|
Notes de version de Sun Java System Directory Server |
Notes de version de Sun Java™ System Directory Server
Version 5.2 2004Q2
Numéro de référence 817-7156-10
Ces notes de version contiennent des informations importantes disponibles au moment de la mise sur le marché de Sun Java™ System Directory Server 5 2004Q2. Vous y trouverez des renseignements sur les nouvelles fonctionnalités, les améliorations, les restrictions et problèmes connus, etc. Prenez connaissance de ce document avant de commencer à utiliser Directory Server 5 2004Q2.
Vous pourrez trouver la version la plus récente de ces notes de version sur le site suivant : http://docs.sun.com/coll/DirectoryServer_04q2. Consultez ce site Web avant d’installer et de configurer votre logiciel, puis régulièrement pour obtenir les manuels et les notes de version les plus récents.
Ces notes de version comprennent les sections suivantes :
Des URL de sites tiers, qui renvoient à des informations complémentaires connexes, sont fournis dans ce document.
Historique des révisions des notes de version
Tableau 1 Historique des révisions
Date
Description des modifications
Mai 2004
- Version initiale de ces notes de version exclusives à Directory Server (les éléments concernant Administration Server ont été insérés dans le document Administration Server Release Notes)
- Principales mises à jour apportées aux sections Bogues résolus dans cette version et Problèmes connus et restrictions.
À propos de Sun Java System Directory Server 5 2004Q2Dans certaines parties de la documentation et dans Directory Server Console, le numéro de version du produit mentionné est 5.2. Directory Server 5 2004Q2 est une mise à jour corrective de Directory Server 5.2.
Sun Java System Directory Server 5 2004Q2 est un serveur d’annuaire distribué puissant et évolutif basé sur la norme industrielle LDAP (Lightweight Directory Access Protocol). Directory Server fait partie du système logiciel d’infrastructure d’entreprise Sun Java Enterprise System qui fournit un ensemble de base de services réseau d’entreprise intégrés à la pointe du marché, dont la plupart des sociétés actuelles ont besoin.
Cette section inclut les points suivants :
Nouveautés de cette version
- Prise en charge des paquets RPM Linux pour Red Hat Advanced Server 2.1 Update 2
- Prise en charge d’une longueur de certificat supérieure
- Gestion du cache CoS améliorée débouchant sur de meilleures performances CoS
- Fonctionnalité supplémentaire de stratégie de mots de passe permettant de connaître la date de la dernière modification du mot de passe d’une entrée
- Prise en charge de Sun Cluster sur Solaris 9 x86
- Amélioration de la documentation du produit
La documentation de la version 5.2 comprend les nouveaux guides suivants :
D’importantes mises à jour ont été apportées à la documentation existante :
- remaniement des ouvrages Administration Guide et Deployment Planning Guides ;
- remaniement de la documentation relative à Administration Server. Administration Server dispose désormais de ses propres notes de version et le guide précédemment intitulé Server Console Management Guide est maintenant dénommé Administration Server Administration Guide.
Pour toute information concernant à la fois la version Directory Server 5.2 autonome et la version 5.2 fournie avec la version 2003Q4 de Sun JavaTM Enterprise System, consultez les notes de version de Sun ONE Directory Server 5.2.
Du fait des modifications de structure apportées à Directory Server 5.2, certaines fonctions de Directory Server 4.x ne sont plus disponibles. Ces fonctions sont les suivantes :
- Interface de plug-in de base de données d'arrière-plan : les interfaces de prétraitement ont été renforcées et peuvent être utilisées à la place de l’interface de plug-in de base de données d’arrière-plan pour mettre en uvre des plug-ins vous permettant d’accéder à d’autres bases de données d’annuaires.
- En outre, l’architecture et les fonctionnalités des plug-ins de distribution seront modifiées de manière significative dans une version future de Directory Server.
Configuration logicielle requise
La configuration logicielle suivante est requise pour cette version de Directory Server.
Attention
Avant d’installer Directory Server sur Solaris 8 Ultra SPARC® et Solaris 9 Ultra SPARC®, vous devez vous assurer que les patchs de système d’exploitation suivants ont été installés. Vous pouvez les obtenir sous forme de groupe de patchs ou sous forme de patchs distincts à l’adresse http://sunsolve.sun.com. Le groupe de patchs de système d’exploitation requis contient un script d’installation qui installe les patchs dans le bon ordre. Ces groupes sont mis à jour régulièrement à mesure de la commercialisation de nouvelles révisions de patchs. Cliquez sur le lien Patches sur le site SunSolve et suivez les liens pour obtenir les groupes de patchs de système d’exploitation requis.
Vous devrez peut-être installer des patchs de système d’exploitation spécifiques pour pouvoir installer Directory Server 5.2. Pour plus d’informations, reportez-vous au manuel Directory Server Installation and Tuning Guide qui accompagne la version initiale de Directory Server 5.2. Vous pouvez obtenir les patchs Solaris à l’adresse suivante : http://sunsolve.sun.com.
Bogues résolus dans cette versionLes tableaux ci-dessous décrivent les bogues corrigés dans Directory Server 5.2 dans les domaines suivants :
Tableau 12 Bogues liés à la conformité résolus dans Directory Server 5.2
Numéro du bogue
Description
4819710
Des problèmes survenaient lorsque les applications LDAPv2 et LDAPv3 utilisaient toutes deux des attributs de certificat. Reportez-vous à la section « Des problèmes surviennent lorsque les applications LDAPv2 et LDAPv3 utilisent des attributs liés aux certificats (n° 4819710) » page 25 pour obtenir davantage de détails sur la résolution de ce bogue.
Informations importantesCette section comprend les toute dernières informations qui n’ont pas pu être incluses dans la documentation de base des produits. Elle aborde les thèmes suivants :
Notes relatives à l’installation
Cette rubrique contient des informations importantes sur les patchs requis et sur l’installation en général et se décompose en différentes sous-sections :
Informations sur les patchs requis
Si vous avez installé Directory Server 5.2 à partir des packages Solaris et que vous souhaitiez le mettre à niveau avec le composant Directory Server de Java Enterprise System 2004Q2, installez les patchs suivants avec au moins le numéro de version indiqué ; ces patchs sont disponibles sur http://sunsolve.sun.com.
Attention
Pour éviter de rompre les dépendances entre produits, il est indispensable d’installer les patchs dans l’ordre indiqué dans les tableaux qui suivent.
Pour plus d’informations sur Sun Java Enterprise System, consultez le site suivant : http://wwws.sun.com/software/learnabout/enterprisesystem/index.html.
Informations générales sur l’installation
- L’utilitaire idsktune peut faire référence à des patchs devenus obsolètes depuis la sortie de versions plus récentes. Reportez-vous au site SunSolve (http://sunsolve.sun.com) pour être sûr que vous disposez des versions les plus récentes.
- Sur les systèmes Solaris, le package SUNWnisu est nécessaire à la réussite de l’installation. Notez que la présence de SUNWnisu n’implique pas que vous deviez utiliser NIS.
- Les espaces ne sont pas autorisés dans les chemins d’installation. N’insérez donc pas d’espaces dans le vôtre.
- Lorsque vous installez Directory Server 5.2 à partir de packages Solaris, il est conseillé de ne pas indiquer de lien symbolique en tant que ServerRoot. La variable ServerRoot représente le chemin permettant d’accéder aux fichiers binaires partagés de Directory Server et d’Administration Server ainsi qu’aux outils de la ligne de commande. Si vous indiquez un lien symbolique comme ServerRoot et si vous essayez de démarrer le serveur d’administration sans disposer du statut de superutilisateur, vous obtenez le message d’erreur suivant :
- Dans Directory Server 5.2, le fichier de schéma 11rfc2307.ldif a été modifié pour être conforme à rfc2307. Ce fichier se nomme 10rfc2307.ldif (pour les installations zip 5.1) et 11rfc23.ldif (pour les packages Solaris 5.1). Ce changement peut avoir une incidence sur les applications qui utilisent la version 5.1 obsolète de ce schéma. Résumé des modifications :
- Les attributs automount et automountInformation ont été supprimés.
- Les attributs o $ ou $ owner $ seeAlso $ serialNumber ne font plus partie de la liste autorisée pour la classe d’objets ipHost.
- L’attribut cn ne fait plus partie de la liste des attributs obligatoires de la classe d’objets ieee802Device.
- Les attributs description $ l $ o $ ou $ owner $ seeAlso $ serialNumber ne font plus partie de la liste autorisée pour la classe d’objets ieee802Device.
- L’attribut cn ne fait plus partie de la liste des attributs obligatoires de la classe d’objets bootableDevice.
- Les attributs description $ l $ o $ ou $ owner $ seeAlso $ serialNumber ne font plus partie de la liste autorisée pour la classe d’objets bootableDevice.
- L’ID objet de la classe d’objets nisMap est désormais 1.3.6.1.1.1.2.9.
Lors de la migration de Directory Server 5.1 vers 5.2, l’ancienne version de ce fichier est mise à jour pour éviter toute incohérence entre le schéma et la base de données. Si vous n’avez pas personnalisé ce fichier, et si votre base de données ne fait pas référence au schéma qu’il contient, vous pouvez le supprimer du schéma 5.1 avant de procéder à la migration. Ainsi, la version du fichier est conforme à rfc2307.
Si vous avez personnalisé ce fichier, ou si votre base de données fait référence au schéma qu’il contient, suivez la procédure ci-dessous :
- Pour les installations zip, supprimez le fichier 10rfc2307.ldif du répertoire du schéma 5.1 et copiez le fichier 11rfc2307.ldif 5.2 dans ce même répertoire. (Les packages Directory Server 5.1 pour Solaris contiennent déjà cette modification.)
- Copiez les fichiers suivants du répertoire du schéma 5.2 dans celui du schéma 5.1, en remplaçant ainsi les versions 5.1 de ces fichiers :
11rfc2307.ldif, 50ns-msg.ldif, 30ns-common.ldif, 50ns-directory.ldif, 50ns-mail.ldif, 50ns-mlm.ldif, 50ns-admin.ldif, 50ns-certificate.ldif, 50ns-netshare.ldif, 50ns-legacy.ldif et 20subscriber.ldif.REMARQUE : ce point influe également sur la réplication. Consultez la section Réplication pour plus d’informations.
Notes relatives à la compatibilité
- Notez que les pages relatives aux utilitaires LDAP sur les plates-formes Sun Solaris ne tiennent pas compte de la version Sun Java System des utilitaires LDAP ldapsearch, ldapmodify, ldapdelete et ldapadd. Pour toute information concernant ces utilitaires, reportez-vous au document Directory Server Resource Kit Tools Reference.
Notes relatives à la documentation
- Dans certaines parties de la documentation et dans Directory Server Console, le numéro de version du produit mentionné est 5.2. Directory Server 5 2004Q2 est une mise à jour corrective de Directory Server 5.2.
- La documentation concernant Directory Server Resource Kit a fait l’objet d’une mise à jour. Suivez les liens vers Directory Server Resource Kit Tools Reference, Directory Server Resource Kit LDAP SDK for C et Directory Server Resource Kit LDAP SDK for Java sur le site http://docs.sun.com/coll/DirectoryServer_04q2.
- La documentation traduite est mise à disposition sur le site http://docs.sun.com/ à mesure qu’elle devient disponible.
- Dans le contexte d’une réplication existante, le manuel Directory Server Administration Guide n’indiquait pas de façon explicite que vous ne pouviez pas utiliser un nom distinctif (DN) existant ou le gestionnaire de réplication par défaut employé pour les réplications 5.x lors de la configuration d’une instance de Directory Server 5.2 en tant que consommateur d’une instance de Directory Server 4.x. La procédure a désormais été mise à jour. Reportez-vous au quatrième point de la section Configuring Directory Server 5.2 as a consumer of a 4.x Directory Server pour plus de détails (n° 5009629).
- La commande directoryserver nativetoascii est toujours décrite dans le document Directory Server Administration Reference bien qu’elle ne soit plus prise en charge (n° 5038174).
Problèmes connus et restrictionsCette section répertorie les limites et problèmes connus pour Directory Server 5.2. Les domaines suivants sont abordés :
Installation, désinstallation et migration
Lors de l’installation, les caractères multioctets peuvent provoquer des problèmes de configuration (n° 4882927)
Au cours de l’installation, l’utilisation de caractères multioctets ailleurs que dans les noms de suffixes entraîne l’échec de la configuration de Directory Server et d’Administration Server.
Solution
Utilisez des caractères à un seul octet pour tous les champs autres que le nom de suffixe.Les caractères multioctets ne peuvent pas être utilisés dans le nom de suffixe pendant l’installation de la version en chinois traditionnel (zh_TW) (n° 4882801)
Si des caractères multioctets sont insérés dans le nom de suffixe au cours de l’installation de la version en chinois traditionnel (zh_TW), le nom de suffixe n’est pas affiché correctement sur la console. Ce problème ne concerne que les installations 32 bits et 64 bits des packages Solaris sur les processeurs SPARC.
Solution
Des messages d’erreur sans conséquence apparaissent en cours d’installation (n° 4820566)
Lorsque l’installation s’est bien déroulée, l’erreur suivante est consignée :
ERROR<5398> - Entry - conn=-1 op=-1 msgId=-1 - Duplicate value addition in attribute "aci"
Cette erreur est anodine et il n’est pas nécessaire d’en tenir compte.
Un suffixe racine ne doit pas contenir d’espaces (n° 4526501)
Solution
Si le suffixe racine généré à l’installation contient des espaces, supprimez-les :
- Dans Sun Java System Server Console, sélectionnez l’entrée correspondant au répertoire racine dans le volet de navigation de l’onglet Serveurs et applications.
- Cliquez sur Modifier et changez le suffixe dans le champ Sous-arborescence de l’annuaire utilisateur.
- Cliquez sur OK pour enregistrer la modification.
Message d’erreur avec migrateInstance5 (n° 4529552)
Lorsque le script migrateInstance5 est exécuté et que la consignation des erreurs est désactivée, un message apparaît pour indiquer que la procédure de migration tente de redémarrer le serveur alors que celui-ci est déjà actif.
Si la consignation des erreurs est désactivée, il est inutile de prendre en compte ce message.
Si ce message apparaît lorsque la consignation des erreurs est activée, consultez le journal des erreurs pour plus d’informations.
L’utilisateur entre dans une boucle si un mot de passe incorrect est saisi durant l’installation à partir de la ligne de commande (n° 4885580)
Solution
Lorsque le programme vous invite à nouveau à entrer le mot de passe, tapez « < » pour revenir à l’élément à saisir précédent et appuyez sur Retour pour conserver le choix précédent. Lorsque le mot de passe est demandé une nouvelle fois, veillez à bien le saisir.L’exécution de la commande pkgrm ne supprime pas tous les packages de distribution de Directory Server (n° 4911028)
Il se produit une erreur lors de l’installation si le domaine d’administration du répertoire distant utilisé pour la configuration de Directory Server ne correspond pas exactement au domaine d’administration de la procédure d’installation (n° 4931503)
Solution
Lors de l’installation, utilisez exactement le même domaine d’administration que celui défini dans le répertoire de configuration distant.La commande startconsole peut ne pas démarrer certains serveurs si l’utilisateur qui l’exécute ne dispose pas d’un accès en écriture au répertoire ServerRoot (n° 5008600)
Pour accéder à certains serveurs, Server Console peut avoir à télécharger des fichiers JAR dans le répertoire ServerRoot. Si l’utilisateur exécutant la commande startconsole n’a pas accès en écriture au répertoire ServerRoot, les serveurs concernés ne pourront pas être ouverts dans la console.
Solution
Exécutez la commande startconsole sous le nom de l’utilisateur propriétaire du répertoire ServerRoot ou installez et configurez les packages serveur sur l’hôte exécutant Server Console.Vous ne devez utiliser la commande restart-admin que sur le nud actif dans un environnement activé pour les clusters (n° 4862968)
Impossible de supprimer l’ID de patch 115614-08 (patch Directory Server) de tous les nuds d’un cluster (n° 5035139)
La commande patchrm pour l’ID de patch 115614-08 sur un cluster ne fonctionnera correctement qu’une fois le patch supprimé du premier nud. Lors de la tentative de suppression du patch sur le deuxième nud et sur les nuds suivants, le message d’erreur suivant est affiché :
The backout of data cannot occur because the sync-directory binary is missing. (La désinstallation des données est impossible car il manque le fichier binaire sync-directory.) Please contact your Sun support. (Veuillez contacter le support technique Sun.)
Solution
Après avoir correctement supprimé le patch du premier nud du cluster, et si vous avez reçu le message d’erreur ci-dessus, créez un lien symbolique dans ServerRoot/shared/bin pour faire référence au fichier binaire sync-directory de la manière suivante :
ln -s /usr/ds/v5.2/sbin/sync-directory ServerRoot/shared/binRéappliquez ensuite la procédure de suppression du patch.
L’installation de Directory Server est partielle et ne supprime pas tous les fichiers installés (n° 4845960)
Le processus slapd ne redémarre pas après l’ajout de l’ID de patch 115614-10 dans un environnement activé pour les clusters (n° 5042440)
Solution
- Arrêtez le processus slapd et Administration Server avant d’appliquer les patchs au cluster.
- Appliquez le patch à tous les nuds du cluster, que la commande ns-slapd démarre correctement ou non.
- Ensuite, lancez le processus slapd.
- Exécutez la commande directoryserver sync-cds pour Administration Server et slapd.
Lors de la migration de la version 4.x vers la version 5.x, certains plug-ins peuvent ne pas être migrés (n° 4942616)
Solution
Éditez le fichier de configuration de la version 4.x slapd.ldbm.conf et délimitez le chemin d’accès du plug-in à migrer par des guillemets. Par exemple, la post-exécution de plug-in de vérification de l’intégrité référentielle qui apparaît sous la forme /mydirectory/ds416/lib/referint-plugin.so<.....> doit être modifiée en “/mydirectory/ds416/lib/referint-plugin.so”<.....>.Impossible de redémarrer Administration Server à partir de la console sur Solaris 9 x86 dans un environnement activé pour les clusters (n° 4974780)
Lors de l’installation initiale de Directory Server, si un nom distinctif de base contient un espace, par exemple o=example east, l’entrée directoryURL sera analysée de façon incorrecte pour les préférences globales de l’annuaire utilisateur. En conséquence, les entrées ne seront pas trouvées sous l’onglet Utilisateurs et groupes de Server Console (n° 5040621)
Solution
Modifiez le nom distinctif de base soit en corrigeant l’attribut nsDirectoryURL dans la console pour refléter le nom distinctif correct, soit en exécutant une commande ldapmodify sur l’attribut nsDirectoryURL et une commande ldapdelete sur l’attribut nsDirectoryFailoverList via la ligne de commande.Lors de la migration de Directory Server 5.1 vers Directory Server 2004Q2, les modifications apportées au jeu d’index par défaut ne seront pas migrées (n° 5037580)
Les fichiers SUNWasha et SUNWsdha ne doivent pas être déplacés (n° 5035882)
Une erreur de valeur dupliquée est consignée dans le serveur d’annuaires de configuration lorsqu’une entrée ACI est ajoutée à l’entrée du groupe de serveurs durant l’installation d’un nouveau serveur (n° 4841576)
Lors de la configuration de Directory Server, une entrée ACI est ajoutée à l’entrée du groupe de serveurs pour l’installation de chaque nouveau serveur. Si l’entrée existe déjà et que cette valeur ACI figure déjà dans l’entrée (ce qui est le cas lorsque Administration Server est installé après Directory Server), l’erreur anodine suivante de valeur dupliquée est consignée dans le serveur d’annuaires de configuration :
[07/May/2004:16:52:29 +0200] - ERROR<5398> - Entry - conn=-1 op=-1msgId=-1 - Duplicate value addition in attribute "aci" of entry "cn=Server Groups, cn=sorgho.france.sun.com, ou=france.sun.com,o=NetscapeRoot"
Sécurité
Mot-clé DNS dans les ACI (n° 4725671)
Si le mot-clé DNS est utilisé dans une ACI, tous les administrateurs DNS peuvent accéder à l’annuaire en modifiant un enregistrement PTR et, par conséquent, fournir les privilèges accordés par l’ACI.
Solution
Utilisez le mot-clé IP dans l’ACI pour inclure toutes les adresses IP dans le domaine.Message d’erreur incorrect dans les journaux d’erreurs lorsque l’attribut passwordisglobalpolicy est activé (n° 4964523)
Lorsque l’attribut passwordisglobalpolicy est activé sur les deux maîtres dans une topologie de réplication multimaître à deux maîtres, la procédure fonctionne correctement mais peut générer le message d’erreur incorrect suivant :
Solution
Ne tenez pas compte de ce message d’erreur incorrect.Les opérations de mise à jour ldapmodify sur SSL référencées dans une réplique maître à partir d’une réplique consommateur échouent (n° 4922620)
Valeur non valide acceptée pour l’attribut passwordMinLength lors de la configuration d’une stratégie de mots de passe individuels (n° 4969034)
L’utilisation de la fonctionnalité de chiffrement d’attribut peut générer des doublons pour l’attribut ID utilisateur (n° 4997578)
L’outil de contrôle de réplication insync imprime le mot de passe UNIX lorsque « - » est entré pour l’option -w (n° 4902013)
Verrouillage du compte après une modification de mot de passe (n° 4527623)
Le verrouillage du compte reste effectif après qu’un mot de passe utilisateur a été changé. Si les utilisateurs oublient leur mot de passe et qu’ils trouvent l’annuaire verrouillé, le nom distinctif racine (rootDN) ou l’entrée autorisée à modifier le mot de passe utilisateur peut réinitialiser le verrouillage du compte.
Réplication
De la documentation supplémentaire est nécessaire pour l’utilisation du plug-in d’intégrité référentielle avec la réplication existante (n° 4956596)
Lorsqu’une réplication est réalisée entre un maître 4.x et un consommateur 5.x et que l’intégrité référentielle soit activée, vous devez reconfigurer le plug-in d’intégrité référentielle du maître 4.x afin d’enregistrer les modifications d’intégrité référentielle dans le journal des modifications 4.x. Cette opération permet ainsi de répliquer les modifications de l’intégrité référentielle. Si vous ne reconfigurez pas le plug-in, l’intégrité référentielle ne fonctionnera plus correctement.
Solution
Pour reconfigurer le plug-in d’intégrité référentielle dans cet environnement :
plugin postoperation on "referential integrity postoperation" "ServerRoot/lib/referint-plugin.dll" referint_postop_init 0 "ServerRoot/slapd-serverID/logs/referint" 0 "member" "uniquemember" "owner" "seeAlso"
par
plugin postoperation on "referential integrity postoperation" "ServerRoot/lib/referint-plugin.dll" referint_postop_init 0 "ServerRoot/slapd-serverID/logs/referint" 1 "member" "uniquemember" "owner" "seeAlso"
L’outil de ligne de commande insync ne gère pas la réplication partielle (n° 4856286)
L’outil de ligne de commande insync ne possède pas de concept de réplication partielle, ce qui peut entraîner le signalement de délais inexacts si la réplication partielle est configurée.
Réplication multimaître sur SSL (n° 4727672)
Dans un scénario de réplication multimaître, si la réplication sur SSL est activée avec une authentification simple, il est impossible d’activer la réplication entre les mêmes serveurs sur SSL à l’aide d’une authentification du client par certificat.
Solution
Pour activer la réplication sur SSL en utilisant une authentification du client par certificat, redémarrez au moins un des serveurs.Abandon d’une mise à jour globale (n° 4741320)
En cas d’abandon d’une mise à jour globale alors qu’elle est en cours, il n’est pas possible de lancer une autre mise à jour globale, ni de réactiver la réplication sur le suffixe.
Solution
N’interrompez pas une mise à jour globale en cours.Outils de contrôle de réplication et adresses IPv6 littérales (n° 4702476)
Les outils de contrôle de réplication (entrycmp, insync et repldisc) ne sont pas compatibles avec les URL LDAP contenant des adresses IPv6 littérales.
Les modifications de schéma locales peuvent être écrasées lorsqu’une base de données de consommateur est créée (n° 4537230)
Remarque
Les outils de contrôle de réplication s’appuient sur l’accès en lecture à cn=config pour obtenir l’état de réplication. Cet élément doit être pris en compte, notamment lorsque la réplication est configurée sur SSL.
Remarque
Dans Directory Server 5.2, le fichier de schéma 11rfc2307.ldif a été modifié pour être conforme à rfc2307. Si la réplication est activée entre des serveurs 5.2 et des serveurs 5.1, le schéma rfc2307 DOIT être corrigé sur les serveurs 5.1 ; sinon, la réplication ne fonctionnera pas correctement. Pour que la réplication soit correcte entre un serveur 5.2 et un serveur 5.1 :
- Pour les installations zip, supprimez le fichier 10rfc2307.ldif du répertoire du schéma 5.1 et copiez le fichier 11rfc2307.ldif 5.2 dans ce même répertoire. (Les packages Directory Server 5.1 pour Solaris contiennent déjà cette modification.)
- Copiez les fichiers suivants du répertoire du schéma 5.2 dans celui du schéma 5.1, en remplaçant ainsi les versions 5.1 de ces fichiers :
11rfc2307.ldif, 50ns-msg.ldif, 30ns-common.ldif, 50ns-directory.ldif, 50ns-mail.ldif, 50ns-mlm.ldif, 50ns-admin.ldif, 50ns-certificate.ldif, 50ns-netshare.ldif, 50ns-legacy.ldif et 20subscriber.ldif.- Redémarrez le serveur 5.1.
- Sur le serveur 5.2, sélectionnez pour l’attribut nsslapd-schema-repl-useronly la valeur on situé sous cn=config.
- Configurez la réplication sur les deux serveurs.
- Initialisez les répliques.
À l’origine, certains attributs de schéma peuvent être répliqués entre les serveurs car ils permettent de synchroniser d’autres éléments de schéma, mais cela ne porte pas à conséquence et ne provoque aucun problème. Reportez-vous aux Notes relatives à l’installation pour plus de détails sur les modifications du schéma.
Les modifications de schéma ne sont pas immédiatement répliquées s’il s’agit des seules modifications à répliquer (n° 4868960)
Si vous modifiez le schéma sans faire d’autres modifications non liées au schéma, vos modifications de schéma ne seront pas répliquées immédiatement.
Solution
Vous pouvez attendre 5 minutes que les modifications de schéma soient répliquées ou bien utiliser l’option d’envoi immédiat des mises à jour dans Directory Server Console pour imposer la réplication.Pour que la réplication fonctionne après la modification du jeu d’attributs à répliquer au moyen d’une réplication partielle, le consommateur doit être réinitialisé deux fois (n° 4977320)
Si vous modifiez le jeu d’attributs devant être répliqué au moyen d’une réplication partielle, la réplication ne fonctionnera pas tant que vous n’aurez pas réinitialisé deux fois le consommateur.
Solution
Réinitialisez deux fois le consommateur ou apportez les modifications nécessaires à l’accord de réplication en deux phases, en commençant par supprimer le filtre de réplication partielle existant et enregistrer l’accord de réplication. Ensuite, définissez le nouveau filtre de réplication partielle et enregistrez l’accord de réplication. Cette procédure en deux phases vous évite de devoir réinitialiser deux fois le consommateur (ce qui est une solution préférable lorsque vous travaillez sur des bases de données volumineuses).L’ajout d’une entrée avec objectClass=nstombstone peut entraîner l’échec de la réplication (n° 5021269)
Solution
Évitez d’ajouter des entrées avec objectClass=nstombstone.L’utilisation de la fonctionnalité de réplication programmée peut entraîner un comportement capricieux de la réplication (n° 4999132)
Solution
Évitez d’utiliser la réplication programmée et configurez la réplication de telle sorte qu’elle soit toujours synchronisée.Dans une configuration de réplication multimaître (avec au moins 3 répliques maîtres) où les maîtres sont mis à jour simultanément en présence d’un trafic important, vous pouvez constater certaines pointes de latence (n° 5006198)
Message d’erreur anodin enregistré dans le journal des erreurs lors des sessions de réplication (n° 5029597)
Lors des sessions de réplication, le message d’erreur anodin suivant peut fréquemment être enregistré dans le journal des erreurs, ce qui a pour effet d’augmenter la taille de ce dernier :
[09/Apr/2004:06:47:45 +0200] - INFORMATION - conn=-1 op=-1 msgId=-1 -
csngen_adjust_time: remote offset now 33266 sec
Il est inutile de tenir compte de ce message d’erreur.
Conformité
Des problèmes surviennent lorsque les applications LDAPv2 et LDAPv3 utilisent des attributs liés aux certificats (n° 4819710)
Ce bogue a été résolu mais s’est traduit par la création d’un nouvel attribut de configuration nsslapd-binary-mode sous cn=config qui n’a pas encore été décrit.
Auparavant, le protocole LDAPv2 spécifiait que l’attribut devait être xxxxx (où xxxxx est l’une des valeurs suivantes : UserCertificate, CACertificate, CertificateRevocationList, AuthorityRevocationList ou CrossCertificatePair), tandis que le protocole LDAPv3 indique que l’attribut doit être xxxxx;binary. Directory Server considérait les valeurs associées à xxxxx;binary et xxxxx comme deux valeurs différentes. En fait, ce n’était pas toujours nécessaire.
Le nouvel attribut de configuration nsslapd-binary-mode a été créé afin de modifier ce comportement et peut avoir l'une des trois valeurs suivantes :
compat51 est la valeur par défaut et fournit le comportement d'origine. xxxxx et xxxxx;binary font référence à des valeurs distinctes (où xxxxx est l'une des valeurs suivantes : UserCertificate, CACertificate, CertificateRevocationList, AuthorityRevocationList ou CrossCertificatePair).
auto implique que le serveur considère xxxxx et xxxxx;binary comme le même attribut. Les recherches renvoient soit l’attribut spécifiquement demandé, soit xxxxx dans LDAPv2 et xxxxx;binary dans LDAPv3.
strict a la même fonction que auto, sauf que les demandes non conformes sont rejetées, générant une erreur de PROTOCOLE NON VALIDE (sous-type reject;binary dans une demande LDAPv2 ou aucun sous-type dans une demande LDAPv3).
La normalisation des noms distinctifs convertit tout en minuscules, sans prendre en compte la syntaxe de l’attribut ni la règle de correspondance associée, limitant ainsi les possibilités de saisie par l’utilisateur (n° 4933500)
Lorsque l’attribut nsslapd-rewrite-rfc1274 est activé, la conversion des attributs userCertificate;binary et caCertificate;binary est effectuée de LDAPv2 vers LDAPv3 au lieu de v3 vers v2 (n° 4861499)
Directory Server Console
La console n’accepte pas les mots de passe contenant un signe deux-points (n° 4535932)
La console n’accepte pas les mots de passe contenant un signe deux-points (:).
Solution
N’utilisez pas de signe deux-points dans les mots de passe.La console ne prend pas en charge les dispositifs de sécurité externes (n° 4795512)
La console ne prend pas en charge la gestion de dispositifs de sécurité externes, comme la carte Sun Crypto Accelerator 1000.
Solution
Les dispositifs de sécurité externes doivent être gérés via la ligne de commande.Les espaces à la fin ne sont pas conservés pendant une opération d’importation sur la console distante (n° 4529532)
Les espaces à la fin ne sont conservés que pendant les opérations d’importation ldif2db et sur la console locale.
Tri incorrect des entrées allemandes dans Directory Server Console (n° 4889951)
Dans certains contextes de recherche, les mécanismes de recherche interne provoquent l’affichage par Directory Server Console d’un indicateur d’avertissement jaune (n° 4983539)
Dans certains contextes de recherche, il est possible qu’un indicateur d’avertissement jaune apparaisse pour indiquer que les mécanismes de recherche interne de Directory Server ont rencontré un problème de tri/seuil de tous les ID. Cet indicateur ne signale pas un problème dû à l’utilisateur et ne doit donc pas vous inquiéter.
Remarque
Nous vous conseillons de créer un index de navigation (index VLV) pour éviter cette situation.
Les informations d’orientation ne sont pas affichées correctement dans Directory Server Console (n° 4969992)
Lorsque certains caractères multioctets sont entrés dans la zone de texte de l’index de recherche de l’aide en ligne de Directory Server, des caractères supplémentaires sont ajoutés et une erreur ArrayOutofBounds est affichée (n° 5025653)
Solution
Bien que cette erreur ne provoque pas de blocage du système d’aide en ligne, il est préférable, pour effectuer vos recherches, de recourir aux rubriques de l’aide en ligne.Sur un nud de cluster Directory Server (actif ou non), les boutons de navigation de la console Directory Server sont grisés (n° 5044629)
Solution
Assurez-vous que vous exécutez la console sur le nud de cluster actif et utilisez le nom du nud (au lieu du nom d’hôte logique) pour vous connecter à Administration Server.Les informations de copyright de l’aide en ligne indiquent des années différentes pour des langues différentes (n° 5046691)
Dans l’aide en ligne en français, le copyright est daté de 2002 et 2003, alors que dans l’aide en ligne en anglais, allemand et espagnol, le copyright date de 2003 et 2004. Ce problème peut également s’appliquer à d’autres langues.
Le sommaire de l’aide en ligne en français et en allemand affiche parfois des balises html au lieu des caractères standard (n° 5046714)
Il manque certains liens symboliques pour les versions de l’aide en ligne dans les langues de la région Europe, Moyen-Orient, Afrique autres que l’anglais (n° 5045854)
Lorsque vous tentez d’ouvrir le sommaire de l’aide en espagnol, français ou allemand via le menu de Directory Server Console, celui-ci apparaît en anglais. Si vous tentez d’ouvrir l’index de l’aide en ligne via le menu de Directory Server Console, une fenêtre vide apparaît et une fenêtre de terminal affiche l’erreur 404 Not Found. Les boutons d’aide de certaines fenêtres de Directory Server Console ne permettent pas toujours d’afficher des pages en espagnol, français ou allemand. Ces problèmes sont dus au fait que les répertoires d’aide ne contiennent pas les liens symboliques vers le répertoire slapd.
Solution
Créez le lien symbolique manquant à l’aide de la commande ln, comme suit :ln -s /usr/sadm/mps/admin/v5.2/manual/lang/slapd /var/opt/mps/serverroot/manual/lang/slapd
Erreur lors du chargement de l’aide en ligne dans la boîte de dialogue de connexion à Directory Server dans les langues autres que l’anglais (n° 5046970)
Le chemin d’accès au fichier .htm d’aide pour la boîte de dialogue de connexion à Directory Server dans les langues autres que l’anglais, par exemple le coréen, est incorrect : manual/ko/console/help/help/login.htm
Solution
Appliquez la solution suivante dans le cas du coréen :
- Fermez Directory Server Console.
- Accédez au répertoire /usr/sadm/mps/console/v5.2/java.
- Extrayez le fichier mcc52_ko.jar en utilisant la commande jar xvf mcc52_ko.jar.
- Supprimez le fichier mcc52_ko.jar.
- Ouvrez un éditeur de texte et éditez le fichier com/netscape/management/client/console/console_ko.properties en remplaçant le chemin d’accès login-help=manual/ko/console/help/help/login.htm par
login-help=manual/ko/console/help/login.htm.- Recréez le fichier jar suivant mcc52_ko.jar META-INF/* com/* en utilisant la commande
jar cvf mcc52_ko.jar META-INF/* com/*.- Redémarrez Directory Server Console.
Serveur principal
L’arrêt du serveur lors d’une exportation, sauvegarde, restauration ou création d’index peut avoir pour effet de le bloquer (n° 4678334)
La base de données devient indisponible si le fichier LDIF est inaccessible lors de l’importation (n° 4884530)
Si un fichier inexistant est indiqué pour une importation en ligne, le serveur supprime quand même la base de données existante.
Les suffixes chaînés renvoient en minuscules les noms distinctifs combinant majuscules et minuscules (n° 4917152)
Un nom distinctif combinant majuscules et minuscules extrait par la commande getDN sera renvoyé exactement tel qu’il était indiqué à l’origine. Si le nom distinctif est extrait à l’aide d’un suffixe chaîné, il sera renvoyé entièrement en minuscules.
Lors de l’exportation d’un sous-arbre avec l’option db2ldif -s, un message d’erreur peut être généré même si l’opération a abouti (n° 4925250)
Lorsque vous utilisez l’option -s du script db2ldif pour exporter un sous-arbre, le message d’erreur incorrect suivant peut être généré (vous n’avez pas besoin d’en tenir compte) :
Message d’erreur incorrect en cas d’absence du répertoire du journal des transactions (n° 4938877)
Si vous tentez de démarrer Directory Server avec un répertoire de journal de transactions personnalisé et que ce répertoire n’existe pas ou ne soit pas accessible en écriture, le serveur ne pourra pas démarrer. Ce message d’erreur indique à tort que le répertoire personnel de la base de données en est la cause.
Les instances d’arrière-plan (bases de données) appelées « Default » ne fonctionnent pas (n° 4966365)
Solution
Ne nommez pas votre base de données « Default » car elle ne fonctionnera pas correctement. Si vous devez modifier le nom de votre base de données, vous pouvez le faire à l’aide du bouton Options de l’écran Nouveau suffixe et entrer le nom de votre base dans la zone de texte Utiliser nom personnalisé de la section Database Information (Informations sur la base de données).L’installation de packages 64 bits verrouille les bases de données Directory Server 32 bits (n° 4786900)
L’exécution de db2ldif avec l’option -r se traduit par l’arrêt inopiné de la base de données (n° 4869781)
La suppression d’une valeur de sous-type d’attribut a pour effet de supprimer toutes les valeurs de l’attribut (n° 4914303)
Si vous créez une entrée avec un attribut possédant, par exemple, 3 valeurs, dont l’une comporte un indicateur de sous-type, puis supprimez cette valeur, toutes les valeurs de l’attribut seront supprimées.
Les recherches basées sur un filtre de sous-chaîne pour l’attribut telephonenumber échouent si le filtre contient un espace immédiatement après la sous-chaîne ‘*’ (n° 4866642)
La commande db2ldif génère des erreurs inattendues lorsque des sous-suffixes sont fournis avec l’option -s (n° 4889077)
Lorsque les index sont configurés avec nsMatchingRule, db2ldif et ldif2db génèrent un avertissement « unknown index rule » qui signifie que l’index créé ne comprend pas la règle de correspondance (n° 4995127)
Solution
Utilisez db2ldif.pl et ldif2db.pl au lieu de db2ldif et ldif2db car ils ne génèrent pas d’avertissements « unknown index rule » et créent l’index avec la règle de correspondance.Si un fichier de sortie n’est pas défini en tant que chemin d’accès absolu, la commande db2ldif (et l’option db2ldif de la commande directoryserver) crée le fichier de sortie sous /installdir/bin/slapd/server/sparcv9 et non /ServerRoot/slapd-serverID comme l’indique le manuel Directory Server Administration Guide (n° 5029598)
Plug-ins Directory Server
Si deux entrées avec des ID utilisateur similaires sont ajoutées en même temps à Directory Server, l’unicité des ID utilisateur n’est plus assurée (n° 4987124)
Si les valeurs d’attribut de l’entrée de configuration du plug-in dans dse.ldif se terminent par des espaces superflus, Directory Server ne pourra pas démarrer ou aura un comportement imprévisible (n° 4986088)
Lorsque le plug-in d’authentification d’intercommunication (plug-in PTA) détecte qu’un suffixe configuré pour l’authentification d’intercommunication est local, le plug-in n’est pas automatiquement désactivé (n° 4938821)
Si vous disposez de deux instances de Directory Server (DS1 et DS2), Configuration Directory Server étant installé sur DS1, et que vous répliquiez par la suite les informations de configuration o=NetscapeRoot sur DS2, au lieu de désactiver automatiquement le plug-in PTA, ce plug-in continuera à faire référence à DS1 pour toutes les recherches applicables à o=NetscapeRoot en dépit du fait que les informations sont désormais stockées localement.
Lorsque vous exécutez une recherche sur un nom distinctif de base inexistant, la fonction du plug-in de post-exécution n’est pas appelée (n° 5032637)
La documentation du produit indique que les plug-ins de post-exécution sont appelés lorsqu’une demande du client a été traitée, que l’opération se soit ou non déroulée correctement. Toutefois, cet appel n’a pas lieu lorsqu’une recherche est lancée sur un nom distinctif de base inexistant.
Divers
Statistiques pour les sous-agents SNMP (n° 4529542)
Sur les plates-formes UNIX, les statistiques ne sont générées que pour le dernier sous-agent SNMP démarré. Autrement dit, vous ne pouvez contrôler qu’une instance de Directory Server à la fois avec SNMP.
La modification de la taille maximale du fichier journal des transactions est sans effet si des fichiers journaux se trouvent déjà dans le répertoire de la base de données (n° 4523783)
Solution
Arrêtez le serveur, modifiez manuellement l’attribut nsslapd-db-logfile-size dans le fichier de configuration dse.ldif, supprimez tous les fichiers log.* du répertoire de la base de données et enfin redémarrez le serveur.Recherche LDAP sur les systèmes Linux (n° 4755958)
Sur les systèmes Linux, une opération ldapsearch sans nom d’hôte, telle que :
ldapsearch -D ... -w ... -h -p 389
renvoie une erreur 91 (ldap_simple_bind: Can't connect to the LDAP server - No route to host). Sur d’autres plates-formes, une erreur 89 (LDAP_PARAM_ERROR) est renvoyée. Cela s’explique par le fait que sur les systèmes Linux, il est possible de résoudre l’hôte (par exemple, -p), ce que tente de faire la fonction de connexion, sans y réussir.
La recherche de sous-chaîne internationale sur des caractères non accentués ne renvoie que des caractères non accentués (n° 4955638)
Au lieu de renvoyer le caractère non accentué et toutes ses variantes accentuées possibles, ce qui semble être l’approche logique, une recherche sur un caractère non accentué ne renvoie que ce caractère non accentué. En revanche, la recherche d’un caractère accentué renvoie non seulement ce caractère, mais également toutes les autres variantes possibles.
SSL ne démarre pas pour une instance de Directory Server dénommée « test-cert » (n° 4971699)
Solution
Évitez d’attribuer le nom « test-cert » à votre instance de Directory Server.Le changement du numéro de port sécurisé ou du port de votre serveur d’annuaire utilisateur n’est pas répercuté dans certains scripts et exige la modification manuelle de ces derniers (n° 5029807)
Si vous modifiez le numéro de port sécurisé ou le port de votre serveur d’annuaire utilisateur, les scripts suivants restent codés de façon permanente avec le numéro de port d’origine :
bak2db.pl, schema_push.pl, db2bak.pl, check-slapd, db2index.pl, db2ldif.pl, monitor, ldif2db.pl, ns-accountstatus.pl, ldif2ldap, ns-activate.pl, ns-inactivate.pl
Si vous souhaitez utiliser ces scripts après un changement de port, vous devrez les modifier manuellement. Notez que les noms de script indiqués ici sont les noms des outils autonomes et que la commande check-slapd n’est pas documentée car elle ne fait pas partie de l’API décrite publiquement. Pour plus d’informations, reportez-vous au chapitre 1, « Command-Line Tools Reference » (Référence des outils de la ligne de commande), du document Directory Server Administration Reference.
Les journaux d’audit, d’accès et d’erreurs sont tous limités à 2 Go chacun (n° 4976129)
Directory Server s’arrête lors de l’exécution simultanée d’une mise à jour d’index de navigation VLV lors des opérations d’ajout et d’une opération de recherche VLV (n° 4973380)
Lors de la création d’un suffixe chaîné avec une adresse IPv6 via la fenêtre Nouveau suffixe chaîné de la console, une fenêtre contextuelle « Test des paramètres de connexion » ne se ferme pas automatiquement. Toutefois, bien que la configuration locale du suffixe chaîné ait réussi, le contrôle de validité de l’adresse IPv6 n’est pas effectué, ce qui peut entraîner des problèmes si un élément est incorrect (n° 5019414)
Certains messages d’erreur font référence à un guide d’erreurs de base de données qui n’existe pas (n° 4979319)
Lorsque Directory Server et Administration Server sont installés et configurés pour être exécutés en tant que racine et que la console est utilisée pour créer une autre instance de Directory Server dont vous demandez l’exécution sous un nom d’utilisateur autre que le superutilisateur, cette instance est correctement créée mais de nombreux fichiers liés à celle-ci ne sont pas détenus par le même utilisateur (n° 4995286)
Solution
Modifiez manuellement le propriétaire des fichiers et répertoires.L’outil de ligne de commande directoryserver monitor ne fonctionne pas sur les nuds inactifs dans un environnement activé pour les clusters (n° 5005446)
Lorsque l’option ldapsearch sizelimit est appliquée à un suffixe chaîné, un message d’erreur est généré et le numéro d’accès au nombre d’entrées est incorrect (n° 5029026)
Fichiers redistribuablesSun Java System Directory Server 5.2 2004Q2 ne contient pas de fichiers que vous pouvez redistribuer.
Signalisation de problèmes et apport de commentairesSi vous rencontrez des problèmes avec Sun Java System Directory Server, contactez le service clientèle Sun de l’une des manières suivantes :
- En faisant appel aux services d’assistance logicielle Sun en ligne à l’adresse suivante :
http://www.sun.com/service/sunone/software
- En consultant le site Web de support SunSolve à l’adresse
http://sunsolve.sun.comAfin que nous puissions vous aider à résoudre votre problème, pensez à réunir les informations suivantes lorsque vous contactez le support technique :
- description du problème, y compris l’endroit où il s’est produit et son impact sur vos activités ;
- type de machine, versions du système d’exploitation et du produit, y compris les patchs et autres logiciels pouvant avoir un lien avec le problème ;
- étapes détaillées des méthodes utilisées pour reproduire le problème ;
- tous les journaux d’erreurs ou core dumps.
Il vous est également conseillé de vous abonner aux groupes d’intérêt suivants, qui abordent des questions concernant Sun Java System Directory Server :
Sun attend vos commentaires
Afin d’améliorer sa documentation, Sun vous encourage à faire des commentaires et des suggestions. Pour ce faire, utilisez le formulaire électronique disponible à l’adresse suivante :
http://www.sun.com/hwdocs/feedback
Veuillez indiquer le titre complet du document ainsi que son numéro de référence dans les champs appropriés. Le numéro de référence se trouve dans la page de titre du manuel ou en haut du document. Il s’agit généralement d’un nombre à 7 ou 9 chiffres. Dans le cas des présentes notes de version, le numéro de référence est 817-7156-10.
Ressources Sun supplémentairesVous pouvez obtenir des informations utiles concernant Sun Java System sur les sites Internet suivants :
- Documentation de Sun Java System
http://docs.sun.com/db/prod/entsys.04q2- Services logiciels Java Enterprise System
http://www.sun.com/service/products/software/javaenterprisesystem- Logiciels et services Sun Java System
http://www.sun.com/software- Base de connaissances et d’assistance Sun Java System
http://sunsolve.sun.com- Services de formation et d’assistance Sun
http://www.sun.com/supportraining- Services professionnels et de conseil Sun Java System
http://www.sun.com/service/products/software/javaenterprisesystem- Informations pour les développeurs de Sun
http://developers.sun.com- Services d’assistance pour développeurs Sun
http://www.sun.com/developers/support- Fiches techniques sur les logiciels Sun
http://wwws.sun.com/software- Programme de formation d’ingénieur certifié Directory Server
http://training.sun.com/US/certification/middleware/dir_server.html
Copyright © 2004 Sun Microsystems, Inc. Tous droits réservés.
Sun Microsystems, Inc. détient les droits de propriété intellectuelle relatifs à la technologie incorporée dans le produit qui est décrit dans ce document. En particulier, et ce sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs des brevets américains répertoriés à l’adresse http://www.sun.com/patents et un ou plusieurs des brevets supplémentaires ou demandes de brevet en attente aux États-Unis et dans d’autres pays.
PROPRIÉTÉ DE SUN/CONFIDENTIEL.
Droits soumis à la loi américaine - Logiciel de commerce. Les utilisateurs de l’État sont soumis au contrat de licence standard de Sun Microsystems, Inc. ainsi qu’aux clauses applicables du FAR et de ses suppléments.
L’utilisation du logiciel est soumise aux termes du contrat de licence.
La distribution du logiciel peut s’accompagner de celle de composants mis au point par des tiers.
Des parties de ce produit pourront être dérivées des systèmes Berkeley BSD sous contrat de licence par l’Université de Californie.
Sun, Sun Microsystems, le logo Sun, Java et Solaris sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. Toutes les marques SPARC sont utilisées dans le cadre d’un contrat de licence et sont des marques ou des marques déposées de SPARC International, Inc. aux États-Unis et dans d’autres pays.