Este capítulo contiene información importante específica de cada producto disponible en el momento del lanzamiento de Directory Proxy Server.
En este capítulo, se incluyen las siguientes secciones:
En esta sección, se enumeran los errores solucionados en Directory Proxy Server en su versión 6.3.1.
Si un origen JDBC no está disponible, se produce un error de búsqueda a través de una vista conjunta (LDAP + JDBC) incluso si no se requieren datos de este origen JDBC.
La ejecución de ldapsearch en cn=monitor devuelve una entrada final antes de la entrada principal, lo que puede provocar el fallo de algunas herramientas.
Las modificaciones realizadas a través de una vista conjunta de LDAP y JDBC pueden activar una excepción de puntero NULO.
Si no se solicitan atributos secundarios, el rendimiento no debería verse afectado por solicitudes relacionadas con orígenes de datos secundarios.
El intento de aplicar dos modificaciones como parte de una sola transacción LDAP puede funcionar parcialmente si no hay un atributo presente.
Al utilizar una vista conjunta de LDAP y JDBC, el atributo objectclass no puede almacenarse en la vista secundaria.
En caso de que pretenda realizarse una búsqueda en una vista conjunta, dicha búsqueda debería realizarse primero en una vista secundaria si ninguno de los atributos de la vista principal está presente en el filtro de búsqueda (e incluso si se devuelven varias entradas de la vista secundaria).
Una carga de búsqueda elevada puede provocar una excepción de puntero NULO.
Al realizar una búsqueda en una vista conjunta de LDAP y JDBC, es posible que no se devuelva una entrada si el usuario de enlace no tiene derecho de acceso sobre los atributos secundarios solicitados.
Si se ejecuta una carga de búsqueda elevada, pueden activarse las excepciones ArrayIndexOutOfBounds o NegativeArraySizeException.
La adición de una entrada por medio de una vista conjunta falla si el atributo uid contiene letras mayúsculas.
Si se añade una entrada por medio de una vista conjunta de LDAP y JDBC, dicha entrada se añade en la vista JDBC incluso si no se han incluido atributos JDBC secundarios en la solicitud de adición.
Al añadir o reemplazar un atributo por medio de una vista conjunta de LDAP y JDBC, el valor queda truncado si es demasiado largo para la base de datos SQL.
Al añadir una entrada por medio de una vista conjunta de LDAP y JDBC, no se comprueba el tamaño de la columna antes de actualizar o de añadir un valor (varchar) de cadena, lo que resulta en un error de base de datos.
Las pruebas de rendimiento de búsqueda han devuelto errores imprevistos debido a una condición de competencia en FailoverLoadBalancingAlgorithm.
Las búsquedas persistentes a través de SSL fallan a la hora de devolver datos.
La directiva de administración de la memoria en DPS provoca la desconexión de conexiones existentes en el mismo momento en que se activa GC (cuando la cantidad de memoria es escasa).
Cuando se añade una entrada, los valores de DN no siempre se convierten a letras minúsculas.
Si se elimina un atributo compartido (que pueda existir en dos orígenes de datos) por medio de una vista conjunta de LDAP y JDBC, se devuelve un error si el atributo no existe en una de las dos vistas.
Puede producirse un fallo de la JVM en el modo de 64 bits si se utiliza JDK 1.6 en unas condiciones de carga de búsqueda elevada.
Si el origen JDBC trata sus valores de columna para que distingan entre mayúsculas y minúsculas (normalmente DB2), el intento de eliminar un valor de atributo JDBC puede fallar.
Es posible que los sockets queden bloqueados en el estado CLOSE_WAIT y que, por lo tanto, el servidor no responda.
Si las conexiones con el servidor se abren y se cierran con frecuencia, pueden provocar que, en un momento posterior, el servidor no responda hasta que no se reinicie.
En equipos AMD64, el servidor no puede iniciarse en el modo de 32 bits.
En condiciones de carga elevada, el servidor puede experimentar tiempos de espera, con lo que la realización de operaciones en Directory Server volverá a intentarse.
Si se emplea una base asignada virtualmente dentro de un filtro de búsqueda, es posible que, en determinadas circunstancias, no se devuelva ningún resultado.
Si se utiliza una vista conjunta, las modificaciones destinadas para la vista de datos secundaria pueden aplicarse de forma incorrecta en la vista de datos principal.
Si no se define una regla conjunta al configurar una vista conjunta que contenga una vista JDBC, puede obtenerse una excepción StringIndexOutOfBoundsException.
Algunos filtros de búsqueda específicos pueden provocar que el servidor devuelva errores de descodificación.
Si se utiliza un vista conjunta que contenga una vista JDBC, el intento de eliminar un atributo de una entrada que sólo exista en Directory Server produce un error.
dpadm -V no puede detectar la versión de la JVM.
El servidor puede hacer que las conexiones con Directory Server permanezcan en estado CLOSE_WAIT, lo que causa que Directory Server no responda.
Es posible que un filtro de búsqueda que contenga un atributo de un tipo que no sea de cadena (como float o fecha) no pueda devolver ningún resultado de la vista JDBC.
Es posible que los subprocesos de trabajo internos queden interbloqueados, lo que causa que el servidor no responda.
Pueden producirse picos elevados de CPU en el servidor, por lo que no responderá ningún servicio de la máquina.
Mejoras en la administración de las conexiones de enlace para minimizar la espera al cerrar.
ldapsearch puede devolver un valor de atributo vacío de una entrada de MySQL, Derby o del servidor de fondo DB2 JDBC. Con un servidor de fondo ORACLE JDBC, no se devuelve ningún valor de atributo vacío.
En esta sección, se muestran las limitaciones y los problemas conocidos en el momento del lanzamiento de Directory Server Enterprise Edition 6.3.1.
El parche Sun Directory Proxy Server 6.3.1 update 1 patch 141958–01 está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1 para solucionar los problemas en el componente Directory Proxy Server. Para obtener más información, consulte Directory Proxy Server 6.3.1 Update 1.
En esta sección, se enumeran las limitaciones del producto.
En algunos casos, los cambios realizados en los permisos de archivos del producto Directory Server Enterprise Edition instalado pueden impedir el correcto funcionamiento del software. Cambie sólo los permisos de archivos siguiendo las instrucciones de la documentación del producto o del servicio de asistencia técnica de Sun.
Para solucionar esta limitación, instale los productos y cree las instancias del servidor como un usuario con los permisos de usuario y grupo adecuados.
Al crear un certificado autofirmado del servidor, asegúrese de especificar un periodo de validez lo suficientemente amplio para que no necesite renovarlo.
Para garantizar la atomicidad, no utilice la vista de datos conjunta en las operaciones de escritura. Si realiza operaciones de escritura en la vista de datos conjunta, utilice un mecanismo externo para impedir o detectar las incoherencias. Puede supervisar las incoherencias mediante el registro de errores de Directory Proxy Server.
En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1.
La operación de modificación de DN no se admite para las vistas de datos conjunta y de control de acceso.
El control getEffectiveRight sólo se admite actualmente para las vistas de datos de LDAP y no tiene en cuenta aún las ACI locales al servidor proxy.
Directory Proxy Server puede rechazar las ACI que especifiquen subtipos para el atributo de destino, como (targetattr = "locality;lang-fr-ca")..
Directory Proxy Server no puede reanudar la conexión del origen de datos JDBC restablecida tras el fallo de la conexión del origen de datos. Directory Proxy Server sólo puede reanudar la conexión tras iniciar la instancia de Directory Proxy Server.
Debe reiniciarse Directory Proxy Server cuando se modifique la configuración del modo de autenticación.
Una vez creada la solicitud de certificado firmado de CA, al actualizar, el certificado se muestra como autofirmado.
Si el puerto SSL utilizado por Directory Proxy Server es incorrecto, después de realizarse una solicitud de búsqueda segura en ese puerto, es posible que Directory Proxy Server cierre todas las conexiones.
Directory Proxy Server no puede realizar un recuento del número de saltos de referencia si se configura para que utilice la autenticación basada en las credenciales de la aplicación cliente en lugar de la autenticación del servidor proxy.
Se puede especificar la propiedad base-dn al crear una vista de datos, pero no se puede establecer la propiedad base-dn en "", el DSE raíz, después de crear la vista de datos.
Centro de control del servicio de directorios ordena los valores como cadenas. Por lo tanto, al realizar esta clasificación, los números de Centro de control del servicio de directorios, se ordenan como si fueran cadenas.
Un orden ascendente de 0, 20, y 100 da como resultado la lista 0, 100, 20. Un orden descendente de 0, 20, y 100 da como resultado la lista 20, 100, 0.
Después de configurar las alertas, debe reiniciar Directory Proxy Server para que se apliquen los cambios.
Directory Proxy Server no puede cambiar el nombre de una entrada que se transfiere a otra vista de datos si se ha configurado la distribución de datos numéricos o lexicográficos.
Al trabajar con vistas de datos conjuntas, Directory Proxy Server no procesa algoritmos de distribución de datos en las vistas que componen la vista conjunta.
Para solucionar este problema, configure la distribución de datos en el nivel de la vista de datos conjunta al utilizar de forma combinada una vista conjunta y una distribución de datos.
En Directory Proxy Server, el límite de saltos de referencia no funciona.
En Windows, las salidas de los comandos dsadm y dpadm , y los mensajes de ayuda no se han traducido al chino simplificado ni al tradicional.
La creación de entradas de origen de datos JDBC no se detecta dinámicamente. Si se crea un servidor JDBC antes que una vista de datos JDBC, se omite la vista de datos hasta el siguiente reinicio del servidor. Por lo tanto, tras configurar un origen de datos JDBC, debe reiniciarse Directory Proxy Server para que se detecte el cambio.
En las clases de objeto JDBC en las que una clase A utiliza una tabla como secundaria y otra clase B utiliza esa misma tabla como su única principal, las solicitudes en B no funcionan. Directory Proxy Server no puede omitir la propiedad filter-join-rule cuando se utiliza en una tabla principal.
Después de la instalación y la creación de las instancias del servidor en los sistemas Windows, los permisos de archivos de las carpetas de instalación y de instancias del servidor permiten el acceso a todos los usuarios.
Para solucionar este problema, cambie los permisos de las carpetas de instalación y de instancias del servidor.
En Windows, la inicialización de DSCC sólo la puede realizar el administrador.
Cuando Access Manager accede a Directory Server a través de Directory Proxy Server, se han observado problemas de almacenamiento en caché relacionados con búsquedas permanentes tras el reinicio de Directory Server.
Para solucionar este problema, reinicie Access Manager o Directory Proxy Server tras reiniciar Directory Server.
Para un ajuste más preciso, puede aumentarse el número de intentos y el retraso entre los intentos de Access Manager para restablecer conexiones de búsquedas persistentes. Puede aumentar estos parámetros mediante la modificación de las siguientes propiedades en el archivo AMConfig.properties.
Aumente el valor de com.iplanet.am.event.connection.num.retries, que representa el número de intentos. El valor predeterminado es de 3 intentos.
Aumente el valor de com.iplanet.am.event.connection.delay.between.retries, que representa el número de milisegundos de retraso entre intentos. El valor predeterminado es de 3000 milisegundos.
Si se ejecuta una búsqueda por medio de una vista de datos JDBC configurada con la base de datos DB2 y debe devolverse un gran número de entradas como resultado de la búsqueda, puede producirse un error tras la devolución de 1.344 entradas.
Para superar esta limitación, aumente el número de paquetes grandes mediante el establecimiento de la palabra clave CLIPkg de la configuración CLI/ODBC en un valor de hasta 30. Aun así, el resultado de la búsqueda se limita a un máximo de 11.712 entradas.
Para obtener más información, consulte DB2 documentation.
Al crear un certificado autofirmado por medio de Centro de control del servicio de directorios, no utilice caracteres de varios bytes para los nombres de certificados.
Centro de control del servicio de directorios no muestra los controles LDAP predeterminados permitidos a través de Directory Proxy Server.
Centro de control del servicio de directorios suprime las comas al cambiar el DN de un árbol existente excluido o una base de búsqueda alternativa.
Después de habilitar o inhabilitar por primera vez el acceso LDAP no seguro, debe reiniciar Directory Proxy Server para que se aplique el cambio.
La configuración de límite de tiempo y tamaño sólo funciona con los orígenes de datos LDAP.
Después de utilizar el comando dpadm set-flags cert-pwd-store=off , Directory Proxy Server no puede reiniciarse mediante Centro de control del servicio de directorios.
Se han detectado errores en el comando dpadm start al utilizarlo con un nombre de instancia del servidor con caracteres multibyte y ASCII.
Al establecer la propiedad data-view-routing-custom-list en un controlador de conexión existente, se produce un error en los nombres de vistas de datos que contienen caracteres de escape como, por ejemplo, las comas.
Para solucionar este problema, no asigne nombres de vistas de datos que contengan caracteres de escape. Por ejemplo, no utilice nombres de vistas de datos que contengan DN.
Al contrario que en versiones anteriores, como se especifica en la página del manual allowed-ldap-controls(5dpconf), Directory Proxy Server no permite el control de ordenación del lado del servidor de forma predeterminada.
Puede habilitarse Directory Proxy Server para que admita el control de ordenación del lado del servidor mediante la adición de server-side-sorting a la lista de controles LDAP admitidos especificada por medio de la propiedad allowed-ldap-controls.
$ dpconf set-server-prop \ allowed-ldap-controls:auth-request \ allowed-ldap-controls:chaining-loop-detection \ allowed-ldap-controls:manage-dsa \ allowed-ldap-controls:persistent-search \ allowed-ldap-controls:proxy-auth-v1 \ allowed-ldap-controls:proxy-auth-v2 \ allowed-ldap-controls:real-attributes-only \ allowed-ldap-controls:server-side-sorting |
Tenga en cuenta que debe repetir los parámetros de configuración existentes. De lo contrario, sólo se admitiría el control de ordenación del lado del servidor.
Cuando se utiliza la función de cambio de nombre de DN de Directory Proxy Server, si hay varios componentes repetidos en el DN, al cambiar su nombre, se sustituirán por un único componente.
Por ejemplo, imagine que desea cambiar los nombres de DN acabados en o=myCompany.com para que terminen en dc=com. En aquellas entradas cuyo DN repita el componente original como, por ejemplo, uid=userid,ou=people,o=myCompany.com,o=myCompany.com , el DN resultante tras el cambio de nombre será uid=userid,ou=people,dc=com y no uid=userid,ou=people,o=myCompany.com,dc=com.
La configuración de la conexión JDBC para acceder a Oracle 9 mediante Directory Proxy Server no se realiza tal y como se describe en la documentación.
Tenga en cuenta la siguiente configuración en la que el servidor de Oracle 9 recibe las conexiones en myhost y el puerto 1537 y la instancia presenta el identificador del sistema (SID) MYINST. La instancia incluye la base de datos MYNAME.MYTABLE.
Normalmente, para configurar el acceso mediante MYTABLE, debe establecer las siguientes propiedades.
En el origen de datos JDBC, establezca db-name:MYINST.
En el origen de datos JDBC, establezca db-url:jdbc:oracle:thin:myhost:1537: .
En la tabla JDBC, establezca sql-table:MYNAME.MYTABLE.
Si esta configuración no funciona, configure el acceso mediante MYTABLE con los siguientes valores.
En el origen de datos JDBC, establezca db-name:(CONNECT_DATA=(SERVICE_NAME=MYINST)))
En el origen de datos JDBC, establezca db-url:jdbc:oracle:thin:@(DESCRIPTION= (ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=myhost)(PORT=1537))).
En la tabla JDBC, establezca sql-table:MYNAME.MYTABLE.
Directory Proxy Server no puede escribir atributos de JDBC que indiquen una relación de varios elementos a otros (N:N) entre las tablas de la base de datos JDBC.
Las instancias de Directory Proxy Server con DN de varios bytes creadas por medio de DSCC no consiguen iniciarse en Linux.
Al usar la utilidad de administración de servicios (SMF) en Solaris 10 para habilitar una instancia del servidor, es posible que la instancia no se inicie al reiniciar el sistema y se devuelva el siguiente error.
svcadm: Instance "svc:/instance_path" is in maintenance state. |
Para solucionar este problema, utilice un usuario local para crear los servidores de Directory Server y Directory Proxy Server.
Es posible que falle la creación en DSCC de una instancia de Directory Proxy Server con caracteres de varios bytes en su ruta o que ésta no pueda iniciarse ni realizar otras tareas regulares.
Algunos de estos problemas pueden resolverse mediante el uso del conjunto de caracteres utilizado para crear la instancia. Defina el conjunto de caracteres por medio de los siguientes comandos:
# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
Para evitar estos problemas, utilice exclusivamente los caracteres ASCII en la ruta de la instancia.
En HP-UX, si, al acceder a DSCC, utiliza varias sesiones del navegador con diferentes configuraciones regionales, es posible que DSCC muestre algunas cadenas en una configuración regional distinta a la que se ha definido en el navegador.
La consola no recupera el estado del servidor de fondo de la instancia Directory Proxy Server cuando un equipo presenta varios nombres de host.
Si existen entradas duplicadas en una tabla RDBMS que coincidan con un patrón de DN encontrado en la clase de objeto JDBC, Directory Proxy Server devolverá los nodos (no finales) del subárbol duplicados si se realiza una búsqueda en la vista de datos JDBC. Por ejemplo, si hay un patrón de DN ou en una clase de objeto JDBC y existen entradas duplicadas (como, p. ej., sales) en la columna RDBMS asignada al atributo JDBC ou, aparecerán nodos duplicados, como ou=sales, en los resultados de búsqueda.
Para solucionar este problema, haga lo siguiente:
Cree una vista RDBMS tomando los valores de la tabla que contenga la columna asignada al atributo JDBC ou de manera que no haya ninguna entrada duplicada.
Reemplace el nombre de la tabla RDBMS por el nombre de la vista RDBMS en la clase de objeto JDBC con el patrón de DN ou. La limitación de este enfoque es que, teniendo en cuenta que las vistas RDBMS son de sólo lectura, no puede añadirse ningún valor para el atributo JDBC ou a través de Directory Proxy Server.
DPS da lugar a solucitudes de DB no permitidas.
En DSCC, en el valor Más opciones de vista de una instancia, la fecha que aparece debajo de las fichas Registros de acceso, Registros de errores y Registros de auditoría no se ha adaptado.
En DSCC 6.0, useTCPNoDelay se establece de forma predeterminada en false (falso) al crear un origen de datos con DSCC, mientras que el valor de use-tcp-no-delay se establece en true (verdadero) al crear una instancia con el comando de administración dpconf create-ldap-data-source .
En una instancia de DSCC configurada con el servidor Tomcat, el título de las ventanas emergentes de ayuda y versión muestra cadenas multibyte ilegibles.
La cadena owner (propietario) del comando dpadm show-cert dps-instance-path no aparece traducida al chico tradicional ni simplificado.
Las ventanas emergentes que solicitan una confirmación para la detención o la anulación del registro de servidores muestran los apóstrofes dobles en la configuración regional francesa.
Al realizar modificaciones por medio de la herramienta modrate en una vista conjunta con LDAP y JDBC, se producen excepciones de puntero nulo si se utiliza más de un subproceso. Los errores son similares a los siguientes:
java.lang.NullPointerException com.sun.directory.proxy.server.JoinDataView. processModifyRequest(JoinDataView.java:916) com.sun.directory.proxy.server.JoinDataViewOpContext.processModifyRequest (JoinDataViewOpContext.java:243) com.sun.directory.proxy.server.ModifyOperation. processOperation(ModifyOperation.java:502 com.sun.directory.proxy.server .WorkerThread.runThread(WorkerThread.java:150) com.sun.directory.proxy.util.DistributionThread.run (DistributionThread.java:225) |
Cuando se añade un nuevo origen de datos a un grupo de orígenes de datos, debe reiniciarse el servidor.
Si la propiedad de configuración de Directory Proxy Server allow-bind-operations se establece en false (falso), no se puede establecer una conexión en un puerto SSL mediante el argumento de línea de comandos dpconf con la opción -–secure-port. Aún se puede establecer la conexión de forma directa (opción -–unsecured) o utilizando el protocolo TLS de inicio.
Directory Proxy Server no cambia el DN de una operación de adición cuando ésta sigue una referencia en la que el DN de base (basedn) es distinto al del equipo original. Si se intenta realizar una operación de adición en una instancia de Directory Proxy Server con una instancia de Directory Server configurada para seguir referencias en lugar de para simplemente reenviar referencias, se rechazarán los resultados de la operación de adición debido a la presencia de un DN de base (basedn) incorrecto.
Utilice el comando ldapmodify para ejecutar la operación de adición en las instancias de Directory Server, lo que permitirá que se realice satisfactoriamente esta operación.
Las escritura de transformaciones virtuales no funciona con el modelo de transformación remove-attr-value.
La escritura de transformaciones virtuales no funciona de la manera prevista al modificarse una entrada.
No se emite ninguna advertencia al establecer una contraseña con una longitud insuficiente para la base de datos de certificados. Centro de control del servicio de directorios aceptará la contraseña, aunque sea demasiado corta. Al emitir el comando dpadm con los subcomandos cert, puede que los comandos se bloqueen.
El intento de añadir un valor de atributo smalldatetime SQL TYPE activa la siguiente excepción:
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: java.lang.Exception: com.microsoft.sqlserver.jdbc.SQLServerException: Conversion failed when converting datetime from character string. |
Las siguientes secciones están dedicadas a Directory Proxy Server 6.3.1 update 1:
Notas de instalación de Directory Proxy Server 6.3.1 Update 1
Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1
Este parche sólo corrige los problemas encontrados en el componente Directory Proxy Server del producto Directory Server Enterprise Edition. Está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1. El componente Directory Server de Directory Server Enterprise Edition 6.3.1 permanece sin cambios.
Esta actualización no puede ejecutarse con versiones de Directory Server Enterprise Edition anteriores a la 6.3.1. Para obtener instrucciones sobre la actualización a la versión 6.3.1, consulte la Tabla 2–1, “Upgrade Paths to Directory Server Enterprise Edition 6.3.1.”
En esta sección, se tratan los siguientes puntos:
Esta actualización es una versión menor que, principalmente, soluciona los errores descritos en Errores solucionados en Directory Server 6.3.1 Update 1.
Asimismo, Directory Proxy Server 6.3.1 update 1 introduce un nuevo modo de funcionamiento para las operaciones de búsqueda persistentes. Si una aplicación del cliente es muy lenta a la hora de leer las respuestas de una búsqueda persistente desde Directory Proxy Server, la cola de respuestas del servidor proxy se sobrecarga. En este caso, es posible que el servidor cierre la conexión con la siguiente notificación al cliente:
LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ] |
Además, también se registra un mensaje informativo similar al siguiente:
[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO - conn=19 \ reason="admin limit exceeded" \ msg="client didn't read any data during 160 milliseconds." |
Directory Proxy Server 6.3.1 update 1 proporciona las siguientes mejoras:
Puede establecerse un nombre de ruta para JAVA_HOME que tenga precedencia sobre el valor de JAVA_HOME definido en el entorno tal y como se muestra en el siguiente ejemplo:
$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/ |
El comando dpadm cambia el valor de umask, por lo que en el siguiente reinicio de la instancia de DPS, los permisos del archivo de configuración quedan modificados de acuerdo con el nuevo valor de umask. Asimismo, el permiso del archivo de registro queda definido de una manera similar en la siguiente rotación de archivos. El ejemplo siguiente muestra un uso típico:
$ dpadm set-flags instance-path umask=22 |
El administrador puede ahora definir diferentes transformaciones virtuales en el mismo MODEL, ACTION, ATTR_NAME.
Directory Proxy Server 6.3.1 update 1 también añade nuevas propiedades, así como actualizaciones de las propiedades existentes, tal y como se describe en la siguiente lista. Las nuevas propiedades aparecen designadas como “Novedad”. Las propiedades que hayan sido modificadas en cuanto a su especificación en DSEE 6.3.1 aparecen designadas como "Actualización".
Dinámico (no requiere un reinicio)
Nivel: connection-handler
Tipo: booleano
Valor predeterminado: false
Descripción: indica si el controlador de conexión debe cerrar la conexión de cliente cuando no haya ningún origen de datos disponible.
Dinámico (no requiere un reinicio)
Nivel: connection-handler
Tipo: booleano
Valor predeterminado: false
Descripción: indica la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.
Documentación: esta propiedad es un indicador que insta a valorar la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-source
Tipo: enumeración
El servidor de fondo RDBMS es MySQL.
El servidor de fondo RDBMS es Apache Derby/Java DB.
El servidor de fondo RDBMS es DB2.
El servidor de fondo RDBMS es Oracle.
El servidor de fondo RDBMS es Microsoft SQL Server.
El servidor de fondo RDBMS no está definido. Siempre que sea posible, Directory Proxy Server determina el nombre del proveedor a partir de la db-url definida en jdbc-data-source.
Valor predeterminado: generic
Descripción: nombre del proveedor del origen de datos JDBC.
Documentación: esta propiedad especifica el nombre del proveedor del origen de datos JDBC. Debería definirse esta propiedad si se utiliza un controlador IDBC de un tercero distinto del proporcionado por el proveedor de la base de datos para conectar con el servidor de fondo RDBMS. Si es posible, se utilizan estos datos para establecer instrucciones SQL específicas para el proveedor que contribuyan a mejorar el rendimiento.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view
Nuevo tipo: largo
Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero
Los atributos restantes permanecen igual.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view
Nuevo tipo: largo
Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero
Los atributos restantes permanecen igual.
Estático (requiere un reinicio)
Nivel: ldap-data-source
Tipo: duración en segundos (límite inferior: 1)
Valor predeterminado: heredado (valor de monitoring-interval)
Descripción: intervalo de tiempo tras el que el supervisor de disponibilidad sondea las conexiones fallidas para detectar su recuperación.
Documentación: esta propiedad especifica el intervalo de sondeo. Si se descubre una conexión inactiva, el supervisor de disponibilidad la sondea según este intervalo para detectar su recuperación. Si no se especifica, se utiliza el valor de la propiedad monitoring-interval.
Estático (requiere un reinicio)
Nivel: ldap-data-source
Tipo: número entero (límite inferior: 1)
Valor predeterminado: 3
Descripción: número de reintentos que deben llevarse a cabo antes de marcar la conexión como inactiva.
Documentación: esta propiedad especifica el número de veces que el supervisor de disponibilidad sondea la conexión tras detectar su inactividad por primera vez. Esto permite marcar una conexión como activa de manera más rápida. Si la conexión sigue fallando una vez realizado el número de intentos especificados, se utiliza el valor de la propiedad down-monitor-interval como intervalo de sondeo.
Dinámico (no requiere un reinicio)
Nivel: ldap-data-source
Tipo: booleano
Valor predeterminado: true
Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.
Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.
Dinámico (no requiere un reinicio)
Nivel: ldap-listener y ldaps-listener
Tipo: booleano
Valor predeterminado: true
Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre los clientes y la escucha.
Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y la escucha.
Dinámico (no requiere un reinicio)
Nivel: servidor
Tipo: booleano
Valor predeterminado: true
Nueva descripción: indica si el servidor acepta operaciones no autenticadas.
Descripción anterior (para las versiones de DPS de 6.0 a 6.3.1): indica si el servidor acepta operaciones de clientes anónimos.
Nueva documentación: esta propiedad es un marcador que indica si Directory Proxy Server acepta operaciones no autenticadas. El modo que se utiliza para procesar la operación de enlace se especifica por medio de allow-unauthenticated-operations-mode.
Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad es un marcador que indica si Directory Proxy Server permite que clientes anónimos realicen operaciones.
Dinámico (no requiere un reinicio)
Nivel: servidor
Tipo: enumeración
Si no se especifica ninguna contraseña, sólo se permiten enlaces anónimos.
Si no se especifica ninguna contraseña, sólo se permiten enlaces con un DN especificado.
Si no se especifica ninguna contraseña, se permiten enlaces anónimos y enlaces con un DN especificado.
Valor predeterminado: anonymous-and-dn-identified
Descripción: modo de procesar operaciones de enlace sin contraseña.
Documentación: esta propiedad indica la manera en que Directory Proxy Server procesa las operaciones sin contraseña de enlace cuando se establece allow-unauthenticated-operations en true (verdadero).
Estático (requiere un reinicio)
Nivel: servidor
Tipo: duración en milisegundos
Nuevo valor predeterminado: 250
Valor predeterminado anterior (para versiones de DPS de 6.0 a 6.3.1): 500
Nueva documentación: esta propiedad especifica el intervalo de tiempo entre llamadas de sistema consecutivas que recuperan la hora del SO. Para obtener más información sobre las operaciones que duren menos de 250 milisegundos, reduzca el período de time-resolution o modifique el valor de la propiedad time-resolution-mode. Si se establece en 0 milisegundos, el proxy se comporta como si el valor de la propiedad time-resolution-mode estuviera establecido en system-milli. Esta propiedad se omite cuando el valor de la propiedad time-resolution-mode se establece en system-milli o system-micro.
Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad especifica el intervalo de tiempo entre dos llamadas de sistema consecutivas que recuperen la hora del SO. Para obtener más información sobre las operaciones que duren menos de 500 milisegundos, reduzca el período de time-resolution. Si se establece en 0 milisegundos, el proxy realiza automáticamente una llamada de sistema para recuperar la hora actual. De lo contrario, la hora sólo se almacena en caché y se recupera una vez transcurrido el período time-resolution. La hora se muestra en los registros.
La descripción sigue siendo la misma.
Estático (requiere un reinicio)
Nivel: servidor
Tipo: enumeración
Utilice un subproceso que realice una llamada de sistema cada time-resolution milisegundos.
Utilice una llamada de sistema que recupere la hora en milisegundos
Utilice una llamada de sistema que recupere la hora en microsegundos
Valor predeterminado: custom-resolution
Descripción: modo utilizado para recuperar la hora del sistema
Documentación: esta propiedad especifica el modo utilizado para recuperar la hora del SO.
Directory Proxy Server 6.3.1 update 1 está disponible para todas las plataformas Directory Server Enterprise Edition 6.3.1 admitidas. Para obtener más información, consulte Requisitos de hardware y Requisitos del sistema operativo.
Esta sección enumera todos los errores solucionados en Directory Proxy Server 6.3.1 update 1.
Directory Proxy Server establece solicitudes de base de datos no permitidas.
La definición de connectionIdleTimeOutInSec para la escucha LDAP puede inhabilitar DSCC.
Una operación de búsqueda puede devolver entradas que contengan atributos que no estén presentes en viewable-attr.
La propiedad max-client-connections no se lleva a cabo si no se realiza ninguna operación en la conexión.
La supervisión de la memoria se inhabilita de forma predeterminada.
El algoritmo de distribución numérica debería utilizar long en lugar de int para establecer enlaces numéricos.
El límite de tamaño predeterminado de Directory Proxy Server para propiedades de recursos utiliza un número entero incorrecto para ilimitado.
Las transformaciones de DN fallan.
El establecimiento de add-attr-value puede provocar que las transformaciones de DN produzcan un resultado incorrecto.
Debería asignarse el DN de enlace (bindDN) al enlazar con un servidor LDAP. (utilizando la regla de asignación de DN del DV del DN de enlace (bindDN)).
No es posible añadir una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME".
No se ha aplicado la propiedad requires-bind-password establecida en un servidor de directorios de servidor de enlace.
Se produce un error en la asignación de DN virtual al depender de un atributo virtual.
El DN de enlace se rechaza cuando la transformación falla incluso si aparece en la vista.
Asignación de DN incorrecta para la dirección del servidor.
6.3 Directory Proxy Server transforma los caracteres de minúsculas/mayúsculas en los nombres de atributos.
Un consumidor solicitado para Directory Proxy Server para establecer permisos de grupo para los archivos de configuración y de registro (umask 117, chmod 660).
El comando dpadm start vuelca un núcleo central al utilizar el argumento de Java MaxTenuringThreshold.
La asignación de DN puede eliminar las entradas a las que se le haya cambiado el nombre.
El comando dpadm no genera un archivo DPS.pid.
El esquema de configuración de Directory Proxy Server no es coherente con la función SystemMonitorThread.java.
El servidor y la consola no son coherentes para el parámetro searchMode.
Directory Proxy Server falla si se configura para que utilice la autenticación por proxy.
Permiso para definir JAVA HOME por medio de dpadm set-flags.
La asignación de DN no puede utilizarse en rootDSE.
Directory Proxy Server requiere una transformación de DN virtual con atributos de asignación de nombre de varios valores.
Debe proporcionarse una granularidad de tiempo en microsegundos para los tiempos etimes.
El comando splitldif omite las transformaciones virtuales.
Bajo una carga elevada, los sockets pueden permanecer en el estado de espera de cierre.
La opción SO_KEEPALIVE no está establecida en Directory Proxy Server 6.3 (esto es, setKeepAlive() != True) cuando se crea un socket.
La revisión para CR 6513526 puede introducir regresiones debido a valores nulos en los objetos ConfigAttribute.
La propiedad acceptBacklog se omite para las escuchas basadas en canal.
No se envían respuestas de inactividad con la suficiente frecuencia debido a la última actividad realizada en la conexión de un servidor de fondo.
Las respuestas de inactividad no se envían para las conexiones de servidor de fondo enlazadas.
Es posible que no se realicen las comprobaciones del servidor de fondo con la frecuencia necesaria debido a la última actividad del servidor.
La ejecución del comando ldapsearch en entradas de supervisión puede devolver un resultado incoherente.
La realización de una comprobación de disponibilidad debería asegurar que el servidor del servidor de fondo esté inactivo antes de desactivar todas las conexiones.
Puede bloquearse una conexión en caso de una solicitud de abandono.
Se requiere una mejor precisión en la respuesta del servidor de fondo.
Se produce una pérdida de descriptor de archivo en el socket del servidor.
Puede producirse una excepción de puntero nulo al realizar una búsqueda en cn=monitor si se ha definido un grupo de conmutaciones por error sin origen.
Directory Proxy Server sigue abriendo conexiones con el servidor de directorios tras el fallo de un intento de enlace...
Es posible que los clientes de la búsqueda persistente no reciban las notificaciones de cambio de entrada.
Dos conexiones pueden compartir el mismo identificador.
Las búsquedas persistentes no se eliminan tras la desconexión del cliente.
El intervalo de supervisión automática debería establecerse en 1 segundo cuando se detecte un origen de datos inactivo.
Directory Proxy Server asocia distintas operaciones de cliente con la misma conexión de servidor de fondo.
Las conexiones de servidor de fondo no se cierran, sino que se reutilizan si la inactividad es mayor que inactivity-timeout, lo que provoca una pérdida de conexión.
El mantenimiento del conjunto de conexiones y el procesamiento de comprobaciones de estado deberían ser DEBUG.
Dos enlaces largos simultáneos asignan la misma conexión de servidor de fondo a dos conexiones de clientes.
El establecimiento de una ruta jvm-path incorrecta bloquea el reinicio sin advertencias.
Directory Proxy Server devuelve un código de error incorrecto cuando no existen servidores de fondo disponibles.
Debería proporcionarse una opción para cerrar la conexión del cliente en caso de "cannot retrieve backend connection".
La afinidad de cliente no debería habilitarse si useAffinity=false y affinityPolicy se han establecido explícitamente.
Directory Proxy Server no puede iniciarse si uno de los hosts del origen de datos no está disponible.
El comando dpconf debería admitir los nuevos atributos introducidos en Directory Proxy Server 6.3.1_update 1.
El comando dpconf debería admitir la asignación de DN enlace.
Debería proporcionarse un control de versiones más simple para la gestión de las propiedades de Directory Proxy Server.
El comando dpconf debería admitir monitorRetryCount.
La afinidad de clientes omite el indicador de sólo lectura del origen de datos.
Debería completarse la implementación de las revisiones para CR 6714425 y 6714448.
Una expresión de combinación en minúsculas puede provocar que las solicitudes SQL fallen.
El rendimiento de Directory Proxy Server 6.3.1 es inadecuado cuando más de 100 clientes realizan búsquedas persistentes.
Ni el bucle del subproceso de búsqueda persistente ni Directory Proxy Server pueden seguir procesando búsquedas persistentes.
El rendimiento de la búsqueda persistente es inadecuado.
La creación de 20 búsquedas persistentes y su detención provoca que la funcionalidad de la búsqueda persistente falle.
Directory Proxy Server devuelve StringIndexOutOfBoundsException en algunos casos de asignación de atributos y transformación virtual.
Las reglas de transformación y de asignación no funcionan de la manera prevista.
Los subprocesos pueden activarse prematuramente, lo que produce una excepción ASN.1.
Directory Proxy Server devuelve un error incorrecto cuando el servidor de fondo se desactiva.
Puede originarse una excepción de puntero nulo imprevista.
En algunos casos, la vista de datos JDBC puede omitir el esquema de almacenamiento de contraseñas.
Directory Proxy Server puede devolver resultados idénticos cuando varios usuarios distintos enlazan con una conexión de cliente.
En algunos casos, es posible que Directory Proxy Server no se inicie al utilizar JDBC.
Puede producirse una excepción ASN1 imprevista que no pueda controlarse.
Aquí se tratan los siguientes temas:
Directory Proxy Server 6.3.1 update 1 es un parche que se ejecuta sobre una instalación existente de Directory Server Enterprise Edition 6.3.1. Si está ejecutando una versión de Directory Server Enterprise Edition anterior a 6.3.1, primero debe actualizar el producto a la versión 6.3.1 tal y como se describe en el Capítulo 2Notas de instalación antes de ejecutar el parche para Directory Proxy Server 6.3.1 update 1.
Puede descargar el parche Directory Proxy Server 6.3.1 update 1 desde http://www.sun.com/software/products/directory_srvr_ee/get.jsp.
Directory Proxy Server 6.3.1 update 1 es un parche único para todas las plataformas DSEE:
Solaris SPARC
Solaris 9 x86
Solaris 10 x86 y AMD x64
Red Hat Linux
SuSe Linux
HP-UX
Windows
Se dispone de las siguientes distribuciones para cada plataforma:
Distribución de paquetes nativos (excepto para HP-UX)
Distribución ZIP
El parche Directory Proxy Server 6.3.1 update 1 patch 141958-01 está disponible a través de SunSolve y se ejecuta sobre los dos siguientes tipos de instalación:
Los paquetes nativos de Directory Server Enterprise Edition 6.3.1 instalados por medio del instalador Java ES.
Las instalaciones ZIP de Directory Server Enterprise Edition 6.3.1.
En esta sección, se describe la instalación de Directory Proxy Server 6.3.1 update 1.
Realice una copia de seguridad del directorio de instalación de Directory Server Enterprise Edition antes de ejecutar el parche Directory Proxy Server 6.3.1 update 1, ya que más adelante no podrá restaurarse una configuración anterior de Directory Proxy Server. Este consejo se aplica tanto a las instalaciones ZIP como a las de paquetes nativos.
Descargue el parche Patch 141958-01 desde Sunsolve en un directorio downloaded-patch-path.
Detenga las instancias de Directory Proxy Server asociadas con la instalación sobre la que pretenda ejecutarse el parche.
En los sistemas Windows, abra una ventana Símbolo del sistema. En los sistemas UNIX, abra una Ventana de terminal.
Cambie el directorio actual por el directorio con el software de instalación para la plataforma y la distribución (ZIP o nativa) que pretenda actualizar:
El siguiente ejemplo muestra un comando típico para este propósito:
$ cd downloaded-patch-path/SunOS_x64/zip/delivery |
En la siguiente tabla, se muestran las ubicaciones del software de instalación en el directorio downloaded-patch-path.
Sistema operativo |
Directorio con la distribución ZIP |
Directorio con la distribución de paquetes nativos |
---|---|---|
Solaris SPARC |
SunOS/zip/delivery |
SunOS/native/delivery |
Solaris 9 x86 |
SunOS_x86/zip/delivery |
SunOS_x86/native/delivery |
Solaris 10 x86 y AMD x64 |
SunOS_x64/zip/delivery |
SunOS_x64/native/delivery |
Red Hat Linux |
Linux/zip/delivery |
Linux/native/delivery |
SuSE Linux |
Linux/zip/delivery |
Linux/native/delivery |
HP-UX |
Hpux/zip/delivery |
N/A |
Windows |
Windows/zip/delivery |
Windows/native/delivery |
En los sistemas UNIX, ejecute la secuencia de comandos de instalación.
Ejecute el comando siguiente:
$ Install dsee631-install-path |
donde dsee631-install-path es la ruta del directorio en donde se ha instalado Directory Server Enterprise Edition 6.3.1.
Aparecen los siguientes mensajes:
-------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ? |
Introduzca y para yes. El programa de instalación ejecuta el parche sobre la instalación de Directory Server Enterprise Edition 6.3.1 especificada.
En las instalaciones Windows, ejecute el siguiente comando en la ventana Símbolo del sistema.
Install.exe |
Se abre un asistente que solicita la exploración y selección de la ruta de instalación correcta para la instalación del parche Directory Proxy Server 6.3.1 update 1. Para ejecutar el parche sobre una instalación ZIP de la versión 6.3.1, seleccione el directorio en el que haya instalado Directory Server Enterprise Edition 6.3.1. Para ejecutar el parche sobre una instalación de paquetes nativos, seleccione C:\Program Files\Sun\JavaES5\DSEE.
El asistente ejecuta el parche sobre Directory Server Enterprise Edition 6.3.1.
Asegúrese de que la instalación se haya realizado con éxito mediante la ejecución de estos dos comandos y compruebe que la respuesta sea la misma que la que se muestra a continuación:
$ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155 |
Se requiere este paso si la versión Directory Server Enterprise Edition 6.3.1 sobre la que ejecuta el parche incluye la revisión de CR 6722222.
Si se ha aplicado la revisión de CR 6722222 (Asignar un DN de enlace (bindDN) a un servidor LDAP (por medio de la regla de asignación de DN del DV del DN de enlace)), ejecute el siguiente comando en todas las instancias de cada controlador de conexión.
$ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true |
Esta propiedad es un marcador que indica que no siempre se requiere la utilización de una identidad de cliente entrante en el enlace con un servidor LDAP remoto. Una vez aplicado 6722222, puede configurarse el comportamiento predeterminado con una propiedad de controlador de conexión tal y como se muestra en el ejemplo.
Reinicie todas las instancias del servidor proxy.
En esta sección, se enumeran los problemas conocidos y las limitaciones encontradas en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.
Los problemas conocidos y las limitaciones de Directory Proxy Server 6.3.1 persisten incluso tras la ejecución del parche para Directory Proxy Server 6.3.1 update 1. Para obtener más información sobre estos problemas, consulte Limitaciones y problemas conocidos de Directory Proxy Server.
En esta sección, se muestra la limitación detectada en el momento del lanzamiento de Directory Proxy Server 6.3.1.
Como se describe en el apartado JDBC Object Classes de Sun Java System Directory Server Enterprise Edition 6.3 Reference, la definición de tablas JDBC utiliza tablas principales y secundarias. Directory Proxy Server no permite que una tabla secundaria sea la tabla principal de una tercera tabla. Esto es, Directory Proxy Server no admite más de un nivel de join-rule.
En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.
En la versión 6.3, si una entrada tiene más de dos clases de objeto, falla la adición de una entrada por medio de una vista conjunta (LDAP y JDBC) debido a la revisión de CR 6636463. Para añadir este tipo de entrada, deben definirse estas clases de objeto como una superclase en la entrada de configuración jdbc-object-class mediante el siguiente ldapmodify, ya que dpconf set-jdbc-object-class-prop sólo puede añadir una superclase.
En este ejemplo, se añade la siguiente entrada:
dn: uid=test,ou=people,o=join sn: User cn: Test User objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: test userpassword: password givenname: Test mail: test@example.com telephonenumber: 8888-8888 roomnumber: 8000
La vista JDBC está definida como se muestra en el siguiente ejemplo, que era funcional antes de la versión 6.3.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top
Debido a que objectClass:organizationalPerson y objectClass:inetOrgPerson existen en la entrada añadida, es necesario especificar ambas clases como superclases, como se demuestra con el siguiente comando ldapmodify.
$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson |
Tras la ejecución de este ejemplo ldapmodify, se define jdbc-object-class tal y como se muestra en el siguiente ejemplo.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top superclass: inetOrgPerson Added superclass: organizationalPerson Added
Pese a que la configuración predeterminada para la propiedad log-level-data-sources-detailed está documentada como none, el valor predeterminado real es all. No obstante, la definición de log-level-data-sources-detailed en cualquier valor distinto de none afecta al rendimiento del servidor y provoca que el archivo access crezca rápidamente. Por este motivo, el valor del parámetro log-level-data-sources-detailed se define automáticamente en none cuando se crean instancias de servidor DPS. Se recomienda que no se defina este parámetro en ningún otro valor.
Debido al problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, Directory Proxy Server debería evitar el uso del algoritmo MD5 para certificados firmados.
Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:
Ejecute el siguiente comando para mostrar la lista de los certificados definidos en una instancia específica de Directory Proxy Server.
$ dpadm list-certs instance-path |
Ejecute los siguientes comandos en cada certificado definido para determinar si se ha firmado con el algoritmo MD5.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
En el siguiente ejemplo, se muestra el resultado típico del comando dsadm show-cert para un certificado firmado con el algoritmo de firma MD5:
Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ... |
Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:
$ dsadm remove-cert instance-path cert-alias |
Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dpadm genera una contraseña de base de datos de certificados predeterminada al crear una instancia de Directory Proxy Server.)
Detenga la instancia de Directory Proxy Server.
Ejecute el comando siguiente:
$ dpadm set-flags instance-path cert-pwd-prompt=on |
Aparece un mensaje de solicitud de contraseña.
Introduzca una contraseña con un mínimo de ocho caracteres.
Reinicie la instancia de Directory Proxy Server y proporcione el Internal (Software) Token cuando se le solicite.
Reemplace cualquier certificado que utilice la función MD5 por certificados que utilicen el algoritmo de firma SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).
Siga los siguientes pasos para generar y almacenar certificados autofirmados:
Ejecute el comando siguiente:
$ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias |
El algoritmo de firma predeterminado es MD5withRSA.
Aparece el siguiente mensaje:
[Password or Pin for "NSS Certificate DB"] |
Introduzca la nueva contraseña de la base de datos de certificados.
Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):
Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):
$ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias |
Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:
$ dpadm add-cert instance-path cert-alias |
Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:
$ dpadm add-cert --ca instance-path trusted-cert-alias |
Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Ejecute los siguientes comandos para comprobar si se está utilizando el nuevo certificado.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Con un servidor de fondo de Microsoft SQL Server, al utilizar los campos smalldate, sólo se admite la versión larga de las fechas o, de lo contrario, se produce un error de conversión tal y como se muestra en el siguiente ejemplo.
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string. |
La versión larga de una fecha emplea el formato YYYY -MM-DD HH:MM.