

4757643

新しい Identity Server インスタンスのデバッグディレクトリに書き込みと読み取りの権限を手動で設定しなければならない

4788320

2 番目のサービスインスタンスが SSL を利用して作成された場合、ログインが失敗する

4781602

パスワードポリシーを有効にして Directory Server をインストールすると、インストールが失敗する

4697120

セッションタイムアウトページを再度読み込むと、ユーザー名とパスワードが有効なユーザーが認証される

4759858

「ユーザー検索の開始 DN」がオブジェクトに設定されていない場合、ログインが失敗する

4756294

SafeWord サーバーが複数存在する場合に、それぞれ別のディレクトリを指定しなければならない

4738577

amadmin コマンド行ユーティリティを使用してポリシーを作成する場合の問題

4786292

Directory Server が SSL モードの場合に、am2bak を実行してもサービス設定データのバックアップが行われない

4786299

Identity Server の復元後にログファイルとデバッグファイルを作成できない

ハードウェアおよびソフトウェアの要件

このリリースの Identity Server には、次のハードウェアおよびソフトウェアが必要です。

表 3 ハードウェアおよびソフトウェアの要件 

コンポーネント

Solaris の要件

オペレーティングシステム

Solaris 8 または Solaris 9 (SPARC プラットフォーム)

Sun Solaris 9 (x86 版)

CPU

Sun UltraTM 1 ワークステーションまたは Sun UltraTM 1 と互換性のあるワークステーション

RAM

512M バイト

ディスク容量

Identity Server および関連するアプリケーション用に 200M バイト

新しい情報

この節では、主要製品のマニュアルに含まれていない最新情報について説明します。

Identity Server Security Service、つまり Sun ONE Certificate Server 4.7 は 6.1 でサポートされていない

Identity Server 6.0 では、Sun ONE Certificate Server 4.7、つまり Identity Server Security Service (ISS) との統合が可能でした。つまり、ユーザーが Identity Server 6.0 で認証されると、「ユーザープロファイル」ページでデジタル証明書発行ボタンが使用できました。

2003 年 3 月に、Sun は Certificate Server の販売終了を発表しました。このため、ISS 機能は Identity Server 6.1 では使用できなくなり、この製品の今後のリリースにも引き継がれません。

Identity Server のマニュアルの記述の誤りの訂正および追加事項

この節では、Identity Server 6.1 マニュアルセットの最初のリリースに含まれていなかった Identity Server の機能に関連する情報を記載します。

可用性の高い環境では Identity Server の切り替えが適切に行われない

可用性の高い環境では、インストール時に設定された一部のデフォルト値が原因で、Identity Server に障害が発生することがあります。このような環境では、ノードが切り替わると、Identity Server コンソールにログインできなくなります。可用性の高い環境の場合には、Identity Server の 2 つのインストールインスタンスに対して同じ暗号化鍵を設定する必要があります。

Identity Server がインストール中に匿名バインドを消去する

Identity Server をインストールしているときに、提供されていない新しいディレクトリをインストールすると、匿名バインド ACI が消去されます。匿名バインドに依存するアプリケーションまたはサンプルでは、エラーが発生します。提供されている既存のディレクトリをインストールする場合には、この ACI は消去されません。

Identity Server のインスタンスが複数存在する場合に、MAP の追加が適用されない

認証画面をカスタマイズしてから、amserver を使用して新しい Identity Server インスタンスを作成しようとしても、MAP は Identity Server の services.war (Web Archive file) を更新しません。このため、新しく作成したインスタンスに MAP の追加が適用されません。

回避策

services.war ファイルを更新してください。デフォルトでは、このファイルは次の場所にあります。

services.war ファイルを更新するには、次のコマンドを入力します。

jar -uvf services.war IdentityServer_base/SUNWam/services.war

uvf オプションを指定すると、古いファイルが修正された新しいファイルに置き換わります。たとえば、次のように指定します。

cd /opt/SUNWam

jar -uvf services.war index.html

rm index.html

次のファイルを修正できます。

Web コンテナの再配備

.war ファイルを Application Server の Web コンテナに再配備するには、次のコマンドを入力します。

asadmin deploy -u $IAS7_ADMIN -w $IAS7_ADMINPASSWD -H $SERVER_HOST -p $IAS7_ADMINPORT --type web $SECURE_FLAG --contextroot
$SERVER_DEPLOY_URI --name amserver --instance $IAS7INSTANCE ${BASEDIR}/${PRODUCT_DIR}/services.war

.war ファイルを IBM WebSphere の Web コンテナに再配備するには、次のコマンドを入力します。

java weblogic.deploy -url $SERVER_URL -component ${SERVER_DEPLOY_URI}:${WL61 _SERVER} deploy $WL61_ADMINPASSWD
${SERVER_DEPLOY_URI}
${BASEDIR}/${PRODUCT_DIR} /services.war

.war ファイルを IBM WebSphere の Web コンテナに再配備するには、次の場所にある配備に関する記述を参照してください。

http://www-3.ibm.com/software/webservers/studio/doc/v40/studioguide/en/html/sdsscenario1.html

既知の問題点

この節では、Identity Server 6.1 リリース時での、より重要な既知の問題点について説明します。この節は、次のトピックで構成されています。

認証

匿名バインド時に認証に失敗する (#4919897)

Identity Server のインストール中に、LDAP ユーザー ID と LDAP パスワードの入力を求められます。これらのフィールドを両方とも空白にすると、Identity Server はデフォルトで認証時に Directory Server への匿名バインドを実行します。この動作は設計通りの動作です。Directory Server が匿名バインドアクセスを許可するように設定されている場合には、認証は成功しますが、設定されていない場合には、認証は失敗します。

回避策

Identity Server を再インストールし、インストール中に LDAP ユーザー ID と LDAP パスワードの値を入力してください。

セッションタイムアウトページを再度読み込むと、ユーザー名とパスワードが有効なユーザーが認証される (#4697120)

ログインページで、ページがタイムアウトになってから有効なユーザー名とパスワードを入力すると、セッションタイムアウトページが表示されます。ユーザー名とパスワードを再度入力しなくてもページを再度読み込むと、このユーザーは Identity Server に認証されます。

認証レベルログインを使用すると、Internet Explorer で HTTP 基本認証が機能しない (#4945190)

認証レベルログインを実行すると、HTTP 基本認証モジュールは Internet Explorer で機能しません。

SafeWord サーバーが複数存在する場合に、それぞれ別のディレクトリを指定する必要がある (#4756295)

複数の組織がそれぞれ独自の SafeWord サーバーを使用するように設定している場合には、それぞれ独自の .../serverVerification ディレクトリを SafeWord 認証サービステンプレートに指定する必要があります。デフォルト値をそのまま使用し、すべてのサーバーが同じディレクトリを使用する場合には、SafeWord サーバーを使って認証する最初の組織だけが機能します。

コマンド行ツール

amserver を使用すると、Identity Server インスタンスがプラットフォームリストから正しく削除されない (#4889686)

amserver コマンドを使用して Identity Server の新しいインスタンスを作成した後に、そのインスタンスを削除しようとしても、そのインスタンスは「サービス設定」タブの「プラットフォーム」のリストからは削除されません。

回避策

プラットフォームリストからこのインスタンス名を手動で削除するには、次の手順に従います。

  1. 「サービス設定」タブの左のフレームで、「プラットフォーム」をクリックします。
  2. 右のフレームの「サーバーリスト」から、インスタンス名を選択して、「消去」をクリックします。

起動スクリプトが正しく削除されない (#4794971)

multiserverinstall ユーティリティを使用して、Identity Server の新しいインスタンスを作成した後で、そのインスタンスを削除しても、インストール時に作成された起動スクリプトはデフォルトディレクトリ /etc/rc3.d/ に残ります。これらの起動スクリプトは手動で消去できます。

例 :

cd /etc/rc3.d

rm S86amserver.<instanceName>

rm K86amserver.<instanceName>

Identity Sever コンソール

再登録したサービスが正しく表示されない (#4915234)

登録したサービスをユーザーに割り当てると、そのサービスはユーザーのプロファイルに表示されます。そのサービスの登録を解除すると、ユーザーのプロファイルに表示されなくなります。この動作は設計通りの動作です。ただし、このサービスをユーザーに割り当てる前に再登録すると、ユーザーのプロファイルにサービスが表示される場合があります。これは既知の問題です。本来は、ユーザーに割り当てるまでサービスは表示されないはずです。

フィルタリングされたロールがユーザーに表示されない (#4947334)

ユーザーのロールを表示するときに、そのユーザーのフィルタリングされたロールは Identity Server コンソールに表示されません。

ポリシーとロールが正しくソートされない (#4914819)

多数のポリシーとロールを作成した場合、正しい順序で Identity Server コンソールにソートされません。

未登録のサービスが登録済みのサービスとして間違ってリストに表示される (#4918930)

組織にサービスを 1 つだけ登録しているときに、そのサービスの登録を解除しても、Identity Server コンソールの登録済みサービスのリストに表示されます。

「ロール」ページの「閉じる」ボタンが機能しない (#4919099)

Identity Sever コンソールでは、表示設定を roleDN にしている場合には、ログインした「ロール」ページの「閉じる」ボタンをクリックしても機能しません。

連携管理モジュールのホストプロバイダの更新に関する問題 (#4915894)

連携管理モジュールで、ホストプロバイダのアイデンティティプロバイダ表示で属性を変更および保存した場合、変更は保存されますが、表示は自動的に更新されません。

回避策

別のモジュール (サービス設定など) を選択して連携管理モジュールを終了してから、連携管理モジュールに戻ります。この操作により、表示が更新されます。

コンソールでユーザー属性の変更が更新されない (#4931455)

Identity Server コンソールのナビゲーションフレームでは、データフレームで作成されたユーザー属性値を変更しても、その変更を適用した状態に更新されません。ページを手動で更新して変更した値を表示してください。

サブ組織名にアポストロフィが含まれているとエラーが発生する (#4922287)

サブ組織を作成する場合は、名前にアポストロフィ (') を含めないでください。サブ組織名にアポストロフィが含まれていると JavaScript エラーが発生します。

ログサービス

Java Security 有効時のログに関する問題 (#4926520)

Java Security が有効になっている場合、jdk_logging.jar が機能しないことがあります。

回避策

Java Security が有効になっているときに、1.4 より前のバージョンの J2SE SDK を使用している場合は、次の権限を java セキュリティファイルに追加してください。

permission java.lang.RuntimePermission  shutdownHooks

ポリシー

ポリシーサンプルに関する問題 (#4923898)

ポリシーサンプルにある Readme.html には、サンプルが動作しない原因について記載されていません。サンプルを実行するには、LD_LIBRARY_PATHNSPRNSS、および JSS 共有ライブラリへのパスを含める必要があります。

環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1 に設定します。この環境変数が正しく設定されていない場合は、エラーが発生します。

セッションサービス

アイドルセッションが正しくクリーンアップされない (#4959071)

アイドルセッションは、現時点では正しくクリーンアップされません。この問題を修正するためのパッチについては、サポートセンターにお問い合わせください。詳細は、「問題の報告およびフィードバックの提供方法」を参照してください。

SDK

ネーミング属性には小文字を使用する必要がある (#4931163)

SDK の制限によって、ネーミング属性には小文字を使用する必要があります。たとえば、Identity Server インスタンスを Directory Server にインストールし、CN として定義されたユーザーネーミング属性を持つ Identity Server スキーマを読み込むと、ユーザーの作成に失敗します。

回避策

Directory Sever コンソールでネーミング属性を変更してください。たとえば、作成テンプレートの basicuser ユーザーネーミング属性を、CN から cn に変更します。

グループ作成オプションを使用しても、1 つの memberURL 属性しか追加されない (#4931958)

複数の LDAP フィルタオプション (-f) を使用してグループを作成すると、1 つの memberURL 属性しか持たないグループが間違って作成されます。

サービスの登録に関する問題 (#4853809)

サービステンプレートを作成し、それらを親組織に登録してからサブ組織に登録しようとすると、親組織で登録されている一部のサービスが登録されていません。しかし amConsole.access にはそれらのサービスが登録されていると表示されます。

回避策

Identity Server コンソールを更新し、それらのサービスを再登録してください。

サービスタイプロールユーザーがログインするとサービスが消える (#4931907)

サービスタイプロールのユーザーが Identity Server にログインしたときに、Admin 開始表示が orgDN に設定されている場合は、サービスの登録を解除しようとすると、リストのすべてのサービスが表示から消えます。

回避策

サーバーを再起動すると、サービスが再び表示されます。

シングルサインオン

URI が一致しないと、SSO を実行できない (#4770271)

2 つの異なる Identity Server インスタンス間で配備 URI が一致しない場合には、シングルサインオンは正しく機能しません。

国際化 (i18n)

zh_CN.GB18030 ロケールに関する問題 (#4925958)

Identity Server が zh_CN.GB18030 ロケールで起動された場合に、ファイルが破損したり、Identity Server の機能の起動に失敗するなどの問題が発生する場合があります。

回避策

Identity Server コンソールで、「グローバル化の設定」サービスに移動し、zh ロケールのデフォルト文字セットとして UTF-8 を設定します。

ja 文字セットに対して URL にマルチバイトのロールパラメータを指定すると、ログインページでエラーが発生する (#4905708)

マルチバイトのロールを作成してから、そのマルチバイトのロールに登録されているユーザーとして URL にログインしようとすると、ログインページでエラーが発生します。

回避策
URL に指定されたマルチバイトのロールの値を認証フレームワークでデコードするには、パラメータと一緒に gx_charset を指定する必要があります。たとえば、次のように指定します。

http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charse t=utf-8

URL にロケールパラメータを指定すると、文字が混在したログインページが表示される (#4915137)

WebServer と Identity Server のインスタンスが一緒にインストールされている環境で英語以外の言語のブラウザを使用している場合に、http://<host>:<port>/amserver/UI/Login?locale=en にログインすると、表示されたログインページに英語と英語以外の文字が混在します。

回避策

次のシンボリックリンクを英語ロケール用に変更します。

/opt/SUNWam/web-apps/services/config/auth/default

次に変更した例を示します。

/opt/SUNWam/web-apps/services/config/auth/default_en

HTTP 基本モジュールのローカライズされていないエラーメッセージ (#4921418)

HTTP 基本認証モジュールを使用してログインし、「取消し」ボタンをクリックすると、ローカライズされていないエラーメッセージが表示されます。この問題は、Identity Server と Application Server が一緒に配備されている場合にだけ発生します。

韓国語文字セットのデフォルトのグローバル化の設定が正しくない (#4921424)

「グローバル化設定」の各ロケール属性によってサポートされている文字セットには、現在次のデフォルト値が含まれます。

locale=ko|charset=UTF-8;Johab

次のロケールを含める必要があります。

UTF-8;EUC-KR

Application Server が ja のときにログインウィンドウにロケールが混在する (#4932089)

ブラウザの言語設定が en のときに、Application Server のロケールが ja に設定されている場合には、Identity Server のログインウィンドウのデフォルト値は英語にはなりません。

回避策

Application Server のロケールを en に設定してから Application Server を実行してください。

ロックアウト通知から送信される電子メールが判読できない (#4938511)

優先ロケールが C 以外に設定されている Web コンテナを使用して Identity Server を実行しているときに、ユーザーがそのサーバーからロックアウトされると、判読できないロックアウト通知の電子メールが送信されます。

回避策

「ロックアウト通知を送信するための電子メールアドレス」属性に、email パラメータだけでなく email|local|charset を設定します。たとえば、次のように指定します。

zh_CN.GB18030 ロケールを使用したときの JavaScript エラー (#4948665)

ロケールを zh_CN.GB180130 と定義して Web コンテナを起動した場合には、Identity Server で JavaScript エラーが表示されます。

回避策

Czh などの他のロケールを使用してサーバーを再起動してください。

serverconfig.xml が UTF-8 形式でない場合に、amserver を使用してサーバーを再起動できない (#4910650)

serverconfig.xml は、ampassword によって更新されます。また、serverconfig.xml のロケールは、インストール後にはデフォルトで UTF-8 に設定されています。serverconfig.xml にマルチバイトデータが含まれているときに、ampassword を UTF-8 以外のロケールで実行した場合には、serverconfig.xml はネイティブエンコーディングになり、amserver を実行してもサーバーを再起動できなくなります。

回避策

ampassword を UTF-8 ロケールで実行してから、amserver を使用してサーバーを再起動します。

固定ロケールにおける競合解決レベル (#4922030)

ユーザーが特定のロケール (zh など) で Identity Server コンソールにログインし、「認証設定」サービスを登録し、サービスのテンプレートを作成してから、ログアウトして別のロケールで再度ログインしても、「競合の解決レベル」項目はもとのロケールの形式で間違って表示されます。

am2bak と bak2am のバージョンメッセージは英語のみ (#4930610)

このリリースの am2bak および bak2am 復元ユーティリティのバージョンメッセージは、英語だけで表示されます。

自己登録でマルチバイトの名前が機能しない (#4732470)

重複したユーザー ID、マルチバイトの名前および姓を使用して、自己登録 (メンバーシップ認証サービス) モジュールでユーザーを作成した場合、エラーが発生します。マルチバイトのユーザー ID はサポートされていません。

回避策

ユーザーがマルチバイト環境で自己登録を使用してログインする場合、管理者はコア認証の「ユーザー名ジェネレータ」属性が選択されていないことを確認してください。

または、ユーザーが「自己登録」ログインページで「別のユーザー名を作成」オプションを選択することもできます。

日本語バージョンの Identity Server で Netscape 6.22 と 6.23 を使用できない (#4902421)

日本語バージョンの Identity Server 6.1 では、Netscape 6.22 または 6.23 のコンソールにログインできません。

「時間」条件の形式が変化しない (#4888416)

ポリシー定義の「時間」条件では、ロケールにかかわらず次の形式から時刻表示を変更できません。

Hour:Munute AM/PM

backup_restore.po の msgid-msgstr ペアのメッセージがローカライズされていない (#4916683)

backup_restore.po スクリプトの中に msgidmgstr のペアが見つからず、Directory Server の証明書がバックアップされていないことを通知するメッセージ "Directory Server is still backed up" が英語で表示された場合、このメッセージはローカライズされていません。

クライアントディテクション画面がローカライズされていない (#4922013)

このリリースでは、「クライアントディテクション」インタフェースの「現在のスタイルのプロパティ」画面の一部がローカライズされませんでした。

更新した genericHTML クライアントプロパティが適用されない (#4922348)

「クライアントディテクション」サービスの genericHTML クライアントプロパティの文字セットのリストから UTF-8 を消去し、その変更を保存して、「クライアントディテクション」を有効にしてから、ログアウト後に再度ログインしても、ログインページは UTF-8 の文字セットのままです。

回避策

amserver を使用して、サーバーを手動で再起動してください。

ログファイルヘッダがローカライズされていない (#4923536)

すべてのログファイルの最初の 2 行がローカライズされていません。具体的には、Version セクションと Fields セクション、およびそれらのすべてのフィールドです。

amSSO.access の Data フィールドの値がローカライズされていない (#4923549)

amSSO.access ログファイルでは、Data フィールドのすべての値がローカライズされていません。

Exception.jsp にハードコードされたメッセージがある (#4773213)

Exception.jsp はローカライズされていません。つまり、ハードコードされたタイトル、エラーメッセージ、および著作権情報が含まれています。

問題の報告およびフィードバックの提供方法

Sun ONE Identity Server に関する問題が発生した場合には、次のいずれかの方法で Sun カスタマサポートまでご連絡ください。

最善の問題解決のため、テクニカルサポートに連絡する際はあらかじめ次の情報をご用意ください。

コメントの送付方法

弊社ではマニュアルの改善に努力しており、お客様からのコメントおよび提案を歓迎いたします。コメントは下記宛てに電子メールでお送りください。

電子メールの件名には対象となるマニュアルの Part No. と正式タイトルもご記入ください。Part No. はマニュアルのタイトルページに記載されています。通常は、123-4567-10 のような 7 桁または 10 桁の数字です。

Sun が提供しているその他の情報

その他の Sun ONE 情報については、次の Web サイトを参照してください。

Copyright © 2003 Sun Microsystems, Inc. All rights reserved.

Sun、Sun Microsystems、Sun のロゴマーク、Solaris、Java および Java Coffee Cup のロゴは、米国およびその他の国における Sun Microsystems, Inc. の商標もしくは登録商標です。Identity Serverの使用は、付属のライセンス契約の諸条件に基づいて許可されます。