Atualizado em 28 de setembro de 2007.
Este documento contém os problemas conhecidos do Identity Manager versão 3.5.1.
No momento, estes recursos adicionais de documentação estão disponíveis:
Esta seção descreve dois outros itens que pertencem à lista de novos recursos na seção O que há de novo no Guia de Instalaçaõ do Identity Manager 3.5.1.
O Aplicativo do Usuário do Identity Manager oferece suporte ao single sign-on através do Access Manager, usando qualquer serviço de autenticação de terceiros que possa efetuar login no Access Manager. Esse recurso permite a utilização de uma tecnologia não baseada em senha para efetuar login no Aplicativo do Usuário através do Access Manager. Como exemplo, é possível efetuar login através de um certificado (cliente) de usuário, ou seja, com um smart card. Para obter mais informações, consulte a seção Segurança em "Projetando o ambiente de produção" no Aplicativo do Usuário do Identity Manager 3.5.1: Guia de Administração.
Agora você pode adicionar parâmetros de Pesquisa a um URL que faz referência às White Pages do Identity Manager.
Esta seção descreve os requisitos do sistema para o Identity Manager 3.5.1:
Os requisitos de Java* para o Identity Manager 3.5.1 são:
O Aplicativo do Usuário exige Java 5.0.10 para suportar a assinatura digital e Cryptovision.
Nos Servidores de Aplicativos JBoss*, você deve fazer o download e a instalação do seguinte Sun* JDK*: Java 2 Platform Standard Edition Development Kit 5.0. Use o JRE* versão 1.5.0_10.
NOTA:não use o IBM* JDK fornecido com o SUSE® Linux Enterprise Server (SLES). A utilização do IBM JDK fornecido com o SLES pode causar erros graves de corrupção na chave.
Nos Servidores de Aplicativos WebSphere, use o IBM JDK que acompanha o WebSphere* Application Server 6.1.0.9 ou posterior, com os arquivos de política irrestrita aplicados. Além disso, é necessário aplicar o fixpack do WAS JDK para a versão 6.1.0.9.
O instalador do Metadiretório instala sua própria cópia da JVM em todas as plataformas, exceto no NetWare. No NetWare, o Metadiretório usa qualquer versão de Java que esteja instalada no sistema.
O Identity Manager 3.5.1 suporta o Novel Audit 2.0.2.
A seguir há um adendo aos requisitos do sistema listados no Guia de Instalação do Identity Manager 3.5.1: o Aplicativo do Usuário exige o WebSphere Application Server (WAS) 6.1.0.9 e o WAS SDK Fixpack 6.1.0.9.
Ao usar o DB2, se você vir um erro como "A transação atual foi revertida devido a um deadlock ou tempo de espera", o problema pode ter sido causado por um alto nível de simultaneidade de usuários e do bancos de dados.
O DB2 fornece muitas técnicas para resolver conflitos de bloqueio, incluindo o ajuste do otimizador baseado em custo. O Guia de Desempenho incluso na documentação do DB2 Administration é uma excelente fonte de informações sobre o tópico do ajuste.
Não há valores de ajuste prescritos que possam ser usados para todas as instalações, já que o nível de simultaneidade e o tamanho dos dados varia. No entanto, a seguir há algumas dicas de ajuste do DB2 que podem ser relevantes para a sua instalação:
O comando reorgchk update statistics atualiza as estatísticas usadas pelo otimizador. Atualizações periódicas dessas estatísticas talvez sejam suficientes para aliviar o problema.
A utilização do parâmetro de registro do DB2, DB2_RR_TO_RS, pode melhorar a simultaneidade ao não bloquear a próxima chave da fila que foi inserida ou atualizada.
Aumente os parâmetros MAXLOCKS e LOCKLIST no banco de dados.
Aumente a propriedade currentLockTimeout no pool de conexão do banco de dados.
Use o Database Configuration Advisor e otimize para obter transações mais rápidas.
Altere todas as tabelas do Aplicativo do Usuário para VOLATILE, indicando para o otimizador que a cardinalidade da tabela vai variar significativamente. Por exemplo, para tornar a tabela AFACTIVITY VOLATILE, emita o comando ALTER TABLE AFACTIVITY VOLATILE
Os comandos ALTER TABLE precisam ser executados depois que o Aplicativo do Usuário foi iniciado uma vez e as tabelas do banco de dados foram criadas. Consulte a documentação sobre ALTER TABLE para obter mais informações sobre esta declaração. Eis algumas declarações SQL para todas as tabelas do Aplicativo do Usuário:
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
A utilização do driver do Oracle* 9i cria a seguinte exceção: org.hibernate.exception.GenericJDBCException: could not insert: [com.sssw.fw.security.persist.EboPermissionMeta].
Para evitar este problema, use os drivers do Oracle 10g, ojdbc14.jar e orai18n.jar. Esses drivers são compatíveis retroativamente com o Oracle 9i.
As seções a seguir descrevem os bugs e as soluções de instalação.
Ao iniciar o Aplicativo do Usuário no JBoss, executado como serviço do Windows, você pode obter o seguinte erro:
com.sssw.fw.exception.EboUnrecoverableSystemException: Falha ao inicializar o serviço de estrutura EboPortletContainer. em com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Causado por: java.lang.ClassCastException: . . .
Esse erro acontece se o serviço JBoss tiver carregado, durante a inicialização, um arquivo xalan.jar diferente do que era esperado pelo Identity Manager. Para resolver o problema, anexe o caminho para o xalan.jar na entrada -Djava.class.path do serviço. A entrada de registro resultante para o serviço se parece mais ou menos com o seguinte exemplo:
‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
Em seguida, reinicie o serviço.
Você pode anexar o caminho no momento em que o serviço é criado ou depois.
Se, ao instalar o Aplicativo do Usuário do Identity Manager em um sistema de 64 bits, você decidir instalar o JBoss e o MySQL usando o JBossMysql.bin, poderá obter um erro durante a instalação do banco de dados MySQL. Para resolver o problema, execute setup-mysql.sh e depois start-mysql.sh.
Caracteres incorretos ou o botão podem ser exibidos quando se tenta acessar o DN do container raiz durante a instalação do Aplicativo do Usuário no SLES 10 de 64 bits. Se isso ocorrer, verifique se você instalou o JRE correto para o seu ambiente.
Ocorre falha na instalação da GUI no Solaris* 9 e 10 durante a utilização do eDirectory™ 8.8.1. A solução do problema inclui estas etapas:
Execute o programa de instalação apenas texto.
Use o eDirectory 8.8.2, que tem a correção para este problema.
Ocorre falha no arquivo configupdate.sh depois que você adiciona manualmente os arquivos personalizados a um IDM.war, caso o WAR tenha sido criado com o binário jar no /usr/bin/jar distribuído no SLES 9. O erro é o seguinte:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)
Para resolver ou impedir o problema, use uma versão mais nova do jar para criar o WAR, como neste exemplo: /usr/lib/java/bin/jar -cvf IDM.war *
A seguinte mensagem de aviso pode aparecer quando você inicia o Aplicativo do Usuário usando a configuração padrão do servidor JBoss:
AVISO [TomcatDeployer] Falha ao configurar clusters, clusters desativados. NoClassDefFoundError: org/jboss/cache/CacheException
Se você escolheu a configuração padrão (nó único) durante a instalação do Aplicativo do Usuário, é possível desconsiderar esta mensagem. Essa mensagem vem do servidor de aplicativos JBoss. Ela indica que, embora o Aplicativo do Usuário do Identity Manager possa suportar clusters, a configuração escolhida do servidor de aplicativos não suporta clusters.
Se a senha da sua conta de instalação do Identity Manager contiver caracteres especiais, talvez ocorra falha na extensão de esquema. Faça a instalação usando outra conta ou mude sua senha.
As versões mais recentes do Access Manager talvez não suportem o caminho URL padrão para a Página de Logout do ICS encontrada em na página Mostrar opções avançadas ao configurar o Aplicativo do Usuário. Caso o caminho URL padrão https://yourIChainServer/cmd/ICSLogout não funcione, tente https://yourAccessManagerServer/AGLogout.
O programa de instalação do Aplicativo de Usuário vai falhar se o servidor já estiver com o MySQL em execução na porta 3306 e não apresentar a oportunidade de instalar o MySQL em outra porta. Este problema se deve a uma limitação do utilitário JbossMysql fornecido com o Aplicativo do Usuário, mas pode ser superado com a utilização do programa de instalação independente do MySQL.
A solução é parar a instância atual do MySQL e executar a instalação. O programa instala o MySQL na porta 3306, mas pergunta a porta à qual você deseja se conectar. Especifique uma nova porta, depois vá até o arquivo my.cnf, mude-o para essa nova porta e reinicie a instância do Aplicativo do Usuário do MySQL. Em seguida, reinicie a sua outra instância do MySQL para que o aplicativo passe a ser executado adequadamente. O instalador do Aplicativo do Usuário deve permitir que você o instale em outra porta e depois o inicie nessa nova porta. No momento, parece que o programa de instalação do Aplicativo do Usuário só funciona se a 3306 estiver livre.
As seções a seguir descrevem os bugs e as correções que afetam a interface do usuário do Aplicativo do Usuário.
O Aplicativo do Usuário não suporta os nomes da Política de Senha que contêm espaços à direita ou à esquerda. Se você tiver uma política de senha que não contenha espaços à direita ou à esquerda, os usuários vão encontrar a mensagem "Falha na Resposta de Verificação" logo depois de digitarem o nome de usuário na página Senha Esquecida.
Um ou mais espaços no final do nome de um conjunto de verificação de senha causa erro quando o Aplicativo do Usuário tenta retornar as perguntas de verificação de senha. Para impedir esse problema, não anexe espaços no final do seu nome do conjunto de verificação.
Se você criar uma entidade como um usuário no Aplicativo do Usuário e incluir uma barra invertida no nome, a barra será multiplicada no DN completo. Este é um bug conhecido. Para resolver este bug, evite usar barras invertidas nos nomes de entidade.
No Aplicativo do Usuário do Identity Manager, na guia , a edição do atributo do grupo para apagar e adicionar grupos deve ser feita como operações separadas. Quando você remove e adiciona um grupo em um processo de etapa única, o nome do grupo apagado reaparece quando se clica no botão + (adicionar).
No Aplicativo de Usuário, se você efetuar login como Usuário A com um browser da família do Mozilla (Firefox*, Netscape* ou Mozilla*), abra outra instância de um browser do mesmo tipo e efetue login como Usuário B. Talvez você veja informações sobre o Usuário B ao retornar à primeira instância do browser. Isso ocorre porque as instâncias do browser estão compartilhando ( e sobregravando) o mesmo cookie. Esse comportamento é específico dos browsers da família Mozilla; isso não ocorre no Internet Explorer.
Podem ocorrer exceções no Firefox em operações de cortar, colar e copiar durante a utilização do HTMLEditor nas preferências do Organograma. O Mozilla não permite que scripts acessem a área de transferência por motivos de segurança. Portanto, os botões de cortar, copiar e colar não estão disponíveis no Firefox.
No Firefox, é possível baixar uma extensão chamada Allow Clipboard Helper (Permitir Assistente da Área de Trabalho) através de Ferramentas > Extensões, que o leva para o site de download de extensões.
Depois do download, você vai ver no menu do Firefox.
Abra-a e digite o endereço do servidor ao qual deseja conceder acesso à área de transferência e clique em (Permitir). Você pode adicionar tantos sites quantos desejar. Encerre todos os browsers Firefox, reinicie o Firefox para que os recursos de cortar, copiar e colar funcionem nele.
Quando você efetua login no Aplicativo do Usuário do Identity Manager, há um link no menu à esquerda para criar um usuário. Para criar usuários, é preciso ter os direitos necessários do eDirectory para adicionar entradas ao diretório. Visto que o Aplicativo do Usuário do Identity Manager possui usuários do eDirectory existentes, esses usuários já deverão ter os direitos necessários.
No iManager, clique em .
Procure o objeto que contém o container de usuário (por exemplo, MySample.novell) e clique em .
Adicione um trustee (por exemplo, MySample.novell) e mude os direitos atribuídos.
Em , selecione. Deixe os outros campos com os valores padrão e clique em .
Agora todos os usuários no container users.MySample.novell podem criar usuários ou grupos nessa entidade MySample.
O Aplicativo de Usuário suporta os mesmos caracteres que o iManager. Para obter informações sobre o escape dos caracteres especiais, visite http://www.novell.com/documentation/imanager26/index.html e consulte o Guia de Administração do iManager 2.6, Capítulo 3, "Navegando pela interface do iManager", Seção 3.2, “Caracteres especiais”, na página 20.
Quando um usuário efetua login no Aplicativo do Usuário, carrega o portlet de login ou a página de um Marcador ou Histórico e tenta efetuar login novamente, o segundo login não configura corretamente a nova sessão do portal. Isso pode causar falha no segundo login. Para resolver este problema, use sempre o link de logout antes de efetuar login.
As guias de nível superior no Aplicativo do Usuário agora asseguram um limite obrigatório no número de caracteres permitidos. O limite é 22 caracteres. Para idiomas que não sejam o inglês, o texto será truncado se exceder o limite, aparecendo reticências (...) para indicar que há texto que não está sendo mostrado. Para exibir o texto completo, o usuário pode passar o mouse sobre o nome da guia.
As seções a seguir descrevem os bugs e as correções que afetam a administração do Aplicativo do Usuário.
Os arquivos necessários para realizar a auditoria no (NAuditPA.jar e logevent.conf) são agora copiados para a pasta de instalação do Aplicativo do Usuário, mesmo que você prefira não habilitar a Auditoria no momento da instalação. No entanto, o arquivo logevent.conf contém alguns parâmetros que precisarão ser editados manualmente depois da instalação se você desabilitar a auditoria durante a execução do programa de instalação. Esses parâmetros são explicados no Capítulo 3, "Configurando o login", no Aplicativo do Usuário do Identity Manager: Guia de Administração.
Você pode obter a seguinte mensagem de erro ao tentar atualizar com um atributo de valor único usando o formato de fluxo:
LDAP: código de erro 19 - Erro do NDS: não é possível ter múltiplos valores (-612)
A solução é usar sintaxe de string, por exemplo, String sem Distinção entre Maiúsculas/Minúsculas, não sintaxe de Fluxo, ao criar atributos de classe no iManager. A sintaxe de fluxo deve ser pouco usada devido a overhead de desempenho.
Por padrão, o Aplicativo do Usuário inicia o JBoss Application Server na porta 8009. Isso causa um conflito, pois o OES 2 Linux já usa a porta 8009. Para evitar este conflito, mude a porta do JBoss no arquivo service.xml antes de iniciar o JBoss Application Server.
Quando a funcionalidade de Senha Esquecida é executada em um ambiente de cluster, você pode ver um rastreamento de pilha como o seguinte:
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using external forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
Isso serve para fins informativos e não exige nenhuma ação. Ocorre quando os usuários realizam ações de Senha Esquecida. Essas mensagens de erro não afetam os usuários que realizam ações de Senha Esquecida. Os usuários não vêem os problemas e podem encerrar suas ações de Senha Esquecida com sucesso.
Ao usar o WebSphere, alguns portlets que usam o JSF encontram o seguinte erro: java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity
Esse erro é benigno e não afeta o JSF ou a operação de portlet. Para suprimir o erro, adicione o seguinte componente aos Níveis de Detalhe do Registro de Mudança do WebSphere: com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
Por razões de segurança, é aconselhável limitar as contas do administrador e do convidado LDAP ao conjunto mínimo de direitos necessários para realizar as funções pretendidas. Ao atribuir as seguintes funções no Aplicativo do Usuário (durante a instalação ou com o utilitário configupdate depois da instalação), especifique uma conta de usuário física separada do Identity Vault para cada um destes:
Administrador do LDAP
Convidado do LDAP (se usado)
Administrador do Aplicativo do Usuário
Administrador do Aplicativo de Aprovisionamento
As políticas de senha não podem ser herdadas. O Administrador do Aplicativo do Usuário deve aplicar explicitamente a política de senha a um container no qual são criados os usuários. Se isso não for feito, poderá ocorrer este erro:
Solicitação inválida do Secure Password Manager (SPM). Se o problema persistir, contate o Administrador do Sistema.
A definição dos parâmetros e no utilitário configupdate permite operações que não precisam de SSL para operar sem SSL. As operações que exigem SSL, como a funcionalidade de senha, ainda usam SSL.
Caso o usuário seja redirecionado depois do login para mudar a senha ou a dica da resposta de verificação, ele pode digitar o URL do portal e ignorar as verificações de autenticação até o próximo login. Este é um erro conhecido que ainda não possui solução neste momento.
Às vezes, o botão no utilitário configupdate trava a JVM no Windows XP SP2. Para resolver este problema, digite o nome completo do caminho do arquivo, em vez de usar o botão .
Quando o Servidor de Aplicativo está inativo e você reinicia o driver ativado do Aplicativo do Usuário, o status de ativação do driver pode ser exibido como necessitando de ativação, embora as credenciais de ativação tenham sido carregadas junto com o driver. Este é um bug conhecido. Para evitar ou resolver o problema, inicie o driver do Aplicativo do Usuário depois que o servidor do Aplicativo do Usuário for iniciado e estiver disponível.
Há um problema na versão do JGroups (Versão 2.2.7) incluído no JBoss 4.0.5 GA que pode causar problemas de desempenho em um ambiente com cluster. Para obter detalhes sobre o problema, consulte Deadlock - JBoss.org JIRA. O problema é resolvido no JGroups 2.4. Recomendamos o upgrade para o JGroups 2.4 ou posterior para evitar o problema descrito em JGRP-292.
Antes de fazer upgrade para o JGroups 2.4.x (ou antes do upgrade de qualquer outro componente na instalação do JBoss), consulte a lista de compatibilidade fornecida pelo JBoss Application Server, JBossCache and JGroups Compatibility Matrix.
Para fazer downloads e obter informações sobre o JGroups, consulte JGroups - The JGroups Project.
Pode ocorrer uma exceção java.util.NoSuchElementException enquanto o Aplicativo do Usuário estiver em execução em um cluster. Essa exceção é um problema conhecido no JBoss e foi corrigido em uma versão posterior. Consulte o site do JBoss para obter mais informações.
Eis um exemplo do rastreamento de pilha que ocorre para este problema:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
Os dados confidenciais (por exemplo, senha de login para single sign-on) na sessão do usuário não são criptografados nesta versão. Isso pode expor os dados confidenciais aos sniffers de rede. Para proteger os dados confidenciais temporariamente armazenados na sessão do usuário e que podem ser transmitidos pela rede durante a replicação da sessão em um ambiente com cluster, você precisa realizar uma das seguintes opções:
Habilite a criptografia para o JGroups. Para obter informações sobre como habilitar a criptografia do JGroups, consulte JGroups Encrypt.
Verifique se o cluster está por trás de um firewall.
Os administradores agora podem configurar a expiração inicial de senha para novos usuários. Para fazer isso, edite as preferências de criação de portlet conforme documentado no Aplicativo do Usuário do Identity Manager: Guia de Administração.
Especifique uma preferência .
expira a senha no primeiro login do novo usuário.
(o padrão) usa as configurações do eDirectory para determinar quando a senha expira.
A configuração padrão para a retenção de informações de workflow concluído é de 120 dias. Entretanto, você pode usar a interface do SOAP no Mecanismo de Workflow para mudar essa configuração. Para acessar a interface do SOAP no Mecanismo de Workflow, digite o seguinte URL em um browser:
http://server:host/IDMProv/provisioning/service?test
Quando você vir a página com a lista de métodos do Mecanismo de Workflow que podem ser chamados, selecione o método . O parâmetro que você passa para esse método muda o período de retenção. O valor deve ser especificado em milissegundos.
Uma aspa simples em um CN do workflow impede que um evento do eDirectory acione esse workflow. Evite usar aspa simples em um CN (Nome Comum) do workflow.
O Aplicativo do Usuário do Identity Manager: Guia do Administração não possui as seguintes informações para ajudá-lo a coordenar as senhas do Aplicativo do Usuário do Identity Manager com as políticas de senha do iManager.
Seções 19.3.1 e 19.7.1, que descrevem o requisito de Senha Universal: "Se a Senha Universal estiver habilitada, abra o iManager e vá até Verifique se a seguinte opção está marcada: ".
Seção 16.2.1, que descreve a propriedade Container para Criação: "Se você usa o portlet Criar para criar usuários e deseja atribuir os usuários a uma política de senha do iManager, atribua também o container especificado à mesma política de senha do iManager. Isso garante que usuários criados no aplicativo do usuário sejam atribuídos automaticamente à política de senha padrão do iManager.”
No seu Servidor de Aplicativo do Usuário (servidor JBoss), ao usar a página de login do Aplicativo do Usuário, se você clicar no link e digiter o nome de usuário, o portal pode retornar a seguinte mensagem de erro no console do JBoss e não redirecionar:
08:59:17,962 ERROR [EboPortletProxyHelper] The portlet entity does not exist com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
O erro foi gerado devido à preferência ldap-sslport no portlet ForgotPasswordPortlet, com a porta TLS padrão (ldaps) 636, em vez de ser usada a porta configurada para a conexão segura do servidor LDAP. Provavelmente, o administrador do eDirectory mudou a porta de segurança LDAP padrão na instância do eDirectory para uma porta diferente. Os administradores do eDirectory geralmente mudam as portas LDAP ao executar o eDirectory no mesmo hardware físico que outros sistemas habilitados por LDAP, como o Active Directory*.
Se a sua configuração segura LDAP (TLS) usa uma portar diferente de 636, mude a preferência ldap-sslport no ForgotPasswordPortlet para a porta configurada para LDAP seguro da seguinte forma:
Abra o Aplicativo de Usuário.
Abra .
Mude o valor de ldap-sslport da porta padrão 636 para a porta configurada nas conexões LDAP seguras do servidor LDAP.
Em um workflow de aprovisionamento que usa processamento paralelo, o destinatário de uma atividade de aprovação não deve se referir ao destinatário de outra atividade de aprovação no fluxo. Isso se deve ao fato de que o mecanismo de workflow não tem como saber qual etapa será executada primeiro, já que as atividades estão sendo processadas em paralelo. Além disso, o plug-in do iManager para Configuração de Solicitação de Aprovisionamento não é capaz de determinar quais destinatários devem ser permitidos a qualquer momento. Para restringir a lista de possíveis destinatários, o plug-in precisaria analisar o fluxo para obter a lista de atividades ascendentes que já foram concluídas. Esse recurso não está disponível no plug-in nesse momento.
Por padrão, o JBoss permite pesquisas no diretório. Portanto, se você digitar o URL http://server:8080/IDMProv/resources/, a lista de recursos neste URL será exibida.
Se você não quer que a pesquisa de diretórios seja habilitada, vá em jboss-4.0.2\server\<IDM-Application Context>\deploy\jbossweb-tomcat55.sar\conf e edite a entrada das listas no arquivo web.xml:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Para suprimir a exibição de recursos, mude o valor das listas de verdadeiro para falso.
Os serviços de diversos subsistemas no Aplicativo do Usuário podem conter números de versão desatualizados. Não é necessário modificar esses arquivos para corrigir as versões.
Por exemplo, IDMfw.jar contém o arquivo FrameworkService-conf\config.xml, que tem a seguinte entrada do número de versão:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
No plug-in Configuração de Solicitação de Aprovisionamento para o iManager, você pode definir uma política de escalação que redirecione uma atividade de workflow para o gerente do destinatário original.
Se o destinatário original for um grupo de tarefas que possui mais de um gerente, a escalação falhará. O plug-in Configuração de Solicitação de Aprovisionamento não impede que você defina esse tipo de escalação, portanto, tome cuidado para evitá-lo.
No Linux*, o limite aberto padrão não é suficiente para suportar um número grande de solicitações iniciadas por meio do Serviço Web SOAP. O Driver do Aplicativo de Usuário pode alcançar esse limite ao usar os pontos finais do Serviço Web para acionar os workflows como resposta aos eventos de diretório.
O Linux possui um limite padrão de 1024 arquivos abertos para cada processo. Se você iniciar o servidor JBoss com a configuração padrão, talvez veja erros quando mais de 40 ou 45 solicitações forem iniciadas em seqüência por meio da interface do Serviço Web SOAP. Após atingir o limite, pode ser que você não consiga iniciar mais solicitações por alguns minutos. Em alguns casos, pode ser necessário reiniciar do servidor JBoss.
Para resolver esse problema, você pode aumentar o limite do arquivo aberto de 1024 para 4096.
Se estiver usando BASH, execute estes comandos para aumentar o limite de arquivos abertos:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Se estiver usando C Shell, execute estes comandos para aumentar o limite de arquivos abertos:
su - root limit descriptors 4096 su - user start-jboss.sh
O driver do Aplicativo do Usuário armazena vários tipos de informações (como configuração do workflow e informações de cluster) específicas do aplicativo. Portanto, uma única instância do driver do Aplicativo do Usuário não deve ser compartilhada entre vários aplicativos.
O Aplicativo do Usuário armazena dados específicos do aplicativo para controlar e configurar seu ambiente. Isso inclui informações de cluster do JBoss Application Server e a configuração do mecanismo de workflow. Os únicos aplicativos de usuário que devem compartilhar uma única instância do Driver do Aplicativo do Usuário são aqueles que fazem parte do mesmo cluster do JBoss. Você não deve configurar um conjunto de aplicativos de usuário para compartilhar um único driver, a menos que eles façam parte do mesmo cluster do JBoss. Caso contrário, sua configuração poderia gerar ambigüidade e erro de configuração de um ou mais componentes em execução no Aplicativo do Usuário.
No programa de instalação do Aplicativo do Usuário do Identity Manager, você pode especificar o DN do container raiz, o DN do container de usuário e o DN do container de grupo do aplicativo. Nesta versão, você não pode especificar o treeRoot no eDirectory como o container raiz. Além disso, também não pode especificar mais de uma raiz de pesquisa para nenhum tipo de objeto (container, usuário ou grupo). Em vez disso, especifique um único escopo de pesquisa.
Uma organização (o) poderia estar contida em um País (c) ou localidade (l), como mostrado abaixo:
c=US o=novell-provo o=novell-waltham
Esse tipo de configuração funciona.
Se duas instâncias separadas do driver de Aplicativo do Usuário apontarem para o mesmo container de usuário, as configurações de disponibilidade (na página Disponibilidade de Edição do aplicativo do usuário) mostrarão as entradas de disponibilidade de ambos os aplicativos.
Por exemplo, o Servidor 1 é configurado para usar um driver (como driver1,o=novell) e o Servidor 2 é configurado para usar outro (como driver2,o=novell). Ambos os servidores são configurados para usar os mesmos containers para usuários, grupos e container raiz (como ou=users,o=novell). Um usuário no servidor 1 cria uma definição de delegação para um usuário e uma definição de solicitação de aprovisionamento. O usuário é então marcado como indisponível para essa definição de solicitação. O Servidor 2 mostra o usuário como indisponível, mas é incapaz de solucionar o nome facilmente reconhecido para a definição de solicitação. Se as definições de delegação do usuário no servidor 2 forem examinadas, a definição do servidor 1 não será vista.
O motivo para esse comportamento é que as informações de delegação (criadas quando os usuários se denominam como disponível/indisponível) são armazenadas em registros de usuário. Essas informações incluem as informações de indicado/delegador junto com as definições de solicitação de aprovisionamento e o momento de início/término da delegação. A definição de delegação, a partir da qual são derivadas as informações de delegação, é armazenada no driver, junto com a definição de solicitação de aprovisionamento.
Recomendamos que duas instâncias de driver separadas não sejam configuradas de forma que apontem para o mesmo container de usuário.
O driver do Aplicativo do Usuário lê a lista de atributos do workflow ao ser iniciado. Se você criar uma nova definição de solicitação de aprovisionamento e se tentar imediatamente criar uma política de Mapeamento de Esquema, os atributos da nova definição de solicitação de aprovisionamento não aparecerão na lista de atributos do aplicativo após a atualização do esquema do aplicativo. Isso ocorre porque o driver do Aplicativo de Usuário precisa ser reiniciado antes que a definição de solicitação de aprovisionamento fique disponível. Após a criação da nova definição de solicitação de aprovisionamento, pare o driver do Aplicativo do Usuário e depois reinicie-o antes de tentar usar a definição de solicitação de aprovisionamento nas políticas. Como alternativa, no editor de política de Mapeamento de Esquema, simplesmente atualize duas vezes o esquema do aplicativo.
Ao executar workflows em um cluster, cada mecanismo de workflow do servidor deve ter um ID exclusivo. O ID do mecanismo é identificado ao transferir -Dcom.novell.afw.wf.engine-id para o Java VM. No Linux, o usuário precisa editar o arquivo jboss/bin/run.conf e passar essa propriedade na linha JAVA_OPTS. Por exemplo:
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
O programa de instalação não solicita que você especifique o ID do mecanismo de workflow. Portanto, você precisa identificar o mecanismo transferindo a propriedade JAVA_OPTS como mostrado acima.
Se você alterar a forma como as imagens são exibidas no cabeçalho do portlet de Detalhes especificando a tag $IMG:, deverá descarregar o cache CompiledLayout para que as alterações tenham efeito. Siga estas etapas para descarregar o cache:
Vá para a guia do aplicativo do usuário.
Vá até a guia .
Selecione na lista suspensa .
Clique em .
O utilitário de Importação de Dados para o Portal (Administração > Ferramentas > Importação de Dados para o Portal) usa shared-pages.xml e container-pages.xml no arquivo ZIP de Exportação de Dados do Portal para gerar o container, as páginas compartilhadas e os portlets. Se o elemento <description/> estiver em branco, as páginas não poderão ser importadas.
Para solucionar o problema, forneça texto para o elemento <description/> e execute a importação novamente.
O Aplicativo do Usuário do Identity Manager: Guia de Administração contém algumas informações sobre a configuração do JBoss. Se você precisar de mais informações sobre a configuração do JBoss, dê uma olhada nas fontes listadas abaixo:
Para obter detalhes sobre a configuração do JBoss como serviço no SUSE, consulte o site do Cool Solutions da Novell.
Para a configuração do Apache SSL, consulte a seção apropriada no site do JBoss.
Para obter mais informações sobre a configuração de SSL do IIS, consulte o JBoss Forum: Installation, Configuration, and Deployment (Fórum do JBoss: Instalação, Configuração e Distribuição).
Para usar o plug-in Configuração de Solicitação de Aprovisionamento do iManager, é preciso ter direitos de leitura e gravação nos atributos associados aos objetos Solicitação de Aprovisionamento.
Por padrão, o filtro de codificação de caracteres do aplicativo do usuário é definido como habilitado no web.xml do aplicativo do usuário. Essa definição geralmente não requer uma configuração específica, mas pode exigir mudanças caso você tenha configurado o Tomcat para codificação de URI. Existem dois atributos na configuração do conector HTTP/HTTPS do Tomcat que afetam a codificação do conjunto de caracteres e a configuração do filtro.
Essa entrada especifica a codificação de caracteres usada para decodificar os bytes do URI, após a decodificação %xx do URL. Caso não tenha sido especificada, ISO-8859-1 será usada. Para isso, observe os seguintes requisitos:
Os conectores HTTP e HTTPS têm a mesma configuração.
O filtro de codificação Charest deve ser modificado para incluir o parâmetro de inicialização uri-encoding (codificação de uri). O valor desse parâmetro deve ser igual ao valor do atributo URIEncoding na configuração do conector Tomcat.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Também acrescente URIEncoding="UTF-8" em jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml, por exemplo:
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />Caso o SSL esteja habilitado, faça a mesma mudança no Conector SSL HTTP/1.1.
Essa entrada especifica se a codificação especificada em contentType deve ser usada como parâmetro de consulta do URI em vez de usar o URIEncoding. Essa configuração existe para a compatibilidade com Tomcat 4.1.x, no qual a codificação é especificada no contentType ou definida explicitamente com o método Request.setCharacterEncoding para os parâmetros do URL. O valor padrão é falso.
Se useBodyEncodingForURI estiver definido como verdadeiro, a configuração do filtro deverá incluir um parâmetro use-body-encoding init, por exemplo:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Para obter mais detalhes, consulte o site sobre informações de configuração do conector Tomcat.
Houve uma mudança na forma com que o atributo com vários valores DirXML-EntitlementResult é tratado. Anteriormente, o resultados de direito não eram purgados desse atributo. Agora, o comportamento padrão foi mudado. Os resultados de direito são purgados depois de serem processados.
Você pode mudar o comportamento padrão (especificar se os resultados de direito são purgados ou não e como isso é feito). Para definir o tipo de purgação de direito:
No iManager, exiba a página de Visão Geral do Driver do Identity Manager referente ao driver do seu aplicativo de usuário.
Clique em .
Clique na política Gerenciar Modificação para o seu driver do aplicativo de usuário e clique em .
Clique em .
Para a ação , digite uma das seguintes opções no campo :
current: Após notificar o driver de aplicativo do usuário, apaga o resultado do direito que causou o evento. Esse é o comportamento padrão. Também é usado caso nenhum tipo de purgação de direito tenha sido definido ou se tiver sido definido um tipo inválido.
nenhum: Não purga o resultado do direito.
anterior: Apaga qualquer resultado de direito anterior sem apagar aquele que causou o evento.
notnewer: Apaga qualquer resultado de direito anterior incluindo aquele que causou o evento. Isso preserva qualquer resultado de direito que foi criado após o resultado de direito que causou o evento.
O portlet de acessório Arquivo de Rede tem esta preferência nova: ShortcutsUseFullyQualifiedPath. Caso esta opção seja definida como Verdadeiro, os atalhos que você especificar na preferência Atalhos deverão ter caminhos completos. Se essa opção for definida como Falso, os atalhos especificados na preferência Atalhos deverão ter os caminhos relativos ao InitialDirectory. Selecione Falso apenas se os usuários forem navegar somente até os subdiretórios no caminho.
Com a versão atual do JBoss, a configuração do portlet Arquivo de Rede para acessar um servidor NetWare através do RMI foi mudada.
Atualmente, a documentação instrui a copiar njclv2r.jar de sys:\java\njclv2r\lib no servidor NetWare/RMI para o diretório $JAVA_HOME$/jre/lib/ext na sua plataforma de portal.
Com a versão atual do JBoss, é necessário copiar o njclv2r.jar para o diretório .../jboss/server/IDM/lib onde o seu Aplicativo do Usuário foi inicialmente distribuído. Em seguida, reinicie o JBoss.
Para encerrar a sessão do NetStorage e fechar o acesso aos arquivos usados, clique no botão de logout na interface da Web do NetStorage.
No Guia de Referência do Portlet de Acessório do Identity Manager , substitua cada descrição de como habilitar o SSO do portlet com este procedimento:
Para habilitar o Single Sign-on do portlet, faça o seguinte:
No Aplicativo do Usuário, abra a guia e escolha .
Selecione .
Clique no botão de opção que habilita o SSO.
O nome do arquivo de registro jboss/server/IDM/conf/extendlogging.xml mudou para jboss/server/IDM/conf/idmuserapp_logging.xml. O novo nome do arquivo de registro é usado no Aplicativo do Usuário do Identity Manager 3.5.1: Guia de Administração, Seção 5.1.4 “Configuração de registro”, na subseção “Mantendo as mudanças do registro”.
Ao acrescentar um pacote à lista de registro, ele aparece imediatamente na tela Configuração de Registro. Para remover um pacote da lista de registro:
Não clique em . O novo pacote vai desaparecer da lista de registro na próxima vez em que você iniciar o servidor.
Se você clicar em , deverá remover manualmente o pacote do arquivo idmuserapp_logging.xml localizado no diretório $JBOSS/servers/$seafang/conf.
No Identity Manager 3.5 ou 3.5.1, você pode obter um erro de espaço java.lang.OutOfMemoryError: PermGen se redistribuir o Aplicativo do Usuário.
Para evitar esse erro, siga um dos seguintes procedimentos:
Reinicie o servidor JBoss.
Aumente o valor PermSpace passando -XX:MaxPermSize para a Máquina Virtual Java através do JAVA_OPTS no script start-jboss.
Para máquinas de 32 bits, especifique 128 megabytes. Por exemplo, -XX:MaxPermSize=128m.
Para máquinas de 64 bits, especifique 256 megabytes. Por exemplo, -XX:MaxPermSize=256m.
Os mecanismos de workflow em um cluster detectam quando houve falha no mecanismo de workflow no cluster, e automaticamente redistribuem os processos em execução no mecanismo de workflow com falha para outro mecanismo do mesmo tipo.
No entanto, pode haver ocasiões em que você deseja redistribuir manualmente um processo de workflow de um mecanismo para outro (por exemplo, para distribuir os processos novamente para um mecanismo de workflow com falha quando ele fica online outra vez). Para fazer isso, use o plug-in de Administração do Workflow do iManager, como segue:
Selecione a categoria em no iManager.
Selecione .
Se você ainda não acessou um servidor de workflow, especifique o nome do driver no campo e clique em .
O iManager preenche os demais campos da tela.
(Opcional) Substitua o nome de usuário no campo e a senha no campo .
O usuário deve ser o administrador do Aplicativo do Usuário (Administrador de Aprovisionamento). Por padrão, o nome de usuário é definido como o usuário que está conectado no iManager. Caso esse usuário não seja o administrador do aplicativo do usuário, é necessário mudar o nome de usuário.
Clique em Login.
O plug-in Administração do Workflow exibe uma página que lhe permite especificar um filtro para localizar workflows.
Clique em e em .
O iManager exibe os processos de workflow em execução no driver especificado do aplicativo do usuário. A coluna lista o ID do mecanismo de um workflow.
Para redistribuir um processo de workflow de um mecanismo para outro, selecione o workflow no painel Workflows clicando na caixa de seleção próxima ao nome do workflow, e depois clique em .
Ao usar a atividade de Integração em um workflow de aprovisionamento, você pode ver este erro no console do JBoss ao encerrar.
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
Essas mensagens de erro não indicam nenhum problema grave. Ao iniciar o JBoss novamente, o servidor e o Aplicativo do Usuário devem se comportar normalmente.
Os erros a seguir podem aparecer no registro quando o Aplicativo do Usuário estiver configurado para usar a notificação por e-mail. Você pode ignorar esses erros. Os usuários continuam recebendo notificações por e-mail.
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Host não-especificado do servidor de e-mail de notificação. Verifique a configuração do eDirectory. com.novell.soa.notification.impl.NotificationException: host não-especificado do servidor de e-mail de notificação. Verifique a configuração do eDirectory...
ou
13:39:47,264 ERROR [MailEngine] Campo -from- padrão do e-mail de notificação não-especificado. Verifique a configuração do eDirectory. com.novell.soa.notification.impl.NotificationException: Campo -from- padrão do e-mail de notificação não-especificado. Verifique a configuração do eDirectory. em . . .
Por padrão, o tempo de espera da sessão para o servidor é de 20 minutos. O tempo de espera da sessão deve ser ajustado para corresponder ao servidor e ao ambiente de uso no qual o aplicativo será executado. Em geral, é recomendável que o tempo de espera da sessão seja o menor possível. Se os requisitos comerciais puderem tolerar até cinco minutos de tempo de espera da sessão, isso permitirá que o servidor libere recursos não utilizados mais cedo que o padrão e torne o servidor mais rápido e escalável.
Tempos de espera da sessão mais longos podem fazer com que o servidor JBoss fique sem memória caso muitos usuários efetuem login. Isso pode acontecer com qualquer servidor de aplicativos com muitas sessões abertas.
Quando um usuário efetua login no aplicativo do usuário, uma conexão LDAP é criada para o usuário e vinculada à sessão. Assim, se mais sessões estiverem abertas, mais conexões LDAP serão mantidas abertas, e quanto maior for o tempo da sessão, por mais tempo essas conexões permanecerão abertas. Mesmo que as conexões estejam ociosas, um grande número de conexões abertas ao servidor LDAP pode prejudicar o desempenho do sistema.
Se o servidor começar a apresentar erros de memória insuficiente, e se os parâmetros de ajuste da coleta de lixo e pilha da JVM já tiverem otimizados para os ambientes de uso e servidor, convém considerar a redução do tempo de espera de sessão.
O tempo de espera da sessão é definido no arquivo web.xml.
Se você habilitar uma notificação por e-mail nas definições de solicitação de aprovisionamento, mas não configurar servidores de e-mail, as notificações por e-mail se empilharão no servidor e nunca serão enviadas. Isso usará eventualmente a memória disponível.
Se você ativar a notificação por e-mail, não deixe de configurar o servidor de e-mail de forma que as mensagens realmente sejam enviadas. Para configurar o servidor de e-mail, selecione em no iManager.
Os clientes Windows GroupWise® Mail e Outlook* apresentam um erro conhecido ao exibir o texto do Assunto a partir de um comando HTML mailto:. Esse erro aparece quando o browser usa um idioma definido para caracteres de byte duplo, por exemplo, o chinês, o japonês ou o coreano.
Nesse caso, quando você envia as informações de identidade da página Detalhes, a linha Assunto possui caracteres inválidos, pois esses clientes de correio não desfazem o escape dos caracteres de byte duplo corretamente.
Você deve verificar se as codificações de caracteres de entrada e saída correspondem àquelas usadas pelo aplicativo de origem ou de destino. Qualquer caractere que não seja representável na saída selecionada será mudado para ponto de interrogação ("?").
Se você executar a ferramenta de Configuração do Aplicativo de Usuário (para a configuração de definições de LDAP) em um ambiente de sistema operacional localizado, todas as caixas de entrada de texto serão exibidas corretamente. Por exemplo, se houver algum nome exclusivo em chinês no eDirectory ou você digitar qualquer caractere chinês, isso será exibido adequadamente em um ambiente de sistema operacional em chinês. Porém, se você estiver em um ambiente de sistema operacional em inglês, qualquer caractere chinês digitado ou retornado do e Directory será exibido como caractere ilegível (geralmente como um quadrado). Isso ocorre porque o Locale não está definido adequadamente.
Se você estiver em um ambiente de sistema operacional em inglês e desejar exibir caracteres localizados, faça o seguinte:
- Em um ambiente Windows 2000, vá para o Painel de Controle e selecione . Na guia , ajuste com o idioma local (por exemplo, chinês (RPC)).
- Em um ambiente Windows 2003, vá para o Painel de Controle e selecione . Na guia , selecione e aplique a mudança.
- Em um ambiente SUSE Linux, defina a variável de ambiente LANG como segue: export LANG=zh_CN
O mesmo procedimento básico se aplica a todos os idiomas.
O portlet de acessório Mensagem não foi localizado.
Em > , a caixa de diálogo Preferências de Conteúdo sempre exibe o seguinte texto em inglês: “Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving." (Foram feitas mudanças no Conteúdo Selecionado. Clique em OK para gravar as mudanças ou em cancelar para continuar sem gravar.)
Quando o Identity Manager envia um e-mail que contém um idioma com conjunto de caracteres de byte duplo (por exemplo, chinês ou japonês), o cliente do e-mail terá problemas para lê-lo. Contate o Suporte Técnico da Novell se você tiver esse problema.
As seções a seguir listam os bugs, as correções e as soluções para o iManager.
Os plug-ins do Identity Manager 3.5.1 usam a API JClient.readReference ( ). Essa API foi atualizada no iManager 2.7. Se você estiver executando o iManager 2.6, a Novell recomenda a atualização do JClient subjacente no iManager 2.6 para ser a mesma versão no iManager 2.7. A versão mais antiga do JClient pode fazer com que o iManager trave ou não funcione.
Quando se está no iManager, particularmente o Construtor de Políticas, o Internet Explorer 7 solicita continuamente o acesso à área de transferência. Para desabilitar a solicitação:
Clique em > .
Selecione a guia e clique em .
Localize > e selecione .
Depois de reiniciado o Internet Explorer, as solicitações param de aparecer.
Para adicionar gabaritos de e-mail localizados por meio do iManager:
Efetue login no iManager.
Em Funções e Tarefas, expanda ou .
Clique em (no plug-in Senhas) ou (em Administração do Workflow).
Identifique o gabarito de e-mail (sem nenhum locale no nome) que deseja copiar. Anote o nome do gabarito para usá-lo na etapa 5. Clique no assunto do gabarito para abrir o modelo e ver o assunto, o corpo e as tags de substituição da mensagem. Copie o assunto e o corpo (a serem traduzidos) e as tags de substituição da mensagem que deseja usar no seu novo gabarito. Clique em .
Clique em e digite o nome do gabarito com uma extensão de locale. Por exemplo, para criar um gabarito Dica Esquecida em alemão, digite o nome Dica Esquecida_de, onde _de significa Deutsch (alemão). Clique em .
NOTA: se você usar um código de idioma com duas letras e um código de país com duas letras, esse procedimento funcionará como esperado. Se tentar usar um locale com uma variante como en_US_TX, somente a variante e o idioma serão considerados. Não use as variantes de locale ao nomear gabaritos de e-mail nesta versão.
Na lista de gabaritos, clique no modelo criado recentemente (por exemplo, Dica Esquecida_de) e digite o assunto traduzido e o corpo da mensagem (por exemplo, em alemão). Não deixe de manter as tags de substituição delimitadas pelo cifrão ($) no corpo da mensagem.
Clique em para digitar ou colar as tags de substituição e clique em .
Clique em e, em seguida, em .
Os gabaritos de e-mail só enviam conteúdo adequadamente localizado se o locale preferido estiver definido para o usuário ao qual a mensagem será enviada.
Esse problema é resolvido no upgrade para o NMAS™ 2.3.9.
Se você quiser usar o Assistente de Certificados do Driver do NDS para NDS, será preciso fazer download e instalar o plug-in do iManager para o Servidor de Certificado.
Ao usar os plug-ins do Identity Manager 3.5 e o Mobile iManager 2.6, o iManager poderá ser encerrado de forma inesperada se você selecionar . Esse problema ocorre com base em um erro na sub-rotina do JavaScript* do browser Mozilla incorporado que é fornecido com o Mobile iManager no Linux.
Para corrigir esse problema:
Inicie o Mobile iManager e depois minimize-o.
Abra o seu browser preferido e depois acesse o iManager no seguinte endereço: http:\\localhost:48080\nps\iManager.html.
Verifique se as codificações de caracteres de entrada e saída configuradas no driver de texto delimitado correspondem àquelas usadas pelo aplicativo de origem ou de destino. Correspondências equivocadas ocasionam erros ou dados corrompidos no Identity Vault ou no aplicativo. Os caracteres que não sejam representáveis na saída selecionada serão mudados para ponto de interrogação(?).
As seções a seguir descrevem os erros, os problemas e as soluções relacionados ao gerenciamento de senha.
O aplicativo do usuário remove os valores na configuração dos logins extras de Limite do objeto no seguinte cenário:
Você cria uma política de senha, mas não define a configuração de Vida Útil da Senha da política.
Você modifica um usuário daquela política para expirar a senha ajustando os logins extras de Limite do objeto Usuário.
Esse usúario efetua login através do Aplicativo do Usuário. O Aplicativo do Usuário ignora a configuração de logins extras do Limite do usuário e então os remove do objeto Usuário.
Caso o portlet de gerenciamento de senha do JSF esteja em execução em um ambiente com cluster e o servidor que executa o portlet falhar, o usuário é automaticamente passado para outro servidor. O portlet é exibido ao usuário sem nenhuma mensagem sobre falha ou sucesso da operação de portlet do servidor original. O usuário pode testar para ver se a operação foi bem-sucedida antes da falha do servidor ou da reexecução do portlet. Os portlets de gerenciamento de senha afetados são os seguintes:
Resposta de Verificação de Senha
Mudança de Dica de Senha
Mudar Senha
O Aplicativo do Usuário incluso com o Identity Manager 3.5 suporta a utilização completa dos conjuntos de verificação de vários idiomas. Você pode configurar essa função através do iManager e ajustando as políticas de senha.
Se estiver usando o Novell Client™ 4.9.1 ou posterior, ou o Gerenciamento de Senha para Novell eDirectory, esse recursos de múltiplos idiomas ainda não é suportado. Você não deve atribuir políticas de senha aos usuários caso tenha definido os conjuntos de verificação em mais de um idioma. Por exemplo, é possível definir os conjuntos de verificação para o francês, mas não francês e alemão.
O usuário pode encontrar um erro do tipo Falha na resposta de verificação quando:
Inserir um nome de usuário na página Senha Esquecida.
Não responder às perguntas de verificação.
Clicar no botão do browser e inserir um nome de usuário diferente na página Senha Esquecida.
Para resolver o problema, o usuário deve reiniciar o processo de Senha Esquecida acessando este URL:
http://<servername>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf
Os downloads do Identity Manager 3.5 anteriores a 9 abril de 2007 continham um problema de segurança. Sob certas condições, os plug-ins do iManager estavam mostrando aos usuários administrativos os valores dos atribuitos ocultos. Foi feita uma correção no plug-in do iManager para desativar a exibição dos atributos ocultos que foram sincronizados pelos drivers do Identity Manager. Como os drivers geralmente sincronizam informações importantes, os direitos administrativos desses drivers devem ser limitados para impedir o acesso não-autorizado.
Os CRCs da mídia original afetada são os seguintes:
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
É possível obter os pacotes mais recentes no site de download da Novell.
Esta seção inclui as mudanças realizadas na documentação do Identity Manager 3.5.1, incluindo correções e informações adicionais do produto.
Observe as seguintes mudanças em todas as tabelas de Opções Avançadas dos parâmetros de configuração do Aplicativo do Usuário no Guia de Instalação do Identity Manager 3.5.1 , Capítulo 5, “Instalando o Aplicativo do Usuário”:
Substitua o seguinte na Seção 5.6.12 do Guia de Instalação do Identity Manager 3.5.1:
Copie o arquivo sys-configuration-xmldata.xml do diretório de instalação do Aplicativo do Usuário para um diretório na máquina que hospeda o servidor WebSphere, por exemplo, /UserAppConfigFiles. O diretório de instalação do Aplicativo do Usuário é o diretório em que você instalou o Aplicativo do Usuário.
Configure o caminho para o arquivo sys-configuration-xmldata.xml nas propriedades do sistema da JVM. Efetue login no console de administração do WebSphere como usuário administrativo para fazer isso.
No painel à esquerda, vá em .
Clique no nome do servidor na lista de servidores, por exemplo, servidor1.
Na lista de configurações à direita vá em em .
Expanda o link e selecione .
Na lista de , selecione .
Selecione no cabeçalho para a página da JVM.
Clique em para adicionar uma nova Propriedade Personalizada da JVM.
Em , insira extend.local.config.dir.
Em , insira o nome da pasta (diretório) de instalação que você especificou durante a instalação. (O instalador gravou no arquivo sys-configuration-xmldata.xml para esta pasta.)
Em , digite uma descrição para a propredade, por exemplo, caminho para sys-configuration-xmldata.xml.
Clique em para gravar a propriedade.
Clique em para adicionar outra Propriedade Personalizada da JVM.
Em , digite idmuserapp.logging.config.dir.
Em , digite o nome da pasta (diretório) de instalação que você especificou durante a instalação.
Em , digite uma descrição para a propredade, por exemplo, caminho para idmuserapp_logging.xml.
Clique em para gravar a propriedade.
NOTA: o arquivo idmuserapp-logging.xml não existe até que você mantenha as mudanças através de .
Nesta documentação, o símbolo maior que (>) é utilizado para separar ações dentro de uma etapa e itens em um caminho de referência cruzada.
Um símbolo de marca registrada (®, ™, etc.) indica uma marca registrada da Novell®; um asterisco (*) indica uma marca registrada de terceiros.
A Novell, Inc. não faz representações ou garantias com relação ao conteúdo ou uso desta documentação, e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de revisar esta publicação e fazer mudanças em seu conteúdo, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais revisões ou mudanças.
A Novell, Inc. não faz ainda representações ou garantias com relação a qualquer software e, particularmente, não se responsabiliza por quaisquer garantias expressas ou implícitas de comerciabilidade ou adequação a qualquer finalidade específica. Além disso, a Novell, Inc. reserva-se o direito de fazer mudanças em qualquer uma ou todas as partes do software da Novell, a qualquer momento, sem a obrigação de notificar qualquer pessoa ou entidade de tais mudanças.
Quaisquer informações técnicas ou sobre produtos fornecidas de acordo com este Contrato estão sujeitas aos controles de exportação dos EUA e às leis comerciais de outros países. Você concorda em obedecer a todos os regulamentos de controle de exportação e em adquirir quaisquer licenças ou classificações necessárias para exportar, reexportar ou importar produtos. Você concorda em não exportar nem reexportar para entidades que constam nas listas de exclusão de exportação atual dos EUA ou para qualquer país embargado ou terrorista conforme especificado nas leis de exportação dos EUA. Você concorda em não usar produtos para fins proibidos relacionados a armas nucleares, biológicas e químicas ou mísseis. Consulte a página da Web Novell International Trade Services para obter mais informações sobre como exportar softwares da Novell. A Novell não se responsabiliza pela falha na aquisição de quaisquer aprovações necessárias para exportação.
Copyright © 2007 Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida, fotocopiada, armazenada em um sistema de recuperação ou transmitida sem o consentimento expresso por escrito do editor.
A Novell, Inc. tem direitos de propriedade intelectual relacionados à tecnologia incorporada no produto descrito neste documento. Especificamente e sem limitações, esses direitos de propriedade intelectual podem incluir uma ou mais das patentes dos E.U.A. listadas na página de patentes legais da Novell na Web e uma ou mais patentes adicionais ou aplicativos de patentes pendentes nos E.U.A. e em outros países.
Para as marcas registradas da Novell, consulte a Lista de Marcas Registradas e Marcas de Serviço da Novell.
Todas as marcas registradas de terceiros pertencem aos seus respectivos proprietários.