test

Sun Java System Access Manager 7 2005Q4 发行说明

Access Manager 7 2005Q4 修补程序 5

Access Manager 7 修补程序 5(修订版 05)可修复一系列的问题,其随附的自述文件中列出了具体内容。修补程序 5 还包括以下新功能、问题和文档更新。

修补程序 5 的新增功能

修补程序 5 的已知问题和限制

全球化 (Globalization, g11n) 问题

文档更新

支持 HP-UX 系统

修补程序 126371 提供对 HP-UX 系统的支持。有关更多信息,请参见:

有关 HP-UX 系统上的安装的信息,参见《Sun Java Enterprise System 2005Q4 Installation Guide for UNIX》

支持 Microsoft Windows 系统

修补程序 124296 提供对 Windows 系统的支持。有关更多信息,请参见:

有关 Windows 系统上的安装的信息,参见《Sun Java Enterprise System 2005Q4 Installation Guide for Microsoft Windows》

提供新的 updateschema.sh 脚本来加载 LDIF 和 XML 文件

修补程序 5(及更高版本)包含 updateschema.sh 脚本,从而可加载下列文件以更新 Directory Server 服务模式:

在以前的 Access Manager 修补程序版本中,您需要手动加载这些文件。

要运行 updateschema.sh 脚本:

  1. 以超级用户 (root) 身份登录或成为超级用户。

  2. 转至修补程序目录。

  3. 运行该脚本。例如,在 Solaris 系统上:

    # cd /120954-07 
# ./updateschema.sh

    在 Windows 系统上,脚本为 updateschema.pl

  4. 在脚本提示时,输入以下各项:

    • Directory Server 主机名和端口号

    • Directory Server 管理员用户 DN 和密码

    • amadmin DN 和密码

  5. 脚本会验证您的输入内容,然后加载文件。脚本还会写入以下日志文件:

    • Solaris 系统:/var/opt/SUNWam/logs/AM70Patch.upgrade.schema. timestamp

    • Linux 系统:/var/opt/sun/identity/logs/AM70Patch.upgrade.schema. timestamp

  6. 脚本结束后,重新启动 Access Manager Web 容器。

注意:如果您回退修补程序 5,那么不会从 Directory Server 中删除由 updateschema.sh 脚本添加的模式更改。不过,您不需要手动删除这些模式更改,因为它们并不会在回退修补程序后影响 Access Manager 的功能性和可用性。

支持特定的应用程序闲置会话超时值

修补程序 5 允许不同的应用程序拥有不同的会话闲置超时值。在企业中,某些应用程序可能需要比会话服务中指定的会话闲置超时更短的会话闲置超时值。例如,您在会话服务中将会话的闲置超时值指定为 30 分钟,但 HR 应用程序应在用户闲置超过 10 分钟后即超时。

使用此功能的要求如下:

要使用此功能:

例如,考虑具有如下“验证模式条件”的策略 http://host.sample.com/hr/*

如果定义了多个策略来保护 HR 应用程序的资源,则您必须将该“条件”添加到所有策略。

当不同会话中的用户尝试访问 Access Manager 代理所保护的 HR 应用程序时,系统会提示该用户进行 LDAP 模式验证(如果用户尚未通过验证)。

如果用户已通过 LDAP 模式验证,则仅当距上次验证的时间小于 10 分钟或距用户上次访问 HR 应用程序的时间小于 10 分钟时,才允许用户执行访问。否则,系统会再次提示用户进行 LDAP 模式验证以访问应用程序。

可在分布式验证 UI 服务器上部署 CDC Servlet

CDC Servlet 可与分布式验证 UI 服务器在 DMZ 中共存以启用跨域单点登录 (Cross-Domain Single Sign-On, CDSSO)。可将 Access Manager 服务器部署在防火墙之后,所有访问 Access Manager 以实现 CDSSO 的操作均由分布式验证 UI 服务器中的 CDC Servlet 处理。要启用 CDSSO,参阅特定的策略代理文档并执行以下附加步骤:

可在 CDC servlet 重定向至 Access Manager 登录 URL 时指定领域

现在,您可将领域名称指定给 CDC servlet,这样在重定向至 Access Manager 登录 URL 时,领域名称便会包括在其中,而且用户可登录到特定领域。例如:

com.sun.am.policy.agents.config.cdcservlet.url=
    http://lb.example.com/amserver/cdcservlet?org=realm1

证书验证可使用 UPN 值来映射用户配置文件

以前,证书验证只使用 subjectDN 中的 dn 组件来映射用户配置文件。现在,Access Manager 允许使用 SubjectAltNameExt 中的用户主体名称 (user principal name, UPN) 值来执行配置文件映射。

在多服务器环境中对注销操作进行后期验证处理

现在,当用户在多服务器环境中从一个与最初登录的服务器不同的服务器注销时,会进行后期验证处理(无论是否配置了会话故障转移)。

SAML 支持新的名称标识符 SPI

SAML 现在支持新的名称标识符服务提供者接口 (service provider interface, SPI),以便站点可自定义 SAML 声明中的名称标识符。站点可实现新的 NameIdentifierMapper 接口以将用户帐户映射到 SAML 声明主题中的名称标识符。

站点监视的新配置属性

Access Manager 站点监视功能包括以下新属性以允许您指定站点状态检查的行为。

属性 

描述 

com.sun.identity.urlchecker.invalidate.interval

用于识别停止或非响应站点的时间间隔(单位为毫秒)。 

默认值:70000 毫秒(70 秒)。 

com.sun.identity.urlchecker.sleep.interval

站点状态检查应休止的时间间隔(单位为毫秒)。 

默认值:30000 毫秒(30 秒)。 

com.sun.identity.urlchecker.targeturl

用于检查 Access Manager 进程状态的不同目标 URL。 

默认值:“/amserver/namingservice”

修补程序没有将这些属性添加到 AMConfig.properties 文件中。若要以默认值以外的其他值使用这些新属性,请执行下列操作:

  1. 将属性及其值添加到 AMConfig.properties 文件。对于策略代理,将这些属性添加到 AMAgents.properties 文件。

  2. 重新启动 Access Manager Web 容器以使这些值生效。

用户不必再在验证链中验证两次

考虑以下情况。站点配置一个具有三个 LDAP 模块的验证链。所有模块均设为 SUFFICIENT,并且 iplanet-am-auth-shared-state-enablediplanet-am-auth-store-shared-state-enabled 选项设为 true。例如:

<AttributeValuePair>
   <Value>A-LDAP SUFFICIENT iplanet-am-auth-shared-state-enabled=true
iplanet-am-auth-store-shared-state-enabled=true</Value>
   <Value>B-LDAP SUFFICIENT iplanet-am-auth-shared-state-enabled=true
iplanet-am-auth-store-shared-state-enabled=true</Value>
   <Value>C-LDAP SUFFICIENT iplanet-am-auth-shared-state-enabled=true
iplanet-am-auth-store-shared-state-enabled=true</Value>
</AttributeValuePair>

修补程序 5 向模块选项添加了新的 iplanet-am-auth-shared-state-behavior-pattern 选项,可能值为以下两者:tryFirstPass(默认值)和 useFirstPass

为避免用户必须输入两次用户 ID 和密码才能通过验证(如之前的情况所述),对于此链中的所有模块,将此新选项设为 useFirstPass。以前,仅存在于第三个 LDAP 实例中的用户需输入两次用户 ID 和密码才能通过验证。

对性能调节脚本的更改

修补程序 5 包括以下对性能调节脚本的更改:

另请参见 CR# 6527663:com.sun.identity.log.resolveHostName 属性的默认值应为 false 而不是 true

调节脚本支持密码文件

修补程序 5 允许您在文本文件中为调节脚本指定密码。以前,您只能将密码作为命令行参数输入,这样可能导致安全问题。要使用密码文件,在文件中根据需要设置以下变量:

DS_ADMIN_PASSWORD=DirectoryServer-admin-password
AS_ADMIN_PASSWORD=ApplicationServer8-admin-password

例如,要调节 Application Server 8:

# ./amtune-as8 password-file

其中,password-file 包含设为 Application Server 8 管理员密码的 AS_ADMIN_PASSWORD

调节脚本在调用 ldapmodifyldapsearchdb2indexdsconf Directory Server 实用程序时使用 -j password-file 选项。

调节脚本从 Directory Server 中删除不必要的 ACI

如果在“领域模式”下安装 Access Manager 7 2005Q4,则使用委托权限来确定访问权限,因此某些 Directory Server ACI 为不必要。Access Manager 7 2005Q4 修补程序 5 允许您通过 amtune-prepareDSTuner 脚本来删除不必要的 ACI。此脚本从 remacis.ldif 文件读取 ACI 列表,然后调用 ldapmodify 实用程序来删除它们。

可运行 amtune-prepareDSTuner 脚本来删除 Solaris、Linux、HP-UX 和 Windows 系统上不必要的 ACI。有关详细信息(包含如何运行该脚本),参见《Technical Note: Sun Java System Access Manager ACI Guide》

调节脚本可调节分布式验证 UI 服务器的 Web 容器

在 Web 容器上部署分布式验证 UI 服务器后,可通过运行 Access Manager 调节脚本来调节 Web 容器。以下调节脚本会为各 Web 容器设置 JVM 及其他调节选项:

表 2 Access Manager Web 容器调节脚本

Web 容器 

调节脚本 

amtune-ws61

Web Server 6.1 

amtune-as7

Application Server 7 

amtune-as8

Application Server Enterprise Edition 8.1 

要调节分布式验证 UI 服务器的 Web 容器:

  1. 由于 Access Manager 服务器未安装在部署了分布式验证 UI 服务器的系统上,因此从 Access Manager 服务器安装中复制相应的 Web 容器调节脚本(如上表中所示)、amtune-env 配置文件和 amtune-utils 脚本。如果您想要调节 Solaris 或 Linux 操作系统,则还需复制 amtune-os 脚本。

  2. 编辑 amtune-env 配置文件中的参数以指定 Web 容器和调节选项。要在 REVIEW 模式下运行脚本,请在 amtune-env 文件中设置 AMTUNE_MODE=REVIEW

  3. 在 REVIEW 模式下运行 Web 容器调节脚本。在 REVIEW 模式下,脚本会根据 amtune-env 文件建议调节更改,但不会对部署做任何实际更改。

  4. 查看调试日志文件中的调节建议。如有需要,根据本次运行情况对 amtune-env 文件执行更改。

  5. 要执行调节更改,在 amtune-env 文件中设置 AMTUNE_MODE=CHANGE

  6. 在 CHANGE 模式下运行调节脚本以对部署执行调节更改。

有关运行调节脚本以调节 Access Manager Web 容器的详细信息,参见《Sun Java System Access Manager 7 2005Q4 Performance Tuning Guide》中的第 2  章 “Access Manager Tuning Scripts”

单个 amtune-os 脚本可调节 Solaris OS 和 Linux OS

修补程序 5 包括可调节 Solaris OS 和 Linux OS 的单个 amtune-os 脚本。此脚本使用 uname -s 命令来确定 OS 类型。以前,Access Manager 提供单独的 amtune-os 脚本来调节各种 OS。

在 Solaris 10 本地区域中调节脚本可以完整执行

如果 Access Manager 安装在 Solaris 10 本地区域中,则除 amtune-os 以外的所有调节脚本均可在本地区域中运行。在本地区域中,amtune-os 脚本显示一条警告消息,但不调节 OS。接下来,脚本会继续运行您已请求的任何其他调节脚本。以前,在本地区域中,amtune-os 会异常中止,并且不会运行任何您已请求的后续调节脚本。

在 Solaris 10 全局区域中,amtune 脚本会调用 amtune-os 来调节 OS 以及您已请求运行的任何其他脚本。

Windows 系统可使用调节脚本

修补程序 5 包括以下用于 Windows 系统的调节脚本。在 Windows 系统上运行调节脚本与在 Solaris 系统或 Linux 系统上运行脚本类似,但有以下区别:

Sun Fire T1000 和 T2000 服务器的调节注意事项

如果 Access Manager 安装在 Sun Fire T1000 或 T2000 服务器上,则适用于 Web Server 6.1 和 Application Server 8 的修补程序 5 调节脚本将 JVM GC ParallelGCThreads 参数设为 8:

-XX:ParallelGCThreads=8

此参数减少垃圾回收线程数,在具备 32 线程处理能力的系统中该线程数量可能会显得不必要的高。不过,如果 32 位虚拟 CPU 计算机(如 Sun Fire T1000 或 T2000 服务器)将所有垃圾回收活动数量最小化,您仍可将该值增加到 16 甚至 20。

同时,对于带有采用 CoolThreads 技术的 CMT 处理器的 Solaris SPARC 系统,建议在 /etc/opt/SUNWam/config/AMConfig.properties 文件的结尾处添加以下属性:

com.sun.am.concurrencyRate=value

默认的 value 为 16,但可将此属性设为更低的值,具体取决于 Sun Fire T1000 或 T2000 服务器中的核心数。

IIS 6.0 策略代理中的基本验证

要在 Microsoft Internet 信息服务 (Internet Information Services, IIS) 6.0 中启用基本验证,策略代理必须获得用户名和密码。修补程序 5 包括以下新类,它们可使用用户密码的 DES 加密来启用此功能:

要在 IIS 6.0 中使用基本验证,您必须在 Access Manager 服务器端和 IIS 6.0 策略代理端上执行以下步骤。

在 Access Manager 服务器端:

  1. 执行 DESGenKey.java 生成唯一的加密密钥来对密码进行加密和解密。在 Solaris 系统上,DESGenKey.java 文件位于 com/sun/identity/common 目录下,包括在 /opt/SUNWam/lib 目录的 am_sdk.jar 中。例如,以下命令可生成加密密钥:

    # cd /opt/SUNWam/lib
# java -cp am_sdk.jar com.sun.identity.common.DESGenKey

  2. 将从步骤 1 得到的加密密钥值指定给 AMConfig.properties 文件中的 com.sun.am.replaypasswd.key 属性。

  3. ReplayPasswd.java 部署为后期验证插件。配置插件时,请使用完整的类名:com.sun.identity.authentication.spi.ReplayPasswd

在 IIS 6.0 策略代理端:

  1. 将从服务器端得到的加密密钥值指定给 AMAgent.properties 文件中的 com.sun.am.replaypasswd.key 属性。Access Manager 服务器和 IIS 6.0 策略代理必须使用相同的加密密钥。

  2. 在 IIS 6.0 Manager 中启用基本验证。

IIS 6.0 策略代理从会话响应中读取加密密码,从 com.sun.am.replaypasswd.key 属性解密密码,并设置验证标头使基本验证生效。

有关 IIS 6.0 策略代理的信息,参见《Sun Java System Access Manager Policy Agent 2.2 Guide for Microsoft Internet Information Services 6.0》

CR# 6567746:在 HP-UX 系统上,如果超过密码重试次数,Access Manager 修补程序 5 会报告错误的 errorCode 值

当用户帐户被锁定时,如果超过密码重试次数,HP-UX 系统上的 Access Manager 7 2005Q4 修补程序 5 会报告 errorCode = null 而非 errorCode = 107

解决方法。无。

CR# 6527663:com.sun.identity.log.resolveHostName 属性的默认值应为 false 而不是 true

在运行 amtune-identity 调节脚本之前,建议将以下设为 false 的属性添加到 AMConfig.properties 文件中:

com.sun.identity.log.resolveHostName=false

值为 false 可最小化解析主机名的影响,从而提升性能。不过,如果要在 amAuthentication.access 日志中显示客户机的主机名,则将该值设为 true

CR# 6527528:删除修补程序会留下带明文格式 amldapuser 密码的 XML 文件

如果从 Access Manager 完整服务器安装中删除修补程序 5,则 amAuthLDAP.xmlamPolicyConfig.xml 文件会包含明文格式的 amldapuser 密码。根据平台的不同,这些文件会位于以下目录:

解决方法:编辑 amAuthLDAP.xmlamPolicyConfig.xml 文件并删除明文密码。

CR# 6527516:WebLogic 上的完整服务器要求 JAX-RPC 1.0 JAR 文件与客户机 SDK 进行通信

在 Access Manager 7 2005Q4 修补程序中,Access Manager 用于 BEA WebLogic Server 的配置脚本 (amwl81config) 将 JAX-RPC 1.1 JAR 文件添加到 WebLogic 实例的 classpath 中。尽管此修改对 Sun Java System Portal Server 之类的产品有益,但是部署在 WebLogic Server 上的完整服务器安装 (DEPLOY_LEVEL=1) 将无法与客户机 SDK 安装进行通信,并且随后会发生异常。

如果 Access Manager 7 2005Q4 服务器安装在 BEA WebLogic Server 上,则 startWebLogic.sh 脚本中的 CLASSPATH 必须设为 JAX-RPC 1.0 JAR 文件所在的位置后,它才能与 Access Manager 客户机 SDK 进行通信。

解决方法:应用 Access Manager 修补程序之前,在 startWebLogic.sh 脚本中设置 CLASSPATH 使 WebLogic Server 实例使用 JAX-RPC 1.0 JAR 文件而非 JAX-RPC 1.1 JAR 文件:

  1. 在 Access Manager 服务器上,以超级用户身份登录或成为超级用户 (root)。

  2. 编辑 startWebLogic.sh 脚本并将 CLASSPATH 替换为使用 JAX-RPC 1.0 JAR 文件。例如:

当前值

CLASSPATH=/etc/opt/SUNWam/config:
AccessManager-base/AccessManager-package-dir/lib/jax-qname.jar:
AccessManager-base/AccessManager-package-dir/lib/namespace.jar:
AccessManager-base/AccessManager-package-dir/lib/jaxrpc-api.jar:
AccessManager-base/AccessManager-package-dir/lib/jaxrpc-spi.jar:
AccessManager-base/AccessManager-package-dir/lib/jaxrpc-impl.jar:

新值

CLASSPATH=/etc/opt/SUNWam/config:
AccessManager-base/AccessManager-package-dir/lib/jax-qname.jar:
AccessManager-base/AccessManager-package-dir/lib/namespace.jar:
AccessManager-base/AccessManager-package-dir/lib/jaxrpc_1.0/jaxrpc-api.jar:
AccessManager-base/AccessManager-package-dir/lib/jaxrpc-ri.jar:

其中,AccessManager-base 为基安装目录。默认值为 /opt(Solaris 系统上)或 /opt/sun(Linux 和 HP-UX 系统上)。AccessManager-package-dir 是 Access Manager 软件包目录。

5. 重新启动 WebLogic Server 实例。

CR # 6523499:修补程序 5 amsilent 文件对于 Linux 系统上的所有用户均为可读

在 Linux 系统上,postpatch 脚本会创建具有 644 权限的 /opt/sun/identity/amsilent 文件,它允许所有用户的读取访问。

解决方法:在执行 installpatch 脚本后,更改 amsilent 文件的权限,只允许所有者拥有读取和写入访问权限。例如:

# chmod 600 /opt/sun/identity/amsilent

CR# 6520326:将修补程序 5 应用到服务器上的第二个 Access Manager 实例会覆写第一个实例的 serverconfig.xml

在这种部署情况中,两个 Access Manager 实例部署在同一主机服务器上,且每个实例位于不同的 Web 容器实例上。然后执行以下步骤:

  1. 应用修补程序 5。

  2. 修改 amsilent 文件并重新部署第一个 Access Manager 实例。

  3. 再次修改第二个 Access Manager 实例的 amsilent,然后重新部署该实例。

如果在 amsilent 文件中 NEW_INSTANCE=false,则第一个 Access Manager 实例的 serverconfig.xml 文件将被来自第二个 Access Manager 实例的信息所覆盖。随后重新启动第一个 Access Manager 实例将失败。根据平台的不同,serverconfig.xml 文件将位于以下目录:

解决方法:在部署第二个 Access Manager 时,在 amsilent 文件中设置 NEW_INSTANCE=true。这样第二个 Access Manager 实例的 serverconfig.xml 文件就能更新为正确的信息,而第一个 Access Manager 实例的 serverconfig.xml 文件也不会被覆写。

CR# 6520016:修补程序 5 的仅 SDK 安装会覆写范例 makefile

将修补程序 5 应用到仅安装 SDK 的计算机会覆写范例 makefile。

解决方法:将修补程序 5 应用到仅安装 SDK 的计算机不需要重新配置;不过,如果要使用范例 makefile,请遵循以下步骤来更新范例 makefile 的 LDIF 和属性文件(即执行标记交换):

  1. 运行 amconfig 脚本(DEPLOY_LEVEL=14)来卸载 SDK 和取消配置 Web 容器。

  2. 运行 amconfig 脚本(DEPLOY_LEVEL=4)来重新安装 SDK 并重新配置 Web 容器。

CR#6515502:LDAPv3 系统信息库插件不能始终正确处理别名搜索属性

对于大多数搜索,此问题已得到修复。不过,在设置“别名搜索属性”时需谨慎。别名搜索属性的值必须在整个组织内唯一。如果设置了多个别名搜索属性,则有可能出现数据存储库中的一个条目匹配一个属性,而另一个条目匹配另一个属性。在这种情况下,Access Manager 服务器会抛出以下错误:

出现内部验证错误。请与您的系统管理员联系。

解决方法:

CR# 6515383:分布式验证和 J2EE 代理在同一 Web 容器上不起作用

分布式验证 UI 服务器和 J2EE 策略代理如果安装在同一 Web 容器中则不起作用。

解决方法:创建另一个 Web 容器实例,并在容器的不同实例上部署分布式验证 UI 服务器和 J2EE 策略代理。

CR# 6508103:Application Server 在 Windows 系统上时,联机帮助会返回应用程序错误

如果在 Windows 系统中的 Sun Java System Application Server 上部署 Access Manager,则单击“领域模式”控制台的帮助屏幕左面板中的“帮助”会返回一个应用程序错误。

解决方法:javaes-install-dir\share\lib\jhall.jar 文件复制到 JAVA_HOME\jre\lib\ext 目录,然后重新启动 Application Server。

CR# 6507383 和 CR# 6507377:分布式验证要求显式 goto URL 参数

如果未指定显式 goto URL 参数,则分布式验证 UI 服务器会尝试重定向至 Access Manager 中指定的成功 URL 上的 goto。此重定向可能会由于以下原因而失败:

解决方法:始终为分布式验证 UI 服务器指定一个显式 goto URL 参数。

CR# 6402167:LDAP JDK 4.18 导致 LDAP客户机/Directory Server 问题

在 Java ES 2005Q4 发行版中,Access Manager 7 2005Q4 是随 LDAP JDK 4.18 一起发行的,从而导致了多个 Access Manager 与 Directory Server 连接问题。

解决方法:应用以下 Sun Java System LDAP Java Development Kit 修补程序之一:

这些修补程序可从 SunSolve Online 获取:http://sunsolve.sun.com

CR# 6352135:分布式验证 UI 服务器文件的安装位置不正确

在 Solaris 系统上,Java ES 安装程序将分布式验证 UI 服务器 Makefile.distAuthUIREADME.distAuthUIamauthdistui.war 文件安装在错误的位置:/opt/SUNComm/SUNWam

解决方法:将这些文件复制到正确的位置:/opt/SUNWam

注意:任何在修补程序中修复的分布式验证 UI 服务器问题均会进入 /opt/SUNComm/SUNWam/amauthdistui.war 文件,因此,无论何时将修补程序应用到 Access Manager 服务器然后重建并部署 WAR 文件时,您还必须将这些文件复制到 /opt/SUNWam 目录。

CR# 6522720:在 Windows 和 HP-UX 系统上,无法在控制台联机帮助中搜索多字节字符

在 Windows 或 HP-UX 系统上,如果在使用多字节字符(如日文)的语言环境下安装 Access Manager,则无法在控制台联机帮助中使用通过多字节字符输入的关键字进行搜索。

解决方法:

修补程序 6 更新:Access Manager 7 2005Q4 修补程序 6 在 Windows 系统上修复了该问题。但是,HP-UX 系统上仍然存在该问题。

CR# 6524251:在 Windows 系统上配置 Access Manager 的过程中,输出消息中的多字节字符为乱码

如果在 Windows 系统上安装使用多字节字符的语言环境(例如日文或中文)的 Access Manager,则在 Access Manager 配置过程中,终端窗口中的输出消息为乱码。

解决方法:无,但此问题不影响配置本身。

CR# 6526940:在 Windows 系统的非英文语言环境中安装修补程序 5 时会出现属性键,而不是消息文本

如果在 Windows 系统的非英文语言环境中安装修补程序 5 (124296-05),则安装面板中的某些字符串将显示为属性键而非实际的消息文本。属性键的示例为 PRODUCT_NAMEJES_Patch_FinishPanel_Text1JES_Patch_FinishPanel_Text2

解决方法:

CR# 6513653:与 com.iplanet.am.session.purgedelay 属性设置相关的问题

Access Manager amtune 脚本将 com.iplanet.am.session.purgedelay 属性设为 1,以便允许尽可能多的 Access Manager 会话。此属性指定清除会话操作延迟的分钟数。不过,对于诸如 Sun Java System Portal Server 之类的客户机,值为 1 可能还不够。

解决方法:运行 amtune 脚本后重置 com.iplanet.am.session.purgedelay 属性:

  1. AMConfig.properties 文件中,将该属性设为新值。例如:

    com.iplanet.am.session.purgedelay=5

  2. 重新启动 Access Manager Web 容器以使新值生效。