Sun Java System Directory Server Enterprise Edition 6.3.1 リリースノート

Directory Proxy Server 6.3.1 Update 1

次の節では、Directory Proxy Server 6.3.1 Update 1 について説明します。

Directory Proxy Server 6.3.1 Update 1 について

このパッチでは、Directory Server Enterprise Edition 製品の Directory Proxy Server コンポーネントの問題だけが修正されます。このパッチは Directory Server Enterprise Edition 6.3.1 の上に適用するように設計されています。Directory Server Enterprise Edition 6.3.1 の Directory Server コンポーネントは変更されません。

注 –

Directory Server Enterprise Edition 6.3.1 より前のバージョンにこのアップデートを適用することはできません。version 6.3.1 にアップグレードする手順については、表 2–1「Directory Server Enterprise Edition 6.3.1 へのアップグレードパス」を参照してください。

この節の内容は次のとおりです。

このリリースの新機能

このアップデートは、主に「Directory Proxy Server 6.3.1 Update 1 で修正されたバグ」で説明されているバグを修正するマイナーリリースです。

Directory Proxy Server 6.3.1 Update 1 では、持続検索操作に新しい動作も導入されます。クライアントアプリケーションがディレクトリプロキシサーバーからの持続検索応答を読み取る速度が非常に遅い場合、プロキシサーバーの応答キューが過負荷になります。この場合、サーバーは次のクライアント通知で接続を閉じることができます。

LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ]

また、次のような情報メッセージがログに記録されます。

[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO  - conn=19 \
reason="admin limit exceeded" \
msg="client didn't read any data during 160 milliseconds."

Directory Proxy Server 6.3.1 Update 1 の拡張機能

Directory Proxy Server 6.3.1 Update 1 には、次の拡張機能があります。

dpadm set-flags/get-flags を使用して JAVA HOME を設定および取得する機能 (6765629)

JAVA_HOME のパス名を設定し、環境で定義されている JAVA_HOME の値よりも優先させることができます。次の例を参照してください。

$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/

DPS 構成ファイルおよびログファイルの umask 値を設定および取得する機能 (6739456)

dpadm コマンドで umask 値を変更すると、DPS インスタンスの次回再起動時に、この新しい umask 値に従って構成ファイルのアクセス権が変更されます。同様に、ログファイルのアクセス権も次回のファイルローテーション時に設定されます。次の例は、一般的な使用方法を示しています。

$ dpadm set-flags instance-path umask=22

同じ「MODEL, ACTION, ATTR_NAME」で新しい仮想変換を追加できない (6722238)

管理者は、異なる仮想変換を同じ MODEL, ACTION, ATTR_NAME で定義できるようになりました。

また、Directory Proxy Server 6.3.1 Update 1 では、次の一覧に示すように新しいプロパティーが追加され、既存のプロパティーが更新されています。新しいプロパティーは「新規」と示されています。DSEE 6.3.1 での仕様から変更されたプロパティーは「更新」と示されています。

close-client-connection (新規)

動的 (再起動不要)

レベル: connection-handler

型: ブール型

デフォルト: false

説明: 使用できるデータソースがない場合に、接続ハンドラがクライアント接続を閉じるかどうかを示します。

data-view-use-internal-client-identity (新規)

動的 (再起動不要)

レベル: connection-handler

型: ブール型

デフォルト: false

説明: リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示します。

ドキュメント: このプロパティーは、リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示すフラグです。

db-vendor (新規)

動的 (再起動不要)

レベル: jdbc-data-source

型: 列挙型

mysql: RDBMS バックエンドは MySQL です。
derby: RDBMS バックエンドは Apache Derby/Java DB です。
db2: RDBMS バックエンドは DB2 です。
oracle: RDBMS バックエンドは Oracle です。
ms-sql-server: RDBMS バックエンドは Microsoft SQL Server です。
generic: RDBMS バックエンドは定義されていません。可能な場合、Directory Proxy Server は jdbc-data-source で定義されている db-url からベンダー名を判定します。

デフォルト: generic

説明: JDBC データソースのベンダー名

ドキュメント: このプロパティーは、JDBC データソースのベンダー名を指定します。データベースベンダーによって提供されているドライバ以外の、サードパーティーの IDBC ドライバを使用して RDBMS バックエンドに接続する場合は、このプロパティーを設定するようにしてください。可能な場合はこのデータを使用してベンダー固有の SQL 文が作成され、それによってパフォーマンスが向上する場合があります。

numeric-lower-bound (更新)

動的 (再起動不要)

レベル: jdbc-data-view、join-data-view、ldap-data-view、および ldif-data-view

新しい型: 長整数

以前の型 (DPS 6.0 から 6.3.1): 整数

その他の属性は以前と同じままです。

numeric-upper-bound (更新)

動的 (再起動不要)

レベル: jdbc-data-view、join-data-view、ldap-data-view、および ldif-data-view

新しい型: 長整数

以前の型 (DPS 6.0 から 6.3.1): 整数

その他の属性は以前と同じままです。

down-monitoring-interval (新規)

静的 (再起動が必要)

レベル: ldap-data-source

型: 期間 (秒単位) (下限: 1)

デフォルト: 継承 (monitoring-interval の値)

説明: 可用性モニターが障害のある接続をポーリングして接続の復旧を検出する間隔

ドキュメント: このプロパティーはポーリング間隔を指定します。接続が切断状態であると検出されたら、可用性モニターはこの間隔で接続をポーリングして接続の復旧を検出します。指定されていない場合は、 monitoring-interval プロパティーの値が使用されます。

monitoring-retry-count (新規)

静的 (再起動が必要)

レベル: ldap-data-source

型: 整数 (下限: 1)

デフォルト: 3

説明: 接続を切断状態と判断する前に実行する再試行の数

ドキュメント: このプロパティーは、接続が切断状態であると最初に検出されたときに可用性モニターが接続をポーリングする回数を指定します。これにより、接続の復旧をより早く検出できます。指定された回数だけ再試行したあとも接続に障害がある場合は、次に down-monitor-interval プロパティーの値がポーリング間隔として使用されます。

use-tcp-keep-alive (新規)

動的 (再起動不要)

レベル: ldap-data-source

型: ブール型

デフォルト: true

説明: サーバーとデータソースの間の接続で SO_KEEPALIVE を有効にするかどうかを指定します

ドキュメント: このプロパティーは、サーバーとデータソースの間の接続で SO_KEEPALIVE を有効にするかどうかを指定するフラグです。

use-tcp-keep-alive (新規)

動的 (再起動不要)

レベル: ldap-listener および ldaps-listener

型: ブール型

デフォルト: true

説明: クライアントとリスナーの間の接続で SO_KEEPALIVE を有効にするかどうかを指定します

ドキュメント: このプロパティーは、クライアントとリスナーの間の接続で SO_KEEPALIVE を有効にするかどうかを指定するフラグです。

allow-unauthenticated-operations (更新)

動的 (再起動不要)

レベル: server

型: ブール型

デフォルト: true

新しい説明: サーバーが未認証の操作を受け入れるかどうかを示します

以前の説明 (DPS 6.0 から 6.3.1): サーバーが匿名クライアントからの操作を受け入れるかどうかを示します

新しいドキュメント: このプロパティーは、Directory Proxy Server が未認証の操作を受け入れるかどうかを示フラグです。バインド操作の処理に使用されるモードは、allow-unauthenticated-operations-mode によって指定されます

以前のドキュメント (DPS 6.0 から 6.3.1): このプロパティーは、Directory Proxy Server が匿名クライアントに操作の実行を許可するかどうかを示フラグです。

allow-unauthenticated-operations-mode (新規)

動的 (再起動不要)

レベル: server

型: 列挙型

anonymous-only: パスワードが指定されていない場合は、匿名バインドだけが許可されます
dn-identified-only: パスワードが指定されていない場合は、DN の指定されたバインドだけが許可されます
anonymous-and-dn-identified: パスワードが指定されていない場合は、匿名バインドおよび DN の指定されたバインドだけが許可されます

デフォルト: anonymous-and-dn-identified

説明: パスワードなしでバインド操作を処理するモード

ドキュメント: このプロパティーは、allow-unauthenticated-operations が true に設定されている場合に、バインドパスワードのない操作を Directory Proxy Server がどのように処理するかを示します。

time-resolution (更新)

静的 (再起動が必要)

レベル: server

型: 期間 (ミリ秒単位)

新しいデフォルト: 250

以前のデフォルト (DPS 6.0 から 6.3.1): 500

新しいドキュメント: このプロパティーは、OS から時刻を取得する連続システムコールの間隔を指定します。所要時間が 250 ミリ秒未満の操作の詳細を確認するには、time-resolution を小さくするか、time-resolution-mode プロパティーの値を変更します。0 ミリ秒に設定すると、プロキシは time-resolution-mode プロパティーの値が system-milli に設定されている場合と同様に動作します。Ttime-resolution-mode プロパティーの値が system-milli または system-micro に設定されている場合、このプロパティーは無視されます。

以前のドキュメント (DPS 6.0 から 6.3.1): このプロパティーは、OS から時刻を取得する連続システムコールの間隔を指定します。所要時間が 500 ミリ秒未満の操作の詳細を確認するには、time-resolution を小さくします。0 ミリ秒に設定すると、プロキシは計画的にシステムコールを実行して現在時刻を取得します。それ以外の場合、時刻はキャッシュされ、time-resolution 間隔でのみ取得されます。この時刻はログに表示されます。

説明は以前と同じままです。

time-resolution-mode (新規)

静的 (再起動が必要)

レベル: server

型: 列挙型

custom-resolution: スレッドを使用して time-resolution ミリ秒ごとにシステムコールを実行します
system-milli: システムコールを使用して時刻をミリ秒単位で取得します
system-micro: システムコールを使用して時刻をマイクロ秒単位で取得します

デフォルト: custom-resolution

説明: システム時刻の取得に使用するモード

ドキュメント: このプロパティーは、OS からの時刻の取得に使用するモードを指定します。

サポートされるプラットフォーム

Directory Proxy Server 6.3.1 Update 1 は、Directory Server Enterprise Edition 6.3.1 でサポートされているすべてのプラットフォームに使用できます。詳細については、「ハードウェア要件」および「オペレーティングシステムの要件」を参照してください。

Directory Proxy Server 6.3.1 Update 1 で修正されたバグ

この節では、Directory Proxy Server 6.3.1 Update 1 で修正されたバグの一覧を示します。

6567644: Directory Proxy Server が不正なデータベース要求を作成します。
6590816: LDAP リスナーの connectionIdleTimeOutInSec を設定すると DSCC が無効になることがあります。
6641888: 検索操作で、viewable-attr に存在しない属性を含むエントリが返されることがあります。
6648665: 接続でいずれの操作も実行されていない場合、max-client-connections プロパティーが適用されません。
6681502: メモリー監視がデフォルトで無効になっています。
6686150: 数値配布アルゴリズムで、限界値の設定に int ではなく long を使用するべきです。
6717943: Directory Proxy Server のリソースプロパティーのデフォルトのサイズ制限で、無制限を表す誤った整数が使用されます。
6721192: DN 変換が失敗します。
6721749: add-attr-value の設定により、DN 変換で誤った出力が生成されることがあります。
6722222: LDAP サーバーにバインドするとき、bindDN がマップされるべきです。(bindDN の DV の DN マッピング規則を使用)。
6722238: 同じ「MODEL, ACTION, ATTR_NAME」で新しい仮想変換を追加できません。
6723858: バックエンドディレクトリサーバーに設定された requires-bind-password プロパティーが適用されません。
6734559: 仮想属性に依存している場合、仮想 DN マッピングが失敗します。
6736621: 変換に失敗すると、ビューに該当する場合でもバインド DN が拒否されます。
6737084: サーバー側からの方向の DN マッピングが正しくありません。
6739414: 6.3 Directory Proxy Server が属性名の大文字小文字を変更します。
6739456: Directory Proxy Server で構成ファイルとログファイルにグループアクセス権を設定するように、お客様から要望がありました (umask 117、chmod 660)。
6751692: MaxTenuringThreshold Java 引数を使用している場合、dpadm start コマンドでコアダンプが発生します。
6758793: 名前の変更されたエントリが DN マッピングで欠落することがあります。
6760526: dpadm で DPS.pid ファイルが生成されません。
6760951: Directory Proxy Server 設定スキーマが SystemMonitorThread.java 機能と矛盾しています。
6761032: searchMode パラメータに関して、サーバーとコンソールが矛盾しています。
6764073: プロキシ承認を使用するよう設定した場合、Directory Proxy Server が失敗します。
6765629: dpadm set-flags を使用して JAVA HOME を設定できるようにしてください。
6767776: rootDSE に対して DN マッピングを使用できません。
6774589: Directory Proxy Server には、複数値ネーミング属性を使用した仮想 DN 変換が必要です。
6778262: etime にマイクロ秒単位の精度を用意するべきです。
6778308: splitldif コマンドで仮想変換が無視されます。
6780423: 高負荷でソケットが終了待機状態のままになることがあります。
6782659: Directory Proxy Server 6.3 で、ソケットが作成されたときに SO_KEEPALIVE オプションが設定されません (つまり、setKeepAlive() != True)。
6798674: CR 6513526 の修正により、ConfigAttribute オブジェクトの null 値が原因でリグレッションが発生する可能性があります。
6802371: acceptBacklog プロパティーがチャネルベースのリスナーの場合に無視されます。
6808701: 前回のアクティビティーが原因で、バックエンド接続のハートビートの送信頻度が不十分になります。
6808704: バインドされたバックエンド接続のハートビート停止が送信されません。
6808706: 前回のサーバーアクティビティーが原因で、バックエンドサーバーの確認が十分な頻度で実施されない場合があります。
6809099: モニターエントリに対して ldapsearch を実行すると、矛盾した出力が得られることがあります。
6809712: 可用性チェックでは、すべての接続を切断する前に、バックエンドサーバーが停止していることを確認するべきです。
6817976: 廃棄要求の場合に接続がブロックされることがあります。
6818788: バックエンドハートビートの精度向上が必要です。
6818926: サーバーソケットでファイル記述子のリークが発生します。
6819304: ソースのないフェイルオーバープールを定義している場合、cn=monitor に対する検索で null ポインタ例外が発生することがあります。
6819315: Directory Proxy Server が、バインドに失敗したあとでディレクトリサーバーへの接続を開き続けます。
6819752: 持続検索クライアントがエントリの変更通知を受信しない場合があります。
6821356: 2 つの接続で同じ ID が使用されることがあります。
6821752: クライアント接続の切断後に持続検索がクリーンアップされません。
6823036: データソースが切断状態と検出された場合の積極的監視の間隔は 1 秒に設定されるべきです。
6823593: Directory Proxy Server で、異なるクライアント操作が同じバックエンド接続に関連付けられます。
6827104: アイドル状態が inactivity-timeout を超えている場合、バックエンド接続が閉じられずに再利用されるため、接続のリークが発生します。
6827129: 接続プールのハウスキーピングおよび健全性検査処理をデバッグするべきです。
6828462: 2 つの長い同時バインドで、同じバックエンド接続が 2 つのクライアント接続に割り当てられます。
6828841: 誤った jvm-path を設定すると、警告なしで再起動がハングアップします。
6828842: 利用可能なバックエンドサーバーがない場合、Directory Proxy Server が誤ったエラーコードを返します。
6828896: 「バックエンド接続を取得できない」場合にクライアント接続を閉じるためのオプションを用意するべきです。
6832043: useAffinity=false および affinityPolicy が明示的に設定されている場合、クライアントアフィニティーを有効にするべきではありません。
6835931: データソースホストのいずれかが到達不能な場合、Directory Proxy Server を起動できません。
6836922: dpconf コマンドは、Directory Proxy Server 6.3.1 Update 1 で導入された新しい属性をサポートするべきです。
6837295: dpconf コマンドはバインド DN マッピングをサポートするべきです。
6837392: Directory Proxy Server のプロパティーの管理で、より単純なバージョン管理を可能にするべきです。
6837970: dpconf は monitorRetryCount をサポートするべきです。
6839452: クライアントアフィニティーで、データソースの読み取り専用フラグが無視されます。
6844727: CR 6714425 および 6714448 の修正の実装を完了するべきです。
6851216: 小文字の結合式を使用すると、SQL 要求が失敗することがあります。
6854864: 100 を超えるクライアントが持続検索を実行する場合、Directory Proxy Server 6.3.1 のパフォーマンスが不十分です。
6855978: 持続検索スレッドのループにより、Directory Proxy Server が持続検索を処理できなくなります。
6859116: 持続検索のパフォーマンスが不十分です。
6860746: 20 の持続検索を作成してから停止すると、持続検索機能が失敗します。
6868131: 特定の属性マッピングや仮想変換で、Directory Proxy Server が StringIndexOutOfBoundsException を返す場合があります。
6868804: 変換およびマッピングの規則が期待どおりに実行されません。
6870051: スレッドの解放が早すぎ、ASN.1 例外が発生することがあります。
6870452: バックエンドが停止すると、Directory Proxy Server が誤ったエラーを返します。
6870496: 予期しない null ポインタ例外が発生することがあります。
6874644: 状況によっては、パスワード格納スキーマが JDBC データビューで無視されることがあります。
6879124: 1 つのクライアント接続に複数のユーザーがバインドされている場合、Directory Proxy Server が同一の結果を返すことがあります。
6881972: 状況によっては、JDBC を使用しているとき、Directory Proxy Server が起動に失敗することがあります。
6886109: 予期しない ASN1 例外が発生し、処理されないことがあります。

Directory Proxy Server 6.3.1 Update 1 のインストールの注意点

ここでは、次の内容について説明します。

ソフトウェアの入手

Directory Proxy Server 6.3.1 Update 1 は、インストール済みの Directory Server Enterprise Edition 6.3.1 に適用されるパッチです。Directory Server Enterprise Edition 6.3.1 より前のバージョンを実行している場合は、第 2 章インストールの注意点の説明に従ってまず version 6.3.1 にアップグレードしてから、Directory Proxy Server 6.3.1 Update 1 パッチを適用する必要があります。

Directory Proxy Server 6.3.1 Update 1 パッチは http://www.sun.com/software/products/directory_srvr_ee/get.jsp からダウンロードできます。

Directory Proxy Server 6.3.1 Update 1 は、1 つですべての DSEE プラットフォームに対応するパッチです。

Solaris SPARC
Solaris 9 x86
Solaris 10 x86 および AMD x64
Red Hat Linux
SuSe Linux
HP-UX
Windows

各プラットフォームに次の配布が用意されています。

ネイティブパッケージ配布 (HP-UX 以外)
ZIP 形式の配布

Directory Proxy Server 6.3.1 Update 1 パッチ 141958-01 は SunSolve から入手でき、次に示す両方の種類のインストールに適用されます。

Java ES インストーラを使用してインストールされた Directory Server Enterprise Edition 6.3.1 ネイティブパッケージ
Directory Server Enterprise Edition 6.3.1 の ZIP インストール

インストール手順

この節では、Directory Proxy Server 6.3.1 Update 1 のインストール方法について説明します。

Directory Proxy Server 6.3.1 の ZIP インストールとネイティブパッケージインストールにパッチを適用するには

始める前に

注 –

Directory Proxy Server 6.3.1 Update 1 パッチを適用する前に、Directory Server Enterprise Edition のインストールディレクトリをバックアップします。これは、以前の Directory Proxy Server 構成をあとで復元することはできないためです。この注意は ZIP インストールとネイティブパッケージインストールの両方に当てはまります。

パッチ 141958-01 を Sunsolve から downloaded-patch-path ディレクトリにダウンロードします。

パッチの適用対象となるインストールに関連付けられた Directory Proxy Server インスタンスを停止します。

Windows システムでは、コマンドプロンプトウィンドウを開きます。UNIX システムでは、端末ウィンドウを開きます。

カレントディレクトリを、更新するプラットフォームと配布 (ZIP またはネイティブ) のインストールソフトウェアがあるディレクトリに変更します。

次の例は、この目的のための一般的なコマンドを示しています。

$ cd downloaded-patch-path/SunOS_x64/zip/delivery

次の表は、downloaded-patch-path ディレクトリの下のインストールソフトウェアの場所を示します。

オペレーティングシステム	ZIP 配布を格納するディレクトリ	ネイティブパッケージ配布を格納するディレクトリ
Solaris SPARC	`SunOS/zip/delivery`	`SunOS/native/delivery`
Solaris 9 x86	`SunOS_x86/zip/delivery`	`SunOS_x86/native/delivery`
Solaris 10 x86 および AMD x64	`SunOS_x64/zip/delivery`	`SunOS_x64/native/delivery`
Red Hat Linux	`Linux/zip/delivery`	`Linux/native/delivery`
SuSE Linux	`Linux/zip/delivery`	`Linux/native/delivery`
HP-UX	`Hpux/zip/delivery`	`なし`
Windows	`Windows/zip/delivery`	`Windows/native/delivery`

UNIX システムでは、インストールスクリプトを起動します。

次のコマンドを実行します。

$ Install dsee631-install-path

ここで、dsee631-install-path は Directory Server Enterprise Edition 6.3.1 がインストールされているディレクトリのパスです。

次のメッセージが表示されます。

--------------------------------------------------------------------
IMPORTANT :
Make sure all the DPS instances associated with the Directory Proxy Server
installation being patched are shutdown prior to apply the Directory Proxy
Server 6.3.1 Update 1 Patch
--------------------------------------------------------------------
Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ?

yes を表す y を入力します。インストールプログラムによって、指定した Directory Server Enterprise Edition 6.3.1 インストールにパッチが適用されます。

Windows のインストールでは、コマンドプロンプトウィンドウで次のコマンドを実行します。
Install.exe
ウィザードが開き、Directory Proxy Server 6.3.1 Update 1 パッチをインストールする正しいインストールパスを選択するように求められます。6.3.1 の ZIP インストールにパッチを適用する場合は、Directory Server Enterprise Edition 6.3.1 をインストールしたディレクトリを選択します。ネイティブパッケージインストールにパッチを適用する場合は、C:\Program Files\Sun\JavaES5\DSEE を選択します。

ウィザードによって、Directory Server Enterprise Edition 6.3.1 にパッチが適用されます。

インストールが正常に終了したことを確認するために、次の 2 つのコマンドを実行し、次に示すものと同じ応答が得られることを確認します。

$ dpadm -V
[dpadm]
dpadm               : 6.3.1.1              B2009.1106.0156 ZIP

[DPS]
Sun Microsystems, Inc.
Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259
$ dpconf -V
[dpconf]
clip.jar        : 6.3.1    B2008.1121.0155
dpcfg.jar       : 6.3.1.1  B2009.1106.0155
dpcfgcli.jar    : 6.3.1.1  B2009.1106.0155
common.jar      : 6.3.1    B2008.1121.0155
common_cfg.jar  : 6.3.1    B2008.1121.0155

この手順は、パッチを適用する Directory Server Enterprise Edition 6.3.1 に CR 6722222 のホットフィックスが含まれている場合に必要です。

CR 6722222 のホットフィックス (LDAP サーバーにバインドするとき、bindDN をマップする (bindDN の DV の DN マッピング規則を使用)) が適用されている場合は、すべてのインスタンスで各接続ハンドラについて次のコマンドを実行します。
$ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true
このプロパティーは、リモート LDAP サーバーへのバインドで、受信したクライアント ID を必ずしも使用する必要がないことを示すフラグです。CR 6722222 を適用したあとは、例に示すように、デフォルトの動作を接続ハンドラのプロパティーで設定できるようになります。

すべてのプロキシサーバーインスタンスを再起動します。

Directory Proxy Server 6.3.1 Update 1 の既知の問題点と制限事項

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の問題点と制限事項の一覧を示します。

注 –

Directory Proxy Server 6.3.1 の既知の問題点と制限事項は、Directory Proxy Server 6.3.1 Update 1 のパッチを適用したあとも残ります。これらの問題点の詳細については、「Directory Proxy Server の既知の問題点と制限事項」を参照してください。

Directory Proxy Server 6.3.1 Update 1 の既知の制限事項

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の制限事項の一覧を示します。

『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「JDBC Object Classes」で説明されているとおり、JDBC テーブルの定義には一次テーブルと二次テーブルが使用されます。Directory Proxy Server では、二次テーブルが 3 番目のテーブルの一次テーブルとなることは許可されません。つまり、Directory Proxy Server では 1 レベルを超える結合ルールはサポートされません。

Directory Proxy Server 6.3.1 Update 1 の既知の問題

この節では、Directory Proxy Server 6.3.1 Update 1 のリリース時に判明していた既知の問題の一覧を示します。

6728746

リリース 6.3 では、エントリに 3 つ以上のオブジェクトクラスがある場合、結合ビュー (LDAP と JDBC) からエントリを追加しようとすると、CR 6636463 の修正が原因で失敗します。このようなエントリを追加するには、次の ldapmodify により、jdbc-object-class 設定エントリでこれらのオブジェクトクラスをスーパークラスとして定義する必要があります。これは、dpconf set-jdbc-object-class-prop で追加できるスーパークラスは 1 つだけだからです。

この例では、次のエントリを追加します。

dn: uid=test,ou=people,o=join
sn: User
cn: Test User
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
uid: test
userpassword: password
givenname: Test
mail: test@example.com
telephonenumber: 8888-8888
roomnumber: 8000

JDBC ビューは次の例に示すように定義されており、リリース 6.3 より前は機能していました。

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top

追加するエントリには objectClass:organizationalPerson と objectClass:inetOrgPerson の両方が存在するため、次の ldapmodify コマンドに示すように、両方のオブジェクトクラスをスーパークラスとして指定する必要があります。

$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password
dn: cn=person,cn=example-view,cn=data views,cn=config
changetype: modify
add: superClass
superClass: inetOrgPerson
-
add: superClass
superClass: organizationalPerson

この ldapmodify の実行後、jdbc-object-class は次の例のように定義されます。

dn: cn=person,cn=example-view,cn=data views,cn=config
secondaryTable: country1
secondaryTable: phone1
primaryTable: employee1
objectClass: top
objectClass: configEntry
objectClass: jdbcObjectClassMapping
dnPattern: uid
cn: person
superclass: top
superclass: inetOrgPerson Added
superclass: organizationalPerson Added

6826694

ドキュメントでは、log-level-data-sources-detailed プロパティーのデフォルト設定は none と記述されていますが、実際のデフォルト値は all です。ただし、log-level-data-sources-detailed を none 以外の値に設定すると、サーバーのパフォーマンスに影響し、access ファイルが急速に拡大します。そのため、DPS サーバーインスタンスの作成時に log-level-data-sources-detailed プロパティーの値は自動的に none に設定されます。このプロパティーをほかの値に設定しないことをお勧めします。

6832498

脆弱性に関する注意 VU#836068「MD5 が衝突攻撃に対して脆弱」で説明されている問題のため、Directory Proxy Server で署名付き証明書に MD5 アルゴリズムを使用することは避けるべきです。

証明書の署名アルゴリズムを調べるには、次の手順を使用します。

次のコマンドを実行して、特定の Directory Proxy Server インスタンスに定義されている証明書の一覧を表示します。
$ dpadm list-certs instance-path
定義されている各証明書について次のコマンドを実行し、証明書が MD5 アルゴリズムで署名されているかどうかを調べます。
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias
次の例は、MD5 署名アルゴリズムで署名されている証明書に対して dsadm show-cert コマンドを実行した場合の一般的な出力を示しています。
Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ...
次のコマンドを実行して、MD5 署名されたすべての証明書をデータベースから削除します。
$ dsadm remove-cert instance-path cert-alias

次の手順を使用して、証明書データベースのパスワードを更新します。(dpadm コマンドは、ディレクトリプロキシサーバーインスタンスの作成時にデフォルトの証明書データベースパスワードを生成します。)

Directory Proxy Server インスタンスを停止します。
次のコマンドを実行します。
$ dpadm set-flags instance-path cert-pwd-prompt=on
パスワードの入力を求めるメッセージが表示されます。
8 文字以上のパスワードを入力します。
Directory Proxy Server インスタンスを再起動し、入力が求められたら Internal (Software) Token を指定します。

MD5 機能を使用しているすべての証明書を、SHA-1 署名アルゴリズムを使用する証明書で置き換えます。インストールで自己署名付き証明書を使用するか認証局から取得した証明書を使用するかに応じて、次のどちらかの手順を使用します。

次の手順を使用して、自己署名付き証明書を生成し、保存します。

次のコマンドを実行します。
$ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias
注 –
デフォルトの署名アルゴリズムは MD5withRSA です。

次のプロンプトが表示されます。
[Password or Pin for "NSS Certificate DB"]
新しい証明書データベースパスワードを入力します。

次の手順を使用して、認証局 (CA) から証明書を取得し、保存します。

次のコマンドを実行して、認証局によって署名されたサーバー証明書の要求を発行します。
$ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias
認証局で MD5 署名アルゴリズムが使用されなくなっていることを確認してから、認証局によって署名されたサーバー証明書を受け取るための証明書要求を認証局 (使用している規則に応じて社内または社外の) に送信します。詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「CA 署名付きサーバー証明書を要求する」を参照してください。
認証局から新しい証明書が送信されたら、次のコマンドを実行して証明書を証明書データベースに追加します。
$ dpadm add-cert instance-path cert-alias
この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「Directory Proxy Server 用の証明書の作成、要求、インストール」を参照してください。
信頼できる認証局証明書がまだ証明書データベースに保存されていない場合は、次のコマンドを実行して追加します。
$ dpadm add-cert --ca instance-path trusted-cert-alias
この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「Directory Proxy Server 用の証明書の作成、要求、インストール」を参照してください。

次のコマンドを実行して、新しい証明書が使用されていることを確認します。

$ dpadm show-cert -F ascii -o cert-output-file \
  dps-instance-path cert-alias

$ dsadm add-cert ds-instance-path cert-alias \
  cert-output-file

$ dsadm show-cert ds-instance-path cert-alias

6854861

Microsoft SQL Server バックエンドでは、smalldate フィールドを使用するときに長形式の日時だけがサポートされ、ほかの形式では次の例のような変換エラーが発生します。

ldap_modify: Operations error
ldap_modify: additional info: java.lang.Exception: \
com.microsoft.sqlserver.jdbc.SQLServerException: \
Conversion failed when converting datetime from character string.

注 –

長形式の日時は YYYY -MM-DD HH:MM です。