iPlanet Directory Server 5.1
リリースノート

2002 年 3 月 20 日更新

このリリースノートには、iPlanet Directory Server 5.1 のリリース時における重要な情報が記載されています。ここでは、新機能および拡張機能、既知の制限事項、およびその他の最新情報について説明します。iPlanet Directory Server 5.1 をお使いになる前に、このリリースノートをお読みください。

このリリースノートのオンラインファイルは、次のiPlanet 関連マニュアル Web サイトからアクセスできます。

http://docs.iplanet.com/docs/manuals/directory.html

ソフトウェアのインストールと設定を行う前に、このWeb サイトを確認してください。また、定期的に最新のリリースノートおよびマニュアルをご覧ください。

このリリースノートは、次の節で構成されます。

ハードウェアおよびソフトウェアの要件については、『iPlanet Directory Server インストールガイド』を参照してください。

iPlanet Directory Server 5.1 の新機能

iPlanet Directory Server 5.1 には、次の機能が追加または拡張されています。

管理用 Console の更新と改良: 新しい Directory Server Console では、レプリケーションを構成するためのダイアログが改良され、新しいディレクトリブラウザが提供されました。今回のリリースでは、「ディレクトリ」タブに、ディレクトリツリーをナビゲートする複数のレイアウトオプションが追加されました。また、従来どおり、右側の区画に最下位のエントリを表示したり、1 つの区画の 1 つのツリーを表示したり、右側の区画に選択したエントリの属性を表示したりすることができます。詳細は、『iPlanet Directory Server 管理者ガイド』の第 1 章を参照してください。
パフォーマンスの向上: 今回リリースの Directory Server では、Directory Server 5.0 および 4.x に比べ、パフォーマンスが向上しました。
IPv6 のサポート : Directory Server 5.1 では、IPv6 クライアントからの受信接続を受け入れることができます。現在のとろ Directory Server では、アクセス制御命令の中の IPv6 アドレスを解釈したり、レプリケーションや連鎖などの操作に対する Ipv6 接続を使用することはできません。 Administration Console は、IPv6 のみサポートしているネットワーク上では使用できません。
ロールとサービスクラスのスケーラビリティとパフォーマンスの向上 : iPlanet Directory Server 5.0 で導入されたロールとサービスクラスのスケーラビリティが、今回のリリースでさらに向上しました。
プラグイン API のサポート: 独自のプラグイン機能を作成する必要がある場合は、iPlanet プロフェッショナルサービスのサポートがご利用いただけます。

http://www.iplanet.com/services/professional_servi ces_3_3.html
スキーマのマニュアル: Directory Server 5.1 が提供するスキーマについて説明する『iPlanet Directory Server スキーマリファレンス』が、マニュアルに加わりました。このマニュアルでは、ディレクトリ情報のサポートに役立つスキーマオブジェクトについて詳しく説明しています。

iPlanet Directory Server の構造的な変更により、旧バージョンの機能の一部が使用できなくなりました。使用できなくなった機能は、次のとおりです。

NT の同期化サービス: Directory Console を使用して NT アカウントを使用することができなくなりました。 Directory Console の「ディレクトリ」タブの下のエントリを右ボタンでクリックし、「新規」>「ユーザ」を選択して「新規ユーザの作成」ダイアログボックスを表示すると、以前と同様に「NT ユーザ」というオプションが表示されます。ところが、 NT の同期化サービスは現在は利用できないため、作成する「NT ユーザ」のエントリがディレクトリ内に残るだけで、新しい NT アカウントは作成されません。
データベースのバックエンドプラグインインタフェース : 拡張された事前処理インタフェースをデータベースのバックエンドプラグインインタフェースの代わりに使用して、代替ディレクトリデータストアへのアクセス用に設計されたプラグインを実装できます。
Directory Server Gateway: Directory Server Gateway は、iPlanet Directory Server 5.1 には付属していません。 LDAP Tag Library が iPlanet Directory Server リソースキット 5.1 の一部として提供する予定です。Directory Server Gateway の代わりに LDAP Tag Library の使用を検討されることをお勧めします。詳細は、次のサイトをご覧ください。

http://www.iplanet.com/downloads/developer

iPlanet Directory Server 5.1 をサポートするプラットフォーム

iPlanet Directory Server 5.1 は、次のプラットフォーム上で使用できます。

UltraSPARC (32 ビットおよび 64 ビット) オペレーティング環境での Sun Solaris 8
Microsoft Windows NT 4.0 サーバ SP 6A (x86 のみ)
Microsoft Windows 2000 サーバとその他の高性能サーバ SP 2 (x86 のみ)
Hewlett-Packard HP-UX 11.0 (PA-RISC 1.1 または 2.0)
IBM AIX 4.3.3 (Power PC)

今回リリースの iPlanet Directory Server は、Sun Solaris 2.6 または Sun Solaris 7 ではサポートされません。 iPlanet Directory Server 5.1 へのアップグレードまたはインストールをする前に、Sun Solaris 8 にアップグレードする必要があります。

iPlanet Directory Server 5.1 では、iPlanet Directory Server のインストール前に、特定のオペレーティングシステムでパッチまたはサービスパックをインストールする必要があります。推奨されるパッチまたはサービスパックがインストールされていない場合、iPlanet Directory Server 5.1 のインストールが失敗することがあります。

Windows 以外のオペレーティング環境では、iPlanet Directory Server 5.1 をインストールする前に idsktune ユーティリティを実行する必要があります。製品パッケージを展開すると、setup プログラムと同じディレクトリに idsktune ユーティリティがあります。 idsktune ユーティリティを使って推奨のパッチをインストールしてください。詳細は、『iPlanet Directory Server インストールガイド』を参照してください。

Sun Solaris のパッチは次のサイトから入手できます。

http://sunsolve.sun.com

iPlanet Directory Server 5.1 で拡張された機能と修正された問題

iPlanet Directory Server 5.1 では、機能が拡張され、 iPlanet Directory Server の旧リリースで発生していた次のような既知の問題が解決されています。

前回のリリースの iPlanet Directory Server には、iPlanet Web Server 4.1 にセキュリティの脆弱性がありました。 (535057) iPlanet Directory Server 5.1 では、この脆弱性が修復された iPlanet Web Server 6 を使用します。
連鎖可能なコンポーネントに変更を加えた後で、サーバを再起動する必要がなくなりました。 (528617)
iPlanet Directory Server の以前のバージョンでは、Console は、レフェラル中の DN がレフェラルを含むエントリの DN と一致する場合にだけスマートレフェラルをサポートしていました。 (490281) Console 内の機能の更新により、この制限は取り除かれ、スマートリフェラルのサポート機能が拡張されました。
前回のリリースの iPlanet Directory Server では、ディレクトリマネージャの資格を変更した後、この変更が有効になるように、Directory Server Console を一度終了して、再起動する必要がありました。 (538549) この制限は取り除かれました。
CoS 定義に、cosAttribute に対する複数の修飾子の動作が定義されなくなりました。
前回のリリースの iPlanet Directory Server では、Directory Server Console を実行しているマシンから Administration Server へのクライアント IP のアクセスを許可する必要がありました。この制限は取り除かれました。
削除を行うと、監査ログにオペレータの DN ID が表示されるようになりました。追加情報は modifiersName: DN として監査ログに表示されます。DN は、削除を実行するための ID です。
newrdn 操作と newsuperior 操作がアクセスログに記録され、エラーがエラーログに記述されるようになりました。 (547272)
スキーマが、全体の更新処理中にレプリケートされるようになりました (541599)。

サーバ上のスキーマを変更してレプリカを新規に作成した場合、このレプリカを初期化するとスキーマがコンシューマサーバ上で自動的に更新されます。以前のリリースでは、レプリカを初期化したときにスキーマがレプリケートされず、レプリカの最初の増分更新時にレプリケートされました。
前回のリリースの iPlanet Directory Server では、cn=config の下にある nsslapd-dbcachesize 属性値に対する変更が、正しく反映されないことがありました。 (539845、539847) iPlanet Directory Server 5.1 では、この点が修正されています。ユーザの指定した新しい値が、許可された範囲にない場合、サーバがエラーログにエラーメッセージを書き込みます。
前回のリリースの iPlanet Directory Server では、ロールを削除してもそれぞれのロールのメンバーの nsRoleDN 属性は更新されませんでした (533695)。 iPlanet Directory Server 5.1 では、nsRoleDN 属性を管理するための参照整合性検査プラグインが構成されています。ただし、参照整合性検査プラグインを有効にする必要があります。デフォルトでは、参照整合性検査プラグインは無効になっています。

既知の制限事項

この節では、次の項目ごとに、iPlanet Directory Server 5.1 に関する既知の制限事項とその対策について説明します。

インストール

注意	iPlanet 製品 (iPlanet Web Server など) 以外の製品を iPlanet Directory Server 製品と同じ Unix ディレクトリパスにインストールしないでください。Directory Server の正常に実行するために必要な重要な機能が使用できなくなることがあります。また、Windows NT および Windows 2000 のマシンでは、DLL との衝突を避けるために、Directory Server とその他の iPlanet 製品とは個別にインストールするようにしてください。

Windows 2000 では、setup -f は -s オプションを付けないと機能しません (4524708)。 Windows 2000 上で構成ファイルを使用してインストールを実行する場合は、サイレントインストールにする必要があります。たとえば、次のようにします。

setup -s -f filename
Windows では、iPlanet Directory Server 5.1 をインストールする前に、ホストマシンのドメイン名を正しく構成する必要があります。ホストのドメイン名を構成するには、次の手順を実行します。
- (Windows NT の場合) 「コントロールパネル」を開き、Network ユーティリティを実行します。「プロトコル」タブを選択し、リストから「TCP/IP プロトコル」を選択してから、「プロパティ」ダイアログボックスを開きます。「DNS」タブのフィールドに正しく入力します。
- (Windows 2000 の場合) 「マイコンピュータ」を右ボタンでクリックして、「プロパティ」を選択します。「ネットワーク ID」タブで「プロパティ」を選択し、「詳細」をクリックして、「このコンピュータのプライマリ DNS サフィックス」フィールドに正しく入力します。
iPlanet Directory Server 5.1 を 64 ビットの Sun Solaris 8 UltraSPARC マシン上で実行しても、32 ビットのアプリケーションとして実行されます。
iPlanet Directory Server 5.1 をインストールするディレクトリへのパスには、空白文字を含めないでください。
接尾辞に空白文字が含まれている場合は、インストール時に生成される接尾辞を修正して空白を取り除いてください。 (4526501) Console を使用して、「サーバとアプリケーション」タブの左側のナビゲーション区画の一番上にあるディレクトリエントリを選択し、「ユーザディレクトリのサブツリー」フィールドの接尾辞を編集してから、「OK」をクリックして変更内容を保存します。
iPlt Directory Server 5.1 をすでに Directory Server がインストールされているのと同じディレクトリにインストールしないでください。すでに Directory Server 4.x または 5.0 がインストールされている場合は、iPlanet Directory Server 5.1 を別のディレクトリにインストールしてください。 4.x または 5.0 のディレクトリデータを 5.1 のディレクトリに移行し、移行結果をテストしたら、4.x または 5.0 Directory Server を削除します。
Windows では、常に最新バージョンの DLL ファイルを使用してください。 iPlanet Directory Server 5.1 ととも配布されるファイルで、最新の DLL ファイルを上書きしないようにしてください。
インストール中に識別名を入力するときは、UTF-8 文字セットエンコードを使用します。 ISO-8859-1 などの他のエンコードはサポートされません。インストール処理では、ローカルの文字セットのエンコードから UTF-8 文字セットのエンコードへのデータ変換は行われません。

データのインポートに使用する LDIF ファイルには、UTF-8 文字セットのエンコードを使用する必要があります。インポート処理では、ローカルの文字セットのエンコードから UTF-8 文字セットのエンコードへのデータ変換は行われません。
NIS を使用するシステムでは、DNS の名前の解釈に問題が発生します。 (4526504) インストール時に setup によってホスト名およびドメイン名が検知されます。 NIS のドメインが DNS のドメインと異なる場合は、インストーラが示す、絶対パスによるホスト名およびドメイン名は不正です。これらの名前の値は DNS のドメイン名を使用するために修正する必要があります。
(4527593) AIX の修正版は、以前は次の場所にありましたが、

http://server.software.ibm.com/cgi-bin/support/rs6000.support/downloads

『iPlanet Directory Server インストールガイド』にも記載されている以下の場所に移動しました。

http://techsupport.services.ibm.com/server/fixes
AIX の場合、Console を機能させるために X11.adt パッケージをインストールする必要があります。このパッケージは標準のバンドルには含まれていません。

アンインストール

o=NetscapeRoot 接尾辞の下にある、構成情報を含む iPlanet Directory Server 5.1 をアンインストールする前には、警告メッセージは表示されません。これが最初にインストールする Directory Server です。アンインストールの処理は最後に行うようにしてください。
Windows 2000 では、サイレントインストール (setup -s -f filename) でインストールしたディレクトリコンポーネントをアンインストールした後で再インストールすると、ディレクトリコンポーネントは常に元のインストールフォルダに置かれます。 (4526014) この問題を回避するためには、アンインストール後にシステムディスクドライブ上の ¥Documents and Settings¥Administrator¥Local Settings¥Temp フォルダにある *.inf ファイルをすべて削除します。

移行

Directory Server 4.x および 5.0 の属性 accesslog-maxlogdiskspace, accesslog-maxlogsize、auditlog-maxlogdiskspace、auditlog-maxlogsize、errorlog-maxlogdiskspace、および errorlog-maxlogsize は、手動で移行する必要があります。 (4529536) Directory Server Console で「構成」タブの「ログ」エントリの値を更新してください。整合性を保つため、それぞれ、*log-maxlogsize の値を属性の *log-maxlogdiskspace の値より小さいままにしておく必要があります。詳細は、『iPlanet Directory Server 管理者ガイド』のサーバおよびデータベースアクティビティの監視についての説明を参照してください。
サーバがすでに動作中でも移行手順によってサーバを再起動しようとすることがあります。 (4529552) migrateInstance5 によってサーバを再起動しようとしている、というエラーメッセージは無視してください。
Windows 以外のシステムでは、PATH 環境変数に「.」が含まれていないと、iPlanet Directory Server 5.0 から 5.1 に移行できないことがあります。 (4529657) 必要に応じて、適切な PATH に更新してください。たとえば、次のようにします。

(ksh) $ export PATH=$PATH:.

(csh) % setenv PATH ${PATH}:.

Windows NT / Windows 2000

Windows NT の ldapmodify コマンド行ユーティリティ、特に ASCII 以外のデータでは、stdin および stdout は使用しないでください。 LDIF 更新文 (-f new_file) が含まれているファイルを指定する場合は、必ず -f オプションを使用して、stdin が文を読み取れないようにしてください。
Windows NT 4.0 の場合、アプリケーションが使用する最大アドレス空間は 2G バイトです。 iPlanet Directory Server 5.1 では 2G バイト以上の仮想メモリを使用できないため、サーバ用に構成する全キャッシュの合計は、正確に 2G バイトより小さくする必要があります。エントリキャッシュのサイズとデータベースキャッシュのサイズがこの上限を超えると、Directory Server はエラーメッセージを表示して終了します。 NT4 および Windows 2000 でのキャッシュの上限の詳細は、『iPlanet Directory Server インストールガイド』を参照してください。
Windows 2000 の場合、Console で使用するデフォルトのフォントに日本語の文字は入力できません。これに対処するには、Console のフォントを変更します。フォントを変更するには、Directory Console の「編集」メニューから「プリファレンス」を選択し、「フォント」タブでインタフェースを使用して変更します。

セキュリティ

SSL 接続に対して攻撃を受けやすいオープンなネットワークに、SSL を接続の機密性のために使用する導入では、公的な認証機関 (CA) が発行したサーバ証明書を使用しないでください。 (4615324)

公的な CA が発行した証明書を持つ侵入者が、その証明書を使って Directory Server であるかのように偽装できないようにするには、レプリケーションや連鎖のために送信 SSL 接続を確立する LDAP クライアントや Directory Server の証明書データベースに、接続するサーバへの証明書を発行する機関として公的な CA の証明書を含めないようにする必要があります。公的な CA の証明書はすべて、LDAP クライアントや Directory Server の証明書データベースから削除する必要があります。

積極的な攻撃を受けにくい導入や、その他のセキュリティメカニズム (接続が Internet を通過するときの VPN など) を使用する導入では、非公的な認証局を使ってサーバ証明書を取得する必要はありません。

Directory Server では、引用符を含む ACI ターゲットエントリの DN を正しく解析しません。 (4529541) 次の例では構文エラーが発生します。

dn:o=mary\"red\"doe,o=iplanet.com,o=isp
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com,o=isp")(targ etattr="*")
(version 3.0; acl "test"; allow (all) userdn ="ldap:///self";)

ACI 権限の中でセミコロンを使用すると、Directory Server がクラッシュすることがあります。 (4527617)
サーバは SSL を使用するサーバに対して、証明書データベースファイル、キーデータベースファイル、および PIN ファイルへの読み取り専用アクセス権を要求しません。UNIX および Windows 上の PIN ファイルに対するアクセス権が、これらのファイルに含まれる重要な情報を保護するものであるかどうかを確認してください。
Directory Server で証明書ベースの認証を有効にした場合は、cn=config または cn=monitor の下にある識別名に証明書を割り当てないでください。 (4529535) これを行うと、バインド試行が失敗します。証明書はディレクトリ情報ツリーの別の場所にあるエントリに割り当ててください。
Windows NT および Windows 2000 では、ユーザが Console 上で Directory Server を停止できます。このため、Directory Server を実行中のコンピュータでは Console へのアクセスを制限するなど、特別な配慮が必要です。

ACI を使用して MODRDN の権限を明示的に拒否するためには、関連するエントリを対象とする必要があります。ただし、targetattr キーワードは除外します。 (4529533) 次の例では、 ACI を使用して、cn=helpDeskGroup,ou=groups,o=sun.com グループがパターン cn=*, ou=people,o=sun.com で指定されたセット内のエントリの名前を変更しないようにしています。

aci: (target="ldap:///cn=*,ou=people,o=sun.com")
(version 3.0; acl "Deny modrdn rights to the helpDeskGroup";
deny(write)
groupdn="ldap:///cn=helpDeskGroup,ou=groups,o=sun.com";)

パスワードポリシーのアカウントロックメカニズムが有効な場合、読み取り専用レプリカでユーザがロックアウトされると、アカウントをアンロックできなくなります。 (4527608) この問題に対処するには、ldapmodify ユーティリティを使用して、cn=config の passwordLockoutDuration 属性を 120 (秒) に設定し、passwordUnlock 属性を on に設定します。
サブジェクトが all や anyone など、いずれかの定数タイプの場合、マクロ ACI は機能しません。 (4529529)
アカウントロックアウトは、ユーザパスワードを変更したあとも有効です。 (4527623) これに対処するには、ロックアウト属性 accountUnlockTime、passwordRetryCount、および retryCountResetTime をリセットして、アカウントをアンロックします。
パスワードポリシーが有効なときに、passwordHistory 属性をユーザパスワードを変更した回数より小さい値に設定すると、サーバがクラッシュすることがあります。 (4530739) パスワードポリシーが有効なとき、デフォルトの passwordHistory 値は 6 に設定されています。この問題を回避するには、パスワードポリシーを有効にした後で passwordHistory の値を小さくしないようにしてください。

スキーマ

iPlanet Directory Server 5.1 で提供されるスキーマは、groupOfNames および groupOfUniquenames の各オブジェクトクラスの RFC 2256 で指定されているスキーマとは異なります。提供されるスキーマの member および uniquemember 属性タイプはオプションですが、RFC 2256 では、これらのタイプにはオブジェクトクラスごとに 1 つ以上の値を設定するよう指定しています。
LDAP RFC (および X.500 標準) では、1 つのオブジェクトクラスに対して複数の上位レベルのクラスを構成することができます。このような動作は、Directory Server では現在サポートされていません。
1 つのオブジェクトクラスに 1000 件を超える属性を追加すると、サーバは構成エラーを表示し、起動に失敗します。
aci 属性は操作属性になったことに注意してください。これにより、明示的に要求しない限り、検索結果は返されません。

連鎖

5.1 マルチプレクサと 4.x ファームサーバの間で連鎖が構成されている場合は、nsuniqueid 属性を 4.x ファームサーバのスキーマに追加してください。 nsuniqueid 属性を 4.x Directory Server のスキーマに追加しないと、5.1 マルチプレクサは該当のエントリを検出できず、連鎖は失敗します。属性タイプを 4.x のスキーマに追加するには、次の行を 4.x ファームサーバの /usr/netscape/server4/slapd-serverID/config の下にある slapd-user_at.conf ファイルに追加します。

attribute nsuniqueid nsuniqueid 2.16.840.1.113730.3.1.542 int single operational
連鎖が失敗したときにファームサーバへバインドしようとしても、パスワードポリシーが失効しているため、エラーメッセージが表示されません。 (4529539)
フェイルオーバのサーバを使用中に、最初のファームサーバが処理に失敗してエラーを返した場合は、もう一度連鎖処理を実行してください。 (4529537) データベース連鎖でフェイルオーバのサーバを使用中に最初のファームサーバが処理に失敗した場合、マルチプレクサから情報を読み取ろうとすると、クライアントが処理エラーを受け取ります。マルチプレクサは、フェイルオーバの次のファームサーバが接続されないようにするため、このエラーを処理しません。その結果、連鎖が失敗します。まったく同じ処理を再実行すれば、連鎖は正常に行われます。

レプリケーション

マルチマスターレプリケーション (MMR) は、単一のデータセンター配置ではサポートしていません。マスターディレクトリサーバは、MMR を完全にサポートするために、高速で応答時間の短いネットワーク (最低接続速度が 100Mb/秒) に接続する必要があります。
ワイドエリアネットワーク (WAN) への導入は、将来リリースする iPlanet Directory Server でサポートする予定です。現在のところ iPlanet Directory Server は、WAN 環境に配置されたレプリケーションハブとレプリカをサポートしています。
証明書ベースの認証を使用する SSL を介したレプリケーションの構成は、サプライヤの証明書が自己署名の場合、またはサプライヤの証明書が SSL サーバの証明書としてのみ動作する (SSL ハンドシェイク時にクライアントのロールを果たせない) 場合、正常に機能しません。
レプリカロールを変更する必要がある場合、レプリカロールを変更してから、再度レプリカを有効にします。 (4527621)
コンシューマデータベースを作成すると、ローカルスキーマの変更が上書きされることがあります。 (4529530)

Directory Server Console

後続の空白文字は、リモートの Console によるインポート処理では保持されません。ローカルの Console および ldif2db によるインポート処理では保持されます。 (4529532)
Console を使用して Directory Server のインスタンスを作成すると、HP および IBM AIX マシンでは別のタイムゾーンにサーバが作成されます。 (4529531) レプリケーションのためにインスタンスの同期をとるには、restart-slapd コマンド行スクリプトを使用してサーバを再起動してください。 restart-slapd の詳細は、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。
構成情報の読み取り権限を持たないユーザは、Console のディレクトリブラウザ内のディレクトリ接尾辞を表示することができません。 (4525360) このようなユーザに読み取り権限を与えるには、ACI を使って読み取り権限を追加します。詳細は、『iPlanet Directory Server 管理者ガイド』を参照してください。
HP-UX では、Console で日本語の文字を使用できるようにするために、JAVA_FONTS 環境変数を正しく設定する必要があります。たとえば、次のようにします。

JAVA_FONTS=/opt/asx/lib/X11/fonts/ttfjpn.st/typefaces

環境に合わせてパスを置き換えてください。
Directory Console からハブを変更することができません。 (4527619) 適切なサプライヤを変更してください。
Console からは、ユーザとロールを無効にして作成できません。 (4521017) ユーザやロールは、作成した後で無効にしてください。

コアサーバ

slapd プロセスは、システム起動時に自動的に開始されません。 UNIX システムでは、ブート時に slapd プロセスを開始するように rc スクリプトを作成してください。
エクスポート、バックアップ、復元、またはインデックス作成の処理中にサーバを停止すると、サーバがクラッシュします。
Windows NT および AIX プラットフォームでは、「データベースの設定」タブの「キャッシュに使用可能なメモリ」に、1073741824 バイト (1G バイト) より大きい値を設定しないでください。
AIX のアプリケーションのメモリモデルには制約があります。 AIX の ns-slapd プログラムは、作成時に、エントリキャッシュサイズ (nsslapd-cachesize 属性) とデータベースキャッシュサイズ (nsslapd-dbcachesize 属性) の値がどちらも最高 1G バイトまで可能なように、maxdata=0x50000000 の値を設定しています。 maxdata の値を増やすとエントリキャッシュサイズの最大値が増加しますが、その増加分だけデータベースのキャッシュサイズは小さくなります。これは、この逆の場合も同じです。 maxdata の値を調整する必要がある場合は、iPlanet の技術担当者までお問い合わせください。
アクセスできないファイルを使ってデータベースを初期化すると、サーバがクラッシュします。 (4523595)
新しいデータベースを追加および初期化した直後に、その新しいデータベースで実行したバックアップを復元することはできません。 (4531022) この問題に対処するには、データベースを追加および初期化した後、バックアップを実行する前に、一旦サーバを停止させ再起動してください。

サーバプラグイン

iPlanet Directory Server 5.1 には uid 一意性検査プラグインが装備されています。デフォルトでは、このプラグインは有効になっていません。特定の属性について属性の一意性を保持するには、各属性について属性の一意性検査プラグインのインスタンスを新規に作成します。属性の一意性検査プラグインの詳細は、『iPlanet Directory Server 管理者ガイド』を参照してください。
参照整合性検査プラグインは、現在デフォルトでオフになっています。参照整合性検査プラグインは、矛盾解決による無限ループを避けるため、マルチマスターレプリケーション環境の 1 つのマスターレプリカに対してだけ有効にしてください。連鎖要求を発行するサーバ上で参照整合性検査プラグインを有効にする前に、資源や所要時間および整合性に必要な性能を分析してください。整合性のチェックは、かなりのメモリや CPU 資源を消耗することがあります。
アクセス制御プラグインでは、グループ評価を実行する入れ子のレベル数の指定に、nsslapd-groupevalnestlevel 属性に指定されている値は使用しません。入れ子のレベル数は 5 としてハードコード化されています。(4529540)
ディスク容量が一杯になると、Directory Server がクラッシュし、再起動できなくなります。 (4527611)

ロールとサービスクラス

nsRoleDN 属性はロールを定義する際に使用します。この属性を、ロールのメンバーがユーザエントリに含まれているかどうかを確認するために使用しないでください。ユーザエントリのロールメンバーを評価する場合は、nsrole 属性を参照してください。
CoS テンプレートの優先順位に負の値が設定されているときの動作がサーバに定義されていない場合、cosPriority は間接 CoS ではサポートされません。負の値を入力しないでください。間接 CoS は cosPriority をサポートしていません。

インデックスの作成

VLV インデックスは複数のデータベースでは機能しません。

その他

コマンド行ユーティリティおよび Perl スクリプトを実行するには、コマンドパス変数およびライブラリパス変数は設定しないでください。格納先のディレクトリに移動してください。コマンドパス変数およびライブラリパス変数を設定してユーティティやスクリプトを実行することもできますが、特に複数のサーババージョンがインストールされていると、その他のコマンドユーティリティやスクリプトの正常な実行が中断されるだけでなく、システムのセキュリティに支障をきたすことも考えられます。このような処理は実行しないでください。
Sun Solaris のみ : idsktune ユーティリティは、インストールしていないパッケージに関するものであっても、サンの推奨するパッチ一覧に掲載されているパッチがシステムにインストールされていない、と報告します。
Solaris プラットフォーム上の LDAP ユーティリティのマニュアルページには、iPlanet バージョンの LDAP ユーティリティである ldapsearch、ldapmodify、ldapdelete、および ldapadd. の記述はありません。これらのユーティリティの詳細は、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。
Sun Solaris では SNMP で同時に 1 つの Directory Server インスタンスしか監視できません。 (4529542)
サーバが実行されていない場合、Directory Server Console からログを読むことはできません。以下の iPlanet Console ページを参照してください。

http://hostname:administration_server_port_number

iPlanet Administration Express のリンクを選択してから、admin としてログインしてください。
セキュリティ上の理由から、Perl で作成された多数のコマンド行スクリプトでバインドパスワードを対話的に読むことができるようになりました (-w - オプション)。この機能には、単独で使用できる Term::ReadKey Perl モジュールが必要です。このモジュールは以下のサイトからダウンロードできます。

http://www.perl.com/CPAN/CPAN.html

他のスクリプトの機能はすべて、このモジュールがなくても使用できます。 Term::ReadKey Perl モジュールをインストールしてから、Perl スクリプトを有効にして、各スクリプトの編集、該当の行のコメントの解除をして、バインドパスワードの対話的な読み取りを有効にします。
スクリプトおよびコマンド行の使用に関する記述によっては、情報が最新ではないものもあります。
サーバの構成情報が同期していないと、復元できない場合があります。構成を変更したらすぐに、dse.ldif ファイル内の構成ディレクトリ install-dir/slapd-serverid/config の下のファイルすべてをバックアップしてください。
トランザクションログファイルの最大サイズを変更しても、データベースディレクトリ内にすでにログファイルがあると、変更が反映されません。 (4523783) サーバを停止し、dse.ldif 内の nsslapd-db-logfile-size を手動で修正し、データベースディレクトリからすべての log.* ファイルを削除してから、サーバを再起動してください。
『iPlanet Directory Server 管理者ガイド』の中に、ldapmodify を実行してトランザクションログディレクトリを変更する前に Directory Server を停止するという記述がありますが、これは誤りです。 (4525267) 正しくは、サーバを停止し、dse.ldif 内の nsslapd-db-logdirectory を手動で修正してから、サーバを再起動してください。
サーバは、仮想属性を参照するフィルタを含んだ LDAP 検索要求をサポートしていません。 (4527614)

bak2db では、データベースをデフォルトの場所にしか復元できません。 (4522793) データベースをリモートで作成し、ldapmodify で追加してください。

データベースをリモートで作成するには、LDIF ファイルを次のように作成します。 dn: cn=databasename,cn=ldbm database,cn=plugins,cn=config changetype: add objectclass: top objectclass: extensibleObject objectclass: nsBackendInstance cn: databasename nsslapd-suffix: o=databasename nsslapd-directory: /path/to/databasename dn: cn="o=databasename",cn=mapping tree,cn=config changetype: add objectclass: top objectclass: extensibleObject objectclass: nsMappingTree cn: "o=databasename" nsslapd-state: backend nsslapd-backend: databasename
次に、ldapmodify ユーティリティを使用してデータベースを追加します。 ldapmodify -D "cn=Directory Manager" -w password -f /path/to/databasename
既存のデータベースを別のファイルシステムに移動するには、db2ldif ユーティリティを使ってデータベースを LDIF 形式にダンプし、『iPlanet Directory Server 管理者ガイド』の説明に従ってデータベースを削除し、新しい場所にデータベースを作成してから、ldif2db ユーティリティを使って LDIF 形式にダンプしたデータベースを復元します。
データベースの場所を移動すると、古い場所でdb2bak ユーティリティを使用して作成したバックアップは無効になります。そのようなバックアップを復元しようとすると、サーバを使用できなくなることがあります。

国際化の制限

オンラインヘルプで日本語文字列の検索を行うと、日本語入力機能が正しく動作しません。(4662322)
検索する文字列の先頭の文字が母音 (あ、い、う、え、お) 以外の場合、日本語変換後に余分な文字として残ってしまいます。
Windows NT および Windows 2000 では、ファイル名に必ず ASCII 文字を使用してください。ファイル名に 2 バイト文字を使用することはサポートされていません。
Windows NT および Windows 2000 では、既存のサーバを使用する場合、誤ったサーバ情報 (ポート番号、バインド DN、パスワード、接尾辞など) を入力すると、インストーラがクラッシュすることがあります。
コンソール上の「開始」、「停止」、「再起動」の各ボタンは動作しません。(4659238)
これらの操作には、以下のコマンド行を使用してください。

$ slapd-start
$ slapd-stop
$ slapd-restart
Solairs および HP-UX で、ldapsearch コマンドの検索に 2 バイト文字をキーワードとして使用する場合は、UTF-8 の文字セットを使用してください。(4662322)

オンラインヘルプとオンラインマニュアルへのアクセス

オンラインマニュアルのファイルは Directory Server とともにインストールされ、ブラウザで見ることができます。
Windows NT を使用している場合や、iPlanet Directory Server 5.1 を /usr/iplanet/servers 以外の場所にインストールした場合は、必要に応じて URL を置き換えてお読みください。
ドキュメントのホームページ : file:///usr/iplanet/servers/manual/ja/slapd/dochome.htm
iPlanet Directory Server インストールガイド : file:///usr/iplanet/servers/manual/ja/slapd/install/contents.htm
iPlanet Directory Server 導入ガイド : file://usr/iplanet/servers/manual/ja/slapd/deploy/contents.htm
iPlanet Directory Server 管理者ガイド : file://usr/iplanet/servers/manual/ja/slapd/ag/contents.htm
iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス : file://usr/iplanet/servers/manual/ja/slapd/cli/contents.htm
iPlanet Directory Server スキーマリファレンス : file:///usr/iplanet/servers/manual/ja/slapd/schema/contents.htm