Примечание.Прежде чем обновлять среду eDirectory, выясните, поддерживают ли установленные приложения компании Novell и независимых производителей программу eDirectory 8.8 с пакетом обновления 6. Перед выполнением каких-либо обновлений настоятельно рекомендуется создать резервную копию eDirectory.
32-битные Платформы, поддерживаемые eDirectory
32-разрядные
SUSE Linux Enterprise Server (SLES) 11 с последним пакетом обновления
SLES 10 с последним пакетом обновления
Red Hat Enterprise Linux (RHEL) 5 с последним пакетом обновления
RHEL 5 AP с последним пакетом обновления
64-разрядные
SLES 11 с последним пакетом обновления
SLES 10 с последним пакетом обновления
RHEL 5 с последним пакетом обновления
RHEL 5 AP с последним пакетом обновления
64-разрядные платформы, поддерживаемые eDirectory
64-разрядная версия SLES 11 с последним пакетом обновления
SLES 10 с последним пакетом обновления
RHEL 5 с последним пакетом обновления
RHEL 5 AP с последним пакетом обновления
Указанные выше операционные системы могут выполняться в виртуальном режиме на следующих гипервизорах:
Xen
VMware ESX
Виртуализация Windows Server 2008 R2 с использованием Hyper-V
Для работы eDirectory требуется не менее 512 МБ оперативной памяти
200 Мб дискового пространства для установки eDirectory (утилит сервера и администрирования)
150 МБ дискового пространства для каждых 50 000 пользователей
Убедитесь, что программа GETTEXT установлена. Для установки загрузите ее с веб-сайта rpmfind.
Примечание. В 64-разрядной версии SLES или OES Linux необходимо установить пакет RPM net-snmp-32-bit.
Прежде чем начать обновление до eDirectory 8.8 с пакетом обновления 6, убедитесь, что поверх eDirectory 8.7.3 с пакетом обновления 3 установлен SSPx.
Для eDirectory 8.7.3 с пакетом обновления 9 убедитесь, что установлен SSP 203.
Для eDirectory 8.7.3 с пакетом обновления 10 убедитесь, что установлен SSP 206.
На платформе SLES при добавлении сервера eDirectory 8.8 с пакетом обновления 6 с хоста SLES в существующее дерево, которое выполняется на другом хосте, может завершиться ошибкой, если включен брандмауэр.
Чтобы разрешить добавление вторичного сервера, включите в брандмауэре сервисы SLP и откройте порт NCP (по умолчанию порт 524).
Если в системе RHEL в дерево eDirectory добавляется вторичный сервер, ndsconfig зависает на время синхронизации схемы. Для добавления вторичного сервера откройте в брандмауэре порт 524.
32-разрядные платформы, поддерживаемые eDirectory
Solaris 10
64-разрядные платформы, поддерживаемые eDirectory
Solaris 10
Зоны Solaris 10 (малая и большая зоны)
Все последние рекомендованные исправления доступны на веб-странице SunSolve. Если перед установкой eDirectory в системе не были установлены последние исправления, при установке и настройке eDirectory могут возникнуть проблемы.
Не менее 512 Мб ОЗУ
200 Мб дискового пространства для установки eDirectory (утилит сервера и администрирования)
150 МБ дискового пространства для каждых 50 000 пользователей
AIX 5L версии 5.3
Все рекомендованные исправления для ОС AIX доступны на веб-сайте технической поддержки IBM
Не менее 512 Мб ОЗУ
200 Мб дискового пространства для установки eDirectory (утилит сервера и администрирования)
150 МБ дискового пространства для каждых 50 000 пользователей
Для установки eDirectory воспользуйтесь командой nds-install в каталоге установки:
./nds-install
Если Novell eDirectory 8.8 с пакетом обновления 6 загружена с веб-сайта http://download.novell.com, для извлечения загруженного файла в файл TAR выполните команду gunzip имя_загруженного_файла. Затем выполните команду tar xvf имя_файла_eDirectory.tar для получения пакетов и пакетов RPM со сценариями установки и удаления eDirectory.
Дополнительную информацию об установке eDirectory см. в руководстве Novell eDirectory 8.8 Installation Guide (Руководство по установке).
Загрузите подключаемый модуль eDir_88_iMan27_Plugins.npm для iManager с данного веб-сайта.
Установите NPM согласно инструкциям Руководства по администрированию iManager 2.7 .
ПРИМЕЧАНИЕ.Подключаемый модуль iManager доступен на веб-сайте download.novell.com.
ВАЖНО!Прежде чем начать обновление до eDirectory 8.8 с пакетом обновления 6, убедитесь, что поверх eDirectory 8.7.3 с пакетом обновления SP установлен SSP поддерживаемой версии. Дополнительную информацию см. в Разделе 1.1, Предварительные требования.
Установите и настройте eDirectory, затем настройте файл xdasproperties. Убедитесь в том, что Syslog Appender включен, выполнив указанные ниже действия.
log4j.appender.S=org.apache.log4j.net.SyslogAppender
Отключите Определение макета компонента аппендера Syslog S, выполнив указанные ниже действия.
# Определение макета для аппендера Syslog S. log4j.appender.S.layout=org.apache.log4j.PatternLayout #log4j.appender.S.layout.ConversionPattern=%c : %p%m%n
При попытке загрузки xdasauditdseDirectory начинает выполнять дамп ядра, а выполнение программы прекращается с возвратом сигнала 11.
Эта проблема возникает, поскольку log4cxx не проверяет существование макета в файле xdasproperties перед его настройкой. Предполагается, что Определение макета для аппендера Syslog S включается автоматически, если аппендер Syslog включен в файле xdasproperties.
Функция автоматического сохранения страницы свойств iManager обеспечивает сохранение класса объекта по умолчанию при посещении страниц ролей XDAS или страниц учетных записей XDAS перед переходом на другие страницы. Чтобы убедиться в том, что параметры соответствуют вашим требованиям, после их настройки с помощью iManager проверьте атрибут "xdasconfiguration" объекта "Сервер NCP".
Из-за автоматической установки с Red Hat 5.0 библиотеки libstdc++6.0 невозможно выполнить настройку eDirectory в RHEL 5.0. Это происходит из-за того, что модули embox, pkiinst и pkiserver связаны с библиотекой libstdc++5 и несовместимая версия библиотеки приводит к ошибке в конфигурации eDirectory.
Чтобы решить эту проблему, установите вручную библиотеку compat-libstdc++-33-3.2.3-61.i386.rpm.
При обновлении пакеты eDirectory будут помечены для удаления. Отключите этот параметр, если удалять eDirectory не требуется.
Если служба eDirectory будет случайно удалена, это не приведет к потере данных, и ее можно будет установить заново.
При завершении работы сервера после успешной настройки eDirectory ndsd иногда выполняет дамп ядра в каталоге DIB в eDirectory. На это можно не обращать внимания, так как данные при этом не повреждаются и работа сервисов не нарушается.
Если установка eDirectory прервана, наборы файлов могут быть установлены, но находиться в незафиксированном состоянии. Перед повторной установкой необходимо полностью удалить данные наборы файлов.
Для удаления наборов файлов используйте следующую команду:
installp -ug <набор файлов>
Например, installp -ug NDS.NDSserv
При выборе переключателя в графическом интерфейсе eMBox команда в окне командной строки не соответствует результату выбора кнопки. Команда показана так, как выбрана, однако при запуске функционирует так, как ожидается.
Из-за отличия среды сценария dsbk и планировщика CRON сценарий dsbk невозможно выполнить в качестве запланированного задания cron. Чтобы разрешить эту проблему, перед добавлением сценария dsbk в cron необходимо вручную указать в нем путь к двоичному файлу ndstrace.
Новое дерево: при добавлении сервера в новое дерево eDirectory возникает ошибка, указанная ниже.
«ndsconfig: ошибка при загрузке общих библиотек: /opt/novell/lib/libccs2.so: невозможно восстановить прототип сегмента после выделения: Доступ запрещен».
Существующее дерево: при добавлении сервера в новое дерево eDirectory ndsconfig не отвечает, пока выполняется синхронизация схемы, потому что в системе присутствует SELinux.
Отключите SELinux для приложения и продолжайте настройку (сведения об отключении SELinux см. в документации по Redhat).
Невозможно добавить новый сервер в контекст, если длина его доменного имени превышает 256 символов. Ограничение по имени относится к полному доменному имени, а не к контексту. Длина полного доменного имени любого объекта не может превышать 256 символов.
Если установка eDirectory завершилась ошибкой, то команда nds-uninstall не может удалить eDirectory.
Чтобы решить эту проблему, еще раз установите программу eDirectory в то же самое место, а затем удалите ее.
Использовать параметр -s для сохранения файла nds.conf и базы данных DIB нельзя. Перед выполнением операции nds-uninstall, необходимо создать их резервные копии..
После обновления eDirectory новые файлы конфигурации получают расширение .new. Если в исходные файлы вносились изменения, их следует перенести в новые файлы конфигурации.
После обновления eDirectory с 32-битной версии до 64-битной версии для работы привязок простых паролей необходимо обновить метод простого пароля NMAS.
При обновлении с eDirectory 8.7.3.x до 8.8.x файлы eDirectory размещаются в разных местах. Ядро программы Identity Manager и Remote Loader остаются в исходном месте установки eDirectory 8.7.3.x.
Чтобы обеспечить работу Identity Manager с eDirectory 8.8.x, необходимо удалить все ранее установленные в системе компоненты Identity Manager, чтобы переместить их в новые расположения в соответствии с тем, как определено установкой Directory 8.8.x.
Для успешного обновления версий eDirectory 8.7.3,, предшествующих пакету обновлений 9, до версии 8.8 с пакетом обновления 5 или с пакетом обновления 6, выполните действия, описанные ниже.
Удалите компонент NICI, установленный вместе с eDirectory 8.7.3.
Установите вручную компонент NICI, который поставляется с eDirectory 8.8 с пакетом обновления 5 или с eDirectory 8.8 с пакетом обновления 6.
Начните обновление eDirectory. Для этого воспользуйтесь сценарием nds-install.
Дополнительную информацию о процедуре обновления см. в Руководстве по поиску и устранению неисправностей eDirectory 8.8.6.
При обновлении сервера eDirectory, на котором установлен RPM инструментария eDirectory, последний обновляется автоматически. Поэтому необходимо установить RPM инструментарий eDirectory вручную.
ПРИМЕЧАНИЕ.Инструментарий eDirectory автоматически устанавливается с Identity Manager 4.0.
Дополнительную информацию об обновлении инструментария см. в разделе Руководство по установке Novell eDirectory 8.8.6.
При настройке на хосте второго экземпляра eDirectory будет предложено использовать путь по умолчанию. Выберите другой путь и продолжайте настройку.
В файле LDIF должны быть указаны все классы объектов, к которым принадлежит элемент. Также необходимо включить классы, к которым принадлежит элемент в результате наследования классов. Например, элемент типа inetOrgPerson имеет в файле LDIF следующий синтаксис:
objectclass: inetorgperson
objectclass: organizationalPerson
objectclass: person
objectclass: top
Объекты, загружаемые пакетно с помощью утилиты ldif2dib, не добавляются со списками ACL, указанными в шаблонах ACL для класса данного объекта.
Автономную операцию пакетной загрузки можно временно приостановить, нажав клавишу s или S. Для остановки пакетной загрузки можно использовать клавишу Esc.
Если в ОС Linux используется параметр -b, то после завершения пакетной загрузки исчезает меню отображения статистики.
При попытке загрузить несколько миллионов объектов в eDirectory с помощью ldif2dib, если контрольные интервалы явно определены, может произойти сбой с сообщением о переполнении каталога.
Чтобы решить эту проблему, пропустите контрольные интервалы (используйте команду ldif2dib с параметром -i).
Для просмотра в ОС Red Hat Linux файлов man на французком языке выполните следующую команду:
export MANPATH=/opt/novell/man/frutf8:/opt/novell/eDirectory/man/frutf8
Для просмотра файлов man page в ОС AIX используйте английские региональные настройки.
Поведение при ограничении количества одновременных соединений для платформ, отличных от NetWare, теперь такое же, как и для платформ NetWare. Для восстановления прежнего поведения (на основе строгой проверки порта) установите следующий параметр в файлеnds.conf
n4u.server.mask-port-number=0
Сервис справочника в eDirectory 8.8 с пакетом обновления 6 не поддерживается. Это устаревшая технология, по большей части замещенная функцией бесконтекстной регистрации в Novell Client 4.9.
Если в файле /etc/hosts содержится псевдоним имени системы на кольцевом адресе, его необходимо заменить именем хоста или IP-адресом. Это означает, что если в файле /etc/hosts содержится запись, аналогичная указанной ниже, то она должна быть заменена правильной записью, приведенной во втором примере ниже.
Запись, используемая в следующем примере, вызывает проблемы при попытке любой утилиты определить сервер ndsd:
127.0.0.1 test-system localhost.localdomain localhost
Далее приведен пример правильной записи в /etc/hosts:
127.0.0.1 localhost.localdomain localhost
10.77.11.10 test-system
Если какая-либо утилита независимого производителя определяет адреса через localhost, ее необходимо изменить, чтобы определять адреса через имя хоста или IP-адрес, а не через адрес localhost.
Если в файле /etc/hosts имеется запись с адресом обратной связи 127.0.0.2, то IP-сертификат по умолчанию создается для адреса обратной связи 127.0.0.2.
Чтобы разрешить эту проблему, отредактируйте файл /etc/hosts в случае, если в нем имеется запись с адресом обратной связи 127.0.0.2.
Например : 127.0.0.2 hostname.
Комментируйте эту запись и убедитесь в наличии в данном файле записи реального IP-адреса.
Если база DIB велика, запуск DS требует значительного времени, что приводит к неправильному появлению следующих ошибок:
Порт TCP LDAP не выполняет прием
Порт TLS LDAP не выполняет прием
В этом случае порты отключены, но запуск сервиса eDirectory не завершен. Для проверки состояния LDAP обратитесь к файлу NDSD.LOG или введите следующую команду и запустите grep для портов LDAP TCP/TLS:
netstat -na
Для решения этой проблемы:
Разрешите анонимную привязку.
Запустите субагент.
Отключите/запретите анонимную привязку.
Удаление перемещенного объекта может привести к ошибке 637 в дереве с двумя или более серверами.
Для правильной работы Identity Manager с eDirectory увеличьте для средства ndsd максимальный размер стека, используя следующую команду:
ldedit -b maxstack=0x10000000 /opt/novell/eDirectory/sbin/ndsd
Проверьте, что средство ndsd не запущено при выполнении этой команды.
eDirectory не создает событие выхода из системы при выходе из iManager. Это объясняется техническими ограничениями в клиентской части eDirectory.
Приложения аудита могут использовать интерфейс NWDS API для получения событий выхода из системы. Приложения, использующие LDAP, могут отслеживать выход из системы с помощью событий отмены привязки (unbind ).
Теги TIME и TAGS отображаются как активные (подчеркнуты), хотя по умолчанию таковыми не являются. Если тегу TERM назначено значение VT100 или xterm из терминала Linux, эти теги отображатся как активные (подчеркнуты). В других терминалах, например dtterm, эта проблема не возникает.
eMBox не обрабатывает двухбайтовые символы для установки каталога прокрутки вперед посредством клиента eMBox и iManager. Это можно сделать при помощи DSBK.
64-разрядная версия eDirectory в Solaris может использовать виртуальное адресное пространство свыше 4 Гб. Однако повышение производительности может быть незначительным. В некоторых случаях 64-разрядная версия eDirectory может работать медленнее 32-разрядной.
В 64-разрядной системе Solaris 10 при попытке установить пакет NICI вручную возникает ошибка, приведенная ниже.
В случае 32-разрядной установки: невозможно создать /usr/lib/libccs2.so: файл уже существует.
В случае 64-разрядной установки: невозможно создать /usr/lib/sparcv9/libccs2.so: файл уже существует.
Для решения этой проблемы,
Удалите ссылки из указанного каталога.
В случае 32-разрядной установки: /usr/lib/.
В случае 64-разрядной установки: /usr/lib/sparcv9/.
Установите 32- и 64-разрядные пакеты при помощи средства pkgadd.
Выполните аналогичные действия для некорневой установки NICI там, где это требуется сделать вручную.
Если корневая и некорневая конфигурации eDirectory установлены на одном и том же компьютере, невозможно экспортировать ndspath корневой версии eDirectory из каталога, в котором извлечена некорневая версия eDirectory.
Например, экспортируется путь к корневой eDirectory. Если путем к некорневой версии eDirectory является путь /home/non-root/eDirectory/ и пользователь в /home/non-root/eDirectory/opt/ экспортирует путь . /opt/novell/eDirectory/bin/ndspath, этот сценарий ndspath экспортирует путь в некорневую версию eDirectory.
Чтобы решить эту проблему, экспортируйте сценарий ndspath для корневой версии eDirectory из любого каталога, который не является путем к некорневой eDirectory. Например, /home/non-root/eDirectory/opt/.
Перемещение объекта динамической группы с атрибутом "dynamicgroup" в атрибуте класса объекта в другой контейнер приводит к нарушению функциональности динамической группы. После перемещения не работают поиск и запросы динамических членов.
Если в 64-разрядной версии Linux пользователь пытается запустить субагент (ndssnmpsa), используя неправильный пароль eDirectory, будет возращена ошибка сегментации.
Чтобы избежать появления этой ошибки, перед запуском субагента удостоверьтесь, что введен верный пароль к eDirectory.
При выполнении автоматического ndsrepair после обновления или миграции с сервера 8.7.3.x появится сообщение об ошибке Недопустимый список ИД предков для данного элемента
Это сообщение можно проигнорировать, поскольку обновление ИД предка выполняется как часть фонового процесса после обновления или миграции базы данных DIB.
В 64-разрядной версии eDirectory 8.8 с пакетом обновления 6, сконфигурированной как внешнее хранилище пользователей и внешнее SecretStore, при создании политики Form Fill с совместным секретом для ускорения аутентификации iManager программа возвращает ошибку хранилища данных после аутентификации в шлюзе доступа Linux. 64-разрядная версия eDirectory 8.8 с пакетом обновления 6 не поддерживается в качестве внешнего хранилища секретов для Access Manager.
Если пользователь пытается получить забытый пароль, войдя в систему с пользовательской учетной записью и неверной фразой-паролем, хранилище секретов блокируется. Открыть заблокированное SecretStore можно, воспользовавшись правами администратора. Кроме того, клиент Novell SecureLogin позволяет войти в систему без ключевой фразы. При попытке изменить фразу-пароль вход в систему заканчивается ошибкой.
Сервис ZENworks Wake-on-LAN не запускается даже при попытке запуска вручную.
При попытке сохранить новые учетные данные в SecretStore при помощи подключаемого модуля iManager появляется пустой столбец учетных данных, потому что iManager не удалось сохранить изменения.
Изменить учетные данные с помощью подключаемого модуля SecretStore iManager можно только с учетной записью пользователя. Не используйте для этого учетную запись администратора.
При сохранении альтернативного набора учетных данных SecretStore не может хранить первый набор, при этом виден только последний.
Изменить учетные данные с помощью подключаемого модуля SecretStore iManager можно только с учетной записью пользователя. Не используйте для этого учетную запись администратора.
Ошибка выполнения сценария DSBK в качестве задания cron произошла, поскольку в этом сценарии не указан полный путь к ndstrace.
Чтобы разрешить эту проблему, измените сценарий DSBK вручную и удалите все экземпляры ndstrace с полным путем к двоичному файлу ndstrace. Например, /opt/novell/eDirectory/bin/ndstrace.
При расширении файла ediraudit.sch выводится следующее сообщение:
Схема NDS уже настроена
Это поведение не является ожидаемым. Если в качестве сервера выступает eDirectory 8.8 с пакетом обновления 6, нет необходимости расширять схему.
В комплект Novell eDirectory 8.8 с пакетом обновления 6 включена документация, указанная ниже.
Руководство Novell eDirectory 8.8 What's New Guide («Новые возможности»)
Novell eDirectory 8.8 Installation Guide (Руководство по установке)
Novell eDirectory 8.8 Administration Guide (Руководство по администрированию)
Novell eDirectory 8.8 Troubleshooting Guide (Руководство по устранению проблем)
Эти документы доступны на веб-сайте электронной документации Novell eDirectory 8.8.
Последняя версия файла сведений доступна на веб-сайте электронной документации Novell eDirectory 8.8.
Дополнительную информацию о пакете iManager 2.7 см. в электронной документации по iManager 2.7.
Информацию о NMAS см. в электронной документации NMAS.
Информацию о сервере сертификатов см. в электронной документации по серверу сертификатов.
Информацию о NICI см. в электронной документации NICI.
Дополнительную информацию о проблемах eDirectory в Open Enterprise Server (OES) см. файл сведений OES.
Компания Novell, Inc. не дает никаких гарантий или обещаний относительно содержания или возможностей использования данной документации, особо оговаривая отказ от любых явных или подразумеваемых гарантий назначения или пригодности для любой конкретной цели. Кроме того, компания Novell оставляет за собой право в любое время пересматривать данную публикацию и изменять ее содержимое, не беря на себя обязательств по уведомлению каких-либо юридических и физических лиц об изменениях.
Компания Novell также не дает никаких гарантий и обещаний относительно любого программного обеспечения, особо оговаривая отказ от любых явных или подразумеваемых гарантий пригодности для продажи и иной цели. Кроме того, Novell, Inc. оставляет за собой право в любое время изменять программные продукты Novell частично или целиком, не беря на себя обязательств по уведомлению каких-либо юридических и физических лиц об этих изменениях.
На любые продукты и техническую информацию, предоставляемые по этому Соглашению, могут распространяться правила экспортного контроля США и положения торгового права, принятые в других странах. Вы обязуетесь соблюдать все правила экспортного контроля и получать любые необходимые лицензии или разрешения для выполнения операций экспорта, реэкспорта и импорта поставляемых товаров. Вы обязуетесь не экспортировать и не реэкспортировать товары лицам, находящимся в запретных списках США на экспорт, и в страны, в отношении которых действует эмбарго или которые определены в экспортных законах США как террористические. Вы обязуетесь не использовать поставляемые товары в связи с запрещенным производством и использованием ядерного, ракетного, химического и биологического оружия. Дополнительные сведения об экспорте программного обеспечения Novell см. на веб-странице Novell International Trade Services. Компания Novell не несет ответственности, если вы не сможете получить необходимое разрешение на экспорт.
© Novell, Inc., 2010. Все права защищены. Никакая часть настоящего документа не может быть воспроизведена, фотокопирована, сохранена в какой-либо поисковой системе или передана без явного письменного согласия издателя.
Товарные знаки компании Novell см. в списке товарных и сервисных знаков Novell.
Все торговые марки независимых производителей являются собственностью их владельцев.