Последнее обновление от 28 сентября 2007 года.
В данном документе перечислены известные проблемы продукта Identity Manager версии 3.5.1.
В настоящее время доступны следующие дополнительные источники документации:
В данном разделе приводится описание двух новых функций в дополнение к списку новых функциональных возможностей, перечисленных в разделе "Что нового в данной версии" Руководства по установке Identity Manager 3.5.1 .
Компонент User Application Identity Manager поддерживает единую регистрацию через диспетчер доступа с использованием любого сервиса аутентификации, предоставляемого третьей стороной и способного регистрироваться в диспетчере доступа. Это дает возможность регистрироваться в компоненте User Application через диспетчер доступа с помощью технологий, не использующих пароль. Можно, например, использовать для регистрации сертификат пользователя (клиента), в частности - смарт-карту. Дополнительную информацию см. в подразделе "Защита" раздела "Проектирование рабочей среды" Руководства по администрированию компонента User Application Identity Manager 3.5.1
В URL-адресе официальной документации по продукту Identity Manager теперь можно задавать параметры поиска.
В этом разделе описаны требования к системе для продукта Identity Manager 3.5.1:
Требования к наличию Java *для установки Identity Manager 3.5.1:
Компонент User Application требует наличия Java 5.0.10 для поддержки электронных подписей и технологии Cryptovision.
Для работы с серверами приложений JBoss * нужно загрузить и установить следующие JDK* (инструментальные пакеты для разработки приложений на Java) компании Sun*: Java 2 Platform Standard Edition Development Kit 5.0. Используйте JRE версии 1.5.0_10.
Примечание: Не следует использовать JDK компании IBM*, поставляемый в комплекте с операционной системой SUSE® Linux Enterprise Server (SLES). Использование JDK компании IBM, поставляемого в комплекте со SLES, может вызвать порчу главного ключа.
На серверах приложений WebSphere следует использовать пакет IBM JDK, поставляемый в комплекте с сервером приложений WebSphere* Application Server 6.1.0.9 или более поздней версии с применением файлов неограниченных политик. Кроме того, следует установить пакет обновлений WAS JDK для версии 6.1.0.9.
Установочная программа метакаталога устанавливает свою собственную копию JVM на всех платформах, кроме NetWare. На платформе NetWare метакаталог использует ту версию Java, которая уже установлена в системе.
Identity Manager 3.5.1 поддерживает Novell Audit 2.0.2.
В дополнение к требованиям, перечисленным в руководстве Руководство по установке Identity Manager 3.5.1, компонент User Application требует наличия сервера приложений WebSphere Application Server (WAS) версии 6.1.0.9 и пакета WAS SDK версии 6.1.0.9.
Если при использовании базы данных DB2 появляется сообщение об ошибке: "Произведен откат транзакции из-за блокировки или тайм-аута", возможно, что проблема вызвана параллельным доступом большого количества пользователей или большим количеством параллельных операций в базе данных.
База данных DB2 предоставляет различные способы разрешения конфликтов, вызывающих блокировку: например, метод настройки оптимизатора на основе стоимости. Руководство по настройке производительности, входящее в комплект документации по администрированию DB2 - богатый источник сведений о настройке.
Универсальных значений параметров настройки не существует, поскольку сценарии параллельного доступа и объем данных могут сильно различаться. Однако нижеприведенные советы могут оказаться полезными:
Команда reorgchk update statistics обновит статистические показатели, используемые оптимизатором. Регулярного пересчета этих показателей может быть достаточно для улучшения ситуации.
Использование параметра DB2 из реестра - DB2_RR_TO_RS - может улучшить параллельный доступ, поскольку отменяет блокировку следующего ключа вставляемого или редактируемого ряда.
Увеличьте параметры базы данных MAXLOCKS и LOCKLIST.
Увеличьте значение свойства currentLockTimeout пула соединений базы данных.
Используйте консультант по настройке базы данных и оптимизации для ускорения транзакций.
Установите свойство VOLATILE для всех таблиц компонента User Application - это указание для оптимизатора, что количество записей в таблицах может существенно различаться. Например, установка свойства VOLATILE таблицы AFACTIVITY производится с помощью следующей команды: ALTER TABLE AFACTIVITY VOLATILE
До запуска команд ALTER TABLE сначала следует впервые запустить компонент User Application и создать таблицы базы данных. Для получения дополнительной информации о команде ALTER TABLE обратитесь к документации по этой команде. Далее перечислены команды SQL для всех таблиц компонента User Application:
ALTER TABLE AFACTIVITY VOLATILEALTER TABLE AFACTIVITYTIMERTASKS VOLATILEALTER TABLE AFBRANCH VOLATILEALTER TABLE AFCOMMENT VOLATILEALTER TABLE AFDOCUMENT VOLATILEALTER TABLE AFENGINE VOLATILEALTER TABLE AFENGINESTATE VOLATILEALTER TABLE AFMODEL VOLATILEALTER TABLE AFPROCESS VOLATILEALTER TABLE AFPROVISIONINGSTATUS VOLATILEALTER TABLE AFQUORUM VOLATILEALTER TABLE AFRESOURCEREQUESTINFO VOLATILEALTER TABLE AFWORKTASK VOLATILEALTER TABLE AUTHPROPS VOLATILEALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILEALTER TABLE DSS_APPLET_CFG VOLATILEALTER TABLE DSS_APPLET_CFG_MAP VOLATILEALTER TABLE DSS_BROWSER_TYPE VOLATILEALTER TABLE DSS_CONFIG VOLATILEALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILEALTER TABLE DSS_USR_POLICY_SET VOLATILEALTER TABLE PORTALCATEGORY VOLATILEALTER TABLE PORTALPORTLETHANDLES VOLATILEALTER TABLE PORTALPORTLETSETTINGS VOLATILEALTER TABLE PORTALPRODUCERREGISTRY VOLATILEALTER TABLE PORTALPRODUCERS VOLATILEALTER TABLE PORTALREGISTRY VOLATILEALTER TABLE PROFILEGROUPPREFERENCES VOLATILEALTER TABLE PROFILEUSERPREFERENCES VOLATILEALTER TABLE SCHEMAVERSION VOLATILEALTER TABLE SECURITYACCESSRIGHTS VOLATILEALTER TABLE SECURITYPERMISSIONMETA VOLATILEALTER TABLE SECURITYPERMISSIONS VOLATILEALTER TABLE SEC_DELPROXY_CFG VOLATILEALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILEALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
Использование драйвера Oracle* 9i вызывает следующее исключение: org.hibernate.exception.GenericJDBCException: не удается вставить: [com.sssw.fw.security.persist.EboPermissionMeta]
Этой проблемы можно избежать, применяя драйверы Oracle 10g: ojdbc14.jar и orai18n.jar. Эти драйверы обладают обратной совместимостью с Oracle 9i.
В следующих разделах описываются известные проблемы, возникающие при установке, и их временные решения.
При запуске компонента User Application с сервером приложений JBoss, запущенным как сервис Windows, иногда возникает следующая ошибка:
com.sssw.fw.exception.EboUnrecoverableSystemException: Не удается инициализировать сервис инфраструктуры EboPortletContainer. в com.novell.afw.portlet.core.EboPortletContainer.<clinit>(EboPortletContainer.java:100) at com.sssw.portal.servlet.EboPortalBootServlet.init(EboPortalBootServlet.java:86) at javax.servlet.GenericServlet.init(GenericServlet.java:211) at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1105) at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:932) at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:3951 . . . Причина: java.lang.ClassCastException: . . .
Эта ошибка возникает, когда сервис JBoss при запуске загружает не ту версию файла xalan.jar, которой ожидает Identity Manager. Чтобы устранить проблему, добавьте полный путь к файлу xalan.jar в параметр -Djava.class.path данного сервиса. В результате запись в реестре для данного сервиса будет выглядеть примерно так:
‑Djava.class.path=C:\Novell\IDM_35_FCS\jre\lib\tools.jar;C:\Novell\IDM_35_FCS\jboss\bin\run.jar;C:\Novell\IDM_35_FCS\jboss\lib\endorsed\xalan.jar
Затем перезапустите сервис.
Путь к файлу можно добавить при создании сервиса или позднее.
При установке компонента User Application Identity Manager на 64-битовой системе, если выбрана установка JBoss и MySQL с использованием JBossMysql.bin, при установке базы данных MySQL может возникнуть ошибка. Чтобы устранить проблему, запустите setup-mysql.sh, а затем start-mysql.sh.
Во время установки компонента User Application на 64-битовой системе с ОС SLES 10 при попытке доступа к характерному имени корневого контейнера иногда выводятся неправильные символы или появляется кнопка . В этом случае следует убедиться, что установленный JRE подходит для данной среды.
Не удается установить GUI на ОС Solaris* версий 9 и 10 при использовании eDirectory™ 8.8.1. Чтобы устранить проблему, выполните следующие действия:
Запустите программу установки на основе текста.
Используйте eDirectory 8.8.2, в которой этот дефект исправлен.
При выполнении сценария configupdate.sh происходит сбой после добавления в IDM.war произвольных файлов, если WAR был создан с помощью выполняемого файла jar из директории /usr/bin/jar, поставляемого в комплекте с ОС SLES 9. Возникает следующая ошибка:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)
Чтобы решить или предотвратить эту проблему, для создания WAR следует использовать более новую версию jar, как в следующем примере:/usr/lib/java/bin/jar -cvf IDM.war *
При запуске компонента User Application с настройками сервера JBoss по умолчанию выдается предупреждающее сообщение:
WARN [TomcatDeployer] Не удается настроить кластеризацию, кластеризация отключена. NoClassDefFoundError: org/jboss/cache/CacheException
Если при установке использовалась конфигурация по умолчанию (в один узел), данное сообщение можно игнорировать. Это сообщение генерируется сервером приложений JBoss. Оно указывает, что компонент User Application Identity Manager поддерживает кластеризацию, но выбранная конфигурация сервера приложений ее не поддерживает.
Если Ваш пароль к учетной записи при установке Identity Manager содержит специальные символы, расширение cхемы может генерировать ошибку. Следует проводить установку с использованием другой учетной записи или сменить пароль.
Новейшие версии диспетчера доступа могут не поддерживать путь URL-адреса по умолчанию для страницы разрегистрации ICS в настройках на странице "Показать дополнительные возможности" при конфигурации компонента User Application. Если значение URL-адреса по умолчанию https://yourIChainServer/cmd/ICSLogout не срабатывает, попробуйте использовать https://yourAccessManagerServer/AGLogout.
При установке компонента User Application возникнет ошибка, если на сервере уже запущен экземпляр MySQL через порт 3306 и сервер не предоставляет возможности установки MySQL через другой порт. Проблема вызвана ограничениями утилиты JbossMysql, поставляемой в комплекте с компонентом User Application. Проблему можно решить, установив MySQL с помощью автономной программы установки.
Решение: закрыть работающий экземпляр MySQL и запустить программу установки. Программа установит MySQL на порт 3306, но в процессе установки спросит, к какому порту Вы хотите подключаться. Задайте другой порт, затем откройте файл my.cnf, измените значение порта на новое и перезапустите экземпляр MySQL, принадлежащий компоненту User Application. Затем перезапустите другой экземпляр MySQL. С этого момента приложение должно работать нормально. Программа установки компонента User Application должна предоставлять возможность задать номер порта и запустить приложение через этот порт. В настоящее время, по-видимому, программа установки компонента User Application работает только в том случае, если порт 3306 свободен.
Следующие разделы описывают проблемы пользовательского интерфейса компонента User Application и предлагаемые временные решения этих проблем.
Компонент User Application не поддерживает имена политик паролей, содержащие пробелы в начале или в конце. Если одна из существующих политик паролей содержит пробелы в начале или в конце, сразу после ввода имени пользователя на странице "Забыт пароль" будет выдано сообщение "Ошибка запроса-ответа".
Наличие одного или более пробелов в конце имени набора аутентификационных вопросов вызывает ошибку при попытке компонента User Application извлечь аутентификационный вопрос из этого набора. Чтобы избежать этой проблемы, не используйте пробелы в конце имени набора аутентификационных вопросов.
Если в компоненте User Application создан объект-сущность, в имени которого содержатся обратные косые черты, в полном характерном имени объекта-сущности будут добавлены дополнительные обратные косые черты. Например, myusername\ превратится в mysusername\\\. Это известный дефект. Проблемы можно избежать, не используя обратные косые черты в именах объектов-сущностей.
В компоненте User Application Identity Manager на вкладке при редактировании информации о группах удаление и добавление групп следует производить как отдельные операции. Если группы добавляются и удаляются в рамках одного сеанса редактирования, имя удаленной группы появится снова после нажатия кнопки + ("Добавить").
Если зарегистрироваться в компоненте User Application через веб-навигатор семейства Mozilla (Firefox*, Netscape* или Mozilla*) как пользователь А, затем открыть другой экземпляр того же вида навигатора и зарегистрироваться как пользователь В, а затем вернуться в первый экземпляр навигатора, в нем окажется отображена информация пользователя В. Такое поведение объясняется тем, что все экземпляры веб-навигатора пользуются одним и тем же файлом cookie. Проблема специфична для веб-навигаторов семейства Mozilla и не возникает при использовании веб-навигатора Internet Explorer.
При редактировании организационных диаграмм с помощью редактора HTMLEditor с настройкой Orgchart в веб-навигаторе Firefox операции вырезки, вставки и копирования могут привести к генерированию исключения. Веб-навигатор Mozilla не предоставляет сценариям доступа к буферу обмена из соображений безопасности. Поэтому кнопки "Вырезать", "Копировать" и "Вставить" в веб-навигаторе Firefox недоступны.
Можно загрузить расширение для Firefox под названием Allow Clipboard Helper ("Помощник для буфера обмена") через пункт меню "Инструменты" > "Расширения", ведущий на веб-сайт для загрузки расширений
После загрузки вы увидите в списке инструмент .
Откройте его и введите адрес сервера, которому нужно предоставить доступ к буферу обмена, а затем нажмите кнопку . Можно добавить любое количество веб-сайтов. Закройте все веб-навигаторы Firefox и перезапустите Firefox. Операции вырезки, копирования и вставки должны работать нормально.
При регистрации в компоненте User Application Identity Manager в левом меню есть ссылка для создания пользовательской учетной записи. Для добавления записей в каталог в процессе создания пользовательской учетной записи нужны соответствующие права доступа к eDirectory. Поскольку компонент User Application Identity Manager содержит существующих пользователей eDirectory, эти пользователи должны уже иметь необходимые права доступа.
В iManager щелкните .
Перейдите к объекту, содержащему Ваш пользовательский контейнер (например, MySample.novell) и щелкните .
Добавьте опекуна (например, MySample.novell) и измените назначенные права.
Из списка выберите. В остальных полях оставьте значения, выбранные по умолчанию, затем щелкните .
Теперь все пользователи, содержащиеся в контейнере users.MySample.novell могут создавать пользователей и группы в пределах объекта-сущности MySample.
Компонент User Application поддерживает те же символы, что и iManager. Информацию о замене специальных символов на управляющие последовательности можно найти по адресу http://www.novell.com/documentation/imanager26/index.html, а также в главе 3 "Передвижение по интерфейсу iManager" Руководства по администрированию iManager 2.6, раздел 3.2, “Специальные символы”, стр. 20.
Если пользователь зарегистрировался в компоненте User Application, загрузил портлет регистрации или страницу через закладку или протокол и пытается снова зарегистрироваться, вторичная регистрация может задать неправильные настройки нового сеанса портала. Тогда вторичная регистрация генерирует ошибку. Для предотвращения возникновения проблемы всегда пользуйтесь ссылкой для разрегистрации перед тем, как зарегистрироваться.
Теперь размер заголовка вкладок верхнего уровня в компоненте User Application ограничен. Длина поля не должна превышать 22 символов. Для языков кроме английского при превышении этой длины текст будет урезан и завершен многоточием (...), означающим, что часть текста не показана. Чтобы увидеть текст целиком, нужно поводить над вкладкой курсором мыши.
Следующие разделы описывают проблемы, возникающие при администрировании компонента User Application, и предлагаемые решения этих проблем.
Файлы, нужные для аудита ( NAuditPA.jar и logevent.conf) теперь копируются в папку установки компонента User Application, даже если при установке функция аудита отключена. Однако файл logevent.conf содержит параметры, которые после установки надо будет редактировать вручную, если во время установки функция аудита отключена. Эти параметры описываются в главе 3 "Настройки регистрации" "Руководства по администрированию компонента User Application Identity Manager".
При редактировании скалярного атрибута с помощью формата потока выдается следующее сообщение об ошибке:
LDAP: код ошибки 19 - ошибка NDS: множественные значения недопустимы (-612)
Решение проблемы: при создании атрибутов класса в iManager следует использовать синтаксис строки (например, "Строка без учета регистра") , а не синтаксис потока. Синтаксис потока вообще следует использовать очень осмотрительно из-за свойственных ему больших издержек.
По умолчанию компонент User Application запускает сервер приложений JBoss через порт 8009. Это вызывает конфликт, поскольку порт 8009 уже занят сервером OES 2 Linux. Для избежания конфликта следует изменить настройки порта JBoss в файле service.xml до запуска сервера приложений JBoss.
При работе функциональности для восстановления забытого пароля в кластеризованной среде можно увидеть следующую трассировку стека:
java.io.NotSerializableException: com.novell.pwdmgt.soap.PasswordManagementBinding_Stub (If using exteranl forgot password war)java.io.NotSerializableException: com.novell.pwdmgt.jsf.util.MyCallbackHdlr
Это информационное сообщение, не требующее действий со стороны пользователя. Это случается, когда пользователь задействует функциональность для восстановления забытого пароля. Указанные сообщения об ошибках не помешают действиям пользователя по восстановлению забытого пароля. Пользователи не сталкиваются ни с какими проблемами и могут успешно завершить действия по восстановлению забытого пароля.
При использовании сервера приложений WebSphere некоторые портлеты, использующие JSF, могут вызвать следующую ошибку: java.io.NotSerializableException: javax.faces.application.FacesMessage$Severity
Эта ошибка не злокачественная и не влияет на работу JSF и портлета. Для подавления этой ошибки следует добавить в раздел "Изменение уровня детализации журнала"сервера приложений WebSphere следующую команду: com.ibm.ws.webcontainer.httpsession.HttpSessDRSBuffWrapper=fatal
Для обеспечения безопасности рекомендуется ограничить гостевые учетные записи администратора и LDAP минимальным набором прав, необходимым для выполнения назначенных им ролей. При назначении нижеперечисленных ролей в компоненте User Application (при установке, или позднее с помощью утилиты configupdate) следует задать для каждой роли отдельную учетную запись пользователя в хранилище учетных записей:
администратор LDAP
гость LDAP (если используется)
администратор компонента User Application
администратор по предоставлению приложений
Политики паролей не наследуются. Администратор компонента User Application должен явно применять политики паролей к контейнеру, в котором создаются пользователи. В противном случае может быть выдана следующая ошибка:
Недопустимый запрос менеджера защищенных паролей (SPM). Если ошибка повторяется, обратитесь к системному администратору.
Настройка параметров и с помощью утилиты configupdate позволяет операциям, не нуждающимся в SSL, проходить без использования SSL. Для операций, требующих SSL (например, для действий, связанных с паролем) SSL по-прежнему используется.
Если пользователь после регистрации перенаправляется на изменение пароля или подсказки для пароля, он может ввести URL-адрес портала и таким образом обойти проверку аутентификации до следующей регистрации. Это известная проблема, и решения для нее в настоящее время не существует.
Кнопка в утилите configupdate иногда вызывает сбой JVM в ОС Windows XP с пакетом обновления 2. Чтобы предотвратить возникновение проблемы, следует вместо использования кнопки вводить полное имя файла.
Если активированный драйвер компонента User Application перезапускается при отключенном сервере приложений, состояние драйвера может быть показано как требующее активации, несмотря на то, что данные для активации драйвера уже были введены. Это известный дефект. Чтобы предотвратить или решить проблему, драйвер компонента User Application следует запускать при запущенном и работающем сервере компонента User Application.
Это проблема JGroups (версия 2.2.7), поставляемой в комплекте с JBoss 4.0.5 GA. В кластеризованной среде она вызывает проблемы с производительностью. Подробную информацию о проблеме можно найти в разделе Блокировка - JBoss.org JIRA В JGroups 2.4 эта проблема решена. Чтобы избежать проблемы, описанной в JGRP-292, рекомендуется обновление до версии JGroups 2.4 или более поздней.
До проведения обновления до версии JGroups 2.4 (а также до проведения модернизации любого другого компонента, устанавливаемого вместе с JBoss) следует свериться со списком совместимости, который содержится в Матрице совместимости сервера приложений JBoss, JBossCache и JGroups
Для загрузки ПО и дополнительной информации о JGroups см. JGroups - проект JGroups
Исключение java.util.NoSuchElementException может возникнуть при работе компонента User Application с кластером. Это исключение - известная проблема в JBoss. Она исправлена в более новых версиях. Для дополнительной информации см. веб-сайт JBoss .
Пример трассировки стека, выдаваемой при проявлении данной проблемы:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
Конфиденциальные данные (например, пароль при единой регистрации) пользовательского сеанса в данной версии не шифруется. Конфиденциальные данные могут оказаться доступными при подслушивании сети. Для защиты конфиденциальных данных, которые временно хранятся пользовательским сеансом и могут передаваться по сети во время репликации сеанса в кластеризованной среде, нужно выполнить одно из следующих действий:
Включить шифрование в JGroups. Дополнительную информацию о включении шифрования в JGroups см. в разделе Шифрование в JGroups.
Убедитесь, что кластер находится за брандмауэром.
Администраторы теперь могут ограничивать срок действия начального пароля для новых пользователей. Для этого следует изменить "Настройки создания портлета", как указано в Руководстве по администрированию компонента User Application Identity Manager
Задайте настройку .
При установке значения срок действия пароля будет ограничен первым входом в систему.
При установке значения срок действия пароля будет установлен в соответствии с настройками eDirectory.
По умолчанию информация о завершенном рабочем процессе хранится 120 дней. Однако эту настройку можно изменить с помощью SOAP-интерфейса механизма рабочего процесса. Для доступа к SOAP-интерфейсу механизма рабочего процесса введите в веб-навигатор следующий URL-адрес:
http://server:host/IDMProv/provisioning/service?test
На странице, перечисляющей методы механизма рабочего процесса, выберите метод . Параметр, передаваемый этому методу, изменяет длительность хранения информации. Задаваемое значение измеряется в миллисекундах.
Одиночная кавычка в CN (общем имени) рабочего процесса не позволяет событию eDirectory запустить рабочий процесс. Не следует использовать одиночные кавычки в CN (общем имени) рабочего процесса.
В Руководстве по администрированию компонента User Application Identity Manager 3.5.1 недостает приведенной ниже информации, помогающей координировать пароли пользовательского приложения Identity Manager с политиками паролей iManager.
В разделах 19.3.1 и 19.7.1, в описании процесса задания требований к универсальному паролю: "Если универсальный пароль включен, откройте iManager и войдите в меню Убедитесь, что следующий параметр отмечен флажком: ."
В разделе 16.2.1 в описании контейнера свойства "Создание": "Если Вы создаете пользователей с помощью портлета "Создание" и хотите назначать пользователей политике паролей iManager, следует назначить этот контейнер той же самой политике паролей iManager. Таким образом обеспечивается автоматическое назначение пользователей, создаваемых в пользовательском приложении, политике паролей iManager, действующей по умолчанию."
На сервере компонента User Application ( сервер JBoss) при использовании страницы регистрации компонента User Application, если Вы щелкнули ссылку и ввели имя пользователя, портал может выдать через консоль JBoss следующее сообщение об ошибке, не перенаправляя пользователя:
08:59:17,962 ERROR [EboPortletProxyHelper] Объект-сущность портлет не существует com.novell.afw.portal.aggregation.EboPortletInfoBean: id [portal-general] iid [-1] timeout [-1] multithread [false]
Причина ошибки - в том, что настройка ldap-sslport портлета ForgotPasswordPortlet использует стандартный для TLS (ldaps) порт номер 636 вместо порта, указанного в настройках безопасного соединения вашего LDAP-сервера. Вероятно, администратор eDirectory поменял значение порта по умолчанию безопасного соединения LDAP данного экземпляра eDirectory на нестандартное. Администраторы eDirectory часто меняют значение портов LDAP, когда eDirectory выполняется на одном физическом оборудовании с другими системами, работающими с LDAP - например, Active Directory*.
Если номер порта, заданный в конфигурации Вашего безопасного соединения LDAP (TLS), не равен 636, поменяйте настройку ldap-sslport в портлете ForgotPasswordPortlet на номер порта, заданного в конфигурации вашего безопасного LDAP. Это делается следующим образом:
Откройте компонент User Application.
Откройте .
Измените значение ldap-sslport с порта по умолчанию - 636 - на номер порта, заданный в конфигурации безопасного LDAP-соединения вашего LDAP-сервера.
В рабочем процессе обеспечения, использующем параллельную обработку, адресат одного действия подтверждения не должен ссылаться на адресата другого действия подтверждения в рабочем процессе. Это объясняется тем, что механизм рабочего процесса не знает, какой из шагов будет выполнен раньше, поскольку действия обрабатываются параллельно. Более того, подключаемый модуль iManager для конфигурации запроса обеспечения не способен определить, какие адресаты являются разрешенными в конкретный период времени. Для сужения списка возможных адресатов подключаемый модуль должен иметь возможность анализировать процесс для получения списка входящих действий, которые уже выполнены. В настоящее время подключаемые модули не поддерживают такой возможности.
Возможность просмотра каталога JBoss включена по умолчанию. Следовательно, при вводе URL-адреса http://server:8080/IDMProv/resources/ будет выведен список ресурсов, находящийся по этому адресу.
Для отключения возможности просмотра каталога зайдите в jboss-4.0.2\server\<IDM-Application Context>\deploy\jbossweb-tomcat55.sar\conf и отредактируйте значение параметра listings в файле web.xml:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Чтобы запретить вывод списка ресурсов, измените значение параметра listings с true на false.
Сервисы различных подсистем в составе компонента User Application могут содержать устаревшие номера версий. Вам не нужно редактировать эти файлы и менять номера версий.
Например, в IDMfw.jar содержится файл FrameworkService-conf\config.xml, хранящий следующий номер версии:
<property> <key>FrameworkService.version</key> <value>040712, Version 5.2.1</value> </property>
В подключаемом модуле iManager для конфигурации запроса обеспечения можно задать политику эскалации, которая переназначает деятельность из рабочего процесса менеджеру первоначального адресата.
Если первоначальный адресат - рабочая группа, имеющая более одного менеджера, эскалация заканчивается ошибкой. Подключаемый модуль iManager для конфигурации запроса обеспечения не может помешать Вам задать такой тип эскалации. Поэтому будьте внимательны и не используйте конфигурацию подобного типа.
В ОС Linux* количества файлов, которые можно открыть одновременно, недостаточно для поддержки запросов, инициированных через веб-сервис SOAP. Драйвер компонента User Application может превысить этот лимит при использовании конечных точек веб-сервиса для запуска рабочих процессов в ответ на события каталога.
По умолчанию в ОС Linux можно открыть одновременно 1024 файла на каждый процесс. При запуске сервера JBoss с настройками по умолчанию могут начаться ошибки, когда через SOAP-интерфейс веб-сервиса инициируется последовательно 40 или 45 запросов. Когда пороговое значение превышено, Вы, возможно, в течение нескольких минут не сможете инициировать новые запросы . В некоторых случаях приходится перезапускать сервер JBoss.
Чтобы предотвратить возникновение проблемы, увеличьте количество одновременно открываемых файлов с 1024 до 4096.
Если Вы пользуетесь оболочкой bash, для увеличения количества одновременно открываемых файлов выполните следующие команды:
su - root ulimit -n 4096 su - <user> start-jboss.sh
Если Вы пользуетесь оболочкой C Shell, для увеличения количества одновременно открываемых файлов выполните следующие команды:
su - root limit descriptors 4096 su - user start-jboss.sh
Драйвер компонента User Application хранит различную информацию (например, о конфигурации рабочего процесса, о кластере), специфичную для конкретного приложения. Следовательно, единый экземпляр драйвера компонента User Application не должен совместно использоваться несколькими приложениями.
Компонент User Application хранит данные, специфичные для приложения, чтобы контролировать и настраивать среду выполнения приложения. Частью этих данных является информация о кластере сервера приложений JBoss и о конфигурации механизма рабочего процесса. Единственные пользовательские приложения, которые могут совместно использовать драйвер компонента User Application - это приложения, входящие в один и тот же кластер сервера приложений JBoss. Не следует настраивать несколько пользовательских приложений для совместного использования драйвера, если они не входят в один и тот же кластер сервера приложений JBoss. Иначе заданная конфигурация приведет к неоднозначности и неверной конфигурации одного или более компонентов, работающих в составе компонента User Application.
В программе установки компонента User Application Identity Manager можно задать характерное имя корневого контейнера, характерное имя контейнера пользователя и характерное имя контейнера группы для приложения. В данной версии нельзя задать в качестве корневого контейнера treeRoot из eDirectory. Кроме того, нельзя задавать больше одного корня поиска для любого конкретного типа объектов (контейнера, пользователя или группы). Вместо этого надо задать единую область поиска.
Организация (o) может содержаться в Стране (c) или местности (l), как показано ниже:
c=US o=novell-provo o=novell-waltham
Такая конфигурация допустима.
Если несколько экземпляров драйвера компонента User Application указывают на один и тот же пользовательский контейнер, в параметрах доступности ( на странице "Изменение доступности" пользовательского приложения) будут показаны записи о доступности от обоих приложений.
Допустим, сервер 1 настроен для использования одного драйвера (к примеру, driver1,o=novell), а сервер 2 настроен для использования другого драйвера (к примеру, driver2,o=novell). Оба сервера настроены для использования одних и тех же контейнеров пользователей и групп и одного корневого контейнера (например, ou=users,o=novell). Пользователь на сервере 1 создает определение делегатов для пользователя и определение запроса обеспечения. Затем данный пользователь помечается как недоступный для данного определения запроса. Сервер 2 показывает, что пользователь недоступен, но не может определить значения дружественного имени для определения запроса. Если рассмотреть определение делегатов для пользователя на сервере 2, определение с сервера 1 не будет видно.
Причина подобного поведения в том, что информация о делегировании (создаваемая, когда пользователи задают собственную доступность или недоступность) хранится в записях пользователей. Эта информация включает в себя информацию о делегируемом и делегирующем, а также определение запроса обеспечения, время начала и окончания делегации. Определение делегируемого, из которого извлекается информация о делегации, хранится в драйвере вместе с определением запроса обеспечения.
Конфигурировать два различных экземпляра драйвера так, чтобы они указывали на один и тот же пользовательский контейнер, не рекомендуется.
Драйвер компонента User Application при запуске читает список атрибутов рабочего процесса. Если создать новое определение запроса обеспечения, а после этого сразу попытаться создать политику назначения схемы, атрибуты нового определения запроса обеспечения появятся в списке атрибутов приложения только после обновления схемы приложения. Это происходит потому, что драйвер компонента User Application нужно перезапустить, прежде чем определение запроса обеспечения станет доступно. Создав определение запроса обеспечения, остановите драйвер компонента User Application, а затем перезапустите его. После этого можно использовать новое определение запроса обеспечения в политиках. Можно также дважды обновить схему приложения в редакторе политик назначения схемы.
При выполнении рабочих процессов в кластере механизм рабочего процесса каждого сервера должен иметь уникальный ID. ID механизма рабочего процесса определяется передачей команды -Dcom.novell.afw.wf.engine-id виртуальной машине Java (Java VM). В ОС Linux пользователю следует изменить файл jboss/bin/run.conf и передать это свойство в строке JAVA_OPTS. Примеры:
if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server -Xms800m -Xmx800m -Dcom.novell.afw.wf.engine-id=echo"
Программа установки не запрашивает у пользователя ID механизма рабочего процесса. Поэтому следует идентифицировать механизм рабочего процесса передачей свойства JAVA_OPTS, как показано выше.
Если способ вывода изображений в заголовке информационного портлета был изменен с помощью задания $IMG: tag, изменения вступят в силу только после очистки кэша CompiledLayout. Очистка кэша производится следующим образом:
Откройте вкладку пользовательского приложения.
Откройте вкладку .
Выберите из раскрывающегося списка .
Щелкните .
Утилита "Импорт данных портала" ( Администрирование > Инструменты > Импорт данных портала) использует файл shared-pages.xml и container-pages.xml в архивном файле ZIP экспорта данных портала для генерации контейнерных страниц, страниц совместного использования и портлетов. Если элемент <description/> пуст, страницы не могут импортироваться.
Для решения проблемы введите текст в элемент <description/> и повторите импорт.
Руководство по администрированию компонента User Application Identity Managerсодержит информацию о конфигурировании JBoss. Дополнительную информацию о настройке JBoss можно найти в следующих источниках:
Для получения более подробной информации о настройке JBoss как сервиса в ОС SUSE, см. веб-сайт компании Novell Cool Solutions.
Информацию по настройке Apache SSL см. в соответствующем разделе веб-сайта, посвященного JBoss.
Информацию по настройке IIS SSL см. на форуме Форум по JBoss: установка, настройка, развертывание.
Чтобы использовать подключаемый модуль iManager для конфигурации запроса обеспечения, Вы должны иметь права чтения и записи для атрибутов, связанных с объектами запроса обеспечения.
По умолчанию фильтр кодировки пользовательского приложения в файле web.xml данного приложения включен. Эта настройка обычно не требует какой-либо определенной конфигурации, но может потребовать изменений при использовании сервера Tomcat, настроенного на кодировку URI. В настройках соединителя HTTP/HTTPS сервера Tomcat есть два атрибута, влияющих на кодировку набора символов и конфигурацию фильтра.
Этот параметр задает набор символов, используемый для раскодирования байтов URI после %xx раскодирования URL-адреса. Если параметр не задан, используется кодировка ISO-8859-1. Требования к настройке:
Соединители HTTP и HTTPS должны иметь одну и ту же конфигурацию.
В фильтр кодировки Charest следует добавить параметр uri-encoding init. Значение параметра должно совпадать со значением атрибута URIEncoding в конфигурации соединителя сервера Tomcat.
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
Добавьте также URIEncoding="UTF-8" в файл jboss-4.2.0.GA\server\IDMProv\deploy\jboss-web.deployer\server.xml, например:
<Connector port=”8080” address=”${jboss.bind.address}” maxThreads=”250” maxHttpHeaderSize=”8192” emptySessionPath=”true” protocol=”HTTP/1.1” URIEncoding=”UTF-8” enableLookups=”false” redirectPort=”8443” acceptCount=”100” connectionTimeout=”20000” disableUploadTimeout=”true” />If SSL is enabled, make the same change for the SSL HTTP/1.1 Connector.
Этот параметр определяет, будет ли кодировка, указанная в параметре contentType, использована в параметрах запроса URI вместо URIEncoding. Эта настройка существует для совместимости с Tomcat 4.1.x, где кодировка определялась параметром contentType или явно задавалась с использованием метода Request.setCharacterEncoding для параметров из URL-адреса. Значение по умолчанию - false.
Если параметр useBodyEncodingForURI имеет значение true, в конфигурацию фильтра должен входить параметр use-body-encoding init, например:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
Дополнительную информацию см. на веб-сайте, посвященном Конфигурации соединителя сервера Tomcat
Изменился способ обработки многозначного атрибута DirXML-EntitlementResult. Ранее атрибут не очищался от результатов полномочий. Теперь поведение по умолчанию изменилось. Результаты полномочий удаляются после обработки.
Поведение по умолчанию можно изменить (определить, будут ли удалены результаты полномочий, или нет, и каким образом). Для установки типа очищения полномочий:
В iManager откройте страницу "Обзор драйвера Identity Manager" для своего драйвера пользовательского приложения.
Щелкните
Щелкните "Управление политикой изменений" своего драйвера пользовательского приложения, затем щелкните
Щелкните
Для задания действия введите в поле одно из следующих значений:
current: После извещения драйвера пользовательского приложения результат полномочий, вызвавший событие, будет удален. Это поведение по умолчанию. Оно будет применяться также, если тип очищения полномочий не задан или задано недопустимое значение типа.
none: Результаты полномочий не очищаются.
previous: Удаляются предыдущие результаты полномочий, но те, которые вызвали данное событие, не удаляются.
notnewer: Удаляются предыдущие результаты полномочий, в том числе те, которые вызвали данное событие. В этом варианте сохраняются результаты полномочий, созданные позднее результатов полномочий, вызвавших событие.
У вспомогательного портлета "Сетевой файл" появилась следующая новая настройка: ShortcutsUseFullyQualifiedPath. Если значение настройки - true, то все ярлыки, заданные в настройках ярлыков, должны содержать полный путь. Если значение настройки - false, то все ярлыки, заданные в настройках ярлыков, должны содержать пути относительно InitialDirectory. Значение false для этой настройки следует использовать только в том случае, если пользователи будут переходить только к файлам в пределах подкаталогов заданного пути.
В текущей версии JBoss изменился способ настройки доступа RMI (удаленных вызовов метода) для NetWare в портлете "Сетевой файл".
В настоящее время в документации содержится указание скопировать каталог njclv2r.jar from sys:\java\njclv2r\lib сервера NetWare/RMI в каталог $JAVA_HOME$/jre/lib/ext платформы Вашего портала.
В текущей версии JBoss нужно скопировать njclv2r.jar в каталог.../jboss/server/IDM/lib, где был первоначально развернут Ваш компонент User Application. Затем следует перезапустить JBoss.
Для завершения сеанса вспомогательного портлета Netstorage и закрытия доступа к использованным файлам, щелкните кнопку разрегистрации в веб-интерфейсе Netstorage.
В Справочном руководстве по работе со вспомогательными портлетами в Identity Manager замените все описания включения единой регистрации в портлетах на следующую процедуру:
Для включения единой регистрации выполните следующие шаги:
В компоненте User Application откройте вкладку и выберите
Выберите .
Щелкните переключатель, включающий SSO (единую регистрацию).
Имя файла журнала jboss/server/IDM/conf/extendlogging.xml изменено на jboss/server/IDM/conf/idmuserapp_logging.xml. Новое имя файла журнала используется в подразделе "Сохранение настроек ведения журнала" раздела 5.1.4 "Конфигурация ведения журнала" Руководства по администрированию компонента User Application Identity Manager 3.5.1
При добавлении пакета к списку журналов он немедленно отображается на экране "Конфигурация ведения журнала". Для удаления пакета из списка выполните следующие действия:
Не щелкайте . Новый пакет исчезнет из списка журнала при следующем запуске сервера.
Если Вы щелкнули , следует вручную удалить пакет из файла idmuserapp_logging.xml, находящегося в каталоге $JBOSS/servers/$seafang/conf.
В Identity Manager версий 3.5 и 3.5.1 иногда возникает ошибка нехватки памяти java.lang.OutOfMemoryError: PermGen space при повторном развертывании компонента User Application.
Во избежание этой проблемы выполните одно из следующих действий:
Перезапустите сервер JBoss.
Увеличьте объем PermSpace, передав параметр -XX:MaxPermSize виртуальной машине Java с помощью строки JAVA_OPTS в сценарии start-jboss.
Для 32-битных систем следует задать 128 МБ памяти, например, -XX:MaxPermSize=128m.
Для 64-битных систем следует задать 256 МБ памяти, например, -XX:MaxPermSize=256m.
Механизмы рабочего процесса теперь распознают сбой механизма рабочего процесса в пределах того же кластера и автоматически переназначают все процессы, выполняющиеся на ошибочно завершившемся механизме рабочего процесса, другим механизмам рабочего процесса.
Однако в некоторых случаях может понадобиться вручную переназначить рабочий процесс от одного механизма другому (например, возвратить рабочие процессы механизму, который ранее завершился ошибкой, а теперь восстановлен). Для этого используйте подключаемый модуль iManager "Администрирование рабочего процесса" следующим образом:
Выберите категорию на странице продукта iManager.
Выберите
Если у Вас еще нет доступа к серверу рабочего процесса, задайте имя драйвера в поле и щелкните
iManager самостоятельно заполнит все остальные поля экрана.
(Необязательный шаг) Переопределите имя пользователя в поле и пароль в поле .
Пользователь должен быть администратором пользовательского приложения (администратор обеспечения) По умолчанию, в качестве имени пользователя вводится имя пользователя, в настоящий момент зарегистрированного в iManager. Если этот пользователь не является администратором пользовательского приложения, имя пользователя следует изменить.
Щелкните кнопку Вход в систему.
Подключаемый модуль "Администрирование рабочего процесса" откроет страницу, позволяющую задать фильтр для поиска рабочих процессов.
Щелкните , затем щелкните .
iManager покажет все рабочие процессы, выполняемые на драйвере указанного компонента User Application. В столбце будет показан ID механизма рабочего процесса.
Для переназначения рабочего процесса от одного механизма другому выберите рабочий процесс в панели "Рабочие процессы", отметив флажок рядом с именем рабочего процесса, а затем щелкните .
Использование действия интеграции в рабочем процессе обеспечения может генерировать следующую ошибку в консоли JBoss при закрытии системы:
15:26:51,031 INFO [STDOUT] 173542 [JBoss Shutdown Hook] ERROR STDERR - Unableto instantiate the config file null15:26:51,032 ERROR [STDERR] java.lang.NullPointerException15:26:51,033 INFO [STDOUT] 173545 [JBoss Shutdown Hook] ERROR STDERR -java.lang.NullPointerException15:26:51,034 ERROR [STDERR] atcom.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,035 INFO [STDOUT] 173547 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.xmlparser.GNVXMLFactory.createParser(GNVXMLFactory.java:112)15:26:51,037 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,038 INFO [STDOUT] 173550 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:189)15:26:51,039 ERROR [STDERR] atcom.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,040 INFO [STDOUT] 173552 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.rt.GNVConfig.<init>(GNVConfig.java:161)15:26:51,041 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,042 INFO [STDOUT] 173554 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIObject.<clinit>(GNVEDIObject.java:39)15:26:51,044 ERROR [STDERR] atcom.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)15:26:51,045 INFO [STDOUT] 173557 [JBoss Shutdown Hook] ERROR STDERR - at com.sssw.b2b.ee.edi.rt.GNVEDIComponent.<clinit>(GNVEDIComponent.java:101)
Эти сообщения об ошибках не означают серьезной проблемы. При повторном запуске сервера JBoss сервер и компонент User Application должны функционировать нормально.
Если компонент User Application настроен на использование оповещений с помощью электронной почты, в журнале могут появиться перечисленные ниже сообщения об ошибках. Можно не обращать на них внимания. Пользователи все равно будут получать оповещения, отправленные электронной почтой.
[date time EDT] 00000056 SystemOut O 09:58:35,469 ERROR [MailEngine] Notification email server host unspecified. Проверьте настройки eDirectory. com.novell.soa.notification.impl.NotificationException: Notification email server host unspecified. Проверьте настройки eDirectory...
или
13:39:47,264 ERROR [MailEngine] Notification email default -from- unspecified. Проверьте настройки eDirectory. com.novell.soa.notification.impl.NotificationException: Notification email default -from- unspecified. Проверьте настройки eDirectory. в . . .
По умолчанию тайм-аут сеанса сервера составляет 20 минут. Тайм-аут для сеанса следует настраивать в соответствии с характеристиками сервера и среды, в которой выполняется приложение. Общая рекомендация - делать величину тайм-аута как можно меньше (в пределах разумного). Если это не противоречит требованиям бизнеса, можно установить тайм-аут сеанса длительностью 5 минут. Это позволит серверу быстрее высвобождать неиспользуемые ресурсы, ускорит работу сервера и улучшит масштабируемость.
При более длинных тайм-аутах сервер JBoss может испытать нехватку памяти, если одновременно зарегистрируется много пользователей. Это справедливо в отношении любого сервера приложений, на котором открыто слишком много сеансов.
Когда пользователь регистрируется в пользовательском приложении, для этого пользователя создается соединение LDAP, привязанное к данному сеансу. Таким образом, чем больше открыто сеансов, тем больше соединений LDAP остаются открытыми, и чем длиннее тайм-аут сеанса, тем дольше они остаются открытыми. Если открыто слишком много соединений LDAP, это может ухудшить производительность сервера, даже если соединения не задействованы.
Если сервер генерирует ошибки нехватки памяти (OutOfMemoryErrors) при том, что настройки динамической памяти и сборщика мусора JVM уже оптимизированы для данного сервера и среды, рассмотрите возможность уменьшения тайм-аута сеансов.
Тайм-аут сеансов задается в файле web.xml.
Если в определении запроса обеспечения разрешена рассылка оповещений электронной почтой, но сервер электронной почты не настроен, оповещения будут накапливаться на сервере и никогда не будут отосланы. Это в конце концов приведет к нехватке памяти.
Если Вы разрешили рассылку оповещений электронной почтой, обязательно настройте сервер электронной почты, чтобы сообщения отсылались. Для настройки сервера электронной почты выберите на странице в iManager.
В клиентских программах Windows GroupWise® Mail и Outlook* имеется известный дефект воспроизведения темы сообщения электронной почты при выполнении команды HTML mailto:. Дефект проявляется, когда веб-навигатор использует язык с набором двухбайтовых символов - например, китайский, японский или корейский.
В этом случае при передаче информации о пользователе со страницы "Информация" в строку темы попадают неправильные символы, поскольку указанные почтовые клиенты неправильно раскодируют управляющие последовательности для двухбайтовых символов.
Убедитесь, что кодировка символов на входе и на выходе соответствует той, которую использует приложение, посылающее или получающее информацию. Символы, которые не могут быть представлены в избранной выходной кодировке, заменяются вопросительными знаками ("?").
При работе средства настройки конфигурации пользовательского приложения (для конфигурации настроек LDAP) в среде локализованной ОС, все окна для ввода текста отображаются правильно. Например, если eDirectory содержит характерные имена с символами китайского языка, или если Вы ввели китайские символы, в ОС, локализованной для китайского языка, эти символы отобразятся правильно. Однако в ОС, локализованной для английского языка, символы китайского языка, введенные или возвращенные eDirectory, будут воспроизведены как нечитаемые (скорее всего, в виде квадратиков). Это происходит потому, что не установлены региональные настройки.
Если Вы находитесь в среде ОС, локализованной для английского языка, и хотите вывести локализованные символы, сделайте следующее:
- В среде Windows 2000 откройте панель управления и выберите . На вкладке установите в нужный язык (например, Китайский (PRC)).
- В среде Windows 2003 откройте панель управления и выберите . На вкладке выберите и нажмите "Применить".
- В среде SUSE Linux настройте переменную окружения LANG следующим образом: export LANG=zh_CN
Та же базовая процедура применима ко всем языкам.
Вспомогательный портлет "Сообщение" не локализован.
На странице > , в диалоговом окне "Настройка содержимого"следующий текст всегда выводится по-английски: "Changes have been made to your Selected Content. Click OK to save your changes or cancel to continue without saving." ("В Вашем выборе содержимого были сделаны изменения. Щелкните ОК, чтобы сохранить изменения, или "Отмена" для продолжения без сохранения.")
Когда Identity Manager посылает сообщение электронной почты, содержащее двухбайтовые символы (например, символы китайского или японского языка), клиент электронной почты прочитает его с ошибками. Если Вы столкнулись с этой проблемой, пожалуйста, обратитесь в службу технической поддержки Novell.
Следующие разделы описывают проблемы пользовательского интерфейса компонента iManager и предлагаемые решения этих проблем.
Подключаемые модули Identity Manager 3.5.1 используют прикладной программный интерфейс (API) JClient.readReference ( ). Этот прикладной программный интерфейс (API) был обновлен в iManager версии 2.7. Если Вы работаете с iManager 2.6, компания Novell рекомендует обновить JClient, содержащийся в iManager 2.6, до той же версии, которая используется в iManager 2.7. При использовании более старой версии JClient iManager, возможно, будет испытывать проблемы или вообще не станет работать.
При работе с iManager, в особенности с редактором политик, Internet Explorer 7 постоянно требует предоставить доступ к буферу обмена. Чтобы подавить эти запросы, сделайте следующее:
Щелкните >
Выберите вкладку , затем щелкните .
Найдите > , затем выберите .
После перезапуска Internet Explorer проблема должна исчезнуть.
Для добавления локализованных шаблонов сообщений электронной почты через iManager выполните следующее:
Зарегистрируйтесь в iManager.
На странице "Роли и задачи" разверните или .
Щелкните (в разделе подключаемого модуля для работы с паролями ) или (в разделе "Администрирование рабочего процесса")
Найдите шаблон сообщения электронной почты, не содержащий локализованных символов в имени, который нужно скопировать. Запишите это имя шаблона, чтобы использовать его на пятом шаге. Щелкните тему шаблона, чтобы открыть шаблон и просмотреть тему сообщения, тело сообщения и метки замены. Скопируйте тему сообщения и тело сообщения (которые будут переведены) и метки замены, которые Вы хотите использовать в новом шаблоне. Щелкните .
Щелкните и введите имя шаблона с расширением локализации. Например, для создания шаблона "Забыта подсказка" на немецком языке, введите имя Forgot Hint_de, где _de означает немецкий язык (Deutsch). Нажмите кнопку .
Примечание: Этот метод хорошо работает, если использовать двухбуквенные обозначения для языков и стран. При попытке использовать региональные настройки с вариантом языка (например, en_US_TX), будет учитываться только вариант и язык. Не используйте региональные настройки с вариантом языка при формировании имен шаблонов электронной почты в данной версии.
Щелкните только что созданный шаблон в списке шаблонов, например, Forgot Hint_de, и введите тему и тело сообщения на соответствующем языке, в данном случае - немецком. Убедитесь, что все метки замены, окруженные знаками доллара ($), в теле сообщения сохранены.
Щелкните для ввода или вставки меток замены, а затем щелкните
Щелкните , а затем
Шаблоны электронной почты посылают правильно локализованное содержимое только в том случае, когда на компьютере адресата установлены региональные настройки.
Эту проблему можно решить обновлением до NMAS™ версии 2.3.9.
Если Вы хотите использовать мастер сертификатов драйвера NDS-to-NDS, Вам нужно загрузить и установить подключаемый модуль iManager для сервера сертификатов.
При использовании подключаемых модулей Identity Manager 3.5 и Mobile iManager 2.6, iManager может неожиданно закрыться, если Вы выбрали . Эта проблема возникает из-за ошибки в JavaScript *-обработчике веб-навигатора Mozilla, встроенного в iManager для ОС Linux.
Для решения проблемы сделайте следующее:
Запустите Mobile iManager, затем сверните окно.
Откройте нужный веб-навигатор, затем войдите в iManager по следующему адресу: http:\\localhost:48080\nps\iManager.html.
Убедитесь, что кодировка символов на входе и на выходе, настроенная через драйвер текста с разделителями, соответствует той, которую использует приложение, посылающее или получающее информацию. Несоответствие может вызвать ошибки или порчу данных в хранилище учетных записей или приложении. Символы, которые не могут быть представлены в избранной выходной кодировке, заменяются вопросительными знаками ("?").
Следующие разделы описывают проблемы управления паролями и предлагаемые решения этих проблем.
Компонент User Application удаляет из объекта "Пользователь" значение настройки количества оставшихся регистраций с просроченным паролем в следующей ситуации:
Политика паролей создана, но не устанавливает параметр "Срок действия пароля".
Вы изменяете свойства пользователя политики, установив параметр "Ограничить количество оставшихся регистраций с просроченным паролем"объекта "Пользователь", что вызывает окончание срока действия пароля данного пользователя.
Пользователь входит в систему через компонент User Application. Компонент User Application игнорирует настройку "Ограничение количества оставшихся регистраций с просроченным паролем", а затем удаляет эту настройку из объекта "Пользователь".
Если портлет JSF управления паролем выполняется в кластерной среде и на сервере, где выполняется портлет, происходит сбой, пользователь автоматически переключается на другой сервер. Пользователь оказывается в другом портлете, но не получает сообщения о том, была ли операция портлета первоначального сервера выполнена успешно. Пользователь может проверить, была ли операция перед сбоем сервера выполнена успешно, или заново выполнить операцию портлета. Портлеты по управлению паролем, в которых проявляется эта ошибка:
Запрос-ответ пароля
Изменение подсказки для пароля
Смена пароля
Компонент User Application, входящий в состав Identity Manager 3.5, в полной мере поддерживает использование иностранных языков в наборах аутентификационных вопросов. Эту функциональность можно настроить с помощью iManager и установки политик паролей.
При использовании клиента для сетей Novell™ версии 4.9.1 или более поздней, или управления паролями для Novell eDirectory эта функциональность пока не поддерживается. Не следует назначать пользователям политики паролей, если наборы аутентификационных вопросов используют более одного языка. Например, наборы аутентификационных вопросов можно определить для французского языка, но не для французского и немецкого одновременно.
Пользователь может столкнуться с ошибкой Ошибка запроса-ответа, если:
Имя пользователя было введено на странице "Забыт пароль".
Пользователь не ответил на аутентификационные вопросы.
Следует нажать на кнопку веб-навигатора и ввести на странице "Забыт пароль" другое имя пользователя.
Чтобы устранить проблему, следует начать заново процесс восстановления забытого пароля, войдя по следующему URL-адресу:
http://<servername>:<port>/<context-name>/jsps/pwdmgt/ForgotPassword.jsf
До апреля 2007 года при загрузке продукта Identity Manager 3.5 возникала проблема защиты. При определенных условиях подключаемые модули iManager показывали пользователям-администраторам значения скрытых атрибутов. Теперь в подключаемых модулях iManager проблема исправлена, и значения скрытых атрибутов, синхронизированные с помощью драйверов Identity Manager, не показываются. Поскольку драйверы часто синхронизируют конфиденциальную информацию, административные права на эти драйверы должны быть ограничены для предотвращения несанкционированного доступа.
CRC сред, на которые влияет эта проблема:
|
Identity_Manager_3_5_DVD.iso |
0c8c61364414c71fd81df11c1e23737b |
|
Identity_Manager_3_5_Linux_NW_Win.iso |
497f707b19ca5cc71e7623269175299e |
|
Identity_Manager_3_5_Unix.iso |
5850fea9187075f7e89a05802e80bb74 |
Новейшие пакеты обновлений можно загрузить с веб-сайта загрузки компании Novell.
Этот раздел рассказывает об изменениях в документации Identity Manager 3.5.1, а также содержит поправки и дополнительную информацию о продукте.
Обратите внимание на следующие изменения в таблице "Дополнительные параметры" главы 5 "Установка компонента User Application" Руководства по установке Identity Manager 3.5.1 :
Замените текст раздела 5.6.12 Руководства по установке Identity Manager 3.5.1 на следующий:
Скопируйте файл sys-configuration-xmldata.xml из установочного каталога компонента User Application в каталог на хост-машине сервера приложений WebSphere, например, /UserAppConfigFiles. Установочный каталог компонента User Application - это каталог, в который производилась установка компонента User Application.
Задайте путь к файлу sys-configuration-xmldata.xml в системных свойствах JVM. Чтобы это сделать, нужно зарегистрироваться в консоли администратора сервера приложений WebSphere как пользователь-администратор.
В левой панели щелкните на
Щелкните имя сервера в списке серверов - например, server1.
В списке параметров с правой стороны щелкните на в разделе .
Разверните ссылку и выберите .
В списке выберите .
Выберите в разделе на странице JVM.
Щелкните для добавления нового настраиваемого свойства JVM.
В поле введите extend.local.config.dir.
В поле введите имя установочной папки (каталога), заданного во время установки. (Установочная программа поместила в эту папку файл sys-configuration-xmldata.xml.).
В поле введите описание свойства, например, путь к файлу sys-configuration-xmldata.xml.
Для сохранения свойства нажмите кнопку .
Щелкните для добавления еще одного нового настраиваемого свойства JVM.
В поле введите idmuserapp.logging.config.dir.
В поле введите имя установочной папки (каталога), заданного во время установки.
В поле введите описание свойства, например, путь к файлу idmuserapp_logging.xml.
Для сохранения свойства нажмите кнопку .
Примечание:файл idmuserapp-logging.xml не будет существовать, пока Вы не сохраните изменения через .
В данной документации символ "больше" (>) используется для разделения операций внутри одного действия и элементов в пути перекрестных ссылок.
Символ товарного знака (®, ™ и т.д.) означает товарный знак Novell®; звездочка (*) означает товарный знак независимых производителей.
Компания Novell, Inc. не дает никаких гарантий или обещаний относительно содержания или возможностей использования данной документации, особо оговаривая отказ от любых явных или подразумеваемых гарантий назначения или пригодности для любой конкретной цели. Кроме того, компания Novell оставляет за собой право в любое время пересматривать данную публикацию и изменять ее содержимое, не беря на себя обязательств по уведомлению об изменениях каких-либо юридических и физических лиц.
Кроме того, компания Novell не дает никаких гарантий и обещаний относительно любого программного обеспечения, особо оговаривая отказ от любых явных или подразумеваемых гарантий пригодности для продажи и иной цели. Кроме того, Novell, Inc. оставляет за собой право в любое время изменять программные продукты Novell частично или целиком, не беря на себя обязательств по уведомлению об этих изменениях каких-либо юридических и физических лиц.
На любые продукты и техническую информацию, предоставляемые по этому Соглашению, могут распространяться правила экспортного контроля США и положения торгового права, принятые в других странах. Вы обязуетесь соблюдать все правила экспортного контроля и получать любые необходимые лицензии или классификации для выполнения операций экспорта, реэкспорта и импорта поставляемых товаров. Вы обязуетесь не экспортировать и не реэкспортировать товары лицам, находящимся в запретных списках США на экспорт, и в страны, в отношении которых действует эмбарго или которые определены в экспортных законах США как террористические. Вы обязуетесь не применять результаты в целях производства и использования запрещенного ядерного, ракетного, химического и биологического оружия. Дополнительные сведения об экспорте ПО Novell см.на веб-странице Novell International Trade Services. Компания Novell не несет ответственности, если Вы не сможете получить необходимое разрешение на экспорт.
© Авторские права 2007 Novell, Inc. Все права защищены. Никакая часть настоящего документа не может быть воспроизведена, фотокопирована, сохранена в какой-либо поисковой системе или передана без явного письменного согласия издателя.
Novell, Inc. обладает правами интеллектуальной собственности на технологии, встроенные в продукт, описываемый в данном документе. В частности (но не ограничиваясь этим) права на интеллектуальную собственность могут включать один или несколько патентов США, список которых приведен на веб-странице Novell Legal Patents, а также один или несколько дополнительных или заявленных патентов в США и других странах.
Товарные знаки компании "Novell" см. в списке товарных знаков и знаков обслуживания компании "Novell".
Все торговые марки независимых производителей являются собственностью их владельцев.