Dieses Kapitel enthält wichtige, produktspezifische Informationen, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server vorlagen.
Dieses Kapitel besteht aus den folgenden Abschnitten:
In diesem Abschnitt werden die in Directory Proxy Server Version 6.3.1 behobenen Probleme aufgeführt.
Eine nicht verfügbare JDBC-Quelle führt zu einem Suchfehler über eine zusammengelegte Ansicht (LDAP + JDBC), auch wenn keine Daten von dieser JDBC-Quelle erforderlich sind.
Wenn ldapsearch auf cn=monitor ausgeführt wird, wird der Blatteintrag vor dem übergeordneten Eintrag ausgegeben. Diese Bedingung kann dazu führen, dass einige Tools fehlschlagen.
Änderungen über eine zusammengelegte Ansicht von LDAP und JDBC können einen NULL-Zeiger-Ausnahmefehler auslösen.
Wenn keine sekundären Attribute angefordert werden, sollte die Leistung nicht durch Anforderungen sekundärer Datenquellen beeinträchtigt werden.
Der Versuch, zwei Änderungen als Teil einer einzelnen LDAP-Transaktion anzuwenden, kann teilweise erfolgreich sein, wenn ein Attribut fehlt.
Bei Verwendung der zusammengelegten Ansicht von LDAP und JDBC kann das Attribut objectclass nicht auf der sekundären Ansicht gespeichert werden.
Bei der Suche über eine zusammengelegte Ansicht sollte die Suche zunächst über die sekundäre Ansicht ausgeführt werden, falls keine Attribute aus der primären Ansicht im Suchfilter vorhanden sind (auch wenn mehrere Einträge von der sekundären Ansicht ausgegeben werden).
Eine hohe Suchlast kann zu einem NULL-Zeiger-Ausnahmefehler führen.
Bei der Suche in einer zusammengelegten Ansicht von LDAP und JDBC wird ein Eintrag möglicherweise nicht zurückgegeben, wenn der Verbindungsbenutzer keine Zugriffsrechte auf die angeforderten sekundären Attribute besitzt.
Wenn eine hohe Suchlast ausgeführt wird, können die Ausnahmefehler ArrayIndexOutOfBounds oder NegativeArraySizeException ausgelöst werden.
Das Hinzufügen eines Eintrags über eine zusammengelegte Ansicht schlägt fehl, wenn das Attribut uid Großbuchstaben enthält.
Wenn ein Eintrag über eine zusammengelegte Ansicht von LDAP und JDBC hinzugefügt wird, wird der Eintrag in der JDBC-Ansicht hinzugefügt, auch wenn keine sekundären JDBC-Attribute in der Hinzufügeanforderung eingeschlossen sind.
Wenn ein Attribut über eine zusammengelegte Ansicht von LDAP und JDBC hinzugefügt oder ersetzt wird, wird der Wert abgeschnitten, falls er für die SQL-Datenbank zu lang ist.
Wenn ein Eintrag über eine zusammengelegte Ansicht von LDAP und JDBC hinzugefügt wird, wird die Spaltengröße erst überprüft, wenn ein Zeichenkettenwert (varchar ), der zu einem Datenbankfehler führt, aktualisiert oder hinzugefügt wurde.
Suchbelastungstests führen aufgrund einer Gleichzeitigkeitsbedingung in FailoverLoadBalancingAlgorithm zu unerwarteten Fehlern.
Beständige Suchen über SSL geben keine Daten aus.
Die Speicherverwaltungsrichtlinie in DPS führt dazu, dass bestehende Verbindungen in dem Moment, in dem GC ausgelöst wird (bei geringem Speicherplatz), unterbrochen werden.
Wenn ein Eintrag hinzugefügt wird, werden DN-Werte nicht immer in Kleinbuchstaben konvertiert.
Wenn ein gemeinsam genutztes Attribut (das in zwei Datenquellen vorhanden ist) über eine zusammengelegte Ansicht von LDAP und JDBC gelöscht wird, wird ein Fehler ausgegeben, sofern das Attribut nicht in einer der beiden Ansichten vorhanden ist.
Bei einer hohen Suchlast kann ein JVM-Absturz im 64-Bit-Modus mithilfe von JDK 1.6 auftreten.
Wenn die JDBC-Quelle in den Spaltenwerten die Groß- und Kleinschreibung berücksichtigt (typischerweise DB2), kann der Versuch, einen JDBC-Attributwert zu löschen, fehlschlagen.
Sockets können im CLOSE_WAIT-Status hängen bleiben, sodass der Server nicht antworten kann.
Serververbindungen, die häufig geöffnet und dann wieder geschlossen werden, können dazu führen, dass der Server zu einem späteren Zeitpunkt nicht mehr antwortet, bis ein Neustart ausgeführt wurde.
Auf AMD64 Linux-Systemen kann der Server nicht im 32-Bit-Modus starten.
Bei einer hohen Last kann es beim Server zu Zeitüberschreitungen kommen, sodass an den Directory-Server gerichtete Vorgänge wiederholt werden müssen.
Bei Verwendung einer virtuell zugeordneten Basis innerhalb eines Suchfilters werden unter bestimmten Umständen keine Ergebnisse ausgegeben.
Bei Verwendung einer zusammengelegten Ansicht werden Änderungen, die für die sekundäre Datenansicht vorgesehen sind, falsch an die primäre Datenansicht übermittelt.
Wenn die Einrichtung einer zusammengelegten Regel während der Konfiguration der zusammengelegten Ansicht, die eine JDBC-Ansicht enthält, fehlschlägt, kann ein StringIndexOutOfBoundsException-Ausnahmefehler auftreten.
Bei speziellen Suchfiltern kann der Server Decodierungsfehler ausgeben.
Bei Verwendung einer zusammengelegten Ansicht, die eine JDBC-Ansicht enthält, schlägt der Versuch, ein Attribut eines Eintrags zu löschen, das nur im Verzeichnisdienst enthalten ist, fehl.
dpadm -V kann die JVM-Version nicht erkennen.
Der Server kann für Verbindungen zum Directory-Server den CLOSE_WAIT-Status beibehalten, sodass der Directory-Server nicht mehr antwortet.
Bei einem Suchfilter mit einem Attribut ohne Zeichenkette (wie z. B. Float oder Datum) kann das Abfragen von Ergebnissen von der JDBC-Ansicht fehlschlagen.
Interne Worker-Threads können sich gegenseitig blockieren, sodass der Server nicht antworten kann.
Hohe CPU-Spikes können auf dem Server auftreten und dazu führen, dass keine Dienste auf dem System mehr antworten können.
Verbesserungen in der Verwaltung von Grenzverbindungen zum Minimieren der Schließwartezeit.
ldapsearch kann einen fehlenden Attributwert eines Eintrags des MySQL-, Derby- oder DB2 JDBC-Backends ausgeben. Im Fall eines ORACLE JDBC-Backends wird kein fehlender Attributwert ausgegeben.
In diesem Abschnitt werden bekannte Probleme und Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Server Enterprise Edition 6.3.1 vorlagen.
Sun Directory Proxy Server 6.3.1 Update 1 Patch 141958–01 ist für die Anwendung oberhalb von Directory Server Enterprise Edition 6.3.1 ausgelegt, um Probleme der Directory Proxy Server-Komponenten zu beheben. Weitere Informationen erhalten Sie unter Directory Proxy Server 6.3.1 Update 1.
In diesem Abschnitt werden Einschränkungen im Produkt dargestellt.
Änderungen an den Dateizugriffsberechtigungen installierter Directory Server Enterprise Edition-Produktdateien verhindern unter Umständen den einwandfreien Betrieb der Software. Ändern Sie Dateizugriffsberechtigungen nur, wenn die Anleitungen in der Produktdokumentation oder der Sun-Support Sie dazu anweisen.
Zum Umgehen dieser Einschränkung installieren Sie Produkte und erstellen Serverinstanzen als Benutzer, der über entsprechende Benutzer- und Gruppenberechtigungen verfügt.
Wenn Sie ein selbstsigniertes Serverzertifikat erstellen, achten Sie darauf, dass Sie eine Gültigkeit mit ausreichender Länge angeben, sodass Sie das Zertifikat nicht verlängern müssen.
Verwenden Sie die zusammengelegte Datenansicht nicht für Schreibvorgänge, um die Unteilbarkeit sicherzustellen. Wenn Sie Schreibvorgänge an einer zusammengelegten Datenansicht ausführen, verwenden Sie einen externen Mechanismus, um Inkonsistenzen zu verhindern oder zu entdecken. Über das Directory Proxy Server-Fehlerprotokoll können Sie Inkonsistenzen überwachen.
In diesem Abschnitt werden die bekannten Probleme aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 vorlagen.
Der Vorgang zur DN-Änderung wird nicht für LDIF, JDBC, zusammengelegte und Zugriffssteuerung-Datenansichten unterstützt.
Zurzeit wird die Steuerung getEffectiveRight nur für LDAP-Datenansichten unterstützt und berücksichtigt noch keine ACIs, die lokal am Proxy anliegen.
Directory Proxy Server kann ACIs, die Untertypen des Zielattributs enthalten, wie z. B. (targetattr = "locality;lang-fr-ca") zurückweisen..
Directory Proxy Server kann die Verbindung der JDBC-Datenquelle nach einem Verbindungsfehler der Datenquelle nicht fortsetzen. Directory Proxy Server kann die Verbindung nur fortsetzen, nachdem die Directory Proxy Server-Instanz neu gestartet wurde.
Directory Proxy Server muss neu gestartet werden, wenn die Konfiguration des Authentifizierungsmodus geändert wurde.
Nach dem Generieren einer CA-signierten Zertifikatanforderung wird das Zertifikat beim Aktualisieren als selbstsigniertes Zertifikat angezeigt.
Wenn der von Directory Proxy Server verwendete SSL-Anschluss inkorrekt ist, kann Directory Proxy Server nach einer gesicherten Suchanforderung an diesem Anschluss alle Verbindungen schließen.
Directory Proxy Server kann die Anzahl der Verweis-Hops nicht korrekt zählen, wenn es darauf konfiguriert ist, eine Authentifizierung auf Basis der Clientanwendungs-Berechtigungen zu verwenden, und keine Proxyautorisierung.
Es ist möglich, die Eigenschaft base-dn zu definieren, wenn Sie eine Datenansicht erstellen. Es ist jedoch nicht möglich, die Eigenschaft base-dn auf "", dem Root-DSE, festzulegen, nachdem die Datenansicht erstellt wurde.
Directory Service Control Center Werte als Zeichenfolgen sortieren. Wenn Sie daher in Directory Service Control Center Ziffern sortieren, werden die Ziffern wie Zeichenfolgen sortiert.
Eine aufsteigende Sortierung von 0, 20 und 100 ergibt die Liste 0, 100, 20. Eine absteigende Sortierung von 0, 20 und 100 ergibt die Liste 20, 100, 0.
Nach dem Konfigurieren der Warnungen müssen Sie Directory Proxy Server erneut starten, damit die Änderung wirksam wird.
Directory Proxy Server kann einen Eintrag, der in eine andere Datenansicht verschoben wird, nicht umbenennen, wenn die numerische oder lexikographische Datenverteilung konfiguriert ist.
Bei der Arbeit mit zusammengelegten Datenansichten übernimmt Directory Proxy Server keine Datenverteilungsalgorithmen in die zusammengelegten Ansichten.
Zum Umgehen dieses Problems konfigurieren Sie die Datenverteilung auf Ebene der zusammengelegten Datenansichten, wenn die Zusammenlegung und Datenverteilung gemeinsam verwendet werden.
In Directory Proxy Server funktioniert das Verweis-Hop-Limit nicht.
Die Ausgabe der Befehl dsadm und dpadm und die Hilfemeldungen sind unter Windows nicht ins Chinesische (traditionell) und Chinesische (vereinfach) lokalisiert.
Die Erstellung von JDBC-Datenquelleneinträgen wird nicht dynamisch erkannt. Wenn Sie einen JDBC-Server vor Erstellung einer JDBC-Datenansicht generieren, wird die Datenansicht so lange ignoriert, bis der Server neu gestartet wurde. Nach Konfiguration einer JDBC-Datenquelle müssen Sie daher Directory Proxy Server neu starten, damit die Änderung erkannt wird.
Im Fall von JDBC-Objektklassen, bei denen eine Klasse, A, eine Tabelle als sekundäre Tabelle verwendet, und eine andere Klasse, B, dieselbe Tabelle als einzige primäre Tabelle verwendet, funktionieren die Anforderungen von B nicht. Der Directory Proxy Server kann die Eigenschaft filter-join-rule nicht ignorieren, wenn diese in der primären Tabelle verwendet wird.
Nach der Installation und dem Erstellen einer Serverinstanz auf Windows-Systemen erlauben die Dateizugriffsberechtigungen für die Installation und den Ordner der Serverinstanz allen Benutzern den Zugriff.
Zum Umgehen dieses Problems ändern Sie die Berechtigung für die Installations- und Serverinstanzordner.
Unter Windows kann die DSCC-Initialisierung nur von einem Administrator ausgeführt werden.
Access Manager hat beim Zugriff auf Directory Server über Directory Proxy Server Probleme bei der Zwischenspeicherung während beständiger Suchvorgänge nach einem Neustart von Directory Server erfahren.
Zum Umgehen dieses Problems starten Sie nach einem Neustart von Directory Server entweder Access Manager oder Directory Proxy Server neu.
Zur weiteren Feinanpassung können Sie die Anzahl von und Verzögerungen zwischen Access Manager-Versuchen erhöhen, um die beständigen Suchverbindungen neu aufzubauen. Erhöhen Sie diese Parameter, indem Sie die folgenden Eigenschaften in der Datei AMConfig.properties ändern.
Erhöhen Sie die Eigenschaft com.iplanet.am.event.connection.num.retries, welche die Anzahl der Versuche darstellt. Der Standardwert beträgt 3 Versuche.
Erhöhen Sie die Eigenschaft com.iplanet.am.event.connection.delay.between.retries , welche die Anzahl der Millisekunden der Verzögerung zwischen den Versuchen darstellt. Der Standardwert beträgt 3000 Millisekunden.
Wenn Sie eine Suche mithilfe der JDBC-Datenansicht, die mit der DB2-Datenbank konfiguriert wurde, ausführen, und eine große Anzahl an Einträgen in den Suchergebnissen ausgegeben werden, kann nach Ausgabe von 1,344 Einträgen ein Fehler auftreten.
Zum Umgehen dieser Einschränkung erhöhen Sie die Anzahl der großen Pakete, indem Sie den Wert des CLI/ODBC-Konfigurationsschlüsselwortes CLIPkg auf einen Wert bis zu 30 einstellen. Auch dann ist das Suchergebnis auf maximal 11.712 Einträge beschränkt.
Weitere Informationen erhalten Sie unter DB2-Dokumentation.
Wenn Sie ein selbstsigniertes Zertifikat mithilfe von Directory Service Control Center erstellen, verwenden Sie keine Multibyte-Zeichen für die Zertifikatsnamen.
Die standardmäßige LDAP-Steuerungen, die über Directory Proxy Server zulässig sind, werden nicht von Directory Service Control Center angezeigt.
Directory Service Control Center entfernt Kommas, wenn der DN für eine vorhandene ausgeschlossene Unterstruktur oder alternative Suchstruktur geändert wird.
Wenn Sie den nicht gesicherten LDAP-Zugriff zum ersten Mal aktivieren oder deaktivieren, müssen Sie Directory Proxy Server neu starten, damit die Änderung wirksam wird.
Die Einstellungen für Zeitlimit und Größenlimit funktionieren nur mit LDAP-Datenquellen.
Wenn Sie den Befehl dpadm set-flags cert-pwd-store=off verwendet haben, kann Directory Proxy Server nicht mithilfe von Directory Service Control Center neu gestartet werden.
Der Befehl dpadm start kann fehlschlagen, wenn er mit dem Namen einer Serverinstanz verwendet wird, in dem ASCII- und Multibytezeichen enthalten sind.
Wenn Sie die Eigenschaft data-view-routing-custom-list auf einem vorhandenen Verbindungs-Handler einstellen, tritt ein Fehler in den Namen von Datenansichten auf, die Zeichen enthalten, die vermieden werden müssen, beispielsweise Kommas.
Zum Umgehen dieses Problems geben Sie Datenansichten keine Namen, die Zeichen enthalten, die vermieden werden müssen. Verwenden Sie beispielsweise keine Namen von Datenansichten, die DNs enthalten.
Wie auf der Handbuchseite allowed-ldap-controls(5dpconf) angegeben, ermöglicht Directory Proxy Server im Gegensatz zu früheren Versionen standardmäßig keine serverseitige Sortiersteuerung.
Sie können den Directory Proxy Server-Support für die serverseitige Sortiersteuerung aktivieren, indem Sie server-side-sorting zu der Liste der zulässigen LDAP-Steuerelemente, die in der Eigenschaft allowed-ldap-controls angegeben sind, hinzufügen.
$ dpconf set-server-prop \ allowed-ldap-controls:auth-request \ allowed-ldap-controls:chaining-loop-detection \ allowed-ldap-controls:manage-dsa \ allowed-ldap-controls:persistent-search \ allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 \ allowed-ldap-controls:real-attributes-only \ allowed-ldap-controls:server-side-sorting |
Beachten Sie, dass Sie die vorhandenen Einstellungen wiederholen müssen. Andernfalls ist nur die serverseitige Sortiersteuerung zulässig.
Wenn Sie die DN-Umbenennungsfunktion von Directory Proxy Server verwenden, achten Sie darauf, dass mehrfach auftretende DN-Komponenten nur in einer Ersatzkomponente umbenannt werden.
Sie können beispielsweise in Betracht ziehen, DNs, die auf o=myCompany.com enden, in DNs umzubenennen, die auf dc=com enden. Bei Einträgen, deren DN die ursprüngliche Komponente wiederholen, beispielsweise uid=userid,ou=people,o=myCompany.com,o=myCompany.com , ergibt sich der umbenannte DN uid=userid,ou=people,dc=com und nicht uid=userid,ou=people,o=myCompany.com,dc=com.
Die JDBC-Verbindungskonfiguration für den Zugriff auf Oracle 9 über Directory Proxy Server weicht von der Beschreibung in der Dokumentation ab.
Ziehen Sie die folgende Konfiguration in Betracht, in der ein Oracle 9-Server an Host myhost, Anschluss 1537 abhört und die Instanz über den Systembezeichner MYINST verfügt. Die Instanz verfügt über die Datenbank MYNAME.MYTABLE.
Zum Konfigurieren des Zugriffs auf MYTABLE legen Sie normalerweise die folgenden Eigenschaften fest.
Legen Sie in der JDBC-Datenquelle db-name:MYINST fest.
Legen Sie in der JDBC-Datenquelle db-url:jdbc:oracle:thin:myhost:1537: fest.
Legen Sie in der JDBC-Tabelle sql-table:MYNAME.MYTABLE fest.
Wenn diese Einstellungen nicht funktionieren, konfigurieren Sie den Zugriff auf MYTABLE mithilfe der folgenden Einstellungen.
Legen Sie in der JDBC-Datenquelle db-name:(CONNECT_DATA=(SERVICE_NAME=MYINST))) fest.
Legen Sie in der JDBC-Datenquelle db-url:jdbc:oracle:thin:@(DESCRIPTION= (ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=myhost)(PORT=1537))) fest.
Legen Sie in der JDBC-Tabelle sql-table:MYNAME.MYTABLE fest.
Directory Proxy Server kann keine JDBC-Attribute schreiben, die ein Verhältnis zwischen mehreren Tabellen (N:N) in der JDBC-Datenbank implizieren.
Directory Proxy Server-Instanzen mit Multibyte-DN und die mithilfe von DSCC erstellt wurden, können nicht unter Linux gestartet werden.
Wenn Sie die Service Management Facility (SMF) auf Solaris 10 verwenden, um eine Serverinstanz zu aktivieren, wird die Instanz unter Umständen nicht gestartet, wenn Sie das System neu starten. Es wird der folgende Fehler angezeigt:
svcadm: Instance "svc:/instance_path" is in maintenance state. |
Zum Umgehen dieses Problems erstellen Sie mit einem lokalen Benutzer Directory Server- und Directory Proxy Server-Server.
Die Directory Proxy Server-Instanz mit Multibyte-Zeichen im Pfad kann möglicherweise nicht in DSCC erstellt werden, um reguläre Aufgaben zu starten und auszuführen.
Einige dieser Probleme können mithilfe des Zeichensatzes, der zum Erstellen der Instanz verwendet wurde, gelöst werden. Stellen Sie den Zeichensatz mithilfe der folgenden Befehle ein:
# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
Verwenden Sie nur die ASCII-Zeichen in dem Instanzenpfad, um diese Probleme zu vermeiden.
Wenn Sie auf HP-UX auf &PN_GUIShort zugreifen und mehrere Browser auf unterschiedliche Gebietsschemas eingestellt haben, kann DSCC einige Zeichenfolgen in einem Gebietsschema darstellen, das von dem im Browser eingestellten Gebietsschema abweicht..
Die Konsole ruft den Backendstatus der Directory Proxy Server-Instanz nicht ab, wenn ein Rechner über mehrere Hostnamen verfügt.
Wenn duplizierte Einträge in der RDBMS-Tabelle vorhanden sind, die einem in der JDBC-Objektklasse gefundenen DN-Muster entsprechen, dann würden die duplizierten Unteransichtknoten (Non-Leaf) von Directory Proxy Server ausgegeben werden, wenn die Suche mit der JDBC-Datenansicht ausgeführt wird. Beispiel: Wenn die JDBC-Objektklasse ein DN-Muster ou enthält und duplizierte Einträge (etwa sales) in der RDBMS-Spalte, die dem JDBC-Attribut ou zugeordnet ist, vorhanden sind, enthalten die Suchergebnisse duplizierte Knoten wie etwa ou=sales.
Gehen Sie zum Beheben dieses Problems wie folgt vor:
Erstellen Sie eine RDBMS-Ansicht, indem Sie die Werte aus der Tabelle, deren Spalte dem JDBC-Attribut ou zugewiesen ist, so verwenden, dass keine duplizierten Einträge vorhanden sind.
Ersetzen Sie den Namen der RDBMS-Tabelle mit dem Namen der RDBMS-Ansicht in der JDBC-Objektklasse mit dem DN-Muster ou. Da die RDBMS-Ansicht schreibgeschützt ist, besteht die Einschränkung darin, dass keine Werte für das JDBC-Attribut ou über Directory Proxy Server hinzugefügt werden können.
DPS erstellt unzulässige DB-Anforderungen.
In DSCC ist das Datum, das unter den Registerkarten Access Logs, Error Logs und Audit Logs angezeigt wird, nicht lokalisiert.
In DSCC 6.0 ist useTCPNoDelay standardmäßig auf false festgelegt, wenn eine Datenquelle mit DSCC erstellt wird, während der Standardwert von use-tcp-no-delay auf true festgelegt ist, wenn eine Instanz mit dem Verwaltungsbefehl dpconf create-ldap-data-source erstellt wird.
Wenn DSCC mit Tomcat-Server konfiguriert ist, zeigen die Popup-Fenster für Hilfe und Version die Multibyte-Zeichenfolgen in entstellter Form an.
Die Ausgabe des Befehls owner in der Ausgabe des Befehls dpadm show-cert dps-instance-path ist nicht in Chinesisch (Vereinfacht) und Chinesisch (Traditionell) lokalisiert.
Die Popup-Fenster mit der Aufforderung zum Stoppen oder Aufheben der Registrierung der Server zeigen im französischen Gebietsschema doppelte Apostrophs an.
Bei der Ausführung von Änderungen mithilfe des Tools modrate für eine zusammengelegte Ansicht mit LDAP und JDBC treten Null-Zeiger-Ausnahmefehler auf, wenn mehr als 1 Thread verwendet wird. Folgende Fehler können auftreten:
java.lang.NullPointerException com.sun.directory.proxy.server.JoinDataView. processModifyRequest(JoinDataView.java:916) com.sun.directory.proxy.server.JoinDataViewOpContext.processModifyRequest (JoinDataViewOpContext.java:243) com.sun.directory.proxy.server.ModifyOperation. processOperation(ModifyOperation.java:502 com.sun.directory.proxy.server .WorkerThread.runThread(WorkerThread.java:150) com.sun.directory.proxy.util.DistributionThread.run (DistributionThread.java:225) |
Wenn eine neue Datenquelle zum Datenquellenpool hinzugefügt wird, muss der Server neu gestartet werden.
Wenn die Directory Proxy Server-Konfigurationseigenschaft allow-bind-operations auf false festgelegt ist, ist es nicht möglich, über das Befehlszeilenargument mit der dpconf Option -–secure-port eine Verbindung an einem SSL-Anschluss herzustellen. Eine Verbindung bei Start von TLS (Standard) oder durch Löschen der Verbindung (die Option --unsecured) ist weiterhin möglich.
Directory Proxy Server ändert den DN eines ADD-Vorgangs nicht, wenn der Vorgang einem Verweis folgt, in dem sich der basedn von dem des ursprünglichen Rechners unterscheidet. Wenn Sie versuchen, eine Hinzufügung an einer Directory Proxy Server-Instanz auszuführen, deren Directory Server-Instanz darauf eingestellt ist, Verweisen zu folgen und Verweise nicht nur einfach weiterzuleiten, wird die Hinzufügung aufgrund eines falschen basedn auf dem Server abgelehnt, auf den verwiesen wurde.
Wenn der Befehl ldapmodify zum Ausführen der Hinzufügung an den Directory Server-Instanzen verwendet wird, wird die Hinzufügung zugelassen.
Das Schreiben von virtuellen Umwandlungen funktioniert nicht für das Umwandlungsmodell remove-attr-value .
Das Schreiben von virtuellen Umwandlungen funktioniert nicht wie erwartet, wenn ein Eintrag geändert wird.
Es wird keine Warnung angezeigt, wenn Sie für die Zertifikatdatenbank ein Passwort mit unzureichender Länge einstellen. Wenn das Passwort zu kurz ist, wird es von Directory Service Control Center akzeptiert. Wenn der Befehl dpadm mit den cert -Unterbefehlen ausgegeben wird, können die Befehle angehalten werden.
Beim Versuch, einen Attributwert mit dem SQL-TYP smalldatetime hinzuzufügen, wird der folgende Ausnahmefehler ausgelöst:
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: java.lang.Exception: com.microsoft.sqlserver.jdbc.SQLServerException: Conversion failed when converting datetime from character string. |
Die folgenden Abschnitte behandeln Directory Proxy Server 6.3.1 Update 1:
Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden
Installationshinweise für Directory Proxy Server 6.3.1 Update 1
Behobene Probleme und Einschränkungen in Directory Proxy Server 6.3.1 Update 1
Dieser Patch behebt Probleme nur in der Directory Proxy Server-Komponente des Directory Server Enterprise Edition-Produkts. Es ist für die Anwendung oberhalb von Directory Server Enterprise Edition 6.3.1 ausgelegt. Die Directory Server-Komponente von Directory Server Enterprise Edition 6.3.1 bleibt unverändert.
Dieses Update kann nicht für frühere Versionen als Directory Server Enterprise Edition 6.3.1 angewendet werden. Anweisungen für ein Upgrade auf Version 6.3.1 erhalten Sie in Tabelle 2–1, “Upgrade der Pfade auf Directory Server Enterprise Edition 6.3.1.”
Dieser Abschnitt behandelt folgende Themen:
Dieses Update ist eine Zwischenversion, die hauptsächlich die in Fehler, die in Directory Proxy Server 6.3.1 Update 1 behoben wurden beschriebenen Probleme behebt.
Directory Proxy Server 6.3.1 Update 1 führt außerdem das neue Verhalten in beständigen Suchoperationen aus. Wenn eine Client-Anwendung die beständigen Suchantworten vom Directory Proxy Server nur sehr langsam liest, wird die Proxy Server-Anwortwarteschlange überladen. In diesem Fall kann der Server die Verbindung mit folgender Client-Benachrichtigung schließen:
LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ] |
Eine informative Nachricht, ähnlich wie die folgende, wird ebenfalls protokolliert:
[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO - conn=19 \ reason="admin limit exceeded" \ msg="client didn't read any data during 160 milliseconds." |
Directory Proxy Server 6.3.1 Update 1 bietet folgende Verbesserungen:
Ein Pfadname kann für JAVA_HOME eingestellt werden und Vorrang gegenüber dem in der Umgebung definierten Wert von JAVA_HOME haben, wie im folgenden Beispiel gezeigt:
$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/ |
Der Befehl dpadm ändert den Wert umask und beim nächsten Neustart der DPS-Instanz werden die Berechtigungen der Konfigurationsdatei entsprechend dem neuen Wert umask geändert. Die Berechtigung der Protokolldatei wird bei der nächsten Dateirotation ähnlich eingestellt. Das folgende Beispiel zeigt eine typische Verwendung:
$ dpadm set-flags instance-path umask=22 |
Der Administrator kann nun unterschiedliche virtuelle Umwandlungen auf demselben MODEL, ACTION, ATTR_NAME definieren.
Directory Proxy Server 6.3.1 Update 1 fügt außerdem neue Eigenschaften hinzu und aktualisiert bestehende Eigenschaften, wie in der folgenden Liste beschrieben. Neue Eigenschaften werden als "Neu" gekennzeichnet. Eigenschaften, die gegenüber ihren Spezifikationen in DSEE 6.3.1 geändert wurden, werden als "Aktualisiert" gekennzeichnet.
Dynamisch (kein Neustart erforderlich)
Ebene: connection-handler
Typ: boolean
Standardwert: false
Beschreibung: Zeigt an, ob der Verbindungs-Handler die Clientverbindung schließen soll, wenn keine Datenquelle verfügbar ist.
Dynamisch (kein Neustart erforderlich)
Ebene: Verbindungs-Handler
Typ: boolean
Standardwert: false
Beschreibung: Zeigt an, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.
Dokumentation: Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-source
Typ: enumeration
RDBMS-Backend ist MySQL.
RDBMS-Backend ist Apache Derby/Java DB.
RDBMS-Backend ist DB2.
RDBMS-Backend ist Oracle.
RDBMS-Backend ist Microsoft SQL Server.
RDBMS-Backend ist nicht definiert. Falls möglich legt Directory Proxy Server den Herstellernamen über die in jdbc-data-source definierte db-url fest.
Standardwert: generic
Beschreibung: Herstellername der JDBC-Datenquelle
Dokumentation: Diese Eigenschaft legt den Herstellernamen der JDBC-Datenquelle fest. Sollte eingestellt werden, wenn ein anderer IDBC-Treiber eines Drittanbieters und nicht der vom Datenbankhersteller bereitgestellte verwendet wird, um eine Verbindung mit dem RDBMS-Backend herzustellen. Diese Daten werden verwendet, um herstellerspezifische SQL-Anweisungen zu erstellen, die eine Leistungsverbesserung bewirken können.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view
Neuer Typ: lang
Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl
Die übrigen Attribute bleiben wie zuvor.
Dynamisch (kein Neustart erforderlich)
Ebene: jdbc-data-view, join-data-view, ldap-data-view und ldif-data-view
Neuer Typ: lang
Alter Typ (für DPS 6.0 bis 6.3.1): Ganzzahl
Die übrigen Attribute bleiben wie zuvor.
Statistisch (Neustart erforderlich)
Ebene: ldap-data-source
Typ: Dauer in Sekunden (untere Grenze: 1)
Standardwert: Übernommen (Wert von monitoring-interval)
Beschreibung: Intervall, in dem die Verfügbarkeitsüberwachung fehlgeschlagene Verbindungen abruft, um ihre Wiederherstellung festzustellen
Dokumentation: Diese Eigenschaft legt das Abrufintervall fest. Wenn eine Verbindung fehlschlägt, ruft die Verfügbarkeitsüberwachung die Verbindung in diesem Intervall auf, um deren Wiederherstellung festzustellen. Falls nicht anders angegeben wird der Wert der Eigenschaft monitoring-interval verwendet.
Statistisch (Neustart erforderlich)
Ebene: ldap-data-source
Typ: Ganzzahl (untere Grenze: 1)
Standardwert: 3
Beschreibung: Anzahl der durchzuführenden Neuversuche, bevor die Verbindung als nicht aktiv gekennzeichnet wird
Dokumentation: Diese Eigenschaft legt fest, wie häufig die Verfügbarkeitsüberwachung die Verbindung abruft, nachdem sie das erste Mal fehlgeschlagen ist. So kann der Aufbau der Verbindung schneller gekennzeichnet werden. Wenn die Verbindung auch nach Ablauf der festgelegten Versuche fehlschlägt, wir der Wert der Eigenschaft down-monitor-interval als Abrufintervall verwendet.
Dynamisch (kein Neustart erforderlich)
Ebene: ldap-data-source
Typ: boolean
Standardwert: true
Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen mit Server und der Datenquelle aktiviert ist
Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen dem Server und der Datenquelle aktiviert werden soll.
Dynamisch (kein Neustart erforderlich)
Ebene: ldap-listener und ldaps-listener
Typ: boolean
Standardwert: true
Beschreibung: Gibt an, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert ist
Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob SO_KEEPALIVE für Verbindungen zwischen Clients und Zielgerät aktiviert werden soll.
Dynamisch (kein Neustart erforderlich)
Ebene: Server
Typ: boolean
Standardwert: true
Neue Beschreibung: Gibt an, ob der Server unauthentifizierte Vorgänge akzeptiert
Alte Beschreibung (für DPS 6.0 bis DPS 6.3.1): Gibt an, ob der Server Vorgänge von anonymen Clients akzeptiert
Neue Dokumentation: Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server unauthentifizierte Vorgänge akzeptiert. Der Modus zum Behandeln des Verbindungsvorgangs wird mithilfe von allow-unauthenticated-operations-mode festgelegt
Alte Dokumentation (für DPS 6.0 bis DPS 6.3.1): Diese Eigenschaft ist ein Flag, der angibt, ob Directory Proxy Server anonyme Clients zum Ausführen von Vorgängen zulässt.
Dynamisch (kein Neustart erforderlich)
Ebene: Server
Typ: enumeration
Wenn kein Passwort angegeben ist, sind nur anonyme Verbindungen zulässig
Wenn kein Passwort angegeben ist, sind nur Verbindungen mit einem angegebenen DN zulässig
Wenn kein Passwort angegeben ist, sind anonyme Verbindungen und Verbindungen mit angegebenem DN zulässig
Standardwert: anonymous-and-dn-identified
Beschreibung: Modus zum Behandeln von Verbindungsvorgängen ohne Passwort.
Dokumentation: Diese Eigenschaft legt fest, wie Directory Proxy Server Vorgänge ohne Verbindungspasswort behandelt, wenn allow-unauthenticated-operations auf true gesetzt ist.
Statistisch (Neustart erforderlich)
Ebene: Server
Typ: Dauer in Millisekunden
Neuer Standardwert: 250
Alter Standardwert (für DPS 6.0 bis 6.3.1): 500
Neue Dokumentation: Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 250 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution oder ändern Sie den Wert der Eigenschaft time-resolution-mode. Bei der Einstellung von 0 Millisekunden verhält sich der Proxy so, als wenn der Wert der Eigenschaft time-resolution-mode auf system-milli eingestellt ist. Diese Eigenschaft wird ignoriert, wenn der Wert der Eigenschaft time-resolution-mode auf system-milli oder system-micro eingestellt ist.
Alte Dokumentation (für DPS 6.0 bis 6.3.1): Diese Eigenschaft gibt das Zeitintervall zwischen fortlaufenden Systemaufrufen an, die die Zeit aus dem BS abrufen. Für Details über Vorgänge, die weniger als 500 Millisekunden benötigen, reduzieren Sie den Zeitraum time-resolution. Bei der Einstellung von 0 Millisekunden führt der Proxy systematisch einen Systemaufruf aus, um die aktuelle Zeit abzurufen. Andernfalls wird die Zeit zwischengespeichert und nur jeweils für den Zeitraum time-resolution abgefragt. Diese Zeit wird in den Protokollen angezeigt.
Die Beschreibung bleibt wie zuvor.
Statistisch (Neustart erforderlich)
Ebene: Server
Typ: enumeration
Verwenden Sie einen Thread, um alle time-resolution Millisekunden einen Systemaufruf auszuführen
Fragen Sie die Zeit in Millisekunden mithilfe eines Systemaufrufs ab
Fragen Sie die Zeit in Mikrosekunden mithilfe eines Systemaufrufs ab
Standardwert: custom-resolution
Beschreibung: Modus zum Abfragen der Systemzeit
Dokumentation: Diese Eigenschaft legt den Modus fest, der zum Abrufen der Zeit aus dem BS verwendet wird.
Directory Proxy Server 6.3.1 Update 1 ist für alle unterstützten Directory Server Enterprise Edition 6.3.1-Plattformen verfügbar. Weitere Informationen erhalten Sie unter Hardwareanforderungen und Anforderungen an das Betriebssystem.
In diesem Abschnitt werden die in Directory Proxy Server 6.3.1 Update 1 behobenen Fehler aufgeführt.
Directory Proxy Server erstellt unzulässige Datenbankanforderungen.
Wenn connectionIdleTimeOutInSec für das LDAP-Zielgerät eingestellt wird, kann DSCC deaktiviert werden.
Ein Suchvorgang kann Einträge ausgeben, die Attribute enthalten, die nicht in viewable-attr vorhanden sind.
Die Eigenschaft max-client-connections wird nicht durchgesetzt, wenn an der Verbindung kein Vorgang ausgeführt wird.
Die Arbeitsspeicherüberwachung ist standardmäßig deaktiviert.
Der nummerische Verteilungsalgorithmus sollte long anstelle von int verwenden, um nummerische Bereiche einzustellen.
Die Directory Proxy Server-Standardgrößenbeschränkung für die Ressourceneigenschaften verwendet die falsche Ganzzahl ohne Begrenzung.
DN-Umwandlungen schlagen fehl.
Die Einstellung von add-attr-value kann dazu führen, dass DN-Umwandlungen falsche Ausgaben erzeugen.
Der Verbindungs-DN sollte bei der Verbindung mit einem LDAP-Server zugeordnet werden. (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN).
Eine neue virtuelle Umwandlung kann nicht mit demselben "MODEL, ACTION, ATTR_NAME" hinzugefügt werden.
Die Eigenschaft requires-bind-password, die auf dem Backend-Verzeichnisserver eingestellt ist, wird nicht durchgesetzt.
Die virtuelle DN-Zuordnung schlägt fehl, wenn sie von einem virtuellen Attribut abhängt.
Der Verbindungs-DN wird abgelehnt, wenn die Umwandlung fehlschlägt, selbst wenn er in die Ansicht fällt.
Falsche DN-Zuordnung für die Richtung vom Server.
Groß-/Kleinbuchstaben in den Attributnamen werden von 6.3 Directory Proxy Server umgewandelt.
Ein Kunde wird aufgefordert, für Directory Proxy Server Gruppenberechtigungen für Konfigurations- und Protokolldateien einzurichten (umask 117, chmod 660).
Der Befehl dpadm start erstellt ein Speicherabbild, wenn das Java-Argument MaxTenuringThreshold verwendet wird.
DN-Zuordnung kann umbenannte Einträge ablegen.
Der Befehl dpadm erzeugt keine DPS.pid -Datei.
Das Directory Proxy Server-Konfigurationsschema ist nicht mit der Funktion SystemMonitorThread.java vereinbar.
Server und Konsole sind mit dem searchMode-Parameter unvereinbar.
Directory Proxy Server schlägt fehl, wenn er für die Verwendung einer Proxy-Authentifizierung konfiguriert ist.
Ermöglicht die Einstellung von JAVA HOME mithilfe von dpadm set-flags.
DN-Zuordnung kann nicht auf rootDSE verwendet werden.
Directory Proxy Server erfordert virtuelle DN-Umwandlungen mit mehrfachbewerteten Benennungsattributen.
Zeitgranularität in Mikrosekunden sollte für etimes angegeben werden.
Der Befehl splitldif ignoriert virtuelle Umwandlungen.
Sockets können bei starker Last im geschlossen Wartestatus verbleiben.
Die Option SO_KEEPALIVE ist nicht in Directory Proxy Server 6.3 eingestellt (d. h. setKeepAlive() != True), wenn ein Socket erstellt wird.
Durch die Korrektur von CR 6513526 können Regressionen auftreten, da Nullwerte in den ConfigAttribute-Objekten vorliegen.
Die Eigenschaft acceptBacklog wird für Listener auf Kanalbasis ignoriert.
Inaktivitätstakte werden aufgrund der letzten Aktivität einer Backend-Verbindung nicht häufig genug gesendet.
Inaktivitätstakte werden nicht für gebundene Backend-Verbindungen gesendet.
Backend-Serverüberprüfungen finden unter Umständen aufgrund der letzten Serveraktivität nicht häufig genug statt.
Der Befehl ldapsearch, der auf Überwachungseinträgen ausgeführt wird, kann eine inkonsistente Ausgabe verursachen.
Eine Verfügbarkeitsprüfung sollte feststellen, ob der Backend-Server inaktiv ist, bevor alle Verbindungen unterbrochen werden.
Eine Verbindung kann im Fall einer abgebrochenen Anforderung gesperrt werden.
Für die Backend-Takte ist eine höhere Genauigkeit erforderlich.
Ein fehlender Dateideskriptor ist im Serversocket aufgetreten.
Ein NULL-Zeiger-Ausnahmefehler kann bei der Suche in cn=monitor auftreten, wenn ein Failover-Pool ohne Quelle definiert wurde.
Directory Proxy Server öffnet die Verbindungen zum Directory-Server weiterhin, nachdem ein Verbindungsversuch fehlgeschlagen ist.
Clients für beständige Suchvorgänge erhalten unter Umständen keine Benachrichtigungen zur Änderung des Eintrags.
Zwei Verbindungen können denselben Bezeichner gemeinsam nutzen.
Beständige Suchvorgänge werden nach der Trennung des Clients nicht bereinigt.
Das proaktive Überwachungsintervall sollte auf 1 Sekunde gestellt werden, wenn eine Datenquelle als inaktiv erkannt wird.
Directory Proxy Server verknüpft verschiedene Client-Vorgänge mit derselben Backend-Verbindung.
Backend-Verbindungen werden nicht geschlossen aber wiederverwendet, wenn die Leerlaufzeit größer ist als inactivity-timeout, wodurch ein Verbindungsabbau verursacht wird.
Die Fehler bei der Verbindungspool-Systemverwaltung und Ausführung der Zustandprüfung sollten behoben werden.
Zwei simultane lange Verbindungen weisen dieselbe Backend-Verbindung zwei Client-Verbindungen zu.
Bei Einstellung eines falschen jvm-path bleibt der Neustart ohne Warnung hängen.
Directory Proxy Server gibt den falschen Fehlercode aus, wenn kein Backend-Server verfügbar ist
Es sollte eine Option bereitgestellt werden, um die Client-Verbindung im Fall von "Backend-Verbindung konnte nicht abgerufen werden" zu schließen.
Clientaffinität darf nicht aktiviert sein, wenn useAffinity=false und affinityPolicy explizit festgelegt sind.
Directory Proxy Server kann nicht gestartet werden, wenn einer der Hosts der Datenquellen nicht erreichbar ist.
Der Befehl dpconf sollte die neuen Attribute unterstützen, die in Directory Proxy Server 6.3.1_Update 1 eingeführt werden.
Der Befehl dpconf sollte die Zuweisung der Verbindungs-DN unterstützen.
Für die Verwaltung der Directory Proxy Server-Eigenschaften sollte eine einfachere Versionierung zur Verfügung gestellt werden.
Der Befehl dpconf sollte monitorRetryCount unterstützen.
Die Clientaffinität ignoriert den schreibgeschützten Flag der Datenquelle.
Die Implementierung von Fehlerbehebungen für CR 6714425 und 6714448 sollte fertig gestellt werden.
Ein zusammengelegter Ausdruck in Kleinbuchstaben kann dazu führen, dass SQL-Anforderungen fehlschlagen.
Die Directory Proxy Server 6.3.1-Leistung ist unzureichend, wenn mehr als 100 Clients beständige Suchvorgänge durchführen.
Thread-Schleifenbildung von beständigen Suchen und Directory Proxy Server können keine beständigen Suchvorgänge mehr durchführen
Die Leistung der beständigen Suchvorgänge ist unzureichend.
Die Erstellung von 20 beständigen Suchvorgängen und anschließendem Stoppen führt dazu, dass die beständige Suchfunktion fehlschlägt.
Directory Proxy Server gibt in bestimmten Fällen der Attributzuordnung und virtueller Umwandlung StringIndexOutOfBoundsException aus.
Die Umwandlungs- und Zuordnungsregeln werden nicht wie erwartet ausgeführt.
Threads können vorzeitig ausgeführt werden und einen ASN.1-Ausnahmefehler erzeugen.
Der Directory Proxy-Server gibt einen falschen Fehler aus, wenn das Backend abschaltet.
Ein unerwarteter Null-Zeiger-Ausnahmefehler kann hervorgerufen werden.
Unter einigen Umständen kann das Passwortspeicherschema von der JDBC-Datenansicht ignoriert werden.
Der Directory Proxy Server kann identische Ergebnisse ausgeben, wenn sich unterschiedliche Benutzer mit einer Client-Verbindung verbinden.
Unter gewissen Umständen kann das Starten von Directory Proxy Server bei Verwendung von JDBC fehlschlagen.
Ein unerwarteter ASN1-Ausnahmefehler kann auftreten und nicht behandelt werden.
Hier werden die folgenden Themen behandelt:
Directory Proxy Server 6.3.1 Update 1 ist ein Patch, das für eine bestehende Installation von Directory Server Enterprise Edition 6.3.1 angewendet wird. Wenn Sie eine frühere Directory Server Enterprise Edition-Version als 6.3.1 ausführen, müssen Sie zunächst ein Upgrade auf Version 6.3.1 ausführen, wie in Kapitel 2Installationshinweise beschrieben, bevor Sie den Patch für Directory Proxy Server 6.3.1 Update 1 anwenden.
Sie können den Patch für Directory Proxy Server 6.3.1 Update 1 unter http://www.sun.com/software/products/directory_srvr_ee/get.jsp herunterladen.
Directory Proxy Server 6.3.1 Update 1 ist ein einziger Patch für alle DSEE-Plattformen:
Solaris SPARC
Solaris 9 x86
Solaris 10 x86 und AMD x64
Red Hat Linux
SuSe Linux
HP-UX
Windows
Die folgenden Verteilungen sind für alle Plattformen verfügbar:
Native Paketverteilung (außer für HP-UX)
Zip-Distribution
Directory Proxy Server 6.3.1 Update 1 Patch 141958-01 ist über SunSolve verfügbar und gilt für beide der folgenden Installationsarten:
Native Pakete von Directory Server Enterprise Edition 6.3.1, die mit dem Java ES-Installationsprogramm installiert sind
ZIP-Installationen von Directory Server Enterprise Edition 6.3.1
In diesem Abschnitt wird die Installation von Directory Proxy Server 6.3.1 Update 1 beschrieben.
Sichern Sie das Installationsverzeichnis von Directory Server Enterprise Edition, bevor Sie den Directory Proxy Server 6.3.1 Update 1-Patch anwenden, da Sie frühere Directory Proxy Server-Konfigurationen zu einem späteren Zeitpunkt nicht wieder herstellen können. Dieser Tipp gilt sowohl für ZIP-Installationen als auch für Installationen von nativen Paketen.
Laden Sie den Patch 141958-01 von Sunsolve in ein downloaded-patch-path -Verzeichnis herunter.
Stoppen Sie die Directory Proxy Server-Instanzen, die mit der zu patchenden Installation verbunden sind.
Öffnen Sie unter Windows das Fenster zur Befehlseingabeaufforderung. Öffnen Sie unter UNIX ein Terminal-Fenster.
Ändern Sie das aktuelle Verzeichnis in das Verzeichnis mit der Installationssoftware für die Plattform und Verteilung (ZIP oder nativ), die Sie aktualisieren möchten:
Das folgende Beispiel zeigt einen typischen Befehl für diesen Zweck:
$ cd downloaded-patch-path/SunOS_x64/zip/delivery |
Die folgende Tabelle zeigt die Speicherorte der Installationssoftware im downloaded-patch-path-Verzeichnis.
Betriebssystem |
Verzeichnis, das die ZIP-Bereitstellung enthält |
Verzeichnis, das die Bereitstellung des nativen Pakets enthält |
---|---|---|
Solaris SPARC |
SunOS/zip/delivery |
SunOS/native/delivery |
Solaris 9 x86 |
SunOS_x86/zip/delivery |
SunOS_x86/native/delivery |
Solaris 10 x86 und AMD x64 |
SunOS_x64/zip/delivery |
SunOS_x64/native/delivery |
Red Hat Linux |
Linux/zip/delivery |
Linux/native/delivery |
SuSE Linux |
Linux/zip/delivery |
Linux/native/delivery |
HP-UX |
Hpux/zip/delivery |
N/A |
Windows |
Windows/zip/delivery |
Windows/native/delivery |
Starten Sie unter UNIX das Installationsskript.
Führen Sie folgenden Befehl aus:
$ Install dsee631-install-path |
wobei dsee631-install-path der Pfad zum Verzeichnis ist, in dem Directory Server Enterprise Edition 6.3.1 installiert ist.
Die folgenden Meldungen werden angezeigt:
-------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ? |
Geben Sie y für yes ein. Das Installationsprogramm gilt für den Patch der Directory Server Enterprise Edition 6.3.1-Installation, den Sie angegeben haben.
Führen Sie unter Windows den folgenden Befehl im Fenster zur Befehlseingabeaufforderung aus:
Install.exe |
Ein Assistent wird geöffnet und fordert Sie auf, den korrekten Installationspfad zur Installation des Directory Proxy Server 6.3.1 Update 1-Patches zu suchen und auszuwählen. Wählen Sie zum Patchen einer 6.3.1 ZIP-Installation das Verzeichnis aus, in das Sie Directory Server Enterprise Edition 6.3.1 installiert haben. Wählen Sie zum Patchen eines nativen Pakets C:\Program Files\Sun\JavaES5\DSEE aus.
Der Assistent wendet den Patch für Directory Server Enterprise Edition 6.3.1 an.
Bestätigen Sie, dass die Installation erfolgreich ausgeführt wurde, indem Sie diese beiden Befehle ausführen und sicherstellen, dass die Reaktion wie folgt aussieht:
$ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155 |
Dieser Schritt ist erforderlich, wenn die Directory Server Enterprise Edition 6.3.1, die Sie patchen, ein Hotfix für CR 6722222 enthält.
Wenn der Hotfix für CR 6722222 (Verbindungs-DN bei Verbindung mit einem LDAP-Server zuordnen (mithilfe der DN-Zuordnungsregel von DV des Verbindungs-DN)) angewendet wurde, führen Sie den folgenden Befehl in allen Instanzen für jeden Verbindungs-Handler aus:
$ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true |
Diese Eigenschaft ist ein Flag, der anzeigt, dass die eingehende Client-Identität nicht verbindlich mit einem Remote LDAP-Server verwendet werden muss. Nachdem CR 6722222 angewendet wurde, kann das Standardverhalten jetzt wie in dem Beispiel aufgezeigt mit einer Verbindungs-Handler-Eigenschaft konfiguriert werden.
Starten Sie alle Proxy-Server-Instanzen neu.
In diesem Abschnitt werden die bekannten Probleme und Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Bekannte Probleme und Einschränkungen in Directory Proxy Server 6.3.1 bleiben auch dann bestehen, wenn der Patch für Directory Proxy Server 6.3.1 Update 1 angewendet wurde. Informationen über diese Probleme erhalten Sie unter Bekannte Probleme und Einschränkungen in Directory Proxy Server.
In diesem Abschnitt werden die bekannten Einschränkungen aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Wie in JDBC Object Classes in Sun Java System Directory Server Enterprise Edition 6.3 Reference beschrieben werden bei der Definition von JDBC-Tabellen primäre und sekundäre Tabellen eingesetzt. Directory Proxy Server lässt nicht zu, dass in einer dritten Tabelle die sekundäre Tabelle als primäre Tabelle verwendet wird. Das heißt, Directory Proxy Server unterstützt nur eine Ebene von zusammengelegten Regeln.
In diesem Abschnitt werden die bekannten Probleme aufgeführt, die zum Zeitpunkt der Veröffentlichung von Directory Proxy Server 6.3.1 Update 1 vorlagen.
Wenn in Version 6.3 ein Eintrag mehr als zwei Objektklassen besitzt, kann ein Eintrag nicht über eine zusammengelegte Ansicht (LDAP und JDBC) aufgrund des Hotfix für CR 6636463 hinzugefügt werden. Um einen solchen Eintrag hinzuzufügen, müssen diese Objektklassen als Superklasse im Konfigurationseintrag jdbc-object-class mithilfe von ldapmodify definiert werden, da dpconf set-jdbc-object-class-prop nur eine Superklasse hinzufügen kann.
Dieses Beispiel fügt den folgenden Eintrag hinzu:
dn: uid=test,ou=people,o=join sn: User cn: Test User objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: test userpassword: password givenname: Test mail: test@example.com telephonenumber: 8888-8888 roomnumber: 8000
Die JDBC-Ansicht, die vor Version 6.3 aktuell war, wird wie im folgenden Beispiel dargestellt definiert.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top
Da objectClass:organizationalPerson und objectClass:inetOrgPerson beide in dem hinzuzufügenden Eintrag vorhanden sind, müssen beide Objektklassen als Superklassen angegeben werden, wie von folgendem Befehl ldapmodify dargestellt.
$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson |
Wenn der ldapmodify-Befehl ausgeführt ist, wird jdbc-object-class wie im folgenden Beispiel dargestellt definiert.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top superclass: inetOrgPerson Added superclass: organizationalPerson Added
Obwohl die Dokumentation die Standardeinstellung für die Eigenschaft log-level-data-sources-detailed als none angibt, ist der eigentliche Standardwert all. Durch Einstellung von log-level-data-sources-detailed auf einen anderen Wert als none wird die Serverleistung beeinträchtigt und die access-Datei wächst schnell. Aus diesem Grund wird der Wert für die Einstellung log-level-data-sources-detailed automatisch auf none gesetzt, wenn DPS-Serverinstanzen erstellt werden. Es wird empfohlen, diese Einstellung nicht auf einen anderen Wert zu setzen.
Aufgrund eines Problems, das in Hinweise zur Störanfälligkeit VU#836068, MD5 anfällig für Konfliktangriffe beschrieben ist, sollte Directory Proxy Server nach Möglichkeit nicht den MD5-Algorithmus in signierten Zertifikaten verwenden.
Führen Sie folgende Schritte aus, um den Signaturalgorithmus eines Zertifikats festzulegen.
Führen Sie folgenden Befehl aus, um eine Liste der in einer speziellen Directory Proxy Server-Instanz definierten Zertifikate anzuzeigen.
$ dpadm list-certs instance-path |
Führen Sie folgende Befehle für jedes definierte Zertifikat aus, um festzulegen, ob das Zertifikat mit dem MD5-Algorithmus signiert ist:
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Das folgende Beispiel zeigt eine typische Ausgabe des Befehls dsadm show-cert für ein Zertifikat, das mit einem MD5-Signaturalgorithmus signiert ist:
Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ... |
Führen Sie den folgenden Befehl aus, um alle MD5-signierten Zertifikate aus der Datenbank zu entfernen.
$ dsadm remove-cert instance-path cert-alias |
Führen Sie folgende Schritte aus, um das Passwort der Zertifikatsdatenbank zu aktualisieren. (Der Befehl dpadm erzeugt bei der Erstellung einer Directory Server-Proxy-Instanz ein Standardpasswort für die Zertifikatsdatenbank.)
Halten Sie die Directory Proxy Server-Instanz an.
Führen Sie folgenden Befehl aus:
$ dpadm set-flags instance-path cert-pwd-prompt=on |
Eine Meldung erscheint, in der das Passwort abgefragt wird.
Geben Sie ein Passwort mit einer Länge von mindestens acht Zeichen ein.
Starten Sie die Directory Proxy Server-Instanz neu und geben Sie bei Aufforderung das Internal (Software) Token an.
Ersetzen Sie alle Zertifikate, die die MD5-Funktionen verwenden, mit Zertifikaten, die den SHA-1-Signaturalgorithmus verwenden. Führen Sie einen der folgenden Vorgänge aus, abhängig davon, ob Ihre Installation ein selbstsigniertes Zertifikat oder ein Zertifikat, das von einer Zertifikatsautorität erworben wurde, verwendet.
Führen Sie die folgenden Schritte aus, um ein selbstsigniertes Zertifikat zu erstellen und zu speichern:
Führen Sie folgenden Befehl aus:
$ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias |
Der Standardsignaturalgorithmus ist MD5withRSA.
Die folgende Eingabeaufforderung erscheint:
[Password or Pin for "NSS Certificate DB"] |
Geben Sie das neue Passwort für die Zertifikatdatenbank ein.
Führen Sie folgende Schritte aus, um ein Zertifkat, das von einer Zertifikatsautorität (CA) erfasst wurde, zu generieren und zu speichern:
Führen Sie folgenden Befehl aus, um eine CA-signierte Serverzertifikatsanforderung auszustellen:
$ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias |
Stellen Sie sicher, dass Ihre Zertifikatsautorität den MD5-Signaturalgorithmus nicht länger verwendet, und senden Sie dann die Zertifikatsanforderung an die Zertifikatsautorität (entweder intern an Ihr Unternehmen oder extern, abhängig von Ihren Rollen), um ein CA-signiertes Serverzertifikat zu erhalten, wie unter To Request a CA-Signed Server Certificate in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Wenn Ihnen die Zertifikatsautorität ein neues Zertifikat sendet, führen Sie den folgenden Befehl aus, um das Zertifikat zu der Zertifikatsdatenbank hinzuzufügen:
$ dpadm add-cert instance-path cert-alias |
Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Wenn das vertrauenswürdige Zertifikatsautoritätszertifikat bereits in der Zertifikatsdatenbank gespeichert ist, führen Sie zum Hinzufügen folgenden Befehl aus:
$ dpadm add-cert --ca instance-path trusted-cert-alias |
Dieser Schritt wird unter Creating, Requesting and Installing Certificates for Directory Proxy Server in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide beschrieben.
Führen Sie folgende Befehle aus, um festzustellen, ob das neue Zertifikat verwendet wird.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Wenn Sie mit einem Microsoft SQL-Server-Backend die Felder smalldate verwenden, wird nur die lange Version der Daten unterstützt, andernfalls tritt ein Umwandlungsfehler auf, wie im folgenden Beispiel dargestellt.
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string. |
Die lange Version eines Datums verwendet die Form YYYY -MM-DD HH:MM.