Access Manager 7 2005Q4 修補程式 2

Access Manager 7 2005Q4 修補程式 2 (修訂版 02) 修正了許多問題，這些問題列於修補程式隨附的讀我檔案中。修補程式 2 也包含下列新增功能及已知問題：

修補程式 2 的新增功能

• 用於使用者管理、識別儲存庫及服務管理快取的新特性

• 用於聯合服務提供者的新特性

• LDAP 篩選器條件支援

修補程式 2 的已知問題和限制

• CR# 6283582：Access Manager 實例之間沒有共用登入失敗次數

• CR# 6293673：傳送階段作業逾時通知時，需要保留原始階段作業資訊

• CR# 6244578：Access Manager 應該警告使用者瀏覽器 cookie 支援已停用/無法使用

• CR# 6236892：登入後，CDCServlet 處理 AuthNResponse 出現影像/文字預留位置

• CR# 6363157：新特性會在絕對必要時停用持續搜尋

• CR# 6385696：看不見現有的和新的 IDP 和 SP

用於使用者管理、識別儲存庫及服務管理快取的新特性

修補程式 2 包含下列用於使用者管理 (Access Manager SDK)、識別儲存庫 (Identity Repository, IdRepo) 及服務管理快取的新特性。這些特性讓您可以根據部署需求獨立地啟用和停用不同的快取，以及設定快取項目的存活時間 (Time to Live, TTL)。

表 3 用於使用者管理、識別儲存庫及服務管理快取的新特性

特性	說明
用於啟用和停用快取的新特性
com.iplanet.am.sdk.caching.enabled	全域特性，可啟用 (true) 或停用 (false) 識別儲存庫 (IdRepo)、使用者管理及服務管理快取。若為 true，或是 AMConfig.properties 檔案中無此特性，則這三個快取皆會被啟用。
備註：下列三個特性用於啟用或停用指定的快取，但只在前述的全域特性設為 false 時才有用。
com.sun.identity.amsdk.cache.enabled	僅啟用 (true) 或停用 (false) 使用者管理 (Access Manager SDK) 快取。
com.sun.identity.idm.cache.enabled	僅啟用 (true) 或停用 (false) 識別儲存庫 (IdRepo) 快取。
com.sun.identity.sm.cache.enabled	僅啟用 (true) 或停用 (false) 服務管理快取。
TTL 的新使用者管理快取特性.
com.iplanet.am.sdk.cache.entry.expire.enabled	啟用 (true) 或停用 (false) 使用者管理快取的過期時間 (由下列兩個特性所定義)。
com.iplanet.am.sdk.cache.entry.user.expire.time	指定使用者管理快取的使用者項目自從前一次修改後保持有效的時間，以分鍾為單位。亦即，超過此指定時間後 (在前一次修改或從目錄讀取之後)，快取項目的資料即會過期。然後，若有針對這些項目之資料的新請求，則必須從目錄讀取。
com.iplanet.am.sdk.cache.entry.default.expire.time	指定使用者管理快取的非使用者項目自從前一次修改後保持有效的時間，以分鍾為單位。亦即，超過此指定時間後 (在前一次修改或從目錄讀取之後)，快取項目的資料即會過期。然後，若有針對這些項目之資料的新請求，則必須從目錄讀取。TTL 的新識別儲存庫快取特性。
com.sun.identity.idm.cache.entry.expire.enabled	啟用 (true) 或停用 (false) IdRepo 快取的過期時間 (由下列特性所定義)。
com.sun.identity.idm.cache.entry.default.expire.time	指定 IdRepo 快取的非使用者項目自從前一次修改後保持有效的時間，以分鍾為單位。亦即，超過此指定時間後 (在前一次修改或從儲存庫讀取之後)，快取項目的資料即會過期。然後，若有針對這些項目之資料的新請求，則必須從儲存庫讀取。

使用新的快取特性

Access Manager 7 2005Q4 修補程式不會自動將新的快取特性加入 AMConfig.properties 檔案中。

若要使用新的快取特性：

1. 使用文字編輯器，將特性及它們的值加入下列目錄 (依您的平台而定) 中的 AMConfig.properties 檔案：

   • Solaris 系統：/etc/opt/SUNWam/config

   • Linux 系統：/etc/opt/sun/identity/config

2. 重新啟動 Access Manager Web 容器以使這些值生效。

用於聯合服務提供者的新特性

新的 com.sun.identity.federation.spadapter 特性定義了 com.sun.identity.federation.plugins.FederationSPAdapter 的實作類別，該類別用於在服務提供者端的聯合處理期間，增加應用程式特定的處理。

另請參閱CR# 6385696：看不見現有的和新的 IDP 和 SP。

LDAP 篩選器條件支援

修補程式 2 中增加了 [LDAP 篩選器條件] 支援。策略管理員現在可以在定義策略時在 [條件] 中指定 LDAP 篩選器。只有當使用者的 LDAP 項目符合 [條件] 中指定的 LDAP 篩選器時，才會對使用者套用策略。使用者的 LDAP 項目是在 [策略配置] 服務所指定的目錄內查詢。

若要註冊並使用 [LDAP 篩選條件]，請在安裝 Access Manager 7 修補程式 2 之後執行下列指令 (以安裝在 Solaris 系統上預設目錄中的 Access Manager 為例)：

# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-s /etc/opt/SUNWam/AddLDAPFilterCondition.xml
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml

修補程式 5 備註 如果您已增加 Access Manager 7 2005Q4 修補程式 5 並執行 updateschema.sh 程序檔，則不需要使用 amadmin 來載入這些檔案。如需更多資訊，請參閱用於載入 LDIF 和 XML 檔案的新 updateschema.sh 程序檔。

CR# 6283582：Access Manager 實例之間沒有共用登入失敗次數

在安裝 Access Manager 7 修補程式 2 之後，請執行下列指令 (以安裝在 Solaris 系統上預設目錄中的 Access Manager 為例)：

# cd DirectoryServer-base/shared/bin
# ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort 
-D "cn=Directory Manager" -w DirectoryMangerPassword 
-a -f /etc/opt/SUNWam/accountLockout.ldif
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/accountLockoutData.xml

DirectoryServer-base 的預設值在 Solaris 系統上是 /var/opt/mps/serverroot，在 Linux 系統上是 /var/opt/sun/directory-server。

修補程式 5 備註 如果您已增加 Access Manager 7 2005Q4 修補程式 5 並執行 updateschema.sh 程序檔，則不需要使用 amadmin 來載入這些檔案。如需更多資訊，請參閱用於載入 LDIF 和 XML 檔案的新 updateschema.sh 程序檔。

CR# 6293673：傳送階段作業逾時通知時，需要保留原始階段作業資訊

AMConfig.properties 檔案中的新 com.sun.identity.session.property.doNotTrimList 特性可包含階段作業特性名稱清單 (以逗號分隔)。一旦階段作業逾時，在此清單中定義的特性也不會被移除，這樣在清除階段作業之前仍可存取它們。例如：

com.sun.identity.session.property.doNotTrimList=UserId,HostName

CR# 6244578：Access Manager 應該警告使用者瀏覽器 cookie 支援已停用/無法使用

AMConfig.properties 檔案中的新 com.sun.identity.am.cookie.check 特性指示伺服器是否應該檢查瀏覽器有無支援/啟用 cookie。值為 true 時，伺服器將檢查瀏覽器是否支援/啟用 cookie，如果瀏覽器不支援或尚未啟用 cookie，則丟出錯誤頁面。如果希望伺服器為認證功能提供無 cookie 模式支援，則應該將值設為 false (即預設值)。

CR# 6236892：登入後，CDCServlet 處理 AuthNResponse 出現影像/文字預留位置

AMConfig.properties 檔案中加入了下列新特性，並且這些特性由 CDCServlet 讀取：

• com.iplanet.services.cdc.WaitImage.display 如果設定為 true，則當使用者在 CDSSO 分析藍本中等待受保護的頁面時，瀏覽器中會顯示影像。預設值是 false。

• com.iplanet.services.cdc.WaitImage.name 指定影像名稱。預設值是 waitImage.gif。此影像是從 login_images 目錄中複製的。

• com.iplanet.services.cdc.WaitImage.width 指定影像寬度。預設值是 420。

• com.iplanet.services.cdc.WaitImage.height 指定影像高度。預設值是 120。

CR# 6363157：新特性會在絕對必要時停用持續搜尋

AMConfig.properties 檔案中的新 com.sun.am.event.connection.disable.list 特性指定可以停用的事件連線。可能的值 (大小寫不需相符) 有：

aci - 對 aci 屬性的變更，使用 LDAP 篩選器 (aci=*) 進行搜尋

sm - 在 Access Manager 資訊樹狀結構 (或服務管理節點) 中進行的變更，其中包含 sunService 或 sunServiceComponent 記號物件類別的物件。例如，您可能需要建立策略來定義受保護資源的存取權限，或者需要修改現有策略的規則、主旨、條件或回應提供者。

um - 在使用者目錄 (或使用者管理節點) 中進行的變更。例如，您可能要變更使用者的名稱或位址。

例如，若要停用持續搜尋以變更 Access Manager 資訊樹狀結構 (或服務管理節點)：

com.sun.am.event.connection.disable.list=sm

若要指定多個值，請以逗號分隔每個值。

---

注意 –

持續搜尋可能會使 Directory Server 增加效能負荷。如果您確定在生產環境中移除一部分效能負荷有絕對的必要性，則可以使用 com.sun.am.event.connection.disable.list 特性來停用一個或多個持續搜尋。

不過，在您停用持續搜尋之前，必須先瞭解上述限制。我們強烈建議您除非絕對必要，否則請不要變更該特性。引入此特性的主要目的是，避免在使用多個 2.1 J2EE 代理程式時由於每個代理程式都會建立這些持續搜尋而導致 Directory Server 發生超負荷。2.2 J2EE 代理程式不再建立這些持續搜尋，因此您可能不需要使用此特性。

如需更多資訊，請參閱記錄有關停用持續搜尋的更多資訊 (6486927)。

---

CR# 6385696：看不見現有的和新的 IDP 和 SP

AMConfig.properties 檔案中的新 com.sun.identity.federation.spadapter 特性指定聯合服務提供者介面的預設實作，應用程式可以從中取得宣示及回應資訊。例如：

com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter