Las siguientes secciones están dedicadas a Directory Proxy Server 6.3.1 update 1:
Notas de instalación de Directory Proxy Server 6.3.1 Update 1
Problemas conocidos y limitaciones de Directory Proxy Server 6.3.1 Update 1
Este parche sólo corrige los problemas encontrados en el componente Directory Proxy Server del producto Directory Server Enterprise Edition. Está diseñado para su ejecución sobre Directory Server Enterprise Edition 6.3.1. El componente Directory Server de Directory Server Enterprise Edition 6.3.1 permanece sin cambios.
Esta actualización no puede ejecutarse con versiones de Directory Server Enterprise Edition anteriores a la 6.3.1. Para obtener instrucciones sobre la actualización a la versión 6.3.1, consulte la Tabla 2–1, “Upgrade Paths to Directory Server Enterprise Edition 6.3.1.”
En esta sección, se tratan los siguientes puntos:
Esta actualización es una versión menor que, principalmente, soluciona los errores descritos en Errores solucionados en Directory Server 6.3.1 Update 1.
Asimismo, Directory Proxy Server 6.3.1 update 1 introduce un nuevo modo de funcionamiento para las operaciones de búsqueda persistentes. Si una aplicación del cliente es muy lenta a la hora de leer las respuestas de una búsqueda persistente desde Directory Proxy Server, la cola de respuestas del servidor proxy se sobrecarga. En este caso, es posible que el servidor cierre la conexión con la siguiente notificación al cliente:
LDAP_NOTICE_OF_DISCONNECTION [ 1.3.6.1.4.1.1466.20036 ] |
Además, también se registra un mensaje informativo similar al siguiente:
[11/Aug/2009:18:13:51 +0200] - DISCONNECT - INFO - conn=19 \ reason="admin limit exceeded" \ msg="client didn't read any data during 160 milliseconds." |
Directory Proxy Server 6.3.1 update 1 proporciona las siguientes mejoras:
Puede establecerse un nombre de ruta para JAVA_HOME que tenga precedencia sobre el valor de JAVA_HOME definido en el entorno tal y como se muestra en el siguiente ejemplo:
$ dpadm set-flags instance-path jvm-path=/usr/jdk/latest/ |
El comando dpadm cambia el valor de umask, por lo que en el siguiente reinicio de la instancia de DPS, los permisos del archivo de configuración quedan modificados de acuerdo con el nuevo valor de umask. Asimismo, el permiso del archivo de registro queda definido de una manera similar en la siguiente rotación de archivos. El ejemplo siguiente muestra un uso típico:
$ dpadm set-flags instance-path umask=22 |
El administrador puede ahora definir diferentes transformaciones virtuales en el mismo MODEL, ACTION, ATTR_NAME.
Directory Proxy Server 6.3.1 update 1 también añade nuevas propiedades, así como actualizaciones de las propiedades existentes, tal y como se describe en la siguiente lista. Las nuevas propiedades aparecen designadas como “Novedad”. Las propiedades que hayan sido modificadas en cuanto a su especificación en DSEE 6.3.1 aparecen designadas como "Actualización".
Dinámico (no requiere un reinicio)
Nivel: connection-handler
Tipo: booleano
Valor predeterminado: false
Descripción: indica si el controlador de conexión debe cerrar la conexión de cliente cuando no haya ningún origen de datos disponible.
Dinámico (no requiere un reinicio)
Nivel: connection-handler
Tipo: booleano
Valor predeterminado: false
Descripción: indica la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.
Documentación: esta propiedad es un indicador que insta a valorar la necesidad de no utilizar siempre la identidad de cliente entrante durante el enlace al servidor LDAP remoto.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-source
Tipo: enumeración
El servidor de fondo RDBMS es MySQL.
El servidor de fondo RDBMS es Apache Derby/Java DB.
El servidor de fondo RDBMS es DB2.
El servidor de fondo RDBMS es Oracle.
El servidor de fondo RDBMS es Microsoft SQL Server.
El servidor de fondo RDBMS no está definido. Siempre que sea posible, Directory Proxy Server determina el nombre del proveedor a partir de la db-url definida en jdbc-data-source.
Valor predeterminado: generic
Descripción: nombre del proveedor del origen de datos JDBC.
Documentación: esta propiedad especifica el nombre del proveedor del origen de datos JDBC. Debería definirse esta propiedad si se utiliza un controlador IDBC de un tercero distinto del proporcionado por el proveedor de la base de datos para conectar con el servidor de fondo RDBMS. Si es posible, se utilizan estos datos para establecer instrucciones SQL específicas para el proveedor que contribuyan a mejorar el rendimiento.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view
Nuevo tipo: largo
Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero
Los atributos restantes permanecen igual.
Dinámico (no requiere un reinicio)
Nivel: jdbc-data-view, join-data-view, ldap-data-view y ldif-data-view
Nuevo tipo: largo
Tipo anterior (para las versiones de DPS de 6.0 a 6.3.1): número entero
Los atributos restantes permanecen igual.
Estático (requiere un reinicio)
Nivel: ldap-data-source
Tipo: duración en segundos (límite inferior: 1)
Valor predeterminado: heredado (valor de monitoring-interval)
Descripción: intervalo de tiempo tras el que el supervisor de disponibilidad sondea las conexiones fallidas para detectar su recuperación.
Documentación: esta propiedad especifica el intervalo de sondeo. Si se descubre una conexión inactiva, el supervisor de disponibilidad la sondea según este intervalo para detectar su recuperación. Si no se especifica, se utiliza el valor de la propiedad monitoring-interval.
Estático (requiere un reinicio)
Nivel: ldap-data-source
Tipo: número entero (límite inferior: 1)
Valor predeterminado: 3
Descripción: número de reintentos que deben llevarse a cabo antes de marcar la conexión como inactiva.
Documentación: esta propiedad especifica el número de veces que el supervisor de disponibilidad sondea la conexión tras detectar su inactividad por primera vez. Esto permite marcar una conexión como activa de manera más rápida. Si la conexión sigue fallando una vez realizado el número de intentos especificados, se utiliza el valor de la propiedad down-monitor-interval como intervalo de sondeo.
Dinámico (no requiere un reinicio)
Nivel: ldap-data-source
Tipo: booleano
Valor predeterminado: true
Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.
Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y el origen de datos.
Dinámico (no requiere un reinicio)
Nivel: ldap-listener y ldaps-listener
Tipo: booleano
Valor predeterminado: true
Descripción: especifica si se ha habilitado SO_KEEPALIVE para las conexiones entre los clientes y la escucha.
Documentación: esta propiedad es un marcador que indica la necesidad de habilitar o no SO_KEEPALIVE para las conexiones entre el servidor y la escucha.
Dinámico (no requiere un reinicio)
Nivel: servidor
Tipo: booleano
Valor predeterminado: true
Nueva descripción: indica si el servidor acepta operaciones no autenticadas.
Descripción anterior (para las versiones de DPS de 6.0 a 6.3.1): indica si el servidor acepta operaciones de clientes anónimos.
Nueva documentación: esta propiedad es un marcador que indica si Directory Proxy Server acepta operaciones no autenticadas. El modo que se utiliza para procesar la operación de enlace se especifica por medio de allow-unauthenticated-operations-mode.
Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad es un marcador que indica si Directory Proxy Server permite que clientes anónimos realicen operaciones.
Dinámico (no requiere un reinicio)
Nivel: servidor
Tipo: enumeración
Si no se especifica ninguna contraseña, sólo se permiten enlaces anónimos.
Si no se especifica ninguna contraseña, sólo se permiten enlaces con un DN especificado.
Si no se especifica ninguna contraseña, se permiten enlaces anónimos y enlaces con un DN especificado.
Valor predeterminado: anonymous-and-dn-identified
Descripción: modo de procesar operaciones de enlace sin contraseña.
Documentación: esta propiedad indica la manera en que Directory Proxy Server procesa las operaciones sin contraseña de enlace cuando se establece allow-unauthenticated-operations en true (verdadero).
Estático (requiere un reinicio)
Nivel: servidor
Tipo: duración en milisegundos
Nuevo valor predeterminado: 250
Valor predeterminado anterior (para versiones de DPS de 6.0 a 6.3.1): 500
Nueva documentación: esta propiedad especifica el intervalo de tiempo entre llamadas de sistema consecutivas que recuperan la hora del SO. Para obtener más información sobre las operaciones que duren menos de 250 milisegundos, reduzca el período de time-resolution o modifique el valor de la propiedad time-resolution-mode. Si se establece en 0 milisegundos, el proxy se comporta como si el valor de la propiedad time-resolution-mode estuviera establecido en system-milli. Esta propiedad se omite cuando el valor de la propiedad time-resolution-mode se establece en system-milli o system-micro.
Documentación anterior (para versiones de DPS de 6.0 a 6.3.1): esta propiedad especifica el intervalo de tiempo entre dos llamadas de sistema consecutivas que recuperen la hora del SO. Para obtener más información sobre las operaciones que duren menos de 500 milisegundos, reduzca el período de time-resolution. Si se establece en 0 milisegundos, el proxy realiza automáticamente una llamada de sistema para recuperar la hora actual. De lo contrario, la hora sólo se almacena en caché y se recupera una vez transcurrido el período time-resolution. La hora se muestra en los registros.
La descripción sigue siendo la misma.
Estático (requiere un reinicio)
Nivel: servidor
Tipo: enumeración
Utilice un subproceso que realice una llamada de sistema cada time-resolution milisegundos.
Utilice una llamada de sistema que recupere la hora en milisegundos
Utilice una llamada de sistema que recupere la hora en microsegundos
Valor predeterminado: custom-resolution
Descripción: modo utilizado para recuperar la hora del sistema
Documentación: esta propiedad especifica el modo utilizado para recuperar la hora del SO.
Directory Proxy Server 6.3.1 update 1 está disponible para todas las plataformas Directory Server Enterprise Edition 6.3.1 admitidas. Para obtener más información, consulte Requisitos de hardware y Requisitos del sistema operativo.
Esta sección enumera todos los errores solucionados en Directory Proxy Server 6.3.1 update 1.
Directory Proxy Server establece solicitudes de base de datos no permitidas.
La definición de connectionIdleTimeOutInSec para la escucha LDAP puede inhabilitar DSCC.
Una operación de búsqueda puede devolver entradas que contengan atributos que no estén presentes en viewable-attr.
La propiedad max-client-connections no se lleva a cabo si no se realiza ninguna operación en la conexión.
La supervisión de la memoria se inhabilita de forma predeterminada.
El algoritmo de distribución numérica debería utilizar long en lugar de int para establecer enlaces numéricos.
El límite de tamaño predeterminado de Directory Proxy Server para propiedades de recursos utiliza un número entero incorrecto para ilimitado.
Las transformaciones de DN fallan.
El establecimiento de add-attr-value puede provocar que las transformaciones de DN produzcan un resultado incorrecto.
Debería asignarse el DN de enlace (bindDN) al enlazar con un servidor LDAP. (utilizando la regla de asignación de DN del DV del DN de enlace (bindDN)).
No es posible añadir una nueva transformación virtual con el mismo "MODEL, ACTION, ATTR_NAME".
No se ha aplicado la propiedad requires-bind-password establecida en un servidor de directorios de servidor de enlace.
Se produce un error en la asignación de DN virtual al depender de un atributo virtual.
El DN de enlace se rechaza cuando la transformación falla incluso si aparece en la vista.
Asignación de DN incorrecta para la dirección del servidor.
6.3 Directory Proxy Server transforma los caracteres de minúsculas/mayúsculas en los nombres de atributos.
Un consumidor solicitado para Directory Proxy Server para establecer permisos de grupo para los archivos de configuración y de registro (umask 117, chmod 660).
El comando dpadm start vuelca un núcleo central al utilizar el argumento de Java MaxTenuringThreshold.
La asignación de DN puede eliminar las entradas a las que se le haya cambiado el nombre.
El comando dpadm no genera un archivo DPS.pid.
El esquema de configuración de Directory Proxy Server no es coherente con la función SystemMonitorThread.java.
El servidor y la consola no son coherentes para el parámetro searchMode.
Directory Proxy Server falla si se configura para que utilice la autenticación por proxy.
Permiso para definir JAVA HOME por medio de dpadm set-flags.
La asignación de DN no puede utilizarse en rootDSE.
Directory Proxy Server requiere una transformación de DN virtual con atributos de asignación de nombre de varios valores.
Debe proporcionarse una granularidad de tiempo en microsegundos para los tiempos etimes.
El comando splitldif omite las transformaciones virtuales.
Bajo una carga elevada, los sockets pueden permanecer en el estado de espera de cierre.
La opción SO_KEEPALIVE no está establecida en Directory Proxy Server 6.3 (esto es, setKeepAlive() != True) cuando se crea un socket.
La revisión para CR 6513526 puede introducir regresiones debido a valores nulos en los objetos ConfigAttribute.
La propiedad acceptBacklog se omite para las escuchas basadas en canal.
No se envían respuestas de inactividad con la suficiente frecuencia debido a la última actividad realizada en la conexión de un servidor de fondo.
Las respuestas de inactividad no se envían para las conexiones de servidor de fondo enlazadas.
Es posible que no se realicen las comprobaciones del servidor de fondo con la frecuencia necesaria debido a la última actividad del servidor.
La ejecución del comando ldapsearch en entradas de supervisión puede devolver un resultado incoherente.
La realización de una comprobación de disponibilidad debería asegurar que el servidor del servidor de fondo esté inactivo antes de desactivar todas las conexiones.
Puede bloquearse una conexión en caso de una solicitud de abandono.
Se requiere una mejor precisión en la respuesta del servidor de fondo.
Se produce una pérdida de descriptor de archivo en el socket del servidor.
Puede producirse una excepción de puntero nulo al realizar una búsqueda en cn=monitor si se ha definido un grupo de conmutaciones por error sin origen.
Directory Proxy Server sigue abriendo conexiones con el servidor de directorios tras el fallo de un intento de enlace...
Es posible que los clientes de la búsqueda persistente no reciban las notificaciones de cambio de entrada.
Dos conexiones pueden compartir el mismo identificador.
Las búsquedas persistentes no se eliminan tras la desconexión del cliente.
El intervalo de supervisión automática debería establecerse en 1 segundo cuando se detecte un origen de datos inactivo.
Directory Proxy Server asocia distintas operaciones de cliente con la misma conexión de servidor de fondo.
Las conexiones de servidor de fondo no se cierran, sino que se reutilizan si la inactividad es mayor que inactivity-timeout, lo que provoca una pérdida de conexión.
El mantenimiento del conjunto de conexiones y el procesamiento de comprobaciones de estado deberían ser DEBUG.
Dos enlaces largos simultáneos asignan la misma conexión de servidor de fondo a dos conexiones de clientes.
El establecimiento de una ruta jvm-path incorrecta bloquea el reinicio sin advertencias.
Directory Proxy Server devuelve un código de error incorrecto cuando no existen servidores de fondo disponibles.
Debería proporcionarse una opción para cerrar la conexión del cliente en caso de "cannot retrieve backend connection".
La afinidad de cliente no debería habilitarse si useAffinity=false y affinityPolicy se han establecido explícitamente.
Directory Proxy Server no puede iniciarse si uno de los hosts del origen de datos no está disponible.
El comando dpconf debería admitir los nuevos atributos introducidos en Directory Proxy Server 6.3.1_update 1.
El comando dpconf debería admitir la asignación de DN enlace.
Debería proporcionarse un control de versiones más simple para la gestión de las propiedades de Directory Proxy Server.
El comando dpconf debería admitir monitorRetryCount.
La afinidad de clientes omite el indicador de sólo lectura del origen de datos.
Debería completarse la implementación de las revisiones para CR 6714425 y 6714448.
Una expresión de combinación en minúsculas puede provocar que las solicitudes SQL fallen.
El rendimiento de Directory Proxy Server 6.3.1 es inadecuado cuando más de 100 clientes realizan búsquedas persistentes.
Ni el bucle del subproceso de búsqueda persistente ni Directory Proxy Server pueden seguir procesando búsquedas persistentes.
El rendimiento de la búsqueda persistente es inadecuado.
La creación de 20 búsquedas persistentes y su detención provoca que la funcionalidad de la búsqueda persistente falle.
Directory Proxy Server devuelve StringIndexOutOfBoundsException en algunos casos de asignación de atributos y transformación virtual.
Las reglas de transformación y de asignación no funcionan de la manera prevista.
Los subprocesos pueden activarse prematuramente, lo que produce una excepción ASN.1.
Directory Proxy Server devuelve un error incorrecto cuando el servidor de fondo se desactiva.
Puede originarse una excepción de puntero nulo imprevista.
En algunos casos, la vista de datos JDBC puede omitir el esquema de almacenamiento de contraseñas.
Directory Proxy Server puede devolver resultados idénticos cuando varios usuarios distintos enlazan con una conexión de cliente.
En algunos casos, es posible que Directory Proxy Server no se inicie al utilizar JDBC.
Puede producirse una excepción ASN1 imprevista que no pueda controlarse.
Aquí se tratan los siguientes temas:
Directory Proxy Server 6.3.1 update 1 es un parche que se ejecuta sobre una instalación existente de Directory Server Enterprise Edition 6.3.1. Si está ejecutando una versión de Directory Server Enterprise Edition anterior a 6.3.1, primero debe actualizar el producto a la versión 6.3.1 tal y como se describe en el Capítulo 2Notas de instalación antes de ejecutar el parche para Directory Proxy Server 6.3.1 update 1.
Puede descargar el parche Directory Proxy Server 6.3.1 update 1 desde http://www.sun.com/software/products/directory_srvr_ee/get.jsp.
Directory Proxy Server 6.3.1 update 1 es un parche único para todas las plataformas DSEE:
Solaris SPARC
Solaris 9 x86
Solaris 10 x86 y AMD x64
Red Hat Linux
SuSe Linux
HP-UX
Windows
Se dispone de las siguientes distribuciones para cada plataforma:
Distribución de paquetes nativos (excepto para HP-UX)
Distribución ZIP
El parche Directory Proxy Server 6.3.1 update 1 patch 141958-01 está disponible a través de SunSolve y se ejecuta sobre los dos siguientes tipos de instalación:
Los paquetes nativos de Directory Server Enterprise Edition 6.3.1 instalados por medio del instalador Java ES.
Las instalaciones ZIP de Directory Server Enterprise Edition 6.3.1.
En esta sección, se describe la instalación de Directory Proxy Server 6.3.1 update 1.
Realice una copia de seguridad del directorio de instalación de Directory Server Enterprise Edition antes de ejecutar el parche Directory Proxy Server 6.3.1 update 1, ya que más adelante no podrá restaurarse una configuración anterior de Directory Proxy Server. Este consejo se aplica tanto a las instalaciones ZIP como a las de paquetes nativos.
Descargue el parche Patch 141958-01 desde Sunsolve en un directorio downloaded-patch-path.
Detenga las instancias de Directory Proxy Server asociadas con la instalación sobre la que pretenda ejecutarse el parche.
En los sistemas Windows, abra una ventana Símbolo del sistema. En los sistemas UNIX, abra una Ventana de terminal.
Cambie el directorio actual por el directorio con el software de instalación para la plataforma y la distribución (ZIP o nativa) que pretenda actualizar:
El siguiente ejemplo muestra un comando típico para este propósito:
$ cd downloaded-patch-path/SunOS_x64/zip/delivery |
En la siguiente tabla, se muestran las ubicaciones del software de instalación en el directorio downloaded-patch-path.
Sistema operativo |
Directorio con la distribución ZIP |
Directorio con la distribución de paquetes nativos |
---|---|---|
Solaris SPARC |
SunOS/zip/delivery |
SunOS/native/delivery |
Solaris 9 x86 |
SunOS_x86/zip/delivery |
SunOS_x86/native/delivery |
Solaris 10 x86 y AMD x64 |
SunOS_x64/zip/delivery |
SunOS_x64/native/delivery |
Red Hat Linux |
Linux/zip/delivery |
Linux/native/delivery |
SuSE Linux |
Linux/zip/delivery |
Linux/native/delivery |
HP-UX |
Hpux/zip/delivery |
N/A |
Windows |
Windows/zip/delivery |
Windows/native/delivery |
En los sistemas UNIX, ejecute la secuencia de comandos de instalación.
Ejecute el comando siguiente:
$ Install dsee631-install-path |
donde dsee631-install-path es la ruta del directorio en donde se ha instalado Directory Server Enterprise Edition 6.3.1.
Aparecen los siguientes mensajes:
-------------------------------------------------------------------- IMPORTANT : Make sure all the DPS instances associated with the Directory Proxy Server installation being patched are shutdown prior to apply the Directory Proxy Server 6.3.1 Update 1 Patch -------------------------------------------------------------------- Do you want to proceed with the installation (y/Y to proceed, n/N to abort) [n] ? |
Introduzca y para yes. El programa de instalación ejecuta el parche sobre la instalación de Directory Server Enterprise Edition 6.3.1 especificada.
En las instalaciones Windows, ejecute el siguiente comando en la ventana Símbolo del sistema.
Install.exe |
Se abre un asistente que solicita la exploración y selección de la ruta de instalación correcta para la instalación del parche Directory Proxy Server 6.3.1 update 1. Para ejecutar el parche sobre una instalación ZIP de la versión 6.3.1, seleccione el directorio en el que haya instalado Directory Server Enterprise Edition 6.3.1. Para ejecutar el parche sobre una instalación de paquetes nativos, seleccione C:\Program Files\Sun\JavaES5\DSEE.
El asistente ejecuta el parche sobre Directory Server Enterprise Edition 6.3.1.
Asegúrese de que la instalación se haya realizado con éxito mediante la ejecución de estos dos comandos y compruebe que la respuesta sea la misma que la que se muestra a continuación:
$ dpadm -V [dpadm] dpadm : 6.3.1.1 B2009.1106.0156 ZIP [DPS] Sun Microsystems, Inc. Sun-Java(tm)-System-Directory-Proxy-Server/6.3.1.1 B2009.1106.0259 $ dpconf -V [dpconf] clip.jar : 6.3.1 B2008.1121.0155 dpcfg.jar : 6.3.1.1 B2009.1106.0155 dpcfgcli.jar : 6.3.1.1 B2009.1106.0155 common.jar : 6.3.1 B2008.1121.0155 common_cfg.jar : 6.3.1 B2008.1121.0155 |
Se requiere este paso si la versión Directory Server Enterprise Edition 6.3.1 sobre la que ejecuta el parche incluye la revisión de CR 6722222.
Si se ha aplicado la revisión de CR 6722222 (Asignar un DN de enlace (bindDN) a un servidor LDAP (por medio de la regla de asignación de DN del DV del DN de enlace)), ejecute el siguiente comando en todas las instancias de cada controlador de conexión.
$ dpconf set-connection-handler-prop -p port -h host connection handler \ data-view-use-internal-client-identity:true |
Esta propiedad es un marcador que indica que no siempre se requiere la utilización de una identidad de cliente entrante en el enlace con un servidor LDAP remoto. Una vez aplicado 6722222, puede configurarse el comportamiento predeterminado con una propiedad de controlador de conexión tal y como se muestra en el ejemplo.
Reinicie todas las instancias del servidor proxy.
En esta sección, se enumeran los problemas conocidos y las limitaciones encontradas en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.
Los problemas conocidos y las limitaciones de Directory Proxy Server 6.3.1 persisten incluso tras la ejecución del parche para Directory Proxy Server 6.3.1 update 1. Para obtener más información sobre estos problemas, consulte Limitaciones y problemas conocidos de Directory Proxy Server.
En esta sección, se muestra la limitación detectada en el momento del lanzamiento de Directory Proxy Server 6.3.1.
Como se describe en el apartado JDBC Object Classes de Sun Java System Directory Server Enterprise Edition 6.3 Reference, la definición de tablas JDBC utiliza tablas principales y secundarias. Directory Proxy Server no permite que una tabla secundaria sea la tabla principal de una tercera tabla. Esto es, Directory Proxy Server no admite más de un nivel de join-rule.
En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Proxy Server 6.3.1 update 1.
En la versión 6.3, si una entrada tiene más de dos clases de objeto, falla la adición de una entrada por medio de una vista conjunta (LDAP y JDBC) debido a la revisión de CR 6636463. Para añadir este tipo de entrada, deben definirse estas clases de objeto como una superclase en la entrada de configuración jdbc-object-class mediante el siguiente ldapmodify, ya que dpconf set-jdbc-object-class-prop sólo puede añadir una superclase.
En este ejemplo, se añade la siguiente entrada:
dn: uid=test,ou=people,o=join sn: User cn: Test User objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson uid: test userpassword: password givenname: Test mail: test@example.com telephonenumber: 8888-8888 roomnumber: 8000
La vista JDBC está definida como se muestra en el siguiente ejemplo, que era funcional antes de la versión 6.3.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top
Debido a que objectClass:organizationalPerson y objectClass:inetOrgPerson existen en la entrada añadida, es necesario especificar ambas clases como superclases, como se demuestra con el siguiente comando ldapmodify.
$ ldapmodify -p dpsPort -D "cn=Proxy manager" -w password dn: cn=person,cn=example-view,cn=data views,cn=config changetype: modify add: superClass superClass: inetOrgPerson - add: superClass superClass: organizationalPerson |
Tras la ejecución de este ejemplo ldapmodify, se define jdbc-object-class tal y como se muestra en el siguiente ejemplo.
dn: cn=person,cn=example-view,cn=data views,cn=config secondaryTable: country1 secondaryTable: phone1 primaryTable: employee1 objectClass: top objectClass: configEntry objectClass: jdbcObjectClassMapping dnPattern: uid cn: person superclass: top superclass: inetOrgPerson Added superclass: organizationalPerson Added
Pese a que la configuración predeterminada para la propiedad log-level-data-sources-detailed está documentada como none, el valor predeterminado real es all. No obstante, la definición de log-level-data-sources-detailed en cualquier valor distinto de none afecta al rendimiento del servidor y provoca que el archivo access crezca rápidamente. Por este motivo, el valor del parámetro log-level-data-sources-detailed se define automáticamente en none cuando se crean instancias de servidor DPS. Se recomienda que no se defina este parámetro en ningún otro valor.
Debido al problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, Directory Proxy Server debería evitar el uso del algoritmo MD5 para certificados firmados.
Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:
Ejecute el siguiente comando para mostrar la lista de los certificados definidos en una instancia específica de Directory Proxy Server.
$ dpadm list-certs instance-path |
Ejecute los siguientes comandos en cada certificado definido para determinar si se ha firmado con el algoritmo MD5.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
En el siguiente ejemplo, se muestra el resultado típico del comando dsadm show-cert para un certificado firmado con el algoritmo de firma MD5:
Certificate: Data: ... Signature Algorithm: PKCS #1 MD5 With RSA Encryption ... |
Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:
$ dsadm remove-cert instance-path cert-alias |
Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dpadm genera una contraseña de base de datos de certificados predeterminada al crear una instancia de Directory Proxy Server.)
Detenga la instancia de Directory Proxy Server.
Ejecute el comando siguiente:
$ dpadm set-flags instance-path cert-pwd-prompt=on |
Aparece un mensaje de solicitud de contraseña.
Introduzca una contraseña con un mínimo de ocho caracteres.
Reinicie la instancia de Directory Proxy Server y proporcione el Internal (Software) Token cuando se le solicite.
Reemplace cualquier certificado que utilice la función MD5 por certificados que utilicen el algoritmo de firma SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).
Siga los siguientes pasos para generar y almacenar certificados autofirmados:
Ejecute el comando siguiente:
$ dpadm add-selfsign-cert --sigalg SHA1withRSA \ dps-instance-path cert-alias |
El algoritmo de firma predeterminado es MD5withRSA.
Aparece el siguiente mensaje:
[Password or Pin for "NSS Certificate DB"] |
Introduzca la nueva contraseña de la base de datos de certificados.
Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):
Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):
$ dpadm request-cert --sigalg SHA1withRSA instance-path cert-alias |
Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:
$ dpadm add-cert instance-path cert-alias |
Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:
$ dpadm add-cert --ca instance-path trusted-cert-alias |
Este paso se describe en el apartado Creating, Requesting and Installing Certificates for Directory Proxy Server de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Ejecute los siguientes comandos para comprobar si se está utilizando el nuevo certificado.
$ dpadm show-cert -F ascii -o cert-output-file \ dps-instance-path cert-alias $ dsadm add-cert ds-instance-path cert-alias \ cert-output-file $ dsadm show-cert ds-instance-path cert-alias |
Con un servidor de fondo de Microsoft SQL Server, al utilizar los campos smalldate, sólo se admite la versión larga de las fechas o, de lo contrario, se produce un error de conversión tal y como se muestra en el siguiente ejemplo.
ldap_modify: Operations error ldap_modify: additional info: java.lang.Exception: \ com.microsoft.sqlserver.jdbc.SQLServerException: \ Conversion failed when converting datetime from character string. |
La versión larga de una fecha emplea el formato YYYY -MM-DD HH:MM.