![]() | |
Sun Java System Identity Installation Pack 2005Q4M3 发行说明 |
3
已知问题
以下各节列出了以下产品的已知问题和解决方法:
Identity Manager常规
- 如果禁用了 cookie,则在试图访问特定页面时,会出现登录提示 (ID-158)。
- 应对运行 Sun Identity Manager 网关的系统进行配置,使 Dr. Watson 不生成可视化通知。如果设置了此功能,则当网关出错时,进程将会挂起,直到弹出窗口关闭。
- display.session 和 display.subject 变量对于“禁用”表单元素不可用。建议不在“禁用”元素中创建可能会长时间运行的活动,因为每次重新计算表单时,这些表达式都要运行。取而代之,建议在其他不会同样频繁运行的表单元素中完成计算。
- 为了在使用 Identity Manager Web 界面时获得最佳性能,请使用与 Identity Manager 捆绑的 OpenSPML 工具包。从 openspml.org Web 站点使用 openspml.jar 文件可能导致内存泄漏。(ID-11889)
- 如果通向 Identity Manager 安装目录的路径中含有空格,则应设置不带双引号 (") 的 WSHOME 环境变量,如下所示。
注 在指定路径时,即使该路径中不含空格,也不要使用末尾斜杠 ( \ )。
set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse
或者
set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse
以下设置无效:
set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\lighthouse"
- 仅当创建了用户帐户时,才会检查设置在资源模式映射上的必填字段 (ID-220)。如果用户更新时要求必须填写某个字段,则应对该用户表单进行配置,以确保该字段为必填字段。
- 不对组织名称、管理员名称、帐户名称、用户属性名称(模式映射的左侧)或任务名称进行字符有效性检查(ID-1145、1206、1679、1734、1767、2413、3331)。不能在上述对象类型的名称中使用美元符号 ($)、逗号 (,)、句点 (.)、撇号 (')、“和”符号 (&)、左方括号 ( [ )、右方括号 ( ] ) 或冒号 (:)。
- 如果试图在会话超时后执行某个操作,则会在帐户页上出现一个误导性错误消息 (ID-1223)。
- 如果浏览器使用的是大字体,则无法看到完整的日历对象(ID-2120)。
- 即使未选择列表中的项目之一,“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中,则在为获得结果而进行操作的过程中将忽略此“全选”复选框。
- 如果对自定义消息目录进行了更改,则必须重新启动服务器才能看到所做的更改。(ID-6792)
- 当启用或禁用多个用户时,工具条选项卡(如“帐户列表”、“查找用户”)不出现在确认页中 (ID-6866)。当该页得到确认并显示结果后,这些选项卡会再次出现。
- 当前用于检测有故障的“服务器”的机制假定 Identity Manager 群集中的所有系统在时间上是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下,如果一台服务器在 5 分钟内未能与另一台服务器同步,则前面的服务器会声明其后面的服务器发生故障,从而导致不可预测的结果。解决方法是保持更好的时间同步,或增加故障转移时间间隔。
- 对于 Windows,如果登录时使用的用户名包括双字节字符,而机器的默认编码仅支持单字节字符,则必须将环境变量 USER_JPI_PROFILE 设置为其名称仅包含单字节字符的现有目录。(ID-8540)
- 如果在浏览器中加载帐户 applet 失败,请确保所有用户都具有 applet JAR 文件 IDM_install_dir/applet/tt22.jar 及 applet JAR 文件所在目录的读取和执行权限。(ID-8541)
- 现在资源对象暴露了一个可查询属性 typeString (Attribute.TYPE_STRING)。此属性包含以前作为类型暴露的资源类型值。
尽快将按照类型 (Attribute.TYPE) 查询资源的任何自定义代码更改为按照 typeString (Attribute.TYPE_STRING) 进行查询。由于可以为资源对象内置 Attribute.TYPE_STRING,因此转换至 Attribute.TYPE_STRING 可以改进性能。
Identity Installation Pack 的下一个完整发行版不再将资源类型值暴露为 Attribute.TYPE。(ID-11124, 11125)
- 在 treetable 视图中,删除对象后,资源对象不能正确刷新。手动刷新页面可以使对象正确显示。(ID-12241)
安装和更新
- 当通过 idm.war 文件安装 Identity Manager 时,在 UNIX shell 脚本中未设置可执行权限位 (ID-2371)。解决方法是在 idm/bin 目录下执行 UNIX chmod 命令。
- 如果在“保留自定义”阶段更新出错,则“安装”按钮仍会处于活动状态,但按下该按钮却不起作用 (ID-3797)。
- 如果 DN 中含有空格,则 Identity Manager 无法连接到 LDAP 信息库 (ID-6066)。
- 如果在 Tomcat 5.x 环境中安装 Identity Manager,则运行报告会导致出现 java 错误 (ID-6652)。解决方法是执行以下命令:
cd $WSHOME\WEB-INF\classes
jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class
- AD 活动同步资源已过时并已被 AD 资源替换。执行以下步骤,将 AD 活动同步迁移至更新的版本:(ID-11363)
- 在升级至 Identity Manager 6.0 时,您可能遇到关于 PBE 服务器密钥生成的问题。如果将 6.0 之前的系统配置为使用针对服务器密钥加密的 pkcs5,则升级后许可证密钥将不再起作用。因此,下一次启动服务器时,您将无法登录或启动控制台。(ID-12026, 12027)
您应通过选择生成新的安全随机 PBE 密码来生成新 PBE 密码。仅当升级前选择了 PKCS#5,才可以显示和选择此选项。
您还可以在已升级的系统信息库中编辑/导入系统配置。添加、删除或更改 pkcs5Encrypt 或 updatePkcs5Password 属性的值将影响服务器密钥加密,如下所示:
pkcs5Encrypt = 'false', updatePkcs5Password = 'true' 或 'false'
将使用默认加密密钥重新加密所有服务器加密密钥。
pkcs5Encrypt = 'true', updatePkcs5Password = 'false'
将使用从系统信息库中的 pbe 密码生成的 pcks5 加密密钥,来重新加密所有服务器加密密钥。
pkcs5Encrypt = 'true', updatePkcs5Password = 'true'
将更新系统信息库的唯一安全随机 pbe 密码(例如 miscData)。
同样将使用从系统信息库中已更新的 pbe 密码生成的 pcks5 加密密钥,来重新加密所有服务器加密密钥。
帐户管理
- 可以创建名称超过 20 个字符的 NT 帐户,但 NT 本地工具却不能管理这些帐户 (ID-710)。
- 管理员不能保存含有其不能管理的组织的资源或角色 (ID-839)。
- Identity Manager 不检查用户帐户名称中是否有 NT 限用字符 (ID-844)。NT 限用字符包括:
" / \ [ ] : ; | = , + * ? < >
另外,用户名称中不能仅含有句点 (.) 和空格。
- 对“置备结果”页上的列进行排序会在结果中添加额外的空行 (ID-1105)。
- 批准数以百计的用户帐户需要花费大量时间 (ID-1149)。解决方法是将用户帐户记录分成多个较小的组进行批准。
- 不再拥有批准权能的管理员所拥有的批准记录不能被批准 (ID-1150)。解决方法是从管理员拥有批准权限的资源、角色和组织中删除该管理员,然后在删除该管理员或该管理员的批准权能之前,批准任何未完成的批准记录。
- 如果更新用户而未进行任何更改,则不显示详细结果页 (ID-2327)。
- 当创建新用户或将资源添加到现有用户时,如果该用户的标识名不正确,则此错误值将保留在高速缓存中,直到管理员注销 (ID-2508)。如果要在更正标识名后重新创建该用户,则必须在管理员注销后才能成功。
- 帐户锁定消息不会在 Netscape 4.7 上的 Identity Manager 的“用户界面”登录屏幕中显示 (ID-2680)。该错误消息会在 URL 页中出现。
- 名称 "name" 是视图的保留词,不应用作资源模式映射的 Identity Manager 用户属性 (ID-2918)。
- Windows Active Directory 要求网关作为可以创建目录的管理员运行 (ID-2919)。Identity Manager 可以在 Windows 2000 系统上创建主目录。主目录帐户由用以运行网关进程的用户创建,取代了在资源定义中指定的管理员。解决方法是从“本地系统”将用以运行网关的用户更改为有权创建远程共享以及为这些共享设置权限的帐户。此帐户还需要“跳过遍历检查”和“以操作系统方式操作”权限。
- 当因禁用某个用户帐户而导致出现错误时,Windows NT 资源错误地发出一条警告消息,而不是错误消息 (ID-3222)。
- 当通过编辑用户页删除用户的所有资源时,可能会出现 java.lang.NullPointerException (ID-4811)。解决此问题的方法是使用“用户删除”页,解除该用户与这些资源帐户的链接或删除该用户的这些资源帐户。
- 如果创建了一个 Identity Manager 用户,并将其分配给已经有该用户帐户的 Windows Active Directory 资源,则在资源信息中创建该用户时将不含 GUID 属性 (ID-5114)。此 GUID 属性用于检测该用户在 Directory 资源中的组织或名称的变化。从该资源运行协调可以修复此问题。
- 创建用户时,如果为含有直接分配的资源的用户添加了“角色”,则会出现警告 (ID-5385)。
- 创建用户时不能指定“转发”管理员。此选项只能在编辑用户时设置 (ID-5695)。
- “删除用户”的“取消分配”操作不会为每个资源处理多个帐户 (ID-6305)。
批准
登录配置
组织
- 在删除多个组织时,如果对一个组织的删除失败,则其余所有组织将不能被删除 (ID-517)。
- 当存在暂挂置备请求,且其中含有属于某个组织的用户时,如果重命名该组织,将导致该置备请求失败 (ID-564)。解决方法是在重命名组织前,确保无未完成的请求。
- 当创建新组织时,如果在指定组织名称之前选择了“用户成员规则”选项,则当刷新该页时,在“组织”名称字段中将出现一个组织 ID (ID-6302)。在保存新组织之前仍然可以设置该名称。
( ) - Warning:Parenthesized values in field 'Approvers' do not match any of the allowed values.
- 如果通过动态组织规则将用户分配给了某个组织,而且它已存在于该组织,则该用户将在“列出帐户”applet 中出现两次 (ID-6413)。
策略和权能
协调和导入用户
报告
- 安全管理员不能运行或创建报告 (ID-1217)。解决方法是授予管理员“报告管理员”权能。
- 风险分析报告可被管理员而非报告管理员查看 (ID-1224)。
- 在电子邮件中使用纯文本选项发送的报告结果未被格式化 (ID-2191)。解决方法是在电子邮件中使用 HTML 选项。
- 对于大量的结果,可能不会记录“审计日志”条目 (ID-5050)。
- 如果存在名称中含有撇号 (') 的组织,则不会显示选定的 ticker (ID-5653)。
- 如果试图运行“管理员报告”,并选择仅报告属于无管理员的特定组织的管理员,将返回 java.lang.NullPointerException 错误 (ID-5722)。
- 编辑在 Identity Manager 5.0 SP4 中创建或修改的、引用 "User" 对象类型的审计/使用情况报告时,将会引用 "Directory User"。尽管这些报告不具备功能性,但是如果它们存在,则必须进行手动编辑,且选择时应选择 "User",而不是 "Directory User"。(ID-9737)
资源
- 资源测试按钮不测试所有字段 (ID-51)。
- 资源端口分配可设置为大于 65535 的值 (ID-59)。
- 如果设置了错误的 Active Directory 组名,则会显示严重的错误消息 (ID-393)。如果尝试将 Active Directory 组名称设置为 "groupname" 而不是 "cn=groupname,cn=builtin,dc=waveset,dc=com",将显示错误消息“数组索引超过界限”。
- 如果其他资源具有的同名帐户属性名称未设置必需标志,则这些必需的帐户属性有时会被忽略 (ID-1161)。
- 如果管理员试图向一个他没有管理权限的资源添加组织,则会出错。必须取消对该资源进行的编辑,然后重新编辑该资源,才能对其进行任何其他更改 (ID-1274)。
- 当资源帐户密码或用户名在 PeopleSoft 资源上不正确时,错误消息不明确 (ID-2235)。该错误消息为:
bea.jolt.ApplicationException:TPESVCFAIL - application level service failure
- 使用退出状态 %DISPLAY_INFO_CODE% 的 Windows Active Directory 资源操作导致该操作因出错而失败 (ID-2827)。
- 返回非零退出代码的 Windows NT 资源操作不会导致操作失败 (ID-2828)。
- 不能在创建用户时在 Active Directory 上设置该用户的主要组 ID (ID-3221)。解决方法是创建用户时不设置主要组 ID,然后编辑该用户,并设置该值。主要组 ID 也是通过编号而非标识名 (DN) 进行设置。
- 在主机名解析为 IP 地址后,资源 IP 地址将保存在 JVM 的高速缓存中。如果改变了资源的 IP 地址,则需要重新启动应用服务器,使 Identity Manager 能够检测所做更改 (ID-3635)。这是 Sun JDK(1.3 及更高版本)中的设置,可以使用 sun.net.inetaddr.ttl 属性(通常在 jre/lib/security/java.security 中设置)控制。
- 不能在 Oracle 资源上为单个用户创建多个帐户 (ID-3832)。
- 最终用户不能对 Domino 资源帐户使用自行搜索功能 (ID-4775)。
- 如果用户被移出或移入 Active Directory 组织内的子容器,则活动同步适配器会检测到该变化,但是当在编辑页上查看该用户(或在进行修改后查看确认页)时,该用户的帐户 ID 仍然显示为原来的 DN(distinguished name,标识名)(ID-4950)。由于我们使用 GUID 修改用户,因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。
- 如果用户从一个“组织”(OU) 移动到一个子组织,则 LDAP ChangeLog 适配器不会识别出此变化,并会认为该用户已被删除。随后用户对象在 LH 中被锁定(如果这是当前设置),而且不会为已移动的帐户创建一个“新”帐户(ID-4953)。
- 如果在执行命令或脚本时出错,则 UNIX 资源适配器使用的存储连接可能被置于未确定状态 (ID-5406)。
- 只有将资源的“基本上下文”设置为 "[ROOT]",才能在树的顶层创建 NDS 组织 (ID-5509)。
- 当在“列出资源”页通过右键单击鼠标弹出的菜单搜索资源对象时,“非”选项不返回正确的对象列表。(ID-6194)
- 在 NDS 上,如果编辑初始置备的某个字段(如“暂缓登录限制”),并且未提供布尔字段的值,则所有布尔字段将设置为 false (ID-6770)。这会阻止您对限制选项卡上的其他一些字段进行设置(这些字段要求特定复选框值为 true)。为避免这种情况,在需要所有布尔字段值为 true 的时候,请确保它们始终为 true,以便在编辑其他字段时,能将其正确推入。
- 如果使用“管理连接”-->“更改资源密码”功能更改 UNIX 机器的密码,则显示的任务名为:
_FM_PASSWORD_CHANGING_TASK null:null
应显示用户友好的名称。(ID-6947)
- 不能对使用 NIS 的 UNIX 资源使用管理连接功能 (ID-6948)。由于要更改的密码是超级用户密码,而 NIS 不能管理超级用户帐户,因此会出现错误。
- 通过从 Identity Manager 组织中选择更新来对用户进行更新时,如果具有 Sun One ID Server 帐户的用户是在本机创建,然后加载到 Identity Manager,则会为这些用户返回一个错误 (ID-7094)。解决方法是单独更新这些用户。
- Identity Installation Pack 仍包含以下已过时类:
- 不要将 DatabaseTableResourceAdapter 模式下的任何帐户属性设置为布尔值。适配器不能将布尔属性正确地返回为布尔对象,会让本机更改审计者错误地认为已作出更改。(ID-8746)
- 启动服务器后首次连接 ActivCard 后,java.security.NoSuchAlgorithmException 错误可能被写入到标准输出中。此为良性错误。(ID-8905)
- 尝试删除在 PeopleSoft 组件接口资源中存在帐户的用户时,会出现一个错误。此资源当前不支持帐户删除。(ID-9000)
- 不应在 Application Server 上一起部署 Access Manager 和 Identity Manager 5.5(及更高版本)。Access Manager 更改了默认安全提供商,因此 Identity Manager 无法验证许可证签名。
如果不能验证许可证签名,浏览器的初始页将显示一条错误消息。大多数情况下,出现此错误的原因是安全提供商的兼容性问题。(ID-10518, 10750, 11011)
错误类似于:
无法验证签名: 异常错误
资源对象管理
资源组
安全
Sun Identity Manager 网关
任务
- 如果任务列表中含有“风险分析”任务,则拥有 Identity Manager 的“管理员”权限的管理员不能查看管理任务页 (ID-1225)。
- 不控制“顶层”的管理员不能创建“搜索”或“资源扫描程序”预定任务 (ID-1414)。
- “查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。
- 编辑预定任务时,必须使用 MM/DD/YYYY 格式重新输入开始日期 (ID-5675)。
- 不控制“顶层”的委托管理员可以预定任务和查看任务结果,但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于“顶层”,因此委托管理员没有查看该对象的权限。
- 一个名为“延迟任务”的字段被加入到库中。该字段可列出用户的延迟任务。要实现该字段,“选项卡式用户表单”和“选项卡式查看用户表单”中必须添加下面的行。
<FieldRef name='Deferred Tasks'/>
工作流、表单、规则和 XPRESS
- XPRESS <eq> 函数不能用于将布尔值与字符串 TRUE 或 FALSE 或者与整数 1 或 2 进行比较 (ID-3904)。解决方法是使用:
<cond>
<isTrue><ref>Boolean_variable</ref></isTrue>
<s>True action</s>
<s>False action</s>
</cond>
- 在通过 dolist 迭代一个通用对象列表时,路径表达式无效 (ID-4920)。
<dolist name='genericObj'>
<ref>listOfGenericObjects</ref>
<ref>genericObj.name</ref>
</dolist>
解决方法是使用如下所示的 <get> / <set>:
<dolist name='genericObj'>
<ref>listOfGenericObjects</ref>
<get><ref>genericObject</ref><s>name</s>
</dolist>
- 如果对用户表单中的字段使用 global.attrname 变量,而且该属性由多个资源共享,则还应定义一个“派生”规则 (ID-5074)。否则,如果该属性在其中一个资源上进行了本机更改,则该属性不一定会被提取出来并传播至其他资源。
- 不能在表单的 HTML 部分中使用以 & 开始的特殊字符串。例如, 将不再显示为空格。此问题是由于更改“选择”列表中的支持特殊字符 (&\<>') 而产生的 (ID-5548)。
- 包含在 <Comment> 标记中的表单、工作流和规则注释,含有代表换行符的 
 字符串 (ID-6243)。这些字符仅在查看上述对象的 XML 时才能看到;Identity Manager 服务器和“业务流程编辑器”会正确处理这些字符。
- 如果使用“资源表格用户表单”编辑用户,则编辑用户资源时,首次显示表单时不能获取资源属性。解决方法是单击“刷新”按钮,这将会获取属性数据。(ID-10551)
Identity Manager SPE
- Identity Manager SPE 和 Sun Java System Portal Server 可能不兼容,存在与加密库相关的问题。(ID-10744)
通过在 Portal Server 的 /etc/opt/SUNWam/config/AMConfig.properties 文件中设置以下值,然后重新启动 Web 容器,可以更正此问题:
com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl- 使用 SPE 面板时:如果首次加载图形时持续了几分钟时间,则应核实未将浏览器配置为使用 Microsoft Java 虚拟机 (Microsoft Java Virtual Machine, MSJVM)。Identity Manager SPE 不支持使用 MSJVM 来运行浏览器 applet。(ID-10837)
- Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括:
- 默认情况下,当使用 checkinObject 和 deleteObject IDMXContext API 调用时,不会进行审计。必须通过在传递给这些方法的选项映射中将 IDMXContext.OP_AUDIT 关键字设置为 True 来明确请求审计。ApiUsage 类中的 createAndLinkUser() 方法显示了如何请求审计。(ID-11261)
- 在为活动同步配置 LDAP 资源适配器时,必须在“资源参数”页中指定“用户标识名”字段的值,在“常规活动同步设置”页中指定“过滤更改方式”字段的值。否则,活动同步进程永远不会完成,因为它会不断处理自身的更改。(ID-11323)
Identity Auditor管理界面
批准
Identity Auditor 的“修正”页不支持Identity Manager 批准。要执行批准,请转到 Identity Manager 的“批准”页。(ID-9479)
审计策略
- 扫描过程中,不支持重新扫描无法从资源获取或发生其他错误的用户帐户。扫描完成后将报告这些错误,但没有重新扫描帐户的自动方法。(ID-9112)
- 要配置扫描将启动的线程数,可为启动任务的表单添加一个名为 maxThreads 的字段。默认值为 5。(ID-9127)
- 只要用户被编辑,Identity Auditor 就会试图通过强制执行策略保持用户在策略扫描间的遵从性。如果编辑分配了审计策略并且违反了某个策略的帐户,则不能保存对用户的更改,即便此更改如同将用户移至另一组织这样简单。(ID-9504)
解决方法:使用用户 applet 的右键单击移动(或查找然后移动)功能,或临时禁用审计策略检查。
要禁用审计策略检查,请编辑系统配置并删除 userViewValidators 属性。在导入 init.xml 或 upgrade.xml 的过程中添加了这个包含字符串列表值的属性。
报告