Novell Identity Manager 3.5 - Readme

Letzte Aktualisierung am 19. März 2007

Dieses Dokument beschreibt die bekannten Probleme mit Identity Manager 3.5.

Inhaltsverzeichnis

Weitere Dokumentation finden Sie unter:

1.0 Systemanforderungen für Identity Manager 3.5

In diesem Abschnitt werden die Systemanforderungen für Identity Manager 3.5 beschrieben:

1.1 Unterstützte Serverbetriebssysteme

Indentity Manager 3.5 unterstützt die in Tabelle 1 aufgeführten Serverbetriebssysteme.

Tabelle 1 Identity Manager 3.5: Unterstützte Serverbetriebssysteme

Serverbetriebssystem

32-Bit-Betriebssystem auf 32-Bit-Prozessor

32-Bit-Betriebssystem auf 64-Bit-Prozessor

64-Bit-Betriebssystem auf 64-Bit-Prozessor

NetWare® 6.5 SP6

Ja

Ja

nicht zutreffend

OES 1.0 NetWare

Ja

Ja

nicht zutreffend

Windows* NT

Ja

Ja

nicht zutreffend

Windows 2000-Server

Ja

Ja

nicht zutreffend

Windows Server 2003

Ja

Ja

In dieser Version wird die Passwortsynchronisierung unterstützt, andere Komponenten, wie z.B. Metadirectory Engine, jedoch nicht.

Red Hat* Linux* AS 3.0

Ja

Ja

nicht zutreffend

Red Hat Linux AS 4.0

Ja

Ja

Ja

SLES 8

Ja

Ja

Ja

SLES 9

Ja

Ja

Ja

SLES 10

nicht zutreffend

Ja

Ja

OES 1.0 Linux

Ja

Ja

nicht zutreffend

Solaris* 9

nicht zutreffend

nicht zutreffend

Ja

Solaris 10

nicht zutreffend

nicht zutreffend

Ja

AIX* 5.2L

nicht zutreffend

nicht zutreffend

Ja

AIX 5.3

nicht zutreffend

nicht zutreffend

Ja

32-Bit-Prozessoren für Linux- (Red Hat und SLES), NetWare- und Windows-Betriebssysteme:

  • Intel* x86-32

  • AMD* x86-32

64-Bit-Prozessoren für Linux- (Red Hat und SLES), NetWare- und Windows-Betriebssysteme:

  • Intel EM64T

  • AMD Athlon64

  • AMD Opteron*

1.2 Metadirectory Engine-Plattformen

Identity Manager 3.5 unterstützt folgende Metadirectory Engine-Plattformen:

  • NetWare 6.5 mit dem aktuellsten SP (mit eDirectory™ 8.7.3 oder 8.8.1).

  • OES 1.0 NetWare SP2 (mit eDirectory 8.7.3 oder 8.8.1)

  • Windows NT* (mit eDirectory 8.7.3, 8.8 SP2 oder Remote Loader)

  • Windows 2000 Server SP (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • Windows 2003 Server SP (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • Red Hat Linux AS 3.0 (mit eDirectory 8.7.3, 8.8 oder Remote Loader)

  • Red Hat Linux AS 4.0 64-Bit-Edition (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • SLES 8 (mit eDirectory 8.7.3 oder Remote Loader)

  • SLES 9 (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • SLES 10 (mit eDirectory 8.8.1 oder Remote Loader) (Xen* Virtualisierung ist nicht verfügbar.)

  • OES 1.0 Linux (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • Solaris 8 (mit eDirectory 8.7.3 oder Remote Loader) (eDirectory 8.8.x wird unter Solaris 8 nicht unterstützt)

  • Solaris 9 (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • Solaris 10 (mit eDirectory 8.8.1 oder Remote Loader)

  • AIX 5.2L (mit eDirectory 8.7.3, 8.8.1 oder Remote Loader)

  • AIX 5.3 (mit eDirectory 8.8.1 oder Remote Loader). IDM 3.5 wird unter AIX 5.3 validiert, nachdem eDirectory 8.8.2 verfügbar ist.

Es gelten folgende Bedingungen für die Unterstützung:

  1. IDM 3.5 unterstützt zwei eDirectory 8.8.x-Funktionen:

    • Mehrfachinstanz

    • Verschlüsselte Attribute

  2. IDM 3.5 unterstützt keine Instanzen von eDirectory, die über eine Nicht-Root-Installation installiert wurden.

1.3 Java

Identity Manager 3.5 erfordert folgende Komponenten, die nicht in den Medien enthalten sind:

1.4 Verwaltungs-Serverplattformen

Der Verwaltungs-Server iManager 2.6 erfordert eine der folgenden Plattformen:

  • NetWare 6.5

  • OES 1.0 SP2 unter NetWare

  • Windows 2000 Server SP 4

  • Windows Server 2003

  • Windows XP Professional SP2 (nur iManager-Workstation)

  • Red Hat Linux AS 3.0

  • Red Hat Linux AS 4.0 64--Bit-Edition (eDirectory 8.8.1 unterstützt die 64-Bit-Version von Red Hat Linux AS 4.0)

  • Red Hat Enterprise Linux Workstation (nur iManager-Workstation)

  • SLES 9 SP2

  • SLES 10 (Code 10)

  • Nur SUSE® Linux 9.1 iManager-Workstation

  • Nur SUSE Linux 9.3 iManager-Workstation

  • OES 1.0 SP2 unter Linux

  • Solaris 9

  • Solaris 10

1.5 Novell Audit

Identity Manager 3.5 unterstützt Novell® Audit 2.0.2.

1.6 Unterstützte Browser

Folgende Browser werden in Identity Manager (sowohl iManager-Plug-Ins als auch Benutzeranwendung) unterstützt:

  • Internet Explorer 6 SP1

  • Internet Explorer 7

  • Firefox* 2

1.7 Anwendungs-Serverplattformen

Folgende Plattformen werden für Anwendungs-Server unterstützt:

  • SLES 9 SP2

  • SLES 9 SP2 (in OES SP2 enthalten)

  • OES 1.0

  • SLES 10

  • Windows 2000-Server

  • Windows Server 2003

  • Solaris 10

1.8 Datenbankplattformen

Folgende Datenbanken werden unterstützt:

  • MySQL* 5.0.x
  • Oracle* 9i
  • Oracle 10g
  • MS SQL 2005

2.0 Installation von Identity Manager

Im folgenden Abschnitt werden Informationen zur Installation, bekannte Probleme und verfügbare Problembehebungen beschrieben.

2.1 GUI-Installation unter Solaris 9 und 10 bei Verwendung von eDirectory 8.8.1 schlägt fehl

Die GUI-Installation schlägt unter Solaris 9 und 10 fehl, wenn eDirectory 8.8.1 verwendet wird. Folgende Problembehebungen stehen zur Verfügung:

  • Führen Sie das textbasierte Installationsprogramm aus oder

  • Verwenden Sie eDirectory 8.8.2, das eine Behebung dieses Problems enthält.

2.2 Sonderzeichen in Passwörtern führen bei der Installation zu einem Schemaerweiterungsproblem

Wenn das Passwort Ihres Identity Manager-Installationskontos Sonderzeichen enthält, schlägt möglicherweise die Schemaerweiterung fehl. Sie sollten unter einem anderen Konto installieren oder Ihr Passwort ändern.

2.3 Installation von Identity Manager unter Linux nicht möglich, wenn der Quellpfad ein Leerzeichen enthält

Wenn Sie das Linux-Installationsverzeichnis an einen Ablageort kopieren, dessen Pfad ein Leerzeichen enthält, schlägt die Installation bei der Ausführung von install.bin fehl. Es wird empfohlen, keine Leerzeichen in Verzeichnispfaden zu verwenden.

2.4 Das Installationsprogramm verliert gelegentlich Text im Konfigurationsfenster der Benutzeranwendung

In seltenen Fällen verschwindet der Text, der zu einigen der Optionen des Konfigurationsfensters der Benutzeranwendung gehört, wenn das Fenster neu gestartet wird.

Dieses Problem kann auftreten, wenn Sie die folgenden Schritte ausführen:

  1. Starten Sie IdmUserApp.exe zur Installation der Benutzeranwendung.

  2. Schließen Sie die Installation von JBOSS-MYSQL ab und fahren Sie mit der Installation von Identity Manager fort.

  3. Geben Sie im Konfigurationsfenster der Benutzeranwendung die erforderlichen Informationen ein und klicken Sie auf OK.

  4. Klicken Sie im Zusammenfassungsfenster auf Zurück, um zum vorherigen Fenster zurückzukehren.

  5. Klicken Sie auf Weiter, um das Teilfenster neu zu starten

Wenn das Teilfenster zum zweiten Mal angezeigt wird, erscheinen die Eingabefelder möglicherweise nicht. Dieses Problem konnte bisher nur auf einem Dell* Optiplex* GX260 mit 1 GB RAM nachvollzogen werden.

2.5 Start des Dienstprogramms "configupdate" in einer automatischen Installation

Wenn Sie remote eine automatische Installation starten, versucht das Dienstprogramm "configupdate", im GUI-Modus zu starten und schlägt dabei fehl. Die angezeigte Fehlermeldung lautet Headlessexception. Um dieses Problem zu umgehen, fügen Sie

-use_console true

zum Befehl für die Ausführung des configupdate-Skripts hinzu.

2.6 Configupdate-Skript schlägt fehl, wenn Dateien zur WAR-Datei hinzugefügt werden

Das Skript configupdate.sh schlägt fehl, wenn Sie benutzerdefinierte Dateien manuell zu IDM.war hinzufügen, falls die WAR-Datei mit der jar-Binärdatei in /usr/bin/jar erstellt wurde, die über SLES 9 verteilt wurde. Der Fehler lautet:

DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)

Verwenden Sie zur Behebung oder Vermeidung dieses Problems eine neuere Version der jar-Datei, um die WAR-Datei zu erstellen. Beispiel: /usr/lib/java/bin/jar -cvf IDM.war*

2.7 Einrichtung eines Clusters schlägt fehl

Folgende Warnmeldung kann angezeigt werden, wenn Sie die Benutzeranwendung mit der standardmäßigen JBoss-Serverkonfiguration starten:

WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException

Wenn Sie während der Installation der Benutzeranwendung die Standardkonfiguration wählen (Einzelknoten), können Sie diese Meldung ignorieren. Diese Meldung stammt vom JBoss-Anwendungsserver. Sie besagt, dass Ihre ausgewählte Anwendungsserverkonfiguration keine Cluster unterstützt, obwohl die Identity Manager-Benutzeranwendung Cluster unterstützt.

2.8 Installation des JBoss-Anwendungsservers und MySQL

MySQL und der JBoss-Anwendungsserver werden in verschiedenen unabhängigen Prozeduren über die Installation der Benutzeranwendung installiert.

Das Installationsprogramm der Benutzeranwendung selbst installiert weder MySQL noch den JBoss-Anwendungsserver. Dies gilt für alle Installationsprogramme der Benutzeranwendung: "GUI", "Konsole" und "Automatisch". Das Installationsprogramm der Benutzeranwendung stellt Optionen zur Konfiguration der Benutzeranwendung bereit, damit diese MySQL und JBoss verwenden können.

Die Verwendung der Installationsprozeduren von MySQL und JBoss-Anwendungsserver in einer Secure Shell-Sitzung (SSH) wird nicht unterstützt. Der Versuch, MySQL und JBoss in einer SSH-Sitzung zu installieren, führt zu folgendem Fehler:


Invocation of this Java Application has caused an InvocationTargetException. This application will now exit. (LAX) Stack Trace: java.awt.HeadlessException: No X11 DISPLAY variable was set, but this program performed an operation which requires it. at java.awt.GraphicsEnvironment.checkHeadless(Unknown Source) at java.awt.Window.<init>(Unknown Source) at java.awt.Frame.<init>(Unknown Source)

2.9 Installation von MySQL als Dienst

Eventuell möchten Sie die Ausführung von MySQL als Windows-Dienst einrichten, der beim Starten oder Beenden des Windows-Systems automatisch gestartet oder beendet wird. Das Novell-Dienstprogramm zur Installation von MySQL bietet diese Möglichkeit nicht. Jedoch bietet das Installationsprogramm von MySQL diese Option. Informationen hierzu finden Sie unter http://dev.mysql.com/doc/refman/5.0/en/windows-start-service.html.

3.0 Einrichten einer Datenbank für die Benutzeranwendung

In diesem Abschnitt werden die Anforderungen zur Einrichtung der Datenbank für die Verwendung mit der Benutzeranwendung beschrieben.

3.1 Datenbank muss einen Zeichensatz mit Unicode-Kodierung verwenden

Die Benutzeranwendung setzt voraus, dass der Zeichensatz der Datenbank die Unicode-Kodierung verwendet. So ist beispielsweise UTF-8 ein Zeichensatz, der Unicode-Kodierung verwendet, aber Latin-1 hingegen verwendet keine Unicode-Kodierung. Stellen Sie vor der Installation der Benutzeranwendung sicher, dass Ihre Datenbank mit einem Zeichensatz konfiguriert wurde, der die Unicode-Kodierung verwendet.

3.2 Einrichten einer MySQL-Datenbank für die Benutzeranwendung

  1. Installieren Sie den MySQL-Server. Legen Sie optional den Zeichensatz UTF-8 für den gesamten Server fest.

  2. Erstellen Sie Ihre Datenbank und legen Sie den Zeichensatz fest. Bearbeiten Sie die mysql-Konfigurationsdatei (my.ini unter Windows oder my.cnf unter Linux). Legen Sie folgende Werte fest:

    character_set_server=utf8default-table-type=innodb
    
  3. Erstellen Sie einen Benutzer zur Anmeldung beim MySQL-Server und gewähren Sie ihm Rechte. Beispielsweise:

    GRANT ALL PRIVILEGES ON <dbname.>* TO <Benutzername>@ <host> IDENTIFIED BY ‘ Passwort

    Die mindestens erforderlichen Rechte sind: CREATE, INDEX, INSERT, UPDATE, DELETE und LOCK TABLES. Die Dokumentation zum GRANT-Befehl finden Sie unter http://www.mysql.org/doc/refman/5.0/en/grant.html.

  4. Sie sollten die folgenden Werte in der MySQL-Konfiguration erhöhen, damit die Leistung der Datenbank erhöht wird, wenn zu viele gleichzeitige Benutzer Workflow-Aktivitäten durchführen:

    • table_cache
    • sort_buffer_size
    • innodb_buffer_pool_size
    • Innodb_log_file_size
    • innodb_log_buffer_size

3.3 Zeichen werden in der Benutzeroberfläche nicht richtig angezeigt

Wenn Sie feststellen, dass Zeichen in der Benutzeroberfläche nicht richtig dargestellt werden, stellen Sie sicher, dass Ihre Datenbank den UTF-8-Zeichensatz unterstützt.

So ermitteln Sie den Zeichensatz einer MySQL-Datenbank:

  1. Führen Sie "MySQL Administrator" auf Ihren MySQL-Server aus.

  2. Wählen Sie Startup Variables > Advanced.

  3. Überprüfen Sie, ob der Standardzeichensatz utf8 lautet.

Wenn der Standardzeichensatz nicht utf8 ist, bearbeiten Sie die MySQL-Konfigurationsdatei (my.ini unter Windows oder my.cnf unter Linux). Legen Sie folgende Werte fest:

character_set_server=utf8default-table-type=innodb

Lesen Sie außerdem die Anweisungen zur Konfiguration des Datenbankzeichensatzes im Abschnitt "Installation der Benutzeranwendung" im Identity Manager 3.5 Installationshandbuch.

3.4 Einrichten einer Oracle-Datenbank für die Benutzeranwendung

  1. Erstellen Sie Ihren Oracle-Server und verwenden Sie AL32UTF8, um einen Zeichensatz in Unicode-Kodierung anzugeben. (Siehe AL32UTF8 .)

  2. Erstellen Sie einen Benutzer. (Dadurch wird automatisch eine Datenbank erstellt.) Geben Sie im SQL Plus-Dienstprogramm die folgenden Befehle ein. Diese Befehle erstellen den Benutzer und legen die Rechte des Benutzers fest. Beispiel:

    CREATE USER idm-Benutzer IDENTIFIED BY Passwort
    
    GRANT CONNECT, RESOURCE to IDM-Benutzer
    

    Erteilen Sie dem Benutzer folgende Rechte:

    • CONNECT
    • RESOURCE
    • CREATE SEQUENCE
    • CREATE TABLE
    • CREATE VIEW

3.5 Einrichten einer MS SQL-Datenbank für die Benutzeranwendung

  1. Installieren Sie den MS SQL-Server.

  2. Stellen Sie eine Verbindung zum Server her und öffnen Sie eine Anwendung zur Erstellung der Datenbank und des Datenbankbenutzers (üblicherweise die Anwendung "SQL Server Management Studio").

  3. Erstellen Sie eine Datenbank.

    SQL Server erlaubt es Benutzern nicht, den Zeichensatz für Datenbanken auszuwählen. Die IDM-Benutzeranwendung speichert die Zeichendaten des SQL-Servers in den Spaltentypen NCHAR, NVARCHAR oder NTEXT, die UTF-8 unterstützen.

  4. Erstellen Sie eine Anmeldung.

  5. Fügen Sie die Anmeldeinformationen für einen Benutzer der Datenbank hinzu.

  6. Erteilen Sie der Anmeldung die folgenden Rechte: CREATE TABLE, CREATE INDEX, SELECT, INSERT, UPDATE und DELETE.

4.0 Benutzeranwendung: Benutzerschnittstelle

In diesem Abschnitt werden Probleme der Benutzeranwendung und deren Umgehung beschrieben.

4.1 EboSecurityException bei dem Versuch, einen Benutzer auf verfügbar zu setzen, wenn von Admin eine Zuweisung erstellt wurde

Bei Team-Managern kann ein Sicherheits-Ausnahmefehler auftreten, wenn sie versuchen, eine Benutzervariable festzulegen. Dies tritt auf, wenn Delegiertenzuweisungen existieren, die nicht vom Team-Manager sondern vom Administrator erstellt wurden, und wenn der Team-Manager versucht, ein Teammitglied über die Statusänderung "Verfügbar für ALLE Anforderungen" auf "Verfügbar" zu setzen.

Um dieses Problem zu umgehen, muss der Team-Manager alle Teamverfügbarkeitseinstellungen einzeln entfernen. Dadurch können alle Einstellungen genauso entfernt werden, als wäre die Dropdown-Option verwendet worden.

4.2 Fehler wegen doppelten Eintrags 'Welcome_IdentityMgrIntroMessagePortlet' für Schlüssel "1" beim Senden von Workflows

Wenn Sie folgende Fehlermeldung erhalten:

2007-01-19 14:08:17,805 ERROR [org.hibernate.util.JDBCExceptionReporter:error]Duplicate entry 'Welcome_IdentityMgrIntroMessagePortlet' for key 12007-01-19 14:08:17,811 ERROR

müssen Sie nur Ihren Browser aktualisieren. Dieser Fehler tritt selten bei einem neu gestarteten Server wegen einer Zugriffsbedingung auf, bei der zwei oder mehr Benutzer gleichzeitig die gleiche Seite oder das gleiche Portlet anfordern. Portlets werden während der Ausgangsanforderung für das Portlet registriert. Wenn daher gleichzeitige Mehrfachanforderungem auftreten, versucht das Framework-Portal, mehrfache Registrierungen durchzuführen, die dann zu dem oben genannten Fehler wegen doppelter Einträge führen.

4.3 Suchlisten-Portlet: Suchen in Attributen mit mehreren Werten

Wenn Benutzer eine Negativsuche (beispielsweise enthält nicht) für ein Attribut mit mehreren Werten durchführen, gibt die Suche das Objekt nur dann zurück, wenn keiner der Objektwerte übereinstimmt, und nicht, wenn nur einer der Werte dem Kriterium entspricht. Sie führen beispielsweise eine Suche nach Benutzern durch, deren Telefonnummer nicht die Ziffern 203 enthalten. Wenn Benutzer1 zwei Telefonnummern hat und eine der beiden Nummern 203 enthält, wird Benutzer1 nicht als Teil dieser Suche zurückgegeben. Für Positivsuchen (beispielsweise beginnt mit oder enthält) nach Attributen mit mehreren Werten gibt die Suche ein Objekt zurück, wenn einer der Werte für dieses Attribut dem Kriterium entspricht. So gibt beispielsweise eine Suche nach Benutzern, deren Nummer 203 enthält, Benutzer1 zurück.

4.4 Private Postadresse wird in der Benutzeranwendung nicht richtig angezeigt

Wenn Sie die private Postadresse eines Benutzers in iManager über das Register Andere ausfüllen, enthält die Ansicht dieser Adresse in der Benutzeranwendung zusätzliche Zeichen (Begrenzungszeichen). Hierbei handelt es sich um ein bekanntes Problem. Momentan unterstützt die Benutzeranwendung von Identity Manager 3.5 nicht die Postadressensyntax (0.9.2342.19200300.100.1.39).

4.5 Eine anonym gesendete Ressourcenanforderung führt zu Ausnahmen in der Seite "Meine Aufgaben"

Wenn ein Benutzer eine Ressourcenanforderung anonym sendet, führt dies auf dem Server möglicherweise zu einer Ausnahme. Diese Ausnahme kann auftreten, wenn der Benutzer als Genehmiger angemeldet ist. Wenn der Benutzer "Meine Aufgaben" wählt, kann dies zur folgenden Ausnahme auf dem Server führen:

08:04:32,640 INFO [LogEvent] [Workflow_Started] Initiated by GUEST_UID, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreat eNewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID, Secondary User: null 08:04:33,109 INFO [LogEvent] [Workflow_Forwarded] Initiated by System, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreate NewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID 08:05:02,468 ERROR [VirtualDataAccess] Ldap error getting attributes for object: GUEST_UID. Error: javax.naming.InvalidNameException: GUEST_UID: [LDAP : error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID' javax.naming.InvalidNameException: GUEST_UID: [LDAP: error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID'...

Wenn Sie ein Gastkonto erstellen, sollte dieser Fehler nicht auftreten.

4.6 Leerzeichen und Unterstriche in Anmeldezeichenketten

eDirectory behandelt Unterstriche wie Leerzeichen. eDirectory entfernt aus gesendeten Suchen führende und abschließende Leerzeichen. Daher ist es möglich, sich als Benutzer 'jmiller' anzumelden, indem als Benutzername ' jmiller ' oder '_jmiller' oder 'jmiller_' oder sogar '______jmiller______' verwendet wird. Dieses Verhalten stammt von eDirectory und ist kein Problem von Identity Manager. Es ist unter https://secure-support.novell.com/KanisaPlatform/Publishing/463/3656313_f.SAL_Public.html dokumentiert.

4.7 Vermeiden von Doppelpunkten (:) in Attributen mit mehreren Werten

Die Verwendung eines Doppelpunktes (:) in Attributen mit mehreren Werten oder Attributbeschreibungen führt zu einem LDAP-Fehler bei der Aktualisierung des Objekts. Die Identity Manager-Benutzeranwendung verwendet einen Doppelpunkt als Trennzeichen, wenn die Werte für ein Attribut mit mehreren Werten entpackt werden. Um dieses Problem zu umgehen, sollten Sie es vermeiden, Doppelpunkte zu verwenden, wenn Sie Attribute mit mehreren Werten sowie ihre Beschreibungen angeben.

4.8 Umgekehrte Schrägstriche in Entitätsnamen werden mehrfach eingefügt

Wenn Sie eine Entität wie beispielsweise einen Benutzer in der Benutzeranwendung erstellen und der Name einen umgekehrten Schrägstrich enthält, wird der Schrägstrich im vollständigen DN mehrfach angegeben. Beispiel: meinbenutzername\ wird zu meinbenutzername\\\.

Um dieses Problem zu umgehen, vermeiden Sie die Verwendung von umgekehrten Schrägstrichen in Entitätsnamen.

4.9 Anmeldung als zwei unterschiedliche Benutzer in Firefox zur gleichen Zeit ist nicht möglich

Wenn Sie sich in der Benutzeranwendung als Benutzer über einen Browser aus der Mozilla-Familie (Firefox, Netscape* oder Mozilla*) anmelden, anschließend eine weitere Browser-Instanz (des gleichen Browsertyps) öffnen und sich als Benutzer B anmelden, werden möglicherweise Informationen zu Benutzer B angezeigt, wenn Sie zur ersten Browser-Instanz zurückkehren. Dies liegt daran, dass Browser-Instanzen dasselbe Cookie verwenden (und überschreiben). Dieses Problem tritt nur bei Mozilla-Browsern auf, nicht beim Internet Explorer.

4.10 Verwendung des HTMLEditor für Organigrammeinstellungen in Firefox führt zu Ausnahmen

In Firefox können bei Ausschneide-, Einfüge- und Kopiervorgängen Ausnahmen auftreten, wenn der HTMLEditor für Organigrammeinstellungen verwendet wird. Aus Sicherheitsgründen lässt Mozilla den Zugriff von Skripts auf die Zwischenablage nicht zu. Deshalb sind die Schaltflächen zum Ausschneiden, Kopieren und Einfügen in Firefox nicht verfügbar.

In Firefox können Sie die Erweiterung "Allow Clipboard Helper" über "Extras > Erweiterungen" herunterladen. Diese Option führt Sie zur Website zum Herunterladen von Erweiterungen.

Nach dem Download finden Sie Allow Clipboard Helper unter Firefox > Extras.

Öffnen Sie die Erweiterung, geben Sie die Serveradresse ein, der Sie den Zugriff auf die Zwischenablage erlauben möchten, und klicken Sie anschließend auf Allow. Sie können beliebig viele Websites angeben. Schließen Sie alle Firefox-Browser und starten Sie Firefox neu. Nun sollten alle Ausschneide-, Kopier- und Einfügevorgänge in Firefox funktionieren.

4.11 Sonderzeichen in der Benutzeranwendung müssen geschützt werden

Die Benutzeranwendung unterstützt die gleichen Zeichen wie iManager. Informationen zum Schützen von Sonderzeichen finden Sie in der Dokumentation zu iManager unter Sonderzeichen.

4.12 Anmeldung ohne vorherige Abmeldung kann zu Anmeldefehler führen

Wenn ein Benutzer in der Benutzeranwendung angemeldet ist, das Anmelde-Portlet oder eine Seite aus den Lesezeichen oder dem Verlauf lädt und versucht, sich erneut anzumelden, wird bei der zweiten Anmeldung die neue Portalsitzung nicht richtig eingerichtet. Dadurch kann die zweite Anmeldung fehlschlagen. Um dieses Problem zu umgehen, verwenden Sie immer den Link zur Abmeldung, bevor Sie sich anmelden.

5.0 Benutzeranwendung: Verwaltung

In diesem Abschnitt werden Probleme bei der Verwaltung der Benutzeranwendung und deren Umgehung beschrieben.

5.1 Workflow-Engine in einem Cluster kann möglicherweise zu einer früheren Zeitüberschreitung führen

Änderungen am Heartbeat-Intervall und -Faktor bei heruntergefahrenen Servern im Cluster können dazu führen, dass die Workflow-Engine des Servers nach dem Start vorzeitig zu einer Zeitüberschreitung führt. Ein Neustart aller Server im Cluster behebt dieses Problem.

5.2 Speichern der Einstellungen im configupdate-Dienstprogramm funktioniert nicht wie erwartet

Wenn Sie das Teilfenster "Erweiterte Optionen" des configupdate-Dienstprogramms verwenden, um Standardeinstellungen anzupassen, werden Ihre Einstellungen nicht gespeichert, wenn Sie auf "Erweiterte Optionen ausblenden" klicken, bevor Sie auf "OK" klicken. Um diesen Fehler zu umgehen, klicken Sie auf "OK", ohne auf "Erweiterte Optionen ausblenden" zu klicken.

5.3 Verwendung der Schaltfläche "Durchsuchen" zur Auswahl des Treibers der Bereitstellungsanwendung im configupdate-Dienstprogramm

Wenn Sie den Namen des Treibers der Bereitstellungsanwendung im configupdate-Dienstprogramm eingeben, kann es vorkommen, dass Sie bei der Angabe des Objektnamens einen Fehler bei der Groß-/Kleinschreibung machen. Um sicherzustellen, dass Sie den Namen in der richtigen Groß-/Kleinschreibung eingeben, verwenden Sie für die Suche und Auswahl des Treibers der Bereitstellungsanwendung die Schaltfläche "Durchsuchen" rechts vom Eingabefeld.

5.4 Möglicher Fehler wegen zu vieler geöffneter Dateien bei Linux-Benutzern

Linux ermöglicht nur 1024 geöffnete Dateien pro Prozess, aber die Benutzeranwendung erfordert oft mehr. Novell empfiehlt, die Anzahl der geöffneten Dateien auf 4096 festzulegen, damit der Fehler Zu viele Dateien geöffnet vermieden wird.

Verwenden Sie zum Erhöhen der Anzahl der geöffneten Dateien den Befehl ulimit. Für Nicht-Root-Benutzer gibt es einige Einschränkungen in ulimit. Hier finden Sie jedoch ein Beispiel, wie Sie mit Hilfe des ulimit-Befehls die Anzahl der geöffneten Dateien für Nicht-Root-Benutzer auf 4096 erhöhen können:

  1. Melden Sie sich als Root an.

  2. Bearbeiten Sie die Datei /etc/security/limits.conf. Fügen Sie einen Eintrag für den Benutzer mit dem Namen smith hinzu und lassen Sie den Wert für nofile auf bis zu 4096 zu:

    smith hard nofile 4096
    
  3. Melden Sie sich als Benutzer smith an und verwenden Sie den Befehl ulimit -n mit dem Parameter 4096. Sie können den Befehl erneut ohne Argument eingeben, um den aktuellen Wert anzuzeigen:

    smith@myhost:~> ulimit -n 4096smith@myhost:~> ulimit -n

  4. Sie können ulimit in der Benutzerumgebung angeben oder das start-jboss-Skript verwenden, damit der neue Wert immer verwendet wird.

5.5 GroupWise-Portlets in der Benutzeranwendung arbeiten nicht mit Linux-Versionen von Access Manager 3.0

Die GroupWise-Portlets in der Benutzeranwendung der IDM Version 3.5 arbeiten nicht mit der Linux-Version von Access Manager Version 3.0. Dies ist ein bekannter Fehler. Die GroupWise-Portlets in der Benutzeranwendung der IDM Version 3.5 arbeiten mit der NetWare-basierten Version von Access Manager Version 3.0, Zwischenversion 1.

5.6 Der Bildschirm "Konfiguration der Protokollierung" zeigt verwirrende Meldung an, wenn die Aktivierung der Protokollierung an Novell Audit fehlschlägt

Wenn ein Administrator in der Benutzeranwendung die Option Protokollierungsmeldungen auch an Novell Audit senden in der Seite "Protokollierung" des Registers Administration wählt, der Audit-Server jedoch nicht läuft, wird möglicherweise eine verwirrende Meldung angezeigt. Wenn der Audit-Server nicht läuft, findet die Benutzeranwendung den Audit-Cache nicht. Dies bedeutet, dass die Protokollierung in Novell Audit nicht aktiviert ist und dass das Kontrollkästchen deaktiviert bleibt (wie erwartet), nachdem Sie die Anforderung gesendet haben. Dennoch wird oben auf der Seite die Meldung Protokollierungsänderungen wurden erfolgreich aktualisiert angezeigt. Diese Meldung soll besagen, dass die Protokollierung in Novell Audit nicht aktiviert wurde. Außerdem soll sie die Ursache des Problems erklären.

5.7 Bereitstellungsadministrator kann den Status nicht prüfen, wenn ein Workflow Einzelfluss-Bereitstellungsmitglieder verwendet und der Empfänger eine Gruppe ist

Wenn ein Bereitstellungsadministrator einen Workflow verwendet, der mit der Strategie "Workflow Einzelfluss-Bereitstellungsmitglieder" zur Anforderung einer Teamressource von einer Gruppe definiert ist, erlaubt es die Seite "Teamanforderungen" dem Bereitstellungsadministrator nicht, den Status der Anforderung zu prüfen. Ursache hierfür ist, dass die Seite "Teamanforderungen" nur die Auswahl von einzelnen Teammitgliedern nicht jedoch von Gruppen zulässt.

Sie können dieses Problem umgehen, indem Sie auf der Seite "Teamanforderungen" Suchkriterien zum Filtern der Anforderungen verwenden. So können Sie beispielsweise nach Anforderungen suchen, bei denen der Administrator der Initiator ist und Sie können gleichzeitig einen Zeitraum sowie eine Anforderungskategorie angeben.

5.8 Benachrichtigungen für Anforderungen, die von einem Gastbenutzer stammen, werden nicht gesendet

Möglicherweise werden Benachrichtigungen nicht gesendet, die von einem Gastbenutzer stammen. Dies gilt für Anforderungsdefinitionen, die mithilfe der Definitionsschablonen erstellt wurden und bei denen die Standardschablonen unverändert geblieben sind. Der Fehler wird in der Serverkonsole der Anwendung protokolliert.

Standardmäßig senden Anforderungsschablonen eine Abschlussbestätigung an den Initiator der Anforderung. Wenn Sie die Benutzerkennung GUEST verwenden und diese nicht mit einem Gastkonto verknüpft ist, schlägt die Ermittlung der Email-Adresse fehl. Dies führt dazu, dass die Email nicht gesendet und der Fehler in der Konsole des Anwendungsservers protokolliert wird.

Führen Sie einen der folgenden Vorgänge aus, um die Einrichtung der Benachrichtigung abzuschließen:

  • Verknüpfen Sie die Benutzerkennung "Guest" mit einem Konto. Anweisungen hierzu finden Sie im Abschnitt über die Aktivierung des anonymen und des Gastzugriffs der Benutzeranwendung im Identity Manager 3.5 Benutzeranwendung: Administrationshandbuch.

  • Wenn Sie einem GUEST-Benutzer erlauben möchten, eine Anforderung zu senden, können Sie ein Eingabeformularfeld zum Anforderungsformular hinzufügen, in dem eine Email-Adresse angegeben wird, an die die Bestatügungsmeldung gesendet wird. Speichern Sie die Adresse der Bestätigungs-Email im Dokument der Ablaufdaten. Ändern Sie die zu verwendende Mail für die Beendigungsaktivität so, dass die Email-Adresse im Feld TO verwendet wird.

Alternativ können Sie auch die Benachrichtigung der Anforderungsdefinition deaktivieren.

5.9 Fehler "NoClassDefFoundError" im Netzwerkdatei-Portlet

Der Fehler "NoClassDefFoundError" im Netzwerkdatei-Portlet besagt, dass das Portlet die Archivdatei njclv2r nicht gefunden hat. So lösen Sie dieses Problem:

  • Kopieren Sie die entsprechende Datei novell-njcl-devel-2006.02.22-..... für Ihr System von http://developer.novell.com/wiki/index.php/Njclc.

  • Fügen Sie die Archivdatei njcl.jar zum Verzeichnis WEB-INF/lib in der WAR-Datei der Benutzeranwendung hinzu. Sie finden WEB-INF/lib im Deploy-Verzeichnis Ihres JBoss-Anwendungsservers. Üblicherweise lautet das Verzeichnis jboss/server/APP_NAME/deploy.

5.10 Erfolgreiche Initiierung von Workflows über Proxy

Folgendes muss zutreffen, wenn ein Workflow über einen Proxy gestartet werden soll:

  • Der Benutzer mit dem Proxy muss gleichzeitig Administrator der Benutzeranwendung sein.

  • Der Administrator der Benutzeranwendung muss zur Verwendung des Workflows berechtigt sein.

  • Der Administrator der Benutzeranwendung benötigt den Proxy für die Person, die Initiator werden soll.

  • Der Parameter Überschreiben des Initiators zulassen des Benutzeranwendungstreibers muss auf Ja gesetzt sein.

Wie immer bei der gesamten Arbeit mit der Benutzeranwendung und nicht nur bei Proxy-Workflows muss der Benutzer im Benutzeranwendungstreiber ein Administrator der Benutzeranwendung sein.

5.11 Einschränkung von Kontorechten

Aus Sicherheitsgründen wird empfohlen, die Rechte für das Administrator- und das LDAP-Gastkonto auf die zur Ausführung der erforderlichen Rollen minimalen Rechte zu begrenzen. Geben Sie bei der Zuweisung der folgenden Rollen in der Benutzeranwendung (während der Installation oder mithilfe des configupdate-Dienstprogramms nach der Installation) jeweils ein separates Identitätsdepotbenutzerkonto an:

  • LDAP administrator

  • LDAP guest (falls verwendet)

  • Administrator der Benutzeranwendung

  • Adminstrator der Bereitstellungsanwendung

5.12 Verwendung der Schaltfläche "Durchsuchen" führt zum Absturz des configupdate-Dienstprogramms unter Windows

Die Schaltfläche "Durchsuchen" im configupdate-Dienstprogramm führt gelegentlich zum Absturz der JVM unter Windows XP SP2. Um dieses Problem zu umgehen, geben Sie den vollständigen Pfadnamen ein, anstatt die Schaltfläche "Durchsuchen" zu verwenden.

5.13 Zubehör-Portlet der Netzwerkdatei hat eine neue Einstellung

Das Zubehör-Portlet der Netzwerkdatei verfügt jetzt über die neue Einstellung "ShortcutsUseFullyQualifiedPath". Wenn diese Einstellung "True" ist, sind für alle Verknüpfungen, die in der Einstellung "Verknüpfungen" angegeben werden, vollständige Pfade erforderlich. Wenn der Wert "False" ist, müssen alle Verknüpfungen, die in der Einstellung "Verknüpfungen" gemacht werden, relative Pfade zum InitialDirectory haben. Wählen Sie "False", wenn Benutzer nur zu Unterverzeichnissen im Pfad navigieren.

5.14 Beenden der Sitzung Ihres NetStorage-Zubehör-Portlets

Klicken Sie in der NetStorage-Web-Schnittstelle auf die Schaltfläche zum Abmelden, wenn Sie Ihre NetStorage-Sitzung beenden und den Zugriff auf alle verwendeten Dateien schließen möchten.

5.15 Zertifikat zur Authentifizierung erforderlich

Die folgenden Informationen zu Zertifikaten gelten für GroupWise® Mail, Mail/Calendar und Web Access-Portlets.

Es muss möglicherweise ein Zertifikat in der laufenden JVM installiert werden. Andernfalls erhalten Sie beim Verbindungsversuch des HTTP-Client eine SSL-Ausnahme statt eines verbürgten Zertifikats.

Gehen Sie folgendermaßen vor, damit die Benutzerauthentifizierung funktioniert.

  1. Melden Sie sich über einen Browser beim GroupWise-Server an.

  2. Doppelklicken Sie auf das Schlosssymbol in der unteren rechten Ecke.

  3. Wählen Sie das Register Details, klicken Sie auf In Datei kopieren und klicken Sie anschließend auf Weiter.

  4. Wählen Sie Base64 und klicken Sie anschließend auf Weiter.

  5. Geben Sie einen Namen für die Datei ein. Klicken Sie auf Weiter und anschließend auf Fertig stellen.

  6. Wechseln Sie zum verwendeten jre/bin und geben Sie folgenden Befehl ein: keytool -import -trustcacerts -file Laufwerk:\Ordner\ cert_file_name - keystore ../lib/security/cacerts

Die zur Verbindung mit GroupWise WebAccess verwendete URL muss in der Einstellung Vollständige URL für GroupWise WebAccess für das Portlet angegeben werden. Durch Verwendung dieser URL wird ein Aufruf zu /servlet/webacc durchgeführt, damit der Benutzer authentifiziert wird. Dies geschieht durch SSL über Commons-HTTP-Client.

Bei einer gültigen Anmeldung gibt /servlet/webacc "User.context=kjshgfdgjsgdf" zurück (wobei kjshgfdgjsgdf für den GroupWise-Sitzungswert steht). Dies wird für die weitere Verwendung und zum Rendering in UsersPortletSession abgelegt.

GroupWise hat auf diese Anforderung hin ebenfalls Cookies gesendet. Daher hat das Portlet die Cookies gelesen und diese Werte in PortletSession abgelegt.

Bei jeder doView-Anforderung an das Portlet muss das Portlet die Cookies in die Antwort des Portlets schieben. Die Domänensite für das Portlet muss mit /servlet aus GroupWise übereinstimmen. Ansonsten tritt ein domänenübergreifender Browser-Fehler auf. Hierbei handelt es sich um eine Sicherheitseinschränkung für Cookies.

Wenn ein Benutzer für Web Access keine Angaben für Benutzername und Passwort gemacht hat, wird er dazu aufgefordert und hat die Möglichkeit, diese in den Einstellungen zu speichern.

6.0 Benutzeranwendung: Leistung

Dieser Abschnitt enthält Beschreibungen von Leistungsproblemen mit der Benutzeranwendung, deren Umgehung und Empfehlungen.

6.1 Begrenzung der Ergebnisse, die von einer Workflow-Abfrage zurückgegeben werden

Sie können die aus einer Workflow-Abfrage zurückgegebenen Ergebnisse im Plugin der iManager-Workflow-Administration begrenzen. Der folgende SOAP-Endpunkt wird auf einen Grenzwert von 1000 Zeilen gesetzt:

getAllProcesses(), getProcesses(String, long, T_Operator, String, String), getProcessesByApprovalStatus(T_ApprovalStatus), getProcessesByCreationInterval(long, long), getProcessesByCreationTime(long, T_Operator), getProcessesById(String),getProcessesByInitiator(String), getProcessesByRecipient(String), getProcessesByStatus(T_ProcessStatus)

Einige dieser Methoden werden von der iManager Workflow Administration-Funktion verwendet.

So ändern Sie diese Einstellung:

  1. Öffnen Sie die Datei IDMProv.war.

  2. Extrahieren Sie die Datei WorkflowService-Conf/config.xml aus IDMfw.jar.

  3. Ändern Sie den Wert für die Eigenschaft "WorkflowService/SOAP-End-Points-Process-Query-MaxRows" von 1000 in die neue Einstellung.

    <property>
    
      <key>WorkflowService/SOAP-End-Points-Process-Query-MaxRows</key>
    
      <value>1000</value>
    
    </property>
    
  4. Ersetzen Sie die Datei in JAR und WAR und führen Sie eine erneute Bereitstellung durch.

6.2 Begrenzung von Fehlern durch Stack-Überlauf, wenn eine Suchanfrage zu mehr als 8000 Ergebnissen führt

Standardmäßig sind die Suchgrößen nicht begrenzt. Novell empfiehlt, dass Sie die Größe (Anzahl der Einträge) und Zeit (Sekunden) von Suchen steuern. Passen Sie hierzu eine der folgenden Einstellungen an:

eDirectory: Verwenden Sie iManager, wenn Sie die Attribute "TimeLimit" und "searchSizeLimit ldapServer" ändern möchten. Standardmäßig beträgt der Wert dieser Attribute 0 (unbegrenzt). Diese Einstellungen haben Vorrang vor den DAL-Einstellungen. Das ldapServer-Objekt befindet sich üblicherweise in der Unternehmens-Root (beispielsweise foo,o=novell).

DAL/VDX: Verwenden Sie den DAL-Editor, um Größen- und Zeitbegrenzungen für die Definition der DAL-Entität festzulegen. Die hier festgelegten Grenzen können eventuell vorhandene eDirectory-Grenzen nur einschränken aber nicht erweitern. Wenn beispielweise der Grenzwert in eDirectory 100 beträgt, können Sie ihn im DAL nicht erhöhen. Sie können ihn jedoch unter 100 verringern. Die Standardwerte der Grenzwerte für Größe und Zeit beträgt 0 (unbegrenzt) im DAL, wobei eDirectory-Einstellungen vorrangig gelten.

Searchlist-Portlet: Legen Sie die Einstellung "Ergebnisgrenze" für dieses Portlet fest. Wenn der Wert 0 (Standardwert) beträgt, hat der Wert im DAL Vorrang.

ParamList-Portlet: Legen Sie die Einstellung "Ergebnisgrenze" für dieses Portlet fest. Wenn der Wert 0 (Standardwert) beträgt, hat der Wert im DAL Vorrang.

7.0 Lokalisierung

In diesem Abschnitt werden bekannte Probleme in Verbindung mit der Lokalisierung von Identity Manager beschrieben.

7.1 Anzeigeproblem in der Betreffzeile von Emails

Die Windows GroupWise Mail- und Outlook-Clients enthalten einen bekannten Fehler bei der Anzeige des Betrefftextes eines mailto: HTML-Befehls. Dieser Fehler tritt auf, wenn der Browser einen Doppelbyte-Zeichensatz wie beispielsweise Chinesisch oder Japanisch verwendet.

In diesem Fall enthält die Betreffzeile beim Senden der Identitätsinformationen aus der Detailseite ungültige Zeichen, da diese Mail-Clients die Doppelbyte-Zeichen nicht richtig interpretieren.

7.2 Mögliches Problem mit der Zeichensatzkodierung

Stellen Sie sicher, dass die Eingabe- und Ausgabezeichensatzkodierungen mit denen der Quell- oder Zielanwendung übereinstimmen. Zeichen, die in der gewählten Ausgabe nicht dargestellt werden können, werden in Fragezeichen ("?") geändert.

7.3 Die Ländereinstellung muss ordnungsgemäß eingestellt sein, damit spezielle Sonderzeichen auf einem deutschen Betriebssystem korrekt dargestellt werden

Wenn Sie das Konfigurationswerkzeug für Benutzeranwendungen (zum Konfigurieren von LDAP-Einstellungen) in einer lokalisierten Betriebssystemumgebung ausführen, werden alle Zeichen in Texteingabefeldern ordnungsgemäß angezeigt. Gibt es beispielsweise chinesische Namen in eDirectory oder geben Sie chinesische Zeichen ein, werden diese in einer chinesischen Betriebssystemumgebung ordnungsgemäß angezeigt. In einer deutschen Betriebssystemumgebung werden eingegebene oder von eDirectory zurückgegebene chinesische Zeichen jedoch als nicht-lesbare Zeichen dargestellt (in der Regel als Quadrate). Dies liegt daran, dass die Ländereinstellung nicht korrekt festgelegt ist.

Wenn in einer deutschen Betriebssystemumgebung spezielle Sonderzeichen dargestellt werden sollen, gehen Sie wie folgt vor:

- Wechseln Sie in einer Windows 2000-Umgebung zur Systemsteuerung und wählen Sie "Regions- und Sprachoptionen". Stellen Sie auf der Registerkarte "Allgemein" die Option Gebietsschema auf die lokale Sprache ein (zum Beispiel "Chinesisch (VRC)).

- Wechseln Sie in einer Windows 2003-Umgebung zur Systemsteuerung und wählen Sie "Regions- und Sprachoptionen". Wählen Sie auf der Registerkarte "Regionale Einstellungen" die Option Chinesisch (VRC) und übernehmen Sie die Änderung.

- Legen Sie in einer SUSE Linux-Umgebung die Umgebungsvariable LANG folgendermaßen fest: export LANG=zh_CN

Diese Vorgehensweise gilt sinngemäß auch für alle anderen Sprachen.

7.4 Probleme bei der Anzeige des Inhalts von Emails in Sprachen mit Doppelbyte-Zeichensätzen

Wenn Identity Manager eine Email versendet, die Doppelbyte-Zeichen aus Sprachen wie Chinesisch oder Japanisch enthält, hat der Email-Client ein Problem beim Lesen dieser Emails. Wenden Sie sich bitte an den technischen Support von Novell, wenn dieses Problem auftritt.

8.0 Treiber für die Benutzeranwendung

In diesem Abschnitt werden Probleme, deren Umgehung und Empfehlungen für den Benutzeranwendungstreiber beschrieben.

8.1 VDX-Abfrage schlägt fehl, wenn der IDM-Benutzeranwendungstreiber eine Klammer enthält

Wenn der Treibername Ihrer Benutzeranwendung eine Klammer enthält, führt eine Suche zu einem Fehler wie beispielsweise

Error: javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis;

Vermeiden Sie Klammern in Treibernamen. Bei einer Suche wird eine Klammer im Treibernamen der Benutzeranwendung als Begrenzungszeichen interpretiert.

8.2 Benutzeranwendungstreiber erfordert Aktivierung

Wenn der Anwendungsserver heruntergefahren ist und Sie den aktivierten Benutzeranwendungstreiber neu starten, wird als Aktivierungsstatus des Treibers möglicherweise angegeben, dass eine Aktivierung erforderlich ist, obwohl die Berechtigungsnachweise für die Aktivierung des Treibers geladen wurden. Hierbei handelt es sich um ein bekanntes Problem. Um dieses Problem zu vermeiden und zu beheben, starten Sie den Benutzeranwendungstreiber, nachdem der Benutzeranwendungsserver gestartet und verfügbar ist.

8.3 Benutzeranwendungstreiber muss nach der Erstellung einer neuen Bereitstellungsanforderungsdefinition neu gestartet werden

Der Benutzeranwendungstreiber liest die Liste der Workflow-Attribute, wenn der Treiber gestartet wird. Wenn Sie eine neue Bereitstellungsanforderung definieren und sofort versuchen, eine Schemazuordnungsrichtlinie zu erstellen, werden die Attribute der neuen Bereitstellungsanforderungsdefinition nicht in der Liste der Anwendungsattribute angezeigt, nachdem Sie das Anwendungsschema aktualisiert haben. Der Benutzeranwendungstreiber muss neu gestartet werden, bevor die Bereitstellungsanforderungsdefinition zur Verfügung gestellt werden kann. Nachdem die neue Bereitstellungsanforderungsdefinition erstellt wurde, stoppen Sie den Benutzeranwendungstreiber und starten Sie ihn neu, bevor Sie die Bereitstellungsanforderungsdefinition in den Richtlinien verwenden. Alternativ dazu können Sie im Editor für Schemazuordnungsrichtlinien das Anwendungsschema zweimal aktualisieren.

9.0 JBoss-Anwendungsserver

In diesem Abschnitt werden Probleme der JBoss-Anwendung und deren Umgehung beschrieben.

9.1 Hinzufügen von JAVA_OPTS zu start-jboss.bat wird nicht erkannt

Wenn Sie unter Windows 2003 die Kommentare der Option JAVA_OPTS in der Datei start-jboss.bat entsprechend den Anmerkungen in der Stapeldatei entfernen, wird die Änderung beim Start ignoriert. Um diese Einstellung zu aktivieren, bearbeiten Sie die Einstellung JAVA_OPTS in der Datei run.bat.

9.2 Fehler bei Serializer analyzeBean

Bei der Anmeldung bei der Benutzeranwendung wird möglicherweise der folgende Fehler in der JBoss-Konsole angezeigt.

13:33:56,410 ERROR [STDERR] Dec 4, 2006 1:33:56 PM
com.metaparadigm.jsonrpc.Bean
Serializer analyzeBean
INFO: analyzing com.novell.ajax.juice.AjaxServiceResult

Ignorieren Sie diesen Fehler. Dies hängt mit einem unnötigen Aufruf von System.err.println in der JSONSerializer-Klasse zusammen. Es handelt sich hierbei um eine Komponente eines Fremdherstellers, die von Identity Manager verwendet wird.

9.3 Datei nproduct.log fehlt

In der JBoss-Konsole kann folgender Fehler auftreten:

INFO [STDOUT] Initialize Novell Audit...

ERROR [STDERR] Error writing to NAudit Log file:

/var/opt/novell/naudit/nproduct.log (No such file or directory)

[jlogevent]: Using primary Secure Log Server 164.99.26.214.

So beheben oder vermeiden Sie diesen Fehler und protokollieren Ereignisse im NovellAudit-Server (oder Sentinel*-Server) in Ihrer Linux/UNIX-Umgebung:

  1. Erstellen Sie den Pfad /var/opt/novell/naudit/ und gewähren Sie dem Benutzer, der die Identity Manager-Benutzeranwendung ausführt, Schreibrechte.

  2. Fügen Sie den folgenden Eintrag in die Datei /etc/logevent.conf ein:

    LogCachePort=<n> (wobei n > 1000)

    Beispiel: LogCachePort=1234

9.4 JGroups-Problem erfordert eine Aufrüstung auf JGroups 2.4.x

Es gibt ein Problem in der in JBoss 4.0.5 GA enthaltenen Version von JGroups (Version 2.2.7), das zu Leistungsproblemen in einer Cluster-Umgebung führen kann. Informationen zu diesem Problem finden Sie unter Deadlock - JBoss.org JIRA. Dieses Problem wurde in JGoups 2.4 behoben. Es wird empfohlen, dass Sie eine Aufrüstung auf JGroups 2.4 oder höher vornehmen und somit das unter JGRP-292 beschriebene Problem vermeiden.

Lesen Sie vor der Aufrüstung auf JGroups 2.4.x (oder vor dem Aufrüsten einer anderen Komponente in der JBoss-Installation) die Kompatibilitätsliste, die unter JBoss Application Server, JBossCache and JGroups Compatibility Matrix verfügbar ist.

Downloads und Informationen über JGroups finden Sie unter JGroups - The JGroups Project.

9.5 Ausnahme java.util.NoSuchElementException

Die Ausnahme java.util.NoSuchElementException kann auftreten, wenn die Benutzeranwendung in einem Cluster ausgeführt wird. Diese Ausnahme ist ein bekanntes Problem in JBoss und wurde in einer höheren Version behoben. Weitere Informationen finden Sie unter JBossCacheManager.findLocalSessions concurrency issue.

Hier ist ein Beispiel eines Stack-Traces, der bei diesem Problem auftritt:

2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)

9.6 Unterstützung von Zeichensatzkodierung und Tomcat

Standardmäßig ist der Zeichensatzkodierungsfilter der Benutzeranwendung in web.xml der Benutzeranwendung auf "Aktiviert" eingestellt. Für diese Einstellung ist üblicherweise keine bestimmte Konfiguration erforderlich. Wenn jedoch Tomcat für die URI-Kodierung konfiguriert ist, können Änderungen erforderlich sein. Bei der Konfiguration des Tomcat http/https-Anschlusses gibt es zwei Attribute, die die Zeichensatzkodierung und Filterkonfiguration beeinflussen: URIEncoding und useBodyEncodingForURI.

--URIEncoding

Dieser Eintrag gibt die Zeichensatzkodierung an, die zur Dekodierung der URI-Byte nach der %xx-Dekodierung der URL verwendet wird. Wenn nichts angegeben ist, wird ISO-8859-1 verwendet. Als Anforderung gilt, dass sowohl der HTTP- als auch der HTTPS-Anschluss die gleiche Konfiguration haben. Der Zeichensatzkodierungsfilter sollte so angepasst werden, dass er den Initialisierungsparameter für die URI-Kodierung enthält. Der Wert dieses Parameters sollte mit dem Wert des URIEncoding-Attributs der Tomcat-Anschlusskonfiguration übereinstimmen.

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>

<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>

--useBodyEncodingForURI

Dieser Eintrag legt fest, ob die in contentType angegebene Kodierung für URI-Abfrageparameter anstelle von URIEncoding verwendet werden soll. Diese Einstellung dient der Kompatibilität mit Tomcat 4.1.x, wobei die Kodierung in contentType angegeben oder explizit in der Request.setCharacterEncoding-Methode für die Parameter der URL festgelegt wird. Der Standardwert ist "false".

Wenn useBodyEncodingForURI auf "True" gesetzt ist, sollte die Filterkonfiguration den Initialisierungsparameter "use-body-encoding" enthalten. Beispiel:

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>

Weitere Details finden Sie auf der Website zur Tomcat-Anschlusskonfiguration

9.7 PermGen-Speicherplatzfehler

Der folgende Fehler kann bei der häufigen erneuten Bereitstellung der Benutzeranwendung (z. B. in der Entwicklungsphase) auftreten:

11:32:20,194 ERROR [[PortalAggregator]] Servlet.service() for servletPortalAggregator threw exceptionjava.lang.OutOfMemoryError: PermGen space

Zur Vermeidung dieser Fehlermeldung haben Sie folgende Möglichkeiten:

  • Starten Sie den JBoss-Server neu

  • Erhöhen Sie den Wert "PermSpace", indem Sie der Java Virtual Machine den Wert -XX:MaxPermSize (Beispiel -XX:MaxpermSize=128m) über JAVA_OPTS im start-jboss-Skript übergeben.

9.8 Cache-Fehler

Wenn die Benutzeranwendung so konfiguriert ist, dass sie Ereignisse an Novell Audit sendet, können gelegentlich nach dem Start des JBoss-Servers Meldungen wie die folgende an der JBoss-Konsole angezeigt werden:

03:53:08,625 INFO [STDOUT] CACHE ERROR>java.net.SocketTimeoutException: Read timed out03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.socketRead0(Native Method)03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.read(SocketInputStream.java:129)
03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.fill(BufferedInputStream.java:218) 03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.read(BufferedInputStream.java:235)03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.DataInputStream.readInt(DataInputStream.java:353)03:53:08,640 INFO [STDOUT] CACHE ERROR> at com.novell.naudit.lcache.ClientConnection.run(Unknown Source)

Diese Meldungen scheinen die Protokollierung in Novell Audit nicht zu beeinflussen. Sie können ignoriert werden.

10.0 iManager

In diesem Abschnitt werden Probleme mit iManager und deren Umgehung beschrieben.

10.1 Internet Explorer 7 fordert ständig Zugriff auf die Zwischenablage

In iManager und besonders im Richtlinien-Builder fordert Internet Explorer 7 Sie zum Zugriff auf die Zwischenablage auf. So deaktivieren Sie die Aufforderung:

  1. Klicken Sie auf Extras > Internetoptionen.

  2. Wählen Sie das Register Sicherheit und klicken Sie anschließend auf Stufe anpassen.

  3. Suchen Sie Scripting > Programmatischen Zugriff auf die Zwischenablage zulassen und wählen Sie Aktivieren.

    Nach dem Neustart von Internet Explorer wird keine Aufforderung mehr angezeigt.

10.2 iManager-Plugin-Fehler: Speichern des Treiberpassworts nicht möglich

Dieses Problem ist durch das Upgrade auf NMAS® 2.3.9 behoben.

10.3 iManager Plugin-Abhängigkeit für den Assistenten für NDS-zu-NDS-Treiberzertifikate

Wenn Sie den NDS-zu-NDS-Treiberzertifikat-Assistenten verwenden möchten, müssen Sie das iManager-Plugin für den Zertifikatsserver herunterladen und installieren.

10.4 Problem mit iManager-Aufgaben bei der Verwendung von Mobile iManager 2.6 unter SLED oder SLES 10

Bei der der Verwendung von Identity Manager 3.5-Plugins und Mobile iManager 2.6 kann iManager unerwartet beendet werden, wenn bestimmte Identity Manager-Aufgaben ausgewählt werden. Dieses Problem tritt wegen eines Fehlers im Javascript*-Handler des eingebetteten Mozilla-Browsers auf, der mit Mobile iManager unter Linux geliefert wird.

Umgehung dieses Problems:

  1. Starten Sie Mobile iManager und minimieren Sie ihn.

  2. Öffnen Sie Ihren unterstützten Browser und greifen Sie unter der folgenden Adresse auf iManager zu: http://localhost:48080/nps/iManager.html.

11.0 Passwortverwaltung

Dieser Abschnitt enthält Beschreibungen zu Problemen mit der Passwortverwaltung, deren Umgehung und Empfehlungen.

11.1 Begrenzte Unterstützung für mehrsprachige Herausforderungssätze

Die in Identity Manager 3.5 enthaltene Benutzeranwendung unterstützt die volle Verwendung von mehrsprachigen Herausforderungssätzen. Sie können diese Funktionalität über iManager konfigurieren und Sie können Passwortrichtlinien festlegen.

Wenn Sie den Novell Client™ 4.9.1 oder älter oder die Passwortverwaltung für Novell eDirectory verwenden, wird diese mehrsprachige Funktionalität noch nicht unterstützt. Sie sollten Benutzern keine Passwortrichtlinien zuweisen, wenn Sie Herausforderungssätze in mehr als einer Sprache definiert haben. Sie können beispielsweise Herausforderungssätze für Deutsch definieren, aber nicht für Deutsch und Französisch.

11.2 Fehler bei der Verwendung von selbst-signierten Zertifikaten und externe WAR für Verwaltung vergessener Passwörter

Wenn Sie selbst-signierte Zertifikate und die externe WAR für die Vewaltung vergessener Passwörter unter JBoss verwenden, kann folgende Ausnahme auftreten:

java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

Dies tritt auf, wenn die externe WAR für die Verwaltung vergessener Passwörter über SSL einen Web-Service aufruft, der in der Benutzeranwendung läuft (der im configupdate-Dienstprogramm als Feld "Link zurück zu 'Passwort vergessen'" definiert ist). Dieser Fehler tritt auf, wenn das Serverzertifikat nicht von CA verbürgt ist und das nicht verbürgte Zertifikat in den Herkunftsverbürgungsspeicher importiert wird.

Um diesen Fehler zu umgehen, müssen Sie ein verbürgtes Zertifikat vom JBoss SSL-Server, auf dem die Benutzeranwendung ausgeführt wird, anfordern. Anschließend sollten Sie es in das Verzeichns der JRE importieren, in dem JBoss das externe WAR für die Verwaltung vergessener Passwörter ausführt.

Der zu verwendende Befehl ist ähnlich dem Folgenden:

keytool -import -file trusted_cert_from_ua_server.cer -keystore cacerts -storepass changeit -alias extpwd_certs

11.3 Passwortrichtlinien sind nicht vererbbar

Passwortrichtlinien sind nicht vererbbar. Der Benutzeranwendungsadministrator muss einem Container, in dem Benutzer erstellt werden, die Passwortrichtlinie explizit zuweisen. Wenn dies nicht durchgeführt wird, kann es zu diesem Fehler führen.

Ungültige Anforderung für Secure Password Manager (SPM). Besteht das Problem weiterhin, wenden Sie sich an den Systemadministrator.

11.4 Umgeleitete Benutzer können Authentifizierungsprüfungen umgehen

Wenn ein Benutzer nach der Anmeldung umgeleitet wird, um das Passwort zu ändern oder eine Herausforderungsantwort einzugeben, kann er eine URL des Portals eingeben und die Authentifizierungsüberprüfungen bis zur nächsten Anmeldung umgehen.

11.5 Sensible Daten in einer Benutzersitzung werden nicht verschlüsselt

In dieser Version werden sensible Daten (beispielsweise das Anmeldungspasswort einer einmaligen Anmeldung) der Benutzersitzung nicht verschlüsselt. Dadurch können sensible Daten Netzwerkschnüfflern in die Hände fallen. Zum Schutz der sensiblen Daten, die in der Benutzersitzung temporär gespeichert werden und die während der Sitzungsreplizierung in einer Cluster-Umgebung über das Netzwerk übertragen werden können, müssen Sie einen der folgenden Schritte ausführen:

  • Aktivieren Sie die Verschlüsselung für JGroups. Informationen zur Aktivierung der JGroups-Verschlüsselung finden Sie unter JGroups-Verschlüsselung.

  • Stellen Sie sicher, dass sich der Cluster hinter einer Firewall befindet.

12.0 Dokumentation

In diesem Abschnitt werden zusätzliche Dokumentationsressourcen und Korrekturen an der IDM-Dokumentation beschrieben.

12.1 Zusätzliche Dokumentation ist unter JBoss-Setup verfügbar

Das Identity Manager 3.5 Benutzeranwendung Administrationshandbuch enthält einige Informationen zur Konfiguration von JBoss. Weitere Informationen zur Einrichtung von JBoss finden Sie unter den folgenden Quellen:

12.2 Aktivierung der einmaligen Anmeldung in Zubehör-Portlets

Ersetzen Sie unter Identity Manager 3.5 im Handbuch für die Zubehör-Portlets alle Anweisungen zur Aktivierung von Portlet-SSO durch folgende Vorgehensweise:

So aktivieren Sie das Portlet-SSO:

  1. Öffnen Sie in der Benutzeranwendung das Register "Administration" und wählen Sie Anwendungskonfiguration.

  2. Wählen Sie Passwortmodul - Setup > Anmeldung.

  3. Klicken Sie auf die Optionsschaltfläche zur Aktivierung von SSO.

12.3 Abschnitt 13.3 des IDM 3.5 Benutzeranwendung: Benutzerhandbuchs enthält Text an der falschen Stelle

In Abschnitt 13.3 von "IDM 3.5 Benutzeranwendung: Benutzerhandbuch" wird beschrieben, dass der Administrator für Bereitstellungsanwendungen die Möglichkeit hat, Delegiertenzuweisungen für alle Benutzer, Gruppen und Container in der Organisation zu definieren. Der Text ist richtig, befindet sich jedoch an der falschen Stelle im Buch. Er sollte unter Abschnitt 11.5 enthalten sein.

12.4 Benutzeranwendung: Benutzerhandbuch, Abschnitt 9.2

Der erste Absatz des Abschnitts 9.2 von IDM 3.5 Benutzeranwendung: Benutzerhandbuch sollte folgendermaßen lauten: "Standardmäßig wird nach Ihrer Anmeldung bei der Identity Manager-Benutzeroberfläche und der Auswahl der Registerkarte 'Anforderungen & Genehmigungen' die Seite 'Meine Aufgaben' angezeigt:"

13.0 Konventionen in der Dokumentation

In dieser Dokumentation trennt das Größer-als-Zeichen (>) Aktionen innerhalb eines Schritts und Elemente in einem Querverweispfad voneinander.

Novell Marken werden durch das entsprechende Markensymbol (®, TM usw.) dargestellt, während Marken von Drittanbietern durch ein Sternchen (*) kenntlich gemacht werden.

14.0 Rechtliche Hinweise

Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.

Novell, Inc. gibt ebenfalls keine Erklärungen oder Garantien in Bezug auf Novell-Software und schließt insbesondere jegliche ausdrückliche oder stillschweigende Garantie für handelsübliche Qualität oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.

Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten, und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen genannte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. Weitere Informationen zum Export von Novell-Software finden Sie im Internet unter www.novell.com/info/exports/. Novell übernimmt keine Verantwortung für das Nichteinholen notwendiger Exportgenehmigungen.

Copyright © 2007, Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.

Novell, Inc. besitzt gewerbliche Schutzrechte für die Technologie, die in dem in diesem Dokument beschriebenen Produkt integriert ist. Insbesondere, jedoch nicht beschränkt auf, können diese gewerblichen Schutzrechte eines oder mehrere der unter http://www.novell.com/company/legal/patents/ aufgeführten US-Patente und eines oder mehrere Patente oder zum Patent angemeldete Anwendungen in den USA und in anderen Ländern beinhalten.

Novell ist eine eingetragene Marke von Novell, Inc., in den USA und anderen Ländern.

SUSE ist eine eingetragene Marke von Novell, Inc., in den USA und anderen Ländern.

Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern