NETSCAPE DIRECTORY SERVER
リリース 4.12
最終更新日 2000 年 7 月 19 日
目次
このリリース ノートは、以下の項目から構成されています。インストールの必要条件
4.11 の修正
既知の問題
注意事項
詳細情報
インストールの必要条件
Netscape Directory Server 4.12 は、UNIX または Windows NT にインストールすることができます。プラットフォームの必要条件とインストールの手順については、次のサイトを参照してください。 http://docs.iplanet.com/docs/manuals/directory/412/installation.html.
4.11 の修正
Netscape Directory Server 4.12 には、新たに Console バージョン 4.2 が搭載されています。また、新しい Admin Express HTML グラフィカル ユーザ インターフェイス (GUI) も搭載されています。この GUI の詳細については、Console バージョン 4.2 のマニュアルを参照してください。
さらに、このリリースの Directory Server では、Netscape Directory Server 4.11 で判明していた次の問題が修正されています。
既知の問題
このセクションでは、以下に示す Netscape Directory Server 4.12 の既知の問題について順に説明します。 問題点はバグ番号によって識別され、お客様がテクニカル サポートに問い合わせる際の参照番号として役立ちます。
インストール、移行、およびアップグレード
- ホスト名とポートを入力する前に NT 同期サービスのインストールをキャンセルすると、次にマシンを再起動したときに NT 同期サービスが起動しようとして失敗します。(395062)
- Windows NT システムでは、標準インストール手順を使用して Directory Server 4.1 から 4.11 または 4.12 にアップグレードする必要があります。カスタム インストール手順を使用すると、インストールに失敗します。(367312)
- UNIX のみ : gzip で圧縮されたインストール パッケージの名前に含まれているプラットフォーム バージョンが、バイナリが動作するプラットフォームのバージョンと一致していない場合があります。(368822)
たとえば、次のパッケージには、Solaris 2.6、7、および 8 用の製品バイナリが入っています。
directory-4_12-domestic-us_sparc-sun-solaris2_6_tar.gz
- サーバに付属の『インストール ガイド』には、以前の 4.x リリースからアップグレードする手順が記載されていません。この情報は、iPlanet の Web サイトにある『インストール ガイド』から入手することができます。(367383)
http://docs.iplanet.com/docs/manuals/directory/41/install/upgrade.htm
- インストール プログラムで、インストール キャッシュを削除するかどうかを尋ねるメッセージが表示されなくなりました (デフォルトにより削除されます)。インストール完了時にインストール キャッシュが保存されるようにするには、-k オプションを使用してセットアップを実行します。サイレント インストールを実行する場合は、-k オプションを使用してセットアップ プログラムを実行する必要があります。(339769、387540、330298)
- Linux では、インストールする前に TERM 環境変数を vt100 に設定してください。端末を vt100 に設定しないと、インストール中に画面に表示されるテキストが片寄って読みにくくなります。(348576)
- Windows NT では、NT 同期サービスをインストールする前に Communicator 4.x をインストールする必要があります。(350963)
- 以前のリリースから Supplier または Consumer の Directory Server を移行し、以前のサーバのレプリケーション契約をそのまま適用する場合は、既存のインスタンスではなく、新しいインスタンスに移行する必要があります。
レプリケーション契約には、Supplier サーバと Consumer サーバのポート番号が示されていますが、既存のインスタンスに移行するとこのポート番号は転送されません。したがって、Supplier または Consumer の Directory Server を既存のインスタンスに移行する場合は、正しいポート番号でレプリケーション契約を設定し直す必要があります。(351935)
- Digital Unix または Irix では、1.x サーバから 4.12 サーバへの移行はサポートされていません。(351461)
- Windows NT で 3.x サーバから 4.12 サーバに移行後、2 つのサーバ インスタンス (3.x と 4.12) が同じポートをリッスンすることがあります。3.x サーバを使用する必要がない場合は、3.x 管理インターフェイスを使用してこれを削除するか、[サービス] コントロール パネルで無効にしてください。(351663)
- SSL 設定を Directory Server の以前のバージョンからリリース 4.x に移行するには、以下の手順に従います。(117420, 347858)
- 以前のサーバの SSL をオフにします。
- 以前のサーバを 4.x に移行します。
- コマンド ラインから、次の場所に移動します。
/<4x_Server_Root>/bin/admin/admin/bin
ここで、<4x_Server_Root> は 4.x Directory Server のインストール先ディレクトリです。
- sec-migrate コマンド ライン ユーティリティを次のように実行します。
UNIX の場合:
./sec-migrate <Old_Server_Root> <CertDB_Alias><4x_Server_Root> slapd-<CertDB_Alias> <Old_CertDB_Password>
Windows NT の場合:
sec-migrate <Old_Server_Root> <CertDB_Alias><4x_Server_Root> slapd-<CertDB_Alias> <Old_CertDB_Password>
ここで、<Old_Server_Root> は 4.0 より前の Directory Server のインストール先ディレクトリ、<CertDB_Alias> は認証データベースをセットアップするときに使用したエイリアス、<4x_Server_Root> は 4.x Directory Server のインストール先ディレクトリ、<CertDB_Password> は認証データベースのパスワードです。
たとえば、次のように入力します。
./sec-migrate /NSHOME/ds30/ mycertdb /usr/netscape/server4/ slapd-mycertdb mycertdbpw
- コマンド ラインから、次の場所に移動します。
/<4x_Server_Root>/alias
- slapd-<CertDB_Alias>-key3.db3.db から slapd-<CertDB_Alias>-key3.db に名前を変更します。
- slapd-<CertDB_Alias>-cert7.db7.db から slapd-<CertDB_Alias>-cert7.db に名前を変更します。
- <CertDB_Alias>-password.txt から slapd-<CertDB_Alias>-pin.txt に名前を変更します。
4.0 では、ファイルにクリアテキストで mypassword などのパスワードを入力するだけで済んでいました。4.1 〜 4.12 では、slapd-<CertDB_Alias>-pin.txt にトークン名とパスワードを次のように入力する必要があります。
Token:Password
例は次のとおりです。
Internal (Software) Token:mypassword
- 移行したインスタンスの Directory Server Console で、[設定] タブを選択して、左側のペインにあるナビゲーション ツリーからルート エントリを選択します。
- 右側のペインの [暗号化] タブを選択します。
- [SSL の利用] チェックボックスをオンにします
- 少なくとも 1 つの符号化方式を選択します。
- [保存] をクリックします。
- 4.x Directory Server を再起動します。
- Windows NT のデータベース キャッシュ (slapd.ldbm.conf にある dbcache) の値を 800 MB 以下に設定することをお勧めします。(116968)
- Netscape サーバの登録に使用した設定ディレクトリ (すなわち、o=NetscapeRoot ツリーが含まれるディレクトリ) をアンインストールすると、Netscape Console からはそれらのディレクトリを管理できなくなります。このディレクトリ インスタンスで設定したほかの Netscape サーバをすべてアンインストールしない限り、設定ディレクトリをアンインストールしないでください。(301667)
- Windows NT のみ。Directory Server をアンインストールする際、NT 同期サービス以外のすべてをアンインストールするように選択すると、システムからアンインストール プログラムが削除されるため、同期サービスをアンインストールできなくなります。この場合、同期サービスをアンインストールするには、まずサーバを再インストールし、今度は同期サービスを選択して、サーバを直ちにアンインストールします。(336657)
- 現在インストール プログラムでは、数字 (たとえば e:¥0449 など) で始まる名前を含むインストール パスを入力できますが、このような値は許可されません。数字で始まる名前を含むパスは使用しないでください。(349138)
- UNIX のみ。ルートとして実行されるサーバを、特権なしユーザとして実行されるサーバに移行しようとすると、移行に失敗します。ルートとして実行するサーバは必ず、ルートとして実行するサーバとして移行してください。(347692)
- AIX のみ。AIX へのインストール時に、「抽出中」というメッセージが切り詰められて、インストールが行われているのに中断されたように見えることがあります。しばらく待つと、すべてのパッケージが抽出されます。パッケージが抽出された後、キーを押してインストールを続行するように求められますが、このメッセージも切り詰められることがあります。任意のキーを押すと、インストールが正常に続行されます。(349687)
- デバイスに空き領域がない場合は、Directory Server をアンインストールできません。ディスク クリーンアップを実行してから、サーバをアンインストールしてください。(352130)
Administration Server と Netscape Console
レプリケーション
- CIR のみ。Directory Console から Consumer サーバを初期化した場合、初期化が完了しても「Consumer の初期化中... お待ちください」というメッセージ ボックスが消えないことがあります。また、メッセージ ボックスをキャンセルして Directory Console からディレクトリの内容を表示しようとした場合、エントリが表示されないことがあります。この問題を修正するには、Consumer を初期化した後、Directory Console を終了して再起動し、もう一度 Consumer を初期化します。(390871)
- Directory Console で SSL を有効にして CIR 契約を作成するとき、プルダウン メニューに間違った SSL ポート番号が表示されます。[その他] ボタンをクリックし、正しい SSL ポート番号を入力する必要があります。AIX プラットフォームでは、SIR 契約の作成時にこの問題が発生することがあります。Consumer のプルダウン メニューに何も表示されないため、[その他] ボタンをクリックして SSL ポート番号を手動で入力する必要があります。(398694)
- Directory Console で SSL を有効にして SIR 契約を作成するとき、コンソールで Java 例外が発生することがあります。この問題による SIR 契約への影響はありません。SIR 契約は正常に作成され、保存されます。(398694)
- カスケード レプリケーションでは、dc スタイルの名前付けの使用はサポートされていません。(381549)
- サーバのインストール時に入力されたフルドメイン名のホスト名部分は、Directory Server が動作しているマシンのホスト名と正確に一致する必要があります。一致しないと、レプリケーション契約を設定することができません。(382436)
プラグイン
- slapd.conf 内に PTA プラグインの複数の設定を記載しないでください。これを行うと、最後の設定のみが使用されます。その代わり、『Using the Pass-Through Authentication Plug-In』の説明に従って複数の LDAP URL またはサブツリーを指定してください。(379678)
- このリリースの Directory Server では、COS プラグインはサポートされていません。サンプルとしてのみ提供されています。
ドキュメント
- 『Directory Server 管理者ガイド』の第 6 章にある「リセット後のパスワード変更」の説明には、制限のないユーザ (ルート DN) のみがパスワードのリセットをトリガできることが記載されていません。(383384)
- 『Directory Server 管理者ガイド』の第 1 章にあるコマンド ラインからのサーバの起動手順および停止手順には、サーバの起動用および停止用のスクリプトをサーバと同じ UID と GID を使用して実行する必要があると間違って記載されています。その代わり、1024 よりも小さい番号のポートでサーバを実行する場合、これらのスクリプトを実行するにはルートとしてログインする必要があります。(335710)
- 『Directory Server プラグイン プログラマ ガイド』には、Directory Server 用のデータベース プラグインの追加作成について誤解を招く恐れのある情報が記載されています。Directory Server 4.x では、ユーザが作成したデータベース プラグインはサポートされていません。(364180)
- 『管理者ガイド』の第 17 章「パラメータの設定」で説明されている Look Through Limit パラメータの有効範囲が間違っています。正しい範囲は -1 〜最大の整数です。(381073)
- 『Using the Pass-Through Authentication Plug-In』に記載されている設定情報の他に、パススルー サブツリー パラメータ <subtree> に対して複数の LDAP URL を使用することもできます。(380266)
- 『管理者ガイド』での ioblocktimeout パラメータの説明が間違っていました。機能停止した LDAP クライアントとの接続が閉じられる時刻を調べるときに使われる単位は、ミリ秒ではなくチックです。また、1 秒間当たりのチック数はオペレーティング システムによって異なるため、デフォルト値の 1800000 がすべてのプラットフォーム上で 30 分を表すわけではありません。(367448)
- サーバに付属の『4.1 インストール ガイド』には、以前の 4.x リリースからアップグレードする手順が記載されていません。この情報は、iPlanet の Web サイトにある『インストール ガイド』から入手することができます。(367383)
http://docs.iplanet.com/docs/manuals/directory/41/install/upgrade.htm
- Directory Server Gateway のマニュアルでは、authck ディレクトリの位置が次のように間違って記載されています。(365271)
<NSHOME>/dsgw/authck
ディレクトリの正しい位置は次のとおりです。
<NSHOME>/bin/slapd/authck
- 次の説明が FORTEZZA マニュアルから欠落していました。(352273)
ディレクトリ サーバを使うと、SSL クライアント証明書をディレクトリ内のエントリに変換 (マッピング) することができます。ディレクトリ エントリの DN は、接続に有効なバインド DN になります。マッピング機能は Netscape サーバの標準機能であり、共有ファイル certmap.conf を使って指定されます。証明書マッピング アルゴリズムは、DN をベースとしてディレクトリ内の検索を行います。
Directory Server の 4.1 リリース以降では、サーバによってこの検索に使われるデフォルト DN を指定することができます。
デフォルト値は 2 つの方法で設定することができます。1 つめの方法では、ディレクトリ内の cn=config エントリを変更することによってデフォルト値を設定することができます。このエントリの nsslapd-certmap-basedn 属性を希望の値に変更します。これが設定変更の望ましい方法です。この方法で値を設定すると、変更内容が即座に有効になります。
2 つめの方法では、サーバの slapd.conf ファイルを編集します。このファイル内の certmap-basedn ディレクティブを変更して、サーバが使う値を指定します。この方法を選択した場合、変更内容を有効にするには、サーバを再起動する必要があります。
通常、certmap-basedn 値は、ユーザ エントリおよびグループ エントリに対応するサフィックスに設定する必要があります。これによって、証明書マッピングはディレクトリ内の通常のユーザ アカウント エントリを見つけることができます。正しいエントリを見つけるために選択する属性は、ユーザが発行した証明書内に保存されている値によって決まります。マッピング処理の設定については、『Netscape Console によるサーバ管理』を参照してください。
- ドキュメントには Bitstream Cyberbit フォントの場所が示されていません。Netscape ブラウザで英語以外の文字を表示するには、このフォントが必要です。(352274)
このフォントは、次の URL から取得できます。
http://ftp.netscape.com/pub/communicator/extras/fonts/windows/
このサイトには、参考になる以下の Readme ファイルも掲載されています。
- READMEfirst.txt は、推奨プラットフォームについて説明しています。
- ReadMe.htm または Readme.wri は、インストールと使用法について説明しています。
- 『Netscape Directory Server インストール ガイド』では、大規模ディレクトリの移行手順の説明が適切ではありません。サイズの大きなディレクトリ (目安として 5000 エントリを超えるもの) については、以前のディレクトリから新しいディレクトリに比較的低速度の LDAP を使用してエントリが転送されるため、ドキュメントの移行手順だけでは十分ではありません。(352275)
代りに、以下の手順に従ってディレクトリを移行してください。
- 以前のディレクトリを LDIF にエクスポートします。
- Directory Server で使用されるサフィックスに一致する単純なディレクトリ構造を LDIF に作成します。これは、Directory Server で使用するすべてのサフィックスのルート エントリのみが含まれる非常に単純なファイルです。
- 以前のディレクトリ サーバをシャットダウンします。
- 以前のディレクトリのデータベースを削除します。
- ステップ 2 で作成した単純なディレクトリを以前のディレクトリ サーバにインポートします。
- 『Netscape Directory Server インストール ガイド』の説明に従って、移行を実行します。
- 新たに移行した Directory Server をシャットダウンします。
- 新しいデータベースのバックアップを作成します。これは、Directory Server が設定ディレクトリである (すなわち、o=NetscapeRoot ツリーを含む) 場合に特に重要です。
- ステップ 1 で保存した LDIF から元のデータベースをインポートします。このとき<NSHOME>/slapd-<serverID>/ldif2db スクリプトを使用してください。これは、新たにインポートされたデータベースに o=NetscapeRoot 設定情報が含まれるように、このスクリプトによって設定情報が自動的に保存されるからです。
- 新しい Directory Server を起動します。これで移行は完了です。
インポートとエクスポート
- Netscape Console では、存在しないサフィックスをエクスポートしようとしても、コンソールに警告が表示されません。代わりに、「予期しないエラー」というメッセージが表示されて、動作が終了します。(339555)
国際対応
NT 同期サービス
- 同期の実行、全ユーザの追加、変更の適用、またはNT 同期サービスの中止を試みると、「ポート 5003 で同期サービスへの接続中にエラーが発生」というメッセージが表示されることがあります。この場合は、設定ツールを終了して再起動してください。(38870)
- NT 同期サービスのみをインストールするためにサイレント インストールを使用することはできません。(109661)
セキュリティとアクセス管理
- NT Directory Server で SSL が有効になっている場合、Netscape Console からディレクトリ サーバを起動するときに、キー ファイル パスワードの保存に dongle ファイルが使用されないと、紛らわしいダイアログ ボックスが表示されることがあります。Directory Server を実行しているマシン上に、キー ファイル パスワードを求めるダイアログ ボックスが表示されます (このパスワードは、SSL が有効になっている Directory Server を起動する前に必要です)。このダイアログ ボックスに何も入力しないと、Netscape Console を実行しているマシン上に、Directory Server が起動できなかったことを示すダイアログ ボックスが表示されます。この問題の対応策としては、dongle ファイルがある場合を除き、サーバと同じマシン上で実行している Netscape Console からサーバを起動します。(301624)
- サーバの FORTEZZA カード内で見つかった PAA 証明書は、クライアント SSL 証明書の確認用に自動的に認証されません。回避策としては、サーバ データベースに PAA (または PCA) を直接インストールします。証明書管理ウィザードを使って、サーバ証明書データベースに PAA 証明書をインストールしてください。(341894, 341888, 336475)
- サーバが SSL モードの場合、サーバを再起動するにはパスワードが必要であることを警告するダイアログ ボックスが、サーバの再起動時にサーバ コンソールに表示されます。ただしこの警告は、SSL モードにするために初めてサーバを再起動する際には表示されません。また、サーバの SSL モードをオフにした後、再起動するたびにこの警告が表示されます。(333022, 341898)
- FORTEZZA のみ。-W または -i が指定されていない場合、コマンド ライン ユーティリティでの -Q オプションは無視されます。FORTEZZA 認証を実行するには、-Q を使う必要があります。ただし、2 つのカード リーダを使っており、-Q を使って認証用の特定のカードを指定しようとすると、コマンド ライン ユーティリティは両方のカードの PIN を入力するよう要求します。2 つめのカードを使う場合は、1 つめのカードについての要求時にリターンを入力し、次に 2 つめのカードの PIN を入力してください。1 つめのカードを使う場合は、そのカードの PIN を入力すると、2 つめのカードについては入力を要求されません。(383141, 347820)
SNMP エージェント
- UNIX では、Netscape SNMP (簡易ネットワーク管理プロトコル) のマスター ポートが 199 に設定されていないと、起動時に SNMP のサブエージェントが予期しないエラーを発生します。(316650)
Directory Server Gateway
- Linux では、Directory Server Gateway と Apache を併用する場合、httpd.conf 内の SERVER_URL 環境変数を、ゲートウェイが動作する Web サーバに設定する必要があります。
setenv SERVER_URL http://dsgwHomePage
- Directory Server Gateway を Netscape Administration Server 以外の Web サーバで使用する場合、以下の操作を完了する必要があります。(338438)
その他
ldap://phonebook.airius.com/o%3Dace%20industry
ldap://phonebook.airius.com/o=ace industry
- 3.x Calendar Server は 4.x Directory Server と共に機能しますが、Directory Server は Calendar Server に対して自身を 3.x Directory Server であると報告する必要があります。4.x Directory Server を 3.x Directory Server であると報告させるには、slapd.conf にある versionstring パラメータを使用します。slapd.conf ファイルに次の行を入力して、サーバを再起動してください。
versionstring "Netscape-Directory/3.1"
注意事項
これらの例外は、Netscape Directory Server リリース 4.x のカスタマ用ドキュメントでも説明されています。 FORTEZZA
設定ファイル
- Windows NT では、設定ファイルのパス名にバックスラッシュ (¥) を使用できなくなりました。代りにスラッシュ (/) を使用してください。
Directory Server Gateway
- NT 同期サービスでユーザを追加する場合、Windows NT でユーザのフルネームが指定されていないと、同期サービスはエントリの cn 属性値として NT UID を使用します。この場合、ゲートウェイの [フルネーム] フィールドには、ユーザの NT UID が表示されます。
NT 同期サービスでユーザを追加する場合、Windows NT で NT UID のほかにユーザのフルネームが指定されていると、同期サービスは NT ユーザ名に 1 つの cn を作成し、フルネームにも 1 つの cn を作成します。この場合、ゲートウェイには、両方の cn 属性値が NT uid+full name の形式で表示されます。(312457)
- ゲートウェイを使用するには、Communicator で Javascript がオンになっている必要があります。(318303)
- グループ メンバーの高度な検索を行うには、完全な DN を指定してください。(113063)
- ゲートウェイ URL の構文が Directory Server 3.x と 4.x の間で変更されています。詳細については、『Directory Server ゲートウェイ カスタマイズ ガイド』を参照してください。
Netscape Console
- Netscape Console は SSL 証明書に基づいたクライアント認証をサポートしていません。SSL クライアント認証を必要とするように設定された Directory Server は、コマンド ラインから管理する必要があります。ただし、SSL クライアント認証を許可するように設定されたサーバは、Netscape Console から管理することもできます。(312404)
LDAP URL
Directory Server スキーマ
- 未定義の属性を持つオブジェクト クラスが Directory Server スキーマに含まれる場合、起動時にサーバは未定義の属性を cis 属性であるとみなし、その属性をスキーマに追加する必要があるというエラー メッセージをログに記録します。これにより、未定義の属性が cis 以外の構文のデータ、たとえばバイナリ データを含むような場合は、予期しない動作を引き起こすことがあります。(334257)
移行
- 4.1 より前のディレクトリに複数値の RDN がある場合、これを Directory Server 4.1 以上にアップグレードするには、データベースを LDIF にエクスポートし、移行を実行してからデータベースを再インポートする必要があります。
詳細情報
iPlanet サーバおよび Netscape サーバのインストール方法とリリース ノートについては、http://docs.iplanet.com/docs/manuals/index.html を参照してください。
Copyright 2000 (c) Sun Microsystems, Inc. Some preexisting portions Copyright (c) 2000 Netscape Communications Corp. All Rights Reserved.