Bekannte Probleme

3 Bekannte Probleme

Die folgenden Abschnitte enthalten bekannte Probleme und Zwischenlösungen für:

Identity Manager

Identity Manager Service Provider Edition (SPE)

Identity Auditor

Identity Manager

Allgemein

Falls versucht wird, auf bestimmte Seiten zuzugreifen, wenn Cookies deaktiviert sind, wird eine Eingabeaufforderung für die Anmeldung aufgerufen (ID-158).

Systeme, die Sun Identity Manager Gateway ausführen, müssen so konfiguriert werden, dass Dr. Watson keine visuellen Benachrichtigungen erzeugt. Wenn diese Funktion festgelegt ist und beim Gateway ein Fehler auftritt, kann der Prozess erst ausgeführt werden, nachdem das Popupfenster geschlossen wurde.

Die Variablen display.session und display.subject sind für Disable-Formularelemente nicht verfügbar. Erstellen Sie nach Möglichkeit keine potenziell langen Aktivitäten in Disable-Elementen, weil diese Ausdrücke immer ausgeführt werden, wenn das Formular neu berechnet wird. Führen Sie stattdessen die Berechnung in einem anderen Formularelement aus, das nicht so oft ausgeführt wird.

Um mit der Identity Manager-Weboberfläche optimale Ergebnisse zu erzielen, verwenden Sie das OpenSPML-Toolkit von Identity Manager. Wenn Sie die Datei openspml.jar von der Website von openspml.org verwenden, können Speicherverluste auftreten (ID-11889).

Wenn Sie im Identity Manager-Installationsverzeichnis über freien Platz verfügen, geben Sie die WSHOME-Umgebungsvariable ohne doppelte Anführungszeichen (") wie unten angegeben an.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

oder

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse

Folgende Angaben sind ungültig:

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\lighthouse"

Erforderliche Felder, die in der Ressourcenschemazuordnung festgelegt wurden, werden nur beim Erstellen von Benutzerkonten geprüft (ID-220). Wenn ein Feld bei Benutzeraktualisierungen benötigt wird, muss das Benutzerformular entsprechend konfiguriert werden.

Der Organisationsname, Administratorname, Kontoname, Name des Benutzerattributs (links in der Schemazuordnung) und die Aufgabennamen werden nicht auf ungültige Zeichen geprüft (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). In den Namen für diese Objekttypen sind folgende Zeichen nicht zulässig: Dollar ($), Komma (,), Punkt (.), Apostroph ('), kaufmännisches Und (&), linke eckige Klammer ( [ ), rechte eckige Klammer ( ] ) und Doppelpunkt (:).

Wenn Sie versuchen, eine Aktion nach einem Sitzungstimeout auszuführen, wird eine irreführende Fehlermeldung auf der Kontoseite angezeigt (ID-1223).

Das Kalenderobjekt wird nicht vollständig angezeigt, wenn der Browser große Schriftarten verwendet (ID-2120).

Das Kontrollkästchen Alle auswählen auf der Seite für die Suchergebnisse und die Listenaufgabe wird nicht deaktiviert, wenn eines der Listenelemente deaktiviert ist (ID-5090). Das Kontrollkästchen Alle auswählen wird während der sich ergebenden Aktion ignoriert, wenn nicht die Kontrollkästchen aller Listenelemente aktiviert sind.

Um die Änderungen bei einem angepassten Meldungskatalog zu übernehmen, muss der Server neu gestartet werden (ID-6792).

Die Registerkarten der Randleiste (beispielsweise Kontenliste, Benutzer suchen) werden auf der Bestätigungsseite nicht angezeigt, wenn mehrere Benutzer aktiviert oder deaktiviert werden (ID-6866). Nach Bestätigung der Seite werden die Registerkarten wieder eingeblendet, sobald die Ergebnisse angezeigt werden.

Der derzeitige Mechanismus zum Ermitteln eines fehlgeschlagenen Servers geht davon aus, dass alle Systeme eines Identity Manager-Clusters in Bezug auf die Zeit synchronisiert sind (ID-7064). Wenn bei dem Standardausfallintervall von fünf Minuten ein Server fünf Minuten lang nicht mit einem anderen Server synchron ist, deklariert der Server, der zeitlich voraus ist, den zeitlich nachstehenden Server für inaktiv, was unvorhersehbare Ergebnisse zur Folge haben kann. Als Zwischenlösung muss eine bessere Zeitsynchronisation eingerichtet oder das Failoverintervall erhöht werden.

Wenn Sie sich unter Windows mit einem Benutzernamen mit Doppelbytezeichen anmelden und die Standardcodierung für den Computer nur Einzelbytezeichen unterstützt, müssen Sie die USER_JPI_PROFILE-Umgebungsvariable auf ein vorhandenes Verzeichnis setzen, dessen Name nur Einzelbytezeichen enthält (ID-8540).

Wenn das Kontoapplet nicht im Browser geladen wird, stellen Sie sicher, dass alle Benutzer für die JAR-Datei des Applets, IDM-Installationsverzeichnis/applet/tt22.jar sowie für das Verzeichnis, in dem die JAR-Datei des Applets enthalten ist, mit Lese- und Ausführungsberechtigungen ausgestattet sind (ID-8541).

Ressourcenobjekte werden jetzt als abfragbare Attributtypzeichenfolge (Attribute.TYPE_STRING) angegeben. Dieses Attribut enthält den Ressourcentypwert, der zuvor als Typ angegeben wurde.

Legen Sie so schnell wie möglich fest, dass angepasster Code, der Ressourcen auf der Grundlage des Typs (Attribute.TYPE) abfragt, jetzt Typzeichenfolgen (Attribute.TYPE_STRING) abfragt. Attribute.TYPE_STRING ist für Ressourcenobjekte eingebettet. Deshalb verbessert die Konvertierung in Attribute.TYPE_STRING die Leistung.

Die nächste vollständige Version von Identity Installation Pack gibt nicht mehr den Ressourcentypwert als Attribute.TYPE an (ID-11124, 11125).

In der Strukturtabellenansicht werden die Ressourcenobjekte nicht korrekt aktualisiert, nachdem ein Objekt gelöscht wurde. Um die Objekte korrekt anzuzeigen, muss die Seite manuell aktualisiert werden (ID-12241).

Installieren und Aktualisieren

Bei der Identity Manager-Installation über die Datei idm.war sind die Ausführungskomponenten in den UNIX-Shellskripten nicht festgelegt (ID-2371). Zwischenlösung: Führen Sie den chmod-Befehl von UNIX im Verzeichnis idm/bin aus.

Wenn bei der Aktualisierung während der Speicherung der Anpassungen ein Fehler auftritt, wird die Schaltfläche für die Installation weiterhin als aktive Schaltfläche angezeigt, obwohl sie deaktiviert ist (ID-3797).

Identity Manager kann keine Verbindung zu einem LDAP-Repository herstellen, wenn der DN Leerzeichen enthält (ID-6066).

Wenn Identity Manager in einer Tomcat 5.x-Umgebung installiert ist, wird bei der Ausführung von Berichten ein Java-Fehler erzeugt (ID-6652). Es gibt folgende Zwischenlösung:

cd $WSHOME\WEB-INF\classes

jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class

Die AD ActiveSync-Ressource wurde verworfen und durch die AD-Ressource ersetzt. Führen Sie folgende Schritte aus, um zu AD ActiveSync für neuere Versionen zu migrieren: (ID-11363).

Exportieren Sie das vorhandene AD ActiveSync-Ressourcenobjekt in eine XML-Datei (über die Befehlszeile oder auf den Debug-Seiten).

Löschen Sie die vorhandene Ressource. (Von diesem Vorgang sind keine Benutzer von Identity Manager oder des Ressourcenkontos betroffen.)

Erstellen Sie eine neue AD-Ressource als ActiveSync-Ressource.

Exportieren Sie dieses neue Ressourcenobjekt in eine XML-Datei.

Setzen Sie in dieser Datei die Werte für das id-Attribut und das name-Attribut auf die Werte des ALTEN Ressourcenobjekts, das in Schritt 1 gespeichert wurde. Diese Attribute befinden sich im Tag <Resource id='ID-Nummer' name='AD' ...>.

Speichern Sie die Änderungen in der Datei.

Importieren Sie das geänderte Objekt zurück in Identity Manager. Verwenden Sie hierzu die Seite Konfigurieren->Exchange-Datei importieren oder die Befehlszeile.

Wenn Sie auf Identity Manager 6.0 aufrüsten, können Probleme beim Generieren des PBE-Serverschlüssels auftreten. Wenn Sie Ihre ältere Version (vor 6.0) mit pkcs5 als Serverschlüsselverschlüsselung konfiguriert haben, kann der Lizenzschlüssel nach der Aufrüstung nicht mehr verwendet werden. Deshalb können Sie beim nächsten Serverstart sich nicht mehr anmelden oder die Konsole nicht starten (ID-12026, 12027).

Generieren Sie ein neues PBE-Passwort, indem Sie Neues sicheres PBE-Passwort nach dem Zufallsprinzip generieren auswählen. Diese Option ist nur verfügbar, wenn PKCS#5 vor der Aufrüstung ausgewählt wurde.

Sie können außerdem die Systemkonfiguration im aufgerüsteten System-Repository bearbeiten bzw. darin importieren. Das Hinzufügen, Entfernen oder Ändern der Werte für die pkcs5Encrypt- oder updatePkcs5Password-Attribute wirkt sich folgendermaßen auf die Verschlüsselung des Serverschlüssels aus:

pkcs5Encrypt = 'false', updatePkcs5Password = 'true' or 'false'

Dadurch werden alle Serververschlüsselungsschlüssel mit dem Standardverschlüsselungsschlüssel erneut verschlüsselt.

pkcs5Encrypt = 'true', updatePkcs5Password = 'false'

Dadurch werden alle Serververschlüsselungsschlüssel mit dem pcks5-Verschlüsselungsschlüssel erneut verschlüsselt, der aus dem PBE-Passwort im Repository generiert wird.

pkcs5Encrypt = 'true', updatePkcs5Password = 'true'

Dadurch wird das eindeutige, sichere und nach dem Zufallsprinzip generierte PBE-Passwort aus dem Repository (beispielsweise miscData) aktualisiert.

Dadurch werden alle Serververschlüsselungsschlüssel mit dem pcks5-Verschlüsselungsschlüssel, der aus dem aktualisierten PBE-Passwort im Repository generiert wird, erneut verschlüsselt.

Kontoverwaltung

Es können jetzt NT-Konten erstellt werden, die mehr als 20 Zeichen lang sind und von den nativen NT-Tools nicht unterstützt werden (ID-710).

Ein Administrator kann nur Ressourcen oder Rollen speichern, deren Organisationen von ihm verwaltet werden (ID-839).

Identity Manager überprüft keine Benutzerkonten mit Zeichen, die von NT nicht unterstützt werden (ID-844). Folgende Zeichen werden von NT nicht unterstützt:

" / \ [ ] : ; | = , + * ? < >

Außerdem kann ein Benutzername nicht ausschließlich aus Punkten (.) und Leerzeichen bestehen.

Beim Sortieren der Spalten auf der Seite für die Bereitstellungsergebnisse werden zusätzliche leere Zeilen zu den Ergebnissen hinzugefügt (ID-1105).

Genehmigungen für mehrere hundert Benutzerkonten dauern sehr lange (ID-1149). Zwischenlösung: Organisieren Sie die Datensätze für die Benutzerkonten in kleineren Gruppen.

Die Genehmigungsdatensätze eines Administrators, der nicht mehr über Genehmigungsberechtigung verfügt, können nicht genehmigt werden (ID-1150). Zwischenlösung: Entfernen Sie den Administrator aus den Ressourcen, Rollen und Organisationen, für die Genehmigungsrechte bestehen, und genehmigen Sie anschließend alle ausstehenden Genehmigungsdatensätze, bevor Sie den Administrator oder die Genehmigungsberechtigung für den Administrator entfernen.

Wenn ein Benutzer ohne Änderungen aktualisiert wird, wird die detaillierte Ergebnisseite nicht angezeigt (ID-2327).

Wenn Sie einen neuen Benutzer erstellen oder eine Ressource zu einem vorhandenen Benutzer hinzufügen, wobei der DN für den Benutzer falsch ist, wird der falsche Wert zwischengespeichert, bis sich der Administrator abmeldet (ID-2508). Wenn der DN korrigiert wurde, kann der Benutzer erst neu erstellt werden, nachdem sich der Administrator abgemeldet hat.

Die Kontosperrmeldung wird im Anmeldefenster der Identity Manager-Benutzeroberfläche von Netscape 4.7 nicht angezeigt (ID-2680). Die Fehlermeldung wird im Seiten-URL angezeigt.

Die Bezeichnung "name" ist ein für die Ansicht reserviertes Wort und kann nicht als Identity Manager-Benutzerattribut für Ressourcenschemazuordnungen verwendet werden (ID-2918).

In Windows Active Directory muss das Gateway als Administrator ausgeführt werden, der Verzeichnisse erstellen kann (ID-2919). Identity Manager kann Ausgangsverzeichnisse unter Windows 2000 erstellen. Der Kontoerstellvorgang für ein Ausgangsverzeichnis wird nicht vom in der Ressourcendefinition angegebenen Administrator, sondern vom Benutzer, unter dem der Gatewayprozess läuft, ausgeführt. Zwischenlösung: Geben Sie statt des Benutzers, unter dem das Gateway auf dem lokalen System läuft, ein Konto an, das über Berechtigungen zum Erstellen von entfernten Freigaben verfügt, und legen Sie die Berechtigungen für diese Freigaben fest. Dieses Konto muss außerdem die durchsuchende Überprüfung umgehen und als Betriebssystemberechtigung fungieren.

Die Windows NT-Ressource erzeugt eine Warnmeldung anstelle einer Fehlermeldung, wenn beim Deaktivieren eines Benutzerkontos ein Fehler auftritt (ID-3222).

Es wird manchmal eine java.lang.NullPointerException angezeigt, wenn auf der Seite zum Bearbeiten von Benutzern alle Ressourcen aus einem Benutzer entfernt werden (ID-4811). Zwischenlösung: Trennen oder löschen Sie diese Ressourcenkonten auf der Seite zum Löschen von Benutzern aus dem Benutzer.

Wenn ein Identity Manager-Benutzer erstellt und einer Windows Active Directory-Ressource zugewiesen wird, in der das Benutzerkonto bereits vorhanden ist, wird der Benutzer ohne GUID-Attribut in den Ressourceninformationen erstellt (ID-5114). Diese GUID ermittelt Änderungen bei der Organisation oder dem Namen des Benutzers in Active Directory. Sie können dieses Problem beheben, indem Sie in der Ressource eine Abstimmung ausführen.

Beim Erstellen eines Benutzers wird eine Warnung ausgegeben, falls Sie dem Benutzer eine Rolle hinzufügen, die eine direkt zugewiesene Ressource enthält (ID-5385).

Ein Weiterleiten an-Administrator kann nicht angegeben werden, wenn ein Benutzer erstellt wird. Diese Option kann nur festgelegt werden, wenn der Benutzer bearbeitet wird (ID-5695).

Der Trennen-Vorgang beim Löschen von Benutzern unterstützt nicht mehrere Konten pro Ressource (ID-6305).

Genehmigungen

Wenn Sie einen Benutzer im Hintergrund aktualisieren, wird auf der Seite für die Aufgabenergebnisse eine Genehmigungsaktivität angezeigt (ID-3301). Diese Genehmigung kann ignoriert werden.

Die Genehmigungsdatensätze für einen Administrator werden erst angezeigt, nachdem der Benutzer umbenannt wurde (ID-3386). Zwischenlösung: Bearbeiten Sie alle ausstehenden Genehmigungen, bevor Sie den Benutzer umbenennen.

Zuvor genehmigte oder abgelehnte Genehmigungsdatensätze können von einem Administrator nicht angezeigt werden, wenn der zu genehmigende Benutzer einer Organisation angehört, die der Genehmiger nicht steuert (ID-3494).

Ressourcenwiederholungsaufgaben werden in der ausstehenden Genehmigungsliste für den Configurator angezeigt (ID-3508).

Anmeldekonfiguration

Das Modul für die Pass-Through-Authentifizierung funktioniert bei der Domino-Ressource nicht (ID-1646).

Änderungen bei den Seiten für das Administratoranmeldungssetup und Benutzeranmeldungssetup werden anderen angemeldeten Administratoren nicht angezeigt (ID-3487). Um die Änderungen anzuzeigen, müssen sich die anderen Administratoren bei der Administratorbenutzeroberfläche abmelden und anschließend wieder anmelden.

Wenn sich ein Administrator anmeldet und erst Mein Passwort ändern und anschließend eine andere Registerkarte auswählt, wird das Konto gesperrt, bis die Sperre abgelaufen ist (ID-3705).

Wenn ein anderer Administrator versucht, den gesperrten Administrator zu bearbeiten, wird folgende Meldung angezeigt: com.waveset.util.WavesetException: Auf Konto #ID#Configurator kann zur Zeit nicht zugegriffen werden. Versuchen Sie es später erneut. Wenn der Administrator auf OK klickt, wird das Workflow-Prozessdiagramm der letzten Aktion angezeigt.

Organisationen

Wenn beim Löschen von mehreren Organisationen der Löschvorgang für eine Organisation fehlschlägt, werden die verbleibenden Organisationen auch nicht gelöscht (ID-517).

Wenn bei einer Organisation, die zugewiesene Benutzer und ausstehende Bereitstellungsanforderungen aufweist, umbenannt wird, schlägt die Bereitstellungsanforderung fehl (ID-564). Zwischenlösung: Stellen Sie sicher, dass keine ausstehenden Anforderungen vorhanden sind, bevor Sie eine Organisation umbenennen.

Wenn beim Erstellen einer neuen Organisation die Option für die Benutzermitgliedsregel vor der Angabe eines Organisationsnamens ausgewählt wird und anschließend die Seite aktualisiert wird, erscheint eine Organisations-ID im Feld für den Organisationsnamen (ID-6302). Der Name kann weiterhin vor dem Speichern der neuen Organisation festgelegt werden.

( ) - Achtung: In Klammer stehende Werte im Feld Genehmiger entsprechen keinem der zulässigen Werte.

Ein Benutzer wird zweimal im Applet zum Auflisten von Konten angezeigt, wenn der Benutzer mithilfe einer dynamischen Organisationsregel einer Organisation zugewiesen wurde und außerdem in der Organisation vorhanden ist (ID-6413).

Richtlinien und Fähigkeiten

Das Identity Manager-Kontorichtlinienattribut Rücksetzungs-Benachrichtigungsoption hat die Wertoption administrator, welche keine Auswirkung hat (ID-944). Die einzig gültigen Optionen sind sofort und Benutzer.

Wenn beim Löschen von mehreren Rollen ein Fehler auftritt, wird nicht mit den anderen Rollen fortgefahren, sondern der gesamte Vorgang angehalten (ID-1168).

Die Mindestanzahl der Fragen, die ein Benutzer beantworten muss, kann auf einen Wert gesetzt werden, der größer als die Anzahl der definierten Fragen ist (ID-1834). In diesem Fall kann sich der Benutzer nicht über die Option Passwort vergessen anmelden.

Die Lighthouse-Standardkontorichtlinie kann nicht durch Bearbeiten der Richtlinie, Ändern des Namens oder Erstellen eines neuen Objekts geklont werden (ID-5147). Zwischenlösung: Erstellen Sie eine neue Kontorichtlinie.

Abstimmen und Importieren von Benutzern

Das Importieren von Benutzern aus einer CSV-Datei aktualisiert nicht die Ressourcenattribute, wenn der Benutzer bereits in Identity Manager vorhanden ist (ID-2041).

Wenn bei einer CSV-Datei (bei der die Felder durch Kommas getrennt werden) die Konto-IDs in einfache Anführungszeichen (') gesetzt sind, werden die Anführungszeichen als Fragezeichen (?) geladen (ID-2100).

Geplante Aufgaben werden auf der Seite Aufgaben suchen nicht als Ergebnis angezeigt, wenn die Option ist geplant verwendet wird (ID-5001).

Die Abstimmung schlägt fehl, wenn sie bei einer Ressource von Red Hat Version 8 ausgeführt wird (ID-6087).

Die Abstimmung einer Oracle ERP-Ressource wird mit Fehlern abgeschlossen, wenn bei der Ressource das Verbindungspooling aktiviert ist (ID-6386). Zwischenlösung: Deaktivieren Sie das Verbindungspooling während der Abstimmung.

Berichte

Sicherheitsadministratoren können keine Berichte ausführen oder erstellen (ID-1217). Zwischenlösung: Erteilen Sie den Administratoren die Berechtigungen zum Berichtsadministrator.

Risikoanalyseberichte können auch von Administratoren angezeigt werden, die keine Berichtsadministratoren sind (ID-1224).

Berichtsergebnisse, die mit der Option für das Nur-Text-Format per E-Mail gesendet werden, sind nicht formatiert (ID-2191). Zwischenlösung: Verwenden Sie die HTML-Option für die E-Mail.

Überwachungsprotokolleinträge werden möglicherweise bei umfangreichen Ergebnissen nicht erfasst (ID-5050).

Die aktivierte Laufschrift wird nicht angezeigt, wenn in den Namen von Organisationen Apostrophe (') vorkommen (ID-5653).

Wenn Sie versuchen, einen Administratorbericht auszuführen, und festlegen, dass nur Administratoren gemeldet werden, die einer bestimmten Organisation angehören, welche keine Administratoren hat, wird ein java.lang.NullPointerException-Fehler zurückgegeben (ID-5722).

Alle in Identity Manager 5.0 SP4 erstellten oder geänderten Überwachungs- oder Einsatzberichte, die den Objekttyp Benutzer referenzieren, verweisen nach dem Bearbeiten auf Verzeichnisbenutzer. Wenn diese nicht funktionalen Berichte ausgewählt sind, müssen Sie die Option Verzeichnisbenutzer manuell auf Benutzer setzen (ID-9737).

Ressourcen

Über die Schaltfläche für den Ressourcentest werden nicht alle Felder getestet (ID-51).

Zuweisungen für den Ressourcenport können auf Werte größer als 65535 gesetzt werden (ID-59).

Wenn Sie einen falschen Active Directory-Gruppennamen festlegen, wird eine ungültige Fehlermeldung angezeigt (ID-393). Wenn Sie versuchen, einen Active Directory-Gruppennamen auf groupname statt auf cn=groupname,cn=builtin,dc=waveset,dc=com zu setzen, wird eine Fehlermeldung angezeigt, die besagt, dass sich der Arrayindex außerhalb der Grenzen befindet.

Erforderliche Kontoattribute werden manchmal ignoriert, wenn eine andere Ressource mit demselben Kontoattributnamen vorhanden ist, bei der das erforderliche Flag nicht gesetzt ist (ID-1161).

Wenn ein Administrator versucht, eine Organisation zu einer Ressource hinzuzufügen, ohne mit den zugehörigen Rechten ausgestattet zu sein, wird ein Fehler erzeugt. Die Bearbeitung der Ressource muss dann abgebrochen und anschließend wieder aufgenommen werden, um weitere Änderungen bei der Ressource vorzunehmen (ID-1274).

Die Fehlermeldung, die bei einem falschen Ressourcenkontokennwort oder Benutzernamen erzeugt wird, ist bei einer nicht klaren PeopleSoft-Ressource falsch (ID-2235). Die Fehlermeldung lautet:

bea.jolt.ApplicationException: TPESVCFAIL - Dienstausfall auf Anwendungsebene

Bei Windows Active Directory-Ressourcenaktionen, die den Beendenstatus %DISPLAY_INFO_CODE% verwenden, schlägt die Aktion mit Fehlern fehl (ID-2827).

Bei Windows NT-Ressourcenaktionen, die einen Beendencode ungleich null zurückgeben, schlägt die Aktion fehl (ID-2828).

Beim Erstellen eines Benutzers kann die primäre Gruppen-ID des Benutzers in Active Directory nicht festgelegt werden (ID-3221). Zwischenlösung: Erstellen Sie den Benutzer, ohne die primäre Gruppen-ID festzulegen. Bearbeiten Sie anschließend den Benutzer, und legen Sie den Wert fest. Die primäre Gruppen-ID wird außerdem nach Nummer und nicht nach DN der Gruppe festgelegt.

Ressourcen-IP-Adressen werden in der JVM zwischengespeichert, nachdem der Hostname in eine IP-Adresse aufgelöst wurde. Wenn eine Ressourcen-IP-Adresse geändert wurde, ist ein Neustart des Anwendungsservers erforderlich, damit Identity Manager die Änderung erkennt (ID-3635). Dies ist eine Einstellung in Sun JDK (ab Version 1.3), die über die sun.net.inetaddr.ttl-Eigenschaft gesteuert wird, die in der Regel in jre/lib/security/java.security festgelegt wird.

Sie können nicht mehrere Konten für einen einzelnen Benutzer bei Oracle-Ressourcen erstellen (ID-3832).

Endbenutzer können die Selbsterkennungsfunktion nicht für Domino-Ressourcenkonten verwenden (ID-4775).

Wenn ein Benutzer aus einem oder in einen Untercontainer innerhalb der Active Directory-Organisation verschoben wird, erkennt der ActiveSync-Adapter diese Änderung. Wenn Sie jedoch den Benutzer auf der Bearbeitungsseite anzeigen (oder eine Änderung vornehmen und die Bestätigungsseite aufrufen) wird die Konto-ID des Benutzers weiterhin als ursprünglicher DN (Distinguished Name, eindeutiger Name) angezeigt (ID-4950). Da der Benutzer über die GUID geändert wird, entstehen keine Probleme beim Betrieb. Sie können dieses Problem beheben, indem Sie für die Ressource eine Abstimmung ausführen.

Wenn ein Benutzer aus einer Organisation (OU) in eine Unterorganisation verschoben wird, erkennt der LDAP ChangeLog-Adapter die Änderung nicht und geht davon aus, dass der Benutzer gelöscht wurde. Das Benutzerobjekt wird anschließend in LH gesperrt (wenn dies der aktuellen Einstellung entspricht), und es wird kein neues Konto für das verschobene Konto erstellt (ID-4953).

Die im Pool abgelegten Verbindungen für die UNIX-Ressourcenadapter können in einem nicht festgelegten Status belassen werden, wenn bei der Ausführung von Befehlen oder Skripten Fehler auftreten (ID-5406).

NDS-Organisationen können nur dann auf der obersten Ebene der Struktur erstellt werden, wenn Sie den Basiskontext für die Ressource auf [ROOT] setzen (ID-5509).

Wenn Sie auf der Seite Ressourcen auflisten Ressourcenobjekte über das Kontextmenü suchen, gibt die Option "ist nicht" keine korrekte Objektliste zurück (ID-6194).

Wenn Sie in NDS ein Feld (beispielsweise die Verlängerungsfrist für die Anmeldung) während der ersten Bereitstellung bearbeiten und keine Werte für die booleschen Felder angeben, werden alle booleschen Felder auf FALSE gesetzt (ID-6770). Dadurch wird verhindert, dass die anderen Felder der Registerkarte für die Einschränkung bearbeitet werden können, weil bei denen für bestimmte Kontrollkästchenwerte TRUE gelten muss. Um dies zu vermeiden, stellen Sie immer sicher, dass alle gewünschten booleschen Felder auf TRUE gesetzt sind, damit sie beim Bearbeiten anderer Felder korrekt aktiviert werden.

Wenn Sie das Passwort für einen UNIX-Computer über die Funktion Verbindung verwalten --> Ressourcenpasswortänderungs-Administrator ändern, wird der Aufgabenname folgendermaßen angezeigt:

_FM_PASSWORD_CHANGING_TASK null:null

Es soll ein benutzerfreundlicher Name angezeigt werden (ID-6947).

Sie können die Funktion zum Verwalten von Verbindungen nicht für UNIX-Ressourcen einsetzen, die NIS verwenden (ID-6948). Es wird ein Fehler erzeugt, weil das Passwort, das Sie ändern möchten, für das Root-Konto bestimmt ist, das von NIS nicht verwaltet wird.

Wenn Sie Benutzer aktualisieren, indem Sie eine Aktualisierung aus einer Identity Manager-Organisation auswählen, erhalten Benutzer mit einem Sun One ID Server-Konto einen Fehler, falls diese nativ erstellt und in Identity Manager geladen wurden (ID-7094). Zwischenlösung: Aktualisieren Sie diese Benutzer individuell.

Identity Installation Pack enthält weiterhin folgende verworfenen Klassen:

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

Angepasste Adapterklassen sollten nicht mehr auf diese Klassen, sondern auf die entsprechenden Klassen in package com.waveset.adapter.iapi verweisen (ID-8246).

Setzen Sie keine Kontoattribute im DatabaseTableResourceAdapter-Schema auf BOOLEAN. Der Adapter kann boolesche Attribute nicht richtig als boolesche Objekte zurückgeben. Dadurch geht der native Änderungsauditor fälschlicherweise davon aus, dass Änderungen vorgenommen wurden (ID-8746).

Es wird manchmal ein java.security.NoSuchAlgorithmException-Fehler in die Standardausgabe geschrieben, wenn nach dem Serverstart zum ersten Mal eine Verbindung zu ActivCard hergestellt wird. Dies ist ein leichter Fehler (ID-8905).

Beim Löschen eines Benutzers, der ein Konto bei der Ressource für die PeopleSoft Komponentenschnittstelle hat, tritt ein Fehler auf. Diese Ressource unterstützt derzeit nicht das Löschen von Konten (ID-9000).

Access Manager und Identity Manager 5.5 (oder höher) dürfen nicht zusammen auf Application Server bereitgestellt werden. Access Manager ändert den Standardsicherheitsanbieter, weshalb Identity Manager die Signatur der Lizenz nicht überprüfen kann.

Auf der ersten Browserseite wird eine Fehlermeldung angezeigt, wenn die Lizenzsignatur nicht überprüft werden kann. In den meisten Fällen wird dieser Fehler aufgrund eines Kompatibilitätsproblems mit dem Sicherheitsanbieter angezeigt (ID-10518, 10750, 11011).

Der Fehler wird folgendermaßen angezeigt:

Überprüfen von Signatur fehlgeschlagen: Ausnahmefehler

Ressourcenobjektverwaltung

Ein Windows Active Directory-Objekt (Gruppe, Organisationseinheit oder Container) kann auf der Seite Ressourcen auflisten nicht umbenannt werden (ID-3329).

Das Öffnen des Ressourcenverwaltungsapplets dauert manchmal mehrere Sekunden, wenn die Liste zahlreiche Ressourcen enthält (ID-3456).

Es können keine neuen LDAP-Gruppen erstellt werden, wenn Benutzer mit CNs mit mehreren Werten vorhanden sind (ID-3848). Zwischenlösung: Verwalten Sie die Mitglieder der Gruppe nicht nach dem im LDAP-Formular zum Erstellen von Gruppen konfiguriertem CN, sondern nach dem DN.

Wenn Sie auf der Seite Ressourcen auflisten Ressourcenobjekte über das Kontextmenü suchen, gibt die Option "ist nicht" keine korrekte Objektliste zurück (ID-6194).

Ressourcengruppen

Wenn Sie auf der Seite zum Erstellen oder Bearbeiten von Ressourcengruppen die EINGABETASTE drücken, werden die auf der Seite vorgenommenen Änderungen gelöscht (ID-3430).

Berichte über Ressourcengruppen können nicht als CSV-Datei gespeichert werden (ID-8001).

Sicherheit

Wenn Sie ein Objekt mit Daten importieren, die mit einem Schlüssel verschlüsselt wurden, der sich nicht im Repository befindet, in das die Daten importiert werden, wird das Objekt dennoch importiert. Sie erhalten jedoch eine Warnmeldung, die besagt, dass die Daten nicht entschlüsselt werden können, weil der Serververschlüsselungsschlüssel nicht vorhanden ist (ID-12143).

Sun Identity Manager Gateway

Sun Identity Manager Gateway wird nicht angehalten, wenn im Fenster für die NT-Dienste die Schaltfläche zum Stoppen aktiviert wird (ID-590). Zwischenlösung: Brechen Sie die Ausführung des Stoppbefehls ab (wenn dieser immer noch inaktiv ist), und stoppen Sie den Dienst erneut; oder beenden Sie das Dialogfeld für die NT-Dienste, und führen Sie den Stoppvorgang erneut aus.

Die Benutzer können in einer NT-Domäne nicht zu Gruppen hinzugefügt werden, wenn sich das Gateway in einer entfernten vertrauenswürdigen Domäne befindet (ID-711).

Das Gateway wird gelegentlich nicht angehalten, wenn der Befehl 'net stop Sun Identity Manager Gateway' verwendet wird (ID-2337).

Aufgaben

Administratoren mit Identity Manager-Administratorrechten können die Seite zum Verwalten von Aufgaben nicht anzeigen, wenn sich in der Aufgabenliste eine Risikoanalyse befindet (ID-1225).

Administratoren, die das oberste Element (Top) nicht steuern, können keine geplanten Aufgaben für Discovery oder ResourceScanner erstellen (ID-1414).

Auf der Seite zum Ermitteln von Aufgaben wird die Anzahl der Aufgaben, die den Suchkriterien entsprechen (ID-5152), nicht angezeigt.

Wenn Sie eine geplante Aufgabe bearbeiten, muss das Startdatum im Format MM/DD/YYYY erneut angegeben werden (ID-5675).

Delegierte Administratoren, die das oberste Element (Top) nicht steuern, können Aufgaben planen und die Aufgabenergebnisse anzeigen. Diese Administratoren können die Aufgabe jedoch nicht anzeigen, nachdem sie erstellt wurde (ID-6659). Die geplante Aufgabe wurde an oberster Stelle platziert, und der delegierte Administrator ist nicht berechtigt, das Objekt anzuzeigen.

In der Bibliothek wurde ein Feld für verschobene Aufgaben hinzugefügt. Hierbei werden die verschobenen Aufgaben für einen Benutzer aufgelistet. Um dieses Feld zu implementieren, müssen Sie dem in Registerkarten unterteilen Benutzerformular und dem in Registerkarten unterteilten Benutzeranzeigeformular folgende Zeile hinzufügen (ID-7660).

Workflow, Formulare, Regeln und XPRESS

Die <eq>-Funktion von XPRESS kann nicht verwendet werden, um boolesche Werte mit den Zeichenfolgen TRUE oder FALSE oder den Ganzzahlen 1 oder 2 zu vergleichen (ID-3904). Zwischenlösung:

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Die Pfadausdrücke funktionieren nicht bei der Iteration einer Liste mit generischen Objekten über eine Dolist (ID-4920).

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

Zwischenlösung: Verwenden Sie <get> / <set> entsprechend dem unten angegebenen Beispiel:

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Wenn Sie global.attrname-Variablen für die Felder Ihres Benutzerformulars verwenden und das Attribut für mehrere Ressourcen freigegeben ist, müssen Sie außerdem eine Ableitungsregel definieren (ID-5074). Wenn andernfalls das Attribut nativ auf einer der Ressourcen geändert wird, kann das Attribut ausgewählt und auf die anderen Ressourcen propagiert werden.

Es können in den HTML-Komponenten der Formulare keine Sonderzeichen verwendet werden, die mit & beginnen. So wird beispielsweise   nicht als Leerzeichen dargestellt. Dieses Problem wurde wegen der neuen Unterstützung von Sonderzeichen (&\<>') in Auswahllisten nicht angegeben (ID-5548).

Die Formular-, Workflow- und Regelkommentare in <Comment>-Marken haben 
-Zeichenfolgen für das Zeilenvorschubzeichen (ID-6243). Diese Zeichen werden nur im XML-Format für diese Objekte angezeigt. Der Identity Manager-Server und Business Process Editor verarbeiten diese Zeichen korrekt.

Wenn Sie das Ressourcentabellenbenutzer-Formular zum Bearbeiten von Benutzern verwenden, während Sie die Ressource eines Benutzers bearbeiten, werden die Ressourcenattribute bei der ersten Anzeige des Formulars nicht abgerufen. Zwischenlösung: Klicken Sie auf Aktualisieren, um die Attributdaten abzurufen (ID-10551).

Identity Manager SPE

Identity Manager SPE und Sun Java System Portal Server sind nicht immer kompatibel, weil ein Problem bei den verschlüsselten Bibliotheken vorliegt (ID-10744).

Sie können dieses Problem beheben, indem Sie folgende Werte in der Datei /etc/opt/SUNWam/config/AMConfig.properties für den Portalserver festlegen und anschließend den Webcontainer neu starten:

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

Beim Arbeiten mit SPE-Bedienfeldern: Wenn das erstmalige Laden der Diagramme mehrere Minuten dauert, stellen Sie sicher, dass der Browser nicht für MSJVM (Microsoft Java Virtual Machine) konfiguriert ist. Identity Manager SPE unterstützt MSJVM nicht für die Ausführung von Browserapplets (ID-10837).

Einige Konfigurationsoptionen in der Identity Manager-Administratorbenutzeroberfläche werden in Identity Manager SPE nicht verwendet (ID-10843). Hierzu gehören:

Konfigurationsoptionen für den Ressourcenassistenten: Kennwortrichtlinie, Kontorichtlinie, Regel zum Ausschließen von Konten, Genehmiger und Organisationen

Rollenattribute

Standardmäßig wird die Überwachung bei checkinObject- und deleteObject-IDMXContext-API-Aufrufen nicht ausgeführt. Die Überwachung muss ausdrücklich angefordert werden, indem der IDMXContext.OP_AUDIT-Schlüssel in der Optionszuordnung, die diesen Methoden übergeben wird, auf TRUE gesetzt wird. Die createAndLinkUser()-Methode der ApiUsage-Klasse veranschaulicht, wie die Überwachung angefordert wird (ID-11261).

Wenn Sie den LDAP-Ressourcenadapter für ActiveSync konfigurieren, müssen Sie den Wert im Feld Benutzer-DN auf der Seite Ressourcenparameter sowie den Wert im Feld Änderungen filtern nach auf der Seite Allgemeine ActiveSync-Einstellungen angeben. Andernfalls wird der ActiveSync-Prozess nie abgeschlossen, weil fortlaufend die eigenen Änderungen verarbeitet werden (ID-11323).

Identity Auditor

Administratorbenutzeroberfläche

Auf der untergeordneten Registerkarte Abgeschlossen der Registerkarte Korrekturen wird bei Auswahl die Farbe nicht geändert (ID-9149).

Die Gebietsschemaeinstellung für den Anwendungsserver kann verursachen, dass zwei Sprachen angezeigt werden, wenn die Lokalisierung bei Identity Auditor und Identity Manager aktiviert ist (ID-9468).

Zwischenlösung: Wenn Sie den Wert für das Gebietsschema auf "C" setzen, wird das Problem möglicherweise gelöst.

Genehmigungen

Identity Manager-Genehmigungen werden in Identity Auditor auf der Seite Korrekturen nicht unterstützt. Um Genehmigungen auszuführen, rufen Sie die Seite Genehmigung in Identity Manager auf (ID-9479).

Überwachungsrichtlinien

Während einer Prüfung wird der erneute Abruf von Benutzerkonten, die von den Ressourcen nicht abgerufen werden konnten oder bei denen andere Ausfälle aufgetreten sind, nicht unterstützt. Diese Ausfälle werden nach der Prüfung gemeldet. Es gibt jedoch keine automatisierte Möglichkeit zur erneuten Prüfung der Konten (ID-9112).

Um die Anzahl der Threads zu konfigurieren, die von einer Prüfung gestartet werden, fügen Sie dem Formular zum Starten der Aufgabe das Feld maxThreads hinzu. Die Standardwert beträgt 5 (ID-9127).

Identity Auditor versucht, die Benutzer zwischen Richtlinienprüfungen konform zu halten, indem die Richtlinie immer dann durchgesetzt wird, wenn der Benutzer bearbeitet wird. Wenn Sie einen Benutzer bearbeiten, dem Überwachungsrichtlinien zugewiesen sind und der außerdem eine Richtlinie verletzt, können Sie die Änderungen beim Benutzer nicht speichern, und zwar auch dann nicht, wenn der Benutzer lediglich zu einer anderen Organisation verschoben werden soll (ID-9504).

Zwischenlösung: Über das Kontextmenü (oder die Suchfunktion) im Benutzerapplet können Sie Benutzer verschieben oder die Prüfungen der Überwachungsrichtlinie vorübergehend deaktivieren.

Um die Prüfungen der Auditorrichtlinie zu deaktivieren, entfernen Sie die userViewValidators-Eigenschaft aus der Systemkonfiguration. Diese Eigenschaft hat den Wert einer Liste von Zeichenfolgen und wird während des Imports von init.xml oder upgrade.xml hinzugefügt.

Berichte

Im Verstoßverlauf für die AuditPolicy, Ressource und Organisation kann die Implementierung der logarithmischen Skalierung für den STACK-Diagrammtyp zu einer ungewöhnlichen Anzeige führen (ID-9522).

Zurück Inhalt Weiter

Zurück Inhalt Weiter
Sun Java System Identity Installation Pack 2005Q4M3 - Versionshinweise