Directory Proxy Server 6.3.1 Update 1

Die folgenden Abschnitte behandeln Directory Proxy Server 6.3.1 Update 1:

• Informationen über Directory Proxy Server 6.3.1 Update 1

• Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden

• Installationshinweise für Directory Proxy Server 6.3.1 Update 1

• Behobene Probleme und Einschränkungen in Directory Proxy Server 6.3.1 Update 1

Informationen über Directory Proxy Server 6.3.1 Update 1

Dieser Patch behebt Probleme nur in der Directory Proxy Server-Komponente des Directory Server Enterprise Edition-Produkts. Es ist für die Anwendung oberhalb von Directory Server Enterprise Edition 6.3.1 ausgelegt. Die Directory Server-Komponente von Directory Server Enterprise Edition 6.3.1 bleibt unverändert.

Dieses Update kann nicht für frühere Versionen als Directory Server Enterprise Edition 6.3.1 angewendet werden. Anweisungen für ein Upgrade auf Version 6.3.1 erhalten Sie in Tabelle 2–1, “Upgrade der Pfade auf Directory Server Enterprise Edition 6.3.1.”

Dieser Abschnitt behandelt folgende Themen:

• Neuheiten in dieser Version

• Verbesserungen in Directory Proxy Server 6.3.1 Update 1

• Unterstützte Plattformen

Neuheiten in dieser Version

Dieses Update ist eine Zwischenversion, die hauptsächlich die in Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden beschriebenen Probleme behebt.

Directory Proxy Server 6.3.1 Update 1 führt außerdem das neue Verhalten in beständigen Suchoperationen aus. Wenn eine Client-Anwendung die beständigen Suchantworten vom Directory Proxy Server nur sehr langsam liest, wird die Proxy Server-Anwortwarteschlange überladen. In diesem Fall kann der Server die Verbindung mit folgender Client-Benachrichtigung schließen:

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

Eine informative Nachricht, ähnlich wie die folgende, wird ebenfalls protokolliert:

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Verbesserungen in Directory Proxy Server 6.3.1 Update 1

Directory Proxy Server 6.3.1 Update 1 bietet folgende Verbesserungen:

Fähigkeit, JAVA HOME mithilfe von dpadm set-flags/get-flags einzustellen und abzurufen (6765629)

Ein Pfadname kann für JAVA_HOME eingestellt werden und Vorrang gegenüber dem in der Umgebung definierten Wert von JAVA_HOME haben, wie im folgenden Beispiel gezeigt:

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

Fähigkeit, den Wert umask der DPS-Konfiguration und Protokolldateien einzustellen und abzurufen (6739456)

Der Befehl dpadm ändert den Wert umask und beim nächsten Neustart der DPS-Instanz werden die Berechtigungen der Konfigurationsdatei entsprechend dem neuen Wert umask geändert. Die Berechtigung der Protokolldatei wird bei der nächsten Dateirotation ähnlich eingestellt. Das folgende Beispiel zeigt eine typische Verwendung:

$ dpadm set-flags instance-path umask=22

Hinzufügen einer neuen virtuellen Umwandlung mit demselben "MODEL, ACTION, ATTR_NAME" nicht möglich (6722238)

Der Administrator kann nun unterschiedliche virtuelle Umwandlungen auf demselben MODEL, ACTION, ATTR_NAME definieren.

Directory Proxy Server 6.3.1 Update 1 fügt außerdem neue Eigenschaften hinzu und aktualisiert bestehende Eigenschaften, wie in der folgenden Liste beschrieben. Neue Eigenschaften werden als "Neu" gekennzeichnet. Eigenschaften, die gegenüber ihren Spezifikationen in DSEE 6.3.1 geändert wurden, werden als "Aktualisiert" gekennzeichnet.

close-client-connection (Neu)

Dynamisch (kein Neustart erforderlich)

Ebene: connection-handler

Typ: boolean

Standardwert: false

Beschreibung: Zeigt an, ob der Verbindungs-Handler die Clientverbindung schließen soll, wenn keine Datenquelle verfügbar ist.

data-view-use-internal-client-identity (Neu)

Dynamisch (kein Neustart erforderlich)

Ebene: Verbindungs-Handler

Typ: boolean

Standardwert: false

Beschreibung: Zeigt an, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.

Dokumentation: Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.

db-vendor (Neu)

Dynamisch (kein Neustart erforderlich)

Ebene: jdbc-data-source

Typ: enumeration

mysql

RDBMS-Backend ist MySQL.

derby

RDBMS-Backend ist Apache Derby/Java DB.

db2

RDBMS-Backend ist DB2.

oracle

RDBMS-Backend ist Oracle.

ms-sql-server

RDBMS-Backend ist Microsoft SQL Server.

generic

RDBMS-Backend ist nicht definiert. Falls möglich legt Directory Proxy Server den Herstellernamen über die in jdbc-data-source definierte db-url fest.

Standardwert: generic

Beschreibung: Herstellername der JDBC-Datenquelle

Dokumentation: Diese Eigenschaft legt den Herstellernamen der JDBC-Datenquelle fest. Sollte eingestellt werden, wenn ein anderer IDBC-Treiber eines Drittanbieters und nicht der vom Datenbankhersteller bereitgestellte verwendet wird, um eine Verbindung mit dem RDBMS-Backend herzustellen. Diese Daten werden verwendet, um herstellerspezifische SQL-Anweisungen zu erstellen, die eine Leistungsverbesserung bewirken können.

numeric-lower-bound (aktualisiert)

Dynamisch (kein Neustart erforderlich)

Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view

Neuer Typ: lang

Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl

Die übrigen Attribute bleiben wie zuvor.

numeric-upper-bound (aktualisiert)

Dynamisch (kein Neustart erforderlich)

Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view

Neuer Typ: lang

Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl

Die übrigen Attribute bleiben wie zuvor.

down-monitoring-interval (neu)

Statistisch (Neustart erforderlich)

Ebene: ldap-data-source

Typ: Dauer in Sekunden (untere Grenze: 1)

Standardwert: Übernommen (Wert von monitoring-interval)

Beschreibung: Intervall, in dem die Verfügbarkeitsüberwachung fehlgeschlagene Verbindungen abruft, um ihre Wiederherstellung festzustellen

Dokumentation: Diese Eigenschaft legt das Abrufintervall fest. Wenn eine Verbindung fehlschlägt, ruft die Verfügbarkeitsüberwachung die Verbindung in diesem Intervall auf, um deren Wiederherstellung festzustellen. Falls nicht anders angegeben wird der Wert der Eigenschaft monitoring-interval verwendet.

monitoring-retry-count (neu)

Statistisch (Neustart erforderlich)

Ebene: ldap-data-source

Typ: Ganzzahl (untere Grenze: 1)

Standardwert: 3

Beschreibung: Anzahl der durchzuführenden Neuversuche, bevor die Verbindung als nicht aktiv gekennzeichnet wird

Dokumentation: Diese Eigenschaft legt fest, wie häufig die Verfügbarkeitsüberwachung die Verbindung abruft, nachdem sie das erste Mal fehlgeschlagen ist. So kann der Aufbau der Verbindung schneller gekennzeichnet werden. Wenn die Verbindung auch nach Ablauf der festgelegten Versuche fehlschlägt, wir der Wert der Eigenschaft down-monitor-interval als Abrufintervall verwendet.

use-tcp-keep-alive (neu)

Dynamisch (kein Neustart erforderlich)

Ebene: ldap-data-source

Typ: boolean

Standardwert: true

Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen mit Server und der Datenquelle aktiviert ist

Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen dem Server und der Datenquelle aktiviert werden soll.

use-tcp-keep-alive (neu)

Dynamisch (kein Neustart erforderlich)

Ebene: ldap-listener und ldaps-listener

Typ: boolean

Standardwert: true

Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert ist

Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert werden soll.

allow-unauthenticated-operations (aktualisiert)

Dynamisch (kein Neustart erforderlich)

Ebene: Server

Typ: boolean

Standardwert: true

Neue Beschreibung: Gibt an, ob der Server unauthentifizierte Vorgänge akzeptiert

Alte Beschreibung (für DPS 6.0 bis DPS 6.3.1): Gibt an, ob der Server Vorgänge von anonymen Clients akzeptiert

Neue Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server unauthentifizierte Vorgänge akzeptiert. Der Modus zum Behandeln des Verbindungsvorgangs wird mithilfe von allow-unauthenticated-operations-mode festgelegt

Alte Dokumentation (für DPS 6.0 bis DPS 6.3.1): Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server anonyme Clients zum Ausführen von Vorgängen zulässt.

allow-unauthenticated-operations-mode (neu)

Dynamisch (kein Neustart erforderlich)

Ebene: Server

Typ: enumeration

anonymous-only

Wenn kein Passwort angegeben ist, sind nur anonyme Verbindungen zulässig

dn-identified-only

Wenn kein Passwort angegeben ist, sind nur Verbindungen mit einem angegebenen DN zulässig

anonymous-and-dn-identified

Wenn kein Passwort angegeben ist, sind anonyme Verbindungen und Verbindungen mit angegebenem DN zulässig

Standardwert: anonymous-and-dn-identified

Beschreibung: Modus zum Behandeln von Verbindungsvorgängen ohne Passwort.

Dokumentation: Diese Eigenschaft legt fest, wie Directory Proxy Server Vorgänge ohne Verbindungspasswort behandelt, wenn allow-unauthenticated-operations auf true gesetzt ist.

time-resolution (aktualisiert)

Statistisch (Neustart erforderlich)

Ebene: Server

Typ: Dauer in Millisekunden

Neuer Standardwert: 250

Alter Standardwert (für DPS 6.0 bis 6.3.1): 500

Neue Dokumentation: Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 250 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution oder ändern Sie den Wert der Eigenschaft time-resolution-mode. Bei der Einstellung von 0 Millisekunden verhält sich der Proxy so, als wenn der Wert der Eigenschaft time-resolution-mode auf system-milli eingestellt ist. Diese Eigenschaft wird ignoriert, wenn der Wert der Eigenschaft time-resolution-mode auf system-milli oder system-micro eingestellt ist.

Alte Dokumentation (für DPS 6.0 bis 6.3.1): Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 500 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution. Bei der Einstellung von 0 Millisekunden führt der Proxy systematisch einen Systemaufruf aus, um die aktuelle Zeit abzurufen. Andernfalls wird die Zeit zwischengespeichert und nur jeweils für den Zeitraum time-resolution abgefragt. Diese Zeit wird in den Protokollen angezeigt.

Die Beschreibung bleibt wie zuvor.

time-resolution-mode (neu)

Statistisch (Neustart erforderlich)

Ebene: Server

Typ: enumeration

custom-resolution

Verwenden Sie einen Thread, um alle time-resolution Millisekunden einen Systemaufruf auszuführen

system-milli

Fragen Sie die Zeit in Millisekunden mithilfe eines Systemaufrufs ab

system-micro

Fragen Sie die Zeit in Mikrosekunden mithilfe eines Systemaufrufs ab

Standardwert: custom-resolution

Beschreibung: Modus zum Abfragen der Systemzeit

Dokumentation: Diese Eigenschaft legt den Modus fest, der zum Abrufen der Zeit aus dem BS verwendet wird.

Unterstützte Plattformen

Directory Proxy Server 6.3.1 Update 1 ist für alle unterstützten Directory Server Enterprise Edition 6.3.1-Plattformen verfügbar. Weitere Informationen erhalten Sie unter Hardwareanforderungen und Anforderungen an das Betriebssystem.

Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden

In diesem Abschnitt werden die in Directory Proxy Server 6.3.1 Update 1 behobenen Fehler aufgeführt.

6567644

Directory Proxy Server erstellt unzulässige Datenbankanforderungen.

6590816

Wenn connectionIdleTimeOutInSec für das LDAP-Zielgerät eingestellt wird, kann DSCC deaktiviert werden.

6641888

Ein Suchvorgang kann Einträge ausgeben, die Attribute enthalten, die nicht in viewable-attr vorhanden sind.

6648665

Die Eigenschaft max-client-connections wird nicht durchgesetzt, wenn an der Verbindung kein Vorgang ausgeführt wird.

6681502

Die Arbeitsspeicherüberwachung ist standardmäßig deaktiviert.

6686150

Der nummerische Verteilungsalgorithmus sollte long anstelle von int verwenden, um nummerische Bereiche einzustellen.

6717943

Die Directory Proxy Server-Standardgrößenbeschränkung für die Ressourceneigenschaften verwendet die falsche Ganzzahl ohne Begrenzung.

6721192

DN-Umwandlungen schlagen fehl.

6721749

Die Einstellung von add-attr-value kann dazu führen, dass DN-Umwandlungen falsche Ausgaben erzeugen.

6722222

Der Verbindungs-DN sollte bei der Verbindung mit einem LDAP-Server zugeordnet werden. (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN).

6722238

Eine neue virtuelle Umwandlung kann nicht mit demselben "MODEL, ACTION, ATTR_NAME" hinzugefügt werden.

6723858

Die Eigenschaft requires-bind-password, die auf dem Backend-Verzeichnisserver eingestellt ist, wird nicht durchgesetzt.

6734559

Die virtuelle DN-Zuordnung schlägt fehl, wenn sie von einem virtuellen Attribut abhängt.

6736621

Der Verbindungs-DN wird abgelehnt, wenn die Umwandlung fehlschlägt, selbst wenn er in die Ansicht fällt.

6737084

Falsche DN-Zuordnung für die Richtung vom Server.

6739414

Groß-/Kleinbuchstaben in den Attributnamen werden von 6.3 Directory Proxy Server umgewandelt.

6739456

Ein Kunde wird aufgefordert, für Directory Proxy Server Gruppenberechtigungen für Konfigurations- und Protokolldateien einzurichten (umask 117, chmod 660).

6751692

Der Befehl dpadm start erstellt ein Speicherabbild, wenn das Java-Argument MaxTenuringThreshold verwendet wird.

6758793

DN-Zuordnung kann umbenannte Einträge ablegen.

6760526

Der Befehl dpadm erzeugt keine DPS.pid -Datei.

6760951

Das Directory Proxy Server-Konfigurationsschema ist nicht mit der Funktion SystemMonitorThread.java vereinbar.

6761032

Server und Konsole sind mit dem searchMode-Parameter unvereinbar.

6764073

Directory Proxy Server schlägt fehl, wenn er für die Verwendung einer Proxy-Authentifizierung konfiguriert ist.

6765629

Ermöglicht die Einstellung von JAVA HOME mithilfe von dpadm set-flags.

6767776

DN-Zuordnung kann nicht auf rootDSE verwendet werden.

6774589

Directory Proxy Server erfordert virtuelle DN-Umwandlungen mit mehrfachbewerteten Benennungsattributen.

6778262

Zeitgranularität in Mikrosekunden sollte für etimes angegeben werden.

6778308

Der Befehl splitldif ignoriert virtuelle Umwandlungen.

6780423

Sockets können bei starker Last im geschlossen Wartestatus verbleiben.

6782659

Die Option SO_KEEPALIVE ist nicht in Directory Proxy Server 6.3 eingestellt (d. h. setKeepAlive() != True), wenn ein Socket erstellt wird.

6798674

Durch die Korrektur von CR 6513526 können Regressionen auftreten, da Nullwerte in den ConfigAttribute-Objekten vorliegen.

6802371

Die Eigenschaft acceptBacklog wird für Listener auf Kanalbasis ignoriert.

6808701

Inaktivitätstakte werden aufgrund der letzten Aktivität einer Backend-Verbindung nicht häufig genug gesendet.

6808704

Inaktivitätstakte werden nicht für gebundene Backend-Verbindungen gesendet.

6808706

Backend-Serverüberprüfungen finden unter Umständen aufgrund der letzten Serveraktivität nicht häufig genug statt.

6809099

Der Befehl ldapsearch, der auf Überwachungseinträgen ausgeführt wird, kann eine inkonsistente Ausgabe verursachen.

6809712

Eine Verfügbarkeitsprüfung sollte feststellen, ob der Backend-Server inaktiv ist, bevor alle Verbindungen unterbrochen werden.

6817976

Eine Verbindung kann im Fall einer abgebrochenen Anforderung gesperrt werden.

6818788

Für die Backend-Takte ist eine höhere Genauigkeit erforderlich.

6818926

Ein fehlender Dateideskriptor ist im Serversocket aufgetreten.

6819304

Ein NULL-Zeiger-Ausnahmefehler kann bei der Suche in cn=monitor auftreten, wenn ein Failover-Pool ohne Quelle definiert wurde.

6819315

Directory Proxy Server öffnet die Verbindungen zum Directory-Server weiterhin, nachdem ein Verbindungsversuch fehlgeschlagen ist.

6819752

Clients für beständige Suchvorgänge erhalten unter Umständen keine Benachrichtigungen zur Änderung des Eintrags.

6821356

Zwei Verbindungen können denselben Bezeichner gemeinsam nutzen.

6821752

Beständige Suchvorgänge werden nach der Trennung des Clients nicht bereinigt.

6823036

Das proaktive Überwachungsintervall sollte auf 1 Sekunde gestellt werden, wenn eine Datenquelle als inaktiv erkannt wird.

6823593

Directory Proxy Server verknüpft verschiedene Client-Vorgänge mit derselben Backend-Verbindung.

6827104

Backend-Verbindungen werden nicht geschlossen aber wiederverwendet, wenn die Leerlaufzeit größer ist als inactivity-timeout, wodurch ein Verbindungsabbau verursacht wird.

6827129

Die Fehler bei der Verbindungspool-Systemverwaltung und Ausführung der Zustandprüfung sollten behoben werden.

6828462

Zwei simultane lange Verbindungen weisen dieselbe Backend-Verbindung zwei Client-Verbindungen zu.

6828841

Bei Einstellung eines falschen jvm-path bleibt der Neustart ohne Warnung hängen.

6828842

Directory Proxy Server gibt den falschen Fehlercode aus, wenn kein Backend-Server verfügbar ist

6828896

Es sollte eine Option bereitgestellt werden, um die Client-Verbindung im Fall von "Backend-Verbindung konnte nicht abgerufen werden" zu schließen.

6832043

Clientaffinität darf nicht aktiviert sein, wenn useAffinity=false und affinityPolicy explizit festgelegt sind.

6835931

Directory Proxy Server kann nicht gestartet werden, wenn einer der Hosts der Datenquellen nicht erreichbar ist.

6836922

Der Befehl dpconf sollte die neuen Attribute unterstützen, die in Directory Proxy Server 6.3.1_Update 1 eingeführt werden.

6837295

Der Befehl dpconf sollte die Zuweisung der Verbindungs-DN unterstützen.

6837392

Für die Verwaltung der Directory Proxy Server-Eigenschaften sollte eine einfachere Versionierung zur Verfügung gestellt werden.

6837970

Der Befehl dpconf sollte monitorRetryCount unterstützen.

6839452

Die Clientaffinität ignoriert den schreibgeschützten Flag der Datenquelle.

6844727

Die Implementierung von Fehlerbehebungen für CR 6714425 und 6714448 sollte fertig gestellt werden.

6851216

Ein zusammengelegter Ausdruck in Kleinbuchstaben kann dazu führen, dass SQL-Anforderungen fehlschlagen.

6854864

Die Directory Proxy Server 6.3.1-Leistung ist unzureichend, wenn mehr als 100 Clients beständige Suchvorgänge durchführen.

6855978

Thread-Schleifenbildung von beständigen Suchen und Directory Proxy Server können keine beständigen Suchvorgänge mehr durchführen

6859116

Die Leistung der beständigen Suchvorgänge ist unzureichend.

6860746

Die Erstellung von 20 beständigen Suchvorgängen und anschließendem Stoppen führt dazu, dass die beständige Suchfunktion fehlschlägt.

6868131

Directory Proxy Server gibt in bestimmten Fällen der Attributzuordnung und virtueller Umwandlung StringIndexOutOfBoundsException aus.

6868804

Die Umwandlungs- und Zuordnungsregeln werden nicht wie erwartet ausgeführt.

6870051

Threads können vorzeitig ausgeführt werden und einen ASN.1-Ausnahmefehler erzeugen.

6870452

Der Directory Proxy-Server gibt einen falschen Fehler aus, wenn das Backend abschaltet.

6870496

Ein unerwarteter Null-Zeiger-Ausnahmefehler kann hervorgerufen werden.

6874644

Unter einigen Umständen kann das Passwortspeicherschema von der JDBC-Datenansicht ignoriert werden.

6879124

Der Directory Proxy Server kann identische Ergebnisse ausgeben, wenn sich unterschiedliche Benutzer mit einer Client-Verbindung verbinden.

6881972

Unter gewissen Umständen kann das Starten von Directory Proxy Server bei Verwendung von JDBC fehlschlagen.

6886109

Ein unerwarteter ASN1-Ausnahmefehler kann auftreten und nicht behandelt werden.

Installationshinweise für Directory Proxy Server 6.3.1 Update 1

Hier werden die folgenden Themen behandelt:

• Abrufen der Software

• Installationsanweisungen

Abrufen der Software

Directory Proxy Server 6.3.1 Update 1 ist ein Patch, das für eine bestehende Installation von Directory Server Enterprise Edition 6.3.1 angewendet wird. Wenn Sie eine frühere Directory Server Enterprise Edition-Version als 6.3.1 ausführen, müssen Sie zunächst ein Upgrade auf Version 6.3.1 ausführen, wie in Kapitel 2Installationshinweise beschrieben, bevor Sie den Patch für Directory Proxy Server 6.3.1 Update 1 anwenden.

Sie können den Patch für Directory Proxy Server 6.3.1 Update 1 unter http://www.sun.com/software/products/directory_srvr_ee/get.jsp herunterladen.

Directory Proxy Server 6.3.1 Update 1 ist ein einziger Patch für alle DSEE-Plattformen:

• Solaris SPARC

• Solaris 9 x86

• Solaris 10 x86 und AMD x64

• Red Hat Linux

• SuSe Linux

• HP-UX

• Windows

Die folgenden Verteilungen sind für alle Plattformen verfügbar:

• Native Paketverteilung (außer für HP-UX)

• Zip-Distribution

Directory Proxy Server 6.3.1 Update 1 Patch 141958-01 ist über SunSolve verfügbar und gilt für beide der folgenden Installationsarten:

• Native Pakete von Directory Server Enterprise Edition 6.3.1, die mit dem Java ES-Installationsprogramm installiert sind

• ZIP-Installationen von Directory Server Enterprise Edition 6.3.1

Installationsanweisungen

In diesem Abschnitt wird die Installation von Directory Proxy Server 6.3.1 Update 1 beschrieben.

So installieren Sie den Patch auf ZIP-Installationen und Installationen von nativen Paketen von Directory Proxy Server 6.3.1

Bevor Sie beginnen

Sichern Sie das Installationsverzeichnis von Directory Server Enterprise Edition, bevor Sie den Directory Proxy Server 6.3.1 Update 1-Patch anwenden, da Sie frühere Directory Proxy Server-Konfigurationen zu einem späteren Zeitpunkt nicht wieder herstellen können. Dieser Tipp gilt sowohl für ZIP-Installationen als auch für Installationen von nativen Paketen.

1. Laden Sie den Patch 141958-01 von Sunsolve in ein downloaded-patch-path -Verzeichnis herunter.

2. Stoppen Sie die Directory Proxy Server-Instanzen, die mit der zu patchenden Installation verbunden sind.

3. Öffnen Sie unter Windows das Fenster zur Befehlseingabeaufforderung. Öffnen Sie unter UNIX ein Terminal-Fenster.

4. Ändern Sie das aktuelle Verzeichnis in das Verzeichnis mit der Installationssoftware für die Plattform und Verteilung (ZIP oder nativ), die Sie aktualisieren möchten:

   Das folgende Beispiel zeigt einen typischen Befehl für diesen Zweck:

   $ cd downloaded-patch-path/SunOS_x64/zip/delivery

   Die folgende Tabelle zeigt die Speicherorte der Installationssoftware im downloaded-patch-path-Verzeichnis.

   Betriebssystem	Verzeichnis, das die ZIP-Bereitstellung enthält	Verzeichnis, das die Bereitstellung des nativen Pakets enthält
   Solaris SPARC	SunOS/zip/delivery	SunOS/native/delivery
   Solaris 9 x86	SunOS_x86/zip/delivery	SunOS_x86/native/delivery
   Solaris 10 x86 und AMD x64	SunOS_x64/zip/delivery	SunOS_x64/native/delivery
   Red Hat Linux	Linux/zip/delivery	Linux/native/delivery
   SuSE Linux	Linux/zip/delivery	Linux/native/delivery
   HP-UX	Hpux/zip/delivery	N/A
   Windows	Windows/zip/delivery	Windows/native/delivery

5. Starten Sie unter UNIX das Installationsskript.

   Führen Sie folgenden Befehl aus:

   $ Install dsee631-install-path

   wobei dsee631-install-path der Pfad zum Verzeichnis ist, in dem Directory Server Enterprise Edition 6.3.1 installiert ist.

   Die folgenden Meldungen werden angezeigt:

   -------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

   Geben Sie y für yes ein. Das Installationsprogramm gilt für den Patch der Directory Server Enterprise Edition 6.3.1-Installation, den Sie angegeben haben.

6. Führen Sie unter Windows den folgenden Befehl im Fenster zur Befehlseingabeaufforderung aus:

   Install.exe

   Ein Assistent wird geöffnet und fordert Sie auf, den korrekten Installationspfad zur Installation des Directory Proxy Server 6.3.1 Update 1-Patches zu suchen und auszuwählen. Wählen Sie zum Patchen einer 6.3.1 ZIP-Installation das Verzeichnis aus, in das Sie Directory Server Enterprise Edition 6.3.1 installiert haben. Wählen Sie zum Patchen eines nativen Pakets C:\Program Files\Sun\JavaES5\DSEE aus.

   Der Assistent wendet den Patch für Directory Server Enterprise Edition 6.3.1 an.

7. Bestätigen Sie, dass die Installation erfolgreich ausgeführt wurde, indem Sie diese beiden Befehle ausführen und sicherstellen, dass die Reaktion wie folgt aussieht:

   $ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155

8. Dieser Schritt ist erforderlich, wenn die Directory Server Enterprise Edition 6.3.1, die Sie patchen, ein Hotfix für CR 6722222 enthält.

   Wenn der Hotfix für CR 6722222 (Verbindungs-DN bei Verbindung mit einem LDAP-Server zuordnen (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN)) angewendet wurde, führen Sie den folgenden Befehl in allen Instanzen für jeden Verbindungs-Handler aus:

   $ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true

   Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss. Nachdem CR 6722222 angewendet wurde, kann das Standardverhalten jetzt wie in dem Beispiel aufgezeigt mit einer Verbindungs-Handler-Eigenschaft konfiguriert werden.

9. Starten Sie alle Proxy-Server-Instanzen neu.

Behobene Probleme und Einschränkungen in Directory Proxy Server 6.3.1 Update 1

In diesem Abschnitt werden die bekannten Probleme und Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.

Bekannte Probleme und Einschränkungen in Directory Proxy Server 6.3.1 bleiben auch dann bestehen, wenn der Patch für Directory Proxy Server 6.3.1 Update 1 angewendet wurde. Informationen über diese Probleme erhalten Sie unter Bekannte Probleme und Einschränkungen in Directory Proxy Server.

Behobene Einschränkungen in Directory Proxy Server 6.3.1 Update 1

In diesem Abschnitt werden die bekannten Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.

Wie in JDBC Object Classes in Sun Java System Directory Server Enterprise Edition 6.3 Reference beschrieben werden bei der Definition von JDBC-Tabellen primäre und sekundäre Tabellen eingesetzt. Directory Proxy Server lässt nicht zu, dass in einer dritten Tabelle die sekundäre Tabelle als primäre Tabelle verwendet wird. Das heißt, Directory Proxy Server unterstützt nur eine Ebene von zusammengelegten Regeln.

Behobene Probleme in Directory Proxy Server 6.3.1 Update 1

In diesem Abschnitt werden die bekannten Probleme aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.

6728746

Wenn in Version 6.3 ein Eintrag mehr als zwei Objektklassen besitzt, kann ein Eintrag nicht über eine zusammengelegte Ansicht (LDAP und JDBC) aufgrund des Hotfix für CR 6636463 hinzugefügt werden. Um einen solchen Eintrag hinzuzufügen, müssen diese Objektklassen als Superklasse im Konfigurationseintrag jdbc-object-class mithilfe von ldapmodify definiert werden, da dpconf set-jdbc-object-class-prop nur eine Superklasse hinzufügen kann.

Dieses Beispiel fügt den folgenden Eintrag hinzu:

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

Die JDBC-Ansicht, die vor Version 6.3 aktuell war, wird wie im folgenden Beispiel dargestellt definiert.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

Da objectClass:organizationalPerson und objectClass:inetOrgPerson beide in dem hinzuzufügenden Eintrag vorhanden sind, müssen beide Objektklassen als Superklassen angegeben werden, wie von folgendem Befehl ldapmodify dargestellt.

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson

Wenn der ldapmodify-Befehl ausgeführt ist, wird jdbc-object-class wie im folgenden Beispiel dargestellt definiert.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

Obwohl die Dokumentation die Standardeinstellung für die Eigenschaft log-level-data-sources-detailed als none angibt, ist der eigentliche Standardwert all. Durch Einstellung von log-level-data-sources-detailed auf einen anderen Wert als none wird die Serverleistung beeinträchtigt und die access-Datei wächst schnell. Aus diesem Grund wird der Wert für die Einstellung log-level-data-sources-detailed automatisch auf none gesetzt, wenn DPS-Serverinstanzen erstellt werden. Es wird empfohlen, diese Einstellung nicht auf einen anderen Wert zu setzen.

6832498

Aufgrund eines Problems, das in Hinweise zur Störanfälligkeit VU#836068, MD5 anfällig für Konfliktangriffe beschrieben ist, sollte Directory Proxy Server nach Möglichkeit nicht den MD5-Algorithmus in signierten Zertifikaten verwenden.

Führen Sie folgende Schritte aus, um den Signaturalgorithmus eines Zertifikats festzulegen.

1. Führen Sie folgenden Befehl aus, um eine Liste der in einer speziellen Directory Proxy Server-Instanz definierten Zertifikate anzuzeigen.

   $ dpadm list-certs instance-path

2. Führen Sie folgende Befehle für jedes definierte Zertifikat aus, um festzulegen, ob das Zertifikat mit dem MD5-Algorithmus signiert ist:

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

   Das folgende Beispiel zeigt eine typische Ausgabe des Befehls dsadm show-cert für ein Zertifikat, das mit einem MD5-Signaturalgorithmus signiert ist:

   Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...

3. Führen Sie den folgenden Befehl aus, um alle MD5-signierten Zertifikate aus der Datenbank zu entfernen.

   $ dsadm remove-cert instance-path cert-alias

Führen Sie folgende Schritte aus, um das Passwort der Zertifikatsdatenbank zu aktualisieren. (Der Befehl dpadm erzeugt bei der Erstellung einer Directory Server-Proxy-Instanz ein Standardpasswort für die Zertifikatsdatenbank.)

1. Halten Sie die Directory Proxy Server-Instanz an.

2. Führen Sie folgenden Befehl aus:

   $ dpadm set-flags instance-path cert-pwd-prompt=on

   Eine Meldung erscheint, in der das Passwort abgefragt wird.

3. Geben Sie ein Passwort mit einer Länge von mindestens acht Zeichen ein.

4. Starten Sie die Directory Proxy Server-Instanz neu und geben Sie bei Aufforderung das Internal (Software) Token an.

Ersetzen Sie alle Zertifikate, die die MD5-Funktionen verwenden, mit Zertifikaten, die den SHA-1-Signaturalgorithmus verwenden. Führen Sie einen der folgenden Vorgänge aus, abhängig davon, ob Ihre Installation ein selbstsigniertes Zertifikat oder ein Zertifikat, das von einer Zertifikatsautorität erworben wurde, verwendet.

Führen Sie die folgenden Schritte aus, um ein selbstsigniertes Zertifikat zu erstellen und zu speichern:

1. Führen Sie folgenden Befehl aus:

   $ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias

   ---

   Hinweis –

   Der Standardsignaturalgorithmus ist MD5withRSA.

   ---

   Die folgende Eingabeaufforderung erscheint:

   [Password or Pin for "NSS Certificate DB"]

2. Geben Sie das neue Passwort für die Zertifikatdatenbank ein.

Führen Sie folgende Schritte aus, um ein Zertifkat, das von einer Zertifikatsautorität (CA) erfasst wurde, zu generieren und zu speichern:

1. Führen Sie folgenden Befehl aus, um eine CA-signierte Serverzertifikatsanforderung auszustellen:

   $ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias

2. Stellen Sie sicher, dass Ihre Zertifikatsautorität den MD5-Signaturalgorithmus nicht länger verwendet, und senden Sie dann die Zertifikatsanforderung an die Zertifikatsautorität (entweder intern an Ihr Unternehmen oder extern, abhängig von Ihren Rollen), um ein CA-signiertes Serverzertifikat zu erhalten, wie unter To Request a CA-Signed Server Certificate in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.

3. Wenn Ihnen die Zertifikatsautorität ein neues Zertifikat sendet, führen Sie den folgenden Befehl aus, um das Zertifikat zu der Zertifikatsdatenbank hinzuzufügen:

   $ dpadm add-cert instance-path cert-alias

   Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.

4. Wenn das vertrauenswürdige Zertifikatsautoritätszertifikat bereits in der Zertifikatsdatenbank gespeichert ist, führen Sie zum Hinzufügen folgenden Befehl aus:

   $ dpadm add-cert --ca instance-path trusted-cert-alias

   Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.

5. Führen Sie folgende Befehle aus, um festzustellen, ob das neue Zertifikat verwendet wird.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

6854861

Wenn Sie mit einem Microsoft SQL-Server-Backend die Felder smalldate verwenden, wird nur die lange Version der Daten unterstützt, andernfalls tritt ein Umwandlungsfehler auf, wie im folgenden Beispiel dargestellt.

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string.

---

Hinweis –

Die lange Version eines Datums verwendet die Form YYYY -MM-DD HH:MM.

---