上一次修訂日期:2008 年 11 月 14 日
SunTM OpenSSO Enterprise 8.0 是 OpenSSO 專案 (http://opensso.org/) 的一部分,也是 OpenSSO 伺服器的 Sun 商業版本。
這些版本說明也適用於 Sun OpenSSO Express。OpenSSO Enterprise 和 OpenSSO Express 基本上是相同的產品,但也有下列不同的地方:
OpenSSO Enterprise 約每 12 個月發行一次,由 Sun QA 工程部門進行大量的自動與手動測試,並會定期推出修補程式與修正程式。
OpenSSO Express 約每 3 個月發行一次,由 Sun QA 工程部門進行大量的自動測試與適度的手動測試,但不會推出修補程式與修正程式。如需詳細資訊,請參閱 OpenSSO Express FAQ:https://opensso.dev.java.net/public/about/faqcenter/SupportFAQ.html。
如果您目前使用 WebLogic Server 做為 Web 容器來部署 OpenSSO Enterprise 伺服器,請參閱4077:在 WebLogic Server 上配置 OpenSSO Enterprise 需要新的 ldapjdk.jar。
Contents
如您先前未安裝 OpenSSO Enterprise,可遵循以下的基本步驟:
如有需要,請安裝、配置並啟動OpenSSO Enterprise 8.0 支援的 Web 容器的其中之一。
從以下其中一個網站下載 opensso_enterprise_80.zip 檔案並解壓縮:
使用 Web 容器管理主控台或部署指令,將 opensso.war 檔案部署至 Web 容器。
或者,如果受 Web 容器支援,則只要將 WAR 檔案複製到容器的自動部署目錄中即可。
使用 GUI 配置程式或指令行配置程式來配置 OpenSSO Enterprise。
若要啟動 GUI 配置程式,請在瀏覽器中輸入下列 URL: protocol:// host.domain:port/ deploy_uri
例如:http://openssohost.example.com:8080/opensso
如果 OpenSSO Enterprise 在共存模式中存取 Access Manager 7.1 模式 (DIT),請參閱3961:amadmin 在共存模式中無法登入 OpenSSO 主控台。
使用管理主控台或新的 ssoadm 指令行公用程式執行任何其他的配置。
若要下載 3.0 版策略代理程式,請參閱 https://opensso.dev.java.net/public/use/index.html。
以下網站提供 OpenSSO Enterprise 8.0 文件:
http://docs.sun.com/coll/1767.1
定期檢查此網站,以檢視最新的文件。
OpenSSO Enterprise 8.0 的功能包括諸如存取管理、聯合管理、Web 服務安全性等舊版 Sun Java System Access Manager 和 Sun Java System Federation Manager 的功能。OpenSSO Enterprise 也包括本節所述的新功能。
如需 3.0 版策略代理程式的新功能,請參閱下列指南:
「Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents 」
或
「Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents 」
簡化的安裝與配置:
若要安裝 OpenSSO Enterprise,您只要使用各自的 Web 容器管理主控台和指令行公用程式部署 opensso.war 檔案即可。第一次使用部署 URI (/opensso) 存取伺服器時,會將您導向至配置程式,讓您能夠執行初始配置作業,例如指定管理員密碼、配置和使用者資料存放區。
您也可以使用 opensso.war 檔案,為分散式認證 UI 伺服器、僅主控台、僅伺服器和身份識別提供者 (Identity Provider, IDP) 探索服務部署建立與部署專門的 WAR 檔案。
集中的伺服器與代理程式配置資料:
OpenSSO Enterprise 和 3.0 版策略代理程式配置資料儲存在集中的配置資料儲存庫中。您可以使用 OpenSSO Enterprise 管理主控台或新的 ssoadm 指令行公用程式指定配置值。您再也不必在 AMConfig.properties 或 AMAgent.properties 檔案中設定特性。
其中許多配置特性為「可熱交換」,這表示您在修改特性後不必重新啟動 Web 容器。
內嵌式資料存放區選項可讓您不需設定地儲存 OpenSSO Enterprise 和 3.0 版策略代理程式配置資料,而不必安裝 Sun Java System Directory Server。
指令行配置程式 (外加 GUI 配置程式),可執行 OpenSSO Enterprise 伺服器的初始配置。
OpenSSO Enterprise 管理主控台一般作業:
建立 SAMLv2 提供者。您可以輕鬆建立 SAMLv2 代管的或遠端的身份識別提供者 (IDP) 或服務提供者 (Service Provider, SP)。
建立 Fedlet。Fedlet 是 SAMLv2 SSO 協定的簡易服務提供者 (SP) 實作。Fedlet 允許身份識別提供者 (IDP) 啟用未實作聯合的 SP。SP 只會將 Fedlet 增加至 Java Web 應用程式,然後部署應用程式。
測試聯合連結。您可以測試或疑難排解新的或現有的聯合部署,以判定是否成功連線,並識別任何問題的來源。
增加了新的 Web 容器,如OpenSSO Enterprise 8.0 支援的 Web 容器所述。
使用以 JSR 196 SPI 為基礎的提供者,可將簡化的 Web 服務安全性代理程式部署在 Glassfish 和 Sun Java System Application Server 9.1。
WS-Federation 支援識別聯合規格。OpenSSO Enterprise 具體支援 WS-Federation 被動請求者設定檔。
已增加對 XACML 2.0 版的支援,具體而言是 XACMLAuthzDecisionQuery 和 XACMLAuthzDecisionStatement ,如同在 XACML v2.0 的 SAML 2.0 設定檔中指定。
「安全認證」和「屬性交換」可讓應用程式使用 IDP 和 SP 應用程式之間的安全傳輸,提供使用者認證和屬性資訊。
多聯合協定集散中心可讓 OpenSSO Enterprise IDP 做為聯合集散中心,能夠在不同的聯合協定 (例如 SAMLv2、ID-FF 和 WS-Federation) 之間執行單次登出。
SAMLv2 設定檔支援包括 IDP 代理作業、聯合、名稱 ID 對映、ECP、認證查詢和屬性查詢。
OpenSSO Enterprise 8.0 支援的 Web 容器上有安全性記號服務 (Security Token Service, STS)。
支援 SAMLv2 指定容錯移轉。
新指令行公用程式 (ssoadm) 可以配置 OpenSSO Enterprise 伺服器和 3.0 版策略代理程式。
增加與 Sun Identity Manager、SiteMinder 和 Oracle Access Manager 的整合。
支援服務標記。請參閱在 Sun Inventory 使用服務標記。
分散式認證 UI 伺服器包括配置程式,可讓您執行初始配置作業,例如指定 OpenSSO Enterprise 伺服器與提供分散式認證 UI 伺服器使用者和密碼。
分散式認證 UI 伺服器也提供跨網域單次登入 (CDSSO) 的支援。
國際化與本土化變更包括:
除了英文外,OpenSSO Enterprise 包括對法文、西班牙文、德文、日文、韓文、簡體中文和繁體中文的支援。
依預設,本土化檔案已綁定在 opensso.war 檔案中 (不同於 Access Manager 7 2005Q4 和 Access Manager 7.1,其本土化檔案位在不同的本土化套裝軟體中)。
OpenSSO Enterprise 和 Express 發行版本中有 Unix、SecurID 和 SafeWord 認證模組。SecurID 現在是基於 Java 的認證模組。
升級支援包括:
從 Access Manager 6.3、7.0 或 7.1 和 Federation Manager 7.0 升級至 OpenSSO Enterprise 8.0
策略代理程式從 2.2 版代理程式升級至 3.0 版
OpenSSO 8.0 已啟用服務標記,可讓您使用 Sun Inventory 追蹤或組織 OpenSSO 產品 (以及其他硬體和軟體產品)。若要使用服務標記,您必須先註冊您的產品。您可以註冊 OpenSSO Enterprise、OpenSSO Express,甚至是公開測試版 (nightly build)。
若要註冊,您需要有 Sun Online Account (SOA) 或 Sun Developer Network (SDN) 帳號。如果您沒有上述任一種帳號,可在產品註冊程序期間取得帳號。
若要註冊 OpenSSO 產品,並開始使用服務標記,請按照下列步驟:
以 amadmin 身份登入 OpenSSO 管理主控台。
在主控台上的 [共用作業] 下,按一下 [註冊該產品]。
如果您沒有 SOA 或 SDN 帳號,請提供新帳號的資訊。
按一下 [註冊]。
服務標記註冊檔案儲存在 config-directory /deployuri/lib/registration 目錄中。例如:opensso-config/opensso/lib/registration。
如需詳細資訊,請參閱:
Sun Inventory:https://inventory.sun.com/inventory/
服務標記 FAQ:http://servicetags.central/faq.html
檢查這些網站,察看您的特定平台是否支援服務標記,或者是否必須判斷特定的 OpenSSO 伺服器是否已註冊。
本節中所述的 OpenSSO Enterprise 8.0 硬體與軟體需求僅代表可以在其中以 Sun Microsystems 提供的完整支援來進行部署的環境。對於不符合所述需求的環境,不提供支援。
Sun Microsystems 對於任何不遵循如文所述之 OpenSSO Enterprise 8.0 的硬體和軟體需求的環境概不負責。Sun 強烈建議您先與 Sun 專業服務組織聯絡,再開始安裝與部署程序。這可能需要您支出額外的費用。
平台 |
支援的 Web 容器 |
---|---|
SPARC、x86 和 x64 系統上的 Solaris 10 OS SPARC 和 x86 系統上的 Solaris 9 OS |
所有 OpenSSO Enterprise 8.0 支援的 Web 容器,只有使用 Tomcat 的 Geronimo Application Server 2.1.1 除外 |
OpenSolaris |
Glassfish Application Server V2 UR1 和 UR2 Apache Tomcat 6.0.18 |
Red Hat Enterprise Linux 5 (AMD 伺服器上的 64 位元基礎與進階平台) Red Hat Enterprise Linux 4 伺服器 (AMD 伺服器上的 64 位元基礎與進階平台) |
所有 OpenSSO Enterprise 8.0 支援的 Web 容器,Geronimo 除外 |
Ubuntu 8.0.4 |
Glassfish Application Server V2 UR1 和 UR2 Apache Tomcat 6.0.18 |
Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition |
所有 OpenSSO Enterprise 8.0 支援的 Web 容器,Geronimo 除外 |
64 位元伺服器上的 Windows Server 2003 R2 | |
Windows XP Windows Vista |
所有 OpenSSO Enterprise 8.0 支援的 Web 容器,Oracle Server、JBoss Application Server 和 Geronimo 除外 |
Windows 2008 Server |
Glassfish Application Server V2 UR1 和 UR2 Apache Tomcat 6.0.18 |
IBM AIX 5.3 |
IBM WebSphere Application Server 6.1 |
注意:
|
Web 容器 |
注意事項 |
---|---|
Sun Java System Application Server 9.1 Update 1 和 Update 2 | |
Glassfish Application Server V2 UR1 和 UR2 |
Glassfish 網站:https://glassfish.dev.java.net/ Glassfish 下載位置: Glassfish V2 UR1:https://glassfish.dev.java.net/downloads/v2ur1-b09d.html Glassfish V2 UR2:https://glassfish.dev.java.net/downloads/v2ur2-b04.html |
Sun Java System Web Server 7.0 Update 3 (32 位元和 64 位元) |
下載:http://www.sun.com/download/index.jsp 僅 Update 3。不支援 Updates 1 和 2。 |
Apache Tomcat 5.5.27 與 6.0.18 和更新版本 | |
BEA WebLogic Server 9.2 MP2 | |
BEA WebLogic Server 10 |
請參閱 http://www.oracle.com/appserver/index.html 下列網站列出了支援的作業系統: http://e-docs.bea.com/platform/suppconfigs/configs100/100_over/overview.html#1122259 |
Oracle Application Server 10g |
請參閱 http://www.oracle.com/technology/products/database/oracle10g 支援 10.1.3.1 版。 |
IBM WebSphere Application Server 6.1 | |
Apache Geronimo Application Server 2.1.1 |
請參閱 http://geronimo.apache.org/ 僅由 Solaris 系統上的 Tomcat 支援。 |
JBoss Application Server 4.x |
如需詳細資訊,包括每個 Web 容器的注意事項和預先部署作業,請參閱「Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide」中的第 2 章「Deploying the OpenSSO Enterprise Web Container」。
OpenSSO Enterprise 8.0 |
支援的 JDK 版本 |
---|---|
伺服器 |
JDK 1.5.x 或 1.6.x 支援的 Web 容器上 64 位元 JVM Solaris 虛擬記憶體需求。對於 Solaris 系統,請將虛擬記憶體至少配置為 JVM 堆疊大小的兩倍,尤其是在 64 位元模式中配置 JVM,且其堆疊大小超過 4 GB 時。因此,您可能需要增加作業系統交換空間。 |
用戶端 (OpenSSO SDK) |
JDK 1.4.x、1.5.x 或 JDK 1.6.x |
如需資料存放區的詳細資訊,請參閱「Sun OpenSSO Enterprise 8.0 Deployment Planning Guide」中的第 2 章「Building the Deployment Architecture」。
元件 |
需求 |
---|---|
OpenSSO Enterprise 8.0 |
兩個或兩個以上的 OpenSSO Enterprise 實例必須在不同的主機伺服器上執行,並在負載平衡器後方配置為站點。 負載平衡器沒有任何特定的需求。但是,支援基於 cookie 的黏性配置的負載平衡器通常可提供更佳的效能。 |
Sun Java System Message Queue 4.1 |
Message Queue 代理程式必須在不同伺服器的叢集模式中執行。 |
Oracle Berkeley DB 4.6.18 |
Berkeley DB 用戶端和資料庫必須與 Message Queue 代理程式部署在相同的伺服器上。 您可以將 Message Queue 代理程式和 Berkeley DB 部署在執行 OpenSSO Enterprise 實例的相同伺服器上。但是為了改善效能,請考慮在不同的伺服器上安裝代理程式。 |
策略代理程式版本 |
OpenSSO Enterprise 支援 |
---|---|
3.0 版策略代理程式 |
OpenSSO Enterprise 支援新的 3.0 版 J2EE 和 Web 策略代理程式,包括新的 3.0 版功能。 如需詳細資訊,包括可用的 3.0 版代理程式,請參閱 http://docs.sun.com/coll/1322.1。 |
2.2 版策略代理程式 |
OpenSSO Enterprise 支援 2.2 版 J2EE 和 Web 策略代理程式。 但是,使用 OpenSSO Enterprise 部署時,2.2 版策略代理程式必須繼續使用 2.2 版功能。例如,代理程式必須將其配置資料放在其本機的 AMAgent.properties 檔案中,且不支援 OpenSSO Enterprise 集中的代理程式配置。 如需詳細資訊,包括可用的 2.2 版代理程式,請參閱 http://docs.sun.com/coll/1809.1。 |
2.1 版策略代理程式 |
OpenSSO Enterprise 不支援 2.1 版策略代理程式。 |
瀏覽器 |
平台 |
---|---|
Firefox 2.0.0.x 和 3.0.x |
Windows Vista、Windows XP 和 Windows Server 2003 Solaris OS,9 版和 10 版 Red Hat Linux 4 和 5 |
Firefox 1.0.7 和 1.5 |
Windows XP Windows 2000 Solaris OS,9 版和 10 版 Red Hat Linux 4 和 5 |
Microsoft Internet Explorer 7 |
Windows Vista、Windows XP 和 Windows Server 2003 |
Microsoft Internet Explorer 6.0 SP1 |
Windows XP |
Microsoft Internet Explorer 6.0 SP1 |
Windows 2000 |
Mozilla 1.7.12 |
Solaris OS,9 版和 10 版 Windows XP Windows 2000 Red Hat Linux 4 和 5 |
如需 OpenSSO Enterprise 問題的詳細資訊,請參閱:
https://opensso.dev.java.net/servlets/ProjectIssues
無法在 WebLogic Server 上配置 OpenSSO Enterprise 配置,因為 weblogic.jar 綁定了較舊的 ldapjdk.jar 檔案。
Sun 提供新的 ldapjdk.jar 檔案,其中包含與安全性和效能相關的修正程式。您必須為 WebLogic Server 9.2 和 WebLogic Server 10 提供下列解決方法。
解決方法。在 CLASSPATH 中,將 Sun ldapjdk.jar 放在 weblogic.jar 之前,如下所示:
使用下列指令從暫存目錄中的 opensso.war 擷取 ldapjdk.jar:
jar xvf opensso.war WEB-INF/lib/ldapjdk.jar
將上述擷取的 ldapjdk.jar 複製到 WebLogic lib 目錄。
例如,對於 Solaris 或 Linux 系統上的 WebLogic Server 10,此目錄為:BEA_HOME /weblogic_10.0/server/lib
或者,對於 Windows 上的 WebLogic Server 9.2,此目錄為:BEA_HOME\weblogic92\server\lib
將此 ldapjdk.jar 的路徑置於現有 classpath 之前,方法是編輯用於啟動 WebLogic Server 的啟動程序檔。在下列範例中,BEA_HOME 是安裝 WebLogic Server 的位置。
對於 Windows 上的 WebLogic 9.2,編輯:
BEA_HOME\weblogic92\samples\domains\wl_server\bin\startWebLogic.cmd
將 set CLASSPATH=%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH% 變更為:
set CLASSPATH=BEA_HOME\weblogic92\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%
對於 Windows 上的 WebLogic 10,編輯:
BEA_HOME \wlserver_10.0\samples\domains\wl_server\bin\startWebLogic.cmd
將 set CLASSPATH=%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH% 變更為:
set CLASSPATH= BEA_HOME\wlserver_10.0\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%
對於 Solaris 或 Linux 上的 WebLogic 9.2 MP2,編輯:
/bea/weblogic92/samples/domains/wl_server/bin/ startWebLogic.sh
或
/usr/local/bea/user_projects/domains/base_domain/bin/startWebLogic.sh
將 CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}" 變更為:
CLASSPATH= "BEA_HOME/weblogic92/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}" |
對於 Solaris 或 Linux 上的 WebLogic 10,編輯:
/bea/wlserver_10.0/samples/domains/wl_server/bin/startWebLogic.sh
或
/bea/user_projects/domains/wl10_domain/bin/startWebLogic.sh
將 CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}" 變更為
CLASSPATH= "BEA_HOME/wlserver_10.0/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"
重新啟動伺服器。
配置 OpenSSO Enterprise。
如果您正使用配置程式配置 WebLogic Server 9.2 MP2 或 10,且完成配置的時間超過 600 秒,則會將下列錯誤傳回到終端機、WebLogic Server 網域和伺服器記錄檔:
<Error> <WebLogicServer> <BEA-000337> <[STUCK] Exe cuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)' has been busy for "681" seconds working on the request "Http Request: /opensso/setup/setSetup Progress", which is more than the configured time (StuckThreadMaxTime) of "600" seconds. Stack trace: ...
這個錯誤發生的原因是 WebLogic Server 超過「固定執行緒最長時間:」的預設值 (600 秒)。
解決方法。如果配置程式沒有回應,請重新啟動。此外,請考慮將 WebLogic Server 的「固定執行緒最長時間」值從其預設的 600 秒改為更大的值,例如 1200 秒。使用 WebLogic 主控台來變更此值 (base_domain > [環境] > [伺服器] > [管理伺服器] > [配置/調校])。
在 WebLogic Server 8.1 上,當尋找服務時,為 ID-WSF 配置的 opensso-client-jdk14.war 會傳回錯誤。
解決方法。將下列 JAR 檔案增加到 weblogic-home/jdk142_08/jre/lib/ 下:jax-qname.jar、namespace.jar、relaxngDatatype.jar、xalan.jar 和 xsdlib.jar。
xalan.jar 檔案位在 opensso.war 的 WEB-INF/lib 目錄中。其他檔案位在 opensso-client-jdk14.war 的 WEB-INF/lib 目錄中。
只有下列狀況下才會發生這個問題:
配置資料存放區為 Sun Java System Directory Server。
嘗試安裝多重伺服器。
amadmin 密碼與 Directory Server 連結的 dn 密碼不同。
解決方法。此解決方法有兩部分:
確保配置 Directory Server 連結 dn 密碼與 amadmin 密碼相同。
配置第二個額外的 OpenSSO Enterprise 伺服器。若要安裝第二個伺服器並指向第一個 OpenSSO Enterprise 伺服器的配置目錄,只要存取第二個 OpenSSO Enterprise 伺服器的 [配置程式] 頁面,並在步驟 1 和步驟 2 中輸入 amadmin 密碼、cookie 網域和其他詳細資訊。
對於步驟 3,不要選取 [增加至現有部署]。相反地,選取第一個實例選項,並提供第一個伺服器相同的 Directory Server 名稱、連接埠、DN、密碼和加密金鑰。然後,繼續按照一般方式配置。
在主控台中增加進階特性,會造成 OpenSSO Enterprise 伺服器傳回錯誤。在增加任何進階配置特性後,會發生這個問題。
解決方法。如果您在主控台中變更預設伺服器配置,必須重新啟動 OpenSSO Enterprise 伺服器 Web 容器。
使用 Oracle Application Server 10g 10.1.3.1 版做為 Web 容器時,則會出現異常錯誤,導致 OpenSSO Express 配置失敗。
解決方法。在配置 OpenSSO 前,請將下列 JVM 選項增加至目標 Oracle Application Server 10g 伺服器實例的「伺服器特性」:
-Doc4j.jmx.security.proxy.off=true
OpenSSO Enterprise 使用不合格的寄件者名稱 Identity-Server 提交電子郵件通知,這會在記錄檔中傳回錯誤項目。
解決方法。在下列檔案中將寄件者名稱從 Identity-Server 變更為 Identity-Server@hostname.domainname:
在 amPasswordResetModuleMsgs.properties 中,變更 fromAddress.label。
在 amAuth.properties 中,變更 lockOutEmailFrom。
服務管理配置的存留時間 (Time to live, TTL) 無法運作,因為未初始化 TTL 特性。
在從 CRL 發行點延伸取得憑證撤銷清單 (CRL) 後,OpenSSO Enterprise 不會在 LDAP 目錄中儲存 CRL。
在此分析藍本中,OpenSSO Enterprise 會部署在 Windows Vista 伺服器的兩個 Glassfish (或 Application Server 9.1) 實例上。在配置第二個 OpenSSO Enterprise 實例期間,使用 [增加至現有部署] 選項複製配置會當機。
解決方法。Windows Vista 系統上仍存在這個問題。對於 Vista 之外的 Windows 系統,則增加下列 Glassfish (或 Application Server 9.1) JVM 選項:
-Dcom.sun.enterprise.server.ss.ASQuickStartup=false
Active Directory 資料存放區有時會使系統當機。當您建立新的 Active Directory 資料存放區時,也會發生這個問題。
解決方法。在 OpenSSO Enterprise 管理主控台中,停用 Active Directory 資料存放區的 [LDAP 依照參照]:
按一下 [存取控制]、[頂層範圍]、[資料存放區]、[Active Directory 資料存放區名稱]。
取消核取 [LDAP 依照參照] 的 [已啟用]。
儲存變更。
如果使用 AMSDK 外掛程式配置 OpenSSO Enterprise,並為 MMR 設定目錄伺服器,則在目錄伺服器實例當機時,不會進行容錯移轉。
如果配置 Windows 桌面 SSO 認證模組,以便透過 Internet Explorer 6.0 在 Windows Server 2003 上執行 Kerberos 認證,則會傳回「找不到配置」錯誤。
如果您配置憑證認證並啟用 [使憑證符合 CRL],則認證失敗。另請參閱相關問題4085:OpenSSO Enterprise 無法將 CRL 儲存在 LDAP 目錄中。
如果 OpenSSO Enterprise 管理員 (amadmin) 建立新的範圍 (例如 myorg),稍後按如下所示嘗試登入新的範圍:
http://host:port/opensso/UI/Login?org=myorg
OpenSSO Enteprise 傳回認證失敗錯誤。
解決方法。使用 amadmin 身份只能登入根範圍 (並且只能登入「資料存放區」或「應用程式」模組)。
如果您將根範圍的認證模組變更為 DataStore 之外的任何模組,則 amadmin 無法登入主控台。
解決方法。使用 http://host.domain/deployurl/UI/Login?module=DataStore 登入。
host: port/uri/samples 下的 index.html 會顯示:
1. Authentication Samples 2. ID-FF Sample 3. SAMLv2 Sample 4. Multi-Federation Protocols Sample
但是,在 index.html 中缺少到策略範例的下列連結:host:port/ uri/samples/policy/policy-plugins.html
解決方法:在瀏覽器中開啟 host:port/uri/samples/policy/policy-plugins.html 檔案。
若要對已啟用 Java Security Manager 的 OpenSSO Web 容器啟用 OCSP 檢查,要將下列權限增加到 server.policy 檔案 (或等同檔案):
permission java.security.SecurityPermission "getProperty.ocsp.*";
如果產生僅主控台部署,則無法使用「主控台一般作業」來建立 Fedlet,並顯示錯誤訊息,表示沒有 sp-extended.xml 的檔案或目錄。僅主控台的配置程式未設定 com.iplanet.services.configpath 特性。
解決方法。編輯 AMConfig.properties 檔案,並將 com.iplanet.services.configpath 特性設定為配置目錄。例如:
com.iplanet.services.configpath=/consoleonly
僅 Access Manager 儲存庫 (Access Manager Repository, AMSDK) 資料存放區支援「Access Manager 角色」策略主體。依預設,此主體在策略配置中會停用。因此,只有在配置資料存放區類型以使用 AMSDK 外掛程式時,才會啟用「Access Manager 角色」策略主體。
在解壓縮 ssoSessionTools.zip 後,執行 setup.bat 程序檔無法安裝階段作業程序檔,並傳回下列錯誤:
Unable to locate JRE meeting specification "1.4+"
解決方法。在 setup.bat 程序檔中,將 -version:"1.4+" 自 java.exe 指令中移除,並重新執行程序檔。
階段作業容錯移轉配置沒有將第二個 OpenSSO Enterprise 實例增加到指定的伺服器清單。
解決方法。使用 OpenSSO Enterprise 主控台或 ssoadm 公用程式,手動將第二個伺服器實例增加到伺服器清單。
有時因為 OpenSSO Enterprise 無法刪除 Service Manager 資料存放區中的節點,而使 import-svc-cfg 子指令失敗。下列分析藍本會造成此問題:
使用遠端 Sun Java System Directory Server 作為配置資料存放區來配置 OpenSSO Enterprise。
使用 ssoadm export-svc-cfg 指令匯出服務 XML 檔案。
使用 ssoadm import-svc-cfg 指令重新匯入步驟 2 中取得的服務 XML 資料。
當詢問您是否刪除現有資料時,請選擇 [是]。
傳回下列錯誤訊息:Unexpected LDAP exception occurred。
解決方法。重新執行 ssoadm import-svc-cfg 指令,直到成功為止。
因為此異常,您無法以 get-realm 執行 ssoadm 指令。
Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction: FATAL ERROR: Cannot obtain Application SSO token. Check AMConfig.properties for the following properties com.sun.identity.agents.app.username com.iplanet.am.service.password Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction: FATAL ERROR: Cannot obtain Application SSO token. Check AMConfig.properties for the following properties com.sun.identity.agents.app.username com.iplanet.am.service.password AdminTokenAction: FATAL ERROR: Cannot obtain Application SSO token. Check AMConfig.properties for the following properties com.sun.identity.agents.app.username com.iplanet.am.service.password
檢查 amadmin 密碼是否與服務管理資料存放區的目錄管理員密碼不同。如果是,請套用下列解決方法。
解決方法。修改伺服器配置 XML,如下所示:
以 amadmin 身份登入 OpenSSO 主控台。
使用 ssoadm.jsp get-svrcfg-xml 取得伺服器配置 XML。
使用 encode.jsp 編碼 amadmin 密碼。
設定 XML 中兩處由 amadmin-password 代表的已編碼的密碼。例如:
<User name="User1" type="proxy"> <DirDN> cn=puser,ou=DSAME Users,dc=opensso,dc=java,dc=net </DirDN> <DirPassword> amadmin-password </DirPassword> </User> <User name="User2" type="admin"> <DirDN> cn=dsameuser,ou=DSAME Users,dc=opensso,dc=java,dc=net </DirDN> <DirPassword> amadmin-password </DirPassword> </User> <BaseDN> dc=opensso,dc=java,dc=net </BaseDN> </ServerGroup>
使用 ssoadm.jsp set-svrcfg-xml 設定修改的伺服器配置 XML。
在執行 ssoadm 公用程式的 setup 程序檔後,嘗試執行 ssoadm 會傳回 NoClassDefFoundError 錯誤。已升級的 OpenSSO Enterprise 實例會發生此問題。
解決方法。若要使用 JSS,請將 jss4.jar 增加至 classpath,並設定 LD_LIBRARY_PATH 環境變數。(如果您使用的是預設 JCE,則 classpath 中不需要 jss4.jar)。
對於用戶端 SDK 安裝,依預設會停用服務管理服務 (Service Management Service, SMS) 快取。
解決方法:對於 Web 服務安全性 (Web Services Security, WSS) 應用程式,請在 AMConfig.properties 檔案中設定 com.sun.identity.sm.cache.enabled=false;否則問題 3171 的修正程式不會起作用。
對於所有其他的用戶端 SDK 應用程式,在 AMConfig.properties 檔案中設定 com.sun.identity.sm.cache.enabled=true ,以啟用 SMS 快取,這可以避免效能問題。
用戶端 SDK WAR 檔案配置程式在 AMConfig.properties 檔案中放了錯誤的共用密碼。
解決方法。將共用密碼值和密碼加密金鑰從 OpenSSO Enterprise 伺服器複製到 $HOME/OpenSSOCLient 目錄下的用戶端 SDK AMConfig.properties 檔案。
3923:無法在 Oracle Application Server 上的 [主控台一般作業] 頁面上建立實體 (IDP 或 SP)
1977:WebSphere Application Server 6.1 上的 SAMLv2 範例 configure.jsp 檔案失敗
當 OpenSSO Enterprise 部署在 Oracle Application Server 上時,在 [主控台一般作業] 頁面上建立實體 (IDP 或 SP) 會產生異常。
解決方法。當 opensso.war 部署在 Oracle Application Server 上時,停用部署計劃檢視中 oracle.xml 檔案的匯入選項 ([部署:部署設定] > [配置類別載入] > [oracle.xml])。
所有 ID-FF 記錄檔記錄均有相同的環境 (或登入) ID,即使它們用於不同的使用者。
logout.jsp 檔案需要 JDK 1.5,但在 IBM WebSphere Application Server 6.1 上,JSP 檔案的 JDK 來源層級設為 JDK 1.3。
解決方法。請參閱1977:WebSphere Application Server 6.1 上的 SAMLv2 範例 configure.jsp 檔案失敗的解決方法。
在 WebSphere Application Server 6.1 實例上,無法編譯 /sample/saml2/sp/configure.jsp 和 /sample/saml2/idp/configure.jsp 檔案。configure.jsp 檔案需要 JDK 1.5,但在 WebSphere Application Server 6.1 上,JSP 檔案的 JDK 來源層級會設為 JDK 1.3。
解決方法:編輯 JSP 引擎配置參數,以將 JDK 來源層級設為 1.5:
開啟 WEB-INF/ibm-web-ext.xmi 檔案。
JSP 引擎配置參數儲存在 WEB-INF/ibm-web-ext.xmi 檔案中的 Web 模組配置目錄或 Web 模組二進位目錄中:
配置目錄。例如:
{WAS_ROOT}/profiles/profilename/config/cells/cellname/applications/ enterpriseappname/deployments/deployedname/webmodulename/
二進位目錄,如果將應用程式部署至 WebSphere Application Server,並將「使用二進位」標幟設為真。例如:
{WAS_ROOT}/profiles/profilename/installedApps/nodename/ enterpriseappname/webmodulename/
刪除 compileWithAssert 參數,方法是刪除檔案中的敘述,或在敘述前後加上註釋標記 (<!— 和 –>)。
增加值為 15 的 jdkSourceLevel 參數。例如:
<jspAttributes xmi:id="JSPAttribute_1" name="jdkSourceLevel" value="15"/>
注意:JSPAttribute_1 中的整數 (_1) 在檔案內必須是唯一的。
儲存 ibm-web-ext.xmi 檔案。
重新啟動應用程式。
如需 jdkSourceLevel 參數與其他 JSP 引擎配置參數的詳細資訊,請參閱:
如果您根據 Web 服務安全性 (WSS) 的貸款範本設定代理伺服器的使用案例,並且以 wsp 以外的設定檔名稱建立兩個 Web 服務提供者 (Web Service Providers, WSP),就會發生錯誤。
解決方法。對於基於 JAX-WS/Web 應用程式的 Web 服務,使用靜態端點做為 WSP 名稱,以支援多個 Web 服務。對於基於 EJB 的 Web 服務,請使用預設 WSP 配置。
針對現有模式 (DIT) 配置 OpenSSO Enterprise 後無法登入主控台,因為未使用在配置期間輸入的加密金鑰 (舊 Access Manager 或 Federation Manager 實例的金鑰),而是產生錯誤的新加密金鑰,這會建立錯誤的 serverconfig.xml 檔案。
解決方法。
變更為 OpenSSO Enterprise 配置目錄。
將 AMConfig.properties 檔案中的加密金鑰變更為正確的值。
從之前的 Access Manager 或 Federation Manager 實例複製 serverconfig.xml 的備份複本。
重新啟動 OpenSSO Enterprise 伺服器。
如果 OpenSSO 是在共存模式中以 Access Manager 7.1 Directory Server 模式 (DIT) 配置的,並且有非管理員使用者登入 OpenSSO 主控台,則此使用者會被轉到無效 URL。例如:
http://ssohost.example.com:8080/amserver/..amserver/base/AMAdminFrame。
解決方法。編輯 URL,如下所示:
protocol://host. domain:port/deploy_uri/idm/EndUser
例如:
http://ssohost.example.com:8080/amserver/idm/EndUser
如果在共存環境中以 Access Manager 7.1 Directory Server 模式 (DIT) 配置 OpenSSO,則嘗試以 amadmin 身份使用 LDAP 認證登入主控台會失敗。
解決方法。在共存模式中,若以 amadmin 身份登入 OpenSSO 主控台,請增加 module=DataStore 查詢參數。例如:
protocol://host. domain:port/deploy_uri/UI/Login/?module=DataStore
例如:
http://ssohost.example.com:8080/amserver/UI/Login/?module=DataStore
OpenSSO Enterprise 分散式認證 UI 伺服器元件只能與 OpenSSO Enterprise 搭配使用。不支援下列分析藍本:
與 OpenSSO Enterprise 伺服器搭配使用的分散式認證 UI 伺服器 7.0 或 7.1
與 Access Manager 7.0 或 7.1 伺服器搭配使用的 OpenSSO Enterprise 分散式認證 UI 伺服器
如果從 Access Manager 或 Federation Manager 之前的發行版本升級至 OpenSSO Enterprise 8.0,則 ID-FF 設定檔無法運作,除非您同時升級 Access Manager 或 Federation Manager 模式。
解決方法。在您嘗試 ID-FF 設定檔前,請先升級 Access Manager 或 Federation Manager 模式。如需升級模式的詳細資訊,請參閱「Sun OpenSSO Enterprise 8.0 Upgrade Guide」。
解決方法:若要檢視本土化的軟體權利文件 (以 .txt 格式提供),需要使用為下列語言環境指定了本土化編碼的瀏覽器:
法文 (fr):ISO–8859-1
西班牙文 (es):ISO–8859-1
德文 (de):ISO–8859-1
簡體中文 (zh_CN):UTF-8
繁體中文 (zh_TW):UTF-8
韓文 (ko):UTF-8
日文 (ja):EUC-JP
在 OpenSSO 主控台中,如果您移至 [聯合] > [SAML1.x 配置],然後在 [共用設定] 區段中建立擁有多位元組名稱的新可信任夥伴,則可信任夥伴的名稱會是亂碼。
在 CCK 與 JA 語言環境的 Geronimo Web 容器中,如果以 amadmin 之外的身份登入,則 [存取控制]、[範圍]、[一般]、[一般使用者] 頁面 (http:// host:port/deployuri/idm/EndUser) 會顯示問號。
如果登入非英文語言環境 (例如法文) 的 OpenSSO 主控台,然後依次按一下 [說明] 和 [搜尋提示],則右側的 [說明] 面板會顯示 404 錯誤。
解決方法。若要以英文檢視「搜尋提示」,請將瀏覽器語言設定為英文,然後重新整理 [線上說明] 視窗。
如果您在 C 語言環境中啟動 Web 容器,並將您的瀏覽器設定為如法文等語言,則在登入管理主控台後,有些字元會是亂碼。
對於 CCJK 語言環境,密碼重設頁面 (http://host :port/deployuri/password) 並未本土化。
Unix 認證模組的 dounix_msgs.po 檔案尚未翻譯,因為 Unix 認證模組未包含在未來的 OpenSSO Enterprise 發行版本中。請參閱停用通知與聲明。
當您嘗試使用包含非 UTF-8 字元的 org 或 module 參數登入 OpenSSO 主控台時,登入會失敗。例如:http://host:port/ deployuri/UI/Login?module=Japanese-string&gx_charset=UTF-8
解決方法。使用 UTF-8 URL 編碼字元,例如 %E3%81%A6,而非原生字元。
如果 OpenSSO 主控台是在西班牙文語言環境中,則「2.2 Agents」的翻譯中會漏掉 2.2。
如果 OpenSSO 主控台是在西班牙文語言環境中,則依次按一下 [配置]、[認證]、[憑證] 後會傳回錯誤。
在簡體中文 (zh_CN) 語言環境中,主控台線上說明文字會以英文顯示,而非中文。如果將瀏覽器喜好的語言設為 zh_CN,則只有左側樹狀結構中的線上說明文字以英文顯示。如果將瀏覽器喜好的語言設為 zh,則所有線上說明文字都會以英文顯示。
解決方法。將 zh_CN 線上說明內容複製到 Web 容器 webapps 目錄中新的 zh 目錄,並重新啟動 Web 容器。
以 Apache Tomcat 為例,請將 /Tomcat6.0.18/webapps/opensso/html/zh_CN/* 複製到名為 /Tomcat6.0.18/webapps/opensso/html/zh/ 的新目錄。接著重新啟動 Tomcat 容器。
在英文版權備註中的法文部分「Etats-unis」少了重音符號,「armes nucléaires,des missiles」中的逗號之後少了空格,「Etats - Unis」中間不應有空格。
支援從下列發行版本升級至 OpenSSO Enterprise 8.0:
先前版本,包括 Sun Java System Directory Server 中的配置資料 |
此平台支援的升級 |
---|---|
Sun Java System Access Manager 7.1 伺服器 同時部署 Java Enterprise System 安裝程式與 WAR 檔案 |
Solaris SPARC、Solaris x86、Linux 和 Windows 系統 |
Sun Java System Access Manager 7 2005Q4 伺服器 |
Solaris SPARC、Solaris x86 和 Linux 系統 |
Sun Java System Access Manager 6 2005Q1 (6.3) 伺服器 |
Solaris SPARC、Solaris x86 和 Linux 系統 |
Sun Java System Federation Manager 7.0 伺服器 |
Solaris SPARC、Solaris x86、Linux 和 Windows 系統 |
升級程序包括升級現有 Access Manager 或 Federation Manager 伺服器實例,以及儲存在 Sun Java System Directory Server 中的對應配置資料。
如需詳細的升級步驟,請參閱「Sun OpenSSO Enterprise 8.0 Upgrade Guide」。
服務管理服務 (SMS) API (com.sun.identity.sm 套裝軟體) 和 SMS 模型將不包含在未來的 OpenSSO Enterprise 發行版本中。
Unix 認證模組和 Unix 認證說明程式 (amunixd) 將不包含在未來的 OpenSSO Enterprise 發行版本中。
「Sun Java System Access Manager 7.1 版本說明」中說明:Access Manager com.iplanet.am.sdk 套裝軟體,亦即一般所謂的 Access Manager SDK (AMSDK),以及所有相關的 API 和 XML 範本將不包括在 OpenSSO Enterprise 未來的發行版本中。目前已不提供遷移選項,未來預期也不會提供。Sun Identity Manager 提供可使用的使用者佈建解決方案,而非 AMSDK。如需 Identity Manager 的詳細資訊,請參閱 http://www.sun.com/software/products/identity_mgr/index.jsp。
如果對於 OpenSSO Enterprise 有任何疑問或問題,請連絡 Sun 支援資源 (SunSolve):http://sunsolve.sun.com/。
該網站可連結至知識庫、線上支援中心和 Product Tracker,並取得維護程式和支援連絡人電話號碼。
如果您請求協助以解決問題,請提供下列資訊:
問題說明,包括問題發生的情形以及對作業的影響
機器類型、作業系統版本、Web 容器與版本、JDK 版本以及 OpenSSO Enterprise 版本,包括任何可能對問題造成影響的修補程式及其他軟體
重現問題的詳細操作步驟
所有的錯誤記錄或核心傾印
Sun 致力於提高文件品質,因此誠心歡迎您提出意見與建議。請移至 http://docs.sun.com/,並按一下 Feedback (意見提供)。
請在適當的欄位中提供完整的文件標題以及文件號碼。文件號碼可以在文件的標題頁或文件頂部找到,通常是一個七位或九位數的數字。例如,本文件的標題為 Sun OpenSSO Enterprise 版本說明,文件號碼為 820-7091。提出意見時您還需要在表格中輸入此文件的英文標題和文件號碼。例如,本文件的英文文件號碼為 820-3745,完整標題為「Sun OpenSSO Enterprise Release Notes」。
您可以在下列位置找到其他有用的資訊與資源:
Sun 軟體產品:http://wwws.sun.com/software/
Sun 支援資源:http://sunsolve.sun.com/
Sun Developer Network (SDN):http://developers.sun.com/
Sun 開發者服務:http://www.sun.com/developers/support/
欲獲得此媒體發佈以來已發行的無障礙功能,請向 Sun 索取依據美國「Section 508」法規進行產品評估所得之結果文件,以便決定最適合佈署無障礙功能解決方案的版本。以下網址將提供應用程式的更新版本: http://sun.com/software/javaenterprisesystem/get.html
如需有關 Sun 在無障礙功能方面之成果的資訊,請至 http://sun.com/access。
本文件中提供了協力廠商 URL 以供參考,另亦提供其他相關的資訊。
Sun 對本文件中提到的協力廠商網站的可用性不承擔任何責任。對於此類網站或資源中的 (或透過它們所取得的) 任何內容、廣告、產品或其他材料,Sun 並不表示認可,也不承擔任何責任。Sun 對於因使用或依靠此類網站或資源中的 (或透過它們所取得的) 任何內容、產品或服務而造成的或連帶產生的任何實際或名義上之損壞或損失,Sun 概不負責,也不承擔任何責任。
日期 (修訂) |
變更說明 |
---|---|
2008 年 11 月 14 日 (11) |
OpenSSO Enterprise 8.0 的硬體與軟體需求中增加了包括新問題與變更的最新變更。 |
2008 年 11 月 11 日 (10) |
初期測試版。 |
2008 年 8 月 26 日 (05) |
早期存取 (EA) 發行版本草稿。 |