|
| |
| Sun Java System アイデンティティインストールパック 2005Q4M3 SP4 リリースノート | |
アイデンティティーインストールパック 2005Q4M3 SP4 の機能
Sun JavaTM System アイデンティティーインストールパックソフトウェアのインストールまたはアップグレードの前に、リリースノートに記載されているインストールとアップグレードに関する注意事項、および最新の Identity Manager 2005Q4M3 サービスパックに付属するドキュメントを参照してください。
このリリースの新機能と解決された不具合この節では、アイデンティティーインストールパック 2005Q4M3 SP4 の新機能の概要と詳細について説明します。詳細については、この章の各機能別の節を参照してください。
管理者インタフェース
- サーバータスクを表示するとき、「すべてのタスク」タブ上の「開始時刻」列が正確に時系列順でソートされるようになりました。以前は、「開始時刻」列が適切にソートされていませんでした。(ID-16783)
- 「アカウントのリスト」タブ (「アカウント」 > 「アカウントのリスト」) 上でユーザー検索機能を実行したとき、ユーザーが 1 つの組織につき一度だけ表示されるようになりました。以前は、検索の結果、同じユーザーが 1 つの組織で何回も表示される場合がありました。(ID-16795)
関連情報: 「アカウントのリスト」タブのアカウントツリーテーブルに関する別の問題については、22 ページの「既知の問題点」の節を参照してください。
- アカウントツリーテーブルでユーザー検索を実行したとき、返されたユーザーのマネージャー属性にマネージャーのフルネームが表示されるようになりました。以前は、マネージャーの ID のみが表示されていました。(ID-14645)
- 「ユーザーパスワードの変更の結果」ページの「ステータス」列が削除されました。また、「答えの変更結果」、「すべての変更結果」、および「パスワードの変更結果」の各ページからも「ステータス」列が削除されました。「ステータス」列にはデータが表示されず、目的を果たしていませんでした。(ID-16889)
- フォーム上で DatePicker フィールド型の値をクリアできるようになりました。(ID-17022)
- 「保留中の承認」テーブルのソートが機能するようになりました。以前は、保留中の承認があるユーザーはこのテーブルをソートできませんでした。代わりに、「結果ページをフォーマットできません。タスク ID または結果がありません」というメッセージが表示されていました。(ID-17304)
- 表示プロパティー autocomplete を off に設定すると、テキスト入力フィールドに対して、autocomplete="off" が設定されるようになりました。(autocomplete を off に設定すると、ユーザーの資格情報を自分のコンピュータに保存するように勧める通知がブラウザで表示されなくなる。)
XPRESS では、表示プロパティーを追加することによって、このカスタマイズを行うことができます。off 以外の値を指定すると、autocomplete 属性は設定されません (プロパティーを設定しない場合と同じ)。(ID-17045)
- 次のページで、クロスサイトスクリプティングの脆弱性が識別および修正されました (ID-17241):
監査
パスワード同期
- Microsoft Windows Server 2003 SP2 で導入された動作上の変更の結果、Identity Manager の PasswordSync DLL (lhpwic.dll) の変更が必要になりました。SP2 では、Windows から PasswordSync に送信されるパスワード変更通知に、不適切な形式のコンピュータアカウントデータが含まれる可能性があります。その結果、PasswordSync が例外をスローする可能性があります。最終的に Microsoft の Local Security Authority Subsystem (LSASS) コンポーネントがハングアップし、ドメインコントローラの再起動が必要になる可能性もあります。
コンピュータアカウントデータは PasswordSync で処理されない (ユーザーアカウントのみが処理される) ため、すべてのコンピュータアカウント変更通知を受信後ただちに破棄するように PasswordSync DLL が更新されました。
Windows コンピュータアカウントは「$」(ドル記号) で終わります。そのため、PasswordSync は $ で終わるアカウントを処理しません。これには、$ で終わるユーザーアカウントも含まれます。(ID-17245)
- PasswordSync トレースログが更新されました。PasswordSync/JMS が Windows Active Directory から Identity Manager へパスワード変更通知を転送したときに、対応するユーザーが Identity Manager に存在しなければ、適切なメッセージがトレースログに記録されるようになりました。以前は、このような状況では、PasswordSync は説明を記録することなく null ポインタ例外をスローしていました。(ID-16920)
- PasswordSync (lhpwic.dll) がクラッシュした場合に「ディレクトリサービス復元」モードで Active Directory ドメインコントローラを起動しても、連続的な再起動サイクルが発生しなくなりました。(ID-16695)
- PasswordSync (lhpwic.dll) を実行する Active Directory ドメインコントローラ上での「out of handle」エラーを防止するため、PasswordSync が更新されました。ドメインでコンピュータアカウントが更新されたとき、ドメインコントローラは誤って Identity Manager の PasswordSync DLL にパスワード更新通知を送信します。以前の DLL では、その結果、検索ハンドルが適切に閉じられませんでした。(ID-16495)
関連情報: ハンドルリークの原因となっていた別の PasswordSync の問題が解決されました。(ID-16827)
- PasswordSync DLL が例外をスローした場合に、新しい Windows レジストリエントリに基づいてダンプファイルが生成されるようになりました。
キー名: dumpFilebase
型: REG_SZ
このキーは、PasswordSync を実行する Windows ドメインコントローラに追加されるはずです。このレジストリキーには、c:#yen;temp などの、メモリーダンプの書き込み先の完全修飾ディレクトリパスが設定されるはずです。
このレジストリ値が設定されている場合、パスワード処理中に例外がキャッチされるたびにメモリーダンプが書き込まれます。
注: Windows 2000 サーバーでは、適用されているサービスパックに関係なく、設定されたディレクトリに DbgHelp.dll をインストールする作業がさらに必要です。このファイルは Microsoft から入手できます。このファイルのリリースバージョンは 5.1 以上である必要があります。このファイルは次のサイトからダウンロードできます。
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
Windows 2000 上では、DbgHelp.dll がインストールされていない場合、ダンプが生成されません。
ダンプファイルには、次の形式で名前が付けられます。
lhpwic-YYYYMMDD-HHmm-xxxxx.dmp
この名前で、YYYYMMDD はダンプの日付、HHmm はダンプの時刻 (24 時間制)、xxxxx はアプリケーションのスレッド番号です。
ダンプファイルは手動で削除してください。これらのファイルのサイズは、Windows Local Security Authority Subsystem (LSASS) プロセスのサイズに応じて、20M バイトから 100M バイト超の範囲で変動します。これらのダンプファイルを削除しないと、ディスクの容量に制限のあるシステムでは、時間とともにディスクの空き容量が不足する可能性があります。(ID-17552)
調整
レポート
- 「Today's Activity Report」などの監査ログレポートに、次のイベントが記録されるようになりました。
- Identity Manager リポジトリとして Oracle データベースを使用するとき、Identity Manager が acctAttrChanges に対して CLOB データ型をサポートするようになりました。
デフォルトの VARCHAR(4000) データ型を使用する代わりに CLOB を使用することの利点は、はるかに大きな変更セットをログに記録できるようになる点です。ただし、CLOB アクセスルーチンの独自性が原因で、この列に対するクエリーの実行が難しくなるという面もあります。
より大きな変更セットを記録できるようにするには、log.acctAttrChanges 列の型を VARCHAR(4000) から CLOB に変更し、それに合わせて RepositoryConfiguration 設定オブジェクトの maxLogAcctAttrChangesLength 属性を調整する必要があります。(ID-15326)
リソース
- Solaris リソースアダプタで、次回ログイン時のパスワード変更をユーザーに強制できるようになりました。この機能を有効にするには、スキーママップの「アイデンティティーシステムユーザー属性」列に expirePassword を、「リソースユーザー属性」列に force_change を追加します。この属性の型は string に設定する必要があります。(ID-17032、ID-17146)
- Oracle リソースアダプタが更新され、アダプタがユーザーの責任を追加、変更、または削除できない場合により詳細なエラーメッセージが提供されるようになりました。アダプタが更新できなかった責任が一覧表示されるようになりました。(ID-16656)
- Sun Access Manager リソースアダプタが SSL モードで Access Manager に接続できるようになりました。以前は、リソースアダプタ設定をテストするとき、管理者は「AuthContext cannot be created」というエラーを受信していました。(ID-16454)
- Microsoft ADSI ゲートウェイが更新されました。Identity Manager にログオンするユーザーの認証に Active Directory リソースが使用されている場合、ユーザーの Windows パスワードの期限が切れたときには、Identity Manager の UI で、ユーザーがパスワードの変更を促されるようになりました。以前は、パスワードの期限が切れたことを通知するエラーメッセージがユーザーに表示されるだけでした。(ID-16681)
- Remedy サーバーへのアクセスのサポートが変更されました。ゲートウェイが Remedy API ライブラリのバージョン 4.5 に依存しなくなりました。今後は、ゲートウェイディレクトリに Remedy ライブラリを配置することが必要になります。これらのライブラリは Remedy サーバー上にあります。(ID-17361、ID-16551)
- この Service Pack を適用した Identity Manager は、Remedy バージョン 6.3 および 7.0 をサポートします。ただし、これらのバージョン間には、サンプルデータ、デフォルト、および初期設定に関して多数の重要な違いがあります。たとえば、バージョン 6.3 では「チケット」スキーマの名前は HPD:HelpDesk ですが、7.0 では HPD:Help Desk に変更されています。(ID-17361、ID-14611)
- Active Directory リソースを設定するとき、リソース認証プロパティーのセクションでドメインを指定できるようになりました。正しい Active Directory ドメインのみに対してログインが認証されるように、管理者はマルチドメイン環境またはフォレスト環境内のドメインを指定するべきです。ドメインが指定されない場合、ログイン試行が 1 回でも失敗した時点でユーザーをロックアウトできます。これは、第一ドメインと信頼関係を共有する各ドメインで、そのユーザーのパスワード入力失敗の情報を収集可能だからです。(ID-16603)
- SecurId Unix リソースアダプタに関する問題が修正されました。この修正が行われる前は、ユーザーの姓または名 (またはその両方) を変更すると、SecurId リソースからユーザーのグループが削除されていました。(ID-16914)
スケジューラ
解決されたその他の不具合
16382
既知の問題点
- 「アカウントのリスト」タブ (「アカウント」 > 「アカウントのリスト」) 上のアカウントツリーテーブルに「マネージャー」列が表示されません。(「名前」、「姓」、および「名」の各列のみが表示される。)
この問題を修正するには、ビジネスプロセスエディタを使用して UserUIConfig 設定オブジェクトを編集します。
<AppletColumns> 要素を探して、リストの末尾に次の XML 行を挿入します。
<Object name='idmManager'>
<Attribute name='label' value='UI_ATTR_MANAGER'/>
</Object>
変更を保存して、アプリケーションサーバーを再起動します。(ID-17710)
- 管理者インタフェースで、送信済みの委任 (「承認」 > 「自分の承認作業項目の委任」) を取り消す唯一の方法は、「終了日」を「開始日」と同じに (または過去の日付に) 設定することです。(ID-16790、ID-16799)
- TaskScheduleViewer で、エントリに必要な形式と同じ形式で開始日がフォーマットされません。その結果、タスクスケジュールを編集するときに開始日を修正する必要があります。(ID-5675)
- デフォルトでは、ユーザーが秘密の質問への回答を入力するときに、入力中の文字列はアスタリスク (*) でマスクされます。この動作の影響で、一部の IME (input method editor) の機能が無効になり、日本語の漢字やひらがななどの文字を入力することができません。
ユーザーが IME を使用して秘密の質問に回答できるようにするには、「デバッグ」ページを使って「Question Login Form」ユーザーフォームの secret プロパティーの値を false に変更します。
<Property name='secret' value='false'/>
注: この値を false に設定すると、秘密の質問の回答が画面上で読めるようになるため、セキュリティーリスクが生じます。回答の暗号化保存には影響ありません。(ID-7424)
- Identity Manager 管理者インタフェースに表示される設定オプションの一部は、Identity Manager SPE では使用されません。(ID-10843)該当するものには次のようなオプションがあります。
- FireFox 1.5 で正しく表示されない Identity Manager フォームがあります。たとえば、Tabbed User Form 上でブラウザはラベルを折り返さないので、すべてを右へと表示していきます。(ID-13109)
- ユーザーレポートとユーザー質問レポートで「次の条件と一致するユーザーのみをレポート: ユーザー名」チェックボックスが 2 回表示されます。一方のチェックボックスには I-help がありますが、他方にはありません。いずれのチェックボックスを使用しても、正しいデータが返されます。(ID-13155)
- SPE のエンドユーザーページにログインすると HTTP Status 500 エラーが発生する場合、SPE 設定で複数の暗号化鍵が指定されている可能性があります。アップグレードプロセス中に Identity Manager で生成される新しい暗号化鍵がこれの原因になることがあります。
回避策は、SPE 設定ディレクトリからそれらの暗号化鍵を削除し、Identity Manager から再エクスポートすることです。(ID-13162)
- ユーザーの電子メール属性に一度設定した値は削除できません。値を変更することはできますが、設定を null に戻すことはできません。(ID-13164)
- 「ロール」フォームを修正して showSuperAndSubRoles 変数を 0 から 1 に変更した後で、既存のサブロールを含むスーパーロールオブジェクト定義ファイルを「設定」タブからインポートした場合、それらのサブロールは <SuperRoles> セクションを含むように変更されません。ただし、Identity Manager のグラフィカルユーザーインタフェースを使用してスーパーロールを作成する場合は、そのスーパーロールによって参照されるサブロールが更新されます。(ID-15053)
この問題は、Identity Manager の外部で作成され、システムにすでに存在するロール (サブロールまたはスーパーロール) への参照を持つロールに関して発生する可能性があります。
これらのロールをインポートするとき、システムにすでに存在するロールは、新しい関係を反映するように更新されません。たとえば、参照整合性は維持されません。この方法でロールをインポートする場合に参照整合性をチェックおよび修正するには、RoleUpdater を使用します。
回避策: 「ロール」で説明されている ID-15482 を参照してください。
- Microsoft SQL Server 2000 のロック特性が原因で、Identity Manager における特定の高負荷状況下でデッドロックエラーが発生する可能性があります。(ID-16068)
回避策: ネイティブモードを使用して、Microsoft SQL Server 2000 から Microsoft SQL Server 2005 にアップグレードします。
スナップショット遮断と呼ばれる新しい機能を持つ Microsoft SQL Server 2005 は、Identity Manager との組み合わせで高負荷下でテストされており、SQL Server 2000 と同じデッドロックの問題は発生しません。
また、一部の顧客の環境では、次のように READ_COMMITTED_SNAPSHOT を使用するようにデータベースを変更することが有効であることが確認されています。
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- WebSphere データソースおよび Oracle JDBC ドライバ間の相互運用性の問題により、Identity Manager とともに WebSphere データソースを使用する Oracle の顧客は、Oracle 10g R2 および対応する JDBC ドライバを使用する必要があります。Oracle 9 JDBC ドライバは、WebSphere データソースと Identity Manager の組み合わせでは使用できません。10g R2 よりも前のバージョンの Oracle を使用しており、Oracle を 10g R2 にアップグレードできない場合は、WebSphere データソースではなく Oracle の JDBC Driver Manager を使用して Oracle データベースに接続するように Identity Manager リポジトリを設定します。(ID-16167)
詳細については、次の URL を参照してください。
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- 日本語など複数バイトの言語環境では、「ユーザーの編集」画面のタブ上で、一部の単語が折り返されることがあります。(ID-16054)
回避策: タブ上で単語が折り返されないようにするには、$WSHOME/styles/customStyle.css に次の内容を追加します。
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}