Sun[TM] Identity Manager 8.0 发行说明

Identity Manager 8.0 已知问题

发行说明中的本节列出了 Identity Manager 8.0 的已知问题和解决方法

已知问题

Identity Manager 8.0 发行说明中的本节列出了已知问题和解决方法：

常规

安装和更新

审计

数据导出器

Identity Manager Service Provider

登录配置

组织

策略和权能

协调和导入用户

报告

资源

服务器

Sun Identity Manager Gateway

任务

工作流、表单、规则和 XPRESS

常规

仅当创建了用户帐户时，才会检查设置在资源模式映射上的必填字段 (ID-220)。如果用户更新时要求必须填写某个字段，则应对该用户表单进行配置，以确保该字段为必填字段。

不对组织名称、管理员名称、帐户名称、用户属性名称（模式映射的左侧）或任务名称进行字符有效性检查（ID-1145、1206、1679、1734、1767、2413、3331）。不能在上述对象类型的名称中使用美元符号 ($)、逗号 (,)、句点 (.)、撇号 (')、“和”符号 (&)、左方括号 ( [ )、右方括号 ( ] ) 或冒号 (:)。

如果试图在会话超时后执行某个操作，则会在帐户页上出现一个误导性错误消息 (ID-1223)。

如果浏览器使用的是大字体，则无法看到完整的日历对象 (ID-2120)。

即使未选择列表中的项目之一，“查找结果”页和“列出任务”页中的“全选”复选框也不会被取消选中 (ID-5090)。如果列表中所有成员的“全选”复选框未被全部选中，则在为获得结果而进行操作的过程中将忽略此“全选”复选框。

如果对自定义消息目录进行了更改，则必须重新启动服务器才能看到所做的更改。(ID-6792)

当前用于检测有故障的“服务器”的机制假定 Identity Manager 群集中的所有系统在时间上是同步的。(ID-7064) 在默认故障间隔时间为 5 分钟的情况下，如果一台服务器在 5 分钟内未能与另一台服务器同步，则前面的服务器会声明其后面的服务器发生故障，从而导致不可预测的结果。

解决方法：保持更好的时间同步，或增加故障转移时间间隔。

对于 Windows，如果登录时使用的用户名包括双字节字符，而机器的默认编码仅支持单字节字符，则必须将环境变量 USER_JPI_PROFILE 设置为其名称仅包含单字节字符的现有目录。(ID-8540)

如果使用“将文件格式设置为 XML”选项将资源提取到 XML 文件，并随后从下拉列表中选择“CSV 文件格式”，则会显示以下消息对话框：

该表单已经提交

解决方法：要避免显示此消息，请单击“帐户”>“提取到文件”>“选择一种资源”>“选择 CSV 文件格式”。单击“下载”以下载 .csv 文件格式的资源帐户详细信息。(ID-10847)

如果扩展的节点包含的数据少于一页，并在该页上的第一条记录之前插入该节点的新子节点（例如，如果在组织中创建用户），以后进行刷新时，Identity Manager 将在当前页之前插入包含一个项目的页。(ID-12151)

解决方法：要重新排列这些页，请单击“首页”按钮。

如果修改角色表单以将 showSuperAndSubRoles 变量由 0 更改为 1，然后从“配置”选项卡中导入包含现有子角色的超级角色对象定义文件，则不会修改这些子角色以包含 <SuperRoles> 部分。但是，如果使用 Identity Manager 图形用户界面来创建超级角色，将更新该超级角色所引用的子角色。(ID-15053)

如果在 Identity Manager 外部创建的角色引用了系统中已存在的现有角色（子角色或超级角色），则可能会出现这种问题。

导入这些角色时，不会更新系统中已存在的角色以反映新的关系；例如，不保持引用完整性。如果按这种方式导入角色，请使用 RoleUpdater 检查并纠正引用完整性。

解决方法：请参见角色中所述的 ID-15482。

对于某些非 ASCII 字符，编辑 AdminRole 对象可能会抛出 ItemNotFound 异常。(ID-15782)

解决方法：

编辑 adminrolemodify.jsp，以停止将 ID 作为查询字符串进行传递。

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

   else {

      form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

      form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

      // stop passing id as a query string

     //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id));

      form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”));

   }

编辑 adminrolemodify.jsp，以对 ID 查询参数值进行编码。

<%

   String bodyAttributes = “onload=\”selectFirstEditField();\””;

   try {

      String id = requestState.getParameter(“id”);

      if (id = = null) {

         :

      }

      else {

         form.setTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_TITLE);

         form.setSubTitle(Messages.UI_ADMIN_ROLES_JSP_EDIT_ROLE_SUBTITLE);

         // encode id query parameter value

        //form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp?id=”+id ));

         form.setPostURL(response.encodeURL(“security/adminrolemodify.jsp”?id=”

           + com.waveset.util.URLUTF8Encoder.encode(id)));

}

如果修改现有 changelog 上的设置（如添加其他列属性），则这些修改可能不会显示在已存在的 changelog CSV 文件中。(ID-15973)

在多语言模式下，“编辑用户”屏幕的选项卡上的部分文字可能会出现环绕情况。(ID-16054)

解决方法：要确保选项卡中的文字在显示时不出现环绕情况，请将以下内容添加到 $WSHOME/styles/customStyle.css 中：

table.Tab2TblNew td
{background-image:url(../images/tabs/level2_deselect.jpg);background-repeat:repeat-x;b ackground-position:left top;background-color:#C4CBD1;border:solid 1px #8f989f;white-space:nowrap}

table.Tab2TblNew td.Tab2TblSelTd
{border-bottom:none;background-image:url(../images/tabs/level3_selected.jpg);backgroun d-repeat:repeat-x;background-position:left bottom;background-color:#F2F4F3;border-left:solid 1px #8f989f;border-right:solid 1px #8f989f;border-top:solid 1px #8f989f;white-space:nowrap}

在本地化的 Identity Manager 会话中，用户可能会在进程图 applet 中遇到部分本地化的内容（英语和选定语言的混合内容）。(ID-16139)

系统信息库配置对象具有一个名为 maxAttrValLength 的属性。将忽略此属性的值，并始终将其设置为 255。(ID-16261)

直接模式密码同步需要在 web.xml 文件中配置 SimpleRpcHandler。默认情况下，此处理程序不会作为 rpcrouter2 servlet 的处理程序提供。(ID-16469) 要使用直接模式密码同步，请使用以下方法设置处理程序初始化参数：

<init-param>

   <param-name>handlers</param-name>

   <param-value>com.waveset.rpc.SimpleRpcHandler,com.waveset.rpc.PasswordSyncHandler
</param-value>

</init-param>

请注意，已知 SimpleRpcHandler 会影响某些 RemoteSession 调用。如果您要使用 RemoteSession 和直接模式密码同步，请配置一个单独的 servlet 以处理 RemoteSession 调用。

在编辑或更新用户时，如果尝试将某个 idmManager 分配给另一个不存在的 idmManager（例如，该 idmManager 丢失），则会看到以下错误消息，并且无法保存更改。(ID-17339)

'Item User:[idmManager that doesn't exist] was not found in the repository, it may have been deleted in another session'

创建新用户时不会出现此问题。

“帐户”>“提取到文件”将 XML 和 CSV 文件格式另存为 .dat 扩展名，而不是预期的 .xml 和 .csv 扩展名。(ID-17521)

解决方法：可以将保存的文件手动重命名为相应的文件扩展名。

“字符串质量策略”页面在垂直行中显示文本。(ID-18551)

角色类型委托将覆盖针对特定角色的角色批准委托。(ID-18559) 例如，如果将一个或多个特定角色的将来角色工作项类型委托给用户 1，而将所有将来业务角色工作项委托给用户 2，则第一个委托中的特定角色将委托给用户 2，而不是委托给用户 1。下面给出了方案委托摘要：

将业务角色 1 的角色批准委托给用户 1

将业务角色批准委托给用户 2

在为用户分配业务角色批准的所有请求中，将业务角色委托给用户 2。

启用角色并不会为用户提供更新分配的角色的选项。(ID-18647)

解决方法：手动更新分配的用户，或者在“列出/查找角色”页面中更新分配的用户。

现在，在分配其他角色时，可以将这些角色（父角色）中包含的角色有条件地分配给用户。在编辑父角色时，可以指定一个条件，以便在父角色和包含的角色之间建立关联。可以创建一个条件，也可以引用一个规则。如果指定了一个规则，则必须通过规则参数指定规则评估所需的所有用户视图属性。(ID-18734)

数据仓库消息目录 WICMessages.properties 是基于服务器位置加载的，而不是基于用户位置。(ID-18898) 例如，如果在日语语言环境中运行应用服务器，则会以日语显示查询属性，即使用户界面通常是以英语显示的也是如此。

解决方法：在具有与浏览器语言设置对应的 UTF-8 变体的语言环境中重新启动应用服务器。

Identity Manager 8.0 添加了一个新的可查询属性 assignedRoles，用于引用分配给用户的所有直接角色和间接角色。(ID-18921) 以前的发行版中包含可查询属性 role（现在仍然可以使用），其中仅包含直接分配给用户的角色。升级过程仅自动刷新具有间接角色的用户，以便进行 assignedRoles 填充。已分配角色的用户的报告并不返回在升级环境中分配给某个角色的所有用户，直至刷新了所有用户时为止。

解决方法：

刷新所有用户。

为具有直接分配的角色的用户创建一个报告。

在 8.0 中导出数据时，无法针对用户公开负责人 objectclass 中的以下三个引用属性：MemberAdminGroups、adminRoles 和 adminGroupsRule。

MemberAdminGroups 和 adminRoles 属性是用户的可查询属性，即使在 objectclass 模式下并未这样显示。(ID-18536)

安装和更新

Identity Manager 安装程序可能无法与 64 位 JDK 一起运行。(ID-18534)

解决方法：

手动安装。

使用 32 位版本的 JDK 运行此安装程序。

通过设置 JAVA_OPTS（由安装脚本使用）来设置 os.arch=ppc，以完成此安装。例如，

export JAVA_OPTS=”-Dos.arch=ppc”

install

如果 JAVA_OPTS 已包含所需的选项，则为：

export JAVA_OPTS=”$JAVA_OPTS -Dos.arch=ppc”

install

如果升级过程无法使用默认配置者帐户和密码进行登录，日志文件将记录该错误，但不会记录在该错误以后执行的任何操作。(ID-18929)

在升级过程中，将导入 update.xml 文件。导入操作将尝试以配置者身份使用默认密码进行登录。如果登录失败，则会显示一个错误，升级程序将提示您提供正确的登录信息。如果提供了正确的信息，将会继续进行升级。在查看升级过程的日志文件时，您可以看到在默认登录失败时显示的错误消息，但在日志文件中看不到有关升级的任何其他信息。此问题不会影响升级，而只影响日志文件。

upgradeto80from71.mysql 脚本包含一个错误，将导致脚本在中途中止。（ID-18874、18977）

为防止出现该错误，您必须编辑该脚本并更改以下行：

INSERT INTO waveset.roleobj SELECT * from waveset.object where type = 'Role';

对该行进行以下修改：

INSERT INTO waveset.roleobj (SELECT id, type, name, lockinfo, modified, repomod, summary, attr1, attr2, attr3, attr4, attr5, counter, xmlSize, xml FROM waveset.object WHERE type='Role');

必须使用显式的列名称，因为升级的 7.1 数据库中的列使用不同的顺序。

审计

扫描过程中，不支持重新扫描无法从资源获取或发生其他错误的用户帐户。扫描完成后将报告这些错误，但没有重新扫描帐户的自动方法。(ID-9112)

只要用户被编辑，Identity Auditor 就会试图通过强制执行策略保持用户在策略扫描间的遵从性。如果编辑分配了审计策略并且违反了某个策略的帐户，则不能保存对用户的更改，即便此更改如同将用户移至另一组织这样简单。(ID-9504)

解决方法：使用用户 applet 的右键单击移动（或查找然后移动）功能，或临时禁用审计策略检查。

要禁用审计者策略检查，请编辑系统配置并删除 userViewValidators 属性。在导入 init.xml 或 upgrade.xml 的过程中添加了这个包含字符串列表值的属性。

未在审计策略报告中实现对数换算。(ID-9522)

当前，“审计者访问扫描报告”管理员无法安排审计策略扫描。将显示错误“错误消息：创建对类型为 TaskSchedule 的主题 auditadmin 的访问被拒绝”。要安排任何任务，管理员必须具有 TaskSchedule authType 的 create 权限。(ID-14713)

解决方法：编辑此管理员以便为其分配 TaskSchedule 的 create 权限，或者指定至少具有 Auditor Administrator 或 Waveset Adminsistrator 权能的用户。

如果运行的审计扫描产生多个违规，审计者可能会创建一个修正工作流以管理违规处理。(ID-15830) 对于包含很多违规的工作流，max_allowed_packet (1M) 的默认 MySQL 设置太小。如果达到此限制，审计者将不会启动修正工作流。

解决方法：对于频繁使用审计者的情况，应大大增加此值。要解决此问题，请将 max_allowed_packet = 32M 添加到 MySQL 配置文件 (my.cnf) 中，然后重新启动数据库服务器。

更改遵循性违规修正的严重程度和优先级值可能会产生误导。表单中的初始值不是遵循性违规的当前值。它们是进行更改时最后设置的值。在查看列表视图的同时了解您所需要的严重程度/优先级值非常重要，因为您无法在允许更改这些值的页面上确定当前值。(ID-16040)

审计策略名称不能包含以下字符：'（撇号）、.（句点）、|（竖线）、[（左方括号）、]（右方括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、=（等号）。(ID-16078)

在 IdM 7.1 升级之前创建的遵循性违规将不允许设置严重程度或优先级。返回的错误消息表明遵循性违规不再存在，但这是错误的。违规确实存在，但 IDM 无法设置严重程度或优先级。(ID-16420)

数据导出器

可以将数据导出器配置为以任何具有相应权能的 Identity Manager 管理员身份运行。导出任务将作为守护进程运行，并由 Identity Manager 调度程序进行启动和监视。数据导出器创建的审计记录将显示 Identity Manager 调度程序主题 (Scheduler:IDMServer)，而不是将任务配置为使用的主题。(ID-18055)

取证查询不支持针对角色类型的编辑/修改操作。(ID-18769)

Identity Manager Service Provider

Identity Manager Service Provider 和 Sun Java System Portal Server 可能不兼容，存在与加密库相关的问题。(ID-10744)

通过在 Portal Server 的 /etc/opt/SUNWam/config/AMConfig.properties 文件中设置以下值，然后重新启动 Web 容器，可以更正此问题：

com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.

JSSESocketFactory

com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.

SecureRandomFactoryImpl

Identity Manager 管理员界面上显示的某些配置选项不能与 Identity Manager Service Provider 一起使用。(ID-10843)。其中包括：

资源选项：排除帐户规则、批准者和分配资源的组织。

角色属性

默认情况下，当使用 checkinObject 和 deleteObject IDMXContext API 调用时，不会进行审计。必须通过在传递给这些方法的选项映射中将 IDMXContext.OP_AUDIT 关键字设置为 True 来明确请求审计。ApiUsage 类中的 createAndLinkUser() 方法显示了如何请求审计。(ID-11261)

默认 Service Provider 登录模块组希望将 Service Provider 资源命名为“SPE 最终用户目录”。如果资源的名称不同，则 Service Provider 最终用户登录页面将不能正常工作。该页面将不会显示与登录相关的字段。(ID-14891)

解决方法：更新 UI_LOGIN_MOD_GRP_DEFAULT_SPE_PWD LoginModGroup 对象中的资源名称以引用正确的资源名称。

SPE Sync 任务是预定任务，因此从“任务”页停止此任务不会停止同步。要停止此任务，可以禁用进度表本身。(ID-16000)

解决方法：启动和停止的首选方法有两种，一种是通过“资源”页上的产品界面，另一种是通过 SessionUtil 方法以编程方式（例如，从工作流）启动和停止 SEP Sync。要阻止 SPE Sync 在启动 Identity Manager 服务器实例时自动启动，必须从资源的“同步策略”中禁用它。通过 UI 或 SessionUtil 方法停止 SPE Sync 仅在启动其他 Identity Manager 服务器实例之前停止同步。

在 WebSphere 中使用 Identity Manager SPE 最终用户登录页时，将出现 javax.servlet.UnavailableException，并在浏览器中显示 404 错误。(ID-16001)

解决方法：必须在 IBM 1.5 JDK 中设置以下属性：

在 was-install/java/jre/lib 目录中，将 jaxb.properties.sample 重命名为 jax.properties 并取消以下两行的注释：

javax.xml.parsers.SAXParserFactory=

org.apache.xerces.jaxp.SAXParserFactoryImpl

javax.xml.parsers.DocumentBuilderFactory=

org.apache.xerces.jaxp.DocumentBuilderFactoryImpl

保存该文件，然后重新启动应用服务器。

登录配置

传递验证模块对 Domino 资源无效 (ID-1646)。

其他登录的管理员看不到对“管理员登录设置”页和“用户登录设置”页所做的更改 (ID-3487)。其他管理员需要从“管理员界面”注销后再登录，才能看到这些更改。

如果管理员登录，选择“更改我的密码”，然后选择另一个选项卡，则会锁定其帐户直至该锁定到期。(ID-3705)

如果其他管理员尝试编辑该锁定的管理员，将显示以下消息：

com.waveset.util.WavesetException: 此时无法访问帐户 #ID#Configurator。请稍后再试。

如果该管理员单击“确定”，则会显示从最后一次操作开始的工作流程图。

组织

当存在暂挂置备请求，且其中含有属于某个组织的用户时，如果重命名该组织，将导致该置备请求失败 (ID-564)。

解决方法：在重命名组织之前，确保没有未完成的请求。

当创建新组织时，如果在指定组织名称之前选择了“用户成员规则”选项，则当刷新该页时，在“组织”名称字段中将出现一个组织 ID (ID-6302)。在保存新组织之前仍然可以设置该名称。

( ) - 警告：字段“批准者”中括号内的值与任何允许的值均不匹配。

策略和权能

Identity Manager 帐户策略属性“重设通知选项”的“管理员”值选项无效 (ID-944)。只有“即时”和“用户”选项有效。

当删除多个角色时，如果出现错误，则整个删除操作将会停止，而不会继续删除其他角色 (ID-1168)。

用户必须回答的问题的最小数量可以设置为大于定义的问题的数量 (ID-1834)。如果出现这种情况，用户将无法使用“忘记密码”选项进行登录。

“默认 Lighthouse 帐户策略”不能通过编辑该策略、更改其名称和选择创建新对象进行克隆 (ID-5147)。

解决方法：创建新的帐户策略。

审计扫描在任务启动表单中包含一个选项，用于将违规报告通过电子邮件发送到指定的电子邮件地址。如果未找到违规，则不会发送此电子邮件。(ID-18773)

协调和导入用户

如果取消了完全协调，则会显示以下错误消息：

已取消 [服务器] 上运行的 [资源] 增量式协调

此消息应如下所示：

已取消 [服务器] 上运行的 [资源] 完全协调 (ID-14554)

必须将通知协调完成工作流中的 waitForCompletion 属性值更改为 false，以防止在协调期间挂起。下一个 Identity Manager 主要发行版中将删除 waitForCompletion 属性。(ID-16888)

解决方法：

使用 lh console 导入 <idm_root>/sample/wfrecon.xml 文件。

使用 lh config 手动更改通知协调完成工作流。

执行从资源加载并且该资源支持 ACCOUNT_CASE_INSENSITIVE_IDS 时，如果用户的 accountId 与 Identity Manager 的 ResourceInfo 用户对象中存储的 accountId 只是大小写不同，则会向用户对象添加另一个 ResourceInfo（其 accountId 与该资源报告的 accountId 大小写一致）。

解决方法：请确保用户对象中 Identity Manager ResourceInfo 对象中的 accountId 与该资源报告的 accountId 大小写完全一致。(ID-17377)

如果禁用多重选择显示组件 applet（而改用 HTML 版本）并编辑特定资源实例的协调策略，在取消选中“继承资源类型策略”复选框时可能会出现错误。(ID-18964)

解决方法：重新启用多重选择 applet。

报告

风险分析报告可被管理员而非报告管理员查看 (ID-1224)。

在电子邮件中使用纯文本选项发送的报告结果未被格式化 (ID-2191)。

解决方法：在电子邮件中使用 HTML 选项。

违规摘要报告的“优先级”和“严重程度”列中显示的是数字，而不是文本描述。(ID-16932)

违规摘要报告不包含修复的违规。该报告仅包含当前处于活动状态的违规（新违规或循环违规）或已缓解的违规。(ID-16933)

违规摘要报告中的“违规状态”列应该本地化。(ID-17011)

在违规摘要报告的“可能的状态”下拉菜单中添加了一个“免除”选项。(ID-17042)

如果指定多个条件以生成使用情况报告，则可以在“报告结果”页面上正确显示图形，但固定行宽会将条件文本截断。(ID-17224)

并非所有非活动帐户扫描报告都会在“查看风险分析”页上显示其结果。要查看这些报告的结果，请转到“服务器任务”页。(ID-17255)

如果未配置问题策略，用户问题报告将不显示报告标题。(ID-17415)

资源用户报告将重设管理员作为用户列出，但重设管理员是一个隐藏用户，不应显示出来。(ID-17650)

资源

资源测试按钮不测试所有字段。(ID-51)

资源端口分配可设置为大于 65535 的值。(ID-59)

如果设置了错误的 Active Directory 组名，则会显示严重的错误消息。(ID-393) 如果尝试将 Active Directory 组名称设置为 "groupname" 而不是 "cn=groupname,cn=builtin,dc=waveset,dc=com"，将显示一条错误消息，说明“数组索引超过界限”。

如果其他资源具有的同名帐户属性名称未设置必需标志，则这些必需的帐户属性有时会被忽略。(ID-1161)

如果管理员试图向一个他没有管理权限的资源添加组织，则会出错。必须取消对该资源进行的编辑，然后重新编辑该资源，才能对其进行任何其他更改。(ID-1274)

当资源帐户密码或用户名在 PeopleSoft 资源上不正确时，错误消息不明确。(ID-2235) 该错误消息为：

bea.jolt.ApplicationException: TPESVCFAIL - application level service failure

使用 %DISPLAY_INFO_CODE% 退出状态的 Windows Active Directory 资源操作导致该操作因出错而失败。(ID-2827)

不能在创建用户时在 Active Directory 上设置该用户的主要组 ID。(ID-3221)

解决方法：创建用户而不设置主要组 ID，然后编辑该用户并设置该值。主要组 ID 也是通过编号而非标识名 (DN) 进行设置。

在主机名解析为 IP 地址后，资源 IP 地址将保存在 JVM 的高速缓存中。如果更改了资源 IP 地址，则必须重新启动应用服务器，以使 Identity Manager 能够检测到所做的更改。(ID-3635) 这是 Sun JDK（1.3 和更高版本）中的设置，可以使用 sun.net.inetaddr.ttl 属性（通常在 jre/lib/security/java.security 中设置）对其进行控制。

不能在 Oracle 资源上为单个用户创建多个帐户。(ID-3832)

最终用户不能对 Domino 资源帐户使用自行搜索功能。(ID-4775)

如果用户被移出或移入 Active Directory 组织内的子容器，则活动同步适配器会检测到该变化，但是当在编辑页上查看该用户（或在进行修改后查看确认页）时，该用户的帐户 ID 仍然显示为原来的 DN（distinguished name，标识名）。(ID-4950) 由于我们使用 GUID 修改用户，因此它不会造成任何操作性问题。对该资源运行协调可以修复此问题。

如果用户从一个“组织”(OU) 移动到一个子组织，则 LDAP ChangeLog 适配器不会识别出此变化，并会认为该用户已被删除。随后，将在 Identity Manager 中锁定该用户对象（如果这是当前设置），而且不会为移动的帐户创建新帐户。(ID-4953)

如果在执行命令或脚本时出错，则 UNIX 资源适配器使用的存储连接可能被置于未确定状态。(ID-5406)

只有将资源的“基本上下文”设置为 "[ROOT]"，才能在树的顶层创建 NDS 组织。(ID-5509)

在 NDS 上，如果编辑初始置备的某个字段（如“暂缓登录限制”），并且未提供布尔字段的值，则所有布尔字段将设置为 false。(ID-6770) 这会阻止您对限制选项卡上的其他一些字段进行设置（这些字段要求特定复选框值为 true）。为避免这种情况，在需要所有布尔字段值为 true 的时候，请确保它们始终为 true，以便在编辑其他字段时，能将其正确推入。

如果使用“管理连接”-->“更改资源密码”功能更改 UNIX 机器的密码，则显示的任务名为：

_FM_PASSWORD_CHANGING_TASK null:null

应显示用户友好的名称。(ID-6947)

通过从 Identity Manager 组织中选择更新对用户进行更新时，如果具有 Sun One ID Server 帐户的用户是在本机创建的，然后加载到 Identity Manager，则会为这些用户返回一个错误。(ID-7094) 解决方法是单独更新这些用户。

Identity Manager 仍包含以下已过时类：

com.waveset.object.IAPI

com.waveset.object.IAPIProcess

com.waveset.object.IAPIUser

自定义适配器类不应再引用这些类，而应引用包 com.waveset.adapter.iapi 中的相应类。(ID-8246)

如果您退出“新建资源对象”向导时未单击“保存”或“取消”按钮，则可能不会损坏已放弃的表单，并可能会影响后续新资源对象的创建。(ID-11033) 这将导致出现错误消息：

在选项或视图中找不到资源表单 ID。

解决方法：始终使用“取消”按钮放弃“新建资源对象”向导。

如果您在编辑某个用户的同时正在以另一个管理员身份运行活动同步，则会发生活动同步异常。因为该用户被其他管理员锁定，所以活动同步无法重试该进程。(ID-11255)

解决方法：要针对某个资源启用活动同步重试，请更新资源 XML，使其包括下列两个附加的资源属性，格式如下：

<ResourceAttribute name='syncRetryCountLimit' type='string' multi='false' facets='activesync' value='180'/>

<ResourceAttribute name='syncRetryInterval' type='string' multi='false' facets='activesync' value='10000'/>

其中：

syncRetryCountLimit 是重试更新的次数。

syncRetryInterval 是两次重试之间等待的毫秒数。

随后，在您配置活动同步时，这些值将作为自定义资源设置显示出来。建议您指定 displayName；如果需要进行本地化，应使用自定义的目录关键字。

Remedy 集成模板编辑器有两个已知问题。(ID-14729)

默认的 Remedy 模式值 "HPD:HelpDesk" 不适用于较高版本的 BMC Remedy。较高版本不包含模式 "HPE:Help Desk"。

某些字段不显示“选择”列。这不会影响 Remedy 模板的使用。

当与 Sun Java^TM System Directory Server Enterprise Edition 6.0、6.1 和 6.2 一起使用时，回归会导致 Identity Manager 密码同步失败。此故障将在 Directory Server 6.3 发行版中得到解决。如果需要将版本 6.0、6.1 或 6.2 与 Identity Manager 一起使用，请从“支持”中请求获取 Directory Server 热修复程序（参考 Directory Server 错误 6604342）。(ID-14895)

当从“资源”选项卡展开 Sun Java^TM System Access Manager 7.0 资源的资源对象时，您可能会看到以下错误：(ID-15525)

Error listing objects.==> com.waveset.util.WavesetException: Error trying to get attribute value for attribute 'guid'.==> java.lang.IllegalAccessError: tried to access method com.sun.identity.idm.AMIdentity.getUniversalId()Ljava/lang/String; from class com.waveset.adapter.SunAccessManagerRealmResourceAdapter

此错误会在未应用任何修补程序的 Access Manager 7.0 资源上发生。要修复此问题，您必须至少应用 Access Manager 的 Patch 1，然后重新生成并重新部署 Access Manager 客户端 SDK。

由于 WebSphere 数据源和 Oracle JDBC 驱动程序之间存在互操作性问题，因此要将 WebSphere 数据源与 Identity Manager 一起使用的 Oracle 用户必须使用 Oracle 10g R2 和相应的 JDBC 驱动程序。（Oracle 9 JDBC 驱动程序将无法与 WebSphere 数据源和 Identity Manager 一起使用。）(ID-16167)

如果拥有 10g R2 之前版本的 Oracle，并且无法将 Oracle 升级到 10g R2，则应对 Identity Manager 系统信息库进行配置，使其使用 Oracle 的 JDBC 驱动程序管理器（而不是 WebSphere 数据源）连接到 Oracle 数据库。

请参见以下 URL 以了解详细信息：

http://www-1.ibm.com/support/docview.wss?uid=swg21225859

由 Identity Manager 创建的具有“访问”和“帐户 ID”字段的 NDS/Groupwise 用户在接受 NDS 控制台 1 应用程序内某些查看器的检查时（例如，选择用户的属性，然后选择 "Groupwise" 选项卡），可能显示未保存其相应的值。

但是，如果改用用户的“Groupwise 诊断”->“显示对象”查看器，则会显示此字段。Identity Manager 对上述字段所做的更新似乎不受此“查看器”错误的影响。(ID-16330)

WRQ 浏览 classpath 以发现其自身的条目。通过该条目，WRQ 将计算出存储 JAR 的目录，然后使用此目录来读取 .JAW（许可文件）。但是，BEA 和 WebSphere 都使用非标准的协议名称（BEA 使用 zip，WebSphere 使用 wsjar），而不使用标准的 JAR（WRQ 代码认为存在的协议）。（ID-16709、17319）

解决方法：

对于 BEA，将以下选项添加到 startWeblogic.sh 文件的 java 命令中：

-Dcom.wrq.profile.dir="DirectoryContainingLibraries"

对于 WebSphere，请将 com.wrq.profile.dir=DirectoryContainingLibraries 属性添加到 WebSphere/AppServer/configuration/config.ini 文件中。

在 Sun Java^TM System Application Server Enterprise Edition 8.2 上将 Identity Manager 7.1 或 8.0 与 Oracle 10g 一起使用时，可能会发生封装违规异常。导致此问题的原因可能是：CLASSPATH 中具有多个 Oracle JDBC JAR 文件或 CLASSPATH 中具有不兼容版本的 JDBC JAR 文件。(ID-17311)

请确保 CLASSPATH 中仅有一个 Oracle JDBC JAR 文件，并且它是可兼容版本（如 Oracle 安装过程中提供的 JAR 文件）。

在创建新资源之前，请确保启用已配置类型列表中的资源类型。否则，新创建的资源对象可能不具备所有必需的字段。(ID-17324)

在 Unix OS 资源中，创建目录属性的默认值不一致。(ID-18301)

如果 Identity Manager 使用的是具有多字节字符集的语言环境，批量操作结果将无法正确生成 CSV 文件名。(ID-18661)

角色

如果角色名称包含撇号，日期检出器弹出式窗口将无法正常工作，该窗口用于为分配给用户的角色指定将来的激活和取消激活日期。(ID-18941)

解决方法：在日期检出器图标旁边的文本框中，键入激活或取消激活日期。

如果为用户角色手动输入激活或取消激活日期，在使用鼠标单击字段以外的区域或按 Tab 键移出字段时，将会自动提交这些字段。如果在手动更改激活或取消激活字段中的日期后单击“保存”，此行为将导致显示“表单已经提交”消息。(ID-18927)

在删除角色时，将会检查将其作为包含的角色进行的引用，然后检查用户对其进行的引用。如果该过程发现任一引用，则会抛出错误，并且不会删除该角色。(ID-18981)

不过，该过程在检查其他角色的引用时存在一个问题：将从其父角色中删除该角色，即使不应该将其删除。不会删除该角色，因为用户仍然在引用它。User 对象中仍会保留对包含的角色的引用，即使父角色不再包含该角色也是如此。

在删除角色之前，您必须确保所有角色均未直接或间接包含该角色，或者没有将其直接或间接分配给任何用户。

服务器

如果组织名称中包含撇号 (')，则不会显示选定的 Ticker。(ID-5653)

Sun Identity Manager Gateway

在“Windows 服务”屏幕上按“停止”按钮时，Sun Identity Manager Gateway 有时不会停止。(ID-590)

解决方法：取消停止服务请求（如果该请求仍然挂起），然后再次停止该服务，或者退出“Windows 服务”对话框，然后重新进入并再次尝试停止操作。

当使用 'net stop "Sun Identity Manager Gateway"' 时，网关有时不会停止 (ID-2337)。

在 Active Directory 资源适配器上启用了 Exchange 2007 支持时，Sun Identity Manager Gateway 出现内存泄漏，导致进程随时间的推移不断变大。(ID-18854)

解决方法：监视网关服务进程，并在使用的内存达到限制之前重新启动该服务。

任务

“查找任务”页不显示与搜索条件匹配的任务数量 (ID-5152)。

不控制“顶层”的委托管理员可以预定任务和查看任务结果，但不能在任务创建后查看该任务 (ID-6659)。预定任务被置于“顶层”，因此委托管理员没有查看该对象的权限。

一个名为“延迟任务”的字段被加入到库中。该字段可列出用户的延迟任务。要实现该字段，“选项卡式用户表单”和“选项卡式查看用户表单”中必须添加下面的行。

<FieldRef name='Deferred Tasks'/>

工作流、表单、规则和 XPRESS

不能使用 XPRESS <eq> 函数将布尔值与 TRUE 或 FALSE 字符串或者整数 1 或 2 进行比较。(ID-3904)

解决方法：使用以下语句：

<cond>

<isTrue><ref>Boolean_variable</ref></isTrue>

<s>True action</s>

<s>False action</s>

</cond>

在通过 dolist 迭代一个通用对象列表时，路径表达式无效。(ID-4920)

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<ref>genericObj.name</ref>

</dolist>

解决方法：使用 <get> / <set>，如下所示：

<dolist name='genericObj'>

<ref>listOfGenericObjects</ref>

<get><ref>genericObject</ref><s>name</s>

</dolist>

如果对用户表单中的字段使用 global.attrname 变量，而且该属性由多个资源共享，则还应定义一个“派生”规则。(ID-5074) 否则，如果该属性在其中一个资源上进行了本机更改，则该属性不一定会被提取出来并传播至其他资源。

不能在表单的 HTML 部分中使用以 & 开始的特殊字符串。例如，  将不再显示为空格。此问题是由于更改“选择”列表中的支持特殊字符 (& \ < > ') 而产生的。(ID-5548)

包含在 <Comment> 标记中的表单、工作流和规则注释，含有代表换行符的 
 字符串。(ID-6243) 这些字符仅在查看上述对象的 XML 时才能看到；Identity Manager 服务器和“业务流程编辑器”会正确处理这些字符。

如果使用“资源表格用户表单”编辑用户，则编辑用户资源时，首次显示表单时不能获取资源属性。

解决方法：单击“刷新”按钮，这将提取属性数据。(ID-10551)

如果使用 Sun Access Manager Policy Agent 对 Identity Manager 进行保护，则可能无法完全呈现工作流程图。(ID-18304)