Directory Proxy Server 6.3.1 Update 1

Las siguientes secciones están dedicadas a Directory Proxy Server 6.3.1 update 1:

• Acerca de Directory Proxy Server 6.3.1 Update 1

• Errores solucionados en Directory Server 6.3.1 Update 1

• Notas de instalación de Directory Proxy Server 6.3.1 Update 1

• Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1

Acerca de Directory Proxy Server 6.3.1 Update 1

Este parche sólo corrige los problemas encontrados en el componente Directory Proxy Server del producto Directory Server Enterprise Edition. Está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1. El componente Directory Server de Directory Server Enterprise Edition 6.3.1 permanece sin cambios.

Esta actualización no puede ejecutarse con versiones de Directory Server Enterprise Edition anteriores a la 6.3.1. Para obtener instrucciones sobre la actualización a la versión 6.3.1, consulte la Tabla 2–1, “Upgrade Paths to Directory Server Enterprise Edition 6.3.1.”

En esta sección, se tratan los siguientes puntos:

• Novedades de esta versión

• Mejoras en Directory Proxy Server 6.3.1 Update 1

• Plataformas admitidas

Novedades de esta versión

Esta actualización es una versión menor que, principalmente, soluciona los errores descritos en Errores solucionados en Directory Server 6.3.1 Update 1.

Asimismo, Directory Proxy Server 6.3.1 update 1 introduce un nuevo modo de funcionamiento para las operaciones de búsqueda persistentes. Si una aplicación del cliente es muy lenta a la hora de leer las respuestas de una búsqueda persistente desde Directory Proxy Server, la cola de respuestas del servidor proxy se sobrecarga. En este caso, es posible que el servidor cierre la conexión con la siguiente notificación al cliente:

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

Además, también se registra un mensaje informativo similar al siguiente:

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Mejoras en Directory Proxy Server 6.3.1 Update 1

Directory Proxy Server 6.3.1 update 1 proporciona las siguientes mejoras:

Capacidad de definir y de obtener JAVA HOME por medio de dpadm set-flags/get-flags (6765629)

Puede establecerse un nombre de ruta para JAVA_HOME que tenga precedencia sobre el valor de JAVA_HOME definido en el entorno tal y como se muestra en el siguiente ejemplo:

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

Capacidad de definir y de obtener el valor umask de los archivos de configuración y de registro de DPS (6739456)

El comando dpadm cambia el valor de umask, por lo que en el siguiente reinicio de la instancia de DPS, los permisos del archivo de configuración quedan modificados de acuerdo con el nuevo valor de umask. Asimismo, el permiso del archivo de registro queda definido de una manera similar en la siguiente rotación de archivos. El ejemplo siguiente muestra un uso típico:

$ dpadm set-flags instance-path umask=22

No puede añadirse una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME" (6722238)

El administrador puede ahora definir diferentes transformaciones virtuales en el mismo MODEL, ACTION, ATTR_NAME.

Directory Proxy Server 6.3.1 update 1 también añade nuevas propiedades, así como actualizaciones de las propiedades existentes, tal y como se describe en la siguiente lista. Las nuevas propiedades aparecen designadas como “Novedad”. Las propiedades que hayan sido modificadas en cuanto a su especificación en DSEE 6.3.1 aparecen designadas como "Actualización".

close-client-connection (Novedad)

Dinámico (no requiere un reinicio)

Nivel: connection-handler

Tipo: booleano

Valor predeterminado: false

Descripción: indica si el controlador de conexión debe cerrar la conexión de cliente cuando no haya ningún origen de datos disponible.

data-view-use-internal-client-identity (Novedad)

Dinámico (no requiere un reinicio)

Nivel: connection-handler

Tipo: booleano

Valor predeterminado: false

Descripción: indica la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.

Documentación: esta propiedad es un indicador que insta a valorar la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.

db-vendor (Novedad)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-source

Tipo: enumeración

mysql

El servidor de fondo RDBMS es MySQL.

derby

El servidor de fondo RDBMS es Apache Derby/Java DB.

db2

El servidor de fondo RDBMS es DB2.

Oracle

El servidor de fondo RDBMS es Oracle.

ms-sql-server

El servidor de fondo RDBMS es Microsoft SQL Server.

generic

El servidor de fondo RDBMS no está definido. Siempre que sea posible, Directory Proxy Server determina el nombre del proveedor a partir de la db-url definida en jdbc-data-source.

Valor predeterminado: generic

Descripción: nombre del proveedor del origen de datos JDBC.

Documentación: esta propiedad especifica el nombre del proveedor del origen de datos JDBC. Debería definirse esta propiedad si se utiliza un controlador IDBC de un tercero distinto del proporcionado por el proveedor de la base de datos para conectar con el servidor de fondo RDBMS. Si es posible, se utilizan estos datos para establecer instrucciones SQL específicas para el proveedor que contribuyan a mejorar el rendimiento.

numeric-lower-bound (Actualización)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view

Nuevo tipo: largo

Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero

Los atributos restantes permanecen igual.

numeric-upper-bound (Actualización)

Dinámico (no requiere un reinicio)

Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view

Nuevo tipo: largo

Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero

Los atributos restantes permanecen igual.

down-monitoring-interval (Novedad)

Estático (requiere un reinicio)

Nivel: ldap-data-source

Tipo: duración en segundos (límite inferior: 1)

Valor predeterminado: heredado (valor de monitoring-interval)

Descripción: intervalo de tiempo tras el que el supervisor de disponibilidad sondea las conexiones fallidas para detectar su recuperación.

Documentación: esta propiedad especifica el intervalo de sondeo. Si se descubre una conexión inactiva, el supervisor de disponibilidad la sondea según este intervalo para detectar su recuperación. Si no se especifica, se utiliza el valor de la propiedad monitoring-interval.

monitoring-retry-count (Novedad)

Estático (requiere un reinicio)

Nivel: ldap-data-source

Tipo: número entero (límite inferior: 1)

Valor predeterminado: 3

Descripción: número de reintentos que deben llevarse a cabo antes de marcar la conexión como inactiva.

Documentación: esta propiedad especifica el número de veces que el supervisor de disponibilidad sondea la conexión tras detectar su inactividad por primera vez. Esto permite marcar una conexión como activa de manera más rápida. Si la conexión sigue fallando una vez realizado el número de intentos especificados, se utiliza el valor de la propiedad down-monitor-interval como intervalo de sondeo.

use-tcp-keep-alive (Novedad)

Dinámico (no requiere un reinicio)

Nivel: ldap-data-source

Tipo: booleano

Valor predeterminado: true

Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.

Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.

use-tcp-keep-alive (Novedad)

Dinámico (no requiere un reinicio)

Nivel: ldap-listener y ldaps-listener

Tipo: booleano

Valor predeterminado: true

Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre los clientes y la escucha.

Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y la escucha.

allow-unauthenticated-operations (Actualización)

Dinámico (no requiere un reinicio)

Nivel: servidor

Tipo: booleano

Valor predeterminado: true

Nueva descripción: indica si el servidor acepta operaciones no autenticadas.

Descripción anterior (para las versiones de DPS de 6.0 a 6.3.1): indica si el servidor acepta operaciones de clientes anónimos.

Nueva documentación: esta propiedad es un marcador que indica si Directory Proxy Server acepta operaciones no autenticadas. El modo que se utiliza para procesar la operación de enlace se especifica por medio de allow-unauthenticated-operations-mode.

Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad es un marcador que indica si Directory Proxy Server permite que clientes anónimos realicen operaciones.

allow-unauthenticated-operations-mode (Novedad)

Dinámico (no requiere un reinicio)

Nivel: servidor

Tipo: enumeración

anonymous-only

Si no se especifica ninguna contraseña, sólo se permiten enlaces anónimos.

dn-identified-only

Si no se especifica ninguna contraseña, sólo se permiten enlaces con un DN especificado.

anonymous-and-dn-identified

Si no se especifica ninguna contraseña, se permiten enlaces anónimos y enlaces con un DN especificado.

Valor predeterminado: anonymous-and-dn-identified

Descripción: modo de procesar operaciones de enlace sin contraseña.

Documentación: esta propiedad indica la manera en que Directory Proxy Server procesa las operaciones sin contraseña de enlace cuando se establece allow-unauthenticated-operations en true (verdadero).

time-resolution (Actualización)

Estático (requiere un reinicio)

Nivel: servidor

Tipo: duración en milisegundos

Nuevo valor predeterminado: 250

Valor predeterminado anterior (para versiones de DPS de 6.0 a 6.3.1): 500

Nueva documentación: esta propiedad especifica el intervalo de tiempo entre llamadas de sistema consecutivas que recuperan la hora del SO. Para obtener más información sobre las operaciones que duren menos de 250 milisegundos, reduzca el período de time-resolution o modifique el valor de la propiedad time-resolution-mode. Si se establece en 0 milisegundos, el proxy se comporta como si el valor de la propiedad time-resolution-mode estuviera establecido en system-milli. Esta propiedad se omite cuando el valor de la propiedad time-resolution-mode se establece en system-milli o system-micro.

Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad especifica el intervalo de tiempo entre dos llamadas de sistema consecutivas que recuperen la hora del SO. Para obtener más información sobre las operaciones que duren menos de 500 milisegundos, reduzca el período de time-resolution. Si se establece en 0 milisegundos, el proxy realiza automáticamente una llamada de sistema para recuperar la hora actual. De lo contrario, la hora sólo se almacena en caché y se recupera una vez transcurrido el período time-resolution. La hora se muestra en los registros.

La descripción sigue siendo la misma.

time-resolution-mode (Novedad)

Estático (requiere un reinicio)

Nivel: servidor

Tipo: enumeración

custom-resolution

Utilice un subproceso que realice una llamada de sistema cada time-resolution milisegundos.

system-milli

Utilice una llamada de sistema que recupere la hora en milisegundos

system-micro

Utilice una llamada de sistema que recupere la hora en microsegundos

Valor predeterminado: custom-resolution

Descripción: modo utilizado para recuperar la hora del sistema

Documentación: esta propiedad especifica el modo utilizado para recuperar la hora del SO.

Plataformas admitidas

Directory Proxy Server 6.3.1 update 1 está disponible para todas las plataformas Directory Server Enterprise Edition 6.3.1 admitidas. Para obtener más información, consulte Requisitos de hardware y Requisitos del sistema operativo.

Errores solucionados en Directory Server 6.3.1 Update 1

Esta sección enumera todos los errores solucionados en Directory Proxy Server 6.3.1 update 1.

6567644

Directory Proxy Server establece solicitudes de base de datos no permitidas.

6590816

La definición de connectionIdleTimeOutInSec para la escucha LDAP puede inhabilitar DSCC.

6641888

Una operación de búsqueda puede devolver entradas que contengan atributos que no estén presentes en viewable-attr.

6648665

La propiedad max-client-connections no se lleva a cabo si no se realiza ninguna operación en la conexión.

6681502

La supervisión de la memoria se inhabilita de forma predeterminada.

6686150

El algoritmo de distribución numérica debería utilizar long en lugar de int para establecer enlaces numéricos.

6717943

El límite de tamaño predeterminado de Directory Proxy Server para propiedades de recursos utiliza un número entero incorrecto para ilimitado.

6721192

Las transformaciones de DN fallan.

6721749

El establecimiento de add-attr-value puede provocar que las transformaciones de DN produzcan un resultado incorrecto.

6722222

Debería asignarse el DN de enlace (bindDN) al enlazar con un servidor LDAP. (utilizando la regla de asignación de DN del DV del DN de enlace (bindDN)).

6722238

No es posible añadir una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME".

6723858

No se ha aplicado la propiedad requires-bind-password establecida en un servidor de directorios de servidor de enlace.

6734559

Se produce un error en la asignación de DN virtual al depender de un atributo virtual.

6736621

El DN de enlace se rechaza cuando la transformación falla incluso si aparece en la vista.

6737084

Asignación de DN incorrecta para la dirección del servidor.

6739414

6.3 Directory Proxy Server transforma los caracteres de minúsculas/mayúsculas en los nombres de atributos.

6739456

Un consumidor solicitado para Directory Proxy Server para establecer permisos de grupo para los archivos de configuración y de registro (umask 117, chmod 660).

6751692

El comando dpadm start vuelca un núcleo central al utilizar el argumento de Java MaxTenuringThreshold.

6758793

La asignación de DN puede eliminar las entradas a las que se le haya cambiado el nombre.

6760526

El comando dpadm no genera un archivo DPS.pid.

6760951

El esquema de configuración de Directory Proxy Server no es coherente con la función SystemMonitorThread.java.

6761032

El servidor y la consola no son coherentes para el parámetro searchMode.

6764073

Directory Proxy Server falla si se configura para que utilice la autenticación por proxy.

6765629

Permiso para definir JAVA HOME por medio de dpadm set-flags.

6767776

La asignación de DN no puede utilizarse en rootDSE.

6774589

Directory Proxy Server requiere una transformación de DN virtual con atributos de asignación de nombre de varios valores.

6778262

Debe proporcionarse una granularidad de tiempo en microsegundos para los tiempos etimes.

6778308

El comando splitldif omite las transformaciones virtuales.

6780423

Bajo una carga elevada, los sockets pueden permanecer en el estado de espera de cierre.

6782659

La opción SO_KEEPALIVE no está establecida en Directory Proxy Server 6.3 (esto es, setKeepAlive() != True) cuando se crea un socket.

6798674

La revisión para CR 6513526 puede introducir regresiones debido a valores nulos en los objetos ConfigAttribute.

6802371

La propiedad acceptBacklog se omite para las escuchas basadas en canal.

6808701

No se envían respuestas de inactividad con la suficiente frecuencia debido a la última actividad realizada en la conexión de un servidor de fondo.

6808704

Las respuestas de inactividad no se envían para las conexiones de servidor de fondo enlazadas.

6808706

Es posible que no se realicen las comprobaciones del servidor de fondo con la frecuencia necesaria debido a la última actividad del servidor.

6809099

La ejecución del comando ldapsearch en entradas de supervisión puede devolver un resultado incoherente.

6809712

La realización de una comprobación de disponibilidad debería asegurar que el servidor del servidor de fondo esté inactivo antes de desactivar todas las conexiones.

6817976

Puede bloquearse una conexión en caso de una solicitud de abandono.

6818788

Se requiere una mejor precisión en la respuesta del servidor de fondo.

6818926

Se produce una pérdida de descriptor de archivo en el socket del servidor.

6819304

Puede producirse una excepción de puntero nulo al realizar una búsqueda en cn=monitor si se ha definido un grupo de conmutaciones por error sin origen.

6819315

Directory Proxy Server sigue abriendo conexiones con el servidor de directorios tras el fallo de un intento de enlace...

6819752

Es posible que los clientes de la búsqueda persistente no reciban las notificaciones de cambio de entrada.

6821356

Dos conexiones pueden compartir el mismo identificador.

6821752

Las búsquedas persistentes no se eliminan tras la desconexión del cliente.

6823036

El intervalo de supervisión automática debería establecerse en 1 segundo cuando se detecte un origen de datos inactivo.

6823593

Directory Proxy Server asocia distintas operaciones de cliente con la misma conexión de servidor de fondo.

6827104

Las conexiones de servidor de fondo no se cierran, sino que se reutilizan si la inactividad es mayor que inactivity-timeout, lo que provoca una pérdida de conexión.

6827129

El mantenimiento del conjunto de conexiones y el procesamiento de comprobaciones de estado deberían ser DEBUG.

6828462

Dos enlaces largos simultáneos asignan la misma conexión de servidor de fondo a dos conexiones de clientes.

6828841

El establecimiento de una ruta jvm-path incorrecta bloquea el reinicio sin advertencias.

6828842

Directory Proxy Server devuelve un código de error incorrecto cuando no existen servidores de fondo disponibles.

6828896

Debería proporcionarse una opción para cerrar la conexión del cliente en caso de "cannot retrieve backend connection".

6832043

La afinidad de cliente no debería habilitarse si useAffinity=false y affinityPolicy se han establecido explícitamente.

6835931

Directory Proxy Server no puede iniciarse si uno de los hosts del origen de datos no está disponible.

6836922

El comando dpconf debería admitir los nuevos atributos introducidos en Directory Proxy Server 6.3.1_update 1.

6837295

El comando dpconf debería admitir la asignación de DN enlace.

6837392

Debería proporcionarse un control de versiones más simple para la gestión de las propiedades de Directory Proxy Server.

6837970

El comando dpconf debería admitir monitorRetryCount.

6839452

La afinidad de clientes omite el indicador de sólo lectura del origen de datos.

6844727

Debería completarse la implementación de las revisiones para CR 6714425 y 6714448.

6851216

Una expresión de combinación en minúsculas puede provocar que las solicitudes SQL fallen.

6854864

El rendimiento de Directory Proxy Server 6.3.1 es inadecuado cuando más de 100 clientes realizan búsquedas persistentes.

6855978

Ni el bucle del subproceso de búsqueda persistente ni Directory Proxy Server pueden seguir procesando búsquedas persistentes.

6859116

El rendimiento de la búsqueda persistente es inadecuado.

6860746

La creación de 20 búsquedas persistentes y su detención provoca que la funcionalidad de la búsqueda persistente falle.

6868131

Directory Proxy Server devuelve StringIndexOutOfBoundsException en algunos casos de asignación de atributos y transformación virtual.

6868804

Las reglas de transformación y de asignación no funcionan de la manera prevista.

6870051

Los subprocesos pueden activarse prematuramente, lo que produce una excepción ASN.1.

6870452

Directory Proxy Server devuelve un error incorrecto cuando el servidor de fondo se desactiva.

6870496

Puede originarse una excepción de puntero nulo imprevista.

6874644

En algunos casos, la vista de datos JDBC puede omitir el esquema de almacenamiento de contraseñas.

6879124

Directory Proxy Server puede devolver resultados idénticos cuando varios usuarios distintos enlazan con una conexión de cliente.

6881972

En algunos casos, es posible que Directory Proxy Server no se inicie al utilizar JDBC.

6886109

Puede producirse una excepción ASN1 imprevista que no pueda controlarse.

Notas de instalación de Directory Proxy Server 6.3.1 Update 1

Aquí se tratan los siguientes temas:

• Cómo obtener el software

• Instrucciones sobre la instalación

Cómo obtener el software

Directory Proxy Server 6.3.1 update 1 es un parche que se ejecuta sobre una instalación existente de Directory Server Enterprise Edition 6.3.1. Si está ejecutando una versión de Directory Server Enterprise Edition anterior a 6.3.1, primero debe actualizar el producto a la versión 6.3.1 tal y como se describe en el Capítulo 2Notas de instalación antes de ejecutar el parche para Directory Proxy Server 6.3.1 update 1.

Puede descargar el parche Directory Proxy Server 6.3.1 update 1 desde http://www.sun.com/software/products/directory_srvr_ee/get.jsp.

Directory Proxy Server 6.3.1 update 1 es un parche único para todas las plataformas DSEE:

• Solaris SPARC

• Solaris 9 x86

• Solaris 10 x86 y AMD x64

• Red Hat Linux

• SuSe Linux

• HP-UX

• Windows

Se dispone de las siguientes distribuciones para cada plataforma:

• Distribución de paquetes nativos (excepto para HP-UX)

• Distribución ZIP

El parche Directory Proxy Server 6.3.1 update 1 patch 141958-01 está disponible a través de SunSolve y se ejecuta sobre los dos siguientes tipos de instalación:

• Los paquetes nativos de Directory Server Enterprise Edition 6.3.1 instalados por medio del instalador Java ES.

• Las instalaciones ZIP de Directory Server Enterprise Edition 6.3.1.

Instrucciones sobre la instalación

En esta sección, se describe la instalación de Directory Proxy Server 6.3.1 update 1.

Instalación del parche en las instalaciones ZIP o en las de paquetes nativos de Directory Proxy Server 6.3.1

Antes de empezar

Realice una copia de seguridad del directorio de instalación de Directory Server Enterprise Edition antes de ejecutar el parche Directory Proxy Server 6.3.1 update 1, ya que más adelante no podrá restaurarse una configuración anterior de Directory Proxy Server. Este consejo se aplica tanto a las instalaciones ZIP como a las de paquetes nativos.

1. Descargue el parche Patch 141958-01 desde Sunsolve en un directorio downloaded-patch-path.

2. Detenga las instancias de Directory Proxy Server asociadas con la instalación sobre la que pretenda ejecutarse el parche.

3. En los sistemas Windows, abra una ventana Símbolo del sistema. En los sistemas UNIX, abra una Ventana de terminal.

4. Cambie el directorio actual por el directorio con el software de instalación para la plataforma y la distribución (ZIP o nativa) que pretenda actualizar:

   El siguiente ejemplo muestra un comando típico para este propósito:

   $ cd downloaded-patch-path/SunOS_x64/zip/delivery

   En la siguiente tabla, se muestran las ubicaciones del software de instalación en el directorio downloaded-patch-path.

   Sistema operativo	Directorio con la distribución ZIP	Directorio con la distribución de paquetes nativos
   Solaris SPARC	SunOS/zip/delivery	SunOS/native/delivery
   Solaris 9 x86	SunOS_x86/zip/delivery	SunOS_x86/native/delivery
   Solaris 10 x86 y AMD x64	SunOS_x64/zip/delivery	SunOS_x64/native/delivery
   Red Hat Linux	Linux/zip/delivery	Linux/native/delivery
   SuSE Linux	Linux/zip/delivery	Linux/native/delivery
   HP-UX	Hpux/zip/delivery	N/A
   Windows	Windows/zip/delivery	Windows/native/delivery

5. En los sistemas UNIX, ejecute la secuencia de comandos de instalación.

   Ejecute el comando siguiente:

   $ Install dsee631-install-path

   donde dsee631-install-path es la ruta del directorio en donde se ha instalado Directory Server Enterprise Edition 6.3.1.

   Aparecen los siguientes mensajes:

   -------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

   Introduzca y para yes. El programa de instalación ejecuta el parche sobre la instalación de Directory Server Enterprise Edition 6.3.1 especificada.

6. En las instalaciones Windows, ejecute el siguiente comando en la ventana Símbolo del sistema.

   Install.exe

   Se abre un asistente que solicita la exploración y selección de la ruta de instalación correcta para la instalación del parche Directory Proxy Server 6.3.1 update 1. Para ejecutar el parche sobre una instalación ZIP de la versión 6.3.1, seleccione el directorio en el que haya instalado Directory Server Enterprise Edition 6.3.1. Para ejecutar el parche sobre una instalación de paquetes nativos, seleccione C:\Program Files\Sun\JavaES5\DSEE.

   El asistente ejecuta el parche sobre Directory Server Enterprise Edition 6.3.1.

7. Asegúrese de que la instalación se haya realizado con éxito mediante la ejecución de estos dos comandos y compruebe que la respuesta sea la misma que la que se muestra a continuación:

   $ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155

8. Se requiere este paso si la versión Directory Server Enterprise Edition 6.3.1 sobre la que ejecuta el parche incluye la revisión de CR 6722222.

   Si se ha aplicado la revisión de CR 6722222 (Asignar un DN de enlace (bindDN) a un servidor LDAP (por medio de la regla de asignación de DN del DV del DN de enlace)), ejecute el siguiente comando en todas las instancias de cada controlador de conexión.

   $ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true

   Esta propiedad es un marcador que indica que no siempre se requiere la utilización de una identidad de cliente entrante en el enlace con un servidor LDAP remoto. Una vez aplicado 6722222, puede configurarse el comportamiento predeterminado con una propiedad de controlador de conexión tal y como se muestra en el ejemplo.

9. Reinicie todas las instancias del servidor proxy.

Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1

En esta sección, se enumeran los problemas conocidos y las limitaciones encontradas en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.

Los problemas conocidos y las limitaciones de Directory Proxy Server 6.3.1 persisten incluso tras la ejecución del parche para Directory Proxy Server 6.3.1 update 1. Para obtener más información sobre estos problemas, consulte Limitaciones y problemas conocidos de Directory Proxy Server.

Limitaciones conocidas de Directory Proxy Server 6.3.1 Update 1

En esta sección, se muestra la limitación detectada en el momento del lanzamiento de Directory Proxy Server 6.3.1.

Como se describe en el apartado JDBC Object Classes de Sun Java System Directory Server Enterprise Edition 6.3 Reference, la definición de tablas JDBC utiliza tablas principales y secundarias. Directory Proxy Server no permite que una tabla secundaria sea la tabla principal de una tercera tabla. Esto es, Directory Proxy Server no admite más de un nivel de join-rule.

Problemas conocidos de Directory Proxy Server 6.3.1 Update 1

En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.

6728746

En la versión 6.3, si una entrada tiene más de dos clases de objeto, falla la adición de una entrada por medio de una vista conjunta (LDAP y JDBC) debido a la revisión de CR 6636463. Para añadir este tipo de entrada, deben definirse estas clases de objeto como una superclase en la entrada de configuración jdbc-object-class mediante el siguiente ldapmodify, ya que dpconf set-jdbc-object-class-prop sólo puede añadir una superclase.

En este ejemplo, se añade la siguiente entrada:

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

La vista JDBC está definida como se muestra en el siguiente ejemplo, que era funcional antes de la versión 6.3.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

Debido a que objectClass:organizationalPerson y objectClass:inetOrgPerson existen en la entrada añadida, es necesario especificar ambas clases como superclases, como se demuestra con el siguiente comando ldapmodify.

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson

Tras la ejecución de este ejemplo ldapmodify, se define jdbc-object-class tal y como se muestra en el siguiente ejemplo.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

Pese a que la configuración predeterminada para la propiedad log-level-data-sources-detailed está documentada como none, el valor predeterminado real es all. No obstante, la definición de log-level-data-sources-detailed en cualquier valor distinto de none afecta al rendimiento del servidor y provoca que el archivo access crezca rápidamente. Por este motivo, el valor del parámetro log-level-data-sources-detailed se define automáticamente en none cuando se crean instancias de servidor DPS. Se recomienda que no se defina este parámetro en ningún otro valor.

6832498

Debido al problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, Directory Proxy Server debería evitar el uso del algoritmo MD5 para certificados firmados.

Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:

1. Ejecute el siguiente comando para mostrar la lista de los certificados definidos en una instancia específica de Directory Proxy Server.

   $ dpadm list-certs instance-path

2. Ejecute los siguientes comandos en cada certificado definido para determinar si se ha firmado con el algoritmo MD5.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

   En el siguiente ejemplo, se muestra el resultado típico del comando dsadm show-cert para un certificado firmado con el algoritmo de firma MD5:

   Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...

3. Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:

   $ dsadm remove-cert instance-path cert-alias

Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dpadm genera una contraseña de base de datos de certificados predeterminada al crear una instancia de Directory Proxy Server.)

1. Detenga la instancia de Directory Proxy Server.

2. Ejecute el comando siguiente:

   $ dpadm set-flags instance-path cert-pwd-prompt=on

   Aparece un mensaje de solicitud de contraseña.

3. Introduzca una contraseña con un mínimo de ocho caracteres.

4. Reinicie la instancia de Directory Proxy Server y proporcione el Internal (Software) Token cuando se le solicite.

Reemplace cualquier certificado que utilice la función MD5 por certificados que utilicen el algoritmo de firma SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).

Siga los siguientes pasos para generar y almacenar certificados autofirmados:

1. Ejecute el comando siguiente:

   $ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias

   ---

   Nota –

   El algoritmo de firma predeterminado es MD5withRSA.

   ---

   Aparece el siguiente mensaje:

   [Password or Pin for "NSS Certificate DB"]

2. Introduzca la nueva contraseña de la base de datos de certificados.

Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):

1. Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):

   $ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias

2. Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

3. Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:

   $ dpadm add-cert instance-path cert-alias

   Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

4. Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:

   $ dpadm add-cert --ca instance-path trusted-cert-alias

   Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

5. Ejecute los siguientes comandos para comprobar si se está utilizando el nuevo certificado.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

6854861

Con un servidor de fondo de Microsoft SQL Server, al utilizar los campos smalldate, sólo se admite la versión larga de las fechas o, de lo contrario, se produce un error de conversión tal y como se muestra en el siguiente ejemplo.

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string.

---

Nota –

La versión larga de una fecha emplea el formato YYYY -MM-DD HH:MM.

---