Access Manager 7 2005Q4 Patch 6

Access Manager 7-Patch 6 (Überarbeitung 06) behebt eine Reihe von Problemen, die in der README-Datei zum Patch aufgeführt sind. Patch 6 enthält außerdem die folgenden neuen Funktionen, Problemlösungen und Dokumentationsaktualisierungen.

Neue Funktionen in Patch 6

• Access Manager unterstützt die JDK 1.5-Methode HttpURLConnection setReadTimeout

• Access Manager-SDK verwendet den primären Directory-Server wieder, nachdem dieser erneut hochgefahren wurde

• Die Protokollierung für mehrere Access Manager-Instanzen erfolgt in separaten Protokolldateien.

• Access Manager 7 lässt mehrere Cookie-Domänen zu

• Post-Authentifizierungs-Plugin von Microsoft IIS 6.0 unterstützt SharePoint Server

• Access Manager unterstützt Internet Explorer 7

Bekannte Probleme und Einschränkungen in Patch 6

• CR# 6379325 Der Zugriff auf die Konsole während eines Sitzungsfailovers löst eine Nullzeiger-Ausnahme aus

• CR# 6508103: Unter Windows wird durch Aufrufen der Hilfe in der Admin-Konsole ein Anwendungsfehler zurückgegeben

• CR# 6564877: Durch die Installation des Access Manager 7-Patches werden die SAML v2-Dateien überschrieben

---

Hinweis –

Es wird empfohlen, folgende Komponenten zu aktualisieren bzw. Patches für diese Komponenten anzuwenden, bevor Sie Patch 6 installieren:

• Wenn Sie Sun Java System Web Server 6.1 SP5 oder eine ältere Version verwenden, rüsten Sie auf Web Server 6.1 SP7 auf. Diese Version finden Sie unter folgender Adresse:

  http://www.sun.com/download/products.xml?id=45c90ca9

  Folgen Sie den Anweisungen zum Aufrüsten unter Aktualisierung in Versionshinweise zu Sun Java System Web Server 6.1 SP8.

• Laden Sie den aktuellen Sicherheitspatch für NSS, JSS und NSPR von SunSolve Online herunter: http://sunsolve.sun.com.

  • Solaris 8 SPARC-Plattformen: 119209

  • Solaris 8 x86-Plattformen: 119210

  • Solaris 9 SPARC-Plattformen: 119211

  • Solaris 9 x86-Plattformen: 119212

  • Solaris 10 SPARC-Plattformen: 119213

  • Solaris 10 x86- und AMD64-Plattformen: 119214

  • Windows-Systeme: 124392

  • HP-UX-Systeme: 124379

---

Access Manager unterstützt die JDK 1.5-Methode HttpURLConnection setReadTimeout

Zur Unterstützung der Methode setReadTimeout enthält die Datei AMConfig.properties die folgende neue Eigenschaft, sodass Sie den Wert für die Zeitüberschreitung für Lesevorgänge festlegen können:

com.sun.identity.url.readTimeout

Wenn der Webcontainer JDK 1.5 verwendet, legen Sie für diese Eigenschaft einen geeigneten Zeitüberschreitungswert für Verbindungen fest, um zu vermeiden, dass zu viele HttpURLConnections gleichzeitig aktiv sind, was zu einem Serverabsturz führen könnte. Der Standardwert ist 30.000 Millisekunden (30 Sekunden).

Die Methode setReadTimeout wird ignoriert, wenn com.sun.identity.url.readTimeout in der Datei AMConfig.properties nicht vorhanden oder auf eine leere Zeichenfolge gesetzt ist.

Access Manager-SDK verwendet den primären Directory-Server wieder, nachdem dieser erneut hochgefahren wurde

Wenn Sun Java System Directory Server für die Multi-Master-Replikation (MMR) konfiguriert ist, verwendet das Access Manager-SDK jetzt wieder den primären Directory-Server, nachdem dieser herunter- und wieder hochgefahren wurde. Zuvor griff das Access Manager-SDK weiterhin auf den sekundären Directory-Server zu, nachdem der primäre Server wieder hochgefahren wurde.

Zur Unterstützung dieses neuen Verhaltens verfügt die Datei AMConfig.properties von Access Manager über folgende neue Eigenschaft:

com.sun.am.ldap.fallback.sleep.minutes

Mit dieser Eigenschaft wird die Zeit in Minuten festgelegt, die eine Instanz des sekundären Directory-Servers nach dem erneuten Hochfahren des primären Servers pausiert, bevor dieser wieder verwendet wird. Der Standardwert ist 15 Minuten.

Die Eigenschaft com.sun.am.ldap.fallback.sleep.minutes ist verborgen. Um für diese Eigenschaft einen anderen als den Standardwert (15 Minuten) festzulegen, fügen Sie sie der Datei AMConfig.properties explizit hinzu. Legen Sie für den Wert beispielsweise 7 Minuten fest:

com.sun.am.ldap.fallback.sleep.minutes=7

Damit der neue Wert in Kraft tritt, starten Sie den Access Manager-Webcontainer neu.

Die Protokollierung für mehrere Access Manager-Instanzen erfolgt in separaten Protokolldateien.

Die Protokollierung für mehrere Access Manager-Instanzen, die auf demselben Hostserver ausgeführt werden, kann nun in verschiedenen Unterverzeichnissen erfolgen. Legen Sie hierzu die folgende neue Eigenschaft in der Datei AMConfig.properties fest:

com.sun.identity.log.logSubdir

Solange Sie das Standard-Protokollierungsverzeichnis in der Admin-Konsole nicht ändern, werden standardmäßig die folgenden Protokollierungsverzeichnisse verwendet:

• Solaris-Systeme: /var/opt/SUNWam/logs

• Linux- und HP-UX-Systeme: /var/opt/sun/identity/logs

• Windows-Systeme: C:\Sun\JavaES5\identity\logs

Die Protokollierung für die erste Access Manager-Instanz erfolgt immer im Standard-Protokollierungsverzeichnis. Um für weitere Access Manager-Instanzen unterschiedliche Protokollierungs-Unterverzeichnisse anzugeben, legen Sie in der Datei AMConfig.properties für jede weitere Access Manager-Instanz die Eigenschaft com.sun.identity.log.logSubdir fest.

Wenn Sie beispielsweise drei Instanzen haben, am-instance-1, am-instance-2 und am-instance-3, die auf demselben Solaris-Hostserver ausgeführt werden, legen Sie die Eigenschaft wie folgt fest:

com.sun.identity.log.logSubdir=am-instance-2
com.sun.identity.log.logSubdir=am-instance-3

Die Eigenschaft com.sun.identity.log.logSubdir ist verborgen. Sie müssen diese Eigenschaft der Datei AMConfig.properties bei Bedarf explizit hinzufügen und den Access Manager-Webcontainer neu starten, damit die Werte für die Unterverzeichnisse in Kraft treten.

Die Protokollierung für die Access Manager-Instanzen erfolgt dann in folgenden Verzeichnissen:

/var/opt/SUNWam/logs/log-files-for-am-instance-1
/var/opt/SUNWam/logs/am-instance-2/log-files-for-am-instance-2
/var/opt/SUNWam/logs/am-instance-3/log-files-for-am-instance-3

Access Manager 7 lässt mehrere Cookie-Domänen zu

Zur Unterstützung mehrerer Cookie-Domänen verfügt Access Manager über die folgende neue Eigenschaft:

com.sun.identity.authentication.setCookieToAllDomains

Der Standardwert lautet true. Die neue Eigenschaft ist verborgen. Um für den Wert false festzulegen, fügen Sie die Eigenschaft der Datei AMConfig.properties explizit hinzu, und starten Sie den Access Manager-Webcontainer neu.

Post-Authentifizierungs-Plugin von Microsoft IIS 6.0 unterstützt SharePoint Server

Das Authentifizierungs-Plugin von Microsoft Internet Information Services (IIS) 6.0 unterstützt jetzt Microsoft Office SharePoint Server. Benutzer können sich bei Access Manager mit einer Benutzer-ID oder einem Anmeldenamen anmelden. SharePoint Server akzeptiert jedoch Anmeldenamen, was Probleme verursachen kann, wenn der Benutzer eine Benutzer-ID angibt.

Um eine Anmeldung bei SharePoint Server zu ermöglichen, verwendet das Post-Authentifizierungs-Plugin (ReplayPasswd.java) jetzt die folgende neue Eigenschaft:

com.sun.am.sharepoint_login_attr_name

Mit dieser neuen Eigenschaft wird das Benutzerattribut angegeben, das SharePoint Server für die Authentifizierung verwendet. Mit der folgenden Eigenschaft wird beispielsweise der gemeinsame Name (cn) für die Authentifizierung angegeben:

com.sun.am.sharepoint_login_attr_name=cn

Das Post-Authentifizierungs-Plugin liest die Eigenschaft com.sun.am.sharepoint_login_attr_name und ruft den entsprechenden Attributwert für den Benutzer vom Directory-Server ab. Anschließend werden die Autorisierungskopfzeilen so definiert, dass der Benutzer auf SharePoint Server zugreifen kann.

Diese Eigenschaft ist verborgen. Um die Eigenschaft festzulegen, fügen Sie sie der Datei AMConfig.properties explizit hinzu, und starten Sie dann den Access Manager-Webcontainer neu, damit der Wert in Kraft tritt.

Access Manager unterstützt Internet Explorer 7

Access Manager 7 2005Q4 Patch 6 unterstützt jetzt Microsoft Windows Internet Explorer 7.

CR# 6379325 Der Zugriff auf die Konsole während eines Sitzungsfailovers löst eine Nullzeiger-Ausnahme aus

In diesem Szenario wurden mehrere Access Manager-Server im Sitzungsfailover-Modus hinter einem Load Balancer bereitgestellt, der für das cookiebasierte so genannte "Sticky Request Routing" (zähe Anforderungsweiterleitung) konfiguriert ist. Der Access Manager-Administrator greift über den Load Balancer auf die Access Manager-Konsole zu. Wenn der Administrator sich bei der Konsole anmeldet, wird die Sitzung auf einem der Access Manager-Server erstellt. Sollte dieser Server ausfallen, wird für die Konsolensitzung erwartungsgemäß ein Failover auf einen anderen Access Manager-Server ausgeführt. Manchmal werden dem Administrator jedoch sporadisch Nullzeiger-Ausnahmen im Browser und im Fehlerprotokoll des Webcontainers angezeigt.

Dieses Problem betrifft nur die zum Zeitpunkt des Failovers aktive Access Manager-Konsolensitzung und wirkt sich nicht auf die Funktion der Access Manager-Server aus.

Umgehung: So vermeiden Sie sporadische Nullzeiger-Ausnahmen

• Als vorübergehende Lösung können Sie den Browser aktualisieren oder sich abmelden und dann erneut bei der Konsole anmelden.

• Um das Problem dauerhaft zu beseitigen, stellen Sie die Access Manager-Konsole auf einer separaten Access Manager-Instanz bereit, die nicht am Sitzungsfailover beteiligt ist.

CR# 6508103: Unter Windows wird durch Aufrufen der Hilfe in der Admin-Konsole ein Anwendungsfehler zurückgegeben

Wenn Access Manager unter Windows 2003 Enterprise Edition auf einem Sun Java System Application Server in anderen Gebietsschemata als Englisch bereitgestellt wird, wird durch Aufrufen der Hilfe in der Admin-Konsole im Realm-Modus ein Anwendungsfehler zurückgegeben.

Umgehung:

1. Kopieren Sie die Datei javaes-install-dir\share\lib\jhall.jar in das Verzeichnis %JAVA_HOME%\jre\lib\ext.

   javaes-install-dir steht hierbei für das Windows-Installationsverzeichnis.

2. Starten Sie die Anwendungsserver-Instanz neu.

CR# 6564877: Durch die Installation des Access Manager 7-Patches werden die SAML v2-Dateien überschrieben

Wenn das SAML v2-Plugin installiert ist, werden durch die Installation des Patches die SAML v2-bezogenen Dateien überschrieben, und das Skript postpatch zeigt die folgende Nachricht an:

The postpatch script detected that the SAML v2 plug-in is installed in your environment. When you run the amconfig script to redeploy the Access Manager applications, the script will recreate the amserver.war file and the SAML v2 related files will be lost. Therefore, after you run amconfig, recreate and redeploy the amserver.war file, as described in the Sun Java System SAML v2 Plug-in for Federation Services User's Guide.

Umgehung: Nachdem Sie den Patch installiert und das Skript amconfig ausgeführt haben, erstellen Sie die Datei amserver.war für die Federation Manager- oder Access Manager-Bereitstellungen, die das SAML v2-Plugin verwenden, und stellen Sie sie erneut bereit.

Die genaue Vorgehensweise entnehmen Sie Kapitel 2, Installing the SAML v2 Plug-in for Federation Services in Sun Java System SAML v2 Plug-in for Federation Services User’s Guide.