Chapitre 3 Directory Server Bogues résolus et problèmes connus

Ce chapitre contient d'importantes informations, propres au produit, disponibles à la sortie de Directory Server.

Ce chapitre comprend les sections suivantes :

• Bogues résolus dans la version Directory Server 6.3.1

• Problèmes connus et restrictions de Directory Server

Bogues résolus dans la version Directory Server 6.3.1

Cette section répertorie les bogues résolus depuis la dernière version de Directory Server.

6344894

Lorsque vous synchronisez Active Directory sur plusieurs domaines avec Identity Synchronization pour Windows, la synchronisation échoue sur Directory Server en raison des références Active Directory.

6439482

Un problème d'ACI peut permettre aux utilisateurs de deviner les valeurs correctes.

6490419

Un filtre qui utilise un caractère générique pour un attribut de nombre entier peut provoquer des résultats de recherche ldapsearch incohérents.

6557125

Lorsque les serveurs Active Directory ne sont pas disponibles, Directory Server se bloque dans les plug-ins Identity Synchronization pour Windows.

6557128

Lorsque vous vous connectez via un connecteur obsolète, Directory Server s'arrête brutalement dans les plug-ins Identity Synchronization pour Windows.

6557499

Après le déploiement de Directory Server Enterprise Edition, des processus défunts sont créés. Ce problème affecte uniquement la distribution zip sous HP-UX.

6579286

L'outil dsrepair ne fonctionne pas correctement sur les systèmes Microsoft Windows.

6579820

L'outil replcheck ne fonctionne pas correctement sur les systèmes Microsoft Windows.

6586725

La réplication sur SSL peut créer des fuites de mémoire.

6593775

Dans l'onglet Utilisation du suffixe de la console DSCC sur les versions Directory Server Enterprise Edition 6, l'actualisation n'affiche pas tous les suffixes.

6626454

Lorsque vous ajoutez une longue ACI, les versions 6 de Directory Server Enterprise Edition peuvent s'arrêter brutalement.

6632250

Avec les filtres de recherche composites volumineux, les performances de recherche sont médiocres.

6634048

L'utilisation du plug-in de mot de passe réversible (des-plugin) peut provoquer une coupure dans la réplication.

6640464

Directory Server Enterprise Edition version 6 ne prend pas en charge l'utilisation de plusieurs certificats d'autorité de certification avec le même dn dans la base de données de certificats.

6643813

L'utilisation d'un grand nombre de maîtres empêche la surveillance correcte de la réplication.

6645742

L'activation d'une stratégie de mot de passe dans une topologie de réplication incluant à la fois Directory Server Enterprise Edition 5.2 et Directory Server Enterprise Edition 6 provoque un échec de la réplication.

6650039

Une condition de compétitivité peut provoquer un arrêt brutal à la fin de la session de réplication.

6650749

Certaines opérations de maintenance provoquent une récupération de la base de données lorsque le serveur redémarre.

6651645

L'utilisation de pwdReset dans une stratégie de mot de passe empêche la modification du mot de passe via une autorisation proxy.

6663553

Un espace après le guillemet dans une chaîne d'ACI peut provoquer des évaluations incorrectes de l'ACI.

6670977

La console DSCC peut ne pas parvenir à afficher une longue ACI.

6675384

Une CoS complexe peut réduire les performances.

6680718

Droits d'accès insuffisants pendant la rotation des fichiers journaux provoquent un blocage des versions Directory Server Enterprise Edition 6.

6683182

Les stratégies de mot de passe prennent désormais en charge un délai limite de validité du mot de passe de 315 360 000 secondes (un peu moins de 10 ans), au lieu de l'ancien délai de 2 147 483 647 secondes (environ 68 ans).

6683353

Si le code PIN NSS dépasse huit caractères, les versions Directory Server Enterprise Edition 6 ne démarrent pas.

6683818

Une liste de candidats de plus de 2,5 millions d'entrées provoque un arrêt brutal du serveur.

6683870

L'utilisation de DSCC pour modifier un attribut avec une syntaxe binaire endommage la valeur de l'attribut.

6685118

Une condition de compétitivité lors de l'ouverture ou de la fermeture d'une connexion peut provoquer un arrêt brutal des versions Directory Server Enterprise Edition 6 dans connection_getIp_string.

6686199

Si le plug-in d'unicité de l'attribut est configuré mais pas activé, les versions Directory Server Enterprise Edition 6 peuvent s'arrêter brutalement.

6686632

Une condition de compétitivité dans l'évaluation d'ACI peut provoquer un arrêt brutal du serveur d'annuaire.

6687533

Si une opération de maintenance se produit pendant le rognage du journal des modifications (changelog), il peut se produire une panique ou un arrêt brutal de la base de données.

6688454

L'authentification d'intercommunication empêche l'arrêt de ns-slapd.

6688891

Lorsque la stratégie de mot de passe s'exécute en mode de compatibilité, les valeurs de mot de passe s’affichent dans le journal d'audit (auditlog) en clair, quelle que soit la valeur de passwordStorageScheme.

6689454

La restauration d'une sauvegarde contenant un journal changelog volumineux (plus de 30 000 pages de base de données) provoque la journalisation des messages suivants :

DEBUG - conn=-1 op=-1 msgId=-1 - libdb: Lock table is out of available locks ERROR<8232> - Replication - conn=-1 op=-1 msgId=-1 - Internal error Truncate of changelog file failed, error 12 (Not enough space)

6698812

Avec le contrôle Sun Cluster 3.2 sous Solaris 10 AMD64, Directory Server ne démarre pas.

6700232

Une condition de compétitivité entre le rognage du journal changelog et l'opération réalisée sur l'entrée tronquée peut provoquer un blocage du serveur d'annuaire.

6704259

Si la taille du groupe de réplication dépasse 1, la durée d'exécution des opérations répliquées n'est pas calculée correctement.

6704261

Avec une importation à plusieurs passes, l'index peut ne pas être importé correctement.

6705319

Il est impossible de désactiver une référence avec DSCC une fois qu'elle a été activée.

6706009

DSCC ne gère pas correctement les attributs dotés de sous-types.

6707089

Une condition de compétitivité avec une ACI contenant des règles DNS peut provoquer un arrêt brutal de DS.

6707164

Le journal changelog de réplication est vidé après la restauration, avec un message semblable à celui indiqué ci-après.

INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - replica_reload_ruv: Warning: new data for replica does not match the data in the changelog. Recreating the changelog file. This could affect replication with replica's consumers in which case the consumers should be reinitialized.

6708615

Directory Server s'arrête brutalement lorsque vous arrêtez le serveur pendant l'indexation.

6710024

Si Directory Server s'arrête brutalement pendant le contrôle Sun Cluster 3.2, le basculement de cluster est lancé, mais cela prend plus de 4 minutes.

6711123

Si vous mettez rarement à jour les maîtres, les sauvegardes peuvent devenir rapidement obsolètes.

6717507

Dans une configuration de réplication, la suppression d'entrées crée des index VLV incorrects.

6718308

Les messages de restauration de base de données sont incohérents entre DSCC et les journaux des erreurs.

6726890

En présence d'une condition de compétitivité, le journal changelog Directory Server Enterprise Edition 6.3 n'est pas tronqué.

6732563

En·présence·d'une condition de compétitivité, la suppression d'un suffixe peut provoquer une erreur de type Panique de la base de données.

6740791

Lorsque vous affectez une stratégie de mot de passe à l'aide d'une CoS, le serveur d'annuaire risque de ne pas libérer la mémoire.

6750240

Dans les versions Directory Server Enterprise Edition 6, des-plugin.so n'est pas signé.

6754084

La distribution zip fournit JRE 1.5.0_12 et non plus 1.5.0_9 comme dans les versions précédentes.

6756826

Une condition de compétitivité entre la mise à jour et le vidage des pages de base de données peut provoquer un arrêt brutal du serveur d'annuaire, des erreurs de type Panique de la base de données ou la perte des mises à jour.

6759200

Une liaison SASL sur une connexion peut provoquer un arrêt brutal du serveur d'annuaire.

6772870

Les consommateurs peuvent se désynchroniser lorsque ds-polling-thread-count est supérieur à 1 (situation probable sur une machine CMT).

Problèmes connus et restrictions de Directory Server

Les sections suivantes répertorient les problèmes et restrictions connus au moment de la publication.

• Restrictions de Directory Server

• Problèmes connus de la version Directory Server 6.3.1

Restrictions de Directory Server

Ne modifiez pas les droits d’accès aux fichiers manuellement.

Les modifications des droits d’accès aux fichiers pour les fichiers de produit Directory Server Enterprise Edition installés peuvent dans certains cas empêcher le logiciel de fonctionner correctement. Modifiez uniquement les droits d’accès aux fichiers lorsque vous suivez les instructions de la documentation produit, ou les instructions du support Sun.

Pour contourner cette restriction, installez les produits et créez des instances de serveur en tant qu’utilisateur disposant des droits d’accès utilisateur et groupe appropriés.

Ne répliquez pas le suffixe cn=changelog.

Même si rien ne vous empêche de configurer une réplication pour le suffixe cn=changelog, cette opération peut interférer avec la réplication. Ne répliquez pas le suffixe cn=changelog. Le suffixe cn=changelog est créé par le plug-in du journal des modifications rétroactif.

Le cache de base de données peut devenir obsolète après un basculement sur Sun Cluster.

Directory Server prend en charge Sun Cluster 3.2. Si vous exécutez Directory Server sur Sun Cluster et si nsslapd-db-home-directory est configuré pour utiliser un répertoire non partagé, plusieurs instances partagent les fichiers de cache de base de données. Après un basculement, l'instance Directory Server figurant sur le nouveau nœud utilise ses fichiers de cache de base de données, potentiellement obsolètes.

Pour contourner cette restriction, utilisez pour nsslapd-db-home-directory un répertoire partagé ou supprimez systématiquement les fichiers figurant sous nsslapd-db-home-directory au démarrage de Directory Server.

La mauvaise bibliothèque SASL est chargée lorsque LD_LIBRARY_PATH contient /usr/lib.

Lorsque LD_LIBRARY_PATH contient /usr/lib, la mauvaise bibliothèque SASL est utilisée, ce qui entraîne l'échec de la commande dsadm après installation.

Utilisez l'opération de remplacement LDAP pour modifier les attributs cn=config.

Une opération de modification LDAP sur cn=config peut uniquement utiliser la sous-opération de remplacement. Toute tentative d'ajout ou de suppression d'un attribut sera rejetée avec l'erreur 53 DSA refuse de s'exécuter. Alors que Directory Server 5 acceptait l'ajout ou la suppression d'un attribut ou d'une valeur d'attribut, la mise à jour était appliquée au fichier dse.ldif sans aucune validation de valeur, et l'état interne du DSA n'était pas mis à jour tant que le DSA n'était pas arrêté, puis redémarré.

---

Remarque –

L'interface de configuration cn=config est désapprouvée. Lorsque cela est possible, utilisez plutôt la commande dsconf.

---

Pour contourner cette restriction, il est possible de remplacer la sous-opération LDAP de remplacement de la modification par la sous-opération d'ajout ou de suppression. Il n'en résulte aucune perte de fonctionnalité. Par ailleurs, l'état de la configuration du DSA est plus prévisible après la modification.

Sous Windows, Directory Server ne permet pas d'utiliser Start TLS par défaut.

Ce problème affecte les instances de serveur sous Windows uniquement. Ce problème est dû aux performances des systèmes fonctionnant sous Windows lors de l'utilisation de Start TLS.

Pour résoudre ce problème, veillez à utiliser l'option -P avec la commande dsconf pour vous connecter en utilisant directement le port SSL. Si votre connexion réseau est déjà sécurisée, vous pouvez également envisager d'utiliser l'option -e avec la commande dsconf. Cette option vous permet de vous connecter au port standard sans demander de connexion sécurisée.

Les vecteurs de mise à jour de la réplication peuvent référencer les serveurs supprimés.

Il est possible qu'après la suppression d'une instance Directory Server répliquée d'une topologie de réplication, les vecteurs de mise à jour de la réplication continuent de référencer cette instance. Vous pouvez ainsi rencontrer des références à des instances qui n'existent plus.

Le conteneur d'agent commun ne démarre pas à l'amorçage.

Pour résoudre ce problème lors de l'installation à partir de packages natifs, utilisez la commande cacaoadm enable en tant que root.

Pour résoudre ce problème sous Windows, sélectionnez Se connecter dans les propriétés du service du conteneur d'agent commun, saisissez le mot de passe de l'utilisateur exécutant ce service, puis appuyez sur Appliquer. Si vous n'avez pas déjà appliqué ce paramètre, vous recevrez un message précisant que le compte de user name a reçu l'autorisation de connexion en tant que service.

max-thread-per-connection-count n'est pas utile sous Windows.

La propriété de configuration Directory Server max-thread-per-connection-count ne s'applique pas aux systèmes Windows.

Un bogue de Microsoft Windows montre le type de démarrage du service comme étant Désactivé.

Un bogue de Microsoft Windows 2000 Standard Edition provoque l'affichage du service Directory Server comme étant désactivé après la suppression de ce service de la console MMC (Microsoft Management Console).

La console n'autorise pas la connexion administrateur sous Windows XP

La console n'autorise pas l'administrateur à se connecter au serveur sous Windows XP.

Pour résoudre ce problème, le compte invité doit être désactivé et la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest doit être définie sur 0.

Modifications en direct des configurations d'index

Si vous modifiez une configuration d'index pour un attribut, toutes les recherches incluant cet attribut comme filtre sont traitées comme non indexées. Pour vérifier que les recherches incluant cet attribut sont correctement traitées, utilisez les commandes dsadm reindex ou dsconf reindex pour régénérer des index existants à chaque modification d'une configuration d'index pour un attribut. Pour en savoir plus, reportez-vous au Chapitre 13, Directory Server Indexing du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

La console ne vous permet pas de créer une instance Directory Server ou Directory Proxy Server si le mot de passe du gestionnaire d'annuaire contient un espace. (6830908)

Si le mot de passe du gestionnaire d'annuaire contient un espace, le compte de ce gestionnaire ne peut pas créer d'instance Directory Server ou Directory Proxy Server à l'aide de la console.

De même, la commande dsccsetup ads-create —w fichier_mot-de-passe échoue si le fichier de mot de passe contient un espace.

La livraison d'ensemble de patchs DSEE6.0 ne prend pas en charge SMF. (6886089)

Dans les instances installées à l'aide de la distribution zip de DSEE 6.0 et versions supérieures, les commandes dsadm et dpadm ne prennent pas en charge l'utilitaire de gestion des services (Service Management Facility, SMF). Si l'instance est enregistrée manuellement auprès de SMF, elle est contrôlée par SMF. Par conséquent, si cette instance est arrêtée via la commande dsadm ou dpadm, ou via DSCC, SMF la redémarre.

La fonction SMF est entièrement prise en charge uniquement dans la distribution native de DSEE versions 6.0 et ultérieures.

Problèmes connus de la version Directory Server 6.3.1

Cette section répertorie les problèmes connus au moment de la sortie de la version Directory Server 6.3.1.

2113177

L'arrêt brutal de Directory Server a été constaté à l'arrêt du serveur lors de l'exécution d'une exportation en ligne, d'une sauvegarde, d'une restauration ou d'une création d'index.

2129151

Le Directory Server se bloque lors de l'exécution de la commande stop-slapd .

2133169

Lorsque des entrées sont importées de LDIF, Directory Server ne génère pas les attributs createTimeStamp et modifyTimeStamp.

L'importation LDIF est optimisée en termes de vitesse. Le processus d'importation ne génère pas ces attributs. Pour contourner cette restriction, ajoutez les entrées, au lieu de les importer. Vous pouvez également prétraiter le LDIF pour ajouter les attributs avant de procéder à l'importation.

2151022

Si les certificats contiennent des noms traduits, il est impossible de supprimer correctement le certificat. De plus, la liste ne peut pas être créée correctement.

4979319

Certains messages d'erreur de Directory Server font référence au Manuel des erreurs de base de données, qui n'existe pas. Si vous ne comprenez pas la signification d'un message d'erreur critique non documenté, contactez le support technique de Sun.

6358392

Lors de la suppression du logiciel, la commande dsee_deploy uninstall n'arrête ni ne supprime aucune instance de serveur existante.

Pour contourner cette restriction, suivez les instructions du Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide.

6401484

La commande dsconf accord-repl-agmt ne peut pas aligner les propriétés d'authentification de l'accord de réplication lorsque l'authentification du client SSL est utilisée sur le suffixe de la destination.

Pour résoudre ce problème, enregistrez le certificat fournisseur dans la configuration du consommateur, en procédant comme suit. Les exemples de commandes présentés s'appuient sur deux instances sur le même hôte.

1. Exportez le certificat vers un fichier.

   L'exemple suivant présente comment exécuter l'exportation des serveurs dans /local/supplier et /local/consumer.

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. Échangez les certificats client et fournisseur.

   L'exemple suivant présente comment exécuter l'échange de serveurs dans /local/supplier et /local/consumer.

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. Ajoutez l'entrée du client SSL sur le consommateur, sans oublier le certificat supplierCert sur un attribut usercertificate;binary avec la valeur subjectDN correcte.

4. Ajoutez l'identité (DN) du gestionnaire de réplication sur le consommateur.

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. Mettez à jour les règles dans /local/consumer/alias/certmap.conf.

6. Redémarrez les serveurs avec la commande dsadm start.

6410741

Directory Service Control Center trie les valeurs sous forme de chaînes. Par conséquent, lorsque vous triez les numéros de Directory Service Control Center, ceux-ci sont triés comme s’ils étaient des chaînes.

Un tri par ordre croissant de 0, 20 et 100 résultats dans la liste 0, 100, 20. Un tri par ordre décroissant de 0, 20 et 100 résultats dans la liste 20, 100, 0.

6412131

Les noms de certificat contenant des caractères multi-octets s'affichent sous forme de points dans le résultat de la commande dsadm show-cert instance-path valid-multibyte-cert-name.

6416407

Directory Server n'analyse pas correctement les DN de la cible ACI contenant des guillemets ou des apostrophes. Les exemples de modifications suivants provoquent des erreurs de syntaxe :

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

Il a été toutefois constaté que les exemples contenant plusieurs apostrophes sont correctement analysés.

6428448

Il a été constaté que la commande dpconf affiche Enter "cn=Directory Manager" password: à deux reprises lorsqu'elle est utilisée en mode interactif.

6446318

Sous Windows, l'authentification SASL échoue à cause des deux raisons suivantes :

• Utilisation du chiffrement SASL.

  Pour éviter le problème généré par le chiffrement SASL, arrêtez le serveur, modifiez dse.ldif et réinitialisez SASL comme suit.

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• L'installation utilise des packages natifs.

  Pour éviter les problèmes générés par l'installation de packages natifs, définissez SASL_PATH to install-dir\share\lib.

6449828

Directory Service Control Center n'affiche pas correctement des valeurs binaires userCertificate.

6461602

dsrepair fix-entry ne fonctionne pas si la source est un objet tombstone et si la cible est une entrée (suppression non répliquée).

Solution : utilisez la commande dsrepair delete-entry pour supprimer l'entrée de manière explicite. Puis utilisez la commande dsrepair add-entry pour ajouter l'objet tombstone.

6468074

Le nom de l'attribut de configuration passwordRootdnMayBypassModsCheck n'indique pas forcément que le serveur autorise désormais un administrateur à contourner la vérification de la syntaxe du mot de passe lors de la modification du mot de passe d'un autre utilisateur si cet attribut est configuré.

6469154

Sous Windows, le résultat des commandes dsadm et dpadm , ainsi que les messages d'aide, ne sont pas localisés en chinois simplifié et en chinois traditionnel.

6469296

Directory Service Control Center vous permet de copier la configuration d'un serveur existant, mais pas de copier la configuration du plug-in.

6469688

Il a été constaté sous Windows que la commande dsconf ne parvient pas à importer le LDIF si le nom de fichier LDIF contient des caractères à deux octets.

Pour résoudre ce problème, modifiez le nom de fichier LDIF de manière à ce qu'il ne contienne plus de caractères à deux octets.

6478568

La commande dsadm enable-service ne fonctionne pas correctement avec Sun Cluster.

6480753

Il a été constaté des blocages de la commande dsee_deploy pendant l'enregistrement du composant Monitoring Framework dans le conteneur d'agent commun.

6482378

L'attribut SSLCiphers pris en charge pour la DSE racine répertorie des chiffrements de cryptage NULL qui ne sont pas réellement pris en charge par le serveur.

6483290

Ni Directory Service Control Center ni la commande dsconf ne vous permettent de configurer la façon dont Directory Server gère les signatures de plug-in incorrectes. Le comportement par défaut consiste à vérifier les signatures de plug-in mais à ne pas exiger qu'elles soient valides. Directory Server enregistre dans le journal un avertissement signalant des signatures incorrectes.

Pour modifier le comportement du serveur, définissez les attributs ds-require-valid-plugin-signature et ds-verify-valid-plugin-signature sur cn=config. Les deux attributs sont définis sur on ou off.

6485560

Directory Service Control Center ne vous permet pas de rechercher un suffixe configuré pour renvoyer une référence à un autre suffixe.

6488197

Après installation et après création de l’instance de serveur sur les systèmes Windows, les droits d’accès aux fichiers d’installation et d’instance de serveur permettent l’accès à tous les utilisateurs.

Pour résoudre ce problème, modifiez les droits sur les installations et les dossiers d’instance de serveur.

6488284

Pour la plate-forme HP-UX, vous ne pouvez pas accéder aux pages de manuel Directory Server Enterprise Edition des sections suivantes à partir de la ligne de commande :

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

Pour contourner ce problème, accédez aux pages de manuel dans Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference. Vous pouvez télécharger un PDF de toutes les pages de manuel Directory Server Enterprise Edition.

6490557

Une tentative de saisir d'un modèle de CoS non valide entraîne un arrêt brutal des versions de Directory Server 6.

6490653

Lorsque vous activez le mode de référence pour Directory Server à l'aide de Directory Service Control Center via Internet Explorer 6, le texte de la fenêtre de confirmation du mode de référence est tronqué.

Pour résoudre ce problème, utilisez un autre navigateur comme le navigateur WebMozilla.

6491849

Après la mise à niveau d'une réplique et la migration de serveur vers de nouveaux systèmes, vous devez recréer des accords de réplication pour utiliser de nouveaux noms d'hôtes. Directory Service Control Center vous permet de supprimer les accords de réplication existants mais ne vous permet pas de créer de nouveaux accords.

6492894

Sous Red Hat, la commande dsadm autostart ne garantit pas toujours le démarrage des instances de serveur à l'initialisation.

6494997

La commande dsconf ne vous propose pas le paramètre dsSearchBaseDN approprié lors de la configuration de DSML.

6495004

Sous Windows, il a été constaté que Directory Server ne démarre pas lorsque le nom de base de l'instance est ds.

6497053

Pour l'installation depuis une distribution zip, la commande dsee_deploy n'offre aucune option de configuration des ports de la carte pour le SNMP et le flux.

Pour contourner ce problème :

1. Activez le plug-in de surveillance à l'aide de la console Web ou de dpconf .

2. Utilisez cacaoadm set-param pour modifier snmp-adaptor-port, snmp-adaptor-trap-port et commandstream-adaptor-port.

6497894

La commande dsconf help-properties est définie pour fonctionner correctement après la création d'une instance uniquement. De plus, la liste appropriée de valeurs pour la commande dsml-client-auth-mode doit être client-cert-first | http-basic-only | client-cert-only.

6500936

Dans le patch natif, la localisation du calendrier miniature servant à trouver des dates pour les journaux d'accès de filtrage n'est pas correcte pour le chinois traditionnel.

6501320

Lorsque vous créez un index sur un schéma personnalisé, une modification au niveau du suffixe du paramètre all-ids-threshold n'est pas complètement mise en oeuvre par le DSCC.

6503509

Certains résultats affichés par les commandes dsccmon, dsccreg, dsccsetup et dsccrepair ne sont pas localisés.

6503546

Après un changement de langue du système et le démarrage de DSCC, le message de la fenêtre pop-up n'est pas affiché dans la langue sélectionnée.

6504180

Dans Solaris 10, la vérification du mot de passe échoue pour les instances dont le DN contient des caractères multi-octets, en anglais et en japonais.

6504549

La découverte d'une instance de Directory Server par le composant Java Enterprise System Monitoring Framework échoue si le processus ns-slapd a été lancé à distance à l'aide de rsh.

6506019

Sous HP-UX, le fait de séparer gdb d'un processus ns-slapd en cours d'exécution met fin à ce processus et provoque un vidage core dump.

6507312

Sous HP-UX, des applications utilisant des bibliothèques NSPR s'arrêtent brutalement après une recherche à l'aide de la commande gdb. Le problème survient lorsque vous associez la commande gdb à une instance Directory Server en cours d'exécution et que vous utilisez la command gdb quit.

6520646

En cliquant sur Parcourir dans l'aide en ligne DSCC cette dernière ne s'affiche pas lorsque vous utilisez Internet Explorer.

6527999

L'API de plug-in Directory Server comprend les fonctions slapi_value_init() (), slapi_value_init_string()() et slapi_value_init_berval() ().

Ces fonctions exigent toutes une fonction « done » pour libérer des éléments internes. Cependant, il manque une fonction slapi_value_done() () à l'API publique.

6539650

Si le chemin d'une instance Directory Server contient des caractères multioctets, la création de cette instance peut échouer dans DSCC, ou bien elle ne pourra pas démarrer ni réaliser d'autres tâches standard.

Vous pouvez résoudre certains de ces problèmes en utilisant le jeu de caractères qui a servi à créer l'instance. Définissez le jeu de caractères à l'aide des commandes suivantes :

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

Pour éviter ce type de problème, utilisez uniquement des caractères ASCII dans le chemin de l'instance.

6541040

Si vous modifiez la stratégie de mots de passe à l'aide de Directory Service Control Center, les attributs n'ayant pas changé peuvent être réinitialisés sans que vous le sachiez.

L'utilisation de Directory Service Control Center pour gérer la stratégie de mots de passe par défaut n'entraîne aucune erreur. Toutefois, l'utilisation de Directory Service Control Center pour gérer des stratégies de mots de passe spécifiques peut entraîner la réinitialisation des attributs non modifiés.

6542857

Lorsque vous utilisez une ServiceManagement Facility (SMF) dans Solaris 10 pour activer une instance de serveur, l'instance ne démarre pas toujours lorsque vous réinitialisez le système et peut retourner l'erreur suivante :

svcadm: Instance "svc:/instance_path" is in maintenance state.

Pour contourner ce problème, employez un utilisateur local pour créer les serveurs Directory Server et Directory Proxy Server.

6547992

Sous HP-UX, les commandes dsadm et dpadm peuvent ne pas trouver la bibliothèque partagée libicudata.sl.3.

Pour résoudre ce problème, définissez la variable SHLIB_PATH.

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

Lorsque DSCC est utilisé avec Tomcat 5.5 et JDK 1.6, une erreur peut se produire.

Pour éviter cette erreur, utilisez JDK 1.5 à la place.

6551672

Sun Java System Application Server intégré à Solaris 10 ne peut pas créer de connexion client SASL pour le mécanisme d'authentification et ne communique pas avec le conteneur d'agent commun.

Pour contourner le problème, modifiez la JVM que le serveur d'application utilise, en ouvrant le fichier appserver-install-path/appserver/config/asenv.conf et en remplaçant l'entrée AS_JAVA par AS_JAVA="/usr/java" . Redémarrez le domaine de votre serveur d'application.

6551685

La commande dsadm autostart peut faire échouer l'authentification LDAP native lorsque vous réinitialisez le système.

Pour résoudre ce problème, inversez l'ordre des scripts de réinitialisation. L'ordre par défaut est /etc/rc2.d/S71ldap.client et /etc/rc2.d/S72dsee_directory .

6557480

Sous Solaris 9 et Windows, lorsque vous accédez à l'aide en ligne à partir de la console configurée avec le fichier Web archive (WAR), une erreur s'affiche.

6559825

Si vous modifiez le numéro de port à l'aide de DSCC sur un serveur comportant des suffixes répliqués, des problèmes surviennent lors de la définition d'un contrat de réplication entre les serveurs.

6571672

Si le système n'a pas de fonction de décompression (unzip), dsee_deploy n'installe aucun produit.

6583131

Pour utiliser une version traduite de Directory Service Control Center, appliquer le patch de traduction Directory Server Enterprise Edition 6.3.1 avant le patch de base Directory Server Enterprise Edition 6.3.1 ou exécutez les commandes suivantes dans l'ordre indiqué.

# dsccsetup console-unreg # dsccsetup console-reg

Il est inutile d'exécuter les commandes dsccsetup console-unreg et console reg si vous appliquez le patch de traduction Directory Server Enterprise Edition 6.3.1 avant le patch Directory Server Enterprise Edition 6.3.1.

Avec l'installation par zip, le patch de traduction Directory Server Enterprise Edition 6.3.1 n'est pas automatiquement appliqué à Directory Service Control Center. Pour corriger le problème, annulez le déploiement du fichier WAR, puis redéployez-le.

6587801

Directory Service Control Center et la commande dsadm des versions 6.1 ou ultérieures n'affichent pas les certificats CA (Certificate Authority, autorité de certification) intégrés des instances Directory Server créées à l'aide de la commande dsadm avec la version 6.0.

Pour résoudre ce problème :

Ajoutez le module 64 bits avec la version 64 bits de modutil :

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6594285

Directory Service Control Center n'intègre aucune fonction RBAC.

6595805

Si vous utilisez un codage autre qu'UTF-8 et si le chemin d'installation contient des caractères non ASCII, l'outil dsee_deploy ne peut pas configurer Java Enterprise System Monitoring Framework dans le conteneur d'agent commun.

6630897

Le résultat de la commande dsadm show-*-log l n'inclut pas les lignes correctes. Il peut inclure les dernières lignes d'un précédent journal à rotation.

6630924

Le résultat de la commande dsadm show-*-log est incorrect si certaines lignes du journal contiennent plus de 1 024 caractères.

6634397

Pour les serveurs enregistrés dans DSCC pour une écoute sur toutes les interfaces (0.0.0.0), si vous essayez d'utiliser dsconf pour modifier l'adresse d'écoute des serveurs, des erreurs DSCC surviennent.

Pour que le port SSL uniquement et une adresse d'écoute sécurisée soient configurés avec Directory Server Enterprise Edition 6.3, procédez comme suit :

1. Annulez l'enregistrement du serveur dans DSCC :

   dsccreg remove-server /local/myserver

2. Désactivez le port LDAP :

   dsconf set-server-prop ldap-port:disabled

3. Configurez une adresse d'écoute sécurisée :

   dsconf set-server-prop secure-listen-address:IPaddress

   dsadm restart /local/myserver

4. Enregistrez le serveur à l'aide de DSCC. Dans l'assistant d'enregistrement du serveur, indiquez l'adresse IP du serveur. Cette opération est irréversible.

6637242

Une fois que vous avez déployé le fichier WAR, le bouton View Topology (afficher la topologie) ne fonctionne pas toujours. Une exception Java, basée sur org.apache.jsp.jsp.ReplicationTopology_jsp, se produit parfois._jspService

6638990 / 6641357

La commande d'importation en masse ldapmodify peut endommager les données existantes. La spécification de l'option -B suffixe provoque la suppression de toutes les données existantes dans le suffixe.

La page de manuel ldapmodify est par conséquent incorrecte lorsqu'elle indique que l'importation en masse avec la commande ldapmodify n'efface pas les entrées existantes.

6640755

Sous Windows, dans l'environnement linguistique coréen, la commande dsadm start n'affiche pas le journal des erreurs nsslapd lorsque ns-slapd ne se lance pas.

6644161

En coréen, un clic sur le bouton Supprimer l'attribut dans la section Attributs chiffrés de Directory Service Control Center affiche le message d'erreur incomplet suivant :

You have chosen to remove

Le message doit être le suivant :

You have chosen to remove {0} from the list of encrypted attributes. In order for the database files to reflect the configuration and to work properly you must Initialize the Suffix. Do you want to continue?

6648240

La modification ou la suppression d'un attribut dans la table Additional Indexes (index supplémentaires) de l'onglet Indexes (index) dans Directory Service Control Center peut entraîner l'affichage d'informations périmées jusqu'à l'actualisation du navigateur.

6650105

Si vous employez la distribution zip Windows 2000 avec le serveur d'application Tomcat 5.5 et Internet Explorer 6 : à l'étape 3 « Affectation de droits d'accès » dans l'assistant « Nouvelle instruction de contrôle d'accès DS » de Directory Service Control Center, un clic sur le bouton Supprimer dans la zone de liste « Affectez des droits aux utilisateurs spécifiés » peut provoquer une exception semblable à la suivante :

The following error has occurred:
Handler method "handleAssignACIToDeleteButtonRequest" not implemented,
or has wrong method signature
Show Details
Hide Details
com.iplanet.jato.command.CommandException: Handler method
"handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature
     com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute
(DefaultRequestHandlingCommand.java:167)
     com.iplanet.jato.view.RequestHandlingViewBase.handleRequest
(RequestHandlingViewBase.java:308)
     com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)

6653574

La réplication d'un maître Directory Server 6.X vers un maître 5.1 ne fonctionne pas correctement.

6658483

En chinois traditionnel, dans Directory Service Control Center, la traduction de la chaîne « Initialiser le suffixe à l'aide des données... » est assez confuse, dans l'onglet Paramètres de réplication.

6660462

Avant la mise à niveau de Directory Server Enterprise Edition 6.2 vers Directory Server Enterprise Edition 6.3, vous devez arrêter manuellement ntservice pour chaque instance de Directory Server ou Directory Proxy Server. Toutefois, la commande dsee_deploy n'identifie pas les instances Directory Server ou Directory Proxy Server en cours d'exécution sous Microsoft Windows 2000.

Avec la distribution zip pour Microsoft Windows 2000, lors de la mise à niveau, la commande dsee_deploy peut échouer. Le message d'erreur est le suivant :

erreur : impossible de supprimer l'ancien C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe

Cela indique qu'une instance de Directory Server ou Directory Proxy Server est toujours en cours d'exécution. Pour arrêter la ou les instances, sous Microsoft Windows 2000, cliquez sur Démarrer > Paramètres > Panneau de configuration, puis sélectionnez Outils d'administration et Services. Pour chacun des services Directory Server ou Directory Proxy Server affichés dans la colonne de droite, cliquez avec le bouton droit sur l'instance et sélectionnez Arrêter.

6663685

Dans Directory Service Control Center, l'opération Copier la configuration de suffixe peut générer des fenêtres contextuelles erronées.

6687375

DSCC ne peut pas toujours récupérer les certificats d'agent qu'il crée. DSCC tente de stocker le certificat sous 'agent-profile' dans le registre DSCC. Toutefois, si la valeur ldap-port du registre DSCC est liée à l'interface de rebouclage (loopback), le certificat ne peut pas être stocké. Par contre, DSCC peut lire le registre DSCC car, de par sa conception, il doit utiliser localhost pour communiquer avec ce registre.

Pour contourner cette restriction, utilisez la commande ldapmodify pour créer agent-profile dans le registre DSCC.

6689290

Une tentative d'arrêt/démarrage/redémarrage du serveur via une version traduite de DSCC peut provoquer l'affichage de messages traduits illisibles.

Pour résoudre le problème, modifiez le fichier cacao.properties pour supprimer l'indicateur -Dfile.encoding=utf-8, puis redémarrez cacao avec la langue de votre choix.

6696857

Si une instance Directory Proxy Server comporte un seul port/socket d'écoute sécurisée activé via DSCC et si le certificat serveur n'est pas celui par défaut (par exemple, s'il s'agit d'un certificat certificate-Authority-signed), DSCC ne peut pas être utilisé pour gérer l'instance.

Pour résoudre ce problème, annulez l'enregistrement de l'instance DPS, puis recommencez l'enregistrement. Une autre solution consiste à mettre à jour les informations relatives au certificat de l'utilisateur pour l'instance DPS dans le registre DSCC à l'aide du certificat du serveur.

6703850

Dans les versions Directory Server 5 et Directory Server Enterprise Edition 6, vous pouvez constater des problèmes de performances si vous utilisez le système de fichiers Veritas (VxFS) version 4.1 et 5.0 sous Solaris 9 et Solaris 10 (SPARC ou x86). Ce problème de performances concerne l'appel système fdsync et affecte notamment la gestion des points de contrôle Directory Server. Ce problème est traité avec la fonction Solaris VMODSORT. Pour en savoir plus, reportez-vous à http://sunsolve.sun.com/search/document.do?assetkey=1-66-201248-1.

Vous pouvez constater un problème de performances (CR 6703850) dans Directory Server Enterprise Edition 6 si vous utilisez le système de fichiers Veritas avec la fonction VMODSORT. Ce problème se produit lorsque vous ajoutez une page à la fin du fichier (par exemple, id2entry.db3). Cette erreur conduit l'appel système ftruncate à utiliser autant de ressources qu'avec le système de fichiers Veritas sans fonction VMODSORT.

6705472

Les stratégies de mot de passe mesurent la longueur des mots de passe en nombre d'octets ; un mot de passe contenant des caractères multioctets peut donc répondre à la stratégie de mot de passe même s'il contient moins de caractères que le minimum spécifié par cette stratégie. Par exemple, un mot de passe de 7 caractères comprenant un caractère sur 2 octets satisfait une stratégie spécifiant une longueur minimale de mot de passe de 8 caractères.

6707789

Dans la page de manuel traitant de la commande modrate, l'exemple 1 contient des erreurs de syntaxe. L'exemple suivant est correct :

modrate -D uid=hmiller,ou=people,dc=example,dc=com -w hillock -b "uid=test%d,ou=test,dc=example,dc=com" \ -C 3 -r 100 -M 'description:7:astring'

6712064

La propriété nsslapd-groupevalsizelimitis n'est pas documentée. La description de cette propriété est la suivante.

NOM

nsslapd-groupevalsizelimit : nombre maximal de membres de groupe statique pour l'évaluation d'une ACI.

DESCRIPTION

Définit le nombre maximal de membres que peut contenir un groupe statique (en incluant les membres de ses sous-groupes) pour l'évaluation d'une ACI.

DN d'entrée

cn=config

Plage valide

0 jusqu'à la valeur entière 64 bits maximale.

La valeur -1 signifie un nombre infini.

Valeur par défaut

5000

Syntaxe

Nombre entier

Exemple

nsslapd-groupevalsizelimit: 5000

ATTRIBUTS

Reportez-vous à la page de manuel traitant des attributs (5) pour consulter la description des attributs suivants :

TYPE D'ATTRIBUT	VALEUR D'ATTRIBUT
Disponibilité	SUNWldap-directory
Niveau de stabilité	Obsolète : Suppression prévue après cette version

6720595

Sous UNIX, une tentative de modification du chemin d'un fichier journal avec dsconf set-log-prop ou DSCC échoue si le nouveau chemin du fichier journal n'existe pas déjà.

6722534

La valeur de minheap n'est pas décrite correctement dans Référence des pages de manuel Sun Java System Directory Server Enterprise Edition 6.3. La valeur de minheap est égale au double de la quantité de mémoire de tas utilisée par le serveur au démarrage.

6723208

Toute tentative de modification d'une valeur d'attribut contenant un retour chariot provoque une corruption de la valeur.

6723590

En raison d'une corruption potentielle de la base de données, présente mais non détectée dans la version 6.2, veillez, avant la mise à niveau de Directory Server Enterprise Edition 6.2 vers 6.3.1, à reconstruire la base de données en l'exportant vers un fichier LDIF que vous réimporterez ensuite. Dans un environnement répliqué, reconstruisez ou réinitialiser tous les serveurs. Les opérations d'exportation, importation et initialisation des serveurs dans un environnement répliqué sont décrites dans le Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

---

Remarque –

Cela s'applique uniquement dans le cas d'une mise à niveau depuis Directory Server Enterprise Edition 6.2. Cela ne concerne pas la mise à niveau depuis les versions 6.0, 6.1 ou 6.3.

---

6725346

Les noms des bases de données peuvent contenir uniquement des caractères alphanumériques ASCII (7 bits), des tirets (-) et le signe underscore (_). Directory Server n'accepte pas les caractères multi-octets (tels que les jeux de caractères chinois ou japonais) dans les chaînes pour les noms de bases de données, de fichiers et de chemins. Pour résoudre ce problème lors de la création d'un suffixe de Directory Server qui a des caractères multi-octets, indiquez un nom de base de données sans caractères multi-octets. Lors de la création d'un suffixe sur la ligne de commande, par exemple, définissez de façon explicite l'option --db-name de la commande dsconf create-suffix.

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

N'utilisez pas le nom de base de données par défaut pour le suffixe. N'utilisez pas de caractères multi-octets pour le nom de la base de données.

6742347

Directory Server Enterprise Edition 6 ne s'arrête pas de façon normale lorsque vous arrêtez Windows s'il est enregistré comme service. Au redémarrage du système, le message suivant est inscrit dans le journal des erreurs :

WARNING<20488> - Backend Database - conn=-1 op=-1 msgId=-1 - Detected Disorderly Shutdown last time Directory Server was running, recovering database.

Pour contourner ce problème, arrêtez manuellement le service Directory Server avant l'arrêt ou le redémarrage.

Pour arrêter les instances sous Microsoft Windows, sélectionnez Démarrer > Paramètres > Panneau de configuration, puis choisissez Outils d'administration et Services. Pour chacun des services Directory Server affichés dans la colonne de droite, cliquez avec le bouton droit sur l'instance et sélectionnez Arrêter. Vous pouvez aussi exécuter cette commande :

$ dsadm.exe stop instance-path

6750837

La spécification des lecteurs réseau sous Microsoft Windows fait la distinction majuscules/minuscules. C'est pourquoi l'utilisation, par exemple, de C:/ et c:/ dans les commandes d'administration de DSEE peut entraîner l'échec de la réplication après redémarrage des maîtres. Pour résoudre ce problème, utilisez 'DSEE_HOME/ds6/bin/dsconf accord-repl-agmt' pour corriger le contrat de réplication.

6751354

La spécification des lecteurs réseau sous Microsoft Windows fait la distinction majuscules/minuscules. C'est pourquoi l'utilisation, par exemple, de C:/ et c:/ dans les commandes d'administration de DSEE peut produire divers messages d'erreur comme ce qui suit :

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

Pour éviter ces avertissements, veillez à utiliser C:/ en permanence.

6752475

Vous pouvez constater des erreurs de la base de données back-end sous Windows 2000. Ce problème est uniquement propre à Microsoft Windows. Lorsqu'il se produit, les messages d'erreur suivants sont ajoutés au journal des erreurs :

ERROR<20742> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD MAP 1, err=5 ERROR<20741> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD EV 1, err=5

Cette erreur est généralement sans conséquences, mais peut, à de rares occasions, provoquer un arrêt brutal (6798026) lorsqu'une instance générée dynamiquement par un utilisateur (administrateur ou autre) est en conflit avec une instance générée dynamiquement par un autre utilisateur (service Windows, administrateur ou autre utilisateur).

Pour éviter ce problème dans l'environnement de production, enregistrez toutes les instances en tant que services.

Dans un environnement de test, vous pouvez, si aucune instance n'est démarrée comme service Windows, contourner le problème en veillant à ce que les nouvelles instances soient démarrées par le même utilisateur. Si une instance a été démarrée comme service Windows, la seule solution consiste à démarrer les nouvelles instances via une connexion Bureau à distance (rdesktop).

6752625

L'aide en ligne de DSCC peut renvoyer à des pages Web inconnues. En particulier, certains menus d'assistant peuvent suggérer ce qui suit :

For more information about data source configuration, see the "Sun Java System Directory Server Enterprise Edition Reference."

La sélection du lien vers le document de référence DSEE produit un message d'erreur.

Pour résoudre ce problème, sélectionnez le lien avec le troisième bouton de la souris et sélectionnez la commande Ouvrir le lien dans une nouvelle fenêtre dans le menu contextuel. Le document sélectionné apparaît dans la nouvelle fenêtre du navigateur.

6753020

Dans une configuration de réplication multimaître, la réplication fonctionne correctement depuis les versions Directory Server 6 vers des maîtres Directory Server 5.2 (avec un maximum de quatre serveurs).

6753742

Dans une configuration de réplication multimaître, la migration des maîtres de JES 4 vers Directory Server 6.3 peut échouer. Par exemple, le message d'erreur suivant peut s'afficher après la réalisation de l'étape 6 de la procédure Migrating the Masters du Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide :

INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - _replica_configure_ruv: failed to create replica ruv tombstone entry (suffix); LDAP error - 53

Pour contourner ce problème, procédez comme suit :

1. Arrêtez tous les maîtres JES 4.

2. Modifiez manuellement le fichier de configuration dse.ldif pour remplacer nsslapd-readonly: on par nsslapd-readonly: off.

3. Exécutez la commande de migration dsmig migrate-config.

6755852

Les tentatives d'installation de l'ensemble de patch DSEE6.3 (et supérieur) sur un système Windows en japonais échouent systématiquement lors du déploiement de JESMF dans Cacao, avec des résultats proches de ce qui suit :

Deploying JESMF in Cacao... ## Failed to run install-path/dsee6/cacao_2/bin/cacaoadm.bat deploy install-path/dsee6/mfwk/xml/com.sun.mfwk.xml #### #### Cannot execute command deploy: The connection has been closed by the server . #### ## Exit code is 1 Failed to register DS in JESMF. Error: Cannot register mfwk into cacao framework:

Procédez comme suit pour terminer l'installation après l'échec :

1. Ajoutez ce qui suit à mfwk.properties pour démarrer Cacao.

   com.sun.mfwk.agent.objects=false

2. Exécutez la commande suivante pour redémarrer Cacao.

   cacaoadm start

   Vérifiez que Cacao continue à s'exécuter.

3. Exécutez les deux commandes suivantes :

   $ dsccsetup mfwk-unreg $ dsccsetup mfwk-reg -t

4. Exécutez la commande suivante pour vérifier que mfwk est correctement enregistré dans l'infrastructure Cacao.

   $ install-path/dsee6/cacao_2/bin/cacaoadm list-modules

   Si mfwk est correctement enregistré, la commande renvoie les résultats suivants :

   List of modules registered: com.sun.cacao.agent_logging 1.0 com.sun.cacao.command_stream_adaptor 1.0 com.sun.cacao.efd 2.1 com.sun.cacao.instrum 1.0 com.sun.cacao.invoker 1.0 com.sun.cacao.mib2simple 1.0 com.sun.cacao.rmi 1.0 com.sun.cacao.snmpv3_adaptor 1.0 com.sun.cmm.ds 1.0 com.sun.directory.nquick 1.0 com.sun.mfwk 2.0

5. Copiez les deux fichiers suivants vers install-path /dsee6/bin :

   installer-path\DSEE_ZIP_Distribution\dsee_deploy.exe installer-path\DSEE_ZIP_Distribution\dsee_data\listrunnings.exe

6756152/2168088

Les commandes LDAP ne fonctionnent pas sous Windows (avec IPv6).

6772760

Toute tentative pour arrêter le serveur immédiatement après son démarrage peut provoquer un arrêt brutal dans les versions DSEE 6.

6772879

La stratégie de mot de passe Directory Server Enterprise Edition 5.x gère les attributs avec le modèle d'appellation password*. La stratégie de mot de passe Directory Server Enterprise Edition 6.x gère les attributs avec le modèle d'appellation pwd*. Lors de l'exécution en mode de compatibilité Directory Server Enterprise Edition (pour que les attributs des deux stratégies soient gérés), si vous désactivez une fonction de stratégie de mot de passe, certaines valeurs des attributs apparentés peuvent être différentes entre la version 5.x et la version 6.x. Par exemple, si passwordUnlock est configuré sur off, la valeur pwdLockoutDuration peut être 0 alors même que vous définissez passwordLockoutDuration sur <>0.

6776034

L'agent DSCC ne peut pas être enregistré dans CACAO sous Solaris 9. Si le package SUNWxcu4 manque au système, la commande DSEE_HOME/dscc6/bin/dsccsetup cacao-reg échoue avec l'erreur Échec de configuration de Cacao.

6777338

Dans le cas d'une migration de réplication multimaître de Directory Server 5.2 vers Directory Server 6.3, la section Manual Reset of Replication Credentials du Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide n'est pas complète. La procédure vous demande d'utiliser la commande suivante :

dsconf set-server-prop -h host -p port def-repl-manager-pwd-file:filename

Vous devez également exécuter la commande suivante, qui n'est pas documentée :

dsconf set-repl-agmt-prop -p port_master1 replicated_suffix master2:port_master2 auth-pwd-file:filename

La commande dsmig migrate-config renvoie des commandes que vous devez lancer pour réinitialiser correctement les informations d'authentification.

6786078

Un plug-in Sun Microsystems inexistant peut être considéré comme ayant une signature valide. Le message d'avertissement suivant s'affiche :

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install.

Ce message d'avertissement s'affiche uniquement pour les plug-ins dont le fournisseur est Sun Microsystems.

6790060

Une recherche non indexée incluant une évaluation d'ACI qui renvoie un petit nombre d'entrées peut réduire de façon significative les performances de recherche. Cela s'applique uniquement à la présente version, DSEE 6.3.1.

6791372

Un manque de ressources mémoire peut provoquer un arrêt brutal des versions Directory Server 6. Le message d'erreur suivant est écrit dans le fichier errorlog du serveur :

ERROR<5122> - binder-based resource limits - conn=-1 op=-1 msgId=-1 - System error: resource shortage PR_NewRWLock() failed for reslimit

6827661

Il est impossible d'arrêter une instance de serveur d'annuaire avec la commande dsadm stop via le Bureau à distance si cette instance a été démarrée via la console ou la commande dsadm start utilisée en local.

Pour contourner le problème, exécutez la commande suivante pour activer le service :

dsadm enable-service --type WIN_SERVICE instance-path

6831959

En raison d'un problème décrit dans la Note de vulnérabilité VU#836068, MD5 vulnérable aux attaques par collision, Directory Server Enterprise Edition doit éviter d'utiliser l'algorithme MD5 dans les certificats signés.

Procédez comme suit pour déterminer l'algorithme de signature d'un certificat.

1. Exécutez la commande suivante pour afficher la liste des certificats définis dans une instance Directory Server spécifique.

   $ dsadm list-certs instance-path

2. Exécutez la commande suivante sur chacun des certificats définis afin de déterminer si ce certificat a été signé avec l'algorithme MD5 :

   $ dsadm show-cert instance-path cert-alias

   L'exemple suivant montre la sortie typique de la commande dsadm show-cert pour un certificat à signature MD5 :

   Certificate: Data: [...] Signature Algorithm: PKCS #1 MD5 With RSA Encryption [...]

Exécutez la commande suivante pour supprimer les certificats à signature MD5 de la base de données :

$ dsadm remove-cert instance-path cert-alias

Procédez comme suit pour mettre à niveau le mot de passe de la base de données de certificats. (La commande dsadm génère un mot de passe par défaut pour la base de données de certificats lorsque vous créez une instance de serveur d'annuaire.)

1. Arrêtez l'instance Directory Server.

2. Exécutez la commande suivante :

   $ dsadm set-flags instance-path cert-pwd-prompt=on

   Un message vous invite à saisir un mot de passe.

3. Entrez un mot de passe comptant au moins huit caractères.

4. Redémarrez l'instance Directory Server et saisissez le jeton interne (logiciel) lorsque vous y êtes invité.

Remplacez tous les certificats signés en MD5 par des certificats signés en SHA-1. Appliquez l'une des procédures suivantes, selon que votre installation utilise un certificat autosigné ou un certificat acquis auprès d'une autorité de certification.

Procédez comme suit pour générer et stocker un certificat autosigné :

1. Connectez-vous en tant qu'administrateur Directory Server et exécutez la commande suivante pour émettre un certificat autosigné utilisant l'algorithme de signature SHA-1. (Pour en savoir plus sur la commande certutil, reportez-vous à http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

   $ certutil -S -x -n certName -s subject -d certs-db-path \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   -S

   Demande la génération d'un certificat individuel et son ajout à la base de données.

   -x

   Demande la génération d'un certificat autosigné

   -n certName

   Spécifie l'alias du certificat (par exemple, defaultCert)

   -s "sujet"

   Spécifie le propriétaire des nouveaux certificats ou demandes de certificat (par exemple, CN=...,OU=...)

   -d chemin-instance /alias

   Spécifie le répertoire de base de données qui contient le certificat et les fichiers clés de la base de données

   -P "slapd-"

   Spécifie le préfixe de base de données du certificat

   -t "CTu,u,u"

   Spécifie les arguments d'approbation

   -Z SHA1

   Définit SHA-1 comme algorithme de signature du certificat

   Voici un exemple de syntaxe standard :

   $ install-path/dsee6/bin/certutil -S -x -n "A-New-Cert" \ -s "CN=myhostname,CN=8890,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   La commande affiche l'invite suivante :

   [Password or Pin for "NSS Certificate DB"]

2. Entrez le nouveau mot de passe de base de données de certificats que vous avez créé.

Procédez comme suit pour générer et stocker un certificat acquis auprès d'une autorité de certification (CA) :

1. Exécutez la commande suivante pour émettre une demande de certificat serveur signé par l'autorité de certification :

   $ certutil -R -s subject -d certs-db-path -P "slapd -a -Z SHA1 -o output-file

   -R

   Demande la génération d'une demande de certificat serveur signé par l'autorité de certification

   -s "sujet"

   Spécifie le propriétaire des nouveaux certificats ou demandes de certificat (par exemple, CN=...,OU=...)

   -d chemin-instance /alias

   Spécifie le répertoire de base de données qui contient le certificat et les fichiers clés de la base de données

   -P "slapd-"

   Spécifie le préfixe de base de données du certificat

   -a

   Indique que la demande de certificat doit être créée au format ASCII au lieu du format binaire par défaut

   -o fichier_sortie

   Spécifie le fichier de sortie où stocker la demande de certificat

   Voici un exemple de syntaxe standard :

   $ install-path/dsee6/bin/certutil -R \ -s "CN=myhostname,CN=7601,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -a -o /tmp/cert-req.txt

   La commande affiche l'invite suivante :

   [Password or Pin for "NSS Certificate DB"

2. Entrez le nouveau mot de passe de base de données de certificats que vous avez créé.

3. Vérifiez que votre autorité de certification n'utilise plus l'algorithme de signature MD5, puis envoyez-lui la demande de certificat (cela peut se faire en interne dans votre société ou en externe, selon vos règles d'entreprise) afin de recevoir un certificat serveur signé par l'autorité de certification, comme le décrit la section To Request a CA-Signed Server Certificate du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

4. Lorsque l'autorité de certification vous envoie le nouveau certificat, exécutez la commande suivante pour ajouter ce certificat à la base de données des certificats :

   $ dsadm add-cert ds-instance-path cert-alias signed-cert-alias

   Cette étape est décrite à la section To Add the CA-Signed Server Certificate and the Trusted CA Certificate du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

5. Si le certificat de l'autorité de certification de confiance n'est pas encore stocké dans la base de données des certificats, exécutez la commande suivante pour l'ajouter :

   $ dsadm add-cert --ca instance-path trusted-cert-alias

   Cette étape est décrite à la section To Add the CA-Signed Server Certificate and the Trusted CA Certificate du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.

6. Exécutez la commande suivante pour vérifier que le système utilise le nouveau certificat.

   $ dsadm show-cert instance-path cert-alias Certificate: Data: [...] Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption [...]

6834291

Si la propriété pwd-must-change-enabled est configurée sur on et si les opérations de compte utilisateur sont appelées avec le contrôle d'autorisation par proxy, la seule opération que vous pouvez exécuter au nom d'un utilisateur avec un mot de passe réinitialisé est la modification du mot de passe du compte de cet utilisateur.

Dans les versions antérieures à Directory Server Enterprise Edition 6.3.1, cette opération était rejetée avec un message de type compte inutilisable (comme le décrit la rubrique CR 6651645). Dans la version Directory Server Enterprise Edition 6.3.1, la prise en charge de la modification d'un mot de passe réinitialisé avec autorisation par proxy a été ajoutée. Toutefois, l'application du patch 6.3.1 à un déploiement existant provoquait le problème suivant. Lorsque le mot de passe d'un compte a été réinitialisé par l'administrateur, les opérations effectuées sur ce compte avec l'autorisation par proxy ne sont pas strictement appliquées à la modification de l'attribut userpassword . -

Ce problème est causé par une modification du classement des plug-ins Directory Server, qui n'est pas corrigée pour les instances existantes lors de l'application du patch 6.3.1. Les instances Directory Server créées après la mise à niveau vers Directory Server Enterprise Edition 6.3.1 comportent le classement de plug-ins correct.

Pour les instances Directory Server créées avant la mise à niveau vers Directory Server Enterprise Edition 6.3.1, l'administrateur doit corriger la liste de classement des plug-ins de l'instance à l'aide de la commande ldapmodify.

L'exemple ci-après considère que le classement des plug-ins n'a pas été modifié par rapport au classement d'origine. Si votre déploiement emploie un classement personnalisé, modifiez l'exemple pour inclure cette personnalisation, mais assurez-vous que la préopération d'ACL précède les éventuelles préopérations PwP.

Redémarrez l'instance pour que les modifications prennent effet.

$ install-path/dsrk6/bin/ldapmodify dn: cn=plugins, cn=config changetype:modify replace: plugin-order-preoperation-finish-entry-encode-result plugin-order-preoperation-finish-entry-encode-result: ACL preoperation,PwP preoperation - replace: plugin-order-preoperation-search plugin-order-preoperation-search: ACL preoperation,* - replace: plugin-order-preoperation-compare plugin-order-preoperation-compare: ACL preoperation,* - replace: plugin-order-preoperation-add plugin-order-preoperation-add: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-add plugin-order-internalpreoperation-add: PwP internalpreoperation,* - replace: plugin-order-preoperation-modify plugin-order-preoperation-modify: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-modify plugin-order-internalpreoperation-modify: PwP internalpreoperation,* - replace: plugin-order-preoperation-modrdn plugin-order-preoperation-modrdn: ACL preoperation,* - replace: plugin-order-preoperation-delete plugin-order-preoperation-delete: ACL preoperation,* - replace: plugin-order-bepreoperation-add plugin-order-bepreoperation-add: PwP bepreoperation,* - replace: plugin-order-bepreoperation-modify plugin-order-bepreoperation-modify: PwP bepreoperation,*

6867762

Lorsque vous configurez la rotation des fichiers journaux avec rotation-time ou rotation-interval, le moment exact de rotation des fichiers dépend de plusieurs variables, notamment :

• Valeur des propriétés rotation-time, rotation-interval, rotation-now et rotation-size

• Planification du thread de gestion interne

• Taille réelle du fichier journal au moment où la condition de rotation est satisfaite

Par conséquent, l'horodatage du fichier journal ayant subi la rotation (par exemple, access.horodatage) ne peut pas être garanti.

6872923

Le scénario Stratégie de mot de passe pour la première connexion, décrit à la section To Set Up a First Login Password Policy du Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide n'est pas complet. Avant d'exécuter l'exemple, vérifiez que l'entrée par défaut de stratégie de mot de passe globale ("cn=Password Policy,cn=config") est configurée avec la propriété d'obligation de modification du mot de passe pwd-must-change-enabled définie sur TRUE.

6876315

Si l'utilisateur qui exécute la commande dsmig n'est pas propriétaire de l'instance du serveur d'annuaire cible, la commande échoue car elle n'a pas les droits adéquats pour générer et accéder aux fichiers migrés.

La commande dsmig peut s'exécuter correctement si elle l'est par l'utilisateur propriétaire du serveur d'annuaire cible et si elle a au moins un accès en lecture au serveur d'annuaire source. Si ces conditions ne peuvent pas être satisfaites, effectuez la migration en exportant la base de données et en l'important dans le nouveau serveur d'annuaire.

6902940

La configuration de Cacao peut échouer sous Windows lorsque la variable d'environnement PERL5LIB est configurée sur une version PERL préexistante.

Pour contourner le problème, modifiez les deux fichiers de script. Pour l'installation zip de Directory Server Enterprise Edition, modifiez les deux fichiers suivants :

• installPath/dsee6/cacao_2/configure.bat

• installpath/dsee6/cacao_2/bin/cacaoadm.bat

Pour les installations Sun Java Enterprise System 5 de Directory Server Enterprise Edition, modifiez les deux fichiers suivants :

• C:\Program Files\Sun\JavaES5\share\cacao_2\configure.bat

• C:\Program Files\Sun\JavaES5\share\cacao_2\bin\cacaoadm.bat

Modifiez chacun des fichiers ajoutant à la fin la ligne suivante :

set PERL5LIB=

6920893

Sous Windows, les commandes ldapsearch, ldapmodify, ldapcompare et ldapdelete échouent lorsque vous spécifiez des caractères multioctets comme valeur pour les options de liaison SASL authid et authzid. Au lieu de recevoir les caractères bruts, la commande reçoit des caractères incorrectement convertis par la page de codes utilisée pour l'installation.

Pour éviter cette conversion et fournir à la commande les caractères bruts nécessaires, appliquez l'une des pages de codes suivantes :

• Page de codes 1252 pour les versions Windows d'Europe occidentale

• Page de codes 932 (Shift_JIS) pour Windows en japonais

La solution de programmation à appliquer consiste à créer un nouveau programme pour cloner (fork)/exécuter (exec) la commande (par exemple, ldapsearch) et fournir les arguments de liaison SASL via l'exécution (sans conversion de page de codes).

6928378

Le Guide d'administration contient une erreur : il indique que vous pouvez utiliser Directory Service Control Center pour définir une référence avant de mettre un suffixe en lecture seule. Cette fonction n'est disponible dans Directory Service Control Center que si vous avez activé la réplication pour ce suffixe.