Directory Server 6.3.1 の既知の問題点

この節では、Directory Server 6.3.1 のリリース時に判明していた既知の問題点の一覧を示します。

2113177

オンラインでのエクスポート、バックアップ、復元、またはインデックス生成の実行中にサーバーを停止したときに Directory Server がクラッシュする現象が確認されています。

2129151

stop-slapd コマンドを実行すると、Directory Server がハングアップします。

2133169

Directory Server で LDIF からエントリをインポートするときに、createTimeStamp および modifyTimeStamp 属性が生成されません。

LDIF インポートは高速化のために最適化されています。そのため、インポート処理ではこれらの属性を生成しません。この制限に対処するには、エントリをインポートする代わりに追加してください。インポートを実行する前に LDIF を前処理して属性を追加する対処策もあります。

2151022

ローカライズされた名前が証明書に含まれている場合に、証明書を正しく削除できません。また、そのような証明書を正しく一覧表示できません。

4979319

Directory Server の一部のエラーメッセージで、実際には存在しないデータベースエラーガイドに言及しています。クリティカルなエラーメッセージの意味が理解できず、そのメッセージについての記述がドキュメントに存在しない場合は、Sun サポートまでお問い合わせください。

6358392

ソフトウェアを削除するとき、dsee_deploy uninstall コマンドが既存のサーバーインスタンスを停止または削除しません。

この制限に対処するには、『Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド』の指示に従います。

6401484

送信先サフィックスに対して SSL クライアント認証を使用するとき、dsconf accord-repl-agmt コマンドがレプリケーションアグリーメントの認証プロパティーを整合できません。

この問題点に対処するには、次の手順に従って、サプライヤの証明書をコンシューマ上の設定に格納します。ここで示すコマンド例は、2 つのインスタンスが同じホスト上にあることを前提としています。

1. 証明書をファイルにエクスポートします。

   次の例は、/local/supplier および /local/consumer に位置するサーバーを対象にエクスポートを実行する方法を示しています。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. クライアントとサプライヤの証明書を交換します。

   次の例は、/local/supplier および /local/consumer に位置するサーバーを対象に交換を実行する方法を示しています。

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. コンシューマ上で SSL クライアントエントリを追加します。usercertificate;binary 属性に supplierCert 証明書を指定し、適切な subjectDN を指定します。

4. コンシューマ上でレプリケーションマネージャー DN を追加します。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. /local/consumer/alias/certmap.conf 内のルールを更新します。

6. dsadm start コマンドで両方のサーバーを再起動します。

6410741

Directory Service Control Center では、値を文字列としてソートします。そのため、Directory Service Control Center で数字をソートすると、それらの数字は文字列であるかのようにソートされます。

0、20、および 100 を昇順にソートすると、0、100、20 というリストが得られます。0、20、および 100 を降順にソートすると、20、100、0 というリストが得られます。

6412131

複数バイト文字を含む証明書名は、dsadm show-cert instance-path valid-multibyte-cert-name コマンドの出力ではドットとして示されます。

6416407

エスケープした引用符またはシングルエスケープしたコンマを含む ACI ターゲット DN を Directory Server が正しく解析しません。次の例に示す変更は構文エラーとなります。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

ただし、エスケープしたコンマが 2 つ以上含まれる例は、正しく解析されることが確認されています。

6428448

dpconf コマンドを対話型モードで使用するときに、「「cn=Directory Manager」のパスワードを入力:」プロンプトが 2 回表示される現象が確認されています。

6446318

Windows で、SASL 認証が次の 2 つの理由で失敗します。

• SASL 暗号化が使用されている。

  SASL 暗号化によって生じる問題に対処するには、サーバーを停止し、dse.ldif を編集し、次のように SASL をリセットします。

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• ネイティブパッケージを使用してインストールが実行された。

  ネイティブパッケージのインストールによって生じる問題に対処するには、SASL_PATH を install-dir\share\lib に設定します。

6449828

Directory Service Control Center では、userCertificate バイナリ値が正しく表示されません。

6461602

ソースが削除記録 (tombstone) の場合、およびターゲットがエントリ (レプリケートされない DEL) の場合、dsrepair fix-entry が機能しません。

回避方法: dsrepair delete-entry コマンドを使用して、エントリを明示的に削除します。その後、dsrepair add-entry コマンドを使用して削除記録 (tombstone) を追加します。

6468074

設定属性 passwordRootdnMayBypassModsCheck を有効に設定したときに、別のユーザーのパスワードを変更するときのパスワード構文チェックをすべての管理者が回避できるようにサーバーの動作が変更されましたが、この属性の名前からはこのことがはっきりわかりません。

6469154

Windows では、dsadm および dpadm コマンドによる出力とヘルプメッセージが、簡体字中国語および繁体字中国語にローカライズされていません。

6469296

Directory Service Control Center では既存のサーバーの設定をコピーできますが、プラグイン設定をコピーすることはできません。

6469688

Windows システムで、LDIF ファイル名に 2 バイト文字が含まれる LDIF を dsconf コマンドでインポートしようとしたときに、インポートが失敗する現象が確認されています。

この問題点に対処するには、2 バイト文字が含まれないように LDIF ファイル名を変更します。

6478568

dsadm enable-service コマンドが Sun Cluster に対して正しく機能しません。

6480753

Monitoring Framework コンポーネントを共通エージェントコンテナに登録している間に dsee_deploy コマンドがハングアップする現象が確認されています。

6482378

ルート DSE 上でサポートされている SSLCiphers 属性が、サーバーで実際にサポートされていない無効な暗号化方式を列挙します。

6483290

Directory Service Control Center と dsconf コマンドのどちらを使用しても、無効なプラグイン署名を Directory Server が処理する方法を設定できません。デフォルトの動作では、プラグインの署名の検証は行われますが、署名が有効であることは要求されません。署名が無効な場合、Directory Server は警告をログに記録します。

サーバーの動作を変更するには、cn=config 上で ds-require-valid-plugin-signature 属性と ds-verify-valid-plugin-signature 属性を調整します。どちらの属性も、値 on または off を設定できます。

6485560

Directory Service Control Center では、別のサフィックスにリフェラルを返すように設定されたサフィックスを参照できません。

6488197

Windows システムでのインストール後およびサーバーインスタンス作成後は、インストールおよびサーバーインスタンスのフォルダに対するファイルアクセス権により、すべてのユーザーにアクセスが許可されます。

この問題点に対処するには、インストールおよびサーバーインスタンスのフォルダのアクセス権を変更します。

6488284

HP-UX プラットフォームの場合、次のセクションの Directory Server Enterprise Edition マニュアルページに次のコマンド行からアクセスできません。

• man5dpconf。

• man5dsat。

• man5dsconf。

• man5dsoc。

• man5dssd。

この問題を回避するには、『Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference 』のマニュアルページにアクセスします。ここから、Directory Server Enterprise Edition のすべてのマニュアルページを PDF 形式でダウンロードできます。

6490557

不正な CoS テンプレートの入力を試みると、Directory Server 6 のバージョンでクラッシュの原因となります。

6490653

Internet Explorer 6 を使用して、Directory Service Control Center 上で Directory Server のリフェラルモードを有効にすると、リフェラルモードの確認ウィンドウが小さいために、テキストの一部が切れて表示されません。

この問題点に対処するには、Mozilla Web ブラウザなどの別のブラウザを使用します。

6491849

レプリカをアップグレードし、新しいシステムにサーバーを移動したあと、新しいホスト名を使用するレプリケーションアグリーメントを再作成する必要があります。Directory Service Control Center では、既存のレプリケーションアグリーメントを削除できますが、新規アグリーメントを作成することはできません。

6492894

Red Hat システムでは、dsadm autostart コマンドによって、ブート時に確実にサーバーインスタンスが起動されるとは限りません。

6494997

DSML を設定している場合、dsconf コマンドは、適切な dsSearchBaseDN 設定を要求しません。

6495004

Windows システムでは、インスタンスの basename が ds である場合、Directory Server が起動に失敗する現象が確認されています。

6497053

ZIP 形式の配布からインストールするときに、dsee_deploy コマンドのオプションで SNMP ポートおよびストリームアダプタポートを設定できません。

この問題に対処するには、次の手順に従います。

1. Web コンソールまたは dpconf を使用して、Monitoring プラグインを有効にします。

2. cacaoadm set-param を使用して、snmp-adaptor-port 、snmp-adaptor-trap-port、および commandstream-adaptor-port を変更します。

6497894

dsconf help-properties コマンドは、インスタンス作成後にのみ正しく機能するように設定されています。また、オンラインマニュアルで、dsml-client-auth-mode コマンドのデフォルト値が間違って記述されています。正しい値のリストは client-cert-first | http-basic-only | client-cert-only です。

6500936

ネイティブパッチ配布では、アクセスログのフィルタリング用の日付選択に使用するミニチュアカレンダが、繁体字中国語に正しくローカライズされていません。

6501320

カスタムスキーマのインデックスの作成中に、all-ids-threshold のサフィックスレベルの変更が DSCC によって完全に反映されません。

6503509

dsccmon、 dsccreg、dsccsetup、および dsccrepair コマンドによって表示される一部の出力がローカライズされていません。

6503546

システムのロケールを変更してから DSCC を起動しても、ポップアップウィンドウのメッセージが選択したロケールで表示されません。

6504180

Solaris 10 の英語および日本語ロケールで、DN に複数バイト文字を持つインスタンスの場合にパスワード確認が失敗します。

6504549

ns-slapd プロセスが rsh を使用してリモートで開始された場合、Java Enterprise System Monitoring Framework による Directory Server のインスタンスの検出に成功しません。

6506019

HP-UX で、ns-slapd の実行中のプロセスから gdb を切り離すと、プロセスが強制終了され、コアダンプが生成されます。

6507312

HP-UX システムでは gdb での調査のあと、NSPR ライブラリを使用したアプリケーションがクラッシュしてコアダンプします。この問題は、gdb を実行中の Directory Server インスタンスに接続したあと、gdb quit コマンドを使用した場合に発生します。

6520646

Internet Explorer を使用しているときに「DSCC オンラインヘルプの参照」をクリックしても、オンラインヘルプが表示されません。

6527999

Directory Server のプラグイン API には、slapi_value_init()()、slapi_value_init_string()()、および slapi_value_init_berval()() 関数が含まれています。

これらすべての関数が内部要素をリリースするためには「done」関数が必要になります。しかし、パブリック API に slapi_value_done() () 関数がありません。

6539650

パスに複数バイト文字を含む Directory Server インスタンスを DSCC で作成しようとすると、失敗する場合があります。また、そのようなインスタンスからほかの通常タスクを開始または実行しようとすると失敗する場合があります。

これらの問題の一部は、インスタンスの作成時に使用していた文字セットを使用することによって解決できます。文字セットを設定するには、次のコマンドを実行します。

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

これらの問題を回避するには、インスタンスパスに ASCII 文字のみを使用します。

6541040

Directory Service Control Center を使用してパスワードポリシーを変更しているときに、変更されていない属性が予期せずリセットされることがあります。

Directory Service Control Center を使用してデフォルトパスワードポリシーを管理すると、エラーは発生しません。しかし、Directory Service Control Center を使用して特別なパスワードポリシーを管理すると、変更されていない属性がリセットされる可能性があります。

6542857

Solaris 10 で Service Management Facility (SMF) を使用してサーバーインスタンスを有効にした場合、システムをリブートしてもインスタンスが起動しないことがあり、次のエラーを返します。

svcadm: Instance "svc:/instance_path" is in maintenance state.

この問題を回避するには、ローカルユーザーを使用して Directory Server および Directory Proxy Server サービスを作成します。

6547992

HP-UX では、dsadm および dpadm コマンドで libicudata.sl.3 共有ライブラリが検出されない可能性があります。

この問題を回避するには、SHLIB_PATH 変数を設定します。

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

DSCC が Tomcat 5.5 および JDK 1.6 とともに使用されている場合、エラーが発生する可能性があります。

この問題を回避するには、代わりに JDK 1.5 を使用します。

6551672

Solaris 10 に含まれる Sun Java System Application Server は、認証済みメカニズムのための SASL クライアント接続を作成できず、共通エージェントコンテナと通信しません。

回避方法として、appserver-install-path/appserver/config/asenv.conf ファイルを編集し、AS_JAVA エントリを AS_JAVA="/usr/java" に置き換えることによって、アプリケーションサーバーが使用する JVM を変更します。Application Server ドメインを再起動します。

6551685

dsadm autostart によって、システムのリブート時にネイティブの LDAP 認証が失敗することがあります。

この問題を回避するには、リブートスクリプトの順序を逆にします。デフォルトの順序は /etc/rc2.d/S71ldap.client および /etc/rc2.d/S72dsee_directory です。

6557480

Solaris 9 および Windows では、Web Archive (WAR) ファイルを使用して構成されたコンソールからオンラインヘルプにアクセスすると、エラーが表示されます。

6559825

レプリケートされたサフィックスのあるサーバーで DSCC を使用してポート番号を変更すると、サーバー間のレプリケーションアグリーメントを設定する場合に問題が発生します。

6571672

システム上で unzip が使用できない場合、dsee_deploy はどの製品もインストールしません。

6583131

ローカライズ版 Directory Service Control Center を使用するには、Directory Server Enterprise Edition 6.3.1 コアパッチよりも先に Directory Server Enterprise Edition 6.3.1 ローカライズ版パッチを適用するか、または次のコマンドを指定どおりの順序で実行します。

# dsccsetup console-unreg # dsccsetup console-reg

Directory Server Enterprise Edition 6.3.1 パッチよりも先に Directory Server Enterprise Edition 6.3.1 ローカライズ版パッチを適用する場合は、dsccsetup console-unreg および console reg コマンドを実行する必要はありません。

ZIP 形式のインストールでは、Directory Server Enterprise Edition 6.3.1 のローカライズ版パッチが Directory Service Control Center に自動的に適用されません。回避方法としては、WAR ファイルを配備取消ししてから再配備します。

6587801

version 6.1 以降の dsadm コマンドと Directory Service Control Center は、version 6.0 の dsadm コマンドで作成された Directory Server インスタンスの組み込みの CA 証明書を表示しません。

この問題に対処するには、次を実行します。

modutil の 64 ビットバージョンとともに 64 ビットモジュールを追加します。

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6594285

Directory Service Control Center には RBAC 機能がありません。

6595805

UTF-8 以外の符号化形式では、インストールパスに非 ASCII 文字が含まれているときに、共通エージェントコンテナの内部で dsee_deploy ツールによる Java Enterprise System Monitoring Framework のセットアップが失敗します。

6630897

dsadm show-*-log l コマンドの出力に正しい行が含まれていません。以前にローテーションされたログの最終行を含んでいる可能性があります。

6630924

ログのいくつかの行に 1024 文字以上の文字が含まれている場合、dsadm show-*-log コマンドの出力が正しくありません。

6634397

すべてのインスタンス (0.0.0.0) 上で待機していると DSCC で登録したサーバーに対して dsconf を使用してサーバーの待機アドレスを変更しようとすると、DSCC エラーが発生します。

SSL ポートのみとセキュリティー保護された待機アドレスを Directory Server Enterprise Edition 6.3 で設定するには、次の回避方法を実行します。

1. サーバーを DSCC から登録解除します。

   dsccreg remove-server /local/myserver

2. LDAP ポートを無効にします。

   dsconf set-server-prop ldap-port:disabled

3. セキュリティー保護された待機アドレスを設定します。

   dsconf set-server-prop secure-listen-address:IPaddress

   dsadm restart /local/myserver

4. DSCC を使用してサーバーを登録します。「サーバーの登録」ウィザードでサーバーの IP アドレスを指定します。この操作を元に戻すことはできません。

6637242

WAR ファイルの配備後、「トポロジの表示」ボタンが機能しない場合があります。org.apache.jsp.jsp.ReplicationTopology_jsp._jspService に基づいた Java の例外が起きることがあります。

6638990 / 6641357

ldapmodify コマンドによる一括インポートは既存のデータに損害を及ぼすことがあります。オプション -B suffix を指定すると、そのサフィックスを持つ既存のデータがすべて削除されます。

したがって、ldapmodify のマニュアルページにある、ldapmodify コマンドを使用した一括インポートによって既存のエントリが消去されることはないという記述は誤りです。

6640755

Windows の韓国語ロケールで ns-slapd が開始に失敗すると、dsadm start コマンドが nsslapd エラーログを表示しません。

6644161

韓国語ロケールの PN_GUILong; で、「暗号化属性」セクションの「属性の削除」ボタンをクリックすると、次の不完全なエラーメッセージが表示されます。

You have chosen to remove

正しいメッセージは次のとおりです。

You have chosen to remove {0} from the list of encrypted attributes. In order for the database files to reflect the configuration and to work properly you must Initialize the Suffix. Do you want to continue?

6648240

Directory Service Control Center で「インデックス」タブの「追加のインデックス」テーブルの属性を変更または削除すると、ブラウザが更新されるまで無効な情報が表示される可能性があります。

6650105

Windows 2000 で、ZIP 形式の配布の Directory Service Control Center、Tomcat 5.5 アプリケーションサーバー、および Internet Explorer 6 の組み合わせを使用しているときに、「新規 DS アクセス制御指示」ウィザードの「ステップ 3: アクセス権限の割り当て」で「指定されたユーザーに権限を割り当て:」リストボックスの「削除」ボタンをクリックすると、次のような例外が発生することがあります。

The following error has occurred:
Handler method "handleAssignACIToDeleteButtonRequest" not implemented,
or has wrong method signature
Show Details
Hide Details
com.iplanet.jato.command.CommandException: Handler method
"handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature
     com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute
(DefaultRequestHandlingCommand.java:167)
     com.iplanet.jato.view.RequestHandlingViewBase.handleRequest
(RequestHandlingViewBase.java:308)
     com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)

6653574

Directory Server 6.X マスターから 5.1 マスターへのレプリケーションが正しく機能していません。

6658483

繁体字中国語版の Directory Service Control Center で、サフィックスの「レプリケーション設定」タブの文字列「データでサフィックスを初期化...」の翻訳が不明瞭です。

6660462

Directory Server Enterprise Edition 6.2 から Directory Server Enterprise Edition 6.3 にアップグレードする前に、Directory Server または Directory Proxy Server の各インスタンスで ntservice を手動で停止する必要がありますが、dsee_deploy コマンドが、Microsoft Windows 2000 プラットフォーム上の Directory Server または Directory Proxy Server の動作中インスタンスの識別に失敗します。

Microsoft Windows 2000 で ZIP 形式の配布を使用している場合、アップグレード時に dsee_deploy コマンドが失敗する可能性があります。 エラーメッセージは次のとおりです。

error: cannot delete old C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe

これは、Directory Server または Directory Proxy Server のインスタンスがまだ実行中であることを示します。インスタンスを停止するには、Microsoft Windows 2000 で「スタート」>「設定」>「コントロールパネル」>「管理ツール」>「サービス」を選択します。右側の列に表示された Directory Server または Directory Proxy Server の各サービスについて、インスタンスを右クリックして「停止」を選択します。

6663685

Directory Service Control Center で、「サフィックス設定のコピー」操作によって誤ったポップアップウィンドウが表示されることがあります。

6687375

DSCC で作成するエージェント証明書を DSCC で取得できないことがあります。DSCC は証明書を DSCC レジストリの「agent-profile」に格納しようとしますが、DSCC レジストリの ldap-port がループバックインタフェースにバインドされている場合、証明書を格納できません。ただし、DSCC は DSCC レジストリを読み取ることができる設計になっているため、DSCC レジストリとの通信には localhost を使用する必要があります。

この制限に対処するには、ldapmodify コマンドを使用して DSCC レジストリに agent-profile を作成します。

6689290

ローカライズ版の DSCC からサーバーを停止/起動/再起動しようとすると、文字化けしたローカライズ版メッセージが表示されることがあります。

回避方法としては、cacao.properties ファイルを編集し、-Dfile.encoding=utf-8 フラグを削除してから、任意のロケールで cacao を再起動します。

6696857

Directory Proxy Server インスタンスに DSCC を通じて有効にされた、セキュリティー保護された待機ソケット/ポートのみがある場合で、サーバー証明書がデフォルトではない (たとえば、認証局によって署名された証明書など) 場合、DSCC を使用してインスタンスを管理できません。

この問題を回避するには、DPS インスタンスの登録を解除してからふたたび登録します。別の解決方法としては、サーバー証明書を使用する DSCC レジストリ内の DPS インスタンスの userCertificate 情報を更新することです。

6703850

Directory Server 5 および Directory Server Enterprise Edition 6 の各バージョンで、Solaris 9 および Solaris 10 (SPARC または x86) 上で Veritas File System (VxFS) バージョン 4.1 および 5.0 を使用するときに、パフォーマンスの問題が発生する場合があります。 パフォーマンスの問題は fdsync システムコールの内部で発生し、Directory Server のチェックポイント処理などに影響します。この問題には Solaris の VMODSORT 機能を使用して対処します。詳細は、http://sunsolve.sun.com/search/document.do?assetkey=1-66-201248-1を参照してください。

Directory Server Enterprise Edition 6 で、VMODSORT 機能を有効にして Veritas File System を使用するときにパフォーマンスの問題が発生することがあります (CR 6703850)。この問題は (id2entry.db3 などの) ファイルにページが追記されるときに発生します。このエラーが原因で、ftruncate システムコールによるリソース消費は、VMODSORT 機能なしで Veritas File System を使用するときと同等になります。

6705472

パスワードポリシーはパスワードの長さをバイト数で測定するため、複数バイト文字を含むパスワードは、その文字数がポリシーで指定された下限に満たなくともパスワードの長さポリシーに適合する可能性があります。たとえば、1 つの 2 バイト文字を含む 7 文字のパスワードは、パスワードの最小の長さが 8 文字に設定されたパスワードポリシーに適合します。

6707789

modrate コマンドのマニュアルページの例 1 に、使用法の誤りが含まれています。正しい例は次のとおりです。

modrate -D uid=hmiller,ou=people,dc=example,dc=com -w hillock -b "uid=test%d,ou=test,dc=example,dc=com" \ -C 3 -r 100 -M 'description:7:astring'

6712064

nsslapd-groupevalsizelimitis プロパティーに関する記述がありません。このプロパティーに関する記述は次のとおりです。

名前

nsslapd-groupevalsizelimit-ACI 評価のための静的グループメンバーの最大数。

説明

ACI 評価のために静的グループに含めることができるメンバー (そのサブグループのメンバーを含む) の最大数を定義します。

エントリ DN

cn=config

有効範囲

0 から最大 64 ビットの整数値

値 -1 は無制限を意味します。

デフォルト値

5000

構文

Integer

例

nsslapd-groupevalsizelimit: 5000

属性

次の属性の説明については、attributes(5) のマニュアルページを参照してください。

属性タイプ	属性値
利用可能	SUNWldap-directory
安定性レベル	廃止: このリリースよりもあとに削除予定

6720595

UNIX システムで、dsconf set-log-prop または DSCC を使用してログファイルのパスを変更しようとする試みが、ログファイルの新しいパスがまだ存在していない場合に失敗します。

6722534

『Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference』で、minheap の値についての記述が誤っています。minheap の値は、起動時にサーバーによって使用されるヒープメモリーの容量の 2 倍です。

6723208

キャリッジリターンを含む属性値を編集しようとすると、値が破損します。

6723590

バージョン 6.2 にはデータベースの破損が存在する可能性がありますが、まだ検出されていません。そのため、Directory Server Enterprise Edition 6.2 から 6.3.1 にアップグレードする前に、データベースを LDIF ファイルにエクスポートしてから、その LDIF ファイルを再インポートすることによってデータベースを再構築してください。レプリケーション環境では、すべてのサーバーを再構築または再初期化します。レプリケーション環境でのサーバーのエクスポート、インポート、および初期化については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』で説明しています。

---

注 –

これは、Directory Server Enterprise Edition 6.2 からのアップグレードのみに適用されます。バージョン 6.0、6.1、または 6.3 からのアップグレードには適用されません。

---

6725346

データベース名には ASCII (7 ビット) の英数字、ハイフン (-)、および下線 (_) のみを含むことができます。Directory Server は、データベース名、ファイル名、およびパス名の文字列に複数バイト文字 (中国語や日本語の文字セットなど) を受け付けません。複数バイトの文字を含む Directory Server サフィックスを作成する場合にこの問題を回避するには、複数バイト文字を含まないデータベース名を指定します。コマンド行でサフィックスを作成する場合は、たとえば、dsconf create-suffix コマンドの --db-name オプションを明示的に指定します。

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

サフィックスのデフォルトデータベース名は使用しないでください。データベース名に複数バイト文字は使用しないでください。

6742347

サービスとして登録されているとき、Directory Server Enterprise Edition 6 が Windows のシャットダウン中に正常に停止しません。システムの再起動時に、次のメッセージがエラーログファイルに記録されています。

WARNING<20488> - Backend Database - conn=-1 op=-1 msgId=-1 - Detected Disorderly Shutdown last time Directory Server was running, recovering database.

この問題に対処するには、シャットダウンまたは再起動の前に Directory Server を手動で停止します。

Microsoft Windows でインスタンスを停止するには、「スタート」>「設定」>「コントロールパネル」>「管理ツール」>「サービス」を選択します。右側の列に表示された Directory Server の各サービスについて、インスタンスを右クリックして「停止」を選択します。または、次のコマンドを実行します。

$ dsadm.exe stop instance-path

6750837

Microsoft Windows のネットワークドライブの仕様が大文字と小文字を区別します。このため、たとえば C:/ と c:/ の両方を使うと、マスターの再起動後に DSEE 管理コマンドが原因でレプリケーションが失敗する場合があります。この問題を回避するには、「DSEE_HOME/ds6/bin/dsconf accord-repl-agmt」を使用してレプリケーションアグリーメントを修正します。

6751354

Microsoft Windows のネットワークドライブの仕様が大文字と小文字を区別します。このため、たとえば C:/ と c:/ の両方を使うと、DSEE 管理コマンドによって、次に示すようなさまざまなエラーメッセージが表示される場合があります。

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

この警告が表示されないようにするには、一貫して C:/ を使用します。

6752475

Windows 2000 で、バックエンドデータベースエラーが報告されることがあります。この問題は Microsoft Windows にのみ存在します。この問題が発生すると、次のエラーメッセージがエラーログに記録されます。

ERROR<20742> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD MAP 1, err=5 ERROR<20741> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD EV 1, err=5

このエラーは通常は無害ですが、まれに、ユーザー (管理者またはほかの任意のユーザー) によって生成されたインスタンスが、別のユーザー (Windows サービス、管理者の、またはほかの任意のユーザー) によって生成されたインスタンスと競合するときにクラッシュを引き起こすことがあります (6798026)。

本稼働環境でこの問題に対処するには、すべてのインスタンスをサービスとして登録する必要があります。

テスト中にこの問題に対処するには、Windows サービスとして起動されるインスタンスがない場合、新しいインスタンスが同じユーザーによって起動されるようにする必要があります。インスタンスが Windows サービスとして起動される場合は、リモートデスクトップ接続 (rdesktop) を使用して新しいインスタンスを起動することが唯一の回避方法です。

6752625

DSCC のオンラインヘルプから不明な Web ページにリンクされる場合があります。特に、一部のウィザードメニューで次のような記述があります。

For more information about data source configuration, see the "Sun Java System Directory Server Enterprise Edition Reference."

この DSEE リファレンスドキュメントへのリンクを選択すると、エラーメッセージが表示されます。

この問題を回避するには、3 番目のマウスボタンでこのリンクを選択して、ポップアップメニューから「Open Link in New Window」を選択します。選択したドキュメントが新しいブラウザウィンドウに表示されます。

6753020

マルチマスターレプリケーション構成で、Directory Server 6 の各バージョンからDirectory Server 5.2 マスター (最大 4 台のサーバーで構成) へのレプリケーションは正常に機能します。

6753742

マルチマスターレプリケーション構成で、JES 4 から Directory Server 6.3 へのマスターの移行が失敗する場合があります。たとえば、『Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide』の「Migrating the Masters」の手順 6 の実行後に次のエラーメッセージが表示されることがあります。

INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - _replica_configure_ruv: failed to create replica ruv tombstone entry (suffix); LDAP error - 53

この問題に対処するには、次の手順を使用します。

1. すべての JES 4 マスターを停止します。

2. dse.ldif 構成ファイルを手動で編集し、nsslapd-readonly: on を nsslapd-readonly: off に変更します。

3. dsmig migrate-config 移行コマンドを実行します。

6755852

日本語版の Windows 上で DSEE6.3 パッチ ZIP (以降) をインストールしようとすると、Cacao に JESMF を配備するときに常に失敗し、次のような結果になります。

Deploying JESMF in Cacao... ## Failed to run install-path/dsee6/cacao_2/bin/cacaoadm.bat deploy install-path/dsee6/mfwk/xml/com.sun.mfwk.xml #### #### Cannot execute command deploy: The connection has been closed by the server . #### ## Exit code is 1 Failed to register DS in JESMF. Error: Cannot register mfwk into cacao framework:

問題の発生後にインストールを完了するには、次の手順を使用します。

1. Cacao を起動するために、次の内容を mfwk.properties に追加します。

   com.sun.mfwk.agent.objects=false

2. 次のコマンドを実行して Cacao を再起動します。

   cacaoadm start

   Cacao が動作し続けることを確認します。

3. 次の 2 つのコマンドを実行します。

   $ dsccsetup mfwk-unreg $ dsccsetup mfwk-reg -t

4. 次のコマンドを実行して、mfwk が Cacao フレームワークに正しく登録されていることを確認します。

   $ install-path/dsee6/cacao_2/bin/cacaoadm list-modules

   mfwk が正しく登録されている場合、コマンドは次の結果を返します。

   List of modules registered: com.sun.cacao.agent_logging 1.0 com.sun.cacao.command_stream_adaptor 1.0 com.sun.cacao.efd 2.1 com.sun.cacao.instrum 1.0 com.sun.cacao.invoker 1.0 com.sun.cacao.mib2simple 1.0 com.sun.cacao.rmi 1.0 com.sun.cacao.snmpv3_adaptor 1.0 com.sun.cmm.ds 1.0 com.sun.directory.nquick 1.0 com.sun.mfwk 2.0

5. 次の 2 つのファイルを install-path/dsee6/bin にコピーします。

   installer-path\DSEE_ZIP_Distribution\dsee_deploy.exe installer-path\DSEE_ZIP_Distribution\dsee_data\listrunnings.exe

6756152/2168088

Windows で LDAP コマンドが機能しません (IPv6 有効)。

6772760

DSEE 6 の各バージョンで、起動後ただちにサーバーを停止しようとするとクラッシュが発生する場合があります。

6772879

Directory Server Enterprise Edition 5.x のパスワードポリシーは、password* の命名パターンを使用して属性を管理します。Directory Server Enterprise Edition 6.x のパスワードポリシーは、pwd* の命名パターンを使用して属性を管理します。Directory Server Enterprise Edition を互換性モード (両方のポリシーの属性が管理される) で実行しているとき、パスワードポリシーの機能を無効にすると、関連する属性の一部の値について 5.x 属性と 6.x 属性の間で差異が生じることがあります。たとえば、passwordUnlock が off に設定されている場合、pwdLockoutDuration の値が 0 で、passwordLockoutDuration の値が 0 でないという状況が生じることがあります。

6776034

DSCC エージェントを Solaris 9 上の CACAO に登録できません。SUNWxcu4 パッケージがシステムに存在しない場合、「Failed to configure Cacao.」というエラーが表示されコマンド DSEE_HOME/dscc6/bin/dsccsetup cacao-reg が失敗します。

6777338

Directory Server 5.2 から Directory Server 6.3 へのマルチマスターレプリケーション移行に関して、『Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide』の「Manual Reset of Replication Credentials」の記述が不完全です。手順では次のコマンドを実行するよう指示しています。

dsconf set-server-prop -h host -p port def-repl-manager-pwd-file:filename

実際には、指示にない次のコマンドも実行する必要があります。

dsconf set-repl-agmt-prop -p port_master1 replicated_suffix master2:port_master2 auth-pwd-file:filename

dsmig migrate-config コマンドは、レプリケーション資格を正しくリセットするために呼び出す必要があるコマンドを返します。

6786078

存在しない Sun Microsystems プラグインが、有効な署名を持つものとして認識されることがあります。次の警告メッセージが表示されます。

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install.

この警告メッセージは、ベンダーが Sun Microsystems であるプラグインに対してのみ表示されます。

6790060

インデックスを使用せず ACI 評価を伴う検索で数個のエントリが返される場合に、検索パフォーマンスが大きく低下することがあります。この問題はこのリリース、つまり DSEE6.3.1 でのみ発生します。

6791372

メモリーリソースの不足が原因で、Directory Server 6 の各バージョンがクラッシュすることがあります。サーバーの errorlog ファイルに次のエラーメッセージが書き込まれます。

ERROR<5122> - binder-based resource limits - conn=-1 op=-1 msgId=-1 - System error: resource shortage PR_NewRWLock() failed for reslimit

6827661

Directory Server インスタンスがコンソールから、または dsadm start コマンドによってローカルで起動された場合、リモートデスクトップから dsadm stop コマンドを使用して Directory Server インスタンスを停止できないことがあります。

この問題に対処するには、次のコマンドを実行してサービスを有効にします。

dsadm enable-service --type WIN_SERVICE instance-path

6831959

「Vulnerability Note VU#836068, MD5 vulnerable to collision attacks」で説明されている問題を考慮すると、Directory Server Enterprise Edition で署名付き証明書に MD5 アルゴリズムを使用することは避けるべきです。

証明書の署名アルゴリズムを調べるには、次の手順を使用します。

1. 次のコマンドを実行して、特定の Directory Server インスタンスで定義されている証明書の一覧を表示します。

   $ dsadm list-certs instance-path

2. 定義済みの各証明書に対して次のコマンドを実行し、証明書が MD5 アルゴリズムを使用して署名されているかどうかを調べます。

   $ dsadm show-cert instance-path cert-alias

   次の例は、MD5 署名された証明書に対して dsadm show-cert コマンドを実行したときの一般的な出力を示します。

   Certificate: Data: [...] Signature Algorithm: PKCS #1 MD5 With RSA Encryption [...]

次のコマンドを実行して、MD5 署名されたすべての証明書をデータベースから削除します。

$ dsadm remove-cert instance-path cert-alias

次の手順を使用して、証明書データベースのパスワードを更新します。(dsadm コマンドは、Directory Server インスタンスの生成時にデフォルトの証明書データベースパスワードを生成します)。

1. Directory Server インスタンスを停止します。

2. 次のコマンドを実行します。

   $ dsadm set-flags instance-path cert-pwd-prompt=on

   パスワードの入力を求めるメッセージが表示されます。

3. 8 文字以上のパスワードを入力します。

4. Directory Server インスタンスを再起動し、入力を求められたら内部 (ソフトウェア) トークンを入力します。

MD5 署名されたすべての証明書を、SHA-1 署名された証明書と置き換えます。インストールで自己署名付き証明書を使用するか認証局から取得した証明書を使用するかに応じて、次のどちらかの手順を使用します。

次の手順を使用して、自己署名付き証明書を生成し、保存します。

1. Directory Server 管理者として次のコマンドを実行し、SHA-1 署名アルゴリズムを使用して自己署名証明書を発行します (certutil コマンドについては、http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html を参照してください)。

   $ certutil -S -x -n certName -s subject -d certs-db-path \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   -S

   個別証明書を生成してその証明書をデータベースに追加することを指定します。

   -x

   自己署名証明書を生成することを指定します。

   -n certName

   証明書のエイリアス名 (例: defaultCert ) を指定します。

   -s "subject "

   新しい証明書または証明書リクエストの証明書所有者 (例: CN=...,OU=...) を指定します。

   -d instance-path /alias

   証明書および鍵のデータベースファイルを格納するデータベースディレクトリを指定します。

   -P "slapd-"

   証明書データベースの接頭辞を指定します

   -t "CTu,u,u"

   信頼の引数を指定します。

   -Z SHA1

   証明書の署名アルゴリズムとして SHA-1 を指定します。

   次の例は、一般的な使用方法を示しています。

   $ install-path/dsee6/bin/certutil -S -x -n "A-New-Cert" \ -s "CN=myhostname,CN=8890,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   このコマンドにより、次のプロンプトが表示されます。

   [Password or Pin for "NSS Certificate DB"]

2. 作成した新しい証明書データベースのパスワードを入力します。

次の手順を使用して、認証局 (CA) から証明書を取得し、保存します。

1. 次のコマンドを実行して、認証局によって署名されたサーバー証明書の要求を発行します。

   $ certutil -R -s subject -d certs-db-path -P "slapd -a -Z SHA1 -o output-file

   -R

   認証局によって署名されたサーバー証明書の要求を生成することを指定します

   -s "subject "

   新しい証明書または証明書要求の証明書所有者を指定します。たとえば、CN=...,OU=... のように指定します

   -d instance-path /alias

   証明書および鍵のデータベースファイルを格納するデータベースディレクトリを指定します。

   -P "slapd-"

   証明書データベースの接頭辞を指定します

   -a

   証明書要求をデフォルトのバイナリ形式ではなく ASCII 形式で作成することを指定します

   -o output-file

   証明書要求を格納する出力ファイルを指定します

   次の例は、一般的な使用方法を示しています。

   $ install-path/dsee6/bin/certutil -R \ -s "CN=myhostname,CN=7601,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -a -o /tmp/cert-req.txt

   このコマンドにより、次のプロンプトが表示されます。

   [Password or Pin for "NSS Certificate DB"

2. 作成した新しい証明書データベースのパスワードを入力します。

3. 認証局で MD5 署名アルゴリズムが使用されなくなっていることを確認してから、認証局によって署名されたサーバー証明書を受け取るための証明書要求を認証局 (使用している規則に応じて社内または社外の) に送信します。詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「CA 署名付きサーバー証明書を要求する」を参照してください。

4. 認証局から新しい証明書が送信されたら、次のコマンドを実行して証明書を証明書データベースに追加します。

   $ dsadm add-cert ds-instance-path cert-alias signed-cert-alias

   この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「CA 署名付きサーバー証明書と信頼できる CA 証明書を追加する」を参照してください。

5. 信頼できる認証局証明書がまだ証明書データベースに保存されていない場合は、次のコマンドを実行して追加します。

   $ dsadm add-cert --ca instance-path trusted-cert-alias

   この手順については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「CA 署名付きサーバー証明書と信頼できる CA 証明書を追加する」を参照してください。

6. 次のコマンドを実行して、新しい証明書が使用されていることを確認します。

   $ dsadm show-cert instance-path cert-alias Certificate: Data: [...] Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption [...]

6834291

pwd-must-change-enabled プロパティーが on に設定されているときに、プロキシ承認制御を使用してユーザーアカウントの操作を呼び出す場合、リセットパスワードを持っているユーザーのために実行できる操作は、ユーザーのアカウントパスワードの変更だけです。

Directory Server Enterprise Edition 6.3.1 より前のバージョンでは、この操作は account unusable (CR 6651645 を参照) として拒否されていました。Directory Server Enterprise Edition 6.3.1 では、プロキシ承認を使用したリセットパスワードの変更のサポートが追加されましたが、既存の配備に 6.3.1 パッチを適用すると次の問題が発生していました。アカウントパスワードが管理操作によってリセットされている場合に、プロキシ承認を使用してそのアカウントを操作すると、操作が userpassword 属性の変更には厳密に適用されません。-

この問題の原因は、Directory Server のプラグイン順序の変更にあります。6.3.1 パッチを適用するときに、既存のインスタンスに対してはプラグイン順序が修正されません。Directory Server Enterprise Edition 6.3.1 へのアップグレード後に作成された Directory Server インスタンスの場合、プラグイン順序は正しく設定されます。

Directory Server Enterprise Edition 6.3.1 へのアップグレード前に作成された Directory Server インスタンスの場合、管理者が ldapmodify コマンドを使用してインスタンスのプラグイン順序リストを修正する必要があります。

次の例では、プラグイン順序が元の順序から変更されていないと仮定しています。配備でカスタムの順序を使用している場合は、そのカスタマイズを含めるように例を変更してください。ただし、必ずすべての PwP preoperation の前に ACL preoperation を置いてください。

変更を有効にするためにインスタンスを再起動します。

$ install-path/dsrk6/bin/ldapmodify dn: cn=plugins, cn=config changetype:modify replace: plugin-order-preoperation-finish-entry-encode-result plugin-order-preoperation-finish-entry-encode-result: ACL preoperation,PwP preoperation - replace: plugin-order-preoperation-search plugin-order-preoperation-search: ACL preoperation,* - replace: plugin-order-preoperation-compare plugin-order-preoperation-compare: ACL preoperation,* - replace: plugin-order-preoperation-add plugin-order-preoperation-add: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-add plugin-order-internalpreoperation-add: PwP internalpreoperation,* - replace: plugin-order-preoperation-modify plugin-order-preoperation-modify: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-modify plugin-order-internalpreoperation-modify: PwP internalpreoperation,* - replace: plugin-order-preoperation-modrdn plugin-order-preoperation-modrdn: ACL preoperation,* - replace: plugin-order-preoperation-delete plugin-order-preoperation-delete: ACL preoperation,* - replace: plugin-order-bepreoperation-add plugin-order-bepreoperation-add: PwP bepreoperation,* - replace: plugin-order-bepreoperation-modify plugin-order-bepreoperation-modify: PwP bepreoperation,*

6867762

rotation-time または rotation-interval に従ってログのローテーションが行われる場合、ローテーションが発生する正確な時刻は、次のようないくつかの変数に依存します。

• rotation-time、rotation-interval、rotation-now、および rotation-size プロパティーの値

• ハウスキーピングスレッドのスケジュール

• ローテーション条件が満たされたときのログファイルの実効サイズ

したがって、ローテーションされたログファイルの timestamp (たとえば、access.timestamp) は保証されません

6872923

『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の「初回ログインパスワードポリシーを設定する」で説明されている初回ログインパスワードポリシーのシナリオは不完全です。この例を実行する前に、グローバルパスワードポリシーのデフォルトエントリ ("cn=Password Policy,cn=config") の Password Must Change プロパティーが TRUE に設定されていることを確認してください。

6876315

dsmig コマンドを実行しているユーザーが対象となるディレクトリサーバーインスタンスを保持していない場合、移行ファイルを生成しそのファイルにアクセスするのに必要なアクセス権がないためコマンドが失敗します。

対象となるディレクトリサーバーを保持し、少なくともソースディレクトリサーバーへの読み取りアクセス権を持っているユーザーが dsmig コマンドを実行した場合は成功します。こうした条件を満たせない場合、データベースをエクスポートしてから、新しいディレクトリサーバーにインポートすることで移行を実施してください。

6902940

Windows で、環境変数 PERL5LIB が以前に存在していた PERLバージョンに設定されていると、Cacao の構成が失敗することがあります。

この問題点に対処するには、両方のスクリプトファイルを編集します。Directory Server Enterprise Edition の ZIP インストールの場合は、次の両方のファイルを編集します。

• installPath/dsee6/cacao_2/configure.bat

• installpath/dsee6/cacao_2/bin/cacaoadm.bat

Directory Server Enterprise Edition の Sun Java Enterprise System 5インストールの場合は、次の両方のファイルを編集します。

• C:\Program Files\Sun\JavaES5\share\cacao_2\configure.bat

• C:\Program Files\Sun\JavaES5\share\cacao_2\bin\cacaoadm.bat

各ファイルを編集して、各ファイルの先頭に次の行を追加します。

set PERL5LIB=

6920893

Windows インストールで、SASL バインドオプション authid および authzid の値に複数バイト文字が指定されていると、ldapsearch、ldapmodify、ldapcompare、および ldapdelete コマンドが失敗します。コマンドは、生の文字を受け取る代わりに、インストールで使用されているコードページによって不適切に変換された文字を受け取ります。

この変換を防止してコマンドに生の文字を渡すには、次のいずれかのコードページを使用します。

• Windows 西ヨーロッパ言語用コードページ 1252

• Windows 日本語用コードページ 932 (Shift_JIS)

プログラムで解決するには、ldapsearch などのコマンドの fork/exec を行う新しいプログラムを作成し、SASL バインド引数を exec 経由で (したがって、コードページによる変換なしで) 渡します。

6928378

管理ガイドでは、Directory Service Control Center を使用してリフェラルを設定してサフィックスを読み取り専用にできると記述されていますが、これは誤りです。このサフィックスのレプリケーションが有効になっていないと、この機能は Directory Service Control Center に実装されません。