REMARQUE :avant de mettre à niveau votre environnement eDirectory existant, assurez-vous que les applications Novell et de fabricants tiers installées prennent en charge eDirectory 8.8 SP6. Il est également fortement recommandé de sauvegarder eDirectory avant d'effectuer des mises à niveau.
Plate-forme prise en charge par eDirectory 32 bits
32 bits
SUSE Linux Enterprise Server (SLES) 11 avec le dernier service pack
SLES 10 avec le dernier service pack
Red Hat Enterprise Linux (RHEL) 5 avec le dernier service pack
RHEL 5 AP avec le dernier service pack
64 bits
SLES 11 avec le dernier service pack
SLES 10 avec le dernier service pack
RHEL 5 avec le dernier service pack
RHEL 5 AP avec le dernier service pack
Plate-forme prise en charge par eDirectory 64 bits
SLES 11 64 bits avec le dernier service pack
SLES 10 avec le dernier service pack
RHEL 5 avec le dernier service pack
RHEL 5 AP avec le dernier service pack
Vous pouvez exécuter les systèmes d'exploitation ci-dessus en mode virtuel sur les hyperviseurs suivants :
Xen
VMware ESX
Virtualisation Windows Server 2008 R2 avec Hyper-V
512 Mo de RAM minimum pour eDirectory
200 Mo d'espace disque pour l'installation de eDirectory (utilitaires de serveur et d'administration)
150 Mo d'espace disque pour 50 000 utilisateurs
Vérifiez que gettext est installé. Pour installer gettext, recherchez gettext sur le site Web rpmfind.
REMARQUE :RPM net-snmp (32 bits) doit être installé sous Linux OES ou SLES 64 bits.
Vérifiez que la version prise en charge de SSP est installée sur eDirectory 8.7.3 SPx avant la mise à niveau vers eDirectory 8.8 SP6.
Pour eDirectory 8.7.3 SP9, vérifiez que SSP 203 est installé.
Pour eDirectory 8.7.3 SP10, vérifiez que SSP 206 est installé.
Sur SLES, si vous ajoutez un serveur eDirectory 8.8 SP6 à partir d'un hôte SLES à une arborescence existante qui s'exécute sur un hôte différent, il se peut que le processus échoue si le pare-feu est activé.
Activez les services SLP et le port NCP (524 par défaut) dans le pare-feu pour permettre l'ajout du serveur secondaire.
Sur un système RHEL, si vous ajoutez un serveur secondaire à une arborescence eDirectory, ndsconfig se bloque lors de la synchronisation du schéma. Vous pouvez toutefois l'ajouter si vous ouvrez le port 524 dans le pare-feu.
Plate-forme prise en charge par eDirectory 32 bits
Solaris 10
Plate-forme prise en charge par eDirectory 64 bits
Solaris 10
Solaris 10 zones (petite et grande zones)
Les derniers correctifs recommandés sont tous disponibles sur la page Web de SunSolve. Si vous ne mettez pas à jour votre système avec les derniers correctifs avant d'installer eDirectory, vous risquez de rencontrer des problèmes lors de l'installation et de la configuration de ce dernier.
512 Mo de RAM minimum
200 Mo d'espace disque pour l'installation de eDirectory (utilitaires de serveur et d'administration)
150 Mo d'espace disque pour 50 000 utilisateurs
AIX 5L Version 5.3
Les correctifs recommandés pour le système d'exploitation AIX sont tous disponibles sur le site Web du support technique de IBM.
512 Mo de RAM minimum
200 Mo d'espace disque pour l'installation de eDirectory (utilitaires de serveur et d'administration)
150 Mo d'espace disque pour 50 000 utilisateurs
Pour installer eDirectory, utilisez la commande nds-install dans le répertoire d'installation :
./nds-install
Si vous téléchargez Novell eDirectory 8.8 SP6 à partir du site http://download.novell.com, utilisez gunzip nom_fichier_téléchargé pour extraire le fichier téléchargé dans un fichier .tar. Utilisez ensuitetar xvf nom_fichier_eDirectory.tar pour obtenir les paquetages et RPM contenant les scripts d'installation et de désinstallation de eDirectory.
Pour plus d'informations sur l'installation de eDirectory, consultez le Guide d'installation de Novell eDirectory 8.8.
Téléchargez le plug-in iManager eDir_88_iMan27_Plugins.npm depuis Internet.
Installez les fichiers NPM en suivant les indications du Guide d'administration de iManager 2.7.
REMARQUE :le plug-in iManager peut être téléchargé depuis le site Web download.novell.com.
IMPORTANT :vérifiez que la version prise en charge de SSP est installée sur eDirectory 8.7.3 SP avant la mise à niveau vers eDirectory 8.8 SP6. Reportez-vous à la Section 1.1, Configuration requise pour plus d'informations.
Installez et configurez eDirectory, puis configurez le fichier xdasproperties. Procédez comme suit pour vérifier que Syslog Appender est activé :
log4j.appender.S=org.apache.log4j.net.SyslogAppender
Désactivez l'entrée Layout definition for appender Syslog S comme suit :
# Layout definition for appender Syslog S. log4j.appender.S.layout=org.apache.log4j.PatternLayout #log4j.appender.S.layout.ConversionPattern=%c : %p%m%n
Lorsque vous essayez de charger xdasauditds, eDirectory commence à vider la mémoire et le programme se termine avec le signal 11.
Ce problème vient du fait que log4cxx ne recherche pas la présence d'une disposition dans le fichier xdasproperties avant la configuration. Il part du principe que l'entrée Layout definition for appender Syslog S est activée automatiquement si Syslog Appender est activé dans le fichier xdasproperties.
La fonction d'enregistrement automatique de la page de propriétés de iManager provoque l'enregistrement de la classe d'objet par défaut lorsque vous visitez la page des rôles ou des comptes XDAS avant de passer aux autres pages. Afin que les paramètres soient adaptés à votre environnement, vérifiez l'attribut xdasconfiguration de l'objet serveur ncp après avoir effectué le paramétrage dans iManager.
Lorsque vous configurez eDirectory sous RHEL 5.0, l'opération échoue car libstdc++6.0 est automatiquement installé avec Red Hat 5.0. Étant donné que les modules embox, pkiinst et pkiserver sont liés à libstdc++5, la bibliothèque compat incorrecte entraîne l'échec de la configuration de eDirectory.
Pour éviter ce problème, installez la bibliothèque compat-libstdc++-33-3.2.3-61.i386.rpm manuellement.
La mise à niveau entraîne la sélection des paquetages eDirectory en vue de leur suppression. Vous pouvez désélectionner cette option pour éviter la suppression de eDirectory.
Si eDirectory est supprimé par inadvertance, aucune donnée n'est perdue et vous pouvez réinstaller l'application.
Lors de l'arrêt du serveur après la configuration réussie de eDirectory, ndsd vide parfois la mémoire dans le répertoire DIB de eDirectory. Cette opération peut être ignorée car elle ne corrompt pas les données ni n'interrompt les services.
Si l'installation de eDirectory est interrompue prématurément, il se peut que l'installation du jeu de fichiers ait été effectuée mais que ceux-ci ne soient pas validés. Ce jeu de fichiers doit être complètement retiré pour réinstaller eDirectory.
Pour nettoyer le jeu de fichiers, utilisez la commande suivante :
installp -ug <jeu_fichiers>
Exemple : installp -ug NDS.NDSserv
Si vous cochez la case d'option de l'interface graphique eMBox, la fenêtre de la ligne de commande ne correspond pas au résultat de la sélection de l'option. Elle apparaît comme étant sélectionnée, mais si elle est exécutée, elle fonctionne correctement.
L'environnement du script dsbk et celui du planificateur CRON étant différents, le script dsbk ne parvient pas à s'exécuter en tant que travail planifié cron. Pour éviter ce problème, modifiez manuellement le script dsbk afin qu'il pointe vers le chemin d'accès des données binaires ndstrace avant de le planifier en tant que travail cron.
Nouvelle arborescence : lorsque vous ajoutez un serveur à une nouvelle arborescence eDirectory, l'erreur suivante s'affiche :
ndsconfig: error while loading shared libraries: /opt/novell/lib/libccs2.so: cannot restore segment prot after reloc: Permission denied. (ndsconfig : erreur lors du chargement des bibliothèques partagées : /opt/novell/lib/libccs2.so: impossible de restaurer la protection des segments après relocalisation : autorisation refusée.)
Arborescence existante : lorsque vous ajoutez un serveur à une arborescence eDirectory existante, ndsconfig ne répond pas durant la synchronisation du schéma car SELinux est activé sur le système.
Pour désactiver SELinux pour une application et poursuivre la configuration, reportez-vous à la documentation de Red Hat.
Vous ne pouvez pas ajouter de nouveau serveur dans un contexte si la longueur de son DN complet est supérieure à 256 caractères. La restriction de longueur s'applique au DN complet, mais pas au contexte. Le DN complet d'un objet peut être constitué de 256 caractères au maximum.
En cas d'échec de l'installation de eDirectory, nds-uninstall n'est pas en mesure de désinstaller eDirectory.
Pour résoudre ce problème, réinstallez eDirectory au même emplacement, puis désinstallez-le.
Vous ne devez pas utiliser l'option -s pour conserver le fichier nds.conf et la DIB. Sauvegardez-les avant d'effectuer l'opération nds-uninstall.
Après la mise à niveau de eDirectory, les nouveaux fichiers de configuration reçoivent l'extension .new. Si ces fichiers comportent des changements, ils peuvent être intégrés dans vos fichiers.
Après la mise à niveau de eDirectory de la version 32 bits vers la version 64 bits, veillez à mettre à jour la méthode de mot de passe simple NMAS pour garantir le fonctionnement des liaisons avec mot de passe de ce type.
Lorsque vous effectuez la mise à niveau de eDirectory 8.7.3.x vers 8.8.x, les fichiers eDirectory résident dans un autre chemin. Le moteur Identity Manager et le chargeur distant résident toujours dans l'emplacement d'origine de l'installation de eDirectory 8.7.3.x.
Pour que Identity Manager fonctionne avec eDirectory 8.8.x, vous devez réinstaller les composants Identity Manager déjà installés et les stocker dans les nouveaux chemins définis par l'installation de Directory 8.8.x.
Pour réussir la mise à niveau des versions eDirectory 8.7.3. antérieures à eDirectory 8.7.3 SP9 vers eDirectory 8.8 SP5 ou 8.8 SP6, procédez comme suit :
Désinstallez NICI installé avec eDirectory 8.7.3..
Installez manuellement NICI livré avec eDirectory 8.8 SP5 ou 8.8 SP6.
Démarrez la mise à niveau de eDirectory à l'aide du script nds-install.
Pour plus d'informations sur la procédure de mise à niveau, reportez-vous au Guide de dépannage de eDirectory 8.8.6.
Si vous mettez à niveau un serveur eDirectory sur lequel est installé le gestionnaire RPM eDirectory, les fichiers de celui-ci ne sont pas mis à niveau automatiquement. Vous devez par conséquent mettre à niveau les fichiers du gestionnaire RPM eDirectory manuellement.
REMARQUE :les outils eDirectory sont installés automatiquement avec Identity Manager 4.0.
Pour plus d'informations sur la mise à niveau des outils, consultez le Guide d'installation de Novell eDirectory 8.8.6.
Lorsque vous configurez la deuxième instance de eDirectory sur votre hôte, vous êtes invité à utiliser le chemin par défaut. Sélectionnez un chemin différent et poursuivez.
Le fichier LDIF doit mentionner toutes les classes d'objet auxquelles appartient une entrée. Vous devez également inclure les classes auxquelles une entrée appartient en raison d'un héritage. Par exemple, une entrée du type inetOrgPerson a la syntaxe suivante dans le fichier LDIF :
objectclass: inetorgperson
objectclass: organizationalPerson
objectclass: person
objectclass: top
Les objets chargés en bloc à l'aide de l'utilitaire ldif2dib ne sont pas ajoutés aux listes de contrôle d'accès spécifiées dans les modèles ACL de la classe de l'objet.
Vous pouvez suspendre provisoirement l'opération de chargement en bloc hors ligne en appuyant sur la touche s ou S. Vous pouvez utiliser la touche d'échappement (Échap) pour arrêter l'opération de chargement en bloc.
Sous Linux, si l'option –b est utilisée, le menu d'affichage des statistiques disparaît une fois le chargement en bloc terminé.
Lorsque vous essayez de télécharger plusieurs millions d'objets vers eDirectory à l'aide de ldif2dib et que l'intervalle de point de contrôle est spécifié explicitement, l'opération peut s'interrompre avec un message d'erreur signalant que le répertoire est saturé.
Pour éviter ce problème, ignorez l'intervalle de point de contrôle (utilisez l'option -i avec la commande ldif2dib ).
Pour afficher les pages du manuel français sous Red Hat Linux, exportez l'élément suivant :
export MANPATH=/opt/novell/man/frutf8:/opt/novell/eDirectory/man/frutf8
Pour afficher les pages du manuel sous AIX, utilisez les paramètres régionaux anglais.
Le comportement des plates-formes non-NetWare en termes de limitation du nombre de connexions simultanées s'adapte à celui de Netware. Pour revenir au comportement antérieur (vérification stricte sur la base du port), définissez le paramètre suivant dans le fichier nds.conf.
n4u.server.mask-port-number=0
Les services de catalogue fonctionnant avec eDirectory 8.8 SP6 ne sont pas pris en charge. Cette ancienne technologie a été largement remplacée par la fonction de login sans contexte dans le client Novell 4.9.
Si vous disposez d'un alias d'adresse de bouclage qui pointe vers le nom d'hôte du système dans une entrée /etc/hosts, il doit être remplacé par l'adresse IP ou le nom d'hôte. Autrement dit, si le fichier /etc/hosts contient une entrée similaire à la suivante, vous devez la modifier comme illustré dans l'exemple d'entrée correcte ci-dessous.
L'exemple suivant pose problème lorsqu'un utilitaire tente une résolution sur le serveur ndsd :
127.0.0.1 test-system localhost.localdomain localhost
L'exemple suivant illustre une entrée correcte dans /etc/hosts :
127.0.0.1 localhost.localdomain localhost
10.77.11.10 test-system
Si un utilitaire ou un outil tiers assure la résolution par le biais de l'hôte local, il doit être reconfiguré pour l'effectuer par l'intermédiaire d'un nom d'hôte ou d'une adresse IP et non via l'adresse de l'hôte local.
Si le fichier /etc/hosts a une entrée avec l'adresse de boucle 127.0.0.2, le certificat IP par défaut est créé pour l'adresse de boucle 127.0.0.2.
Pour éviter ce problème, modifiez le fichier /etc/hosts si le fichier hosts a une entrée avec adresse de boucle 127.0.0.2.
Par exemple : 127.0.0.2 hostname.
Notez-la en tant que commentaire et vérifiez que l'entrée de la véritable adresse IP est présente dans le fichier.
Si la DIB est volumineuse, l'agent DS met du temps pour répondre et affiche à tort les erreurs suivantes :
LDAP TCP Port is not listening (Le port TCP LDAP n'écoute pas)
LDAP TLS Port is not listening (Le port LDAP TLS n'écoute pas)
Dans ce scénario, les ports ne sont pas désactivés mais les services eDirectory mettent du temps pour répondre. Pour vérifier l'état de LDAP, consultez le fichier ndsd.log ou entrez la commande suivante et recherchez les ports TCP/TLS LDAP avec l'outil Grep :
netstat -na
Pour résoudre ce problème :
Autorisez la liaison anonyme.
Lancez le sous-agent.
Désactivez/refusez la liaison anonyme.
La suppression d'un objet déplacé peut échouer (erreur -637) dans une arborescence contenant plusieurs serveurs.
Pour que Identity Manager fonctionne de manière optimale avec eDirectory, augmentez la valeur max stack size de ndsd à l'aide de la commande suivante :
ldedit -b maxstack=0x10000000 /opt/novell/eDirectory/sbin/ndsd
Assurez-vous que ndsd n'est pas en cours d'exécution lorsque vous exécutez cette commande.
eDirectory ne génère pas d'événement de logout si vous vous déloguez de iManager. Il s'agit d'une limitation technique du client de eDirectory.
Des applications d'audit peuvent utiliser des API NWDS pour recevoir des événements de logout. Les applications qui utilisent LDAP peuvent toutefois surveiller le logout avec des événements sans liaison.
Les balises TIME et TAGS s'affichent comme activées (soulignées) bien qu'elles ne le soient pas par défaut. Si la valeur de TERM est définie sur VT100 ou xterm à partir d'un terminal Linux, ces balises s'affichent comme si elles étaient activées (soulignées). Ce problème ne survient avec aucun autre terme, par exemple dtterm.
eMBox ne gère pas les caractères double octet pour la configuration d'un répertoire de transaction individuelle par l'intermédiaire du client eMBox et de iManager. Cette opération peut toutefois être exécutée via DSBK.
Sous Solaris, une application eDirectory 64 bits permet d'augmenter l'espace d'adressage virtuel à plus de 4 Go. Toutefois, les performances ne s'amélioreront pas nécessairement. Dans certains cas, une application eDirectory 64 bits peut ne pas fonctionner aussi bien qu'une application eDirectory 32 bits.
Sous Solaris 10 64 bits, lorsque vous essayez d'installer manuellement le paquetage de NICI, l'erreur suivante s'affiche :
Pour une installation 32 bits : ln: cannot create /usr/lib/libccs2.so: File exists
Pour une installation 64 bits : ln: cannot create /usr/lib/sparcv9/libccs2.so: File exists
Pour résoudre ce problème,
Supprimez les liens du répertoire suivant :
Pour 32 bits : /usr/lib/
Pour 64 bits : /usr/lib/sparcv9/
Installez les paquetages de NICI 32 bits et 64 bits à l'aide de la commande pkgadd.
Suivez la même procédure pour une installation non-root dans laquelle NICI doit être installé manuellement.
Si les applications eDirectory root et non-root sont configurées sur la même machine, vous ne pouvez pas exporter le script ndspath de l'application eDirectory root à partir d'un répertoire dans lequel est extraite l'application eDirectory non-root.
Par exemple, lors de l'exportation d'un chemin pour une application eDirectory root, si le chemin de l'application eDirectory non-root est /home/non-root/eDirectory/ et si un utilisateur situé à l'emplacement /home/non-root/eDirectory/opt/ exporte le chemin . /opt/novell/eDirectory/bin/ndspath, ce script ndspath exporte le chemin pour l'application eDirectory non-root.
Pour résoudre ce problème, exportez le script ndspath de l'application eDirectory root à partir de n'importe quel répertoire autre que le chemin extrait de l'application eDirectory non-root. Par exemple, /home/non-root/eDirectory/opt/.
Le déplacement d'un objet Groupe dynamique comportant « dynamicgroup » dans l'attribut de la classe d'objet vers un autre conteneur bloque la fonction de groupe dynamique. Une fois l'objet déplacé, les requêtes et les recherches sur les membres dynamiques ne fonctionnent pas.
Sous Linux 64 bits, lorsqu'un utilisateur essaie de lancer le sous-agent (ndssnmpsa) à l'aide d'un mot de passe eDirectory incorrect, une erreur de segmentation se produit.
Pour éviter cette erreur, veillez à utiliser le mot de passe eDirectory correct lors du lancement du sous-agent.
Si vous exécutez ndsrepair sans surveillance après la mise à niveau ou la migration depuis le serveur 8.7.3.x, le message "ERREUR : liste d'ID d'ancêtre non valide pour l'entrée" apparaît.
Vous pouvez l'ignorer car la mise à niveau de l'ID d'ancêtre est effectuée dans le cadre du processus en arrière-plan, après la mise à niveau ou la migration de la DIB.
Si eDirectory 8.8 SP6 64 bits est configuré en tant que zone de stockage utilisateur externe et service SecretStore externe et si vous créez une stratégie de remplissage de formulaires avec un secret partagé pour accélérer l'authentification de iManager, celui-ci renvoie une erreur de stockage des données après son authentification sur la passerelle d'accès Linux. eDirectory 8.8 SP6 64 bits n'est pas pris en charge en tant que service SecretStore externe avec Access Manager.
SecretStore se verrouille si vous essayez de récupérer le mot de passe oublié en vous loguant avec les références de l'utilisateur et une phrase secrète erronée. Vous pouvez déverrouiller SecretStore à l'aide des droits d'administrateur et le client Novell SecureLogin vous permet de vous loguer sans phrase secrète. Si vous tentez de modifier la phrase secrète, le login échoue et une erreur se produit.
Le service Wake-on-LAN de ZENworks ne démarre pas, même après votre tentative de démarrage manuel.
Lorsque vous essayez d'enregistrer les nouvelles références dans SecretStore à l'aide du plug-in iManager, une colonne de références vierge s'affiche car iManager n'est pas parvenu à enregistrer les modifications.
Vous ne pouvez modifier les références à partir du plug-in iManager de SecretStore que si vous vous loguez en tant qu'utilisateur et pas en tant qu'administrateur.
Lorsque vous enregistrez un autre ensemble de références, SecretStore ne parvient pas à conserver le premier ensemble et seul le dernier ensemble de références est visible.
Vous ne pouvez modifier les références à partir du plug-in iManager de SecretStore que si vous vous loguez en tant qu'utilisateur et pas en tant qu'administrateur.
L'exécution du script DSBK en tant que travail cron échoue car le nom de chemin complet de ndstrace n'est pas mentionné dans le script DSBK.
Pour résoudre ce problème, modifiez manuellement le script DSBK et remplacez toutes les instances de ndstrace par le chemin complet vers les données binaires ndstrace. Par exemple, /opt/novell/eDirectory/bin/ndstrace.
Lorsque vous ouvrez le fichier ediraudit.sch, le message suivant apparaît :
Le schéma NDS est déjà configuré
Ce comportement est normal. Vous n'avez pas besoin d'étendre le schéma si le serveur exécute eDirectory 8.8 SP6.
La documentation de Novell eDirectory 8.8 SP6 est la suivante :
Guide des nouveautés de Novell eDirectory 8.8
Guide d'installation de Novell eDirectory 8.8
Guide d'administration de Novell eDirectory 8.8
Guide de dépannage de Novell eDirectory 8.8
Ces documents sont disponibles sur le site Web de documentation en ligne de Novell eDirectory 8.8.
La dernière version de ce fichier lisezmoi est disponible sur le site Web de documentation en ligne de Novell eDirectory 8.8.
Consultez la documentation en ligne de iManager 2.7 pour plus d'informations sur ce produit.
Consultez la documentation en ligne de NMAS pour plus d'informations sur ce produit.
Consultez la documentation en ligne de Certificate Server pour plus d'informations sur ce produit.
Consultez la documentation en ligne de NICI pour plus d'informations sur ce produit.
Pour plus d'informations sur les problèmes eDirectory sur Open Enterprise Server (OES), reportez-vous au fichier lisezmoi OES.
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les approbations d'exportation nécessaires.
Copyright © 2010 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell.
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.