最後更新時間:2007 年 3 月 19 日
本文件包含 Identity Manager 3.5 的已知問題。
如需其他文件,請參閱:
本節說明 Identity Manager 3.5 的系統需求:
Identity Manager 3.5 支援表 1 中所列的伺服器作業系統。
表 1 Identity Manager 3.5:支援的伺服器作業系統
適用於 Linux (Red Hat 與 SLES)、NetWare 與 Windows 作業系統的 32 位元處理器:
Intel* x86-32
AMD* x86-32
適用於 Linux (Red Hat 與 SLES)、Netware 與 Windows 作業系統的 64 位元處理器:
Intel EM64T
AMD Athlon64
AMD Opteron*
Identity Manager 3.5 支援以下中繼目錄引擎平台:
搭配最新 SP (含 eDirectory™ 8.7.3 或 8.8.1) 的 NetWare 6.5 。
OES 1.0 NetWare SP2 (含 eDirectory 8.7.3 或 8.8.1)
Windows NT* (含 eDirectory 8.7.3、8.8 SP2 或遠端載入程式)
Windows 2000 Server SP (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
Windows Server 2003 SP (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
Red Hat Linux AS 3.0 (含 eDirectory 8.7.3、8.8 或遠端載入程式)
Red Hat Linux AS 4.0 64 位元版本 (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
SLES 8 (含 eDirectory 8.7.3 或遠端載入程式)
SLES 9 (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
SLES 10 (含 eDirectory 8.8.1 或遠端載入程式) (Xen* 模擬無法使用。)
OES 1.0 Linux (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
Solaris 8 (含 eDirectory 8.7.3 或遠端載入程式) (Solaris 8 不支援 eDirectory 8.8.x)
Solaris 9 (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
Solaris 10 (含 eDirectory 8.8.1 或遠端載入程式)
AIX 5.2L (含 eDirectory 8.7.3、8.8.1 或遠端載入程式)
AIX 5.3 (含 eDirectory 8.8.1 或遠端載入程式)。在 eDirectory 8.8.2 出版後,將在 AIX 5.3 中驗證 IDM 3.5。
支援的其他條件:
IDM 3.5 支援兩個 eDirectory 8.8.x 功能:
多重例證
加密屬性
IDM 3.5 不支援透過非根安裝機制來安裝的 eDirectory 例證。
Identity Manager 3.5 需要以下項目 (不包含於媒體中):
「使用者應用程式」需要 Java 5.0.10 才能支援數位簽名與 Cryptovision。
在 NetWare 中,中繼目錄引擎需要含有套用 TZupdater 修補程式的 JVM 1.4.2_06 (請參閱 https://support.novell.com/KanisaPlatform/Publishing/173/3980430_f.SAL_Public.html) 或 JVM 1.4.2_13 或更新版本。
管理伺服器,iManager 2.6,需要下列其中一個平台:
NetWare 6.5
OES 1.0 SP2 on NetWare
Windows 2000 Server SP4
Windows Server 2003
Windows XP Professional SP2 (僅限 iManager 工作站)
Red Hat Linux AS 3.0
Red Hat Linux AS 4.0 64 位元版本 (eDirectory 8.8.1 支援 64 位元的 Red Hat Linux AS 4.0)
Red Hat Enterprise Linux 工作站 (僅限 iManager 工作站)
SLES 9 SP2
SLES 10 (代碼 10)
僅限 SUSE® Linux 9.1 iManager 工作站
僅限 SUSE Linux 9.3 iManager 工作站
OES 1.0 SP2 on Linux
Solaris 9
Solaris 10
Identity Manager 3.5 支援 Novell® Audit 2.0.2。
Identity Manager 支援以下瀏覽器 (iManager 外掛程式與使用者應用程式):
Internet Explorer 6 SP1
Internet Explorer 7
Firefox* 2
支援的應用程式伺服器平台包括:
SLES 9 SP2
SLES 9 SP2 (包含於 OES SP2)
OES 1.0
SLES 10
Windows 2000 Server
Windows Server 2003
Solaris 10
支援的資料庫包括:
以下小節說明安裝資訊、已知問題與可用的解決方法。
使用 eDirectory 8.8.1 時,在 Solaris 9 與 10 上安裝 GUI 失敗。解決方法包含以下:
執行文字安裝程式或
使用 eDirectory 8.8.2,其包含此問題的修復。
若您的 Identity Manager 安裝帳戶的密碼包含特殊字元,則可能會看見綱要延伸失敗。您應使用不同帳戶安裝或變更密碼。
若您將 Linux 安裝目錄複製到路徑中包含空格的位置,則當您執行 install.bin 時,安裝會失敗。我們不建議在目錄路徑中使用空格。
在很少的情況中,與「使用者應用程式組態面板」中之一些選項相關的文字可能會在重新啟動面板時消失。
若您執行以下步驟,則可能會看見這個問題:
執行 IdmUserApp.exe 以安裝「使用者應用程式」。
完成 JBOSS-MYSQL 安裝,並繼續執行 Identity Manager 安裝。
在使用者應用程式組態面板中,給予需要的資訊,然後按一下
。在摘要視窗中,按一下
以返回前一個視窗。按一下視窗中的
以重新啟動面板。當面板顯示第二次時,輸入欄位將不會出現。這個問題僅會發生於配備 1GB RAM 的 Dell* Optiplex* GX260 中。
若您要遠端開始無訊息安裝,則 configupdate 公用程式會嘗試在 GUI 模式中啟動,且在失敗時報告 Headlessexception 訊息。若要避免此問題,請將
-use_console true
新增到指令以執行 configupdate 指令碼。
若使用 SLES 9 配送之 /usr/bin/jar 中的 jar 二進位建立 WAR,則 configupdate.sh 指令碼會在您手動將自定檔案新增到 IDM.war 時失敗。錯誤為:
DEBUG===WAR updating...java.util.zip.ZipException: invalid entry compressed size (expected 16176 but got 16177 bytes) at java.util.zip.ZipOutputStream.closeEntry(Unknown Source) at java.util.zip.ZipOutputStream.putNextEntry(Unknown Source)
若要解決或預防問題,請使用較新的 jar 版本來建立 WAR,如本範例中所示:/usr/lib/java/bin/jar -cvf IDM.war *
以下警告訊息可能會在您使用預設 JBoss 伺服器組態開始「使用者應用程式」時出現:
WARN [TomcatDeployer] Failed to setup clustering, clustering disabled. NoClassDefFoundError: org/jboss/cache/CacheException
若您在「使用者應用程式」安裝期間關閉預設組態 (單一節點),則可以忽略此訊息。此訊息來自 JBoss 應用程式伺服器。其表示雖然 Identity Manager 使用者應用程式可以支援磁簇,但您選擇的應用程式伺服器組態不支援磁簇。
MySQL 與 JBoss 應用程式伺服器會從「使用者應用程式」安裝中,以個別獨立的程序安裝。
「使用者應用程式」安裝程序不會安裝 MySQL 或 JBoss 應用程式伺服器。此陳述適用於所有「使用者應用程式」安裝程序:GUI、主控台與無訊息。「使用者應用程式」安裝程序會顯示可以設定「使用者應用程式」的選項以使用 MySQL 與 JBoss。
不支援在安全殼 (SSH) 會期中使用 MySQL 與 JBoss 應用程式伺服器的安裝程序。嘗試在 SSH 會期中安裝 MySQL 與 JBoss 會產生以下錯誤:
Invocation of this Java Application has caused an InvocationTargetException. This application will now exit. (LAX) Stack Trace: java.awt.HeadlessException: No X11 DISPLAY variable was set, but this program performed an operation which requires it. at java.awt.GraphicsEnvironment.checkHeadless(Unknown Source) at java.awt.Window.<init>(Unknown Source) at java.awt.Frame.<init>(Unknown Source)
在 Windows 系統中,您可能想要執行 MySQL 作為 Windows 服務,以便在 Windows 系統開始與停止時自動開始與停止。安裝 MySQL 適用的 Novell 公用程式不提供此選項。然而,MySQL 自己的安裝程序將提供此選項:如需其他資訊,請參閱 http://dev.mysql.com/doc/refman/5.0/en/windows-start-service.html。
本節說明設定資料庫以與「使用者應用程式」搭配使用的需求。
「使用者應用程式」要求資料庫字元集使用 Unicode 編碼。 例如,UTF-8 是使用 Unicode 編碼之字元集的範例,但 Latin1 未使用 Unicode 編碼。安裝「使用者應用程式」之前,請驗證您的資料庫是使用具備 Unicode 編碼之字元集所設定的。
安裝您的 MySQL 伺服器。或者,為整個伺服器設定 UTF-8 字元集。
建立您的資料庫並設定字元集。編輯 mysql 組態檔 ( windows 為 my.ini,或 linux 為 my.cnf )。設定以下值:
character_set_server=utf8default-table-type=innodb
建立使用者以登入 MySQL 伺服器,並將權限授予使用者,例如
GRANT ALL PRIVILEGES ON <dbname.>* TO <username>@ <host> IDENTIFIED BY ‘ password’
最小權限組為 CREATE、INDEX、INSERT、UPDATE、DELETE 與 LOCK TABLES。 如需 GRANT 指令的文件,請參閱 http://www.mysql.org/doc/refman/5.0/en/grant.html。
考慮在 MySQL 組態中增加以下值,以在許多並行使用者執行工作流程活動時改善資料庫效能:
若您注意到 UI 字元未正確顯示,則請確定資料庫是否支援 UTF-8 字元集。
若要決定 MySQL 資料庫的字元集:
對 MySQL 伺服器執行 MySQL 管理員。
選擇
。決定預設字元集是否為 utf8。
若字元集不是 utf8,請編輯 MySQL 組態檔 (windows 為 my.ini,或 linux 為 my.cnf )設定以下值:
character_set_server=utf8default-table-type=innodb
也請參考 Identity Manager 3.5 安裝指南中安裝使用者應用程式小節內之設定資料庫字元集的說明。
建立 Oracle 伺服器與使用 AL32UTF8 來指定以 Unicode 編碼的字元集。(請參閱 AL32UTF8 。)
建立使用者。(這將自動建立一個資料庫。)使用 SQL Plus 公用程式來發行以下陳述。這些陳述會建立使用者與設定使用者的權限,例如
CREATE USER idmuser IDENTIFIED BY password
GRANT CONNECT, RESOURCE to idmuser
授予使用者以下權限:
安裝 MS SQL 伺服器。
連接到伺服器並開啟一個用來建立資料庫與資料庫使用者的應用程式 (一般為 SQL Server Management Studio 應用程式)。
建立資料庫。
SQL 伺服器不允許使用者選擇資料庫的字元集。IDM 使用者應用程式會將 SQL 伺服器字元資料儲存於 NCHAR、NVARCHAR 或 NTEXT 欄位類型中,其支援 UTF-8。
建立登入。
將登入新增為資料庫的使用者。
將這些權限授予登入:CREATE TABLE、CREATE INDEX、SELECT、INSERT、UPDATE 與 DELETE。
本節說明「使用者應用程式」介面的問題與解決方法。
「小組管理員」在嘗試設定可用的使用者時會發生「安全性例外」。這會在委託指派存在且不是由「小組管理員」而是由「管理員」建立,與「小組管理員」嘗試藉由使用「適用於所有申請」的變更狀態來設定可用的小組成員時發生。
若要解決這個問題,「小組管理員」必須個別移除每個「小組可用度」設定。若已使用下拉式選項,則執行這個作業可以允許移除每個設定。
若您發生以下錯誤:
2007-01-19 14:08:17,805 ERROR [org.hibernate.util.JDBCExceptionReporter:error]Duplicate entry 'Welcome_IdentityMgrIntroMessagePortlet' for key 12007-01-19 14:08:17,811 ERROR
需要執行的唯一動作是重新整理瀏覽器。因為競賽狀態,這個錯誤很少發生,當兩個或多個使用者在新啟動的伺服器中同時申請相同的頁面或 portlet 時才會發生。在開始申請 portlet 期間,會註冊入口 portlet,所以,若同時發生多個申請,入口網站框架會嘗試執行多個註冊,而導致以上的重複資料錯誤。
若使用者執行多重值屬性的否定搜尋 (例如
) ,則搜尋僅會在沒有物件值相符時傳回物件;而非在任何值符合準則時傳回。例如,您決定使用不包含數字 203 的電話號碼來執行使用者的搜尋。若 user1 有兩個電話號碼,且其中一個包含 203,則 user1 不會作為該搜尋的一部份傳回。對於多重值屬性的確定搜尋 (例如 或 ,若該屬性的任一值符合準則,則搜尋會傳回一個物件。例如,使用包含 203 的電話號碼搜尋使用者,會傳回 user1。若您使用
標籤在 iManager 填入使用者的住家郵政地址,則此地址的「使用者應用程式」檢視會包含額外的字元 (分隔符)。這是已知問題。目前,Identity Manager 3.5 使用者應用程式不支援「郵政地址語法」(0.9.2342.19200300.100.1.39)。若使用者匿名提交資源申請,則伺服器上可能會產生例外。若使用者以核准者的身份登入,則會發生例外。當使用者選擇「我的任務」時,伺服器中會發生以下例外:
08:04:32,640 INFO [LogEvent] [Workflow_Started] Initiated by GUEST_UID, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreat eNewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID, Secondary User: null 08:04:33,109 INFO [LogEvent] [Workflow_Forwarded] Initiated by System, Process ID: 9660c86d60b846e8b53437e538d84008, Process Name: cn=AnonymousCreate NewUser,cn=RequestDefs,cn=AppConfig,cn=Pamela20070130,cn=testdrivers,o=novell, Activity: start, Recipient: GUEST_UID 08:05:02,468 ERROR [VirtualDataAccess] Ldap error getting attributes for object: GUEST_UID. 錯誤:javax.naming.InvalidNameException: GUEST_UID: [LDAP : error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID' javax.naming.InvalidNameException: GUEST_UID: [LDAP: error code 34 - Invalid DN Syntax]; remaining name 'GUEST_UID'...
若您建立 guest 帳戶,則不會發生這個錯誤。
eDirectory 會將底線字元視為空格。eDirectory 會從提交的搜尋中消減前面與後面的空格。因此,可以使用使用者名稱 ' jmiller' 或 '_jmiller' 或 'jmiller_' 或甚至 '______jmiller______',以使用者 'jmiller' 身份登入。這是 eDirectory 行為,且不是 Identity Manager 的問題。這記錄於:https://support.novell.com/KanisaPlatform/Publishing/463/3656313_f.SAL_Public.html。
在多重值屬性或屬性描述中使用冒號 ( : ) 會在更新物件時產生 LDAP 錯誤。當解開多重值屬性的值時,Identity Manager 使用者應用程式會使用冒號作為分隔符號。若要解決此問題,請避免在指定多重值屬性與其描述時使用冒號。
若您在「使用者應用程式」中建立如使用者這類的項目,且在名稱中包含反斜線,則反斜線在完整 DN 中是多重的,例如 myusername\ 會變成 mysusername\\\。
若要解決此問題,請避免在項目名稱中使用反斜線。
在「使用者應用程式」中,若您使用 Mozilla 系列瀏覽器 (Firefox、Netscape* 或 Mozilla*) 以使用者 A 的身份登入,然後開啟另一個瀏覽器例項 (相同種類的瀏覽器) 並以使用者 B 身份登入,則您會在返回第一個瀏覽器例項時看到使用者 B 的資訊。這是因為瀏覽器例項會共享 (與改寫) 相同的 cookie。這個行為對是 Mozilla 系列的瀏覽器特有的;Internet Explorer 並不會發生這個行為。
當在組織圖表優先設定內使用 HTMLEditor 時,則可能會在 Firefox 中進行「剪下」、「貼上」、「複製」操作時發生例外。Mozilla 不允許指令碼因為安全性理由存取剪貼簿。因此,在 Firefox 中無法使用剪下、複製、與貼上按鈕。
在 Firefox 中,您可以透過「工具」>「延伸」來下載名為「允許剪貼簿協助程式」的延伸,這可以帶領您到延伸下載網頁
下載之後,您將在
中看見 。開啟該程式,指定您要取得「剪貼簿」存取權限的伺服器位址,然後按一下
。您可以盡量新增您喜歡的網頁。關閉所有 Firefox 瀏覽器,重新啟動 Firefox,則應該可以在 Firefox 上執行剪下、複製與貼上操作。使用者應用程式支援的字元與 iManager 相同。如需更多關於溢出特殊字元的資訊,請參閱特殊字元中的 iManager 文件。
當使用者登入「使用者應用程式」,從「書籤」或「歷程」載入登入 portlet 或頁面,並嘗試再次登入時,第二次登入將無法正確設定新入口網站會期。這可能會導致第二次登入的嘗試失敗。若要解決這個問題,請務必在登入之前使用登出連結。
本節將說明管理「使用者應用程式」的問題與解決方法。
當磁簇中的伺服器關閉時,對「活動訊號間隔」與係數所建立的修改可能會導致該伺服器的工作流程引擎在啟動後過早逾時。重新啟動磁簇中的所有伺服器可以修復這個問題。
若您在按一下「確定」之前先按「隱藏進階選項」,則若您使用 configupdate 公用程式中的「進階選項」面板來自定預設設定,您的設定將不被儲存。若要解決這個問題,請按一下「確定」但不選擇「隱藏進階選項」。
若您在 configupdate 公用程式中輸入提供應用程式的驅動程式名稱,則在指定物件名稱時大小寫可能會不正確。若要確保您使用正確的大小寫指定名稱,請使用項目欄位右側的「瀏覽」按鈕來尋找並選擇提供應用程式的驅動程式。
Linux 允許每個程序開啟 1024 個檔案,但「使用者應用程式」通常需要更多數量。Novell 建議將開啟的檔案數量增加到 4096,以避免發生「開啟太多檔案」錯誤。
使用 ulimit 指令增加開啟的檔案數量。對於非根使用者而言,使用 ulimit 有一些限制,但這裡有一個範例,讓您瞭解非根使用者要如何使用 ulimit 指令將開啟的檔案數量增加到 4096。
登入為根使用者。
編輯檔案 /etc/security/limits.conf。為名為 smith 的使用者新增項目,並允許 nofile 值最高為 4096:
smith hard nofile 4096
以使用者 smith 的身份登入,並將 4096 傳送到 ulimit -n 指令。您可以不加引數再次發出指令,就可以看見目前的值:
smith@myhost:~> ulimit -n 4096smith@myhost:~> ulimit -n
您可能希望在使用者環境或 start-jboss 指令碼中指定 ulimit 以便永遠使用新的值。
IDM Version 3.5 使用者應用程式中的 GroupWise portlet 無法與 Linux 版的 Access Manager 3.0 搭配使用。這是已知的問題。IDM Version 3.5 使用者應用程式中的 GroupWise portlet 可以與 NetWare 版的 Access Manager 3.0,過渡版本 1 搭配使用。
在「使用者應用程式中」,若管理員在Logging changes are updated successfully (已成功更新記錄變更)。此訊息應指出尚未啟用記錄到 Novell 稽核,且也應該解釋問題的原因。
標籤的「記錄」頁面中選擇 ,但「稽核」伺服器未執行,則您可能會看到一個令人混淆的訊息。當「稽核」伺服器未執行時,「使用者應用程式」將找不到「稽核」快取。這表示未啟用記錄到 Novell 稽核,且核取方塊在提交申請之後,仍保持未核取的狀態 (如預期)。然而,在頁面頂端顯示的訊息為:當提供管理員使用一個以「單一流程提供成員」策略定義的工作流程來申請群組的小組資源時,「小組申請」頁面將不允許提供管理員檢查申請的狀態。這個問題的原因是「小組申請」頁面僅允許您選擇個別的小組成員,而不能選擇群組。
若要解決這個問題,您可以使用搜尋準則過濾「小組申請」頁面中的申請。例如,您可以搜尋管理員為啟始者的申請,同時指定時間範圍與申請類別。
對於使用範本預設值保留不改變的定義範本所建立的申請定義而言,可能不會為使用「guest 使用者」提交的申請傳送通知。錯誤會記錄於應用程式伺服器主控台。
申請範本的預設行為是將完成通知傳送給申請啟始者。若您使用 GUEST UID,且與「guest 帳戶」無關時,則電子郵件地址的評估會失敗,這會導致電子郵件無法傳送,且錯誤會被記錄到應用程式伺服器的主控台。
若要完成通知設定,請不要執行以下任一項目:
將 Guest UID 與帳戶相關聯。如需解決方法,請參閱 Identity Manager 3.5 使用者應用程式:管理指南中的啟用「使用者應用程式」的「匿名或 Guest 存取」小節。
若您計畫允許 GUEST UID 提交申請,則可以將輸入格式欄位新增到指定傳送通知訊息之電子郵件地址的申請格式中。在流程資料文件中儲存確認電子郵件地址。修改完成活動郵件可以使用已儲存的電子郵件地址以進行 TO 映射。
或者,關閉申請定義的通知。
網路檔案 portlet 的 NoClassDefFoundError 表示 portlet 找不到 njclv2r 歸檔檔案。若要解決此問題:
請複製適用於您系統的 novell-njcl-devel-2006.02.22-.....檔案,複製位置為:http://developer.novell.com/wiki/index.php/Njclc
將 njcl.jar 新增到「使用者應用程式」網路歸檔檔案中的 WEB-INF/lib 目錄。WEB-INF/lib 可以在 JBoss 應用程式伺服器的部署目錄之下找到。此目錄通常為 jboss/server/APP_NAME/deploy。
若要由代理啟動工作流程,以下所有項目都必須為真:
具有代理的使用者也必須是「使用者應用程式」的管理員。
「使用者應用程式」的管理員必須擁有使用工作流程的許可。
「使用者應用程式」的管理員必須擁有成為啟始者之人員的代理。
名為
的「使用者應用程式」之驅動程式參數必須設定為 。對於所有「使用者應用程式」的操作 (不只是代理工作流程),「使用者應用程式」驅動程式中的使用者必須永遠為「使用者應用程式」的管理員。
為了安全起見,我們建議將管理員與 LDAP guest 帳戶限制為滿足指定角色所需的最小權限設定。在「使用者應用程式」中指派以下角色時 (在安裝期間,或在安裝之後使用 configupdate 公用程式),請為以下人員指定個別的實體 Identity Vault 使用者帳戶:
LDAP 管理員
LDAP guest (若有使用)
使用者應用程式的管理員
提供應用程式的管理員
在 Windows XP SP2 中,configupdate 公用程式中的「檔案瀏覽」按鈕有時會損壞 JVM。若要解決這個問題,請輸入完整的檔案路徑名稱,而非使用「檔案瀏覽」按鈕。
「網路檔案」附加的 portlet 已新增 ShortcutsUseFullyQualifiedPath 作為新的優先設定。若為 True,則您在「捷徑」優先設定中指定的任何捷徑都必須具有完全合格的路徑。若為 False,則您在「捷徑」優先設定中指定的任何捷徑都必須具有與 InitialDirectory 相關的路徑。若使用者僅瀏覽路徑中的子目錄,則請選擇 False。
若要結束 NetStorage 會期並關閉您使用的檔案存取,請按一下 NetStorage 網路介面中的登出按鈕。
以下證書中的資訊適用於 GroupWise® Mail、郵件l/行事曆與網路存取 portlet。
應將證書安裝到執行中的 JVM。否則,當 HTTP 用戶端嘗試連接時,您會收到 SSL 例外,而非託管的證書。
為了讓使用者驗證生效,必須發生以下順序:
透過瀏覽器,登入 GroupWise 伺服器。
連按兩下右下角的鎖定圖示。
選取
標籤,按一下 ,然後按一下 。選取
,然後按一下 。指定檔案的名稱。按一下
,然後再按 。請到您正使用的 jre/bin,並輸入以下指令:keytool -import -trustcacerts -file drive:\folder\ cert_file_name - keystore ../lib/security/cacerts
用來連接 GroupWise WebAccess 的 URL 必須在 portlet 的 /servlet/webacc 建立一個呼叫以驗證使用者。這會經由 commons-HTTP 用戶端透過 SSL 完成。
中指定。使用此 URL,將對有效登入後,/servlet/webacc 會傳回 User.context=kjshgfdgjsgdf (其中 kjshgfdgjsgdf = GroupWise 會期值)。這位於 UsersPortletSession 以供之後使用與 URL 轉譯之用。
GroupWise 也在此申請中發行 cookie,所以 portlet 會提取 cookie 並將這些值放置於 PortletSession。
無論何時對 portlet 建立「doView」申請,portlet 都必須將 cookie 推至 portlet 回應;portlet 網站的網域必須符合 GroupWise /servlet,否則會發生跨網域瀏覽器問題。這是 cookie 的安全性限制。
若使用者未設定「網路存取」的使用者與密碼,系統將提示使用者並允許他們將設定保留在優先設定中。
本節將說明「使用者應用程式」的效能問題、解決方法與建議事項。
您可以在 iManager 工作流程管理外掛程式中變更工作流程查詢傳回的結果限制。以下的 SOAP 結束點被設定為 1000 列限制:
getAllProcesses(), getProcesses(String, long, T_Operator, String, String), getProcessesByApprovalStatus(T_ApprovalStatus), getProcessesByCreationInterval(long, long), getProcessesByCreationTime(long, T_Operator), getProcessesById(String),getProcessesByInitiator(String), getProcessesByRecipient(String), getProcessesByStatus(T_ProcessStatus)
一些方式會由 iManager 工作流程管理功能使用。
若要變更這個設定,
請開啟 IDMProv.war。
從 IDMfw.jar 解壓縮WorkflowService-Conf/config.xml 檔案。
將 WorkflowService/SOAP-End-Points-Process-Query-MaxRows 內容值從 1000 變更為新設定。
<property>
<key>WorkflowService/SOAP-End-Points-Process-Query-MaxRows</key>
<value>1000</value>
</property>
取代 JAR 與 WAR 中的檔案,然後重新部署。
依預設,搜尋大小未限制。Novell 建議您控制搜尋的大小 (項目數量) 與時間 (秒)。 若要這要做,請調整以下任一項中的設定:
eDirectory: 使用 iManager 修改 TimeLimit 與 searchSizeLimit ldapServer 物件屬性搜尋。依預設,這些屬性的值為 0 (無限制)。這些設定優先於 DAL 設定。ldapServer 物件通常可在組織根部中找到 (例如foo,o=novell)。
DAL/VDX: 使用 DAL 編輯器設定 DAL 項目定義的大小與時間限制。您在這裡設定的限制可以限制但不能擴充任何現有的 eDirectory 限制。例如,若項目在 eDirectory 的限制為 100,則您不可以在 DAL 中增加。然而,您可以從 100 開始減少。DAL 中的預設大小與時間限制為 0 (無限制),eDirectory 設定優先。
Searchlist portlet: 設定此 portlet 的結果限制優先設定。若值為 0 (預設值),則 DAL 中的值優先。
ParamList portlet:設定此 portlet 的「結果限制」優先設定。若值為 0 (預設值),則 DAL 中的值優先。
本節說明 Identity Manager 之當地語系化的已知問題。
從 HTML mailto: 指令顯示標題文字時,Windows GroupWise 郵件與 Outlook 用戶端有一個已知問題。這個問題會在瀏覽器使用雙位元組字元集語言 (例如中文或日文) 時出現。
在這個情況下,當您從「詳細資料」頁面傳送身份資訊,則「標題」行會有無效的字元,因為這些郵件用戶端未將雙位元組字元正確溢出。
您應確保輸入和輸出字元編碼符合由來源或目的地應用程式使用的那些編碼。任何在所選輸出中無法顯示的字元都會變成問號 (“?”)。
若您在當地語系化的作業系統環境中執行「使用者應用程式」組態工具 (用於設定 LDAP 設定),則可以正確顯示所有文字輸入方塊。例如,若 eDirectory 中有任何中文辨別名稱,或您輸入任何中文字元,則這些可以在中文作業系統環境中正確顯示。然而,若您在英文作業系統中,則從 eDirectory 輸入或傳回的任何中文字元會顯示為無法讀取的字元 (最可能是方塊)。這是因為未正確設定「地區設定」。
若您在英文作業系統環境中,且希望顯示當地語系化的字元,則請執行以下作業:
- 在 Windows 2000 環境中,請至「控制台」並選擇「地區選項」。在「一般」標籤下,將
設定為本地語言 (例如,中文 (PRC))。- 在 Windows 2003 環境中,請至「控制台」並選擇「地區選項」。在「地區選項」標籤之下,選取
並套用變更。- 在 SUSE Linux 環境中,環境變數 LANG 設定為下:export LANG=zh_CN
相同的基本程序適用於所有語言。
當 Identity Manager 傳送包含雙位元組語言 (例如中文或日文) 的電子郵件時,電子郵件用戶端在讀取郵件時會發生錯誤。若您碰到這個問題,請聯絡 Novell 技術支援。
本節說明「使用者應用程式」之驅動程式的問題、解決方法與建議事項。
若「使用者應用程式」的驅動程式名稱包含括弧,則搜尋會發生錯誤,如
Error: javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis;
避免在驅動程式名稱中使用任何括弧。搜尋會將「使用者應用程式」的驅動程式名稱中的括弧解釋為分隔符。
當「應用程式伺服器」當機,且重新啟動已啟用的「使用者應用程式」驅動程式時,驅動程式的啟用狀態會顯示為需要啟用,即使已對驅動程式載入啟用認證。這是一個已知的問題。 若要避免或解決這個問題,請在啟動「使用者應用程式」伺服器且可用之後,啟動「使用者應用程式」的驅動程式。
「使用者應用程式」的驅動程式會在啟動驅動程式時讀取工作流程屬性的清單。若您建立新的提供申請定義,且若您立即嘗試建立「綱要映射」規則,則在重新整理應用程式綱要之後,新提供申請定義不會出現在應用程式屬性的清單中。這是因為「使用者應用程式」的驅動程式必須在可以使用提供申請定義之前重新啟動。在建立新的提供申請定義之後,在嘗試使用規則中的提供申請定義之前停止「使用者應用程式」的驅動程式然後重新啟動。或者,只要在「綱要映射」規則編輯器中重新整理應用程式綱要兩次即可。
本節說明 JBoss 應用程式伺服器的問題與解決方法。
在 Windows 2003 中,若您根據批次檔案中的備註,在 start-jboss.bat 檔案中取消註解,則啟動會忽略變更。若要使設定生效,請在 run.bat 檔案中編輯 JAVA_OPTS 設定。
您可能會在登入「使用者應用程式」時,在 JBoss 主控台看見以下錯誤。
13:33:56,410 ERROR [STDERR] Dec 4, 2006 1:33:56 PM
com.metaparadigm.jsonrpc.Bean
Serializer analyzeBean
INFO: analyzing com.novell.ajax.juice.AjaxServiceResult
請忽略這個錯誤。這是因為在 JSONSerializer 類別中有一個不需要的 System.err.println 呼叫,這是由 Identity Manager 使用的協力廠商元件。
您可能會在 JBoss 主控台中發生以下錯誤:
INFO [STDOUT] Initialize Novell Audit...
ERROR [STDERR] Error writing to NAudit Log file:
/var/opt/novell/naudit/nproduct.log (No such file or directory)
[jlogevent]: Using primary Secure Log Server 164.99.26.214.
若要解決或避免這個錯誤,並將事件記錄到 Linux/UNIX 環境的 NovellAudit (或 Sentinel*) 伺服器:
建立路徑 /var/opt/novell/naudit/ 並將寫入許可授予執行 Identity Manager 使用者應用程式的使用者。
在 /etc/logevent.conf 中新增項目為
LogCachePort=<n> (其中 n > 1000)
例如,LogCachePort=1234
包含於 JBoss 4.0.5 GA 的 JGroups 版本 (2.2.7 版) 有一個問題,會導致在磁簇環境中發生效能問題。如需關於問題的詳細資料,請參閱 Deadlock - JBoss.org JIRA。這個問題已在 JGroups 2.4 中獲得解決。我們建議升級到 JGroups 2.4 或更新版本就可以避免發生 JGRP-292 中的問題。
在升級到 JGroups 2.4.x (或在升級任何 JBoss 安裝中其他元件之前) 之前,請查閱 JBoss 應用程式伺服器、JBossCache 與 JGroups 相容矩陣所提供的相容性清單。
如需關於 JGroups 的下載與資訊,請參閱 JGroups - JGroups 專案。
java.util.NoSuchElementException 例外會在「使用者應用程式」執行於磁簇時發生。這個例外是 JBoss 中的已知問題,且已在更新版本中修復了。請參閱 JBossCacheManager.findLocalSessions 並行問題取得更多相關資訊。
這裡是此問題引發的堆疊追蹤範例:
2007-02-06 14:23:58,231 ERROR[org.jboss.web.tomcat.tc5.session.JBossCacheManager:processExpires]processExpires: failed with exception: java.util.NoSuchElementExceptionjava.util.NoSuchElementException atEDU.oswego.cs.dl.util.concurrent.ConcurrentHashMap$HashIterator.next(ConcurrentHashMap.java:1131) at java.util.AbstractCollection.toArray(AbstractCollection.java:176) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.findLocalSessions(JBossCacheManager.java:851) atorg.jboss.web.tomcat.tc5.session.JBossCacheManager.processExpires(JBossCacheManager.java:1188) atorg.jboss.web.tomcat.tc5.session.JBossManager.backgroundProcess(JBossManager.java:817) atorg.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1284) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1569) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1578) atorg.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1558) at java.lang.Thread.run(Thread.java:595)
依預設,「使用者應用程式」字元編碼過濾器在「使用者應用程式」的 web.xml 中設定為「啟用」。這個設定一般不需要任何特定的組態,但若您已設定 URI 編碼的 Tomcat,則可能需要變更。Tomcat http/https 連接器的組態中有兩個會影響字元集編碼與過濾器組態的屬性,:URIEncoding 與 useBodyEncodingForURI。
在 %xx 解碼 URL 之後,此項目會指定用來解碼 URI 位元組的字元編碼。若未指定將使用 ISO-8859-1。需求包括:HTTP 與 HTTPS 都要有相同的組態。「字元集」編碼過濾器應修改為包括 URI 編碼的 init 參數。此參數的值應與 Tomcat 連接器組態中的 URIEncoding 屬性值相同。
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name>
<filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>uri-encoding</param-name> <param-value>UTF-8</param-value> </init-param> </filter>
這個項目會指定 contentType 中指定的編碼是否應用於 URI 查詢參數,而非使用 URIEncoding。這個設定在與 Tomcat 4.1.x 相容的環境是可行的,其中編碼是在 contentType 中指定,或明確設定為 URL 的參數使用 Request.setCharacterEncoding 方法。預設值為假。
若 useBodyEncodingForURI 設定為「真」,則過濾器組態應包括 use-body-encoding init 參數,例如:
<filter> <filter-name>AggregationServletEncFilter</filter-name> <display-name>AggregationServletEncFilter</display-name> <filter-class>com.novell.afw.portal.l18n.CharacterEncodingFilter</filter-class> <init-param> <param-name>use-body-encoding</param-name> <param-value>true</param-value> </init-param> </filter>
如需更多詳細資訊,請參閱 Tomcat 連接器組態資訊的網站。
若您時常部署「使用者應用程式」,例如在開發階段,則您可能會碰到以下錯誤:
11:32:20,194 ERROR [[PortalAggregator]] Servlet.service() for servletPortalAggregator threw exceptionjava.lang.OutOfMemoryError: PermGen space
若要避免這個錯誤,請執行以下任一作業:
重新啟動 JBoss 伺服器
藉由 start-jboss 指令碼的 JAVA_OPTS,將 -XX:MaxPermSize (例如 -XX:MaxpermSize=128m)傳送到 Java 虛擬機器來增加 PermSpace 值。
若「使用者應用程式」設定為將事件傳送到 Novell 稽核,則在 JBoss 伺服器啟動後,您有時會在 JBoss 主控台中看到以下這類訊息:
03:53:08,625 INFO [STDOUT] CACHE ERROR>java.net.SocketTimeoutException: Read timed out03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.socketRead0(Native Method)03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.net.SocketInputStream.read(SocketInputStream.java:129)
03:53:08,625 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.fill(BufferedInputStream.java:218) 03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.BufferedInputStream.read(BufferedInputStream.java:235)03:53:08,640 INFO [STDOUT] CACHE ERROR> at java.io.DataInputStream.readInt(DataInputStream.java:353)03:53:08,640 INFO [STDOUT] CACHE ERROR> at com.novell.naudit.lcache.ClientConnection.run(未知的來源)
這些訊息並不會影響 Novell 稽核的記錄。可以忽略。
本節說明 iManager 問題與解決方法。
在 iManager 中,特別是「規則建置程式」,Internet Explorer 7 會持續提示您存取「剪貼簿」。若要停用提示:
按一下
> 。選取
標籤,然後按一下 。尋找
> ,然後選取 。重新啟動 Internet Explorer 後提示就會停止。
這個問題可藉由升級到 NMAS® 2.3.9 修復。
若您想要使用 NDS-to-NDS 驅動程式證書精靈,您必須下載並安裝 iManager 外掛程式才能取得「證書伺服器」。
使用 Identity Manager 3.5 外掛程式與 Mobile iManager 2.6 時,iManager 可能會在選取特定 Identity Manager 任務時意外結束。這個問題的發生原因為內嵌式 Mozilla 瀏覽器的 Javascript* 處理常式發生錯誤 (使用 Linux 上的 Mobile iManager 傳送)。
解決方法:
啟動 Mobile iManager 並將其最小化。
開啟支援的瀏覽器,然後在以下地址存取 iManager:http://localhost:48080/nps/iManager.html。
本節說明密碼管理問題、解決方法與建議事項。
Identity Manager 3.5 包含的「使用者應用程式」支援使用多語言處理安全集的全部功能。您可以透過 iManager 設定此功能與設定密碼規則。
若您使用 Novell Client™ 4.9.1 或更舊版本,或 Novell eDirectory 的密碼管理,則不支援此多語言功能。若您已在多個語言中定義處理安全集,則不應將密碼規則指派給使用者。例如,您可以定義法文的處理安全集,但不能同時定義法文與德文。
若您在 JBoss 中使用自我簽署的證書與外部密碼忘記管理 WAR 時,可能會看見以下例外:
java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.
這會在外部密碼忘記管理 WAR 透過 SSL 呼叫執行於「使用者應用程式」的網路服務時發生 (定義為 configupdate 公用程式的「忘記密碼傳回連結」欄位)。若伺服器證書未經由 CA 託管,且沒有匯入託管儲存區的伺服器託管證書,則會發生以上錯誤。
若要解決這個問題,您必須從執行「使用者應用程式」的 JBoss SSL 伺服器中取得託管的證書。您之後應該將該證書匯入 JRE 的 cacert (其中 JBoss 正在執行外部忘記密碼管理 WAR)。
您使用的指令類似以下:
keytool -import -file trusted_cert_from_ua_server.cer -keystore cacerts -storepass changeit -alias extpwd_certs
密碼規則未承襲「使用者應用程式」管理員必須明確地將密碼規則套用到建立使用者的容器。不這樣做可能會導致這個錯誤:
無效的安全密碼管理員 (SPM) 申請。若問題持續存在,請聯絡系統管理員。
若使用者在登入變更密碼或安全處理回應提示重新導向,則在下次登入之前,使用者可以輸入入口網站的 URL 與跳過驗證檢查。
此版本中,使用者會期裡的機密資料 (例如單一簽入的登入密碼) 的未加密。這可能會將機密資料暴露給網路監聽者。若要在磁簇環境中保護暫存於使用者會期與在會期複製期間於網路上傳輸的機密資料,則您需要執行以下任一作業:
啟用 JGroups 的加密。如需更多關於啟用 JGroups 加密的資訊,請參閱 JGroups 加密。
請確定磁簇設有防火牆。
本節說明 IDM 文件的其他文件資源與更正。
Identity Manager 3.5 使用者應用程式管理指南包含一些設定 JBoss 的資訊。若您需要 JBoss 設定的更進一步資訊,請參閱以下來源:
如需關於將 JBoss 設定為 SUSE 服務的詳細資料,請參閱 Novell 的 Cool Solutions 網站。
如需 Apache SSL 設定的資訊,請參閱 JBoss 網站中的適當章節。
如需關於 IIS SSL 設定的資訊,請參閱 JBoss 論壇:安裝、組態與部署。
對於 Identity Manager 3.5,在「附加 Portlet 指南」中,使用此程序取代如何啟用 portlet SSO 中的每個說明:
若要啟用 portlet 單一簽入:
在「使用者應用程式」中,開啟「管理」標籤並選擇
。選取
。按一下啟用 SSO 的圓形按鈕。
IDM 3.5 使用者應用程式的第 13.3 節:「使用者指南」顯示「提供應用程式管理員」可以定義組織中任何使用者、群組或容器的委託指派。此文字正確,但位於書本中錯誤的位置。應該已新增於第 11.5 節之下。
IDM 3.5 使用者應用程式:使用者指南中第 9.2 節的第一段應為:「依預設,在您登入 Identity Manager 使用者介面並選取「申請與核准」標籤之後,會顯示「我的任務」頁面。」
在此文件中,大於符號 (>) 是用以區別交互參照路徑中步驟與項目內的動作。
商標符號 (®、TM 等等) 代表 Novell 商標;星號 (*) 則代表協力廠商商標。
Novell, Inc. 對本文件的內容與使用不做任何陳述或保證,對本產品在任何特定用途的適銷性與適用性上,亦不做任何明示或默示的保證。 此外,Novell, Inc. 保留隨時修改本出版品及其內容的權利,進行此類修正或更動時,亦毋需另行通知任何人士或公司組織。
此外,Novell, Inc. 對軟體不做任何陳述或保證,對本產品在任何特定用途的適銷性與適用性上,亦不做任何明示或默示的保證。 此外,Novell, Inc. 保留隨時修改任何或全部 Novell 軟體的權利,進行此類更動時,亦毋需通知任何人士或公司。
此合約下提到的任何產品或技術資訊可能受美國出口管制法與其他國家/地區的貿易法的限制。您同意遵守所有出口管制法規,並取得出口、再出口或進口交付物品所需之任何必要的授權或類別。您同意不出口或再出口至目前美國出口排除清單上所列之實體,或是任何美國出口法所指定之禁運或恐怖主義國家。您同意不將交付產品用在禁止的核武、飛彈或生化武器等用途上。請參考 www.novell.com/info/exports/ 以取得有關出口 Novell 軟體的更多資訊。Novell 無需承擔您無法取得任何必要的出口核准之責任。
Copyright © 2007 Novell, Inc. 版權所有。 未獲得出版者署名的書面同意下,不得對本出版品的任何部分進行重製、複印、儲存於可取回系統或傳輸的動作。
本文件所述產品所使用技術的智慧財產權屬於 Novell, Inc. 所有。尤其 (但不限於),這些智慧財產權可能包含一或多個美國專利 (列於 http://www.novell.com/company/legal/patents/) 和一或多個在美國或其他國家的額外專利或專利申請。
Novell 是 Novell, Inc. 在美國與其他國家的註冊商標。
SUSE 是 Novell, Inc. 在美國與其他國家的註冊商標。
所有協力廠商商標均為其各自擁有者所有。