Revisión 6 de Access Manager 7 2005Q4

La revisión 6 de Access Manager 7 (versión 06) soluciona diversos problemas, como se indica en el archivo README (LÉAME) incluido con la revisión. La revisión 6 también incluye las siguientes nuevas funciones, problemas y actualizaciones de documentación.

Nuevas funciones de la revisión 6

• Access Manager es compatible con el método JDK 1.5 HttpURLConnection setReadTimeout

• Access Manager SDK conmuta por error a la instancia principal de Directory Server una vez que el servidor principal vuelve a estar activo.

• Las diferentes instancias de Access Manager se registran en varios archivos.

• Access Manager 7 permite varios dominios de cookies.

• El complemento posterior a la autenticación de Microsoft IIS 6.0 admite SharePoint Server

• Access Manager es compatible con Internet Explorer 7

Problemas conocidos y limitaciones de la revisión 6

• CR# 6379325: el acceso a la consola durante una conmutación por error de una sesión genera una excepción de puntero nulo

• CR# 6508103: en Windows, al hacer clic en Ayuda en la consola de administración, se devuelve un error de aplicación

• CR# 6564877: la instalación de la revisión de Access Manager 7 sobrescribe los archivos de SAML v2

Antes de instalar la revisión 6, se recomienda que actualice o revise los siguientes componentes:

• Si está utilizando Sun Java System Web Server 6.1 SP5 o anterior, actualice a Web Server 6.1 SP7, que puede descargar desde este sitio:

  http://www.sun.com/download/products.xml?id=45c90ca9

  Siga el proceso de actualización que se describe en Modernización de Notas de la versión de Sun Java System Web Server 6.1 SP8.

• Descargue e instale la última revisión de seguridad para NSS, JSS y NSPR en SunSolve Online: http://sunsolve.sun.com.

  • Plataformas Solaris 8 SPARC: 119209

  • Plataformas Solaris 8 x86: 119210

  • Plataformas Solaris 9 SPARC: 119211

  • Plataformas Solaris 9 x86: 119212

  • Plataformas Solaris 10 SPARC: 119213

  • Plataformas Solaris 10 x86 y AMD64: 119214

  • Sistemas Windows: 124392

  • Sistemas HP-UX: 124379

Access Manager es compatible con el método JDK 1.5 HttpURLConnection setReadTimeout

Para admitir el método setReadTimeout, el archivoAMConfig.properties cuenta con la siguiente nueva propiedad para que establezca el valor de tiempo de espera de lectura:

com.sun.identity.url.readTimeout

Si el contenedor web está utilizando JDK 1.5, establezca esta propiedad en un valor adecuado para que se agote el tiempo de espera de las conexiones y evitar así la presencia de demasiadas conexiones HttpURLConnections abiertas, lo que podría provocar que el servidor se bloquease. El valor predeterminado es de 30.000 milisegundos (30 segundos).

El método setReadTimeout se omitirá si com.sun.identity.url.readTimeout no está presente en el archivo AMConfig.properties o si se ha establecido en una cadena vacía.

Access Manager SDK conmuta por error a la instancia principal de Directory Server una vez que el servidor principal vuelve a estar activo.

Si Sun Java System Directory Server se ha configurado para la repetición de varias réplicas principales (MMR), Access Manager SDK conmutará ahora por error a la instancia principal de Directory Server después de que el servidor principal deje de funcionar y vuelva a estar activo a continuación. Anteriormente, Access Manager SDK seguía accediendo a la instancia secundaria de Directory Server una vez que el servidor principal volvía a estar activo.

Para admitir este nuevo comportamiento, Access Manager incluye la siguiente nueva propiedad en el archivo AMConfig.properties:

com.sun.am.ldap.fallback.sleep.minutes

Esta propiedad establece el tiempo en minutos que la instancia secundaria de Directory Server permanece inactiva antes de que conmute por error al servidor principal una vez que éste vuelve a estar activo. El valor predeterminado es de 15 minutos.

La propiedad com.sun.am.ldap.fallback.sleep.minutes está oculta. Para establecer esta propiedad en un valor distinto del predeterminado (15 minutos), agréguela de forma explícita al archivo AMConfig.properties. Por ejemplo, establezca el valor en 7 minutos:

com.sun.am.ldap.fallback.sleep.minutes=7

Para que el nuevo valor se aplique, reinicie el contenedor web de Access Manager.

Las diferentes instancias de Access Manager se registran en varios archivos.

Las diversas instancias de Access Manager que se ejecutan en el mismo host pueden registrarse ahora en distintos archivos de registro ubicados en diferentes subdirectorios. Para ello, establezca la siguiente nueva propiedad en el archivo AMConfig.properties:

com.sun.identity.log.logSubdir

A menos que cambie el directorio de registro predeterminado en la consola de administración, los directorios de registro predeterminados son:

• Sistemas Solaris: /var/opt/SUNWam/logs

• Sistemas Linux y HP-UX: /var/opt/sun/identity/logs

• Sistemas Windows: C:\Sun\JavaES5\identity\logs

La primera instancia de Access Manager siempre se registra en el directorio de registro predeterminado. Para especificar subdirectorios de registro diferentes para las instancias adicionales de Access Manager, establezca la propiedad com.sun.identity.log.logSubdir en el archivo AMConfig.properties para cada instancia de Access Manager adicional.

Por ejemplo, si tiene tres instancias, am-instance-1, am-instance-2 y am-instance-3, que se ejecutan en el mismo servidor host de Solaris, establezca la propiedad de la siguiente forma:

com.sun.identity.log.logSubdir=am-instance-2
com.sun.identity.log.logSubdir=am-instance-3

La propiedad com.sun.identity.log.logSubdir está oculta. Debe agregar de forma explícita esta propiedad al archivo AMConfig.properties según sea pertinente y reiniciar el contenedor web de Access Manager para que se apliquen los valores del subdirectorio.

Las instancias de Access Manager se registrarán a continuación en los siguientes directorios:

/var/opt/SUNWam/logs/log-files-for-am-instance-1
/var/opt/SUNWam/logs/am-instance-2/log-files-for-am-instance-2
/var/opt/SUNWam/logs/am-instance-3/log-files-for-am-instance-3

Access Manager 7 permite varios dominios de cookies.

Para admitir varios dominios de cookies, Access Manager presenta la siguiente nueva propiedad:

com.sun.identity.authentication.setCookieToAllDomains

El valor predeterminado es true (verdadero). Esta nueva propiedad está oculta. Para establecer el valor en false (falso), agregue de forma explícita esta propiedad al archivo AMConfig.properties y reinicie el contenedor web de Access Manager.

El complemento posterior a la autenticación de Microsoft IIS 6.0 admite SharePoint Server

El complemento de autenticación de los Servicios de Internet Information Server (IIS) 6.0 de Microsoft admite ahora Microsoft Office SharePoint Server. Un usuario puede iniciar una sesión en Access Manager con un Id. de usuario o un nombre de inicio de sesión. Sin embargo, SharePoint Server sólo acepta un nombre de inicio de sesión, lo que puede provocar problemas cuando el usuario especifique un Id. de usuario.

Para permitir el inicio de sesión en SharePoint Server, el complemento posterior a la autenticación (ReplayPasswd.java) utiliza ahora la siguiente nueva propiedad:

com.sun.am.sharepoint_login_attr_name

Esta nueva propiedad indica el atributo de usuario que usa SharePoint Server para la autenticación. Por ejemplo, la siguiente propiedad especifica el nombre común (cn) para la autenticación:

com.sun.am.sharepoint_login_attr_name=cn

El complemento posterior a la autenticación lee la propiedad com.sun.am.sharepoint_login_attr_name y obtiene el valor de atributo correspondiente para el usuario de Directory Server. A continuación, el complemento establece los encabezados de autorización para permitir el acceso del usuario a SharePoint Server.

Esta propiedad está oculta. Para establecer la propiedad, agréguela de forma explícita al archivo AMConfig.properties y, a continuación, reinicie el contenedor web de Access Manager para que se aplique el valor.

Access Manager es compatible con Internet Explorer 7

El parche 6 de Access Manager 7 2005Q4 admite ahora Microsoft Windows Internet Explorer 7.

CR# 6379325: el acceso a la consola durante una conmutación por error de una sesión genera una excepción de puntero nulo

En este escenario, varios servidores de Access Manager se implementan en el modo de conmutación por error de sesión detrás de un equilibrador de carga configurado para el enrutamiento de solicitudes persistentes basadas en cookies. El administrador de Access Manager accede a la consola de Access Manager mediante el equilibrador de carga. Cuando el administrador inicie una sesión en la consola, ésta se creará en uno de los servidores de Access Manager. Si el servidor deja de funcionar, se efectuará una conmutación por error de la sesión de la consola en otro servidor de Access Manager según lo previsto. Sin embargo, a veces, el administrador obtiene excepciones de puntero nulo intermitentes en el navegador y en el registro de errores del contenedor web.

Este problema sólo afecta a la sesión activa de la consola de Access Manager durante la conmutación por error y no al funcionamiento de los servidores de Access Manager.

Solución: para evitar que se generen excepciones de puntero nulo intermitentes:

• Para solucionar el problema de forma temporal, actualice el navegador o cierre la sesión y vuelva a iniciarla en la consola.

• Para solucionar el problema de forma permanente, implemente la consola de Access Manager en una instancia independiente de esta aplicación que no participe en la conmutación por error de la sesión.

CR# 6508103: en Windows, al hacer clic en Ayuda en la consola de administración, se devuelve un error de aplicación

En Windows 2003 Enterprise Edition con una instancia de Access Manager implementada en Sun Java System Application Server que utiliza una configuración regional distinta al inglés, al hacer clic en Ayuda en el modo de dominio de administración, la consola devuelve un error de aplicación.

Solución:

1. Copie el archivo javaes-install-dir\share\lib\jhall.jar en el directorio %JAVA_HOME%\jre\lib\ext,

   donde javaes-install-dir es el directorio de instalación de Windows.

2. Reinicie la instancia de Application Server.

CR# 6564877: la instalación de la revisión de Access Manager 7 sobrescribe los archivos de SAML v2

Si se ha instalado el complemento SAML v2, al instalar la revisión, se sobrescribirán los archivos de SAML v2 relacionados y la secuencia de comandos postpatch mostrará el siguiente mensaje:

La secuencia de comandos posterior a la aplicación de la revisión ha detectado que el complemento SAML v2 se ha instalado en el entorno. Al ejecutar la secuencia de configuración "amconfig" para volver a implementar las aplicaciones de Access Manager, la secuencia de comandos volverá a crear el archivo amserver.war y los archivos de SAML v2 relacionados se perderán. Por lo tanto, después de ejecutar "amconfig", vuelva a crear e implementar el archivo "amserver.war", tal y como se describe en "Sun Java System SAML v2 Plug-in for Federation Services User's Guide".

Solución: después de instalar la revisión y ejecutar la secuencia de comandos amconfig, vuelva a crear e implementar el archivo amserver.war para las implementaciones de Federation Manager o Access Manager que utilicen el complemento SAML v2.

Para conocer los pasos específicos, consulte el Capítulo 2, Installing the SAML v2 Plug-in for Federation Services de Sun Java System SAML v2 Plug-in for Federation Services User’s Guide.