この節では、Communications Services の Delegated Administrator の既知の問題を説明します。この節には、以下の項目があります。
Application Server 7.x (Java ES Release 2) から Application Server 8.x (Java ES Release 4) にアップグレードしたあと、Delegated Administrator 6 2005Q4 (Java ES Release 4) にアップグレードすると、そのアップグレード後の Application Server への Delegated Administrator の再配備が失敗する。(6319257)
Application Server 8.x へのアップグレードが完了すると、Delegated Administrator などのアプリケーションが非 DAS インスタンスの server1 に自動的に再配備されます。互換性を維持する目的で、その非 DAS インスタンスは、以前のリリースの Application Server と同じポート上で実行されます。
ところが、Delegated Administrator は deploydir コマンドによって Application Server に配備されます。Application Server 8.x では、deploydir コマンドは DAS インスタンス上でしか動作しません。Delegated Administrator を非 DAS インスタンスに配備することはできません。
回避策
Application Server 8.x へのアップグレード完了後に次の手順を実行します。
次の Access Manager 設定プロパティーファイルを変更します。
/opt/SUNWam/lib/AMConfig.properties |
対象となるのは次の行です。
com.sun.identity.webcontainer=IAS7.0 |
これを次の行で置き換えます。
com.sun.identity.webcontainer=IAS8.1 |
Delegated Administrator 設定プログラムを実行する前に、アップグレード後の Application Server の server1 インスタンスに含まれる、/commcli および /da Web アプリケーションの配備を取り消します。次のコマンドを実行します。
/opt/SUNWappserver/appserver/bin/asadmin undeploy --secure=false --user admin --password xxxx --target server1 commcli |
/opt/SUNWappserver/appserver/bin/asadmin undeploy --secure=false --user admin --password xxxx --target server1 da |
Delegated Administrator の設定プログラム config-commda を実行します。Access Manager のホストとポートの入力を求められたら、DAS サーバーインスタンスのポートを指定します。
非 DAS インスタンスの server1 上で Access Manager が動作している場合でも、DAS サーバーインスタンスを指定します。
config-commda プログラムから Delegated Administrator コンソールと Delegated Administrator サーバーの配備先を要求されたら、server1 の情報ではなく、DAS サーバーの情報を指定します。
すでに server1 ポートを使って Delegated Administrator を 設定している場合、つまりすでに config-commda を実行した場合には、次の 2 つのファイル内のポート情報を変更 (DAS ポートを指定) します。
/opt/SUNWcomm/config/cli-usrprefs.properties /var/opt/SUNWcomm/da/WEB-INF/class/com/sun/comm/da/resource/ daconfig.properties |
config-commda の実行が完了したら、Application Server コンソールにログインします。classpath-prefix エントリと classpath-suffix エントリに対する JVM 設定内のすべての Access Manager ライブラリパスを、server1 インスタンスからそのサーバーインスタンスにコピーします。この作業を実行するには、server1 の domain.xml ファイル内のパスをそのサーバーの domain.xml ファイル内にコピーします。
Delegated Administrator 設定プログラムで「ドメイン区切り文字」フィールドに無効な値を入力できてしまう。(6310711)
設定プログラム config-commda では、^ などの無効な文字を「ドメイン区切り文字」フィールドに入力できます。無効なドメイン区切り文字を含むログイン ID を使って Delegated Administrator コンソールにログインすることはできません。
回避策:
daconfig.properties ファイル内の commadminserver.domainseparator プロパティーの値を編集します。このファイルのデフォルトパスは次のとおりです。
/var/opt/SUNWcomm/da/WEB-INF/classes/ com/sun/comm/da/resources/daconfig.properties |
@、-、 _ など、有効な値を使用してください。
Delegated Administrator 6 2005Q4 (Java ES Release 4) にアップグレードしないで Access Manager 7.0 にアップグレードした場合、ユーザー作成が失敗する。(6294603)
Java Enterprise System Release 4 へのアップグレード時に、Access Manager はバージョン 6.x から 7.0 にアップグレードしたが Delegated Administrator はバージョン 6 2005Q4 (Java ES Release 4) にアップグレードしなかった場合、メールサービスまたはカレンダサービスによるユーザー作成が失敗します。
回避策:
UserCalendarService.xml ファイルを更新します。このファイルはデフォルトで次のディレクトリに格納されています。
/opt/SUNWcomm/lib/services/UserCalendarService.xml |
UserCalendarService.xml ファイル内で、mail、icssubcribed、および icsfirsday 属性を、必須ではなく省略可能としてマークします。
Access Manager で、amadmin コマンドを実行して既存の xml ファイルを削除します。次に例を示します。
amadmin -u amadmin -w netscape -r UserCalendarService |
Access Manager で、更新済みの xml ファイルを追加します。次に例を示します。
amadmin -u amadmin -w netscape -s /opt/SUNWcomm/lib/services/UserCalendarService.xml |
Web コンテナを再起動します。
ディレクトリに非常に多くの組織が配備されている場合、Delegated Administrator 設定プログラム (config-commda) が低速になる可能性がある。(6219610)
ディレクトリに非常に多くの組織 (50,000 以上) が含まれている場合は、Delegated Administrator 設定プログラム (config-commda) が完了するのに長い時間がかかることがあります。Access Manager に関連する管理タスクのパフォーマンスは低速です。
回避策
ou 属性に pres,eq インデックスを作成します。
config-commda プログラムによって Delegated Administrator が再設定されると、resource.properties ファイル内の値が上書きされる。(6218713)
config-commda プログラムを再実行して設定済みの既存の Delegated Administrator インストールを設定した場合、resource.properties ファイル内のプロパティーがデフォルト値にリセットされます。
たとえば、以前にプロパティーを次のように設定していたとします。
jdapi-wildusersearchresults=50
jdapi-wildorgsearchresults=10
このとき、config-commda を実行すると、これらのプロパティーが次のようにデフォルト値にリセットされます。
jdapi-wildusersearchresults=-1
jdapi-wildorgsearchresults=-1
この問題を解決する必要が生じるのは、Delegated Administrator の設定を変更した場合 (プラグインを有効にしたか、resource.properties ファイル内のいずれかのプロパティーの値を変更した場合) だけです。
回避策
Delegated Administrator をアップグレードする必要が生じた場合や、config-commda プログラムを何らかの理由で再実行する必要が生じた場合、次の手順に従えば既存の設定を維持できます。
resource.properties ファイルをバックアップします。
resource.properties ファイルは、次のデフォルトパスにあります。
da_base/data/WEB-INF/classes/sun/comm/cli/server/servlet/ resource.properties |
config-commda プログラムを実行します。
config-commda プログラムによって作成された新しい resource.properties ファイルを、次のようにして編集します。
(新しいファイルは、手順 1「resource.properties ファイルをバックアップします。」で示したデフォルトパスに格納されている。)
a. 新しい resource.properties ファイルを開きます。
b. resource.properties ファイルのバックアップコピーを開きます。
c. バックアップコピー内でカスタマイズされたプロパティーを探します。そのカスタマイズ値を、新しい resource.properties ファイル内の対応するプロパティーに適用します。
新しい resource.properties ファイルの全体をバックアップコピーで単純に上書きしないでください。新しいファイルには、このリリースの Delegated Administrator をサポートするために作成された新しいプロパティーが含まれている可能性があります。
ルートサフィックスをドメインにすると、Delegated Administrator が正しく機能しない。(6321748)
デフォルトでは、Access Manager のインストール時に、ルートサフィックスはドメインとしてインストールされません。つまり、ルートサフィックスには sunPreferredDomain 属性が含まれません。ルートサフィックスをメールドメインにすると、Delegated Administrator で問題が発生します。
回避策
Messaging Server に対して設定したのと同じデフォルトドメインを使用します。Messaging Server がインストールされていない場合には、DIT 内のルートサフィックスの 1 つ下のレベルにデフォルトドメインが作成されるように注意してください。
コマンド行ユーティリティー (commadmin group create) を使ってサービスなしのグループを作成したあと、Delegated Administrator コンソールでそのグループに特定のサービスパッケージを割り当てた場合、メールサービスの詳細情報の入力を求めるプロンプトが表示されない。(6317925)
この問題が発生するのは、commadmin group create を使ってサービスを追加することなしにグループを作成したあと、Delegated Administrator コンソールを使ってそのグループに特定のサービスパッケージを割り当てた場合です。「サービスパッケージの割り当て」ウィザードを使ってこのグループにメールサービスパッケージを割り当てることはできますが、その場合、「メールサービスの詳細」パネルでの情報入力を求めるプロンプトが表示されません。メールサービスパッケージの割り当てが成功したことを通知するメッセージが表示されます。このグループの「プロパティー」ページを開くと、グループのメンバーが一覧表示されますが、それらのフィールドを編集したり、このグループの電子メールアドレスを入力したりすることはできません。
回避策
commadmin group modify コマンドを使って、このグループにメールサービスと電子メールアドレスを追加します。次に例を示します。
./commadmin group modify -D <TLA> -w <TLA_password> -G Group0 -S mail -E Group0@<domain> -d <domain> |
commadmin コマンドの -A オプションを使って渡された属性が、そのコマンドが -A を使って渡された属性を含む入力ファイルも呼び出している場合に無視される。(6317850)
この問題が発生するのは、commadmin コマンドを次のように実行し、
./commadmin user create -D tla -w pass -d <domain> -F test -L User -W pass -i /tmp/comm.in -A preferredlanguage:es |
かつその入力ファイル comm.in に、-A オプションを使って渡された属性が含まれていた場合です。その結果、コマンド行の -A オプションが無視されます。上記の例では、preferredlanguage:es が追加されません。
回避策
-A オプションを使って渡された属性が入力ファイル内に存在する場合には、-A のすべての値を入力ファイル経由で渡します。 -A をコマンド行でも使用してはいけません。
組織管理者 (OA) が、OA として組織の「プロパティー」ページを変更することで、自分自身を削除できる。(6314711)
Delegated Administrator コンソールに OA としてログインすると、組織の「プロパティー」ページにアクセスし、OA 権限を持つユーザーのリストから自身を削除することができます。何のエラーも発生せず、そのユーザーはコンソールを使い続けることができます。OA が自身を削除できないようにするか、自身を削除した OA はすぐにログアウトされるようにすべきです。
削除されたドメインの名前と衝突するドメイン名を使用すると、不適切なエラーメッセージが表示される。(6309418)
この問題が発生するのは、削除されたドメインと同じドメイン名を持つ組織を作成した場合です。(組織の名前は、削除された組織の名前とは異なる。)次のエラーメッセージが表示されます。 Attribute uniqueness violated.
回避策
新しいドメイン名を指定します。
Delegated Administrator コンソールが、『Schema Reference』に記載されている値とは異なる icsAllowRights 値をディレクトリに書き込む。(6308579)
この問題が発生するのは、カレンダサービスが割り当てられた組織に拡張権限を設定した場合です。組織の「プロパティー」ページを開いて「カレンダサービス」セクションに移動し、「拡張権限」ボタンをクリックすると、拡張権限プロパティーが表示されます。これらのプロパティーは、icsAllowRights 属性とともにディレクトリ内に格納されます。
Delegated Administrator コンソールで拡張権限プロパティーを「No」に設定した場合、ディレクトリ内の icsAllowRights 値は 0 として保存されます。ところが、『Schema Reference』によれば、値 0 はそのプロパティーが許可されることを意味します。
また、Delegated Administrator コンソール内の拡張権限プロパティーがデフォルトで「No」に設定されることにも注意してください。それらの値が ics.conf ファイル内の対応する値と衝突する場合でも、そのように設定されます。Delegated Administrator によって設定された値は、ics.conf ファイル内の値を上書きします。
commadmin group create を使ってグループを作成する場合、-f オプションを使って追加可能な動的メンバーシップフィルタ (LDAP URL) は、1 つだけである。(6303551)
commadmin group create コマンドでは、-f オプションを複数回使用することで、グループの動的メンバーシップフィルタ (LDAP URL ) を複数個作成できます。ところが、LDAP ディレクトリ内に保存されるのは、最後のフィルタだけです。
回避策
commadmin group modify コマンドを、追加するフィルタごとに 1 回ずつ、複数回実行します。
Delegated Administrator コンソールで動的メンバーをグループに追加した場合、手動作成された LDAP URL をテストできない。(6300923)
新しいグループを作成し、そのグループに動的メンバーを追加した場合、ユーザーは、LDAP URL を手動で作成することもできますし、ドロップダウンメニューで利用可能なフィールドを使って LDAP URL を作成することもできます。ドロップダウンメニューを使用した場合、「LDAP URL のテスト」ボタンをクリックできます。 LDAP URL を手動で作成した場合、この機能は無効になります。
Delegated Administrator コンソールでブラウザの「戻る」ボタンを使用すると、予期しないページが表示される。(6292610)
回避策
ページ自体に用意されたタブとナビゲーションリンクのみを使ってナビゲーションを行います。
ある組織内のグループに割り当てられたサービスパッケージの数が、その組織に割り当てられた数を超えることができる。(6285713)
ある組織内のグループ用に特定数のサービスパッケージを割り当てても、その組織内のグループにサービスパッケージを無制限に割り当てることができます。割り当て制限が適用されません。
たとえば、ある組織のグループ用として 20 個のサービスパッケージを割り当てた場合、その組織内の 20 個以上のグループにサービスパッケージを割り当てることができます。
すでに使用されているログイン ID を使って新しいユーザーを作成しようとすると、間違ったエラーメッセージが表示される。(6283567)
一意の電子メールアドレスとすでに使用されているログイン ID を使って新しいユーザーを作成しようとしても、そのユーザーは作成されません。これは正しい動作ですが、その際に「ユーザーを作成できません。メールアドレスがすでに使用されています。」というエラーメッセージが表示されます。このエラーメッセージは、「ログイン ID がすでに使用されています。」に変えるべきです。
アンダースコアを名前に含むドメイン内でユーザーを作成できない。(6281261)
回避策
ドメイン名にアンダースコアを含めないでください。
Linux 上で、commadmin ユーティリティーを使って特定のサービスオブジェクトクラスを追加できない。(6280807)
この問題が発生するのは、特定のサービスオブジェクトクラスを追加するために、-A オプションを指定して commadmin を実行した場合です。たとえば、次のコマンドを実行するとします。
/opt/sun/comms/commcli/bin/commadmin user modify -D admin -n <domain> -w <password> -p81 -X localhost -d <domain> -l test -A +objectclass:sunportalgatewayaccessservice |
Delegated Administrator はサービスオブジェクトクラスを取得できません。
回避策
管理コンソールまたは ldapmodify コマンドを使用して、ユーザーに必要なオブジェクトクラスを Directory Server に手動で追加します。
サービス名、サービスパッケージ名、メールホストによる組織検索が正しく動作しない。(6277314)
組織一覧ページで、サービス名、サービスパッケージ名、またはメールホストに基づいて組織を検索するためのドロップダウンメニューを使用し、検索文字列を入力すると、検索結果にすべての組織が含まれます。
名前にコンマを含む組織を作成することができない。(6275439)
「組織の作成」ウィザードを使って組織を作成する際にコンマを含む組織名を指定した場合、エラーが表示され、その組織は作成されません。
回避策
組織名にコンマを含めないでください。
commadmin domain delete コマンドを使ってあるドメインを 削除したあと、commadmin を使ってそのドメインをパージできない。(6245878, 6203605)
commadmin domain delete を使ってメールサービスを含む組織を削除すると、inetDomainStatus が deleted に設定されます。その後、msuserpurge を使ってメッセージストアからユーザーを削除し、commadmin domain purge を使ってドメインをパージしても、そのドメインは LDAP ディレクトリ内に残ります。そのドメインの mailDomainStatus 値が removed と等しくなっていません。
commadmin domain delete を使ってカレンダサービスを含む組織を削除したあと、csclean を使ってカレンダを削除し、さらに commadmin domain purge を使ってドメインをパージした場合にも、同じ問題が発生します。LDAP 内の icsStatus が removed としてマークされません。
回避策
ldapmodify を使ってmailDomainStatus または icsStatus を removed に設定します。その後、commadmin domain purge を使用します。
満杯状態の組織の「ドメインの状態」または「メールサービスの状態」を変更すると、「ドメインのディスク制限容量」の値が失われる。(6239311)
この問題が発生するのは、「ドメインのディスク制限容量」の値がある特定の数値に設定された満杯状態の組織を編集し、「ドメインの状態」または「メールサービスの状態」を「アクティブ」から「非アクティブ」、「保持」などの別の値に変更した場合です。
その組織のプロパティーが正常に変更されたことを示すメッセージが表示されますが、「ドメインのディスク制限容量」フィールドの値は無制限に設定され、その組織の対応する LDAP 属性 (mailDomainDiskQuota) が失われます。
回避策
Delegated Administrator の最新パッチでは、この問題が修正されています。「推奨パッチ」の説明に従ってこのパッチをダウンロードします。
あるいは次のようにします。「ドメインのディスク制限容量」フィールドの値をリセットし、組織のプロパティーを再度保存します。
ユーザー、組織、またはグループの一覧ページの読み込みが完了した際にメッセージが何も表示されない。(6234660)
一覧ページの読み込み中にボタンをクリックすると、エラーが発生します。
ページの読み込み中は、ユーザーに待機を要求するメッセージが表示されます。ページの準備が整うまで、ボタンやリンクをクリックしないでください。
sunpresenceuser と sunimuser の両方のオブジェクトクラスをユーザーエントリに割り当てた場合、commadmin user modify コマンドが失敗する。(6214638)
新しく作成されたユーザーがドメインのタイムゾーン (TZ) を継承しない。(6206160)
デフォルト以外のタイムゾーンを持つドメインを作成したあと、-T <timezone> オプションを明示的に使用せずに新しいユーザーを作成した場合、そのユーザーにはデフォルトのタイムゾーン「America/Denver」が設定されます。
たとえば、「Europe/Paris」のタイムゾーンを持つ、sesta という名前のドメインを作成したとします。次に、sesta 内で新しいユーザーを作成します。そのユーザーにはデフォルトのタイムゾーン「America/Denver」が設定されます。
回避策
ユーザーを作成または変更する場合、commadmin user create または commadmin user modify コマンドに -T <timezone> を明示的に渡します。
管理者を正常に追加するには「組織のプロパティー」ページを保存する必要がある。(6201912)
「組織のプロパティー」ページを開き、管理者ロールを特定のユーザーに割り当てた場合、「組織のプロパティー」ページを保存しないと管理者が正しく追加されません。新しい管理者の割り当て後にログアウトした場合、その管理者は追加されません。
新しい組織の名前に非 ASCII 文字が含まれていると、デフォルト管理者の電子メールアドレスを指定できないため、エラーが発生する。(6195040)
デフォルト管理者の UID はデフォルトで「admin_ new_organization_name」になります。新しい組織の名前に非 ASCII 文字が含まれていた場合、その UID を使用する電子メールアドレスが無効になります。
このリリースの Delegated Administrator ではユーザーのログイン ID を編集できない。(6178850)
ルートのサフィックスの名前が組織のドメイン名と同じである場合、Delegated Administrator ユーティリティーが機能しない。(5107441)
ルートサフィックスが o=example.com、ドメインが example.com である場合など、ドメイン名と同じ名前を持つルートサフィックスを作成した場合、commadmin ユーティリティーが正しく機能しません。
回避策
ルートサフィックスとディレクトリ内の別のドメインに同じ名前を使用するのを避けます。(o=name 値は、異なる必要がある。)
詳細検索機能が組織に対して正しい結果を返さない。(5094680)
この問題は、次のように操作すると発生します。
詳細検索機能を選択します。
ドロップダウンリストから「組織」を選択します。
「すべてに一致」、「いずれかに一致」のいずれかのラジオボタンをクリックします。
ドロップダウンリストから特定の組織名を選択します。
テキストフィールドに有効な値を入力します。
「検索」をクリックします。
Delegated Administrator は、検索条件に一致する組織のみを返す代わりに、すべての組織を表示します。
「新規組織」ウィザードの「要約」ページに表示されない組織詳細が存在する。(5087980)
「新規組織」ウィザードを使って新しい組織を作成する場合に、「ドメインのディスク制限容量」や「メールサービスの状態」などの一部の詳細情報が、このウィザードの「要約」ページに表示されません。
ASCII 以外のグループを変更できない。(4934768)
ASCII 以外の文字を含むグループ名を使って作成されたグループは、commadmin group modify コマンドを使っても変更できません。
たとえば、commadmin group create コマンドの -G オプションに対して ASCII 以外の文字を含むグループ XYZ を指定すると、XYZ のメールアドレスはそのグループの LDAP エントリに自動的に追加されます。ASCII 以外の文字はメールアドレスでは許可されないため、commadmin group modfiy を使ってグループを変更しようとしても失敗します。
回避策
グループを作成するときは、-E email オプションを使用してください。このオプションには、グループのメールアドレスを指定します。次に例を示します。 commadmin group create -D admin -w password -d siroe.com -G XYZ -S mail -E testgroup@siroe.com
複数の -f オプションでグループを作成しても、1 つの属性しか追加されない。(4931958)
ダイナミックグループを作成するために複数の -f オプションを commadmin group create コマンドに指定しても、最後の -f オプションに指定した値だけが LDAP エントリに追加されます。ほかの値は追加されません。
回避策
commadmin group create コマンドを使用するときは、複数の -f オプションを指定しないでください。
この節では、Delegated Administrator のローカライズに関する問題について説明します。
ローカライズ版の Delegated Administrator の GUI 設定プログラム config-commda では、デフォルトのページサイズが小さすぎて、すべての入力フィールドとそれらのフィールドのラベルを適切に表示できない。(6307209)
回避策:
ローカライズ版の GUI 設定プログラム config-commda の使用時に表示されないラベルや入力フィールドが存在している場合、GUI config-commda 内のダイアログのサイズを変更し、より長いラベルが収まるようにします。
言語タグ付きのようこそメッセージを含むドメインを作成できない。(6242611)
commadmin domain create コマンドで -A "mailDomainWelcomeMessage;lang-<language tag>:Subject:<message>" オプションを指定することで、言語タグ付きのようこそメッセージを含むドメインを作成しようとしても、そのドメインを作成できません。
回避策
まず、commadmin domain create コマンドを使ってドメインを作成します。次に、commadmin domain modify コマンドを使って言語タグ付きのようこそメッセージを追加します。次に例を示します。
commadmin domain create -D admin -w pass -S mail -H test.<domain> -d i18n.tst |
commadmin domain modify -D admin -w pass -d i18n.tst -A "mailDomainWelcomeMessage;lang-fr:Subject:Test$$Test" |
エラーメッセージ「The organization already exists」がローカライズされていない。(6201623)
既存の組織と同じ名前で組織を作成しようとすると、Delegated Administrator から次のエラーメッセージが表示されます。“The organization already exists.” このメッセージは英語であり、翻訳されていません。
この節では、Delegated Administrator のマニュアルやオンラインヘルプに含まれる、間違った情報や不完全な情報について説明します。
Delegated Administrator コンソールのオンラインヘルプ内に「ユーザープロパティー」ページの「利用可能な言語」リストに関する記述がない。(6307846)
「利用可能な言語」ドロップダウンリストを使えば、言語タグ付きユーザー名に対する言語を選択できます。
「利用可能な言語」リストから、ユーザー名に対する目的の言語を選択します。(「利用可能な言語」リストは、「名」、「姓」、および「表示名」フィールドの横に表示される。)
次に、名と姓を入力し、「保存」をクリックします。すると、言語タグ付きの名、姓、および共通名が LDAP エントリに入力されます。
たとえば、「利用可能な言語」リストから「ドイツ語」を選択し、名として「Gerard」を、姓として「Schroeder」をそれぞれ入力した場合、ユーザーの LDAP エントリに次の属性が追加されます。
givenname;lang-de:Gerard sn;lang-de:Schroeder cn;lang-de:Gerard Schroeder |
ロケールに対応したアプリケーションは、ユーザーの選択言語がドイツ語であった場合に、この cn を表示します。
「利用可能な言語」リスト内の「デフォルト」は、タグ付きでない必須の givenname、sn、および cn 属性に対応しています。
共有組織の場合、「新しい組織を作成」ウィザードに「カレンダサービスの詳細」が表示されない。このことはオンラインヘルプで説明されていない。(6295181)
Delegated Administrator コンソールで共有組織を作成する場合、「新しい組織を作成」ウィザードに「カレンダサービスの詳細」パネルが表示されません。さらに、共有組織の作成後、その共有組織の「プロパティー」ページに「カレンダサービスの詳細」が表示されません。
これは、共有組織の作成時には、共有親ドメインからカレンダサービスの属性が継承されるからです。したがって、新しい共有組織に固有のカレンダサービス情報を作成したり表示したりすることはできません。
親ドメインを編集する権限を持っているのは、最上位管理者だけです。
Delegated Administrator コンソールのオンラインヘルプには、こうした動作の説明がありません。