Capítulo 4 Errores solucionados y problemas conocidos de Directory Proxy Server

Este capítulo contiene información importante específica de cada producto disponible en el momento del lanzamiento de Directory Proxy Server.

En este capítulo, se incluyen las siguientes secciones:

• Errores solucionados en Directory Server 6.3.1

• Limitaciones y problemas conocidos de Directory Proxy Server

• Directory Proxy Server 6.3.1 Update 1

Errores solucionados en Directory Server 6.3.1

En esta sección, se enumeran los errores solucionados en Directory Proxy Server en su versión 6.3.1.

6492941

Si un origen JDBC no está disponible, se produce un error de búsqueda a través de una vista conjunta (LDAP + JDBC) incluso si no se requieren datos de este origen JDBC.

6513526

La ejecución de ldapsearch en cn=monitor devuelve una entrada final antes de la entrada principal, lo que puede provocar el fallo de algunas herramientas.

6597598

Las modificaciones realizadas a través de una vista conjunta de LDAP y JDBC pueden activar una excepción de puntero NULO.

6597607

Si no se solicitan atributos secundarios, el rendimiento no debería verse afectado por solicitudes relacionadas con orígenes de datos secundarios.

6597608

El intento de aplicar dos modificaciones como parte de una sola transacción LDAP puede funcionar parcialmente si no hay un atributo presente.

6616898

Al utilizar una vista conjunta de LDAP y JDBC, el atributo objectclass no puede almacenarse en la vista secundaria.

6618968

En caso de que pretenda realizarse una búsqueda en una vista conjunta, dicha búsqueda debería realizarse primero en una vista secundaria si ninguno de los atributos de la vista principal está presente en el filtro de búsqueda (e incluso si se devuelven varias entradas de la vista secundaria).

6630730

Una carga de búsqueda elevada puede provocar una excepción de puntero NULO.

6637173

Al realizar una búsqueda en una vista conjunta de LDAP y JDBC, es posible que no se devuelva una entrada si el usuario de enlace no tiene derecho de acceso sobre los atributos secundarios solicitados.

6637608

Si se ejecuta una carga de búsqueda elevada, pueden activarse las excepciones ArrayIndexOutOfBounds o NegativeArraySizeException.

6638374

La adición de una entrada por medio de una vista conjunta falla si el atributo uid contiene letras mayúsculas.

6641925

Si se añade una entrada por medio de una vista conjunta de LDAP y JDBC, dicha entrada se añade en la vista JDBC incluso si no se han incluido atributos JDBC secundarios en la solicitud de adición.

6643181

Al añadir o reemplazar un atributo por medio de una vista conjunta de LDAP y JDBC, el valor queda truncado si es demasiado largo para la base de datos SQL.

6646107

Al añadir una entrada por medio de una vista conjunta de LDAP y JDBC, no se comprueba el tamaño de la columna antes de actualizar o de añadir un valor (varchar) de cadena, lo que resulta en un error de base de datos.

6653253

Las pruebas de rendimiento de búsqueda han devuelto errores imprevistos debido a una condición de competencia en FailoverLoadBalancingAlgorithm.

6653453

Las búsquedas persistentes a través de SSL fallan a la hora de devolver datos.

6654625

La directiva de administración de la memoria en DPS provoca la desconexión de conexiones existentes en el mismo momento en que se activa GC (cuando la cantidad de memoria es escasa).

6656324

Cuando se añade una entrada, los valores de DN no siempre se convierten a letras minúsculas.

6658613

Si se elimina un atributo compartido (que pueda existir en dos orígenes de datos) por medio de una vista conjunta de LDAP y JDBC, se devuelve un error si el atributo no existe en una de las dos vistas.

6659381

Puede producirse un fallo de la JVM en el modo de 64 bits si se utiliza JDK 1.6 en unas condiciones de carga de búsqueda elevada.

6660383

Si el origen JDBC trata sus valores de columna para que distingan entre mayúsculas y minúsculas (normalmente DB2), el intento de eliminar un valor de atributo JDBC puede fallar.

6661375

Es posible que los sockets queden bloqueados en el estado CLOSE_WAIT y que, por lo tanto, el servidor no responda.

6661474

Si las conexiones con el servidor se abren y se cierran con frecuencia, pueden provocar que, en un momento posterior, el servidor no responda hasta que no se reinicie.

6663112

En equipos AMD64, el servidor no puede iniciarse en el modo de 32 bits.

6670752

En condiciones de carga elevada, el servidor puede experimentar tiempos de espera, con lo que la realización de operaciones en Directory Server volverá a intentarse.

6671579

Si se emplea una base asignada virtualmente dentro de un filtro de búsqueda, es posible que, en determinadas circunstancias, no se devuelva ningún resultado.

6676073

Si se utiliza una vista conjunta, las modificaciones destinadas para la vista de datos secundaria pueden aplicarse de forma incorrecta en la vista de datos principal.

6680717

Si no se define una regla conjunta al configurar una vista conjunta que contenga una vista JDBC, puede obtenerse una excepción StringIndexOutOfBoundsException.

6692627

Algunos filtros de búsqueda específicos pueden provocar que el servidor devuelva errores de descodificación.

6697494

Si se utiliza un vista conjunta que contenga una vista JDBC, el intento de eliminar un atributo de una entrada que sólo exista en Directory Server produce un error.

6729861

dpadm -V no puede detectar la versión de la JVM.

6734722

El servidor puede hacer que las conexiones con Directory Server permanezcan en estado CLOSE_WAIT, lo que causa que Directory Server no responda.

6753712

Es posible que un filtro de búsqueda que contenga un atributo de un tipo que no sea de cadena (como float o fecha) no pueda devolver ningún resultado de la vista JDBC.

6761017

Es posible que los subprocesos de trabajo internos queden interbloqueados, lo que causa que el servidor no responda.

6761875

Pueden producirse picos elevados de CPU en el servidor, por lo que no responderá ningún servicio de la máquina.

6764873

Mejoras en la administración de las conexiones de enlace para minimizar la espera al cerrar.

6766175

ldapsearch puede devolver un valor de atributo vacío de una entrada de MySQL, Derby o del servidor de fondo DB2 JDBC. Con un servidor de fondo ORACLE JDBC, no se devuelve ningún valor de atributo vacío.

Limitaciones y problemas conocidos de Directory Proxy Server

En esta sección, se muestran las limitaciones y los problemas conocidos en el momento del lanzamiento de Directory Server Enterprise Edition 6.3.1.

El parche Sun Directory Proxy Server 6.3.1 update 1 patch 141958–01 está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1 para solucionar los problemas en el componente Directory Proxy Server. Para obtener más información, consulte Directory Proxy Server 6.3.1 Update 1.

Limitaciones de Directory Proxy Server

En esta sección, se enumeran las limitaciones del producto.

No cambie los permisos de archivos manualmente.

En algunos casos, los cambios realizados en los permisos de archivos del producto Directory Server Enterprise Edition instalado pueden impedir el correcto funcionamiento del software. Cambie sólo los permisos de archivos siguiendo las instrucciones de la documentación del producto o del servicio de asistencia técnica de Sun.

Para solucionar esta limitación, instale los productos y cree las instancias del servidor como un usuario con los permisos de usuario y grupo adecuados.

Los certificados autofirmados del servidor no se pueden renovar.

Al crear un certificado autofirmado del servidor, asegúrese de especificar un periodo de validez lo suficientemente amplio para que no necesite renovarlo.

Directory Proxy Server no garantiza la atomicidad en las operaciones de escritura de la vista de datos conjunta.

Para garantizar la atomicidad, no utilice la vista de datos conjunta en las operaciones de escritura. Si realiza operaciones de escritura en la vista de datos conjunta, utilice un mecanismo externo para impedir o detectar las incoherencias. Puede supervisar las incoherencias mediante el registro de errores de Directory Proxy Server.

Problemas conocidos de Directory Proxy Server 6.3.1

En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1.

5042517

La operación de modificación de DN no se admite para las vistas de datos conjunta y de control de acceso.

6355714

El control getEffectiveRight sólo se admite actualmente para las vistas de datos de LDAP y no tiene en cuenta aún las ACI locales al servidor proxy.

6356465

Directory Proxy Server puede rechazar las ACI que especifiquen subtipos para el atributo de destino, como (targetattr = "locality;lang-fr-ca")..

6360059

Directory Proxy Server no puede reanudar la conexión del origen de datos JDBC restablecida tras el fallo de la conexión del origen de datos. Directory Proxy Server sólo puede reanudar la conexión tras iniciar la instancia de Directory Proxy Server.

6383532

Debe reiniciarse Directory Proxy Server cuando se modifique la configuración del modo de autenticación.

6386073

Una vez creada la solicitud de certificado firmado de CA, al actualizar, el certificado se muestra como autofirmado.

6388022

Si el puerto SSL utilizado por Directory Proxy Server es incorrecto, después de realizarse una solicitud de búsqueda segura en ese puerto, es posible que Directory Proxy Server cierre todas las conexiones.

6390118

Directory Proxy Server no puede realizar un recuento del número de saltos de referencia si se configura para que utilice la autenticación basada en las credenciales de la aplicación cliente en lugar de la autenticación del servidor proxy.

6390220

Se puede especificar la propiedad base-dn al crear una vista de datos, pero no se puede establecer la propiedad base-dn en "", el DSE raíz, después de crear la vista de datos.

6410741

Centro de control del servicio de directorios ordena los valores como cadenas. Por lo tanto, al realizar esta clasificación, los números de Centro de control del servicio de directorios, se ordenan como si fueran cadenas.

Un orden ascendente de 0, 20, y 100 da como resultado la lista 0, 100, 20. Un orden descendente de 0, 20, y 100 da como resultado la lista 20, 100, 0.

6439604

Después de configurar las alertas, debe reiniciar Directory Proxy Server para que se apliquen los cambios.

6447554

Directory Proxy Server no puede cambiar el nombre de una entrada que se transfiere a otra vista de datos si se ha configurado la distribución de datos numéricos o lexicográficos.

6458935

Al trabajar con vistas de datos conjuntas, Directory Proxy Server no procesa algoritmos de distribución de datos en las vistas que componen la vista conjunta.

Para solucionar este problema, configure la distribución de datos en el nivel de la vista de datos conjunta al utilizar de forma combinada una vista conjunta y una distribución de datos.

6461510

En Directory Proxy Server, el límite de saltos de referencia no funciona.

6469154

En Windows, las salidas de los comandos dsadm y dpadm , y los mensajes de ayuda no se han traducido al chino simplificado ni al tradicional.

6469780

La creación de entradas de origen de datos JDBC no se detecta dinámicamente. Si se crea un servidor JDBC antes que una vista de datos JDBC, se omite la vista de datos hasta el siguiente reinicio del servidor. Por lo tanto, tras configurar un origen de datos JDBC, debe reiniciarse Directory Proxy Server para que se detecte el cambio.

6486578

En las clases de objeto JDBC en las que una clase A utiliza una tabla como secundaria y otra clase B utiliza esa misma tabla como su única principal, las solicitudes en B no funcionan. Directory Proxy Server no puede omitir la propiedad filter-join-rule cuando se utiliza en una tabla principal.

6488197

Después de la instalación y la creación de las instancias del servidor en los sistemas Windows, los permisos de archivos de las carpetas de instalación y de instancias del servidor permiten el acceso a todos los usuarios.

Para solucionar este problema, cambie los permisos de las carpetas de instalación y de instancias del servidor.

6488297

En Windows, la inicialización de DSCC sólo la puede realizar el administrador.

6490763

Cuando Access Manager accede a Directory Server a través de Directory Proxy Server, se han observado problemas de almacenamiento en caché relacionados con búsquedas permanentes tras el reinicio de Directory Server.

Para solucionar este problema, reinicie Access Manager o Directory Proxy Server tras reiniciar Directory Server.

Para un ajuste más preciso, puede aumentarse el número de intentos y el retraso entre los intentos de Access Manager para restablecer conexiones de búsquedas persistentes. Puede aumentar estos parámetros mediante la modificación de las siguientes propiedades en el archivo AMConfig.properties.

• Aumente el valor de com.iplanet.am.event.connection.num.retries, que representa el número de intentos. El valor predeterminado es de 3 intentos.

• Aumente el valor de com.iplanet.am.event.connection.delay.between.retries, que representa el número de milisegundos de retraso entre intentos. El valor predeterminado es de 3000 milisegundos.

6490853

Si se ejecuta una búsqueda por medio de una vista de datos JDBC configurada con la base de datos DB2 y debe devolverse un gran número de entradas como resultado de la búsqueda, puede producirse un error tras la devolución de 1.344 entradas.

Para superar esta limitación, aumente el número de paquetes grandes mediante el establecimiento de la palabra clave CLIPkg de la configuración CLI/ODBC en un valor de hasta 30. Aun así, el resultado de la búsqueda se limita a un máximo de 11.712 entradas.

Para obtener más información, consulte DB2 documentation.

6491133

Al crear un certificado autofirmado por medio de Centro de control del servicio de directorios, no utilice caracteres de varios bytes para los nombres de certificados.

6491845

Centro de control del servicio de directorios no muestra los controles LDAP predeterminados permitidos a través de Directory Proxy Server.

6493349

Centro de control del servicio de directorios suprime las comas al cambiar el DN de un árbol existente excluido o una base de búsqueda alternativa.

6494540

Después de habilitar o inhabilitar por primera vez el acceso LDAP no seguro, debe reiniciar Directory Proxy Server para que se aplique el cambio.

6497547

La configuración de límite de tiempo y tamaño sólo funciona con los orígenes de datos LDAP.

6497992

Después de utilizar el comando dpadm set-flags cert-pwd-store=off , Directory Proxy Server no puede reiniciarse mediante Centro de control del servicio de directorios.

6501867

Se han detectado errores en el comando dpadm start al utilizarlo con un nombre de instancia del servidor con caracteres multibyte y ASCII.

6505112

Al establecer la propiedad data-view-routing-custom-list en un controlador de conexión existente, se produce un error en los nombres de vistas de datos que contienen caracteres de escape como, por ejemplo, las comas.

Para solucionar este problema, no asigne nombres de vistas de datos que contengan caracteres de escape. Por ejemplo, no utilice nombres de vistas de datos que contengan DN.

6510583

Al contrario que en versiones anteriores, como se especifica en la página del manual allowed-ldap-controls(5dpconf), Directory Proxy Server no permite el control de ordenación del lado del servidor de forma predeterminada.

Puede habilitarse Directory Proxy Server para que admita el control de ordenación del lado del servidor mediante la adición de server-side-sorting a la lista de controles LDAP admitidos especificada por medio de la propiedad allowed-ldap-controls.

$ dpconf set-server-prop \ allowed-ldap-controls:auth-request \ allowed-ldap-controls:chaining-loop-detection \ allowed-ldap-controls:manage-dsa \ allowed-ldap-controls:persistent-search \ allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 \ allowed-ldap-controls:real-attributes-only \ allowed-ldap-controls:server-side-sorting

Tenga en cuenta que debe repetir los parámetros de configuración existentes. De lo contrario, sólo se admitiría el control de ordenación del lado del servidor.

6511264

Cuando se utiliza la función de cambio de nombre de DN de Directory Proxy Server, si hay varios componentes repetidos en el DN, al cambiar su nombre, se sustituirán por un único componente.

Por ejemplo, imagine que desea cambiar los nombres de DN acabados en o=myCompany.com para que terminen en dc=com. En aquellas entradas cuyo DN repita el componente original como, por ejemplo, uid=userid,ou=people,o=myCompany.com,o=myCompany.com , el DN resultante tras el cambio de nombre será uid=userid,ou=people,dc=com y no uid=userid,ou=people,o=myCompany.com,dc=com.

6520368

La configuración de la conexión JDBC para acceder a Oracle 9 mediante Directory Proxy Server no se realiza tal y como se describe en la documentación.

Tenga en cuenta la siguiente configuración en la que el servidor de Oracle 9 recibe las conexiones en myhost y el puerto 1537 y la instancia presenta el identificador del sistema (SID) MYINST. La instancia incluye la base de datos MYNAME.MYTABLE.

Normalmente, para configurar el acceso mediante MYTABLE, debe establecer las siguientes propiedades.

• En el origen de datos JDBC, establezca db-name:MYINST.

• En el origen de datos JDBC, establezca db-url:jdbc:oracle:thin:myhost:1537: .

• En la tabla JDBC, establezca sql-table:MYNAME.MYTABLE.

Si esta configuración no funciona, configure el acceso mediante MYTABLE con los siguientes valores.

• En el origen de datos JDBC, establezca db-name:(CONNECT_DATA=(SERVICE_NAME=MYINST)))

• En el origen de datos JDBC, establezca db-url:jdbc:oracle:thin:@(DESCRIPTION= (ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=myhost)(PORT=1537))).

• En la tabla JDBC, establezca sql-table:MYNAME.MYTABLE.

6527010

Directory Proxy Server no puede escribir atributos de JDBC que indiquen una relación de varios elementos a otros (N:N) entre las tablas de la base de datos JDBC.

6539650

Las instancias de Directory Proxy Server con DN de varios bytes creadas por medio de DSCC no consiguen iniciarse en Linux.

6542857

Al usar la utilidad de administración de servicios (SMF) en Solaris 10 para habilitar una instancia del servidor, es posible que la instancia no se inicie al reiniciar el sistema y se devuelva el siguiente error.

svcadm: Instance "svc:/instance_path" is in maintenance state.

Para solucionar este problema, utilice un usuario local para crear los servidores de Directory Server y Directory Proxy Server.

6547755

Es posible que falle la creación en DSCC de una instancia de Directory Proxy Server con caracteres de varios bytes en su ruta o que ésta no pueda iniciarse ni realizar otras tareas regulares.

Algunos de estos problemas pueden resolverse mediante el uso del conjunto de caracteres utilizado para crear la instancia. Defina el conjunto de caracteres por medio de los siguientes comandos:

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

Para evitar estos problemas, utilice exclusivamente los caracteres ASCII en la ruta de la instancia.

6547759

En HP-UX, si, al acceder a DSCC, utiliza varias sesiones del navegador con diferentes configuraciones regionales, es posible que DSCC muestre algunas cadenas en una configuración regional distinta a la que se ha definido en el navegador.

6551076

La consola no recupera el estado del servidor de fondo de la instancia Directory Proxy Server cuando un equipo presenta varios nombres de host.

6565106

Si existen entradas duplicadas en una tabla RDBMS que coincidan con un patrón de DN encontrado en la clase de objeto JDBC, Directory Proxy Server devolverá los nodos (no finales) del subárbol duplicados si se realiza una búsqueda en la vista de datos JDBC. Por ejemplo, si hay un patrón de DN ou en una clase de objeto JDBC y existen entradas duplicadas (como, p. ej., sales) en la columna RDBMS asignada al atributo JDBC ou, aparecerán nodos duplicados, como ou=sales, en los resultados de búsqueda.

Para solucionar este problema, haga lo siguiente:

1. Cree una vista RDBMS tomando los valores de la tabla que contenga la columna asignada al atributo JDBC ou de manera que no haya ninguna entrada duplicada.

2. Reemplace el nombre de la tabla RDBMS por el nombre de la vista RDBMS en la clase de objeto JDBC con el patrón de DN ou. La limitación de este enfoque es que, teniendo en cuenta que las vistas RDBMS son de sólo lectura, no puede añadirse ningún valor para el atributo JDBC ou a través de Directory Proxy Server.

6567644

DPS da lugar a solucitudes de DB no permitidas.

6573439

En DSCC, en el valor Más opciones de vista de una instancia, la fecha que aparece debajo de las fichas Registros de acceso, Registros de errores y Registros de auditoría no se ha adaptado.

6583798

En DSCC 6.0, useTCPNoDelay se establece de forma predeterminada en false (falso) al crear un origen de datos con DSCC, mientras que el valor de use-tcp-no-delay se establece en true (verdadero) al crear una instancia con el comando de administración dpconf create-ldap-data-source .

6588319

En una instancia de DSCC configurada con el servidor Tomcat, el título de las ventanas emergentes de ayuda y versión muestra cadenas multibyte ilegibles.

6590460

La cadena owner (propietario) del comando dpadm show-cert dps-instance-path no aparece traducida al chico tradicional ni simplificado.

6592543

Las ventanas emergentes que solicitan una confirmación para la detención o la anulación del registro de servidores muestran los apóstrofes dobles en la configuración regional francesa.

6597598

Al realizar modificaciones por medio de la herramienta modrate en una vista conjunta con LDAP y JDBC, se producen excepciones de puntero nulo si se utiliza más de un subproceso. Los errores son similares a los siguientes:

java.lang.NullPointerException com.sun.directory.proxy.server.JoinDataView. processModifyRequest(JoinDataView.java:916) com.sun.directory.proxy.server.JoinDataViewOpContext.processModifyRequest (JoinDataViewOpContext.java:243) com.sun.directory.proxy.server.ModifyOperation. processOperation(ModifyOperation.java:502 com.sun.directory.proxy.server .WorkerThread.runThread(WorkerThread.java:150) com.sun.directory.proxy.util.DistributionThread.run (DistributionThread.java:225)

6609603

Cuando se añade un nuevo origen de datos a un grupo de orígenes de datos, debe reiniciarse el servidor.

6639674

Si la propiedad de configuración de Directory Proxy Server allow-bind-operations se establece en false (falso), no se puede establecer una conexión en un puerto SSL mediante el argumento de línea de comandos dpconf con la opción -–secure-port. Aún se puede establecer la conexión de forma directa (opción -–unsecured) o utilizando el protocolo TLS de inicio.

6640597

Directory Proxy Server no cambia el DN de una operación de adición cuando ésta sigue una referencia en la que el DN de base (basedn) es distinto al del equipo original. Si se intenta realizar una operación de adición en una instancia de Directory Proxy Server con una instancia de Directory Server configurada para seguir referencias en lugar de para simplemente reenviar referencias, se rechazarán los resultados de la operación de adición debido a la presencia de un DN de base (basedn) incorrecto.

Utilice el comando ldapmodify para ejecutar la operación de adición en las instancias de Directory Server, lo que permitirá que se realice satisfactoriamente esta operación.

6642559

Las escritura de transformaciones virtuales no funciona con el modelo de transformación remove-attr-value.

6642578

La escritura de transformaciones virtuales no funciona de la manera prevista al modificarse una entrada.

6649984

No se emite ninguna advertencia al establecer una contraseña con una longitud insuficiente para la base de datos de certificados. Centro de control del servicio de directorios aceptará la contraseña, aunque sea demasiado corta. Al emitir el comando dpadm con los subcomandos cert, puede que los comandos se bloqueen.

6711054

El intento de añadir un valor de atributo smalldatetime SQL TYPE activa la siguiente excepción:

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: java.lang.Exception: com.microsoft.sqlserver.jdbc.SQLServerException: Conversion failed when converting datetime from character string.

Directory Proxy Server 6.3.1 Update 1

Las siguientes secciones están dedicadas a Directory Proxy Server 6.3.1 update 1:

• Acerca de Directory Proxy Server 6.3.1 Update 1

• Errores solucionados en Directory Server 6.3.1 Update 1

• Notas de instalación de Directory Proxy Server 6.3.1 Update 1

• Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1

Acerca de Directory Proxy Server 6.3.1 Update 1

Este parche sólo corrige los problemas encontrados en el componente Directory Proxy Server del producto Directory Server Enterprise Edition. Está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1. El componente Directory Server de Directory Server Enterprise Edition 6.3.1 permanece sin cambios.

Esta actualización no puede ejecutarse con versiones de Directory Server Enterprise Edition anteriores a la 6.3.1. Para obtener instrucciones sobre la actualización a la versión 6.3.1, consulte la Tabla 2–1, “Upgrade Paths to Directory Server Enterprise Edition 6.3.1.”

En esta sección, se tratan los siguientes puntos:

• Novedades de esta versión

• Mejoras en Directory Proxy Server 6.3.1 Update 1

• Plataformas admitidas

Novedades de esta versión

Esta actualización es una versión menor que, principalmente, soluciona los errores descritos en Errores solucionados en Directory Server 6.3.1 Update 1.

Asimismo, Directory Proxy Server 6.3.1 update 1 introduce un nuevo modo de funcionamiento para las operaciones de búsqueda persistentes. Si una aplicación del cliente es muy lenta a la hora de leer las respuestas de una búsqueda persistente desde Directory Proxy Server, la cola de respuestas del servidor proxy se sobrecarga. En este caso, es posible que el servidor cierre la conexión con la siguiente notificación al cliente:

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

Además, también se registra un mensaje informativo similar al siguiente:

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Mejoras en Directory Proxy Server 6.3.1 Update 1

Directory Proxy Server 6.3.1 update 1 proporciona las siguientes mejoras:

Capacidad de definir y de obtener JAVA HOME por medio de dpadm set-flags/get-flags (6765629)

Puede establecerse un nombre de ruta para JAVA_HOME que tenga precedencia sobre el valor de JAVA_HOME definido en el entorno tal y como se muestra en el siguiente ejemplo:

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

Capacidad de definir y de obtener el valor umask de los archivos de configuración y de registro de DPS (6739456)

El comando dpadm cambia el valor de umask, por lo que en el siguiente reinicio de la instancia de DPS, los permisos del archivo de configuración quedan modificados de acuerdo con el nuevo valor de umask. Asimismo, el permiso del archivo de registro queda definido de una manera similar en la siguiente rotación de archivos. El ejemplo siguiente muestra un uso típico:

$ dpadm set-flags instance-path umask=22

No puede añadirse una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME" (6722238)

El administrador puede ahora definir diferentes transformaciones virtuales en el mismo MODEL, ACTION, ATTR_NAME.

Directory Proxy Server 6.3.1 update 1 también añade nuevas propiedades, así como actualizaciones de las propiedades existentes, tal y como se describe en la siguiente lista. Las nuevas propiedades aparecen designadas como “Novedad”. Las propiedades que hayan sido modificadas en cuanto a su especificación en DSEE 6.3.1 aparecen designadas como "Actualización".

close-client-connection (Novedad)

Dinámico (no requiere un reinicio)

Nivel: connection-handler

Tipo: booleano

Valor predeterminado: false

Descripción: indica si el controlador de conexión debe cerrar la conexión de cliente cuando no haya ningún origen de datos disponible.

data-view-use-internal-client-identity (Novedad)

Dinámico (no requiere un reinicio)

Nivel: connection-handler

Tipo: booleano

Valor predeterminado: false

Descripción: indica la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.

Documentación: esta propiedad es un indicador que insta a valorar la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.

db-vendor (Novedad)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-source

Tipo: enumeración

mysql

El servidor de fondo RDBMS es MySQL.

derby

El servidor de fondo RDBMS es Apache Derby/Java DB.

db2

El servidor de fondo RDBMS es DB2.

Oracle

El servidor de fondo RDBMS es Oracle.

ms-sql-server

El servidor de fondo RDBMS es Microsoft SQL Server.

generic

El servidor de fondo RDBMS no está definido. Siempre que sea posible, Directory Proxy Server determina el nombre del proveedor a partir de la db-url definida en jdbc-data-source.

Valor predeterminado: generic

Descripción: nombre del proveedor del origen de datos JDBC.

Documentación: esta propiedad especifica el nombre del proveedor del origen de datos JDBC. Debería definirse esta propiedad si se utiliza un controlador IDBC de un tercero distinto del proporcionado por el proveedor de la base de datos para conectar con el servidor de fondo RDBMS. Si es posible, se utilizan estos datos para establecer instrucciones SQL específicas para el proveedor que contribuyan a mejorar el rendimiento.

numeric-lower-bound (Actualización)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view

Nuevo tipo: largo

Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero

Los atributos restantes permanecen igual.

numeric-upper-bound (Actualización)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view

Nuevo tipo: largo

Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero

Los atributos restantes permanecen igual.

down-monitoring-interval (Novedad)

Estático (requiere un reinicio)

Nivel: ldap-data-source

Tipo: duración en segundos (límite inferior: 1)

Valor predeterminado: heredado (valor de monitoring-interval)

Descripción: intervalo de tiempo tras el que el supervisor de disponibilidad sondea las conexiones fallidas para detectar su recuperación.

Documentación: esta propiedad especifica el intervalo de sondeo. Si se descubre una conexión inactiva, el supervisor de disponibilidad la sondea según este intervalo para detectar su recuperación. Si no se especifica, se utiliza el valor de la propiedad monitoring-interval.

monitoring-retry-count (Novedad)

Estático (requiere un reinicio)

Nivel: ldap-data-source

Tipo: número entero (límite inferior: 1)

Valor predeterminado: 3

Descripción: número de reintentos que deben llevarse a cabo antes de marcar la conexión como inactiva.

Documentación: esta propiedad especifica el número de veces que el supervisor de disponibilidad sondea la conexión tras detectar su inactividad por primera vez. Esto permite marcar una conexión como activa de manera más rápida. Si la conexión sigue fallando una vez realizado el número de intentos especificados, se utiliza el valor de la propiedad down-monitor-interval como intervalo de sondeo.

use-tcp-keep-alive (Novedad)

Dinámico (no requiere un reinicio)

Nivel: ldap-data-source

Tipo: booleano

Valor predeterminado: true

Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.

Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.

use-tcp-keep-alive (Novedad)

Dinámico (no requiere un reinicio)

Nivel: ldap-listener y ldaps-listener

Tipo: booleano

Valor predeterminado: true

Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre los clientes y la escucha.

Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y la escucha.

allow-unauthenticated-operations (Actualización)

Dinámico (no requiere un reinicio)

Nivel: servidor

Tipo: booleano

Valor predeterminado: true

Nueva descripción: indica si el servidor acepta operaciones no autenticadas.

Descripción anterior (para las versiones de DPS de 6.0 a 6.3.1): indica si el servidor acepta operaciones de clientes anónimos.

Nueva documentación: esta propiedad es un marcador que indica si Directory Proxy Server acepta operaciones no autenticadas. El modo que se utiliza para procesar la operación de enlace se especifica por medio de allow-unauthenticated-operations-mode.

Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad es un marcador que indica si Directory Proxy Server permite que clientes anónimos realicen operaciones.

allow-unauthenticated-operations-mode (Novedad)

Dinámico (no requiere un reinicio)

Nivel: servidor

Tipo: enumeración

anonymous-only

Si no se especifica ninguna contraseña, sólo se permiten enlaces anónimos.

dn-identified-only

Si no se especifica ninguna contraseña, sólo se permiten enlaces con un DN especificado.

anonymous-and-dn-identified

Si no se especifica ninguna contraseña, se permiten enlaces anónimos y enlaces con un DN especificado.

Valor predeterminado: anonymous-and-dn-identified

Descripción: modo de procesar operaciones de enlace sin contraseña.

Documentación: esta propiedad indica la manera en que Directory Proxy Server procesa las operaciones sin contraseña de enlace cuando se establece allow-unauthenticated-operations en true (verdadero).

time-resolution (Actualización)

Estático (requiere un reinicio)

Nivel: servidor

Tipo: duración en milisegundos

Nuevo valor predeterminado: 250

Valor predeterminado anterior (para versiones de DPS de 6.0 a 6.3.1): 500

Nueva documentación: esta propiedad especifica el intervalo de tiempo entre llamadas de sistema consecutivas que recuperan la hora del SO. Para obtener más información sobre las operaciones que duren menos de 250 milisegundos, reduzca el período de time-resolution o modifique el valor de la propiedad time-resolution-mode. Si se establece en 0 milisegundos, el proxy se comporta como si el valor de la propiedad time-resolution-mode estuviera establecido en system-milli. Esta propiedad se omite cuando el valor de la propiedad time-resolution-mode se establece en system-milli o system-micro.

Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad especifica el intervalo de tiempo entre dos llamadas de sistema consecutivas que recuperen la hora del SO. Para obtener más información sobre las operaciones que duren menos de 500 milisegundos, reduzca el período de time-resolution. Si se establece en 0 milisegundos, el proxy realiza automáticamente una llamada de sistema para recuperar la hora actual. De lo contrario, la hora sólo se almacena en caché y se recupera una vez transcurrido el período time-resolution. La hora se muestra en los registros.

La descripción sigue siendo la misma.

time-resolution-mode (Novedad)

Estático (requiere un reinicio)

Nivel: servidor

Tipo: enumeración

custom-resolution

Utilice un subproceso que realice una llamada de sistema cada time-resolution milisegundos.

system-milli

Utilice una llamada de sistema que recupere la hora en milisegundos

system-micro

Utilice una llamada de sistema que recupere la hora en microsegundos

Valor predeterminado: custom-resolution

Descripción: modo utilizado para recuperar la hora del sistema

Documentación: esta propiedad especifica el modo utilizado para recuperar la hora del SO.

Plataformas admitidas

Directory Proxy Server 6.3.1 update 1 está disponible para todas las plataformas Directory Server Enterprise Edition 6.3.1 admitidas. Para obtener más información, consulte Requisitos de hardware y Requisitos del sistema operativo.

Errores solucionados en Directory Server 6.3.1 Update 1

Esta sección enumera todos los errores solucionados en Directory Proxy Server 6.3.1 update 1.

6567644

Directory Proxy Server establece solicitudes de base de datos no permitidas.

6590816

La definición de connectionIdleTimeOutInSec para la escucha LDAP puede inhabilitar DSCC.

6641888

Una operación de búsqueda puede devolver entradas que contengan atributos que no estén presentes en viewable-attr.

6648665

La propiedad max-client-connections no se lleva a cabo si no se realiza ninguna operación en la conexión.

6681502

La supervisión de la memoria se inhabilita de forma predeterminada.

6686150

El algoritmo de distribución numérica debería utilizar long en lugar de int para establecer enlaces numéricos.

6717943

El límite de tamaño predeterminado de Directory Proxy Server para propiedades de recursos utiliza un número entero incorrecto para ilimitado.

6721192

Las transformaciones de DN fallan.

6721749

El establecimiento de add-attr-value puede provocar que las transformaciones de DN produzcan un resultado incorrecto.

6722222

Debería asignarse el DN de enlace (bindDN) al enlazar con un servidor LDAP. (utilizando la regla de asignación de DN del DV del DN de enlace (bindDN)).

6722238

No es posible añadir una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME".

6723858

No se ha aplicado la propiedad requires-bind-password establecida en un servidor de directorios de servidor de enlace.

6734559

Se produce un error en la asignación de DN virtual al depender de un atributo virtual.

6736621

El DN de enlace se rechaza cuando la transformación falla incluso si aparece en la vista.

6737084

Asignación de DN incorrecta para la dirección del servidor.

6739414

6.3 Directory Proxy Server transforma los caracteres de minúsculas/mayúsculas en los nombres de atributos.

6739456

Un consumidor solicitado para Directory Proxy Server para establecer permisos de grupo para los archivos de configuración y de registro (umask 117, chmod 660).

6751692

El comando dpadm start vuelca un núcleo central al utilizar el argumento de Java MaxTenuringThreshold.

6758793

La asignación de DN puede eliminar las entradas a las que se le haya cambiado el nombre.

6760526

El comando dpadm no genera un archivo DPS.pid.

6760951

El esquema de configuración de Directory Proxy Server no es coherente con la función SystemMonitorThread.java.

6761032

El servidor y la consola no son coherentes para el parámetro searchMode.

6764073

Directory Proxy Server falla si se configura para que utilice la autenticación por proxy.

6765629

Permiso para definir JAVA HOME por medio de dpadm set-flags.

6767776

La asignación de DN no puede utilizarse en rootDSE.

6774589

Directory Proxy Server requiere una transformación de DN virtual con atributos de asignación de nombre de varios valores.

6778262

Debe proporcionarse una granularidad de tiempo en microsegundos para los tiempos etimes.

6778308

El comando splitldif omite las transformaciones virtuales.

6780423

Bajo una carga elevada, los sockets pueden permanecer en el estado de espera de cierre.

6782659

La opción SO_KEEPALIVE no está establecida en Directory Proxy Server 6.3 (esto es, setKeepAlive() != True) cuando se crea un socket.

6798674

La revisión para CR 6513526 puede introducir regresiones debido a valores nulos en los objetos ConfigAttribute.

6802371

La propiedad acceptBacklog se omite para las escuchas basadas en canal.

6808701

No se envían respuestas de inactividad con la suficiente frecuencia debido a la última actividad realizada en la conexión de un servidor de fondo.

6808704

Las respuestas de inactividad no se envían para las conexiones de servidor de fondo enlazadas.

6808706

Es posible que no se realicen las comprobaciones del servidor de fondo con la frecuencia necesaria debido a la última actividad del servidor.

6809099

La ejecución del comando ldapsearch en entradas de supervisión puede devolver un resultado incoherente.

6809712

La realización de una comprobación de disponibilidad debería asegurar que el servidor del servidor de fondo esté inactivo antes de desactivar todas las conexiones.

6817976

Puede bloquearse una conexión en caso de una solicitud de abandono.

6818788

Se requiere una mejor precisión en la respuesta del servidor de fondo.

6818926

Se produce una pérdida de descriptor de archivo en el socket del servidor.

6819304

Puede producirse una excepción de puntero nulo al realizar una búsqueda en cn=monitor si se ha definido un grupo de conmutaciones por error sin origen.

6819315

Directory Proxy Server sigue abriendo conexiones con el servidor de directorios tras el fallo de un intento de enlace...

6819752

Es posible que los clientes de la búsqueda persistente no reciban las notificaciones de cambio de entrada.

6821356

Dos conexiones pueden compartir el mismo identificador.

6821752

Las búsquedas persistentes no se eliminan tras la desconexión del cliente.

6823036

El intervalo de supervisión automática debería establecerse en 1 segundo cuando se detecte un origen de datos inactivo.

6823593

Directory Proxy Server asocia distintas operaciones de cliente con la misma conexión de servidor de fondo.

6827104

Las conexiones de servidor de fondo no se cierran, sino que se reutilizan si la inactividad es mayor que inactivity-timeout, lo que provoca una pérdida de conexión.

6827129

El mantenimiento del conjunto de conexiones y el procesamiento de comprobaciones de estado deberían ser DEBUG.

6828462

Dos enlaces largos simultáneos asignan la misma conexión de servidor de fondo a dos conexiones de clientes.

6828841

El establecimiento de una ruta jvm-path incorrecta bloquea el reinicio sin advertencias.

6828842

Directory Proxy Server devuelve un código de error incorrecto cuando no existen servidores de fondo disponibles.

6828896

Debería proporcionarse una opción para cerrar la conexión del cliente en caso de "cannot retrieve backend connection".

6832043

La afinidad de cliente no debería habilitarse si useAffinity=false y affinityPolicy se han establecido explícitamente.

6835931

Directory Proxy Server no puede iniciarse si uno de los hosts del origen de datos no está disponible.

6836922

El comando dpconf debería admitir los nuevos atributos introducidos en Directory Proxy Server 6.3.1_update 1.

6837295

El comando dpconf debería admitir la asignación de DN enlace.

6837392

Debería proporcionarse un control de versiones más simple para la gestión de las propiedades de Directory Proxy Server.

6837970

El comando dpconf debería admitir monitorRetryCount.

6839452

La afinidad de clientes omite el indicador de sólo lectura del origen de datos.

6844727

Debería completarse la implementación de las revisiones para CR 6714425 y 6714448.

6851216

Una expresión de combinación en minúsculas puede provocar que las solicitudes SQL fallen.

6854864

El rendimiento de Directory Proxy Server 6.3.1 es inadecuado cuando más de 100 clientes realizan búsquedas persistentes.

6855978

Ni el bucle del subproceso de búsqueda persistente ni Directory Proxy Server pueden seguir procesando búsquedas persistentes.

6859116

El rendimiento de la búsqueda persistente es inadecuado.

6860746

La creación de 20 búsquedas persistentes y su detención provoca que la funcionalidad de la búsqueda persistente falle.

6868131

Directory Proxy Server devuelve StringIndexOutOfBoundsException en algunos casos de asignación de atributos y transformación virtual.

6868804

Las reglas de transformación y de asignación no funcionan de la manera prevista.

6870051

Los subprocesos pueden activarse prematuramente, lo que produce una excepción ASN.1.

6870452

Directory Proxy Server devuelve un error incorrecto cuando el servidor de fondo se desactiva.

6870496

Puede originarse una excepción de puntero nulo imprevista.

6874644

En algunos casos, la vista de datos JDBC puede omitir el esquema de almacenamiento de contraseñas.

6879124

Directory Proxy Server puede devolver resultados idénticos cuando varios usuarios distintos enlazan con una conexión de cliente.

6881972

En algunos casos, es posible que Directory Proxy Server no se inicie al utilizar JDBC.

6886109

Puede producirse una excepción ASN1 imprevista que no pueda controlarse.

Notas de instalación de Directory Proxy Server 6.3.1 Update 1

Aquí se tratan los siguientes temas:

• Cómo obtener el software

• Instrucciones sobre la instalación

Cómo obtener el software

Directory Proxy Server 6.3.1 update 1 es un parche que se ejecuta sobre una instalación existente de Directory Server Enterprise Edition 6.3.1. Si está ejecutando una versión de Directory Server Enterprise Edition anterior a 6.3.1, primero debe actualizar el producto a la versión 6.3.1 tal y como se describe en el Capítulo 2Notas de instalación antes de ejecutar el parche para Directory Proxy Server 6.3.1 update 1.

Puede descargar el parche Directory Proxy Server 6.3.1 update 1 desde http://www.sun.com/software/products/directory_srvr_ee/get.jsp.

Directory Proxy Server 6.3.1 update 1 es un parche único para todas las plataformas DSEE:

• Solaris SPARC

• Solaris 9 x86

• Solaris 10 x86 y AMD x64

• Red Hat Linux

• SuSe Linux

• HP-UX

• Windows

Se dispone de las siguientes distribuciones para cada plataforma:

• Distribución de paquetes nativos (excepto para HP-UX)

• Distribución ZIP

El parche Directory Proxy Server 6.3.1 update 1 patch 141958-01 está disponible a través de SunSolve y se ejecuta sobre los dos siguientes tipos de instalación:

• Los paquetes nativos de Directory Server Enterprise Edition 6.3.1 instalados por medio del instalador Java ES.

• Las instalaciones ZIP de Directory Server Enterprise Edition 6.3.1.

Instrucciones sobre la instalación

En esta sección, se describe la instalación de Directory Proxy Server 6.3.1 update 1.

Instalación del parche en las instalaciones ZIP o en las de paquetes nativos de Directory Proxy Server 6.3.1

Antes de empezar

Realice una copia de seguridad del directorio de instalación de Directory Server Enterprise Edition antes de ejecutar el parche Directory Proxy Server 6.3.1 update 1, ya que más adelante no podrá restaurarse una configuración anterior de Directory Proxy Server. Este consejo se aplica tanto a las instalaciones ZIP como a las de paquetes nativos.

1. Descargue el parche Patch 141958-01 desde Sunsolve en un directorio downloaded-patch-path.

2. Detenga las instancias de Directory Proxy Server asociadas con la instalación sobre la que pretenda ejecutarse el parche.

3. En los sistemas Windows, abra una ventana Símbolo del sistema. En los sistemas UNIX, abra una Ventana de terminal.

4. Cambie el directorio actual por el directorio con el software de instalación para la plataforma y la distribución (ZIP o nativa) que pretenda actualizar:

   El siguiente ejemplo muestra un comando típico para este propósito:

   $ cd downloaded-patch-path/SunOS_x64/zip/delivery

   En la siguiente tabla, se muestran las ubicaciones del software de instalación en el directorio downloaded-patch-path.

   Sistema operativo	Directorio con la distribución ZIP	Directorio con la distribución de paquetes nativos
   Solaris SPARC	SunOS/zip/delivery	SunOS/native/delivery
   Solaris 9 x86	SunOS_x86/zip/delivery	SunOS_x86/native/delivery
   Solaris 10 x86 y AMD x64	SunOS_x64/zip/delivery	SunOS_x64/native/delivery
   Red Hat Linux	Linux/zip/delivery	Linux/native/delivery
   SuSE Linux	Linux/zip/delivery	Linux/native/delivery
   HP-UX	Hpux/zip/delivery	N/A
   Windows	Windows/zip/delivery	Windows/native/delivery

5. En los sistemas UNIX, ejecute la secuencia de comandos de instalación.

   Ejecute el comando siguiente:

   $ Install dsee631-install-path

   donde dsee631-install-path es la ruta del directorio en donde se ha instalado Directory Server Enterprise Edition 6.3.1.

   Aparecen los siguientes mensajes:

   -------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

   Introduzca y para yes. El programa de instalación ejecuta el parche sobre la instalación de Directory Server Enterprise Edition 6.3.1 especificada.

6. En las instalaciones Windows, ejecute el siguiente comando en la ventana Símbolo del sistema.

   Install.exe

   Se abre un asistente que solicita la exploración y selección de la ruta de instalación correcta para la instalación del parche Directory Proxy Server 6.3.1 update 1. Para ejecutar el parche sobre una instalación ZIP de la versión 6.3.1, seleccione el directorio en el que haya instalado Directory Server Enterprise Edition 6.3.1. Para ejecutar el parche sobre una instalación de paquetes nativos, seleccione C:\Program Files\Sun\JavaES5\DSEE.

   El asistente ejecuta el parche sobre Directory Server Enterprise Edition 6.3.1.

7. Asegúrese de que la instalación se haya realizado con éxito mediante la ejecución de estos dos comandos y compruebe que la respuesta sea la misma que la que se muestra a continuación:

   $ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155

8. Se requiere este paso si la versión Directory Server Enterprise Edition 6.3.1 sobre la que ejecuta el parche incluye la revisión de CR 6722222.

   Si se ha aplicado la revisión de CR 6722222 (Asignar un DN de enlace (bindDN) a un servidor LDAP (por medio de la regla de asignación de DN del DV del DN de enlace)), ejecute el siguiente comando en todas las instancias de cada controlador de conexión.

   $ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true

   Esta propiedad es un marcador que indica que no siempre se requiere la utilización de una identidad de cliente entrante en el enlace con un servidor LDAP remoto. Una vez aplicado 6722222, puede configurarse el comportamiento predeterminado con una propiedad de controlador de conexión tal y como se muestra en el ejemplo.

9. Reinicie todas las instancias del servidor proxy.

Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1

En esta sección, se enumeran los problemas conocidos y las limitaciones encontradas en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.

Los problemas conocidos y las limitaciones de Directory Proxy Server 6.3.1 persisten incluso tras la ejecución del parche para Directory Proxy Server 6.3.1 update 1. Para obtener más información sobre estos problemas, consulte Limitaciones y problemas conocidos de Directory Proxy Server.

Limitaciones conocidas de Directory Proxy Server 6.3.1 Update 1

En esta sección, se muestra la limitación detectada en el momento del lanzamiento de Directory Proxy Server 6.3.1.

Como se describe en el apartado JDBC Object Classes de Sun Java System Directory Server Enterprise Edition 6.3 Reference, la definición de tablas JDBC utiliza tablas principales y secundarias. Directory Proxy Server no permite que una tabla secundaria sea la tabla principal de una tercera tabla. Esto es, Directory Proxy Server no admite más de un nivel de join-rule.

Problemas conocidos de Directory Proxy Server 6.3.1 Update 1

En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.

6728746

En la versión 6.3, si una entrada tiene más de dos clases de objeto, falla la adición de una entrada por medio de una vista conjunta (LDAP y JDBC) debido a la revisión de CR 6636463. Para añadir este tipo de entrada, deben definirse estas clases de objeto como una superclase en la entrada de configuración jdbc-object-class mediante el siguiente ldapmodify, ya que dpconf set-jdbc-object-class-prop sólo puede añadir una superclase.

En este ejemplo, se añade la siguiente entrada:

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

La vista JDBC está definida como se muestra en el siguiente ejemplo, que era funcional antes de la versión 6.3.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

Debido a que objectClass:organizationalPerson y objectClass:inetOrgPerson existen en la entrada añadida, es necesario especificar ambas clases como superclases, como se demuestra con el siguiente comando ldapmodify.

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson

Tras la ejecución de este ejemplo ldapmodify, se define jdbc-object-class tal y como se muestra en el siguiente ejemplo.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

Pese a que la configuración predeterminada para la propiedad log-level-data-sources-detailed está documentada como none, el valor predeterminado real es all. No obstante, la definición de log-level-data-sources-detailed en cualquier valor distinto de none afecta al rendimiento del servidor y provoca que el archivo access crezca rápidamente. Por este motivo, el valor del parámetro log-level-data-sources-detailed se define automáticamente en none cuando se crean instancias de servidor DPS. Se recomienda que no se defina este parámetro en ningún otro valor.

6832498

Debido al problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, Directory Proxy Server debería evitar el uso del algoritmo MD5 para certificados firmados.

Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:

1. Ejecute el siguiente comando para mostrar la lista de los certificados definidos en una instancia específica de Directory Proxy Server.

   $ dpadm list-certs instance-path

2. Ejecute los siguientes comandos en cada certificado definido para determinar si se ha firmado con el algoritmo MD5.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

   En el siguiente ejemplo, se muestra el resultado típico del comando dsadm show-cert para un certificado firmado con el algoritmo de firma MD5:

   Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...

3. Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:

   $ dsadm remove-cert instance-path cert-alias

Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dpadm genera una contraseña de base de datos de certificados predeterminada al crear una instancia de Directory Proxy Server.)

1. Detenga la instancia de Directory Proxy Server.

2. Ejecute el comando siguiente:

   $ dpadm set-flags instance-path cert-pwd-prompt=on

   Aparece un mensaje de solicitud de contraseña.

3. Introduzca una contraseña con un mínimo de ocho caracteres.

4. Reinicie la instancia de Directory Proxy Server y proporcione el Internal (Software) Token cuando se le solicite.

Reemplace cualquier certificado que utilice la función MD5 por certificados que utilicen el algoritmo de firma SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).

Siga los siguientes pasos para generar y almacenar certificados autofirmados:

1. Ejecute el comando siguiente:

   $ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias

   ---

   Nota –

   El algoritmo de firma predeterminado es MD5withRSA.

   ---

   Aparece el siguiente mensaje:

   [Password or Pin for "NSS Certificate DB"]

2. Introduzca la nueva contraseña de la base de datos de certificados.

Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):

1. Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):

   $ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias

2. Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

3. Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:

   $ dpadm add-cert instance-path cert-alias

   Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

4. Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:

   $ dpadm add-cert --ca instance-path trusted-cert-alias

   Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

5. Ejecute los siguientes comandos para comprobar si se está utilizando el nuevo certificado.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

6854861

Con un servidor de fondo de Microsoft SQL Server, al utilizar los campos smalldate, sólo se admite la versión larga de las fechas o, de lo contrario, se produce un error de conversión tal y como se muestra en el siguiente ejemplo.

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string.

---

Nota –

La versión larga de una fecha emplea el formato YYYY -MM-DD HH:MM.

---