Fichier Lisezmoi de Novell Identity Manager 3.5

Dernière mise à jour le 19 mars 2007

Ce document contient les problèmes connus d'Identity Manager 3.5.

Table des matières

Pour d'autres documentations, reportez-vous à :

1.0 Configuration système requise pour Identity manager 3.5

Cette section décrit la configuration système requise pour Identity Manager 3.5 :

1.1 Systèmes d'exploitation pris en charge pour le serveur

Identity Manager 3.5 prend en charge les systèmes d'exploitation du serveur répertoriés dans le Tableau 1.

Tableau 1 Identity Manager 3.5 : systèmes d'exploitation pris en charge pour le serveur

SE du serveur

SE 32 bits sur processeur 32 bits

SE 32 bits sur processeur 64 bits

SE 64 bits sur processeur 64 bits

NetWare® 6.5 SP6

oui

oui

N/A

OES 1.0 NetWare

oui

oui

N/A

Windows* NT

oui

oui

N/A

Serveur Windows 2000

oui

oui

N/A

Windows Server 2003

oui

oui

Dans cette version, la synchronisation des mots de passe est prise en charge, mais d'autres composants, notamment le moteur méta-annuaire, ne le sont pas.

Red Hat* Linux* AS 3.0

oui

oui

N/A

Red Hat Linux AS 4.0

oui

oui

oui

SLES 8

oui

oui

oui

SLES 9

oui

oui

oui

SLES 10

N/A

oui

oui

OES 1.0 Linux

oui

oui

N/A

Solaris* 9

N/A

N/A

oui

Solaris 10

N/A

N/A

oui

AIX* 5.2L

N/A

N/A

oui

AIX 5.3

N/A

N/A

oui

Processeurs 32 bits pour les systèmes d'exploitation Linux (Red Hat et SLES), NetWare et Windows :

  • Intel* x86-32

  • AMD* x86-32

Processeurs 64 bits pour les systèmes d'exploitation Linux (Red Hat et SLES), NetWare et Windows :

  • Intel EM64T

  • AMD Athlon64

  • AMD Opteron*

1.2 Plates-formes de moteur de méta-annuaire

Identity Manager 3.5 prend en charge les plates-formes de moteur méta-annuaire suivantes :

  • NetWare 6.5  avec le SP le plus récent (avec eDirectory™ 8.7.3 ou 8.8.1)

  • OES 1.0 NetWare SP2 (avec eDirectory 8.7.3 ou 8.8.1)

  • Windows NT* (avec eDirectory 8.7.3, 8.8 SP2 ou le chargeur distant)

  • Windows 2000 Server SP (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • Windows Server 2003 SP (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • Red Hat Linux AS 3.0 (avec eDirectory 8.7.3, 8.8 ou le chargeur distant)

  • Red Hat Linux AS 4.0 édition 64 bits (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • SLES 8 (avec eDirectory 8.7.3 ou le chargeur distant)

  • SLES 9 (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • SLES 10 (avec eDirectory 8.8.1 ou le chargeur distant) (la virtualisation Xen* n'est pas disponible)

  • OES 1.0 Linux (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • Solaris 8 (avec eDirectory 8.7.3 ou le chargeur distant) (eDirectory 8.8.x n'est pas pris en charge sous Solaris 8)

  • Solaris 9 (avec eDirectory 8.7.3, 8.8.1, ou le chargeur distant)

  • Solaris 10 (avec eDirectory 8.8.1 ou le chargeur distant)

  • AIX 5.2L (avec eDirectory 8.7.3, 8.8.1 ou le chargeur distant)

  • AIX 5.3 (avec eDirectory 8.8.1 ou le chargeur distant) - IDM 3.5 sera validé sur AIX 5.3 après les livraisons d'eDirectory 8.8.2

Les conditions supplémentaires de la prise en charge sont les suivantes :

  1. IDM 3.5 prend en charge deux fonctions d'eDirectory 8.8.x :

    • Multi-instance

    • Attributs codés

  2. IDM 3.5 ne prend pas en charge les instances d'eDirectory installées dans le mécanisme d'installation non-root.

1.3 Java

Identity Manager 3.5 nécessite les éléments suivants qui ne figurent pas sur le média :

1.4 Plates-formes du serveur d'administration

Le serveur d'administration, iManager 2.6, nécessite l'une des plates-formes suivantes :

  • NetWare 6.5

  • OES 1.0 SP2 sur NetWare

  • Windows 2000 Server SP4

  • Windows Server 2003

  • Windows XP Professional SP2 (poste de travail iManager seulement)

  • Red Hat Linux AS 3.0

  • Red Hat Linux AS 4.0 édition 64 bits (eDirectory 8.8.1 prend en charge Red Hat Linux AS 4.0 64 bits)

  • Poste de travail Red Hat Enterprise Linux (poste de travail iManager seulement)

  • SLES 9 SP2

  • SLES 10 (Code 10)

  • SUSE® Linux 9.1 (poste de travail iManager seulement)

  • SUSE Linux 9.3 (poste de travail iManager seulement)

  • OES 1.0 SP2 sur Linux

  • Solaris 9

  • Solaris 10

1.5 Novell Audit

Identity Manager 3.5 prend en charge Novell® Audit 2.0.2.

1.6 Navigateurs pris en charge

Les navigateurs suivants sont pris en charge dans Identity Manager (plug-ins iManager et application utilisateur) :

  • Internet Explorer 6 SP1

  • Internet Explorer 7

  • Firefox* 2

1.7 Plates-formes des serveurs d'application

Les plates-formes des serveurs d'application suivantes sont prises en charge :

  • SLES 9 SP2

  • SLES 9 SP2 (inclus dans OES SP2)

  • OES 1.0

  • SLES 10

  • Windows 2000 Server

  • Windows Server 2003

  • Solaris 10

1.8 Plates-formes des bases de données

Les bases de données prises en charge sont les suivantes :

  • MySQL* 5.0.x
  • Oracle* 9i
  • Oracle 10g
  • MS SQL 2005

2.0 Installation d'Identity Manager

La section suivante décrit les informations d'installation, les problèmes connus et les solutions possibles.

2.1 L'installation du GUI échoue sur Solaris 9 et 10 lorsqu'on utilise eDirectory 8.8.1

L'installation du GUI échoue sur Solaris 9 et 10 lorsqu'on utilise eDirectory 8.8.1. Les solutions sont les suivantes :

  • Exécutez le programme d'installation basé sur le texte.

  • Utilisez eDirectory 8.8.2, qui contient le correctif de ce problème.

2.2 L'utilisation de caractères spéciaux dans les mots de passe provoque un problème d'extension du schéma au cours de l'installation

Si le mot de passe du compte d'installation d'Identity Manager contient des caractères spéciaux, il se peut que l'extension du schéma échoue. Vous devez effectuer l'installation avec un autre compte ou modifier le mot de passe.

2.3 Impossible d'installer Identity Manager sur Linux si le chemin d'accès source contient un espace

Si vous copiez le répertoire d'installation Linux dans un emplacement qui contient un espace dans le chemin d'accès, l'installation échoue lorsque vous exécutez install.bin. Nous déconseillons d'utiliser des espaces dans les chemins d'accès des répertoires.

2.4 Le programme d'installation perd parfois du texte sur le tableau de bord de configuration de l'application utilisateur

Dans de très rares cas, le texte associé à certaines options du tableau de bord de configuration de l'application utilisateur peut disparaître lorsque le tableau de bord est relancé.

Si vous suivez les étapes ci-dessous, ce problème peut survenir :

  1. Exécutez IdmUserApp.exe pour installer l'application utilisateur.

  2. Terminez l'installation JBOSS-MYSQL, puis passez à l'installation d'Identity Manager.

  3. Dans le tableau de bord de configuration de l'application utilisateur, fournissez les informations requises, puis cliquez sur OK.

  4. Dans la fenêtre de résumé, cliquez sur Précédent pour revenir à la fenêtre précédente.

  5. Cliquez sur Suivant dans la fenêtre pour relancer le tableau de bord.

Lorsque le tableau de bord s'affiche une seconde fois, il se peut que les champs de saisie n'apparaissent pas. Ce problème n'a été reproduit que sur une machine Dell* Optiplex* GX260 dotée de 1 Go de RAM.

2.5 Démarrage de l'utilitaire configupdate dans une installation automatique

Si vous démarrez une installation automatique à distance, l'utilitaire configupdate tente de démarrer un mode GUI et échoue ; un message Headlessexception est alors généré. Pour éviter ce problème, ajoutez

-use_console true

à la commande pour exécuter le script configupdate.

2.6 Le script configupdate échoue après l'ajout de fichiers au WAR

Le script configupdate.sh échoue après l'ajout manuel de fichiers personnalisés à un fichier IDM.war, si ce fichier WAR a été créé avec le binaire jar dans /usr/bin/jar distribué dans SLES 9. L'erreur est la suivante :

DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)

Pour résoudre ou éviter ce problème, utilisez une version plus récente du jar pour créer le fichier WAR, comme dans l'exemple suivant : /usr/lib/java/bin/jar -cvf IDM.war *

2.7 Échec de configuration de la mise en grappe

Le message d'avertissement suivant peut apparaître lorsque vous démarrez l'application utilisateur avec la configuration du serveur JBoss par défaut :

WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException

Si vous choisissez la configuration par défaut (noeud unique) au cours de l'installation de l'application utilisateur, vous pouvez ignorer ce message. Ce message provient du serveur d'application JBoss. Il indique que, bien que l'application utilisateur Identity Manager peut prendre en charge la mise en grappe, la configuration du serveur d'application que vous avez choisie ne prend pas en charge cette mise en grappe.

2.8 Installation du serveur d'application JBoss et de MySQL

MySQL et le serveur d'application JBoss sont installés dans le cadre d'une procédure distincte, indépendante de celle de l'installation de l'application utilisateur.

La procédure d'installation de l'application utilisateur n'installe pas MySQL ou le serveur d'application JBoss. Cela s'applique à toutes les procédures d'installation de l'application utilisateur : GUI, console et automatique. La procédure d'installation de l'application utilisateur présente des options qui permettent de configurer l'application utilisateur pour utiliser MySQL et JBoss.

La procédure d'installation du serveur d'application MySQL et JBoss dans une session SSH (Secure Shell) n'est pas prise en charge. Une tentative d'installation de MySQL et de JBoss dans une session SSH produit l'erreur suivante :


Invocation of this Java Application has caused an InvocationTargetException. This application will now exit. (LAX) Stack Trace: java.awt.HeadlessException: No X11 DISPLAY variable was set, but this program performed an operation which requires it. at java.awt.GraphicsEnvironment.checkHeadless(Unknown Source) at java.awt.Window.<init>(Unknown Source) at java.awt.Frame.<init>(Unknown Source)

2.9 Installation de MySQL en tant que service

Sur les systèmes Windows, vous pouvez choisir d'exécuter MySQL en tant que service Windows, afin qu'il démarre et s'arrête automatiquement lors du démarrage et de l'arrêt de Windows. L'utilitaire Novell permettant l'installation de MySQL n'offre pas cette option. En revanche, la procédure d'installation de MySQL offre cette option : pour plus d'informations, reportez-vous à http://dev.mysql.com/doc/refman/5.0/en/windows-start-service.html.

3.0 Configuration d'une base de données pour l'application utilisateur

Cette section décrit les exigences de configuration de votre base de données pour l'utiliser avec l'application utilisateur.

3.1 La base de données doit utiliser le codage Unicode du jeu de caractères

L'application utilisateur nécessite que le jeu de caractères de la base de données utilise le codage Unicode. Ainsi, UTF-8 est un exemple de jeu de caractères qui utilise le codage Unicode, alors que Latin1 n'utilise pas le codage Unicode. Avant d'installer l'application utilisateur, vérifiez que votre base de données est configurée avec un jeu de caractères utilisant le codage Unicode.

3.2 Configuration d'une base de données MySQL pour l'application utilisateur

  1. Installez votre serveur MySQL. Éventuellement, définissez le jeu de caractères UTF-8 pour le serveur complet.

  2. Créez votre base de données et définissez le jeu de caractères. Modifiez le fichier de configuration mysql ( my.ini sous Windows, ou my.cnf sous Linux). Définissez les valeurs suivantes :

    character_set_server=utf8default-table-type=innodb
    
  3. Créez un utilisateur devant se loguer au serveur MySQL et accordez-lui des privilèges, par exemple

    GRANT ALL PRIVILEGES ON <dbname.>* TO <nomd'utilisateur>@ <hôte> IDENTIFIED BY ‘ password'

    L'ensemble minimum de privilèges est CREATE, INDEX, INSERT, UPDATE, DELETE et LOCK TABLES. Pour obtenir des informations sur la commande GRANT, reportez-vous à http://www.mysql.org/doc/refman/5.0/en/grant.html.

  4. Vous pouvez augmenter les valeurs suivantes dans la configuration MySQL pour améliorer les performances de la base de données lorsqu'un grand nombre d'utilisateurs simultanés effectuent des activités de workflow :

    • table_cache
    • sort_buffer_size
    • innodb_buffer_pool_size
    • Innodb_log_file_size
    • innodb_log_buffer_size

3.3 Les caractères ne s'affichent pas correctement dans l'interface utilisateur

Si vous constatez que les caractères de l'interface utilisateur ne s'affichent pas correctement, vérifiez que votre base de données prend en charge le jeu de caractères UTF-8.

Pour déterminer le jeu de caractères d'une base de données MySQL :

  1. Exécutez MySQL Administrator sur votre serveur MySQL.

  2. Choisissez Variables de démarrage >Avancé.

  3. Déterminez si le jeu de caractères par défaut est utf8.

Si le jeu de caractères n'est pas utf8, modifiez le fichier de configuration MySQL (my.ini sous Windows ou my.cnf sous Linux). Définissez les valeurs suivantes :

character_set_server=utf8default-table-type=innodb

Reportez-vous également aux instructions sur la configuration du jeu de caractères de la base de données de la section Installation de l'application utilisateur dans le Guide d'installation d'Identity Manager 3.5.

3.4 Configuration d'une base de données Oracle pour l'application utilisateur

  1. Créez votre serveur Oracle et utilisez AL32UTF8 pour spécifier un jeu de caractères utilisant le codage Unicode. (Reportez-vous à AL32UTF8.)

  2. Création d'un utilisateur. (Cela crée automatiquement une base de données). Utilisez les instructions suivantes avec l'utilitaire SQL. Ces instructions créent l'utilisateur et définissent ces privilèges, par exemple

    CREATE USER idmuser IDENTIFIED BY password
    
    GRANT CONNECT, RESOURCE to idmuser
    

    Accordez à l'utilisateur les privilèges suivants :

    • CONNECT
    • RESOURCE
    • CREATE SEQUENCE
    • CREATE TABLE
    • CREATE VIEW

3.5 Configuration d'une base de données MS SQL Server pour l'application utilisateur

  1. Installez MS SQL Server.

  2. Connectez-vous au serveur et ouvrez une application pour créer la base de données et l'utilisateur de la base de données (généralement l'application SQL Server Management Studio).

  3. Créez une base de données.

    SQL Server ne permet pas aux utilisateurs de sélectionner le jeu de caractères des bases de données. L'application utilisateur IDM stocke les données des caractères SQL Server dans des types de colonne NCHAR, NVARCHAR ou NTEXT, qui prennent en charge UTF-8.

  4. Créez un login.

  5. Ajoutez le login en tant qu'utilisateur de la base de données.

  6. Accordez ces privilèges au login : CREATE TABLE, CREATE INDEX, SELECT, INSERT, UPDATE et DELETE.

4.0 Application utilisateur : interface utilisateur

Cette section décrit les problèmes et les solutions de l'interface de l'application utilisateur.

4.1 EboSecurityException en tentant de configurer un utilisateur disponible lorsqu'une assignation a été créée par l'administrateur

Un gestionnaire d'équipe peut rencontrer une exception de sécurité lorsqu'il tente de configurer un utilisateur disponible. Cela se produit lorsqu'il existe des assignations de délégué qui n'ont pas été créées par le gestionnaire d'équipe mais par l'administrateur, mais aussi lorsque le gestionnaire d'équipe tente de définir un membre de l'équipe disponible en utilisant Modifier l'état Disponible pour TOUTES les requêtes.

Pour contourner ce problème, le gestionnaire d'équipe doit supprimer chaque paramètre de disponibilité de l'équipe individuellement. Cela permet de supprimer chaque membre comme si l'on utilisait l'option déroulante.

4.2 Erreur d'entrée en double 'Welcome_IdentityMgrIntroMessagePortlet' for key 1" lors de la soumission des workflows

Si vous rencontrez l'erreur suivante :

2007-01-19 14:08:17,805 ERROR [org.hibernate.util.JDBCExceptionReporter:error]Duplicate entry 'Welcome_IdentityMgrIntroMessagePortlet' for key 12007-01-19 14:08:17,811 ERROR

La seule action requise consiste à rafraîchir votre navigateur. Cette erreur se produit rarement, du fait d'un problème de concurrence, lorsqu'un ou plusieurs utilisateurs demandent la même page ou le même portlet simultanément, sur un serveur venant de démarrer. Les portlets sont enregistrés aux cours de la requête initiale du portlet, de sorte qui plusieurs requête se produisent simultanément, l'infrastructure du portail tente d'exécuter plusieurs enregistrements, ce qui provoque l'erreur de données en double ci-dessus.

4.3 Portlet de liste de recherche : recherches sur des attributs à valeur multiple

Si des utilisateurs effectuent une recherche négative (par exemple ne contient pas) sur un attribut à valeur multiple , elle ne renvoie l'objet que si aucune des valeurs de l'objet ne correspond ; elle ne le renvoie pas si n'importe quelle valeur satisfait le critère. Par exemple, vous décidez de rechercher les utilisateurs dont le numéro de téléphone ne comporte pas les chiffres 203. Si l'utilisateur1 a deux numéros de téléphone dont l'un comporte 203, l'utilisateur1 n'est pas renvoyé par cette recherche. Pour les recherches positives (par exemple starts-with ou contains) d'attributs à valeur multiple, la recherche renvoie un objet si l'une quelconque des valeurs de cet attribut satisfait ce critère. Par exemple, la recherche d'utilisateurs dont le numéro de téléphone contient 203 renverra l'utilisateur1.

4.4 L'adresse postale du domicile ne s'affiche pas correctement dans l'application utilisateur

Si vous renseignez l'adresse postale du domicile d'un utilisateur dans iManager à l'aide de l'onglet Autre, la vue de l'application utilisateur de cette adresse contient des caractères supplémentaires (séparateurs). Ce problème est connu. L'application utilisateur Identity Manager 3.5 ne prend actuellement pas en charge la syntaxe de l'adresse postale (0.9.2342.19200300.100.1.39).

4.5 Une demande de ressource soumise de façon anonyme génère des exceptions sur la page Mes tâches

Si un utilisateur soumet une demande de ressource de façon anonyme, il se peut qu'une exception soit générée sur le serveur. Cette exception peut se produire si l'utilisateur est logué en tant qu'approbateur. Lorsque l'utilisateur sélectionne Mes tâches, l'exception suivante peut se produire sur le serveur :

08:04:32,640 INFO [LogEvent] [Workflow_Started] Initiated by GUEST_UID, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreat eNewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID, Secondary User: null 08:04:33,109 INFO [LogEvent] [Workflow_Forwarded] Initiated by System, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreate NewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID 08:05:02,468 ERROR [VirtualDataAccess] Ldap error getting attributes for object: GUEST_UID. Error: javax.naming.InvalidNameException: GUEST_UID: [LDAP : error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID' javax.naming.InvalidNameException: GUEST_UID: [LDAP: error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID'...

Si vous créez un compte invité, cette erreur ne devrait pas se produire.

4.6 Espaces et traits de soulignement dans les chaînes de login

eDirectory traite les traits de soulignement comme des espaces. eDirectory ignore les espaces au début et à la fin des recherches qui lui sont soumises. C'est pourquoi il est possible de se loguer en tant que l'utilisateur 'amiller', en utilisant le nom d'utilisateur ' amiller ' ou '_amiller' ou 'amiller_', voire même '______amiller______'. Ce comportement concerne eDirectory et ne constitue pas un problème dans Identity Manager. Cela est documenté dans https://support.novell.com/KanisaPlatform/Publishing/463/3656313_f.SAL_Public.html.

4.7 Évitez d'utiliser le signe deux points (:) dans des attributs à valeur multiple

L'utilisateur d'un signe deux points (:) dans un attribut à valeur multiple ou dans la description de l'attribut produit une erreur LDAP lors de la mise à jour de l'objet. L'application utilisateur Identity Manager utilise un signe deux points comme séparateur lors de la décompression des valeurs pour un attribut à valeur multiple. La solution consiste à éviter d'utiliser le signe deux points lorsque vous spécifiez des attributs à valeur multiple et leurs descriptions.

4.8 Les barres obliques inverses dans les noms d'entités sont multipliées

Si vous créez une entité telle qu'un utilisateur dans l'application utilisateur et si vous incluez une barre oblique inverse dans son nom, cette barre oblique inverse est multipliée dans le dn complet ; par exemple myusername\ devient mysusername\\\.

La solution consiste à éviter d'utiliser des barres obliques inverses dans les noms d'entités.

4.9 Impossible de se connecter simultanément en tant que deux utilisateurs différents dans Firefox

Dans l'application utilisateur, si vous vous connectez en tant qu'utilisateur A en utilisant un navigateur de la famille Mozilla (Firefox*, Netscape* ou Mozilla*), puis si vous ouvrez une autre instance du navigateur (du même type) en vous connectant en tant qu'utilisateur B, il se peut que des informations concernant l'utilisateur B s'affichent quand vous revenez à la première instance du navigateur. En effet, les instances du navigateur partagent (et remplacent) le même cookie. Ce comportement est spécifique aux navigateurs de la famille Mozilla ; il ne se produit pas avec Internet Explorer.

4.10 L'utilisation de l'éditeur HTML d'organigrammes dans Firefox provoque des exceptions

Il se peut que des exceptions se produisent dans le cadre d'opérations Couper, Coller ou Copier de Firefox lorsque vous utilisez l'éditeur HTML dans les préférences d'Orgchart. Mozilla ne permet en effet pas aux scripts d'accéder au Presse-papiers pour des raisons de sécurité. Il ne comporte donc pas de bouton Couper, Copier ou Coller.

Dans Firefox, vous pouvez télécharger une extension nommée Assistant Accès au Presse-papiers ; pour cela, sélectionnez Outils > Modules complémentaires pour être dirigé vers le site Web de téléchargement des modules complémentaires.

Après l'avoir téléchargé, l'assistant Accès au Presse-papiers est accessible via le menu Outils de Firefox.

Ouvrez-le, saisissez l'adresse du serveur auquel vous voulez accorder l'accès au Presse-papiers, puis cliquez sur Permettre. Vous pouvez ajouter autant de sites Web que vous le souhaitez. Fermez tous les navigateurs Firefox, puis redémarrez Firefox. les opérations Couper/Copier/Coller doivent fonctionner dans Firefox.

4.11 Les caractères spéciaux dans l'application utilisateur doivent être précédés d'un caractère d'échappement

L'application utilisateur prend en charge les mêmes caractères qu'iManager. Pour plus d'information sur les caractères d'échappement devant précéder les caractères spéciaux, reportez-vous à la documentation d'iManager consacrée aux Caractères spéciaux.

4.12 Se loguer sans s'être d'abord délogué peut produire l'échec du login

Lorsqu'un utilisateur est logué dans l'application utilisateur, charge le portlet ou la page de login à partir d'un signet ou de l'historique, puis tente de se loguer de nouveau, le second login ne configure pas correctement la nouvelle session du portail. Cela peut provoquer l'échec de la seconde tentative de login. La solution à ce problème consiste à toujours utiliser le lien de logout avant de se loguer.

5.0 Application utilisateur : administration

Cette section décrit les problèmes et les solutions d'administration de l'application utilisateur.

5.1 Le délai de connexion du moteur de workflow peut être dépassé de façon précoce dans une grappe

Les modifications apportées à l'intervalle et au facteur de heartbeat lorsqu'un serveur de la grappe est arrêté peut provoquer le dépassement prématuré du délai de connexion du workflow de ce serveur après le démarrage. Le redémarrage de l'ensemble des serveurs de la grappe corrige ce problème.

5.2 L'enregistrement des paramètres dans l'utilitaire configupdate ne fonctionne pas comme prévu

Si vous utilisez le tableau de bord Options avancées de l'utilitaire configupdate pour personnaliser des paramètres par défaut, vos paramètres ne sont pas enregistrés si vous cliquez sur Masquer les options avancées avant de cliquer sur OK. La solution à ce bogue consiste à cliquer sur OK sans sélectionner Masquer les options avancées.

5.3 Utilisez le bouton Parcourir pour sélectionner le pilote de l'application de provisioning dans l'utilitaire configupdate

Si vous saisissez le nom du pilote de l'application de provisioning dans l'utilitaire configupdate, vous pouvez utiliser une casse incorrecte lorsque vous indiquez le nom de l'objet. Pour vous assurer que vous indiquez le nom avec les majuscules et le minuscules appropriées, utilisez le bouton Parcourir situé à droite du champ de saisie pour rechercher et sélectionner le pilote de l'application de provisioning.

5.4 Les utilisateurs de Linux peuvent rencontrer une erreur indiquant que trop de fichiers sont ouverts

Linux autorise 1 024 fichiers ouverts par processus mais l'application utilisateur en nécessite souvent davantage. Novell suggère d'accroître le nombre de fichiers ouverts à 4 096 pour éviter cette erreur.

Utilisez la commande ulimit pour augmenter le nombre de fichiers ouverts. Il existe un certain nombre de restrictions concernant ulimit pour les utilisateurs non-root, mais voici un exemple d'utilisation de la commande ulimit pour accroître le nombre de fichiers ouverts à 4 096 pour un utilisateur non-root :

  1. Connectez-vous sous l'ID d'utilisateur root.

  2. Modifiez le fichier /etc/security/limits.conf. Ajoutez une entrée pour l'utilisateur nommé smith et autorisez la valeur nofile jusqu'à 4 096 :

    smith hard nofile 4096
    
  3. Loguez-vous en tant que l'utilisateur smith et indiquez 4 096 pour la commande ulimit -n. Vous pouvez émettre de nouveau la commande sans argument pour voir la valeur actuelle :

    smith@myhost:~> ulimit -n 4096smith@myhost:~> ulimit -n

  4. Vous pouvez spécifier ulimit dans l'environnement utilisateur ou le script start-jboss afin que la nouvelle valeur soit toujours utilisée.

5.5 Les portlets GroupWise de l'application utilisateur ne fonctionnent pas avec les versions Linux d'Access Manager Version 3.0.

Les portlets GroupWise de l'application utilisateur IDM Version 3.5 ne fonctionnent pas avec les versions Linux d'Access Manager Version 3.0. Il s'agit d'un bogue connu. Les portlets GroupWise de l'application utilisateur IDM Version 3.5 ne fonctionnent pas avec la version NetWare d'Access Manager Version 3.0, version intermédiaire 1.

5.6 L'écran de configuration de la consignation affiche un message déroutant lorsque l'activation de la consignation dans Novell Audit échoue

Dans l'application utilisateur, si un administrateur sélectionne d'envoyer également les messages de consignation à Novell Audit dans la page Consignation de l'onglet Administration, mais si le serveur Audit ne fonctionne pas, il se peut que vous receviez un message déroutant. Lorsque le serveur Audit ne fonctionne pas, l'application utilisateur ne trouve pas le cache Audit. Cela signifie que la consignation dans Novell Audit n'est pas activée et que la case n'est pas cochée (comme prévu) une fois que vous avez soumis la requête. Toutefois, le message affiché en haut de la page indique Les changements de consignation ont été mis à jour. Ce message doit indiquer que la consignation dans Novell Audit n'a pas été activée et doit également expliquer la cause du problème.

5.7 L'administrateur de provisioning ne peut pas vérifier l'état lorsqu'un workflow utilise des Membres de provision du flux unique et lorsque le destinataire est un groupe

Lorsqu'un administrateur de provisioning utilise un workflow défini avec la stratégie Membres de provision du flux unique pour demander une ressource d'équipe pour un groupe, la page Requêtes de l'équipe n'autorise pas l'administrateur de provisioning à vérifier l'état de la requête. Cela vient du fait que la page Requêtes de l'équipe ne permet de sélectionner que des membres individuels de l'équipe et non des groupes.

La solution à ce problème consiste à utiliser des critères de recherche pour filtrer les requêtes sur la page Requêtes de l'équipe. Par exemple, vous pouvez rechercher des requêtes dans lesquelles l'administrateur est l'initiateur, puis indiquer une période et une catégorie de requête.

5.8 Notifications non envoyées pour une requête soumise à l'aide d'un utilisateur invité

Il se peut que les notifications ne soient pas envoyées pour les requêtes soumises à l'aide d'un utilisateur lorsqu'il s'agit de définitions de requête créées à l'aide de modèles de définition dans lesquels les paramètres par défaut n'ont pas été modifiés. L'erreur est consignée sur la console du serveur d'application.

Le comportement par défaut des modèles de requête consiste à envoyer une notification de fin à l'initiateur de la requête. Si vous utilisez l'UID de l'invité et si celui-ci n'est pas associé à un compte invité, l'évaluation de l'adresse électronique échoue, ce qui se traduit par le fait que le message électronique n'est pas envoyé et que l'erreur est consignée dans la console du serveur d'application.

Pour terminer la configuration de la notification, vous pouvez :

  • Associer l'UID de l'invité à un compte. Pour obtenir des instructions, reportez-vous à la section consacrée à l'activation de l'accès anonyme ou de l'accès invité à l'application utilisateur dans le Guide d'administration de l'application utilisateur Identity Manager 3.5.

  • Ajouter un champ de saisie de formulaire qui spécifie une adresse électronique à laquelle le message de confirmation est envoyé, si vous envisagez d'autoriser un UID d'invité à soumettre une requête. Enregistrez l'adresse électronique de confirmation dans le document des données de flux. Modifiez le courrier de l'activité d'achèvement pour utiliser l'adresse électronique enregistrée pour le mappage TO.

Vous pouvez également désactiver la notification pour la définition de la requête.

5.9 Portlet de fichier réseau NoClassDefFoundError

Une erreur NoClassDefFoundError pour le portlet de fichier réseau indique que le portlet n'a pas trouvé le fichier d'archive njclv2r. Pour résoudre ce problème :

  • Copiez le fichier novell-njcl-devel-2006.02.22-..... approprié pour votre système à partir de http://developer.novell.com/wiki/index.php/Njclc

  • Ajoutez le fichier d'archive njcl.jar au répertoire WEB-INF/lib dans le fichier d'archive Web (WAR) de l'application utilisateur. WEB-INF/lib se trouve sous le répertoire de déploiement de votre serveur d'application JBoss. Ce répertoire est généralement jboss/server/APP_NAME/deploy.

5.10 Initialisation réussie des workflows par le proxy

Pour démarrer un workflow par un proxy, toutes les conditions suivantes doivent être respectées :

  • L'utilisateur mandataire doit également être un administrateur de l'application utilisateur.

  • L'administrateur de l'application utilisateur doit être autorisé à utiliser le workflow.

  • L'administrateur de l'application utilisateur doit être le mandataire de la personne devenant l'initiateur.

  • Le paramètre du pilote de l'application utilisateur nommé Autoriser Remplacer l'initiateur doit être défini sur Oui.

Comme toujours, pour tout travail de l'application utilisateur, pas seulement pour les workflows du mandataire, l'utilisateur du pilote de l'application utilisateur doit être un administrateur de l'application utilisateur.

5.11 Limitation des droits du compte

Pour des raisons de sécurité, nous recommandons de limiter les comptes administrateur et invité LDAP à l'ensemble minimum des droits requis pour remplir les rôles respectifs qui leur sont dévolus. Lorsque vous assignez les rôles suivants dans l'application utilisateur (au cours de l'installation, ou avec l'utilitaire configupdate après l'installation), indiquez un compte utilisateur du Coffre-fort d'identité séparé pour chaque :

  • Administrateur LDAP

  • Invité LDAP (si vous en utilisez)

  • Administrateur de l'application utilisateur

  • Administrateur de l'application de provisioning

5.12 Le bouton Parcourir provoque la défaillance de l'utilitaire configupdate sous Windows

Le bouton Rechercher des fichiers de l'utilitaire configupdate provoque parfois le crash de JVM sous Windows XP SP2. Pour résoudre ce problème, saisissez le nom de chemin complet du fichier plutôt que d'utiliser le bouton Rechercher des fichiers.

5.13 Le portlet d'accessoire de fichier réseau a un nouvelle préférence

Le portlet d'accessoire de fichier réseau a ajouté la nouvelle préférence ShortcutsUseFullyQualifiedPath. Si cela est vrai, les raccourcis que vous indiquez dans la préférence Raccourcis doivent contenir des chemins d'accès entièrement qualifiés. Si cela est faux, les raccourcis que vous indiquez dans la préférence Raccourcis doivent contenir des chemins d'accès relatifs au répertoire InitialDirectory. Sélectionnez Faux si les utilisateurs doivent naviguer uniquement dans les sous-répertoire du chemin d'accès.

5.14 Quitter votre session de portlet d'accessoires NetStorage

Pour terminer votre session NetStorage et fermer l'accès aux fichiers que vous avez utilisés, cliquez sur le bouton logout dans l'interface Web de NetStorage.

5.15 Certificat requis pour l'authentification

Les informations suivantes sur les certificats s'appliquent aux portlets GroupWise® Mail, Mail/Calendar et Web Access.

Il se peut que l'installation d'un certificat soit nécessaire dans le JVM en cours d'exécution. Sinon, lorsque le client HTTP tente de se connecter, vous recevez une exception SSL et non un certificat approuvé.

Pour que l'authentification de l'utilisateur fonctionne, la séquence suivante doit se produire :

  1. Dans un navigateur, loguez-vous à votre serveur GroupWise.

  2. Double-cliquez sur l'icône de verrou dans l'angle inférieur droit.

  3. Sélectionnez l'onglet Détails, cliquez sur Copier vers un fichier, uis sur Suivant.

  4. Sélectionnez Base64, puis cliquez sur Suivant.

  5. Indiquez le nom du fichier. Cliquez sur Suivant, puis sur Terminer.

  6. Accédez au jre/bin que vous utilisez et saisissez la commande suivante : keytool -import -trustcacerts -file drive:\folder\ cert_file_name - keystore ../lib/security/cacerts

L'URL utilisée pour se connecter à GroupWise WebAccess doit être spécifiée dans la valeur de préférence URL complète vers GroupWise WebAccess du portlet. À l'aide de cette URL, un appel est effectué vers /servlet/webacc pour authentifier l'utilisateur. Cela s'effectue via SSL par l'intermédiaire d'un client commons-HTTP.

Lors d'un login valide, /servlet/webacc renvoie User.context=kjshgfdgjsgdf (où kjshgfdgjsgdf = la valeur de la session GroupWise). Cela est placé sur UsersPortletSession pour la consommation ultérieure et l'affichage de l'URL.

GroupWise a également émis des cookies sur cette requête, de sorte que le portlet a extrait les cookies et a placé ces valeurs sur PortletSession.

Chaque fois qu'une requête doView est soumise au portlet, ce dernier doit pousser les cookies dans sa réponse ; le domaine du site du portlet doit correspondre à celui de GroupWise / ou du servlet, faute de quoi un problème de navigateur inter-domaine se produit. Cela est une restriction de sécurité concernant les cookies.

Si les utilisateurs n'ont pas configuré l'utilisateur et le mot passe pour Web Access, ils y sont invités et sont autorisés à conserver les paramètres dans leurs préférences.

6.0 Application utilisateur : performances

Cette section décrit les problèmes de performances de l'application utilisateur, ainsi que les solutions et recommandations correspondantes.

6.1 Limitation des résultats renvoyés par une requête de workflow

Vous pouvez modifier la limite des résultats renvoyés par une requête de workflow dans le plug-in d'administration de workflow d'iManager. Le point SOAP final suivant est défini sur la limite de 1 000 lignes :

getAllProcesses(), getProcesses(String, long, T_Operator, String, String), getProcessesByApprovalStatus(T_ApprovalStatus), getProcessesByCreationInterval(long, long), getProcessesByCreationTime(long, T_Operator), getProcessesById(String),getProcessesByInitiator(String), getProcessesByRecipient(String), getProcessesByStatus(T_ProcessStatus)

Un certain nombre de ces méthodes sont utilisées par la fonction d'administration de workflow d'iManager.

Pour modifier ce paramètre,

  1. Ouvrez IDMProv.war.

  2. Extrayez le fichier WorkflowService-Conf/config.xml de IDMfw.jar.

  3. Remplacez la valeur de la propriété WorkflowService/SOAP-End-Points-Process-Query-MaxRows de 1 000 par une autre valeur.

    <property>
    
      <key>WorkflowService/SOAP-End-Points-Process-Query-MaxRows</key>
    
      <value>1000</value>
    
    </property>
    
  4. Remplacez le fichier de JAR et de WAR et effectuez le redéploiement.

6.2 Limitation des résultats d'erreur de débordement de pile lorsque les critères de recherche renvoient au moins 8 000 entrées

Par défaut, la taille de la recherche n'est pas limitée. Novell recommande de contrôler la taille (nombre d'entrées) et le temps (secondes) des recherches. Pour ce faire, réglez les paramètres de :

eDirectory : utilisez iManager pour modifier la recherche d'attributs d'objet ldapServer TimeLimit et searchSizeLimit. Par défaut, la valeur de ces attributs est 0 (illimité). Ces paramètres ont la priorité sur les paramètres DAL. L'objet ldapServer se trouve en général à la racine de l'organisation (par exemple foo,o=novell).

DAL/VDX : utilisez l'éditeur DAL pour définir les limites de taille et de temps d'une définition d'entité DAL. Les limites que vous définissez ici peuvent restreindre mais pas étendre les limites existantes d'eDirectory. Par exemple, si la limite d'entrée est de 100 dans eDirectory, vous ne pouvez pas l'augmenter dans l'éditeur DAL. En revanche, vous pouvez la réduire. Les limites de taille et de temps ont la valeur 0 (illimité) dans l'éditeur DAL, les paramètres d'eDirectory étant prioritaires.

Portlet Searchlist : définissez la préférence de limite des résultats pour ce portlet. Si la valeur est égale à 0 (par défaut), la valeur du DAL est prioritaire.

Portlet ParamList : définissez la préférence de limite des résultats pour ce portlet. Si la valeur est égale à 0 (par défaut), la valeur du DAL est prioritaire.

7.0 Localisation

Cette section décrit les problèmes de localisation connus pour Identity Manager.

7.1 Problème d'affichage du texte de l'objet du message électronique

Les clients Windows GroupWise Mail et Outlook ont un bogue connu lors de l'affichage du texte de l'objet à partir d'une commande HTML mailto:. Ce bogue apparaît lorsque le navigateur utilise une langue avec un jeu de caractères à double octet telle que le chinois ou le japonais.

Dans ce cas, lorsque vous envoyez des informations d'identité à partir de la page Détail, la ligne Objet comporte des caractères non valides car la fonction unescape de ces clients de messagerie relative aux caractères à double octet ne fonctionne pas correctement.

7.2 Problème possible avec le codage du jeu de caractères

Vous devez vérifier que le codage des caractères d'entrée et de sortie correspond à celui utilisé par l'application source ou de destination. Les caractères qui ne peuvent pas être représentés dans la sortie sélectionnée sont transformés en points d'interrogation ("?").

7.3 La préférence locale doit être configurée correctement pour afficher les caractères localisés dans un système d'exploitation anglais

Si vous exécutez l'outil de configuration de l'application utilisateur (pour configurer les paramètres LDAP) dans un environnement d'exploitation localisé, toutes les zones de saisie de texte s'affichent correctement. Par exemple, s'il existe des noms distinctifs chinois dans eDirectory, ou si vous saisissez des caractères chinois, ils s'affichent correctement dans un environnement d'exploitation chinois. En revanche, si vous utilisez un environnement d'exploitation anglais, les caractères chinois saisis ou renvoyés par eDirectory s'affichent comme des caractères illisibles (probablement des carrés). En effet, la préférence locale n'est pas configurée correctement.

Si vous utilisez un environnement d'exploitation anglais et si vous voulez afficher des caractères localisés, procédez de la façon suivante :

- Dans un environnement Windows 2000, ouvrez le Panneau de configuration et sélectionnez Options régionales. Sous l'onglet Général, définissez "Vos paramètres régionaux" sur la langue locale (par exemple, Chinois (PRC)).

- Dans un environnement Windows 2003, ouvrez le Panneau de configuration et sélectionnez Options régionales. Sous l'onglet Options régionales, sélectionnez "Chinois (Prc)" et appliquez la modification.

- Dans un environnement SUSE Linux, définissez la variable d'environnement LANG de la façon suivante : export LANG=zh_CN

La même procédure de base s'applique à toutes les langues.

7.4 La messagerie électronique rencontre un problème d'affichage du contenu dans les langues avec des jeux de caractères à double octet

Lorsqu'Identity Manager envoie un message électronique contenant une langue avec un jeu de caractères à double octet telle que le chinois ou le japonais, le client de messagerie rencontre un problème pour le lire. Contactez le Support technique de Novell si vous rencontrez ce problème.

8.0 Pilote d'application utilisateur

Cette section décrit les problèmes, les solutions et les recommandations concernant le pilote d'application utilisateur.

8.1 La requête VDX échoue si le pilote d'application utilisateur IDM contient une parenthèse

Si le nom de votre pilote d'application utilisateur contient une parenthèse, une recherche produit une erreur telle que

Error: javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis ;

Évitez d'utiliser des parenthèses dans les noms des pilotes. Une recherche interprète une parenthèse dans le pilote d'application utilisateur comme un séparateur.

8.2 Le pilote d'application utilisateur nécessite l'activation

Lorsque le serveur d'application est arrêté et lorsque vous redémarrez le pilote d'application utilisateur activé, l'état du pilote peut s'afficher comme nécessitant l'activation même si les référence d'activation ont été chargés par rapport au pilote. Ce problème est connu. Pour éviter ou résoudre ce problème, démarrez le pilote d'application utilisateur lorsque le serveur d'application utilisateur a démarré et est disponible.

8.3 Le pilote d'application utilisateur doit être redémarré après avoir créé une nouvelle définition de demande de provisioning

Le pilote d'application utilisateur lit la liste des attributs de workflow lors du démarrage du pilote. Si vous créez une nouvelle définition de demande de provisioning, puis si vous tentez immédiatement de créer une règle d'assignation de schéma, les attributs de la nouvelle définition de demande de provisioning n'apparaissent pas dans la liste des attributs de l'application lorsque vous rafraîchissez le schéma de l'application. En effet, le pilote d'application utilisateur doit être redémarré avant que la définition de demande de provisioning ne soit disponible. Après avoir créé la nouvelle définition de demande de provisioning, arrêtez le pilote d'application utilisateur, puis redémarrez avant de tenter d'utiliser la définition de demande de provisioning dans des stratégies. Une autre méthode consiste, à partir de l'éditeur de règles d'assignation de schéma, à rafraîchir deux fois le schéma de l'application.

9.0 Serveur d'applications JBoss

Cette section décrit les problèmes et les solutions du serveur d'application JBoss.

9.1 Ajout de JAVA_OPTS à start-jboss.bat non reconnu

Sous Windows 2003, si vous supprimez le commentaire JAVA_OPTS dans le fichier start-jboss.bat conformément aux remarques du fichier de traitement par lot, le démarrage ignore la modification. Pour que ce paramètre fonctionne, modifiez les paramètres JAVA_OPTS dans le fichier run.bat.

9.2 Erreur analyzeBean du sérialiseur

Il se peut que vous voyiez s'afficher l'erreur suivante dans la console JBoss lorsque vous vous loguez à l'application utilisateur.

13:33:56,410 ERROR [STDERR] Dec 4, 2006 1:33:56 PM
com.metaparadigm.jsonrpc.Bean
Serializer analyzeBean
INFO: analyzing com.novell.ajax.juice.AjaxServiceResult

Ignorez cette erreur. Cela provient d'un appel System.err.println non nécessaire dans la classe JSONSerializer qui est un composant tiers utilisé par Identity Manager.

9.3 Fichier nproduct.log manquant

Vous pouvez rencontrer l'erreur suivante dans la console JBoss :

INFO [STDOUT] Initialize Novell Audit...

ERROR [STDERR] Error writing to NAudit Log file:

/var/opt/novell/naudit/nproduct.log (No such file or directory)

[jlogevent]: Using primary Secure Log Server 164.99.26.214.

Pour résoudre ou éviter cette erreur et consigner les événements sur le serveur Novell Audit (ou Sentinel*) dans votre environnement Linux/UNIX :

  1. Créez le chemin d'accès /var/opt/novell/naudit/ et accordez l'autorisation en écriture à l'utilisateur qui exécute l'application utilisateur Identity Manager.

  2. Ajoutez à /etc/logevent.conf une entrée

    LogCachePort=<n> (où n > 1000)

    Par exemple, LogCachePort=1234

9.4 Un problème JGroups nécessite la mise à niveau vers JGroups 2.4.x

Il existe un problème dans la version de JGroups (version 2.2.7) inclus dans JBoss 4.0.5 GA qui peut provoquer des problèmes de performances dans un environnement en grappe. Pour obtenir des détails concernant ce problème, reportez-vous à Deadlock - JBoss.org JIRA. Ce problème est résolu dans JGroups 2.4. Nous recommandons la mise à niveau vers JGroups 2.4 ou ultérieur pour éviter le problème décrit dans JGRP-292.

Avant d'effectuer la mise à niveau vers JGroups 2.4.x (ou avant d'effectuer la mise à niveau de n'importe quel composant dans l'installation de JBoss), reportez-vous à la liste de compatibilité fournie dans le tableau de compatibilité JBoss Application Server, JBossCache et JGroups.

Pour connaître les téléchargements et les informations relatives à JGroups, reportez-vous à JGroups - The JGroups Project.

9.5 Exception java.util.NoSuchElementException

Une exception java.util.NoSuchElementException peut se produire lorsque l'application utilisateur est exécutée dans une grappe. Cette exception est un problème connu dans JBoss qui a été corrigé dans une version plus récente. Reportez-vous au problème de simultanéité JBossCacheManager.findLocalSessions pour plus d'informations.

Voici un exemple de la trace de pile qui se produit pour ce problème :

2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)

9.6 Prise en charge du codage du jeu de caractères et Tomcat

Par défaut, le filtre de codage de caractère de l'application utilisateur est défini sur activé dans le fichier web.xml de l'application utilisateur. Généralement, ce paramètre ne nécessite aucune configuration spécifique, mais il peut nécessiter des modifications si vous avez configuré Tomcat pour le codage de l'URI. Deux attributs de la configuration du connecteur Tomcat http/https peuvent affecter le codage du jeu de caractères et la configuration du filtre : URIEncoding et useBodyEncodingForURI.

--URIEncoding

Cette entrée spécifie le codage des caractères utilisé pour décoder les octets de l'URI, après le décodage %xx de l'URL. En l'absence d'indication, ISO-8859-1 est utilisé. La configuration inclut : les connecteurs HTTP et HTTPS ont la même configuration. Le filtre de codage du jeu de caractères doit être modifié pour inclure le paramètre uri-encoding init. La valeur de ce paramètre doit être identique à la valeur de l'attribut URIEncoding dans la configuration du connecteur tomcat.

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>

<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>

--useBodyEncodingForURI

Cette entrée indique si le codage spécifié dans contentType doit être utilisé pour les paramètres de requête de l'URI au lieu d'URIEncoding. Ce paramètre est présent pour assurer la compatibilité avec la version Tomcat 4.1.x dans laquelle le codage est spécifié dans contentType ou défini de façon explicite à l'aide de la méthode Request.setCharacterEncoding pour les paramètres à partir de l'URL. La valeur par défaut est faux.

Si useBodyEncodingForURI est défini sur Vrai, la configuration du filtre doit inclure le paramètre use-body-encoding init, par exemple :

<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>

Pour plus de détails, reportez-vous au site Web consacré aux informations de configuration du connecteur Tomcat.

9.7 Erreur d'espace PermGen

Il se peut que vous rencontriez l'erreur suivante si vous redéployez souvent l'application utilisateur, par exemple dans une étape de développement :

11:32:20,194 ERROR [[PortalAggregator]] Servlet.service() for servletPortalAggregator threw exceptionjava.lang.OutOfMemoryError: PermGen space

Pour éviter cette erreur, appliquez l'une des solutions suivantes :

  • Redémarrez le serveur JBoss.

  • Augmentez la valeur PermSpace en transmettant -XX:MaxPermSize (par exemple -XX:MaxpermSize=128m) à la machine virtuelle Java au moyen de JAVA_OPTS dans le script start-jboss.

9.8 Erreur de cache

Si l'application utilisateur est configurée pour envoyer des événements vers Novell Audit, vous pouvez parfois voir des messages comme celui qui suit sur la console JBoss après le démarrage du serveur JBoss :

03:53:08,625 INFO [STDOUT] CACHE ERROR>java.net.SocketTimeoutException: Read timed out03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.socketRead0(Native Method)03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.read(SocketInputStream.java:129)
03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.fill(BufferedInputStream.java:218) 03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.read(BufferedInputStream.java:235)03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.DataInputStream.readInt(DataInputStream.java:353)03:53:08,640 INFO [STDOUT] CACHE ERROR> at com.novell.naudit.lcache.ClientConnection.run(Unknown Source)

Ces messages ne semblent pas affecter la consignation de Novell Audit. Ils peuvent être ignorés.

10.0 iManager

Cette section décrit les problèmes et les solutions d'iManager.

10.1 Internet Explorer 7 invite continuellement à accéder au Presse-papiers

Lorsque vous vous trouvez dans iManager, en particulier dans le générateur de stratégies, Internet Explorer 7 vous invite continuellement à accéder au Presse-papiers. Pour désactiver cette invite :

  1. Cliquez sur Outils > Options Internet.

  2. Sélectionnez l'onglet Sécurité, puis cliquez sur Personnaliser le niveau personnalisé.

  3. Accédez à Scripts > Autoriser l'accès programmatique au Presse-papiers, puis sélectionnez Activé.

    Lorsque vous redémarrez Internet Explorer, l'invite disparaît.

10.2 Erreur de plug-in iManager : le mot de passe du pilote n'a pas pu être enregistré

Ce problème se corrige en effectuant la mise à niveau vers NMAS® 2.3.9.

10.3 Dépendance du plug-in iManager pour l'assistant Certificats de pilote NDS-to-NDS

Si vous voulez utiliser l'assistant Certificats de pilote NDS-to-NDS, vous devez télécharger et installer le plug-in iManager pour le serveur de certificats.

10.4 Problème avec les tâches iManager en utilisant Mobile iManager 2.6 avec SLED ou SLES 10.

Lorsque vous utilisez les plug-ins d'Identity Manager 3.5 et Mobile iManager 2.6, iManager peut quitter de façon imprévue lorsque vous sélectionnez certaines tâches d'Identity Manager. Ce problème se produit du fait d'une erreur dans le gestionnaire Javascript* du navigateur Mozilla intégré qui est fourni avec Mobile iManager sous Linux.

Solution possible :

  1. Démarrez Mobile iManager, puis réduisez-le.

  2. Ouvrez le navigateur pris en charge, puis accédez à iManager à l'adresse suivante : http://localhost:48080/nps/iManager.html.

11.0 Gestion des mots de passe

Cette section décrit les problèmes de gestion des mots de passe, ainsi que les solutions et les recommandations correspondantes.

11.1 Prise en charge limitée des ensembles de stimulation multilingue

L'application utilisateur intégrée à Identity Manager 3.5 prend en charge l'utilisation complète des ensembles de stimulation multilingue. Vous pouvez configurer cette fonctionnalité par l'intermédiaire d'iManager et en configurant les stratégies de mot de passe.

Si vous utilisez Novell Client™ 4.9.1 ou une version ultérieure, ou la gestion des mots de passe pour Novell eDirectory, cette fonction multilingue n'est pas encore prise en charge. Il n'est pas recommandé d'assigner des stratégies de mot de passe à des utilisateurs si vous avez défini des ensembles de stimulation dans plusieurs langues. Par exemple, vous pouvez définir des ensembles de stimulation pour le français, mais pas pour le français et l'allemand.

11.2 Une erreur se produit lorsqu'on utilise des certificats signés automatiquement et le WAR de la gestion externe des mots de passe oubliés

Si vous utilisez des certificats signés automatiquement et le WAR de la gestion externe des mots de passe oubliés sur JBoss, l'exception suivante peut se produire :

java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

Cela se produit lorsque le WAR de la gestion externe des mots de passe oubliés appelle un service Web fonctionnant dans l'application utilisateur par l'intermédiaire de SSL (défini comme le champ "Lien de retour de mot de passe oublié" dans l'utilitaire configupdate). Si le certificat du serveur n'est pas approuvé par une autorité de certification, en l'absence de certificat du serveur approuvé importé dans la zone de stockage approuvée, l'erreur ci-dessus se produit.

Pour contourner ce problème, vous devez obtenir un certificat approuvé à partir du serveur JBoss SSL sur lequel l'application utilisateur est exécutée. Vous devez ensuite l'importer dans le fichier cacerts du JRE dans lequel JBoss exécute le WAR de la gestion externe des mots de passe oubliés.

La commande à utiliser est semblable à ce qui suit :

keytool -import -file trusted_cert_from_ua_server.cer -keystore cacerts -storepass changeit -alias extpwd_certs

11.3 Les stratégies de mot de passe ne peuvent pas être héritées

Les stratégies de mot de passe ne peuvent pas être héritées. L'administrateur de l'application utilisateur doit appliquer de façon explicite la stratégie de mot de passe à un conteneur dans lequel les utilisateurs sont créés. Si cela n'est pas fait, l'erreur suivante peut se produire :

Requête non valide du gestionnaire SPM. Si le problème persiste, contactez l'administrateur système.

11.4 L'utilisateur redirigé peut ignorer les vérifications d'authentification

Si un utilisateur est redirigé après le login pour modifier le mot de passe ou l'indice de stimulation-réponse, l'utilisateur peut saisir une URL du portail et ignorer les vérifications d'authentification jusqu'au login suivant.

11.5 Les données sensibles d'une session utilisateur ne sont pas codées

Les données sensibles (par exemple, un mot de passe de login pour Single Sign-On) d'une session utilisateur ne sont pas codées dans cette version. Cela peut exposer les données sensibles aux analyseurs réseau. Pour protéger les données sensibles temporairement stockées dans la session utilisateur et susceptibles d'être transmises sur le réseau au cours d'une réplication de session dans un environnement en grappe, vous devez effectuer l'une des opérations suivantes :

  • Activez le code pour JGroups. Pour obtenir des informations concernant l'activation du codage JGroups, reportez-vous à JGroups Encrypt.

  • Assurez-vous que la grappe se trouve derrière un pare-feu.

12.0 Documentation

Cette section décrit les ressources de documentation supplémentaires et les corrections apportées à la documentation IDM.

12.1 Une documentation supplémentaire concernant la configuration de JBoss est disponible

Le Guide d'administration de l'application utilisateur Identity Manager 3.5 contient des informations concernant la configuration de JBoss. Si vous avez besoin d'informations supplémentaires sur la configuration de JBoss, reportez-vous aux sources suivantes :

12.2 Activation de Single Sign-On dans les portlets d'accessoires

Pour Identity Manager 3.5, dans le guide des portlets d'accessoires, remplacez chaque description indiquant comment activer la simple demande de connexion du portlet en utilisant la procédure suivante :

Pour activer Single Sign-On sur le portlet :

  1. Dans l'application utilisateur, ouvrez l'onglet Administration et choisissez Configuration d'application.

  2. Sélectionnez Configuration du module de mot de passe > Login.

  3. Cliquez sur le bouton radio qui active la simple demande de connexion.

12.3 Section 13.3 de l'application utilisateur IDM 3.5 : le guide utilisateur comporte du texte qui n'est pas à la bonne place

Section 13.3 de l'application utilisateur IDM 3.5 : le guide utilisateur indique que l'administrateur de l'application de provisioning peut définir des assignations de délégué pour n'importe quel utilisateur, groupe ou conteneur de l'organisation. Ce texte est correct mais ne se trouve pas à la bonne place dans le document. Il aurait dû se trouve dans la section 11.5.

12.4 Application utilisateur : guide utilisateur, section 9.2

Le premier paragraphe de la section 9.2 du Guide de l'utilisateur de l'application utilisateur IDM 3.5 devrait indiquer "Par défaut, après vous être logué à l'interface utilisateur d'Identity Manager et sélectionné l'onglet Requêtes et Approbations, la page Mes tâches s'affiche".

13.0 Conventions utilisées dans la documentation

Dans cette documentation, le signe supérieur à (>) est utilisé pour séparer les opérations d'une même procédure ainsi que les éléments d'un chemin de renvoi.

Un symbole de marque (®, TM, etc.) indique une marque de Novell. Un astérisque (*) indique une marque commerciale de fabricant tiers.

14.0 Mentions légales

Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.

Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.

Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous au site www.novell.com/info/exports/ pour plus d'informations sur l'exportation de logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les approbations d'exportation nécessaires.

Copyright © 2007 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.

Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie réunie dans le produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur la page http://www.novell.com/company/legal/patents/ (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays.

Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d'autres pays.

SUSE est une marque déposée de Novell, Inc., aux États-Unis et dans d'autres pays.

Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif