Sun Java™ System Identity Server Versionshinweise

Version 2004Q2

Teilenummer 817-7130-10

Diese Versionshinweise enthalten wichtige, zum Zeitpunkt der Ver�ffentlichung von Sun Java System Identity Server 2004Q2 verf�gbare Informationen. In diesem Dokument werden neue Funktionen und Verbesserungen, bekannte Probleme und Einschr�nkungen sowie andere Informationen angesprochen, die Sie vor der Installation und Verwendung von Identity Server 2004Q2 lesen sollten.

Die neueste Ausgabe dieser Versionshinweise finden Sie auf der Sun Java System-Website f�r Dokumentationen unter

http://docs.sun.com/db/prod/entsys.04q2

Besuchen Sie diese Website vor der Installation und Konfiguration Ihrer Software und sp�ter regelm��ig, um stets die neuesten Versionshinweise und Produktdokumentationen verf�gbar zu haben.

Diese Versionshinweise sind in die folgenden Abschnitte gegliedert:

�nderungsprotokoll der Versionshinweise
Informationen zu Identity Server 2004Q2
Neuheiten in dieser Version
Behobene Fehler in dieser Version
Installationshinweise
Bekannte Probleme und Einschr�nkungen
Dateien f�r Neuverteilung
Problemmeldungen und Feedback
Weitere Informationen �ber Sun

Diese Dokumentation enth�lt URLs zu Produkten von Drittanbietern zur Bereitstellung zus�tzlicher zugeh�riger Informationen.

Hinweis	Sun �bernimmt keine Verantwortung f�r die Verf�gbarkeit der in diesem Dokument erw�hnten Websites von Drittanbietern. Sun unterst�tzt keine Inhalte, Werbung, Produkte oder andere Materialien, die auf oder mithilfe von solchen Sites oder Ressourcen erh�ltlich sind, und �bernimmt diesbez�glich keine Verantwortung oder Haftung. Sun ist nicht verantwortlich oder haftbar f�r tats�chliche oder angebliche Sch�den oder Verluste, die durch oder in Verbindung mit der Verwendung von derartigen Inhalten, G�tern oder Dienstleistungen (bzw. das Vertrauen darauf) entstehen, die auf oder mithilfe von derartigen Sites oder Ressourcen verf�gbar sind.

---

�nderungsprotokoll der Versionshinweise

Tabelle 1  Revisionsverlauf 

Datum	Beschreibung der �nderungen
23. Juni 2004	Zweite Version dieser Versionshinweise f�r Linux-Unterst�tzung. Au�erdem zur Liste der bekannten Probleme hinzugef�gte Beschreibungen.
18. Mai 2004	Erste Fassung dieser Versionshinweise wurde freigegeben.

---

Informationen zu Identity Server 2004Q2

Sun Java^™ System Identity Server ist eine Identit�tsverwaltungsl�sung, die f�r die Anforderungen rasch expandierender Unternehmen entwickelt wurde. Mit Identity Server k�nnen Sie Identit�ten f�r Ihre Mitarbeiter, Ihre Partner und Lieferanten in einem einzigen Online-Verzeichnis zusammenstellen. So bietet es die M�glichkeit, Richtlinien aufzustellen und Berechtigungen f�r den Zugriff der einzelnen Identit�ten auf bestimmte Informationen zu erteilen. Identity Server ist der Schl�ssel zu all Ihren Daten, Ihren Diensten und die Vergabe der Zugriffsberechtigungen – es ist der Schl�ssel zu Ihren gesamten internen und externen Gech�ftsbeziehungen.

---

Neuheiten in dieser Version

Zu den neuen Funktionen in Identity Server 2004Q2 geh�ren folgende (eine detaillierte Beschreibung dieser Funktionen finden Sie in Sun Java System Identity Server Technical Overview):

Verbesserungen der Verbindungsverwaltung
Identity Federation Framework 1.2
Liberty Identity Web Services Framework 1.0
Identity Service Instance Specification 1.0
Unterst�tzung von SAML 1.1
Angepasstes JAAS-Autorisierungs-Framework
Verbesserungen der Authentifizierung
Windows Desktop SSO-Authentifizierungsdienst
JAAS-Freigabestatus
Beispiel f�r ein Authentifizierungsmodul mit Java-Datenbankkonnektivit�t
Beispiel f�r ein Authentifizierungsmodul mit Java Card Digital Identity
Verbesserungen der Identity Server-Konsole
Unterst�tzung verschachtelter Gruppen
Zentralisierte Agentenverwaltung
Anzeigeoptionen und verf�gbare Aktionen
Sitzungs-Failover f�r Application Server
Skripts zur Konfiguration und Optimierung

---

Hardware- und Softwareanforderungen

F�r diese Version von Identity Server m�ssen die folgenden Software- und Hardwareanforderungen erf�llt sein.

Tabelle 2  Hardware- und Softwareanforderungen 

Komponente	Solaris™-Anforderungen
Betriebssystem	Solaris™ Operating System (OS), SPARC� Platform Edition, Version 8 und 9 Solaris™ 9 OS, x86 Platform Edition Red Hat™ Linux, Advanced Server 2.1 Update 2
RAM	512 MB
Festplattenspeicher	250 MB f�r Identity Server und zugeh�rige Anwendungen

---

Behobene Fehler in dieser Version

In dieser Tabelle werden die in Identity Server 2004Q2 behobenen Fehler beschrieben:

Tabelle 3  Behobene Fehler in Identity Server 2004Q2 

Fehlernummer	Beschreibung
4919897	Authentifizierung schl�gt bei anonymer Bindung fehl.
4794971	Startskripts wurden nicht ordnungsgem�� gel�scht.
4922287	Apostrophe in Namen von Unterorganisationen f�hren zu Fehlern.
4925958, 4948665	Problem mit der L�ndereinstellung zh_CN.GB18030.
4921424	Falsche Standard-Globalisierungseinstellungen f�r den koreanischen Zeichensatz.
4918930	Nicht registrierter Dienst wird f�lschlicherweise als registriert aufgef�hrt.

Installationshinweise

Diese Version von Identity Server trennt die Installation der Identity Server-Pakete von den auszuf�hrenden Konfigurationsschritten. In dieser Version m�ssen Sie das Java Enterprise System-Installationsprogramm verwenden, um die erste Instanz von Identity Server zu installieren.

Konfigurationsskripts

Nach Installation der ersten Identity Server-Instanz k�nnen Sie mithilfe der Konfigurationsskripts weitere Instanzen auf dem Sun Java System Application Server sowie auf dem Sun Java System Web Server erstellen.

Die IS-Installations-/Konfigurationsskripts f�hren die folgenden Aufgaben aus:

Bereitstellung weiterer Identity Server-Instanzen f�r einen Webcontainer auf einem einzelnen Host
Neukonfiguration der Identity Server-Instanzen. Zum Beispiel: Der Eigent�mer und die Gruppe einer Identity Server-Instanz werden ge�ndert (beispielsweise vom Root zu einem anderen Benutzer oder einer anderen Gruppe).
Bereitstellung des Identity Server SDK f�r andere Webanwendungen
Deinstallation weiterer Instanzen (Zur Deinstallation der ersten Instanz muss das JES-Deinstallationsprogramm verwendet werden.)

Detaillierte Anleitungen finden Sie im Identity Server Administration Guide. Beachten Sie, dass der Befehl amserver nicht mehr unterst�tzt wird.

---

Bekannte Probleme und Einschr�nkungen

In diesem Abschnitt werden die wichtigsten Probleme beschrieben, die zum Zeitpunkt der Freigabe von Identity Server 2004Q2 bekannt waren. In diesem Abschnitt werden folgende Themen behandelt:

Installation
Authentifizierung
Befehlszeilen-Tools
Konfiguration
Identity Server-Konsole
Verbindung
Protokolldienst
Richtlinie
Sitzungs-Dienst
Single Sign-On
SDK
Internationalisierung (i18n)
Cookies
Cookie-Raub

Installation

Kommas im Root-Suffix k�nnen bewirken, dass die Installation fehlschl�gt. (4750396)

Verwenden Sie w�hrend der Installation keine Kommas im eindeutigen Namen f�r den Root (RDN), wenn Sie zur Angabe eines Identity Server-Root-Suffixes aufgefordert werden.

Authentifizierung

Eine Eigenschaft von ”Modus f�r persistentes Cookie“ ist inkonsistent. (5038544)

Im Modus f�r persistentes Cookie ist die im Token festgelegte UserID-Eigenschaft inkonsistent. Dadurch kann der Richtlinienagent fehlschlagen, der von der UserID-Eigenschaft abh�ngig ist.

Umgehung

Verwenden Sie UserToken f�r einen Nicht-DN-Wert und Principal f�r den DN-Wert.

Der Administrator kann keine Rollen aus �bergeordneten Organisationen hinzuf�gen. (5042217)

Wenn Sie einen Authentifizierungsdienst f�r Unterorganisationen mit einer dynamischen Benutzerprofilerstellungsrolle konfigurieren und sich dann bei aktivierter dynamischer Profilerstellung beim Dienst anmelden, wird beim Anzeigen der Benutzereigenschaften keine Rolle zugewiesen, weil der Authentifizierungsdienst nur Rollen zul�sst, die zur Unterorganisation geh�ren.

Nach dem Hinzuf�gen von Proxy-Eigenschaften ist die Anmeldung beim Identity Server nicht m�glich. (4966788)

Wenn Sie server.xml Proxy-Eigenschaften hinzuf�gen und dann Identity Server neu starten, k�nnen Sie sich nicht bei der Identity Server-Konsole anmelden. Dies ist jedoch nur der Fall, wenn der Proxy Server den Identity Server nicht erkennen kann.

Umgehung

Stellen Sie http.nonProxyHosts in server.xml auf einen vollst�ndig qualifizierten Hostnamen ein und starten Sie dann den Server neu. Zum Beispiel:

<JVMOPTIONS>-Dhttp.nonProxyHosts=Identity_Server_FQDN</JVMOPTIONS>

Aus Leistungsgr�nden sollten die in dieser Umgehung definierten Eigenschaften selbst dann festgelegt werden, wenn der Proxy Server den Identity Server erkennt.

Beim erneuten Laden der Zeit�berschreitungsseite wird der Benutzer mit einem g�ltigen Benutzernamen und Passwort authentifiziert. (4697120)

Wenn ein Benutzer, der sich auf der Anmeldeseite befindet, wartet, bis die Seite eine Zeit�berschreitung erf�hrt, und dann einen g�ltigen Benutzernamen und ein Passwort eingibt, wird die Sitzungszeit�berschreitungsseite angezeigt. Der Benutzer wird f�r Identity Server authentifiziert, wenn er die Seite erneut l�dt, ohne den Benutzernamen und das Passwort wieder eingeben zu m�ssen.

Verschiedene Verzeichnisse m�ssen f�r mehrere SafeWord-Server angegeben werden. (4756295)

In einer Konfiguration, bei der mehrere Organisationen ihre eigenen SafeWord-Server verwenden, m�ssen diese ihre eigenen .../serverVerification-Verzeichnisse in ihren Dienstvorlagen f�r die SafeWord-Authentifizierung angeben. Falls Sie den Standardwert nicht �ndern und alle Server dasselbe Verzeichnis verwenden, funktioniert nur die Organisation, die als erste mit ihrem SafeWord-Server authentifiziert wird.

Befehlszeilen-Tools

JVM bricht unter Umst�nden ab, wenn amadmin im SSL-Modus ausgef�hrt wird (5009031).

Beim Ausf�hren des Servers im gesicherten Modus kann es durch die dauerhafte Verwendung von amadmin zum Abbruch des JVM kommen.

Wenn dieser Fall bei Ihnen auftritt, wenden Sie sich an den Sun Java System-Softwaresupport.

Die Skripts am2bak und bak2am funktionieren f�r Linux nicht. (5053866)

Die Wiederherstellungsskripts am2bak und bak2am funktionieren jedoch f�r Identity Server unter Linux.

Umgehung

Korrigieren Sie den Pfad der folgenden Befehle:

ECHO=/usr/bin/echo

sollte ECHO=/bin/echo lauten.

uid=`/usr/xpg4/bin/id -un`

sollte uid=`/usr/bin/id -un` lauten.

/usr/bin/tar

sollte /bin/tar lauten.

usr/bin/rm

sollte /bin/rm lauten.

/usr/bin/grep

sollte /bin/grep lauten.

/usr/bin/ps

sollte /bin/ps lauten.

/usr/bin/ls

sollte /bin/lsv lauten.

�ndern Sie die Funktion check_for_invalid_chars(). Zum Beispiel:

check_for_invalid_chars() {

echo "$1" | grep '[^/_.a-zA-Z0-9a-]' > /dev/null

if [ $? = 0 ]; then

return 1

else

return 0

fi

}

Auf Linux-Systemen wird durch Anhalten von amserver der amunixd-Prozess nicht angehalten. (5050332)

Auf Linux-Systemen wird durch den Befehl /etc/init.d/amserver stop der amunixd-Authentifizierungshilfsprozess nicht angehalten.

Umgehung
Verwenden Sie zun�chst den Befehl ps mit der Option f, um die amunixd-Prozess-ID zu ermitteln:

ps -efl | grep /opt/sun/identity/share/bin/amunixd

Verwenden Sie anschlie�end den Befehl kill mit dieser Prozess-ID, um den amunixd-Prozess anzuhalten.

Beim Ausf�hren von am2bak wird ein Meldungsfehler angezeigt (5043752)

Beim Ausf�hren eines Sicherungsvorgangs mit am2bak erhalten Sie unter Umst�nden die Fehlermeldung, dass der Sicherungsvorgang fehlgeschlagen sei, was allerdings nicht zutrifft.

amadmin gibt eine falsche Fehlermeldung aus. (5008960)

Die Option import von amadmin gibt f�lschlicherweise f�r alle Fehler dieselbe Fehlermeldung aus.

amverifyarchive verf�gt in Nur-Konsolen-Installationen �ber nicht ausgelagerte Tags. (4993375)

Wenn Sie eine Nur-Konsolen-Installation von Identity Server durchf�hren, werden die folgenden Tags des Dienstprogramms amverifyarchive in diesem Skript nicht ausgelagert:

JSSHOME
JDK_HOME
BASEDIR
PRODUCT_DIR

Konfiguration

Das amconfig-Skript kann den lokalisierten Identity Server f�r die Option „Sp�ter konfigurieren“ nicht konfigurieren. (5062437)

Wenn Sie eine lokalisierte Version von Identity Server 2004Q2 mithilfe des Java Enterprise System-Installationsprogramms installieren und die Option „Sp�ter konfigurieren“ w�hlen, kann das amconfig-Skript Identity Server daraufhin nicht konfigurieren.

Umgehung
Bearbeiten Sie vor dem Ausf�hren des amconfig-Skripts das Webcontainerskript abh�ngig von dem Webcontainer, den Sie zum Ausf�hren von Identity Server verwenden:

Suchen Sie das Webcontainerskript:
Web Server: amws61config
Application Server: amas70config

Beide Skripts befinden sich auf Solaris-Systemen im Verzeichnis IdentityServer_Basis/SUNWam/bin bzw. auf Linux-Systemen im Verzeichnis IdentityServer_Basis/identity/bin.

F�gen Sie im Webcontainerskript zur Variablen $DEPLOY_SRC das Verzeichnis /WEB-INF in folgender if-Anweisung hinzu:

if [ ! -d $DEPLOY_SRC/WEB-INF ]; then
  mkdir -p $DEPLOY_SRC
  cd $DEPLOY_SRC
  jar xf $PKGDIR/$warfile

F�hren Sie das amconfig-Skript zum Konfigurieren von Identity Server aus. Weitere Informationen �ber das amconfig-Skript finden Sie im Identity Server 2004Q2 Administration Guide.

http://docs.sun.com/doc/817-5709

Verwenden Sie amconfig nicht ohne die Option f�r die automatische Installation. (5003430, 5003386, 5000964)

Verwenden Sie nicht den interaktiven Modus von amconfig. Beispiel: amconfig -s. Das Ergebnis ist unvorhersehbar.

Umgehung
Rufen Sie amconfig im automatischen Modus auf. Beispiel: amconfig -s Pfad_zur_Datei_f�r_die_automatische_Installation

F�r userRoot werden unabh�ngig vom Backend-Namen immer Indizes erstellt. (5002886)

index.ldif nimmt zur Erstellung eines Index f�r die Attribute eine Hartkodierung f�r userRoot vor. Daher kann Identity Server in einem Root-Suffix installiert werden, das sich in einem beliebigen Backend-Datenbanknamen befinden kann. Der Backend-Name kann durch ldapsearch mit der Basis cn=config unter Verwendung von nsslapd-suffix=SUFFIX_NAME als Filter abgerufen werden.

Verbindung

Wenn der Attributwert leer ist, wird f�r PP Modify ein Ausnahmefehler gemeldet. (5047103)

Identity Server meldet einen Ausnahmefehler, wenn Sie PP Modify mit einem leeren Attributwert durchf�hren. Wenn Sie beispielsweise eine Einrichtung zum Testen des Beispiels sis-ep vornehmen und dann die EP Modify-Seite senden und auf die Schaltfl�che klicken, ohne einen Wert f�r das Atribut einzugeben, wird f�lschlicherweise ein Ausnahmefehler gemeldet.

Richtlinie wird erst bei Neustart des Servers wirksam. (5045036)

Die Implementierung von Verbindungsrichtlinien erfolgt erst beim Neustart des Servers. Dies gilt sowohl f�r Application Server als auch f�r Web Server. Sie m�ssen den Server nur nach einer neuen Installation und zur erstmaligen Implementierung der Richtlinie neu starten.

Identity Server-Konsole

Beim Erstellen von Rollen mit definierten Zugriffsberechtigungen als Org-Admin wird ein Fehler gemeldet. (5037978)

Wenn Sie als Organisations-Administrator angemeldet sind, eine Rolle erstellen und ihr Zugriffsberechtigungen zuweisen (beispielsweise beim Erstellen einer Org-Admin- oder Helpdesk-Admin-Rolle), wird ein Fehler ausgegeben.

Durch das Festlegen von Berechtigungen f�r Organisations-Administratoren wird verhindert, dass sie Werte f�r die Organisation �ndern. Wenn die Rolle mit Berechtigungen erstellt wird, wird versucht, eine ACI im Organisationseintrag zu �ndern.

Umgehung

Wechseln Sie nach der Installation zum Verzeichnis, in dem sich die XML-Dateien befinden. Dies ist standardm��ig folgendes Verzeichnis:

/etc/opt/SUNWam/config/xml (Solaris)

/etc/opt/sun/identity/config/xml (Linux)

Sichern Sie die Datei amAdminConsole.xml. Zum Beispiel:

cp amAdminConsole.xml amAdminConsole.bak

Bearbeiten Sie amAdminConsole.xml.
Suchen Sie nach allen Zeilen, die mit „S1IS Organization Admin Role access allow read“ beginnen, und l�schen Sie diese ACI. L�schen Sie beispielsweise alle Vertreter dieser ACI, die f�r die Organisations-Administratorrolle verwendet werden:

aci: (target="ldap:///ORGANIZATION")(targetfilter=(!(|(nsroledn=cn=Top-level Admin Role,dc=iplanet,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=iplanet,dc=com))))(targetattr != "nsroledn")(version 3.0; acl "S1IS Organization Admin Role access allow read"; allow (read,search) roledn = "ldap:///ROLENAME";)

Suchen Sie nach allen Zeilen, die mit „S1IS Organization Admin Role access allow all“ beginnen, und entfernen Sie das *, am Anfang dieser ACI.

aci: (target="ldap:///*,

Bearbeiten Sie alle Vertreter dieser ACI f�r die Organisations-Administratorrolle. Zum Beispiel:

�ndern Sie die folgende ACI:

aci: (target="ldap:///*,ORGANIZATION")(targetfilter=(!(|( nsroledn=cn=Top-level Admin Role,dc=iplanet,dc=com)(nsroledn=cn=Top-level Help D esk Admin Role,dc=iplanet,dc=com))))(targetattr != "nsroledn")(version 3.0; acl "S1IS Organization Admin Role access allow all"; allow (all) roledn = "ldap:///ROLENAME";)

in:

aci: (target="ldap:///ORGANIZATION")(targetfilter=(!(|( nsroledn=cn=Top-level Admin Role,dc=iplanet,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=iplanet,dc=com))))(targetattr !="nsroledn")(version 3.0; acl "S1IS Organization Admin Role access allow all"; allow (all) roledn = "ldap:///ROLENAME";)

Speichern Sie die Datei.
L�schen Sie iPlanetAMAdminConsoleService mithilfe des Befehlszeilen-Tools amadmin:

/opt/SUNWam/bin/amadmin -u "uid=amAdmin,ou=People,dc=iplanet,dc=com" -w "iplanet1" -r "iPlanetAMAdminConsoleService"

Wenn die Datei gel�scht wurde, wird folgende Meldung angezeigt:

Dienstschema wird gel�scht: iPlanetAMAdminConsoleService

Erfolg 0: Erfolgreich abgeschlossen.

Importieren Sie denselben Dienst mithilfe des Befehlszeilen-Tools amadmin erneut unter Verwendung der ge�nderten Datei amAdminConsole.xml:

/opt/SUNWam/bin/amadmin -u "uid=amAdmin,ou=People,dc=iplanet,dc=com" -w "iplanet1" -s /etc/opt/SUNWam/config/xml/amAdminConsole.xml

Wenn die Datei erfolgreich geladen wurde, wird folgende Meldung angezeigt:

Dienstschema-XML wird geladen: /etc/opt/SUNWam/config/xml/amAdminConsole.xml

Erfolg 0: Erfolgreich abgeschlossen.

Starten Sie den Identity Server neu.

Konsolenbeispiele werden nicht kompiliert. (5026635)

Manche der Identity Server-Konsolenbeispiele werden nicht kompiliert, weil die Standorte der Dateien in dieser Version ge�ndert wurden.

Umgehung

�ndern Sie den bestehenden Pfad jato.jar in der Datei rules.mk wie folgt:

$USER_DIR/share/lib/identity/console-war/WEB-INF/lib/jato.jar

Benutzer k�nnen nicht mit dem SAML-Dienst erstellt werden. (5038600)

Nur der oberste Administrator kann Benutzer erstellen und gleichzeitig den SAML-Dienst zuweisen.

Umgehung

Organisations-Administratoren m�ssen Benutzer ohne den SAML-Dienst erstellen. Nach Erstellung der Benutzer k�nnen sie dann den Dienst �ber die Seite „Benutzerprofil“ hinzuf�gen.

Beim Klicken auf die Schaltfl�che „Zur�ck“ bleiben die Werte nicht erhalten. (4992972)

Wenn ein Vorgang, beispielsweise das Erstellen einer Gruppe oder Rolle oder das Hinzuf�gen einer Bedingung zu einer Richtlinie, mehrere Seiten umfasst und Sie auf die Schaltfl�che „Zur�ck“ klicken, werden die Werte der vorhergehenden Seite nicht wiederhergestellt.

Der Richtlinien-Admin kann sein eigenes Profil nicht �ndern. (5042100)

Ein Richtlinien-Administrator kann sein eigenes Profil nicht �ber die Identity Server-Konsole �ndern.

Umgehung

Stellen Sie die Anzeigeoptionen f�r die Navigations-Ansicht auf „Benutzer“ und die verf�gbaren Aktionen f�r die Benutzer auf „Vollst�ndiger Zugriff“ ein.

Fehler in der Konsole beim Suchen nach Benutzern, wenn die Benutzerverwaltung deaktiviert ist. (5049218)

Wenn die Benutzerverwaltung deaktiviert ist und Sie eine Benutzersuche durchf�hren, wird m�glicherweise ein Serverfehler ausgegeben.

Umgehung

Ersetzen Sie die Datei PMAdminRoldSelect.jsp durch die neue JSP. Diese finden Sie im folgenden Verzeichnis:

IdentityServer_Basis/applications/console/policy

Der Suchfilter f�r Entity-Deskriptoren funktioniert nicht ordnungsgem��. (4959895)

Wenn Sie in der Ansicht „Entity-Deskriptoren“ des Verbindungsmoduls das Suchfeld verwenden, um einen Entity-Deskriptor zu suchen, ist das Suchergebnis manchmal ungenau.

„**“-Suchmaske funktioniert nicht. (4961370)

Wenn Sie „**“ in der Identity Server-Konsole als Suchfiltermaske verwenden, ohne weitere Zeichen hinzuzuf�gen, schl�gt die Suche fehl. Das Suchfeld akzeptiert „**“ mit weiteren Zeichen, beispielsweise **a oder a**.

Aktualisierungsproblem f�r Host-Anbieter im Verbindungsverwaltungsmodul (4915894)

Wenn Sie im Verbindungsverwaltungsmodul in der Ansicht „Identity-Anbieter“ eines Host-Anbieters Attribute �ndern und speichern, werden die �nderungen gespeichert, aber nicht automatisch in der Anzeige aktualisiert.

Umgehung

Beenden Sie das Verbindungsverwaltungsmodul, indem Sie ein anderes Modul ausw�hlen (z. B. das Dienstkonfigurationsmodul), und kehren Sie anschlie�end zum Verbindungsverwaltungsmodul zur�ck. Durch diesen Vorgang wird die Anzeige aktualisiert.

Die Konsole wird bei �nderungen der Benutzerattribute nicht aktualisiert. (4931455)

Der Navigations-Frame der Identity Server-Konsole wird nicht aktualisiert, um �nderungen an den Benutzerattributwerten anzuzeigen, die im Daten-Frame vorgenommen wurden. Aktualisieren Sie die Seite manuell, um die ge�nderten Werte anzuzeigen.

Anschlussprobleme mit Internet Explorer (4864133)

Aufgrund einer Inkompatibilit�t mit Internet Explorer sollten Sie 80 nicht als Identity Server-Anschlussnummer beim Ausf�hren von http bzw. 443 beim Ausf�hren von https verwenden.

Protokolldienst

Protokollierungsproblem bei aktivierter Java-Sicherheit. (4926520)

jdk_logging.jar funktioniert m�glicherweise nicht, wenn die Java-Sicherheit aktiviert ist.

Umgehung

Wenn die Java-Sicherheit aktiviert ist und Sie �ber eine fr�here JDK-Version als 1.4 verf�gen, sollten Sie folgende Berechtigung in die Java-Sicherheitsdatei einschlie�en:

permission java.lang.RuntimePermission shutdownHooks

Richtlinie

�nderungen an der Bezugsrichtlinienregel werden nicht in die Unterorganisation �bernommen. (5016725)

Nach dem L�schen einer Bezugsrichtlinie f�r die Stammorganisation werden die Regeln f�r normale Richtlinien in der Unterorganisation nicht gel�scht (und k�nnen nicht gel�scht werden).

Es werden keine �bereinstimmenden Eintr�ge ausgegeben, wenn die nslookthrough-Begrenzung erreicht wird. (5013538)

In der Identity Server-Konsole werden keine �bereinstimmenden Eintr�ge ausgegeben, selbst wenn die in nslookthrough definierten Admin-Begrenzungen erreicht werden.

Umgehung

Optimieren Sie den Parameter nslookthroughlimit, um die entsprechende Anzahl von Eintr�gen zu kompensieren.

Die Richtlinie f�r Alias-Tokens wurde nicht durchgesetzt. (4985823)

Wenn Sie einen Benutzer-Alias verwenden, um sich �ber ein anderes Autorisierungsmodul als LDAP oder Membership bei Identity Server anzumelden, und dann versuchen, auf eine gesch�tzte Ressource zuzugreifen, wird der Zugriff verweigert.

Problem mit Richtlinienbeispiel. (4923898)

In der Datei Readme.html, die im Richtlinienbeispiel enthalten ist, fehlen Informationen, wodurch das Beispiel nicht ausgef�hrt werden kann. Um das Beispiel auszuf�hren, muss LD_LIBRARY_PATH den Pfad der gemeinsamen genutzten Bibliotheken NSPR, NSS und JSS enthalten.

Stellen Sie die Umgebungsvariable LD_LIBRARY_PATH auf /usr/lib/mps/secv1 (f�r Solaris) oder auf /opt/sun/pirvate/lib (Linux) ein. Ist diese Einstellung nicht korrekt, wird ein Fehler verursacht.

Sitzungs-Dienst

Im Leerlauf befindliche Sitzungen werden nicht bereinigt. (4959071)

Im Leerlauf befindliche Sitzungen werden derzeit nicht ordnungsgem�� bereinigt. Wenden Sie sich an den Support, um einen Patch zur L�sung dieses Problems zu erhalten. Weitere Informationen finden Sie unter Problemmeldungen und Feedback.

SDK

Verwendung von certutil f�r Identity Server-SDK-Installationen, die SSL-Server verwenden, dokumentieren. (5027614)

Bei Benutzern treten sicherheitsbezogene Fehler und Ausnahmen auf, wenn Sie versuchen, von Nur-SDK-Rechnern mit SSL-f�higen Identity Server 2004Q2-Servern zu kommunizieren. In diesem Szenario wird der Identity Server-SDK entweder auf keinem Webcontainer oder auf einem Webcontainer eines Drittanbieters bereitgestellt, wie BEA WebLogic Server oder IBM WebSphere Application Server.

Umgehung
Erstellen Sie eine Zertifikatdatenbank auf dem Nur-SDK-Rechner und installieren Sie das Stamm-Zertifizierungsstellenzertifikat f�r Identity Server in dieser Datenbank:

Melden Sie sich am Nur-SDK-Rechner als Superuser (root) an.
�berpr�fen Sie, dass das erforderliche Netscape Security Services-Paket (NSS) installiert ist:
Auf Solaris-Systemen: SUNWtlsu
Auf Linux-Systemen: sun-nss RPM
Wenn das Paket nicht installiert ist, installieren Sie es. Zum Beispiel:

Auf Solaris-Systemen:

cd JavaEnterpriseSystem_Basis/Solaris_arch/Product/shared_components/Packages
pkgadd -d . SUNWtlsu

Auf Linux-Systemen:

cd JavaEnterpriseSystem_Basis/Linux_x86/Product/shared_components/Packages
rpm -Uvh sun-nss-3.3.10-1.i386.rpm

Erstellen Sie die Passwortdatei f�r das Tokenpasswort f�r diese Zertifikatdatenbank. Zum Beispiel:

Auf Solaris-Systemen:

echo "cert-database-password" > /etc/opt/SUNWam/config/.wtpass
chmod 700 /etc/opt/SUNWam/config/.wtpass

Auf Linux-Systemen:

echo "cert-database-password" > /etc/opt/sun/identity/config/.wtpass
chmod 700 /etc/opt/sun/identity/config/.wtpass,

wobei cert-database-password das Tokenpasswort ist.

Pr�fen Sie die Variable LD_LIBRARY_PATH:

Pr�fen Sie auf Solaris-Systemen anhand der Variablen LD_LIBRARY_PATH, ob die Verzeichnisse /usr/lib, /usr/lib/mps/secv1 und /usr/lib/mps vorhanden sind. Wenn nicht, f�gen Sie nicht vorhandene Verzeichnisse hinzu.

Pr�fen Sie anhand der Variablen LD_LIBRARY_PATH, ob das Verzeichnis /opt/sun/private/lib vorhanden ist. Falls nicht, f�gen Sie das Verzeichnis hinzu.

Erstellen Sie mit dem Zertifikatdatenbank-Tool (certutil) die Zertifikat- und Schl�sseldatenbank. Informationen �ber certutil finden Sie auf der folgenden Website:

http://mozilla.org/projects/security/pki/nss/tools/certutil.html

Zum Beispiel:

certutil-home/certutil -N -d cert-database-dir -f config-home/.wtpass

Wobei:

certutil-home ist der Speicherort von certutil:

Auf Solaris-Systemen: /usr/sfw/bin
Auf Linux-Systemen: /opt/sun/private/bin

cert-database-dir ist das Datenbankverzeichnis f�r die Zertifikat- und Schl�sseldatenbank.

config-home ist der Speicherort der Identity Server-Konfigurationsdateien:

Auf Solaris-Systemen: /etc/opt/SUNWam/config
Auf Linux-Systemen: /etc/opt/sun/identity/config
F�gen Sie in der neu erstellten Zertifikatdatenbank das Stamm-Zertifizierungsstellenzertifikat f�r das SSL-Zertifikat hinzu, das auf dem Identity Server-Server installiert ist. Zum Beispiel:

certutil-home/certutil -A -n "certificate-nickname" -t "TCu,TCu,TCuw" -d  cert-database-dir -a -i path-to-file-containing-cert -f config-home/.wtpass

Zeigen Sie die Datei AMConfig.properties mit einem Editor an und pr�fen Sie folgende Werte:
Zertifikatdatenbankverzeichnis: com.iplanet.am.admin.cli.certdb.dir
Pr�fix: com.iplanet.am.admin.cli.certdb.prefix)
Passwortdatei: com.iplanet.am.admin.cli.certdb.passfile I

Bearbeiten Sie die Einstellungen, falls erforderlich. Die Pr�fixeinstellung sollte beispielsweise leer sein (d. h. „“ entsprechen).

Wenn �nderungen an der Datei AMConfig.properties vorgenommen wurden und Identity Server-SDK in einem Webcontainer bereitgestellt wird, starten Sie den Webcontainer neu.

SSL-Handshake schl�gt bei DNSAlias mit JCE Provider fehl. (5038876)

Der SSL-Handshake schl�gt fehl, wenn Zertifikate mit g�ltigen DNSAlias-Namen im subjectaltname mit einem JCE Provider verwendet werden.

BasicEntitySearch-Filter f�r uid ist hartkodiert. (5041529)

Wenn bei Installation von Identity Server das Benutzerbenennungsattribut auf cn eingestellt ist und Sie sich dann bei der Identity Server-Konsole anmelden und eine Agenten-Entity erstellen, wird die Agenten-Entity nicht im Navigationsbereich angezeigt. Die Ursache daf�r liegt in der Hartkodierung der Entity-Suchvorlage f�r uid.

Umgehung

�ndern Sie den Filter �ber die Directory Server-Verwaltungskonsole von uid in cn und starten Sie den Server neu.

Identity-Methoden in Init() von Filtern verursachen den Absturz von Weblogic. (5016283)

Ein Weblogic-Server kann nicht gestartet werden, wenn die init()-Methoden der Filter Identity Server-bezogenen Code enthalten. Die Identity Server-API wird in der init-Methode des ServletFilter-Servlet aufgerufen.

Identity Server verwendet JSS als Sicherheitsanbieter, Weblogic hingegen standardm��ig JCE. Wenn die init-Methode aufgerufen wird, versucht Weblogic, die Lizenz mit JCE zu �berpr�fen. Es wird jedoch JSS initialisiert.

Umgehung

�ndern Sie die Standard-Sicherheitsverschl�sselung in der Datei AMConfig.properties von JSSEncryption in JCEEncryption.

Passw�rter, die mit „{SSHA}“-Symbolen beginnen, k�nnen nicht verwendet werden. (4966191)

Identity Server unterst�tzt nicht die Verwendung von Hash-{SSHA}-Symbolen in Passw�rtern.

Falsche SMTP-Serveranschlusseigenschaft in AMConfig.properties. (5048378)

Die Eigenschaft smtp server port in der Datei AMConfig.properties ist nicht korrekt. Gesendete Mail sucht f�lschlicherweise nach com.iplanet.am.smtpport.

Benennungsattribute sollten in Kleinbuchstaben angegeben werden. (4931163)

Aufgrund einer SDK-Beschr�nkung sollten Benennungsattribute in Kleinbuchstaben angegeben werden. Wenn Sie beispielsweise eine Identity Server-Instanz �ber Directory Server installieren und das Identity Server-Schema mit dem Benutzerbenennungsattribut „CN“ laden, schl�gt die Erstellung fehl.

Umgehung

�ndern Sie das Benennungsattribut in der Directory Server-Konsole. �ndern Sie beispielsweise das basicuser-Benutzerbenennungsattribut der Erstellungsvorlage von CN in cn.

Option f�r die Gruppenerstellung f�gt nur ein memberURL-Attribut hinzu. (4931958)

Wenn Sie eine Gruppe mit der Option f�r mehrere LDAP-Filter (-f) erstellen, wird die Gruppe f�lschlicherweise mit nur einem memberURL-Attribut erstellt.

Problem bei der Dienstregistrierung. (4853809)

Wenn Sie Dienstvorlagen erstellen und diese bei einer �bergeordneten Organisation registrieren und anschlie�end versuchen, diese Dienstvorlagen bei einer Unterorganisation zu registrieren, werden einige Dienste, die bei der �bergeordneten Organisation registriert wurden, nicht registriert. amConsole.access zeigt dennoch an, dass der Dienst registriert wurde.

Umgehung

Aktualisieren Sie die Identity Server-Konsole und registrieren Sie die Dienste erneut.

Dienste verschwinden bei Anmeldung eines Benutzers der Diensttyp-Rolle. (4931907)

Wenn sich ein Benutzer in einer Diensttyp-Rolle mit eingestellter Admin-Startansicht orgDN bei Identity Server anmeldet und anschlie�end versucht die Registrierung eines Dienstes aufzuheben, werden alle aufgef�hrten Dienste aus der Anzeige entfernt.

Umgehung

Starten Sie den Server neu, und die Dienste werden wieder angezeigt.

Single Sign-On

SSO kann nicht mit verschiedenen Bereitstellungs-URIs durchgef�hrt werden. (4770271)

Falls die Bereitstellungs-URIs zweier verschiedener Instanzen von Identity Server unterschiedlich sind, funktioniert Single Sign-On nicht ordnungsgem��.

Internationalisierung (i18n)

Bei der Registrierung aller Dienste werden eventuell nicht alle verf�gbaren Dienste registriert. (4853809)

Wenn Sie alle Dienste �ber die Identity Server-Konsole registrieren, sind manche Dienste m�glicherweise nicht in der Liste der verf�gbaren Dienste enthalten.

Umgehung

Klicken Sie nicht mehr als einmal auf die Schaltfl�che „Hinzuf�gen“.

Dienste mit einem Richtlinienschema werden einem Benutzer als „hinzuf�gbar“ angezeigt. (4996479)

Beim Hinzuf�gen von Diensten f�r einen Benutzer wird der Verbraucherdienst wsrp als verf�gbar angezeigt. Wenn dieser Dienst ausgew�hlt wird, wird er jedoch nicht hinzugef�gt und verursacht einen Fehler. Wenn Sie dar�ber hinaus weitere Dienste zusammen mit dem Verbraucherdienst ausw�hlen, kann keiner der Dienste hinzugef�gt werden.

Umgehung

F�gen Sie den WSRP-Dienst nicht �ber das Identit�tsverwaltungsmodul hinzu.

Die Authentifizierungsebenen-Anmeldung schl�gt in japanischen Browsern fehl. (5013994)

Wenn Sie sich das erste Mal �ber die Authentifizierungsebene bei Identity Server anmelden, schl�gt die Anmeldung fehl, wenn Sie einen der folgenden Browser mit der Spracheinstellung Japanisch („ja“) verwenden:

IE6.0ja
IE7.0ja
Mozilla1.2.1

Umgehung

Klicken Sie auf den Link „Zur�ck zum Anmeldemen�“, wenn die Fehlermeldung „Authentifizierungsmodul abgelehnt“ angezeigt wird. Geben Sie dann den folgenden URL ein:

http://server:port/amserver/UI/Login?Authentifizierungsebene=Zahl

Die japanische Online-Hilfe wird falsch angezeigt. (5024138)

Wenn Sie die japanische Version von Identity Server ausf�hren und die Sprache in en_US �ndern, wird immer noch die japanische Kontexthilfe angezeigt.

Umgehung

Erstellen Sie einen Sym-Verweis von docs_en zu docs_en_US.

Der Benutzer-ID-Erstellungsmodus erstellt eine Benutzer-ID aus Vorname/Nachname. (5028750)

Identity Server unterst�tzt keine Multibyte-Benutzer-ID. Standardm��ig erstellt der Benutzer-ID-Erstellungsmodus eine Benutzer-ID aus Vor- und Nachname.

Die Client-Erkennungsfunktion funktioniert nicht ordnungsgem��. (5028779)

Das Entfernen des UTF-8-Zeichensatzes funktioniert im Client-Erkennungsdienst nicht ordnungsgem��.

Umgehung

Wenn Sie den UTF-8-Zeichensatz entfernen, m�ssen Sie den Webcontainer anschlie�end neu starten.

G11NSetting kann Leerzeichen im Faktor Q nicht verarbeiten. (5008860)

Wenn die Client-Daten in oder neben dem Faktor q ein Leerzeichen aufweisen, kann der G11NSettings-Code sie nicht korrekt analysieren und gibt folgenden Fehler aus:

FEHLER: G11NSettings::Fetchcharset() Analyse konnte nicht durchgef�hrt werden: Zeichensatzeintrag ung�ltig Q q

Fehler bei der Anmeldeseite mit dem Multibyte-Rollenparameter auf URL f�r Ja-Zeichensatz. (4905708)

Falls Sie eine Multibyte-Rolle erstellen und anschlie�end eine URL-Anmeldung mit einem Benutzer versuchen, der bei der Multibyte-Rolle registriert ist, gibt die Anmeldeseite eine Fehlermeldung aus.

Umgehung
Damit das Authentifizierungs-Framework einen im URL angegebenen Wert f�r eine Multibyte-Rolle entschl�sseln kann, m�ssen Sie gx_charset zusammen mit dem Parameter angeben. Zum Beispiel:

http://hostname:port/amserver/UI/Login?role=manager?role=%E3%81%82%&gx_charset=utf-8

In der Ja-L�ndereinstellung sind die Protokolldateien unleserlich. (4882286)

Die folgenden Protokolldateien enthalten beim �ffnen japanische Zeichen und unleserlichen Text:

Alle Dateien im Verzeichnis IdentityServer-Basis/SUNWam/debug mit Ausnahme von deploy.log und undeploy.log.

L�ndereinstellungsparameter in URL zeigt mehrsprachige Anmeldeseite an. (4915137)

Wenn Sie einen nichtenglischen Browser mit einer Instanz von Identity Server installieren, die auf WebServer installiert ist, und sich bei http://<host>:<anschluss>/amserver/UI/Login?locale=en anmelden, werden auf der Anmeldeseite sowohl englische als auch anderssprachige Zeichen angezeigt.

Umgehung

�ndern Sie den folgenden symbolischen Verweis:

IdentityServer-Basis/SUNWam/web-apps/services/config/auth/default

in

IdentityServer-Basis/SUNWam/web-apps/services/config/auth/default_en

Fehlermeldung in HTTP Basic weist darauf hin, dass keine Lokalisierung vorliegt. (4921418)

Wenn Sie sich �ber das HTTP Basic-Authentifizierungsmodul anmelden und auf die Schaltfl�che „Abbrechen“ klicken, weist eine Fehlermeldung darauf hin, dass keine Lokalisierung vorliegt. Dies ist ein bekanntes Problem mit Application Server. Es tritt nur auf, wenn Identity Server zusammen mit Application Server bereitgestellt wird.

Mehrere Sprachen im Anmeldefenster, wenn Application Server auf „ja“ gesetzt ist. (4932089)

Das Identity Server-Anmeldefenster wird nicht auf die Standardeinstellung Englisch zur�ckgesetzt, wenn die Einstellung f�r die Browsersprache en lautet und die L�ndereinstellung von Application Server auf ja eingestellt ist.

Umgehung

F�hren Sie Application Server mit der L�ndereinstellung en aus.

Sperrbenachrichtigungsfunktion sendet nicht lesbare E-Mail. (4938511)

Wenn Sie Identity Server mit einem Webcontainer ausf�hren, f�r den die bevorzugte L�ndereinstellung nicht C ist, und ein Benutzer f�r den Server gesperrt wird, erhalten Sie eine Sperrbenachrichtigung, die jedoch nicht lesbar ist.

Umgehung

Legen Sie f�r das Attribut „E-Mail-Adresse f�r das Versenden der Sperrbenachrichtigung“ email|l�ndereinstellung|zeichensatz (und nicht nur den email-Parameter) fest. Zum Beispiel:

user1@example.com|zh|GB2312

Konfliktl�sungsebene bei festgelegter L�ndereinstellung. (4922030)

Wenn ein Benutzer sich mit einer bestimmten L�ndereinstellung (z. B. zh) bei der Identity Server-Konsole anmeldet, den Authentifizierungskonfigurationsdienst registriert, eine Vorlage f�r den Dienst erstellt und sich anschlie�end ab- und mit einer neuen L�ndereinstellung wieder anmeldet, werden die Elemente unter „Konfliktl�sungsebene“ f�lschlicherweise im Format der urspr�nglichen L�ndereinstellung aufgef�hrt.

„am2bak“- und „bak2am“-Versionsmeldungen nur in Englisch. (4930610)

Die am2bak- und bak2am-Versionsmeldungen der Wiederherstellungsdienstprogramme sind in dieser Version nur in Englisch verf�gbar.

Multibyte-Namen funktionieren nicht bei Selbstregistrierung. (4732470)

Wenn Sie im Selbstregistrierungsmodul (Mitgliedschaftsauthentifizierungsdienst) einen Benutzer erstellen, dessen Benutzer-ID doppelt vorhanden ist und der einen Multibyte-Vornamen und -Nachnamen aufweist, tritt ein Fehler auf. Multibyte-Benutzer-IDs werden nicht unterst�tzt.

Umgehung

Wenn sich ein Benutzer mithilfe der Selbstregistrierung in einer Multibyte-Umgebung anmeldet, muss der Administrator sicherstellen, dass das Attribut f�r den Benutzererstellungsmodus in der Kern-Authentifizierung nicht ausgew�hlt ist.

oder

Der Benutzer kann auf der Anmeldeseite „Selbstregistrierung“ die Option „Selbst erstellen“ ausw�hlen.

Japanische Version von Identity Server funktioniert nicht mit Netscape 6.22, 6.23. (4902421)

In der japanischen Version von Identity Server 6.1 k�nnen Sie sich nicht mit Netscape 6.22 oder 6.23 bei der Konsole anmelden.

Zeitbedingungsformat �ndert sich nicht. (4888416)

In den Zeitbedingungen f�r Richtliniendefinitionen wird die Zeit unabh�ngig von der L�ndereinstellung in folgendem Format angezeigt:

Stunde:Minute AM/PM

Meldung f�r msgid-msgstr-Paare in backup_restore.po nicht lokalisiert. (4916683)

Falls Sie eine Meldung erhalten, die erkl�rt, dass keine msgid-mgstr-Paare im backup_restore.po-Skript vorhanden sind und das Directory Server-Zertifikat nicht gesichert wird, wird Directory Server dennoch gesichert. Diese Meldung wurde nicht lokalisiert.

Bildschirm f�r Client-Erkennung nicht lokalisiert. (4922013)

Teile des Bildschirms f�r die aktuellen Stileigenschaften der Oberfl�che f�r die Client-Erkennung wurden in dieser Version nicht lokalisiert.

Aktualisierte genericHTM-Client-Eigenschaft wird nicht angewendet. (4922348)

Wenn Sie UTF-8 aus der Zeichensatzliste in der genericHTML-Client-Eigenschaft im Client-Erkennungsdienst entfernen, die �nderungen speichern und die Client-Erkennung anschlie�end aktivieren und sich daraufhin ab- und wieder anmelden, weist die Anmeldeseite nach wie vor den UTF-8-Zeichensatz auf.

Umgehung

Starten Sie den Server manuell mithilfe von amserver neu.

Kopfzeilen der Protokolldateien nicht lokalisiert. (4923536)

Die ersten beiden Zeilen aller Protokolldateien, genau genommen die Abschnitte Version und Fields und ihre zugeh�rigen Feldlisten, wurden nicht lokalisiert.

Datenfeldwerte in amSSO.access nicht lokalisiert. (4923549)

In der Protokolldatei amSSO.access wurden s�mtliche Werte im Feld f�r die Daten nicht lokalisiert.

Exception.jsp enth�lt hartkodierte Meldungen. (4772313)

Exception.jsp wurde nicht lokalisiert und enth�lt hartkodierte Titel, Fehlermeldungen und Copyright-Informationen. Diese Ausnahmefehlerseite wird nur in extremen F�llen aufgerufen. Beispiele hierf�r sind, wenn Directory Server ausgefallen ist oder keine Identity Server-Dienste hochgefahren werden k�nnen. F�r diese JSP-Seite ist keine lokalisierte Version verf�gbar.

Cookies

Der Modus ohne Cookies funktioniert nicht. (4967866)

Wenn ein Browser auf Identity Service zugreift und dann die Cookie-Unterst�tzung deaktiviert wird, obwohl der Browser Cookies unterst�tzt, sendet der Browser weiterhin das fr�here Identity Server-Cookie. Dadurch wird der Zugriff auf die Identity Server-Ressourcen verweigert.

Umgehung
W�hlen Sie eine der folgenden L�sungen:

Leeren Sie den Cookie-Cache des Browsers, um alle Identity Server-Cookies zu entfernen.
Deaktivieren Sie Cookies im Browser.

Cookie-Raub

Die Sicherheit kann beeintr�chtigt werden, wenn Sitzungs-Cookies von Anwendungen verwendet werden, die nicht vertrauensw�rdig sind.

Wenn in Ihrer Identity Server-Bereitstellung Single Sign-On (SSO) oder dom�nen�bergreifendes Single Sign-On (CDSSO) aktiviert ist, werden die http(s)-Sitzungs-Cookies im Browser des Benutzers eingerichtet. Diese Cookies werden von mehreren Anwendungen �berpr�ft. Wenn sich die Identity Server-Bereitstellung �ber mehrere DNS-Dom�nen hinweg erstreckt, �bertr�gt das Liberty-Protokoll die http(s)-Sitzungs-Cookies von der authentifizierten DNS-Dom�ne an die Zieldom�ne der Webanwendung.

Obwohl der Benutzer automatisch bei den Webressourcen angemeldet wird, besteht ein gewisses Sicherheitsrisiko, wenn die Sitzungs-Cookies von Anwendungen verwendet werden, die nicht vertrauensw�rdig sind. Dieses Risiko besteht vor allem bei der Bereitstellung von Authentifizierungs-, Autorisierungs- und Profilinformationen von Benutzern f�r Anwendungen (oder Dienstanbieter), die von Drittanbietern oder nicht autorisierten Gruppen innerhalb des Unternehmens entwickelt wurden. M�gliche Sicherheitsprobleme:

Alle Anwendungen verwenden dasselbe http-Sitzungs-Cookie. Dadurch kann eine b�swillige Anwendung das Sitzungs-Cookie rauben und sich in einer anderen Anwendung als diesen Benutzer ausgeben.
Wenn die Anwendung das https-Protokoll nicht verwendet, ist das Sitzungs-Cookie anf�llig f�r Netzwerk-Lauschangriffe.
Wenn auch nur eine Anwendung gehackt werden kann, ist die Sicherheit der gesamten Infrastruktur gef�hrdet.
Eine b�swillige Anwendung kann das Sitzungs-Cookie verwenden, um die Profilattribute eines Benutzers abzurufen und eventuell zu �ndern. Wenn der Benutzer �ber Administratorrechte verf�gt, w�re die Anwendung dann in der Lage, noch viel gr��eren Schaden anzurichten.

Umgehung
F�hren Sie die folgenden Schritte aus:

Verwenden Sie die Identity Server-Verwaltungskonsole, um f�r jeden Agenten einen Eintrag zu erstellen.
W�hlen Sie in der Organisation, die den zu erstellenden Agenten enth�lt, im Men� „Ansicht“ die Option „Agenten“ und klicken Sie dann auf „Neu“.
Geben Sie die folgenden Informationen ein:

Name. Geben Sie den Namen oder die Identit�t des Agenten ein. Beispiel: agent123

Passwort. Geben Sie das Agentenpasswort ein. Beispiel: agent123

Passwort best�tigen. Best�tigen Sie das Passwort.

Beschreibung. Geben Sie eine kurze Beschreibung des Agenten ein. Sie k�nnen beispielsweise den Instanzennamen des Agenten oder den Namen der Anwendung eingeben, die dieser sch�tzt.

Agent-Schl�sselwert. Legen Sie die Agenteneigenschaften �ber ein Schl�ssel/Wert-Paar fest. Diese Eigenschaft verwendet Identity Server f�r den Empfang von Agentenanforderungen f�r Benutzerberechtigungsbest�tigungen.

Geben Sie einen Eigenschaftswert f�r agentRootURL ein, der dem Agenten-URL und seiner Anschlussnummer entspricht. Beachten Sie, dass der agentRootURL-Wert zwischen Gro�- und Kleinschreibung unterscheidet.

Beispiel: agentRootURL=http://Servername:99/

Ger�testatus. Geben Sie den Ger�testatus des Agenten ein. Bei Einstellung auf „Aktiv“ wird dem Agenten die Authentifizierung und Kommunikation mit Identity Server erm�glicht. Bei Einstellung auf „Inaktiv“ kann sich der Agent nicht bei Identity Server authentifizieren.

Klicken Sie auf „OK“.
F�hren Sie den folgenden Befehl mit dem Passwort aus, das Sie in Schritt 2b eingegeben haben.

/opt/SUNWam/agents/bin/crypt_util agent123

Dies bewirkt folgende Ausgabe:

WnmKUCg/y3l404ivWY6HPQ==

�ndern Sie die Datei AMAgent.properties so, dass sie den neuen Wert enth�lt, und starten Sie dann den Agenten neu. Beispiel:

# The username and password to use for the Application authentication module. com.sun.am.policy.am.username = agent123 com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ== # Cross-Domain Single Sign On URL # Is CDSSO enabled. com.sun.am.policy.agents.cdsso-enabled=true # This is the URL the user will be redirected to after successful login # in a CDSSO Scenario. com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port/amserver/cdcservlet

�ndern Sie die Datei AMConfig.properties so, dass sie die neuen Werte enth�lt, und starten Sie dann Identity Server neu. Beispiel:

com.sun.identity.enableUniqueSSOTokenCookie=true com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer com.sun.identity.authentication.uniqueCookieDomain=example.com

W�hlen Sie in der Identity Server-Verwaltungskonsole die Option „Dienstkonfiguration > Plattform“.





�ndern Sie den Cookie-Dom�nennamen in der Liste „Cookie-Dom�nen“:
W�hlen Sie die Standarddom�ne iplanet.com aus und klicken Sie dann auf „Entfernen“.
Geben Sie den Hostnamen der Identity Server-Installation ein und klicken Sie auf „Hinzuf�gen“.

Beispiel: server.example.com

Nun sollten im Browser zwei Cookies zu sehen sein:

Cookie	Hostname
iPlanetDirectoryPro	server.example.com
sunIdentityServerAuthNServer	example.com

---

Dateien f�r Neuverteilung

Sun Java System Identity Server 2004Q2 enth�lt keine Dateien f�r die Neuverteilung.

---

Problemmeldungen und Feedback

Wenn Sie mit Sun Java System Identity Server Probleme haben, wenden Sie sich an die Kundenunterst�tzung von Sun. Dazu stehen Ihnen folgende M�glichkeiten zur Verf�gung:

Sun-Softwaresupport unter:
http://www.sun.com/supportraining

Auf dieser Website finden Sie Links zur Knowledge Base, zum Online Support Center, zum ProductTracker wie auch zu Wartungsprogrammen und Kontaktinformationen f�r die Kundenunterst�tzung.

Die auf Ihrem Wartungsvertrag angegebene Telefonnummer.

Damit wir Sie optimal beraten k�nnen, halten Sie bitte die folgenden Informationen bereit, wenn Sie sich an die Kundenunterst�tzung wenden:

Beschreibung des Problems, einschlie�lich der Situation, in der das Problem auftrat, sowie seine Auswirkungen auf Ihre Arbeit.
Rechnertyp, Betriebssystem- und Produktversion, einschlie�lich s�mtlicher Patches und anderer Software, die mit dem Problem in Zusammenhang stehen k�nnten.
Zur Nachvollziehung des Problems eine ausf�hrliche Beschreibung der einzelnen Schritte und Vorgehensweisen, die zu dem Problem gef�hrt haben.
S�mtliche Fehlerprotokolle oder Kernspeicherausz�ge.

Kommentare sind willkommen

Sun m�chte seine Dokumentation laufend verbessern. Ihre Kommentare und Vorschl�ge sind daher immer willkommen. Verwenden Sie das webbasierte Formular, um uns Ihr Feedback mitzuteilen:

http://docs.sun.com/coll/entsys_04

Tragen Sie den vollst�ndigen Titel der Dokumentation und die vollst�ndige Teilenummer in die entsprechenden Felder ein. Die Teilenummer ist eine 7-stellige oder 9-stellige Zahl, die Sie auf der Titelseite des Handbuchs oder am Anfang des Dokuments finden. Die Teilenummer dieses Dokuments mit Versionshinweisen lautet beispielsweise 817-7130-10.

---

Weitere Informationen �ber Sun

N�tzliche Informationen �ber Sun Java System finden Sie unter den folgenden Internet-Adressen:

Sun Java SystemDokumentation
http://docs.sun.com/db/prod/entsys.04q2
Professionelle Dienste f�r Sun Java System
http://www.sun.com/service/products/software/javaenterprisesystem/
Sun Java System-Softwareprodukte und -Dienste
http://wwws.sun.com/software/
Sun Java System-Softwaresupport
http://www.sun.com/supportraining
Sun Java System-Support und -Knowledge Base
http://sunsolve.sun.com
Sun Java System-Beratung und professionelle Dienste
http://www.sun.com/service/products/software/javaenterprisesystem
Sun Java System-Informationen f�r Entwickler
http://developers.sun.com/
Sun-Supportdienste f�r Entwickler
http://www.sun.com/developers/support

---

Copyright � 2004 Sun Microsystems, Inc. Alle Rechte vorbehalten.

Sun Microsystems, Inc. ist Inhaber der Urheberrechte f�r die Technologie, die in den in diesem Dokument beschriebenen Produkten verwendet wird. Diese Urheberrechte k�nnen insbesondere und ohne Einschr�nkungen eines oder mehrere der unter http://www.sun.com/patents aufgelisteten US-Patente und weitere Patente oder angemeldete Patente in den USA und anderen L�ndern einschlie�en.

SUN URHEBERRECHTLICH/VERTRAULICH.

Rechte der US-Regierung   Kommerzielle Software. Regierungsbenutzer unterliegen der standardm��igen Lizenzvereinbarung von Sun Microsystems, Inc. sowie den anwendbaren Bestimmungen der FAR und ihrer Zus�tze.

Die Verwendung unterliegt Lizenzbestimmungen.

Diese Ausgabe kann von Drittanbietern entwickelte Bestandteile enthalten.

Teile davon leiten sich m�glicherweise aus den Berkeley BSD-Systemen ab und sind lizenziert von der University of California.

Sun, Sun Microsystems, das Sun-Logo, Java und Solaris sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und anderen L�ndern. Alle SPARC-Warenzeichen werden unter Lizenz verwendet und sind Warenzeichen oder eingetragene Warenzeichen von SPARC International, Inc. in den USA und anderen L�ndern.

---

Copyright � 2004 Sun Microsystems, Inc. Tous droits r�serv�s.

Sun Microsystems, Inc. d�tient les droits de propri�t� intellectuels relatifs � la technologie incorpor�e dans le produit qui est d�crit dans ce document. En particulier, et ce sans limitation, ces droits de propri�t� intellectuelle peuvent inclure un ou plus des brevets am�ricains list�s � l'adresse http://www.sun.com/patents et un ou les brevets suppl�mentaires ou les applications de brevet en attente aux Etats - Unis et dans les autres pays.

Propri�t� de SUN/CONFIDENTIEL.

L'utilisation est soumise aux termes du contrat de licence.

Cette distribution peut comprendre des composants d�velopp�s par des tierces parties.

Des parties de ce produit pourront �tre d�riv�es des syst�mes Berkeley BSD licenci�s par l'Universit� de Californie.

Sun, Sun Microsystems, le logo Sun, Java et Solaris sont des marques de fabrique ou des marques d�pos�es de Sun Microsystems, Inc. aux Etats-Unis et dans d'autres pays.

Toutes les marques SPARC sont utilis�es sous licence et sont des marques de fabrique ou des marques d�pos�es de SPARC International, Inc. aux Etats-Unis et dans d'autres pays.