この節では、Directory Proxy Server 11g Release 1 (11.1.1) のリリース時に判明していた既知の問題点の一覧を示します。
DN 変更操作が、LDIF、JDBC、結合、およびアクセス制御データビューに対してサポートされていません。
現在、getEffectiveRight コントロールは、LDAP データビューでのみサポートされており、プロキシのローカルである ACI は考慮されません。
認証局によって署名された証明書の要求が生成されたあとで、更新すると証明書は自己署名済みの証明書として表示されます。
Directory Proxy Server によって使用される SSL ポートが正しくない場合に、そのポートに対するセキュリティー保護された検索要求のあとで Directory Proxy Server がすべての接続を閉じる場合があります。
プロキシ承認ではなくクライアントアプリケーション証明書に基づく認証を使用するように設定されたとき、Directory Proxy Server がリフェラルホップ数を正確にカウントできません。
データビューの作成時には base-dn プロパティーを指定できますが、データビューの作成後に base-dn プロパティーを "" (ルート DSE) に設定することはできません。
Directory Service Control Center では、値を文字列としてソートします。そのため、Directory Service Control Center で数字をソートすると、それらの数字は文字列であるかのようにソートされます。
0、20、および 100 を昇順にソートすると、0、100、20 というリストが得られます。0、20、および 100 を降順にソートすると、20、100、0 というリストが得られます。
アラートを設定したあと、変更を有効にするには Directory Proxy Server を再起動する必要があります。
Directory Proxy Server で、数値形式または辞書形式のデータ配布を設定したときに、別のデータビューに移動するエントリの名前変更に失敗します。
Directory Proxy Server では、リフェラルのホップ制限が機能しません。
Windows では、dsadm および dpadm コマンドによる出力とヘルプメッセージが、簡体字中国語および繁体字中国語にローカライズされていません。
Windows システムでのインストール後およびサーバーインスタンス作成後は、インストールおよびサーバーインスタンスのフォルダに対するファイルアクセス権により、すべてのユーザーにアクセスが許可されます。
この問題点に対処するには、インストールおよびサーバーインスタンスのフォルダのアクセス権を変更します。
Windows では、DSCC の初期化は Administrator ユーザーしか実行できません。
Directory Service Control Center は、既存の除外されたサブツ リーまたは代替検索ベースの DN を変更するときにコンマを削除します。
セキュリティー保護されていない LDAP アクセスをはじめて有効または無効にしたあと、変更を有効にするには Directory Proxy Server を再起動する必要があります。
制限時間とサイズ制限の設定は、LDAP データソースでのみ機能します。
コマンド dpadm set-flags cert-pwd-store=off を使用したあと、Directory Service Control Center を使用して Directory Proxy Server を再起動できません。
ASCII 文字と複数バイト文字の両方を組み合わせたサーバーインスタンス名とともに dpadm start コマンドを使用した場合に失敗する現象が確認されています。
既存の接続ハンドラに data-view-routing-custom-list プロパティーを設定する場合、エスケープが必要な文字 (コンマなど) を含むデータビュー名を使用するとエラーが発生します。
この問題点に対処するには、エスケープが必要な文字を含むデータビュー名を指定しないでください。たとえば、DN を含むデータビュー名を使用しないでください。
Directory Proxy Server の DN 名前変更機能を使用する際に、同じ DN コンポーネントが繰り返し登場する場合は、それらは一括して変更されることに注意してください。
たとえば、o=myCompany.com で終わる DN の名前を、dc=com で終わるように変更する場合を考えてみます。たとえば、uid=userid,ou=people,o=myCompany.com,o=myCompany.com のように元のコンポーネントが繰り返されている場合、名前が変更された結果、DN は uid=userid,ou=people,dc=com となり、uid=userid,ou=people,o=myCompany.com,dc=com とはなりません。
Directory Proxy Server を介して Oracle 9 にアクセスするための JDBC 接続設定は、ドキュメントに記載されている手順どおりではありません。
ホスト myhost、ポート 1537 上で Oracle 9 サーバーが待機し、システム識別子 (SID) MYINST を持つインスタンスが存在する次の設定を考えてみます。このインスタンスには、データベース MYNAME.MYTABLE が含まれています。
一般的には、MYTABLE へのアクセスを設定するには、次のプロパティーを設定します。
JDBC データソースで、db-name:MYINST を設定します。
JDBC データソースで、db-url:jdbc:oracle:thin:myhost:1537: を設定します。
JDBC テーブルで、sql-table:MYNAME.MYTABLE を設定します。
ここまでの設定で機能しない場合は、さらに次のように MYTABLE へのアクセスを設定してみてください。
JDBC データソースで、db-name:(CONNECT_DATA=(SERVICE_NAME=MYINST))) を設定します。
JDBC データソースで、db-url:jdbc:oracle:thin:@(DESCRIPTION= (ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=myhost)(PORT=1537))) を設定します。
JDBC テーブルで、sql-table:MYNAME.MYTABLE を設定します。
Solaris 10 で Service Management Facility (SMF) を使用してサーバーインスタンスを有効にした場合、システムをリブートしてもインスタンスが起動しないことがあり、次のエラーを返します。
svcadm: Instance "svc:/instance_path" is in maintenance state. |
この問題を回避するには、ローカルユーザーを使用して Directory Server および Directory Proxy Server サービスを作成します。
HP-UX では、異なるロケールに設定された複数のブラウザセッションによって DSCC にアクセスした場合、DSCC には、ブラウザの設定ロケールと異なるロケールの文字が表示されることがあります。
マシンに複数のホスト名がある場合、コンソールは Directory Proxy Server インスタンスのバックエンド状態を取得しません。
DSCC のインスタンスの「詳細な表示オプション」で、「アクセスログ」タブ、「エラーログ」タブ、および「監査ログ」タブの日付がローカライズされていません。
DSCC を使用してデータソースを作成する場合、useTCPNoDelay の値はデフォルトで false に設定されます。ただし、dpconf create-ldap-data-source を使用してデータソースを作成する場合は、use-tcp-no-delay のデフォルト値が true に設定されます。
Tomcat サーバーで構成された DSCC で、「ヘルプ」および「バージョン」ポップアップウィンドウのタイトルに含まれる複数バイト文字が文字化けしています。
dpadm show-cert dps-instance-path コマンドの出力で、文字列 owner が簡体字中国語および繁体字中国語に翻訳されていません。
Directory Proxy Server 構成プロパティー allow-bind-operations が false に設定されている場合、dpconf コマンド行引数と -–secure-port オプションを使用して SSL ポートに接続することはできません。TLS の起動 (デフォルト) またはクリア接続 (-–unsecured オプション) による接続は可能です。
basedn が元のマシンのものと異なるリフェラルに従って操作している場合、Directory Proxy Server は ADD 操作の DN を変更しません。リフェラルを転送するだけの場合とは対照的に、リフェラルに従うよう設定された Directory Server インスタンスを持つ Directory Proxy Server インスタンスに対して ADD を試行すると、間違った basedn により参照したサーバー上で ADD が拒否されます。
ldapmodify コマンドを使用して ADD を Directory Server インスタンスに対して直接実行すると、ADD が機能します。
証明書データベースに長さの短いパスワードを設定しても、警告が行われません。パスワードが短すぎても、Directory Service Control Center によって受け入れられます。cert サブコマンドを付けて dpadm コマンドを発行すると、コマンドがハングアップする可能性があります。
use-cert-subject-as-bind-dn を false に設定する試みが失敗したあとで表示されるエラーメッセージに、間違ったプロパティー名が表示されています。
Directory Proxy Server インスタンスに DSCC を通じて有効にされた、セキュリティー保護された待機ソケット/ポートのみがある場合で、サーバー証明書がデフォルトではない (たとえば、認証局によって署名された証明書など) 場合、DSCC を使用してインスタンスを管理できません。
この問題を回避するには、プロキシサーバーインスタンスの登録を解除してからふたたび登録します。または、サーバー証明書を使用して、DSCC レジストリ内のプロキシサーバーインスタンスの userCertificate 情報を更新します。
プロキシサーバーは、バックエンドディレクトリサーバーの requires-bind-password プロパティーを無視します。
dpadm list-running-instances コマンドは、現在のインストールから起動されたインスタンスの一覧を表示せず、現在のユーザーに属するインスタンスのみの一覧を表示します。
OpenSolaris では、アラートが発生した場合に Directory Proxy Server はそのアラートを syslog に記録しません。
廃止された定義が 28pilot.ldif ファイルに残ります。
この問題を回避するには、28pilot.ldif ファイルに次のエイリアス指定を追加します。
objectClasses: ( 0.9.2342.19200300.100.4.4 NAME ('newPilotPerson' 'pilotPerson') DESC <...>) |
uidObject オブジェクトクラスがスキーマに存在しません。
この問題を回避するには、00core.ldif ファイルに次のオブジェクトクラスを追加します。
objectClasses: ( 1.3.6.1.1.3.1 NAME 'uidObject' SUP top AUXILIARY MUST uid X-ORIGIN 'RFC 4519') |
Directory Proxy Server は、属性 timeResolutionMode および timeResolutionInMillisec に対するスキーマ違反を表示します。
このメッセージは無害です。この問題を回避するには、次の手順を実行します。
jar プログラムに対するアクセス権があることを確認します。このプログラムはすべての JDK インストールに付属しています。
Directory Proxy Server インスタンスを停止します。
カレントディレクトリを Directory Server インストールディレクトリに変更します。
次のコマンドを実行して、Directory Proxy Server アーカイブからスキーマファイルを抽出します。
$ jar xvf dsee7/lib/jar/dps.jar com/sun/directory/proxy/config/config_schema.ldif |
テキストエディタを使用してスキーマファイル com/sun/directory/proxy/config/config_schema.ldif を次のように編集します。
文字列 NAME ( 'useNanoTimeforEtimes' ) を含む属性 attributeTypes を削除します。
次の内容で、新しい属性 attributeTypes を追加します。
attributeTypes: ( "" NAME ( 'timeResolutionInMilliSec' ) DESC '' \ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE X-ORIGIN 'DPS' )
必ず括弧をスペースで区切ってください。
文字列 NAME 'topConfigEntry' を含む属性 objectClasses を検索します。
この属性の行で、文字列 useNanoTimeforEtimes を検索して timeResolutionMode に名前を変更します。
ファイルを保存して閉じます。
次のコマンドを実行して、スキーマファイルに加えた変更を Directory Proxy Server アーカイブに適用します。
$ jar uvf dsee7/lib/jar/dps.jar com/sun/directory/proxy/config/config_schema.ldif |
バインド操作に関しては、現在 Directory Proxy Server は Directory Server データストアでのみ正しく動作します。
dpadm request-cert または DSCC を使用して証明書要求を作成するとき、サブジェクト DN を指定しないと、デフォルトのサブジェクト DN は cn=value,cn=value になります。証明書要求は警告なしで発行されますが、ほとんどの認証局はこの要求を受け入れません。
同様に、dpadm request-cert または DSCC を使用して証明書要求を作成するとき、有効な ISO 3166 国番号を指定しないと、証明書要求は警告なしで発行されますが、認証局はこの要求を受け入れません。