Notas de la versión de Sun OpenSSO Enterprise 8.0

Última revisión y fecha de publicación

Sun^TM OpenSSO Enterprise 8.0 forma parte del proyecto OpenSSO (http://opensso.org/) y es la versión comercial de Sun del servidor OpenSSO.

Estas notas de la versión también se aplican a Sun OpenSSO Express. OpenSSO Enterprise y OpenSSO Express son básicamente el mismo producto, pero tienen estas diferencias:

• Cada 12 meses aproximadamente saldrá una nueva versión de OpenSSO Enterprise, que será concienzudamente probada tanto de forma automática como manual por Sun QA Engineering y para la que se crearán periódicamente parches y correcciones urgentes.

• Cada tres meses aproximadamente saldrá una nueva versión de OpenSSO Express, que será concienzudamente probada de forma automática y razonablemente probada de forma manual por Sun QA Engineering, pero no se crearán parches ni correcciones urgentes para ella. Para obtener más información, consulte la lista de preguntas frecuentes acerca de OpenSSO Express: https://opensso.dev.java.net/public/about/faqcenter/SupportFAQ.html.

---

Nota –

Si está utilizando WebLogic Server como contenedor web para implementar el servidor OpenSSO Enterprise, consulte 4077: la configuración de OpenSSO Enterprise en WebLogic Server requiere el nuevo ldapjdk.jar.

---

Contenido

• Introducción a OpenSSO Enterprise 8.0

• Novedades de OpenSSO Enterprise 8.0

• Utilización de etiquetas de servicio con Sun Inventory

• Requisitos de hardware y software de OpenSSO Enterprise 8.0

• Problemas de OpenSSO Enterprise 8.0

• Actualización a OpenSSO Enterprise 8.0

• Notificaciones y anuncios de desaprobación

• Información sobre problemas y respuestas de los clientes

• Recursos adicionales de Sun

• Historial de parches

Introducción a OpenSSO Enterprise 8.0

Si nunca ha instalado OpenSSO Enterprise, seguir estos pasos básicos le servirá de ayuda:

1. Si es necesario, instale, configure e inicie uno de los Contenedores web compatibles con OpenSSO Enterprise 8.0.

2. Descargue y descomprima el archivo opensso_enterprise_80.zip desde una de las siguientes páginas:

   • Proyecto OpenSSO: https://opensso.dev.java.net/public/use/index.html

   • Sun: http://www.sun.com/software/products/opensso_enterprise

3. Implemente el archivo opensso.war en el contenedor web, utilizando la consola de administración o el comando de ejecución del contenedor web.

   O, si es compatible con el contenedor web, puede sencillamente copiar el archivo WAR en el directorio de implementación automática del contenedor.

4. Configure OpenSSO Enterprise utilizando el Configurador de la GUI o el Configurador de la línea de comandos.

   Para iniciar el Configurador de la GUI, introduzca la siguiente URL en su navegador: protocolo://host.dominio:puerto/implementar_uri

   Por ejemplo: http://openssohost.example.com:8080/opensso

   Si OpenSSO Enterprise está accediendo a un esquema Access Manager 7.1 (DIT) en modo de coexistencia, consulte 3961: amadmin no puede iniciar una sesión en la consola de OpenSSO en el modo de coexistencia.

5. Realice cualquier configuración adicional utilizando la consola de administración o la nueva utilidad de línea de comandos ssoadm.

6. Para descargar un agente de directivas de la versión 3.0, consulte https://opensso.dev.java.net/public/use/index.html.

Documentación de OpenSSO Enterprise 8.0

La documentación de OpenSSO Enterprise 8.0 está disponible en la siguiente página:

http://docs.sun.com/coll/1767.1

Compruebe esta página periódicamente para ver la documentación más reciente.

Novedades de OpenSSO Enterprise 8.0

OpenSSO Enterprise 8.0 incluye características como la administración del acceso, la administración de la federación y la seguridad de servicios web, que se encuentran en versiones anteriores de Sun Java System Access Manager y Sun Java System Federation Manager. OpenSSO Enterprise también incluye las nuevas características descritas en esta sección.

Para obtener información sobre las nuevas características de los agentes de directivas de la versión 3.0, consulte una de estas guías:

• Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents

  o

• Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents

• Instalación y configuración simplificadas:

  • Para instalar OpenSSO Enterprise, sencillamente implemente el archivo opensso.war utilizando la correspondiente consola de administración o utilidad de línea de comandos del contenedor web. La primera vez que acceda al servidor utilizando el URI de implementación (/opensso), se le dirigirá al Configurador, que le permite realizar tareas de configuración iniciales como la especificación de contraseñas de administrador y la configuración de almacenes de datos de usuarios.

  • También puede crear e implementar archivos WAR especializados para implementaciones de servicios de descubrimiento de proveedores de identidad (IDP), únicamente de servidor, únicamente de consola y de un servidor de IU de autenticación distribuida utilizando el archivo opensso.war.

• Datos de configuración del agente y del servidor centralizado:

  • Los datos de configuración del agente de directivas versión 3.0 y de OpenSSO Enterprise están almacenados en un depósito de datos de configuración centralizado. Puede especificar los valores de configuración utilizando la consola de administración o la nueva utilidad de línea de comandos ssoadm de OpenSSO Enterprise. Ya no es necesario que establezca propiedades en los archivos AMConfig.properties y AMAgent.properties.

  • Muchas de las propiedades de configuración son "hot-swap", lo que significa que no tiene que reiniciar el contenedor web después de modificar una propiedad.

  • La opción Almacén de datos incrustado le permite almacenar datos de configuración del agente de directivas versión 3.0 y OpenSSO Enterprise de forma transparente sin tener que instalar Sun Java System Directory Server.

• Configurador de línea de comandos (además del Configurador de la GUI) para realizar la configuración inicial del servidor OpenSSO Enterprise.

• Tareas comunes de la consola de administración de OpenSSO Enterprise:

  • Crear proveedores de SAMLv2. Puede crear fácilmente un proveedor de servicios (SP) o proveedor de identidad (IDP) remoto o alojado de SAMLv2.

  • Crear un Fedlet. Un Fedlet es una implementación de proveedores de servicios (SP) de peso ligero de protocolos SSO de SAMLv2. Un Fedlet permite que un proveedor de identidad (IP) habilite un SP que no tenga implementada la federación. El SP sencillamente agrega el Fedlet a una aplicación web Java y, a continuación, implementa la aplicación.

  • Probar la conectividad de federación. Puede hacer pruebas o solucionar problemas en implementaciones federadas nuevas o existentes para determinar si las conexiones se están realizando correctamente y para identificar el origen de cualquier problema.

• Se agregan nuevos contenedores web, tal como se describe en Contenedores web compatibles con OpenSSO Enterprise 8.0.

• Los agentes simplificados de seguridad de servicios web pueden implementarse en GlassFish y Sun Java System Application Server 9.1 utilizando proveedores basados en el JSR 196 SPI.

• WS-Federation es compatible con la especificación de la federación de identidad. OpenSSO Enterprise es específicamente compatible con el perfil de solicitante pasivo de WS-Federation.

• Se ha agregado compatibilidad con la asistencia de XACML versión 2.0, específicamente con XACMLAuthzDecisionQuery y XACMLAuthzDecisionStatement, como se especifica en el perfil SAML 2.0 de XACML v2.0.

• La autenticación segura y el intercambio de atributos permiten que una aplicación proporcione autenticación de usuario e información sobre atributos con transferencias seguras entre aplicaciones de IDP y SP.

• El concentrador de distintos protocolos de federación permite que un IDP de OpenSSO Enterprise actúe como concentrador de federación para realizar un solo cierre de sesión entre distintos protocolos de federación (como SAMLv2, ID-FF y WS-Federation).

• La compatibilidad con el perfil de SAMLv2 incluye proxy de IDP, afiliación, asignación de NameID, ECP, consulta de autenticación y consulta de atributos.

• El servicio de token de seguridad (STS) está disponible en Contenedores web compatibles con OpenSSO Enterprise 8.0.

• Es compatible con la conmutación por error de aserción de SAMLv2.

• La nueva utilidad de línea de comandos (ssoadm) puede configurar tanto el servidor OpenSSO Enterprise como los agentes de directivas versión 3.0.

• Se ha agregado integración con Sun Identity Manager, SiteMinder y Oracle Access Manager.

• Es compatible con las etiquetas de servicio. Consulte Utilización de etiquetas de servicio con Sun Inventory.

• El servidor de interfaz de usuario de autenticación distribuida incluye un configurador que le permite realizar tareas de configuración iniciales como la especificación del servidor OpenSSO Enterprise y el establecimiento del usuario y la contraseña del servidor de interfaz de usuario de autenticación distribuida.

  Un servidor de interfaz de usuario de autenticación distribuida también es compatible con inicio de sesión único de dominio cruzado (cross domain single sign-on, CDSSO).

• Entre los cambios de internacionalización y localización se encuentran los siguientes:

  • Además del inglés, OpenSSO Enterprise es compatible con el francés, el español, el alemán, el japonés, el coreano, el chino simplificado y el chino tradicional.

  • Los archivos localizados se integran de manera predeterminada en el archivo opensso.war (a diferencia de lo que sucede en Access Manager 7 2005Q4 y Access Manager 7.1, donde los archivos localizados están ubicados en paquetes localizados independientes).

• Los módulos de autenticación SafeWord, SecurID y Unix están disponibles en las versiones de OpenSSO Enterprise y Express. SecurID es ahora un módulo de autenticación basado en Java.

• La compatibilidad con versiones superiores incluye:

  • Actualización a OpenSSO Enterprise 8.0 desde Access Manager 6.3, 7.0 o 7.1 y Federation Manager 7.0

  • Actualización del agente de directivas a la versión 3.0 desde los agentes versión 2.2

Utilización de etiquetas de servicio con Sun Inventory

OpenSSO 8.0 tiene habilitada la etiqueta de servicios, que le permite utilizar Sun Inventory para seguir y organizar su producto OpenSSO (y otros productos de hardware y software). Para utilizar etiquetas de servicio, primero debe registrar su producto. Puede registrar OpenSSO Enterprise, OpenSSO Express o incluso una generación pre-alfa.

Para registrarse, necesita una cuenta Sun Online (SOA) o una cuenta Sun Developer Network (SDN). Si no tiene una de estas cuentas, puede obtener una cuenta durante el proceso de registro del producto.

Para registrar su producto OpenSSO y comenzar a utilizar etiquetas de servicio, siga estos pasos:

1. Inicie una sesión en la consola de administración de OpenSSO como amadmin.

2. En la consola, bajo Tareas comunes, haga clic en Registrar este producto.

3. Si no tiene una cuenta SOA o SDN, proporcione la información necesaria para abrir una nueva cuenta.

4. Haga clic en Registrar.

Los archivos de registro de etiquetas de servicios están almacenados en el directorio directorio-config/implementar uri/lib/registro. Por ejemplo: opensso-config/opensso/lib/registro.

Para obtener más información, consulte:

• Sun Inventory: https://inventory.sun.com/inventory/

• Preguntas frecuentes sobre etiquetas de servicios: http://servicetags.central/faq.html

Compruebe estas páginas para ver si las etiquetas de servicio son compatibles con su plataforma específica, o si es necesario que determine si un servidor OpenSSO específico ya está registrado.

Requisitos de hardware y software de OpenSSO Enterprise 8.0

---

Nota –

Los requisitos de hardware y software de OpenSSO Enterprise 8.0 descritos en esta sección representan los únicos entornos en los que puede implementarse con asistencia completa de Sun Microsystems. No se proporciona asistencia a entornos que no reúnan los requisitos indicados.

Sun Microsystems no asume responsabilidad alguna en los entornos que no reúnan los requisitos de hardware y software de OpenSSO Enterprise 8.0 indicados en la documentación. Sun recomienda encarecidamente que se involucre en la organización de Sun Professional Services antes de iniciar el proceso de instalación e implementación. Esto puede suponerle más gastos.

---

• Plataformas compatibles con OpenSSO Enterprise 8.0

• Contenedores web compatibles con OpenSSO Enterprise 8.0

• Requisitos JDK para OpenSSO Enterprise 8.0

• Requisitos del almacén de datos para OpenSSO Enterprise 8.0

• Requisitos de conmutación por error de sesión para OpenSSO Enterprise 8.0

• Agentes de directivas compatibles con OpenSSO Enterprise 8.0

• Requisitos de hardware de OpenSSO Enterprise 8.0

• Exploradores web compatibles con OpenSSO Enterprise 8.0

Plataformas compatibles con OpenSSO Enterprise 8.0

Tabla 1 Plataformas compatibles con OpenSSO Enterprise 8.0

Plataforma	Contenedores web compatibles
SO Solaris 10 en sistemas x64, x86 y SPARC  SO Solaris 9 en sistemas x86 y SPARC	Todos los Contenedores web compatibles con OpenSSO Enterprise 8.0 excepto Geronimo Application Server 2.1.1 compatible solamente con Tomcat
OpenSolaris	Glassfish Application Server V2 UR1 y UR2  Apache Tomcat 6.0.18
Red Hat Enterprise Linux 5 (plataforma básica y avanzada de 64 bits en servidores AMD)  Servidor Red Hat Enterprise Linux 4 (plataforma básica y avanzada de 64 bits en servidores AMD)	Todos los Contenedores web compatibles con OpenSSO Enterprise 8.0 excepto Geronimo
Ubuntu 8.0.4	Glassfish Application Server V2 UR1 y UR2  Apache Tomcat 6.0.18
Windows Server 2003 Standard Edition  Windows Server 2003 Enterprise Edition  Windows Server 2003 Datacenter Edition	Todos los Contenedores web compatibles con OpenSSO Enterprise 8.0 excepto Geronimo
Windows Server 2003 R2 en servidores de 64 bits	Todos los Contenedores web compatibles con OpenSSO Enterprise 8.0
Windows XP  Windows Vista	Todos los Contenedores web compatibles con OpenSSO Enterprise 8.0 excepto Oracle Server, JBoss Application Server y Geronimo
Windows 2008 Server	Glassfish Application Server V2 UR1 y UR2  Apache Tomcat 6.0.18
IBM AIX 5.3	IBM WebSphere Application Server 6.1
Notas: ¿OpenSSO Enterprise es compatible con parches y actualizaciones de estas versiones básicas? Por ejemplo, los parches y actualizaciones posteriores a Red Hat Linux 4.7 o Red Hat Linux 5.2 son compatibles. OpenSSO Enterprise es compatible con versiones de 32 bits y de 64 bits de un sistema operativo si el contenedor web de OpenSSO Enterprise compatible es también compatible con el modo de 32 bits y de 64 bits en el mismo sistema.

Contenedores web compatibles con OpenSSO Enterprise 8.0

Tabla 2 Contenedores web compatibles con OpenSSO Enterprise 8.0

Contenedor web	Factores que deben tenerse en cuenta
Sun Java System Application Server 9.1 Update 1 y Update 2	Descargue: http://www.sun.com/download/index.jsp
Glassfish Application Server V2 UR1 y UR2	Página de Glassfish: https://glassfish.dev.java.net/ Ubicaciones de descarga de Glassfish:  Glassfish V2 UR1: https://glassfish.dev.java.net/downloads/v2ur1-b09d.html Glassfish V2 UR2: https://glassfish.dev.java.net/downloads/v2ur2-b04.html
Sun Java System Web Server 7.0 Update 3 (32 bits y 64 bits)	Descargue: http://www.sun.com/download/index.jsp Solamente Update 3. Updates 1 y 2 no son compatibles.
Apache Tomcat 5.5.27, 6.0.18 y posteriores	Consulte http://tomcat.apache.org/
BEA WebLogic Server 9.2 MP2	Consulte http://www.oracle.com/appserver/index.html
BEA WebLogic Server 10	Consulte http://www.oracle.com/appserver/index.html Compatible con los sistemas operativos que aparecen en la siguiente página:  http://e-docs.bea.com/platform/suppconfigs/configs100/100_over/overview.html#1122259
Oracle Application Server 10g	Consulte http://www.oracle.com/technology/products/database/oracle10g La versión 10.1.3.1 es compatible.
IBM WebSphere Application Server 6.1	Consulte http://www-01.ibm.com/software/webservers/appserv/was/
Apache Geronimo Application Server 2.1.1	Consulte http://geronimo.apache.org/ Compatible solo con Tomcat en sistemas Solaris.
JBoss Application Server 4.x	Consulte http://www.jboss.com/

Para obtener más información, como factores que deben tenerse en cuenta y tareas previas a la implementación para cada contenedor web, consulte Capítulo 2, Deploying the OpenSSO Enterprise Web Container de Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide.

Requisitos JDK para OpenSSO Enterprise 8.0

Tabla 3 Requisitos JDK para OpenSSO Enterprise 8.0

OpenSSO Enterprise 8.0	Versión JDK compatible
Servidor	JDK 1.5.x o 1.6.x  JVM de 64 bits en contenedores web compatibles  Requisitos de memoria virtual de Solaris. Para sistemas Solaris, configure al menos el doble de memoria virtual que el tamaño de pila de JVM, especialmente cuando el JVM está configurado en modo de 64 bits con más de 4 GB de tamaño de pila. Por lo tanto, es posible que sea necesario aumentar el espacio de intercambio del sistema operativo.
Cliente (OpenSSO SDK)	JDK 1.4.x, 1.5.x o JDK 1.6.x

Requisitos del almacén de datos para OpenSSO Enterprise 8.0

Tabla 4 Requisitos del almacén de datos para OpenSSO Enterprise 8.0

Tipo de almacén de datos	Almacenes de datos compatibles
Almacén de datos de configuración  (también llamado almacén de datos de administración del servicio)	Sun Java System Directory Server 5.2, 6.0, 6.2 y 6.3 Almacén de datos de configuración de OpenSSO
Almacén de datos del usuario	Sun Java System Directory Server 6.3 Microsoft Active Directory 2003 en Windows Server 2003 R2 IBM Tivoli Directory Server 6.1 Almacén de datos del usuario de OpenSSO Nota: el almacén de datos del usuario de OpenSSO no es compatible con las implementaciones de producción. Solamente se recomienda con implementaciones de desarrolladores, pruebas de concepto (POC) o prototipos que tengan pocos usuarios.

Para obtener más información sobre almacenes de datos, consulte el Capítulo 2, Building the Deployment Architecture de Sun OpenSSO Enterprise 8.0 Deployment Planning Guide.

Requisitos de conmutación por error de sesión para OpenSSO Enterprise 8.0

Tabla 5 Requisitos de conmutación por error de sesión para OpenSSO Enterprise 8.0

Componente	Requisito
OpenSSO Enterprise 8.0	Debe haber dos instancias de OpenSSO Enterprise o más en ejecución en diferentes servidores host y configuradas como sitio tras un equilibrador de carga.  El equilibrador de carga no tiene requisitos específicos. De todos modos, un equilibrador de carga que sea compatible con una configuración adherente basada en cookies suele tener mejor rendimiento.
Sun Java Systems Message Queue 4.1	Los agentes de colas de mensajes deben estar en ejecución en modo clúster en distintos servidores.
Oracle Berkeley DB 4.6.18	El cliente y la base de datos Berkeley DB deben implementarse en los mismos servidores que los agentes de colas de mensajes.  Puede implementar los agentes de colas de mensajes y Berkeley DB en los mismos servidores que estén ejecutando las instancias de OpenSSO Enterprise. De todos modos, para mejorar el rendimiento, puede instalar los agentes en servidores distintos.

Para obtener más información, consulte el Capítulo 7, Implementing OpenSSO Enterprise Session Failover de Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide.

Agentes de directivas compatibles con OpenSSO Enterprise 8.0

Tabla 6 Agentes de directivas compatibles con OpenSSO Enterprise 8.0

Versión del agente de directivas	Compatibilidad con OpenSSO Enterprise
Agentes de directivas versión 3.0	OpenSSO Enterprise es compatible con los nuevos agentes de directivas web y J2EE versión 3.0, incluyendo las nuevas características de la versión 3.0.  Para obtener más información, como los agentes versión 3.0 disponibles, consulte http://docs.sun.com/coll/1322.1.
Agentes de directivas versión 2.2	OpenSSO Enterprise es compatible con los agentes de directivas web y J2EE versión 2.2.  De todos modos, cuando se implementa con OpenSSO Enterprise, un agente de directivas versión 2.2 debe seguir utilizando las características de la versión 2.2. Por ejemplo, el agente debe almacenar sus datos de configuración localmente en su archivo AMAgent.properties, y la configuración centralizada del agente de OpenSSO Enterprise no es compatible. Para obtener más información, como los agentes versión 2.2 disponibles, consulte http://docs.sun.com/coll/1809.1.
Agentes de directivas versión 2.1	OpenSSO Enterprise no es compatible con agentes de directivas versión 2.1.

Requisitos de hardware de OpenSSO Enterprise 8.0

Tabla 7 Requisitos de hardware de OpenSSO Enterprise 8.0

Componente	Requisito
RAM	Implementación de desarrolladores o prototipos: 1 GB  Implementación de producción: se recomiendan 4 GB
Espacio en disco	Para implementar el servidor OpenSSO Enterprise con consola, solamente servidor o solamente consola:  Servidor: 512 MB para los archivos binarios y los datos de configuración de OpenSSO Enterprise Archivos de registro: 7 GB para archivos de registro, incluidos los archivos de registro del contenedor Para la implementación SDK del cliente:  SDK del cliente: 100 MB como mínimo Archivos de registro: se recomiendan 5 GB para registros de depuración, si el nivel de depuración (com.iplanet.services.debug.level) está establecido como mensaje Factores que deben tenerse en cuenta sobre los archivos de registro: los requisitos de los archivos de registro dependen de la carga de producción real y pueden ajustarse en consecuencia. Los requisitos de espacio en el disco se basan en el tamaño del archivo de registro de 100 MB predeterminado, con un archivo de historial por tipo de archivo de registro. A continuación se exponen varios factores que deben tenerse en cuenta: Elimine los archivos de registro de depuración periódicamente, especialmente si el nivel de depuración está establecido como mensaje. Compruebe los registros .access y .error periódicamente en el directorio de registros para verificar su tamaño y contenido. Puede configurar la rotación de registro para eliminar los archivos de registro más antiguos.

Exploradores web compatibles con OpenSSO Enterprise 8.0

Tabla 8 Exploradores web compatibles con OpenSSO Enterprise 8.0

Explorador	Plataforma
Firefox 2.0.0.x y 3.0.x	Windows Vista, Windows XP y Windows Server 2003  SO Solaris, versiones 9 y 10  Red Hat Linux 4 y 5
Firefox 1.0.7 y 1.5	Windows XP  Windows 2000  SO Solaris, versiones 9 y 10  Red Hat Linux 4 y 5
Microsoft Internet Explorer 7	Windows Vista, Windows XP y Windows Server 2003
Microsoft Internet Explorer 6.0 SP1	Windows XP
Microsoft Internet Explorer 6.0 SP1	Windows 2000
Mozilla 1.7.12	SO Solaris, versiones 9 y 10  Windows XP  Windows 2000  Red Hat Linux 4 y 5

Problemas de OpenSSO Enterprise 8.0

• Problemas del servidor y de los contenedores web

• Problemas del almacén de datos

• Problemas de autenticación

• Problemas de directivas

• Problemas de sesión

• Problemas de las utilidades de línea de comandos

• Problemas de SDK del cliente

• Problemas de federación y SAML

• Problemas de seguridad de servicios web (WSS)

• Problemas de actualización a versiones superiores, compatibilidad y coexistencia

• Problemas de internacionalización

• Problemas de localización

Para obtener más información sobre problemas de OpenSSO Enterprise, consulte:

https://opensso.dev.java.net/servlets/ProjectIssues

Problemas del servidor y de los contenedores web

• 4077: la configuración de OpenSSO Enterprise en WebLogic Server requiere el nuevo ldapjdk.jar

• El valor de StuckThreadMaxTime de WebLogic Server se supera durante la configuración

• 4099: la muestra de ID-WSF con JDK 1.4 WAR devolvió una excepción

• 4094: la configuración de varios servidores falla cuando la contraseña de amadmin y la contraseña del administrador de directorios para el almacén de datos de configuración no son iguales

• 4055: se produjo un error después de agregar una propiedad avanzada a la consola

• 3837: la configuración falla en Oracle Application Server 10g

• 2222: los servicios de bloqueo de cuentas y restablecimiento de contraseñas informan de que se han producido errores de notificación

4077: la configuración de OpenSSO Enterprise en WebLogic Server requiere el nuevo ldapjdk.jar

La configuración de OpenSSO Enterprise falla en WebLogic Server porque weblogic.jar integra un archivo ldapjdk.jar más antiguo.

Sun proporciona un nuevo archivo ldapjdk.jar que incluye reparaciones relativas al rendimiento y la seguridad. Debe proporcionar la siguiente solución alternativa tanto a WebLogic Server 9.2 como a WebLogic Server 10.

Solución. Coloque el ldapjdk.jar de Sun antes de weblogic.jar en el CLASSPATH, como se indica a continuación:

1. Extraiga ldapjdk.jar de opensso.war en un directorio temporal utilizando el siguiente comando:

   jar xvf opensso.war WEB-INF/lib/ldapjdk.jar

2. Copie el ldapjdk.jar extraído indicado anteriormente en el directorio lib de WebLogic.

   Por ejemplo, para WebLogic Server 10 en sistemas Solaris o Linux: BEA_HOME/weblogic_10.0/server/lib

   O bien, para WebLogic Server 9.2 en Windows: BEA_HOME\weblogic92\server\lib

3. Anteponga la ruta de este ldapjdk.jar a la ruta de clase existente editando la secuencia de comandos de inicio utilizada para iniciar WebLogic Server. En los siguientes ejemplos, BEA_HOME es el lugar en el que está instalado WebLogic Server.

   Para WebLogic 9.2 en Windows, edite:

   BEA_HOME\weblogic92\samples\domains\wl_server\bin\startWebLogic.cmd

   Cambie establecer CLASSPATH=%CLASSPATH%,%MEDREC_WEBLOGIC_CLASSPATH% por:

   set CLASSPATH=BEA_HOME\weblogic92\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%
   

   Para WebLogic 10 en Windows, edite:

   BEA_HOME\wlserver_10.0\samples\domains\wl_server\bin\startWebLogic.cmd

   Cambie establecer CLASSPATH=%CLASSPATH%,%MEDREC_WEBLOGIC_CLASSPATH% por:

   set CLASSPATH=
   BEA_HOME\wlserver_10.0\server\lib\ldapjdk.jar;%CLASSPATH%;%MEDREC_WEBLOGIC_CLASSPATH%
   

   Para WebLogic 9.2 MP2 en Solaris o Linux, edite:

   /bea/weblogic92/samples/domains/wl_server/bin/startWebLogic.sh

   o

   /usr/local/bea/user_projects/domains/base_domain/bin/startWebLogic.sh

   Cambie CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}" por:

   CLASSPATH= "BEA_HOME/weblogic92/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"

   Para WebLogic 10 sobre Solaris o Linux, edite:

   /bea/wlserver_10.0/samples/domains/wl_server/bin/startWebLogic.sh

   o

   /bea/user_projects/domains/w110_domain/bin/startWebLogic.sh

   Cambie CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}" por

   CLASSPATH=
   "BEA_HOME/wlserver_10.0/server/lib/ldapjdk.jar${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_CLASSPATH}"
   

4. Reinicie el servidor.

5. Configure OpenSSO Enterprise.

El valor de StuckThreadMaxTime de WebLogic Server se supera durante la configuración

Si está configurando WebLogic Server 9.2 MP2 o 10 utilizando el configurador y tarda más de 600 segundos en finalizar la configuración, se devolverá el siguiente error al terminal y a los registros de servidor y dominio de WebLogic Server:

<Error> <WebLogicServer> <BEA-000337> <[STUCK] Exe 
cuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)' has been busy 
for "681" seconds working on the request "Http Request: /opensso/setup/setSetup 
Progress", which is more than the configured time (StuckThreadMaxTime) of "600" 
seconds. Stack trace: ... 

Este error se produce porque el WebLogic Server ha superado su valor predeterminado de 600 segundos de "Stuck Thread Max Time:".

Solución. Si el configurador no responde, reinícielo. Además, puede modificar el valor de "Stuck Thread Max Time" de WebLogic Server y convertir los 600 segundos predeterminados en un valor mayor de, por ejemplo, 1200 segundos. Utilice la consola de WebLogic para cambiar este valor (dominio_base > Entorno > Servidores > Servidor de administración > Configuración/Ajuste).

4099: la muestra de ID-WSF con JDK 1.4 WAR devolvió una excepción

En WebLogic Server 8.1, opensso-client-jdk14.war configurado para ID-WSF devolvió un error al buscar un servicio.

Solución. Agregue los siguientes archivos JAR bajo weblogic-home/jdk142_08/jre/lib/: jax-qname.jar, namespace.jar, relaxngDatatype.jar, xalan.jar y xsdlib.jar.

El archivo xalan.jar está en el directorio WEB-INF/lib en opensso.war. Los demás archivos están en el directorio WEB-INF/lib en opensso-client-jdk14.war.

4094: la configuración de varios servidores falla cuando la contraseña de amadmin y la contraseña del administrador de directorios para el almacén de datos de configuración no son iguales

Este problema se produce solamente si se dan las siguientes condiciones:

• Su almacén de datos de configuración es Sun Java System Directory Server.

• Está tratando de realizar una instalación de varios servidores.

• Su contraseña de amadmin es diferente de la contraseña dn de enlace del servidor de directorios.

Solución. Hay dos partes en esta solución alternativa:

1. Asegúrese de que su contraseña dn de enlace del servidor de directorios de configuración sea igual que la contraseña de amadmin.

2. Configure el segundo servidor OpenSSO Enterprise y el adicional. Para realizar la instalación del segundo servidor y apuntar al directorio de configuración del primer servidor OpenSSO, sencillamente debe acceder a la página del configurador del segundo servidor OpenSSO Enterprise e introduzca la contraseña de amadmin, el dominio de cookies y otros detalles para el paso 1 y el paso 2.

   Para el paso 3, no seleccione la opción Agregar a implementación existente. En su lugar, seleccione la primera opción de instancia y proporcione el mismo nombre de servidor de directorios, puerto, ND, contraseña y clave de cifrado de su primer servidor. A continuación, siga con la configuración con normalidad.

4055: se produjo un error después de agregar una propiedad avanzada a la consola

Al agregar una propiedad avanzada a la consola, el servidor OpenSSO Enterprise devolvió un error. Este problema puede presentarse después de agregar cualquier propiedad avanzada de configuración.

Solución. Si cambia la configuración predeterminada del servidor en la consola, debe reiniciar el contenedor web del servidor OpenSSO Enterprise.

3837: la configuración falla en Oracle Application Server 10g

Con Oracle Application Server 10g versión 10.1.3.1 como contenedor web, la configuración de OpenSSO Express produjo un error de excepción.

Solución. Antes de configurar OpenSSO, agregue la siguiente opción de JVM a las "Propiedades del servidor" para la instancia del servidor Oracle Application Server 10g de destino:

-Doc4j.jmx.security.proxy.off=true

2222: los servicios de bloqueo de cuentas y restablecimiento de contraseñas informan de que se han producido errores de notificación

OpenSSO Enterprise envía notificaciones por correo electrónico utilizando el nombre de remitente no cualificado, Identity-Server, que devuelve entradas de error en los registros.

Solución. Cambie el nombre del remitente, Identity-Server, por Identity-Server@hostname.domainname en los siguientes archivos:

• En amPasswordResetModuleMsgs.properties, cambie fromAddress.label.

• En amAuth.properties, cambie lockOutEmailFrom.

Problemas del almacén de datos

• 4102: el TTL para la configuración de la administración de servicios no está funcionando

• 4085: OpenSSO Enterprise es incapaz de almacenar el CRL en el directorio LDAP

• 3827: la configuración de repetición se bloquea en la segunda instancia de Glassfish

• 3350, 2867: "LDAP sigue la referencia" debe estar deshabilitada para el almacén de datos del directorio activo

• No se produce la conmutación por error para el complemento Access Manager SDK (AMSDK)

4102: el TTL para la configuración de la administración de servicios no está funcionando

El tiempo de publicación (TTL) para la configuración de la administración de servicios no está funcionando porque la propiedad TTL no se está inicializando.

4085: OpenSSO Enterprise es incapaz de almacenar el CRL en el directorio LDAP

Después de obtener la lista de revocación de certificados (CRL) de la extensión del punto de distribución de CRL, OpenSSO Enterprise no almacena el CRL en el directorio LDAP.

3827: la configuración de repetición se bloquea en la segunda instancia de Glassfish

En este escenario, OpenSSO Enterprise se implementa en dos instancias de Glassfish (o Application Server 9.1) en el servidor Windows Vista. Durante la configuración de la segunda instancia de OpenSSO Enterprise, la repetición de la configuración utilizando la opción "Agregar a implementación existente" se bloquea.

Solución. Este problema sigue existiendo en los sistemas Windows Vista. Para los sistemas Windows, excepto Vista, agregue la siguiente opción de JVM de Glassfish (o Application Server 9.1):

-Dcom.sun.enterprise.server.ss.ASQuickStartup=false

3350, 2867: "LDAP sigue la referencia" debe estar deshabilitada para el almacén de datos del directorio activo

Un almacén de datos del directorio activo a veces bloquea el sistema. Este problema también puede surgir cuando está creando un nuevo almacén de datos del directorio activo.

Solución. En la consola de administración de OpenSSO Enterprise, inhabilite la opción "LDAP sigue la referencia" para el almacén de datos del directorio activo:

1. Haga clic en Control de acceso, dominio de primer nivel, Almacenes de datos, nombre del almacén de datos de ActiveDirectory.

2. Desmarque Habilitado para LDAP sigue la referencia.

3. Guarde sus cambios.

No se produce la conmutación por error para el complemento Access Manager SDK (AMSDK)

Si OpenSSO Enterprise se ha configurado con el complemento AMSDK y el servidor de directorios se ha configurado para MMR, no se produce la conmutación por error si falla una instancia del servidor de directorios.

Problemas de autenticación

• 4103: el módulo de autenticación de Windows Desktop SSO devuelve el error "No se encontró ninguna configuración"

• 4100: la autenticación de certificados con comprobación de CRL falla

• 4054: la autenticación de amadmin falla con el parámetro URL org

• 1781: el inicio de sesión de amadmin falla por no haberse autenticado el almacén de datos

4103: el módulo de autenticación de Windows Desktop SSO devuelve el error "No se encontró ninguna configuración"

Si configura un módulo de autenticación de Windows Desktop SSO para realizar una autenticación Kerberos desde Internet Explorer 6.0 sobre Windows Server 2003, se devolverá el error "No se encontró ninguna configuración".

4100: la autenticación de certificados con comprobación de CRL falla

Si configura la autenticación de certificados y habilita "Hacer coincidir el certificado con el CRL", la autenticación fallará. Consulte también el problema relacionado 4085: OpenSSO Enterprise es incapaz de almacenar el CRL en el directorio LDAP.

4054: la autenticación de amadmin falla con el parámetro URL org

Si el OpenSSO Enterprise Admin (amadmin) crea un nuevo dominio (como myorg) y después intenta iniciar una sesión en el nuevo dominio del siguiente modo:

http://host:port/opensso/UI/Login?org=myorg

OpenSSO Enterprise devuelve el error La autenticación falló.

Solución. Como amadmin, solamente puede iniciar una sesión en el dominio root (y solamente en los módulos de la aplicación o el almacén de datos).

1781: el inicio de sesión de amadmin falla por no haberse autenticado el almacén de datos

Si cambia el módulo de autenticación del dominio root por cualquiera que no sea DataStore, amadmin no podrá registrarse en la consola.

Solución. Inicie una sesión utilizando http://host.domain/deployurl/UI/Login?module=DataStore.

Problemas de directivas

• 3952: en los ejemplos del servidor falta el vínculo con los ejemplos de las directivas

• 3949: la comprobación OCSP necesita que el permiso se haya agregado al archivo server.policy

• 3796: la creación de Fedlet en la consola falló en una implementación solamente de consola

• 2381: el asunto de la directiva de funciones de Access Manager solamente es compatible con el almacén de datos del depósito de Access Manager

3952: en los ejemplos del servidor falta el vínculo con los ejemplos de las directivas

El index.html bajo host:puerto/uri/ejemplosmuestra:

1. Authentication Samples
2. ID-FF Sample
3. SAMLv2 Sample
4. Multi-Federation Protocols Sample

De todos modos, el siguiente vínculo con los ejemplos de directivas falta en index.html:host:puerto/uri/ejemplos/directiva/complementos-directivas.html

Solución alternativa: abra el archivo host:puerto/uri/ejemplos/directiva/complementos-directivas.html en su navegador.

3949: la comprobación OCSP necesita que el permiso se haya agregado al archivo server.policy

Para habilitar la comprobación OCSP en un contenedor web de OpenSSO que haya habilitado el administrador de seguridad Java, agregue el siguiente permiso al archivo server.policy (o equivalente):

permiso java.security.SecurityPermission "getProperty.ocsp.*";

3796: la creación de Fedlet en la consola falló en una implementación solamente de consola

Si genera una implementación solamente de consola, la creación de un Fedlet utilizando las tareas comunes de la consola falló con un mensaje de error que indicaba que no había archivos ni directorios para sp-extended.xml. La propiedad com.iplanet.services.configpath no fue establecida por el configurador de consola solamente.

Solución. Edite el archivo AMConfig.properties y establezca la propiedad com.iplanet.services.configpath en el directorio de configuración. Por ejemplo:

com.iplanet.services.configpath=/consoleonly

2381: el asunto de la directiva de funciones de Access Manager solamente es compatible con el almacén de datos del depósito de Access Manager

El asunto de la directiva de funciones de Access Manager solamente es compatible con el almacén de datos del depósito de Access Manager (AMSDK). De manera predeterminada, este asunto está deshabilitado en la configuración de directivas. Por lo tanto, habilite el asunto de la directiva de funciones de Access Manager solamente si el tipo de almacén de datos está configurado para utilizar el complemento AMSDK.

Para obtener más información, consulte el Capítulo 14, Enabling the Access Manager SDK (AMSDK) Identity Repository Plug-in de Sun OpenSSO Enterprise 8.0 Installation and Configuration Guide.

Problemas de sesión

• 3910: setup.bat de ssoSessionTools.zip no instala herramientas

• 2827: la configuración de un sitio no agrega el segundo servidor al sitio

3910: setup.bat de ssoSessionTools.zip no instala herramientas

Después de descomprimir ssoSessionTools.zip, con la ejecución de la secuencia de comandos setup.bat no se instalan las secuencias de comandos de la sesión y se devuelve el siguiente error:

No se pudo encontrar JRE con la especificación "1.4+"

Solución. En la secuencia de comandos setup.bat, suprima -versión:"1.4+" del comando java.exe y vuelva a ejecutar la secuencia de comandos.

2827: la configuración de un sitio no agrega el segundo servidor al sitio

La configuración de la conmutación por error de la sesión no agrega la segunda instancia de OpenSSO Enterprise a la lista de servidores asignados.

Solución. Utilice la consola de OpenSSO Enterprise o la utilidad ssoadm para agregar manualmente la segunda instancia del servidor a la lista de servidores.

Problemas de las utilidades de línea de comandos

• 4079: el comando import-svc-cfg de ssoadm falla cuando se utiliza el servidor de directorios como almacén de datos de configuración

• 3955: no es posible ejecutar el comando ssoadm

• 2905: falta la entrada jss4.jar en la ruta de clase de ssoadm

4079: el comando import-svc-cfg de ssoadm falla cuando se utiliza el servidor de directorios como almacén de datos de configuración

A veces el subcomando import-svc-cfg falla porque OpenSSO Enterprise no puede eliminar nodos del almacén de datos del administrador de servicios. Los siguientes escenarios pueden causar este problema:

1. Configurar OpenSSO Enterprise utilizando un servidor de directorios Sun Java System remoto como almacén de datos de configuración.

2. Exportar el archivo XML del servicio utilizando el comando export-svc-cfg de ssoadm.

3. Volver a importar los datos XML del servicio obtenidos en el paso 2 utilizando el comando import-svc-cfg.

4. Al preguntársele si desea eliminar los datos existentes, seleccione sí.

   Se devuelve el siguiente mensaje de error: se produjo una excepción de LDAP inesperada.

Solución. Vuelva a ejecutar el comando import-svc-cfg de ssoadm hasta que se ejecute correctamente.

3955: no es posible ejecutar el comando ssoadm

No puede ejecutar el comando ssoadm con el get-realm debido a esta excepción.

Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed
com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction:
FATAL ERROR: Cannot obtain Application SSO token.
Check AMConfig.properties for the following properties
       com.sun.identity.agents.app.username
       com.iplanet.am.service.password
Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed
com.sun.identity.security.AMSecurityPropertiesException: AdminTokenAction:
FATAL ERROR: Cannot obtain Application SSO token.
Check AMConfig.properties for the following properties
       com.sun.identity.agents.app.username
       com.iplanet.am.service.password
AdminTokenAction:  FATAL ERROR: Cannot obtain Application SSO token.
Check AMConfig.properties for the following properties
       com.sun.identity.agents.app.username
       com.iplanet.am.service.password

Compruebe si la contraseña de amadmin es diferente de la contraseña del administrador de directorios para el almacén de datos de la administración de servicios. Si es así, aplique la siguiente solución alternativa.

Solución. Modifique el XML de configuración del servidor del siguiente modo:

1. Inicie una sesión en la consola de OpenSSO como amadmin.

2. Utilice el get-svrcfg-xml de ssoadm.jsp para obtener el XML de configuración del servidor.

3. Utilice encode.jsp para codificar la contraseña de amadmin.

4. Establezca la contraseña codificada en los dos lugares representados por amadmin-password en el XML. Por ejemplo:

   <User name="User1" type="proxy">
               <DirDN>
                   cn=puser,ou=DSAME Users,dc=opensso,dc=java,dc=net
               </DirDN>
               <DirPassword>
                  amadmin-password
               </DirPassword>
           </User>
           <User name="User2" type="admin">
               <DirDN>
                   cn=dsameuser,ou=DSAME Users,dc=opensso,dc=java,dc=net
               </DirDN>
               <DirPassword>
                  amadmin-password
               </DirPassword>
           </User>
           <BaseDN>
               dc=opensso,dc=java,dc=net
           </BaseDN>
       </ServerGroup>

5. Utilice el set-svrcfg-xml de ssoadm.jsp para establecer el XML modificado de configuración del servidor.

2905: falta la entrada jss4.jar en la ruta de clase de ssoadm

Después de ejecutar la secuencia de comandos setup para la utilidad ssoadm, al intentar ejecutar ssoadm se devuelve el error NoClassDefFoundError. Este problema aparece en instancias de OpenSSO Enterprise actualizadas a versiones superiores.

Solución. Para utilizar JSS, agregue jss4.jar a la ruta de clase y establezca la variable de entorno LD_LIBRARY_PATH. (Si está utilizando el JCE predeterminado, no es necesario que jss4.jar esté en la ruta de clase.)

Problemas de SDK del cliente

• 4081: la memoria caché SMS está deshabilitada de manera predeterminada en el SDK del cliente

• 4080: el configurador del SDK del cliente coloca un secreto compartido erróneo en el archivo AMConfig.properties

4081: la memoria caché SMS está deshabilitada de manera predeterminada en el SDK del cliente

Para una instalación de SDK del cliente, la memoria caché del servicio de administración de servicios (SMS) está deshabilitada de manera predeterminada.

Solución alternativa: para aplicaciones de seguridad de servicios web (WSS), establezca com.sun.identity.sm.cache.enabled=false en el archivo AMConfig.properties; de lo contrario, la reparación del problema 3171 no funcionará.

Para todas las demás aplicaciones del SDK del cliente, establezca com.sun.identity.sm.cache.enabled=true en el archivo AMConfig.properties para habilitar el almacenamiento en la memoria caché SMS, que puede evitar problemas de rendimiento.

4080: el configurador del SDK del cliente coloca un secreto compartido erróneo en el archivo AMConfig.properties

El configurador del archivo WAR del SDK del cliente coloca un secreto compartido erróneo en el archivo AMConfig.properties.

Solución. Copie el valor del secreto compartido y la clave de cifrado de la contraseña del servidor OpenSSO Enterprise en el archivo AMConfig.properties del SDK del cliente bajo el directorio $HOME/OpenSSOCLient.

Problemas de federación y SAML

• 3923: la creación de una entidad (IDP o SP) en la página de tareas comunes de la consola falla en el servidor de aplicaciones Oracle

• 3065: se utiliza el mismo Id. de contexto para todos los usuarios de las grabaciones de registros ID-FF

• 2661: logout.jsp no compila en WebSphere Application Server 6.1

• 1977: los archivos configure.jsp de la muestra de SAMLv2 fallan en WebSphere Application Server 6.1

3923: la creación de una entidad (IDP o SP) en la página de tareas comunes de la consola falla en el servidor de aplicaciones Oracle

Con OpenSSO Enterprise implementado en el servidor de aplicaciones Oracle, la creación de una entidad (IDP o SP) en la página de tareas comunes de la consola causa una excepción.

Solución. Cuando opensso.war se ha implementado en el servidor de aplicaciones Oracle, inhabilite la opción importar del archivo oracle.xml en la vista del plan de implementación (Implementar: Configuración de la implementación > Configurar carga de clase > oracle.xml).

3065: se utiliza el mismo Id. de contexto para todos los usuarios de las grabaciones de registros ID-FF

Todas las grabaciones de registros ID-FF tienen el mismo Id. de contexto (o de inicio de sesión), aunque sean para distintos usuarios.

2661: logout.jsp no compila en WebSphere Application Server 6.1

El archivo logout.jsp requiere JDK 1.5, pero el nivel de origen de JDK para archivos JSP está establecido como JDK 1.3 en IBM WebSphere Application Server 6.1.

Solución. Consulte la solución alternativa de 1977: los archivos configure.jsp de la muestra de SAMLv2 fallan en WebSphere Application Server 6.1.

1977: los archivos configure.jsp de la muestra de SAMLv2 fallan en WebSphere Application Server 6.1

En una instancia de WebSphere Application Server 6.1, los archivos /sample/saml2/sp/configure.jsp y /sample/saml2/idp/configure.jsp no compilan. Los archivos configure.jsp requieren JDK 1.5, pero el nivel de origen de JDK para archivos JSP está establecido como JDK 1.3 en WebSphere Application Server 6.1.

Solución alternativa: edite los parámetros de configuración del motor JSP para establecer el nivel de origen de JDK en 1.5:

1. Abra el archivo WEB-INF/ibm-web-ext.xmi.

   Los parámetros de configuración del motor JSP se almacenan en el directorio de configuración de un módulo web o en el directorio de binarios de un módulo web en el archivo WEB-INF/ibm-web-ext.xmi:

   Directorio de configuración. Por ejemplo:

   {WAS_ROOT}/profiles/profilename/config/cells/cellname/applications/
   enterpriseappname/deployments/deployedname/webmodulename/

   Directorio de binarios, si una aplicación se implementó en el servidor de aplicaciones WebSphere con la marca "Utilizar configuración binaria" establecida como true. Por ejemplo:

   {WAS_ROOT}/profiles/profilename/installedApps/nodename/
   enterpriseappname/webmodulename/

2. Elimine el parámetro compileWithAssert eliminando la instrucción del archivo o escribiendo la instrucción entre etiquetas de comentario (<!— y –>.

3. Agregue el parámetro jdkSourceLevel con el valor de 15. Por ejemplo:

   <jspAttributes xmi:id="JSPAttribute_1" name="jdkSourceLevel" value="15"/>

   Nota: el entero (_1) de JSPAttribur_1 debe ser único en el archivo.

4. Guarde el archivo ibm-web-ext.xmi.

5. Reinicie la aplicación.

Para obtener más información acerca del parámetro jdkSourceLevel y de otros parámetros de configuración del motor JSP, consulte:

http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/topic/com.ibm.websphere.nd.doc/info/ae/ae/rweb_jspengine.html

Problemas de seguridad de servicios web (WSS)

• 4057: la configuración del proveedor de servicios web dinámicos con punto final no surte efecto

4057: la configuración del proveedor de servicios web dinámicos con punto final no surte efecto

Si configura el tipo de utilización del proxy basándose en la muestra temporal de la seguridad de servicios web (WSS) y crea dos proveedores de servicios web (WSP) con nombres de perfil distintos de wsp, se produce un error.

Solución. Para servicios web basados en aplicaciones web/JAX-WS, utilice el final del punto estático como nombre WSP para que sea compatible con distintos servicios web. Para servicios web basados en EJB, utilice la configuración WSP predeterminada.

Problemas de actualización a versiones superiores, compatibilidad y coexistencia

• 4108: clave de cifrado incorrecta utilizada después de configurar OpenSSO Enterprise tomando como base un esquema existente (DIT)

• 3962: se devuelve una URL de consola incorrecta después de que se autentique un usuario que no sea administrador

• 3961: amadmin no puede iniciar una sesión en la consola de OpenSSO en el modo de coexistencia

• 2348: compatibilidad con el servidor de interfaz de usuario de autenticación distribuida de documentos

• 830: los metadatos del esquema ID-FF no son compatibles con versiones anteriores

4108: clave de cifrado incorrecta utilizada después de configurar OpenSSO Enterprise tomando como base un esquema existente (DIT)

Después de configurar OpenSSO Enterprise tomando como base un esquema existente (DIT), no puede iniciar una sesión en la consola, porque la clave de cifrado introducida durante la configuración (la de la instancia antigua de Federation Manager o Access Manager) no se utiliza. En su lugar, se genera una nueva clave de cifrado incorrecta, que crea un archivo serverconfig.xml incorrecto.

Solución.

1. Cambie al directorio de configuración de OpenSSO Enterprise.

2. Cambie la clave de cifrado en el archivo AMConfig.properties e introduzca el valor correcto.

3. Copie la copia de seguridad de serverconfig.xml de la anterior instancia de Federation Manager o Access Manager.

4. Reinicie el servidor OpenSSO Enterprise.

3962: se devuelve una URL de consola incorrecta después de que se autentique un usuario que no sea administrador

Si OpenSSO se ha configurado con un esquema de servidor de directorios (DIT) de Access Manager 7.1 en modo de coexistencia y un usuario que no sea administrador inicia una sesión en la consola de OpenSSO, el usuario es dirigido a una URL no válida. Por ejemplo:

http://ssohost.example.com:8080/amserver/..amserver/base/AMAdminFrame .

Solución. Edite la URL del siguiente modo:

protocolo://host.dominio:puerto/implementar_uri/idm/EndUser

Por ejemplo:

http://ssohost.example.com:8080/amserver/idm/EndUser

3961: amadmin no puede iniciar una sesión en la consola de OpenSSO en el modo de coexistencia

Si OpenSSO se ha configurado con un esquema de servidor de directorios (DIT) de Access Manager 7.1 en modo de coexistencia, un intento de iniciar una sesión como amadmin en la consola utilizando autenticación LDAP falla.

Solución. Para iniciar una sesión como amadmin en la consola de OpenSSO en modo de coexistencia, agregue el parámetro de consulta module=DataStore. Por ejemplo:

protocolo://host.dominio:puerto/implementar_uri/UI/Login?module=DataStore

Por ejemplo:

http://ssohost.example.com:8080/amserver/UI/Login/?module=DataStore

2348: compatibilidad con el servidor de interfaz de usuario de autenticación distribuida de documentos

El componente del servidor de interfaz de usuario de autenticación distribuida de OpenSSO Enterprise solamente funciona con OpenSSO Enterprise. Los siguientes escenarios no son compatibles:

• Servidor de interfaz de usuario de autenticación distribuida 7.0 o 7.1 con un servidor OpenSSO Enterprise

• Servidor de interfaz de usuario de autenticación distribuida OpenSSO Enterprise con un servidor Access Manager 7.0 o 7.1

830: los metadatos del esquema ID-FF no son compatibles con versiones anteriores

Si está actualizando desde una versión anterior de Access Manager o Federation Manager a OpenSSO Enterprise 8.0, los perfiles de ID-FF no funcionarán a menos que también actualice a una versión superior el esquema de Federation Manager o Access Manager.

Solución. Antes de probar los perfiles de ID-FF, actualice a una versión superior el esquema de Federation Manager o Access Manager. Para obtener más información acerca de la actualización del esquema a una versión superior, consulte la Sun OpenSSO Enterprise 8.0 Upgrade Guide .

Problemas de internacionalización

• 4090: los derechos en idiomas distintos del inglés son incomprensibles

• 4051: el nombre multi-byte del socio de confianza es incomprensible en la consola

• 3993: la página del usuario final muestra signos de interrogación en las configuraciones regionales de JA y CCK

• 3976: la ayuda en línea "Consejos para realizar búsquedas" muestra el error 404 en la configuración regional en idiomas distintos del inglés

• 3763: algunos caracteres que no pertenecen a ASCII son incomprensibles cuando el contenedor web tiene la configuración regional C

• 3713: la página de restablecimiento de contraseña no está localizada en las configuraciones regionales CCJK

• 3590:cambie la ubicación de los archivos dounix_msgs.po

• 1793: la autenticación falla con el carácter multi-byte para org o módulo en el parámetro de consulta

4090: los derechos en idiomas distintos del inglés son incomprensibles

Solución alternativa: para ver los derechos localizados, que tienen formato .txt, utilice un navegador con la codificación especificada para cada configuración regional en el navegador como se indica a continuación:

• Francés (fr): ISO-8859-1

• Español (es): ISO-8859-1

• Alemán (de): ISO-8859-1

• Chino simplificado (zh_CN): UTF-8

• Chino tradicional (zh_TW): UTF-8

• Coreano (ko): UTF-8

• Japonés (ja): EUC-JP

4051: el nombre multi-byte del socio de confianza es incomprensible en la consola

En la consola de OpenSSO, si va a Federación > Configuración de SAML1.x y, a continuación, crea un nuevo socio de confianza con un nombre multi-byte en la sección Valores de configuración comunes, el nombre del socio de confianza es incomprensible.

3993: la página del usuario final muestra signos de interrogación en las configuraciones regionales de JA y CCK

En el contenedor web Geronimo de las configuraciones regionales JA y CCK, si inicia una sesión como usuario distinto de amadmin, el control de acceso, el dominio, General y la página EndUser (http://host:puerto/deployuri/idm/EndUser) muestran signos de interrogación.

3976: la ayuda en línea "Consejos para realizar búsquedas" muestra el error 404 en la configuración regional en idiomas distintos del inglés

Si inicia una sesión en la consola de OpenSSO en una configuración regional en idiomas distintos del inglés, como el francés, haga clic en Ayuda y, a continuación, en "Consejos para realizar búsquedas", y el panel Ayuda de la derecha mostrará el error 404.

Solución. Para ver "Consejos para realizar búsquedas" en inglés, establezca el inglés como idioma del navegador y, a continuación, actualice la ventana de la ayuda en línea

3763: algunos caracteres que no pertenecen a ASCII son incomprensibles cuando el contenedor web tiene la configuración regional C

Si inicia el contenedor web en la configuración regional C y establece su navegador con un idioma como el francés, después de iniciar una sesión en la consola de administración, algunos caracteres serán incomprensibles.

3713: la página de restablecimiento de contraseña no está localizada en las configuraciones regionales CCJK

Para las configuraciones regionales CCJK, la página de restablecimiento de contraseña (http://host:puerto/deployuri/password) no está localizada.

3590:cambie la ubicación de los archivos dounix_msgs.po

Los archivos dounix_msgs.po del módulo de autenticación de Unix no han sido traducidos porque el módulo de autenticación de Unix no se incluirá en una versión futura de OpenSSO Enterprise. Consulte Notificaciones y anuncios de desaprobación.

1793: la autenticación falla con el carácter multi-byte para org o módulo en el parámetro de consulta

Si trata de iniciar una sesión en la consola de OpenSSO utilizando el parámetro org o módulo con caracteres que no sean UTF-8, el inicio de sesión fallará. Por ejemplo: http://host:puerto/deployuri/UI/Login?module=cadena-japonés&gx_juego de caracteres=UTF-8

Solución. Utilice caracteres de codificación de URL UTF-8 como %E3%81%A6 en lugar de caracteres nativos.

Problemas de localización

• 4017: en la configuración regional en español, "2.2 Agents" se traduce solamente como Agentes en la consola

• 3994: en la configuración regional en español, no se puede acceder a Certificado para configuración > Autenticación

• 3971: en la configuración regional en chino (zh_CN), la ayuda en línea está en inglés

• 3802: problemas en la parte en francés de la nota de copyright

4017: en la configuración regional en español, "2.2 Agents" se traduce solamente como Agentes en la consola

Si la consola de OpenSSO tiene la configuración regional en español, falta el 2.2 en la traducción de "2.2 Agents".

3994: en la configuración regional en español, no se puede acceder a Certificado para configuración > Autenticación

Si la consola de OpenSSO tiene la configuración regional en español, al hacer clic en Configuración, Autenticación y, a continuación, en Certificado, se devuelve un error.

3971: en la configuración regional en chino (zh_CN), la ayuda en línea está en inglés

En la configuración regional en chino (zh_CN), el texto de ayuda en línea de la consola está en inglés, no en chino. Si establece zh_CN como idioma preferido de su navegador, solamente el texto de ayuda en línea del árbol de la izquierda estará en inglés. Si establece zh como idioma preferido de su navegador, todo el texto de ayuda en línea estará en inglés.

Solución. Copie el contenido de la ayuda en línea en zh_CN en un nuevo directorio zh del directorio webapps del contenedor web y, a continuación, reinicie el contenedor web.

Por ejemplo, para Apache Tomcat, copie /Tomcat6.0.18/webapps/opensso/html/zh_CN/* en un nuevo directorio llamado /Tomcat6.0.18/webapps/opensso/html/zh/. Y, a continuación, reinicie el contenedor Tomcat.

3802: problemas en la parte en francés de la nota de copyright

En la parte en francés de la nota de copyright en inglés, en "Etats-unis" falta una tilde, falta un espacio después de la coma en "armes nucléaires,des missiles" y no debe haber espacios en "Etats - Unis".

Actualización a OpenSSO Enterprise 8.0

La actualización a OpenSSO Enterprise 8.0 puede realizarse desde las siguientes versiones:

Versión anterior, incluyendo los datos de configuración del servidor de directorios Sun Java System	Actualización realizable desde esta plataforma
Servidor Sun Java System Access Manager 7.1  Tanto la implementación del archivo WAR como el instalador de Java Enterprise System	Sistemas Solaris SPARC, Solaris x86, Linux y Windows
Servidor Sun Java System Access Manager 7 2005Q4	Sistemas Solaris SPARC, Solaris x86 y Linux
Servidor Sun Java System Access Manager 6 2005Q1 (6.3)	Sistemas Solaris SPARC, Solaris x86 y Linux
Servidor Sun Java System Federation Manager 7.0	Sistemas Solaris SPARC, Solaris x86, Linux y Windows

El proceso de actualización a una versión superior incluye la actualización a una versión superior de una instancia del servidor Federation Manager o Access Manager existente y de los datos de configuración correspondientes almacenados en el servidor de directorios de Sun Java System.

Para obtener información detallada acerca de los pasos de la actualización a una versión superior, consulte la Sun OpenSSO Enterprise 8.0 Upgrade Guide .

Notificaciones y anuncios de desaprobación

• Las API del servicio de administración de servicios (SMS) (paquete com.sun.identity.sm) y el modelo SMS no estarán incluidos en una versión futura de OpenSSO Enterprise.

• El módulo de autenticación de Unix y el asistente de autenticación de Unix (amunixd) no estarán incluidos en una versión futura de OpenSSO Enterprise.

• Las Notas de la versión de Sun Java System Access Manager 7.1 indicaban que el paquete com.iplanet.am.sdk de Access Manager, comúnmente conocido como Access Manager SDK (AMSDK), y todas las API y plantillas XML relacionadas no estarán incluidos en una versión futura de OpenSSO Enterprise. Las opciones de migración no están disponibles ahora y no se espera que estén disponibles en el futuro. Sun Identity Manager cuenta con soluciones de configuración de usuarios que puede utilizar en lugar del AMSDK. Para obtener más información acerca de Identity Manager, consulte http://www.sun.com/software/products/identity_mgr/index.jsp.

Información sobre problemas y respuestas de los clientes

Si tiene preguntas o problemas relacionados con OpenSSO Enterprise, póngase en contacto con Sun Support Resources (SunSolve) en http://sunsolve.sun.com/.

Este sitio dispone de vínculos a la base de datos de soluciones, al centro de asistencia en línea y al rastreador de productos, así como a programas de mantenimiento y números de contacto de asistencia técnica.

Si va a solicitar ayuda para solucionar un problema, incluya la siguiente información:

• Descripción del problema, incluido el momento en el que éste se produce y la forma en que afecta al funcionamiento

• Tipo de máquina, versión del sistema operativo, contenedor web y versión, versión de JDK y versión de OpenSSO Enterprise, incluyendo cualquier parche u otro software que puedan influir en el problema

• Pasos que debe seguir para reproducir el problema

• Cualquier registro de error o volcado del núcleo

Sun valora sus comentarios

Sun tiene interés en mejorar su documentación y agradece sus comentarios y sugerencias. Vaya a http://docs.sun.com/ y haga clic en Comentarios.

Indíquenos el título completo de la documentación y el número de referencia en los campos pertinentes. El número de referencia consta de siete o de nueve dígitos y se encuentra en la página que contiene el título de la guía o al principio del documento. Por ejemplo, el título es &BookTitle, y el número de referencia es &PartNumber.

Recursos adicionales de Sun

Puede encontrar más información y otros recursos de utilidad en las siguientes ubicaciones:

• Servicios de Sun: http://www.sun.com/service/consulting/

• Productos de software de Sun: http://www.sun.com/software/

• Recursos de asistencia técnica de Sun http://sunsolve.sun.com/

• Sun Developer Network (SDN): http://developers.sun.com/

• Servicios de asistencia para programadores de Sun: http://www.sun.com/developers/support/

Funciones de accesibilidad para usuarios con discapacidades

Si desea disfrutar de las funciones de accesibilidad que se han comercializado tras la publicación de este medio, consulte la Sección 508 de las evaluaciones de productos, que se pueden obtener de Sun previa solicitud, para determinar las versiones más adecuadas para implementar soluciones accesibles.

Para obtener información sobre el compromiso de Sun con respecto a la accesibilidad, visite http://sun.com/access.

Sitios web de terceros relacionados

En este documento se mencionan direcciones URL de terceros que proporcionan información adicional relacionada.

---

Nota –

Sun no se hace responsable de la disponibilidad de los sitios web de terceras partes mencionados en este documento. Sun no garantiza ni se hace responsable de los contenidos, la publicidad, los productos u otros materiales que puedan estar disponibles a través de dichos sitios o recursos. Sun no será responsable de daños o pérdidas, supuestos o reales, provocados por o a través del uso o confianza del contenido, bienes o servicios disponibles en dichos sitios o recursos, o a través de ellos.

---

Historial de parches

Tabla 9 Historial de parches

Fecha (revisión)	Descripción de los cambios
14 de noviembre de 2008 (11)	Adición de los últimos cambios, incluidos nuevos problemas y cambios relacionados con los Requisitos de hardware y software de OpenSSO Enterprise 8.0
11 de noviembre de 2008 (10)	Versión inicial.
26 de agosto de 2008 (05)	Borrador de la versión Early Access (EA).