18 gennaio 2008
Il presente documento include i problemi noti del Modulo di provisioning basato su ruoli versione 3.6 di Identity Manager. Leggere il file Readme di Identity Manager 3.5.1 per informazioni sui problemi che potrebbero verificarsi nell'applicazione utente, non correlati al sottosistema ruoli. Consultare Sezione 7.0, Errori corretti in IDM 3.6 per un elenco dei problemi di IDM 3.5.1 corretti nel Modulo di provisioning basato su ruoli versione 3.6.
Le risorse sulla documentazione vengono periodicamente·aggiornate. Correzioni e aggiornamenti vengono effettuati quando necessario. Per informazioni sugli aggiornamenti, visitare il sito Web relativo alla documentazione sul prodotto Novell Identity Manager 3.6.
Nelle sezioni seguenti vengono trattati i problemi relativi alla documentazione.
Nella sezione Requisiti di sistema, tabella 1-1, Metadirectory 3.5 viene erroneamente riportato come un componente supportato dal sistema. È invece necessario utilizzare Metadirectory 3.5.1. Non è infatti possibile utilizzare Metadirectory 3.5.
Nella sezione 2.6 “Prerequisiti di sicurezza” viene illustrata la funzione Logout simultaneo. Questa è una funzione e non un prerequisito.
Con NetWare è necessario rinominare il file nrf-extensions.sch prima di usare·l'utility nwconfig. L'utility nwconfig supporta solo i nomi di file 8.3, pertanto non è possibile utilizzare il file nrf-extensions.sch con il nome di default. Rinominare nrf-extensions.sch in un formato supportato, ad esempio nrfext.sch.
Il percorso specificato per NetWare non è corretto. Il percorso corretto è:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Il percorso specificato per NetWare non è corretto. Il percorso corretto è:
SYS:\tomcat\5.0\webapps\nps\Dirxml.Drivers
Nelle seguenti sezioni sono illustrati i problemi noti relativi alla scheda Ruoli dell'applicazione utente.
Il Selettore oggetti utilizzato per trovare o filtrare una ricerca aggiunge sempre un carattere jolly (*) alla fine dei criteri di ricerca.
La funzione di ricerca dei ruoli rileva le maiuscole e minuscole all'interno del Selettore oggetti.
Il filtro del nome ruolo NON applica la distinzione tra maiuscole e minuscole nelle seguenti pagine:
Ruoli personali
Assegnazioni ruoli
Vista stato richiesta
Sfoglia catalogo ruoli
Gestisci relazioni ruoli
I campi Nome ruolo e Nome vincolo separazione dei compiti possono contenere solo i seguenti caratteri:
caratteri alfanumerici,
- (trattino) o _ (carattere di sottolineatura) nella stringa (ma non all'inizio o alla fine della stringa).
NON è possibile utilizzare i seguenti caratteri, perché causano·errori:
! # % & , " ' ; \ / +
Il nome visualizzato deve contenere lo stesso set di caratteri utilizzato al momento della creazione del nome. Dopo aver salvato per la prima volta il ruolo o il vincolo di separazione dei compiti, è possibile modificare il nome visualizzato per poter utilizzare altri caratteri.
Se il campo Nome ruolo include caratteri non supportati, si verificherà un errore ogni volta che l'utente prova a eseguire un'azione sul ruolo specificato. L'errore è:
796 WARN [Parameters] Parameters: Character decoding failed. Parameter skipped.
Se a un'unità organizzativa si assegna un ruolo per il quale nessun utente ha effettuato il provisioning, è necessario controllare l'errore nel log degli errori del driver del servizio del ruolo. L'interfaccia dell'applicazione utente non indica questo tipo di errore e sembra che non sia stato eseguito il provisioning del ruolo nella pagina Visualizza richieste.
Durante la visualizzazione delle assegnazioni ruoli nei campi Ruoli personali o Assegnazioni ruoli (per utente) verrà visualizzato solo un container o un gruppo, anziché tutti i container o i gruppi del ruolo specificato. Se, ad esempio, il ruolo Ruolo di prova è incluso in due container, verrà visualizzato solo in uno.
L'applicazione utente controlla le eccezioni dei vincoli di separazione dei compiti quando un utente richiede un'assegnazione ruolo, ma non quando ha effetto un'assegnazione ruolo. Questo·significa che anche se una regola è in violazione, non viene generato alcun avviso o approvazione. Se, ad esempio, i ruoli infermiere e farmacista sono in conflitto, è possibile che all'Utente A venga assegnato contemporaneamente il ruolo infermiere, con una data di inizio validità due settimane dopo, e· il ruolo farmacista con una data di inizio validità immediata. L'utente non riceverà notifica su questo conflitto perché l'eccezione viene controllata in fase di richiesta quando ancora non esiste alcun conflitto fra i ruoli.
La pagina Assegnazioni ruoli non mostra le assegnazioni il cui stato è "Attivazione in sospeso". Per visualizzare le assegnazioni che verranno attivate in futuro, aprire la pagina Visualizza stato richiesta.
Se la data attuale del server dell'applicazione utente è diversa da quella del server eDirectory, possono comparire date diverse in pagine differenti nella scheda Ruoli. Se, ad esempio, la data attuale del server dell'applicazione utente è 5 dic, e la data attuale del server eDirectory è 26 dic, come date di inizio validità delle schede Ruoli personali e Assegnazioni ruoli verrà visualizzata la data del server eDirectory. Tuttavia, nella pagina Visualizza richiesta stato come inizio validità e richiesta verrà visualizzata la data del server dell'applicazione utente.
Se la data di inizio validità non è specificata, nella pagina Assegnazioni ruoli verrà visualizzata l'ora di sistema del server eDirectory, mentre nella pagina Visualizza stato richiesta come data di inizio validità verrà utilizzata l'ora di sistema del server dell'applicazione utente. La discrepanza potrebbe non esistere in un ambiente di produzione perché è possibile utilizzare tecniche di sincronizzazione dell'ora per risolvere questi problemi.
Inoltre, la data dell'assegnazione e la data di richiesta dell'assegnazione vengono gestite in modo·separato in oggetti diversi. Un oggetto rappresenta la data specificata nel momento in cui l'utente ha effettuato la richiesta, mentre l'altro oggetto rappresenta lo stato dell'assegnazione ruolo attuale. Se l'utente non specifica una data di inizio validità (indicando che l'assegnazione ruolo è valida subito), nella pagina Visualizza stato richiesta come data·di inizio validità verrà visualizzata la data di invio della richiesta al server delle·applicazioni. Questa data non corrisponde a quella visualizzata nella schermata Assegnazione ruolo, che si basa sul momento in cui l'assegnazione ruolo è stata effettivamente elaborata.
Il manager dei ruoli può utilizzare la pagina Gestisci ruoli per visualizzare tutti i container dei ruoli, creare nuovi ruoli e modificare quelli esistenti per i quali si dispone dei diritti di esplorazione appropriati.
Nella sezione seguente vengono illustrati i problemi noti che possono verificarsi nei rapporti dei ruoli.
Per visualizzare i rapporti, è necessario che nel browser sia installato il plug-in di Adobe Reader. Se questo plug-in non è installato, i rapporti non verranno visualizzati.
Se un rapporto PDF include contenuto generato in cinese, giapponese o russo, è necessario impostare le impostazioni internazionali preferite dell'utente sulla lingua appropriata. Se il rapporto PDF contiene una combinazione di queste lingue, le impostazioni internazionali preferite dell'utente dovranno essere impostate su una di queste lingue. In caso contrario, l'utente non sarà in grado di visualizzare correttamente il rapporto.
Esiste un problema Sun JDK noto relativo·alle eccezioni NullPointerExceptions, che si verifica quando si eseguono più rapporti contemporaneamente. Se si verifica un'eccezione NullPointerException, può essere necessario eseguire di nuovo il rapporto. Per ulteriori informazioni, vedere Rapporto sugli errori Sun.
La generazione di rapporti richiede molta memoria. Di seguito sono riportate alcune indicazioni per garantire le migliori prestazioni durante la generazione dei rapporti:
Configurare una memoria heap di grandi dimensioni per il server applicazioni.
Evitare di generare un elevato·numero di rapporti contemporaneamente.
Se possibile, generare i rapporti quando il server è inattivo per ridurre al minimo l'impatto sugli utenti attivi.
In un cluster, dedicare un server applicazioni alla generazione dei rapporti per ridurre al minimo l'impatto sugli utenti attivi.
Nelle seguenti sezioni vengono illustrati i problemi di localizzazione noti.
Il testo SessionWarning non viene visualizzato per il cinese semplificato. Dopo il timeout, l'utente viene reindirizzato alla pagina di timeout della sessione e può effettuare di nuovo il login. Tuttavia, ogni volta che l'utente tenta di visitare una pagina, viene visualizzato un errore JavaScript durante il caricamento.
Se si esegue l'applicazione utente utilizzando una delle impostazioni internazionali cinesi, non è possibile utilizzare Designer per definire i nomi o le descrizioni dei ruoli o dei vincoli di separazione dei compiti. Queste informazioni verranno visualizzate correttamente in Designer solo prima di essere distribuite. Per risolvere questo problema, è possibile localizzare i nomi e le descrizioni nella scheda Ruoli dell'applicazione utente.
Per default, la sezione Ruoli sistema fornita con il prodotto non viene visualizzata correttamente nei sistemi in lingua cinese. Questa sezione viene visualizzata in lingua inglese. Utilizzare la scheda Ruoli dell'applicazione utente per aggiornare i nomi e le descrizioni nella traduzione corretta.
Nelle sezioni seguenti viene illustrato un elenco di problemi noti in iManager.
Non è possibile utilizzare iManager per utilizzare le definizioni delle richieste di provisioning basate sui ruoli. Se si prova ad aprire una definizione, verrà visualizzato il seguente errore.
The ''XmlData'' attribute on the Provisioning Request cannot be read or does not contain valid XML data. This Provisioning Request cannot be configured or used to create other Provisioning Requests.
Non utilizzare Driver Inspector di iManager (disponibile mediante il collegamento di Identity Manager nell'area di navigazione a sinistra) poiché potrebbe provocare il crash del server eDirectory. Se si utilizza Driver Inspector, verrà visualizzato il messaggio Lettura associazioni seguito da una finestra di dialogo di errore che include un messaggio simile al seguente:
The following SPI error has occurred...(-621)...
Al riavvio del server eDirectory viene visualizzato un messaggio che indica che eDirectory è stato chiuso in modo·errato.
Nelle sezioni seguenti vengono illustrati i problemi di integrazione noti.
I container JBoss e WebSphere gestiscono le pagine JSF in modo diverso. Questo significa che le norme FormFill di Access Manager devono utilizzare l'ID del modulo anziché il nome.
Se si utilizza Novell Security Service 2.0.5 (che include NMAS 3.2.0.2) con la variabile d'ambiente NDSD_TRY_NMASLOGIN_FIRST=true, non sarà possibile avviare il driver del servizio del ruolo. Se si tenta di avviarlo, verrà visualizzato il seguente errore NMAS:
locallogin -799 ERR_CANNOT_GO_REMOTE
Per risolvere questo problema, impostare la variabile d'ambiente NDSD_TRY_NMASLOGIN_FIRST su false oppure recuperare la patch NMAS necessaria.
In NetWare, la variabile d'ambiente NDSD_TRY_NMASLOGIN_FIRST è impostata su true per default. Nelle altre piattaforme questa variabile è impostata su false per default.
Questa sezione include un elenco dei problemi descritti nel file Readme dell'applicazione utente IDM 3.5.1, risolti nel modulo di provisioning basato sui ruoli di IDM 3.6.
4.4 Impossibile eseguire l'installazione della GUI sui sistemi Solaris 9 e 10 durante l'utilizzo di eDirectory 8.8.1.
4.5 Impossibile eseguire lo script Configupdate dopo l'aggiunta di file al WAR.
4.8 Logout simultaneo dall'applicazione utente e di Access Manager
6.9 Impostazione dei parametri di configurazione SSL
6.12 È necessaria l'attivazione del driver dell'applicazione utente
6.15 I dati sensibili in una sessione utente non sono cifrati
6.18 Mancata attivazione di un workflow proveniente da un evento eDirectory
6.23 I file config.xml dei servizi contengono numeri di versione obsoleti
6.25 L'avvio dei workflow con il servizio Web SOAP può causare errori.
6.30 L'installazione in un cluster non richiede l'ID del motore di workflow.
Nella documentazione, il simbolo maggiore di (>) viene utilizzato per separare le azioni di uno stesso passo di procedura e gli elementi in un percorso di riferimenti incrociati.
Un simbolo di marchio di fabbrica (®, ™, ecc.) designa un marchio commerciale di Novell®; un asterisco (*) designa un marchio commerciale di terze parti.
Novell, Inc. non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito al contenuto o uso di questa documentazione e in particolare non riconosce alcuna garanzia espressa o implicita di commerciabilità o idoneità per uno scopo particolare. Novell, Inc. inoltre si riserva il diritto di aggiornare la presente pubblicazione e di modificarne il contenuto in qualsiasi momento, senza alcun obbligo di notificare tali revisioni o modifiche a qualsiasi persona fisica o giuridica.
Novell, Inc. non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito ad alcun software e in modo specifico non riconosce alcuna garanzia espressa o implicita di commerciabilità o idoneità per uno scopo particolare. Novell, Inc. inoltre si riserva il diritto di modificare qualsiasi parte del software Novell in qualsiasi momento, senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica.
Qualsiasi informazione tecnica o prodotto fornito in base a questo Contratto può essere soggetto ai controlli statunitensi relativi alle esportazioni e alla normativa sui marchi di fabbrica in vigore in altri paesi. L'utente si impegna a rispettare la normativa relativa al controllo delle esportazioni e a ottenere qualsiasi licenza o autorizzazione necessaria per esportare, riesportare o importare prodotti finali. L'utente si impegna inoltre a non esportare o riesportare verso entità incluse negli elenchi di esclusione delle esportazioni statunitensi o a qualsiasi paese sottoposto a embargo o che sostiene movimenti terroristici, come specificato nella legislazione statunitense in materia di esportazioni. L'utente accetta infine di non utilizzare i prodotti finali per utilizzi correlati ad armi nucleari, missilistiche o biochimiche. Per ulteriori informazioni sull'esportazione di software Novell, vedere la pagina Web sui servizi commerciali internazionali di Novell. Novell non si assume alcuna responsabilità relativa al mancato ottenimento, da parte dell'utente, delle autorizzazioni di esportazione necessarie.
Copyright© 2008 Novell, Inc. Tutti i diritti riservati. È vietato riprodurre, fotocopiare, memorizzare su un sistema di recupero o trasmettere la presente pubblicazione o parti di essa senza l'espresso consenso scritto dell'editore.
Novell, Inc. detiene i diritti di proprietà intellettuale relativi alla tecnologia incorporata nel prodotto descritto in questo documento. In particolare, senza limitazioni, questi diritti di proprietà intellettuale possono comprendere uno o più brevetti USA elencati nella pagina Web relativa ai brevetti internazionali di Novell e uno o più brevetti aggiuntivi o in corso di registrazione negli Stati Uniti e in altri paesi.
Per informazioni sui marchi di fabbrica Novell, vedere l'elenco dei marchi di servizio e di fabbrica di Novell.
Tutti i marchi di fabbrica di terze parti appartengono ai rispettivi proprietari.