Access Manager 7 2005Q4 修补程序 2

Access Manager 7 2005Q4 修补程序 2（修订版 02）可修复一系列的问题，其随附的自述文件中列出了具体内容。修补程序 2 还具有以下新增功能和已知问题：

修补程序 2 的新增功能

• 用户管理、身份库和服务管理高速缓存的新属性

• 联合服务提供者的新属性

• LDAP 过滤条件支持

修补程序 2 的已知问题和限制

• CR# 6283582：Access Manager 实例之间没有共享登录失败次数

• CR# 6293673：发出会话超时通知时，需要保留原来的会话信息

• CR# 6244578：Access Manager 应当警告用户：浏览器 cookie 支持已禁用/不可用

• CR# 6236892：登录后，CDCServlet 处理 AuthNResponse 时显示图像/文本占位符

• CR# 6363157：如果确实需要，新属性可禁用持久性搜索

• CR# 6385696：现有的及新的 IDP 和 SP 不可见

用户管理、身份库和服务管理高速缓存的新属性

修补程序 2 包含以下用于用户管理 (Access Manager SDK)、身份库 (Identity Repository, IdRepo) 和服务管理高速缓存的新属性。这些属性允许您基于部署要求独立地启用和禁用不同的高速缓存，以及为高速缓存条目设置生存时间 (Time To Live, TTL)。

表 3 用户管理、身份库和服务管理高速缓存的新属性

属性	描述
用于启用和禁用高速缓存的新属性
com.iplanet.am.sdk.caching.enabled	用于启用 (True) 或禁用 (False) 身份库 (IdRepo)、用户管理和服务管理高速缓存的全局属性。如果为 True，或者属性没有出现在 AMConfig.properties 文件中，则这三个高速缓存都会启用。
注意：仅在上述全局属性设置为 False 时，才能应用以下三个用来启用或禁用特定高速缓存的属性。
com.sun.identity.amsdk.cache.enabled	仅启用 (True) 或禁用 (False) 用户管理 (Access Manager SDK) 高速缓存。
com.sun.identity.idm.cache.enabled	仅启用 (True) 或禁用 (False) 身份库 (IdRepo) 高速缓存。
com.sun.identity.sm.cache.enabled	仅启用 (True) 或禁用 (False) 服务管理高速缓存。
TTL 的新用户管理高速缓存属性.
com.iplanet.am.sdk.cache.entry.expire.enabled	启用 (True) 或禁用 (False) 用户管理高速缓存的到期时间（由以下两个属性所定义）。
com.iplanet.am.sdk.cache.entry.user.expire.time	指定用户管理高速缓存中的用户条目在上次修改之后保持有效的时间，以分钟为单位。即，在指定的时间过去之后（上次修改或从目录读取之后），被高速缓存的条目的数据将会过期。此后，如果对这些条目的数据有新请求，则必须从目录读取数据。
com.iplanet.am.sdk.cache.entry.default.expire.time	指定用户管理高速缓存中的非用户条目在上次修改之后保持有效的时间，以分钟为单位。即，在指定的时间过去之后（上次修改或从目录读取之后），被高速缓存的条目的数据将会过期。此后，如果对这些条目的数据有新请求，则必须从目录读取数据。TTL 的新身份库高速缓存属性
com.sun.identity.idm.cache.entry.expire.enabled	启用 (True) 或禁用 (False) IdRepo 高速缓存的到期时间（由以下属性所定义）。
com.sun.identity.idm.cache.entry.default.expire.time	指定 IdRepo 高速缓存中的非用户条目在上次修改之后保持有效的时间，以分钟为单位。即，在指定的时间过去之后（上次修改或从系统信息库读取之后），被高速缓存的条目的数据将会过期。此后，如果对这些条目的数据有新请求，则必须从系统信息库读取数据。

使用新的高速缓存属性

Access Manager 7 2005Q4 修补程序不会自动将新的高速缓存属性添加到 AMConfig.properties 文件中。

使用新的高速缓存属性：

1. 使用文本编辑器，将属性和它们的值添加到以下目录（由具体平台而定）的 AMConfig.properties 文件中：

   • Solaris 系统：/etc/opt/SUNWam/config

   • Linux 系统：/etc/opt/sun/identity/config

2. 重新启动 Access Manager Web 容器以使这些值生效。

联合服务提供者的新属性

新的 com.sun.identity.federation.spadapter 属性定义了 com.sun.identity.federation.plugins.FederationSPAdapter 的实现类，该类用于在服务提供者端的联合处理期间添加特定于应用程序的处理。

另请参见CR# 6385696：现有的及新的 IDP 和 SP 不可见。

LDAP 过滤条件支持

修补程序 2 中添加了“LDAP 过滤条件”支持。策略管理员现在可以在定义策略时，在条件中指定 LDAP 过滤器。仅当用户的 LDAP 条目满足条件中指定的 LDAP 过滤器时，才会对该用户应用策略。用户的 LDAP 条目是在策略配置服务中指定的目录内进行查找。

要注册和使用“LDAP 过滤器条件”，请在安装 Access Manager 7 修补程序 2 后运行以下命令（以将 Access Manager 安装在 Solaris 系统上的默认目录中为例）：

# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-s /etc/opt/SUNWam/AddLDAPFilterCondition.xml
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml

修补程序 5 说明如果您已添加 Access Manager 7 2005Q4 修补程序 5 并运行 updateschema.sh 脚本，则您不需要使用 amadmin 来加载这些文件。有关更多信息，请参见提供新的 updateschema.sh 脚本来加载 LDIF 和 XML 文件。

CR# 6283582：Access Manager 实例之间没有共享登录失败次数

安装 Access Manager 7 修补程序 2 后，运行以下命令（以安装在 Solaris 系统的默认目录下的 Access Manager 为例）：

# cd DirectoryServer-base/shared/bin
# ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort 
-D "cn=Directory Manager" -w DirectoryMangerPassword 
-a -f /etc/opt/SUNWam/accountLockout.ldif
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/accountLockoutData.xml

DirectoryServer-base 的默认值在 Solaris 系统中是 /var/opt/mps/serverroot，而在 Linux 系统中是 /var/opt/sun/directory-server。

修补程序 5 说明如果您已添加 Access Manager 7 2005Q4 修补程序 5 并运行 updateschema.sh 脚本，则您不需要使用 amadmin 来加载这些文件。有关更多信息，请参见提供新的 updateschema.sh 脚本来加载 LDIF 和 XML 文件。

CR# 6293673：发出会话超时通知时，需要保留原来的会话信息

AMConfig.properties 文件中的新 com.sun.identity.session.property.doNotTrimList 属性可包含会话属性名称的列表（以逗号分隔）。一旦会话超时，此列表中定义的属性也不会被移除，因此在清除会话前均可以访问这些属性。例如：

com.sun.identity.session.property.doNotTrimList=UserId,HostName

CR# 6244578：Access Manager 应当警告用户：浏览器 cookie 支持已禁用/不可用

AMConfig.properties 文件中的新 com.sun.identity.am.cookie.check 属性指示服务器是否应当检查浏览器中的 cookie 支持/cookie 启用。其值为 true 时，服务器将检查浏览器中的 cookie 支持/cookie 启用。如果浏览器不支持或没有启用 cookie，则服务器会抛出错误页面。如果希望服务器对验证功能提供无 cookie 模式支持，则应将此值设置为 false（即默认值）。

CR# 6236892：登录后，CDCServlet 处理 AuthNResponse 时显示图像/文本占位符

以下新属性被添加到 AMConfig.properties 文件中，并由 CDCServlet 读取：

• com.iplanet.services.cdc.WaitImage.display 如果设置为 true，则当用户在 CDSSO 方案中等待受保护的页面时，浏览器中将显示一个图像。默认值是 false。

• com.iplanet.services.cdc.WaitImage.name 用于指定图像名称。默认值是 waitImage.gif。此图像是从 login_images 目录中复制的。

• com.iplanet.services.cdc.WaitImage.width 用于指定图像宽度。默认值是 420。

• com.iplanet.services.cdc.WaitImage.height 用于指定图像高度。默认值是 120。

CR# 6363157：如果确实需要，新属性可禁用持久性搜索

AMConfig.properties 文件中的新 com.sun.am.event.connection.disable.list 属性用于指定可禁用的事件连接。其值（不区分大小写）可为：

aci - 对 aci 属性所做的更改，且使用 LDAP 过滤器 (aci=*) 进行搜索

sm - Access Manager 信息树（或服务管理节点）中的更改，包括具有 sunService 或 sunServiceComponent 标记对象类的对象。例如，您可以创建一个策略来定义受保护资源的访问权限，或者您可以修改现有策略的规则、对象、条件或响应提供者。

um - 用户目录（或用户管理节点）中的更改。例如，您可以更改用户的名称或地址。

例如，要禁用对 Access Manager 信息树（或服务管理节点）更改的持久性搜索：

com.sun.am.event.connection.disable.list=sm

要指定多个值，请将每个值以逗号分隔。

---

注意 –

持久性搜索会导致 Directory Server 上性能系统开销增加。如果您确定删除某些此类性能系统开销在生产环境中确实非常必要，可使用 com.sun.am.event.connection.disable.list 属性禁用一个或多个持久性搜索。

不过，在禁用持久性搜索前，您应该了解上述限制。强烈建议不要更改此属性，除非确实有必要。引入此属性的主要目的是避免在 Directory Server 上使用多个 2.1 J2EE 代理时产生的系统开销，因为这些代理中的每一个都会建立此类持久性搜索。2.2 J2EE 代理不再建立此类持久性搜索，因此您可能不需要使用此属性。

有关更多信息，请参见记录关于禁用持久性搜索的更多信息 (6486927)。

---

CR# 6385696：现有的及新的 IDP 和 SP 不可见

AMConfig.properties 文件中的新 com.sun.identity.federation.spadapter 属性可指定联合服务提供者适配器的默认实现，应用程序可从中获得声明和响应信息。例如：

com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter