文档问题

• 记录 Access Manager 无法从领域模式返回传统模式 (6508473)

• 记录关于禁用持久性搜索的更多信息 (6486927)

• 记录 Access Manager 支持和不支持的权限 (2143066)

• 记录基于 cookie 的粘性请求路由 (6476922)

• 记录 Windows 2003 的 Windows 桌面 SSO 配置 (6487361)

• 记录设置分布式验证 UI 服务器密码的步骤 (6510859)

• “创建新站点名称”的在线帮助需要更多信息 (2144543)

• 记录 Windows 系统上的管理员密码配置参数为 ADMIN_PASSWD (6470793)

• 发行说明中为某些已知问题提供的解决方法有错 (6422907)

• 对 AMConfig.properties 中的 com.iplanet.am.session.protectedPropertiesList 的说明 (6351192)

• 对支持 LDAPv3 插件的角色和过滤角色的说明 (6365196)

• 对 AMConfig.properties 文件中未使用的属性的说明 (6344530)

• 服务器端的 com.iplanet.am.session.client.polling.enable 不能为 true (6320475)

• 控制台联机帮助中的“默认成功 URL”不正确 (6296751)

• 说明如何启用 XML 加密 (6275563)

记录 Access Manager 无法从领域模式返回传统模式 (6508473)

如果在领域模式下安装 Access Manager 7 2005Q4，则无法返回到传统模式。

但是，如果在传统模式下安装 Access Manager 7 2005Q4，可通过使用带 -M 选项的 amadmin 命令来更改为领域模式。例如：

amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com

记录关于禁用持久性搜索的更多信息 (6486927)

Access Manager 使用持久性搜索来接收有关更改过的 Sun Java System Directory Server 条目的信息。默认情况下，Access Manager 在服务器启动过程中创建以下持久性搜索连接：

aci - 对 aci 属性所做的更改，且使用 LDAP 过滤器 (aci=*) 进行搜索

sm - Access Manager 信息树（或服务管理节点）中的更改，包括具有 sunService 或 sunServiceComponent 标记对象类的对象。例如，您可以创建一个策略来定义受保护资源的访问权限，或者您可以修改现有策略的规则、对象、条件或响应提供者。

um - 用户目录（或用户管理节点）中的更改。例如，您可以更改用户的名称或地址。

---

注意 –

不建议禁用所有此类组件的持久性搜索，因为禁用了持久性搜索的组件不能收到来自 Directory Server 的通知。因此，在 Directory Server 中对该特定组件所做的更改将无法通知组件高速缓存，且组件高速缓存将失去时效。

例如，如果您禁用对用户目录 (um) 中更改的持久性搜索，则 Access Manager 服务器将不会收到来自 Directory Server 的信息。因此，代理将不会从 Access Manager 收到使用用户属性的新值来更新其本地用户高速缓存的通知。然后，如果应用程序向代理查询用户属性，它会收到该属性的旧值。

仅在特定环境中确实必要时使用此属性。例如，如果您知道生产环境中不会发生服务配置更改（与任何服务（例如“会话服务”和“验证服务”）值的更改相关），则可以禁用对“服务管理”(sm) 组件的持久性搜索。不过，如果任何服务发生了任何更改，则需要重新启动服务器。同样的情形也适用于 aci 和 um 值所指定的其他持久性搜索。

---

有关更多信息，请参见CR# 6363157：如果确实需要，新属性可禁用持久性搜索。

记录 Access Manager 支持和不支持的权限 (2143066)

权限定义管理员的访问权限，此类管理员为领域内存在的角色或组的成员。Access Manager 允许您为以下管理员类型配置权限：

• 领域管理员，可执行所有与领域相关的任务，包括定义身份认证系统信息库（数据存储库）、配置验证和定义策略。

• 策略管理员，可在现有领域中配置策略。

支持以下权限：

• 所有领域和策略属性的读写访问权限。为领域管理员定义读写访问权限。

• 仅针对策略属性的读写访问权限。为策略管理员定义读写访问权限。

• 支持的权限组合：仅针对策略属性的读写访问权限和对数据存储库的只读权限。不支持其他权限组合。

记录基于 cookie 的粘性请求路由 (6476922)

将 Access Manager 服务器部署到负载平衡器后面后， 基于 cookie 的粘性请求路由可避免客户机请求被错误地路由到不正确的 Access Manager 服务器（即路由到没有托管该会话的服务器）。已在 Access Manager 7 2005Q4 修补程序 3 中实现此功能。

在以前的操作中，由于没有基于 cookie 的粘性请求路由，来自不基于任何浏览器的客户机（如使用远程 Access Manager 客户机 SDK 的策略代理和客户机）的请求经常被错误地路由到没有托管会话的 Access Manager 服务器。然后，为了将请求发送到正确的服务器，Access Manager 服务器必须使用后台频道通信来验证会话，这通常会导致某种程度的性能降级。基于 cookie 的粘性请求路由不必进行此类后台频道通信，因而提高了 Access Manager 的性能。

要实施基于 cookie 的粘性请求路由，必须将 Access Manager 部署配置为一个站点。有关信息，参见《Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide》中的“Configuring an Access Manager Deployment as a Site”。

要配置基于 cookie 的粘性请求路由：

1. 要指定 cookie 名称，在 AMConfig.properties 文件中设置 com.iplanet.am.lbcookie.name 属性。然后，Access Manager 会使用两个字节的服务器 ID（例如 01、02 和 03）生成负载平衡器 cookie 值。如果未指定 cookie 名称，则 Access Manager 会使用默认名称 amlbcookie 加上两个字节的服务器 ID 来生成负载平衡器 cookie 值。

   如果在 Access Manager 服务器上设置 cookie 名称，则必须在策略代理的 AMAgent.properties 文件中使用相同的名称。同样，如果使用 Access Manager 客户机 SDK，也必须使用与 Access Manager 服务器使用的同一 cookie 名称。

   注意：请勿设置 com.iplanet.am.lbcookie.value 属性，因为 Access Manager 会使用两个字节的服务器 ID 来设置 cookie 值。

2. 使用步骤 1 中得到的 cookie 名称来配置负载平衡器。可将硬件或软件负载平衡器与 Access Manager 部署一起使用。

3. 如果实施了会话故障转移，则同时对策略代理和 Access Manager 服务器启用 com.sun.identity.session.resetLBCookie 属性。

   • 对于策略代理，在 AMAgent.properties 文件中添加并启用此属性。

   • 对于 Access Manager 服务器，在 AMConfig.properties 文件中添加并启用此属性。

   例如：

   com.sun.identity.session.resetLBCookie='true'

   如果发生故障转移，则将会话路由至备用 Access Manager 服务器，并使用备用 Access Manager 服务器的服务器 ID 来设置负载平衡器 cookie 值。然后该会话的任何后续请求都将路由至备用 Access Manager 服务器。

记录 Windows 2003 的 Windows 桌面 SSO 配置 (6487361)

要在 Windows 2003 上配置 Windows 桌面 SSO（如《Sun Java System Access Manager 7 2005Q4 管理指南》中的“配置 Windows 桌面 SSO”中所述），可使用以下 ktpass 命令：

ktpass /out filename /mapuser username 
/princ HTTP/hostname.domainname /crypto encryptiontype /rndpass 
/ptype principaltype /target domainname

例如：

ktpass /out demo.HTTP.keytab 
/mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM 
/crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

有关语法定义，参见以下站点：

http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true

记录设置分布式验证 UI 服务器密码的步骤 (6510859)

以下步骤说明如何为与 Access Manager 服务器通信的分布式验证 UI 服务器设置加密的密码。

要为分布式验证 UI 服务器设置密码：

1. 在 Access Manager 服务器上：

   1. 使用 ampassword -e 实用程序加密 amadmin 密码。例如，在 Solaris 系统上：

      # cd /opt/SUNWam/bin 
      # ./ampassword -e amadmin-password 
      AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 

      保存该加密值。

   2. 从 Access Manager 服务器的 AMConfig.properties 文件中复制并保存 am.encryption.pwd 属性值。例如：

      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

2. 在分布式验证 UI 服务器上，对 AMConfig.properties 文件执行以下更改：

   1. 注释掉 com.iplanet.am.service.password 属性。

   2. 将 com.iplanet.am.service.secret 属性设为步骤 1a 中得到的加密 amadmin 密码。

   3. 添加从步骤 1b 中复制的 am.encryption.pwd 和加密的值。例如：

      com.sun.identity.agents.app.username=username 
      #com.iplanet.am.service.password=password 
      com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 
      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y

3. 重新启动分布式验证 UI 服务器。

“创建新站点名称”的在线帮助需要更多信息 (2144543)

Access Manager 控制台在线帮助的“配置”>“系统属性”>“平台”下缺少“创建新站点名称”的“保存”步骤。如果在添加新站点名称后没有单击“保存”然后又接着尝试添加一个实例名，进程将失败。因此，在添加站点名称后务必单击“保存”，然后再添加实例名。

记录 Windows 系统上的管理员密码配置参数为 ADMIN_PASSWD (6470793)

在 Solaris 和 Linux 系统上，amsamplesilent 文件中的 Access Manager 管理员 (amadmin) 密码配置参数为 ADMINPASSWD。但是，在 Windows 系统上，AMConfigurator.properties 文件中的此参数为 ADMIN_PASSWD。

如果要在 Windows 系统上运行 amconfig.bat，则使用 ADMIN_PASSWORD 参数而非 ADMINPASSWD 在 AMConfigurator.properties 文件中设置 amadmin 密码。

发行说明中为某些已知问题提供的解决方法有错 (6422907)

已更正了运行 Web 服务范例时返回“未找到资源提供”(6359900)的解决方法的步骤 3。

对 AMConfig.properties 中的 com.iplanet.am.session.protectedPropertiesList 的说明 (6351192)

com.iplanet.am.session.protectedPropertiesList 参数允许您保护特定核心和内部会话属性，防止它们被会话服务的 SetProperty 方法远程更新。通过设置此“隐藏”的关键安全性参数，可以自定义会话属性以参与授权以及其他 Access Manager 特性。若要使用此参数：

1. 使用文本编辑器将参数添加到 AMConfig.properties 文件中。

2. 将参数设置为需要保护的会话属性。例如：

   com.iplanet.am.session.protectedPropertiesList = 
   PropertyName1,PropertyName2,PropertyName3
   

3. 重新启动 Access Manager Web 容器以使这些值生效。

对支持 LDAPv3 插件的角色和过滤角色的说明 (6365196)

应用相应的修补程序后，如果数据存储在 Sun Java System Directory Server 中，则可为 LDAPv3 插件配置角色和过滤的角色（修复了 CR 6349959）。在 Access Manager 7 2005Q4 管理控制台“LDAPv3 插件支持的类型和操作”字段的 LDAPv3 配置中，按以下格式输入值：

role: read,edit,create,delete
filteredrole: read,edit,create,delete

您可以输入上述两个条目中的一条，或两条都输入，这取决于计划在 LDAPv3 中使用的角色和过滤角色。

对 AMConfig.properties 文件中未使用的属性的说明 (6344530)

未使用 AMConfig.properties 文件中的以下属性：

com.iplanet.am.directory.host
com.iplanet.am.directory.port

服务器端的 com.iplanet.am.session.client.polling.enable 不能为 true (6320475)

服务器端 AMConfig.properties 文件中的 com.iplanet.am.session.client.polling.enable 属性不能设置为 true。

解决方法：该属性默认设置为 false，请勿设置为 true。

控制台联机帮助中的“默认成功 URL”不正确 (6296751)

service.scserviceprofile.iplanetamauthservice.html 联机帮助文件中的“默认成功 URL”不正确。“默认成功 URL”字段接受一系列的值，这些值用于指定验证成功后用户被重定向到的 URL。该属性的格式为 clientType|URL，尽管您可以只指定 URL 的值（默认类型为 HTML）。

“/amconsole” 默认值不正确。

解决方法：正确的默认值是 "/amserver/console"。

说明如何启用 XML 加密 (6275563)

要使用 Bouncy Castle JAR 文件生成传输密钥以启用 Access Manager 或 Federation Manager 的 XML 加密功能，请按以下步骤进行操作：

1. 如果当前使用的 JDK 版本早于 JDK 1.5，从 Bouncy Castle 网站 (http://www.bouncycastle.org/) 下载 Bouncy Castle JCE 提供者。例如，对于 JDK 1.4，应下载 bcprov-jdk14-131.jar 文件。

2. 如果在上一步骤中已下载了 JAR 文件，则将此文件复制到 jdk_root/jre/lib/ext 目录下。

3. 对于国内版本的 JDK，则应从 Sun 的网站 (http://java.sun.com) 下载与所用 JDK 版本相对应的 JCE Unlimited Strength Jurisdiction Policy Files。对于 IBM WebSphere，请转到相应的 IBM 网站以下载所需文件。

4. 将已下载的 US_export_policy.jar 文件和 local_policy.jar 文件复制到 jdk_root/jre/lib/security 目录下。

5. 如果当前使用的 JDK 版本早于 JDK 1.5，则应编辑 jdk_root/jre/lib/security/java.security 文件，将 Bouncy Castle 添加为提供者之一。例如：

   security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider

6. 将 AMConfig.properties 文件中的以下属性设置为 true：

   com.sun.identity.jss.donotInstallAtHighestPriority=true

7. 重新启动 Access Manager Web 容器。

有关详细信息，参阅问题 ID 5110285（XML 加密需要 Bouncy Castle JAR 文件）。