|
Sun Java System Access Manager Notas de la versi�n para Microsoft Windows |
Sun Java™ System Access Manager Notas de la versi�n para Microsoft Windows
Versi�n 7
N�mero de referencia 819-5799-10
Estas notas de la versi�n contienen informaci�n importante disponible en el momento de comercializarse Sun Java System Access Manager 7 2005Q4 (anteriormente Sun Java System Identity Server) para Windows. En ellas se abordan limitaciones y problemas conocidos, entre otros temas. Lea este documento antes de instalar y usar esta versi�n.
La versi�n m�s actualizada de estas notas de la versi�n se encuentra en el sitio Web de documentaci�n de Sun Java System: http://docs.sun.com/app/docs/prod/entsys.05q4. Visite dicho sitio Web antes de instalar y configurar el software, y vuelva cada cierto tiempo para ver las notas de versi�n y la documentaci�n m�s recientes del producto.
Estas notas de la versi�n constan de las siguientes secciones:
Este documento incluye direcciones URL de otros fabricantes que ofrecen informaci�n adicional relacionada.
Historial de revisiones de las notas de la versi�n
Tabla 1 Historial de revisiones
Fecha
Descripci�n de los cambios
Febrero de 2006
Versi�n de software.
Noviembre de 2005
Versi�n beta.
Acerca de Access Manager 7Sun Java System Access Manager (Access Manager) forma parte de la infraestructura de Sun Identity Management que permite a una organizaci�n administrar el acceso seguro a aplicaciones Web y a otros recursos tanto dentro de una empresa como a trav�s de cadenas de valor de negocio a negocio (B2B). Funciones principales proporcionadas por Access Manager:
- Servicios centralizados de autenticaci�n y autorizaci�n mediante control de acceso basado en funciones y en reglas
- Inicio de sesi�n �nico (SSO) para acceder a las aplicaciones basadas en Web de una organizaci�n
- Compatibilidad con identidades federadas, con el Liberty Alliance Project y el Lenguaje de marcas para aserciones de seguridad (SAML)
- Registro de informaci�n importante, como las actividades de administrador y usuario por componentes de Access Manager, para su posterior an�lisis, generaci�n de informes y realizaci�n de auditor�as.
Esta secci�n incluye:
Novedades de Access Manager 7
Esta versi�n incluye las siguientes funciones:
Modos de Access Manager
Access Manager 7 2005Q4 incluye los modos �mbito y Tradicional. Ambos modos admiten:
- Las nuevas funciones de Access Manager 7 2005Q4
- Las funciones de Access Manager 6 2005Q1, con estas limitaciones:
- Cuando se crean �mbitos no se crean las organizaciones correspondientes en Sun Java System Directory Server.
- La nueva consola de Access Manager 7 2005Q4 no puede establecer una prioridad de plantilla de Clase de servicio (CoS). Consulte La nueva consola de Access Manager no puede establecer las prioridades de la plantilla de CoS (6309262).
- Los repositorios de identidades de Sun Java System Directory Server y otros almacenes de datos
El modo Tradicional es necesario para:
- Sun Java System Portal Server
- Los servidores de Sun Java System Communications Services, incluidos Messaging Server, Calendar Server, Instant Messaging o Delegated Administrator
- Implementaciones de coexistencia cuando Access Manager 6 2005Q1 y Access Manager 7 2005Q4 acceden al mismo Directory Server
Nueva consola de Access Manager
La consola de Access Manager se ha redise�ado para esta versi�n. No obstante, si implementa Access Manager con Portal Server, Messaging Server, Calendar Server, Instant Messaging o Delegated Administrator, debe instalar Access Manager en modo Tradicional y usar la consola de Access Manager 6 2005Q1:
Si desea m�s informaci�n, consulte Problemas de compatibilidad.
Repositorio de identidades
Un repositorio de identidades de Access Manager contiene informaci�n relativa a las identidades, como usuarios, grupos y funciones. Un repositorio de identidades puede crearse y mantenerse mediante Access Manager o alg�n otro producto de aprovisionamiento, como Sun Java System Identity Manager.
En la versi�n actual, un repositorio de identidades puede residir en Sun Java System Directory Server o en Microsoft Active Directory. Access Manager puede tener acceso de lectura y escritura o de s�lo lectura a un repositorio de identidades.
�rbol de informaci�n de Access Manager
El �rbol de informaci�n de Access Manager contiene informaci�n relativa al acceso al sistema. Cada instancia de Access Manager crea y mantiene un �rbol de informaci�n distinto en Sun Java System Directory Server. Un �rbol de informaci�n de Access Manager puede tener cualquier nombre (sufijo). El �rbol de informaci�n de Access Manager incluye �mbitos (y sub�mbitos si es necesario), tal como se describe en la siguiente secci�n.
�mbitos de Access Manager
Un �mbito y sus sub�mbitos, si los hay, forman parte del �rbol de informaci�n de Access Manager y pueden contener informaci�n de configuraci�n que define un conjunto de usuarios o grupos, la forma de autenticaci�n de los usuarios, los recursos a los que �stos pueden acceder y la informaci�n disponible para las aplicaciones una vez que los usuarios reciben acceso a los recursos. Un �mbito o sub�mbito tambi�n puede contener otros datos de configuraci�n, como la configuraci�n de globalizaci�n, la de restablecimiento de contrase�as, la de sesi�n, la de la consola y las preferencias del usuario. El �mbito o sub�mbito tambi�n puede estar vac�o.
Se puede crear un �mbito mediante la consola de Access Manager o la utilidad CLI amadmin. Si desea m�s informaci�n, consulte la ayuda en l�nea de la consola o el Cap�tulo 14, “The amadmin Command Line Tool”, de la Sun Java System Access Manager 7 2005Q4 Administration Guide.
Cambios en errores de sesi�n
Access Manager proporciona una implementaci�n de errores de sesi�n independiente de contenedores Web; para ello emplea Sun Java System Message Queue (Message Queue) como agente de comunicaciones y Berkeley DB de Sleepycat Software, Inc. como base de datos almac�n de la sesi�n. Las mejoras de Access Manager 7 2005Q4 incluyen el archivo amsfoconfig.bat para configurar el entorno de errores de sesi�n.
Si desea m�s informaci�n, consulte “Implementing Access Manager Session Failover” en la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Notificaci�n de cambio de propiedad de sesi�n
La funci�n de notificaci�n de cambio de propiedad de sesi�n permite a Access Manager enviar una notificaci�n a controladores espec�ficos cuando se produce un cambio en una propiedad de sesi�n concreta. Esta funci�n se ejecuta cuando se activa el atributo “Habilitar notificaciones de cambio de propiedades” en la consola del administrador de Access Manager. Por ejemplo, en un entorno de inicio de sesi�n �nico (SSO), una misma sesi�n de Access Manager puede ser compartida por varias aplicaciones. Cuando se produce un cambio en una propiedad de sesi�n espec�fica definida en la lista “Propiedades de notificaci�n”, Access Manager env�a una notificaci�n a todos los controladores registrados.
Si desea m�s informaci�n, consulte “Enabling Session Property Change Notifications” en la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Restricciones de cuota de sesiones
La funci�n de restricciones de cuota de sesiones permite al administrador de Access Manager (amadmin) establecer el atributo “Activar sesiones de usuario” para limitar el n�mero m�ximo de sesiones simult�neas permitido a un usuario. El administrador puede establecer una restricci�n de cuota de sesiones a nivel global para todos los usuarios o bien para una entidad tal como una organizaci�n, un �mbito, una funci�n o un usuario que afecta s�lo a uno o varios usuarios.
De forma predeterminada las restricciones de cuota de sesiones est�n inhabilitadas (OFF), pero el administrador puede activarlas estableciendo el atributo “Habilitar restricciones de cuotas” en la consola del administrador de Access Manager.
El administrador tambi�n puede configurar lo que ocurrir� si un usuario agota su cuota de restricci�n de sesiones estableciendo el atributo “Comportamiento resultante si se agota la cuota de sesi�n”:
El atributo “Exenci�n de administraciones generales de la comprobaci�n de restricciones” especifica si las cuotas de restricci�n de sesiones afectan a los administradores con la funci�n de administrador de nivel superior.
Si desea m�s informaci�n, consulte “Setting Session Quota Constraints” en la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Autenticaci�n distribuida
El servicio de autenticaci�n distribuida permite la interacci�n de identidad de usuario y recepci�n de credenciales para la zona demilitarizada (DMZ). Durante la autenticaci�n con Access Manager, el usuario debe proporcionar su identificaci�n y credenciales. Durante este proceso, las URL de servicio de Access Manager son visibles para el usuario. Esto puede evitarse utilizando un servidor proxy; no obstante, ese tipo de servidor no es aceptable en ciertas implementaciones.
La mayor�a de las implementaciones seguras no permiten que los Agentes (de la capa DMZ) redireccionen la solicitud al servidor Access Manager (en la zona segura, tras el firewall) directamente, y por tanto �se es el principal requisito del servicio de autenticaci�n distribuida.
Esta funci�n se entrega e implementa como aplicaci�n Web J2EE en cualquier contenedor Web compatible con servlet. El servicio de autenticaci�n pueden tener una estructura de extracci�n y presentaci�n de autenticaci�n remota (es decir, una interfaz de autenticaci�n distribuida) que puede implementarse como aplicaci�n Web J2EE en la capa DMZ (en una m�quina que no ejecute Access Manager) y que, a su vez, puede comunicarse con servidores de servicios de fondo para la autenticaci�n en s�. El servicio de autenticaci�n distribuida se comunica con el servidor de autenticaci�n (de forma remota) para la autenticaci�n en s� mediante una API remota.
Compatibilidad con varias instancias de m�dulo de autenticaci�n
Todos los m�dulos de autenticaci�n (fuera de la m�quina) se han ampliado para admitir el subesquema con compatibilidad con la interfaz de la consola. Pueden crearse varias instancias de m�dulo de autenticaci�n por cada tipo de m�dulo (clase de m�dulo cargada). Por ejemplo, para instancias con nombres de ldap1 y ldap2 para un tipo de m�dulo LDAP, cada instancia puede indicar un servidor de directorios LDAP distinto. Se admiten instancias de m�dulo con el mismo nombre que sus tipos para conservar la compatibilidad con versiones anteriores. La llamada es implem_servidor_uri/UI/Login? module=nombre-instancia-m�dulo.
Espacio de nombre de "configuraci�n con nombre" o "encadenado" de autenticaci�n
Un espacio de nombre independiente se crea bajo una Org./�mbito, que es una cadena de instancias de m�dulos de autenticaci�n. La misma cadena puede reutilizarse y asignarse a una Org./�mbito, Funci�n o Usuario. La instancia del servicio de autenticaci�n es igual a la cadena de autenticaci�n. La llamada es implem_servidor_uri/UI/Login? service=nombre-cadena-autenticaci�n.
Mejoras en el m�dulo de pol�ticas
Atributos de personalizaci�n
Adem�s de Reglas, Asuntos y Condiciones, ahora las pol�ticas pueden tener atributos de personalizaci�n (IDResponseProvider). Ahora la decisi�n de pol�tica enviada al cliente desde la evaluaci�n de pol�ticas incluye atributos de personalizaci�n de respuesta basados en pol�tica en las pol�ticas aplicables. Se admiten dos tipos de atributos de personalizaci�n:
Los Puntos de aplicaci�n de pol�ticas (agentes) suelen reenviar estos valores de atributos como Encabezado de HTTP o Cookies o Atributos de solicitud a la aplicaci�n protegida.
Access Manager 7 2005Q4 no admite implementaciones personalizadas de la interfaz del proveedor de respuesta creadas por los clientes.
Condici�n de propiedad de sesi�n
La implementaci�n de condici�n de pol�tica de sesi�n (SessionPropertyCondition) decide si una pol�tica es aplicable a la solicitud bas�ndose en los valores de propiedades establecidos en la sesi�n Access Manager de un usuario. Al evaluarse las pol�ticas, la condici�n devuelve el valor "verdadero" s�lo si la sesi�n del usuario en Access Manager tiene todos los valores de propiedad definidos en la condici�n. Para propiedades definidas con varios valores en la condici�n, basta con que la sesi�n del usuario enumere al menos un valor para la propiedad de la condici�n.
Asunto de pol�tica
La implementaci�n de asunto de pol�tica (Access Manager IdentitySubject) le permite usar entradas del repositorio de identidades configurado como valores de asunto de pol�tica.
Exportaci�n de pol�ticas
Puede exportar pol�ticas en formato XML mediante el comando amadmin. Los nuevos elementos GetPolices y RealmGetPolicies del archivo amAdmin.dtd admiten esta funci�n.
Estado de pol�tica
Ahora una pol�tica tiene un atributo de estado, que sirve para definirla como activa o inactiva. Las pol�ticas inactivas se omiten durante la evaluaci�n de pol�ticas.
Configuraci�n del sitio
Access Manager 7 2005Q4 introduce el “concepto de sitio”, que proporciona una administraci�n de configuraci�n centralizada para una implementaci�n de Access Manager. Cuando Access Manager se configura como un sitio, las solicitudes de los clientes pasan siempre por el balanceador de carga, que simplifica la implementaci�n y resuelve problemas como la existencia de un firewall entre el cliente y los servidores de servicios de fondo de Access Manager.
Si desea m�s informaci�n, consulte “Configuring an Access Manager Deployment as a Site” en la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Federaci�n en bloque
Access Manager 7 2005Q4 proporciona la federaci�n en bloque de las cuentas de usuarios a aplicaciones delegadas a socios comerciales. Anteriormente, la federaci�n de cuentas entre un Proveedor de servicio (SP) y un Proveedor de identidad (IDP) requer�a que cada usuario accediera a los sitios del SP y el IDP, creara dos cuentas si a�n no las hab�a, y las federara mediante un v�nculo Web. Este proceso requer�a mucho tiempo. Adem�s, no era siempre id�neo para una implementaci�n con cuentas existentes o para un sitio que ya funcionara como proveedor de identidades o usara uno de sus socios como proveedor de autenticaci�n.
Si desea m�s informaci�n, consulte la Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide.
Mejoras en los registros
Access Manager 7 2005Q4 incluye varias nuevas mejoras en los registros:
- Nuevos campos (o columnas): El campo MessageID contiene el identificador de mensaje del evento registrado. El campo ContextID contiene el identificador de contexto, que es an�logo a un identificador de sesi�n y se aplica a todos los eventos de la sesi�n de un determinado usuario. Para la sesi�n espec�fica de un usuario, ContextID ser� el mismo en todos los archivos de registro de los eventos registrados.
- API de registro. La API incluye adiciones para la lectura de entradas de registro, tambi�n desde una base de datos (DB), cuando se configure el mantenimiento de registros en una DB. Consulte LogReaderSample.java en el directorio <install-dir>\samples\logging, que muestra la recuperaci�n de entradas de registro de un archivo sin formato o de un repositorio de tablas de DB.
Requisitos de hardware y software
Esta versi�n de Access Manager requiere el siguiente hardware y software.
Exploradores compatibles
Esta versi�n de Access Manager es compatible con los siguientes exploradores:
Errores corregidos en esta versi�nNinguna.
Informaci�n importanteEsta secci�n contiene la informaci�n m�s reciente que no aparece en la documentaci�n principal del producto. Esta secci�n cubre los siguientes temas:
Problemas de compatibilidad
Modo Tradicional de Access Manager
Access Manager 7 2005Q4 puede configurarse en dos modos:
Si est� instalando Access Manager con Portal Server, Messaging Server, Calendar Server, Instant Messaging o Delegated Administrator, debe seleccionar el tipo de instalaci�n Access Manager compatible (6.x), como sigue:
Si desea m�s informaci�n, consulte Tipos de instalaci�n de Access Manager.
Configurar autom�ticamente durante la instalaci�n
En esta opci�n el programa de instalaci�n configura Access Manager en el modo tradicional.
Configurar manualmente tras la instalaci�n
Si ejecuta el programa de instalaci�n Java ES con la opci�n para configurar manualmente tras la instalaci�n, debe ejecutar el archivo amconfig bat para configurar Access Manager tras la instalaci�n.
Para seleccionar el tipo de instalaci�n Compatible (6.x), establezca los siguientes par�metros en su archivo de entrada de comandos por lotes de configuraci�n (AMConfigurator.Properties):
AM_REALM=disabled
CONSOLE_DEPLOY_URI=/amconsole
Para seleccionar el modo mejorado:
AM_REALM=enabled
CONSOLE_Deploy_URI=/amserver/console
Si desea m�s informaci�n sobre c�mo configurar Access Manager ejecutando el archivo amconfig.bat, consulte la Sun Java System Access Manager Administration Guide http://docs.sun.com/doc/817-7647.
Determinaci�n del modo de Access Manager
Para saber si una instalaci�n en curso de Access Manager 7 2005Q4 se ha configurado en modo �mbito o Tradicional, escriba lo siguiente:
http(s)://host:port/amserver/SMSServlet?method=isRealmEnabled
Los resultados son:
Agentes de pol�tica de Access Manager
La siguiente tabla muestra la compatibilidad de los agentes de pol�tica con los modos de Access Manager 7 2005Q4.
Notas de instalaci�n
Las notas de la versi�n de Access Manager incluyen la siguiente informaci�n.
Tipos de instalaci�n de Access Manager
Cuando se ejecuta el programa de instalaci�n Java ES, Access Manager 7 2005Q4 puede instalarse en los modos de configuraci�n autom�tica durante la instalaci�n o de configuraci�n manual tras la instalaci�n.
- En el modo de configuraci�n autom�tica durante la instalaci�n, el programa de instalaci�n Java ES configura Access Manager en modo tradicional. El tipo compatible (6.x) (o modo tradicional) admite funciones de Access Manager 6, como la consola y el �rbol de informaci�n de directorios (DIT) compatibles con Access Manager 6.
Para configurar Access Manager en modo mejorado, consulte Configurar manualmente tras la instalaci�n.
El "URI de implementaci�n de consola" predeterminado del tipo Mejorado (7.x) para instalaciones tanto en servidor como en consola remota es amserver/console.
Si ejecuta el programa de instalaci�n Java ES en modo silencioso o si ejecuta el archivo amconfig.bat de Access Manager, establezca estas variables en el archivo de estado o el archivo de entrada de comandos por lotes de configuraci�n: AMConfig.Properties:
Instrucciones de actualizaci�n de Access Manager
Para actualizar Access Manager 7 2005Q4 desde una versi�n anterior, siga las instrucciones de actualizaci�n de la Gu�a de actualizaci�n de Sun Java Enterprise System 2005Q4 para Microsoft Windows, que se encuentra en http://docs.sun.com/app/docs/doc/819-4461.
Funciones de accesibilidad para personas discapacitadas
Para obtener las funciones de accesibilidad introducidas desde la publicaci�n de este producto, consulte las valoraciones de productos seg�n la Secci�n 508, que puede solicitar a Sun, para determinar las versiones m�s adecuadas para la implementaci�n de soluciones de accesibilidad. Puede encontrar versiones actualizadas de las aplicaciones en: http://sun.com/software/javaenterprisesystem/get.html.
Si desea informaci�n sobre el compromiso de Sun con la accesibilidad, visite http://sun.com/access.
Limitaciones y problemas conocidosEsta secci�n describe los siguientes problemas conocidos en el momento de comercializarse el producto, junto con sus soluciones en caso de haberlas.
Problemas de compatibilidad
Incompatibilidad entre servidores Java ES 2004Q2 e IM en Java ES 2005Q4 (6309082)
El problema surge con la siguiente implementaci�n:
Cuando se ejecuta la utilidad imconfig para configurar Instant Messaging en el servidor-4, la configuraci�n termina en error. El Access Manager 7 2005Q4 SDK, que es utilizado por Instant Messaging (IM) en el servidor-4, es incompatible con Java ES versi�n 2004Q2.
Soluci�n
Idealmente, el servidor Access Manager y Access Manager SDK deben ser de la misma versi�n. Si desea m�s informaci�n consulte la Sun Java Enterprise System 2005Q4 Upgrade Guide.
Hay incompatibilidades en el m�dulo de autenticaci�n principal para el modo tradicional (6305840)
El modo tradicional de Access Manager 7 2005Q4 tiene las siguientes incompatibilidades en el m�dulo de autenticaci�n principal de Access Manager 6 2005Q1:
- Los m�dulos de autenticaci�n de organizaci�n se suprimen en el modo tradicional.
- Ha cambiado la presentaci�n de la “Configuraci�n de autenticaci�n de administrador” y la “Configuraci�n de autenticaci�n de organizaci�n”. En la consola de Access Manager 7 2005Q4, la lista desplegable tiene ldapService seleccionado de forma predeterminada. En la consola Access Manager 6 2005Q1 se proporcionaba un bot�n Editar y el m�dulo LDAP no aparec�a seleccionado de forma predeterminada.
Soluci�n
Ninguna.
El agente no puede iniciar una sesi�n porque “el perfil no est� en la organizaci�n” (6295074)
En la consola de Access Manager, cree un agente en modo �mbito. Si cierra la sesi�n y vuelva a iniciarla con el nombre del agente, Access Manager muestra un mensaje de error porque el agente no tiene los privilegios necesarios para acceder al �mbito.
Soluci�n
Modifique los permisos para dar acceso de lectura y escritura al agente.
La utilidad Delegated Administrator commadmin no crea un usuario (6294603)
La utilidad Delegated Administrator commadmin con la opci�n -S mail, cal no crea un usuario en el dominio predeterminado.
Soluci�n
Este problema surge cuando se actualiza Access Manager a la versi�n 7 2005Q4 sin actualizar tambi�n Delegated Administrator. Si desea informaci�n para actualizar Delegated Administrator, consulte la Sun Java Enterprise System 2005Q4 Upgrade Guide for Microsoft Windows.
Si no desea actualizar Delegated Administrator, siga estos pasos:
- En el archivo UserCalendarService.xml, marque los atributos mail, icssubcribed e icsfirstday como opcionales en lugar de obligatorios. La ubicaci�n predeterminada del archivo es <install-dir>\DelegatedAdmin\lib\services.
- En Access Manager, suprima el archivo XML existente ejecutando el comando amadmin de este modo:
amadmin.bat -u amadmin -w password -r UserCalendarService
- En Access Manager, agregue el archivo XML actualizado de este modo:
amadmin.bat -u amadmin -w password
<install-dir>\DelegatedAdmin\lib\services\UserCalendarService.xml
- Reinicie el contenedor Web de Access Manager.
La utilidad commadmin de Delegated Administrator no crea una organizaci�n (6292104)
La utilidad commadmin de Delegated Administrator con la opci�n -S mail, cal no crea una organizaci�n.
Soluci�n
Lea la soluci�n del problema precedente.
Problemas de instalaci�n
En la instalaci�n de SDK con configuraci�n de contenedor, la URL de notificaci�n es incorrecta (6327845)
Si realiza una instalaci�n de SDK con la configuraci�n de contenedor (DEPLOY_LEVEL=4), la URL de notificaci�n es incorrecta.
Soluci�n
La ruta de clase de Access Manager hace referencia al paquete caducado JCE 1.2.1 (6297949)
La ruta de clase de Access Manager hace referencia al paquete (certificado de firma) Java Cryptography Extension (JCE) 1.2.1, que caduc� el 27 de julio de 2005.
Soluci�n
Ninguna. Aunque la referencia al paquete figura en classpath Access Manager no usa dicho paquete.
Los permisos de los directorios de registro y depuraci�n son incorrectos parar los usuarios no ra�z (6257161)
Cuando se especifica un usuario no ra�z en el archivo de configuraci�n de instalaci�n silenciosa, los permisos de los directorios de inicio, registros y depuraci�n no se establecen correctamente.
Soluci�n
Cambie los permisos de esos directorios para dar acceso a los usuarios no ra�z.
Problemas de configuraci�n
El archivo server.policy de Application Server 8.1debe editarse cuando se usan URI no predeterminados (6309759)
Si est� implementando Access Manager 7 2005Q4 en Application Server 8.1 y usa URI no predeterminados para los servicios, la consola y las aplicaciones Web de contrase�a, que tienen los valores URI predeterminados de amserver, amconsole y ampassword respectivamente, debe editar el archivo server.policy del dominio del servidor de aplicaciones antes de intentar acceder a Access Manager mediante un explorador Web.
Soluci�n
Edite el archivo server.policy de este modo:
- Detenga la instancia de Application Server en que se implementa Access Manager.
- Vaya al directorio /config. Por ejemplo:
<install-dir>ApplicationServer\domains\domain1\config
- Haga una copia de seguridad del archivo server.policy. Por ejemplo:
cp server.policy server.policy.orig
- En el archivo server.policy, busque las siguientes pol�ticas:
La lista de servidores de la plataforma y el atributo de alias FQDN no se actualizan (6309259, 6308649)
En una implementaci�n de varios servidores, la lista de servidores de la plataforma y el atributo de alias FQDN no se actualizan si se instala Access Manager en el segundo servidor (y los posteriores).
Soluci�n
Agregue manualmente los alias de �mbito/DNS y las entradas de la lista de servidores de la plataforma. Encontrar� las instrucciones necesarias en la secci�n “Adding Additional Instances to the Platform Server List and Realm/DNS Aliases” de la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
Validaci�n de datos para los atributos necesarios en los servicios (6308653)
Access Manager 7 2005Q4 hace que los atributos necesarios de los archivos XML de servicios tengan los valores predeterminados.
Soluci�n
Si tiene servicios con atributos necesarios que no tienen valores, agregue esos valores y vuelva a cargar el servicio.
El archivo amconfig.bat no actualiza los alias de �mbito/DNS ni las entradas de la lista de servidores de la plataforma (6284161)
En una implementaci�n de varios servidores, el archivo de comandos por lotes amconfig no actualiza los alias de �mbito/DNS ni las entradas de la lista de servidores de la plataforma para instancias adicionales de Access Manager.
Soluci�n
Agregue manualmente los alias de �mbito/DNS y las entradas de la lista de servidores de la plataforma. Encontrar� las instrucciones necesarias en la secci�n “Adding Additional Instances to the Platform Server List and Realm/DNS Aliases” de la Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.
El modo predeterminado de Access Manager en la plantilla de archivo de estado de configuraci�n es �mbito (6280844)
De forma predeterminada, el modo de Access Manager (variable AM_REALM) se activa en la plantilla de archivo de estado de configuraci�n.
Soluci�n
Para instalar o configurar Access Manager en modo Tradicional, restablezca la variable en el archivo de estado:
AM_REALM = disabled
Problemas de consola en Access Manager
Para SAML, se produce un error al duplicar Trusted Partner en la consola (6326634)
En la consola de Access Manager, cree SAML Trusted Partner en la ficha Federaci�n > SAML. Si intenta duplicar Trusted Partner, se producen errores.
Soluci�n
Ninguna.
El inicio remoto de sesiones no funciona para amConsole.access ni para amPasswordReset.access (6311786)
Cuando se configura el inicio remoto de sesiones, todos los registros se escriben en la instancia remota de Access Manager excepto amConsole.access y amPasswordReset.access para la informaci�n de restablecimiento de contrase�a. La entrada de registro no se escribe en ning�n sitio.
Soluci�n
Ninguna.
La adici�n de m�s propiedades amadmin en la consola est� cambiando la contrase�a de usuario de amadmin (6309830)
La adici�n o edici�n de algunas de las propiedades del usuario amadmin en la consola de administraci�n hace que cambie la contrase�a de usuario de amadmin.
Soluci�n
Ninguna.
La nueva consola de Access Manager no puede establecer las prioridades de la plantilla de CoS (6309262)
La nueva consola de Access Manager 7 2005Q4 no puede establecer ni modificar una prioridad de plantilla de Clase de servicio (CoS).
Soluci�n
Inicie una sesi�n en la consola de Access Manager 6 2005Q1 para establecer o modificar una prioridad de plantilla de CoS.
Se produce un error de excepci�n al agregar un grupo a un usuario como usuario administrador de pol�ticas (6299543)
La consola de Access Manager muestra un mensaje de error de excepci�n cuando se agrega un grupo a un usuario como usuario administrador de pol�ticas.
Soluci�n
Ninguna.
En el modo tradicional, no se puede eliminar todos los usuarios de una funci�n (6293758)
En el modo tradicional, si intenta eliminar todos los usuarios de una funci�n, queda un usuario sin borrar.
Soluci�n
Vuelva a intentar eliminar el usuario de la funci�n.
No se puede agregar, eliminar ni modificar ofertas de recursos de Discovery Service (6273148)
La consola de administraci�n de Access Manager no le permite agregar, eliminar ni modificar ofertas de recursos para un usuario, funci�n o �mbito.
Soluci�n
Ninguna.
Una contrase�a de enlace LDAP err�nea debe generar un error para la b�squeda de asunto (6241241)
La consola de administraci�n de Access Manager no muestra un error cuando se usa una contrase�a de enlace LDAP err�nea.
Soluci�n
Ninguna.
Access Manager no puede crear una organizaci�n bajo un contenedor en modo tradicional (6290720)
Si crea un contenedor y luego intenta crear una organizaci�n bajo �l, Access Manager muestra el mensaje “uniqueness violation error”.
Soluci�n
Ninguna.
Al agregar servicios relacionados con Portal Server aparece la consola antigua (6293299)
Portal Server y Access Manager se instalan en el mismo servidor. Con Access Manager instalado en modo Tradicional, inicie una sesi�n en la nueva consola de Access Manager mediante /amserver. Si elige un usuario existente e intenta agregar servicios (como NetFile o Netlet), la consola antigua de Access Manager (/amconsle) aparece de repente.
Soluci�n
Ninguna. La versi�n actual de Portal Server necesita la consola de Access Manager 6 2005Q1.
La consola no muestra los resultados establecidos desde Directory Server tras alcanzar el l�mite de recursos (6239724)
Instale Directory Server y a continuaci�n Access Manager con la opci�n DIT existente. Inicie una sesi�n en la consola de Access Manager y cree un grupo. Edite los usuarios del grupo. Por ejemplo, agregue usuarios con el UID de filtro *999*. El listado resultante est� vac�o, y la consola no muestra ning�n error, informaci�n ni mensajes de advertencia.
Soluci�n
El n�mero de miembros del grupo no debe superar el l�mite de tama�o de b�squeda de Directory Server. Si el n�mero de miembros es mayor, adapte el l�mite de tama�o de b�squeda.
Problemas con SDK y con clientes
No se puede suprimir la configuraci�n de servicio de sesiones para un sub�mbito (6318296)
Tras crear un sub�mbito del �mbito de nivel superior y agregarle el servicio de sesiones, el intento de suprimir la configuraci�n del servicio de sesiones genera un mensaje de error.
Soluci�n
Suprima el repositorio predeterminado de ID de nivel superior, AMSDK1, y luego vuelva a agregarlo a la configuraci�n.
El servlet CDC redirecciona a una p�gina de inicio de sesi�n no v�lida cuando se especifica una condici�n de pol�tica (6311985)
Con el agente Apache 2.2 en modo CDSSO, cuando se accede al recurso protegido por el agente, el servlet CDC redirecciona al usuario a la p�gina de autenticaci�n an�nima en lugar de a la p�gina de inicio de sesi�n predeterminada.
Soluci�n
Ninguna.
Los clientes no obtienen notificaciones tras reiniciarse el servidor (6309161)
Las aplicaciones escritas con el SDK de cliente (amclientsdk.jar) no obtienen notificaciones cuando se reinicia el servidor.
Soluci�n
Ninguna.
El complemento ldapv3 y el openldap del repositorio de identidades necesitan un parche (6305268)
El openldap no admite una b�squeda de persistencia, y sin una conexi�n de b�squeda de persistencia el complemento no puede iniciarse.
Soluci�n
Para usar el complemento ldapv3, solicite un parche de Access Manager a su representante t�cnico de Sun Microsystems.
Es necesario reiniciar los clientes SDK tras cambiar el esquema de servicios (6292616)
Si modifica un esquema de servicios, ServiceSchema.getGlobalSchema devuelve el esquema antiguo en lugar del nuevo.
Soluci�n
Reinicie el cliente tras cambiar un esquema de servicios.
Problemas de utilidades de l�nea de comandos
No se puede guardar documentos XML con el car�cter de escape en Internet Explorer 6.0 (4995100)
Si agrega un car�cter especial (como la cadena “amp;” junto a un signo “&”) en un archivo XML, el archivo se guarda correctamente; no obstante, si m�s adelante recupera el perfil XML mediante Internet Explorer 6.0, el archivo no se muestra correctamente. Si a continuaci�n intenta volver a guardar el perfil, se genera un error.
Soluci�n
Ninguna.
Problemas de autenticaci�n
El token de SSO UrlAccessAgent est� caducando (6327691)
El token de SSO UrlAccessAgent est� caducando porque el m�dulo de aplicaci�n no devuelve el DN de usuario especial, lo que hace que el DN de usuario especial coincida y por tanto que un token no caducado genere un error.
Soluci�n
Ninguna.
No se puede iniciar sesi�n en un sub�mbito con el complemento/perfil din�mico LDAPV3 tras corregir la contrase�a (6309097)
En modo tradicional, si crea un almac�n de datos ldapv3 en un �mbito con una contrase�a “incorrecta” y m�s tarde cambia la contrase�a como amadmin, cuando intente volver a iniciar una sesi�n como el usuario de la contrase�a cambiada, el inicio de sesi�n genera un error y se notifica que no hay perfil.
Soluci�n
Ninguna.
Incompatibilidad de la configuraci�n predeterminada de Access Manager del servicio de estad�sticas para el modo tradicional (compatible) (6286628)
Tras instalar con Access Manager en modo tradicional, la configuraci�n predeterminada del servicio de estad�sticas ha cambiado:
- El servicio est� activado de forma predeterminada (com.iplanet.services.stats.state=file). Anteriormente estaba desactivado.
- El intervalo predeterminado (com.iplanet.am.stats.interval) ha cambiado de 3600 a 60.
- El directorio stats predeterminado (com.iplanet.services.stats.directory) ha cambiado de <install-dir>\AccessManager\debug a <install-dir>\AccessManager\stats.
Soluci�n
Ninguna.
Infracci�n de la exclusividad de un atributo al asignar nombre a atributos en la organizaci�n de nivel superior (6204537)
Tras instalar Access Manager, inicie una sesi�n como amadmin y agregue los atributos o, sunPreferredDomain, associatedDomain, sunOrganizationAlias, uid y mail a la lista de atributos exclusivos. Si crea dos nuevas organizaciones con el mismo nombre, la operaci�n falla pero Access Manager muestra el mensaje “La organizaci�n ya existe” en lugar del mensaje previsto: “Se ha infringido la unicidad del atributo”.
Soluci�n
Ninguna. No preste atenci�n al mensaje incorrecto. Access Manager funciona correctamente.
Problemas de sesi�n y SSO
Hay instancias de Access Manager residentes en distintas zonas horarias que agotan el tiempo de espera de otras sesiones de usuario (6323639)
Hay instancias de Access Manager instaladas en diferentes zonas horarias y en el mismo c�rculo de confianza que hacen que otras sesiones de usuario agoten su tiempo de espera.
El sistema crea un nombre de host de servicio no v�lido cuando el balanceador de carga tiene terminaci�n SSL (6245660)
Si Access Manager se implementa con Web Server como el contenedor Web utilizando un balanceador de carga con terminaci�n SSL, los clientes no son dirigidos a la p�gina correcta de Web Server. Al hacer clic en la ficha Sesiones de la consola de Access Manager se genera un mensaje de error debido a que el host no es v�lido.
Soluci�n
En los siguientes ejemplos, Web Server usa el puerto 3030 como puerto de recepci�n. El balanceador de carga usa el puerto 80 como puerto de recepci�n y redirige las solicitudes a Web Server.
En el archivo nombre-instancia-web-server\config\server.xml, edite el atributo servername para que remita al balanceador de carga; lo har� de forma distinta seg�n la versi�n de Web Server que use.
Para las versiones de Web Server 6.1 Service Pack (SP), edite el atributo servername de este modo:
Web Server 6.1 SP2 (o posterior) puede cambiar el protocolo de http a https o de https a http. Por tanto, edite servername de este modo:
Problemas de pol�ticas
La eliminaci�n de atributos din�micos en el servicio Policy Configuration crea problemas al editar pol�ticas (6299074)
La eliminaci�n de atributos din�micos del servicio Policy Configuration crea problemas al editar pol�ticas en el siguiente caso:
- Cree dos atributos din�micos en el servicio de configuraci�n de pol�ticas.
- Cree una pol�tica y seleccione los atributos din�micos (del Paso 1) en el proveedor de respuesta.
- Suprima los atributos din�micos del servicio de configuraci�n de pol�ticas y cree otros dos atributos.
- Intente editar la pol�tica creada en el Paso 2.
Los resultados son: “Error Invalid Dynamic property being set.” No aparece ninguna pol�tica en la lista predeterminada. Tras realizar una b�squeda, las pol�ticas aparecen pero no es posible editar ni cancelar pol�ticas existentes ni crear una nueva.
Soluci�n
Antes de suprimir los atributos din�micos del servicio de configuraci�n de pol�ticas, suprima las referencias a esos atributos de las pol�ticas.
Problemas de inicio de servidor
Error de depuraci�n al iniciar Access Manager (6309274, 6308646)
Cuando se inicia, Access Manager 7 2005Q4 genera los errores de depuraci�n en los archivos de depuraci�n amDelegation y amProfile:
Soluci�n
Ninguna. No preste atenci�n a estos mensajes.
Problemas de federaci�n y SAML
La federaci�n falla al usar el perfil Artefacto (6324056)
Si configura un proveedor de identidades (IDP) y un proveedor de servicios (SP), cambia el protocolo de comunicaci�n para usar el perfil Artefacto del explorador, y a continuaci�n intenta federar usuarios entre IDP y SP, la federaci�n termina en error.
Soluci�n
Ninguna.
Los caracteres especiales (&) deben codificarse en las instrucciones SAML (6321128)
Con Access Manager como sitio de origen y de destino y SSO configurado, se produce un error en el sitio de destino debido a que el car�cter especial (&) de las instrucciones SAML no est� codificado, lo que hace que falle el an�lisis de las aserciones.
Soluci�n
Ninguna.
Se produce una excepci�n al intentar agregar el servicio Disco a una funci�n (6313437)
En la consola de Access Manager, si intenta agregar una oferta de recurso al servicio Disco, se produce una excepci�n desconocida.
Soluci�n
Ninguna.
Los atributos Auth Context no son configurables hasta que se han configurado y guardado otros atributos (6301338)
Los atributos Auth Context no son configurables hasta que se han configurado y guardado otros atributos.
Soluci�n
Configure y guarde un perfil de proveedor antes de configurar los atributos Auth Context.
El ejemplo EP no funciona si el sufijo ra�z contiene el car�cter “&” (6300163)
Si Directory Server tiene un sufijo ra�z que contiene el car�cter “&” y se intenta agregar una oferta de recurso de servicio de perfil de empleado, se genera una excepci�n.
Soluci�n
Ninguna.
Error de cierre de sesi�n en federaci�n (6291744)
En el modo de �mbito, si federa cuentas de usuario de un proveedor de identidades (IDP) y un proveedor de servicios (SP), finaliza la federaci�n y cierra la sesi�n, se produce un error: Error: No sub organization found.
Soluci�n
Ninguna.
Problemas de globalizaci�n
Las preferencias de configuraci�n local de usuario no se aplican a toda la consola de administraci�n (6326734)
Hay partes de la consola de administraci�n de Access Manager que no siguen las preferencias de configuraci�n local de usuario y en su lugar usan la configuraci�n local del explorador. Este problema afecta a los botones de versi�n, cierre de sesi�n y ayuda en l�nea, as� como al contenido de la versi�n y la ayuda en l�nea.
Soluci�n
Cambie la configuraci�n local del explorador para que sea la misma que la de las preferencias de usuario.
La supresi�n de UTF-8 no funciona en la detecci�n de clientes (5028779)
La funci�n de detecci�n de clientes no funciona correctamente. Los cambios realizados en la consola de Access Manager 7 2005Q4 no se propagan autom�ticamente al explorador.
Soluci�n
Hay dos soluciones:
- Siga estos pasos en la consola de Access Manager:
- Haga clic en Detecci�n de cliente bajo la ficha Configuraci�n.
- Haga clic en el v�nculo Editar de genericHTML.
- Bajo la ficha HTML, haga clic en el v�nculo genericHTML.
- Introduzca la siguiente entrada en la lista de juegos de caracteres: UTF-8;q=0.5 (Aseg�rese de que el factor UTF-8 q es inferior a los otros juegos de caracteres de su configuraci�n local).
- Guarde, cierre la sesi�n e inicie una nueva sesi�n.
Los caracteres multibyte aparecen como signos de interrogaci�n en los archivos de registro (5014120)
Los mensajes multibyte de los archivos de registro del directorio <install-dir>\AccessManager\logs aparecen como signos de interrogaci�n (?). Los archivos de registro est�n codificados de forma nativa y no siempre en UTF-8. Cuando una instancia de contenedor Web se inicia en una cierta configuraci�n local, los archivos de registro estar�n en la codificaci�n nativa de esa configuraci�n local. Si se pasa a otra configuraci�n local y se reinicia la instancia de contenedor Web, los mensajes siguientes estar�n en la codificaci�n nativa de la configuraci�n local actual, pero los mensajes de la codificaci�n anterior aparecer�n como signos de interrogaci�n.
Soluci�n
Aseg�rese de iniciar todas las instancias de contenedor Web usando siempre la misma codificaci�n nativa.
P�gina de inicio de sesi�n de Access Manager parcialmente sin traducir en Windows 2000 en espa�ol (6358371)
La p�gina de inicio de sesi�n de Access Manager muestra contenido parcialmente sin traducir en espa�ol en Windows 2000.
Soluci�n
Use el explorador Mozilla Firefox.
Problemas de documentaci�n
com.iplanet.am.session.client.polling.enable en el lado del servidor no debe ser “verdadero” (6320475)
La propiedad com.iplanet.am.session.client.polling.enable del archivo AMConfig.properties nunca debe tener el valor “verdadero” en el lado del servidor.
Soluci�n
Esta propiedad tiene el valor “falso” de forma predeterminada y nunca debe recibir el valor “verdadero”.
Default Success URL incorrecta en la ayuda en l�nea de la consola (6296751)
La Default Success URL del archivo de ayuda en l�nea service.scserviceprofile.iplanetamauthservice.html es incorrecta. El campo de Default Success URL acepta una lista de varios valores que especifica la URL a la que se redireccionan los usuarios tras autenticarse de forma correcta. El formato de este atributo es clientType|URL, aunque s�lo se puede especificar el valor de la URL, que presupone un tipo predeterminado de HTML.
El valor predeterminado de “/amconsole” es incorrecto.
Soluci�n
El valor predeterminado correcto es “/amserver/console”.
Archivos que se pueden distribuirEl Sun Java System Access Manager 7 no contiene ning�n archivo que pueda distribuir a usuarios sin licencia del producto.
Informaci�n sobre problemas y respuestas de los clientesSi experimenta problemas con Sun Java System Access Manager, p�ngase en contacto con el servicio de atenci�n al cliente de Sun de una de las siguientes formas:
- Servicios de atenci�n al cliente en l�nea para software de Sun en
http://www.sun.com/service/sunone/softwareEste sitio dispone de v�nculos a la base de datos de soluciones, al centro de asistencia en l�nea y al rastreador de productos, as� como a programas de mantenimiento y n�meros de contacto de asistencia.
- El n�mero de tel�fono del distribuidor asociado al contrato de mantenimiento.
Para que podamos ayudarle de forma �ptima en la resoluci�n de problemas, tenga a mano la siguiente informaci�n cuando se ponga en contacto con el servicio de asistencia:
- Descripci�n del problema, incluida la situaci�n en la que �ste se produce y la forma en que afecta al funcionamiento.
- Tipo de la m�quina, versi�n del sistema operativo y versi�n del producto, incluida cualquier revisi�n del mismo y otro software que pudiera influir en el problema.
- Pasos detallados de los m�todos que haya usado para reproducir el problema.
- Cualquier registro de errores o volcados del n�cleo.
Sun valora sus comentarios
En Sun tenemos el m�ximo inter�s por mejorar nuestra documentaci�n, lo que significa que agradecemos los comentarios y sugerencias de los usuarios. Para enviar sus comentarios a Sun, use el formulario basado en Web que aparece en:
http://www.sun.com/hwdocs/feedback/
Ind�quenos el t�tulo completo de la documentaci�n y el n�mero de referencia en los campos pertinentes. El n�mero de referencia consta de siete o nueve d�gitos y se encuentra en la p�gina que contiene el t�tulo de la gu�a o al principio del documento. Por ejemplo, el n�mero de referencia correspondiente a estas notas de la versi�n es 819-5799-10.
Recursos adicionales de SunPuede encontrar informaci�n �til sobre Sun Java System en las siguientes direcciones de Internet:
- Documentaci�n de Sun Java System
http://docs.sun.com/app/docs/prod/entsys.05q4#hic- Servicios profesionales de Sun Java System
http://www.sun.com/service/products/software/javaenterprisesystem/- Productos y servicio de software de Sun Java System
http://wwws.sun.com/software/- Servicio de asistencia de software de Sun Java System
http://www.sun.com/service/sunone/software- Asistencia al cliente y base de conocimiento de Sun Java System
http://sunsolve.sun.com- Servicios profesionales y de consultor�a de Sun Java System
http://www.sun.com/service/products/software/javaenterprisesystem- Informaci�n para programadores de Sun Java System
http://developers.sun.com/- Servicios de asistencia para programadores de Sun
http://www.sun.com/developers/support
Copyright � 2006 Sun Microsystems, Inc. Todos los derechos reservados.
Sun Microsystems, Inc. tiene derechos de propiedad intelectual relativos a la tecnolog�a usada en el producto que se describe en este documento. En particular, y sin limitaciones, estos derechos de propiedad intelectual pueden incluir una o m�s de las patentes de EE.UU. enumeradas en http://www.sun.com/patents y una o m�s patentes o solicitudes de patente pendientes adicionales en EE.UU. y en otros pa�ses.
INFORMACI�N DE PROPIEDAD /CONFIDENCIAL DE SUN.
Derechos del Gobierno de Estados Unidos: software comercial. Los usuarios gubernamentales est�n sujetos al acuerdo de licencia est�ndar de Sun Microsystems, Inc. y a las disposiciones aplicables de la regulaci�n FAR y sus suplementos.
El uso est� sujeto a las condiciones de la licencia.
Esta distribuci�n puede incluir materiales desarrollados por terceras partes.
Ciertas partes pueden derivarse de Berkeley BSD systems, con licencia de la Universidad de California.
Sun, Sun Microsystems, el logotipo de Sun, Java y Solaris son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en Estados Unidos y otros pa�ses. Todas las marcas comerciales SPARC se usan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International, Inc. en Estados Unidos y otros pa�ses.
Copyright � 2006 Sun Microsystems, Inc. Tous droits r�serv�s.
Sun Microsystems, Inc. d�tient les droits de propri�t� intellectuels relatifs � la technologie incorpor�e dans le produit qui est d�crit dans ce document. En particulier, et ce sans limitation, ces droits de propri�t� intellectuelle peuvent inclure un ou plus des brevets am�ricains list�s � l'adresse http://www.sun.com/patents et un ou les brevets suppl�mentaires ou les applications de brevet en attente aux Etats - Unis et dans les autres pays.
Propri�t� de SUN/CONFIDENTIEL.
L'utilisation est soumise aux termes du contrat de licence.
Cette distribution peut comprendre des composants d�velopp�s par des tierces parties.
Des parties de ce produit pourront �tre d�riv�es des syst�mes Berkeley BSD licenci�s par l'Universit� de Californie.
Sun, Sun Microsystems, le logo Sun, Java et Solaris sont des marques de fabrique ou des marques d�pos�es de Sun Microsystems, Inc. aux Etats-Unis et dans d'autres pays.
Toutes les marques SPARC sont utilis�es sous licence et sont des marques de fabrique ou des marques d�pos�es de SPARC International, Inc. aux Etats-Unis et dans d'autres pays.