Access Manager 7 2005Q4-Patch 2 (Überarbeitung 02) hat eine Reihe von Problemen behoben, die in der README-Datei zum Patch aufgeführt sind. Patch 2 enthält darüber hinaus folgende neue Funktionen und bekannte Probleme:
Neue Funktionen in Patch 2
Bekannte Probleme und Einschränkungen in Patch 2
Patch 2 umfasst außerdem die folgenden neuen Eigenschaften für die Benutzerverwaltung (Access Manager-SDK), Identitäts-Repository- (IdRepo) und Dienst-Verwaltungszwischenspeicher. Diese Eigenschaften ermöglichen es Ihnen, die verschiedenen Zwischenspeicher in Abhängigkeit der Bereitstellungsanforderungen unabhängig voneinander zu aktivieren und zu deaktivieren sowie die Time to Live (TTL) für die Zwischenspeichereinträge festzulegen.
Tabelle 3 Neue Eigenschaften für die Benutzerverwaltungs-, Identitäts-Repository- und Dienst-Verwaltungszwischenspeicher
Eigenschaft |
Beschreibung |
Neue Eigenschaften zum Aktivieren und Deaktivieren von Zwischenspeichern |
|
com.iplanet.am.sdk.caching.enabled |
Globale Eigenschaft, die die Identitäts-Repository- (IdRepo), Benutzerverwaltungs- und Dienst-Verwaltungszwischenspeicher aktiviert (true) oder deaktiviert (false). Falls der Wert mit true festgelegt oder die Eigenschaft nicht in der Datei AMConfig.properties vorhanden ist, sind alle drei Zwischenspeicher aktiviert. |
Hinweis Die folgenden drei Eigenschaften zum Aktivieren bzw. Deaktivieren der jeweiligen Zwischenspeicher treffen nur zu, wenn der Wert der vorhergehenden globalen Eigenschaft mit false festgelegt ist. |
|
com.sun.identity.amsdk.cache.enabled |
Aktiviert (true) bzw. deaktiviert (false) nur den Benutzerverwaltungszwischenspeicher (Access Manager-SDK). |
com.sun.identity.idm.cache.enabled |
Aktiviert (true) bzw. deaktiviert (false) nur den Identitäts-Repository (IdRepo)-Zwischenspeicher. |
com.sun.identity.sm.cache.enabled |
Aktiviert (true) bzw. deaktiviert (false) nur den Dienst-Verwaltungszwischenspeicher. |
Neue Eigenschaften des Benutzerverwaltungszwischenspeichers für TTL |
|
com.iplanet.am.sdk.cache.entry.expire.enabled |
Aktiviert (true) bzw. deaktiviert (false) die durch die folgenden beiden Eigenschaften definierte Ablaufzeit des Benutzerverwaltungszwischenspeichers. |
com.iplanet.am.sdk.cache.entry.user.expire.time |
Gibt die Zeit in Minuten an, die Benutzereinträge für den Benutzerverwaltungszwischenspeicher nach ihrer letzten Bearbeitung gültig bleiben. Dies bedeutet, dass die Daten für den zwischengespeicherten Eintrag nach dieser bestimmten Zeit (nach der letzten Bearbeitung oder dem letzten Lesevorgang vom Verzeichnis) ablaufen. Neue Anforderungen für Daten dieser Einträge müssen dann vom Verzeichnis gelesen werden. |
com.iplanet.am.sdk.cache.entry.default.expire.time |
Gibt die Zeit in Minuten an, die Einträge, die nicht von Benutzern stammen, für den Benutzerverwaltungszwischenspeicher nach ihrer letzten Bearbeitung gültig bleiben. Dies bedeutet, dass die Daten für den zwischengespeicherten Eintrag nach dieser bestimmten Zeit (nach der letzten Bearbeitung oder dem letzten Lesevorgang vom Verzeichnis) ablaufen. Neue Anforderungen für Daten dieser Einträge müssen dann vom Verzeichnis gelesen werden. Neue Eigenschaften des Identitäts-Repository-Zwischenspeichers für TTL |
com.sun.identity.idm.cache.entry.expire.enabled |
Aktiviert (true) bzw. deaktiviert (false) die durch die folgende Eigenschaft definierte Ablaufzeit des Benutzerverwaltungszwischenspeichers. |
com.sun.identity.idm.cache.entry.default.expire.time |
Gibt die Zeit in Minuten an, die Einträge, die nicht von Benutzern stammen, für den IdRepo-Zwischenspeicher nach ihrer letzten Bearbeitung gültig bleiben. Dies bedeutet, dass die Daten für den zwischengespeicherten Eintrag nach dieser bestimmten Zeit (nach der letzten Bearbeitung oder dem letzten Lesevorgang vom Repository) ablaufen. Neue Anforderungen für Daten dieser Einträge müssen dann vom Repository gelesen werden. |
Verwenden der neuen Eigenschaften beim Zwischenspeichern
Die Access Manager 7 2005Q4-Patches fügen die neuen Eigenschaften beim Zwischenspeichern nicht automatisch zur Datei AMConfig.properties hinzu.
So verwenden Sie die neuen Eigenschaften beim Zwischenspeichern
Fügen Sie die Eigenschaften und deren Werte mit einem Texteditor zur Datei AMConfig.properties im folgenden Verzeichnis (abhängig von der Plattform) hinzu:
Solaris-Systeme: /etc/opt/SUNWam/config
Linux-Systeme: /etc/opt/sun/identity/config
Starten Sie den Access Manager-Webcontainer neu, damit die Werte in Kraft treten.
Die neue Eigenschaft com.sun.identity.federation.spadapter definiert die Implementierungsklasse für com.sun.identity.federation.plugins.FederationSPAdapter , der zum Hinzufügen anwendungsspezfischer Prozesse während der Federation-Verarbeitung auf Dienstanbieterseite verwendet wird.
Weitere Informationen finden Sie unter Vorhandene und neue IDPs und SPs sind nicht sichtbar (6385696).
Die Unterstützung der LDAP-Filterbedingung wird in Patch 2 hinzugefügt. Ein Richtlinien-Administrator kann jetzt bei der Definition einer Richtlinie einen LDAP-Filter in der Bedingung angeben. Die Richtlinie wird nur dann auf den Benutzer angewendet, wenn der LDAP-Eintrag des Benutzers das in der Bedingung angegebenen LDAP-Filterkriterium erfüllt. Der LDAP-Eintrag des Benutzers wird in dem im Richtlinienkonfigurationsdienst angegebenen Verzeichnis gesucht.
Um die LDAP-Filterbedingung zu registrieren und zu verwenden, führen Sie nach der Installation von Access Manager 7-Patch 2 folgenden Befehl aus. Im folgenden Beispiel ist Access Manager im Standardverzeichnis für Solaris-Systeme installiert:
# /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -s /etc/opt/SUNWam/AddLDAPFilterCondition.xml # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml
Hinweis zu Patch 5 Wenn Sie Access Manager 7 2005Q4-Patch 5 installiert und das Skript updateschema.sh ausgeführt haben, müssen Sie diese Dateien unter Verwendung von amadmin laden. Weitere Informationen finden Sie unter Neues updateschema.sh-Skript zum Laden von LDIF- und XML-Dateien.
Führen Sie nach der Installation von Access Manager 7-Patch 2 folgende Befehle aus. Im folgenden Beispiel ist Access Manager im Standardverzeichnis für Solaris-Systeme installiert:
# cd DirectoryServer-base/shared/bin # ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort -D "cn=Directory Manager" -w DirectoryMangerPassword -a -f /etc/opt/SUNWam/accountLockout.ldif # /opt/SUNWam/bin/amadmin -u amadmin -w amadmin_password -t /etc/opt/SUNWam/accountLockoutData.xml
Der Standardwert für DirectoryServer-base lautet /var/opt/mps/serverroot (Solaris-Systeme) bzw. /var/opt/sun/directory-server (Linux-Systeme).
Hinweis zu Patch 5 Wenn Sie Access Manager 7 2005Q4-Patch 5 installiert und das Skript updateschema.sh ausgeführt haben, müssen Sie diese Dateien unter Verwendung von amadmin laden. Weitere Informationen finden Sie unter Neues updateschema.sh-Skript zum Laden von LDIF- und XML-Dateien.
Die neue Eigenschaft com.sun.identity.session.property.doNotTrimList in der Datei AMConfig.properties kann eine kommagetrennte Liste mit Sitzungseigenschaftsnamen enthalten. Die in dieser Liste definierten Eigenschaften werden nach Ablauf einer Sitzung nicht entfernt, sodass auf die Eigenschaften zugegriffen werden kann, bevor die Sitzung bereinigt wird. Beispiel:
com.sun.identity.session.property.doNotTrimList=UserId,HostName
Die neue Eigenschaft com.sun.identity.am.cookie.check in der Datei AMConfig.properties gibt an, ob der Server überprüfen soll, ob Cookies vom Browser unterstützt werden bzw. die Cookie-Unterstützung im Browser aktiviert ist. Wenn der Wert als true festgelegt ist, überprüft der Server, ob der Browser Cookies unterstützt bzw. ob die Cookie-Unterstützung aktiviert ist. Werden keine Cookies unterstützt bzw. ist die Cookie-Unterstützung nicht aktiviert, wird eine Fehlerseite ausgegeben. Dieser Wert muss als "false" (Standard) festgelegt werden, wenn der Server für die Authentifizierung einen Modus ohne Cookies unterstützen soll.
Die folgenden neuen Eigenschaften wurden der Datei AMConfig.properties hinzugefügt und werden vom CDCServlet gelesen:
Mit com.iplanet.services.cdc.WaitImage.display wird im Browser ein Bild angezeigt, solange ein Benutzer in einem CDSSO-Szenario auf die Anzeige der geschützten Seite wartet. Hierzu muss die Eigenschaft auf "true" festgelegt sein. Der Standardwert ist "false".
com.iplanet.services.cdc.WaitImage.name gibt den Bildnamen an. Der Standardwert ist waitImage.gif. Dieses Bild wird aus dem Verzeichnis login_images kopiert.
com.iplanet.services.cdc.WaitImage.width gibt die Bildbreite an. Der Standardwert ist "420".
com.iplanet.services.cdc.WaitImage.height gibt die Bildhöhe an. Der Standardwert ist "120".
Die neue Eigenschaft com.sun.am.event.connection.disable.list in der Datei AMConfig.properties gibt an, welche Ereignisverbindung deaktiviert werden kann. Gültige Werte (Groß-/Kleinschreibung beachten):
aci - Änderungen des Attributs aci, wobei bei der Suche der LDAP-Filter (aci=*) angewendet wird.
sm - Änderungen des Access Manager-Informationsbaums (oder des Dienstverwaltungskontens), der Objekte mit der Markerobjektklasse sunService oder sunServiceComponent enthält. Sie können beispielsweise eine Richtlinie erstellen, um Zugriffsberechtigungen für eine geschützte Ressource festzulegen, oder die Regeln, Subjekte, Bedingungen oder Antwortanbieter für eine bestehende Richtlinie ändern.
um - Änderungen des Benutzerverzeichnisses (oder des Benutzerverwaltungsknotens). Sie können beispielsweise den Namen oder die Adresse eines Benutzers ändern.
So deaktivieren Sie beispielsweise die persistente Suche für Änderungen des Access Manager-Informationsbaums (oder des Dienstverwaltungsknotens)
com.sun.am.event.connection.disable.list=sm
Wenn Sie mehrere Werte angeben möchten, verwenden Sie als Trennzeichen ein Komma.
Persistente Suchabfragen verursachen Performance-Overhead in Directory Server. In diesem Fall ist das Entfernen diese Performance-Overheads in einer Produktionsumgebung dringend erforderlich. Sie können eine oder mehrere persistente Suchabfragen mit der Eigenschaft com.sun.am.event.connection.disable.list deaktivieren.
Bevor Sie jedoch eine persistente Suche deaktivieren, sollten Sie mit den oben beschriebenen Einschränkungen vertraut sein. Es wird dringend empfohlen, diese Eigenschaft nur im absoluten Bedarfsfall zu ändern. Diese Eigenschaft wurde in erster Linie eingeführt, um Overhead auf Directory Server bei Einsatz mehrerer J2EE-Agenten zu vermeiden, da persistente Suchabfragen von jedem Agenten eingerichtet werden. Da die 2.2 J2EE-Agenten diese persistenten Suchabfragen nicht mehr einrichten, müssen Sie die Eigenschaft unter Umständen nicht verwenden.
Weitere Informationen finden Sie unter Weitere Informationen zum Deaktivieren von persistenten Suchabfragen (6486927).
Die neue Eigenschaft com.sun.identity.federation.spadapter in der Datei AMConfig.properties gibt die standardmäßige Implementierung des Federation-Dienstanbieteradapters an, an dem die Anwendung Bestätigungsanweisungen und Antwortinformationen erhält. Beispiel:
com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter