Esta sección describe los siguientes problemas conocidos y sus soluciones (si las hay) en el momento de la publicación.
Incompatibilidad entre los servidores de Java ES 2004Q2 e IM en Java ES 2005Q4 (6309082)
El agente no puede iniciar sesión porque el perfil no se encuentra en la organización (6295074)
La utilidad commadmin de Delegated Administrator no crea un usuario (6294603)
La utilidad commadmin de Delegated Administrator no crea una organización (6292104)
La siguiente implementación ha provocado este problema:
servidor-1: Java ES 2004Q2: Directory Server
servidor-2: Java ES 2004Q2: Application Server, Access Manager y Portal Server
servidor-3: Java ES 2004Q2: Calendar Server y Messaging Server
servidor-4: Java ES 2005Q4: Application Server, Instant Messaging y Access Manager SDK
Al ejecutar la utilidad imconfig para configurar Instant Messaging en el servidor-4, la configuración no se pudo realizar con éxito. Access Manager 7 2005Q4 SDK, utilizado por Instant Messaging (IM) en el servidor-4, no es compatible con la versión Java ES 2004Q2.
Solución: es recomendable que el servidor de Access Manager y Access Manager SDK tengan la misma versión. Para obtener más información, consulte Guía de actualización de Sun Java Enterprise System 2005Q4.
El modo tradicional de Access Manager 7 2005Q4 presenta las siguientes incompatibilidades en el módulo de autenticación principal a partir de la versión Access Manager 6 2005Q1:
Los módulos de autenticación de la organización se eliminan en el modo tradicional.
Se ha modificado la presentación de la “Configuración de autenticación del administrador” y la “Configuración de autenticación de la organización”. En la consola de Access Manager 7 2005Q4, la lista desplegable muestra la opción ldapService seleccionada de forma predeterminada. En la consola de Access Manager 6 2005Q1, se mostraba el botón de edición y el módulo LDAP no aparecía seleccionado de forma predeterminada.
Solución: Ninguna.
En la consola de Access Manager, puede crear un agente en el modo de dominio. Si cierra la sesión y, a continuación, vuelve a iniciarla con el mismo nombre de agente, Access Manager devuelve un mensaje de error debido a que el agente no cuenta con los privilegios suficientes para acceder al dominio.
Solución: modifique los permisos para brindar acceso de lectura y escritura al agente.
La utilidad commadmin de Delegated Administrator, junto con la opción -S mail,cal, no crea un usuario en el dominio predeterminado.
Solución: este problema se produce al actualizar Access Manager a la versión 7 2005Q4 sin actualizar Delegated Administrator. Para obtener información sobre la actualización de Delegated Administrator, consulte la Guía de actualización de Sun Java Enterprise System 2005Q4.
Si no desea actualizar Delegated Administrator, siga estos pasos:
En el archivo UserCalendarService.xml, marque los atributos mail, icssubcribed e icsfirstday como opcionales en lugar de obligatorios. Este archivo se encuentra de forma predeterminada en el directorio /opt/SUNWcomm/lib/services/ de los sistemas Solaris.
En Access Manager, elimine el archivo XML existente. Para ello, ejecute el comando amadmin de la siguiente forma:
# ./amadmin -u amadmin -w password -r UserCalendarService
En Access Manager, agregue el archivo XML actualizado como se muestra a continuación:
# ./amadmin -u amadmin -w password -s /opt/SUNWcomm/lib/services/UserCalendarService.xml
Reinicie el contenedor web de Access Manager.
La utilidad commadmin de Delegated Administrator, junto con la opción -S mail,cal, no crea una organización.
Solución: consulte la solución del problema anterior.
Después de aplicar la revisión 1, el archivo /tmp/amsilent concede acceso de lectura a todos los usuarios.
Solución: Una vez aplicada la revisión, restablezca los permisos del archivo para conceder sólo acceso de lectura al administrador de Access Manager.
Si realiza una instalación de SDK con la configuración del contenedor (DEPLOY_LEVEL=4), la dirección URL de notificación no se mostrará correctamente.
Solución:
establezca la siguiente propiedad en el archivo AMConfig.properties:
com.iplanet.am.notification.url= protocol://fqdn:port/amserver/servlet/com.iplanet.services.comm.client. PLLNotificationServlet
Reinicie Access Manager para que se aplique el nuevo valor.
La variable classpath de Access Manager hace referencia a un paquete de Java Cryptography Extension (JCE) 1.2.1 (Certificado de firma) que caducó el 27 de julio de 2005.
Solución: Ninguna. Aunque la referencia del paquete se encuentra en classpath, Access Manager no utiliza este paquete.
Directory Server dispone de nuevos índices para mejorar el rendimiento de la búsqueda.
Solución: después de instalar Access Manager con un Árbol de información de directorios (DIT, Directory Information Tree) existente, vuelva a crear los índices de Directory Server ejecutando la secuencia de comandos db2index.pl. Por ejemplo:
# ./db2index.pl -D "cn=Directory Manager" -w password -n userRoot
La secuencia de comandos db2index.pl está disponible en el directorio DS-install-directory/slapd-hostname/.
Cuando se especifica un usuario que no es root en el archivo de configuración de la instalación silenciosa, los permisos de los directorios de depuración, registro e inicio no se establecen adecuadamente.
Solución: cambie los permisos de estos directorios para permitir el acceso a un usuario no root.
Aunque se actualicen classpath y otras variables de entorno del contenedor web de Access Manager durante la instalación, el proceso de instalación no reinicia el contenedor web. Si se intenta iniciar la sesión en Access Manager después de la instalación y antes de que se reinicie el contenedor web, se devolverá el siguiente error:
Authentication Service is not initialized. Contact your system administrator.
Solución: reinicie el contenedor web antes de iniciar la sesión en Access Manager. Directory Server debe estar ejecutándose también antes de iniciar la sesión.
El programa de instalación de Java ES no agrega ninguna entrada de plataforma para una instalación de Directory Server existente (DIRECTORY_MODE=2).
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para ver los pasos, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
El archivo AMConfig.properties incluye una versión antigua del contenedor web (6316833)
Error en la actualización de Access Manager debido a que no se ha migrado classpath (6284595)
Una vez realizada la actualización, el comando amadmin muestra una versión incorrecta (6283758)
Adición del atributo ContainerDefaultTemplateRole después de la migración de datos (4677779)
Si actualiza Access Manager a la versión Access Manager 7 2005Q4, la secuencia de comandos ampre70upgrade no elimina ninguno de los paquetes traducidos de Access Manager presentes en el sistema.
Solución: antes de actualizar a Access Manager 7 2005Q4, utilice el comando pkgrm para eliminar manualmente los paquetes traducidos de Access Manager instalados en el sistema.
Una vez actualizados Access Manager y Application Server a la versión Java ES 2005Q4, el archivo AMConfig.properties de Access Manager incluye una versión antigua de Application Server.
Solución: antes de ejecutar el programa de configuración de Delegated Administrator (config-commda), cambie la siguiente propiedad en el archivo AMConfig.properties:
com.sun.identity.webcontainer=IAS8.1
El archivo server.policy del agente del nodo no se actualiza después de actualizar Access Manager.
Solución: sustituya el archivo server.policy del agente del nodo por el siguiente archivo:
/var/opt/SUNWappserver/domains/domain1/config/server.policy
Después de actualizar Access Manager de la versión 2005Q1 a la 2005Q4, la condición de propiedad de sesión no se muestra como una opción en la lista de condiciones de la directiva al intentar agregar una condición a una directiva.
Solución: seleccione el tipo de condición de propiedad de sesión en la plantilla de servicio de configuración de directivas del dominio correspondiente.
Después de actualizar Access Manager de la versión 2005Q1 a la 2005Q4, el asunto de identidad, un tipo de asunto de directiva recién agregado, no se muestra como opción en la lista de asuntos de la directiva.
Solución: seleccione el tipo de asunto de identidad como tipo de asunto predeterminado en la plantilla de servicio de configuración de directivas.
Durante la actualización de Access Manager de Java ES 2004Q2 a Java ES 2005Q4, ha fallado la actualización de Java ES 2004Q2 a Java ES 2005Q1. Access Manager se estaba implementando en Application Server, que también se estaba actualizando de Java ES 2004Q2 a Java ES 2005Q4. La secuencia de comandos classpath en el archivo domain.xml no disponía de rutas a los archivos JAR de Access Manager.
Solución: Siga estos pasos:
Antes de ejecutar la secuencia de comandos amupgrade, deberá volver a indexar Directory Server debido a un problema con la secuencia de comandos comm_dssetup.pl.
Agregue entradas de Access Manager al archivo server.policy del agente del nodo. Basta con una copia de server.policy desde la política del servidor predeterminado(/var/opt/SUNWappserver/domains/domain1/config/server.policy ).
Actualice classpath en el archivo domain.xml del agente del nodo de la siguiente forma. Copie el sufijo classpath-suffix y la ruta classpath pertinentes de los atributos server-classpath del elemento java-config del archivo server.xml en los atributos correspondientes del elemento java-config de domain.xml. El elemento java-config se encuentra bajo el elemento config de domain.xml.
Después de actualizar Access Manager de la versión 6 2005Q1 a la versión 7 2005Q4, el comando amadmin --version devuelve una versión incorrecta: Sun Java System Access Manager versión 2005Q1.
Solución: después de actualizar Access Manager, ejecute la secuencia de comandos amconfig para configurar esta aplicación. Al ejecutar amconfig, especifique la ruta completa al archivo de configuración (amsamplesilent ). Por ejemplo, en un sistema Solaris:
# ./amconfig -s ./config-file
o
# ./amconfig -s /opt/SUNWam/bin/config-file
El rol del usuario no se muestra en una organización que no se haya creado en Access Manager. En el modo de depuración, aparece el siguiente mensaje:
ERROR: DesktopServlet.handleException() com.iplanet.portalserver.desktop.DesktopException: DesktopServlet.doGetPost(): no privilige to execute desktop
Este error se muestra después de que se ejecuten las secuencias de comandos de migración del programa de instalación de Java ES. El atributo ContainerDefaultTemplateRole no se agrega automáticamente a la organización cuando ésta se migra desde un árbol de información de directorio (DIT, Directory Information Tree) o desde otro origen.
Solución: utilice la consola de Directory Server para copiar el atributo ContainerDefaultTemplateRole desde otra organización de Access Manager y agréguelo a continuación a la organización en cuestión.
Validación de datos para los atributos necesarios en los servicios (6308653)
Solución para la implementación en una instancia de WebLogic 8.1 segura (6295863)
Error en la firma de URL en IBM WebSphere al utilizar la clave RSA (6271087)
Si implementa Access Manager 7 2005Q4 en Application Server 8.1 y utiliza URI no predeterminados para los servicios, la consola y las aplicaciones web de contraseña, que presentan valores de URI predeterminados en amserver, amconsole y ampassword respectivamente, debe editar el archivo server.policy del dominio de Application Server antes de intentar acceder a Access Manager mediante un explorador web.
Solución: edite el archivo server.policy de la siguiente forma:
Detenga la instancia de Application Server en la que se ha implementado Access Manager.
Vaya al directorio /config. Por ejemplo:
cd /var/opt/SUNWappserver/domains/domain1/config
Realice una copia de seguridad del archivo server.policy. Por ejemplo:
cp server.policy server.policy.orig
En el archivo server.policy, busque las siguientes directivas:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amserver/-" { ... }; grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amconsole/-" { ... }; grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/ampassword/-" { ... };
Sustituya amserver por el valor de URI no predeterminado que se utiliza para la aplicación web de servicios en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amserver/-" {
En las instalaciones con el modo tradicional, sustituya amconsole por el valor de URI no predeterminado que se utiliza para la aplicación web de la consola en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/amconsole/-" {
Sustituya ampassword por el valor de URI no predeterminado que se utiliza para la aplicación web de contraseña en la siguiente línea:
grant codeBase "file:\${com.sun.aas.instanceRoot}/ applications/j2ee-modules/ampassword/-" {
Inicie la instancia de Application Server en la que se ha implementado Access Manager.
En una implementación con varios servidores, no se actualizan la lista de servidores de plataforma ni el atributo de alias FQDN cuando se instala Access Manager en el segundo servidor (y en los siguientes).
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para obtener información sobre los pasos de este proceso, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
En Access Manager 7 2005Q4, los atributos necesarios para los archivos XML de los servicios deben establecerse obligatoriamente en los valores predeterminados.
Solución: si tiene servicios con atributos necesarios sin valores, agregue los valores para dichos atributos y, a continuación, vuelva a cargar el servicio.
Si se implementa Access Manager 7 2005Q4 en una instancia de BEA WebLogic 8.1 SP4 segura (con SSL activado), se producirá una excepción durante la implementación de cada aplicación web de Access Manager.
Solución: Siga estos pasos:
Aplique el archivo JAR de la revisión de WebLogic 8.1 SP4, CR210310_81sp4.jar , disponible en BEA.
En la secuencia de comandos /opt/SUNWam/bin/amwl81config (sistemas Solaris) o /opt/sun/identity/bin/amwl81config (sistemas Linux), actualice las funciones doDeploy y undeploy_it para especificar la ruta del archivo JAR de la revisión al principio de wl8_classpath , que es la variable que contiene la ruta classpath empleada para implementar las aplicaciones Web de Access Manager y anular la implementación.
Busque la línea que contiene wl8_classpath:
wl8_classpath= ...
Justo detrás de la línea indicada en el paso 2, agregue la siguiente línea:
wl8_classpath=path-to-CR210310_81sp4.jar:$wl8_classpath
En una implementación con varios servidores, la secuencia de comandos amconfig no actualiza los alias de dominio/DNS ni las entradas de la lista de servidores de plataforma para las instancias de Access Manager adicionales.
Solución: agregue manualmente los alias de dominio/DNS y las entradas de la lista de servidores de plataforma. Para obtener información sobre los pasos de este proceso, consulte Adding Additional Instances to the Platform Server List and Realm/DNS Aliases de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
El modo de Access Manager (variable AM_REALM) se activa de forma predeterminada en la plantilla del archivo de estado de la configuración.
Solución: para instalar o configurar Access Manager en el modo tradicional, restablezca la variable en el archivo de estado:
AM_REALM = disabled
Al utilizar una clave RSA en IBM WebSphere, la firma de la cadena de URL falla con la siguiente excepción:
ERROR: FSSignatureUtil.signAndReturnQueryString: FSSignatureException occured while signing query string: no such provider: SunRsaSign
Solución: falta el proveedor “SunRsaSign” en el JDK incluido en WebSphere. Para solucionar este problema, edite el archivo websphere_jdk_root/jre/lib/security/java.security y agregue la siguiente línea para habilitar "SunRsaSign" como uno de los proveedores:
security.provider.6=com.sun.rsajca.Provider
Errores de edición en la consola al duplicar un socio de confianza en SAML (6326634)
No funciona el registro remoto para amConsole.access y amPasswordReset.access (6311786)
La nueva consola de Access Manager no puede establecer las prioridades de plantilla de CoS (6309262)
En el modo tradicional, no se pueden eliminar todos los usuarios de un rol. (6293758)
No se pueden agregar, eliminar ni modificar las ofertas de recursos de Discovery Service (6273148)
Access Manager no puede crear una organización en un contenedor en el modo tradicional (6290720)
Aparece la antigua consola al agregar servicios relacionados con Portal Server (6293299)
En la consola de Access Manager, cree un socio de confianza de SAML en Federation (Federación) > ficha SAML. Si intenta duplicar el socio de confianza, se producirán errores.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Al configurar el registro remoto, todos los registros se escriben en la instancia remota de Access Manager, excepto la información de restablecimiento de contraseña de amConsole.access y amPasswordReset.access . El registro no se escribe en ninguna ubicación.
Solución: Ninguna.
La adición o edición de algunas de las propiedades del usuario amadmin en la consola de administración provoca que se modifique la contraseña de usuario amadmin.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
La nueva consola de Access Manager 7 2005Q4 no puede establecer ni modificar una prioridad de plantilla de Clase de servicio (CoS).
Solución: inicie una sesión en la consola de Access Manager 6 2005Q1 para establecer o modificar la prioridad de plantilla de CoS.
La consola de Access Manager devuelve una excepción al agregar un grupo a un usuario como usuario de administración de directivas.
Solución: Ninguna.
En el modo tradicional, al intentar eliminar todos los usuarios de un rol, siempre queda un usuario.
Solución: intente eliminar de nuevo el usuario del rol.
La consola de administración de Access Manager no permite la adición, eliminación ni modificación de las ofertas de recursos de un usuario, rol o dominio.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
La consola de administración de Access Manager no devuelve un error al utilizar una contraseña de enlace LDAP incorrecta.
Solución: Ninguna.
Si se intenta crear un contenedor y, a continuación, una organización en el mismo, Access Manager devuelve un error de infracción de la unicidad.
Solución: Ninguna.
Portal Server y Access Manager se instalan en el mismo servidor. Con Access Manager instalado en el modo tradicional, inicie sesión en la nueva consola mediante /amserver. Si se selecciona un usuario existente y se intentan agregar servicios (como NetFile o Netlet), aparecerá la antigua consola de Access Manager (/amconsle).
Solución: Ninguna. La versión actual de Portal Server requiere la consola de Access Manager 6 2005Q1.
Instale Directory Server y, a continuación, Access Manager con la opción de DIT existente. Inicie sesión en la consola de Access Manager y cree un grupo. Edite los usuarios de dicho grupo. Por ejemplo, agregue usuarios con el filtro uid=*999*. La lista resultante estará vacía y la consola no mostrará ningún mensaje de error, advertencia o informativo.
Solución: los miembros del grupo no deben superar el límite de tamaño de búsqueda de Directory Server. En caso contrario, cambie el límite de tamaño de búsqueda proporcionalmente.
No se puede eliminar la configuración del servicio de sesión para un subdominio (6318296)
Los clientes no reciben notificaciones después de reiniciarse el servlet (6309161)
Los clientes de SDK deben reiniciarse después del cambio de esquema de servicio. (6292616)
Después de crear un subdominio en el dominio de nivel superior y agregarle el servicio de sesión, si se intenta eliminar la configuración del servicio de sesión, se devolverá un mensaje de error.
Solución: elimine el repositorio de Id. de nivel superior predeterminado (AMSDK1) y, a continuación, vuelva a agregarlo en la configuración.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Con el agente Apache 2.2 en el modo CDSSO, al acceder al recurso protegido del agente, el servlet CDC redirecciona al usuario a la página de autenticación anónima en lugar de a la página de inicio de sesión predeterminada.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Las aplicaciones escritas con el cliente SDK (amclientsdk.jar) no reciben notificaciones si se reinicia el servidor.
Solución: Ninguna.
Si se modifica un esquema de servicio, ServiceSchema.getGlobalSchema devuelve el antiguo esquema en lugar del nuevo.
Solución: reinicie el cliente tras modificar un esquema de servicio.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Faltan los nuevos archivos de esquema en la secuencia de comandos amserveradmin (6255110)
No se pueden guardar los documentos XML con caracteres de escape en Internet Explorer 6.0 (4995100)
Si está utilizando Sun Java System Directory Proxy Server, la búsqueda LDAP de atributos nulos devolverá un error. Por ejemplo:
# ldapsearch -b base-dn uid=user ""
Si Access Manager señala directamente al servidor de directorios LDAP, la misma búsqueda se realizará satisfactoriamente.
Solución: si utiliza Directory Proxy Server, habilite las búsquedas de atributos nulos o proporcione un nombre de atributo para la búsqueda.
Después de la instalación, al ejecutar la secuencia de comandos amserveradmin para cargar los servicios en Directory Server, no se encuentran los archivos de esquema defaultDelegationPolicies.xml e idRepoDefaults.xml en la secuencia de comandos.
Solución: cargue manualmente los archivos defaultDelegationPolicies.xml e idRepoDefaults.xml utilizando la herramienta de CLI amadmin con la opción -t.
Si agrega un carácter especial (como, por ejemplo, “amp;” junto a “&”) en un archivo XML, éste se guardará correctamente. Sin embargo, al recuperar el perfil XML más adelante con Internet Explorer 6.0, el archivo no se mostrará correctamente. Si, a continuación, intenta guardar el perfil de nuevo, se devolverá un error.
Solución: Ninguna.
El token SSO UrlAccessAgent puede caducar debido a que el módulo de la aplicación no devuelve el DN de usuario especial, lo que provoca la coincidencia de dicho DN y, por tanto, el error de un token que no caduque.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
En el modo de dominio, si se crea un almacén de datos ldapv3 en un dominio con una contraseña “incorrecta” y, a continuación, se cambia la contraseña como amadmin, al intentar iniciar sesión con la contraseña modificada, el inicio de sesión fallará debido a que no se encuentra ningún perfil.
Solución: Ninguna.
Al instalar Access Manager en el modo tradicional, se modifica la configuración predeterminada del servicio de estadísticas:
El servicio se activa de forma predeterminada (com.iplanet.services.stats.state=file ). Anteriormente, estaba desactivado.
El intervalo predeterminado (com.iplanet.am.stats.interval) cambia de 3600 a 60.
El directorio de estadísticas predeterminado (com.iplanet.services.stats.directory ) cambia de /var/opt/SUNWam/debug a /var/opt/SUNWam/stats.
Solución: Ninguna.
Después de instalar Access Manager, inicie una sesión como amadmin y agregue los atributos o, sunPreferredDomain, associatedDomain , sunOrganizationAlias, uid y mail a la lista de atributos exclusivos. Si crea dos nuevas organizaciones con el mismo nombre, la operación fallará, aunque Access Manager mostrará un mensaje en el que se indica que la organización ya existe y no el mensaje previsto, en el que se indica que se ha infringido la unicidad del atributo.
Solución: Ninguna. No haga caso del mensaje incorrecto. Access Manager funciona correctamente.
Las instancias de Access Manager instaladas en diferentes zonas horarias y en el mismo círculo de confianza provocan que se agote el tiempo de espera de las sesiones de usuario.
La secuencia de comandos de conmutación por error de sesión (/opt/sun/identity/bin/amsfoconfig ) incluye permisos incorrectos y no se puede ejecutar en el sistema Linux 2.1.
Solución: cambie los permisos para que la secuencia de comandos amsfoconfig sea ejecutable (por ejemplo, 755).
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
La secuencia de comandos de conmutación por error de sesión (amsfoconfig) presenta errores en el servidor Linux 2.1 debido a que el carácter de tabulación (\t) no se interpreta correctamente.
Solución: configure manualmente la conmutación por error de sesión. Para obtener información sobre los pasos de este proceso, consulte Configuring Session Failover Manually de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
Si Access Manager se implementa con Web Server como contenedor web mediante un equilibrador de carga con finalización SSL, los clientes no se envían a la página correcta de Web Server. Al hacer clic en la ficha Sesiones (Sessions) de la consola de Access Manager, se devuelve un error debido a que el host no es válido.
Solución: en los siguientes ejemplos, Web Server recibe las conexiones en el puerto 3030. El equilibrador de carga recibe las conexiones en el puerto 80 y redirecciona las solicitudes a Web Server.
En el archivo web-server-instance-name/config/server.xml , edite el atributo servername para que señale al equilibrador de carga en función de la versión de Web Server que esté utilizando.
Para las versiones Web Server 6.1 Service Pack (SP), edite el atributo servername de la siguiente forma:
<LS id="ls1" port="3030" servername="loadbalancer.example.com:80" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
Web Server 6.1 SP2 (o posterior) permite el cambio de protocolo de http a https o de https a http. Por lo tanto, edite servername de la siguiente forma:
<LS id="ls1" port="3030" servername="https://loadbalancer.example.com:443" defaultvs="https-sample" security="false" ip="any" blocking="false" acceptorthreads="1"/>
El método predeterminado para mantener las sesiones de autenticación es “sesión interna” en lugar de HttpSession. El valor predeterminado de tiempo máximo de sesión no válida de tres minutos es suficiente. La secuencia de comandos amtune define este valor en un minuto para Web Server o Application Server. Sin embargo, si utiliza un contenedor web de otros fabricantes (IBM WebSphere o el servidor BEA WebLogic) y el elemento opcional HttpSession, es posible que necesite limitar el tiempo máximo de HttpSession del contenedor web para evitar problemas de rendimiento.
La eliminación de atributos dinámicos en el servicio de configuración de directivas provoca problemas al editar las directivas, como se muestra a continuación:
Cree dos atributos dinámicos en el servicio de configuración de directivas.
Cree una directiva y seleccione los atributos dinámicos del paso 1 en el proveedor de respuesta.
Elimine los atributos dinámicos en el servicio de configuración de directivas y cree dos atributos adicionales.
Intente editar la directiva creada en el paso 2.
Se mostrarán los siguientes resultados: "Error Invalid Dynamic property being set" (Error, se está estableciendo una propiedad dinámica no válida). No se muestra de forma predeterminada ninguna directiva en la lista. Después de realizar la búsqueda, se mostrarán las directivas, pero no se podrán editar o eliminar las directivas existentes ni crear una nueva.
Solución: antes de eliminar los atributos dinámicos del servicio de configuración de directivas, elimine las referencias a dichos atributos en las directivas.
Al iniciar Access Manager 7 2005Q4, se devuelven los siguientes errores de depuración en los archivos amDelegation y amProfile:
amDelegation: no se puede obtener una instancia del complemento para la delegación
amProfile: se recibió una excepción de delegación.
Solución: Ninguna. No tenga en cuenta estos mensajes.
Si se implementa Access Manager utilizando el servidor BEA WebLogic como contenedor web, es posible que no se pueda acceder a Access Manager.
Solución: reinicie de nuevo el servidor WebLogic para poder acceder a Access Manager.
Si ejecuta Application Server 8.1 en Red Hat Linux, el tamaño de pila de los subprocesos creados por el SO Red Hat para Application Server es de 10 Mbytes, lo que puede provocar problemas en los recursos de JVM cuando el número de sesiones de usuario de Access Manager alcance las 200.
Solución: defina el tamaño de pila del SO Red Hat con un valor inferior como, por ejemplo, 2048 o, incluso, 256 Kbytes, ejecutando el comando ulimit antes de iniciar Application Server. Ejecute el comando ulimit en la misma consola que utilizará para iniciar Application Server. Por ejemplo:
# ulimit -s 256;
La federación presenta errores al utilizar el perfil de artefacto (6324056)
Los caracteres especiales (&) de las declaraciones SAML deberían codificarse (6321128)
Se produce una excepción al intentar agregar el servicio de disco a un rol (6313437)
El ejemplo de EP no funciona si el sufijo root contiene el carácter “ &” (6300163)
Si Access Manager se ha configurado para acceder a ejemplos de servicios web en el directorio AccessManager-base/SUNWam/samples/phase2/wsc en los sistemas Solaris o en el directorio AccessManager-base /identity/samples/phase2/wsc en los sistemas Linux, la consulta de Discovery Service o la modificación de la oferta de recursos devuelve el mensaje de error: “Oferta de recursos no encontrada”.
AccessManager-base es el directorio base de instalación. El directorio base de instalación predeterminado es /opt en los sistemas Solaris y /opt/sun en los sistemas Linux.
Solución:
Acceda al siguiente directorio de ejemplos: AccessManager-base /SUNWam/samples/phase2/wsc) en los sistemas Solaris o AccessManager-base/identity/samples/phase2/wsc en los sistemas Linux
En el archivo index.jsp, busque la siguiente cadena:
com.sun.org.apache.xml.security.utils.XMLUtils.outputDOM
Justo antes de la línea que contiene la cadena indicada en el paso anterior, inserte la siguiente nueva línea:
com.sun.org.apache.xml.security.Init.init();
Vuelva a ejecutar el ejemplo: (No es necesario que reinicie Access Manager.)
Si se configuran un proveedor de identidades (IDP, Identity Provider) y un proveedor de servicios (SP, Service Provider), se cambia el protocolo de comunicación para utilizar el perfil de artefacto del explorador y, a continuación, se intenta realizar la federación de usuarios entre el IDP y el SP, el proceso de federación fallará.
Solución: Ninguna.
Si se establece Access Manager como el sitio de origen y destino, y se configura SSO, se producirá un error en el sitio de destino. Esto se debe a que el carácter especial ( &) de las declaraciones SAML no se ha codificado, por lo que falla el análisis de la aserción.
Solución: Ninguna. Este problema se ha solucionado en la revisión 1. Consulte Revisión 1 de Access Manager 7 2005Q4 para obtener información sobre la aplicación de la revisión en su plataforma específica.
En la consola de Access Manager, si se intenta agregar una oferta de recurso al servicio de disco, se produce una excepción desconocida.
Solución: Ninguna.
Los atributos del contexto de autenticación no se pueden configurar hasta que se hayan configurado y guardado los demás atributos.
Solución: configure y guarde el perfil del proveedor antes de configurar los atributos del contexto de autenticación.
Si Directory Server tiene un sufijo root que contiene el carácter “& ” y se intenta agregar una oferta de recurso del servicio de perfil de empleado, se producirá una excepción.
Solución: Ninguna.
En el modo de dominio, si se intenta realizar la federación de cuentas de usuario en un proveedor de identidades (IDP) y un proveedor de servicios (SP), se finaliza la federación y, a continuación, se cierra la sesión, se producirá un error: Error: no se ha encontrado ninguna suborganización (Error: No sub organization found.)
Solución: Ninguna.
Parte de la consola de administración de Access Manager no sigue las preferencias de configuración regional del usuario, sino que utiliza los valores de configuración regional del explorador. Este problema afecta a los botones de ayuda en línea, versión y cierre de sesión, así como al contenido de la versión y la ayuda en línea.
Solución: cambie la configuración del explorador para que se ajuste a las preferencias de configuración regional del usuario.
La ayuda en línea no está accesible por completo para todas las configuraciones regionales europeas (español, alemán y francés) cuando Access Manager se implementa en una instancia de IBM WebSphere Application Server. La ayuda en línea muestra un error de aplicación en los siguientes marcos:
En el marco superior, en el que deberían estar los botones Ayuda (Help) y Cerrar (Close).
En el marco izquierdo, en el que deberían estar los botones Contenido (Contents), Índice (Index) y Buscar (Search).
Solución: establezca la configuración del explorador en inglés y actualice la página para acceder al marco izquierdo. No obstante, el marco superior seguirá mostrando el mensaje de error de aplicación.
En cualquier configuración regional, cuando Access Manager se implementa en una instancia de IBM WebSphere Application Server, no se puede ver la versión del producto al hacer clic en el botón Versión (Version). En su lugar, aparece una página en blanco.
Solución: Ninguna.
La función de detección de cliente no funciona correctamente. Los cambios realizados en la consola de Access Manager 7 2005Q4 no se transfieren automáticamente al explorador.
Solución: existen dos soluciones:
Reinicie el contenedor web de Access Manager después de realizar un cambio en la sección de detección de cliente.
o
Siga estos pasos en la consola de Access Manager:
Haga clic en Client Detection en la ficha Configuration.
Haga clic en el vínculo Edit para genericHTML.
En la ficha HTML, haga clic en el vínculo genericHTML.
Introduzca la siguiente entrada en la lista de juegos de caracteres: UTF-8;q=0.5 (Asegúrese de que el factor q de UTF-8 sea inferior al de otros juegos de caracteres de su configuración regional.)
Guarde el cambio, cierre la sesión y vuelve a iniciarla.
Los mensajes de varios bytes de los archivos de registro del directorio /var/opt/SUNWam/logs se muestran en forma de signos de interrogación (?). Los archivos de registro están codificados de forma nativa y no siempre en UTF-8. Cuando una instancia del contenedor web se inicia en una determinada configuración local, los archivos de registro presentarán la codificación nativa de esa configuración local. Si se cambia a otra configuración regional y se reinicia la instancia del contenedor web, los mensajes actuales presentarán la codificación nativa para dicha configuración regional, pero los mensajes de codificaciones anteriores se mostrarán en forma de signos de interrogación.
Solución: asegúrese de iniciar siempre las instancias del contenedor web con la misma codificación nativa.
Access Manager no puede pasar del modo tradicional al modo de dominio (6508473)
Información acerca de la deshabilitación de búsquedas persistentes (6486927)
Información sobre privilegios admitidos y no admitidos de Access Manager (2143066)
Información sobre encaminamiento de solicitudes persistentes basadas en cookies (6476922)
Las Notas de la versión presentan una solución incorrecta para un problema conocido. (6422907)
Documento com.iplanet.am.session.protectedPropertiesList en AMConfig.properties (6351192)
Información sobre las propiedades no utilizadas en el archivo AMConfig.properties (6344530)
La dirección URL de éxito predeterminada es incorrecta en la ayuda en línea de la consola (6296751)
Si instala Access Manager 7 2005Q4 en modo de dominio, no puede volver al modo tradicional.
Sin embargo, si instala Access Manager 7 2005Q4 en modo tradicional, puede cambiar al modo de dominio utilizando el comando amadmin con la opción-M. Por ejemplo:
amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com
Access Manager utiliza búsquedas persistentes para recibir información acerca de las entradas de Sun Java Directory Server que cambian. De manera predeterminada, Access Manager crea las siguientes conexiones de búsquedas persistentes durante el inicio del servidor:
aci - Cambios del atributo aci, con la búsqueda utilizando el filtro LDAP (aci=*)
sm - Cambios en el árbol de información de Access Manager (o nodo de administración de servicios), que incluye objetos con la clase de objeto de marcador sunService o sunServiceComponent. Por ejemplo, puede crear una directiva que defina privilegios de acceso a un recurso protegido o puede modificar las reglas, temas, condiciones o proveedores de respuesta de una directiva existente.
um - Cambios en el directorio de usuario (o nodo de administración de usuarios). Por ejemplo, puede cambiar el nombre o la dirección del usuario.
No es recomendable deshabilitar las búsquedas persistentes de ninguno de estos componentes, ya que un componente con una búsqueda persistente deshabilitada no recibe notificaciones de Directory Server. Consecuentemente, los cambios realizados en Directory Server en ese determinado componente no se notificarán a la caché del componente y ésta caduca.
Por ejemplo, si deshabilita las búsquedas persistentes de cambios en el directorio de usuarios(um), el servidor de Access Manager no recibirá notificaciones de Directory Server. Por tanto, un agente no recibirá notificaciones de Access Manager para que actualice su caché de usuario local con los nuevos valores de atributo de usuario. Si una aplicación solicita al agente los atributos de usuario, puede recibir el valor antiguo de ese atributo.
Utilice esta propiedad sólo en circunstancias especiales cuando sea absolutamente necesario. Por ejemplo, si sabe que los cambios de la configuración del servicio (referente a los valores cambiantes de alguno de los servicios como, por ejemplo, los servicios de autenticación y el servicio de sesiones) no se producirán en el entorno de producción, puede deshabilitarse la búsqueda persistente en el componente (sm) de administración de servicios. Sin embargo, si se produce un cambio en alguno de los servicios, es necesario el reinicio de un servidor. Esto es también aplicable a otras búsquedas persistentes, especificadas por los valores aci y um.
Para obtener más información, consulte CR# 6363157: la nueva propiedad deshabilita las búsquedas persistentes si son absolutamente necesarias.
Los privilegios definen los permisos de acceso de los administradores que son miembros de roles o grupos que existen dentro de un dominio. Access Manager permite configurar permisos para los siguientes tipos de administradores:
Los administradores de dominios pueden realizar todas las tareas relacionadas con el dominio, incluidas la definición de depósitos de identidades (almacenes de datos), la configuración de autenticación y la definición de directivas.
Los administradores de directivas pueden configurar directivas en dominios existentes.
Se admiten los siguientes privilegios:
Acceso de lectura y escritura a todas las propiedades de directivas y dominio. Define los privilegios de acceso de lectura y escritura para los administradores de dominios.
Acceso de lectura y escritura sólo a las propiedades de directivas. Define los privilegios de acceso de lectura y escritura para los administradores de directivas.
Combinación de privilegios admitidos: Acceso de lectura y escritura sólo para propiedades de directivas y acceso de sólo lectura a almacenes de datos. No se admiten otras combinaciones de privilegios.
Si los servidores de Access Manager se implementan detrás de un equilibrador de carga, el encaminamiento de solicitudes persistentes basadas en cookies evita que la solicitud de un cliente sea mal enrutada a un servidor de Access Manager incorrecto (es decir, a un servidor que no aloje la sesión). Esta función se implementó en la revisión 3 de Access Manager 7 2005Q4.
Anteriormente, sin encaminamiento de solicitudes persistentes basadas en cookies, las solicitudes de clientes no basados en navegador (como, por ejemplo, agentes de directivas y clientes que utilizan el SDK de cliente de Access Manager remoto) se enrutaban mal en un servidor de Access Manager que no alojaba la sesión. Posteriormente, para enviar la solicitud al servidor correcto, el servidor de Access Manager tenía que validar la sesión utilizando comunicación alternativa, lo cual solía causar una degradación del rendimiento. El enrutamiento de solicitudes persistentes basadas en cookies evita la necesidad de esta comunicación alternativa y, por tanto, mejora el rendimiento de Access Manager.
Para implementar el encaminamiento de solicitudes persistentes basadas en cookies, debe configurarse la implementación de Access Manager como un sitio. Para obtener más información, consulte Configuring an Access Manager Deployment as a Site de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Para configurar el encaminamiento de solicitudes persistentes basadas en cookies:
Para especificar un nombre de cookie, establezca la propiedad com.iplanet.am.lbcookie.name en el archivo AMConfig.properties. Access Manager generará el valor de la cookie del equilibrador de carga utilizando el Id. de servidor de dos bytes (por ejemplo 01, 02 y 03). Si no especifica un nombre de cookie, Access Manager genera el valor de la cookie del equilibrador de carga utilizando el nombre predeterminado amlbcookie más el Id. de servidor de dos bytes.
Si define el nombre de la cookie en el servidor de Access Manager, debe utilizar el mismo nombre en el archivo AMAgent.properties del agente de directivas. Además, si utiliza el SDK de cliente de Access Manager, debe usar el mismo nombre de cookie utilizado por el servidor de Access Manager.
Nota: No establezca la propiedad com.iplanet.am.lbcookie.value, pues Access Manager establece el valor de la cookie utilizando el Id. de servidor de dos bytes.
Configure su equilibrador de carga con el nombre de la cookie del paso 1. Puede utilizar un equilibrador de carga de hardware o software con la implementación de Access Manager.
Si se implementa la migración tras error de sesión, habilite la propiedad com.sun.identity.session.resetLBCookie para los agentes de directivas y el servidor de Access Manager.
Para un agente de directivas, agregue y habilite la propiedad en el archivo AMAgent.properties.
Para el servidor de Access Manager, agregue y habilite la propiedad en el archivo AMConfig.properties.
Por ejemplo:
com.sun.identity.session.resetLBCookie='true'
Si se produce una situación de migración tras error, se enruta la sesión a un servidor secundario de Access Manager y se establece el valor de la cookie del equilibrador de carga utilizando el Id. de servidor para el servidor secundario de Access Manager. Las solicitudes posteriores de la sesión se enrutarán al servidor secundario de Access Manager.
Para configurar el inicio de sesión único (SSO) de Windows Desktop en Windows 2003, tal como se describe en Configuring Windows Desktop SSO de Sun Java System Access Manager 7 2005Q4 Administration Guide, utilice el siguiente comando ktpass:
ktpass /out filename /mapuser username /princ HTTP/hostname.domainname /crypto encryptiontype /rndpass /ptype principaltype /target domainname
Por ejemplo:
ktpass /out demo.HTTP.keytab /mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM /crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM
Para obtener las definiciones de sintaxis, consulte el siguiente sitio:
El siguiente procedimiento describe cómo configurar las contraseñas cifradas para un servidor de la IU de autenticación distribuida que se comunica con un servidor de Access Manager.
Para configurar las contraseñas de un servidor de la IU de autenticación distribuida:
En el servidor de Access Manager:
cifre la contraseña amadmin utilizando la utilidad ampassword -e. Por ejemplo, en sistemas Solaris:
# cd /opt/SUNWam/bin # ./ampassword -e amadmin-password AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX
Guarde este valor cifrado.
Copie y guarde el valor de la propiedad am.encryption.pwd del archivo AMConfig.properties del servidor de Access Manager. Por ejemplo:
am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
En el servidor de la IU de autenticación distribuida, realice estos cambios en el archivo AMConfig.properties:
Comente la propiedad com.iplanet.am.service.password.
Establezca la propiedad com.iplanet.am.service.secret en la contraseña amadmin cifrada del Paso 1a.
Agregue am.encryption.pwd y el valor cifrado que ha copiado en el paso 1b. Por ejemplo:
com.sun.identity.agents.app.username=username #com.iplanet.am.service.password=password com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
Reinicie el servidor de la IU de autenticación distribuida.
Falta el paso Save (Guardar) en “To create new site name” ("Para crear un nuevo nombre de sitio") en la ayuda en línea de la consola de Access Manager que se ubica en Configuración>Propiedades del sistema>Plataforma. Si no hace clic en Save (Guardar) tras agregar un nuevo nombre de sitio e intenta agregar un nombre de instancia, el proceso fallará. Por tanto, haga siempre clic en Save (Guardar) tras agregar el nombre del sitio y, a continuación, agregue el nombre de la instancia.
En los sistemas Solaris y Linux, el parámetro de configuración de contraseña de administrador de Access Manager (amadmin ) en el archivo amsamplesilent es ADMINPASSWD. En los sistemas Windows, sin embargo, el parámetro en el archivo AMConfigurator.properties es ADMIN_PASSWD .
Si ejecuta amconfig.bat en los sistemas Windows, establezca la contraseña amadmin en el archivo AMConfigurator.properties utilizando el parámetro ADMIN_PASSWORD y no ADMINPASSWD.
Se ha corregido el paso 3 de la solución del problema La ejecución de los ejemplos de servicios web devuelve el mensaje “Oferta de recursos no encontrada” (6359900).
El parámetro com.iplanet.am.session.protectedPropertiesList permite proteger determinadas propiedades de sesión interna o central frente a actualizaciones remotas mediante el método SetProperty del servicio de sesión. Al establecer este parámetro clave de seguridad "oculto", puede personalizar los atributos de sesión para participar en la autorización, así como en otras funciones de Access Manager. Para utilizar este parámetro:
Con un editor de textos, agregue el parámetro al archivo AMConfig.properties .
Establezca el parámetro en las propiedades de sesión que desee proteger. Por ejemplo:
com.iplanet.am.session.protectedPropertiesList = PropertyName1,PropertyName2,PropertyName3
Reinicie el contenedor Web de Access Manager para que se apliquen los valores.
Después de aplicar la respectiva revisión, puede configurar los roles y los roles filtrados del complemento LDAPv3, si los datos se han almacenado en Sun Java System Directory Server (soluciona el problema CR 6349959). En la consola de administración de Access Manager 7 2005Q4, en la configuración de LDAPv3 del campo “Operaciones y tipos admitidos del complemento LDAPv3”, introduzca los valores de la siguiente forma:
role: read,edit,create,delete filteredrole: read,edit,create,delete
Puede introducir una de las entradas anteriores o ambas en función de los roles y los roles filtrados que desee utilizar en la configuración de LDAPv3.
Las siguientes propiedades del archivo AMConfig.properties no se utilizan:
com.iplanet.am.directory.host com.iplanet.am.directory.port
La propiedad com.iplanet.am.session.client.polling.enable del archivo AMConfig.properties no debe establecerse nunca como "true" (verdadera) en el servidor.
Solución: esta propiedad debe establecerse como "false" (falsa) y nunca como "true" (verdadera).
La dirección URL de éxito predeterminada aparece de forma incorrecta en el archivo de ayuda en línea de la consola, service.scserviceprofile.iplanetamauthservice.html . El campo de URL de éxito predeterminada acepta una lista de varios valores que especifican la dirección URL a la que se redirigen los usuarios tras realizarse con éxito la autenticación. El formato de este atributo es clientType|URL, aunque se puede especificar únicamente el valor de la dirección URL, por lo que se presupone que se trata de un tipo predeterminado de HTML.
El valor predeterminado “/amconsole” es incorrecto.
Solución: El valor predeterminado correcto es “/amserver/console”.
Para habilitar el cifrado XML para Access Manager o Federation Manager mediante el archivo JAR de Bouncy Castle con el fin de generar una clave de transporte, siga estos pasos:
Si utiliza una versión de JDK anterior a JDK 1.5, descargue el proveedor JCE de Bouncy Castle desde el sitio de Bouncy Castle (http://www.bouncycastle.org/). Por ejemplo, para JDK 1.4, descargue el archivo bcprov-jdk14-131.jar.
Si ha descargado un archivo JAR en el paso anterior, cópielo en el directorio jdk_root/jre/lib/ext.
Para la versión interna de JDK, descargue los archivos de "Unlimited Strength Jurisdiction Policy" de JCE para la versión de JDK en el sitio de Sun (http://java.sun.com). Para IBM WebSphere, acceda al sitio correspondiente de IBM para descargar los archivos necesarios.
Copie los archivos descargados US_export_policy.jar y local_policy.jar en el directorio jdk_root/jre/lib/security .
Si utiliza una versión de JDK anterior a JDK 1.5, edite el archivo jdk_root/jre/lib/security/java.security y agregue Bouncy Castle como uno de los proveedores. Por ejemplo:
security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider
Defina la siguiente propiedad en el archivo AMConfig.properties como "true" (verdadera):
com.sun.identity.jss.donotInstallAtHighestPriority=true
Reinicie el contenedor web de Access Manager.
Para obtener más información, consulte el Id. de problema 5110285 (El cifrado XML requiere el archivo JAR de Bouncy Castle).