Sun Java System Identity Installation Pack 2005Q4M3 SP4 Versionshinweise |
Identity Installation Pack 2005Q4M3 SP4 - Funktionen
Lesen Sie vor der Installation oder Aufrüstung der Sun Java™ System Identity Installation Pack-Software den Abschnitt „Hinweise zur Installation und Aktualisierung“ dieser Versionshinweise und andere Dokumentationen, die für das aktuelle Identity Manager 2005Q4M3 Service Pack bereitgestellt wurden.
Neue Funktionen und behobene Fehler für diese VersionDieser Abschnitt enthält eine Zusammenfassung und Details zu neuen Funktionen für Identity Installation Pack 2005Q4M3 SP4. Detaillierte Informationen finden Sie in den jeweiligen Abschnitten dieses Kapitels.
Administratorbenutzeroberfläche
- Nach Anzeige von Serveraufgaben wird die Spalte Startzeit auf der Registerkarte Aufgaben verwalten nun in der richtigen chronologischen Reihenfolge sortiert. Zuvor wurde die Spalte Startzeit nicht fehlerlos sortiert. (ID-16783).
- Bei der Benutzersuche auf der Registerkarte Konten auflisten (Konten > Konten auflisten) werden die Benutzer jetzt nur noch einmal pro Organisation aufgeführt. Zuvor konnte derselbe Benutzer in den Suchergebnissen mehrmals pro Organisation aufgeführt werden. (ID-16795).
Ein weiteres Problem bezüglich der Kontenstrukturtabelle auf der Registerkarte zum Auflisten der Konten ist im Abschnitt Bekannte Probleme beschrieben.
- Bei einer Suche nach Benutzern in der Kontenstrukturtabelle gibt das Manager-Attribut des gefundenen Benutzers jetzt den vollständigen Namen des Managers an. Zuvor wurde nur die Manager-ID angezeigt. (ID-14645).
- Die Spalte Status auf der Seite Benutzerpasswortergebnisse ändern wurde entfernt. Darüber hinaus wurde die Spalte Status von den folgenden Seiten entfernt: Ergebnis von Antworten ändern, Alle Ergebnisse ändern und Ergebnis von Passwort ändern. Die Spalte Status enthielt keine Daten und war unnütz. (ID-16889).
- Der Feldtypwert DatePicker in Formularen kann jetzt gelöscht werden. (ID-17022).
- Die Tabelle Genehmigung steht an kann nun sortiert werden. Zuvor konnten Benutzer mit anstehenden Genehmigungen die Tabelle nicht sortieren. Stattdessen wurde die Meldung „Ergebnisseite kann nicht formatiert werden, keine Aufgaben-ID oder kein Ergebnis“ angezeigt. (ID-17304).
- Die Textanzeigekomponente kann jetzt in Eingabefeldern autocomplete="off" darstellen, wenn die Anzeigeeigenschaft autocomplete auf off gesetzt wurde. (Durch Setzen der Eigenschaft autocomplete auf off wird verhindert, dass Webbrowser Berechtigungsdaten von Benutzern auf deren Computern speichern.)
Sie können diese Anpassung in XPRESS durch Hinzufügen der Anzeigeeigenschaft vornehmen. Alle anderen Werte außer off verhindern, dass das Attribut autocomplete dargestellt wird. (Dies entspricht dem Verhalten beim Nichtsetzen dieser Eigenschaft.) (ID-17045).
- Für die folgenden Seiten wurde eine site-übergreifende Skriptsicherheitslücke gefunden und korrigiert (ID-17241):
Überprüfung
Passwortsynchronisation
- Eine Änderung des Verhaltens in Microsoft Windows Server 2003 SP2 hat eine Änderung an der PasswordSync-DLL (lhpwic.dll) von Identity Manager erforderlich gemacht. In SP2 können von Windows an PasswortSync gesendete Benachrichtigungen über Passwortänderungen falsch formatierte Rechnerkontendaten enthalten. Dadurch kann PasswordSync einen Ausnahmefehler verursachen. Auch die LSASS-Komponente von Microsoft (Local Security Authority Subsystem) kann schließlich hängen bleiben und einen Neustart des Domänencontrollers erforderlich machen.
Da Rechnerkontendaten nicht von PasswordSync verarbeitet werden (es werden nur Benutzerkonten verarbeitet), wurde die PasswordSync-DLL dahin gehend aktualisiert, dass sämtliche Benachrichtigungen über Änderungen an Rechnerkonten bei Empfang umgehend verworfen werden.
Windows-Rechnerkonten enden mit einem Dollarzeichen ($). Beachten Sie deshalb, dass PasswordSync keine auf $ endenden Konten verarbeitet. Dies gilt auch für Benutzerkonten, die mit $ enden. (ID-17245).
- Das PasswordSync-Nachverfolgungsprotokoll wurde aktualisiert. Wenn PasswordSync/JMS eine Benachrichtigung über eine Passwortänderung von Windows Active Directory an Identity Manager weiterleitet und der Benutzer in Identity Manager nicht vorhanden ist, wird im Protokoll eine entsprechende Meldung aufgezeichnet. Zuvor löste PasswordSync unter diesen Umständen ohne Erklärung einen Nullzeiger-Ausnahmefehler aus. (ID-16920).
- Das Booten eines Active Directory-Domänencontrollers im Modus “Directory Service Restore” verursacht keine ständigen Hochfahrzyklen mehr, wenn PasswordSync (lhpwic.dll) abstürzt. (ID-16695).
- PasswordSync wurde dahin gehend aktualisiert, dass “out of handle”-Fehler auf Active Directory-Domänencontrollern verhindert wird, auf denen PasswordSync (lhpwic.dll) ausgeführt wird. Wenn Rechnerkonten in einer Domäne aktualisiert werden, sendet der Domänencontroller fälschlicherweise eine Benachrichtigung über eine Passwortänderung an die PasswordSync-DLL von Identity Manager. Folglich wurden Such-Handles nicht ordnungsgemäß von der DLL geschlossen. (ID-16495).
Auch: Ein weiteres Problem bezüglich PasswordSync, das Speicherlecks verursachte, wurde behoben. (ID-16827).
- Wenn die PasswordSync-DLL einen Ausnahmefehler auslöst, wird durch einen Eintrag in der Windows-Registry eine Speicherabzugsdatei generiert.
Schlüsselname: dumpFilebase
Typ: REG_SZ
Dieser Schlüssel sollte dem Windows-Domänencontroller, auf dem PasswordSync ausgeführt wird, hinzugefügt werden. Setzen Sie den Registrierungsschlüssel auf den vollständig qualifizierten Pfad des Verzeichnisses, in dem der Speicherabzug generiert werden soll. Beispiel: c:\temp
Wenn der Registrierungswert festgelegt ist, wird bei jedem Ausnahmefehler während einer Passwortverarbeitung ein Speicherabzug geschrieben.
Hinweis: Unter Windows 2000 Server (jedes Service-Pack) müssen Sie auch DbgHelp.dll (erhältlich von Microsoft) im konfigurierten Verzeichnis installieren. Verwenden Sie mindestens Version 5.1 dieser Datei. Diese Datei steht unter folgender URL zum Download zur Verfügung:
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
Wenn DbgHelp.dll nicht installiert ist, werden unter Windows 2000 keine Speicherabzüge generiert.
Die Speicherabzugsdateien werden nach folgendem Schema benannt:
lhpwic-JahrMonatTag-StundeMinute-xxxxx.dmp
Dabei ist JahrMonatTag das Datum des Speicherabzugs, StundeMinute die Uhrzeit des Speicherabzugs (im 24-Stunden-Format) und xxxxx die Thread-Nummer der Anwendung.
Beachten Sie, dass Speicherabzugsdateien manuell gelöscht werden müssen! Je nach der Größe des Windows-LSASS-Prozesses (Local Security Authority Subsystem) können diese Dateien zwischen 20 und über 100 MB groß sein. Wenn diese Dateien nicht gelöscht werden, kann der Speicherplatz auf Systeme mit geringer Festplattengröße mit der Zeit aufgebraucht werden. (ID-17552).
Abstimmung
Berichte
- Die folgenden Ereignisse werden nun in Überprüfungsprotokollberichten wie Berichten über die tägliche Aktivität aufgenommen:
- Versuche, Benutzer ohne Benutzer-ID oder Passwort zu erstellen
- Versuche, Benutzer mit einer nicht existierenden Rolle zu erstellen (sowie Versuche, einem vorhandenen Benutzer eine solche Rolle zuzuweisen)
- Versuche, Benutzer unter Verstoß gegen die Konten-ID-Richtlinie zu erstellen
- Versuche, Benutzer zu erstellen und einer nicht zugänglichen Ressource zuzuweisen (sowie Versuche, einem vorhandenen Benutzer eine solche Ressource zuzuweisen)
- Versuche, nicht vorhandene Benutzer zu löschen
Diese Ereignisse werden auch in das Systemprotokoll aufgenommen.
Zuvor wurden erfolglose Versuche, Benutzer zu erstellen oder zu löschen, ausschließlich in das Systemprotokoll geschrieben. (ID-13284).
- Identity Manager unterstützt jetzt bei Verwendung einer Oracle-Datenbank als Identity Manager-Repository den CLOB-Datentyp für acctAttrChanges.
Der Vorteil der Verwendung des CLOB-Datentyps (anstatt des Standarddatentyps VARCHAR(4000)) besteht darin, dass damit viel mehr Änderungen protokolliert werden können. Dadurch werden aber aufgrund der proprietären Natur der CLOB-Zugriffsroutinen Abfragen dieser Spalte verkompliziert.
Wenn mehr Änderungen protokolliert werden sollen, müssen Sie den Spaltentyp von log.acctAttrChanges auf CLOB (von VARCHAR(4000)) und das Attribut maxLogAcctAttrChangesLength des Konfigurationsobjekts RepositoryConfiguration entsprechend ändern. (ID-15326).
Ressourcen
- Der Solaris-Ressourcenadapter erzwingt nun, dass Benutzer ihre Passwörter bei der nächsten Anmeldung ändern. Um diese Funktion zu aktivieren, fügen Sie expirePassword in die Spalte “Identity System-Benutzerattribut” der Schemazuordnung und force_change in die Spalte “Ressourcen-Benutzerattribut” ein. Dieser Attributtyp muss auf „String“ gesetzt werden. (ID-17032, ID-17146)
- Der Oracle-Ressourcenadapter wurde aktualisiert und bietet jetzt ausführlichere Fehlermeldungen für den Fall, dass ein Zuständigkeitsbereich nicht vom Adapter hinzugefügt, geändert oder gelöscht werden kann. Jetzt gibt der Adapter den Zuständigkeitsbereich an, der nicht aktualisiert werden konnte. (ID-16656).
- Der Sun Access Manager-Ressourcenadapter kann nun im SSL-Modus mit Access Manager verbunden werden. Bisher haben Administratoren beim Testen der Ressourcenadapter-Konfiguration den Fehler „AuthContext cannot be created“ erhalten. (ID-16454).
- Das Microsoft ADSI-Gateway wurde aktualisiert. Wenn zur Authentifizierung einer Benutzeranmeldung bei Identity Manager eine Active Directory-Ressource genutzt wird, wird der Benutzer nun in der Benutzeroberfläche von Identity Manager dazu aufgefordert, sein Passwort zu ändern, sofern sein Windows-Passwort abgelaufen ist. Bisher wurde der Benutzer lediglich in einer Fehlermeldung darauf aufmerksam gemacht, dass sein Passwort abgelaufen ist. (ID-16681).
- Die Unterstützung für den Zugriff auf Remedy-Server wurde geändert. Das Gateway ist nicht mehr von Version 4.5 der Remedy API-Bibliotheken abhängig. Die Kunden müssen jetzt Remedy-Bibliotheken in das Gateway-Verzeichnis kopieren. Sie finden diese Bibliotheken auf dem Remedy-Server. (ID-17361, ID-16551)
- Mit diesem Service-Pack bietet Identity Manager Unterstützung für Remedy Version 6.3 und 7.0. Diese Versionen unterscheiden sich jedoch erheblich im Hinblick auf Beispieldaten, Standardwerte und die Konfiguration neuer Systeme. So ist beispielsweise der Name des „Ticket“-Schemas in Version 6.3 HPD:HelpDesk. In Version 7.0 wurde er in HPD:Help Desk geändert. (ID-17361, ID-14611)
- Bei der Konfiguration von Active Directory-Ressourcen können Sie jetzt in den Eigenschaften für die Ressourcenauthentifizierung eine Domäne angeben. In Umgebungen mit mehreren Domänen oder zahlreichen Hierarchien sollten Administratoren eine Domäne angeben, damit Anmeldungen in der richtigen Active Directory-Domäne authentifiziert werden. Wenn keine Domäne angegeben ist, kann ein Benutzer schon nach einem einzigen fehlgeschlagenen Anmeldeversuch ausgesperrt werden. Dies ist darauf zurückzuführen, dass der Benutzer pro Domäne, die eine Vertrauensbeziehung zur Primärdomäne unterhält, einen Passwortfehler sammeln kann. (ID-16603).
- Ein Problem mit dem SecurId Unix-Ressourcenadapter wurde behoben. Vor der Problembehebung wurden durch eine Änderung des Vor- oder Nachnamens eines Benutzers dessen Benutzergruppen aus der SecurId-Ressource gelöscht. (ID-16914).
Scheduler
- Der Scheduler wurde dahin gehend aktualisiert, dass die Ausgabe des Systemprotokolleintrags (syslog) ‘EVNT00’, LockedByAnother unterdrückt wird. In Cluster-Umgebungen wurde diese Meldung extrem häufig an das Protokoll ausgegeben. (ID-15714).
- Der Scheduler wurde dahin gehend aktualisiert, dass die Wahrscheinlichkeit, dass zwei Instanzen von Identity Manager denselben Workflow gleichzeitig abarbeiten, herabgesetzt wird. Vor dieser Aktualisierung waren Cluster-Umgebungen mit mehreren auf dasselbe Repository zugreifenden Schedulern für dieses Problem anfällig. (ID-16500).
Weitere behobene Probleme
16382
Bekannte Probleme
- In der Kontenstrukturtabelle auf der Registerkarte Konten auflisten (Konten > Konten auflisten) wird die Spalte Manager nicht angezeigt. (Nur die Spalten Name, Nachname und Vorname werden angezeigt.)
Um dieses Problem zu beheben, bearbeiten Sie das Konfigurationsobjekt UserUIConfig mithilfe des Business Process-Editors.
Suchen Sie das Element <AppletColumns> und fügen Sie folgendes XML-Couplet ans Listenende an:
<Object name="idmManager">
<Attribute name="label" value="UI_ATTR_MANAGER"/>
</Object>
Speichern Sie die Änderungen, und starten Sie den Anwendungsserver neu. (ID-17710).
- Die einzige Möglichkeit, in der Administratoroberfläche eine erfolgte Delegierung rückgängig zu machen (Genehmigungen > Eigene Genehmigungen delegieren), besteht in der Einstellung desselben Werts für das End- und das Startdatum (oder durch Einstellen auf ein Datum in der Vergangenheit). (ID-16790, ID-16799)
- TaskScheduleViewer formatiert das Startdatum nicht in der Weise, die für einen Eintrag erforderlich ist. Folglich müssen Sie bei Bearbeitung eines Aufgabenplans das Startdatum korrigieren. (ID-5675).
- Wenn ein Benutzer eine Antwort auf eine Authentifizierungsfrage eingibt, werden die eingegebenen Zeichen standardmäßig mit Sternchen (*) maskiert. Dies verhindert in einigen Eingabemethodeneditoren (IMEs) jedoch die Eingabe komplexer Zeichen wie beispielsweise japanischer Kanji-Zeichen.
Damit Benutzer Antworten auf Authentifizierungsfragen unter Verwendung eines Eingabemethodeneditors eingeben können, müssen Sie über die Debugging-Seite im Benutzerformular für die Anmeldefrage den Wert der Eigenschaft secret auf false setzen.
<Property name="secret" value="false"/>
Hinweis: Da die Antworten auf Authentifizierungsfragen nun als Klartext auf dem Bildschirm mitlesbar sind, stellt diese Einstellungsänderung ein Sicherheitsrisiko dar. Die Antworten werden jedoch weiterhin verschlüsselt gespeichert. (ID-7424).
- Einige Konfigurationsoptionen in der Identity Manager-Administratorbenutzeroberfläche werden in Identity Manager SPE nicht verwendet (ID-10843). Hierzu gehören:
- FireFox 1.5 zeigt einige Identity Manager-Formulare nicht ordnungsgemäß an. So führt der Browser beispielsweise im Formular zum Bearbeiten von Benutzern, das Registerkarten enthält, an Beschriftungen keine Zeilenumbrüche durch. Dadurch wird alles nach rechts verschoben (ID-13109).
- Das Kontrollkästchen „Nur Benutzer melden, deren Benutzername“ ist in Benutzer- und Benutzerfragenberichten zweimal aufgeführt. Ein Kontrollkästchen besitzt IHelp-Funktionalität, das andere Kontrollkästchen jedoch nicht. Bei einzelner Verwendung geben beide Kontrollkästchen jedoch die richtigen Daten zurück. (ID-13155).
- Bei der Protokollierung in SPE erzeugen Endbenutzerseiten der HTTP-Fehlerstatus 500. Das kann darauf hinweisen, dass in der SPE-Konfiguration mehrere Chiffrierschlüssel vorhanden sind. Dieses Problem kann von einem während der Aktualisierung von Identity Manager neu generiertem Chiffrierschlüssel verursacht worden sein.
Zwischenlösung: Verwenden Sie die Chiffrierschlüssel (EncryptionKeys) aus dem SPE-Konfigurationsverzeichnis und exportieren Sie neu aus Identity Manager. (ID-13162).
- Wenn ein Wert für ein E-Mail-Benutzerattribut einmal gesetzt wurde, kann er nicht mehr gelöscht werden. Er kann zwar geändert, aber nicht mehr auf null zurückgesetzt werden. (ID-13164).
- Wenn Sie zum Ändern der Variable showSuperAndSubRoles von 0 auf 1 ein Rollenformular ändern und dann eine Objektdefinitionsdatei einer übergeordneten Rolle importieren, die untergeordnete Rollen von der Registerkarte Konfigurieren enthält, werden diese untergeordneten Rollen nicht dahingehend geändert, dass sie den Abschnitt <SuperRoles> enthalten. Wenn Sie jedoch eine übergeordnete Rolle auf der grafischen Benutzeroberfläche von Identity Manager erstellen, werden die von dieser übergeordneten Rolle referenzierten untergeordneten Rollen aktualisiert. (ID-15053).
Dieses Problem kann bei Rollen auftreten, die außerhalb von Identity Manager erstellt wurden und Referenzen zu vorhandenen Rollen (entweder untergeordnete oder übergeordnete Rollen) enthalten, die sich bereits auf dem System befinden.
Beim Importieren dieser Rollen werden die Rollen, die sich bereits auf dem System befinden, nicht bezüglich der neuen Beziehungen aktualisiert; die Referenzintegrität ist somit nicht gewährleistet. Wenn Sie Rollen auf diese Weise importieren, prüfen und ggf. korrigieren Sie die Referenzintegrität mittels RoleUpdater.
Zwischenlösung: Siehe die Erläuterungen zu ID-15482 unter „Rollen“.
- Die Sperreigenschaften von Microsoft SQL Server 2000 können bei hoher Auslastung von Identity Manager Deadlock-Fehler verursachen. (ID-16068).
Zwischenlösung: Rüsten Sie im systemeigenen Modus von Microsoft SQL Server 2000 auf Microsoft SQL Server 2005 auf.
Microsoft SQL Server 2005 (mit der neuen Funktion Snapshot Isolation) wurde mit Identity Manager unter hoher Auslastung getestet und zeigt nicht die gleichen Deadlock-Probleme wie SQL Server 2000.
Einige Benutzer haben mit der folgenden Änderung von READ_COMMITTED_SNAPSHOT in der Datenbank positive Erfahrungen gemacht:
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- Wegen Interoperabilitätsproblemen zwischen WebSphere-Datenquellen und Oracle JDBC-Treibern müssen Oracle-Kunden, die WebSphere-Datenquellen mit Identity Manager verwenden wollen, Oracle 10g R2 und den entsprechenden JDBC-Treiber verwenden. (Der Oracle9 JDBC-Treiber funktioniert nicht mit WebSphere-Datenquellen und Identity Manager.) Wenn Sie eine Oracle-Version vor 10g R2 haben und nicht auf Oracle 10g R2 aktualisieren können, müssen Sie das Identity Manager-Repository so konfigurieren, dass Verbindungen zur Oracle-Datenbank mithilfe des JDBC-Treibermanagers von Oracle (und nicht mit WebSphere-Datenquellen) hergestellt werden. (ID-16167).
Weitere Informationen finden Sie unter der folgenden URL:
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- Einige Worte im Bildschirm „Benutzer bearbeiten“ können im Mehrsprachenmodus umgebrochen dargestellt werden. (ID-16054).
Zwischenlösung: Um zu gewährleisten, dass Wörter in Tabellen ohne Umbruch angezeigt werden, müssen Sie Folgendes zur Datei $WSHOME/styles/customStyle.css hinzufügen:
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}