Access Manager 7 2005Q4 パッチ 4 (リビジョン 04) では、次の問題を修正します。
CR# 6463796: genericHTML の iPlanetAMClientDetection サービスを無効にすると、Access Manager の HTML ページにアクセスできない
CR# 6463779: 分散認証の amProfile_Client と Access Manager サーバーの amProfile_Server が無害な例外でいっぱいになる
CR# 6463730: goto パラメータと gx-charset パラメータにクロスサイトスクリプト (XSS) の脆弱性が存在する
CR# 6435889: RestrictedTokenContext が設定されていないため、Session.getSession メソッドが失敗する
パッチ 4 での既知の問題点と制限事項
分散認証 UI サーバーユーザーのユーザー属性の読み取り、検索、および比較のパフォーマンスを改善するには、次の手順を実行します。
Makefile.distAuthUI ファイルで、アプリケーションユーザー名を anonymous から別のユーザーに変更します。次に例を示します。
APPLICATION_USERNAME=user1
Directory Server で、新しいユーザー (たとえば、user1) と ACI を追加し、ユーザー属性の読み取り、検索、および比較を許可します。次の例では、新しい ACI を追加しています。
dn:ou=1.0,ou=SunAMClientData,ou=ClientData,dc=example,dc=com changetype:modify add:aci aci: (target="ldap:///ou=1.0,ou=SunAMClientData,ou=ClientData,dc=example,dc=com") (targetattr = *")(version 3.0; acl "SunAM client data access to a Distributed Auth App User"; allow (read, search, compare) userdn = "ldap:///uid=user1,ou=people,dc=example,dc=com";)
パスワードが変更されると、Access Manager は資格を取得していない送信者名 Identity-Server を使用して電子メール通知を送信します。その結果、amPasswordReset ログにエラーが書き込まれます。次に例を示します。
07/19/2006 10:26:04:010 AM PDT: Thread[service-j2ee,5,main] ERROR: Could not send email to user [Ljava.lang.String;@999262 com.sun.mail.smtp.SMTPSendFailedException: 553 5.5.4 <Identity-Server>... Domain name required for sender address Identity-Server
回避方法: amPasswordResetModuleMsgs.properties ファイルで、次のようにしてホストサーバーの完全修飾ドメイン名が含まれるように from アドレスを変更します。
from アドレスのラベルを変更します。次に例を示します。
fromAddress.label=<Identity-Server@amhost.example.com>
lockOutEmailFrom プロパティーを変更して、正しい from アドレスがロックアウト通知に確実に使用されるようにします。次に例を示します。
lockOutEmailFrom=<Identity-Server@amhost.example.com>
amPasswordResetModuleMsgs.properties ファイルは、Solaris システムの場合は AccessManager-base/SUNWam/locale ディレクトリ、Linux システムの場合は AccessManager-base/identity/locale ディレクトリにあります。
AccessManager-base は、ベースインストールディレクトリです。デフォルトのベースインストールディレクトリは、Solaris システムの場合は /opt、Linux システムの場合は /opt/sun です。