Access Manager 7-Patch 6 (Überarbeitung 06) behebt eine Reihe von Problemen, die in der README-Datei zum Patch aufgeführt sind. Patch 6 enthält außerdem die folgenden neuen Funktionen, Problemlösungen und Dokumentationsaktualisierungen.
Neue Funktionen in Patch 6
Access Manager unterstützt die JDK 1.5-Methode HttpURLConnection setReadTimeout
Die Protokollierung für mehrere Access Manager-Instanzen erfolgt in separaten Protokolldateien.
Post-Authentifizierungs-Plugin von Microsoft IIS 6.0 unterstützt SharePoint Server
Bekannte Probleme und Einschränkungen in Patch 6
Es wird empfohlen, folgende Komponenten zu aktualisieren bzw. Patches für diese Komponenten anzuwenden, bevor Sie Patch 6 installieren:
Wenn Sie Sun Java System Web Server 6.1 SP5 oder eine ältere Version verwenden, rüsten Sie auf Web Server 6.1 SP7 auf. Diese Version finden Sie unter folgender Adresse:
http://www.sun.com/download/products.xml?id=45c90ca9
Folgen Sie den Anweisungen zum Aufrüsten unter Aktualisierung in Versionshinweise zu Sun Java System Web Server 6.1 SP8.
Laden Sie den aktuellen Sicherheitspatch für NSS, JSS und NSPR von SunSolve Online herunter: http://sunsolve.sun.com.
Solaris 8 SPARC-Plattformen: 119209
Solaris 8 x86-Plattformen: 119210
Solaris 9 SPARC-Plattformen: 119211
Solaris 9 x86-Plattformen: 119212
Solaris 10 SPARC-Plattformen: 119213
Solaris 10 x86- und AMD64-Plattformen: 119214
Windows-Systeme: 124392
HP-UX-Systeme: 124379
Zur Unterstützung der Methode setReadTimeout enthält die Datei AMConfig.properties die folgende neue Eigenschaft, sodass Sie den Wert für die Zeitüberschreitung für Lesevorgänge festlegen können:
com.sun.identity.url.readTimeout
Wenn der Webcontainer JDK 1.5 verwendet, legen Sie für diese Eigenschaft einen geeigneten Zeitüberschreitungswert für Verbindungen fest, um zu vermeiden, dass zu viele HttpURLConnections gleichzeitig aktiv sind, was zu einem Serverabsturz führen könnte. Der Standardwert ist 30.000 Millisekunden (30 Sekunden).
Die Methode setReadTimeout wird ignoriert, wenn com.sun.identity.url.readTimeout in der Datei AMConfig.properties nicht vorhanden oder auf eine leere Zeichenfolge gesetzt ist.
Wenn Sun Java System Directory Server für die Multi-Master-Replikation (MMR) konfiguriert ist, verwendet das Access Manager-SDK jetzt wieder den primären Directory-Server, nachdem dieser herunter- und wieder hochgefahren wurde. Zuvor griff das Access Manager-SDK weiterhin auf den sekundären Directory-Server zu, nachdem der primäre Server wieder hochgefahren wurde.
Zur Unterstützung dieses neuen Verhaltens verfügt die Datei AMConfig.properties von Access Manager über folgende neue Eigenschaft:
com.sun.am.ldap.fallback.sleep.minutes
Mit dieser Eigenschaft wird die Zeit in Minuten festgelegt, die eine Instanz des sekundären Directory-Servers nach dem erneuten Hochfahren des primären Servers pausiert, bevor dieser wieder verwendet wird. Der Standardwert ist 15 Minuten.
Die Eigenschaft com.sun.am.ldap.fallback.sleep.minutes ist verborgen. Um für diese Eigenschaft einen anderen als den Standardwert (15 Minuten) festzulegen, fügen Sie sie der Datei AMConfig.properties explizit hinzu. Legen Sie für den Wert beispielsweise 7 Minuten fest:
com.sun.am.ldap.fallback.sleep.minutes=7
Damit der neue Wert in Kraft tritt, starten Sie den Access Manager-Webcontainer neu.
Die Protokollierung für mehrere Access Manager-Instanzen, die auf demselben Hostserver ausgeführt werden, kann nun in verschiedenen Unterverzeichnissen erfolgen. Legen Sie hierzu die folgende neue Eigenschaft in der Datei AMConfig.properties fest:
com.sun.identity.log.logSubdir
Solange Sie das Standard-Protokollierungsverzeichnis in der Admin-Konsole nicht ändern, werden standardmäßig die folgenden Protokollierungsverzeichnisse verwendet:
Solaris-Systeme: /var/opt/SUNWam/logs
Linux- und HP-UX-Systeme: /var/opt/sun/identity/logs
Windows-Systeme: C:\Sun\JavaES5\identity\logs
Die Protokollierung für die erste Access Manager-Instanz erfolgt immer im Standard-Protokollierungsverzeichnis. Um für weitere Access Manager-Instanzen unterschiedliche Protokollierungs-Unterverzeichnisse anzugeben, legen Sie in der Datei AMConfig.properties für jede weitere Access Manager-Instanz die Eigenschaft com.sun.identity.log.logSubdir fest.
Wenn Sie beispielsweise drei Instanzen haben, am-instance-1, am-instance-2 und am-instance-3, die auf demselben Solaris-Hostserver ausgeführt werden, legen Sie die Eigenschaft wie folgt fest:
com.sun.identity.log.logSubdir=am-instance-2 com.sun.identity.log.logSubdir=am-instance-3
Die Eigenschaft com.sun.identity.log.logSubdir ist verborgen. Sie müssen diese Eigenschaft der Datei AMConfig.properties bei Bedarf explizit hinzufügen und den Access Manager-Webcontainer neu starten, damit die Werte für die Unterverzeichnisse in Kraft treten.
Die Protokollierung für die Access Manager-Instanzen erfolgt dann in folgenden Verzeichnissen:
/var/opt/SUNWam/logs/log-files-for-am-instance-1 /var/opt/SUNWam/logs/am-instance-2/log-files-for-am-instance-2 /var/opt/SUNWam/logs/am-instance-3/log-files-for-am-instance-3
Zur Unterstützung mehrerer Cookie-Domänen verfügt Access Manager über die folgende neue Eigenschaft:
com.sun.identity.authentication.setCookieToAllDomains
Der Standardwert lautet true. Die neue Eigenschaft ist verborgen. Um für den Wert false festzulegen, fügen Sie die Eigenschaft der Datei AMConfig.properties explizit hinzu, und starten Sie den Access Manager-Webcontainer neu.
Das Authentifizierungs-Plugin von Microsoft Internet Information Services (IIS) 6.0 unterstützt jetzt Microsoft Office SharePoint Server. Benutzer können sich bei Access Manager mit einer Benutzer-ID oder einem Anmeldenamen anmelden. SharePoint Server akzeptiert jedoch Anmeldenamen, was Probleme verursachen kann, wenn der Benutzer eine Benutzer-ID angibt.
Um eine Anmeldung bei SharePoint Server zu ermöglichen, verwendet das Post-Authentifizierungs-Plugin (ReplayPasswd.java) jetzt die folgende neue Eigenschaft:
com.sun.am.sharepoint_login_attr_name
Mit dieser neuen Eigenschaft wird das Benutzerattribut angegeben, das SharePoint Server für die Authentifizierung verwendet. Mit der folgenden Eigenschaft wird beispielsweise der gemeinsame Name (cn) für die Authentifizierung angegeben:
com.sun.am.sharepoint_login_attr_name=cn
Das Post-Authentifizierungs-Plugin liest die Eigenschaft com.sun.am.sharepoint_login_attr_name und ruft den entsprechenden Attributwert für den Benutzer vom Directory-Server ab. Anschließend werden die Autorisierungskopfzeilen so definiert, dass der Benutzer auf SharePoint Server zugreifen kann.
Diese Eigenschaft ist verborgen. Um die Eigenschaft festzulegen, fügen Sie sie der Datei AMConfig.properties explizit hinzu, und starten Sie dann den Access Manager-Webcontainer neu, damit der Wert in Kraft tritt.
Access Manager 7 2005Q4 Patch 6 unterstützt jetzt Microsoft Windows Internet Explorer 7.
In diesem Szenario wurden mehrere Access Manager-Server im Sitzungsfailover-Modus hinter einem Load Balancer bereitgestellt, der für das cookiebasierte so genannte "Sticky Request Routing" (zähe Anforderungsweiterleitung) konfiguriert ist. Der Access Manager-Administrator greift über den Load Balancer auf die Access Manager-Konsole zu. Wenn der Administrator sich bei der Konsole anmeldet, wird die Sitzung auf einem der Access Manager-Server erstellt. Sollte dieser Server ausfallen, wird für die Konsolensitzung erwartungsgemäß ein Failover auf einen anderen Access Manager-Server ausgeführt. Manchmal werden dem Administrator jedoch sporadisch Nullzeiger-Ausnahmen im Browser und im Fehlerprotokoll des Webcontainers angezeigt.
Dieses Problem betrifft nur die zum Zeitpunkt des Failovers aktive Access Manager-Konsolensitzung und wirkt sich nicht auf die Funktion der Access Manager-Server aus.
Umgehung: So vermeiden Sie sporadische Nullzeiger-Ausnahmen
Als vorübergehende Lösung können Sie den Browser aktualisieren oder sich abmelden und dann erneut bei der Konsole anmelden.
Um das Problem dauerhaft zu beseitigen, stellen Sie die Access Manager-Konsole auf einer separaten Access Manager-Instanz bereit, die nicht am Sitzungsfailover beteiligt ist.
Wenn Access Manager unter Windows 2003 Enterprise Edition auf einem Sun Java System Application Server in anderen Gebietsschemata als Englisch bereitgestellt wird, wird durch Aufrufen der Hilfe in der Admin-Konsole im Realm-Modus ein Anwendungsfehler zurückgegeben.
Umgehung:
Kopieren Sie die Datei javaes-install-dir\share\lib\jhall.jar in das Verzeichnis %JAVA_HOME%\jre\lib\ext.
javaes-install-dir steht hierbei für das Windows-Installationsverzeichnis.
Starten Sie die Anwendungsserver-Instanz neu.
Wenn das SAML v2-Plugin installiert ist, werden durch die Installation des Patches die SAML v2-bezogenen Dateien überschrieben, und das Skript postpatch zeigt die folgende Nachricht an:
The postpatch script detected that the SAML v2 plug-in is installed in your environment. When you run the amconfig script to redeploy the Access Manager applications, the script will recreate the amserver.war file and the SAML v2 related files will be lost. Therefore, after you run amconfig, recreate and redeploy the amserver.war file, as described in the Sun Java System SAML v2 Plug-in for Federation Services User's Guide.
Umgehung: Nachdem Sie den Patch installiert und das Skript amconfig ausgeführt haben, erstellen Sie die Datei amserver.war für die Federation Manager- oder Access Manager-Bereitstellungen, die das SAML v2-Plugin verwenden, und stellen Sie sie erneut bereit.
Die genaue Vorgehensweise entnehmen Sie Kapitel 2, Installing the SAML v2 Plug-in for Federation Services in Sun Java System SAML v2 Plug-in for Federation Services User’s Guide.