第 4 章 Directory Proxy Server の修正されたバグと既知の問題点

この章では、Directory Proxy Server のリリース時点で判明している、製品固有の重要な情報を示します。

この章では、次の内容について説明します。

• 「Directory Proxy Server 6.3.1 で修正されたバグ」

• 「Directory Proxy Server の既知の問題点と制限事項」

• 「Directory Proxy Server 6.3.1 Update 1」

Directory Proxy Server 6.3.1 で修正されたバグ

この節では、Directory Proxy Server リリース 6.3.1 で修正されたバグの一覧を示します。

6492941

JDBC ソースが使用できないとき、この JDBC ソースからのデータが必要でない場合でも、結合ビュー (LDAP + JDBC) からの検索が失敗します。

6513526

cn=monitor の ldapsearch を実行すると、親エントリの前にリーフエントリが返されます。この条件では、一部のツールでエラーが発生する可能性があります。

6597598

LDAP と JDBC の結合ビューから変更を行うと、NULL ポインタ例外が発生する可能性があります。

6597607

二次属性が要求されていない場合、二次データソースに対する要求がパフォーマンスに影響を与えるべきではありません。

6597608

単一の LDAP トランザクションで 2 つの変更を適用しようとすると、1 つの属性が存在しない場合は、部分的にしか成功しない場合があります。

6616898

LDAP と JDBC の結合ビューを使用しているとき、objectclass 属性を二次ビューに格納できません。

6618968

結合ビューからの検索で、一次ビューの属性が検索フィルタに含まれていない場合は (いくつかのエントリが二次ビューから返された場合でも)、まず二次ビューに対して検索が実行されるべきです。

6630730

高負荷の検索で NULL ポインタ例外が発生することがあります。

6637173

LDAP と JDBC の結合ビューで検索を行うとき、要求された二次属性に対するアクセス権をバインドユーザーが持っていないと、エントリが返されない場合があります。

6637608

高負荷の検索を実行すると、ArrayIndexOutOfBounds 例外または NegativeArraySizeException 例外が発生することがあります。

6638374

エントリの uid 属性に大文字が含まれている場合、そのエントリを結合ビューから追加できません。

6641925

LDAP と JDBC の結合ビューからエントリを追加するとき、追加要求に二次 JDBC 属性が含まれていない場合でも、エントリが JDBC ビューに追加されます。

6643181

LDAP と JDBC の結合ビューから属性を追加または置換するとき、値が SQL データベースには長すぎる場合、値が切り詰められます。

6646107

LDAP と JDBC の結合ビューからエントリを追加するとき、列のサイズを確認せずに文字列 (varchar ) 値の更新や追加が行われ、データベースエラーが発生することがあります。

6653253

FailoverLoadBalancingAlgorithm の競合状態が原因で、検索負荷テストで予期しないエラーが発生します。

6653453

SSL を使用した持続検索が、データを返すことができません。

6654625

DPS のメモリー管理ポリシーにより、ガベージコレクションがトリガーされると同時に既存の接続が切断されます (メモリー不足の場合)。

6656324

エントリの追加時に、DN 値が小文字に変換されないことがあります。

6658613

LDAP と JDBC の結合ビューから共有属性 (2 つのデータソース上に存在する可能性がある) を削除すると、2 つのビューの一方にその属性が存在しない場合、エラーが返されます。

6659381

64 ビットモードの JDK 1.6 を使用した高負荷の検索で、JVM がクラッシュすることがあります。

6660383

JDBC ソースが大文字と小文字を区別して列の値を処理する場合 (DB2 など)、JDBC 属性の値を削除しようとすると失敗することがあります。

6661375

ソケットが CLOSE_WAIT 状態のままになるため、サーバーが応答しなくなることがあります。

6661474

サーバーへの接続を頻繁に開いたり閉じたりすると、しばらくしてサーバーが応答しなくなり、再起動を実行するまで回復しないことがあります。

6663112

AMD64 Linux マシンでは、サーバーを 32 ビットモードで起動できません。

6670752

高負荷でサーバーのタイムアウトが発生し、ディレクトリサーバーに対する操作の再試行が発生することがあります。

6671579

検索フィルタ内で仮想的にマップされたベースを使用すると、状況によっては結果が返されないことがあります。

6676073

結合ビューの使用中に、二次データビューに対する変更が誤って一次データビューに適用されることがあります。

6680717

JDBC ビューを含んだ結合ビューを構成するときに、結合ルールの設定に失敗すると、StringIndexOutOfBoundsException 例外が発生することがあります。

6692627

特定の検索フィルタを使用すると、サーバーから復号化エラーが返されることがあります。

6697494

JDBC ビューを含んだ結合ビューを使用しているとき、ディレクトリサービスだけに存在するエントリの属性を削除しようとすると失敗します。

6729861

dpadm -V で JVM のバージョンを検出できません。

6734722

サーバーがディレクトリサーバーへの接続を CLOSE_WAIT 状態のままにするため、ディレクトリサーバーが応答しなくなることがあります。

6753712

文字列型でない (float や date など) 属性を含んだ検索フィルタでは、JDBC ビューから結果を取得できないことがあります。

6761017

内部ワーカースレッドのデッドロックが発生し、サーバーが応答しなくなることがあります。

6761875

サーバーで CPU 使用率の急上昇が発生し、マシンのすべてのサービスが応答しなくなることがあります。

6764873

終了待機を最小化するための、バインドされた接続の管理の改善。

6766175

ldapsearch で、MySQL、Derby、または DB2 JDBC バックエンドからエントリの空の属性値が返されることがあります。ORACLE JDBC バックエンドの場合、空の属性値が返されることはありません。

Directory Proxy Server の既知の問題点と制限事項

この節では、Directory Server Enterprise Edition 6.3.1 リリース時点での既知の問題点および制限事項の一覧を示します。

Sun Directory Proxy Server 6.3.1 Update 1 パッチ 141958–01 は、Directory Proxy Server コンポーネントの問題を修正するために Directory Server Enterprise Edition 6.3.1 の上に適用するよう設計されています。詳細については、「Directory Proxy Server 6.3.1 Update 1」を参照してください。

Directory Proxy Server の制限事項

この節では、製品の制限事項の一覧を示します。

ファイルアクセス権を手作業で変更した場合の問題点

インストール済みの Directory Server Enterprise Edition 製品ファイルのアクセス権を変更すると、場合によってはソフトウェアが正常に動作しなくなる可能性があります。製品ドキュメントの指示に従う場合、または Sun サポートの指示に従う場合のみ、ファイルのアクセス権を変更してください。

この制限事項に対処するには、適切なユーザーアクセス権およびグループアクセス権を持つユーザーとして製品のインストールおよびサーバーインスタンスの作成を行います。

自己署名サーバー証明書を更新できない

自己署名サーバー証明書を作成するときは必ず、その証明書を更新する必要がないように、十分な長さの有効期限を指定するようにしてください。

Directory Proxy Server は、結合データビューの書き込み操作で原子性を保証しない

原子性を保証するには、書き込み操作に結合データビューを使用しないでください。結合データビューで書き込み操作を行う場合は、外部メカニズムを使用して不一致を防止または検出してください。Directory Proxy Server エラーログを監視すると、不一致を監視できます。

Directory Proxy Server 6.3.1 の既知の問題点

この節では、Directory Proxy Server 6.3.1 のリリース時に判明していた既知の問題点の一覧を示します。

5042517

DN 変更操作が、LDIF、JDBC、結合、およびアクセス制御データビューに対してサポートされていません。

6355714

現在、getEffectiveRight コントロールは、LDAP データビューでのみサポートされており、プロキシのローカルである ACI は考慮されません。

6356465

Directory Proxy Server で、(targetattr = "locality;lang-fr-ca") のようにターゲット属性へのサブタイプを指定する ACI が拒否されることがあります。

6360059

Directory Proxy Server では、データソース接続の失敗後に復元された JDBC データソース接続を再開できません。Directory Proxy Server が接続を再開できるのは、Directory Proxy Server インスタンスの再起動後のみです。

6383532

認証モードの設定を変更したときは、Directory Proxy Server を再起動する必要があります。

6386073

認証局によって署名された証明書の要求が生成されたあとで、更新すると証明書は自己署名済みの証明書として表示されます。

6388022

Directory Proxy Server によって使用される SSL ポートが正しくない場合に、そのポートに対するセキュリティー保護された検索要求のあとで Directory Proxy Server がすべての接続を閉じる場合があります。

6390118

プロキシ承認ではなくクライアントアプリケーション証明書に基づく認証を使用するように設定されたとき、Directory Proxy Server がリフェラルホップ数を正確にカウントできません。

6390220

データビューの作成時には base-dn プロパティーを指定できますが、データビューの作成後に base-dn プロパティーを "" (ルート DSE) に設定することはできません。

6410741

Directory Service Control Center では、値を文字列としてソートします。そのため、Directory Service Control Center で数字をソートすると、それらの数字は文字列であるかのようにソートされます。

0、20、および 100 を昇順にソートすると、0、100、20 というリストが得られます。0、20、および 100 を降順にソートすると、20、100、0 というリストが得られます。

6439604

アラートを設定したあと、変更を有効にするには Directory Proxy Server を再起動する必要があります。

6447554

Directory Proxy Server で、数値形式または辞書形式のデータ配布を設定したときに、別のデータビューに移動するエントリの名前変更に失敗します。

6458935

結合データビューを操作する場合、Directory Proxy Server は、その結合を構成するビューのデータ配布アルゴリズムを使用しません。

この問題点に対処するには、結合とデータ配布を一緒に使用するときに、結合データビューのレベルでデータ配布を設定します。

6461510

Directory Proxy Server では、リフェラルのホップ制限が機能しません。

6469154

Windows では、dsadm および dpadm コマンドによる出力とヘルプメッセージが、簡体字中国語および繁体字中国語にローカライズされていません。

6469780

JDBC データソースエントリの作成は、動的に検出されません。JDBC データビューの作成前に JDBC サーバーを作成した場合は、データビューはサーバーの次回再起動時まで無視されます。このため、JDBC データソースを設定したあと、変更が検出されるようにするには Directory Proxy Server を再起動する必要があります。

6486578

クラス A がテーブルを二次として使用し、別のクラス B が同じテーブルを唯一の一次として使用している JDBC オブジェクトクラスの場合、B への要求は機能しません。Directory Proxy Server は、一次テーブルで使用されている filter-join-rule プロパティーを無視できません。

6488197

Windows システムでのインストール後およびサーバーインスタンス作成後は、インストールおよびサーバーインスタンスのフォルダに対するファイルアクセス権により、すべてのユーザーにアクセスが許可されます。

この問題点に対処するには、インストールおよびサーバーインスタンスのフォルダのアクセス権を変更します。

6488297

Windows では、DSCC の初期化は Administrator ユーザーしか実行できません。

6490763

Directory Proxy Server を介してDirectory Server にアクセスしている場合、Directory Server の再起動後に、Access Managerで持続検索に関連したキャッシュの問題が発生する現象が確認されています。

この問題点に対処するには、Directory Server を再起動したあと、Access Manager または Directory Proxy Server を再起動します。

さらに細かいチューニングとして、Access Manager の試行の数や試行の間の遅延時間を増やして、持続検索の接続を再確立できます。これらのパラメータは、AMConfig.properties ファイル内の次のプロパティーを変更することによって増やすことができます。

• 試行の回数を表す com.iplanet.am.event.connection.num.retries を増やします。デフォルトは 3 回の試行です。

• 試行の間の遅延時間 (ミリ秒) を表す com.iplanet.am.event.connection.delay.between.retries を増やします。デフォルトは 3000 ミリ秒です。

6490853

DB2 データベースによって設定された JDBC データビューを使用して検索を実行し、検索結果として非常に多くの数のエントリが返された場合、1,344 個のエントリを返したあとにエラーが発生することがあります。

この制限を克服するには、CLI/ODBC 設定キーワード CLIPkg の値を 30 に設定することで、大きなパッケージの数を増やします。その場合でも、検索結果の最大数は 11,712 エントリに制限されます。

詳細については、DB2 のマニュアルを参照してください。

6491133

Directory Service Control Center を使用して自己署名付き証明書を作成する場合、証明書名に複数バイト文字を使用しないでください。

6491845

Directory Proxy Server で許可されているデフォルトの LDAP コントロールは、Directory Service Control Center では表示されません。

6493349

Directory Service Control Center は、既存の除外されたサブツ リーまたは代替検索ベースの DN を変更するときにコンマを削除します。

6494540

セキュリティー保護されていない LDAP アクセスをはじめて有効または無効にしたあと、変更を有効にするには Directory Proxy Server を再起動する必要があります。

6497547

制限時間とサイズ制限の設定は、LDAP データソースでのみ機能します。

6497992

コマンド dpadm set-flags cert-pwd-store=off を使用したあと、Directory Service Control Center を使用して Directory Proxy Server を再起動できません。

6501867

ASCII 文字と複数バイト文字の両方を組み合わせたサーバーインスタンス名とともに dpadm start コマンドを使用した場合に失敗する現象が確認されています。

6505112

既存の接続ハンドラに data-view-routing-custom-list プロパティーを設定する場合、エスケープが必要な文字 (コンマなど) を含むデータビュー名を使用するとエラーが発生します。

この問題点に対処するには、エスケープが必要な文字を含むデータビュー名を指定しないでください。たとえば、DN を含むデータビュー名を使用しないでください。

6510583

以前のバージョンとは異なり、マニュアルページ allowed-ldap-controls(5dpconf) で説明されているように、デフォルトでは Directory Proxy Server でサーバー側ソートコントロールはできません。

Directory Proxy Server でのサーバー側ソートコントロールのサポートは、allowed-ldap-controls プロパティーで指定される許可された LDAP コントロールのリストに server-side-sorting を追加することによって、有効にできます。

$ dpconf set-server-prop \ allowed-ldap-controls:auth-request \ allowed-ldap-controls:chaining-loop-detection \ allowed-ldap-controls:manage-dsa \ allowed-ldap-controls:persistent-search \ allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 \ allowed-ldap-controls:real-attributes-only \ allowed-ldap-controls:server-side-sorting

既存の設定値もあわせて設定する必要があることに注意してください。そうしないと、サーバー側ソートコントロールのみが許可されます。

6511264

Directory Proxy Server の DN 名前変更機能を使用する際に、同じ DN コンポーネントが繰り返し登場する場合は、それらは一括して変更されることに注意してください。

たとえば、o=myCompany.com で終わる DN の名前を、dc=com で終わるように変更する場合を考えてみます。たとえば、uid=userid,ou=people,o=myCompany.com,o=myCompany.com のように元のコンポーネントが繰り返されている場合、名前が変更された結果、DN は uid=userid,ou=people,dc=com となり、uid=userid,ou=people,o=myCompany.com,dc=com とはなりません。

6520368

Directory Proxy Server を介して Oracle 9 にアクセスするための JDBC 接続設定は、ドキュメントに記載されている手順どおりではありません。

ホスト myhost、ポート 1537 上で Oracle 9 サーバーが待機し、システム識別子 (SID) MYINST を持つインスタンスが存在する次の設定を考えてみます。このインスタンスには、データベース MYNAME.MYTABLE が含まれています。

一般的には、MYTABLE へのアクセスを設定するには、次のプロパティーを設定します。

• JDBC データソースで、db-name:MYINST を設定します。

• JDBC データソースで、db-url:jdbc:oracle:thin:myhost:1537: を設定します。

• JDBC テーブルで、sql-table:MYNAME.MYTABLE を設定します。

ここまでの設定で機能しない場合は、さらに次のように MYTABLE へのアクセスを設定してみてください。

• JDBC データソースで、db-name:(CONNECT_DATA=(SERVICE_NAME=MYINST))) を設定します。

• JDBC データソースで、db-url:jdbc:oracle:thin:@(DESCRIPTION= (ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=myhost)(PORT=1537))) を設定します。

• JDBC テーブルで、sql-table:MYNAME.MYTABLE を設定します。

6527010

Directory Proxy Server は、テーブル間の多対多 (N:N) の関係を意味する JDBC 属性を JDBC データベースに書き込むことができません。

6539650

複数バイトの DN を持ち DSCC を使用して作成された Directory Proxy Server インスタンスは、Linux 上では起動できません。

6542857

Solaris 10 で Service Management Facility (SMF) を使用してサーバーインスタンスを有効にした場合、システムをリブートしてもインスタンスが起動しないことがあり、次のエラーを返します。

svcadm: Instance "svc:/instance_path" is in maintenance state.

この問題を回避するには、ローカルユーザーを使用して Directory Server および Directory Proxy Server サービスを作成します。

6547755

パスに複数バイト文字を含む Directory Proxy Server インスタンスが DSCC に作成されない、起動されない、またはその他の通常のタスクを実行できない可能性があります。

これらの問題の一部は、インスタンスの作成時に使用していた文字セットを使用することによって解決できます。文字セットを設定するには、次のコマンドを実行します。

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

これらの問題を回避するには、インスタンスパスに ASCII 文字のみを使用します。

6547759

HP-UX では、異なるロケールに設定された複数のブラウザセッションによって DSCC にアクセスした場合、DSCC には、ブラウザの設定ロケールと異なるロケールの文字が表示されることがあります。

6551076

マシンに複数のホスト名がある場合、コンソールは Directory Proxy Server インスタンスのバックエンド状態を取得しません。

6565106

RDBMS テーブルに、JDBC オブジェクトクラスの DN パターンに一致する重複エントリがある場合、JDBC データビューに対して検索が実行されると、重複サブツリー (リーフ以外) のノードが Directory Proxy Server によって返されます。たとえば、JDBC オブジェクトクラスに ou という DN パターンがあり、JDBC 属性 ou にマッピングされた RDBMS の列に重複エントリ (たとえば sales) がある場合、検索結果には ou=sales といったノードが重複して表示されます。

この問題を回避するには、次の手順を実行します。

1. 重複エントリが作成されないように、ou JDBC 属性にマッピングされた列を含むテーブルから値を取り除き、RDBMS ビューを作成します。

2. RDBMS テーブル名を、DN パターン ou を含む JDBC オブジェクトクラスの RDBMS ビュー名に置換します。ただし、RDBMS ビューは読み取り専用なので、Directory Proxy Server を通じて JDBC 属性 ou に値を追加できないという制限があります。

6567644

DPS が不正な DB 要求を作成します。

6573439

DSCC のインスタンスの「詳細な表示オプション」で、「アクセスログ」タブ、「エラーログ」タブ、および「監査ログ」タブの日付がローカライズされていません。

6583798

DSCC 6.0 では、DSCC でデータソースを作成する場合、useTCPNoDelay はデフォルトで false に設定されますが、管理コマンド dpconf create-ldap-data-source によってインスタンスを作成する場合は use-tcp-no-delay のデフォルト値が true に設定されます。

6588319

Tomcat サーバーで構成された DSCC で、「ヘルプ」および「バージョン」ポップアップウィンドウのタイトルに含まれる複数バイト文字が文字化けしています。

6590460

dpadm show-cert dps-instance-path コマンドの出力で、文字列 owner が簡体字中国語および繁体字中国語に翻訳されていません。

6592543

フランス語のロケールで、サーバーの停止または登録解除を確認するポップアップウィンドウに重複したアポストロフィーが表示されます。

6597598

LDAP と JDBC の両方で結合ビューに対して modrate ツールを使用して変更を行なっている場合、複数のスレッドを使用すると null ポインタ例外が発生します。次のようなエラーメッセージが表示されます。

java.lang.NullPointerException com.sun.directory.proxy.server.JoinDataView. processModifyRequest(JoinDataView.java:916) com.sun.directory.proxy.server.JoinDataViewOpContext.processModifyRequest (JoinDataViewOpContext.java:243) com.sun.directory.proxy.server.ModifyOperation. processOperation(ModifyOperation.java:502 com.sun.directory.proxy.server .WorkerThread.runThread(WorkerThread.java:150) com.sun.directory.proxy.util.DistributionThread.run (DistributionThread.java:225)

6609603

新しいデータソースがデータソースプールに追加されると、サーバーの再起動が必要になります。

6639674

Directory Proxy Server 構成プロパティー allow-bind-operations が false に設定されている場合、dpconf コマンド行引数と -–secure-port オプションを使用して SSL ポートに接続することはできません。TLS の起動 (デフォルト) またはクリア接続 (-–unsecured オプション) による接続は可能です。

6640597

basedn が元のマシンのものと異なるリフェラルに従って操作している場合、Directory Proxy Server は ADD 操作の DN を変更しません。リフェラルを転送するだけの場合とは対照的に、リフェラルに従うよう設定された Directory Server インスタンスを持つ Directory Proxy Server インスタンスに対して ADD を試行すると、間違った basedn により参照したサーバー上で ADD が拒否されます。

ldapmodify コマンドを使用して ADD を Directory Server インスタンスに対して直接実行すると、ADD が機能します。

6642559

仮想変換の記述は、remove-attr-value 変換モデルには機能しません。

6642578

エントリを変更する場合、仮想変換の記述が期待どおりに動作しません。

6649984

証明書データベースに長さの短いパスワードを設定しても、警告が行われません。パスワードが短すぎても、Directory Service Control Center によって受け入れられます。cert サブコマンドを付けて dpadm コマンドを発行すると、コマンドがハングアップする可能性があります。

6711054

smalldatetime SQL タイプの属性値を追加しようとすると、次の例外が発生します。

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: java.lang.Exception: com.microsoft.sqlserver.jdbc.SQLServerException: Conversion failed when converting datetime from character string.

Directory Proxy Server 6.3.1 Update 1

次の節では、Directory Proxy Server 6.3.1 Update 1 について説明します。

• 「Directory Proxy Server 6.3.1 Update 1 について」

• 「Directory Proxy Server 6.3.1 Update 1 で修正されたバグ」

• 「Directory Proxy Server 6.3.1 Update 1 のインストールの注意点」

• 「Directory Proxy Server 6.3.1 Update 1 の既知の問題点と制限事項」

Directory Proxy Server 6.3.1 Update 1 について

このパッチでは、Directory Server Enterprise Edition 製品の Directory Proxy Server コンポーネントの問題だけが修正されます。このパッチは Directory Server Enterprise Edition 6.3.1 の上に適用するように設計されています。Directory Server Enterprise Edition 6.3.1 の Directory Server コンポーネントは変更されません。

Directory Server Enterprise Edition 6.3.1 より前のバージョンにこのアップデートを適用することはできません。version 6.3.1 にアップグレードする手順については、表 2–1「Directory Server Enterprise Edition 6.3.1 へのアップグレードパス」を参照してください。

この節の内容は次のとおりです。

• 「このリリースの新機能」

• 「Directory Proxy Server 6.3.1 Update 1 の拡張機能」

• 「サポートされるプラットフォーム」

このリリースの新機能

このアップデートは、主に 「Directory Proxy Server 6.3.1 Update 1 で修正されたバグ」で説明されているバグを修正するマイナーリリースです。

Directory Proxy Server 6.3.1 Update 1 では、持続検索操作に新しい動作も導入されます。クライアントアプリケーションがディレクトリプロキシサーバーからの持続検索応答を読み取る速度が非常に遅い場合、プロキシサーバーの応答キューが過負荷になります。この場合、サーバーは次のクライアント通知で接続を閉じることができます。

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

また、次のような情報メッセージがログに記録されます。

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Directory Proxy Server 6.3.1 Update 1 の拡張機能

Directory Proxy Server 6.3.1 Update 1 には、次の拡張機能があります。

dpadm set-flags/get-flags を使用して JAVA HOME を設定および取得する機能 (6765629)

JAVA_HOME のパス名を設定し、環境で定義されている JAVA_HOME の値よりも優先させることができます。次の例を参照してください。

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

DPS 構成ファイルおよびログファイルの umask 値を設定および取得する機能 (6739456)

dpadm コマンドで umask 値を変更すると、DPS インスタンスの次回再起動時に、この新しい umask 値に従って構成ファイルのアクセス権が変更されます。同様に、ログファイルのアクセス権も次回のファイルローテーション時に設定されます。次の例は、一般的な使用方法を示しています。

$ dpadm set-flags instance-path umask=22

同じ「MODEL, ACTION, ATTR_NAME」で新しい仮想変換を追加できない (6722238)

管理者は、異なる仮想変換を同じ MODEL, ACTION, ATTR_NAME で定義できるようになりました。

また、Directory Proxy Server 6.3.1 Update 1 では、次の一覧に示すように新しいプロパティーが追加され、既存のプロパティーが更新されています。新しいプロパティーは「新規」と示されています。DSEE 6.3.1 での仕様から変更されたプロパティーは「更新」と示されています。

close-client-connection (新規)

動的 (再起動不要)

レベル: connection-handler

型: ブール型

デフォルト: false

説明: 使用できるデータソースがない場合に、接続ハンドラがクライアント接続を閉じるかどうかを示します。

data-view-use-internal-client-identity (新規)

動的 (再起動不要)

レベル: connection-handler

型: ブール型

デフォルト: false

説明: リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示します。

ドキュメント: このプロパティーは、リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示すフラグです。

db-vendor (新規)

動的 (再起動不要)

レベル: jdbc-data-source

型: 列挙型

mysql

RDBMS バックエンドは MySQL です。

derby

RDBMS バックエンドは Apache Derby/Java DB です。

db2

RDBMS バックエンドは DB2 です。

oracle

RDBMS バックエンドは Oracle です。

ms-sql-server

RDBMS バックエンドは Microsoft SQL Server です。

generic

RDBMS バックエンドは定義されていません。可能な場合、Directory Proxy Server は jdbc-data-source で定義されている db-url からベンダー名を判定します。

デフォルト: generic

説明: JDBC データソースのベンダー名

ドキュメント: このプロパティーは、JDBC データソースのベンダー名を指定します。データベースベンダーによって提供されているドライバ以外の、サードパーティーの IDBC ドライバを使用して RDBMS バックエンドに接続する場合は、このプロパティーを設定するようにしてください。可能な場合はこのデータを使用してベンダー固有の SQL 文が作成され、それによってパフォーマンスが向上する場合があります。

numeric-lower-bound (更新)

動的 (再起動不要)

レベル: jdbc-data-view、join-data-view、ldap-data-view、および ldif-data-view

新しい型: 長整数

以前の型 (DPS 6.0 から 6.3.1): 整数

その他の属性は以前と同じままです。

numeric-upper-bound (更新)

動的 (再起動不要)

レベル: jdbc-data-view、join-data-view、ldap-data-view、および ldif-data-view

新しい型: 長整数

以前の型 (DPS 6.0 から 6.3.1): 整数

その他の属性は以前と同じままです。

down-monitoring-interval (新規)

静的 (再起動が必要)

レベル: ldap-data-source

型: 期間 (秒単位) (下限: 1)

デフォルト: 継承 (monitoring-interval の値)

説明: 可用性モニターが障害のある接続をポーリングして接続の復旧を検出する間隔

ドキュメント: このプロパティーはポーリング間隔を指定します。接続が切断状態であると検出されたら、可用性モニターはこの間隔で接続をポーリングして接続の復旧を検出します。指定されていない場合は、 monitoring-interval プロパティーの値が使用されます。

monitoring-retry-count (新規)

静的 (再起動が必要)

レベル: ldap-data-source

型: 整数 (下限: 1)

デフォルト: 3

説明: 接続を切断状態と判断する前に実行する再試行の数

ドキュメント: このプロパティーは、接続が切断状態であると最初に検出されたときに可用性モニターが接続をポーリングする回数を指定します。これにより、接続の復旧をより早く検出できます。指定された回数だけ再試行したあとも接続に障害がある場合は、次に down-monitor-interval プロパティーの値がポーリング間隔として使用されます。

use-tcp-keep-alive (新規)

動的 (再起動不要)

レベル: ldap-data-source

型: ブール型

デフォルト: true

説明: サーバーとデータソースの間の接続で SO_KEEPALIVE を有効にするかどうかを指定します

ドキュメント: このプロパティーは、サーバーとデータソースの間の接続で SO_KEEPALIVE を有効にするかどうかを指定するフラグです。

use-tcp-keep-alive (新規)

動的 (再起動不要)

レベル: ldap-listener および ldaps-listener

型: ブール型

デフォルト: true

説明: クライアントとリスナーの間の接続で SO_KEEPALIVE を有効にするかどうかを指定します

ドキュメント: このプロパティーは、クライアントとリスナーの間の接続で SO_KEEPALIVE を有効にするかどうかを指定するフラグです。

allow-unauthenticated-operations (更新)

動的 (再起動不要)

レベル: server

型: ブール型

デフォルト: true

新しい説明: サーバーが未認証の操作を受け入れるかどうかを示します

以前の説明 (DPS 6.0 から 6.3.1): サーバーが匿名クライアントからの操作を受け入れるかどうかを示します

新しいドキュメント: このプロパティーは、Directory Proxy Server が未認証の操作を受け入れるかどうかを示フラグです。バインド操作の処理に使用されるモードは、allow-unauthenticated-operations-mode によって指定されます

以前のドキュメント (DPS 6.0 から 6.3.1): このプロパティーは、Directory Proxy Server が匿名クライアントに操作の実行を許可するかどうかを示フラグです。

allow-unauthenticated-operations-mode (新規)

動的 (再起動不要)

レベル: server

型: 列挙型

anonymous-only

パスワードが指定されていない場合は、匿名バインドだけが許可されます

dn-identified-only

パスワードが指定されていない場合は、DN の指定されたバインドだけが許可されます

anonymous-and-dn-identified

パスワードが指定されていない場合は、匿名バインドおよび DN の指定されたバインドだけが許可されます

デフォルト: anonymous-and-dn-identified

説明: パスワードなしでバインド操作を処理するモード

ドキュメント: このプロパティーは、allow-unauthenticated-operations が true に設定されている場合に、バインドパスワードのない操作を Directory Proxy Server がどのように処理するかを示します。

time-resolution (更新)

静的 (再起動が必要)

レベル: server

型: 期間 (ミリ秒単位)

新しいデフォルト: 250

以前のデフォルト (DPS 6.0 から 6.3.1): 500

新しいドキュメント: このプロパティーは、OS から時刻を取得する連続システムコールの間隔を指定します。所要時間が 250 ミリ秒未満の操作の詳細を確認するには、time-resolution を小さくするか、time-resolution-mode プロパティーの値を変更します。0 ミリ秒に設定すると、プロキシは time-resolution-mode プロパティーの値が system-milli に設定されている場合と同様に動作します。Ttime-resolution-mode プロパティーの値が system-milli または system-micro に設定されている場合、このプロパティーは無視されます。

以前のドキュメント (DPS 6.0 から 6.3.1): このプロパティーは、OS から時刻を取得する連続システムコールの間隔を指定します。所要時間が 500 ミリ秒未満の操作の詳細を確認するには、time-resolution を小さくします。0 ミリ秒に設定すると、プロキシは計画的にシステムコールを実行して現在時刻を取得します。それ以外の場合、時刻はキャッシュされ、time-resolution 間隔でのみ取得されます。この時刻はログに表示されます。

説明は以前と同じままです。

time-resolution-mode (新規)

静的 (再起動が必要)

レベル: server

型: 列挙型

custom-resolution

スレッドを使用して time-resolution ミリ秒ごとにシステムコールを実行します

system-milli

システムコールを使用して時刻をミリ秒単位で取得します

system-micro

システムコールを使用して時刻をマイクロ秒単位で取得します

デフォルト: custom-resolution

説明: システム時刻の取得に使用するモード

ドキュメント: このプロパティーは、OS からの時刻の取得に使用するモードを指定します。

サポートされるプラットフォーム

Directory Proxy Server 6.3.1 Update 1 は、Directory Server Enterprise Edition 6.3.1 でサポートされているすべてのプラットフォームに使用できます。詳細については、「ハードウェア要件」および 「オペレーティングシステムの要件」を参照してください。

Directory Proxy Server 6.3.1 Update 1 で修正されたバグ

この節では、Directory Proxy Server 6.3.1 Update 1 で修正されたバグの一覧を示します。

6567644

Directory Proxy Server が不正なデータベース要求を作成します。

6590816

LDAP リスナーの connectionIdleTimeOutInSec を設定すると DSCC が無効になることがあります。

6641888

検索操作で、viewable-attr に存在しない属性を含むエントリが返されることがあります。

6648665

接続でいずれの操作も実行されていない場合、max-client-connections プロパティーが適用されません。

6681502

メモリー監視がデフォルトで無効になっています。

6686150

数値配布アルゴリズムで、限界値の設定に int ではなく long を使用するべきです。

6717943

Directory Proxy Server のリソースプロパティーのデフォルトのサイズ制限で、無制限を表す誤った整数が使用されます。

6721192

DN 変換が失敗します。

6721749

add-attr-value の設定により、DN 変換で誤った出力が生成されることがあります。

6722222

LDAP サーバーにバインドするとき、bindDN がマップされるべきです。(bindDN の DV の DN マッピング規則を使用)。

6722238

同じ「MODEL, ACTION, ATTR_NAME」で新しい仮想変換を追加できません。

6723858

バックエンドディレクトリサーバーに設定された requires-bind-password プロパティーが適用されません。

6734559

仮想属性に依存している場合、仮想 DN マッピングが失敗します。

6736621

変換に失敗すると、ビューに該当する場合でもバインド DN が拒否されます。

6737084

サーバー側からの方向の DN マッピングが正しくありません。

6739414

6.3 Directory Proxy Server が属性名の大文字小文字を変更します。

6739456

Directory Proxy Server で構成ファイルとログファイルにグループアクセス権を設定するように、お客様から要望がありました (umask 117、chmod 660)。

6751692

MaxTenuringThreshold Java 引数を使用している場合、dpadm start コマンドでコアダンプが発生します。

6758793

名前の変更されたエントリが DN マッピングで欠落することがあります。

6760526

dpadm で DPS.pid ファイルが生成されません。

6760951

Directory Proxy Server 設定スキーマが SystemMonitorThread.java 機能と矛盾しています。

6761032

searchMode パラメータに関して、サーバーとコンソールが矛盾しています。

6764073

プロキシ承認を使用するよう設定した場合、Directory Proxy Server が失敗します。

6765629

dpadm set-flags を使用して JAVA HOME を設定できるようにしてください。

6767776

rootDSE に対して DN マッピングを使用できません。

6774589

Directory Proxy Server には、複数値ネーミング属性を使用した仮想 DN 変換が必要です。

6778262

etime にマイクロ秒単位の精度を用意するべきです。

6778308

splitldif コマンドで仮想変換が無視されます。

6780423

高負荷でソケットが終了待機状態のままになることがあります。

6782659

Directory Proxy Server 6.3 で、ソケットが作成されたときに SO_KEEPALIVE オプションが設定されません (つまり、setKeepAlive() != True)。

6798674

CR 6513526 の修正により、ConfigAttribute オブジェクトの null 値が原因でリグレッションが発生する可能性があります。

6802371

acceptBacklog プロパティーがチャネルベースのリスナーの場合に無視されます。

6808701

前回のアクティビティーが原因で、バックエンド接続のハートビートの送信頻度が不十分になります。

6808704

バインドされたバックエンド接続のハートビート停止が送信されません。

6808706

前回のサーバーアクティビティーが原因で、バックエンドサーバーの確認が十分な頻度で実施されない場合があります。

6809099

モニターエントリに対して ldapsearch を実行すると、矛盾した出力が得られることがあります。

6809712

可用性チェックでは、すべての接続を切断する前に、バックエンドサーバーが停止していることを確認するべきです。

6817976

廃棄要求の場合に接続がブロックされることがあります。

6818788

バックエンドハートビートの精度向上が必要です。

6818926

サーバーソケットでファイル記述子のリークが発生します。

6819304

ソースのないフェイルオーバープールを定義している場合、cn=monitor に対する検索で null ポインタ例外が発生することがあります。

6819315

Directory Proxy Server が、バインドに失敗したあとでディレクトリサーバーへの接続を開き続けます。

6819752

持続検索クライアントがエントリの変更通知を受信しない場合があります。

6821356

2 つの接続で同じ ID が使用されることがあります。

6821752

クライアント接続の切断後に持続検索がクリーンアップされません。

6823036

データソースが切断状態と検出された場合の積極的監視の間隔は 1 秒に設定されるべきです。

6823593

Directory Proxy Server で、異なるクライアント操作が同じバックエンド接続に関連付けられます。

6827104

アイドル状態が inactivity-timeout を超えている場合、バックエンド接続が閉じられずに再利用されるため、接続のリークが発生します。

6827129

接続プールのハウスキーピングおよび健全性検査処理をデバッグするべきです。

6828462

2 つの長い同時バインドで、同じバックエンド接続が 2 つのクライアント接続に割り当てられます。

6828841

誤った jvm-path を設定すると、警告なしで再起動がハングアップします。

6828842

利用可能なバックエンドサーバーがない場合、Directory Proxy Server が誤ったエラーコードを返します。

6828896

「バックエンド接続を取得できない」場合にクライアント接続を閉じるためのオプションを用意するべきです。

6832043

useAffinity=false および affinityPolicy が明示的に設定されている場合、クライアントアフィニティーを有効にするべきではありません。

6835931

データソースホストのいずれかが到達不能な場合、Directory Proxy Server を起動できません。

6836922

dpconf コマンドは、Directory Proxy Server 6.3.1 Update 1 で導入された新しい属性をサポートするべきです。

6837295

dpconf コマンドはバインド DN マッピングをサポートするべきです。

6837392

Directory Proxy Server のプロパティーの管理で、より単純なバージョン管理を可能にするべきです。

6837970

dpconf は monitorRetryCount をサポートするべきです。

6839452

クライアントアフィニティーで、データソースの読み取り専用フラグが無視されます。

6844727

CR 6714425 および 6714448 の修正の実装を完了するべきです。

6851216

小文字の結合式を使用すると、SQL 要求が失敗することがあります。

6854864

100 を超えるクライアントが持続検索を実行する場合、Directory Proxy Server 6.3.1 のパフォーマンスが不十分です。

6855978

持続検索スレッドのループにより、Directory Proxy Server が持続検索を処理できなくなります。

6859116

持続検索のパフォーマンスが不十分です。

6860746

20 の持続検索を作成してから停止すると、持続検索機能が失敗します。

6868131

特定の属性マッピングや仮想変換で、Directory Proxy Server が StringIndexOutOfBoundsException を返す場合があります。

6868804

変換およびマッピングの規則が期待どおりに実行されません。

6870051

スレッドの解放が早すぎ、ASN.1 例外が発生することがあります。

6870452

バックエンドが停止すると、Directory Proxy Server が誤ったエラーを返します。

6870496

予期しない null ポインタ例外が発生することがあります。

6874644

状況によっては、パスワード格納スキーマが JDBC データビューで無視されることがあります。

6879124

1 つのクライアント接続に複数のユーザーがバインドされている場合、Directory Proxy Server が同一の結果を返すことがあります。

6881972

状況によっては、JDBC を使用しているとき、Directory Proxy Server が起動に失敗することがあります。

6886109

予期しない ASN1 例外が発生し、処理されないことがあります。

Directory Proxy Server 6.3.1 Update 1 のインストールの注意点

ここでは、次の内容について説明します。

• 「ソフトウェアの入手」

• 「インストール手順」

ソフトウェアの入手

Directory Proxy Server 6.3.1 Update 1 は、インストール済みの Directory Server Enterprise Edition 6.3.1 に適用されるパッチです。Directory Server Enterprise Edition 6.3.1 より前のバージョンを実行している場合は、第 2 章インストールの注意点の説明に従ってまず version 6.3.1 にアップグレードしてから、Directory Proxy Server 6.3.1 Update 1 パッチを適用する必要があります。

Directory Proxy Server 6.3.1 Update 1 パッチは http://www.sun.com/software/products/directory_srvr_ee/get.jsp からダウンロードできます。

Directory Proxy Server 6.3.1 Update 1 は、1 つですべての DSEE プラットフォームに対応するパッチです。

• Solaris SPARC

• Solaris 9 x86

• Solaris 10 x86 および AMD x64

• Red Hat Linux

• SuSe Linux

• HP-UX

• Windows

各プラットフォームに次の配布が用意されています。

• ネイティブパッケージ配布 (HP-UX 以外)

• ZIP 形式の配布

Directory Proxy Server 6.3.1 Update 1 パッチ 141958-01 は SunSolve から入手でき、次に示す両方の種類のインストールに適用されます。

• Java ES インストーラを使用してインストールされた Directory Server Enterprise Edition 6.3.1 ネイティブパッケージ

• Directory Server Enterprise Edition 6.3.1 の ZIP インストール

インストール手順

この節では、Directory Proxy Server 6.3.1 Update 1 のインストール方法について説明します。

Directory Proxy Server 6.3.1 の ZIP インストールとネイティブパッケージインストールにパッチを適用するには

始める前に

Directory Proxy Server 6.3.1 Update 1 パッチを適用する前に、Directory Server Enterprise Edition のインストールディレクトリをバックアップします。これは、以前の Directory Proxy Server 構成をあとで復元することはできないためです。この注意は ZIP インストールとネイティブパッケージインストールの両方に当てはまります。

1. パッチ 141958-01 を Sunsolve から downloaded-patch-path ディレクトリにダウンロードします。

2. パッチの適用対象となるインストールに関連付けられた Directory Proxy Server インスタンスを停止します。

3. Windows システムでは、コマンドプロンプトウィンドウを開きます。UNIX システムでは、端末ウィンドウを開きます。

4. カレントディレクトリを、更新するプラットフォームと配布 (ZIP またはネイティブ) のインストールソフトウェアがあるディレクトリに変更します。

   次の例は、この目的のための一般的なコマンドを示しています。

   $ cd downloaded-patch-path/SunOS_x64/zip/delivery

   次の表は、downloaded-patch-path ディレクトリの下のインストールソフトウェアの場所を示します。

   オペレーティングシステム	ZIP 配布を格納するディレクトリ	ネイティブパッケージ配布を格納するディレクトリ
   Solaris SPARC	SunOS/zip/delivery	SunOS/native/delivery
   Solaris 9 x86	SunOS_x86/zip/delivery	SunOS_x86/native/delivery
   Solaris 10 x86 および AMD x64	SunOS_x64/zip/delivery	SunOS_x64/native/delivery
   Red Hat Linux	Linux/zip/delivery	Linux/native/delivery
   SuSE Linux	Linux/zip/delivery	Linux/native/delivery
   HP-UX	Hpux/zip/delivery	なし
   Windows	Windows/zip/delivery	Windows/native/delivery

5. UNIX システムでは、インストールスクリプトを起動します。

   次のコマンドを実行します。

   $ Install dsee631-install-path

   ここで、dsee631-install-path は Directory Server Enterprise Edition 6.3.1 がインストールされているディレクトリのパスです。

   次のメッセージが表示されます。

   -------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

   yes を表す y を入力します。インストールプログラムによって、指定した Directory Server Enterprise Edition 6.3.1 インストールにパッチが適用されます。

6. Windows のインストールでは、コマンドプロンプトウィンドウで次のコマンドを実行します。

   Install.exe

   ウィザードが開き、Directory Proxy Server 6.3.1 Update 1 パッチをインストールする正しいインストールパスを選択するように求められます。6.3.1 の ZIP インストールにパッチを適用する場合は、Directory Server Enterprise Edition 6.3.1 をインストールしたディレクトリを選択します。ネイティブパッケージインストールにパッチを適用する場合は、C:\Program Files\Sun\JavaES5\DSEE を選択します。

   ウィザードによって、Directory Server Enterprise Edition 6.3.1 にパッチが適用されます。

7. インストールが正常に終了したことを確認するために、次の 2 つのコマンドを実行し、次に示すものと同じ応答が得られることを確認します。

   $ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155

8. この手順は、パッチを適用する Directory Server Enterprise Edition 6.3.1 に CR 6722222 のホットフィックスが含まれている場合に必要です。

   CR 6722222 のホットフィックス (LDAP サーバーにバインドするとき、bindDN をマップする (bindDN の DV の DN マッピング規則を使用)) が適用されている場合は、すべてのインスタンスで各接続ハンドラについて次のコマンドを実行します。

   $ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true

   このプロパティーは、リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示すフラグです。CR 6722222 を適用したあとは、例に示すように、デフォルトの動作を接続ハンドラのプロパティーで設定できるようになります。

9. すべてのプロキシサーバーインスタンスを再起動します。

Directory Proxy Server 6.3.1 Update 1 の既知の問題点と制限事項

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の問題点と制限事項の一覧を示します。

Directory Proxy Server 6.3.1 の既知の問題点と制限事項は、Directory Proxy Server 6.3.1 Update 1 のパッチを適用したあとも残ります。これらの問題点の詳細については、「Directory Proxy Server の既知の問題点と制限事項」を参照してください。

Directory Proxy Server 6.3.1 Update 1 の既知の制限事項

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の制限事項の一覧を示します。

『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「JDBC Object Classes」で説明されているとおり、JDBC テーブルの定義には一次テーブルと二次テーブルが使用されます。Directory Proxy Server では、二次テーブルが 3 番目のテーブルの一次テーブルとなることは許可されません。つまり、Directory Proxy Server では 1 レベルを超える結合ルールはサポートされません。

Directory Proxy Server 6.3.1 Update 1 の既知の問題

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の問題の一覧を示します。

6728746

リリース 6.3 では、エントリに 3 つ以上のオブジェクトクラスがある場合、結合ビュー (LDAP と JDBC) からエントリを追加しようとすると、CR 6636463 の修正が原因で失敗します。このようなエントリを追加するには、次の ldapmodify により、jdbc-object-class 設定エントリでこれらのオブジェクトクラスをスーパークラスとして定義する必要があります。これは、dpconf set-jdbc-object-class-prop で追加できるスーパークラスは 1 つだけだからです。

この例では、次のエントリを追加します。

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

JDBC ビューは次の例に示すように定義されており、リリース 6.3 より前は機能していました。

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

追加するエントリには objectClass:organizationalPerson と objectClass:inetOrgPerson の両方が存在するため、次の ldapmodify コマンドに示すように、両方のオブジェクトクラスをスーパークラスとして指定する必要があります。

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson

この ldapmodify の実行後、jdbc-object-class は次の例のように定義されます。

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

ドキュメントでは、log-level-data-sources-detailed プロパティーのデフォルト設定は none と記述されていますが、実際のデフォルト値は all です。ただし、log-level-data-sources-detailed を none 以外の値に設定すると、サーバーのパフォーマンスに影響し、access ファイルが急速に拡大します。そのため、DPS サーバーインスタンスの作成時に log-level-data-sources-detailed プロパティーの値は自動的に none に設定されます。このプロパティーをほかの値に設定しないことをお勧めします。

6832498

脆弱性に関する注意 VU#836068「MD5 が衝突攻撃に対して脆弱」 で説明されている問題のため、Directory Proxy Server で署名付き証明書に MD5 アルゴリズムを使用することは避けるべきです。

証明書の署名アルゴリズムを調べるには、次の手順を使用します。

1. 次のコマンドを実行して、特定の Directory Proxy Server インスタンスに定義されている証明書の一覧を表示します。

   $ dpadm list-certs instance-path

2. 定義されている各証明書について次のコマンドを実行し、証明書が MD5 アルゴリズムで署名されているかどうかを調べます。

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

   次の例は、MD5 署名アルゴリズムで署名されている証明書に対して dsadm show-cert コマンドを実行した場合の一般的な出力を示しています。

   Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...

3. 次のコマンドを実行して、MD5 署名されたすべての証明書をデータベースから削除します。

   $ dsadm remove-cert instance-path cert-alias

次の手順を使用して、証明書データベースのパスワードを更新します。(dpadm コマンドは、ディレクトリプロキシサーバーインスタンスの作成時にデフォルトの証明書データベースパスワードを生成します。)

1. Directory Proxy Server インスタンスを停止します。

2. 次のコマンドを実行します。

   $ dpadm set-flags instance-path cert-pwd-prompt=on

   パスワードの入力を求めるメッセージが表示されます。

3. 8 文字以上のパスワードを入力します。

4. Directory Proxy Server インスタンスを再起動し、入力が求められたら Internal (Software) Token を指定します。

MD5 機能を使用しているすべての証明書を、SHA-1 署名アルゴリズムを使用する証明書で置き換えます。インストールで自己署名付き証明書を使用するか認証局から取得した証明書を使用するかに応じて、次のどちらかの手順を使用します。

次の手順を使用して、自己署名付き証明書を生成し、保存します。

1. 次のコマンドを実行します。

   $ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias

   ---

   注 –

   デフォルトの署名アルゴリズムは MD5withRSA です。

   ---

   次のプロンプトが表示されます。

   [Password or Pin for "NSS Certificate DB"]

2. 新しい証明書データベースパスワードを入力します。

次の手順を使用して、認証局 (CA) から証明書を取得し、保存します。

1. 次のコマンドを実行して、認証局によって署名されたサーバー証明書の要求を発行します。

   $ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias

2. 認証局で MD5 署名アルゴリズムが使用されなくなっていることを確認してから、認証局によって署名されたサーバー証明書を受け取るための証明書要求を認証局 (使用している規則に応じて社内または社外の) に送信します。詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「CA 署名付きサーバー証明書を要求する」を参照してください。

3. 認証局から新しい証明書が送信されたら、次のコマンドを実行して証明書を証明書データベースに追加します。

   $ dpadm add-cert instance-path cert-alias

   この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「Directory Proxy Server 用の証明書の作成、要求、インストール」を参照してください。

4. 信頼できる認証局証明書がまだ証明書データベースに保存されていない場合は、次のコマンドを実行して追加します。

   $ dpadm add-cert --ca instance-path trusted-cert-alias

   この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「Directory Proxy Server 用の証明書の作成、要求、インストール」を参照してください。

5. 次のコマンドを実行して、新しい証明書が使用されていることを確認します。

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

6854861

Microsoft SQL Server バックエンドでは、smalldate フィールドを使用するときに長形式の日時だけがサポートされ、ほかの形式では次の例のような変換エラーが発生します。

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string.

---

注 –

長形式の日時は YYYY -MM-DD HH:MM です。

---