Notas de la version de Sun Java System Access Manager 7 2005Q4

Problemas de documentación

Access Manager no puede pasar del modo tradicional al modo de dominio (6508473)

Si instala Access Manager 7 2005Q4 en modo de dominio, no puede volver al modo tradicional.

Sin embargo, si instala Access Manager 7 2005Q4 en modo tradicional, puede cambiar al modo de dominio utilizando el comando amadmin con la opción-M. Por ejemplo:

amadmin -u cn=amAdmin,ou=People,dc=example,dc=com -w amadmin-password -M dc=example,dc=com

Información acerca de la deshabilitación de búsquedas persistentes (6486927)

Access Manager utiliza búsquedas persistentes para recibir información acerca de las entradas de Sun Java Directory Server que cambian. De manera predeterminada, Access Manager crea las siguientes conexiones de búsquedas persistentes durante el inicio del servidor:

aci - Cambios del atributo aci, con la búsqueda utilizando el filtro LDAP (aci=*)

sm - Cambios en el árbol de información de Access Manager (o nodo de administración de servicios), que incluye objetos con la clase de objeto de marcador sunService o sunServiceComponent. Por ejemplo, puede crear una directiva que defina privilegios de acceso a un recurso protegido o puede modificar las reglas, temas, condiciones o proveedores de respuesta de una directiva existente.

um - Cambios en el directorio de usuario (o nodo de administración de usuarios). Por ejemplo, puede cambiar el nombre o la dirección del usuario.


Precaución – Precaución –

No es recomendable deshabilitar las búsquedas persistentes de ninguno de estos componentes, ya que un componente con una búsqueda persistente deshabilitada no recibe notificaciones de Directory Server. Consecuentemente, los cambios realizados en Directory Server en ese determinado componente no se notificarán a la caché del componente y ésta caduca.

Por ejemplo, si deshabilita las búsquedas persistentes de cambios en el directorio de usuarios(um), el servidor de Access Manager no recibirá notificaciones de Directory Server. Por tanto, un agente no recibirá notificaciones de Access Manager para que actualice su caché de usuario local con los nuevos valores de atributo de usuario. Si una aplicación solicita al agente los atributos de usuario, puede recibir el valor antiguo de ese atributo.

Utilice esta propiedad sólo en circunstancias especiales cuando sea absolutamente necesario. Por ejemplo, si sabe que los cambios de la configuración del servicio (referente a los valores cambiantes de alguno de los servicios como, por ejemplo, los servicios de autenticación y el servicio de sesiones) no se producirán en el entorno de producción, puede deshabilitarse la búsqueda persistente en el componente (sm) de administración de servicios. Sin embargo, si se produce un cambio en alguno de los servicios, es necesario el reinicio de un servidor. Esto es también aplicable a otras búsquedas persistentes, especificadas por los valores aci y um.


Para obtener más información, consulte CR# 6363157: la nueva propiedad deshabilita las búsquedas persistentes si son absolutamente necesarias.

Información sobre privilegios admitidos y no admitidos de Access Manager (2143066)

Los privilegios definen los permisos de acceso de los administradores que son miembros de roles o grupos que existen dentro de un dominio. Access Manager permite configurar permisos para los siguientes tipos de administradores:

Se admiten los siguientes privilegios:

Información sobre encaminamiento de solicitudes persistentes basadas en cookies (6476922)

Si los servidores de Access Manager se implementan detrás de un equilibrador de carga, el encaminamiento de solicitudes persistentes basadas en cookies evita que la solicitud de un cliente sea mal enrutada a un servidor de Access Manager incorrecto (es decir, a un servidor que no aloje la sesión). Esta función se implementó en la revisión 3 de Access Manager 7 2005Q4.

Anteriormente, sin encaminamiento de solicitudes persistentes basadas en cookies, las solicitudes de clientes no basados en navegador (como, por ejemplo, agentes de directivas y clientes que utilizan el SDK de cliente de Access Manager remoto) se enrutaban mal en un servidor de Access Manager que no alojaba la sesión. Posteriormente, para enviar la solicitud al servidor correcto, el servidor de Access Manager tenía que validar la sesión utilizando comunicación alternativa, lo cual solía causar una degradación del rendimiento. El enrutamiento de solicitudes persistentes basadas en cookies evita la necesidad de esta comunicación alternativa y, por tanto, mejora el rendimiento de Access Manager.

Para implementar el encaminamiento de solicitudes persistentes basadas en cookies, debe configurarse la implementación de Access Manager como un sitio. Para obtener más información, consulte Configuring an Access Manager Deployment as a Site de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Para configurar el encaminamiento de solicitudes persistentes basadas en cookies:

  1. Para especificar un nombre de cookie, establezca la propiedad com.iplanet.am.lbcookie.name en el archivo AMConfig.properties. Access Manager generará el valor de la cookie del equilibrador de carga utilizando el Id. de servidor de dos bytes (por ejemplo 01, 02 y 03). Si no especifica un nombre de cookie, Access Manager genera el valor de la cookie del equilibrador de carga utilizando el nombre predeterminado amlbcookie más el Id. de servidor de dos bytes.

    Si define el nombre de la cookie en el servidor de Access Manager, debe utilizar el mismo nombre en el archivo AMAgent.properties del agente de directivas. Además, si utiliza el SDK de cliente de Access Manager, debe usar el mismo nombre de cookie utilizado por el servidor de Access Manager.

    Nota: No establezca la propiedad com.iplanet.am.lbcookie.value, pues Access Manager establece el valor de la cookie utilizando el Id. de servidor de dos bytes.

  2. Configure su equilibrador de carga con el nombre de la cookie del paso 1. Puede utilizar un equilibrador de carga de hardware o software con la implementación de Access Manager.

  3. Si se implementa la migración tras error de sesión, habilite la propiedad com.sun.identity.session.resetLBCookie para los agentes de directivas y el servidor de Access Manager.

    • Para un agente de directivas, agregue y habilite la propiedad en el archivo AMAgent.properties.

    • Para el servidor de Access Manager, agregue y habilite la propiedad en el archivo AMConfig.properties.

    Por ejemplo:

    com.sun.identity.session.resetLBCookie='true'

    Si se produce una situación de migración tras error, se enruta la sesión a un servidor secundario de Access Manager y se establece el valor de la cookie del equilibrador de carga utilizando el Id. de servidor para el servidor secundario de Access Manager. Las solicitudes posteriores de la sesión se enrutarán al servidor secundario de Access Manager.

Información sobre configuración de inicio de sesión único (SSO) de Windows Desktop para Windows 2003 (6487361)

Para configurar el inicio de sesión único (SSO) de Windows Desktop en Windows 2003, tal como se describe en Configuring Windows Desktop SSO de Sun Java System Access Manager 7 2005Q4 Administration Guide, utilice el siguiente comando ktpass:

ktpass /out filename /mapuser username 
/princ HTTP/hostname.domainname /crypto encryptiontype /rndpass 
/ptype principaltype /target domainname

Por ejemplo:

ktpass /out demo.HTTP.keytab 
/mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM 
/crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

Para obtener las definiciones de sintaxis, consulte el siguiente sitio:

http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true

Información sobre los pasos para configurar las contraseñas del servidor de la IU de autenticación distribuida (6510859)

El siguiente procedimiento describe cómo configurar las contraseñas cifradas para un servidor de la IU de autenticación distribuida que se comunica con un servidor de Access Manager.

Para configurar las contraseñas de un servidor de la IU de autenticación distribuida:

  1. En el servidor de Access Manager:

    1. cifre la contraseña amadmin utilizando la utilidad ampassword -e. Por ejemplo, en sistemas Solaris:

      # cd /opt/SUNWam/bin 
      # ./ampassword -e amadmin-password 
      AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 

      Guarde este valor cifrado.

    2. Copie y guarde el valor de la propiedad am.encryption.pwd del archivo AMConfig.properties del servidor de Access Manager. Por ejemplo:

      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
  2. En el servidor de la IU de autenticación distribuida, realice estos cambios en el archivo AMConfig.properties:

    1. Comente la propiedad com.iplanet.am.service.password.

    2. Establezca la propiedad com.iplanet.am.service.secret en la contraseña amadmin cifrada del Paso 1a.

    3. Agregue am.encryption.pwd y el valor cifrado que ha copiado en el paso 1b. Por ejemplo:

      com.sun.identity.agents.app.username=username 
      #com.iplanet.am.service.password=password 
      com.iplanet.am.service.secret=AQIC0K3omEozd544XEJIg25GT2wi1D7UAQLX 
      am.encryption.pwd=ydV8JXhJF2J35vpxjZRiGt7SH/7mUr+Y
  3. Reinicie el servidor de la IU de autenticación distribuida.

La ayuda en línea “To create new site name” ("Para crear un nuevo nombre de sitio") necesita más información (2144543)

Falta el paso Save (Guardar) en “To create new site name” ("Para crear un nuevo nombre de sitio") en la ayuda en línea de la consola de Access Manager que se ubica en Configuración>Propiedades del sistema>Plataforma. Si no hace clic en Save (Guardar) tras agregar un nuevo nombre de sitio e intenta agregar un nombre de instancia, el proceso fallará. Por tanto, haga siempre clic en Save (Guardar) tras agregar el nombre del sitio y, a continuación, agregue el nombre de la instancia.

El parámetro de configuración de contraseña de administrador es ADMIN_PASSWD en los sistemas Windows (6470793)

En los sistemas Solaris y Linux, el parámetro de configuración de contraseña de administrador de Access Manager (amadmin ) en el archivo amsamplesilent es ADMINPASSWD. En los sistemas Windows, sin embargo, el parámetro en el archivo AMConfigurator.properties es ADMIN_PASSWD .

Si ejecuta amconfig.bat en los sistemas Windows, establezca la contraseña amadmin en el archivo AMConfigurator.properties utilizando el parámetro ADMIN_PASSWORD y no ADMINPASSWD.

Las Notas de la versión presentan una solución incorrecta para un problema conocido. (6422907)

Se ha corregido el paso 3 de la solución del problema La ejecución de los ejemplos de servicios web devuelve el mensaje “Oferta de recursos no encontrada” (6359900).

Documento com.iplanet.am.session.protectedPropertiesList en AMConfig.properties (6351192)

El parámetro com.iplanet.am.session.protectedPropertiesList permite proteger determinadas propiedades de sesión interna o central frente a actualizaciones remotas mediante el método SetProperty del servicio de sesión. Al establecer este parámetro clave de seguridad "oculto", puede personalizar los atributos de sesión para participar en la autorización, así como en otras funciones de Access Manager. Para utilizar este parámetro:

  1. Con un editor de textos, agregue el parámetro al archivo AMConfig.properties .

  2. Establezca el parámetro en las propiedades de sesión que desee proteger. Por ejemplo:

    com.iplanet.am.session.protectedPropertiesList = 
    PropertyName1,PropertyName2,PropertyName3
    
  3. Reinicie el contenedor Web de Access Manager para que se apliquen los valores.

Información sobre la compatibilidad de los roles y los roles filtrados con el complemento LDAPv3 (6365196)

Después de aplicar la respectiva revisión, puede configurar los roles y los roles filtrados del complemento LDAPv3, si los datos se han almacenado en Sun Java System Directory Server (soluciona el problema CR 6349959). En la consola de administración de Access Manager 7 2005Q4, en la configuración de LDAPv3 del campo “Operaciones y tipos admitidos del complemento LDAPv3”, introduzca los valores de la siguiente forma:

role: read,edit,create,delete
filteredrole: read,edit,create,delete

Puede introducir una de las entradas anteriores o ambas en función de los roles y los roles filtrados que desee utilizar en la configuración de LDAPv3.

Información sobre las propiedades no utilizadas en el archivo AMConfig.properties (6344530)

Las siguientes propiedades del archivo AMConfig.properties no se utilizan:

com.iplanet.am.directory.host
com.iplanet.am.directory.port

La propiedad com.iplanet.am.session.client.polling.enable del servidor no puede ser "true" (verdadera) (6320475)

La propiedad com.iplanet.am.session.client.polling.enable del archivo AMConfig.properties no debe establecerse nunca como "true" (verdadera) en el servidor.

Solución: esta propiedad debe establecerse como "false" (falsa) y nunca como "true" (verdadera).

La dirección URL de éxito predeterminada es incorrecta en la ayuda en línea de la consola (6296751)

La dirección URL de éxito predeterminada aparece de forma incorrecta en el archivo de ayuda en línea de la consola, service.scserviceprofile.iplanetamauthservice.html . El campo de URL de éxito predeterminada acepta una lista de varios valores que especifican la dirección URL a la que se redirigen los usuarios tras realizarse con éxito la autenticación. El formato de este atributo es clientType|URL, aunque se puede especificar únicamente el valor de la dirección URL, por lo que se presupone que se trata de un tipo predeterminado de HTML.

El valor predeterminado “/amconsole” es incorrecto.

Solución: El valor predeterminado correcto es “/amserver/console”.

Información sobre cómo habilitar el cifrado XML (6275563)

Para habilitar el cifrado XML para Access Manager o Federation Manager mediante el archivo JAR de Bouncy Castle con el fin de generar una clave de transporte, siga estos pasos:

  1. Si utiliza una versión de JDK anterior a JDK 1.5, descargue el proveedor JCE de Bouncy Castle desde el sitio de Bouncy Castle (http://www.bouncycastle.org/). Por ejemplo, para JDK 1.4, descargue el archivo bcprov-jdk14-131.jar.

  2. Si ha descargado un archivo JAR en el paso anterior, cópielo en el directorio jdk_root/jre/lib/ext.

  3. Para la versión interna de JDK, descargue los archivos de "Unlimited Strength Jurisdiction Policy" de JCE para la versión de JDK en el sitio de Sun (http://java.sun.com). Para IBM WebSphere, acceda al sitio correspondiente de IBM para descargar los archivos necesarios.

  4. Copie los archivos descargados US_export_policy.jar y local_policy.jar en el directorio jdk_root/jre/lib/security .

  5. Si utiliza una versión de JDK anterior a JDK 1.5, edite el archivo jdk_root/jre/lib/security/java.security y agregue Bouncy Castle como uno de los proveedores. Por ejemplo:

    security.provider.6=org.bouncycastle.jce.provider.BouncyCastleProvider
  6. Defina la siguiente propiedad en el archivo AMConfig.properties como "true" (verdadera):

    com.sun.identity.jss.donotInstallAtHighestPriority=true
  7. Reinicie el contenedor web de Access Manager.

Para obtener más información, consulte el Id. de problema 5110285 (El cifrado XML requiere el archivo JAR de Bouncy Castle).