Die folgenden Abschnitte behandeln Directory Proxy Server 6.3.1 Update 1:
Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden
Installationshinweise für Directory Proxy Server 6.3.1 Update 1
Behobene Probleme und Einschränkungen in Directory Proxy Server 6.3.1 Update 1
Dieser Patch behebt Probleme nur in der Directory Proxy Server-Komponente des Directory Server Enterprise Edition-Produkts. Es ist für die Anwendung oberhalb von Directory Server Enterprise Edition 6.3.1 ausgelegt. Die Directory Server-Komponente von Directory Server Enterprise Edition 6.3.1 bleibt unverändert.
Dieses Update kann nicht für frühere Versionen als Directory Server Enterprise Edition 6.3.1 angewendet werden. Anweisungen für ein Upgrade auf Version 6.3.1 erhalten Sie in Tabelle 2–1, “Upgrade der Pfade auf Directory Server Enterprise Edition 6.3.1.”
Dieser Abschnitt behandelt folgende Themen:
Dieses Update ist eine Zwischenversion, die hauptsächlich die in Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden beschriebenen Probleme behebt.
Directory Proxy Server 6.3.1 Update 1 führt außerdem das neue Verhalten in beständigen Suchoperationen aus. Wenn eine Client-Anwendung die beständigen Suchantworten vom Directory Proxy Server nur sehr langsam liest, wird die Proxy Server-Anwortwarteschlange überladen. In diesem Fall kann der Server die Verbindung mit folgender Client-Benachrichtigung schließen:
LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ] |
Eine informative Nachricht, ähnlich wie die folgende, wird ebenfalls protokolliert:
[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO - conn=19 \ reason="admin limit exceeded" \ msg="client didn't read any data during 160 milliseconds." |
Directory Proxy Server 6.3.1 Update 1 bietet folgende Verbesserungen:
Ein Pfadname kann für JAVA_HOME eingestellt werden und Vorrang gegenüber dem in der Umgebung definierten Wert von JAVA_HOME haben, wie im folgenden Beispiel gezeigt:
$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/ |
Der Befehl dpadm ändert den Wert umask und beim nächsten Neustart der DPS-Instanz werden die Berechtigungen der Konfigurationsdatei entsprechend dem neuen Wert umask geändert. Die Berechtigung der Protokolldatei wird bei der nächsten Dateirotation ähnlich eingestellt. Das folgende Beispiel zeigt eine typische Verwendung:
$ dpadm set-flags instance-path umask=22 |
Der Administrator kann nun unterschiedliche virtuelle Umwandlungen auf demselben MODEL, ACTION, ATTR_NAME definieren.
Directory Proxy Server 6.3.1 Update 1 fügt außerdem neue Eigenschaften hinzu und aktualisiert bestehende Eigenschaften, wie in der folgenden Liste beschrieben. Neue Eigenschaften werden als "Neu" gekennzeichnet. Eigenschaften, die gegenüber ihren Spezifikationen in DSEE 6.3.1 geändert wurden, werden als "Aktualisiert" gekennzeichnet.
Dynamisch (kein Neustart erforderlich)
Ebene: connection-handler
Typ: boolean
Standardwert: false
Beschreibung: Zeigt an, ob der Verbindungs-Handler die Clientverbindung schließen soll, wenn keine Datenquelle verfügbar ist.
Dynamisch (kein Neustart erforderlich)
Ebene: Verbindungs-Handler
Typ: boolean
Standardwert: false
Beschreibung: Zeigt an, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.
Dokumentation: Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-source
Typ: enumeration
RDBMS-Backend ist MySQL.
RDBMS-Backend ist Apache Derby/Java DB.
RDBMS-Backend ist DB2.
RDBMS-Backend ist Oracle.
RDBMS-Backend ist Microsoft SQL Server.
RDBMS-Backend ist nicht definiert. Falls möglich legt Directory Proxy Server den Herstellernamen über die in jdbc-data-source definierte db-url fest.
Standardwert: generic
Beschreibung: Herstellername der JDBC-Datenquelle
Dokumentation: Diese Eigenschaft legt den Herstellernamen der JDBC-Datenquelle fest. Sollte eingestellt werden, wenn ein anderer IDBC-Treiber eines Drittanbieters und nicht der vom Datenbankhersteller bereitgestellte verwendet wird, um eine Verbindung mit dem RDBMS-Backend herzustellen. Diese Daten werden verwendet, um herstellerspezifische SQL-Anweisungen zu erstellen, die eine Leistungsverbesserung bewirken können.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view
Neuer Typ: lang
Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl
Die übrigen Attribute bleiben wie zuvor.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view
Neuer Typ: lang
Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl
Die übrigen Attribute bleiben wie zuvor.
Statistisch (Neustart erforderlich)
Ebene: ldap-data-source
Typ: Dauer in Sekunden (untere Grenze: 1)
Standardwert: Übernommen (Wert von monitoring-interval)
Beschreibung: Intervall, in dem die Verfügbarkeitsüberwachung fehlgeschlagene Verbindungen abruft, um ihre Wiederherstellung festzustellen
Dokumentation: Diese Eigenschaft legt das Abrufintervall fest. Wenn eine Verbindung fehlschlägt, ruft die Verfügbarkeitsüberwachung die Verbindung in diesem Intervall auf, um deren Wiederherstellung festzustellen. Falls nicht anders angegeben wird der Wert der Eigenschaft monitoring-interval verwendet.
Statistisch (Neustart erforderlich)
Ebene: ldap-data-source
Typ: Ganzzahl (untere Grenze: 1)
Standardwert: 3
Beschreibung: Anzahl der durchzuführenden Neuversuche, bevor die Verbindung als nicht aktiv gekennzeichnet wird
Dokumentation: Diese Eigenschaft legt fest, wie häufig die Verfügbarkeitsüberwachung die Verbindung abruft, nachdem sie das erste Mal fehlgeschlagen ist. So kann der Aufbau der Verbindung schneller gekennzeichnet werden. Wenn die Verbindung auch nach Ablauf der festgelegten Versuche fehlschlägt, wir der Wert der Eigenschaft down-monitor-interval als Abrufintervall verwendet.
Dynamisch (kein Neustart erforderlich)
Ebene: ldap-data-source
Typ: boolean
Standardwert: true
Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen mit Server und der Datenquelle aktiviert ist
Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen dem Server und der Datenquelle aktiviert werden soll.
Dynamisch (kein Neustart erforderlich)
Ebene: ldap-listener und ldaps-listener
Typ: boolean
Standardwert: true
Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert ist
Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert werden soll.
Dynamisch (kein Neustart erforderlich)
Ebene: Server
Typ: boolean
Standardwert: true
Neue Beschreibung: Gibt an, ob der Server unauthentifizierte Vorgänge akzeptiert
Alte Beschreibung (für DPS 6.0 bis DPS 6.3.1): Gibt an, ob der Server Vorgänge von anonymen Clients akzeptiert
Neue Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server unauthentifizierte Vorgänge akzeptiert. Der Modus zum Behandeln des Verbindungsvorgangs wird mithilfe von allow-unauthenticated-operations-mode festgelegt
Alte Dokumentation (für DPS 6.0 bis DPS 6.3.1): Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server anonyme Clients zum Ausführen von Vorgängen zulässt.
Dynamisch (kein Neustart erforderlich)
Ebene: Server
Typ: enumeration
Wenn kein Passwort angegeben ist, sind nur anonyme Verbindungen zulässig
Wenn kein Passwort angegeben ist, sind nur Verbindungen mit einem angegebenen DN zulässig
Wenn kein Passwort angegeben ist, sind anonyme Verbindungen und Verbindungen mit angegebenem DN zulässig
Standardwert: anonymous-and-dn-identified
Beschreibung: Modus zum Behandeln von Verbindungsvorgängen ohne Passwort.
Dokumentation: Diese Eigenschaft legt fest, wie Directory Proxy Server Vorgänge ohne Verbindungspasswort behandelt, wenn allow-unauthenticated-operations auf true gesetzt ist.
Statistisch (Neustart erforderlich)
Ebene: Server
Typ: Dauer in Millisekunden
Neuer Standardwert: 250
Alter Standardwert (für DPS 6.0 bis 6.3.1): 500
Neue Dokumentation: Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 250 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution oder ändern Sie den Wert der Eigenschaft time-resolution-mode. Bei der Einstellung von 0 Millisekunden verhält sich der Proxy so, als wenn der Wert der Eigenschaft time-resolution-mode auf system-milli eingestellt ist. Diese Eigenschaft wird ignoriert, wenn der Wert der Eigenschaft time-resolution-mode auf system-milli oder system-micro eingestellt ist.
Alte Dokumentation (für DPS 6.0 bis 6.3.1): Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 500 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution. Bei der Einstellung von 0 Millisekunden führt der Proxy systematisch einen Systemaufruf aus, um die aktuelle Zeit abzurufen. Andernfalls wird die Zeit zwischengespeichert und nur jeweils für den Zeitraum time-resolution abgefragt. Diese Zeit wird in den Protokollen angezeigt.
Die Beschreibung bleibt wie zuvor.
Statistisch (Neustart erforderlich)
Ebene: Server
Typ: enumeration
Verwenden Sie einen Thread, um alle time-resolution Millisekunden einen Systemaufruf auszuführen
Fragen Sie die Zeit in Millisekunden mithilfe eines Systemaufrufs ab
Fragen Sie die Zeit in Mikrosekunden mithilfe eines Systemaufrufs ab
Standardwert: custom-resolution
Beschreibung: Modus zum Abfragen der Systemzeit
Dokumentation: Diese Eigenschaft legt den Modus fest, der zum Abrufen der Zeit aus dem BS verwendet wird.
Directory Proxy Server 6.3.1 Update 1 ist für alle unterstützten Directory Server Enterprise Edition 6.3.1-Plattformen verfügbar. Weitere Informationen erhalten Sie unter Hardwareanforderungen und Anforderungen an das Betriebssystem.
In diesem Abschnitt werden die in Directory Proxy Server 6.3.1 Update 1 behobenen Fehler aufgeführt.
Directory Proxy Server erstellt unzulässige Datenbankanforderungen.
Wenn connectionIdleTimeOutInSec für das LDAP-Zielgerät eingestellt wird, kann DSCC deaktiviert werden.
Ein Suchvorgang kann Einträge ausgeben, die Attribute enthalten, die nicht in viewable-attr vorhanden sind.
Die Eigenschaft max-client-connections wird nicht durchgesetzt, wenn an der Verbindung kein Vorgang ausgeführt wird.
Die Arbeitsspeicherüberwachung ist standardmäßig deaktiviert.
Der nummerische Verteilungsalgorithmus sollte long anstelle von int verwenden, um nummerische Bereiche einzustellen.
Die Directory Proxy Server-Standardgrößenbeschränkung für die Ressourceneigenschaften verwendet die falsche Ganzzahl ohne Begrenzung.
DN-Umwandlungen schlagen fehl.
Die Einstellung von add-attr-value kann dazu führen, dass DN-Umwandlungen falsche Ausgaben erzeugen.
Der Verbindungs-DN sollte bei der Verbindung mit einem LDAP-Server zugeordnet werden. (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN).
Eine neue virtuelle Umwandlung kann nicht mit demselben "MODEL, ACTION, ATTR_NAME" hinzugefügt werden.
Die Eigenschaft requires-bind-password, die auf dem Backend-Verzeichnisserver eingestellt ist, wird nicht durchgesetzt.
Die virtuelle DN-Zuordnung schlägt fehl, wenn sie von einem virtuellen Attribut abhängt.
Der Verbindungs-DN wird abgelehnt, wenn die Umwandlung fehlschlägt, selbst wenn er in die Ansicht fällt.
Falsche DN-Zuordnung für die Richtung vom Server.
Groß-/Kleinbuchstaben in den Attributnamen werden von 6.3 Directory Proxy Server umgewandelt.
Ein Kunde wird aufgefordert, für Directory Proxy Server Gruppenberechtigungen für Konfigurations- und Protokolldateien einzurichten (umask 117, chmod 660).
Der Befehl dpadm start erstellt ein Speicherabbild, wenn das Java-Argument MaxTenuringThreshold verwendet wird.
DN-Zuordnung kann umbenannte Einträge ablegen.
Der Befehl dpadm erzeugt keine DPS.pid -Datei.
Das Directory Proxy Server-Konfigurationsschema ist nicht mit der Funktion SystemMonitorThread.java vereinbar.
Server und Konsole sind mit dem searchMode-Parameter unvereinbar.
Directory Proxy Server schlägt fehl, wenn er für die Verwendung einer Proxy-Authentifizierung konfiguriert ist.
Ermöglicht die Einstellung von JAVA HOME mithilfe von dpadm set-flags.
DN-Zuordnung kann nicht auf rootDSE verwendet werden.
Directory Proxy Server erfordert virtuelle DN-Umwandlungen mit mehrfachbewerteten Benennungsattributen.
Zeitgranularität in Mikrosekunden sollte für etimes angegeben werden.
Der Befehl splitldif ignoriert virtuelle Umwandlungen.
Sockets können bei starker Last im geschlossen Wartestatus verbleiben.
Die Option SO_KEEPALIVE ist nicht in Directory Proxy Server 6.3 eingestellt (d. h. setKeepAlive() != True), wenn ein Socket erstellt wird.
Durch die Korrektur von CR 6513526 können Regressionen auftreten, da Nullwerte in den ConfigAttribute-Objekten vorliegen.
Die Eigenschaft acceptBacklog wird für Listener auf Kanalbasis ignoriert.
Inaktivitätstakte werden aufgrund der letzten Aktivität einer Backend-Verbindung nicht häufig genug gesendet.
Inaktivitätstakte werden nicht für gebundene Backend-Verbindungen gesendet.
Backend-Serverüberprüfungen finden unter Umständen aufgrund der letzten Serveraktivität nicht häufig genug statt.
Der Befehl ldapsearch, der auf Überwachungseinträgen ausgeführt wird, kann eine inkonsistente Ausgabe verursachen.
Eine Verfügbarkeitsprüfung sollte feststellen, ob der Backend-Server inaktiv ist, bevor alle Verbindungen unterbrochen werden.
Eine Verbindung kann im Fall einer abgebrochenen Anforderung gesperrt werden.
Für die Backend-Takte ist eine höhere Genauigkeit erforderlich.
Ein fehlender Dateideskriptor ist im Serversocket aufgetreten.
Ein NULL-Zeiger-Ausnahmefehler kann bei der Suche in cn=monitor auftreten, wenn ein Failover-Pool ohne Quelle definiert wurde.
Directory Proxy Server öffnet die Verbindungen zum Directory-Server weiterhin, nachdem ein Verbindungsversuch fehlgeschlagen ist.
Clients für beständige Suchvorgänge erhalten unter Umständen keine Benachrichtigungen zur Änderung des Eintrags.
Zwei Verbindungen können denselben Bezeichner gemeinsam nutzen.
Beständige Suchvorgänge werden nach der Trennung des Clients nicht bereinigt.
Das proaktive Überwachungsintervall sollte auf 1 Sekunde gestellt werden, wenn eine Datenquelle als inaktiv erkannt wird.
Directory Proxy Server verknüpft verschiedene Client-Vorgänge mit derselben Backend-Verbindung.
Backend-Verbindungen werden nicht geschlossen aber wiederverwendet, wenn die Leerlaufzeit größer ist als inactivity-timeout, wodurch ein Verbindungsabbau verursacht wird.
Die Fehler bei der Verbindungspool-Systemverwaltung und Ausführung der Zustandprüfung sollten behoben werden.
Zwei simultane lange Verbindungen weisen dieselbe Backend-Verbindung zwei Client-Verbindungen zu.
Bei Einstellung eines falschen jvm-path bleibt der Neustart ohne Warnung hängen.
Directory Proxy Server gibt den falschen Fehlercode aus, wenn kein Backend-Server verfügbar ist
Es sollte eine Option bereitgestellt werden, um die Client-Verbindung im Fall von "Backend-Verbindung konnte nicht abgerufen werden" zu schließen.
Clientaffinität darf nicht aktiviert sein, wenn useAffinity=false und affinityPolicy explizit festgelegt sind.
Directory Proxy Server kann nicht gestartet werden, wenn einer der Hosts der Datenquellen nicht erreichbar ist.
Der Befehl dpconf sollte die neuen Attribute unterstützen, die in Directory Proxy Server 6.3.1_Update 1 eingeführt werden.
Der Befehl dpconf sollte die Zuweisung der Verbindungs-DN unterstützen.
Für die Verwaltung der Directory Proxy Server-Eigenschaften sollte eine einfachere Versionierung zur Verfügung gestellt werden.
Der Befehl dpconf sollte monitorRetryCount unterstützen.
Die Clientaffinität ignoriert den schreibgeschützten Flag der Datenquelle.
Die Implementierung von Fehlerbehebungen für CR 6714425 und 6714448 sollte fertig gestellt werden.
Ein zusammengelegter Ausdruck in Kleinbuchstaben kann dazu führen, dass SQL-Anforderungen fehlschlagen.
Die Directory Proxy Server 6.3.1-Leistung ist unzureichend, wenn mehr als 100 Clients beständige Suchvorgänge durchführen.
Thread-Schleifenbildung von beständigen Suchen und Directory Proxy Server können keine beständigen Suchvorgänge mehr durchführen
Die Leistung der beständigen Suchvorgänge ist unzureichend.
Die Erstellung von 20 beständigen Suchvorgängen und anschließendem Stoppen führt dazu, dass die beständige Suchfunktion fehlschlägt.
Directory Proxy Server gibt in bestimmten Fällen der Attributzuordnung und virtueller Umwandlung StringIndexOutOfBoundsException aus.
Die Umwandlungs- und Zuordnungsregeln werden nicht wie erwartet ausgeführt.
Threads können vorzeitig ausgeführt werden und einen ASN.1-Ausnahmefehler erzeugen.
Der Directory Proxy-Server gibt einen falschen Fehler aus, wenn das Backend abschaltet.
Ein unerwarteter Null-Zeiger-Ausnahmefehler kann hervorgerufen werden.
Unter einigen Umständen kann das Passwortspeicherschema von der JDBC-Datenansicht ignoriert werden.
Der Directory Proxy Server kann identische Ergebnisse ausgeben, wenn sich unterschiedliche Benutzer mit einer Client-Verbindung verbinden.
Unter gewissen Umständen kann das Starten von Directory Proxy Server bei Verwendung von JDBC fehlschlagen.
Ein unerwarteter ASN1-Ausnahmefehler kann auftreten und nicht behandelt werden.
Hier werden die folgenden Themen behandelt:
Directory Proxy Server 6.3.1 Update 1 ist ein Patch, das für eine bestehende Installation von Directory Server Enterprise Edition 6.3.1 angewendet wird. Wenn Sie eine frühere Directory Server Enterprise Edition-Version als 6.3.1 ausführen, müssen Sie zunächst ein Upgrade auf Version 6.3.1 ausführen, wie in Kapitel 2Installationshinweise beschrieben, bevor Sie den Patch für Directory Proxy Server 6.3.1 Update 1 anwenden.
Sie können den Patch für Directory Proxy Server 6.3.1 Update 1 unter http://www.sun.com/software/products/directory_srvr_ee/get.jsp herunterladen.
Directory Proxy Server 6.3.1 Update 1 ist ein einziger Patch für alle DSEE-Plattformen:
Solaris SPARC
Solaris 9 x86
Solaris 10 x86 und AMD x64
Red Hat Linux
SuSe Linux
HP-UX
Windows
Die folgenden Verteilungen sind für alle Plattformen verfügbar:
Native Paketverteilung (außer für HP-UX)
Zip-Distribution
Directory Proxy Server 6.3.1 Update 1 Patch 141958-01 ist über SunSolve verfügbar und gilt für beide der folgenden Installationsarten:
Native Pakete von Directory Server Enterprise Edition 6.3.1, die mit dem Java ES-Installationsprogramm installiert sind
ZIP-Installationen von Directory Server Enterprise Edition 6.3.1
In diesem Abschnitt wird die Installation von Directory Proxy Server 6.3.1 Update 1 beschrieben.
Sichern Sie das Installationsverzeichnis von Directory Server Enterprise Edition, bevor Sie den Directory Proxy Server 6.3.1 Update 1-Patch anwenden, da Sie frühere Directory Proxy Server-Konfigurationen zu einem späteren Zeitpunkt nicht wieder herstellen können. Dieser Tipp gilt sowohl für ZIP-Installationen als auch für Installationen von nativen Paketen.
Laden Sie den Patch 141958-01 von Sunsolve in ein downloaded-patch-path -Verzeichnis herunter.
Stoppen Sie die Directory Proxy Server-Instanzen, die mit der zu patchenden Installation verbunden sind.
Öffnen Sie unter Windows das Fenster zur Befehlseingabeaufforderung. Öffnen Sie unter UNIX ein Terminal-Fenster.
Ändern Sie das aktuelle Verzeichnis in das Verzeichnis mit der Installationssoftware für die Plattform und Verteilung (ZIP oder nativ), die Sie aktualisieren möchten:
Das folgende Beispiel zeigt einen typischen Befehl für diesen Zweck:
$ cd downloaded-patch-path/SunOS_x64/zip/delivery |
Die folgende Tabelle zeigt die Speicherorte der Installationssoftware im downloaded-patch-path-Verzeichnis.
Betriebssystem |
Verzeichnis, das die ZIP-Bereitstellung enthält |
Verzeichnis, das die Bereitstellung des nativen Pakets enthält |
---|---|---|
Solaris SPARC |
SunOS/zip/delivery |
SunOS/native/delivery |
Solaris 9 x86 |
SunOS_x86/zip/delivery |
SunOS_x86/native/delivery |
Solaris 10 x86 und AMD x64 |
SunOS_x64/zip/delivery |
SunOS_x64/native/delivery |
Red Hat Linux |
Linux/zip/delivery |
Linux/native/delivery |
SuSE Linux |
Linux/zip/delivery |
Linux/native/delivery |
HP-UX |
Hpux/zip/delivery |
N/A |
Windows |
Windows/zip/delivery |
Windows/native/delivery |
Starten Sie unter UNIX das Installationsskript.
Führen Sie folgenden Befehl aus:
$ Install dsee631-install-path |
wobei dsee631-install-path der Pfad zum Verzeichnis ist, in dem Directory Server Enterprise Edition 6.3.1 installiert ist.
Die folgenden Meldungen werden angezeigt:
-------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ? |
Geben Sie y für yes ein. Das Installationsprogramm gilt für den Patch der Directory Server Enterprise Edition 6.3.1-Installation, den Sie angegeben haben.
Führen Sie unter Windows den folgenden Befehl im Fenster zur Befehlseingabeaufforderung aus:
Install.exe |
Ein Assistent wird geöffnet und fordert Sie auf, den korrekten Installationspfad zur Installation des Directory Proxy Server 6.3.1 Update 1-Patches zu suchen und auszuwählen. Wählen Sie zum Patchen einer 6.3.1 ZIP-Installation das Verzeichnis aus, in das Sie Directory Server Enterprise Edition 6.3.1 installiert haben. Wählen Sie zum Patchen eines nativen Pakets C:\Program Files\Sun\JavaES5\DSEE aus.
Der Assistent wendet den Patch für Directory Server Enterprise Edition 6.3.1 an.
Bestätigen Sie, dass die Installation erfolgreich ausgeführt wurde, indem Sie diese beiden Befehle ausführen und sicherstellen, dass die Reaktion wie folgt aussieht:
$ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155 |
Dieser Schritt ist erforderlich, wenn die Directory Server Enterprise Edition 6.3.1, die Sie patchen, ein Hotfix für CR 6722222 enthält.
Wenn der Hotfix für CR 6722222 (Verbindungs-DN bei Verbindung mit einem LDAP-Server zuordnen (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN)) angewendet wurde, führen Sie den folgenden Befehl in allen Instanzen für jeden Verbindungs-Handler aus:
$ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true |
Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss. Nachdem CR 6722222 angewendet wurde, kann das Standardverhalten jetzt wie in dem Beispiel aufgezeigt mit einer Verbindungs-Handler-Eigenschaft konfiguriert werden.
Starten Sie alle Proxy-Server-Instanzen neu.
In diesem Abschnitt werden die bekannten Probleme und Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Bekannte Probleme und Einschränkungen in Directory Proxy Server 6.3.1 bleiben auch dann bestehen, wenn der Patch für Directory Proxy Server 6.3.1 Update 1 angewendet wurde. Informationen über diese Probleme erhalten Sie unter Bekannte Probleme und Einschränkungen in Directory Proxy Server.
In diesem Abschnitt werden die bekannten Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Wie in JDBC Object Classes in Sun Java System Directory Server Enterprise Edition 6.3 Reference beschrieben werden bei der Definition von JDBC-Tabellen primäre und sekundäre Tabellen eingesetzt. Directory Proxy Server lässt nicht zu, dass in einer dritten Tabelle die sekundäre Tabelle als primäre Tabelle verwendet wird. Das heißt, Directory Proxy Server unterstützt nur eine Ebene von zusammengelegten Regeln.
In diesem Abschnitt werden die bekannten Probleme aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Wenn in Version 6.3 ein Eintrag mehr als zwei Objektklassen besitzt, kann ein Eintrag nicht über eine zusammengelegte Ansicht (LDAP und JDBC) aufgrund des Hotfix für CR 6636463 hinzugefügt werden. Um einen solchen Eintrag hinzuzufügen, müssen diese Objektklassen als Superklasse im Konfigurationseintrag jdbc-object-class mithilfe von ldapmodify definiert werden, da dpconf set-jdbc-object-class-prop nur eine Superklasse hinzufügen kann.
Dieses Beispiel fügt den folgenden Eintrag hinzu:
dn: uid=test,ou=people,o=join sn: User cn: Test User objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: test userpassword: password givenname: Test mail: test@example.com telephonenumber: 8888-8888 roomnumber: 8000
Die JDBC-Ansicht, die vor Version 6.3 aktuell war, wird wie im folgenden Beispiel dargestellt definiert.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top
Da objectClass:organizationalPerson und objectClass:inetOrgPerson beide in dem hinzuzufügenden Eintrag vorhanden sind, müssen beide Objektklassen als Superklassen angegeben werden, wie von folgendem Befehl ldapmodify dargestellt.
$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson |
Wenn der ldapmodify-Befehl ausgeführt ist, wird jdbc-object-class wie im folgenden Beispiel dargestellt definiert.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top superclass: inetOrgPerson Added superclass: organizationalPerson Added
Obwohl die Dokumentation die Standardeinstellung für die Eigenschaft log-level-data-sources-detailed als none angibt, ist der eigentliche Standardwert all. Durch Einstellung von log-level-data-sources-detailed auf einen anderen Wert als none wird die Serverleistung beeinträchtigt und die access-Datei wächst schnell. Aus diesem Grund wird der Wert für die Einstellung log-level-data-sources-detailed automatisch auf none gesetzt, wenn DPS-Serverinstanzen erstellt werden. Es wird empfohlen, diese Einstellung nicht auf einen anderen Wert zu setzen.
Aufgrund eines Problems, das in Hinweise zur Störanfälligkeit VU#836068, MD5 anfällig für Konfliktangriffe beschrieben ist, sollte Directory Proxy Server nach Möglichkeit nicht den MD5-Algorithmus in signierten Zertifikaten verwenden.
Führen Sie folgende Schritte aus, um den Signaturalgorithmus eines Zertifikats festzulegen.
Führen Sie folgenden Befehl aus, um eine Liste der in einer speziellen Directory Proxy Server-Instanz definierten Zertifikate anzuzeigen.
$ dpadm list-certs instance-path |
Führen Sie folgende Befehle für jedes definierte Zertifikat aus, um festzulegen, ob das Zertifikat mit dem MD5-Algorithmus signiert ist:
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Das folgende Beispiel zeigt eine typische Ausgabe des Befehls dsadm show-cert für ein Zertifikat, das mit einem MD5-Signaturalgorithmus signiert ist:
Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ... |
Führen Sie den folgenden Befehl aus, um alle MD5-signierten Zertifikate aus der Datenbank zu entfernen.
$ dsadm remove-cert instance-path cert-alias |
Führen Sie folgende Schritte aus, um das Passwort der Zertifikatsdatenbank zu aktualisieren. (Der Befehl dpadm erzeugt bei der Erstellung einer Directory Server-Proxy-Instanz ein Standardpasswort für die Zertifikatsdatenbank.)
Halten Sie die Directory Proxy Server-Instanz an.
Führen Sie folgenden Befehl aus:
$ dpadm set-flags instance-path cert-pwd-prompt=on |
Eine Meldung erscheint, in der das Passwort abgefragt wird.
Geben Sie ein Passwort mit einer Länge von mindestens acht Zeichen ein.
Starten Sie die Directory Proxy Server-Instanz neu und geben Sie bei Aufforderung das Internal (Software) Token an.
Ersetzen Sie alle Zertifikate, die die MD5-Funktionen verwenden, mit Zertifikaten, die den SHA-1-Signaturalgorithmus verwenden. Führen Sie einen der folgenden Vorgänge aus, abhängig davon, ob Ihre Installation ein selbstsigniertes Zertifikat oder ein Zertifikat, das von einer Zertifikatsautorität erworben wurde, verwendet.
Führen Sie die folgenden Schritte aus, um ein selbstsigniertes Zertifikat zu erstellen und zu speichern:
Führen Sie folgenden Befehl aus:
$ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias |
Der Standardsignaturalgorithmus ist MD5withRSA.
Die folgende Eingabeaufforderung erscheint:
[Password or Pin for "NSS Certificate DB"] |
Geben Sie das neue Passwort für die Zertifikatdatenbank ein.
Führen Sie folgende Schritte aus, um ein Zertifkat, das von einer Zertifikatsautorität (CA) erfasst wurde, zu generieren und zu speichern:
Führen Sie folgenden Befehl aus, um eine CA-signierte Serverzertifikatsanforderung auszustellen:
$ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias |
Stellen Sie sicher, dass Ihre Zertifikatsautorität den MD5-Signaturalgorithmus nicht länger verwendet, und senden Sie dann die Zertifikatsanforderung an die Zertifikatsautorität (entweder intern an Ihr Unternehmen oder extern, abhängig von Ihren Rollen), um ein CA-signiertes Serverzertifikat zu erhalten, wie unter To Request a CA-Signed Server Certificate in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Wenn Ihnen die Zertifikatsautorität ein neues Zertifikat sendet, führen Sie den folgenden Befehl aus, um das Zertifikat zu der Zertifikatsdatenbank hinzuzufügen:
$ dpadm add-cert instance-path cert-alias |
Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Wenn das vertrauenswürdige Zertifikatsautoritätszertifikat bereits in der Zertifikatsdatenbank gespeichert ist, führen Sie zum Hinzufügen folgenden Befehl aus:
$ dpadm add-cert --ca instance-path trusted-cert-alias |
Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Führen Sie folgende Befehle aus, um festzustellen, ob das neue Zertifikat verwendet wird.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Wenn Sie mit einem Microsoft SQL-Server-Backend die Felder smalldate verwenden, wird nur die lange Version der Daten unterstützt, andernfalls tritt ein Umwandlungsfehler auf, wie im folgenden Beispiel dargestellt.
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string. |
Die lange Version eines Datums verwendet die Form YYYY -MM-DD HH:MM.