Sun Java[TM] System Identity Manager 7.1 发行说明 |
已知问题
Identity Manager 7.1 发行说明中的本节列出了以下产品的已知问题和解决方法:
Identity Manager本节介绍了 Identity Manager 的已知问题和解决方法,该信息分为以下几个部分:
一般信息
- 仅当创建了用户帐户时,才会检查设置在资源模式映射上的必填字段 (ID-220)。如果用户更新时要求必须填写某个字段,则应对该用户表单进行配置,以确保该字段为必填字段。
- 不对组织名称、管理员名称、帐户名称、用户属性名称(模式映射的左侧)或任务名称进行字符有效性检查(ID-1145、1206、1679、1734、1767、2413、3331)。在这些类型的对象名称中,不能使用美元符号 ($)、逗号 (,)、句号 (.)、撇号 (')、“和”号 (&)、左方括号 ([)、右方括号 (]) 或冒号 (:)。
- 如果试图在会话超时后执行某个操作,则会在帐户页上出现一个误导性错误消息 (ID-1223)。
- 如果浏览器使用的是大字体,则无法看到完整的日历对象 (ID-2120)。
- 即使未选择列表中的项目之一,“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中,则在为获得结果而进行操作的过程中将忽略此“全选”复选框。
- 如果对自定义消息目录进行了更改,则必须重新启动服务器才能看到所做的更改。(ID-6792)
- 当前用于检测有故障的“服务器”的机制假定 Identity Manager 群集中的所有系统在时间上是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下,如果一台服务器在 5 分钟内未能与另一台服务器同步,则前面的服务器会声明其后面的服务器发生故障,从而导致不可预测的结果。
如果在 Identity Manager 外部创建的角色引用系统中已存在的现有角色(子角色或超级角色),则可能会出现这种问题。
导入这些角色时,不会更新系统中已存在的角色以反映新的关系;例如,不保持引用完整性。如果按这种方式导入角色,请使用 RoleUpdater 检查并纠正引用完整性。
解决方法:请参见角色中所述的 ID-15482。
要进行更新,请执行以下步骤:
- 从以下位置更新提供时间功能的网关:
http://www.microsoft.com/windows/timezone/dst2007.mspx
(Identity Manager 从 Windows 操作系统中获取提供时间功能的网关。)
- 在应用服务器上升级到兼容的 Java 版本。
Identity Manager 安装提供了关闭、升级和重新启动应用服务器的指导信息。- 查看预定在新的 DST 延长时间段内启动的任务列表(有关这些时间段的详细信息,请参见以下内容)。
在应用 DST 修补程序后,必须重新安排预定在此时间范围内启动的所有项目。对于在应用 DST 修补程序之后并且在开始这些时间段之前至少运行一次的所有周期性项目,将按其预期时间运行。
请参阅 Java 升级文档或使用 tzupdater 工具 (http://java.sun.com/developer/technicalArticles/Intl/USDST/) 来解决 DST 问题。
另请参见 Sun Java 警报。与前些年相比,美国和加拿大的夏令时 (DST) 已延长了时间,开始时间更早,结束时间更晚。这些延长的 DST 时间段为:3 月的第二个星期日到 4 月的第一个星期日以及 10 月的最后一个星期日到 11 月的第一个星期日。对于 2007 年,这些时间段为 3 月 11 日到 4 月 1 日以及 10 月 28 日到 11 月 4 日。由不兼容的软件造成的问题将继续无限期存在,直至使软件变为兼容时为止。
table.Tab2TblNew td {background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}
table.Tab2TblNew td.Tab2TblSelTd {border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}
安装和更新
注
对于仅影响此发行版的问题,请参见安装和更新说明。
帐户管理
批准
审计
- 审计策略名称不能包含以下字符:'(撇号)、.(句点)、|(竖线)、[(左括号)、](右括号)、,(逗号)、:(冒号)、$(美元符号)、"(双引号)、=(等号)。(ID-16078)
- 更改遵循性违规修正的严重程度和优先级值可能会产生误导。表单中的初始值不是遵循性违规的当前值。它们是进行更改时最后设置的值。在查看列表视图的同时了解您所需要的严重程度/优先级值非常重要,因为您无法在允许更改这些值的页面上确定当前值。(ID-16040)
- 在 IdM 7.1 升级之前创建的遵循性违规将不允许设置严重程度或优先级。返回的错误消息表明遵循性违规不再存在,但这是错误的。违规确实存在,但 IDM 无法设置严重程度或优先级。(ID-16420)
集成开发环境 (Integrated Development Environment, IDE)
- 使用 Identity Manager IDE 重命名对象时,应通过右键单击“项目”资源管理器中的上下文菜单完成,而不是通过使用编辑器编辑 XML 完成。(ID-13828)
- 在 IDM IDE 中已禁用 XML Navigator。Windows -> Navigator 会打开 "Navigator" 面板,屏幕将显示<“无可用视图”>。(ID-13390)
- 不支持项目删除功能。(ID-14013)
- 关闭项目时,“全部放弃”选项无法正常工作。如果要放弃对对象所做的更改,必须关闭编辑器窗口并选择“放弃”。这是 NetBeans 的已知问题(错误 84236)。(ID-14164)
- 如果处理的是标准 Identity Manager IDE 项目,启动捆绑的 Tomcat 实例时会显示 Tomcat Manager 对话框,这通常表示出现了以下情况之一:(ID-15546)
- “克隆文档”功能无法工作。(ID-15725)
- 如果对文档执行 diff 操作且不保存更改,则 diff 操作不会显示任何结果。目前没有用于指明此情况的警告消息。Identity Manager IDE 只能对文件内容执行 diff 操作,而无法对“编辑”窗口中显示的内容执行该操作。(ID-15952)
- 如果对包含未保存文件的目录执行 diff 操作,则“Diff 输出”窗口中不会显示任何结果。(ID-15955)
- 使用表达式生成器创建调用语句时将打开一个窗口,其中显示所选方法的 Javadoc。目前,您无法使用滚动条浏览文档。这意味着对于某些方法,此窗口不会显示整个 Javadoc。(ID-16093)
登录配置
组织
策略和权能
协调和导入用户
报告
资源
- 资源测试按钮不测试所有字段 (ID-51)。
- 资源端口分配可设置为大于 65535 的值 (ID-59)。
- 如果设置了错误的 Active Directory 组名,则会显示严重的错误消息 (ID-393)。如果尝试将 Active Directory 组名称设置为 "groupname" 而不是 "cn=groupname,cn=builtin,dc=waveset,dc=com",将显示一条错误消息,说明“数组索引超过界限”。
- 如果其他资源具有的同名帐户属性名称未设置必需标志,则这些必需的帐户属性有时会被忽略 (ID-1161)。
- 如果管理员试图向一个他没有管理权限的资源添加组织,则会出错。必须取消对该资源进行的编辑,然后重新编辑该资源,才能对其进行任何其他更改 (ID-1274)。
- 当资源帐户密码或用户名在 PeopleSoft 资源上不正确时,错误消息不明确 (ID-2235)。该错误消息为:
- 在主机名解析为 IP 地址后,资源 IP 地址将保存在 JVM 的高速缓存中。如果更改了资源 IP 地址,则必须重新启动应用服务器,以使 Identity Manager 能够检测所做的更改 (ID-3635)。这是 Sun JDK(1.3 和更高版本)中的设置,可以使用 sun.net.inetaddr.ttl 属性(通常在 jre/lib/security/java.security 中设置)对其进行控制。
- 不能在 Oracle 资源上为单个用户创建多个帐户 (ID-3832)。
- 最终用户不能对 Domino 资源帐户使用自行搜索功能 (ID-4775)。
- 如果用户被移出或移入 Active Directory 组织内的子容器,则活动同步适配器会检测到该变化,但是当在编辑页上查看该用户(或在进行修改后查看确认页)时,该用户的帐户 ID 仍然显示为原来的 DN(distinguished name,标识名)(ID-4950)。由于我们使用 GUID 修改用户,因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。
- 如果用户从一个“组织”(OU) 移动到一个子组织,则 LDAP ChangeLog 适配器不会识别出此变化,并会认为该用户已被删除。随后,将在 Identity Manager 中锁定该用户对象(如果这是当前设置),而且不会为移动的帐户创建新帐户 (ID-4953)。
- 如果在执行命令或脚本时出错,则 UNIX 资源适配器使用的存储连接可能被置于未确定状态 (ID-5406)。
- 只有将资源的“基本上下文”设置为 "[ROOT]",才能在树的顶层创建 NDS 组织 (ID-5509)。
- 在 NDS 上,如果编辑初始置备的某个字段(如“暂缓登录限制”),并且未提供布尔字段的值,则所有布尔字段将设置为 false (ID-6770)。这会阻止您对限制选项卡上的其他一些字段进行设置(这些字段要求特定复选框值为 true)。为避免这种情况,在需要所有布尔字段值为 true 的时候,请确保它们始终为 true,以便在编辑其他字段时,能将其正确推入。
- 如果使用“管理连接”-->“更改资源密码”功能更改 UNIX 机器的密码,则显示的任务名为:
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
<Rule name='IS_DELETE'>
<Description>Should the active sync event delete the user?</Description>
<or>
<eq><ref>activeSync.Status</ref><s>T</s></eq>
<eq><ref>activeSync.Status</ref><s>L</s></eq>
</or>
</Rule>
</Waveset>
<Field name='includeResponsibilities'>
<Display class='Checkbox' action='true'>
<Property name='title' value='Add Direct Responsibilities'/>
</Display>
<Default>
<cond>
<gt>
<length>
<ref>global.responsibilities</ref>
</length>
<i>0</i>
</gt>
<s>true</s>
</cond>
</Default>
<Disable>
<not>
<ref>global.showOracleERPFields</ref>
</not>
</Disable>
</Field>资源对象管理
资源组
安全
服务器
- 使用 Identity Manager 4.x 的客户应确保其服务器主机没有使用不明确的时区。例如,EST 可以在澳大利亚或美国使用。但是,GMT+10 或 GMT-6 是明确的时区。(ID-8297)
- com.waveset.rpm.SimpleRpcHandler 类自 7.1 起就已过时 (ID-14756)
- 将以下 servlet 定义添加到部署描述符
<servlet>
<servlet-name>rpcrouter3</servlet-name>
<display-name>OpenSPML SOAP Router</display-name>
<description>no description</description>
<servlet-class>
org.openspml.server.SOAPRouter
</servlet-class><init-param>
<param-name>handlers</param-name>
<param-value>com.waveset.rpc.PasswordSyncHandler</param-value>
</init-param><init-param>
<param-name>spmlHandler</param-name>
<param-value>com.waveset.rpc.SpmlHandler</param-value>
</init-param><init-param>
<param-name>rpcHandler</param-name>
<param-value>com.waveset.rpc.RemoteSessionHandler</param-value>
</init-param>
</servlet>- 将以下 servlet 映射添加到部署描述符:
<servlet-mapping>
<servlet-name>rpcrouter3</servlet-name>
<url-pattern>/servlet/rpcrouter3</url-pattern>
</servlet-mapping>要使用 RemoteSession 创建视图,需要使用 rpcrouter3 servlet。要访问 rpcrouter3 servlet,需要使用 RemoteSession(URL, String, EncryptedData) 构造函数。
- 在某些较高负载条件下,Microsoft SQL Server 2000 的锁定特性可能会导致 Sun Identity Manager 中出现死锁错误。(ID-16068)
Sun Identity Manager Gateway
任务
- 如果任务列表中含有“风险分析”任务,则拥有 Identity Manager 的“管理员”权限的管理员不能查看管理任务页 (ID-1225)。
- 不控制“顶层”的管理员不能创建“搜索”或“资源扫描程序”预定任务 (ID-1414)。
- “查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。
- 不控制“顶层”的委托管理员可以预定任务和查看任务结果,但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于“顶层”,因此委托管理员没有查看该对象的权限。
- 一个名为“延迟任务”的字段被加入到库中。该字段可列出用户的延迟任务。要实现该字段,“选项卡式用户表单”和“选项卡式查看用户表单”中必须添加下面的行。
工作流、表单、规则和 XPRESS
- 如果对用户表单中的字段使用 global.attrname 变量,而且该属性由多个资源共享,则还应定义一个“派生”规则 (ID-5074)。否则,如果该属性在其中一个资源上进行了本机更改,则该属性不一定会被提取出来并传播至其他资源。
- 不能在表单的 HTML 部分中使用以 & 开始的特殊字符串。例如, 将不再显示为空格。此问题是由于更改“选择”列表中的支持特殊字符 (&\<>') 而产生的 (ID-5548)。
- <Comment> 标记中包含的表单、工作流和规则注释包括表示换行符的 
 字符串 (ID-6243)。这些字符仅在查看上述对象的 XML 时才能看到;Identity Manager 服务器和“业务流程编辑器”会正确处理这些字符。
- 如果使用包含批量操作的删除模板,它们将覆盖批量操作行为,而不会指示发生了此操作。(ID-10320)
- 如果使用“资源表格用户表单”编辑用户,则编辑用户资源时,首次显示表单时不能获取资源属性。
Service Provider Edition本节介绍了 Identity Manager SPE 的已知问题和解决方法。
- 使用 SPE 面板时:如果首次加载图形时持续了几分钟时间,则应核实未将浏览器配置为使用 Microsoft Java 虚拟机 (Microsoft Java Virtual Machine, MSJVM)。Identity Manager SPE 不支持使用 MSJVM 来运行浏览器 applet。(ID-10837)
- Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager SPE 一起使用。(ID-10843)。其中包括:
- 默认情况下,当使用 checkinObject 和 deleteObject IDMXContext API 调用时,不会进行审计。必须通过在传递给这些方法的选项映射中将 IDMXContext.OP_AUDIT 关键字设置为 True 来明确请求审计。ApiUsage 类中的 createAndLinkUser() 方法显示了如何请求审计。(ID-11261)
- 面板图形名称更改不起作用。尽管在编辑图形时会显示新名称,但在任何其他页面上,新名称都不会引用图形。(ID-11690)
- 默认 Service Provider 登录模块组希望将 Service Provider 资源命名为“SPE 最终用户目录”。如果资源的名称不同,则 Service Provider 最终用户登录页面将不能正常工作。该页面将不会显示与登录相关的字段。(ID-14891)