Directory Proxy Server 6.3.1 Mise à jour 1

Les sections suivantes présentent Directory Proxy Server 6.3.1 Mise à jour 1 :

• À propos de Directory Proxy Server 6.3.1 Mise à jour 1

• Bogues résolus dans Directory Server 6.3.1 Mise à jour 1

• Notes d'installation de Directory Proxy Server 6.3.1 Mise à jour 1

• Problèmes connus et restrictions de Directory Proxy Server 6.3.1 Mise à jour 1

À propos de Directory Proxy Server 6.3.1 Mise à jour 1

Ce patch corrige des problèmes uniquement dans le composant Directory Proxy Server du produit Directory Server Enterprise Edition. Il est conçu pour être appliqué par-dessus Directory Server Enterprise Edition 6.3.1. Le composant Directory Server de Directory Server Enterprise Edition 6.3.1 reste inchangé.

Vous ne pouvez pas appliquer cette mise à jour aux versions de Directory Server Enterprise Edition antérieures à 6.3.1. Pour consulter les consignes de mise à niveau vers la version 6.3.1, reportez-vous au Tableau 2–1, « Chemins de mise à niveau vers Directory Server Enterprise Edition 6.3.1 ».

Cette section contient les rubriques suivantes :

• Nouveautés de cette version

• Améliorations apportées à Directory Proxy Server 6.3.1 Mise à jour 1

• Plates-formes prises en charge

Nouveautés de cette version

Cette mise à jour est une version mineure principalement conçue pour corriger les bogues décrits à la section Bogues résolus dans Directory Server 6.3.1 Mise à jour 1.

Directory Proxy Server 6.3.1 Mise à jour 1 introduit aussi un nouveau comportement pour les opérations de recherche persistante. Si une application client est très lente lors de la lecture des résultats de recherche persistante depuis le serveur d'annuaire proxy, la file d'attente de réponse du serveur proxy est surchargée. Dans ce cas, le serveur peut fermer la connexion en affichant sur le client la notification suivante :

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

Un message d'informations semblable au suivant est également journalisé :

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Améliorations apportées à Directory Proxy Server 6.3.1 Mise à jour 1

Les améliorations suivantes ont été apportées à Directory Proxy Server 6.3.1 Mise à jour 1 :

Possibilité de définir (set) et d'obtenir (get) JAVA HOME avec dpadm set-flags/get-flags (6765629)

Il est possible de définir un chemin pour JAVA_HOME et de lui donner la priorité sur la valeur de la variable JAVA_HOME définie dans l'environnement, comme dans l'exemple suivant :

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

Possibilité de définir (set) et d'obtenir (get) la valeur umask de la configuration DPS et des fichiers journaux (6739456)

La commande dpadm permet de modifier la valeur umask. Au redémarrage suivant de l'instance DPS, les permissions du fichier de configuration sont modifiées en fonction de la nouvelle valeur umask. Les permissions du fichier journal sont également définies de la même manière lors de la rotation suivante des fichiers. Voici un exemple de syntaxe standard :

$ dpadm set-flags instance-path umask=22

Impossible d'ajouter une nouvelle transformation virtuelle avec les mêmes valeurs « MODEL, ACTION, ATTR_NAME » (6722238)

L'administrateur est maintenant autorisé à définir plusieurs transformations virtuelles pour la même combinaison MODEL, ACTION, ATTR_NAME.

Directory Proxy Server 6.3.1 Mise à jour 1 offre également de nouvelles propriétés et des mises à jour de propriétés existantes, précisées dans la liste suivante. Les nouvelles propriétés sont marquées « Nouveau ». Les propriétés dont la spécification a changé depuis DSEE 6.3.1 sont marquées « Mise à jour ».

close-client-connection (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : connection-handler

Type : Booléen

Valeur par défaut : false

Description : Indique si le gestionnaire de connexion doit fermer la connexion client lorsqu'aucune source de données n'est disponible.

data-view-use-internal-client-identity (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : connection-handler

Type : Booléen

Valeur par défaut : false

Description : Indique qu'il n'est pas toujours nécessaire d'utiliser l'identité du client entrant lors de la liaison à un serveur LDAP distant.

Documentation : Cette propriété est un indicateur qui signale qu'il n'est pas toujours nécessaire d'utiliser l'identité du client entrant lors de la liaison à un serveur LDAP distant.

db-vendor (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : jdbc-data-source

Type : Énumération

mysql

Le moteur de traitement SGBDR est de type MySQL.

derby

Le moteur de traitement SGBDR est de type Apache Derby/Java DB.

db2

Le moteur de traitement SGBDR est de type DB2.

oracle

Le moteur de traitement SGBDR est de type Oracle.

ms-sql-server

Le moteur de traitement SGBDR est de type Microsoft SQL Server.

generic

Le moteur de traitement SGBDR n'est pas défini. Lorsque cela est possible, Directory Proxy Server détermine le nom du fournisseur à partir de la valeur db-url définie dans jdbc-data-source.

Valeur par défaut : generic

Description : Nom du fournisseur de la source de données JDBC

Documentation : Cette propriété spécifie le nom du fournisseur de la source de données JDBC. Elle doit être définie si vous utilisez un pilote JDBC tiers autre que celui fourni par le fournisseur de la base de données pour vous connecter au moteur de traitement SGBDR. Les données servent à construire des instructions SQL propres au fournisseur (si possible) afin d'améliorer les performances.

numeric-lower-bound (Mise à jour)

Dynamique (aucun redémarrage nécessaire)

Niveau : jdbc-data-view, join-data-view, ldap-data-view et ldif-data-view

Nouveau type : Long

Ancien type (DPS 6.0 à 6.3.1) : Entier

Les autres attributs restent inchangés.

numeric-upper-bound (Mise à jour)

Dynamique (aucun redémarrage nécessaire)

Niveau : jdbc-data-view, join-data-view, ldap-data-view et ldif-data-view

Nouveau type : Long

Ancien type (DPS 6.0 à 6.3.1) : Entier

Les autres attributs restent inchangés.

down-monitoring-interval (Nouveau)

Statique (redémarrage nécessaire)

Niveau : ldap-data-source

Type : Durée en secondes (minimum : 1)

Valeur par défaut : Héritée (valeur de monitoring-interval)

Description : Intervalle auquel le contrôleur de disponibilité interroge les connexions ayant échoué pour détecter leur récupération

Documentation : Cette propriété définit l'intervalle d'interrogation. Si une connexion est reconnue comme hors service, le contrôleur de disponibilité l'interroge selon l'intervalle fixé afin de détecter sa récupération. Si vous ne spécifiez aucune valeur, celle définie pour la propriété monitoring-interval est utilisée.

monitoring-retry-count (Nouveau)

Statique (redémarrage nécessaire)

Niveau : ldap-data-source

Type : Entier (minimum : 1)

Valeur par défaut : 3

Description : Nombre de tentatives à effectuer avant que la connexion ne soit marquée comme hors service

Documentation : Cette propriété indique combien de fois le contrôleur de disponibilité interroge la connexion une fois qu'il l'a détectée comme étant hors service. La connexion est ainsi plus rapidement marquée comme en service. Si la connexion échoue toujours après le nombre de tentatives indiqué, la valeur de la propriété down-monitor-interval est utilisée comme intervalle d'interrogation.

use-tcp-keep-alive (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : ldap-data-source

Type : Booléen

Valeur par défaut : true

Description : Spécifie si SO_KEEPALIVE est activé pour les connexions entre le serveur et la source de données

Documentation : Cette propriété est un indicateur qui précise si SO_KEEPALIVE doit ou non être activé pour les connexions entre le serveur et la source de données.

use-tcp-keep-alive (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : ldap-listener et ldaps-listener

Type : Booléen

Valeur par défaut : true

Description : Spécifie si SO_KEEPALIVE est activé pour les connexions entre les clients et le listener

Documentation : Cette propriété est un indicateur qui précise si SO_KEEPALIVE doit ou non être activé pour les connexions entre les clients et le listener.

allow-unauthenticated-operations (Mise à jour)

Dynamique (aucun redémarrage nécessaire)

Niveau : Serveur

Type : Booléen

Valeur par défaut : true

Nouvelle description : Indique si le serveur accepte les opérations non authentifiées

Ancienne description (DPS 6.0 à DPS 6.3.1) : Indique si le serveur accepte les opérations effectuées par des clients anonymes

Nouvelle documentation : Cette propriété est un indicateur qui précise si Directory Proxy Server accepte ou non les opérations non authentifiées. Le mode utilisé pour traiter l'opération de liaison est spécifié par allow-unauthenticated-operations-mode.

Ancienne documentation (DPS 6.0 à DPS 6.3.1) : Cette propriété est un indicateur qui précise si Directory Proxy Server autorise ou non les clients anonymes à réaliser des opérations.

allow-unauthenticated-operations-mode (Nouveau)

Dynamique (aucun redémarrage nécessaire)

Niveau : Serveur

Type : Énumération

anonymous-only

Si aucun mot de passe n'est spécifié, seules les connexions anonymes sont autorisées.

dn-identified-only

Si aucun mot de passe n'est spécifié, seules les connexions où un DN est défini sont autorisées.

anonymous-and-dn-identified

Si aucun mot de passe n'est spécifié, les connexions anonymes et celles où un DN est défini sont autorisées.

Valeur par défaut : anonymous-and-dn-identified

Description : Mode de traitement des opérations de connexion sans saisie de mot de passe

Documentation : Cette propriété indique comment Directory Proxy Server traite les opérations pour lesquelles aucun mot de passe de liaison n'est saisie lorsque la propriété allow-unauthenticated-operations est configurée sur true (vrai).

time-resolution (Mise à jour)

Statique (redémarrage nécessaire)

Niveau : Serveur

Type : Durée en millisecondes

Nouvelle valeur par défaut : 250

Ancienne valeur par défaut (DPS 6.0 à 6.3.1) : 500

Nouvelle documentation : Cette propriété définit l'intervalle qui sépare deux appels système consécutifs qui lisent l'heure dans le système d'exploitation. Pour en savoir plus sur les opérations qui durent moins de 250 millisecondes, réduisez la valeur time-resolution ou modifiez la valeur de la propriété time-resolution-mode. Si vous indiquez 0 milliseconde, le proxy se comporte comme si la valeur de la propriété time-resolution-mode était configurée sur system-milli. Cette propriété est ignorée lorsque la valeur de la propriété time-resolution-mode est configurée sur system-milli ou system-micro.

Ancienne documentation (DPS 6.0 à 6.3.1) : Cette propriété définit l'intervalle qui sépare deux appels système consécutifs qui lisent l'heure dans le système d'exploitation. Pour en savoir plus sur les opérations qui durent moins de 500 millisecondes, réduisez la valeur time-resolution. Si vous utilisez 0 milliseconde, le proxy exécute systématiquement un appel système pour connaître l'heure actuelle. Sinon, l'heure est mise en cache et récupérée uniquement à la fréquence définie par time-resolution. Cette heure est affichée dans les journaux.

La description reste inchangée.

time-resolution-mode (Nouveau)

Statique (redémarrage nécessaire)

Niveau : Serveur

Type : Énumération

custom-resolution

Utiliser un thread qui exécuter un appel système toutes les time-resolution millisecondes

system-milli

Utiliser un appel système qui récupère l'heure en millisecondes

system-micro

Utiliser un appel système qui récupère l'heure en microsecondes

Valeur par défaut : custom-resolution

Description : Mode utilisé pour récupérer l'heure système

Documentation : Cette propriété spécifie le mode utilisé pour récupérer l'heure depuis le système d'exploitation.

Plates-formes prises en charge

Directory Proxy Server 6.3.1 Mise à jour 1 est disponible pour toutes les plates-formes prises en charge par Directory Server Enterprise Edition 6.3.1. Pour en savoir plus, reportez-vous à Matériel requis et à Systèmes d'exploitation requis .

Bogues résolus dans Directory Server 6.3.1 Mise à jour 1

Cette section répertorie les bogues corrigés dans Directory Proxy Server 6.3.1 Mise à jour 1.

6567644

Directory Proxy Server construit des requêtes de base de données non admises.

6590816

La configuration de connectionIdleTimeOutInSec pour le listener LDAP peut désactiver DSCC.

6641888

Une opération de recherche peut renvoyer des entrées contenant des attributs absents de viewable-attr.

6648665

La propriété max-client-connections n'est pas appliquée si aucune opération n'est effectuée sur la connexion.

6681502

Le contrôle de la mémoire est désactivé par défaut.

6686150

L'algorithme de distribution numérique doit utiliser long au lieu d'int pour la définition de limites numériques.

6717943

La limite de taille par défaut de Directory Proxy Server pour les propriétés de ressource utilise un entier incorrect pour indiquer une valeur illimitée.

6721192

Les transformations de DN échouent.

6721749

La configuration d'add-attr-value peut conduire les transformations de DN à produire une sortie incorrecte.

6722222

Le DN de liaison (bindDN) doit être mappé lors de la liaison à un serveur LDAP. (Utilisez la règle de mappage de DN du DV de bindDN).

6722238

Il est impossible d'ajouter une nouvelle transformation virtuelle avec les mêmes valeurs « MODEL, ACTION, ATTR_NAME ».

6723858

Si vous définissez la propriété requires-bind-password sur un serveur d'annuaire back-end, elle n'est pas appliquée.

6734559

Le mappage de DN virtuel échoue lorsqu'il dépend d'un attribut virtuel.

6736621

Le DN de liaison est rejeté en cas d'échec de la transformation, même s'il fait partie de la vue.

6737084

Mappage de DN incorrect pour la direction « depuis le serveur ».

6739414

Directory Proxy Server 6.3 transforme les majuscules/minuscules des noms d'attribut.

6739456

Un client a demandé à Directory Proxy Server de définir des permissions de groupe pour les fichiers de configuration et les journaux (umask 117, chmod 660).

6751692

La commande dpadm start crée un vidage core dump lorsque vous utilisez l'argument Java MaxTenuringThreshold.

6758793

Avec un mappage de DN, impossible de supprimer les entrées renommées.

6760526

La commande dpadm ne génère pas de fichier DPS.pid.

6760951

Le schéma de configuration de Directory Proxy Server n'est pas cohérent avec la fonction SystemMonitorThread.java.

6761032

Le serveur et la console sont incohérents pour le paramètre searchMode.

6764073

Directory Proxy Server échoue si vous le configurez pour utiliser l'authentification par proxy.

6765629

Autoriser la configuration de JAVA HOME avec dpadm set-flags.

6767776

Impossible d'utiliser le mappage de DN avec rootDSE.

6774589

Directory Proxy Server nécessite une transformation de DN virtuel avec les attributs de nom à plusieurs valeurs.

6778262

La granularité d'heure en microsecondes doit être fournie pour la durée d'exécution (valeurs etime).

6778308

La commande splitldif ignore les transformations virtuelles.

6780423

Avec une charge de traitement importante, les sockets peuvent rester à l'état d'attente Fermé.

6782659

L'option SO_KEEPALIVE n'est pas définie dans Directory Proxy Server 6.3 (à savoir, setKeepAlive() != True) lors de la création d'un socket.

6798674

La solution indiquée pour CR 6513526 peut créer des régressions en raison de valeurs NULL dans les objets ConfigAttribute.

6802371

La propriété acceptBacklog est ignorée pour les listeners basés sur un canal.

6808701

Les pulsations d'inactivité ne sont pas envoyées à une fréquence suffisante, en raison de la dernière activité réalisée sur une connexion back-end.

6808704

Les pulsations d'inactivité ne sont pas envoyées pour les connexions d'arrière-plan liées.

6808706

Les vérifications du serveur d'arrière-plan peuvent ne pas être effectuées assez souvent à cause de la dernière activité du serveur.

6809099

La fonction ldapsearch peut générer une sortie incohérente si vous l'exécutez sur les entrées de contrôle.

6809712

Vous devez exécuter une vérification de disponibilité pour vous assurer que le serveur d'arrière-plan est arrêté, avant de couper toutes les connexions.

6817976

En présence d'une requête d'abandon, une connexion peut être bloquée.

6818788

Une plus grande précision est nécessaire dans la pulsation d'arrière-plan.

6818926

Il se produit une fuite de descripteur de fichier dans le socket de serveur.

6819304

Une exception de pointeur NULL se produit lorsque vous effectuez une recherche sur cn=monitor, si un pool de basculement est défini sans source.

6819315

Directory Proxy Server continue à ouvrir des connexions au serveur d'annuaire après l'échec d'une tentative de liaison.

6819752

Les clients de recherche persistante peuvent ne pas recevoir les notifications de modification des entrées.

6821356

Deux connexions peuvent partager un même identificateur.

6821752

Les recherches persistantes ne sont pas nettoyées après déconnexion du client.

6823036

L'intervalle de surveillance proactive doit être défini sur 1 seconde lorsqu'une source de données est détectée comme étant hors service.

6823593

Directory Proxy Server associe différentes opérations client avec la même connexion d'arrière-plan.

6827104

Les connexions d'arrière-plan ne sont pas fermées mais réutilisées si leur durée d'inactivité dépasse inactivity-timeout, ce qui provoque une fuite de connexion.

6827129

La gestion interne du pool de connexions et le traitement des vérifications de l'état de santé doivent être DEBUG.

6828462

Deux liaisons de type Long simultanées affectent la même connexion d'arrière-plan à deux connexions clients.

6828841

La configuration d'une valeur jvm-path incorrecte provoque un blocage du redémarrage, sans avertissement.

6828842

Directory Proxy Server renvoie un code d'erreur incorrect lorsqu'aucun serveur d'arrière-plan n'est disponible.

6828896

Une option doit être fournie pour fermer la connexion client en cas d'erreur « impossible de récupérer la connexion d'arrière-plan ».

6832043

L'affinité client ne doit pas être activée lorsque useAffinity=false et que la valeur affinityPolicy est définie de façon explicite.

6835931

Directory Proxy Server ne peut pas démarrer si l'un des hôtes de source de données est inaccessible.

6836922

La commande dpconf doit prendre en charge les nouveaux attributs apparus avec Directory Proxy Server 6.3.1 Mise à jour 1.

6837295

La commande dpconf doit prendre en charge le mappage de DN de liaison.

6837392

Des fonctions de versionnage plus simples doivent être fournies pour la gestion des propriétés Directory Proxy Server.

6837970

La fonction dpconf doit prendre en charge monitorRetryCount.

6839452

L'affinité client ignore l'indicateur Lecture seule de la source de données.

6844727

L'implémentation des correctifs de CR 6714425 et 6714448 doit être terminée.

6851216

Une expression de jointure en minuscules peut provoquer un échec des requêtes SQL.

6854864

Les performances de Directory Proxy Server 6.3.1 sont fortement réduites si plus de 100 clients exécutent des recherches persistantes.

6855978

En cas de boucle du thread de recherche persistante, Directory Proxy Server ne peut plus gérer les recherche persistantes.

6859116

Les performances de recherche persistantes sont très médiocres.

6860746

Si vous créez 20 recherches persistantes et que vous les arrêtes, la fonction de recherche persistante échoue.

6868131

Directory Proxy Server renvoie l'exception StringIndexOutOfBoundsException dans certaines situations de mappage d'attribut et de transformation virtuelle.

6868804

Les règles de transformation et de mappage ne fonctionnent pas comme prévu.

6870051

Des threads peuvent être libérés de façon prématurée, ce qui génère une exception ASN.1.

6870452

Directory Proxy Server renvoie une erreur incorrecte lorsque le moteur de traitement est hors service.

6870496

Une exception de pointeur NULL inattendue peut être générée.

6874644

Dans certaines situations, le plan de stockage du mot de passe peut être ignoré par la vue de données JDBC.

6879124

Directory Proxy Server peut renvoyer des résultats identique lorsque des utilisateurs différents créent une liaison sur une connexion client.

6881972

Dans certaines situations, Directory Proxy Server peut ne pas démarrer si vous utilisez JDBC.

6886109

Une exception ASN1 inattendue peut se produire et ne pas être gérée.

Notes d'installation de Directory Proxy Server 6.3.1 Mise à jour 1

Cette section contient les rubriques suivantes :

• Obtention du logiciel

• Instructions d'installation

Obtention du logiciel

Directory Proxy Server 6.3.1 Mise à jour 1 est un patch qui s'applique aux installations Directory Server Enterprise Edition 6.3.1 existantes. Si vous utilisez une version de Directory Server Enterprise Edition antérieure à 6.3.1, vous devez d'abord mettre votre système à niveau vers la version 6.3.1 comme le décrit le Chapitre 2Remarques sur l’installation, avant d'appliquer le patch Directory Proxy Server 6.3.1 Mise à jour 1.

Vous pouvez télécharger le patch Directory Proxy Server 6.3.1 Mise à jour 1 à l'adresse http://www.sun.com/software/products/directory_srvr_ee/get.jsp.

Directory Proxy Server 6.3.1 Mise à jour 1 est un patch unique applicable à toutes les plates-formes DSEE :

• Solaris SPARC

• Solaris 9 x86

• Solaris 10 x86 et AMD x64

• Red Hat Linux

• SuSe Linux

• HP-UX

• Windows

Vous trouverez pour chaque plate-forme les distributions suivantes :

• Distribution par packages natifs (sauf pour HP-UX)

• Distribution zip

Le patch Directory Proxy Server 6.3.1 Mise à jour 1 numéro 141958-01 est disponible dans SunSolve et s'applique aux deux types d'installation suivants :

• Packages natifs Directory Server Enterprise Edition 6.3.1 installés avec le programme d'installation Java ES

• Installations zip de Directory Server Enterprise Edition 6.3.1

Instructions d'installation

Cette section explique comment installer Directory Proxy Server 6.3.1 Mise à jour 1.

Pour installer le patch sur des installations Directory Proxy Server 6.3.1 (zip et packages natifs)

Avant de commencer

Sauvegardez le répertoire d'installation de Directory Server Enterprise Edition avant d'appliquer le patch Directory Proxy Server 6.3.1 Mise à jour 1, car vous ne pourrez pas ultérieurement restaurer votre configuration Directory Proxy Server précédente. Cela s'applique aussi bien aux installations zip qu'aux installations par packages natifs.

1. Téléchargez le patch 141958-01 depuis Sunsolve dans le répertoire de votre choix (downloaded-patch-path).

2. Arrêtez les instances de Directory Proxy Server associées à l'installation à laquelle vous prévoyez d'appliquer le patch.

3. Sous Windows, ouvrez une fenêtre d'invite de commande. Sous UNIX, ouvrez une fenêtre de terminal.

4. Accédez au répertoire où réside le logiciel d'installation correspondant à la plate-forme et à la distribution (zip ou native) à mettre à jour :

   Voici un exemple de commande standard pour cette opération :

   $ cd downloaded-patch-path/SunOS_x64/zip/delivery

   Le tableau suivant indique l'emplacement du logiciel d'installation dans le répertoire downloaded-patch-path.

   Système d’exploitation	Répertoire de la distribution zip	Répertoire des packages natifs
   Solaris SPARC	SunOS/zip/delivery	SunOS/native/delivery
   Solaris 9 x86	SunOS_x86/zip/delivery	SunOS_x86/native/delivery
   Solaris 10 x86 et AMD x64	SunOS_x64/zip/delivery	SunOS_x64/native/delivery
   Red Hat Linux	Linux/zip/delivery	Linux/native/delivery
   SuSE Linux	Linux/zip/delivery	Linux/native/delivery
   HP-UX	Hpux/zip/delivery	N/D
   Windows	Windows/zip/delivery	Windows/native/delivery

5. Sous UNIX, lancez le script d'installation.

   Exécutez la commande suivante :

   $ Install dsee631-install-path

   où dsee631-install-path est le chemin du répertoire où Directory Server Enterprise Edition 6.3.1 est installé.

   Les messages suivants s'affichent :

   -------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

   Entrez y pour yes (Oui). Le programme d'installation applique le patch à l'installation Directory Server Enterprise Edition 6.3.1 spécifiée.

6. Sous Windows, exécutez la commande suivante dans la fenêtre d'invite de commande :

   Install.exe

   Un assistant s'ouvre et vous demande d'accéder au répertoire d'installation correct pour l'installation du patch Directory Proxy Server 6.3.1 Mise à jour 1, et de sélectionner ce répertoire. Pour appliquer le patch à une installation zip 6.3.1, sélectionnez le répertoire où vous avez installé Directory Server Enterprise Edition 6.3.1. Pour appliquer le patch à une installation par packages natifs, sélectionnez C:\Program Files\Sun\JavaES5\DSEE.

   L'assistant applique le patch à Directory Server Enterprise Edition 6.3.1.

7. Vérifiez que l'installation a réussi en exécutant les deux commandes suivantes et en vérifiant que la réponse est identique à celle indiquée ici :

   $ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155

8. Cette étape est obligatoire si l'installation Directory Server Enterprise Edition 6.3.1 que vous patchez inclut le correctif pour CR 6722222.

   Si le correctif pour CR 6722222 (Mapper bindDN lors de la liaison à un serveur LDAP (avec la règle de mappage de DN du DV de bindDN)) a été appliqué, exécutez la commande suivante sur toutes les instances pour chacun des gestionnaires de connexion :

   $ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true

   Cette propriété est un indicateur qui signale qu'il n'est pas toujours nécessaire d'utiliser l'identité du client entrant lors de la liaison à un serveur LDAP distant. Après l'application de CR 6722222, vous pouvez configurer le comportement par défaut à l'aide d'une propriété de gestionnaire de connexion comme le montre l'exemple.

9. Redémarrez toutes les instances de serveur proxy.

Problèmes connus et restrictions de Directory Proxy Server 6.3.1 Mise à jour 1

Cette section répertorie les problèmes connus et restrictions découverts lors de la sortie de Directory Proxy Server 6.3.1 Mise à jour 1.

Les problèmes connus et restrictions de Directory Proxy Server 6.3.1 s'appliquent toujours, même après l'application du patch pour Directory Proxy Server 6.3.1 Mise à jour 1. Pour en savoir plus sur ces problèmes, reportez-vous à Problèmes connus et restrictions de Directory Proxy Server.

Restrictions connues de Directory Proxy Server 6.3.1 Mise à jour 1

Cette section répertorie les restrictions connues découvertes lors de la sortie de Directory Proxy Server 6.3.1 Mise à jour 1.

Comme le décrit la section JDBC Object Classes du Sun Java System Directory Server Enterprise Edition 6.3 Reference, le processus de définition de tables JDBC utilise des tables principales et secondaires. Directory Proxy Server n'autorise pas l'utilisation d'une table secondaire comme table principale d'une autre table. Autrement dit, Directory Proxy Server ne prend en charge qu'un seul niveau de règle de jointure.

Problèmes connus de Directory Proxy Server 6.3.1 Mise à jour 1

Cette section répertorie les problèmes connus découverts lors de la sortie de Directory Proxy Server 6.3.1 Mise à jour 1.

6728746

Dans la version 6.3, si une entrée comporte plus de deux classes d'objet, l'ajout d'une entrée via une vue de jointure (LDAP et JDBC) échoue en raison du correctif de CR 6636463. Pour ajouter ce type d'entrée, vous devez définir ces classes d'objet en tant que super-classe dans l'entrée de configuration jdbc-object-class à l'aide de la commande ldapmodify suivante, car dpconf set-jdbc-object-class-prop ne peut ajouter qu'une seule super-classe.

Cet exemple permet d'ajouter l'entrée suivante :

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

La vue JDBC est définie comme indiqué dans l'exemple suivant, qui fonctionnait avant la version 6.3.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

Comme objectClass:organizationalPerson et objectClass:inetOrgPerson existent toutes les deux dans l'entrée que vous ajoutez, vous devez définir ces deux classes d'objet comme super-classes, en exécutant la commande ldapmodify suivante.

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson

Une fois cette commande ldapmodify exécutée, jdbc-object-class est défini comme le montre l'exemple suivant.

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

Bien que le paramètre par défaut de la propriété log-level-data-sources-detailed soit documenté comme étant none, la valeur par défaut réelle est all. Toutefois, si vous définissez log-level-data-sources-detailed sur une valeur autre que none, cela a un impact sur les performances du serveur et provoque une croissance rapide du fichier access. Par conséquent, la valeur de log-level-data-sources-detailed est automatiquement configurée sur none lorsque vous créez une instance de serveur DPS. Il est recommandé de ne pas utiliser d'autre valeur pour ce paramètre.

6832498

En raison d'un problème décrit dans la Note de vulnérabilité VU#836068, MD5 vulnérable aux attaques par collision, Directory Proxy Server doit éviter d'utiliser l'algorithme MD5 dans les certificats signés.

Procédez comme suit pour déterminer l'algorithme de signature d'un certificat.

1. Exécutez la commande suivante pour afficher la liste des certificats définis dans une instance Directory Proxy Server spécifique :

   $ dpadm list-certs instance-path

2. Exécutez les commandes suivantes sur chacun des certificats définis afin de déterminer si ce certificat a été signé avec l'algorithme MD5 :

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

   L'exemple suivant montre la sortie typique de la commande dsadm show-cert pour un certificat à signature MD5 :

   Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...

3. Exécutez la commande suivante pour supprimer les certificats à signature MD5 de la base de données :

   $ dsadm remove-cert instance-path cert-alias

Procédez comme suit pour mettre à niveau le mot de passe de la base de données de certificats. (La commande dpadm génère un mot de passe par défaut pour la base de données de certificats lorsque vous créez une instance de serveur d'annuaire.)

1. Arrêtez l'instance de Directory Proxy Server.

2. Exécutez la commande suivante :

   $ dpadm set-flags instance-path cert-pwd-prompt=on

   Un message vous invite à saisir un mot de passe.

3. Entrez un mot de passe comptant au moins huit caractères.

4. Redémarrez l'instance Directory Proxy Server et saisissez le jeton interne (logiciel) lorsque vous y êtes invité.

Remplacez tous les certificats utilisant la fonction MD5 par des certificats utilisant l'algorithme de signature SHA-1. Appliquez l'une des procédures suivantes, selon que votre installation utilise un certificat autosigné ou un certificat acquis auprès d'une autorité de certification.

Procédez comme suit pour générer et stocker un certificat autosigné :

1. Exécutez la commande suivante :

   $ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias

   ---

   Remarque –

   L'algorithme de signature par défaut est MD5withRSA.

   ---

   L'invite suivante s'affiche :

   [Password or Pin for "NSS Certificate DB"]

2. Entrez le nouveau mot de passe de la base de données des certificats.

Procédez comme suit pour générer et stocker un certificat acquis auprès d'une autorité de certification (CA) :

1. Exécutez la commande suivante pour émettre une demande de certificat serveur signé par l'autorité de certification :

   $ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias

2. Vérifiez que votre autorité de certification n'utilise plus l'algorithme de signature MD5, puis envoyez-lui la demande de certificat (cela peut se faire en interne dans votre société ou en externe, selon vos règles d'entreprise) afin de recevoir un certificat serveur signé par l'autorité de certification, comme le décrit la section To Request a CA-Signed Server Certificate du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

3. Lorsque l'autorité de certification vous envoie le nouveau certificat, exécutez la commande suivante pour ajouter ce certificat à la base de données des certificats :

   $ dpadm add-cert instance-path cert-alias

   Cette étape est décrite à la section Creating, Requesting and Installing Certificates for Directory Proxy Server du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

4. Si le certificat de l'autorité de certification de confiance n'est pas encore stocké dans la base de données des certificats, exécutez la commande suivante pour l'ajouter :

   $ dpadm add-cert --ca instance-path trusted-cert-alias

   Cette étape est décrite à la section Creating, Requesting and Installing Certificates for Directory Proxy Server du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

5. Exécutez les commandes suivantes pour vérifier que le système utilise le nouveau certificat.

   $ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias

6854861

Avec un moteur de traitement Microsoft SQL Server, lorsque vous utilisez des champs smalldate, seule la version longue des dates est prise en charge. Sinon, une erreur de conversion se produit, comme le montre l'exemple suivant.

ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string.

---

Remarque –

La version longue d'une date est au format AAAA -MM-JJ HH:MM.

---