Ce chapitre contient d'importantes informations, propres au produit, disponibles à la sortie de Directory Server.
Ce chapitre inclut les sections suivantes:
Cette section répertorie les bogues résolus pour cette version.
Les bogues suivants ont été résolus depuis la dernière version de Directory Server.
Problème relatif aux attributs ;binary et à la conformité avec RFC 1274.
Le processus de la console augmente lors de l'ajout d'utilisateurs.
La console ne parvient pas à afficher un journal d'accès de plus de 60 Mo lorsqu'un filtre est utilisé.
Une taille de journal supérieure à 2 Go n'est pas acceptée.
Directory Server s'arrête brutalement lorsqu'un client envoie un certificat sans DN d'émetteur.
L'ajout d'une entrée entraîne l'arrêt brutal de Directory Server.
Vidage de Directory Server car un plug-in a effectué une recherche incorrecte.
Interblocage du plug-in de contrôle d'accès.
Impossible de configurer une authentification d'intercommunication avec des URL contenant le même suffixe.
L'opération de vérification de DN n'est pas réalisée correctement par Directory Server.
Régression liée à l'omission de références.
Échec de la commande ldapsearch -A sur une base de données chaînée.
À l'arrêt, un plug-in d'intégrité référentielle peut entraîner l'arrêt brutal de Directory Server.
Les index VLV sont tronqués.
Une liaison avec une authentification de certificat et une liaison simple peut entraîner un blocage de Directory Server.
Des mises à jour répliquées peuvent interrompre la réplication.
Arrêt brutal lors de la suppression d'un index de navigation.
Un plug-in de sous-arborescence consigne des avertissements de post-opération superflus.
Un plug-in d'intégrité référentielle n'affecte pas suffisamment d'espace à la recherche interne.
L'expiration du mot de passe n'empêche pas totalement la liaison d'utilisateurs.
Requête DNS inverse anormale au démarrage.
Tous les sous-types d'attributs sont supprimés de l'index.
Vidage de Directory Server dans acl_access_allowed().
Les recherches de caractères génériques ne fonctionnent pas correctement avec des valeurs à caractère unique.
Certaines recherches de caractères génériques entraînent des problèmes.
La commande ldif2db -n userRoot -i test.ldif entraîne une erreur sur le bus.
Les ACI et ACL ne prennent pas en compte les espaces supplémentaires.
Fuite de mémoire avec les recherches persistantes.
Vidage Directory Server lors de la vérification de l'historique de mots de passe en texte clair.
Les recherches persistantes renvoient des événements de purge.
Le démarrage de TLS n'est pas thread-safe.
Échec de la commande bak2db avec des bases de données d'annuaire imbriquées.
Dépassement du tampon dans re_comp().
Fuite de mémoire importante.
Vidage de Directory Server dans preop_modify() lorsque le plug-in d'unicité d'attribut est actif.
Directory Server s'arrête brutalement à la réception d'une PDU non valide.
Un index de sous-chaînes est corrompu si l'une des valeurs multiples similaires est supprimée.
Échec de l'installation sous HP-UX.
Les commandes de réplication doivent inclure un paramètre de délai d'attente.
Panne lors du rognage du journal des modifications rétroactif.
Des doublons de valeurs d'attribut uid sont créés lors d'un chiffrement.
La commande db2ldif -r supprime le fichier d'assistance.
L'exécution du journal d'audit telle qu'elle est spécifiée par sa configuration peut échouer.
Le journal d'accès n'est pas exécuté au redémarrage.
Certaines entrées ne sont pas purgées.
Impossible de définir des références pour des erreurs de répliques.
Impossible de libérer des ID sur le client lorsque la liaison est interrompue pendant plus de 5 minutes.
Une recherche VLV basée sur un conteneur vide renvoie err=1.
Fuite de mémoire lors d'une recherche sur un suffixe contenant un sous-suffixe de référence.
L'ajout d'une entrée contenant les caractères "*" dans le champ DN entraîne une analyse complète.
La commande repldisc ne fonctionne pas correctement avec plusieurs instances sur le même hôte.
La modification ou la suppression de plus de cinq valeurs entraîne la suppression de toutes les valeurs.
Arrêt brutal lors de la suppression d'un RUV en cas d'utilisation de plusieurs maîtres Solaris 9 x86.
Une macro DENY d'ACI s'applique à des entrées ne devant pas être affectées.
Les paramètres de journal pour un espace disque minimum ne fonctionnent pas comme prévu.
Directory Server ne répond plus lorsqu'une recherche LDAP avec un trop grand nombre d'attributs est effectuée.
Une opération de recherche avec le caractère "-" dans le filtre entraîne une panne.
Une perte de liaison pendant plus de cinq minutes empêche le client de synchroniser après une récupération réseau.
ADD non répliqué, DEL non lu en cas d'utilisation d'une réplication à plusieurs maîtres sur SSL.
L'unité de durée d'expiration ne prend pas la valeur par défaut appropriée.
Suppressions de schémas non propagées correctement.
Blocage des clients lorsqu'un schéma est mis en réplication.
Les journaux des transactions ne sont pas toujours supprimés.
Un DN spécial avec ; et , entraîne un arrêt brutal de Directory Server.
Une recherche interne entraîne l'affichage d'un avertissement sur la console.
Directory Server s'arrête brutalement lorsque le rognage du journal des modifications est activé.
Le maître et le client développent différemment une classe d'objet supérieure.
Importation lente avec un DIT complexe.
Directory Server s'arrête brutalement au démarrage en code ACI.
Un arrêt brutal se produit lors de la lecture de l'accord de réplication.
Le chaînage abaisse des DN.
ACL ne fonctionne pas comme prévu si un groupe imbriqué est spécifié comme groupdn.
Directory Server se ferme après une realloc() de 4 Go.
Directory Server s'arrête brutalement pendant une recherche spécifique lors de l'ajout d'un sous-suffixe.
Arrêt brutal au démarrage lorsque nsslapd-binary-mode est défini.
Message password is expiring on consumer in %d seconds renvoyé et inattendu.
Incohérence des données répliquées entre le maître et le client.
Plusieurs modifications du mot de passe peuvent donner un mot de passe en texte clair.
La connexion de Directory Server est anormalement faible.
Arrêt brutal lors de la vérification du contrôle d'accès pendant une opération de modification.
Arrêt brutal sur le client pendant une réplication de schéma si la réplication héritée est activée.
Mises à jour du journal des modifications rétroactif perdues sur le maître.
Messages d'avertissement superflus relatifs à la réexécution d'une opération déjà signalée.
Condition de compétitivité lors de la fermeture de connexions.
Une requête de tâche d'index en ligne et une recherche de contrôle d'accès simultanée entraînent un blocage.
Corruption d'index avec un très grand nombre de correspondances.
Fuite de mémoire dans des stratégies de mot de passe individuelles.
Arrêt brutal de la réplication lorsque la différence entre horloges système est supérieure à 24 heures.
Incohérence de données après le redémarrage de maîtres sous charge.
Panne lors de l'arrêt du serveur alors que le journal des modifications est en cours de rognage.
Topologie de fuite de mémoire considérable à l'aide d'un protocole antérieur avec des versions différentes.
Arrêt brutal avec un PDU DSML supérieur à 2 Ko.
Un outil est nécessaire pour vérifier l'intégrité de la base de données.
La commande fildif ne parvient pas à gérer des fichiers supérieurs à 2 Go.
La réplication est interrompue et redémarre avec send update now.
Une tâche de nettoyage du RUV ne supprime pas les RUV avec des ID de répliques en lecture seule.
Interblocage entre des répliques et des verrous de connexion.
Une réplication de schéma peut omettre des modifications.
Recherches de sous-chaînes très lentes.
Les fichiers delta mmldif ne contiennent pas d'instructions de mise à jour LDIF.
Arrêt brutal lors du traitement d'une modification avec un plug-in de journal des modifications rétroactif activé.
Fuite de mémoire lors de l'échec d'une normalisation de DN.
La commande db2ldif.pl -r peut entraîner un blocage.
L'ajout ou la suppression d'un attribut dans une opération de modification unique ne seront pas répliqués correctement.
Arrêt brutal si la limite de ressource pour le nombre de descripteurs de fichier est augmentée de manière dynamique.
Problèmes de performance lors de recherches avec la règle d'interclassement en-US.
Sortie lors de l'affectation de 4 Go pour gérer le contrôle d'accès d'un membre de groupe.
Point de contrôle forcé même si aucune mise à jour n'est effectuée.
CoS ne s'applique pas aux entrées d'une organisation imbriquée.
Erreur lors de la création d'un sous-suffixe ou d'un clone pendant une recherche.
Interblocage de base de données lors de l'évaluation des ACL pendant une opération de modification.
Le redémarrage d'une réplication peut être lent après une coupure réseau.
Un client ne détecte pas une opération en attente et, à la fermeture, une connexion de réplication inactive.
Modification perdue en cas d'utilisation de la commande ldapmodify.
Problème de performance lors de la suppression d'un attribut inexistant.
La suppression d'attributs à valeurs multiples entraîne un etime élevé.
L'ajout ou la suppression d'une entrée similaire sur une réplique peut entraîner des problèmes de réplication.
Perte de performance lors de la purge d'entrées dans un environnement multimaître.
Une opération de suppression n'est pas indiquée comme dépendante d'une modification antérieure.
Le plug-in du journal des modifications rétroactif ne parvient pas à enregistrer des modifications si une réplication régulière est désactivée.
Des doublons d'ID uniques peuvent être générés.
Autoriser les administrateurs à réinitialiser des mots de passe.
Impossible d'arrêter ou d'utiliser le maître après un échec total de la mise à jour en cas d'utilisation d'une réplication multimaître sur SSL.
Ajouter le code de renvoi d'erreurs n'ayant 100% match pas pu être consignées dans le journal des modifications.
Hub ne répliquant pas en raison d'un ID de réplique de hub incorrect, 65535, dans le RUV du hub.
Un espace disque insuffisant entraîne une boucle de la tâche interne db2bak.
ACI renvoie des résultats incorrects lorsqu'un patch est appliqué.
Mauvaise performance de tri côté serveur lorsque des données contiennent plusieurs valeurs identiques.
passwordRetryCount n'est pas incrémenté lorsque passwordResetFailureCount est défini sur 0.
Perte de performance lors de recherches de sous-chaînes.
Fuite de mémoire avec des attributs virtuels.
Les recherches d'attributs de sous-type ne fonctionnent pas correctement avec nsslapd-search-tune activé.
Le redémarrage d'un client partiel interrompt la réplication et renvoie une erreur de configuration.
Arrêt brutal lors d'une vérification de liaison SASL.
Blocage lorsqu'un accord de réplication est initialisé à partir d'un autre maître.
Des mises à jour non fréquentes sur une réplique en veille peuvent entraîner l'arrêt de la réplication sur de longues périodes.
Arrêt brutal lorsque le fichier journal d'intégrité référentielle est tronqué.
Blocage lorsqu'une erreur se produit lors de la rotation des journaux d'erreurs.
Aucun autre ajout possible après une première opération de remplacement vide sur un attribut répliqué à valeur unique.
Arrêt brutal lors d'une opération répliquée.
La rotation des journaux ne fonctionne pas correctement après un redémarrage.
Un CSN généré n'est pas systématiquement supérieur au CSN précédent.
Certains attributs CoS ne sont pas générés pour des entrées d'organisations imbriquées.
Un CoS classique d'une organisation imbriquée ne fonctionne pas comme prévu.
Valeur par défaut incorrecte de nsslapd-maxbersize.
Outils nécessaires pour contrôler le caractère complet, l'état et la disponibilité de serveurs dans des déploiements d'envergure et multimaîtres.
La vérification de schéma sur des hubs doit être activée par défaut.
Des valeurs non valides sont acceptées pour une longueur de mot de passe minimale dans des stratégies de mot de passe individuelles.
Un LDIF contenant des valeurs d'attribut chiffrées corrompt des index pendant l'importation.
Un blocage de la commande ldif2db a été constaté.
Interblocage entre thread de purge et plug-in de contrôle d'accès.
Sous Windows, les requêtes DSML échouent lorsque le chemin d'accès à l'instance contient un espace.
Arrêt brutal lors de l'ajout d'un index VLV avec vlvFilter incorrect.
Attaque de refus de service distante possible avec une allocation de mémoire importante.
Une réplication partielle peut être interrompue lorsque plusieurs fournisseurs sont configurés pour le rognage du journal des modifications.
Une fusion pendant l'exécution de la commande ldif2db ignore des clés en raison d'un préfixe de bloc de poursuite incorrect.
Fuite de mémoire lorsqu'un index contient un bloc de poursuite.
La commande mmldif doit prendre en charge des fichiers volumineux.
Une stratégie de mot de passe individuelle indique du texte brut mais le mot de passe d'une nouvelle entrée est répliqué sous forme chiffrée.
Attribut CoS introuvable sur des entrées après initialisation en ligne.
Fuite de mémoire dans l'évaluation d'un membre de groupe ACI.
Lorsque nsslapd-db-transaction-batch-val est défini, le vidage de transaction échoue pour appliquer la limite.
L'importation peut corrompre l'état d'entrées comportant des attributs userPassword.
Un calcul de taille de page incorrect crée des index avec plusieurs pages de dépassement après une opération de réindexation.
La performance de sous-chaîne doit être améliorée.
Des entrées peuvent être ignorées lors de l'importation d'un fichier LDIF généré avec la commande db2ldif.pl -r.
ioblocktimeout n'est pas toujours appliqué lors de l'écriture du résultat sur une connexion sécurisée.
Arrêt brutal possible lors de l'attribution d'un nouveau nom à une entrée enfant corrompue.
Fuite de mémoire lors de la gestion des historiques de mots de passe.
Erreur d'allocation nulle lorsque le journal des modifications rétroactif et le plug-in TMR sont activés.
Fuite de mémoire lors d'opérations d'écriture LDAP avec défaillance de mise à jour d'un index de règle de correspondance.
Attribut opérationnel entrydn ajouté avant la mise en cache de l'entrée.
Fuite de mémoire de recherches VLV.
Échec de la restauration suite à une copie binaire lorsqu'un attribut CN ne respecte pas la casse.
Fuite de mémoire en code de déchiffrement.
Le plug-in du journal des modifications rétroactif doit être exécuté pour les moteurs de traitement sélectionnés.
Problèmes de performance lors de la recherche d'entrées.
Pas de commentaires de l'importation pendant le traitement d'entrées volumineuses.
Autoriser la configuration d'un plus grand nombre d'attributs de configuration de base de données sur LDAP.
Fournir un vecteur de purge du journal des modifications sur LDAP.
Permettre une période de grâce de connexion après l'expiration des mots de passe.
Permettre une configuration et une gestion de la réplication complètes via la ligne de commande.
Activer la prise en charge de libwrap.
Définir l'âge maximum par défaut du journal des modifications sur sept jours.
Proposer un mode fixe pour permettre des sauvegardes instantanées du système de fichiers.
Permettre d'importer d'autres entrées sans initialisation.
Message d'erreur incorrect lors de l'exportation d'une sous-arborescence à l'aide de la commande db2ldif -s.
Une opération de modification dégrade la performance tant que toutes les entrées n'ont pas été modifiées.
Des instances d'arrière-plan appelées default ne fonctionnent pas.
Permettre une validation de compte via une liaison LDAP sans mot de passe utilisateur.
L'ajout d'entrées avec la classe d'objet nsTombstone peut entraîner un échec de la réplication.
Prise en charge du chiffrement SASL/GSS requise.
Faire en sorte que l'agent SNMP fonctionne avec les agents du système d'exploitation natif.
L'arrêt de Directory Server est parfois lent pendant l'interrogation de résultats dans une session de réplication.
Nouvel outil ou méthode nécessaire pour contrôler la progression d'une récupération après un arrêt brutal.
Plus de contrôle nécessaire sur les tailles du cache.
La base de données du journal des modifications et d'autres bases de données ne sont pas réduites, même après que des données ont été supprimées.
Échec de fonctionnement de rôle sur un client après initialisation en ligne.
Permettre la désactivation de liaisons anonymes.
Un attribut indiquant les groupes auxquels une entrée appartient est nécessaire.
Arrêt brutal au démarrage avec le message trying to allocate 0 or a negative number of bytes.
Ajouter un numéro de port dans le journal d'accès lors de la création d'une connexion client.
Méthode non intrusive nécessaire pour compter le nombre de recherches persistantes actives.
Documenter l'ordre d'exécution du plug-in.
Éviter de parcourir l'index nscpentrydn lorsque la purge est désactivée.
Consigner une erreur en cas d'utilisation du contrôle d'accès basé sur la connexion et lorsque la liste de clients n'est pas spécifiée.
Supprimer le Time Bomb.
Afficher un numéro de connexion sous cn=monitor au même format que le journal d'accès.
Prendre en charge un plug-in de vérification de la syntaxe du mot de passe.
changeNumber n'est pas indexé par défaut.
File d'attente du journal des connexions en attente maximum codée en dur de manière incorrecte sur 128.
Arrêt brutal lors de l'activation d'une réplication.
Les bogues suivants ont été rencontrés dans la version bêta puis corrigés.
Un arrêt désordonné a été constaté en cas d'échec d'affectation de mémoire.
Le résultat de la commande idsync est trompeur.
Erreur en cas d'utilisation d'une option pour créer un accord de réplication sur la ligne de commande.
Un problème d'allocation de mémoire entraîne un message indiquant un espace insuffisant.
La définition du mot de passe d'administrateur d'annuaire sur la ligne de commande porte à confusion.
La réinitialisation et le verrouillage de mot de passe interagissent de manière incorrecte.
Le code de résultat est trompeur pour une liaison où le mot de passe doit être réinitialisé.
Le nom de sous-commande d'exécution du journal n'est pas explicite.
Des outils de ligne de commande doivent utiliser l'option --D bind-dn pour spécifier l'administrateur.
L'utilisation de la ligne de commande doit toujours indiquer des options globales.
Le résultat après le démarrage d'une réplication sur la ligne de commande est trompeur.
Permettre une copie binaire d'une réplique maître sur un client dédié.
Simplifier la compréhension des sous-commandes de configuration de la réplication.
Certains noms de sous-commandes sont trompeurs.
Le verrouillage du mot de passe ne fonctionne pas correctement après l'échec d'un certain nombre de tentatives.
Corriger l'aide en ligne sur la propriété de validation de syntaxe.
Homogénéiser les tailles d'unités lors de la définition des valeurs de propriétés de configuration.
Erreur d'option lors de la création d'une liste d'index à partir de la ligne de commande.
Échec de l'importation à l'aide de la commande dsconf.
Des problèmes surviennent lors de la configuration d'une réplication à l'aide de la ligne de commande.
La page de Directory Service Control Center permettant de configurer des groupes de serveurs renvoie une erreur de JSP introuvable.
L'ajout d'index approximatifs et de sous-chaînes entraîne l'arrêt des index d'égalité.
La commande dsee_deploy doit fonctionner avec des noms d'annuaire ne comportant qu'un seul caractère.
L'attribut uid ne s'affiche pas correctement dans l'onglet Présentation de l'entrée de DSCC pour les utilisateurs POSIX.
La modification de nsslapd-infolog-area ne modifie pas le contenu du journal errors.
Permettre à DSCC de créer une instance de serveur exécutée en tant que nobody.
Permettre de modifier des paramètres de contrôle client dans l'onglet Configuration du serveur d'annuaire de DSCC.
L'installation ne doit pas supprimer la version Java existante.
Permettre à DSCC de supprimer des accords de réplication.
Expliquer comment modifier le mot de passe à l'aide de la commande ldapmodify lorsque pwdSafeModify est activé.
Permettre à DSCC d'enregistrer des instances de serveur existantes.
Permettre à DSCC de modifier l'emplacement d'un serveur.
Le chemin d'accès à l'outil permettant d'enregistrer DSCC avec Sun Java Web Console n'est pas valide dans l'aide en ligne.
Avec un index de présence configuré, des recherches apparaissent toujours non indexées dans le journal d'accès.
Permettre à DSCC de fonctionner correctement lors de la création de serveurs sur des zones Solaris.
Corriger des erreurs après la configuration d'un suffixe à l'aide de DSCC.
La fenêtre de DSCC doit se fermer après une opération de suppression.
La suppression d'un type d'index entraîne un message Error null.
Corriger le problème d'enregistrement d'une instance de serveur survenant lorsqu'une session DSCC arrive à expiration.
Cette section énumère les problèmes et les restrictions connus à la sortie de cette version.
Cette section énumère les restrictions du produit. Les restrictions ne sont pas toujours associées à un numéro de demande de modification.
Des modifications apportées aux droits d'accès aux fichiers Directory Server Enterprise Edition installés peuvent parfois entraîner un dysfonctionnement du logiciel. Ne modifiez les droits d'accès au fichier que conformément aux instructions de la documentation ou aux instructions du support Sun.
Pour contourner cette restriction, installez les produits en tant qu'utilisateur disposant des droits d'accès utilisateur et groupe appropriés.
Même si rien ne vous empêche de configurer la réplication du suffixe cn=changelog, cette action peut interférer avec la réplication. Ne répliquez pas le suffixe cn=changelog.
Lorsque vous utilisez la version allemande sous Windows 2003, procédez à l'installation depuis les packages natifs à l'aide de la distribution Java ES.
Lorsque Directory Server est exécuté sur Sun Cluster et que nsslapd-db-home-directory est configuré pour utiliser un répertoire non partagé, plusieurs instances partagent les fichiers cache de base de données. Après un basculement, l'instance Directory Server sur le nouveau nœud utilise des fichiers cache de base de données potentiellement dépassés.
Pour contourner cette restriction, utilisez un répertoire partagé pour nsslapd-db-home-directory ou supprimez systématiquement les fichiers figurant sous nsslapd-db-home-directory au démarrage de Directory Server.
Lorsque LD_LIBRARY_PATH contient /usr/lib, une bibliothèque SASL incorrecte est utilisée de sorte que la commande dsadm échoue après l'installation.
Une opération de modification LDAP sur cn=config ne peut qu'utiliser la sous-opération de remplacement. Toute tentative d'ajout ou de suppression d'un attribut sera refusée avec l'erreur 53, DSA refuse de s'exécuter. Alors que Directory Server 5 acceptait l'ajout ou la suppression d'un attribut ou d'une valeur d'attribut, la mise à jour était appliquée au fichier dse.ldif sans aucune validation de valeur et l'état interne du DSA n'était pas mis à jour tant que le DSA n'était pas arrêté, puis redémarré.
L'interface de configuration cn=config est désapprouvée. Lorsque cela est possible, utilisez plutôt la commande dsconf.
Pour contourner cette restriction, il est possible de remplacer la sous-opération LDAP de remplacement de la modification par la sous-opération d'ajout ou de suppression. Il n'en résulte aucune perte de fonctionnalité. Par ailleurs, l'état de la configuration du DSA est plus prévisible après la modification.
Ce problème affecte les instances de serveur sous Windows uniquement. Ce problème est dû aux performances des systèmes fonctionnant sous Windows lors de l'utilisation de Start TLS.
Pour résoudre ce problème, veillez à utiliser l'option -P avec la commande dsconf pour vous connecter en utilisant directement le port SSL. Si votre connexion réseau est déjà sécurisée, vous pouvez également envisager d'utiliser l'option -e avec la commande dsconf. Cette option vous permet de vous connecter au port standard sans demander de connexion sécurisée.
Il est possible qu'après la suppression d'une instance Directory Server répliquée d'une topologie de réplication, les vecteurs de mise à jour de la réplication continuent de référencer cette instance. Vous pouvez ainsi rencontrer des références à des instances qui n'existent plus.
Pour résoudre ce problème lors de l'installation à partir de packages natifs, utilisez la commande cacaoadm enable en tant que root.
Directory Server met désormais à jour l'attribut de fonctionnement pwdChangedTime à chaque modification d'un mot de passe. Comme cet attribut est déjà mis à jour avant l'expiration des mots de passe, les anciens mots de passe expirent immédiatement lorsque vous activez cette fonction.
Une autre condition peut provoquer l'expiration immédiate lorsque vous exécutez Directory Server en mode de stratégie de mots de passe version 5. Si vous avez précédemment activé, puis désactivé l'expiration des mots de passe, Directory Server possède encore des horodatages sur les attributs opérationnels passwordExpirationTime. Par conséquent, lorsque vous réactivez l'expiration des mots de passe, les mots de passe possédant d'anciens attributs opérationnels passwordExpirationTime peuvent expirer immédiatement.
Vous pouvez autoriser les utilisateurs de grace logins à modifier leur mot de passe avec pwdGraceAuthNLimit. Lors de l'exécution de Directory Server en mode de stratégie de mots de passe compatible avec la version 5, vous pouvez également configurer Directory Server pour avertir les utilisateurs avant l'expiration de leurs mots de passe. Définissez passwordExpireWithoutWarning sur off. Définissez également passwordWarning correctement.
La propriété de configuration de Directory Server, max-thread-per-connection-count ne s'applique pas aux systèmes Windows.
Un bogue de Microsoft Windows 2000 Standard Edition fait apparaître le service Directory Server comme étant désactivé après sa suppression de la console d'administration de Microsoft.
Cette section énumère les problèmes connus. Les problèmes connus sont associés à un numéro de demande de modification.
L'arrêt brutal de Directory Server a été constaté à l'arrêt du serveur lors de l'exécution d'une exportation en ligne, d'une sauvegarde, d'une restauration ou d'une création d'index.
Lorsque des entrées sont importées de LDIF, Directory Server ne génère pas les attributs createTimeStamp et modifyTimeStamp.
L'importation LDIF est optimisée en termes de vitesse. Le processus d'importation ne génère pas ces attributs. Pour contourner cette restriction, ajoutez les entrées, au lieu de les importer. Vous pouvez également prétraiter le LDIF pour ajouter les attributs avant de procéder à l'importation.
Les attributs pwdChangedTime et usePwdChangedTime sont définis dans Directory Server 5 2004Q2, 2005Q4 et la version actuelle. Ces attributs ne sont pas définis dans les versions précédentes. Lorsqu'une entrée est définie avec une expiration des mots de passe dans une version dans laquelle ces attributs sont configurés, cette entrée contient les attributs pwdChangedTime et usePwdChangedTime. Lorsque cette entrée est répliquée vers un fournisseur utilisant une version antérieure, ce fournisseur ne peut traiter aucune modification apportée à cette entrée. Une erreur de violation de schéma se produit car l'attribut pwdChangedTime est absent du schéma du fournisseur.
usePwdChangedTime n'est plus utilisé. Par contre, l'attribut opérationnel pwdChangedTime est mis à jour à chaque fois que le mot de passe est modifié.
Pour résoudre ce problème, définissez les attributs pwdChangedTime et usePwdChangedTime dans le fichier 00core.ldif. Vous devez définir ces attributs pour tous les serveurs dans la topologie de réplication exécutant une version qui ne définit pas ces attributs. Les définitions des types d'attributs se présentent comme suit.
attributeTypes: ( 1.3.6.1.4.1.42.2.27.8.1.16 NAME 'pwdChangedTime' DESC 'Directory Server defined password policy attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE USAGE directoryOperation X-DS-USE 'internal' X-ORIGIN 'Sun Directory Server' ) attributeTypes: ( 1.3.6.1.4.1.42.2.27.9.1.597 NAME 'usePwdChangedTime' DESC 'Directory Server defined attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE X-DS-USE 'internal' X-ORIGIN 'Sun Directory Server' )
Ne migrez pas de nouveaux serveurs vers la nouvelle stratégie de mots de passe tant que la topologie de réplication contient encore d'anciens serveurs.
Rétrograder une réplique pour qu'elle devienne client en lecture seule et dédié, puis promouvoir de nouveau le serveur peut interrompre la réplication.
Si vous associez un mot de passe de longueur nulle à un répertoire, votre liaison est une liaison anonyme. Cette liaison n'est pas une simple liaison. Les applications tierces qui authentifient les utilisateurs en exécutant un test de liaison peuvent présenter une défaillance en termes de sécurité si ces applications ignorent ce comportement.
Certains messages d'erreur de Directory Server font référence au Manuel des erreurs de base de données qui n'existe pas. Si vous ne comprenez pas la signification d'un message d'erreur critique non documenté, contactez le support technique de Sun.
Lors de la suppression du logiciel, la commande dsee_deploy uninstall n'arrête ou ne supprime pas des instances serveur existantes.
Pour contourner cette restriction, observez les instructions figurant dans le Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide.
Il a été constaté que Directory Server conserve les valeurs pwdFailureTime sur une réplique consommateur, même après la suppression des valeurs des attributs sur la réplique fournisseur. Les valeurs sont conservées après la réplication de la modification de userPassword.
Lors de l'installation de logiciels à partir de la distribution zip, n'utilisez pas l'option -N (--no-cacao) si vous tentez ultérieurement d'administrer les serveurs avec Directory Service Control Center. Il est impossible d'installer séparément le conteneur d'agent commun ultérieurement.
La commande dsconf accord-repl-agmt ne peut pas aligner les propriétés d'authentification de l'accord de réplication lorsque l'authentification du client SSL est utilisée sur le suffixe de la destination.
Pour résoudre ce problème, enregistrez le certificat fournisseur dans la configuration du consommateur, en procédant comme suit. Les exemples de commandes présentés s'appuient sur deux instances sur le même hôte.
Exportez le certificat vers un fichier.
L'exemple suivant présente comment exécuter l'exportation des serveurs dans /local/supplier et /local/consumer.
$ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert |
Échangez les certificats client et fournisseur.
L'exemple suivant présente comment exécuter l'échange de serveurs dans /local/supplier et /local/consumer.
$ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt |
Ajoutez l'entrée du client SSL sur le consommateur, sans oublier le certificat supplierCert sur un attribut usercertificate;binary avec une valeur subjectDN propre.
Ajoutez l'identité (DN) du gestionnaire de réplication sur le consommateur.
$ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN |
Mettez à jour les règles dans /local/consumer/alias/certmap.conf.
Redémarrez les serveurs avec la commande dsadm start.
Directory Service Control Center trie des valeurs sous forme de chaînes. Ainsi, lorsque vous triez des nombres dans Directory Service Control Center, ils sont triés comme s'il s'agissait de chaînes.
Un tri croissant de 0, 20 et 100 donne la liste 0, 100, 20. Un tri décroissant de 0, 20 et 100 donne la liste 20, 100, 0.
Des instances Directory Server avec des noms multioctets ne peuvent pas être enregistrées dans Directory Service Control Center.
Pour résoudre ce problème, configurez le conteneur d'agent commun comme suit.
# cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
Directory Server n'analyse pas correctement les DN de la cible ACI contenant des guillemets ou des apostrophes. Les modifications apportées à l'exemple suivant engendrent des erreurs de syntaxe.
dn:o=mary\"red\"doe,o=example.com changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com") (targetattr="*")(version 3.0; acl "testQuotes"; allow (all) userdn ="ldap:///self";)
dn:o=Example Company\, Inc.,dc=example,dc=com changetype:modify add:aci aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com") (targetattr="*")(version 3.0; acl "testComma"; allow (all) userdn ="ldap:///self";)
Il a été, toutefois, constaté que les exemples contenant plusieurs apostrophes sont correctement analysés.
Il a été constaté que la commande dpconf affiche l'invite Enter "cn=Directory Manager" password: deux fois en mode interactif.
Lors de l'exécution de commandes de gestion serveur dans l'environnement linguistique français, des apostrophes manquent dans certains messages affichés.
Directory Service Control Center ne vous permet pas de gérer des périphériques ou jetons de sécurité externes PKCS#11.
Il a été constaté que l'authentification SASL échoue sous Windows lorsque le cryptage SASL est utilisé.
Directory Service Control Center ne parvient pas à générer un certificat autosigné lorsque vous spécifiez le pays.
Directory Service Control Center n'affiche pas correctement des valeurs binaires userCertificate.
Le nom de l'attribut de configuration, passwordRootdnMayBypassModsCheck, ne reflète pas que le serveur autorise désormais un administrateur à contourner la vérification de la syntaxe du mot de passe lors de la modification du mot de passe d'un autre utilisateur si cet attribut est configuré.
Ne définissez pas LD_LIBRARY_PATH avant de procéder à l'installation à partir de la distribution zip ou à l'aide de la commande dsadm.
La fonctionnalité de Directory Service Control Center permettant de copier la configuration d'un serveur existant ne vous permet pas de copier la configuration du plug-in.
Il a été constaté sous Windows que la commande dsconf ne parvient pas à importer le LDIF si le nom de fichier LDIF contient des caractères à deux octets.
Pour résoudre ce problème, modifiez le nom de fichier LDIF de manière à ce qu'il ne contienne plus de caractères à deux octets.
Lorsque vous utilisez un navigateur dans l'environnement linguistique chinois, japonais ou coréen, les journaux créés par Directory Service Control Center lors de la création d'une instance de serveur contiennent de la mémoire inutilisable.
Pour résoudre ce problème, exécutez les commandes suivantes sur le conteneur d'agent commun où la nouvelle instance de serveur doit être créée.
cocaoadm stop cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" cacaoadm start |
La commande dsadm enable-service ne fonctionne pas correctement avec Sun Cluster.
Lorsque vous utilisez un navigateur dans l'environnement linguistique français, des apostrophes doubles apparaissent dans Directory Service Control Center.
Il a été constaté que la commande dsee_deploy se bloque lors de l'enregistrement du composant Monitoring Framework dans le conteneur d'agent commun.
L'attribut supportedSSLCiphers à la racine de DSE indique des chiffrements NULL non pris en charge par le serveur.
À moins que vous n'ayez lancé Directory Server au moins une fois, la commande dsadm enable-service ne parvient pas à redémarrer Directory Server à la réinitialisation du système.
Ni Directory Service Control Center ni la commande dsconf ne vous permettent de configurer la façon dont Directory Server gère les signatures de plug-in incorrectes. Le comportement par défaut consiste à vérifier les signatures de plug-in mais à ne pas exiger qu'elles soient valides. Directory Server enregistre dans le journal un avertissement signalant des signatures incorrectes.
Pour modifier le comportement du serveur, définissez les attributs ds-require-valid-plugin-signature et ds-verify-valid-plugin-signature sur cn=config. Les deux attributs sont définis sur on ou off.
Directory Service Control Center ne vous permet pas de rechercher un suffixe configuré pour renvoyer une référence à un autre suffixe.
Après l'installation et la création d'une instance de serveur sous Windows, les droits d'accès aux fichiers du dossier d'installation et de l'instance de serveur autorisent l'accès à tous les utilisateurs.
Pour résoudre ce problème, modifiez les droits d'accès dans les dossiers d'installation et d'instance de serveur.
La commande dsadm autostart échoue lorsque plusieurs instances sont spécifiées, et la commande échoue pour l'une des instances.
La commande dsadm autostart ne prend pas en charge les espaces dans le nom de fichier de l'instance.
Il a été constaté que la commande dsmig ne migre pas des valeurs de certains attributs de configuration non identifiés dans la documentation relative à la mise à niveau et à la migration.
Les attributs de configuration suivants sont concernés :
nsslapd-db-durable-transaction
nsslapd-db-replication-batch-val
nsslapd-disk-low-threshold
nsslapd-disk-full-threshold
Après une mise à jour globale sur une réplique maître présentant une charge d'écriture importante, l'ID de génération du maître concerné n'est parfois pas défini correctement. Par conséquent, la réplication échoue.
Lorsque vous activez le mode de référence pour Directory Server à l'aide de Directory Service Control Center via Internet Explorer 6, le texte de la fenêtre de confirmation du mode de référence est tronqué.
Pour résoudre ce problème, utilisez un autre navigateur comme le navigateur Web Mozilla.
Après la création ou l'ajout d'un nouveau certificat, Directory Server doit être redémarré pour que la modification soit prise en compte.
Après la mise à niveau d'une réplique et la migration de serveur vers de nouveaux systèmes, vous devez recréer des accords de réplication pour utiliser de nouveaux noms d'hôtes. Directory Service Control Center vous permet de supprimer les accords de réplication existants mais ne vous permet pas de créer de nouveaux accords.
Sous Red Hat, la commande dsadm autostart ne garantit pas toujours le démarrage des instances de serveur à l'initialisation.
Directory Server ne gère pas correctement les caractères chinois multioctets dans les chaînes des noms de bases de données, noms de fichiers et noms de chemins d'accès.
Pour résoudre ce problème lors de la création d'un suffixe Directory Server comprenant des caractères chinois multioctets, spécifiez un nom de base de données sans caractères multioctets. Lors de la création d'un suffixe sur la ligne de commande, par exemple, définissez explicitement l'option --db-name de la commande dsconf create-suffix.
$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN |
N'utilisez pas le nom de base de données par défaut pour le suffixe.
Sous Windows, lorsque Directory Server est activé en tant que service, n'utilisez pas la commande dsadm cert-pwd-prompt=on.
Il a été constaté que les messages d'erreur de réplication suivants persistent sur des accords avec un client, même après une mise à jour globale sur le client.
Error sending replication updates. Error Message: Replication error updating replica: Unable to start a replication session : transient error - Failed to get supported proto. Error code 907. Operational Status Error sending updates to server host:port. Error: Replication error updating replica: Incremental update session abored : fatal error - Send extended op failed. Error code: 824.
Pour supprimer les messages, désactivez l'accord de réplication, puis réactivez-le.
Lors de l'arrêt de plusieurs répliques maîtres sous une charge importante dans une configuration de réplication à plusieurs maîtres, l'arrêt des serveurs peut prendre plusieurs minutes.
Après une opération d'importation sur un maître où read-write-mode est défini sur read-only, Directory Server ne parvient pas à redémarrer.
La commande dsconf ne vous propose pas le paramètre dsSearchBaseDN approprié lors de la configuration de DSML.
Sous Windows, il a été constaté que Directory Server ne démarre pas lorsque le nom de base de l'instance est ds.
Vous devez configurer DSML avant de pouvoir contrôler DSML à l'aide de Java ES Monitoring Framework.
Lorsque vous utilisez un navigateur dans l'environnement linguistique chinois, le lien Plus d'informations sur les groupes de serveurs dans Directory Service Control Center est incorrect et redirige vers une une page d'erreur d'application.
Lors de l'installation à partir de la distribution zip, la commande dsee_deploy ne propose pas d'option de configuration SNMP et de ports d'adaptateur de flux.
La commande dsconf help-properties est définie pour fonctionner correctement après la création d'une instance uniquement. De plus, la liste appropriée de valeurs pour la commande dsml-client-auth-mode doit être client-cert-first | http-basic-only | client-cert-only.
Le compte invité doit être désactivé pour pouvoir utiliser Directory Service Control Center sous Windows XP. De plus, la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest doit être définie sur 0 pour que l'authentification soit concluante.
Après l'installation à partir de la distribution zip sous Solaris et Red Hat, Directory Server n'apparaît pas via SNMP après le redémarrage du conteneur d'agent commun, cacao.
Pour résoudre ce problème sous Solaris, appliquez tous les patchs recommandés indiqués dans la section Systèmes d'exploitation requis pour Directory Server, Directory Proxy Server et Directory Server Resource Kit.
Les résultats de sortie des commandes entrycmp, fildif, insync, mmldif et ns-accountstatus ne sont pas localisés.
Certains résultats affichés par les commandes dsccmon, dsccreg, dsccsetup et dsccreg ne sont pas localisés.
Après le premier accès à Directory Service Control Center et l'enregistrement d'une instance Directory Server, un avertissement et une exception sont consignés dans les journaux de Sun Java Web Console.
Vous pouvez ignorer en toute sécurité l'avertissement, failed to retreive "server-pid" from command ouptut, ainsi que l'exception. Le résultat de l'exception s'affiche comme suit.
StandardWrapperValve[wizardWindowServlet]: Servlet.service() for servlet wizardWindowServlet threw exception java.lang.IllegalStateException: Cannot forward after response has been committed
Lors de la configuration de Directory Service Control Center dans un environnement linguistique autre que l'anglais, les messages de journaux relatifs à la création du registre de Directory Service Control Center ne sont pas complètement localisés. Certains messages de journaux sont affichés dans l'environnement linguistique utilisé lors de la configuration de Directory Service Control Center.
Après une réinitialisation manuelle à la suite de l'installation sous Windows à l'aide du programme d'installation Java ES, Directory Server n'est pas exécuté. Directory Server peut cependant sembler être en cours d'exécution dans le gestionnaire des tâches. Dans ce cas, Directory Server ne peut pas être redémarré à l'aide du gestionnaire des tâches.
Pour résoudre ce problème, supprimez l'ID de processus du fichier du dossier logs.
Il a été constaté un échec de la commande dsmig migrate-data -R -N lors de la mise à niveau de Directory Server 5 2005Q1.
Pour résoudre les pannes de migration de données automatique, migrez les données manuellement tel que décrit dans le Chapitre 3, Migrating Directory Server Manually du Sun Java System Directory Server Enterprise Edition 6.0 Migration Guide.
Sous HP-UX, des applications utilisant des bibliothèques NSPR s'arrêtent brutalement après une recherche à l'aide de la commande gdb. Le problème survient lorsque vous associez la commande gdb à une instance Directory Server en cours d'exécution et que vous utilisez la commande gdb quit.
Lors de l'accès à Directory Service Control Center via Internet Explorer 6, l'enregistrement de modifications de configuration d'index d'un suffixe renvoie une erreur nulle. La fenêtre de progression de l'opération semble bloquée.
Pour résoudre ce problème, accédez à Directory Service Control Center via un autre navigateur comme le navigateur Web Mozilla.
Lorsque vous modifiez une entrée d'annuaire via Directory Service Control Center, si l'entrée est modifiée simultanément selon une autre méthode, un rafraîchissement de l'écran n'affiche pas les modifications.
Il a été constaté que Directory Service Control Center affiche un état incorrect dans le champ Modifiable par l'utilisateur de la stratégie de mot de passe globale, pwd-user-change-enabled.
Pour résoudre ce problème, utilisez la commande dsconf(1M) pour consulter la propriété serveur pwd-user-change-enabled.
$ dsconf get-server-prop -w /tmp/ds.pwd pwd-user-change-enabled pwd-user-change-enabled : off |
Lors de la mise à niveau de Directory Server 5.2, si vous disposez d'une base de données de certificats ne contenant aucun certificat approuvé, la commande dsmig migrate-config échoue. Ce problème peut survenir lorsque vous avez créé une base de données de certificats mais que vous ne l'avez jamais utilisé ni configuré SSL.
Pour résoudre ce problème, observez les étapes suivantes.
Supprimez la nouvelle instance vide Directory Server 6.
Renommez les fichiers ServerRoot/alias/slapd-serverID-cert8.db et ServerRoot/alias/slapd-serverID-key3.db utilisés par l'instance Directory Server 5.2.
$ cd ServerRoot/alias $ mv slapd-serverID-cert8.db slapd-serverID-cert8.db.old $ mv slapd-serverID-key3.db slapd-serverID-key3.db.old |
Procédez de nouveau au processus de mise à niveau et de migration.
Sous HP-UX, il a été constaté que Directory Service Control Center affiche un message d'erreur d'exception de pointeur nul au démarrage et à l'arrêt d'une instance Directory Server. L'erreur affecte Directory Service Control Center et non l'instance Directory Server.
Lors de la migration d'une configuration Directory Server, la commande dsmig migrate-config échoue si l'option -R est utilisée mais que tous les suffixes de la configuration existante ne sont pas répliqués.
Pour résoudre ce problème, observez les étapes suivantes.
Arrêtez l'ancien serveur.
Dans l'instance de l'ancien serveur, l'entrée de fichier de configuration dse.ldif avec le DN cn=changelog5,cn=config marque les attributs suivants d'un signe dièse, #.
#nsslapd-changelogmaxage: ... #nsslapd-changelogmaxentries: ...
Notez les valeurs de ces attributs.
Migrez la configuration du serveur à l'aide de la commande dsmig migrate-config.
Dans la nouvelle instance de serveur, pour chaque suffixe comprenant une entrée de configuration avec un DN sous la forme cn=replica,cn=suffix-dn,cn=mapping tree,cn=config, exécutez les commandes suivantes.
$ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-age:old-value |
old-value représente ici la valeur de nsslapd-changelogmaxage dans l'ancienne instance de serveur.
$ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-entry-count:old-value/nbr-suffixes |
old-value représente ici la valeur de nsslapd-changelogmaxentries dans l'ancienne instance de serveur. nbr-suffixes représente le nombre total de suffixes répliqués.
Directory Server ne vous permet pas d'activer une vérification de qualité du mot de passe seule sans au moins une autre fonctionnalité de stratégie de mot de passe.
Pour résoudre ce problème, activez au moins une autre fonctionnalité de stratégie de mot de passe lorsque vous activez une vérification de qualité du mot de passe. L'exemple suivant active une vérification de qualité du mot de passe et renforce également l'âge minimum avant que le mot de passe ne soit modifié.
$ dsconf set-server-prop pwd-check-enabled:on pwd-min-age:1h |