Problemas detectados

3 Problemas detectados

En las secciones siguientes se enumeran los problemas detectados en algunos productos y se ofrecen soluciones alternativas:

Identity Manager

Identity Manager Service Provider Edition (SPE)

Identity Auditor

Identity Manager

General

Si se deshabilitan los cookies, cuando se intenta acceder a determinadas páginas aparece un mensaje en el que se pide iniciar la sesión (ID-158).

Los sistemas en los que se está ejecutando la Sun Identity Manager Gateway deben configurarse de manera que Dr. Watson no genere notificaciones visuales. Si esta función está configurada, el proceso se bloquea hasta que la ventana emergente se cierra cuando la puerta de enlace detecta un error.

Las variables display.session y display.subject no están disponibles para deshabilitar los elementos de formulario. No se recomienda crear actividades que puedan tardar en ejecutarse en los elementos Disable, ya que estas expresiones se ejecutan cada vez que se recalcula el formulario. En su lugar, se aconseja realizar el cálculo en otro elemento de formulario que no se ejecute con tanta frecuencia.

Para obtener un rendimiento óptimo cuando trabaje con la interfaz Web de Identity Manager, emplee la utilidad OpenSPML que se suministra con Identity Manager. La utilización del archivo openspml.jar del sitio Web openspml.org puede ocasionar fallos de memoria. (ID-11889)

Si hay espacio en la ruta al directorio de instalación de Identity Manager, debería especificar la variable de entorno WSHOME sin emplear comillas ("), como se muestra abajo.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

O bien

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse

Lo siguiente no funciona:

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\lighthouse"

Los campos necesarios definidos en el mapa del esquema de recursos sólo se comprueban cuando se crea una cuenta de usuario (ID-220). Cuando se vaya a necesitar un campo en las actualizaciones de usuario, el formulario de usuario tendrá que configurarse de manera que se requiera el campo.

No se comprueba la existencia de caracteres no válidos en el nombre de organización, el nombre de administrador, el nombre de cuenta, el nombre de atributo de usuario (a la izquierda del mapa del esquema) o los nombres de tareas (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). El nombre de estos tipos de objetos no puede incluir los siguientes caracteres: símbolo de dólar ($), coma (,), punto (.), apóstrofo ('), Y comercial (&), corchete izquierdo ( [ ), corchete derecho ( ] ) o dos puntos (:).

En la página de cuentas aparece un mensaje de error engañoso si intenta realizar una acción una vez que la sesión ha terminado (ID-1223).

El objeto de calendario no puede verse entero si el explorador utiliza fuentes de gran tamaño. (ID-2120)

La casilla de verificación Select All de las páginas Find Results y List Task no se deselecciona si se anula la selección de uno de los elementos de la lista (ID-5090). La casilla de verificación selectAll no se tiene en cuenta en la acción resultante si no se han marcado las casillas de todos componentes de la lista.

Si realiza un cambio en un catálogo de mensajes personalizados, tendrá que reiniciar el servidor para ver los cambios. (ID-6792)

Las fichas de la barra lateral (como Account List, Find User) no aparecen en la página de confirmación cuando se habilitan o deshabilitan varios usuarios (ID-6866). Las fichas vuelven a aparecer cuando se produce la confirmación y se muestran los resultados.

El mecanismo de detección actual de fallo del servidor asume que todos los sistemas de un clúster de Identity Manager están sincronizados en el tiempo. (ID-7064) Cuando se aplica el intervalo de error predeterminado de cinco minutos y un servidor presenta un desfase de sincronización de cinco minutos con otro, el servidor adelantado declara que el servidor atrasado está inactivo, lo que produce resultados inesperados. La solución consiste en mejorar la sincronización temporal o en aumentar el intervalo de reconexión de emergencia.

Si inicia una sesión en Windows con un nombre de usuario que contiene caracteres de dos bytes y la codificación predeterminada del equipo sólo admite caracteres de un byte, debe configurar la variable de entorno USER_JPI_PROFILE en un directorio existente cuyo nombre sólo contenga caracteres de un byte. (ID-8540)

Si la miniaplicación de cuentas no se carga en el explorador, asegúrese de que todos los usuarios tienen permiso para leer y ejecutar el archivo JAR de la miniaplicación, IDM_install_dir/applet/tt22.jar, así como el directorio que contiene el archivo JAR. (ID-8541)

Los objetos de recurso presentan un atributo typeString de consulta (Attribute.TYPE_STRING). Este atributo contiene el valor de tipo de recurso que antes aparecía como tipo.

Para consultas en typeString (Attribute.TYPE_STRING), cambie lo antes posible cualquier código personalizado que consulte recursos en función del tipo (Attribute.TYPE). Como Attribute.TYPE_STRING es un método insertado para objetos de recurso, la conversión a Attribute.TYPE_STRING mejora el rendimiento.

En la próxima versión completa de Identity Installation Pack no aparecerá Attribute.TYPE como valor de tipo de recurso. (ID-11124, 11125)

En la vista de tabla de árbol (treetable), los objetos de recurso no se actualizan correctamente después de eliminar un objeto. Para que los objetos se muestren de forma correcta, actualice la página manualmente. (ID-12241)

Instalación y actualización

Cuando se instala Identity Manager desde el archivo idm.war, los bits de ejecución no están configurados en las secuencias de comandos del intérprete de UNIX (ID-2371). Para solucionar el problema, ejecute el comando chmod de UNIX en el directorio idm/bin.

Si la actualización encuentra errores durante la fase de conservación de valores personalizados, el botón Install sigue activo pero no realiza ninguna acción cuando se pulsa (ID-3797).

Identity Manager no se puede conectar a un repositorio LDAP si hay espacios en DN (ID-6066).

Cuando Identity Manager se instala en un entorno Tomcat 5.x, la ejecución de informes genera un error de Java (ID-6652). Puede solucionar el problema como sigue:

cd $WSHOME\WEB-INF\classes

jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class

El recurso AD Active Sync se ha desaprobado, y ha sido reemplazado por AD. Realice los pasos siguientes para migrar AD Active Sync a versiones más recientes: (ID-11363)

Exporte el recurso AD Active Sync existente a un archivo xml (desde la línea de comandos o las páginas de depuración).

Elimine el recurso existente (esto no afecta a usuarios de Identity Manager ni a usuarios de cuentas de recursos).

Cree un recurso AD nuevo que sea Active Sync.

Exporte el nuevo objeto de recurso a un archivo XML.

Edite este archivo y cambie el valor de los atributos de ID y de nombre para que coincidan con los valores del objeto de recurso OLD que se ha guardado en el paso 1. Estos atributos se encuentran en la ficha <Resource id='idnumber' name='AD' ...>.

Guarde los cambios realizados en el archivo.

Importe el objeto modificado en Identity Manager mediante la página Configure>Import Exchange File o la línea de comandos.

Cuando actualice a Identity Manager 6.0, es posible que tenga problemas para generar la clave del servidor PBE. Si ha configurado la versión anterior a 6.0 para que se utilice pkcs5 al cifrar la clave del servidor, la clave de licencia dejará de funcionar después de la actualización. Esto significa que no podrá iniciar una sesión ni la consola la próxima vez que inicie el servidor. (ID-12026, 12027)

Debería generar una contraseña PBE nueva seleccionando Genera una nueva contraseña PBE aleatoria segura. Esta opción sólo aparece y puede seleccionarse si se ha seleccionado PKCS#5 antes de la actualización.

También puede editar o importar la configuración del sistema en un repositorio del sistema actualizado. La adición, la eliminación o el cambio de los valores de los atributos pkcs5Encrypt o updatePkcs5Password afecta de la siguiente manera al cifrado de la clave del servidor:

pkcs5Encrypt = 'false', updatePkcs5Password = 'true' or 'false'

Todas las claves de cifrado del servidor se vuelven a cifrar utilizando la clave de cifrado predeterminada.

pkcs5Encrypt = 'true', updatePkcs5Password = 'false'

Esto hace que se vuelvan a cifrar todas las claves de cifrado del servidor utilizando una clave de cifrado pcks5 generada con la contraseña pbe del repositorio.

pkcs5Encrypt = 'true', updatePkcs5Password = 'true'

Así se actualiza la contraseña pbe aleatoria segura exclusiva del repositorio (por ejemplo, miscData).

Esto también hace que todas las claves de cifrado del servidor se vuelven a cifrar utilizando la clave de cifrado pcks5 generada con la contraseña pbe actualizada del repositorio.

Administración de cuentas

Es posible crear cuentas NT cuyo nombre tenga más de 20 caracteres y que las herramientas nativas de NT no puedan administrar (ID-710).

El administrador no puede guardar recursos ni funciones que contengan organizaciones que él no administre (ID-839).

Identity Manager no verifica si existen nombres de cuenta de usuario que contengan caracteres restringidos en NT (ID-844). Los caracteres restringidos en NT son:

" / \ [ ] : ; | = , + * ? < >

Asimismo, el nombre de usuario no puede contener puntos (.) y espacios únicamente.

Si ordena las columnas en la página de resultados de provisión, se añaden filas vacías adicionales a los resultados (ID-1105).

La aprobación de varios cientos de cuentas de usuario requiere una cantidad de tiempo considerable (ID-1149). La solución consiste en aprobar registros de cuentas de usuario en grupos más pequeños.

No se pueden aprobar registros de aprobaciones de un administrador que ya no dispone de capacidad de aprobación (ID-1150). La solución a este problema consiste en quitar el administrador de los recursos, las funciones y las organizaciones en los que dispone de derechos de aprobación y, a continuación, aprobar los registros de aprobaciones importantes antes de quitar el administrador o su capacidad de aprobación.

Cuando se actualiza un usuario sin realizar ninguna modificación no se muestra la página de resultados detallados (ID-2327).

Cuando se crea un usuario nuevo o se añade un recurso a un usuario existente, si el nombre distinguido del usuario es incorrecto, el valor incorrecto se guarda en caché hasta que el administrador cierra la sesión (ID-2508). Los intentos de volver a crear el usuario una vez que se ha corregido el nombre distinguido no producen resultados hasta después de que el administrador haya cerrado la sesión.

En Netscape 4.7, el mensaje de cuenta bloqueada no aparece en la pantalla de inicio de sesión de la interfaz de usuario de Identity Manager (ID-2680). El mensaje aparece en la página URL.

El nombre “name” es una palabra reservada para visualización y no debe utilizarse como un atributo de usuario de Identity Manager en los mapas de esquema de recursos (ID-2918).

Windows Active Directory exige que la puerta de enlace actúe como un administrador que puede crear directorios (ID-2919). Identity Manager puede crear directorios iniciales en sistemas Windows 2000. El usuario que sirve de puerta de enlace es el que crea la cuenta del directorio inicial, y no el administrador especificado en la definición del recurso. La solución a este problema consiste en pasar al usuario que sirve de puerta de enlace del sistema local a una cuenta que disponga de permiso para crear recursos remotos compartidos, y configurar permisos para utilizar esos recursos. Esta cuenta también necesitará los privilegios Bypass traverse checking (omitir comprobación de recorrido) y Act as operating system (actuar como sistema operativo).

El recurso de Windows NT envía de forma incorrecta un mensaje de advertencia, en lugar de un mensaje de error, cuando se deshabilita una cuenta de usuario (ID-3222).

Cuando se eliminan todos los recursos de un usuario mediante la página de edición de usuarios puede aparecer un mensaje java.lang.NullPointerException (ID-4811). Para solucionar este problema, utilice la página de eliminación de usuarios para eliminar o desvincular estas cuentas de recursos del usuario.

Si se crea un usuario de Identity Manager y se asigna a un recurso de Windows Active Directory donde ya existe la cuenta de usuario, el usuario no dispondrá del atributo GUID en la información del recurso (ID-5114). El atributo GUID sirve para detectar si ha cambiado la organización o el nombre del usuario en el directorio. La ejecución de la reconciliación desde el recurso puede solucionar este problema.

Al crear un usuario se muestra una advertencia si se añade una función al usuario que contiene un recurso asignado directamente (ID-5385).

No se puede especificar un administrador “Forward To” cuando se está creando un usuario. Esta opción sólo se puede configurar cuando se edita el usuario (ID-5695).

La operación 'unassign' (anular asignación) de Delete User no es aplicable a varias cuentas de un recurso (ID-6305).

Aprobaciones

Cuando se actualiza un usuario y se elige realizar la actualización en segundo plano, la actividad de aprobación aparece en la página de resultados de tareas (ID-3301). Esta aprobación se puede ignorar.

Los registros de aprobaciones de un administrador no se muestran después de cambiar el nombre del usuario (ID-3386). La solución está en resolver las aprobaciones importantes antes de cambiar el nombre de usuario.

Un administrador no puede ver los registros de aprobaciones autorizados o rechazados anteriormente si el usuario sometido a aprobación pertenece a una organización que el aprobador no controla (ID-3494).

El recurso vuelve a intentar que las tareas aparezcan en la lista de aprobaciones pendientes del usuario Configurator (ID-3508).

Configuración de inicio de sesión

El módulo de autenticación intermedia no funciona con el recurso de Domino (ID-1646).

Los demás administradores que hayan iniciado una sesión no podrán ver los cambios efectuados en las páginas de configuración de inicio de sesión de administrador y de usuario (ID-3487). Para ver los cambios, esos administradores tendrán que cerrar la sesión de la interfaz del administrador y volver a iniciarla.

Si un administrador inicia una sesión y selecciona “Cambiar mi contraseña” seguido de otra ficha, su cuenta se bloquea hasta que el intervalo de bloqueo termina. (ID-3705)

Si otro administrador intenta editar el administrador bloqueado, aparece el mensaje “com.waveset.util.WavesetException: Unable to access account #ID#Configurator at this time. Please try again later”. Al hacer clic en el botón “Aceptar” se muestra el diagrama del proceso de flujo de trabajo correspondiente a la última acción.

Organizaciones

Cuando se eliminan varias organizaciones y falla la eliminación de una, las restantes tampoco se borran (ID-517).

Si se cambia el nombre de una organización mientras hay pendientes solicitudes de provisión que afectan a usuarios de la organización, la solicitud falla (ID-564). Esto se puede evitar asegurándose de que no hay solicitudes importantes antes de cambiar el nombre de la organización.

Cuando se crea una organización nueva y se selecciona la opción User Member Rules antes de especificar un nombre de organización, en el campo de nombre de la organización aparece un ID al actualizar la página (ID-6302). El nombre se puede configurar antes de guardar la nueva organización.

( ) - Warning: Parenthesized values in field 'Approvers' do not match any of the allowed values.

Un usuario aparecerá dos veces en la miniaplicación de lista de cuentas si se asigna a una organización por medio de una regla de organización dinámica y si además ya existe en esa organización (ID-6413).

Directivas y capacidades

El atributo de directiva de cuenta Opción de notificación de reinicialización tiene una opción “administrador” que no se aplica (ID-944). Las únicas opciones viables son “inmediata” y “usuario”.

Cuando se eliminan varias funciones, la operación se detiene en lugar de continuar eliminando otras funciones si se detecta un error (ID-1168).

El número mínimo de preguntas que un usuario debe responder se puede configurar en un valor mayor que el número de preguntas definidas (ID-1834). En este caso, el usuario no podrá iniciar una sesión utilizando la opción “Olvidó mi contraseña”.

La directiva de cuenta de Lighthouse predeterminada no se puede clonar editando la directiva, cambiando el nombre y seleccionando crear un objeto nuevo (ID-5147). La solución consiste en crear una directiva de cuenta nueva.

Reconciliación e importación de usuarios

Al importar usuarios de un archivo CSV, los atributos del recurso no se actualizan si el usuario ya existe en Identity Manager (ID-2041).

Los apóstrofos (') que presenta en los ID de cuenta el archivo en formato de valores separados por comas (CSV) que se ha cargado se transforman en signos de interrogación (?) (ID-2100).

Las tareas programadas no aparecen al realizar una búsqueda en la página “Buscar tareas” cuando se utiliza la opción “Is Scheduled” (ID-5001).

La reconciliación no se completa si se ejecuta en un recurso de la versión 8 de Red Hat (ID-6087).

La reconciliación de un recurso de Oracle ERP termina con errores si la agrupación de conexiones del recurso está habilitada (ID-6386). Si quiere solucionar el problema, deshabilite la agrupación de conexiones durante la reconciliación.

Informes

Los administradores de seguridad no pueden ejecutar ni crear informes (ID-1217). La solución es asignar funciones de administrador de informes a los administradores.

Otros administradores, además de los administradores de informes, pueden ver los informes de análisis de riesgos (ID-1224).

Los resultados de los informes que se envían por correo electrónico con la opción de texto normal no tienen formato (ID-2191). Para solucionar este problema, utilice la opción HTML para el correo electrónico.

Las entradas del registro de auditoría pueden no registrarse si el volumen de resultados es grande (ID-5050).

El panel no aparecerá aunque se seleccione si hay organizaciones en las que el nombre contiene apóstrofos (') (ID-5653).

Si intenta ejecutar un informe de administrador y elige informar sólo a administradores que pertenecen a una organización específica, aparece un error java.lang.NullPointerException (ID-5722).

Cualquier informe de auditoría/uso que se cree o modifique en Identity Manager 5.0 SP4 y que haga referencia a un tipo de objeto “Usuario” cambiará a “Usuario de directorio” cuando se edite. Aunque no hayan estado operativos, si existen estos informes tendrá editarlos manualmente y seleccionar “Usuario” en lugar de “Usuario de directorio” (cuando ésta sea la opción seleccionada). (ID-9737)

Recursos

El botón de prueba de recursos no sirve para probar todos los campos (ID-51).

Las asignaciones de puertos de recursos se pueden configurar en valores superiores a 65535 (ID-59).

Cuando se configura un nombre de grupo de Active Directory incorrecto se muestra un mensaje de error (ID-393). Si intenta configurar el nombre del grupo de Active Directory en “groupname” en lugar de en “cn=groupname,cn=builtin,dc=waveset,dc=com”, aparece el mensaje de error “array index out of bounds”.

A veces no se tienen en cuenta los atributos de cuenta necesarios si hay otro recurso con el mismo nombre de atributo de cuenta que no tiene configurado el indicador necesario (ID-1161).

Si un administrador intenta añadir una organización a un recurso para el cual no dispone de derechos, aparece un error. Será preciso cancelar la edición del recurso y editar de nuevo el recurso para realizar otros cambios (ID-1274).

El mensaje de error que aparece cuando una contraseña o un nombre de usuario de cuenta de recurso no es correcto en un recurso de PeopleSoft no es claro (ID-2235). El mensaje de error es el siguiente:

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Las acciones de recursos de Windows Active Directory que utilizan el estado de salida %DISPLAY_INFO_CODE% causan fallos con errores (ID-2827).

Las acciones de recursos de Windows NT que devuelven un código de salida distinto de cero no causan fallos (ID-2828).

No es posible configurar un ID de grupo principal de usuario en Active Directory cuando se crea el usuario (ID-3221). La solución consiste en crear el usuario sin configurar el ID de grupo principal, y luego editar el usuario y configurar el valor. El ID de grupo principal no lo establece el nombre distinguido (DN) del grupo, sino el número.

Las direcciones IP de los recursos se almacenan en caché en JVM una vez que el nombre de host hace referencia una dirección IP. Cuando se cambia la dirección IP de un recurso, hay que reiniciar el servidor de aplicación para que Identity Manager detecte el cambio (ID-3635). Esto aparece configurado en Sun JDK (versión 1.3 o posterior) y se puede controlar con la propiedad sun.net.inetaddr.ttl property, que normalmente se configura en jre/lib/security/java.security.

En los recursos de Oracle no se pueden crear varias cuentas para un solo usuario (ID-3832).

Los usuarios finales no pueden utilizar la función de autodescubrimiento en cuentas de recursos de Domino (ID-4775).

Si se pasa un usuario desde o hasta un subcontenedor dentro de la organización de Active Directory, el adaptador de Active Sync detecta el cambio; sin embargo, cuando se visualiza el usuario en la página de edición (o se efectúa un cambio y se visualiza la página de confirmación), el ID de la cuenta del usuario sigue siendo el DN (nombre distinguido) original (ID-4950). La utilización de GUID para modificar el usuario no causa problemas de funcionamiento. La ejecución de la reconciliación contra el recurso puede solucionar este problema.

Si el usuario se pasa de una organización (OU) a una suborganización, el adaptador del registro de cambios de LDAP no reconoce el cambio y asume que el usuario se ha eliminado. El objeto de usuario se bloquea en LH (si es la configuración actual) y no se crea una cuenta “nueva” para la que se ha movido (ID-4953).

Las conexiones agrupadas que utilizan los adaptadores de recursos de UNIX se pueden dejar en un estado indeterminado si ocurre un error durante la ejecución de un comando o una secuencia de comandos (ID-5406).

Sólo es posible crear organizaciones NDS en el nivel superior del árbol configurando el contexto de base del recurso en “[ROOT]” (ID-5509).

Cuando se realizan búsquedas de objetos de recurso con el menú de clic derecho de la página ListResources, la opción 'is not' no devuelve la lista correcta de objetos.(ID-6194)

Si en NDS edita un campo (como Grace Login Limit) de la provisión inicial y no introduce valores en los campos booleanos, todos los campos booleanos se configuran como falsos (ID-6770). Esto impide configurar otros campos de la ficha de restricción que requieren que los valores de ciertas casillas de verificación sean verdaderos. Para evitar esto, asegúrese de que todos los campos booleanos que necesite sean verdaderos para que se transmitan correctamente al editar otros campos.

Si cambia la contraseña de un equipo UNIX mediante la función Manage Connection --> Change Resource Password, el nombre de tarea que aparece es:

_FM_PASSWORD_CHANGING_TASK null:null

Debería aparece un nombre fácil. (ID-6947)

No se puede utilizar la función de administración de conexión en recursos de UNIX que utilizan NIS (ID-6948). Esto genera un error debido a que la contraseña que se está intentando cambiar pertenece a la cuenta raíz, pero NIS no administra la cuenta raíz.

Cuando se actualicen usuarios mediante una actualización desde una organización de Identity Manager, los usuarios que tengan un ID de cuenta de servidor Sun One recibirán un error si se crearon de forma nativa y se cargaron en Identity Manager (ID-7094). La solución consiste en actualizar los usuarios por separado.

Identity Installation Pack sigue incluyendo las clases desaprobadas que siguen:

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

Las clases de adaptador personalizado no deberían hacer referencia a estas clases, sino a las clases correspondientes del paquete com.waveset.adapter.iapi. (ID-8246)

No configure como booleano ningún atributo de cuenta en el esquema de DatabaseTableResourceAdapter. El adaptador no devuelve correctamente los atributos booleanos como objetos booleanos, lo que hace que el auditor de cambios nativos interprete de forma errónea que se han producido cambios. (ID-8746)

Tras realizar una conexión a ActivCard, en la salida estándar puede registrarse un error java.security.NoSuchAlgorithmException la primera vez después de iniciar el servidor. Se trata de un error benigno. (ID-8905)

Se produce un error cuando se intenta eliminar un usuario que tiene una cuenta en el recurso de interfaz de componente de PeopleSoft. En la actualidad, este recurso no admite la eliminación de cuentas. (ID-9000)

Access Manager e Identity Manager 5.5 (y versiones posteriores) no se deberían implementar juntos en el servidor de aplicación. Access Manager cambia el proveedor de seguridad predeterminado y, por consiguiente, Identity Manager no puede validar la firma de la licencia.

Cuando no resulta posible validar la firma, la página inicial del explorador presenta un mensaje de error. En la mayoría de los casos se debe a un problema de compatibilidad con el proveedor de seguridad. (ID-10518, 10750, 11011)

El error que se muestra es:

Failed to verify signature: Exception Error

Administración de objetos de recurso

No es posible cambiar el nombre de un objeto de Windows Active Directory (grupo, unidad organizativa o contenedor) en la página de lista de recursos (ID-3329).

Si la lista contiene un gran número de recursos, la miniaplicación de administración de recursos puede tardar varios segundos en abrirse (ID-3456).

No se pueden crear grupos LDAP nuevos si hay usuarios que tienen CN con varios valores (ID-3848). La solución consiste en utilizar el valor DN, en lugar de CN, para administrar los miembros del grupo. Este valor se configura en el formulario de creación de grupo de LDAP.

Cuando se realizan búsquedas de objetos de recurso con el menú de clic derecho de la página Listar recursos, la opción 'is not' no devuelve la lista correcta de objetos (ID-6194).

Grupos de recursos

Con la tecla de retorno de la página de creación o edición de grupos de recursos se borran los cambios efectuados en la página (ID-3430).

Los informes de grupos de recursos no se pueden guardar en un archivo CSV. (ID-8001)

Seguridad

Si importa un objeto que contiene datos cifrados con una clave que no se encuentra en el repositorio en el que se van a importar los datos, el objeto se importa, pero recibirá un mensaje de advertencia en el que se indica que no se posible descifrar los datos debido a que falta la clave de cifrado del servidor. (ID-12143)

Sun Identity Manager Gateway

La Sun Identity Manager Gateway a veces no se detiene cuando se pulsa el botón Stop en la pantalla NT Services (ID-590). Para solucionar el problema hay que cancelar la solicitud del servicio (si todavía está bloqueado) y detener de nuevo del servicio, o salir del cuadro de diálogo NT services, volver a entrar e intentar realizar la operación de parada otra vez.

No se pueden añadir usuarios a grupos de un dominio NT si la puerta de enlace se encuentra en un dominio de confianza remoto (ID-711).

En ocasiones la puerta de enlace no se detiene cuando se utiliza ‘net stop “Sun Identity Manager Gateway”’ (ID-2337).

Tareas

Los administradores con privilegios de administrador de Identity Manager no pueden visualizar la página de administración de tareas si la lista de tareas contiene un análisis de riesgos (ID-1225).

Los administradores que no disponen de control de nivel superior no pueden crear tareas programadas Discovery o ResourceScanner (ID-1414).

La página de búsqueda de tareas no muestra el número de tareas que satisfacen los criterios de búsqueda (ID-5152).

Cuando edite una tarea programada, tendrá que introducir otra vez la fecha de inicio en formato MM/DD/AAAA (ID-5675).

Los administradores delegados que no disponen de control de nivel superior pueden programar tareas y ver los resultados, pero no pueden visualizar la tarea una vez creada (ID-6659). La tarea programada se ha incluido en el nivel superior y el administrador delegado no tiene los derechos adecuados para visualizar el objeto.

Se ha añadido un campo denominado Deferred Tasks a la biblioteca. Este campo ofrece una lista de tareas aplazadas de un usuario. Para implementar este campo, es preciso añadir la línea siguiente al formulario de usuario con fichas y al formulario de vista de usuario con fichas (ID-7660).

Flujo de trabajo, formularios, reglas y XPRESS

La función XPRESS <eq> no se puede utilizar para comparar valores booleanos con las cadenas TRUE (verdadero) o FALSE (falso) ni con los enteros 1 o 2 (ID-3904). La solución consiste en utilizar lo siguiente:

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

Las expresiones de ruta no funcionan cuando se repite una lista de objetos genéricos mediante dolist (ID-4920).

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

La solución es utilizar <get> / <set> como se indica:

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

Si utiliza variables global.attrname para los campos del formulario de usuario y varios recursos comparten el mismo atributo, también debería definir una regla de derivación (ID-5074). De lo contrario, cuando se efectúe un cambio nativo en el atributo en uno de los recursos, cabrá la posibilidad de que el atributo se capte y propague, o no, a otros recursos.

No se pueden utilizar cadenas especiales que empiezan con & en los componentes HTML de los formularios. Por ejemplo,   ya no aparece como un espacio. Este problema surgió debido a un cambio relacionado con los caracteres especiales (&\<>') admitidos en las listas de selección (ID-5548).

Los comentarios relacionados con formularios, flujo de trabajo y reglas que aparecen en las fichas <Comment> llevan cadenas 
 que representan el carácter de avance de línea (ID-6243). Estos caracteres sólo pueden verse en la versión XML de estos objetos; el servidor de Identity Manager y el editor de procesos de negocio procesan estos caracteres correctamente.

Si utiliza el formulario de tabla de recursos de usuario para editar usuarios, al editar un recurso de usuario no se obtendrán los atributos del recurso la primera vez que aparezca el formulario. Para que se capturen los datos del atributo, haga clic en el botón “Actualizar”. (ID-10551)

Identity Manager SPE

Identity Manager SPE y Sun Java System Portal Server pueden ser incompatibles debido a un problema relacionado con las bibliotecas cifradas. (ID-10744)

Este problema se puede solucionar configurando los valores siguientes en el archivo /etc/opt/SUNWam/config/AMConfig.properties de Portal Server y reiniciando el contenedor Web:

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

Cuando se trabaja con paneles de control SPE: si un gráfico tarda varios minutos en cargarse por primera vez, deber verificar que el explorador no se ha configurado para utilizar Microsoft Java Virtual Machine (MSJVM). Identity Manager SPE no permite utilizar MSJVM para ejecutar miniaplicaciones de explorador. (ID-10837)

Algunas de las opciones de configuración que aparecen en la interfaz del administrador de Identity Manager no se utilizan con Identity Manager SPE. (ID-10843). Entre ellas se encuentran:

Opciones de configuración del asistente de recursos: directiva de contraseña, directiva de cuenta, regla de exclusión de cuentas, aprobadores y organizaciones

Atributos de función

De forma predeterminada, la auditoría no se realiza cuando se utilizan las llamadas checkinObject y deleteObject IDMXContext de API. La auditoria se debe solicitar de forma explícita configurando la clave IDMXContext.OP_AUDIT como verdadero en la asignación de opciones transferida a estos métodos. El método createAndLinkUser() de la clase ApiUsage muestra cómo solicitar la auditoría. (ID-11261)

Cuando el adaptador de recursos de LDAP se configura para Active Sync, es preciso especificar el valor del campo DN User en la página Resource Parameters y del campo Filter Changes By de la página General Active Sync Settings. De lo contrario, el proceso de Active Sync nunca se completa porque continúa procesando sus propios cambios. (ID-11323)

Identity Auditor

Interfaz administrativa

La ficha secundaria Completada incluida en la ficha Remediaciones no cambia de color cuando se selecciona. (ID-9149)

La configuración regional del servidor de aplicación puede dar lugar a que se muestren dos idiomas cuando se habilita la localización en Identity Auditor y Identity Manager. (ID-9468)

Solución: mediante la configuración regional “C” se puede resolver el problema.

Aprobaciones

Las aprobaciones de Identity Manager no se admiten en la página de remediaciones de Identity Auditor. Para realizar aprobaciones, vaya a la página correspondiente de Identity Manager. (ID-9479)

Directivas de auditoría

Durante una exploración no se admiten reintentos de exploración de cuentas de usuario que no se han podido capturar de los recursos o donde han ocurrido otros fallos. Estos fallos se notifican cuando la exploración termina, pero no existe ningún modo de explorar otra vez las cuentas forma automática. (ID-9112)

Para configurar el número de subprocesos que iniciará una exploración, añada un campo maxThreads al formulario que inicia la tarea. El valor predeterminado es 5. (ID-9127)

Identity Auditor intenta hacer que los usuarios no infrinjan el cumplimiento entre exploraciones de directiva mediante la aplicación obligatoria de la directiva siempre que se edita el usuario. Si edita un usuario que tiene asignadas directivas de auditoría y además incumple una directiva, no podrá guardar los cambios, aunque se trate de un cambio tan simple como trasladar a un usuario a otra organización. (ID-9504)

Solución: utilice la función de la miniaplicación de usuario que permite mover con un clic en el botón derecho del ratón (o la de búsqueda y desplazamiento) o deshabilite temporalmente las comprobaciones de la directiva de auditoría.

Para deshabilitar las comprobaciones de la directiva de auditoría, edite la configuración del sistema y elimine la propiedad userViewValidators. Esta propiedad, que tiene como valor una lista de cadenas, se añade durante la importación del archivo init.xml o upgrade.xml.

Informes

En los historiales de infracciones de directivas de auditoría, recurso y organización, la implementación de una escala logarítmica para un tipo de gráfico STACK puede hacer que la presentación funcione de forma inusual. (ID-9522)

Capítulo anterior Índice Capítulo siguiente

Capítulo anterior Índice Capítulo siguiente
Sun Java System Identity Installation Pack 2005Q4M3 Notas de la versión