Sun Java System Identity Installation Pack 2005Q4M3 SP4 发行说明 |
Identity Installation Pack 2005Q4M3 SP4 功能
在安装或升级 Sun Java System Identity Installation Pack 软件之前,请查看本发行说明中的“安装和更新说明”一节及最新的 Identity Manager 2005Q4M3 服务包提供的文档。
本发行版中的新增功能和修复的缺陷本节包含 Identity Installation Pack 2005Q4M3 SP4 新增功能的摘要和详细信息。有关详细信息,请参见本章中的各节。
管理员界面
- 现在,查看服务器任务时,所有任务选项卡上的开始时间列将按正确的时间先后顺序排序。以前,开始时间列并未进行适当的排序。(ID-16783)
- 现在,当在列出帐户选项卡(“帐户”>“列出帐户”)上执行用户搜索时,对于每个组织,搜索功能只会列出用户一次。以前,对于每个组织,同一用户可能会在搜索结果中出现多次。(ID-16795)
此外:有关“列出帐户”选项卡上帐户树表的另外一个问题,请参见第 2-21 页上的“已知问题”一节。
- 现在,当在帐户树表中按用户进行搜索时,返回用户的管理员属性将显示管理员的全名。以前,仅会显示管理员的 ID。(ID-14645)
- 更改用户密码结果页上的状态列已被删除。此外,还从下列页面中删除了状态列: 更改回答结果、更改所有结果和更改密码结果。以前的状态列不显示任何数据,也没有任何用处。(ID-16889)
- 现在可以清除表单上的日期选择器 (DatePicker) 字段类型值。(ID-17022)
- 现在可以对暂挂批准表进行排序。以前,具有暂挂批准的用户无法对此表进行排序。而是会显示以下消息:“无法格式化结果页,没有任务 id 或结果”。(ID-17304)
- 现在,文本显示组件可以在输入字段(其中显示属性 autocomplete 已被设置为 off)上呈现 autocomplete="off"。(将 autocomplete 设置为 off,可阻止浏览器向用户提供在其计算机上存储用户凭证的功能。)
通过添加该显示属性,可以在 XPRESS 中进行此自定义。使用除 off 以外的任何其他值可阻止呈现 autocomplete 属性(与不设置该属性效果相同)。(ID-17045)
- 在以下页面中,发现了跨站点脚本漏洞,并对其进行了修复 (ID-17241):
审计
密码同步
- 由于 Microsoft Windows Server 2003 SP2 中的行为有所变更,因此必须更改 Identity Manager 的 PasswordSync DLL (lhpwic.dll)。在 SP2 中,从 Windows 发送至 PasswordSync 的密码更改通知可能包含格式不当的计算机帐户数据。这会导致 PasswordSync 抛出异常。最终还会造成 Microsoft 的本地安全性授权子系统 (Local Security Authority Subsystem, LSASS) 组件挂起,进而要求重新引导域控制器。
因为计算机帐户数据不是由 PasswordSync(仅处理用户帐户)处理的,所以对 PasswordSync DLL 进行了更新,使其在接收到计算机帐户更改通知后立即放弃所有这些通知。
Windows 计算机帐户以美元符号 "$" 结尾。因此,请注意 PasswordSync 不会处理任何以 $ 结尾的帐户,包括任何可能以 $ 结尾的用户帐户。(ID-17245)
- 对 PasswordSync 跟踪日志进行了更新。现在,当 PasswordSync/JMS 将来自 Windows Active Directory 的密码更改通知转发给 Identity Manager 时,如果 Identity Manager 中不存在该用户,跟踪日志将记录一条相应的消息。以前在这种情况下,PasswordSync 会抛出 null 指针异常,而不提供任何说明。(ID-16920)
- 以“目录服务恢复”模式引导 Active Directory 域控制器时,如果 PasswordSync (lhpwic.dll) 崩溃,不会再导致连续的重新引导循环。(ID-16695)
- 对 PasswordSync 进行了更新,以便防止在运行 PasswordSync (lhpwic.dll) 的 Active Directory 域控制器上出现“句柄不足”错误。在域中更新计算机帐户时,域控制器会错误地向 Identity Manager 的 PasswordSync DLL 发送一个密码更新通知。这会导致 DLL 不能正确关闭搜索句柄。(ID-16495)
此外:已解决另外一个导致句柄泄露的 PasswordSync 问题。(ID-16827)
- 如果 PasswordSync DLL 抛出异常,一个新的 Windows 注册表项将生成一个转储文件。
主键名称: dumpFilebase
类型: REG_SZ
该主键应被添加到运行 PasswordSync 的 Windows 域控制器中。注册表主键应被设置为在其中写入内存转储文件的全限定目录路径,例如:c:\temp。
设置该注册表值后,每次在密码处理过程中捕获到异常时,都会写入内存转储文件。
注:在 Windows 2000 Server(任何服务包)上,还必须在已配置的目录中安装 DbgHelp.dll,可以从 Microsoft 获取该文件。该文件的版本最低应为 5.1。请从此处下载该文件:
http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
如果未安装 DbgHelp.dll,则 Windows 2000 上不会生成任何转储文件。
转储文件将使用以下格式命名:
lhpwic-YYYYMMDD-HHmm-xxxxx.dmp
其中,YYYYMMDD 应为转储的日期,HHmm 应为转储的时间(24 小时制),xxxxx 应为应用程序的线程号。
请注意,转储文件需要手动删除! 根据 Windows 本地安全性授权子系统 (Local Security Authority Subsystem, LSASS) 进程大小的不同,这些文件的大小从 20 MB 到 100 MB 以上不等。如果不删除这些转储文件,则经过一段时间后,将会占用完系统中的有限磁盘空间。(ID-17552)
协调
报告
- 现在,审计日志报告(如“今天的活动报告”)中将包含以下事件:
- 现在,将 Oracle 数据库用作 Identity Manager 系统信息库时,Identity Manager 支持 acctAttrChanges 的 CLOB 数据类型。
使用 CLOB(而非默认的 VARCHAR(4000) 数据类型)的优势在于它允许记录更大的更改集,但是由于 CLOB 访问例程的专有性,它也会使此列更难以查询。
要支持更大的更改集,必须将 log.acctAttrChanges 列类型更改为 CLOB(原来为 VARCHAR(4000)),然后相应地调整 RepositoryConfiguration 配置对象的 maxLogAcctAttrChangesLength 属性。(ID-15326)
资源
- 现在,Solaris 资源适配器可强制用户下次登录时更改其密码。要启用此功能,请将 expirePassword 添加到模式映射的“Identity System 用户属性”列,并将 force_change 添加到“资源用户属性”列。必须将该属性类型设置为字符串。(ID-17032、ID-17146)
- 对 Oracle 资源适配器进行了更新,以便在适配器无法添加、修改或删除用户职责时提供更为详细的错误消息。现在,适配器会列出它无法更新的职责。(ID-16656)
- 现在,Sun Access Manager 资源适配器可以在 SSL 模式下连接到 Access Manager。以前,当测试资源适配器配置时,管理员会收到“无法创建 AuthContext”的错误消息。(ID-16454)
- 对 Microsoft ADSI 网关进行了更新。现在,使用 Active Directory 资源验证登录到 Identity Manager 的用户时,如果用户的 Windows 密码已到期,则 Identity Manager UI 会提示用户更改其密码。以前,用户只会收到一条说明其密码已到期的错误消息。(ID-16681)
- 对访问 Remedy 服务器的支持已变更。网关不再依赖于 4.5 版的 Remedy API 库。现在,客户需要将 Remedy 库放到网关目录中。这些库可以在 Remedy 服务器上找到。(ID-17361、ID-16551)
- 借助此服务包,Identity Manager 可以支持 Remedy 版本 6.3 和 7.0。但是,这两个版本在样例数据、默认值和现成可用的配置方面存在许多重大差别。例如,在版本 6.3 中,“票证”模式的名称为 HPD:HelpDesk,而在 7.0 中该名称已更改为 HPD:Help Desk。(ID-17361、ID-14611)
- 现在,当配置 Active Directory 资源时,可以在资源验证属性部分中指定域。在多域或林环境中,管理员应该指定域,以便仅针对正确的 Active Directory 域进行登录验证。如果未指定域,则在用户只进行了一次失败的登录尝试后,便会锁定该用户。这是因为用户可以对与主域共享信任关系的每个域收集密码错误信息。(ID-16603)
- SecurId Unix 资源适配器问题已修复。在修复之前,一旦更改用户的名和/或姓,即会从 SecurId 资源中删除该用户的组。(ID-16914)
调度程序
修复的其他缺陷
16382
已知问题
- 列出帐户选项卡(“帐户”>“列出帐户”)上的帐户树表不显示管理员列。(仅显示姓名、姓和名列。)
要解决此问题,请使用业务进程编辑器编辑 UserUIConfig 配置对象。
找到 <AppletColumns> 元素,然后在该列表的结尾处插入以下 XML 语句对:
<Object name='idmManager'>
<Attribute name='label' value='UI_ATTR_MANAGER'/>
</Object>
保存更改,然后重新启动应用服务器。(ID-17710)
- 在管理员界面中,只能通过以下方式取消提交的委托(批准 > 委托我的批准):将“结束日期”设置为与“开始日期”相同的日期或过去的某个日期。(ID-16790、ID-16799)
- TaskScheduleViewer 不会将开始日期设置为要求输入的格式。因此,必须在编辑任务进度表时更正开始日期。(ID-5675)
- 默认情况下,在用户键入验证问题的答案时,会用星号 (*) 屏蔽这些字符。但是,这种做法会使某些输入法编辑器 (IME) 无法创建复杂字符,例如在日语汉字中使用的字符。
为使用户能使用 IME 回答验证问题,请在“问题登录表单”用户表单中使用“调试”页将 secret 属性值更改为 false。
<Property name='secret' value='false'/>
注:将此值设置为 false 有安全风险,因为验证问题的答案现在会以用户可读形式显示在屏幕上。答案仍以加密方式存储。(ID-7424)
- Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括:
- FireFox 1.5 无法正确显示某些 Identity Manager 表单。例如,在选项卡式用户表单上,浏览器不会对标签换行,这将使所有内容位于右侧。(ID-13109)
- “只报告以下用户名的用户”复选框在用户和用户问题报告中列出两次。一个复选框具有 I-help,而另一个复选框则没有。分别使用任一复选框都会返回正确的数据。(ID-13155)
- 如果登录到 SPE 最终用户页时发生 HTTP Status 500 错误,这可能表示在 SPE 配置中有多个加密密钥。在升级过程中 Identity Manager 生成新加密密钥会导致这一情况。
解决方法是,从 SPE 配置目录中删除加密密钥 (EncryptionKey),然后从 Identity Manager 重新导出。(ID-13162)
- 对用户的电子邮件属性设置某个值后,就无法删除此值。可以更改此值,但无法重新设置为 null。(ID-13164)
- 如果修改角色表单以将 showSuperAndSubRoles 变量由 0 更改为 1,然后从“配置”选项卡中导入包含现有子角色的超级角色对象定义文件,则不会修改这些子角色以包含 <SuperRoles> 部分。但是,如果使用 Identity Manager 图形用户界面来创建超级角色,则将更新该超级角色所引用的子角色。(ID-15053)
如果在 Identity Manager 外部创建的角色引用系统中已存在的角色(子角色或超级角色),则可能会出现这种问题。
导入这些角色时,不会更新系统中已存在的角色以反映新的关系;例如,不保持引用完整性。如果按这种方式导入角色,请使用 RoleUpdater 检查并纠正引用完整性。
解决方法:请参见“角色”中所述的 ID-15482。
- 在某些较高负载条件下,Microsoft SQL Server 2000 的锁定特性可能会导致 Identity Manager 中出现死锁错误。(ID-16068)
解决方法:使用本地模式从 Microsoft SQL Server 2000 升级至 Microsoft SQL Server 2005。
已在较高负载条件下使用 Identity Manager 测试了 Microsoft SQL Server 2005(它包含一项名为快照隔离的新功能),并且没有出现与 SQL Server 2000 相同的死锁问题。
某些客户还发现,将其数据库更改为使用 READ_COMMITTED_SNAPSHOT 是非常有用的,如下所示:
ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>
- 由于 WebSphere 数据源和 Oracle JDBC 驱动程序之间存在互操作性问题,因此要将 WebSphere 数据源与 Identity Manager 一起使用的 Oracle 用户必须使用 Oracle 10g R2 和相应的 JDBC 驱动程序。(Oracle 9 JDBC 驱动程序将无法与 WebSphere 数据源和 Identity Manager 一起使用。) 如果拥有 10g R2 之前版本的 Oracle,并且无法将 Oracle 升级到 10g R2,则应对 Identity Manager 系统信息库进行配置,使其使用 Oracle 的 JDBC 驱动程序管理器(而不是 WebSphere 数据源)连接到 Oracle 数据库。(ID-16167)
请访问下列 URL 以了解详细信息:
http://www-1.ibm.com/support/docview.wss?uid=swg21225859
- 在多语言模式下,“编辑用户”屏幕的选项卡上的部分文字可能会出现环绕情况。(ID-16054)
解决方法:要确保选项卡中的文字在显示时不出现环绕情况,请将以下内容添加到 $WSHOME/styles/customStyle.css 中:
table.Tab2TblNew td {
background-image:url(../images/tabs/level2_deselect.jpg);
background-repeat:repeat-x;background-position:left top;
background-color:#C4CBD1;
border:solid 1px #8f989f;
white-space:nowrap;
}
table.Tab2TblNew td.Tab2TblSelTd {
border-bottom:none;
background-image:url(../images/tabs/level3_selected.jpg);
background-repeat:repeat-x;background-position:left bottom;
background-color:#F2F4F3;
border-left:solid 1px #8f989f;
border-right:solid 1px #8f989f;
border-top:solid 1px #8f989f;
white-space:nowrap;
}