Este capítulo contiene información importante específica de cada producto disponible en el momento del lanzamiento de Directory Server.
En este capítulo, se incluyen las siguientes secciones:
En esta sección, se enumeran los errores solucionados desde la última versión de Directory Server.
Al sincronizar Active Directory multidominio con Identity Synchronization para Windows, la sincronización falla en Directory Server debido a las referencias de Active Directory.
Un problema de ACI puede permitir que los usuarios deduzcan los valores correctos.
La utilización de un comodín en lugar de un atributo de número entero por parte de un filtro puede provocar resultados incoherentes en una búsqueda ldap (ldapsearch).
Cuando no puede accederse a los servidores de Active Directory, Directory Server bloquea los complementos de Identity Synchronization para Windows.
Si se realiza el registro mediante un conector obsoleto, Directory Server bloquea los complementos de Identity Synchronization para Windows.
Tras la implementación de Directory Server Enterprise Edition, se crean procesos inactivos. Este problema sólo afecta a la distribución ZIP en HP-UX.
La herramienta dsrepair no funciona correctamente en los sistemas de Microsoft Windows.
La herramienta replcheck no funciona correctamente en los sistemas de Microsoft Windows.
La repetición a través de SSL puede crear pérdidas de memoria.
En la ficha "Suffix Usage" de la consola DSCC en las versiones de Directory Server Enterprise Edition 6, la función de actualización no muestra todos los sufijos.
Si se añade una ACI larga, es posible que las versiones de Directory Server Enterprise Edition 6 se bloqueen.
Si se emplean filtros de búsqueda largos y compuestos, el rendimiento de la búsqueda se ve perjudicado.
La utilización del complemento de contraseña reversible (des-plugin) puede provocar un fallo en la repetición.
Las versiones de Directory Server Enterprise Edition 6 no admiten varios certificados de entidad emisora de certificados (certificate-authority) con el mismo DN en la base de datos de certificados.
La utilización de un gran número de maestros impide una supervisión adecuada de la repetición.
La habilitación de una directiva de contraseñas en una topología de repetición que incluya a Directory Server Enterprise Edition 5.2 y a Directory Server Enterprise Edition 6 provoca un fallo en la repetición.
Una condición de competencia puede provocar un fallo al final de una sesión de repetición.
Algunas operaciones de mantenimiento pueden causar una recuperación de la base de datos al reiniciar el servidor.
La utilización de pwdReset en una directiva de contraseñas impide la modificación de una contraseña por medio de una autorización proxy.
La introducción de un espacio tras las comillas en una cadena de ACI puede provocar evaluaciones erróneas de ACI.
Es posible que la consola DSCC no pueda mostrar una ACI larga.
Un CoS complejo puede disminuir el rendimiento.
La existencia de unos derechos de acceso insuficientes durante la rotación del archivo de registro puede provocar el bloqueo de las versiones de Directory Server Enterprise Edition 6.
Las directivas de contraseñas admiten actualmente un límite de tiempo de espera para la contraseña de 315360000 segundos (casi 10 años), cifra inferior a la de 2147483647 segundos anterior (68 años aproximadamente).
Si el código pin NSS es superior a ocho caracteres, las versiones de Directory Server Enterprise Edition 6 no pueden iniciarse.
Una lista de candidatos con más de 2,5 millones de entradas provoca un bloqueo del servidor.
La utilización de DSCC para editar un atributo con una sintaxis binaria daña el valor del atributo.
Una condición de competencia en la apertura y cierre de una conexión puede provocar el bloqueo de las versiones de Directory Server Enterprise Edition 6 en connection_getIp_string.
Si el complemento de unicidad de atributo está configurado, pero no está habilitado, puede provocar un bloqueo de las versiones de Directory Server Enterprise Edition 6.
Una condición de competencia en una evaluación de ACI puede provocar el bloqueo del servidor de directorios.
Si se realiza una operación de mantenimiento durante la ejecución del recorte del registro de cambios, puede provocarse un error grave o un bloqueo de la base de datos.
Una autenticación de paso a través impide que ns-slapd se apague.
Cuando la directiva de contraseñas se está ejecutando en modo de compatibilidad, los valores de contraseña se muestran de forma legible en el auditlog independientemente del valor de passwordStorageScheme.
La restauración de una copia de seguridad con un changelog grande (con más de 30.000 páginas de base de datos) registra los siguientes mensajes:
DEBUG - conn=-1 op=-1 msgId=-1 - libdb: Lock table is out of available locks ERROR<8232> - Replication - conn=-1 op=-1 msgId=-1 - Internal error Truncate of changelog file failed, error 12 (Not enough space) |
Con el control Sun Cluster 3.2 en Solaris 10 AMD64, Directory Server no se inicia.
Una condición de competencia entre un recorte del registro de cambios y una operación en la entrada recortada pueden provocar el bloqueo del servidor de directorios.
Si el tamaño del grupo de repetición es mayor que uno, los tiempos etime de las operaciones repetidas se calculan de forma incorrecta.
Puede importarse un índice incorrectamente en una importación de varios pases.
No puede inhabilitarse una referencia con DSCC una vez se ha habilitado.
DSCC no procesa correctamente atributos con subtipos.
Una condición de competencia con una ACI que contenga reglas DNS provoca el bloqueo de DS.
El registro de cambios de repetición se vacía tras una restauración de la copia de seguridad con el siguiente mensaje
INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - replica_reload_ruv: Warning: new data for replica does not match the data in the changelog. Recreating the changelog file. This could affect replication with replica's consumers in which case the consumers should be reinitialized. |
Directory Server se bloquea si se detiene el servidor durante una indexación.
Si Directory Server se bloquea bajo el control de Sun Cluster 3.2, se inicia la conmutación por error del clúster, pero requiere más de 4 minutos.
Los maestros actualizados con poca frecuencia pueden dar lugar a copias de seguridad que quedan obsoletas rápidamente.
En una configuración de repetición, la eliminación de entradas crea índices VLV incorrectos.
Los mensajes de la restauración de la base de datos son incoherentes entre los archivos del DSCC y los del registro de errores.
En una condición de competencia, el registro de cambios de Directory Server Enterprise Edition 6.3 no queda recortado.
En una condición de competencia, la eliminación de un sufijo puede provocar un error grave en la base de datos.
Si se asigna una directiva de contraseñas por medio de CoS, es posible que el servidor de directorios no libere la memoria.
En versiones de Directory Server Enterprise Edition 6, des-plugin.so no está firmado.
La distribución zip suministra JRE 1.5.0_12 en lugar de la versión 1.5.0_9 de versiones anteriores.
Una condición de competencia entre la actualización y el volcado de las páginas de la base de datos puede provocar un bloqueo en el servidor, errores graves en la base de datos o pérdida de actualizaciones.
Un enlace SASL en una conexión puede provocar el bloqueo del servidor de directorios.
Es posible que los consumidores dejen de sincronizarse si ds-polling-thread-count es mayor que 1 (lo que es probable en una máquina CMT).
En los siguientes apartados, se describen los problemas conocidos y las limitaciones en el momento de lanzamiento.
En algunos casos, los cambios realizados en los permisos de archivos del producto Directory Server Enterprise Edition instalado pueden impedir el correcto funcionamiento del software. Cambie sólo los permisos de archivos siguiendo las instrucciones de la documentación del producto o del servicio de asistencia técnica de Sun.
Para solucionar esta limitación, instale los productos y cree las instancias del servidor como un usuario con los permisos de usuario y grupo adecuados.
Aunque nada le impide configurar la repetición del sufijo cn=changelog, esto podría interferir en el proceso de repetición. No repita el sufijo cn=changelog. El complemento de registro de cambios retroactivos crea el sufijo cn=changelog.
Directory Server admite Sun Cluster 3.2. Si Directory Server se ejecuta en Sun Cluster, y se establece nsslapd-db-home-directory para que utilice un directorio que no esté compartido, varias instancias comparten archivos de la caché de la base de datos. Tras una conmutación por error, la instancia de Directory Server en el nuevo nodo utiliza los archivos de la caché de la base de datos potencialmente caducados.
Para solucionar esta limitación, puede utilizar un directorio para nsslapd-db-home-directory que esté compartido o eliminar de forma sistemática los archivos de nsslapd-db-home-directory al inicio de Directory Server.
Si LD_LIBRARY_PATH contiene /usr/lib, se utilizará la biblioteca SASL incorrecta, lo que provocará errores en el comando dsadm tras la instalación.
Una operación de modificación de LDAP en cn=config sólo puede utilizar la operación secundaria de sustitución. Se rechazará cualquier intento de agregar o eliminar un atributo con el mensaje DSA is unwilling to perform (DSA no dispuesto a funcionar), error 53. Aunque Directory Server 5 aceptaba la adición o eliminación de un atributo o un valor de atributo, la actualización al archivo dse.ldif se aplicó sin ninguna validación de valores, por lo que el estado interno de DSA no se actualizó hasta que se detuvo e inició esta aplicación:
Se ha desaprobado el uso de la interfaz de configuración cn=config. En su lugar, utilice el comando dsconf siempre que sea posible.
Para solucionar esta limitación, la operación secundaria de sustitución de la operación de modificación de LDAP se puede sustituir por la operación secundaria de adición o eliminación. No se perderá ninguna funcionalidad. Además, después del cambio, el estado de la configuración de DSA será más predecible.
Este problema sólo afecta a las instancias del servidor en los sistemas Windows y se debe al rendimiento de los sistemas Windows al utilizar TLS de inicio.
Para solucionar este problema, utilice la opción -P con el comando dsconf para establecer directamente una conexión mediante el puerto SSL. Si la conexión de red ya está protegida, pruebe a utilizar la opción -e con el comando dsconf. Esta opción le permite conectarse al puerto estándar sin solicitar una conexión segura.
Después de suprimir una instancia de Directory Server repetida de una topología de repetición, los vectores de actualización de la repetición puede seguir conservando referencia a esa instancia. Por lo tanto, es posible que existan referencias a instancias que ya no existen.
Para solucionar este problema al realizar la instalación desde paquetes nativos, utilice el comando cacaoadm enable como root.
Para solucionar este problema en Windows, seleccione Iniciar sesión en las propiedades del servicio de contenedor de agentes común, introduzca la contraseña del usuario que ejecuta el servicio y pulse Aplicar. Si aún no ha configurado esta opción, recibirá un mensaje en el que se indica que al user name se le ha otorgado el derecho "Iniciar sesión como servicio".
La propiedad de configuración max-thread-per-connection-count de Directory Server no es aplicable en los sistemas de Windows.
Un error de Microsoft Windows 2000 Standard Edition Microsoft Windows 2000 Standard Edition bug provoca que el servicio de Directory Server aparezca como inhabilitado tras eliminar dicho servicio de la Microsoft Management Console.
La consola no permite que el administrador inicie una sesión en un servidor con Windows XP.
Para solucionar este problema, la cuenta de invitado debe inhabilitarse y la clave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest debe establecerse en 0.
Si se cambia la configuración de índice de un atributo, todas las búsquedas que incluyan ese atributo como filtro se considerarán como no indexadas. Para garantizar el correcto procesamiento de las búsquedas que incluyan ese atributo, utilice el comando dsadm reindex o dsconf reindex para volver a generar los índices existentes cada vez que se modifique la configuración de índice de un atributo. Para obtener más información, consulte el Capítulo 13, Directory Server Indexing de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Si la contraseña de Directory Manager contiene un carácter de espacio, la cuenta de Directory Manager no puede crear una instancia de Directory Server o de Directory Proxy Server por medio de la consola.
Debido a este mismo problema, el comando dsccsetup ads-create —w password-file falla si el archivo de la contraseña contiene un carácter de espacio.
En las instancias instaladas desde la distribución zip de DSEE 6.0 y de versiones posteriores, los comandos dsadm y dpadm no admiten Service Management Facility (SMF). Si la instancia se registra manualmente en SMF, se controla por medio de SMF de modo que si esta instancia se detiene a través de los comandos dsadm o dpadm o por medio de DSCC, SMF reinicia la instancia.
La función SMF sólo es totalmente compatible con la distribución nativa de 6.0 y de versiones posteriores.
En esta sección, se muestran los problemas detectados en el momento del lanzamiento de Directory Server 6.3.1.
Se ha detectado que Directory Server se bloquea al detener el servidor mientras se está realizando una operación de copia de seguridad, restauración, creación de índices o exportación en línea.
Directory Server se bloquea al ejecutar el comando stop-slapd .
Al importar entradas de LDIF, Directory Server no genera los atributos createTimeStamp y modifyTimeStamp.
La importación de LDIF se ha optimizado para acelerar el proceso. Durante la importación, no se generan estos atributos. Para solucionar esta limitación, agregue las entradas en lugar de importarlas. También puede procesar previamente el archivo LDIF para agregar los atributos antes de realizar la importación.
Si los certificados contienen nombres localizados, dichos certificados no pueden eliminarse correctamente. Ni tampoco pueden enumerarse de una manera adecuada.
Algunos mensajes de error de Directory Server hacen referencia a una guía inexistente denominada Guía de errores de la base de datos. Si no comprende el significado de un mensaje de error que no se incluye en la documentación, póngase en contacto con el servicio de asistencia técnica de Sun.
Al eliminar el software, el comando dsee_deploy uninstall no detiene ni elimina las instancias del servidor eistentes.
Para solucionar esta limitación, siga las instrucciones de la Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide.
El comando dsconf accord-repl-agmt no puede alinear las propiedades de autenticación del acuerdo de repetición si se ha utilizado la autenticación de cliente SSL en el sufijo de destino.
Para solucionar este problema, guarde el certificado del proveedor en la configuración del consumidor mediante los siguientes pasos: Los comandos de ejemplos se basan en dos instancias ubicadas en el mismo host.
Exporte el certificado a un archivo.
En el siguiente ejemplo, se muestra cómo realizar la exportación en los servidores ubicados en /local/supplier y /local/consumer.
$ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert |
Intercambie los certificados del cliente y el proveedor.
En el siguiente ejemplo, se muestra cómo realizar el intercambio en los servidores ubicados en /local/supplier y /local/consumer.
$ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt |
Agregue la entrada del cliente SSL en el consumidor, incluido el certificado supplierCert del atributo usercertificate;binary, con el DN de asunto (subjectDN) adecuado.
Agregue el DN del administrador de repetición en el consumidor.
$ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN |
Actualice las reglas de /local/consumer/alias/certmap.conf.
Reinicie los dos servidores con el comando dsadm start.
Centro de control del servicio de directorios ordena los valores como cadenas. Por lo tanto, al realizar esta clasificación, los números de Centro de control del servicio de directorios, se ordenan como si fueran cadenas.
Un orden ascendente de 0, 20, y 100 da como resultado la lista 0, 100, 20. Un orden descendente de 0, 20, y 100 da como resultado la lista 20, 100, 0.
Los nombres de certificados que contienen caracteres multibyte se muestran como puntos en la salida del comando dsadm show-cert instance-path valid-multibyte-cert-name.
Directory Server no analiza correctamente los DN de destino de ACI que contengan comillas o una única coma. Las siguientes modificaciones de ejemplo provocan un error de sintaxis:
dn:o=mary\"red\"doe,o=example.com changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com") (targetattr="*")(version 3.0; acl "testQuotes"; allow (all) userdn ="ldap:///self";)
dn:o=Example Company\, Inc.,dc=example,dc=com changetype:modify add:aci aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com") (targetattr="*")(version 3.0; acl "testComma"; allow (all) userdn ="ldap:///self";)
Sin embargo, se ha detectado que los ejemplos con más de una coma separada con un espacio se analizan correctamente.
Se ha detectado que el comando dpconf muestra dos veces el aviso Introduzca la contraseña "cn=Directory Manager": cuando se utiliza en el modo interactivo.
En Windows, la autenticación SASL presenta errores por los dos motivos siguientes:
Se utiliza el cifrado SASL.
Para solucionar este problema provocado por el cifrado SASL, detenga el servidor, edite dse.ldif y restablezca SASL a la siguiente configuración.
dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0 |
La instalación se realiza mediante paquetes nativos.
Para solucionar este problema provocado por la instalación mediante paquetes nativos, establezca SASL_PATH en install-dir\share\lib.
Centro de control del servicio de directorios no muestra correctamente los valores binarios de userCertificate.
dsrepair fix-entry no funciona si el origen es un desecho y el destino es una entrada (operación de eliminación no repetida).
Para solucionar este problema, utilice el comando dsrepair delete-entry a fin de eliminar la entrada. A continuación, utilice el comando dsrepair add-entry para agregar el elemento desechado.
El nombre del atributo de configuración passwordRootdnMayBypassModsCheck no indica con claridad que el servidor permite ahora a cualquier administrador omitir la comprobación de sintaxis de la contraseña al modificar la contraseña de otro usuario si se ha establecido este atributo.
En Windows, las salidas de los comandos dsadm y dpadm , y los mensajes de ayuda no se han traducido al chino simplificado ni al tradicional.
Aunque Centro de control del servicio de directorios permite copiar la configuración de un servidor existente, no permite copiar la configuración del complemento.
En los sistemas Windows, se ha detectado que el comando dsconf no puede realizar la importación de LDIF si el nombre del archivo LDIF contiene caracteres de doble byte.
Para solucionar este problema, cambie el nombre del archivo LDIF para que no contenga ningún carácter de doble byte.
El comando dsadm enable-service no funciona correctamente con Sun Cluster.
En ocasiones, el comando dsee_deploy puede quedar bloqueado al registrar el componente Monitoring Framework en el contenedor de agentes común.
El atributo SSLCiphers admitido en el DSE raíz, muestra cifrados NULOS que, de hecho, no están admitidos por el servidor.
Ni Centro de control del servicio de directorios ni el comando dsconf permiten configurar la forma en que Directory Server maneja las firmas de complementos no válidas. Las firmas de complementos se comprueban de forma predeterminada, aunque no es necesario que sean válidas. Directory Server registra una advertencia cuando se detectan firmas no válidas.
Para cambiar el comportamiento del servidor, ajuste los atributos ds-require-valid-plugin-signature y ds-verify-valid-plugin-signature en cn=config. Los valores de estos dos atributos son on (activado) u off (desactivado).
Centro de control del servicio de directorios no permite examinar un sufijo configurado para devolver una referencia a otro sufijo.
Después de la instalación y la creación de las instancias del servidor en los sistemas Windows, los permisos de archivos de las carpetas de instalación y de instancias del servidor permiten el acceso a todos los usuarios.
Para solucionar este problema, cambie los permisos de las carpetas de instalación y de instancias del servidor.
En la plataforma HP-UX, no se puede acceder a las páginas de comando man de Directory Server Enterprise Edition de las siguientes secciones desde la línea de comandos:
man5dpconf.
man5dsat.
man5dsconf.
man5dsoc.
man5dssd.
Para solucionar este problema, acceda a las páginas de comando man disponibles en la Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference. En esa ubicación, podrá descargar un documento PDF con todas las páginas de comando man de Directory Server Enterprise Edition.
Al intentar introducir una plantilla de CoS no válida, pueden producirse bloqueos en las versiones de Directory Server 6.
Al habilitar el modo de referencia para Directory Server utilizando Centro de control del servicio de directorios a través de Internet Explorer 6, el texto de la ventana de confirmación del modo de referencia aparece truncado.
Para solucionar este problema, utilice un navegador diferente como, por ejemplo, Mozilla.
Después de actualizar una réplica y transferir los servidores a nuevos sistemas, debe volver a crear los acuerdos de repetición para utilizar los nuevos nombres de host. Centro de control del servicio de directorios permite eliminar los acuerdos de repetición existentes, pero no crear nuevos acuerdos.
En los sistemas Red Hat, el comando dsadm autostart no garantiza siempre que las instancias del servidor se inicien durante el arranque.
El comando dsconf no solicita la opción dsSearchBaseDN adecuada al configurar DSML.
En los sistemas Windows, se ha detectado que Directory Server no puede iniciarse cuando el nombre de base de la instancia es ds.
Al realizarse la instalación desde la distribución zip, el comando dsee_deploy no proporciona una opción para configurar el puerto adaptador de SNMP y el puerto adaptador de flujo.
Para solucionar este problema,
Habilite el complemento de supervisión (Monitoring Plug-in) por medio de la consola web o de dpconf.
Por medio de cacaoadm set-param, modifique snmp-adaptor-port, snmp-adaptor-trap-port y commandstream-adaptor-port.
El comando dsconf help-properties se ha configurado para que sólo funcione correctamente tras la creación de la instancia. Además, la lista correcta de los valores del comando dsml-client-auth-mode debería ser client-cert-first | http-basic-only | client-cert-only.
En la distribución de parches nativa, el calendario en miniatura utilizado para seleccionar fechas para filtrar los registros de acceso no aparece traducido correctamente al chino tradicional.
Al crear un índice en un esquema personalizado, DSCC no distribuye completamente el cambio de nivel de sufijo de all-ids-threshold.
Parte de la salida mostrada por los comandos dsccmon, dsccreg, dsccsetup y dsccrepair no está traducida.
Si se cambia la configuración local del sistema y se inicia DSCC, no se mostrará el mensaje de la ventana emergente con la configuración local seleccionada.
En Solaris 10, la verificación de contraseñas no se realiza en las instancias que incluyen caracteres multibyte en sus DN al utilizar las configuraciones regionales inglesa y japonesa.
La detección de una instancia de Directory Server por parte de Java Enterprise System Monitoring Framework no se realiza satisfactoriamente cuando el proceso ns-slapd se ha iniciado de forma remota mediante rsh.
En HP-UX, la desasociación de gdb de un proceso en ejecución de ns-slapd, finaliza el proceso y genera un volcado del núcleo central.
En los sistemas HP-UX, las aplicaciones que utilizan las bibliotecas NSPR se bloquean y realizan un volcado del núcleo tras efectuarse la investigación con gdb. Este problema se produce al adjuntar gdb a una instancia de Directory Server en ejecución y utilizar a continuación el comando gdb quit.
Al hacer clic en Examinar la ayuda en pantalla de DSCC, no se muestra la ayuda si se utiliza Internet Explorer.
La API del complemento de Directory Server incluye las funciones slapi_value_init() (), slapi_value_init_string()() y slapi_value_init_berval() ().
Todas estas funciones necesitan la función "listo" para liberar los elementos internos. Sin embargo, la API pública no presenta la función slapi_value_done() ().
Es posible que falle la creación en DSCC de una instancia de Directory Server con caracteres de varios bytes en su ruta o que ésta no pueda iniciarse ni realizar otras tareas regulares.
Algunos de estos problemas pueden resolverse mediante el uso del conjunto de caracteres utilizado para crear la instancia. Defina el conjunto de caracteres por medio de los siguientes comandos:
# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
Para evitar estos problemas, utilice exclusivamente los caracteres ASCII en la ruta de la instancia.
Al modificar la directiva de contraseñas mediante Centro de control del servicio de directorios, es posible que los atributos que no se hayan modificado se restablezcan de forma inadvertida.
Si se utiliza Centro de control del servicio de directorios para administrar la directiva de contraseñas predeterminada, no se producirá ningún error. Sin embargo, si se utiliza Centro de control del servicio de directorios para administrar las directivas de contraseñas especializadas, es posible que se restablezcan los atributos que no se hayan modificado.
Al usar la utilidad de administración de servicios (SMF) en Solaris 10 para habilitar una instancia del servidor, es posible que la instancia no se inicie al reiniciar el sistema y se devuelva el siguiente error.
svcadm: Instance "svc:/instance_path" is in maintenance state. |
Para solucionar este problema, utilice un usuario local para crear los servidores de Directory Server y de Directory Proxy Server.
En HP-UX, es posible que los comandos dsadm y dpadm no encuentren la biblioteca compartida libicudata.sl.3.
Para solucionar este problema, establezca la variable SHLIB_PATH.
env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm |
Es posible que se produzca un error al utilizar DSCC junto con Tomcat 5.5 y JDK 1.6.
Para solucionar este problema, utilice en su lugar JDK 1.5.
Sun Java System Application Server, integrado con Solaris 10, no puede crear una conexión de cliente SASL para un mecanismo autenticado y no se comunica con el contenedor de agentes común.
Como solución, cambie la JVM utilizada por el servidor de aplicaciones mediante la edición del archivo appserver-install-path/appserver/config/asenv.conf y sustituya la entrada AS_JAVA por AS_JAVA="/usr/java". Reinicie el dominio del servidor de aplicaciones.
dsadm autostart puede provocar errores en la autenticación LDAP al reiniciarse el sistema.
Para solucionar este problema, invierta el orden de las secuencias de comandos de inicio. El orden predeterminado es /etc/rc2.d/S71ldap.client y /etc/rc2.d/S72dsee_directory .
En Solaris 9 y Windows, al acceder a la ayuda en pantalla desde la consola configurada mediante un archivo de almacenamiento web (WAR), se muestra un error.
Si se modifica el número de puerto mediante DSCC en un servidor con sufijos repetidos, pueden producirse problemas al establecer el acuerdo de repetición entre los servidores.
Si la descompresión de un archivo zip no está disponible en el sistema, dsee_deploy no instala ningún producto.
Para utilizar Centro de control del servicio de directorios en su versión localizada, ejecute el parche localizado de Directory Server Enterprise Edition 6.3.1 antes que el parche central de Directory Server Enterprise Edition 6.3.1 o ejecute los siguientes comandos en el orden especificado.
# dsccsetup console-unreg # dsccsetup console-reg |
No es necesario ejecutar los comandos dsccsetup console-unreg y console reg si ejecuta el parche localizado de Directory Server Enterprise Edition 6.3.1 antes que el parche central de Directory Server Enterprise Edition 6.3.1.
En una instalación basada en zip, el parche localizado de Directory Server Enterprise Edition 6.3.1 no se aplica automáticamente en Centro de control del servicio de directorios. Como solución, anule la implementación del archivo WAR y vuelva a implementarlo.
Centro de control del servicio de directorios y el comando dsadm de las versiones 6.1 o posteriores no muestran el certificado de CA integrado de las instancias de Directory Server creadas con el comando dsadm de la versión 6.0.
Para solucionar este problema:
Agregue el módulo de 64 bits a la versión de 64 bits de modutil:
$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db |
Centro de control del servicio de directorios no tiene capacidad RBAC.
Si se utiliza una codificación distinta de UTF-8, y si la ruta de instalación contiene caracteres distintos de ASCII, la herramienta dsee_deploy no puede instalar Java Enterprise System Monitoring Framework dentro del contenedor de agentes común.
La salida del comando dsadm show-*-log l no incluye las líneas correctas. Puede incluir las últimas líneas de un registro rotado anteriormente.
La salida del comando dsadm show-*-log no se muestra correctamente cuando algunas líneas del registro contienen más de 1.024 caracteres.
En los servidores registrados en DSCC como de escucha en todas las interfaces (0.0.0.0), al intentar utilizar dsconf para modificar la dirección de escucha de los servidores, se producen errores en DSCC.
Para utilizar sólo el puerto SSL y configurar la dirección de escucha segura con Directory Server Enterprise Edition 6.3, utilice esta solución:
Cancele el registro del servidor desde DSCC:
dsccreg remove-server /local/myserver |
Inhabilite el puerto LDAP.
dsconf set-server-prop ldap-port:disabled |
Configure una dirección de escucha segura:
dsconf set-server-prop secure-listen-address:IPaddress |
dsadm restart /local/myserver |
Registre el servidor mediante DSCC. En el Asistente para registrar servidores, especifique la dirección IP del servidor. Esta operación no puede deshacerse.
Después de implementar el archivo WAR, el botón Ver topología no funciona siempre. A veces puede generarse una excepción de Java basada en org.apache.jsp.jsp.ReplicationTopology_jsp._jspService
El comando de importación en bloque ldapmodify puede dañar los datos existentes. La especificación de la opción -B suffix provoca la eliminación de todos los datos existentes en el sufijo.
Por lo tanto, el contenido de la página de comando man ldapmodify es incorrecto cuando afirma que la importación en bloque por medio del comando ldapmodify no elimina las entradas existentes.
En Windows, con la configuración regional coreana, el comando dsadm start no muestra el registro de errores de nsslapd cuando ns-slapd no puede iniciarse.
En la configuración regional coreana, al hacer clic en el botón Remove Attribute del apartado Encrypted Attributes Section de Centro de control del servicio de directorios, se muestra el siguiente mensaje de error incompleto:
You have chosen to remove |
El mensaje debería especificar lo siguiente:
You have chosen to remove {0} from the list of encrypted attributes. In order for the database files to reflect the configuration and to work properly you must Initialize the Suffix. Do you want to continue? |
Si se cambia o elimina un atributo en la tabla de índices adicionales de la ficha Índices de Centro de control del servicio de directorios, es posible que se muestra información obsoleta hasta que se actualice el navegador.
En la distribución zip de Windows 2000, con Tomcat 5.5 Application Server e Internet Explorer 6, en el paso "Step 3: Assign Access Rights" del asistente "New DS Access Control Instruction" de Centro de control del servicio de directorios, al hacer clic en el botón "Delete" del cuadro de lista "Assign Rights to Specified Users: ", puede producirse una excepción similar a la siguiente:
The following error has occurred: Handler method "handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature Show Details Hide Details com.iplanet.jato.command.CommandException: Handler method "handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute (DefaultRequestHandlingCommand.java:167) com.iplanet.jato.view.RequestHandlingViewBase.handleRequest (RequestHandlingViewBase.java:308) com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)
La repetición de un maestro de Directory Server 6.X en un maestro de la versión 5.1 no funciona correctamente.
En chino tradicional, la traducción que aparece en Centro de control del servicio de directorios de la cadena "Initialize Suffix with Data..." de la ficha Replication Settings de un sufijo es confusa.
Antes de actualizar Directory Server Enterprise Edition 6.2 a la versión Directory Server Enterprise Edition 6.3, debe detenerse manualmente ntservice para cada instancia de Directory Server o de Directory Proxy Server; no obstante, el comando dsee_deploy no puede identificar instancias en ejecución de Directory Server o de Directory Proxy Server en la plataforma Microsoft Windows 2000.
En la distribución zip de Microsoft Windows 2000, al realizar la actualización, el comando dsee_deploy puede fallar. El mensaje de error es el siguiente:
error: cannot delete old C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe
Esto indica que todavía existe una instancia en ejecución de Directory Server o de Directory Proxy Server. Para detener la instancia o las instancias, en Microsoft Windows 2000, seleccione Inicio > Configuración > Panel de control y seleccione Herramientas administrativas y Servicios. En cada servicio de Directory Server o de Directory Proxy Server mostrado en la columna derecha, haga clic con el botón derecho en la instancia y seleccione Detener.
En Centro de control del servicio de directorios, la operación Copy Suffix Configuration puede provocar la aparición de ventanas emergentes erróneas.
DSCC no tiene por qué recuperar necesariamente los certificados de agente que crea. DSCC trata de almacenar el certificado en 'agent-profile' del registro DSCC, pero si ldap-port en el registro DSCC está enlazado con la interfaz de bucle invertido, no puede almacenarse el certificado. No obstante, DSCC puede leer el registro DSCC, ya que por su diseño debe utilizar localhost para comunicarse con el registro DSCC.
Para solucionar esta limitación, use el comando ldapmodify para crear agent-profile en el registro DSCC.
Un intento de detener/iniciar/reiniciar el servidor a través de una versión localizada de DSCC puede provocar la visualización de mensajes localizados difusos.
Como solución, edite el archivo cacao.properties, elimine el indicador -Dfile.encoding=utf-8 y reinicie cacao en la configuración regional deseada.
Si una instancia de Directory Proxy Server sólo tiene habilitado secure-listen-socket/port mediante DSCC y el certificado del servidor no es el predeterminado (por ejemplo, si se trata de un certificado firmado por una entidad emisora), no se podrá usar DSCC para administrar la instancia.
Para solucionar este problema, cancele el registro de la instancia de DPS y vuelva a registrarla. También puede actualizar la información del certificado de usuario de la instancia de DPS en el registro de DSCC mediante el certificado del servidor.
Las versiones de Directory Server 5 y de Directory Server Enterprise Edition 6 pueden encontrarse con problemas de rendimiento al utilizar el sistema de archivos Veritas (VxFS) versión 4.1 y 5.0 en Solaris 9 y Solaris 10 (SPARC o x86). El problema de rendimiento está dentro de la llamada del sistema fdsync y afecta, por ejemplo, al punto de comprobación de Directory Server. Este problema se soluciona con la función VMODSORT de Solaris. Para obtener más información, consulte http://sunsolve.sun.com/search/document.do?assetkey=1-66-201248-1.
Directory Server Enterprise Edition 6 puede encontrarse con un problema de rendimiento (CR 6703850) al utilizar el sistema de archivos Veritas con la función VMODSORT. Este problema se produce al añadir una página al archivo (por ejemplo, id2entry.db3). Este error provoca que la llamada del sistema ftruncate utilice tantos recursos como al emplear el sistema de archivos Veritas sin la función VMODSORT.
Las directivas de contraseñas miden la longitud de las contraseñas mediante el número de bytes, por lo que una contraseña que contenga caracteres con varios bytes puede verse afectada por la directiva de longitud de contraseñas incluso si la contraseña en cuestión contiene menos caracteres que el mínimo especificado. Por ejemplo, una contraseña con 7 caracteres que contuviera un carácter de 2 bytes cumpliría con una directiva de contraseñas que hubiera establecido en 8 su longitud mínima.
El ejemplo 1 de la página de comando man para el comando modrate contiene errores de uso. El siguiente ejemplo es correcto:
modrate -D uid=hmiller,ou=people,dc=example,dc=com -w hillock -b "uid=test%d,ou=test,dc=example,dc=com" \ -C 3 -r 100 -M 'description:7:astring' |
La propiedad nsslapd-groupevalsizelimitis no está documentada. La siguiente descripción se aplica a esta propiedad.
nsslapd-groupevalsizelimit número máximo de miembros del grupo estático para la evaluación ACI.
Define el número máximo de miembros que un grupo estático (incluidos los miembros de sus subgrupos) puede tener para una evaluación ACI.
cn=config
0 hasta el valor de número entero de 64 bits máximo
Un valor de -1 significa infinito.
5000
Número entero
nsslapd-groupevalsizelimit: 5000
Consulte la página de comando man de atributos (5) para obtener una descripción de los siguientes atributos:
TIPO DE ATRIBUTO |
VALOR DE ATRIBUTO |
---|---|
Disponibilidad |
SUNWldap-directory |
Nivel de estabilidad |
Obsoleto: se programa su eliminación tras esta versión |
En los sistemas UNIX, cualquier intento de cambiar la ruta de cualquier archivo de registro con dsconf set-log-prop o DSCC no se realizará satisfactoriamente si la nueva ruta del archivo de registro no existe previamente.
El valor de minheap está descrito de forma incorrecta en la Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference. El valor de minheap es igual al doble de la cantidad de la memoria del montón utilizada por el servidor en el inicio.
El intento de editar un valor de atributo que contenga un retorno de carro provoca que el valor quede dañado.
Debido a un daño potencial de la base de datos presente pero no detectado en la versión 6.2, antes de actualizar Directory Server Enterprise Edition 6.2 a la versión 6.3.1, reconstruya la base de datos mediante su exportación a un archivo LDIF y, después, vuelva a importar el archivo LDIF. En un entorno repetido, reconstruya o reinicie todos los servidores. La exportación, importación e inicialización de servidores en un entorno repetido se describe en la Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Esto sólo es aplicable en caso de actualización desde Directory Server Enterprise Edition 6.2, por lo que no es pertinente para actualizaciones desde las versiones 6.0, 6.1 ó 6.3.
Los nombres de base de datos sólo pueden contener caracteres alfanuméricos ASCII (7 bits), guiones (-) y caracteres de subrayado (_). Directory Server no acepta los caracteres multibyte (como, por ejemplo, los juegos de caracteres chinos o japoneses) en las cadenas de los nombres de base de datos, archivo o ruta. Para solucionar este problema, al crear un sufijo de Directory Server con caracteres multibyte, especifique un nombre de base de datos que no incluya caracteres de este tipo. Por ejemplo, al crear un sufijo en la línea de comandos, establezca de forma explícita la opción --db-name del comando dsconf create-suffix.
$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN |
No utilice el nombre de base de datos predeterminado para el sufijo. No utilice caracteres multibyte para el nombre de la base de datos.
Directory Server Enterprise Edition 6 no se detiene correctamente durante el cierre de Windows si está registrado como servicio. Al reiniciar el sistema, se registra el siguiente mensaje en el archivo del registro de errores:
WARNING<20488> - Backend Database - conn=-1 op=-1 msgId=-1 - Detected Disorderly Shutdown last time Directory Server was running, recovering database. |
Para solucionar este problema, detenga el servicio Directory Service manualmente antes de apagar o reiniciar.
Para detener las instancias en Microsoft Windows, seleccione Inicio > Configuración > Panel de control y, después, Herramientas administrativas y Servicios. En cada servicio de Directory Server mostrado en la columna derecha, haga clic con el botón derecho sobre la instancia y seleccione Detener. Como alternativa, ejecute este comando:
$ dsadm.exe stop instance-path |
La especificación de las unidades de red de Microsoft Windows distingue entre mayúsculas y minúsculas. Por lo tanto, al utilizar, por ejemplo, C:/ y c:/, en los comandos de administración de DSEE, es posible que la repetición presente errores una vez reiniciados los elementos principales. Para solucionar este problema, utilice 'DSEE_HOME/ds6/bin/dsconf accord-repl-agmt' a fin de corregir el acuerdo de repetición.
La especificación de las unidades de red de Microsoft Windows distingue entre mayúsculas y minúsculas. Por lo tanto, al utilizar, por ejemplo, C:/ and c:/, en los comandos de administración de DSEE, se pueden generar diversos mensajes de error como los siguientes:
WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install |
Para evitar estas advertencias, asegúrese de utilizar en todo momento C:/.
En Windows 2000, pueden aparecer errores de base de datos en los servidores de fondo. Este problema sólo existe en Microsoft Windows. Cuando esto sucede, se registran los siguientes mensajes de error en los registros de errores:
ERROR<20742> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD MAP 1, err=5 ERROR<20741> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD EV 1, err=5 |
Este error suele ser inofensivo, pero, en ocasiones, puede provocar un fallo (6798026) si una instancia iniciada por un usuario (el usuario administrador o cualquier otro usuario) entra en conflicto con otra instancia iniciada por otro usuario (un servicio de Windows, el usuario administrador o cualquier otro usuario).
Para solucionar este problema en la producción, deben registrarse todas las instancias como servicios.
Para solucionar este problema durante la evaluación, debe tenerse en cuenta que si no se inicia ninguna instancia como servicio de Windows, las nuevas instancias deben ser iniciadas por parte del mismo usuario. Si se inicia una instancia como servicio de Windows, la única solución es iniciar las nuevas instancias por medio de una conexión a escritorio remoto (Remote Desktop Connection o rdesktop).
Es posible que la ayuda en pantalla de DSCC enlace a páginas web desconocidas. En concreto, algunos menús del asistente pueden sugerir lo siguiente:
For more information about data source configuration, see the "Sun Java System Directory Server Enterprise Edition Reference." |
Al seleccionar el vínculo al documento de referencia de DSEE, se genera un mensaje de error.
Para solucionar este problema, haga clic en el vínculo con el tercer botón del ratón y seleccione el comando Abrir vínculo en una nueva ventana en el menú desplegable. Aparece el documento seleccionado en la nueva ventana del navegador.
En una configuración de repetición con varios maestros, la repetición realizada desde maestros de versiones de Directory Server 6 a maestros de Directory Server 5.2 (con un máximo de cuatro servidores) funciona correctamente.
En una configuración de repetición con varios maestros, es posible que falle una migración de maestros desde JES 4 a Directory Server 6.3. Por ejemplo, puede aparecer el siguiente mensaje de error tras realizar el paso 6 de Migrating the Masters de Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide:
INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - _replica_configure_ruv: failed to create replica ruv tombstone entry (suffix); LDAP error - 53 |
Para solucionar este problema, siga los siguientes pasos:
Detenga todos los maestros JES 4.
Edite manualmente el archivo de configuración dse.ldif y cambie nsslapd-readonly: on por nsslapd-readonly: off.
Ejecute el comando de migración dsmig migrate-config.
Los intentos de instalación del parche DSEE6.3 patchzip (y versiones posteriores) en el Windows japonés fallan siempre al implementar JESMF en Cacao, con resultados similares al siguiente:
Deploying JESMF in Cacao... ## Failed to run install-path/dsee6/cacao_2/bin/cacaoadm.bat deploy install-path/dsee6/mfwk/xml/com.sun.mfwk.xml #### #### Cannot execute command deploy: The connection has been closed by the server . #### ## Exit code is 1 Failed to register DS in JESMF. Error: Cannot register mfwk into cacao framework: |
Siga los pasos siguientes para completar la instalación tras el error:
Añada lo siguiente a mfwk.properties para iniciar Cacao.
com.sun.mfwk.agent.objects=false |
Ejecute el siguiente comando para reiniciar Cacao.
cacaoadm start |
Asegúrese de que Cacao siga en ejecución.
Ejecute los dos siguientes comandos:
$ dsccsetup mfwk-unreg $ dsccsetup mfwk-reg -t |
Ejecute el siguiente comando para asegurarse de que mfwk esté registrado correctamente en la estructura de Cacao.
$ install-path/dsee6/cacao_2/bin/cacaoadm list-modules |
Si mfwk está registrado correctamente, el comando devuelve los siguientes resultados:
List of modules registered: com.sun.cacao.agent_logging 1.0 com.sun.cacao.command_stream_adaptor 1.0 com.sun.cacao.efd 2.1 com.sun.cacao.instrum 1.0 com.sun.cacao.invoker 1.0 com.sun.cacao.mib2simple 1.0 com.sun.cacao.rmi 1.0 com.sun.cacao.snmpv3_adaptor 1.0 com.sun.cmm.ds 1.0 com.sun.directory.nquick 1.0 com.sun.mfwk 2.0 |
Copie los dos siguientes archivos en install-path /dsee6/bin:
installer-path\DSEE_ZIP_Distribution\dsee_deploy.exe installer-path\DSEE_ZIP_Distribution\dsee_data\listrunnings.exe |
Los comandos LDAP no funcionan en Windows (IPv6 habilitado)
Un intento de detener el servidor inmediatamente después de su inicio puede causar un bloqueo en las versiones de DSEE 6.
La directiva de contraseñas de Directory Server Enterprise Edition 5.x administra atributos con un patrón de asignación de nombre password* y la directiva de contraseñas de Directory Server Enterprise Edition 6.x administra atributos con un patrón de asignación de nombre pwd*. Al ejecutar el modo de compatibilidad Directory Server Enterprise Edition (se administran los atributos de ambas directivas), si se inhabilita la funcionalidad de una directiva de contraseñas, es posible que varios valores de atributos relacionados difieran entre los atributos de 5.x y los de 6.x. Por ejemplo, si passwordUnlock se estableciera en off, el valor de pwdLockoutDuration podría ser de 0 al tiempo que el valor de passwordLockoutDuration podría ser de <>0.
El agente de DSCC no se puede registrar en el servicio CACAO de Solaris 9. Si falta el paquete SUNWxcu4 en el sistema, el comando DSEE_HOME/dscc6/bin/dsccsetup cacao-regmostrará el error Failed to configure Cacao (No se puede configurar Cacao).
En el caso de la migración de una repetición con varios maestros desde Directory Server 5.2 a Directory Server 6.3, el apartado Manual Reset of Replication Credentials de Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide no estaría completo. El procedimiento le conduce a la ejecución de este comando:
dsconf set-server-prop -h host -p port def-repl-manager-pwd-file:filename |
No obstante, también es necesaria la ejecución de este otro comando no documentado:
dsconf set-repl-agmt-prop -p port_master1 replicated_suffix master2:port_master2 auth-pwd-file:filename |
El comando dsmig migrate-config devuelve comandos que deben ejecutarse para restablecer adecuadamente las credenciales de repetición.
Es posible que un complemento inexistente de Sun Microsystems se considere como un complemento con una firma válida. Se muestra el siguiente mensaje de advertencia:
WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install. |
Este mensaje de advertencia sólo se muestra con los complementos de un proveedor de Sun Microsystems.
Una búsqueda no indexada relacionada con una evaluación de ACI que devuelva pocas entradas puede provocar que el rendimiento de búsqueda sea muy escaso. Este problema sólo es aplicable con esta versión de DSEE6.3.1.
Un recurso de escasez de memoria puede provocar el bloqueo de las versiones de Directory Server 6. En consecuencia, aparece el siguiente mensaje de error en el archivo errorlog del servidor:
ERROR<5122> - binder-based resource limits - conn=-1 op=-1 msgId=-1 - System error: resource shortage PR_NewRWLock() failed for reslimit |
Una instancia de Directory Server no puede detenerse por medio del comando dsadm stop a través del escritorio remoto si dicha instancia ha sido iniciada por medio de la consola o del comando dsadm start de forma local.
Para solucionar este problema, ejecute el siguiente comando con el fin de habilitar el servicio.
dsadm enable-service --type WIN_SERVICE instance-path |
Debido a un problema descrito en Vulnerability Note VU#836068, MD5 vulnerable to collision attacks, con Directory Server Enterprise Edition debería evitarse el uso del algoritmo MD5 en los certificados firmados.
Para determinar el algoritmo de firma de un certificado, siga los siguientes pasos:
Ejecute el siguiente comando para visualizar la lista de los certificados definidos en una instancia específica de Directory Server.
$ dsadm list-certs instance-path |
Ejecute el siguiente comando en cada certificado definido para determinar si ha sido firmado con el algoritmo MD5:
$ dsadm show-cert instance-path cert-alias |
El siguiente ejemplo muestra el típico resultado del comando dsadm show-cert para un certificado firmado con MD5:
Certificate: Data: [...] Signature Algorithm: PKCS #1 MD5 With RSA Encryption [...] |
Ejecute el siguiente comando para eliminar de la base de datos cualquier certificado firmado con MD5:
$ dsadm remove-cert instance-path cert-alias |
Siga los siguientes pasos para actualizar la contraseña de la base de datos de certificados. (El comando dsadm genera una contraseña predeterminada para la base de datos de certificados al crear una instancia de Directory Server.)
Detenga la instancia de Directory Server.
Ejecute el comando siguiente:
$ dsadm set-flags instance-path cert-pwd-prompt=on |
Aparece un mensaje de solicitud de contraseña.
Introduzca una contraseña con un mínimo de ocho caracteres.
Reinicie la instancia de Directory Server y proporcione el Internal (Software) Token cuando se le solicite.
Reemplace todos los certificados firmados con MD5 por certificados firmados con SHA-1. Utilice uno de los siguientes procedimientos dependiendo de si su instalación utiliza un certificado autofirmado o un certificado adquirido de una entidad emisora de certificados (Certificate Authority).
Siga los siguientes pasos para generar y almacenar certificados autofirmados:
Como administrador de Directory Server, ejecute el siguiente comando para generar un certificado autofirmado por medio del algoritmo de firma SHA-1. (Para obtener más información acerca del comando certutil, consulte http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
$ certutil -S -x -n certName -s subject -d certs-db-path \ -P "slapd-" -t "CTu,u,u" -Z SHA1 |
Especifica la generación de un certificado individual y su adición a la base de datos.
Especifica la generación de un certificado autofirmado.
Especifica el nombre del alias del certificado, por ejemplo, defaultCert
Especifica el propietario del certificado para nuevos certificados o solicitudes de certificados, por ejemplo, CN=...,OU=...
Especifica el directorio de la base de datos que debe contener los archivos del certificado y de la base de datos de claves.
Especifica el prefijo de la base de datos de certificados.
Especifica los argumentos de confianza.
Especifica SHA-1 como el algoritmo de firma del certificado.
El ejemplo siguiente muestra un uso típico:
$ install-path/dsee6/bin/certutil -S -x -n "A-New-Cert" \ -s "CN=myhostname,CN=8890,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -t "CTu,u,u" -Z SHA1 |
El comando muestra este mensaje:
[Password or Pin for "NSS Certificate DB"] |
Introduzca la nueva contraseña creada para la base de datos de certificados.
Siga los siguientes pasos para generar y almacenar un certificado adquirido de una entidad emisora de certificados (Certificate Authority o CA):
Ejecute el siguiente comando para generar una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):
$ certutil -R -s subject -d certs-db-path -P "slapd -a -Z SHA1 -o output-file |
Especifica la generación de una solicitud de certificado de servidor firmado por una entidad emisora de certificados (CA-Signed Server Certificate):
Especifica el propietario del certificado para nuevos certificados o solicitudes de certificados, por ejemplo, CN=...,OU=...
Especifica el directorio de la base de datos que debe contener los archivos del certificado y de la base de datos de claves.
Especifica el prefijo de la base de datos de certificados.
Especifica que la solicitud de certificado debe crearse en el formato ASCII en lugar de en el formato binario predeterminado.
Especifica el archivo de salida para el almacenamiento de la solicitud de certificado.
El ejemplo siguiente muestra un uso típico:
$ install-path/dsee6/bin/certutil -R \ -s "CN=myhostname,CN=7601,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -a -o /tmp/cert-req.txt |
El comando muestra este mensaje:
[Password or Pin for "NSS Certificate DB" |
Introduzca la nueva contraseña creada para la base de datos de certificados.
Asegúrese de que la entidad emisora de certificados no siga utilizando el algoritmo de firma MD5 y, tras esto, envíele la solicitud de certificado (de forma interna, desde su empresa, o externa, según su reglamento empresarial) para recibir un certificado firmado por entidad emisora tal y como se describe en el apartado To Request a CA-Signed Server Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Cuando la entidad emisora le envíe el nuevo certificado, ejecute el siguiente comando para añadirlo a la base de datos de certificados:
$ dsadm add-cert ds-instance-path cert-alias signed-cert-alias |
Este paso se describe en el apartado To Add the CA-Signed Server Certificate and the Trusted CA Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Si todavía no se ha almacenado el certificado de confianza de la entidad emisora en la base de datos de certificados, ejecute el siguiente comando para añadirlo:
$ dsadm add-cert --ca instance-path trusted-cert-alias |
Este paso se describe en el apartado To Add the CA-Signed Server Certificate and the Trusted CA Certificate de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide.
Ejecute el siguiente comando para comprobar que se esté utilizando el nuevo certificado.
$ dsadm show-cert instance-path cert-alias Certificate: Data: [...] Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption [...] |
Cuando la propiedad pwd-must-change-enabled se establece en on y se invocan operaciones de la cuenta de usuario con el control de autorización por proxy, la única operación que puede realizarse en nombre de un usuario con una contraseña restablecida es la modificación de la contraseña de la cuenta de usuario.
En versiones anteriores a la Directory Server Enterprise Edition 6.3.1, esta operación se rechazaba como account unusable (como se describe en CR 6651645). Directory Server Enterprise Edition 6.3.1 admite la modificación de una contraseña restablecida por medio de una autorización por proxy; no obstante, la ejecución del parche 6.3.1 en una implementación existente causó el siguiente problema. Si se ha restablecido una contraseña de cuenta de usuario de forma administrativa, una operación en la cuenta por medio de una autenticación por proxy no implica necesariamente la modificación del atributo userpassword. -
La causa de este problema es un cambio en el orden de complementos de Directory Server que no se corrige en ninguna de las instancias existentes durante la ejecución del parche 6.3.1. Cualquier instancia de Directory Server creada tras la actualización a la versión Directory Server Enterprise Edition 6.3.1 cuenta con el orden de complementos correcto.
En el caso de una instancia de Directory Server creada antes de la actualización a Directory Server Enterprise Edition 6.3.1, se requiere que un administrador corrija la lista de orden de complementos de la instancia por medio del comando ldapmodify.
En el siguiente ejemplo, se deduce que el orden de complementos no se ha modificado con respecto al orden original. Si la implementación utiliza un orden personalizado, modifique el ejemplo para incluir la personalización, pero asegúrese de que ACL preoperation preceda a cualquier PwP preoperation.
Reinicie la instancia para que el cambio surta efecto.
$ install-path/dsrk6/bin/ldapmodify dn: cn=plugins, cn=config changetype:modify replace: plugin-order-preoperation-finish-entry-encode-result plugin-order-preoperation-finish-entry-encode-result: ACL preoperation,PwP preoperation - replace: plugin-order-preoperation-search plugin-order-preoperation-search: ACL preoperation,* - replace: plugin-order-preoperation-compare plugin-order-preoperation-compare: ACL preoperation,* - replace: plugin-order-preoperation-add plugin-order-preoperation-add: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-add plugin-order-internalpreoperation-add: PwP internalpreoperation,* - replace: plugin-order-preoperation-modify plugin-order-preoperation-modify: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-modify plugin-order-internalpreoperation-modify: PwP internalpreoperation,* - replace: plugin-order-preoperation-modrdn plugin-order-preoperation-modrdn: ACL preoperation,* - replace: plugin-order-preoperation-delete plugin-order-preoperation-delete: ACL preoperation,* - replace: plugin-order-bepreoperation-add plugin-order-bepreoperation-add: PwP bepreoperation,* - replace: plugin-order-bepreoperation-modify plugin-order-bepreoperation-modify: PwP bepreoperation,* |
Cuando se rotan los registros de acuerdo con rotation-time o con rotation-interval, la hora exacta en la que se produce dicha rotación depende de muchas variables, incluidas las siguientes:
Los valores de las propiedades rotation-time, rotation-interval, rotation-now y rotation-size.
La programación del subproceso de mantenimiento.
El tamaño efectivo del archivo de registro con el que se cumple la condición de rotación.
Por este motivo, no puede garantizarse el atributo de marca de hora timestamp en el archivo de registro rotado (por ejemplo, access.timestamp).
El caso de la directiva de contraseñas del primer inicio de sesión descrito en el apartado To Set Up a First Login Password Policy de Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide no está completo. Antes de ejecutar el ejemplo, asegúrese de que la entrada predeterminada de la directiva de contraseñas global ("cn=Password Policy,cn=config") esté configurada con la propiedad Password Must Change establecida en TRUE.
Si el usuario que ejecuta el comando dsmig no es el propietario de la instancia de destino del servidor de directorios, este comando presentará errores debido a que no dispone del permiso adecuado para generar los archivos migrados y acceder a ellos.
Si el usuario que ejecuta el comando dsmig es el propietario del servidor de directorios de destino y cuenta con, al menos, acceso de lectura en el servidor de directorios de origen, la ejecución se realizará satisfactoriamente. De lo contrario, para realizar la migración, se debe exportar la base de datos e importarla al nuevo servidor de directorios.
La configuración de Cacao puede fallar en Windows si la variable de entorno PERL5LIB está establecida en una versión PERL anteriormente existente.
Para solucionar este problema, edite los dos archivos de secuencia de comandos. Para la instalación ZIP de Directory Server Enterprise Edition, edite estos dos archivos:
installPath/dsee6/cacao_2/configure.bat
installpath/dsee6/cacao_2/bin/cacaoadm.bat
Para las instalaciones Sun Java Enterprise System 5 de Directory Server Enterprise Edition, edite estos dos archivos:
C:\Program Files\Sun\JavaES5\share\cacao_2\configure.bat
C:\Program Files\Sun\JavaES5\share\cacao_2\bin\cacaoadm.bat
Edite ambos archivos y añádales esta línea al comienzo:
set PERL5LIB= |
En las instalaciones Windows, los comandos ldapsearch, ldapmodify, ldapcompare y ldapdelete fallan si se especifican caracteres con varios bytes como valor para las opciones de enlace SASL authid y authzid. En lugar de recibir los caracteres sin procesar, el comando los recibe convertidos de forma incorrecta por la página de códigos empleada por la instalación.
Para evitar esta conversión y proporcionar los caracteres sin procesar al comando, utilice una de las siguientes páginas de códigos:
Página de códigos 1252 para Windows en la Europa occidental.
Página de códigos 932 (Shift_JIS) para Windows japonés.
Una solución programática sería crear un programa nuevo de fork/exec para el comando (por ejemplo, ldapsearch) y proporcionar los argumentos de enlace SASL por medio de exec (sin que sea necesaria la traducción de la página de códigos).
En la Guía de administración, se afirma incorrectamente que puede utilizarse Centro de control del servicio de directorios para definir una referencia que establezca un sufijo como de sólo lectura. Esta función no está implementada en Centro de control del servicio de directorios a no ser que se habilite la repetición para este sufijo.