Limitaciones y problemas conocidos de Directory Server

En los siguientes apartados, se describen los problemas conocidos y las limitaciones en el momento de lanzamiento.

• Limitaciones de Directory Server

• Problemas conocidos de Directory Server 6.3.1

Limitaciones de Directory Server

No cambie los permisos de archivos manualmente.

En algunos casos, los cambios realizados en los permisos de archivos del producto Directory Server Enterprise Edition instalado pueden impedir el correcto funcionamiento del software. Cambie sólo los permisos de archivos siguiendo las instrucciones de la documentación del producto o del servicio de asistencia técnica de Sun.

Para solucionar esta limitación, instale los productos y cree las instancias del servidor como un usuario con los permisos de usuario y grupo adecuados.

No repita el sufijo cn=changelog.

Aunque nada le impide configurar la repetición del sufijo cn=changelog, esto podría interferir en el proceso de repetición. No repita el sufijo cn=changelog. El complemento de registro de cambios retroactivos crea el sufijo cn=changelog.

Es posible que la caché de la base de datos esté caducada tras la conmutación por error en Sun Cluster.

Directory Server admite Sun Cluster 3.2. Si Directory Server se ejecuta en Sun Cluster, y se establece nsslapd-db-home-directory para que utilice un directorio que no esté compartido, varias instancias comparten archivos de la caché de la base de datos. Tras una conmutación por error, la instancia de Directory Server en el nuevo nodo utiliza los archivos de la caché de la base de datos potencialmente caducados.

Para solucionar esta limitación, puede utilizar un directorio para nsslapd-db-home-directory que esté compartido o eliminar de forma sistemática los archivos de nsslapd-db-home-directory al inicio de Directory Server.

Se carga la biblioteca SASL incorrecta cuando LD_LIBRARY_PATH contiene /usr/lib.

Si LD_LIBRARY_PATH contiene /usr/lib, se utilizará la biblioteca SASL incorrecta, lo que provocará errores en el comando dsadm tras la instalación.

Utilice la operación de sustitución de LDAP para cambiar los atributos cn=config.

Una operación de modificación de LDAP en cn=config sólo puede utilizar la operación secundaria de sustitución. Se rechazará cualquier intento de agregar o eliminar un atributo con el mensaje DSA is unwilling to perform (DSA no dispuesto a funcionar), error 53. Aunque Directory Server 5 aceptaba la adición o eliminación de un atributo o un valor de atributo, la actualización al archivo dse.ldif se aplicó sin ninguna validación de valores, por lo que el estado interno de DSA no se actualizó hasta que se detuvo e inició esta aplicación:

---

Nota –

Se ha desaprobado el uso de la interfaz de configuración cn=config. En su lugar, utilice el comando dsconf siempre que sea posible.

---

Para solucionar esta limitación, la operación secundaria de sustitución de la operación de modificación de LDAP se puede sustituir por la operación secundaria de adición o eliminación. No se perderá ninguna funcionalidad. Además, después del cambio, el estado de la configuración de DSA será más predecible.

En los sistemas Windows, Directory Server no permite de forma predeterminada el protocolo TLS de inicio.

Este problema sólo afecta a las instancias del servidor en los sistemas Windows y se debe al rendimiento de los sistemas Windows al utilizar TLS de inicio.

Para solucionar este problema, utilice la opción -P con el comando dsconf para establecer directamente una conexión mediante el puerto SSL. Si la conexión de red ya está protegida, pruebe a utilizar la opción -e con el comando dsconf. Esta opción le permite conectarse al puerto estándar sin solicitar una conexión segura.

Los vectores de actualización de la repetición pueden hacer referencia a servidores retirados.

Después de suprimir una instancia de Directory Server repetida de una topología de repetición, los vectores de actualización de la repetición puede seguir conservando referencia a esa instancia. Por lo tanto, es posible que existan referencias a instancias que ya no existen.

El contenedor de agentes común no se inicia durante el arranque.

Para solucionar este problema al realizar la instalación desde paquetes nativos, utilice el comando cacaoadm enable como root.

Para solucionar este problema en Windows, seleccione Iniciar sesión en las propiedades del servicio de contenedor de agentes común, introduzca la contraseña del usuario que ejecuta el servicio y pulse Aplicar. Si aún no ha configurado esta opción, recibirá un mensaje en el que se indica que al user name se le ha otorgado el derecho "Iniciar sesión como servicio".

max-thread-per-connection-count no resulta de utilidad en los sistemas Windows.

La propiedad de configuración max-thread-per-connection-count de Directory Server no es aplicable en los sistemas de Windows.

Un error de Microsoft Windows muestra el tipo de inicio del servicio como inhabilitado.

Un error de Microsoft Windows 2000 Standard Edition Microsoft Windows 2000 Standard Edition bug provoca que el servicio de Directory Server aparezca como inhabilitado tras eliminar dicho servicio de la Microsoft Management Console.

La consola no admite el inicio de sesión de administración en Windows XP.

La consola no permite que el administrador inicie una sesión en un servidor con Windows XP.

Para solucionar este problema, la cuenta de invitado debe inhabilitarse y la clave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest debe establecerse en 0.

Cambio de configuraciones de índices sobre la marcha.

Si se cambia la configuración de índice de un atributo, todas las búsquedas que incluyan ese atributo como filtro se considerarán como no indexadas. Para garantizar el correcto procesamiento de las búsquedas que incluyan ese atributo, utilice el comando dsadm reindex o dsconf reindex para volver a generar los índices existentes cada vez que se modifique la configuración de índice de un atributo. Para obtener más información, consulte el Capítulo 13, Directory Server Indexing de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

La consola no permite la creación de una instancia de Directory Server o de Directory Proxy Server si la contraseña de Directory Manager contiene un carácter de espacio. (6830908)

Si la contraseña de Directory Manager contiene un carácter de espacio, la cuenta de Directory Manager no puede crear una instancia de Directory Server o de Directory Proxy Server por medio de la consola.

Debido a este mismo problema, el comando dsccsetup ads-create —w password-file falla si el archivo de la contraseña contiene un carácter de espacio.

La distribución de DSEE6.0 PatchZIP no admite SMF. (6886089)

En las instancias instaladas desde la distribución zip de DSEE 6.0 y de versiones posteriores, los comandos dsadm y dpadm no admiten Service Management Facility (SMF). Si la instancia se registra manualmente en SMF, se controla por medio de SMF de modo que si esta instancia se detiene a través de los comandos dsadm o dpadm o por medio de DSCC, SMF reinicia la instancia.

La función SMF sólo es totalmente compatible con la distribución nativa de 6.0 y de versiones posteriores.

Problemas conocidos de Directory Server 6.3.1

En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Server 6.3.1.

2113177

Se ha detectado que Directory Server se bloquea al detener el servidor mientras se está realizando una operación de copia de seguridad, restauración, creación de índices o exportación en línea.

2129151

Directory Server se bloquea al ejecutar el comando stop-slapd .

2133169

Al importar entradas de LDIF, Directory Server no genera los atributos createTimeStamp y modifyTimeStamp.

La importación de LDIF se ha optimizado para acelerar el proceso. Durante la importación, no se generan estos atributos. Para solucionar esta limitación, agregue las entradas en lugar de importarlas. También puede procesar previamente el archivo LDIF para agregar los atributos antes de realizar la importación.

2151022

Si los certificados contienen nombres localizados, dichos certificados no pueden eliminarse correctamente. Ni tampoco pueden enumerarse de una manera adecuada.

4979319

Algunos mensajes de error de Directory Server hacen referencia a una guía inexistente denominada Guía de errores de la base de datos. Si no comprende el significado de un mensaje de error que no se incluye en la documentación, póngase en contacto con el servicio de asistencia técnica de Sun.

6358392

Al eliminar el software, el comando dsee_deploy uninstall no detiene ni elimina las instancias del servidor eistentes.

Para solucionar esta limitación, siga las instrucciones de la Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide.

6401484

El comando dsconf accord-repl-agmt no puede alinear las propiedades de autenticación del acuerdo de repetición si se ha utilizado la autenticación de cliente SSL en el sufijo de destino.

Para solucionar este problema, guarde el certificado del proveedor en la configuración del consumidor mediante los siguientes pasos: Los comandos de ejemplos se basan en dos instancias ubicadas en el mismo host.

1. Exporte el certificado a un archivo.

   En el siguiente ejemplo, se muestra cómo realizar la exportación en los servidores ubicados en /local/supplier y /local/consumer.

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. Intercambie los certificados del cliente y el proveedor.

   En el siguiente ejemplo, se muestra cómo realizar el intercambio en los servidores ubicados en /local/supplier y /local/consumer.

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. Agregue la entrada del cliente SSL en el consumidor, incluido el certificado supplierCert del atributo usercertificate;binary, con el DN de asunto (subjectDN) adecuado.

4. Agregue el DN del administrador de repetición en el consumidor.

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. Actualice las reglas de /local/consumer/alias/certmap.conf.

6. Reinicie los dos servidores con el comando dsadm start.

6410741

Centro de control del servicio de directorios ordena los valores como cadenas. Por lo tanto, al realizar esta clasificación, los números de Centro de control del servicio de directorios, se ordenan como si fueran cadenas.

Un orden ascendente de 0, 20, y 100 da como resultado la lista 0, 100, 20. Un orden descendente de 0, 20, y 100 da como resultado la lista 20, 100, 0.

6412131

Los nombres de certificados que contienen caracteres multibyte se muestran como puntos en la salida del comando dsadm show-cert instance-path valid-multibyte-cert-name.

6416407

Directory Server no analiza correctamente los DN de destino de ACI que contengan comillas o una única coma. Las siguientes modificaciones de ejemplo provocan un error de sintaxis:

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

Sin embargo, se ha detectado que los ejemplos con más de una coma separada con un espacio se analizan correctamente.

6428448

Se ha detectado que el comando dpconf muestra dos veces el aviso Introduzca la contraseña "cn=Directory Manager": cuando se utiliza en el modo interactivo.

6446318

En Windows, la autenticación SASL presenta errores por los dos motivos siguientes:

• Se utiliza el cifrado SASL.

  Para solucionar este problema provocado por el cifrado SASL, detenga el servidor, edite dse.ldif y restablezca SASL a la siguiente configuración.

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• La instalación se realiza mediante paquetes nativos.

  Para solucionar este problema provocado por la instalación mediante paquetes nativos, establezca SASL_PATH en install-dir\share\lib.

6449828

Centro de control del servicio de directorios no muestra correctamente los valores binarios de userCertificate.

6461602

dsrepair fix-entry no funciona si el origen es un desecho y el destino es una entrada (operación de eliminación no repetida).

Para solucionar este problema, utilice el comando dsrepair delete-entry a fin de eliminar la entrada. A continuación, utilice el comando dsrepair add-entry para agregar el elemento desechado.

6468074

El nombre del atributo de configuración passwordRootdnMayBypassModsCheck no indica con claridad que el servidor permite ahora a cualquier administrador omitir la comprobación de sintaxis de la contraseña al modificar la contraseña de otro usuario si se ha establecido este atributo.

6469154

En Windows, las salidas de los comandos dsadm y dpadm , y los mensajes de ayuda no se han traducido al chino simplificado ni al tradicional.

6469296

Aunque Centro de control del servicio de directorios permite copiar la configuración de un servidor existente, no permite copiar la configuración del complemento.

6469688

En los sistemas Windows, se ha detectado que el comando dsconf no puede realizar la importación de LDIF si el nombre del archivo LDIF contiene caracteres de doble byte.

Para solucionar este problema, cambie el nombre del archivo LDIF para que no contenga ningún carácter de doble byte.

6478568

El comando dsadm enable-service no funciona correctamente con Sun Cluster.

6480753

En ocasiones, el comando dsee_deploy puede quedar bloqueado al registrar el componente Monitoring Framework en el contenedor de agentes común.

6482378

El atributo SSLCiphers admitido en el DSE raíz, muestra cifrados NULOS que, de hecho, no están admitidos por el servidor.

6483290

Ni Centro de control del servicio de directorios ni el comando dsconf permiten configurar la forma en que Directory Server maneja las firmas de complementos no válidas. Las firmas de complementos se comprueban de forma predeterminada, aunque no es necesario que sean válidas. Directory Server registra una advertencia cuando se detectan firmas no válidas.

Para cambiar el comportamiento del servidor, ajuste los atributos ds-require-valid-plugin-signature y ds-verify-valid-plugin-signature en cn=config. Los valores de estos dos atributos son on (activado) u off (desactivado).

6485560

Centro de control del servicio de directorios no permite examinar un sufijo configurado para devolver una referencia a otro sufijo.

6488197

Después de la instalación y la creación de las instancias del servidor en los sistemas Windows, los permisos de archivos de las carpetas de instalación y de instancias del servidor permiten el acceso a todos los usuarios.

Para solucionar este problema, cambie los permisos de las carpetas de instalación y de instancias del servidor.

6488284

En la plataforma HP-UX, no se puede acceder a las páginas de comando man de Directory Server Enterprise Edition de las siguientes secciones desde la línea de comandos:

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

Para solucionar este problema, acceda a las páginas de comando man disponibles en la Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference. En esa ubicación, podrá descargar un documento PDF con todas las páginas de comando man de Directory Server Enterprise Edition.

6490557

Al intentar introducir una plantilla de CoS no válida, pueden producirse bloqueos en las versiones de Directory Server 6.

6490653

Al habilitar el modo de referencia para Directory Server utilizando Centro de control del servicio de directorios a través de Internet Explorer 6, el texto de la ventana de confirmación del modo de referencia aparece truncado.

Para solucionar este problema, utilice un navegador diferente como, por ejemplo, Mozilla.

6491849

Después de actualizar una réplica y transferir los servidores a nuevos sistemas, debe volver a crear los acuerdos de repetición para utilizar los nuevos nombres de host. Centro de control del servicio de directorios permite eliminar los acuerdos de repetición existentes, pero no crear nuevos acuerdos.

6492894

En los sistemas Red Hat, el comando dsadm autostart no garantiza siempre que las instancias del servidor se inicien durante el arranque.

6494997

El comando dsconf no solicita la opción dsSearchBaseDN adecuada al configurar DSML.

6495004

En los sistemas Windows, se ha detectado que Directory Server no puede iniciarse cuando el nombre de base de la instancia es ds.

6497053

Al realizarse la instalación desde la distribución zip, el comando dsee_deploy no proporciona una opción para configurar el puerto adaptador de SNMP y el puerto adaptador de flujo.

Para solucionar este problema,

1. Habilite el complemento de supervisión (Monitoring Plug-in) por medio de la consola web o de dpconf.

2. Por medio de cacaoadm set-param, modifique snmp-adaptor-port, snmp-adaptor-trap-port y commandstream-adaptor-port.

6497894

El comando dsconf help-properties se ha configurado para que sólo funcione correctamente tras la creación de la instancia. Además, la lista correcta de los valores del comando dsml-client-auth-mode debería ser client-cert-first | http-basic-only | client-cert-only.

6500936

En la distribución de parches nativa, el calendario en miniatura utilizado para seleccionar fechas para filtrar los registros de acceso no aparece traducido correctamente al chino tradicional.

6501320

Al crear un índice en un esquema personalizado, DSCC no distribuye completamente el cambio de nivel de sufijo de all-ids-threshold.

6503509

Parte de la salida mostrada por los comandos dsccmon, dsccreg, dsccsetup y dsccrepair no está traducida.

6503546

Si se cambia la configuración local del sistema y se inicia DSCC, no se mostrará el mensaje de la ventana emergente con la configuración local seleccionada.

6504180

En Solaris 10, la verificación de contraseñas no se realiza en las instancias que incluyen caracteres multibyte en sus DN al utilizar las configuraciones regionales inglesa y japonesa.

6504549

La detección de una instancia de Directory Server por parte de Java Enterprise System Monitoring Framework no se realiza satisfactoriamente cuando el proceso ns-slapd se ha iniciado de forma remota mediante rsh.

6506019

En HP-UX, la desasociación de gdb de un proceso en ejecución de ns-slapd, finaliza el proceso y genera un volcado del núcleo central.

6507312

En los sistemas HP-UX, las aplicaciones que utilizan las bibliotecas NSPR se bloquean y realizan un volcado del núcleo tras efectuarse la investigación con gdb. Este problema se produce al adjuntar gdb a una instancia de Directory Server en ejecución y utilizar a continuación el comando gdb quit.

6520646

Al hacer clic en Examinar la ayuda en pantalla de DSCC, no se muestra la ayuda si se utiliza Internet Explorer.

6527999

La API del complemento de Directory Server incluye las funciones slapi_value_init() (), slapi_value_init_string()() y slapi_value_init_berval() ().

Todas estas funciones necesitan la función "listo" para liberar los elementos internos. Sin embargo, la API pública no presenta la función slapi_value_done() ().

6539650

Es posible que falle la creación en DSCC de una instancia de Directory Server con caracteres de varios bytes en su ruta o que ésta no pueda iniciarse ni realizar otras tareas regulares.

Algunos de estos problemas pueden resolverse mediante el uso del conjunto de caracteres utilizado para crear la instancia. Defina el conjunto de caracteres por medio de los siguientes comandos:

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

Para evitar estos problemas, utilice exclusivamente los caracteres ASCII en la ruta de la instancia.

6541040

Al modificar la directiva de contraseñas mediante Centro de control del servicio de directorios, es posible que los atributos que no se hayan modificado se restablezcan de forma inadvertida.

Si se utiliza Centro de control del servicio de directorios para administrar la directiva de contraseñas predeterminada, no se producirá ningún error. Sin embargo, si se utiliza Centro de control del servicio de directorios para administrar las directivas de contraseñas especializadas, es posible que se restablezcan los atributos que no se hayan modificado.

6542857

Al usar la utilidad de administración de servicios (SMF) en Solaris 10 para habilitar una instancia del servidor, es posible que la instancia no se inicie al reiniciar el sistema y se devuelva el siguiente error.

svcadm: Instance "svc:/instance_path" is in maintenance state.

Para solucionar este problema, utilice un usuario local para crear los servidores de Directory Server y de Directory Proxy Server.

6547992

En HP-UX, es posible que los comandos dsadm y dpadm no encuentren la biblioteca compartida libicudata.sl.3.

Para solucionar este problema, establezca la variable SHLIB_PATH.

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

Es posible que se produzca un error al utilizar DSCC junto con Tomcat 5.5 y JDK 1.6.

Para solucionar este problema, utilice en su lugar JDK 1.5.

6551672

Sun Java System Application Server, integrado con Solaris 10, no puede crear una conexión de cliente SASL para un mecanismo autenticado y no se comunica con el contenedor de agentes común.

Como solución, cambie la JVM utilizada por el servidor de aplicaciones mediante la edición del archivo appserver-install-path/appserver/config/asenv.conf y sustituya la entrada AS_JAVA por AS_JAVA="/usr/java". Reinicie el dominio del servidor de aplicaciones.

6551685

dsadm autostart puede provocar errores en la autenticación LDAP al reiniciarse el sistema.

Para solucionar este problema, invierta el orden de las secuencias de comandos de inicio. El orden predeterminado es /etc/rc2.d/S71ldap.client y /etc/rc2.d/S72dsee_directory .

6557480

En Solaris 9 y Windows, al acceder a la ayuda en pantalla desde la consola configurada mediante un archivo de almacenamiento web (WAR), se muestra un error.

6559825

Si se modifica el número de puerto mediante DSCC en un servidor con sufijos repetidos, pueden producirse problemas al establecer el acuerdo de repetición entre los servidores.

6571672

Si la descompresión de un archivo zip no está disponible en el sistema, dsee_deploy no instala ningún producto.

6583131

Para utilizar Centro de control del servicio de directorios en su versión localizada, ejecute el parche localizado de Directory Server Enterprise Edition 6.3.1 antes que el parche central de Directory Server Enterprise Edition 6.3.1 o ejecute los siguientes comandos en el orden especificado.

# dsccsetup console-unreg # dsccsetup console-reg

No es necesario ejecutar los comandos dsccsetup console-unreg y console reg si ejecuta el parche localizado de Directory Server Enterprise Edition 6.3.1 antes que el parche central de Directory Server Enterprise Edition 6.3.1.

En una instalación basada en zip, el parche localizado de Directory Server Enterprise Edition 6.3.1 no se aplica automáticamente en Centro de control del servicio de directorios. Como solución, anule la implementación del archivo WAR y vuelva a implementarlo.

6587801

Centro de control del servicio de directorios y el comando dsadm de las versiones 6.1 o posteriores no muestran el certificado de CA integrado de las instancias de Directory Server creadas con el comando dsadm de la versión 6.0.

Para solucionar este problema:

Agregue el módulo de 64 bits a la versión de 64 bits de modutil:

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6594285

Centro de control del servicio de directorios no tiene capacidad RBAC.

6595805

Si se utiliza una codificación distinta de UTF-8, y si la ruta de instalación contiene caracteres distintos de ASCII, la herramienta dsee_deploy no puede instalar Java Enterprise System Monitoring Framework dentro del contenedor de agentes común.

6630897

La salida del comando dsadm show-*-log l no incluye las líneas correctas. Puede incluir las últimas líneas de un registro rotado anteriormente.

6630924

La salida del comando dsadm show-*-log no se muestra correctamente cuando algunas líneas del registro contienen más de 1.024 caracteres.

6634397

En los servidores registrados en DSCC como de escucha en todas las interfaces (0.0.0.0), al intentar utilizar dsconf para modificar la dirección de escucha de los servidores, se producen errores en DSCC.

Para utilizar sólo el puerto SSL y configurar la dirección de escucha segura con Directory Server Enterprise Edition 6.3, utilice esta solución:

1. Cancele el registro del servidor desde DSCC:

   dsccreg remove-server /local/myserver

2. Inhabilite el puerto LDAP.

   dsconf set-server-prop ldap-port:disabled

3. Configure una dirección de escucha segura:

   dsconf set-server-prop secure-listen-address:IPaddress

   dsadm restart /local/myserver

4. Registre el servidor mediante DSCC. En el Asistente para registrar servidores, especifique la dirección IP del servidor. Esta operación no puede deshacerse.

6637242

Después de implementar el archivo WAR, el botón Ver topología no funciona siempre. A veces puede generarse una excepción de Java basada en org.apache.jsp.jsp.ReplicationTopology_jsp._jspService

6638990 / 6641357

El comando de importación en bloque ldapmodify puede dañar los datos existentes. La especificación de la opción -B suffix provoca la eliminación de todos los datos existentes en el sufijo.

Por lo tanto, el contenido de la página de comando man ldapmodify es incorrecto cuando afirma que la importación en bloque por medio del comando ldapmodify no elimina las entradas existentes.

6640755

En Windows, con la configuración regional coreana, el comando dsadm start no muestra el registro de errores de nsslapd cuando ns-slapd no puede iniciarse.

6644161

En la configuración regional coreana, al hacer clic en el botón Remove Attribute del apartado Encrypted Attributes Section de Centro de control del servicio de directorios, se muestra el siguiente mensaje de error incompleto:

You have chosen to remove

El mensaje debería especificar lo siguiente:

You have chosen to remove {0} from the list of encrypted attributes. In order for the database files to reflect the configuration and to work properly you must Initialize the Suffix. Do you want to continue?

6648240

Si se cambia o elimina un atributo en la tabla de índices adicionales de la ficha Índices de Centro de control del servicio de directorios, es posible que se muestra información obsoleta hasta que se actualice el navegador.

6650105

En la distribución zip de Windows 2000, con Tomcat 5.5 Application Server e Internet Explorer 6, en el paso "Step 3: Assign Access Rights" del asistente "New DS Access Control Instruction" de Centro de control del servicio de directorios, al hacer clic en el botón "Delete" del cuadro de lista "Assign Rights to Specified Users: ", puede producirse una excepción similar a la siguiente:

The following error has occurred:
Handler method "handleAssignACIToDeleteButtonRequest" not implemented,
or has wrong method signature
Show Details
Hide Details
com.iplanet.jato.command.CommandException: Handler method
"handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature
     com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute
(DefaultRequestHandlingCommand.java:167)
     com.iplanet.jato.view.RequestHandlingViewBase.handleRequest
(RequestHandlingViewBase.java:308)
     com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)

6653574

La repetición de un maestro de Directory Server 6.X en un maestro de la versión 5.1 no funciona correctamente.

6658483

En chino tradicional, la traducción que aparece en Centro de control del servicio de directorios de la cadena "Initialize Suffix with Data..." de la ficha Replication Settings de un sufijo es confusa.

6660462

Antes de actualizar Directory Server Enterprise Edition 6.2 a la versión Directory Server Enterprise Edition 6.3, debe detenerse manualmente ntservice para cada instancia de Directory Server o de Directory Proxy Server; no obstante, el comando dsee_deploy no puede identificar instancias en ejecución de Directory Server o de Directory Proxy Server en la plataforma Microsoft Windows 2000.

En la distribución zip de Microsoft Windows 2000, al realizar la actualización, el comando dsee_deploy puede fallar. El mensaje de error es el siguiente:

error: cannot delete old C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe

Esto indica que todavía existe una instancia en ejecución de Directory Server o de Directory Proxy Server. Para detener la instancia o las instancias, en Microsoft Windows 2000, seleccione Inicio > Configuración > Panel de control y seleccione Herramientas administrativas y Servicios. En cada servicio de Directory Server o de Directory Proxy Server mostrado en la columna derecha, haga clic con el botón derecho en la instancia y seleccione Detener.

6663685

En Centro de control del servicio de directorios, la operación Copy Suffix Configuration puede provocar la aparición de ventanas emergentes erróneas.

6687375

DSCC no tiene por qué recuperar necesariamente los certificados de agente que crea. DSCC trata de almacenar el certificado en 'agent-profile' del registro DSCC, pero si ldap-port en el registro DSCC está enlazado con la interfaz de bucle invertido, no puede almacenarse el certificado. No obstante, DSCC puede leer el registro DSCC, ya que por su diseño debe utilizar localhost para comunicarse con el registro DSCC.

Para solucionar esta limitación, use el comando ldapmodify para crear agent-profile en el registro DSCC.

6689290

Un intento de detener/iniciar/reiniciar el servidor a través de una versión localizada de DSCC puede provocar la visualización de mensajes localizados difusos.

Como solución, edite el archivo cacao.properties, elimine el indicador -Dfile.encoding=utf-8 y reinicie cacao en la configuración regional deseada.

6696857

Si una instancia de Directory Proxy Server sólo tiene habilitado secure-listen-socket/port mediante DSCC y el certificado del servidor no es el predeterminado (por ejemplo, si se trata de un certificado firmado por una entidad emisora), no se podrá usar DSCC para administrar la instancia.

Para solucionar este problema, cancele el registro de la instancia de DPS y vuelva a registrarla. También puede actualizar la información del certificado de usuario de la instancia de DPS en el registro de DSCC mediante el certificado del servidor.

6703850

Las versiones de Directory Server 5 y de Directory Server Enterprise Edition 6 pueden encontrarse con problemas de rendimiento al utilizar el sistema de archivos Veritas (VxFS) versión 4.1 y 5.0 en Solaris 9 y Solaris 10 (SPARC o x86). El problema de rendimiento está dentro de la llamada del sistema fdsync y afecta, por ejemplo, al punto de comprobación de Directory Server. Este problema se soluciona con la función VMODSORT de Solaris. Para obtener más información, consulte http://sunsolve.sun.com/search/document.do?assetkey=1-66-201248-1.

Directory Server Enterprise Edition 6 puede encontrarse con un problema de rendimiento (CR 6703850) al utilizar el sistema de archivos Veritas con la función VMODSORT. Este problema se produce al añadir una página al archivo (por ejemplo, id2entry.db3). Este error provoca que la llamada del sistema ftruncate utilice tantos recursos como al emplear el sistema de archivos Veritas sin la función VMODSORT.

6705472

Las directivas de contraseñas miden la longitud de las contraseñas mediante el número de bytes, por lo que una contraseña que contenga caracteres con varios bytes puede verse afectada por la directiva de longitud de contraseñas incluso si la contraseña en cuestión contiene menos caracteres que el mínimo especificado. Por ejemplo, una contraseña con 7 caracteres que contuviera un carácter de 2 bytes cumpliría con una directiva de contraseñas que hubiera establecido en 8 su longitud mínima.

6707789

El ejemplo 1 de la página de comando man para el comando modrate contiene errores de uso. El siguiente ejemplo es correcto:

modrate -D uid=hmiller,ou=people,dc=example,dc=com -w hillock -b "uid=test%d,ou=test,dc=example,dc=com" \ -C 3 -r 100 -M 'description:7:astring'

6712064

La propiedad nsslapd-groupevalsizelimitis no está documentada. La siguiente descripción se aplica a esta propiedad.

NOMBRE

nsslapd-groupevalsizelimit número máximo de miembros del grupo estático para la evaluación ACI.

DESCRIPCIÓN

Define el número máximo de miembros que un grupo estático (incluidos los miembros de sus subgrupos) puede tener para una evaluación ACI.

DN de la entrada

cn=config

Rango válido

0 hasta el valor de número entero de 64 bits máximo

Un valor de -1 significa infinito.

Valor predeterminado

5000

Sintaxis

Número entero

Ejemplo

nsslapd-groupevalsizelimit: 5000

Atributos

Consulte la página de comando man de atributos (5) para obtener una descripción de los siguientes atributos:

TIPO DE ATRIBUTO	VALOR DE ATRIBUTO
Disponibilidad	SUNWldap-directory
Nivel de estabilidad	Obsoleto: se programa su eliminación tras esta versión

6720595

En los sistemas UNIX, cualquier intento de cambiar la ruta de cualquier archivo de registro con dsconf set-log-prop o DSCC no se realizará satisfactoriamente si la nueva ruta del archivo de registro no existe previamente.

6722534

El valor de minheap está descrito de forma incorrecta en la Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference. El valor de minheap es igual al doble de la cantidad de la memoria del montón utilizada por el servidor en el inicio.

6723208

El intento de editar un valor de atributo que contenga un retorno de carro provoca que el valor quede dañado.

6723590

Debido a un daño potencial de la base de datos presente pero no detectado en la versión 6.2, antes de actualizar Directory Server Enterprise Edition 6.2 a la versión 6.3.1, reconstruya la base de datos mediante su exportación a un archivo LDIF y, después, vuelva a importar el archivo LDIF. En un entorno repetido, reconstruya o reinicie todos los servidores. La exportación, importación e inicialización de servidores en un entorno repetido se describe en la Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

---

Nota –

Esto sólo es aplicable en caso de actualización desde Directory Server Enterprise Edition 6.2, por lo que no es pertinente para actualizaciones desde las versiones 6.0, 6.1 ó 6.3.

---

6725346

Los nombres de base de datos sólo pueden contener caracteres alfanuméricos ASCII (7 bits), guiones (-) y caracteres de subrayado (_). Directory Server no acepta los caracteres multibyte (como, por ejemplo, los juegos de caracteres chinos o japoneses) en las cadenas de los nombres de base de datos, archivo o ruta. Para solucionar este problema, al crear un sufijo de Directory Server con caracteres multibyte, especifique un nombre de base de datos que no incluya caracteres de este tipo. Por ejemplo, al crear un sufijo en la línea de comandos, establezca de forma explícita la opción --db-name del comando dsconf create-suffix.

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

No utilice el nombre de base de datos predeterminado para el sufijo. No utilice caracteres multibyte para el nombre de la base de datos.

6742347

Directory Server Enterprise Edition 6 no se detiene correctamente durante el cierre de Windows si está registrado como servicio. Al reiniciar el sistema, se registra el siguiente mensaje en el archivo del registro de errores:

WARNING<20488> - Backend Database - conn=-1 op=-1 msgId=-1 - Detected Disorderly Shutdown last time Directory Server was running, recovering database.

Para solucionar este problema, detenga el servicio Directory Service manualmente antes de apagar o reiniciar.

Para detener las instancias en Microsoft Windows, seleccione Inicio > Configuración > Panel de control y, después, Herramientas administrativas y Servicios. En cada servicio de Directory Server mostrado en la columna derecha, haga clic con el botón derecho sobre la instancia y seleccione Detener. Como alternativa, ejecute este comando:

$ dsadm.exe stop instance-path

6750837

La especificación de las unidades de red de Microsoft Windows distingue entre mayúsculas y minúsculas. Por lo tanto, al utilizar, por ejemplo, C:/ y c:/, en los comandos de administración de DSEE, es posible que la repetición presente errores una vez reiniciados los elementos principales. Para solucionar este problema, utilice 'DSEE_HOME/ds6/bin/dsconf accord-repl-agmt' a fin de corregir el acuerdo de repetición.

6751354

La especificación de las unidades de red de Microsoft Windows distingue entre mayúsculas y minúsculas. Por lo tanto, al utilizar, por ejemplo, C:/ and c:/, en los comandos de administración de DSEE, se pueden generar diversos mensajes de error como los siguientes:

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

Para evitar estas advertencias, asegúrese de utilizar en todo momento C:/.

6752475

En Windows 2000, pueden aparecer errores de base de datos en los servidores de fondo. Este problema sólo existe en Microsoft Windows. Cuando esto sucede, se registran los siguientes mensajes de error en los registros de errores:

ERROR<20742> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD MAP 1, err=5 ERROR<20741> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD EV 1, err=5

Este error suele ser inofensivo, pero, en ocasiones, puede provocar un fallo (6798026) si una instancia iniciada por un usuario (el usuario administrador o cualquier otro usuario) entra en conflicto con otra instancia iniciada por otro usuario (un servicio de Windows, el usuario administrador o cualquier otro usuario).

Para solucionar este problema en la producción, deben registrarse todas las instancias como servicios.

Para solucionar este problema durante la evaluación, debe tenerse en cuenta que si no se inicia ninguna instancia como servicio de Windows, las nuevas instancias deben ser iniciadas por parte del mismo usuario. Si se inicia una instancia como servicio de Windows, la única solución es iniciar las nuevas instancias por medio de una conexión a escritorio remoto (Remote Desktop Connection o rdesktop).

6752625

Es posible que la ayuda en pantalla de DSCC enlace a páginas web desconocidas. En concreto, algunos menús del asistente pueden sugerir lo siguiente:

For more information about data source configuration, see the "Sun Java System Directory Server Enterprise Edition Reference."

Al seleccionar el vínculo al documento de referencia de DSEE, se genera un mensaje de error.

Para solucionar este problema, haga clic en el vínculo con el tercer botón del ratón y seleccione el comando Abrir vínculo en una nueva ventana en el menú desplegable. Aparece el documento seleccionado en la nueva ventana del navegador.

6753020

En una configuración de repetición con varios maestros, la repetición realizada desde maestros de versiones de Directory Server 6 a maestros de Directory Server 5.2 (con un máximo de cuatro servidores) funciona correctamente.

6753742

En una configuración de repetición con varios maestros, es posible que falle una migración de maestros desde JES 4 a Directory Server 6.3. Por ejemplo, puede aparecer el siguiente mensaje de error tras realizar el paso 6 de Migrating the Masters de Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide:

INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - _replica_configure_ruv: failed to create replica ruv tombstone entry (suffix); LDAP error - 53

Para solucionar este problema, siga los siguientes pasos:

1. Detenga todos los maestros JES 4.

2. Edite manualmente el archivo de configuración dse.ldif y cambie nsslapd-readonly: on por nsslapd-readonly: off.

3. Ejecute el comando de migración dsmig migrate-config.

6755852

Los intentos de instalación del parche DSEE6.3 patchzip (y versiones posteriores) en el Windows japonés fallan siempre al implementar JESMF en Cacao, con resultados similares al siguiente:

Deploying JESMF in Cacao... ## Failed to run install-path/dsee6/cacao_2/bin/cacaoadm.bat deploy install-path/dsee6/mfwk/xml/com.sun.mfwk.xml #### #### Cannot execute command deploy: The connection has been closed by the server . #### ## Exit code is 1 Failed to register DS in JESMF. Error: Cannot register mfwk into cacao framework:

Siga los pasos siguientes para completar la instalación tras el error:

1. Añada lo siguiente a mfwk.properties para iniciar Cacao.

   com.sun.mfwk.agent.objects=false

2. Ejecute el siguiente comando para reiniciar Cacao.

   cacaoadm start

   Asegúrese de que Cacao siga en ejecución.

3. Ejecute los dos siguientes comandos:

   $ dsccsetup mfwk-unreg $ dsccsetup mfwk-reg -t

4. Ejecute el siguiente comando para asegurarse de que mfwk esté registrado correctamente en la estructura de Cacao.

   $ install-path/dsee6/cacao_2/bin/cacaoadm list-modules

   Si mfwk está registrado correctamente, el comando devuelve los siguientes resultados:

   List of modules registered: com.sun.cacao.agent_logging 1.0 com.sun.cacao.command_stream_adaptor 1.0 com.sun.cacao.efd 2.1 com.sun.cacao.instrum 1.0 com.sun.cacao.invoker 1.0 com.sun.cacao.mib2simple 1.0 com.sun.cacao.rmi 1.0 com.sun.cacao.snmpv3_adaptor 1.0 com.sun.cmm.ds 1.0 com.sun.directory.nquick 1.0 com.sun.mfwk 2.0

5. Copie los dos siguientes archivos en install-path /dsee6/bin:

   installer-path\DSEE_ZIP_Distribution\dsee_deploy.exe installer-path\DSEE_ZIP_Distribution\dsee_data\listrunnings.exe

6756152/2168088

Los comandos LDAP no funcionan en Windows (IPv6 habilitado)

6772760

Un intento de detener el servidor inmediatamente después de su inicio puede causar un bloqueo en las versiones de DSEE 6.

6772879

La directiva de contraseñas de Directory Server Enterprise Edition 5.x administra atributos con un patrón de asignación de nombre password* y la directiva de contraseñas de Directory Server Enterprise Edition 6.x administra atributos con un patrón de asignación de nombre pwd*. Al ejecutar el modo de compatibilidad Directory Server Enterprise Edition (se administran los atributos de ambas directivas), si se inhabilita la funcionalidad de una directiva de contraseñas, es posible que varios valores de atributos relacionados difieran entre los atributos de 5.x y los de 6.x. Por ejemplo, si passwordUnlock se estableciera en off, el valor de pwdLockoutDuration podría ser de 0 al tiempo que el valor de passwordLockoutDuration podría ser de <>0.

6776034

El agente de DSCC no se puede registrar en el servicio CACAO de Solaris 9. Si falta el paquete SUNWxcu4 en el sistema, el comando DSEE_HOME/dscc6/bin/dsccsetup cacao-regmostrará el error Failed to configure Cacao (No se puede configurar Cacao).

6777338

En el caso de la migración de una repetición con varios maestros desde Directory Server 5.2 a Directory Server 6.3, el apartado Manual Reset of Replication Credentials de Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide no estaría completo. El procedimiento le conduce a la ejecución de este comando:

dsconf set-server-prop -h host -p port def-repl-manager-pwd-file:filename

No obstante, también es necesaria la ejecución de este otro comando no documentado:

dsconf set-repl-agmt-prop -p port_master1 replicated_suffix master2:port_master2 auth-pwd-file:filename

El comando dsmig migrate-config devuelve comandos que deben ejecutarse para restablecer adecuadamente las credenciales de repetición.

6786078

Es posible que un complemento inexistente de Sun Microsystems se considere como un complemento con una firma válida. Se muestra el siguiente mensaje de advertencia:

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install.

Este mensaje de advertencia sólo se muestra con los complementos de un proveedor de Sun Microsystems.

6790060

Una búsqueda no indexada relacionada con una evaluación de ACI que devuelva pocas entradas puede provocar que el rendimiento de búsqueda sea muy escaso. Este problema sólo es aplicable con esta versión de DSEE6.3.1.

6791372

Un recurso de escasez de memoria puede provocar el bloqueo de las versiones de Directory Server 6. En consecuencia, aparece el siguiente mensaje de error en el archivo errorlog del servidor:

ERROR<5122> - binder-based resource limits - conn=-1 op=-1 msgId=-1 - System error: resource shortage PR_NewRWLock() failed for reslimit

6827661

Una instancia de Directory Server no puede detenerse por medio del comando dsadm stop a través del escritorio remoto si dicha instancia ha sido iniciada por medio de la consola o del comando dsadm start de forma local.

Para solucionar este problema, ejecute el siguiente comando con el fin de habilitar el servicio.

dsadm enable-service --type WIN_SERVICE instance-path

6831959

Debido a un problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, con Directory Server Enterprise Edition debería evitarse el uso del algoritmo MD5 en los certificados firmados.

Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:

1. Ejecute el siguiente comando para visualizar la lista de los certificados definidos en una instancia específica de Directory Server.

   $ dsadm list-certs instance-path

2. Ejecute el siguiente comando en cada certificado definido para determinar si ha sido firmado con el algoritmo MD5:

   $ dsadm show-cert instance-path cert-alias

   El siguiente ejemplo muestra el típico resultado del comando dsadm show-cert para un certificado firmado con MD5:

   Certificate: Data: [...] Signature Algorithm: PKCS #1 MD5 With RSA Encryption [...]

Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:

$ dsadm remove-cert instance-path cert-alias

Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dsadm genera una contraseña predeterminada para la base de datos de certificados al crear una instancia de Directory Server.)

1. Detenga la instancia de Directory Server.

2. Ejecute el comando siguiente:

   $ dsadm set-flags instance-path cert-pwd-prompt=on

   Aparece un mensaje de solicitud de contraseña.

3. Introduzca una contraseña con un mínimo de ocho caracteres.

4. Reinicie la instancia de Directory Server y proporcione el Internal (Software) Token cuando se le solicite.

Reemplace todos los certificados firmados con MD5 por certificados firmados con SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).

Siga los siguientes pasos para generar y almacenar certificados autofirmados:

1. Como administrador de Directory Server, ejecute el siguiente comando para generar un certificado autofirmado por medio del algoritmo de firma SHA-1. (Para obtener más información acerca del comando certutil, consulte http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

   $ certutil -S -x -n certName -s subject -d certs-db-path \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   -S

   Especifica la generación de un certificado individual y su adición a la base de datos.

   -x

   Especifica la generación de un certificado autofirmado.

   -n certName

   Especifica el nombre del alias del certificado, por ejemplo, defaultCert

   -s "subject "

   Especifica el propietario del certificado para nuevos certificados o solicitudes de certificados, por ejemplo, CN=...,OU=...

   -d instance-path /alias

   Especifica el directorio de la base de datos que debe contener los archivos del certificado y de la base de datos de claves.

   -P "slapd-"

   Especifica el prefijo de la base de datos de certificados.

   -t "CTu,u,u"

   Especifica los argumentos de confianza.

   -Z SHA1

   Especifica SHA-1 como el algoritmo de firma del certificado.

   El ejemplo siguiente muestra un uso típico:

   $ install-path/dsee6/bin/certutil -S -x -n "A-New-Cert" \ -s "CN=myhostname,CN=8890,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   El comando muestra este mensaje:

   [Password or Pin for "NSS Certificate DB"]

2. Introduzca la nueva contraseña creada para la base de datos de certificados.

Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):

1. Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):

   $ certutil -R -s subject -d certs-db-path -P "slapd -a -Z SHA1 -o output-file

   -R

   Especifica la generación de una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):

   -s "subject "

   Especifica el propietario del certificado para nuevos certificados o solicitudes de certificados, por ejemplo, CN=...,OU=...

   -d instance-path /alias

   Especifica el directorio de la base de datos que debe contener los archivos del certificado y de la base de datos de claves.

   -P "slapd-"

   Especifica el prefijo de la base de datos de certificados.

   -a

   Especifica que la solicitud de certificado debe crearse en el formato ASCII en lugar de en el formato binario predeterminado.

   -o output-file

   Especifica el archivo de salida para el almacenamiento de la solicitud de certificado.

   El ejemplo siguiente muestra un uso típico:

   $ install-path/dsee6/bin/certutil -R \ -s "CN=myhostname,CN=7601,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -a -o /tmp/cert-req.txt

   El comando muestra este mensaje:

   [Password or Pin for "NSS Certificate DB"

2. Introduzca la nueva contraseña creada para la base de datos de certificados.

3. Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

4. Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:

   $ dsadm add-cert ds-instance-path cert-alias signed-cert-alias

   Este paso se describe en el apartado To Add the CA-Signed Server Certificate and the Trusted CA Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

5. Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:

   $ dsadm add-cert --ca instance-path trusted-cert-alias

   Este paso se describe en el apartado To Add the CA-Signed Server Certificate and the Trusted CA Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

6. Ejecute el siguiente comando para comprobar que se esté utilizando el nuevo certificado.

   $ dsadm show-cert instance-path cert-alias Certificate: Data: [...] Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption [...]

6834291

Cuando la propiedad pwd-must-change-enabled se establece en on y se invocan operaciones de la cuenta de usuario con el control de autorización por proxy, la única operación que puede realizarse en nombre de un usuario con una contraseña restablecida es la modificación de la contraseña de la cuenta de usuario.

En versiones anteriores a la Directory Server Enterprise Edition 6.3.1, esta operación se rechazaba como account unusable (como se describe en CR 6651645). Directory Server Enterprise Edition 6.3.1 admite la modificación de una contraseña restablecida por medio de una autorización por proxy; no obstante, la ejecución del parche 6.3.1 en una implementación existente causó el siguiente problema. Si se ha restablecido una contraseña de cuenta de usuario de forma administrativa, una operación en la cuenta por medio de una autenticación por proxy no implica necesariamente la modificación del atributo userpassword. -

La causa de este problema es un cambio en el orden de complementos de Directory Server que no se corrige en ninguna de las instancias existentes durante la ejecución del parche 6.3.1. Cualquier instancia de Directory Server creada tras la actualización a la versión Directory Server Enterprise Edition 6.3.1 cuenta con el orden de complementos correcto.

En el caso de una instancia de Directory Server creada antes de la actualización a Directory Server Enterprise Edition 6.3.1, se requiere que un administrador corrija la lista de orden de complementos de la instancia por medio del comando ldapmodify.

En el siguiente ejemplo, se deduce que el orden de complementos no se ha modificado con respecto al orden original. Si la implementación utiliza un orden personalizado, modifique el ejemplo para incluir la personalización, pero asegúrese de que ACL preoperation preceda a cualquier PwP preoperation.

Reinicie la instancia para que el cambio surta efecto.

$ install-path/dsrk6/bin/ldapmodify dn: cn=plugins, cn=config changetype:modify replace: plugin-order-preoperation-finish-entry-encode-result plugin-order-preoperation-finish-entry-encode-result: ACL preoperation,PwP preoperation - replace: plugin-order-preoperation-search plugin-order-preoperation-search: ACL preoperation,* - replace: plugin-order-preoperation-compare plugin-order-preoperation-compare: ACL preoperation,* - replace: plugin-order-preoperation-add plugin-order-preoperation-add: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-add plugin-order-internalpreoperation-add: PwP internalpreoperation,* - replace: plugin-order-preoperation-modify plugin-order-preoperation-modify: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-modify plugin-order-internalpreoperation-modify: PwP internalpreoperation,* - replace: plugin-order-preoperation-modrdn plugin-order-preoperation-modrdn: ACL preoperation,* - replace: plugin-order-preoperation-delete plugin-order-preoperation-delete: ACL preoperation,* - replace: plugin-order-bepreoperation-add plugin-order-bepreoperation-add: PwP bepreoperation,* - replace: plugin-order-bepreoperation-modify plugin-order-bepreoperation-modify: PwP bepreoperation,*

6867762

Cuando se rotan los registros de acuerdo con rotation-time o con rotation-interval, la hora exacta en la que se produce dicha rotación depende de muchas variables, incluidas las siguientes:

• Los valores de las propiedades rotation-time, rotation-interval, rotation-now y rotation-size.

• La programación del subproceso de mantenimiento.

• El tamaño efectivo del archivo de registro con el que se cumple la condición de rotación.

Por este motivo, no puede garantizarse el atributo de marca de hora timestamp en el archivo de registro rotado (por ejemplo, access.timestamp).

6872923

El caso de la directiva de contraseñas del primer inicio de sesión descrito en el apartado To Set Up a First Login Password Policy de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide no está completo. Antes de ejecutar el ejemplo, asegúrese de que la entrada predeterminada de la directiva de contraseñas global ("cn=Password Policy,cn=config") esté configurada con la propiedad Password Must Change establecida en TRUE.

6876315

Si el usuario que ejecuta el comando dsmig no es el propietario de la instancia de destino del servidor de directorios, este comando presentará errores debido a que no dispone del permiso adecuado para generar los archivos migrados y acceder a ellos.

Si el usuario que ejecuta el comando dsmig es el propietario del servidor de directorios de destino y cuenta con, al menos, acceso de lectura en el servidor de directorios de origen, la ejecución se realizará satisfactoriamente. De lo contrario, para realizar la migración, se debe exportar la base de datos e importarla al nuevo servidor de directorios.

6902940

La configuración de Cacao puede fallar en Windows si la variable de entorno PERL5LIB está establecida en una versión PERL anteriormente existente.

Para solucionar este problema, edite los dos archivos de secuencia de comandos. Para la instalación ZIP de Directory Server Enterprise Edition, edite estos dos archivos:

• installPath/dsee6/cacao_2/configure.bat

• installpath/dsee6/cacao_2/bin/cacaoadm.bat

Para las instalaciones Sun Java Enterprise System 5 de Directory Server Enterprise Edition, edite estos dos archivos:

• C:\Program Files\Sun\JavaES5\share\cacao_2\configure.bat

• C:\Program Files\Sun\JavaES5\share\cacao_2\bin\cacaoadm.bat

Edite ambos archivos y añádales esta línea al comienzo:

set PERL5LIB=

6920893

En las instalaciones Windows, los comandos ldapsearch, ldapmodify, ldapcompare y ldapdelete fallan si se especifican caracteres con varios bytes como valor para las opciones de enlace SASL authid y authzid. En lugar de recibir los caracteres sin procesar, el comando los recibe convertidos de forma incorrecta por la página de códigos empleada por la instalación.

Para evitar esta conversión y proporcionar los caracteres sin procesar al comando, utilice una de las siguientes páginas de códigos:

• Página de códigos 1252 para Windows en la Europa occidental.

• Página de códigos 932 (Shift_JIS) para Windows japonés.

Una solución programática sería crear un programa nuevo de fork/exec para el comando (por ejemplo, ldapsearch) y proporcionar los argumentos de enlace SASL por medio de exec (sin que sea necesaria la traducción de la página de códigos).

6928378

En la Guía de administración, se afirma incorrectamente que puede utilizarse Centro de control del servicio de directorios para definir una referencia que establezca un sufijo como de sólo lectura. Esta función no está implementada en Centro de control del servicio de directorios a no ser que se habilite la repetición para este sufijo.