Zurück      Weiter
Sun Java™ System Identity Manager 7.0 Versionshinweise

Bekannte Probleme

Die folgenden Abschnitte enthalten bekannte Probleme und Zwischenlösungen für:

Identity Manager
Service Provider Edition
Auditor

---

Identity Manager

Allgemein

Falls versucht wird, auf bestimmte Seiten zuzugreifen, wenn Cookies deaktiviert sind, wird eine Eingabeaufforderung für die Anmeldung aufgerufen (ID-158).
Systeme, die Sun Identity Manager Gateway ausführen, müssen so konfiguriert werden, dass Dr. Watson keine visuellen Benachrichtigungen erzeugt. Wenn diese Funktion festgelegt ist und beim Gateway ein Fehler auftritt, kann der Prozess erst ausgeführt werden, nachdem das Popupfenster geschlossen wurde.
Die Variablen display.session und display.subject sind für Disable-Formularelemente nicht verfügbar. Erstellen Sie nach Möglichkeit keine potenziell langen Aktivitäten in Disable-Elementen, weil diese Ausdrücke immer ausgeführt werden, wenn das Formular neu berechnet wird. Führen Sie stattdessen die Berechnung in einem anderen Formularelement aus, das nicht so oft ausgeführt wird.
Mit dem OpenSPML-Toolkit von Identity Manager erzielen Sie bei der Arbeit mit der Identity Manager-Weboberfläche optimale Ergebnisse. Bei Verwendung der Datei openspml.jar von der Website openspml.org aus können Speicherfehler auftreten. (ID-11889).
Wenn im Identity Manager-Installationsverzeichnis freier Platz verfügbar ist, müssen Sie die Umgebungsvariable WSHOME ohne doppelte Anführungszeichen (") wie unten gezeigt angeben.

Hinweis	Nachstehende umgekehrte Schrägstriche ( \ ) dürfen bei der Pfadangabe auch dann nicht verwendet werden, wenn der Pfad keine Leerzeichen enthält.

set WSHOME=c:\Program Files\Apache Group\Tomcat 4.1\lighthouse

oder

set WSHOME=c:\Progra~1\Apache~1\Tomcat~1\lighthouse

Folgende Angaben sind ungültig:

set WSHOME="c:\Program Files\Apache Group\Tomcat 4.1\lighthouse"

Erforderliche Felder, die in der Ressourcenschemazuordnung festgelegt wurden, werden nur beim Erstellen von Benutzerkonten geprüft (ID-220). Wenn ein Feld bei Benutzeraktualisierungen benötigt wird, ist das Benutzerformular entsprechend zu konfigurieren.
Organisationsname, Administratorname, Kontoname, Name des Benutzerattributs (links in der Schemazuordnung) und Aufgabennamen werden nicht auf ungültige Zeichen geprüft (ID-1145, 1206, 1679, 1734, 1767, 2413, 3331). In den Namen für diese Objekttypen sind folgende Zeichen nicht zulässig: Dollar ($), Komma (,), Punkt (.), Apostroph ('), kaufmännisches Und (&), linke eckige Klammer ( [ ), rechte eckige Klammer ( ] ) und Doppelpunkt (:).
Wenn Sie versuchen, eine Aktion nach einem Sitzungstimeout auszuführen, wird auf der Kontoseite eine irreführende Fehlermeldung angezeigt (ID-1223).
Das Kalenderobjekt wird nicht vollständig angezeigt, wenn der Browser große Schriftarten verwendet (ID-2120).
Das Kontrollkästchen „Alle auswählen“ auf der Suchergebnissseite und der Aufgabenliste wird nicht deaktiviert, wenn eines der Listenelemente deaktiviert ist (ID-5090). Das Kontrollkästchen „Alle auswählen“ wird während einer sich ergebenden Aktion ignoriert, wenn nicht die Kontrollkästchen aller Listenelemente aktiviert sind.
Damit die Änderungen in einem benutzerspezifischen Meldungskatalog auch übernommen werden, ist der Server neu zu starten. (ID-6792).
Die Registerkarten der Randleiste (beispielsweise „Kontenliste“, „Benutzer suchen“) werden auf der Bestätigungsseite nicht angezeigt, wenn mehrere Benutzer aktiviert oder deaktiviert werden (ID-6866). Nach Bestätigung der Seite werden die Registerkarten wieder eingeblendet, sobald die Ergebnisse angezeigt werden.
Das derzeitige Verfahren zum Ermitteln eines fehlgeschlagenen Servers geht davon aus, dass alle Systeme eines Identity Manager-Clusters zeitsynchronisiert sind (ID-7064). Wenn bei dem Standardausfallintervall von fünf Minuten ein Server fünf Minuten lang nicht mit einem anderen Server synchron läuft, deklariert der Server, der zeitlich voraus ist, den zeitlich nachstehenden Server für inaktiv, was unvorhersehbare Ergebnisse zur Folge haben kann. Als Zwischenlösung muss eine bessere Zeitsynchronisierung eingerichtet oder das Failover-Intervall erhöht werden.
Wenn Sie sich unter Windows mit einem Benutzernamen mit Doppelbytezeichen anmelden und die Standardzeichnsätze für den Computer nur Einzelbytezeichen unterstützen, müssen Sie die Umgebungsvariable USER_JPI_PROFILE auf ein vorhandenes Verzeichnis setzen, dessen Name nur Einzelbytezeichen enthält. (ID-8540).

Installation und Aktualisierung

Bei der Identity Manager-Installation über die Datei idm.war sind die Ausführungskomponenten in den UNIX-Shellskripten nicht festgelegt (ID-2371). Zwischenlösung: Führen Sie den UNIX-Befehl „chmod“ im Verzeichnis idm/bin aus.
Wenn Identity Manager in einer Tomcat 5.x-Umgebung installiert ist, wird bei der Ausführung von Berichten ein Java-Fehler erzeugt (ID-6652). Es gibt folgende Zwischenlösung:

cd $WSHOME\WEB-INF\classes

jar xvf ..\lib\j2ee.jar javax/activation/DataSource.class

Die AD ActiveSync-Ressource wurde verworfen und durch die AD-Ressource ersetzt. Führen Sie folgende Schritte aus, um zu AD ActiveSync für neuere Versionen zu migrieren: (ID-11363).
Exportieren Sie das vorhandene AD ActiveSync-Ressourcenobjekt in eine XML-Datei (über die Befehlszeile oder auf den Debug-Seiten).
Löschen Sie die vorhandene Ressource (von diesem Vorgang sind keine Benutzer von Identity Manager oder des Ressourcenkontos betroffen).
Erstellen Sie eine neue AD-Ressource als ActiveSync-Ressource.
Exportieren Sie dieses neue Ressourcenobjekt in eine XML-Datei.
Setzen Sie in dieser Datei die Werte für dieAttribute „id“ und „name“ auf die Werte des ALTEN, in Schritt 1 gespeicherten Ressourcenobjekts. Diese Attribute befinden sich im Tag <Resource id='ID-Nummer' name='AD' ...>.
Speichern Sie die Änderungen in der Datei.
Importieren Sie das geänderte Objekt zurück in Identity Manager. Verwenden Sie hierzu die Seite „Konfigurieren->Exchange-Datei importieren“ oder die Befehlszeile.
Wenn Sie eine 6.x-Installation aktualisieren, aber die neuen Endbenutzerseiten verwenden möchten, müssen Sie den Systemkonfigurationsparameter ui.web.user.showMenu manuell auf „true“ setzen, damit die horizontale Navigationsleiste angezeigt wird. (ID-14900).

Kontoverwaltung

Es können jetzt NT-Konten erstellt werden, die mehr als 20 Zeichen lang sind und von den nativen NT-Tools nicht unterstützt werden (ID-710).
Ein Administrator kann nur Ressourcen oder Rollen speichern, deren Organisationen von ihm verwaltet werden (ID-839).
Beim Sortieren der Spalten auf der Seite für die Bereitstellungsergebnisse werden zu den Ergebnissen zusätzliche leere Zeilen hinzugefügt (ID-1105).
Genehmigungen für mehrere hundert Benutzerkonten dauern sehr lange (ID-1149). Zwischenlösung: Organisieren Sie die Datensätze für die Benutzerkonten in kleineren Gruppen.
Die Genehmigungsdatensätze eines Administrators, der nicht mehr über eine Genehmigungsberechtigung verfügt, können nicht genehmigt werden (ID-1150). Zwischenlösung: Entfernen Sie den Administrator aus den Ressourcen, Rollen und Organisationen, für die Genehmigungsrechte bestehen, und genehmigen Sie anschließend alle ausstehenden Genehmigungsdatensätze, bevor Sie den Administrator oder die Genehmigungsberechtigung für den Administrator entfernen.
Wenn ein Benutzer ohne Änderungen aktualisiert wird, wird die detaillierte Ergebnisseite nicht angezeigt (ID-2327).
Wenn Sie einen neuen Benutzer erstellen oder eine Ressource zu einem vorhandenen Benutzer hinzufügen und der DN für den Benutzer falsch ist, wird der falsche Wert solange zwischengespeichert, bis sich der Administrator abmeldet (ID-2508). Wenn der DN korrigiert wurde, kann der Benutzer erst neu erstellt werden, nachdem sich der Administrator abgemeldet hat.
Die Kontosperrmeldung wird im Anmeldefenster der Identity Manager-Benutzeroberfläche von Netscape 4.7 nicht angezeigt (ID-2680). Die Fehlermeldung wird im Seiten-URL angezeigt.
Die Bezeichnung „name“ ist ein für die Ansicht reserviertes Wort und kann nicht als Identity Manager-Benutzerattribut für Ressourcenschemazuordnungen verwendet werden (ID-2918).
In Windows Active Directory muss das Gateway als Administrator, der Verzeichnisse erstellen kann, ausgeführt werden (ID-2919). Identity Manager kann Ausgangsverzeichnisse unter Windows 2000 erstellen. Der Kontoerstellvorgang für ein Ausgangsverzeichnis wird nicht vom in der Ressourcendefinition angegebenen Administrator, sondern vom Benutzer, unter dem der Gatewayprozess läuft, ausgeführt. Zwischenlösung: Geben Sie statt des Benutzers, unter dem das Gateway auf dem lokalen System läuft, ein Konto an, das über Berechtigungen zum Erstellen von entfernten Freigaben verfügt, und legen Sie die Berechtigungen für diese Freigaben fest. Dieses Konto muss außerdem die durchsuchende Überprüfung umgehen und als Betriebssystemberechtigung fungieren.
Die Windows NT-Ressource erzeugt eine Warnmeldung anstelle einer Fehlermeldung, wenn beim Deaktivieren eines Benutzerkontos ein Fehler auftritt (ID-3222).
Es wird manchmal eine java.lang.NullPointerException angezeigt, wenn auf der Seite zum Bearbeiten von Benutzern alle Ressourcen aus einem Benutzer entfernt werden (ID-4811). Zwischenlösung: Trennen oder löschen Sie diese Ressourcenkonten auf der Seite zum Löschen von Benutzern aus dem Benutzer.
Wenn ein Identity Manager-Benutzer erstellt und einer Windows Active Directory-Ressource zugewiesen wird, in der das Benutzerkonto bereits vorhanden ist, wird der Benutzer ohne GUID-Attribut in den Ressourceninformationen erstellt (ID-5114). Diese GUID ermittelt Änderungen bei der Organisation oder dem Namen des Benutzers in Active Directory. Sie können dieses Problem beheben, indem Sie in der Ressource eine Abstimmung ausführen.
Beim Erstellen eines Benutzers wird eine Warnung ausgegeben, falls Sie dem Benutzer eine Rolle hinzufügen, die eine direkt zugewiesene Ressource enthält (ID-5385).
Ein „Weiterleiten an“-Administrator kann nicht angegeben werden, wenn ein Benutzer erstellt wird. Diese Option kann nur festgelegt werden, wenn der Benutzer bearbeitet wird (ID-5695).

Genehmigungen

Wenn Sie einen Benutzer im Hintergrund aktualisieren, wird auf der Seite für die Aufgabenergebnisse eine Genehmigungsaktivität angezeigt (ID-3301). Diese Genehmigung kann ignoriert werden.
Die Genehmigungsdatensätze für einen Administrator werden erst angezeigt, nachdem der Benutzer umbenannt wurde (ID-3386). Zwischenlösung: Bearbeiten Sie alle ausstehenden Genehmigungen, bevor Sie den Benutzer umbenennen.
Zuvor genehmigte oder abgelehnte Genehmigungsdatensätze können von einem Administrator nicht angezeigt werden, wenn der zu genehmigende Benutzer einer Organisation angehört, die der Genehmiger nicht steuert (ID-3494).
Ressourcenwiederholungsaufgaben werden in der ausstehenden Genehmigungsliste für den Configurator angezeigt (ID-3508).

Integrierte Entwicklungsumgebung (IDE)

Für die meisten Knoten existiert im Fenster „Eigenschaften“ ein zugehöriges Eigenschaftsarbeitsblatt, und sie besitzen die Eigenschaft „name“ zum Speichern einer Knotenbezeichnung. Wenn Sie ein Objekt über seinen Knoten (durch Klicken auf das Objekt mit der rechten Maustaste und Auswahl von „Umbennen“) umbenennen, wird die Knotenbezeichnung aktualisiert und die XML-Daten ändern sich entsprechend. Die Änderung wird jedoch im Arbeitsblatt nicht übernommen. Wenn Sie auf einen anderen Knoten und danach erneut auf den umbenannten Knoten klicken, erscheint der neue Name im Eigenschaftsarbeitsblatt. Sie können auch auf den Titel des Arbeitsblatts klicken, damit der richtige Wert übernommen wird. (ID-13696).
Objekte, die die Identity Manager IDE verwenden, sollten über das durch Rechtsklick aufrufbare Kontetxmenü im Projekt-Explorer und nicht durch direktes Bearbeiten von XML-Daten im Editor umbenannt werden. (ID-13828).
Der XML-Navigator wurde in der IDM IDE deaktiviert. Das Navigator-Fenster wird über „Fenster ->Navigator“ geöffnet, und es wird <No view available> angezeigt. (ID-13390).
Das Löschen von Projekten wird nicht unterstützt. (ID-14013).
Regelbibliothekn werden zurzeit nur für grundlegendes Bearbeiten und Testen von XML-Code im Regeltester unterstützt. Navigations- und Eigenschaftsunterstützung ist zurzeit nicht implementiert. (ID-14093).
Formulareigenschaftswerte können nicht mit dem Eigenschafts-Editor bearbeitet werden, wenn der Datentyp Integer oder Boolean ist. (ID-14128).

Zwischenlösung: Der betreffende Eigenschaftswert ist direkt im XML-Code zu setzen.

Das Herunter, Hoch- oder Neuladen eines Objekts verursacht eine Sperrung des betreffenden Objekts im Repository. Infolgedessen können Zugriffe auf dieses Objekt durch Benutzer, die nicht in den Projekteinstellungen angegeben sind, innerhalb der vorgesehenen Sperrzeit fehlschlagen. (ID-14132).
Zum Vermeiden von Anzeigeproblemen mit der Entwurfsleiste und der Workflow-Symbolleiste sollte die erweiterte Option „Show ToolBar“ stets aktiviert sein. (ID-14138).
Beim Schließen eines Projekts funktioniert die Option „Discard All“ nicht ordnungsgemäß. Wenn Sie alle an einem Objekt vorgenommenen Änderungen verwerfen wollen, müssen Sie das Editorfenster schließen und „Discard“ auswählen. Dies ist ein bekanntes NetBeans-Problem (Bug-ID 84326). (ID-14164).
Damit ein Objekt über das Kontextmenü in NetBeans umbenannt werden kann, muss diese Änderung gespeichert werden. Nach dem Vornehmen der Änderung können Sie diese über „Datei ->Speichern“ speichern, ohne die Datei öffnen zu müssen. Wenn die Datei geöffnet ist, können Sie „Datei ->Speichern“ verwenden oder die Datei schließen und die Änderungen speichern, wenn Sie dazu aufgefordert werden (ID-14420).
Wenn Sie „displayClass“ eines Feldes auf „InlineAlert“ setzen, wird der InlineAlert-Wert nicht angezeigt, wenn das Feld in der Werteigenschaft einen Namen enthält. (ID-14456).
Das Auschecken einer Benutzeransicht in Identity Manager IDE sperrt das betreffende Objekt. Durch das Einchecken bzw. Schließen der Ansicht wird die Sperre nicht sofort, sondern automatisch nach 5 Minuten aufgehoben. Sie können die Sperre auch aufheben, indem Sie sich in Identity Manager als der Administrator anmelden, der die Ansicht in der IDM IDE ausgecheckt hatte und den Benutzer anzeigen. (ID-14797).

Anmeldekonfiguration

Das Modul für die Pass-Through-Authentifizierung funktioniert bei der Domino-Ressource nicht (ID-1646).
Änderungen bei den Seiten für das Setup für die Administrator- und Benutzeranmeldung werden anderen angemeldeten Administratoren nicht angezeigt (ID-3487). Um die Änderungen anzuzeigen, müssen sich die anderen Administratoren bei der Administratorbenutzeroberfläche abmelden und anschließend wieder anmelden.
Wenn sich ein Administrator anmeldet, „Mein Passwort ändern“ auswählt und anschließend eine andere Registerkarte anklickt, wird das Konto gesperrt, bis die Sperre abgelaufen ist. (ID-3705).

Wenn ein anderer Administrator versucht, den gesperrten Administrator zu bearbeiten, wird folgende Meldung angezeigt: „com.waveset.util.WavesetException: Auf Konto #ID#Configurator kann zur Zeit nicht zugegriffen werden. Versuchen Sie es später erneut.“ Wenn der Administrator auf „OK“ klickt, wird das Workflow-Prozessdiagramm der letzten Aktion angezeigt.

Organisationen

Wenn beim Löschen von mehreren Organisationen der Löschvorgang für eine Organisation fehlschlägt, werden die verbleibenden Organisationen auch nicht gelöscht (ID-517).
Wenn bei einer Organisation, die zugewiesene Benutzer und ausstehende Bereitstellungsanforderungen aufweist, umbenannt wird, schlägt die Bereitstellungsanforderung fehl (ID-564). Zwischenlösung: Stellen Sie sicher, dass keine ausstehenden Anforderungen vorhanden sind, bevor Sie eine Organisation umbenennen.
Wenn beim Erstellen einer neuen Organisation die Option für die Benutzermitgliedsregel vor der Angabe eines Organisationsnamens ausgewählt und anschließend die Seite aktualisiert wird, erscheint eine Organisations-ID im Feld für den Organisationsnamen (ID-6302). Der Name kann weiterhin vor dem Speichern der neuen Organisation festgelegt werden.

( ) - Achtung: In Klammer stehende Werte im Feld „Genehmiger“ entsprechen keinem der zulässigen Werte.

Richtlinien und Fähigkeiten

Das Identity Manager-Kontorichtlinienattribut „Rücksetzungs-Benachrichtigungsoption“ hat die Wertoption „administrator“, die keine Auswirkung hat (ID-944). Die einzig gültigen Optionen sind „sofort“ und „Benutzer“.
Wenn beim Löschen von mehreren Rollen ein Fehler auftritt, wird nicht mit den anderen Rollen fortgefahren, sondern der gesamte Vorgang angehalten (ID-1168).
Die Mindestanzahl der Fragen, die ein Benutzer beantworten muss, kann auf einen Wert gesetzt werden, der größer als die Anzahl der definierten Fragen ist (ID-1834). In diesem Fall kann sich der Benutzer nicht über die Option „Passwort vergessen“ anmelden.
Die Lighthouse-Standardkontorichtlinie kann nicht durch Bearbeiten der Richtlinie, Ändern des Namens oder Erstellen eines neuen Objekts geklont werden (ID-5147). Zwischenlösung: Erstellen Sie eine neue Kontorichtlinie.

Abstimmen und Importieren von Benutzern

Das Importieren von Benutzern aus einer CSV-Datei aktualisiert nicht die Ressourcenattribute, wenn der Benutzer bereits in Identity Manager vorhanden ist (ID-2041).
Wenn bei einer CSV-Datei (bei der die Felder durch Kommas getrennt werden) die Konto-IDs in einfache Anführungszeichen (') gesetzt sind, werden die Anführungszeichen als Fragezeichen (?) geladen (ID-2100).
Geplante Aufgaben werden auf der Seite „Aufgaben suchen“ nicht als Ergebnis angezeigt, wenn die Option „ist geplant“ verwendet wird (ID-5001).
Die Abstimmung schlägt fehl, wenn sie bei einer Ressource von Red Hat Version 8 ausgeführt wird (ID-6087).
Die Abstimmung einer Oracle ERP-Ressource wird mit Fehlern abgeschlossen, wenn bei der Ressource das Verbindungspooling aktiviert ist (ID-6386). Zwischenlösung: Deaktivieren Sie das Verbindungspooling während der Abstimmung.

Berichte

Sicherheitsadministratoren können keine Berichte ausführen oder erstellen (ID-1217). Zwischenlösung: Erteilen Sie den Administratoren die Berechtigungen zum Berichtsadministrator.
Risikoanalyseberichte können auch von Administratoren angezeigt werden, die keine Berichtsadministratoren sind (ID-1224).
Berichtsergebnisse, die mit der Option für das Nur-Text-Format per E-Mail gesendet werden, sind nicht formatiert (ID-2191). Zwischenlösung: Verwenden Sie die HTML-Option für die E-Mail.
Überwachungsprotokolleinträge werden möglicherweise bei umfangreichen Ergebnissen nicht erfasst (ID-5050).
Die aktivierte Laufschrift wird nicht angezeigt, wenn in den Namen von Organisationen Apostrophe (') vorkommen (ID-5653).
Wenn Sie versuchen, einen Administratorbericht auszuführen, und festlegen, dass nur Administratoren gemeldet werden, die einer bestimmten Organisation angehören, die keine Administratoren hat, wird ein java.lang.NullPointerException-Fehler zurückgegeben (ID-5722).

Ressourcen

Über die Schaltfläche für den Ressourcentest werden nicht alle Felder getestet (ID-51).
Zuweisungen für den Ressourcenport können auf Werte über 65535 gesetzt werden (ID-59).
Wenn Sie einen falschen Active Directory-Gruppennamen festlegen, wird eine ungültige Fehlermeldung angezeigt (ID-393). Wenn Sie versuchen, einen Active Directory-Gruppennamen auf „groupname“ statt auf „cn=groupname,cn=builtin,dc=waveset,dc=com“ zu setzen, wird eine Fehlermeldung angezeigt, die besagt, dass sich der Arrayindex außerhalb der Grenzen befindet.
Erforderliche Kontoattribute werden manchmal ignoriert, wenn eine andere Ressource mit demselben Kontoattributnamen vorhanden ist, bei der das erforderliche Flag nicht gesetzt ist (ID-1161).
Wenn ein Administrator versucht, eine Organisation zu einer Ressource hinzuzufügen, ohne mit den zugehörigen Rechten ausgestattet zu sein, wird ein Fehler erzeugt. Die Bearbeitung der Ressource muss dann abgebrochen und anschließend wieder aufgenommen werden, um weitere Änderungen bei der Ressource vorzunehmen (ID-1274).
Die Fehlermeldung, die bei einem falschen Ressourcenkontokennwort oder Benutzernamen erzeugt wird, ist bei einer nicht klaren PeopleSoft-Ressource falsch (ID-2235). Die Fehlermeldung lautet:

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

Bei Windows Active Directory-Ressourcenaktionen, die den Beendenstatus %DISPLAY_INFO_CODE% verwenden, schlägt die Aktion mit Fehlern fehl (ID-2827).
Bei Windows NT-Ressourcenaktionen, die einen Beendencode ungleich null zurückgeben, schlägt die Aktion fehl (ID-2828).
Beim Erstellen eines Benutzers kann die primäre Gruppen-ID des Benutzers in Active Directory nicht festgelegt werden (ID-3221). Zwischenlösung: Erstellen Sie den Benutzer, ohne die primäre Gruppen-ID festzulegen. Bearbeiten Sie anschließend den Benutzer und legen Sie den Wert fest. Die primäre Gruppen-ID wird außerdem nach Nummer und nicht nach DN der Gruppe festgelegt.
Ressourcen-IP-Adressen werden in der JVM zwischengespeichert, nachdem der Hostname in eine IP-Adresse aufgelöst wurde. Wenn eine Ressourcen-IP-Adresse geändert wurde, ist ein Neustart des Anwendungsservers erforderlich, damit Identity Manager die Änderung erkennt (ID-3635). Dies ist eine Einstellung in Sun JDK (ab Version 1.3), die über die in der Regel in jre/lib/security/java.security festgelegte Eigenschaft „sun.net.inetaddr.ttl“ gesteuert wird.
Sie können bei Oracle-Ressourcen für einen einzelnen Benutzer nicht mehrere Konten erstellen (ID-3832).
Endbenutzer können die Selbsterkennungsfunktion nicht für Domino-Ressourcenkonten verwenden (ID-4775).
Wenn ein Benutzer aus einem oder in einen Untercontainer innerhalb der Active Directory-Organisation verschoben wird, erkennt der ActiveSync-Adapter diese Änderung. Wenn Sie jedoch den Benutzer auf der Bearbeitungsseite anzeigen (oder eine Änderung vornehmen und die Bestätigungsseite aufrufen) wird die Konto-ID des Benutzers weiterhin als ursprünglicher DN (Distinguished Name, eindeutiger Name) angezeigt (ID-4950). Da der Benutzer über die GUID geändert wird, entstehen keine Probleme beim Betrieb. Sie können dieses Problem beheben, indem Sie für die Ressource eine Abstimmung ausführen.
Wenn ein Benutzer aus einer Organisation (OU) in eine Unterorganisation verschoben wird, erkennt der LDAP ChangeLog-Adapter die Änderung nicht und geht davon aus, dass der Benutzer gelöscht wurde. Das Benutzerobjekt wird anschließend in Identity Manager gesperrt (wenn dies der aktuellen Einstellung entspricht), und für das verschobene Konto wird kein „neues“ Konto erstellt (ID-4953).
Die im Pool abgelegten Verbindungen für die UNIX-Ressourcenadapter können in einem nicht festgelegten Status belassen werden, wenn bei der Ausführung von Befehlen oder Skripten Fehler auftreten (ID-5406).
NDS-Organisationen können nur dann auf der obersten Ebene der Struktur erstellt werden, wenn Sie den Basiskontext für die Ressource auf „[ROOT]“ setzen (ID-5509).
Wenn Sie in NDS ein Feld (beispielsweise die Verlängerungsfrist für die Anmeldung) während der ersten Bereitstellung bearbeiten und keine Werte für die booleschen Felder angeben, werden alle booleschen Felder auf FALSE gesetzt (ID-6770). Dadurch wird verhindert, dass die anderen Felder der Registerkarte für die Einschränkung bearbeitet werden können, weil bei denen für bestimmte Kontrollkästchenwerte TRUE gelten muss. Um dies zu vermeiden, müssen Sie stets sicherstellen, dass alle gewünschten booleschen Felder auf TRUE gesetzt sind, damit sie beim Bearbeiten anderer Felder korrekt aktiviert werden.
Wenn Sie das Passwort für einen UNIX-Computer über die Funktion „Verbindung verwalten --> Ressourcenpasswortänderungs-Administrator“ ändern, wird der Aufgabenname folgendermaßen angezeigt:

_FM_PASSWORD_CHANGING_TASK null:null

Es soll ein benutzerfreundlicher Name angezeigt werden. (ID-6947).

Sie können die Funktion zum Verwalten von Verbindungen nicht für UNIX-Ressourcen einsetzen, die NIS verwenden (ID-6948). Es wird ein Fehler erzeugt, weil das Passwort, das Sie ändern möchten, für das Root-Konto bestimmt ist, das von NIS nicht verwaltet wird.
Wenn Sie Benutzer durch Auswahl einer Aktualisierung aus einer Identity Manager-Organisation aktualisieren, erhalten Benutzer mit einem Sun One ID Server-Konto einen Fehler, falls diese nativ erstellt und in Identity Manager geladen wurden (ID-7094). Zwischenlösung: Aktualisieren Sie diese Benutzer individuell.
Identity Manager enthält weiterhin folgende verworfenen Klassen:
com.waveset.object.IAPI
com.waveset.object.IAPIProcess
com.waveset.object.IAPIUser

Angepasste Adapterklassen sollten nicht mehr auf diese Klassen, sondern auf die entsprechenden Klassen in package com.waveset.adapter.iapi verweisen (ID-8246).

Beim Löschen eines Benutzers, der ein Konto bei der Ressource für die PeopleSoft Komponentenschnittstelle hat, tritt ein Fehler auf. Diese Ressource unterstützt derzeit nicht das Löschen von Konten. (ID-9000).

Ressourcenobjektverwaltung

Ein Windows Active Directory-Objekt (Gruppe, Organisationseinheit oder Container) kann auf der Seite „Ressourcen auflisten“ nicht umbenannt werden (ID-3329).
Es können keine neuen LDAP-Gruppen erstellt werden, wenn Benutzer mit CNs mit mehreren Werten vorhanden sind (ID-3848). Zwischenlösung: Verwalten Sie die Mitglieder der Gruppe nicht nach dem im LDAP-Formular zum Erstellen von Gruppen konfiguriertem CN, sondern nach dem DN.

Ressourcengruppen

Durch Drücken der Eingabetaste auf der Seite zum Erstellen oder Bearbeiten von Ressourcengruppen werden die auf der Seite vorgenommenen Änderungen gelöscht (ID-3430).
Berichte über Ressourcengruppen können nicht als CSV-Datei gespeichert werden. (ID-8001).

Sicherheit

Wenn Sie ein Objekt mit Daten importieren, die mit einem Schlüssel verschlüsselt wurden, der sich nicht im Repository befindet, in das die Daten importiert werden, wird das Objekt dennoch importiert. Sie erhalten jedoch eine Warnmeldung, die besagt, dass die Daten nicht entschlüsselt werden können, weil der Serververschlüsselungsschlüssel nicht vorhanden ist. (ID-12143).

Server

Ansichten können über das Interface RemoteSession nicht zum sofortigen Einsatz erstellt werden. Der Deployment Descriptor (web.xml) muss aktualisiert werden. (ID-14756).

Fügen Sie zum Deployment Descriptor die folgende Servlet-Definition hinzu:

<servlet>
   <servlet-name>rpcrouter3</servlet-name>
   <display-name>OpenSPML SOAP Router</display-name>
   <description>no description</description>
   <servlet-class>
      org.openspml.server.SOAPRouter
   </servlet-class>

   <init-param>
      <param-name>handlers</param-name>
      <param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
   </init-param>

   <init-param>
      <param-name>spmlHandler</param-name>
      <param-value>com.waveset.rpc.SpmlHandler</param-value>
   </init-param>

   <init-param>
      <param-name>rpcHandler</param-name>
      <param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
   </init-param>
</servlet>

Fügen Sie zum Deployment Descriptor die folgende Servlet-Zuweisung hinzu:

<servlet-mapping>
   <servlet-name>rpcrouter3</servlet-name>
   <url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>

Zur Nutzung von „createView“ mit „RemoteSession“ muss das Servlet „rpcrouter3“ verwendet werden. Damit Sie Zugriff auf das Servlet „rpcrouter3“ haben, müssen Sie den Konstruktir RemoteSession(URL, String, EncryptedData) verwenden.

Sun Identity Manager Gateway

Sun Identity Manager Gateway wird nicht angehalten, wenn im Fenster für die NT-Dienste die Schaltfläche zum Stoppen aktiviert wird (ID-590). Zwischenlösung: Brechen Sie die Ausführung des Stoppbefehls ab (wenn dieser immer noch inaktiv ist), und stoppen Sie den Dienst erneut; oder beenden Sie das Dialogfeld für die NT-Dienste, und führen Sie den Stoppvorgang erneut aus.
Benutzer können in einer NT-Domäne nicht zu Gruppen hinzugefügt werden, wenn sich das Gateway in einer entfernten vertrauenswürdigen Domain befindet (ID-711).
Das Gateway wird gelegentlich nicht angehalten, wenn der Befehl 'net stop „Sun Identity Manager Gateway“' verwendet wird (ID-2337).

Aufgaben

Administratoren mit Identity Manager-Administratorrechten können die Seite zum Verwalten von Aufgaben nicht anzeigen, wenn sich in der Aufgabenliste eine Risikoanalyse befindet (ID-1225).
Administratoren, die keine Rechte für das oberste Element („Top“) besitzen, können keine geplanten Aufgaben für Discovery oder ResourceScanner erstellen (ID-1414).
Auf der Seite zum Ermitteln von Aufgaben wird die Anzahl der Aufgaben, die den Suchkriterien entsprechen (ID-5152), nicht angezeigt.
Wenn Sie eine geplante Aufgabe bearbeiten, muss das Startdatum im Format MM/DD/YYYY erneut angegeben werden (ID-5675).
Delegierte Administratoren, die keine Rechte für das oberste Element („Top“) besitzen, können zwar Aufgaben planen und Aufgabenergebnisse anzeigen, die betreffende Aufgaben nach der Erstellung jedoch nicht anzeigen (ID-6659). Die geplante Aufgabe wurde an oberster Stelle platziert, und der delegierte Administrator ist nicht berechtigt, das Objekt anzuzeigen.
In der Bibliothek wurde ein Feld für aufgeschobene Aufgaben hinzugefügt, in dem die aufgeschobenen Aufgaben für einen Benutzer aufgeführt sind. Um dieses Feld zu implementieren, müssen Sie zum Benutzerformular und zum Benutzeranzeigeformular, die beide in Registerkarten unterteilt sind, folgende Zeile hinzufügen (ID-7660).

<FieldRef name='Deferred Tasks'/>

Workflow, Formulare, Regeln und XPRESS

Die <eq>-Funktion von XPRESS kann nicht zum Vergleich von booleschen Werten mit den Zeichenfolgen TRUE oder FALSE oder den Ganzzahlen 1 oder 2 verwendet werden (ID-3904). Zwischenlösung:

<cond>
   <isTrue><ref>Boolesche_Variable</ref></isTrue>
   <s>True action</s>
   <s>False action</s>
</cond>

Pfadausdrücke funktionieren nicht bei der Iteration einer Liste mit generischen Objekten über eine Dolist (ID-4920).

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <ref>genericObj.name</ref>
</dolist>

Zwischenlösung: Verwenden Sie <get> / <set> (siehe unten angegebenes Beispiel):

<dolist name='genericObj'>
   <ref>listOfGenericObjects</ref>
   <get><ref>genericObject</ref><s>name</s>
</dolist>

Wenn Sie global.attrname-Variablen für die Felder Ihres Benutzerformulars verwenden und das Attribut für mehrere Ressourcen freigegeben ist, müssen Sie außerdem eine Ableitungsregel definieren (ID-5074). Wenn andernfalls das Attribut nativ auf einer der Ressourcen geändert wird, kann es willkürlich ausgewählt und auf andere Ressourcen übertragen werden.
In HTML-Komponenten von Formularen können keine Sonderzeichen verwendet werden, die mit & beginnen. So wird beispielsweise &nbsp; nicht als Leerzeichen dargestellt. Dieses Problem entstand wegen der neuen Unterstützung von Sonderzeichen (&\<>') in Auswahllisten (ID-5548).
Bei in Formular-, Workflow- und Regelkommentare enthaltenen <Comment>-Tags wird das Zeilenvorschubzeichen durch die Zeichenfolge &#xA; repräsentiert (ID-6243). Diese Zeichen werden für diese Objekte nur im XML-Format angezeigt. Server und Business Process Editor von Identity Manager verarbeiten diese Zeichen korrekt.
Wenn Sie das Ressourcentabellenbenutzer-Formular zum Bearbeiten von Benutzern verwenden, während Sie die Ressource eines Benutzers bearbeiten, werden die Ressourcenattribute bei der ersten Anzeige des Formulars nicht abgerufen. Zwischenlösung: Klicken Sie auf „Aktualisieren“, um die Attributdaten abzurufen. (ID-10551).

---

Service Provider Edition

Identity Manager SPE und Sun Java System Portal Server sind wegen eines Problems in den verschlüsselten Bibliotheken nicht immer kompatibel. (ID-10744).

Sie können dieses Problem beheben, indem Sie folgende Werte in der Datei /etc/opt/SUNWam/config/AMConfig.properties für den Portalserver festlegen und anschließend den Webcontainer neu starten:

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
   JSSESocketFactory
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
   SecureRandomFactoryImpl

Beim Arbeiten mit SPE-Bedienfeldern: Falls das erstmalige Laden der Diagramme mehrere Minuten dauert, sollten Sie sicherstellen, dass der Browser nicht für MSJVM (Microsoft Java Virtual Machine) konfiguriert ist. Identity Manager SPE unterstützt MSJVM nicht für die Ausführung von Browserapplets. (ID-10837).
Einige Konfigurationsoptionen in der Identity Manager-Administratorbenutzeroberfläche werden in Identity Manager SPE nicht verwendet (ID-10843). Dazu zählen:
Ressourcenoptionen: Regeln zum Ausschließen von Konten, Genehmiger, und die Organisation, der eine Ressource zugewiesen ist.
Rollenattribute
Standardmäßig wird die Überwachung bei Aufrufen von checkinObject- und deleteObject der IDMXContext-API nicht ausgeführt. Die Überwachung ist stets ausdrücklich anzufordern, indem der IDMXContext.OP_AUDIT-Schlüssel in der Optionszuordnung, die diesen Methoden übergeben wird, auf TRUE gesetzt wird. Die Methode createAndLinkUser() der Klasse „ApiUsage“ veranschaulicht, wie die Überwachung anzufordern ist. (ID-11261).
Beim Aufrüsten von Version 6.0 kann es vorkommen, dass die Hauptkonfigurationsseite der Service Provider Edition Warnungen zu ungültigen Parameters (z.B. SPE: User Directory) anzeigt, obwohl diese Werte in der entsprechenden Dropdown-Liste als gültig erscheinen. Zwischenlösung: Wählen Sie den gleichen Parameterwert ohne Klammern aus der Dropdown-Liste aus und speichern Sie die Konfiguration. (ID-14818).
Die Standard-Anmeldemodulgruppe von Service Provider erwartet, dass die Ressource „Service Provider“ 'SPE End-User Directory' heißt. Wenn diese Ressource einen anderen Namen hat, funktioniert die Service Provider-Seite für die Endbenutzeranmeldung nicht ordnungsgemäß und zeigt keine Anmeldefelder an. (ID-14891).

Zwischenlösung: Der Ressourcenname „UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD“ des Objekts „LoginModGroup“ ist entsprechend zu ändern, sodass er den richtigen Ressourcenname enthält.

---

Auditor

Administratorbenutzeroberfläche

Auf der untergeordneten Registerkarte „Abgeschlossen“ der Registerkarte „Korrekturen“ wird bei Auswahl die Farbe nicht geändert. (ID-9149).
Durch die Gebietsschemaeinstellung des Anwendungsservers kann es sein, dass bei aktivierter Lokalisierung zwei Sprachen angezeigt werden. (ID-9468).

Zwischenlösung: Wenn Sie den Wert für das Gebietsschema auf „C“ setzen, wird das Problem möglicherweise gelöst.

Die Hilfeseite für die Seiten „Neue Überprüfungsrichtlinie erstellen“ und „Überprüfungsrichtlinie bearbeiten“ fehlt. (ID-13040).

Überprüfungsrichtlinien

Während einer Suche wird der erneute Abruf von Benutzerkonten, die von den Ressourcen nicht abgerufen werden konnten oder bei denen andere Ausfälle aufgetreten sind, nicht unterstützt. Diese Ausfälle werden nach dem Abschluss einer Suche gemeldet. Es gibt jedoch keine automatisierte Möglichkeit zur erneuten Prüfung der Konten. (ID-9112).
Auditor versucht, die Benutzer zwischen Richtlinienprüfungen konform zu halten, indem die Richtlinie immer dann durchgesetzt wird, wenn der Benutzer bearbeitet wird. Wenn Sie einen Benutzer bearbeiten, dem Überwachungsrichtlinien zugewiesen sind und der außerdem eine Richtlinie verletzt, können Sie die Änderungen beim Benutzer nicht speichern, und zwar auch dann nicht, wenn der Benutzer lediglich zu einer anderen Organisation verschoben werden soll. (ID-9504).

Zwischenlösung: Über das Kontextmenü (oder die Suchfunktion) im Benutzerapplet können Sie Benutzer verschieben oder die Prüfungen der Überwachungsrichtlinie vorübergehend deaktivieren.

Zum Deaktivieren von Auditorrichtlinien müssen Sie aus der Systemkonfiguration die Eigenschaft userViewValidators entfernen. Diese Eigenschaft hat den Wert Zeichenfolgenliste und wird während des Imports von init.xml oder upgrade.xml hinzugefügt.

In der grafischen Benutzeroberfläche des Überprüfungsrichtlinienassistenten können 3 Korrekturen und der Zeitraum für zusätzliche Genehmigungen zwischen diesen angegeben werden. Bei Angabe des Zeitraums ist der Korrektor einzugeben, sonst wird die Korrektur gelöscht. (ID-14198).

Berichte

In den Verstoßverlaufsberichten für AuditPolicy, Ressourcen und Organisationen kann die Implementierung der logarithmischen Skalierung für den Diagrammtyp STACK zu einer ungewöhnlichen Anzeige führen. (ID-9522).
Das Konformitätsverletzungsprotokoll für Benutzer darf in der Dropdown-Liste „Berichte“ unter „Auditor-Berichte“ nicht angezeigt werden, da dies die Aufgabe für den Default Compliance Audit Report ist und verborgen sein muss. (ID-14721)
Wenn das Formular „Details zum Richtlinienverstoß“ in einer früheren Version benutzerspezifisch angepasst wurde, sollten Sie es vor dem Aufrüsten auf Version 7.0 exportieren und das gespeicherte Formular nach dem Aufrüsten wieder importieren. (ID-14772).
Administratoren für Auditor-Zugriffsabfragen können keine Überwachungsrichtliniensuchen planen. (ID-14713).

Zwischenlösung: Sie können die Berechtigung zum Erstellen in der Aufgabenplanung zuweisen oder den Bericht mit den Berechtigungen „Auditor-Administrator“ oder „Waveset-Administrator“ planen.

Wenn Sie Überprüfungsrichtliniensuchen in früheren Identity Auditor-Versionen erstellt haben, sind diese Berichte nach dem Aufrüsten auf Identity Manager 7.0 nicht mehr sichtbar. Lösung: Ein Administrator mit der Berechtigung „Auditor-Bericht-Administrator“ (oder höher) kann diese Berichte bearbeiten und deren Sichtbarkeit auf run setzen. (ID-14881).

Regelmäßige Zugriffsprüfungen

Nach dem Beginn einer regelmäßigen Zugriffsprüfung ist diese erst in der Liste auf der Zugriffsprüfungsseite sichtbar, nachdem Sie auf „Aktualisieren“ geklickt haben. (D-14169)
Wenn Sie einen Zugriffsprüfungsdetailbericht bearbeiten, in dem das betreffende Zugriffsprüfungsziel gelöscht wurde, wird ein Fehler angezeigt (ID-14805).

Zwischenlösung: Löschen Sie den Bericht und erstellen Sie einen neuen Bericht.

Überprüfungsrichtlinienabfragen bzw. Zugriffsprüfungen können nicht ausgeführt werden, wenn der Benutzergültigkeitsbereich auf eine dynamische Organisation gesetzt ist. Dieses Problem tritt aufgrund eines Fehlers im Prüfungscode auf, wo die Regel zur Evaluierung dynamischer Organisationen fehlschlägt, weil das Prüfsubjekt nicht definiert wurde. (ID-14886).

Zwischenlösung (für Zugriffsprüfungen): Erstellen Sie eine Regel zum Benutzergültigkeitsbereich, die die gleiche Logik verwendet wie die Regel für dynamische Organisationen, und nutzen Sie diese Regel zum Festlegen des Gültigkeitsbereiches für Zugriffsprüfungen.

Arbeitseinheiten

Beim Weiterleiten einer Bescheinigungs-Arbeitseinheit sind alle vom weiterleitenden Bescheiniger eingegebenen Kommentare in der Arbeitseinheit (Objekt „WorkItem“) enthalten, sodass bei der Endbescheinigung der Arbeitseinheit alle Kommentare von anderen Bescheinigern sichtbar sind. (ID-14643).

Zurück      Weiter

---

Copyright 2006 Sun Microsystems, Inc. Alle Rechte vorbehalten.