Sun Java System Identity Installation Pack 2005Q4M3 SP4 릴리스 노트 |
Identity Installation Pack 2005Q4M3 SP4 기능
Sun Java™ System Identiy Installation Pack 소프트웨어를 설치 또는 업그레이드하기 전에 이 릴리스 노트의 "설치 및 업데이트 참고 사항" 절과 최신 Identity Manager 2005Q4M3 서비스 팩과 함께 제공되는 모든 설명서를 참조하십시오.
새로운 기능 및 이 릴리스에서 수정된 결함이 절에서는 Identity Installation Pack 2005Q4M3 SP4의 새로운 기능에 대한 요약 및 세부 정보를 제공합니다. 자세한 내용은 이 장의 개별 절을 참조하십시오.
관리자 인터페이스
- 서버 작업을 보면 모든 작업 탭의 시작 시간 열이 올바른 시간 순서대로 정렬됩니다. 이전에, 시작 시간 열이 제대로 정렬되지 않았습니다. (ID-16783)
- 계정 목록 표시 탭(계정 > 계정 목록 표시)에서 사용자 검색을 수행하면 검색 기능을 통해 조직당 사용자를 한 번만 나열합니다. 이전에는 동일한 사용자가 검색 결과에 조직당 여러 번 나타났습니다. (ID-16795)
또한 계정 목록 표시 탭에서 계정 트리 테이블의 개별 문제에 대해서는 2-22페이지의 알려진 문제 절을 참조하십시오.
- 계정 트리 테이블에서 사용자별 검색을 수행하는 경우 반환된 사용자의 관리자 속성에 관리자의 전체 이름이 표시됩니다. 이전에는 관리자의 ID만 표시되었습니다. (ID-14645)
- 사용자 비밀번호 변경 결과 페이지의 상태 열이 제거되었습니다. 또한 응답 변경 결과, 모두 변경 결과 및 비밀번호 변경 결과 상태 열이 제거되었습니다. 어떠한 데이터도 상태 열에는 표시되지 않았으며 아무 기능을 수행하지 않았습니다. (ID-16889)
- 이제 양식에서 DatePicker 필드 유형 값을 지울 수 있습니다. (ID-17022)
- 이제 보류 중인 승인 테이블 정렬 기능이 작동합니다. 이전에는, 보류 중인 승인 상태의 사용자가 이 테이블을 정렬할 수 없었습니다. 대신 "결과 페이지를 포맷할 수 없음. 작업 ID 또는 결과가 없습니다." 메시지가 표시되었습니다. (ID-17304)
- 이제 텍스트 표시 구성 요소는 표시 등록 정보 autocomplete가 off로 설정된 입력 필드에서 autocomplete="off"를 렌더링합니다. autocomplete를 off로 설정하면 브라우저에서 사용자의 자격 증명을 해당 컴퓨터에 저장하는 옵션을 제공하지 않습니다.
표시 등록 정보를 추가하여 XPRESS에서 이를 사용자 정의할 수 있습니다. off 이외의 값을 사용하면 autocomplete 속성이 렌더링되지 않습니다. 이는 등록 정보를 설정하지 않는 것과 동일합니다. (ID-17045)
- 교차 사이트 스크립팅 취약점이 확인되어 다음 페이지에서 수정되었습니다. (ID-17241)
감사
비밀번호 동기화
- Microsoft Windows Server 2003 SP2에 적용된 동작 변경으로 인해 Identity Manager의 PasswordSync DLL(lhpwic.dll)을 변경했습니다. SP2의 경우 Windows에서 PasswordSync로 보낸 비밀번호 변경 알림에 잘못 포맷된 컴퓨터 계정 데이터가 포함될 수 있습니다. 이로 인해 PasswordSync에서 예외가 발생할 수 있습니다. 결과적으로 Microsoft의 LSASS(Local Security Authority Subsystem) 구성 요소가 중단되어 도메인 제어기를 재부트해야 할 수 있습니다.
컴퓨터 계정 데이터는 PasswordSync에 의해 처리되지 않기 때문에(사용자 계정만 처리됨) PasswordSync DLL은 모든 컴퓨터 계정 변경 알림을 받는 즉시 무시하도록 업데이트되었습니다.
Windows 컴퓨터 계정은 "$" 달러 기호로 끝납니다. 따라서 PasswordSync가 $로 끝날 수 있는 사용자 계정을 포함하여 $로 끝나는 계정을 처리하지 않는 것이 좋습니다. (ID-17245)
- PasswordSync 추적 로그가 업데이트되었습니다. PasswordSync/JMS가 비밀번호 변경 알림을 Windows Active Directory에서 Identity Manager로 전달하고 사용자가 Identity Manager에 없는 경우 추적 로그에 해당 메시지가 기록됩니다. 이전에는 이러한 상황에서 PasswordSync가 설명 없이 null 포인터 예외를 발생시켰습니다. (ID-16920)
- PasswordSync(lhpwic.dll) 충돌이 발생한 경우 "디렉토리 서비스 복원" 모드에서 Active Directory 도메인 제어기를 부트해도 더 이상 지속적으로 재부트할 필요가 없습니다. (ID-16695)
- PasswordSync는 PasswordSync(lhpwic.dll)를 실행하는 Active Directory 도메인 제어기에서 "처리 불가" 오류가 발생하지 않도록 업데이트되었습니다. 컴퓨터 계정이 도메인에서 업데이트될 경우 도메인 제어기가 비밀번호 업데이트 알림을 Identity Manager의 PasswordSync DLL에 잘못 보냅니다. 결과적으로, DLL이 검색 처리를 제대로 종료하지 못했습니다. (ID-16495)
또한 핸들 누출의 원인이 되었던 개별 PasswordSync 문제가 해결되었습니다. (ID-16827)
- PasswordSync DLL에서 예외가 발생되면 새 Windows 레지스트리 항목에서 덤프 파일이 생성됩니다.
키 이름: dumpFilebase
유형: REG_SZ
이 키는 PasswordSync를 실행하는 Windows 도메인 제어기에 추가되어야 합니다. 레지스트리 키는 메모리 덤프를 기록해야 하는 정규화된 디렉토리 경로로 설정되어야 합니다. 예를 들면 c:\temp 등입니다.
레지스트리 값을 설정할 경우 비밀번호를 처리하는 동안 예외가 발생할 때마다 메모리 덤프가 기록됩니다.
주: Windows 2000 Server(모든 서비스 팩)에서도 Microsoft에서 제공하는 구성된 디렉토리 DbgHelp.dll에 설치해야 합니다. 이 파일의 최소 릴리스 버전은 5.1어야 합니다. 이 파일은 다음 사이트에서 다운로드하십시오.
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
DbgHelp.dll을 설치하지 않을 경우 Windows 2000에서 덤프가 생성되지 않습니다.
덤프 파일 이름은 다음 형식을 사용하여 지정됩니다.
lhpwic-YYYYMMDD-HHmm-xxxxx.dmp
이 이름에서 YYYYMMDD는 덤프의 날짜, HHmm은 덤프의 시간(24시간제)이며 xxxxx는 응용 프로그램 스레드 번호입니다.
덤프 파일은 수동으로 제거해야 합니다! 이러한 파일의 크기는 Windows LSASS(Local Security Authority Subsystem) 프로세스 크기에 따라 20MB부터 100MB 이상일 수 있습니다. 시간이 경과함에 따라 이러한 덤프 파일을 제거하지 않을 경우 제한된 디스크 공간을 가진 시스템의 공간이 꽉 찰 수 있습니다. (ID-17552)
조정
보고서
- 이제 다음과 같은 이벤트는 "오늘의 작업 보고서"와 같은 감사 로그 보고서에 포함됩니다.
- 누락된 사용자 ID 또는 비밀번호로 사용자를 생성하려고 시도하는 경우
- 존재하지 않는 역할로 사용자를 생성하려고 시도하는 경우(기존 사용자에게 존재하지 않는 역할을 할당하는 경우도 포함)
- 계정 ID 정책을 위반하는 사용자를 생성하려고 시도하는 경우
- 액세스할 수 없는 자원이 할당된 사용자를 생성하려고 시도하는 경우(기존 사용자에게 액세스할 수 없는 자원을 할당하는 경우도 포함)
- 존재하지 않는 사용자를 삭제하려고 시도하는 경우
이러한 이벤트도 시스템 로그에 기록됩니다.
이전에는 사용자 생성 및 삭제가 실패한 경우에만 시스템 로그에 기록되었습니다. (ID-13284)
- 이제 Identity Manager에서는 Oracle 데이터베이스를 Identity Manager 저장소로 사용하는 경우 acctAttrChange에 대해 CLOB 데이터 유형을 지원합니다.
기본 VARCHAR(4000) 데이터 유형을 사용하는 대신 CLOB를 사용하면 보다 큰 변경 사항 집합을 기록할 수 있는 장점이 있습니다. 그러나 CLOB 액세스 루틴의 독점적인 특성으로 인해 이 열을 쿼리하는 것이 더 어렵게 됩니다.
보다 큰 변경 사항 집합을 사용하려면 log.acctAttrChanges 열 유형을 VARCHAR(4000)에서 CLOB로 변경하고, 이에 따라 RepositoryConfiguration 구성 객체의 maxLogAcctAttrChangesLength 속성을 조정해야 합니다. (ID-15326)
자원
- 이제 Solaris 자원 어댑터는 사용자가 다음 로그인할 때 비밀번호를 변경하도록 합니다. 이 기능을 사용하려면 expirePassword를 스키마 맵의 Identity System 사용자 속성 열에 추가하고 force_change를 자원 사용자 속성 열에 추가합니다. 이 속성 유형은 문자열로 설정해야 합니다. (ID-17032,
ID-17146)- Oracle 자원 어댑터는 어댑터가 사용자 책임을 추가, 수정 또는 삭제할 수 없는 경우 보다 자세한 오류 메시지를 제공하도록 업데이트되었습니다. 이제 어댑터는 업데이트할 수 없는 책임을 나열합니다. (ID-16656)
- 이제 Sun Access Manager 자원 어댑터를 SSL 모드에서 Access Manager에 연결할 수 있습니다. 이전에는, 자원 어댑터 구성을 테스트할 때 관리자에게 "AuthContext를 생성할 수 없음" 오류가 표시되었습니다. (ID-16454)
- Microsoft ADSI 게이트웨이가 업데이트되었습니다. Active Directory 자원을 사용하여 Identity Manager에 로그인하는 사용자를 인증할 때, 사용자의 Windows 비밀번호가 만료된 경우 Identity Manager UI는 사용자가 비밀번호를 변경하라는 메시지를 표시합니다. 이전에는 단지 비밀번호가 만료되었다는 오류 메시지만 표시되었습니다. (ID-16681)
- Remedy 서버 액세스에 대한 지원이 변경되었습니다. 게이트웨이는 Remedy API 라이브러리의 버전 4.5에 더 이상 종속되지 않습니다. 이제 고객은 게이트웨이 디렉토리에 Remedy 라이브러리를 배치해야 합니다. 이러한 라이브러리는 Remedy 서버에서 찾을 수 있습니다. (ID-17361, ID-16551)
- 이 서비스 팩에서 Identity Manager는 Remedy 버전 6.3 및 7.0을 지원합니다. 그러나 샘플 데이터, 기본값 및 추가 시스템 구성 측면에서 이러한 버전 간에 기본적으로 많은 차이점이 있습니다. 예를 들어, 버전 6.3에서 "티켓" 스키마의 이름은 HPD:HelpDesk이지만 7.0에서는 HPD:Help Desk로 변경되었습니다. (ID-17361, ID-14611)
- Active Directory 자원을 구성하는 경우 이제 자원 인증 등록 정보 섹션에서 도메인을 지정할 수 있게 되었습니다. 관리자는 해당 로그인이 올바른 Active Directory 도메인에 대해서만 인증되도록 다중 도메인 또는 포리스트 환경의 도메인을 지정해야 합니다. 도메인을 지정하지 않을 경우 한 번만 로그인에 실패해도 잠길 수 있습니다. 사용자가 주 도메인과의 신뢰 관계를 공유하는 각 도메인에 대해 비밀번호 실패를 수집할 수 있기 때문입니다. (ID-16603)
- SecurId Unix 자원 어댑터 관련 문제가 수정되었습니다. 이 수정 이전에는 사용자의 이름 및/또는 성을 변경할 경우 사용자의 그룹이 SecurId 자원에서 삭제되었습니다. (ID-16914)
스케줄러
추가로 수정된 결함
16382
알려진 문제
- 계정 목록 표시 탭(계정 > 계정 목록 표시)의 계정 트리 테이블에 관리자 열이 표시되지 않습니다. (이름, 성 및 이름 열만 표시됩니다.)
이 문제를 해결하기 위해 비즈니스 프로세스 편집기를 사용하여 UserUIConfig 구성 객체를 편집합니다.
<AppletColumns> 요소를 찾아 목록 끝에 다음 XML 커플릿을 삽입합니다.
<Object name='idmManager'>
<Attribute name='label' value='UI_ATTR_MANAGER'/>
</Object>
변경 사항을 저장하고 응용 프로그램 서버를 다시 시작합니다. (ID-17710)
- 관리자 인터페이스에서 제출된 위임을 취소할 수 있는 유일한 방법은(승인 > 내 승인 위임) 종료 날짜가 시작 날짜(또는 과거의 특정 날짜)와 동일하도록 설정하는 것입니다. (ID-16790, ID-16799)
- TaskScheduleViewer는 입력에 필요한 형식과 동일한 형식으로 시작 날짜를 지정하지 않습니다. 결과적으로, 작업 일정 편집 시 시작 날짜를 수정해야 합니다. (ID-5675)
- 기본적으로 사용자가 인증 질문에 대한 대답을 입력하면 해당 문자가 별표(*)로 표시됩니다. 그러나 이 방법에서는 일본어 한자에 사용된 것과 같은 복잡한 문자를 만드는 일부 IME(Input Method Editor)의 기능을 사용할 수 없습니다.
사용자가 IME를 사용하여 인증 질문에 대답할 수 있게 하려면 디버그 페이지를 사용하여 질문 로그인 양식 UserForm에서 secret 등록 정보 값을 false로 변경합니다.
<Property name='secret' value='false'/>
주: 이 값을 false로 설정하면 인증 질문에 대한 대답을 화면에서 읽을 수 있으므로 보안 위험이 있습니다. 하지만 대답은 계속 암호화되어 저장됩니다. (ID-7424)
- Identity Manager 관리자 인터페이스에 표시되는 일부 구성 옵션은 Identity Manager SPE에서 사용되지 않습니다. (ID-10843) 이러한 옵션은 다음과 같습니다.
- FireFox 1.5에서 일부 Identity Manager 양식이 올바르게 표시되지 않습니다. 예를 들어 탭으로 구성된 사용자 양식에서 브라우저가 레이블을 줄바꿈하지 않아 모든 항목이 오른쪽으로 밀립니다. (ID-13109)
- 사용자 및 사용자 질문 보고서에서 "사용자 이름이 일치하는 사용자만 보고" 확인란이 두 번 표시됩니다. 또한 한 확인란에는 I-help가 있지만 다른 확인란에는 없습니다. 두 확인란 중 하나를 개별적으로 사용하면 올바른 데이터가 반환됩니다. (ID-13155)
- SPE 최종 사용자 페이지에 로그인했을 때 HTTP Status 500 오류가 발생한 경우 이는 SPE 구성에 암호화 키가 여러 개 있음을 나타내는 것일 수 있습니다. 이 오류는 업그레이드 과정 동안 Identity Manager에서 새 키가 생성된 경우 발생할 수 있습니다.
이 문제는 SPE 구성 디렉토리에서 암호화 키(EncryptionKeys)를 삭제하고 Identity Manager에서 다시 내보내면 해결할 수 있습니다. (ID-13162)
- 사용자의 전자 메일 속성에 값을 설정한 후 이 값을 제거할 수 없습니다. 값을 변경할 수는 있지만 다시 null로 설정할 수는 없습니다. (ID-13164)
- 역할 양식을 수정하여 showSuperAndSubRoles 변수를 0에서 1로 변경한 다음 구성 탭에서 기존 하위 역할이 포함된 상위 역할 객체 정의 파일을 가져오면 하위 역할이 <SuperRoles> 섹션을 포함하도록 수정되지 않습니다. 그러나 Identity Manager 그래픽 사용자 인터페이스를 사용하여 상위 역할을 만들면 해당 상위 역할에서 참조하는 하위 역할이 업데이트됩니다. (ID-15053)
이 문제는 Identity Manager 외부에 이미 시스템에 있는 기존 역할(하위 역할 또는 상위 역할)을 참조하는 역할을 만든 경우 발생합니다.
이 역할을 가져올 때 이미 시스템에 있는 역할이 새로운 관계를 반영하도록 업데이트되지 않습니다(예: 참조 무결성이 유지되지 않음). 이 방법으로 역할을 가져온 경우에는 RoleUpdater를 사용하여 참조 무결성을 확인하고 수정해야 합니다.
해결 방법: "역할"에 설명된 ID-15482를 참조하십시오.
- Identity Manager에 로드가 많은 특정 조건에서 Microsoft SQL Server 2000의 잠금 특성이 교착 상태 오류를 유발할 수 있습니다. (ID-16068)
해결 방법: 기본 모드를 사용하여 Microsoft SQL Server 2000에서 Microsoft SQL Server 2005로 업그레이드합니다.
스냅샷 격리라는 새 기능이 있는 Microsoft SQL Server 2005는 로드가 많은 상태에서 Identity Manager의 테스트를 거친 결과 SQL Server 2000과 동일한 교착 상태 문제를 유발하지 않았습니다.
다음과 같이 READ_COMMITTED_SNAPSHOT을 사용하도록 데이터베이스를 변경하는 것이 유용한 고객들도 있습니다.
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- WebSphere 데이터 소스와 Oracle JDBC 드라이버 간의 상호 운용성 문제로 인하여 Identity Manager와 함께 WebSphere 데이터 소스를 사용하려는 Oracle 고객은 Oracle 10g R2 및 해당 JDBC 드라이버를 사용해야 합니다. Oracle 9 JDBC 드라이버는 WebSphere 데이터 소스 및 Identity Manager와 함께 작동되지 않습니다. Oracle 버전이 10g R2 이전이고 Oracle을 10g R2로 업그레이드할 수 없는 경우 Oracle JDBC 드라이버 관리자를 사용하여 WebSphere 데이터 소스가 아닌 Oracle 데이터베이스에 연결되도록 Identity Manager 저장소를 구성합니다. (ID-16167)
자세한 내용은 다음 URL을 참조하십시오.
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- 다국어 모드에서는 "사용자 편집" 화면의 탭에 있는 일부 글자의 줄이 바뀔 수 있습니다. (ID-16054)
해결 방법: 줄 바뀜 없이 탭에 있는 글자를 표시하려면 다음을 $WSHOME/styles/customStyle.css에 추가합니다.
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}