Identity Installation Pack 2005Q4M3 SP4 功能

在安裝或升級 Sun Java™ System Identity Installation Pack 軟體前，請檢閱此版本說明的「安裝與更新注意事項」一節，以及最新的 Identity Manager 2005Q4M3 服務軟體隨附的任何文件。

此發行版本中的新增功能和修正的缺陷

本小節提供 Identity Installation Pack 2005Q4M3 SP4 新增功能的摘要和詳細資訊。請參閱本章的各個小節，以取得詳細資訊。

管理員介面

檢視 [伺服器作業] 時，[全部作業] 標籤上的 [開始時間] 欄現在會以正確時序進行排序。過去，[開始時間] 欄並不會正確排序。(ID-16783)

在 [列出帳號] 標籤 ([帳號] > [列出帳號]) 上執行使用者搜尋時，每個組織的使用者在搜尋功能的顯示結果中只會列出一次。過去，每個組織的相同使用者在搜尋結果中會出現多次。(ID-16795)

另請參閱第 2-21 頁的「已知問題」一節，以了解與 [列出帳號] 標籤上的帳號樹狀表格有關的個別問題。

依據帳號樹狀表格中的使用者執行搜尋時，所傳回的使用者管理員屬性現已會顯示管理員的完整名稱。過去只會顯示管理員的 ID。(ID-14645)

[變更使用者密碼結果] 頁面中已移除 [狀態] 欄。此外，下列頁面也已移除 [狀態] 欄：[變更答案結果]、[變更全部結果] 與 [變更密碼結果]。過去，[狀態] 欄並未顯示任何資料，也無任何用途。(ID-16889)

您現在可清除表單上的 DatePicker 欄位類型值。(ID-17022)

[擱置核准] 表格現已可進行排序。過去，核准仍在擱置中的使用者無法排序此表格，而只會顯示「無法設定結果頁格式，因為沒有作業 ID 或結果」訊息。(ID-17304)

在顯示特性 autocomplete 設定為 off 時，文字顯示元件在輸入欄位中現已會顯示為 autocomplete="off" (將 autocomplete 特性設定為 off，可避免瀏覽器提議在使用者電腦上儲存使用者憑證)。

您可以增加顯示特性，以在 XPRESS 中進行此自訂。若使用 off 以外的值，則不會顯示 autocomplete 屬性 (等同於未設定特性)。(ID-17045)

在下列頁面中發現跨網站程序檔弱點，並已加以修正 (ID-17241)：

task/taskLaunch.jsp

user/processLaunch.jsp

user/requestLaunch.jsp

稽核

建立角色的稽核記錄現在於稽核報告的 [變更] 區段中，會提供有關角色的其他資訊 (例如指定的資源、子角色、超級角色與角色屬性)。(ID-16327)

密碼同步化

在 Microsoft Windows Server 2003 SP2 的某運作方式變更後，Identity Manager 的 PasswordSync DLL (lhpwic.dll) 也必須進行變更。在 SP2 中，從 Windows 傳送至 PasswordSync 的密碼變更通知可能包含未正確格式化的電腦帳號資料。如此會導致 PasswordSync 丟出異常。最終它也可能致使 Microsoft 的 Local Security Authority Subsystem (LSASS) 元件失效，而必須重新啟動網域控制器。

由於 PasswordSync 不會處理電腦帳號資料 (只會處理使用者帳號)，因此 PasswordSync DLL 已更新為一接收到電腦帳號變更通知時即全數放棄。

Windows 電腦帳號以「$」美元符號結尾。因此請注意，PasswordSync 將不會處理任何以 $ 結尾的帳號，包括任何可能以 $ 結尾的使用者帳號在內。(ID-17245)

PasswordSync 追蹤記錄已更新。現在，當 PasswordSync/JMS 將密碼變更通知從 Windows Active Directory 轉寄至 Identity Manager 時，若使用者不在 Identity Manager 中，追蹤記錄將會記錄適當的訊息。過去在類似情況下，PasswordSync 只會擲回空指標異常，而不會加以說明。(ID-16920)

現在，以 [目錄服務復原] 模式啟動 Active Directory 網域控制器時若 PasswordSync (lhpwic.dll) 失效，將不再導致連續重新啟動循環。(ID-16695)

PasswordSync 已更新，可以防止執行 PasswordSync (lhpwic.dll) 的 Active Directory 網域控制器上出現「out of handle」錯誤。當電腦帳號在網域中進行更新時，網域控制器會誤將密碼更新通知傳送至 Identity Manager 的 PasswordSync DLL。於是，DLL 並未正確地關閉搜尋控點。(ID-16495)

此外，會導致處理錯誤的另一個 PasswordSync 問題也已獲得解決。(ID-16827)

若 PasswordSync DLL 擲回異常，新的 Windows 登錄項目將會產生傾印檔案。

機碼名稱：dumpFilebase

類型：REG_SZ

此機碼應增加至執行 PasswordSync 的 Windows 網域控制器。登錄機碼應設定為記憶體傾印應寫入的完整合格目錄路徑中，例如：c:\temp。

若登錄值已設定，則每次在密碼處理期間出現異常時，即會寫入記憶體傾印。

備註：在 Windows 2000 Server (任何服務軟體) 上，您還必須在已配置的目錄中安裝 DbgHelp.dll，而該檔案可從 Microsoft 取得。此檔案的最低版本必須是 5.1。請至以下位置下載此檔案：

http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx

若未安裝 DbgHelp.dll，Windows 2000 上將不會產生任何傾印。

傾印檔案將以下列格式命名：

lhpwic-YYYYMMDD-HHmm-xxxxx.dmp

在此名稱中，YYYYMMDD 將是傾印日期，HHmm 是傾印時間 (24 小時制)，而 xxxxx 是應用程式的執行緒數。

請注意，傾印檔案必須以手動方式移除！這些檔案的大小從 20 MB 到超過 100 MB 不等，視 Windows Local Security Authority Subsystem (LSASS) 程序的大小而定。若未移除這些傾印檔案，時間一久，系統有限的磁碟空間可能就會用盡。(ID-17552)

協調

在協調期間依帳號 ID 進行搜尋時，會產生空指標異常。此問題已修正。(ID-17186)

報告

下列事件現將納入 [稽核記錄] 報告中，例如「今天的活動報告」：

嘗試以遺失的使用者 ID 或密碼建立使用者

嘗試以不存在的角色建立使用者 (以及嘗試為現有的使用者指定不存在的角色)

嘗試建立違反帳號 ID 策略的使用者

嘗試建立被指定無法存取之資源的使用者 (以及嘗試為現有的使用者指定無法存取的資源)

嘗試刪除不存在的使用者

這些事件也會寫入 [系統記錄檔] 中。

過去，建立及刪除使用者的失敗嘗試只會寫入 [系統記錄檔] 中。(ID-13284)

現在，Identity Manager 在使用 Oracle 資料庫做為 Identity Manager 儲存庫時，已可支援 acctAttrChanges 的 CLOB 資料類型。

使用 CLOB (而非使用預設的 VARCHAR(4000) 資料類型) 的優點是可以記錄較大的一組變更；但由於 CLOB 存取常式是專屬格式，因此此欄更難查詢。

若要進行較大的一組變更，您必須將 log.acctAttrChanges 欄類型 (從 VARCHAR(4000)) 變更為 CLOB，並依此調整 RepositoryConfiguration 配置物件的 maxLogAcctAttrChangesLength 屬性。(ID-15326)

資源

Solaris 資源配接卡現在會強制使用者在下次登入時變更其密碼。若要啟用此功能，請在模式對映的 [Identity 系統使用者屬性] 欄中加入 expirePassword，並在 [資源使用者屬性] 欄中加入 force_change。此屬性類型必須設定為字串。(ID-17032、ID-17146)

Oracle 資源配接卡已更新，可以在配接卡無法增加、修改或刪除使用者責任時，提供更詳細的錯誤訊息。配接卡現在會列出它無法更新的責任。(ID-16656)

Sun Access Manager 資源配接卡現已可採用 SSL 模式連線至 Access Manager。過去，管理員在測試資源配接卡配置時，會收到「無法建立 AuthContext」錯誤。(ID-16454)

Microsoft ADSI 閘道已更新。現在，若使用 Active Directory 資源驗證使用者登入 Identity Manager 的作業，而使用者的 Windows 密碼已過期，Identity Manager UI 會提示使用者變更其密碼。過去，使用者只會收到表示密碼已過期的錯誤訊息。(ID-16681)

存取 Remedy 伺服器的支援已變更。閘道不再依賴 4.5 版的 Remedy API 程式庫。現在，客戶必須將 Remedy 程式庫置於閘道目錄中。這些程式庫位於 Remedy 伺服器上。(ID-17361、ID-16551)

透過此服務軟體，Identity Manager 得以支援 Remedy 6.3 與 7.0 版。但是，這兩個版本在其範例資料、預設值與即開即用 (out-of-the-box) 配置方面，有著相當大的差異。例如，在 6.3 版本中，「票證」模式的名稱為 HPD:HelpDesk，而在 7.0 中則變更為 HPD:Help Desk。(ID-17361、ID-14611)

在配置 Active Directory 資源時，現已可在資源認證特性區段中指定網域。管理員應在多重網域或樹系環境中指定網域，使登入能夠僅對正確的 Active Directory 網域進行驗證。若未指定網域，使用者可能在嘗試登入失敗一次後即遭鎖定。這是因為與主要網域共用信任關係的每個網域，都可能讓使用者遭遇密碼失敗事件。(ID-16603)

SecurId Unix 資源配接卡的相關問題已修正。在修正之前，變更使用者名字和/或姓氏都將導致使用者的群組從 SecurId 資源中刪除。(ID-16914)

排程程式

排程程式已更新，可隱藏 SystemLog (syslog) 項目 EVNT00, LockedByAnother 的輸出。在叢集環境中，此錯誤訊息輸出至記錄檔的次數過多。(ID-15714)

排程程式已更新，可降低 Identity Manager 的兩個實例同時執行相同工作流程的可能性。進行此更新前，叢集環境中只要有多個排程程式使用相同的儲存庫，就很可能發生這種問題。(ID-16500)

其他已修正的缺陷

16382

已知問題

[列出帳號] 標籤 ([帳號] > [列出帳號]) 上的帳號樹狀表格不會顯示 [管理員] 欄， (只會顯示 [名稱]、[姓氏] 與 [名字] 等欄)。

若要更正此問題，請使用 [業務程序編輯器] 來編輯 UserUIConfig 配置物件。

找出 <AppletColumns> 元素，並在清單結尾插入下列 XML 對組：

</Object>

儲存變更，然後重新啟動應用程式伺服器。(ID-17710)

若要在 [管理員介面] 中取消已提交的委託 ([核准] > [委託我的核准])，您必須將 [結束日期] 與 [開始日期] 設為同一天 (或將 [結束日期] 設為過去的日期)。(ID-16790、ID-16799)

TaskScheduleViewer 不會以必要的輸入格式來格式化開始日期。因此，您必須在編輯作業排程時更正開始日期。(ID-5675)

依照預設，當使用者鍵入答案到認證問題時，字元會以星號 (*) 顯示。然而，這會停用某些輸入法編輯器 (IME) 建立複雜字元的功能，如日文漢字中使用的字元。

若要讓使用者可使用 IME 回答認證問題，請使用 [除錯] 頁面將「問題登入表單 UserForm」中的 secret 屬性值變更為 false。

備註：將此值設為 false 會有安全性風險，因為認證問題的答案在螢幕上會變成一般人皆可辨識。答案則仍會以加密方式儲存。(ID-7424)

顯示在 Identity Manager 管理員介面中的某些配置選項無法與 Identity Manager SPE 配合使用。(ID-10843)。這些配置選項為︰

資源精靈配置選項：排除帳號規則、核准人以及組織

角色屬性

FireFox 1.5 不會正確顯示某些 Identity Manager 表單。例如，瀏覽器在 [標籤式使用者] 表單中不會使標籤換行，這會將所有內容推向右方。(ID-13109)

在 [使用者] 和 [使用者問題] 報告中，會列出兩次 [僅報告具下列使用者名稱的使用者] 核取方塊。一個核取方塊有 I-help，但是另一個核取方塊並沒有。分別使用任一個核取方塊都會傳回正確的資料。(ID-13155)

若登入 SPE 一般使用者頁面會發生「HTTP Status 500」錯誤，這表示 SPE 配置中有多個加密金鑰。這可能是在升級程序期間，Identity Manager 中所產生的新加密金鑰導致的。

解決方法是從 SPE 配置目錄中刪除加密金鑰 (EncryptionKeys)，然後從 Identity Manager 中重新匯出。(ID-13162)

一旦設定使用者的電子郵件屬性值，就無法移除。可變更該值，但無法設定回空值。(ID-13164)

若您修改 [角色] 表單而將 showSuperAndSubRoles 變數從 0 變更為 1，然後從 [配置] 標籤匯入包含現有子角色的超級角色物件定義檔，則不會修改這些子角色以納入 <[超級角色]> 區段。但若您使用 Identity Manager 圖形使用者介面建立超級角色，則超級角色所參照的子角色將會更新。(ID-15053)

在 Identity Manager 以外建立的角色若參照系統中已存在的現有角色 (無論是子角色還是超級角色)，則可能會發生此問題。

在匯入這些角色時，系統中已存在的角色不會進行更新以反映新的關係；例如，參照完整性將無法維持。若以此方式匯入角色，請使用 RoleUpdater 檢查及更正參照完整性。

解決方法：請參閱「角色」中說明的 ID-15482。

若 Identity Manager 中出現某些大量負載的情況，Microsoft SQL Server 2000 的鎖定特性即可能導致死結錯誤。(ID-16068)

解決方法：使用本機模式，從 Microsoft SQL Server 2000 升級為 Microsoft SQL Server 2005。

Microsoft SQL Server 2005 (具有名為 Snapshot Isolation 的新功能) 已針對 Identity Manager 執行大量負載情況的測試，且並未出現與 SQL Server 2000 相同的死結問題。

有些客戶覺得使其資料庫以下列方式改用 READ_COMMITTED_SNAPSHOT，也有所幫助：

ALTER DATABASE dbname SET READ_COMMITTED_SNAPSHOT ON </quote>

由於 WebSphere 資料來源與 Oracle JDBC 驅動程式之間的互通功能問題，需要搭配 Identity Manager 使用 WebSphere 資料來源的 Oracle 客戶必須使用 Oracle 10g R2 以及對應的 JDBC 驅動程式。(Oracle 9 JDBC 驅動程式不適用於 WebSphere 資料來源與 Identity Manager。)若您使用 10g R2 之前的 Oracle 版本，且無法升級為 Oracle 10g R2，請配置 Identity Manager 儲存庫，使其可使用 Oracle 的 JDBC Driver Manager (而非 WebSphere 資料來源) 連線至 Oracle 資料庫。(ID-16167)

如需相關資訊，請參閱下列 URL：

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

[編輯使用者] 螢幕標籤上的某些文字在多語系模式中可能會換行。(ID-16054)

解決方法：若要確保標籤中顯示的文字不會換行，請將下列內容加入 $WSHOME/styles/customStyle.css 中：

table.Tab2TblNew td {

background-image:url(../images/tabs/level2_deselect.jpg);

background-repeat:repeat-x;background-position:left top;

background-color:#C4CBD1;

border:solid 1px #8f989f;

white-space:nowrap;

}

table.Tab2TblNew td.Tab2TblSelTd {

border-bottom:none;

background-image:url(../images/tabs/level3_selected.jpg);

background-repeat:repeat-x;background-position:left bottom;

background-color:#F2F4F3;

border-left:solid 1px #8f989f;

border-right:solid 1px #8f989f;

border-top:solid 1px #8f989f;

white-space:nowrap;

}

上一頁目錄下一頁
Sun Java System Identity Installation Pack 2005Q4M3 SP4 版本說明