IBM(R) DISTRIBUTED COMPUTING ENVIRONMENT (DCE) VERSIONE 3.2 PER AIX E SOLARIS - README ============================================================== (C) Copyright IBM Corporation 2001. Tutti i diritti riservati. NOTA: Consultare 12.0 INFORMAZIONI PARTICOLARI per informazioni sul copyright. ============================================================================== INDICE 1.0 INFORMAZIONI SUL README 2.0 LDAP - CONSIDERAZIONI 2.1 e-fix per IBM SecureWay(R) Directory server 2.2 Requisito lettura\scrittura simultanea 2.3 Modifica del limite della dimensione LDAP per i comandi di catalogo dcecp in IBM SecureWay Directory server 2.4 Attributo CreatorsName utilizzando ldif2db e la funzione di replica 2.5 Errori durante la modifica dello schema 3.0 AIX - CONSIDERAZIONI 3.1 Considerazioni durante l'esecuzione delle applicazioni del cliente in ambiente AIX 3.2 comando dcf_ulimit aggiunto a dcecp 3.3 comando dcf_ulimit 4.0 DCE 3.2 CONSIDERAZIONI SULLE PRESTAZIONI E SUGGERIMENTI PER L'OTTIMIZZAZIONE 4.1 Ottimizzazione secd 4.1.1 Ottimizzazione di più connessioni al server LDAP 4.1.2 Ottimizzazione del numero dei thread di propagazione 4.1.3 Ottimizzazione del secd iniziatore di init_rep 4.2 Ottimizzazione del DB2(R) utilizzando IBM SecureWay LDAP 4.3 Ottimizzazione del LDAP 4.3.1 Ottimizzazione di IBM SecureWay LDAP serve 4.3.2 Ottimizzazione di iPlanet/Netscape LDAP server 4.4 Hardware 4.5 Rete 4.6 Aspettative migrazioni iniziali 4.7 Considerazioni applicazione DCE 4.8 Attività utenti (login, chpasswd) 4.9 Attività admin (user create, user delete) 5.0 LOCALE - CONSIDERAZIONI 5.1 Problemi relativi al client LDAP Solaris con UTF-8 (solo in ambiente Solaris) 5.2 Errori di LDAP per impostazioni relative alle locale non supportate 6.0 MODIFICA DELLA VERSIONE REGISTRO RICHIESTO 6.1 Accertarsi che tutte le repliche abbiano lo stesso numero di versione registro prima di migrare al master LDAP 6.2 Tentativi di modifica della versione registro in attesa della corrispondenza tra i numeri in sequenza 7.0 CONSIDERAZIONI SULLA MIGRAZIONE ED EVENTUALI CONDIZIONI DI ERRORE 7.1 Parametri richiesti per la migrazione del registro 7.2 L'arresto della migrazione del registro non arresta la trasmissione dei dati DCE a LDAP 7.3 Errori relativi alla migrazione slave LDAP 7.4 Errori relativi alla migrazione master LDAP 7.5 Messaggi successivi alla scadenza del ticket durante la migrazione 8.0 CONDIZIONI PER IL RIAVVIO DI SECD 8.1 Riavvio di secd per modificare i file del database di chiavi con SSL 8.2 Condizione LDAP_SERVER_DOWN 9.0 SELEZIONE DEL REGISTRO CON LA VARIABILE DI AMBIENTE TRY_PE_SITE 9.1 Il server principale CDS deve puntare sempre ad un server di sicurezza in servizio 9.2 E' necessario disporre di un indirizzo IP del server di sicurezza aggiuntivo nel file pe_site in una migrazione forzata 10.0 LIMITAZIONI DEL REGISTRO UTILIZZANDO LDAP 10.1 Restrizioni relative alle denominazione 10.2 Impossibile cancellare account LDAP preesistenti 11.0 VARIE 11.1 Eseguire manualmente delle copie di back up dei file che dceback non è in grado di eseguire 11.2 Modifica dell'indirizzo IP in un ambiente di configurazione suddiviso 11.3 Documentazione DCE - start_dcedoc 12.0 INFORMAZIONI PARTICOLARI 12.1 Marchi e servizi ===================================================== 1.0 INFORMAZIONI SUL README Questo file contiene modifiche aggiuntive ed aggiornamenti al file README rilasciato con DCE Versione 3.2 per AIX e Solaris. Nota: non includere le virgolette nei comandi. ===================================================== 2.0 LDAP - CONSIDERAZIONI ===================================================== 2.1 e-fix per IBM SecureWay(R) Directory server In "DCE Security Registry and LDAP Integration Guide", "Chapter 2, Planning Considerations", nella sezione "Supported versions of LDAP", la frase riportata di seguito non è corretta: "The IBM SecureWay Directory client requires a minimum e-fix of 3.2.2-SWD-0001". La frase precedente deve essere sostituita con la frase riportata di seguito: "The IBM SecureWay Directory server requires a minimum e-fix of 3.2.1-SWD-004". Inoltre, se è in esecuzione la locale UTF-8 in ambiente Solaris, è necessario l'e-fix 3.2.1-SWD-005. Consultare la sezione 5.1 per ulteriori dettagli. Le e-fix sono disponibili sul sito Web di IBM SecureWay all'indirizzo www.ibm.com/secureway/directory. ===================================================== 2.2 Requisito lettura\scrittura simultanea Se si sta utilizzando IBM SecureWay Directory server come archivio, è necessario impostare il server LDAP per utilizzare la lettura\scrittura simultanea. Se non si esegue questa operazione, possono verificarsi dei blocchi tra LDAP e DCE. Modificare la stanza seguente contenuta nel file slapd32.conf per aggiungere l'attributo LDAP_CONCURRENTRW: dn: cn=Front End, cn=Configuration cn: Front End ibm-slapdSetenv: LDAP_CONCURRENTRW=ON objectClass: top objectClass: ibm-slapdFrontEnd In iPlanet/Netscape Directory, l'operazione di lettura/scrittura simultanea è la configurazione predefinita. ===================================================== 2.3 Modifica del limite della dimensione LDAP per i comandi di catalogo dcecp in IBM SecureWay Directory server E' possibile che i comandi di catalogo dcecp come "dcecp -c principal cat" e "dcecp -c account cat" non restituiscano tutti i dati principali se il valore di ibm-slapdSizeLimit è impostato su un valore troppo basso. Il valore predefinito è 500, che consente che le informazioni vengano restituite per 480 principal circa. ibm-slapdSizeLimit viene definito in /usr/ldap/etc/slapd32.conf. ===================================================== 2.4 Attributo CreatorsName utilizzando ldif2db e la funzione di replica L'attributo krbTrustedAdmObject o l'attributo krbKdcServiceObject deve contenere DNs (Distinguished Names) per tutti gli utenti o le applicazioni che devono creare i dati DCE in LDAP. Questo include tutti i server di sicurezza DCE, i server KDC Network Authentication Service ed altre applicazioni per la gestione di LDAP. Se la directory LDAP per la cella DCE viene ripristinata utilizzando lo strumento per l'importazione delle directory, l'attributo krbTrustedAdmObject o l'attributo krbKdcServiceObject dell'immissione LDAP per la cella deve essere aggiornato per includere il DN di autorizzazione utilizzato dallo strumento prima di avviare DCE. Se si utilizza ldif2db per ripristinare una directory IBM SecureWay, verrà utilizzato il DN dell'amministratore della directory LDAP. Inoltre, se ogni funzione di replica del server della directory viene utilizzata per fornire le repliche LDAP del registro, gli attributi krbTrustedAdmObject e krbKdcServiceObject per l'immissione della cella nel server master LDAP devono essere aggiornati per includere il DN utilizzato dal fornitore o dal consumatore LDAP per ciascuna replica. ===================================================== 2.5 Errori durante la modifica dello schema Modificando lo schema per iPlanet Directory server, potrebbe verificarsi un errore relativo al tentativo di modifica degli attributi passwordMinAge e gecos. Tali modifiche dipendono da OID o dalla sintassi dell'attributo. Nessuno di questi errori interessa le operazioni di DCE o qualsiasi altra applicazione che utilizza iPlanet Directory server. ===================================================== 3.0 AIX - CONSIDERAZIONI ===================================================== 3.1 Considerazioni durante l'esecuzione delle applicazioni del cliente in ambiente AIX Se l'applicazione riceve il messaggio (o l'eccezione): Memoria insufficiente per RPC (dce/rpc) è possibile che l'applicazione abbia raggiunto il limite relativo alla dimensione dei dati predefinito di 128 MB. E' necessario aumentare tale limite affinché l'applicazione superi questo problema. Inoltre, è anche possibile l'utilizzo della base di memoria AIX più ampia per le applicazioni che richiedono più di 256 MB. ===================================================== 3.2 comando dcf_ulimit aggiunto a dcecp Se si desidera modificare il limite della dimensione dati solo per DCE e non per le altre applicazioni in esecuzione sul sistema, è possibile utilizzare il comando "dcecp -c dcf_ulimit" nel file /opt/dcelocal/tcl/user_cmd.tcl. Un esempio relativo all'utilizzo di questo comando in un file user_cmd.tcl è reperibile in /opt/dcelocal/tcl/user_cmd.sample.tcl. Fare riferimento alla Section 3.3 per la sintassi di tale comando. ===================================================== 3.3 comando dcf_ulimit Un comando è stato aggiunto a dcecp chiamato dcf_ulimit. dcf_ulimit esegue le stesse funzioni di ulimit. Richiede più parametri della riga comandi. Se -?, -help, o help vengono immessi con il comando dcf_ulimit, viene visualizzato quanto segue: dcf_ulimit [-S|-H] -f -c -t -d -s -m -n E' possibile utilizzare il comando ulimit -a da dcecp (o uno script tcl) per visualizzare le impostazioni correnti relative a ulimit. In ogni modo, il parametro -a non è supportato con dcf_ulimit. Il comando ulimit nel sistema operativo richiede valori a 64-bit. Poiché dcecp è un programma a 32 bit, è limitato dalla dimensione del numero intero che trasmette all'API setrlimit. Di seguito vengono riportati i valori massimi che è possibile trasmettere utilizzando il comando dcf_ulimit: -f FSIZE 4194303 -c CORE 4194303 -t CPU 2147483647 -d DATA 2097151 -s STACK 2097151 -m RSS 2097151 -n NOFILE 2147483647 La parola chiave "unlimited" è consentita come valore per qualsiasi parametro. In generale, il comando dcf_ulimit esegue le stesse funzioni del comando ulimit. ================================================================================ 4.0 DCE 3.2 CONSIDERAZIONI SULLE PRESTAZIONI E SUGGERIMENTI PER L'OTTIMIZZAZIONE ================================================================================= Se si utilizza la funzione DCE 3.2 per migrare le informazioni sulla sicurezza DCE in una directory LDAP, è necessario tenere presente alcune considerazioni relative alla prestazione. Lo spostamento del registro di sicurezza DCE da un database in memoria (il modello nella legacy DCE) ad un database LDAP su disco può subire un impatto sulle prestazioni. L'impatto può variare in base al livello di migrazione in cui la cella si trova. L'utente può riscontrare un impatto maggiore in una cella ibrida (cioè una cella che contiene sia i server di sicurezza legacy che i server LDAP che coesistono) rispetto ad una cella interamente migrata a LDAP. Ciò è dovuto al sovraccarico associato agli aggiornamenti trasmessi a LDAP come pure ai server di sicurezza DCE legacy. Generalmente, è preferibile che i clienti che utilizzano applicazioni DCE che effettuano aggiornamenti frequenti al registro di sicurezza e che desiderano accedere immediatamente a tali aggiornamenti, eseguano le operazioni riportate di seguito: o Evitare esecuzioni in ambiente ibrido per un periodo di tempo prolungato. o Utilizzare le preferenze relative alla sicurezza per indirizzare direttamente le richieste di sicurezza effettuate da queste applicazioni ai server di sicurezza DCE legacy. Esistono ulteriori considerazioni sull'ottimizzazione in relazione alla funzione di integrazione LDAP come descritto nelle sezioni successive. ===================================================== 4.1 Ottimizzazione secd ===================================================== 4.1.1 Ottimizzazione di più connessioni al server LDAP La variabile di ambiente MAX_CONNECTIONS determina il numero di connessioni di cui dispone un server di sicurezza al database LDAP. Il valore predefinito corrente è 8 ed è sufficiente per la maggior parte degli ambienti del cliente. Comunque, esistono delle situazioni specifiche in cui potrebbero essere necessarie ulteriori connessioni. Ad esempio, un ambiente che sostiene un considerevole carico di lavoro di collegamento simultaneo. In un ambiente multiprocessore, è possibile aumentare il numero di connessioni grazie alla capacità del sistema superiore. Ogni volta che viene modificata la variabile di ambiente MAX_CONNECTIONS, è necessario riavviare il server di sicurezza su quel sistema. Il numero massimo di connessioni supportate è 64. ========================================================== 4.1.2 Ottimizzazione del numero dei thread di propagazione Per la distribuzione simultanea ad una replica legacy e il server di migrazione LDAP in una cella che dispone solo di 3 server di sicurezza, impostare la variabile di ambiente esistente MAX_SEC_PROP_THREADS del server di sicurezza master su 2. Se esistono più di 3 server di sicurezza nella cella, il numero di thread viene automaticamente aumentato a 2 da secd. ========================================================= 4.1.3 Ottimizzazione di cui secd è iniziatore di init_rep Utilizzare la variabile di ambiente SEC_REP_INIT_FROM_UUID sul server di sicurezza principale per specificare la replica legacy da cui il registro di sicurezza viene ricevuto durante la migrazione a LDAP. Impostare questa variabile sull'UUID (Universal Unique Identifier) di una replica legacy prima di immettere il comando per la migrazione del registro dcecp sul server di migrazione. Per ottenere l'UUID, immettere il comando "sec_admin" e digitare "lr -all". L'UUID è l'ID Istanza del server. Dopo aver impostato questa variabile di ambiente, è necessario arrestare e riavviare il server di sicurezza principale. Utilizzando questa variabile di ambiente il server principale legacy non viene utilizzato per l'inizializzazione. Se il server principale viene utilizzato per l'inizializzazione, viene posto in modo manutenzione per la durata della migrazione. Sebbene le repliche di sicurezza legacy siano in grado di eseguire questa funzione, i server LDAP non lo sono. Non impostare la variabile di ambiente SEC_REP_INIT_FROM_UUID sull'UUID di uno slave LDAP. ============================================================ 4.2 Ottimizzazione del DB2(R) utilizzando IBM SecureWay LDAP Nota: le istruzioni di questa sezione prevedono che si stia utilizzando l'id utente LDAP DB2 predefinito (ldapdb2). Se si sta utilizzando un id utente LDAP DB2 diverso, effettuare le dovute correzioni. Non sempre una cache DB2 maggiore consente meno accessi I/E. E' preferibile aumentare la capacità delle cache LDAP. Generalmente, ridurre la dimensione del pool di buffer DB2 ed aumentare l'immissione LDAP e le cache dei filtri. L'esempio seguente utilizza comandi AIX. Utilizzare i comandi del sistema operativo in base all'ubicazione del server LDAP. Fasi di esempio - DB2 (utilizzando IBM SecureWay LDAP) 1. Collegarsi come superutente DB2 ldapdb2, ad esempio: su -ldapdb2 2. Verificare SHEAPTHRES esistente (la soglia heap sort), ad esempio: db2 get dbm config | grep SHEAP 3. Impostare nuovamente SHEAPTHRES esistente su 20000, ad esempio: db2 update db manager config using SHEAPTHRES 20000 4. Avviare DB2, ad esempio: db2start 5. Connettersi a LDAP/DB2, ad esempio: db2 connect to ldapdb2 6. Verificare BUFFPAGE esistente (la dimensione del pool di buffer), ad esempio: db2 get db config for ldapdb2 | grep BUFF 7. Ottenere la dimensione della memoria di sistema (in MB), ad esempio: lsattr -E -l mem0 8. BUFFPAGE predefinito fornito con DB2 è 1000 (pagine di 4 KB) che potrebbe essere insufficiente per un database superiore. Se il sistema dispone di molta memoria (1 GB o superiore), calcolare la quantità di memoria (probabilmente non 50%) assegnata per BUFFPAGE. Se l'esecuzione dispone di circa 512 MB di memoria o meno, utilizzare il seguente algoritmo. Per impostare nuovamente BUFFPAGE: db2 update db config for ldapdb2 using BUFFPAGE nnnnn dove nnnnn viene calcolato nel modo seguente (50% del sistema assegnato al pool di buffer): nnnnn = memoria di sistema MB * 50% / 4KB (poiché 1 pagina = 4 KB) 9. Se si aumenta il parametro BUFFPAGE, è necessario aumentare la dimensione DBHEAP di 1 ogni 30 nel parametro BUFFPAGE. Per verificare DBHEAP esistente (heap del database), ad esempio: db2 get db config for ldapdb2 | grep DBHEAP 10. Ad esempio, per impostare nuovamente DBHEAP su 1700 eseguire: db2 update db config for ldapdb2 using DBHEAP 1700 11. Verificare SORTHEAP esistente (l'heap dell'ordinamento elenco), ad esempio: db2 get db config for ldapdb2 | grep SORTHEAP 12. Utilizzare DB2 Database Monitor per ricercare un valore appropriato per il parametro SORTHEAP. Per impostare nuovamente SORTHEAP: db2 update db config for ldapdb2 using SORTHEAP nnnn dove nnnn = aumento da BUFFPAGE / 30 13. Verificare MAXLOCKS esistente (la percentuale di elenchi di blocchi per applicazione), ad esempio: db2 get db config for ldapdb2 | grep MAXLOCKS 14. Utilizzare DB2 Database Monitor per ricercare un valore appropriato per il parametro MAXLOCKS. Ad esempio, per reimpostare MAXLOCKS su 100: db2 update db config for ldapdb2 using MAXLOCKS 100 15. Per impostare nuovamente il pool di buffer, ad esempio: db2 alter bufferpool ibmdefaultbp size -1 Nota: -l è "uno", non una L 16. Riavviare db2 affinché le precedenti modifiche diventino effettive, ad esempio: db2stop db2start Per ulteriori informazioni relative all'ottimizzazione DB2, fare riferimento a www.software.ibm.com/data/db2/library ===================================================== 4.3 Ottimizzazione di LDAP La prestazione di LDAP può essere interessata da vari fattori. L'ottimizzazione e l'apporto di modifiche alla configurazione predefinita sono essenziali per il miglioramento della prestazione. E' necessario impostare prima LDAP (e le cache DB2 se si utilizza IBM SecureWay LDAP) per rendere effettivi i vantaggi di tali cache. Esistono più tipi di cache incluso immissioni e filtri. Selezionare il numero di voci da memorizzare in base all'ambiente del cliente specifico. E' necessario effettuare alcuni tentativi per rilevare la dimensione ottimale. Generalmente, ridurre la dimensione del pool di buffer DB2 ed aumentare l'immissione LDAP e le cache dei filtri. Viene creato automaticamente un indice del database DCE 3.2 quando viene caricato lo schema DCE in IBM SecureWay LDAP. Se si sta utilizzando un iPlanet/Netscape Directory server, è necessario creare un indice dello schema. Si consiglia di eseguire LDAP con lettura/scrittura simultanea. E' necessario impostare la lettura/scrittura simultanea in (LDAP_CONCURRENTRW=ON) se si sta utilizzando IBM SecureWay Directory. Viene attivato per impostazione predefinita se si utilizza iPlanet/Netscape Directory. Dopo aver impostato la lettura/scrittura simultanea, è necessario riavviare slapd. ===================================================== 4.3.1 Ottimizzazione di IBM SecureWay LDAP server Nota: le istruzioni in questa sezione presuppongono che venga utilizzato il file di configurazione slapd predefinito (/usr/ldap/etc/slapd32.conf in AIX) e il file di registrazione degli errori slapd predefinito (/tmp/slapd.errors in AIX). Se il server LDAP non utilizza questi valori predefiniti, effettuare le modifiche necessarie. Se il file IBM SecureWay slapd.errors (/tmp/slapd.errors in AIX; /var/ldap/slapd.errors in Solaris; C:\Program Files\IBM\LDAP\tmp\slapd32.errors in NT) aumenta, la prestazione di LDAP può peggiorare. Non è previsto che si verifichino molti errori; tuttavia, in ambienti per esecuzione estesa, questo file potrebbe essere ignorato. Può essere cancellato e ridenominato mentre LDAP è in esecuzione. Un nuovo file slapd.errors viene creato automaticamente se viene cancellato o ridenominato. Esistono quattro variabili di ambiente che interessano direttamente le dimensioni della cache nella cache del server IBM SecureWay LDAP. Tali valori dipendono dalla piattaforma, la dimensione della memoria, il carico di lavoro, ecc. in a un ambiente particolare. Impostare i valori per le variabili con il file /usr/ldap/etc/slapd32.conf. Fasi di esempio - IBM SecureWay LDAP 1. Aggiungere quanto segue al file di configurazione di LDAP /usr/ldap/etc/slapd32.conf: #ADDED LDAP TUNING dn: cn=Front End, cn=Configuration objectclass: top objectclass: ibm-slapdFrontEnd #Attivare la lettura/scrittura simultanea. In tal modo si evitano i conflitti #che possono risultare nelle immissioni restituite che non corrispondo più #al filtro di ricerca. Questo meccanismo di blocco può interessare #negativamente l'esecuzione delle ricerche LDAP durante le operazioni #aggiornamento. Il valore predefinito è FALSE. #Notare che questa variabile può essere impostata su ON o TRUE in v3.2.2 #di IBM SecureWay LDAP. ibm-slapdSetEnv: LDAP_CONCURRENTRW=ON #RDBM_CACHE_SIZE=; il valore predefinito è 1000. #Indica il numero massimo di immissioni da memorizzare nella cache. ibm-slapdSetEnv: RDBM_CACHE_SIZE=100000 #RDBM_FCACHE_SIZE=; il valore predefinito è un quarto #della dimensione di RDBM_CACHE_SIZE. #Specifica il numero massimo di immissioni da memorizzare nella cache del #filtro di ricerca. ibm-slapdSetEnv: RDBM_FCACHE_SIZE=100000 #ACLCACHE=; il valore predefinito è YES. #Verifica se le informazioni ACL vengono memorizzate dal server. ibm-slapdSetEnv: ACLCACHE=YES #ACLCACHESIZE=; il valore predefinito è = RDBM_CACHE_SIZE. #Specifica il numero massimo di immissioni da memorizzare nella cache ACL. ibm-slapdSetEnv: ACLCACHESIZE=25000 2. Arrestare il server LDAP. 3. In AIX, esportare la seguente variabile di ambiente prima di riavviare il server LDAP: export MALLOCMULTIHEAP=heaps:n dove n = # di processori per questa macchina host LDAP + 1 4. Avviare il server LDAP. ===================================================== 4.3.2 Ottimizzazione di iPlanet/Netscape LDAP server Se si sta utilizzando iPlanet/Netscape Directory, fare riferimento alle informazioni e ai suggerimenti contenuti nella documentazione disponibile per quel prodotto. Più in particolare, "iPlanet Directory Server Performance Tuning Guide", datata Maggio 2001, contenente "Top 10 List of Performance Tuning Tips". E' necessario creare manualmente un indice dello schema se si utilizza iPlanet/Netscape Directory server. iPlanet/Netscape Directory server memorizza nella cache i dati. E' possibile effettuare l'ottimizzazione. Fasi di esempio - iPlanet/Netscape LDAP Configurare i seguenti attributi DCE LDAP come attributi di indice: - krbRealmName-v2 - krbPrincipalName - krbPolicyName - krbKeyVersion - dceDirName - dceXattrName - dceGroupName - dceUUID - unixID Prima di eseguire qualsiasi migrazione DCE LDAP, calcolare ed impostare la dimensione massima della cache di immissione e i valori della dimensione della cache del database con iPlanet/Netscape LDAP. La dimensione della cache di immissione (cachesize) specifica il numero di voci per cache, non la dimensione della memoria della cache. Solitamente, è preferibile assegnare il 75% della memoria della cache a dbcachesize e il 25% alla dimensione della cache di immissione. Fare riferimento a "The iPlanet Market Maker 1.0 Deployment Guide", Chapter 6, "Performance Tuning and Monitoring". Accertarsi di aggiornare cachesize e dbcachesize nel file di configurazione del server LDAP per disporre dei nuovi valori. Riavviare il server LDAP per rendere effettive le modifiche precedenti. Fare riferimento a http://docs.iplanet.com/docs/manuals/directory.html per informazioni specifiche sull'ottimizzazione di 4.13, 5.0 e altri suggerimenti per iPlanet/Netscape. ===================================================== 4.4 Hardware Le macchine ad alta velocità e memoria aggiuntiva hanno migliorato la prestazione per la verifica di tale funzione. Gli scenari IBM di verifica dimostrano che la prestazione di una cella DCE utilizzando LDAP per il registro di sicurezza è direttamente correlata alla capacità del sistema su cui è in esecuzione LDAP. Le verifiche di carico IBM sono state eseguite utilizzando IBM eServer pSeries(TM) 620 Model 6F1 con 4 GB di memoria come la macchina server LDAP/DB2. E' richiesta sufficiente memoria per entrambe le cache di LDAP e DB2. La configurazione di memoria minima consigliata è 128 MB. Per migliorare la prestazione I/E, è possibile aggiungere altre unità alla macchina server LDAP/DB2. E' possibile controllare (ad esempio, utilizzando il programma di utilità vmstat) la percentuale del tempo di attesa I/E. Se è diversa da 0%, può indicare che il database dipende da I/O e LDAP è sovraccaricato. Aumentare la dimensione del buffer del database fino a quando il tempo di attesa I/E si avvicina a 0%. ===================================================== 4.5 Rete L'esecuzione di un server LDAP e del server di migrazione della sicurezza DCE sulla stessa macchina può migliorare la prestazione, specialmente durante la migrazione. L'utilizzo di SSL in una rete può avere un impatto significativo sulla prestazione; i tempi di trasmissione e dell'attività di aggiornamento possono aumentare. ===================================================== 4.6 Risultati migrazioni iniziali La migrazione iniziale del registro di sicurezza in LDAP mediante il server di migrazione richiede più tempo dell'inizializzazione di una replica legacy. Un ambiente di registro principal/account 10,000 può richiedere pochi minuti per migrare in una replica legacy, in un ambiente LDAP può richiedere quasi 15 ore. ===================================================== 4.7 Considerazioni applicazione DCE In una cella ibrida, la replica, la trasmissione specifica di informazioni della sicurezza, richiede più tempo per raggiungere il database LDAP. Le applicazioni del cliente che aggiornano le informazioni sulla sicurezza e che accedono immediatamente a quei dati possono generare errori relativi al mancato rilevamento di oggetti registro. Questo dipende dal ritardo nella trasmissione necessario affinché le informazioni vengano immesse in LDAP. Esistono varie soluzioni per questo problema. Una soluzione consiste nell'utilizzare il file pe_site. Utilizzare la variabile di ambiente TRY_PE_SITE e disporre i server di sicurezza in modo che il server di migrazione LDAP non sia il primo nel file pe_site. L'applicazione, quindi, esegue il bind ad un server secd legacy in cui il ritardo della trasmissione non è rilevante. Un altro metodo consiste nell'aggiungere un codice alle applicazioni esistenti; in tal modo, è possibile effettuare un nuovo tentativo se si riceve un errore dopo l'aggiornamento per consentirne la trasmissione nel tempo necessario. Completata l'operazione di migrazione della cella a LDAP, la trasmissione si arresta. ===================================================== 4.8 Attività utenti (login, chpasswd) IBM ha incrementato il supporto per più connessioni al server LDAP, migliorando, in questo modo, la prestazione dell'attività di login simultaneo. Fare riferimento alla sezione "Tuning secd" precedente per ulteriori informazioni relative alla variabile di ambiente MAX_CONNECTIONS. E' possibile che si verifichino dei ritardi nella trasmissione se l'utente modifica la password ed effettua immediatamente il login. Se la modifica della password non è stata ancora trasmessa al server LDAP, l'utente potrebbe ricevere un messaggio di errore. L'utente deve, quindi, effettuare un nuovo tentativo. ===================================================== 4.9 Attività admin (user create, user delete) L'esecuzione del comando "dcecp -c user create" in LDAP solitamente richiede più tempo della esecuzione di comandi separati. E' preferibile eseguire i seguenti comandi dcecp singolarmente: principal create group create org create group add member org add member account create Lo stesso suggerimento vale per il comando "dcecp -c user delete". Se si eseguono script che utilizzano il comando "dcecp -c user create", fare riferimento alle informazioni relative a pe_site nella sezione precedente "DCE application considerations". L'utilizzo del file pe_site per indirizzare le richieste ai server secd legacy e non ai server di migrazione durante l'operazione di migrazione può diminuire i ritardi nella trasmissione. ===================================================== 5.0 LOCALE - CONSIDERAZIONI ===================================================== 5.1 Problemi relativi al client LDAP Solaris con UTF-8 (solo in ambiente Solaris) Il client IBM SecureWay Directory V3.2.1 per Solaris supporta l'esecuzione in locale UTF-8 locales con e-fix 3.2.1-SWD-005 installato. Se si tenta di utilizzare DCE con LDAP durante l'esecuzione in locale UTF-8 in ambiente Solaris senza e-fix installato, DCE restituirà degli errori di codifica simili a quelli riportati di seguito: 2001-07-09-15:47:53.898-05:00I----- secd ERROR sec ldap ldap_errors.c 666 0xfe8af9bc msgID=0x17122F9F ldap_simple_bind_s returned LDAP_ENCODING_ERROR during rgy_bind_to_ldap_server (1134). ===================================================== 5.2 Errori di LDAP per impostazioni relative alle locale non supportate Il client IBM SecureWay Directory V3.2.1 non funziona correttamente se le variabili di ambiente della locale del sistema operativo LANG e LC_ALL sono impostate su valori non supportati dalla macchina host locale. Impostazioni non corrette provocano errori LDAP da cui derivano errori DCE simili a quelli riportati di seguito: 2001-11-02-14:29:12.435-06:00I----- secd ERROR sec ldap ldap_errors.c 666 0xfea8f904 msgID=0x17122F9F ldap_simple_bind_s returned LDAP_ENCODING_ERROR during rgy_bind_to_ldap_server (1332). 2001-11-02-14:29:12.814-06:00I----- secd ERROR sec rs_ns rs_master_LDAP.c 550 0xfea8fbac msgID=0x17122084 Invalid data record Per risolvere tale problema, impostare i valori di LANG e LC_ALL su quelli supportati nella macchina. Per controllare le impostazioni relative alla locale attuali, eseguire il comando del sistema operativo "locale" nella sessione DCE. In ambiente AIX, il comando "locale -a" mostra le impostazioni della locale valide per la macchina locale. Se tali impostazioni non vengono elencate, è necessario reimpostare LANG e LC_ALL sui valori elencati. In Solaris, è possibile individuare una impostazione non corretta perché il sistema operativo visualizza un messaggio di avvertenza se la locale non è correttamente impostata durante l'esecuzione dei comandi di sistema. ===================================================== 6.0 MODIFICA DELLA VERSIONE REGISTRO RICHIESTO ===================================================== 6.1 Accertarsi che tutte le repliche abbiano lo stesso numero di versione registro prima di migrare al master LDAP Prima di migrare al master LDAP, è necessario aumentare la versione registro di sicurezza DCE a 1.3. Poiché tale operazione potrebbe richiedere due modifiche della versione, accertarsi che tutte le repliche dispongano dello stesso numero di versione prima di cominciare la migrazione al master LDAP. E' necessario eseguire "lr -all" per verificare che l'aggiornamento sia stato eseguito correttamente su tutte le repliche prima di procedere. Immettere il comando "sec_admin" e digitare "lr -all". Quando tutte le repliche dispongono della versione 1.3 e dello stesso numero di sequenza, è più sicuro effettuare la migrazione al master LDAP. ================================================================= 6.2 Tentativi di modifica della versione registro in attesa della corrispondenza tra i numeri in sequenza Nei rilasci precedenti di DCE, la versione registro non veniva modificata due volte in un breve periodo di tempo. Quando si esegue la migrazione per utilizzare LDAP in DCE 3.2, se la versione registro della cella non è già secd.dce.1.2.2a (per Public Key), è necessario modificare la versione registro almeno due volte: da secd.dce.1.2.2 a secd.dce.1.2.2a e successivamente da secd.dce.1.2.2a a secd.dce.1.3 DCE supporta la modifica di una versione per volta e richiede del tempo per effettuare tale modifica. Le repliche di sicurezza devono elaborare la modifica della prima versione prima che la modifica della seconda venga avviata, altrimenti le repliche restituiranno degli errori relativi alla modifica di più versioni nello stesso tempo. Prima di tentare di modificare la versione registro, utilizzare sec_admin con il comando secondario lr -all per verificare che tutti i numeri di sequenza della replica di sicurezza siano aggiornati. Quando tutti i numeri di sequenza corrispondono, la versione registro può essere modificata senza problemi. Eseguire tale verifica prima di immettere ogni comando "dcecp -c registry modify -version". Il comando "dcecp -c registry modify -version" tenta di eseguire questo controllo, mediante sec_rgy_wait_until_consistent. Tenta di forzare l'attesa del master affinché le repliche dispongano di tutti gli aggiornamenti prima di effettuare l'aggiornamento la versione. Se le repliche di sicurezza non state tutte aggiornate, viene visualizzato: Waiting up to 600 seconds for "sec_rgy_wait_until_consistent" to complete. Questo messaggio viene ricevuto se dcecp deve restare in attesa più di 15 secondi prima di ricevere sec_rgy_wait_until_consistent. dcecp scade dopo 10 minuti se sec_rgy_wait_until_consistent API non viene ricevuto. In questo caso, viene visualizzato il messaggio seguente: 0x11315bbd The software timed out waiting for "sec_rgy_wait_until_consistent" to complete. version = secd.dce.1.2.2a La versione registro corrente viene visualizzata per informare se dcecp è in timeout per sec_rgy_wait_until_consistent prima o dopo l'aggiornamento della versione registro. Se la versione visualizzata non quella desiderata, attendere alcuni minuti e tentare nuovamente la modifica del registro. Nella maggior parte dei casi il comando "dcecp -c registry modify -version" resta in attesa che l'aggiornamento della versione venga trasmesso a tutte le repliche di sicurezza. E' possibile che talvolta dcecp non sia in grado di individuare che alcune repliche di sicurezza non siano state aggiornate completamente. Ad esempio, il server Master Security ha emesso un aggiornamento ma la replica non lo ha elaborato oppure la replica non è attualmente in esecuzione.Se la versione registro viene aggiornata prima che tutte le repliche di sicurezza vengano aggiornate, alcune repliche potrebbero restituire dei messaggi di errore. Se il server di repliche di sicurezza che restituisce l'errore è una replica di sicurezza legacy, è necessario riconfigurare quella replica. Se il server di replica di sicurezza che riporta l'errore è una replica di sicurezza LDAP, copiare il file /opt/dcelocal/var/security/rgy_data/master_info da uno slave LDAP privo di errori o da uno slave di migrazione. Accertarsi di salvare la versione originale del file master_info in caso di errori. ====================================================================== 7.0 CONSIDERAZIONI SULLA MIGRAZIONE ED EVENTUALI CONDIZIONI DI ERRORE ====================================================================== 7.1 Parametri richiesti per la migrazione del registro Il comando "dcecp -c registry migrate" richiede i percorsi completi per i parametri -dce_master_key e -keyring. Se viene fornito un percorso non completo per uno di questi parametri, viene ricevuto il seguente messaggio: The value, '', for the option is not recognized. dove è il valore non completo immesso per l'opzione . Ad esempio: The value, '../security/.mkey', for the -dce_master_key option is not recognized. ==================================================== 7.2 L'arresto della migrazione del registro non arresta la trasmissione dei dati DCE a LDAP Premendo Ctrl-C per terminare il comando "dcecp -c registry migrate" mentre secd trasmette i dati di registro a LDAP, la trasmissione non viene arrestata. Viene arrestato solo il processo dcecp che è in attesa del completamento della trasmissione. E' possibile arrestare la distribuzione dei dati di registro DCE a LDAP solo arrestando secd. stop.dce non abilita l'arresto di secd sul server di migrazione durante la trasmissione dei dati di registro DCE a LDAP è in corso. Di conseguenza, è necessario chiudere secd oppure annullare la configurazione della replica di sicurezza sul server di migrazione. Se si chiude secd sul server di migrazione durante la trasmissione dei dati di registro DCE a LDAP, la replica di sicurezza non è più operativa ed è necessario annullare la configurazione. Annullamento dei dati LDAP utilizzando il comando "dcecp -c ldapdelete". ====================================================== 7.3 Errori relativi alla migrazione slave LDAP Quando si effettua la migrazione di uno slave LDAP se la chiave principale non è memorizzata in LDAP, è necessario copiare, con molta attenzione, la versione corretta del file .mkey nel server dove effettuare la migrazione. Salvare il file .mkey originale in caso di errore. Gli errori provocati da un file .mkey non corretto possono manifestarsi in tre modi: o La migrazione potrebbe non riuscire con un messaggio "Decrypt integrity check failed". Copiare il file .mkey originale in una replica LDAP. Successivamente, annullare la configurazione e configurare la replica LDAP nella cella. o secd può effettuare lo svuotamento. Provare a riavviare secd. Se non viene avviato, sostituire il file .mkey con quello salvato e, quindi, riavviare secd. Successivamente, sostituire il file .mkey con un file del server di migrazione e ritentare la migrazione. o La migrazione ha esito positivo ma non è possibile effettuare il login e se secd è arrestato, non può essere riavviato. Copiare il file .mkey da un server di migrazione e riavviare secd. Se non è possibile effettuare il ripristino dopo questi errori, chiudere secd ed eseguire unconfig.dce sec_rep. E' possibile, successivamente, configurare un nuovo slave legacy oppure uno slave LDAP. ===================================================== 7.4 Errori relativi alla migrazione master LDAP Quando si effettua la migrazione di uno master LDAP se la chiave principale non è memorizzata in LDAP, è necessario copiare, con molta attenzione, la versione corretta del file .mkey nel server dove effettuare la migrazione. Salvare il file .mkey originale in caso di errore. Un file .mkey non corretto può generare un errore: "Decrypt integrity check failed." Per risolvere tale problema, arrestare il server di sicurezza legacy, copiare il file .mkey corretto dal server di migrazione LDAP e riavviare il server di sicurezza. Un metodo alternativo consiste nel forzare il server di migrazione LDAP in master LDAP. ====================================================================== 7.5 Messaggi successivi alla scadenza del ticket durante la migrazione Immettendo il comando "dcecp -c registry migrate -migrationslave", l'utente può specificare deletetype (per la cancellazione da LDAP) sulla riga comandi. Se la migrazione del registro a LDAP richiede più tempo della durata del ticket dell'utente che ha immesso il comando di migrazione, l'impostazione di deletetype non riesce, tuttavia, la migrazione dei dati di registro ha esito positivo e il registro adesso è ubicato in LDAP. Per impostare deletetype, eseguire il comando "dcecp -c registry modify -ldapdeletetype {all|dce|krb_dce|no_delete}". ===================================================== 8.0 CONDIZIONI PER IL RIAVVIO DI SECD ===================================================== 8.1 Riavvio di secd per modificare i file del database di chiavi con SSL Inizializzato SSL (Secure Sockets Layer) con esito positivo su un server di sicurezza abilitato per LDAP, è necessario continuare ad utilizzare lo stesso file del database di chiavi. Il file del database di chiavi dipende da secd. Per modificare il database di chiavi, è necessario riavviare secd. ===================================================== 8.2 Condizione LDAP_SERVER_DOWN Talvolta, può verificarsi un errore LDAP_SERVER_DOWN in secd.log. Il server di sicurezza tenta di effettuare il ripristino da questo errore, effettuando nuovamente il bind al server LDAP. Può capitare che ciò non si verifichi ed il server di sicurezza riporti degli errori. Per determinare se il tentativo di bind non ha avuto esito positivo, eseguire un comando di catalogo dcecp come "dcecp -c replica cat". Se tale comando non restituisce nessuna informazione, il tentativo di eseguire nuovamente il bind non ha avuto esito positivo ed è necessario riavviare il server di sicurezza. =================================================================== 9.0 SELEZIONE DEL REGISTRO CON LA VARIABILE DI AMBIENTE TRY_PE_SITE =================================================================== 9.1 Il server principale CDS deve puntare sempre ad un server di sicurezza in servizio In una cella ibrida DCE, è importante accertarsi che la prima immissione nel file pe_site sulla macchina con il server principale CDS punti sempre ad un server di sicurezza disponibile. Esistono due circostanze in cui ciò è particolarmente critico: o Quando un server slave legacy sta eseguendo una migrazione come server di migrazione LDAP, non è disponibile per un certo periodo di tempo, quindi il server principale CDS non punta a questo server. o Quando il server di migrazione LDAP viene forzato come master di sicurezza LDAP, il server principale CDS non deve puntare al master originale dopo che il server master è stato arrestato. Nonostante il server principale CDS sia in grado di rilevare un server di sicurezza disponibile, potrebbe trascorrere molto tempo prima che si verifichi un timeout. La cella migliora l'esecuzione se il server di sicurezza disponibile è presente nel file pe_site come prima voce. ===================================================================== 9.2 E' necessario disporre di un indirizzo IP del server di sicurezza aggiuntivo nel file pe_site in una migrazione forzata Quando viene forzata la migrazione di un server di migrazione LDAP come server di sicurezza master LDAP, è necessario che l'indirizzo IP di un server di sicurezza diverso dal server master legacy sia presente nel file pe_site del master legacy. I processi DCE in esecuzione sul server master di sicurezza legacy non saranno in grado di collegarsi ad un server di sicurezza se il file pe_site contiene soltanto l'indirizzo IP del server master legacy. Se questa macchina dispone anche del server CDS iniziale, la migrazione del server di migrazione LDAP ad un server master LDAP si bloccherà. ===================================================== 10.0 LIMITAZIONI DEL REGISTRO UTILIZZANDO LDAP ===================================================== 10.1 Restrizioni relative alle denominazione I seguenti caratteri speciali non possono essere utilizzati in un PGO (principal, group, organization) oppure nel nome di una cella quando vengono memorizzati i dati relativi al registro di sicurezza in LDAP: , = + < > # ; Tali caratteri speciali non sono consentiti nei nomi DN in LDAP. I nomi PGO che presentano questi caratteri devono essere cancellati dal database di sicurezza prima di effettuare la migrazione del registro ad un server LDAP. ===================================================== 10.2 Impossibile cancellare account LDAP pre esistenti I comandi di utente dcecp e di catalogo rilevano soltanto PGO creati nell'albero predefinito. Per cancellare gli oggetti esistenti in altre collocazioni, è necessario utilizzare comandi alternativi . Ad esempio, invece di "user delete", utilizzare "principal delete", "group remove", "org remove" ed "account delete". Per elencare tutte le voci, utilizzare le ricerche LDAP. ===================================================== 11.0 VARIE ===================================================== 11.1 Eseguire manualmente delle copie di back up dei file che dceback non è in grado di eseguire Quando si esegue il comando "dceback", creare manualmente una copia di backup del file della tabella chiavi per il server di cifratura delle password se il file della tabella chiavi è diverso da /krb5/pwd_strengthd. Il comando "dceback" crea una copia di backup del file della tabella chiavi di cifratura delle password solo se la collocazione è /krb5/pwd_strengthd. Inoltre, localizzare e creare delle copie di backup di ogni libreria definita dall'utente. Ad esempio, la collocazione della libreria definita dall'utente per la cifratura delle password è specificata nell'ERA (extended registry attribute) per la cifratura delle password definito dall'utente. ===================================================== 11.2 Modifica dell'indirizzo IP in un ambiente di configurazione suddiviso La modifica dell'indirizzo IP del server principale CDS o del server di sicurezza master avrà esito negativo in DCE 3.2. se questi server sono configurati su macchine diverse. Si tratta di un problema noto ed è stato segnalato. ===================================================== 11.3 Documentazione DCE - start_dcedoc Mediante il comando start_dcedoc viene visualizzato l'indice di selezione delle pubblicazioni DCE HTML utilizzando Netscape Communicator. Se non è possibile avviare Netscape Communicator dalla stessa sessione della riga comandi da cui si esegue start_dcedoc, start_dcedoc visualizza errori relativi a Netscape e l'esecuzione potrebbe risultare non corretta. E' possibile correggere gli errori di Netscape ed eseguire nuovamente il comando start_dcedoc oppure caricare direttamente l'indice per la selezione della documentazione DCE HTML con qualsiasi browser funzionante. Il percorso per l'indice per la selezione della documentazione HTML è: AIX: /usr/lpp/dcedoc/html/en_US/index.html Solaris: /opt/dcelocal/docs/html/en_US/index.html Nota: en_US può essere sostituito dal nome della locale appropriato. ===================================================== 12.0 INFORMAZIONI PARTICOLARI ===================================================== (C) Copyright IBM Corporation 2001. Tutti i diritti riservati. Limitazioni per gli utenti del Governo degli Stati Uniti d'America - L'Uso, la duplicazione o la divulgazione sono limitati dal supplemento GSA ADP al contratto con la IBM Corporation. Queste informazioni sono state sviluppate per prodotti e servizi degli Stati Uniti. IBM potrebbe non offrire in altri paesi le caratteristiche, i prodotti e i servizi discussi in questo documento. Per ulteriori informazioni sui prodotti e sui servizi disponibili nel proprio paese, consultare il rappresentante IBM. Qualsiasi riferimento a prodotti, programmi o servizi IBM non implica che è possibile utilizzare soltanto quei prodotti, programmi o servizi IBM. E' invece possibile utilizzare qualsiasi programma, prodotto o servizio equivalente che non trasgredisce qualsiasi diritto sulla proprietà intellettuale IBM. Tuttavia, è responsabilità dell'utente valutare e verificare l'operatività di qualsiasi programma, prodotto o servizio non IBM. IBM potrebbe avere brevetti o applicazioni con brevetti in sospeso che riguardano la materia oggetto di questo documento. La fornitura di questo documento non concede alcuna licenza per questi brevetti. E' possibile inviare una richiesta per ottenere un brevetto scrivendo a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 U.S.A. Per richieste di licenze riguardanti informazioni double-byte (DBCS), contattare IBM Intellectual Property Department del proprio paese, oppure scrivere a: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106, Japan IL SEGUENTE PARAGRAFO NON E' VALIDO PER IL REGNO UNITO O PER QUALSIASI ALTRO PAESE IN CUI LE INFORMAZIONI FORNITE SONO IN CONTRASTO CON LA GIURISDIZIONE LOCALE: IBM CORPORATION FORNISCE QUESTA PUBBLICAZIONE NELLO STATO IN CUI SI TROVA SENZA ALCUN TIPO DI GARANZIA, ESPRESSA O IMPLICITA, COMPRESE, MA NON LIMITATE A, LE GARANZIE IMPLICITE DI NON VIOLAZIONE, COMMERCIABILITA' O IDONEITA' PER UNO SCOPO PARTICOLARE. In alcuni stati non è consentito l'annullamento di garanzie espresse o implicite in particolari transazioni, pertanto questa dichiarazione potrebbe non essere valida per tutti gli utenti. Questo documento potrebbe includere informazioni tecniche non corrette o errori tipografici. Le informazioni qui contenute vengono periodicamente modificate; tali modifiche verranno incorporate nelle edizioni successive di questo documento. IBM potrebbe migliorare e/o modificare i prodotti e i programmi descritti in questo documento in qualsiasi momento senza effettuare alcuna notifica. Qualsiasi riferimento a siti Web non IBM viene fornito soltanto come riferimento, ma non implica l'approvazione all'utilizzo di tali siti Web. Il materiale contenuto su tali siti Web non fa parte del materiale dei prodotti IBM, pertanto l'utilizzo di tali siti Web è a rischio dell'utente. IBM potrebbe utilizzare o distribuire parte delle informazioni fornite in qualsiasi modo ritenuto appropriato, senza incorrere in alcun obbligo con l'utente. I concessionari di licenza di questo programma che desiderano ottenere informazioni allo scopo di abilitare: (i) lo scambio delle informazioni tra programmi creati indipendentemente e altri programmi (compreso questo) e (ii) il reciproco utilizzo delle informazioni scambiate, possono contattare: IBM Corporation Department LZKS 11400 Burnet Road Austin, TX 78758 U.S.A. Tali informazioni potrebbero essere disponibili, soggette a termini e condizioni appropriate, compreso in alcuni casi, il pagamento di una penale. Il programma descritto in questo documento e tutto il relativo materiale disponibile è fornito da IBM secondo i termini di IBM Customer Agreement, IBM International Program License Agreement o qualsiasi altro accordo di licenza equivalente. Qualsiasi dato relativo alle prestazioni qui contenuto è stato determinato in un ambiente controllato. Pertanto, i risultati ottenuti in alti ambienti operativi potrebbero variare significativamente. Alcune misure sono state effettuate su sistemi a livello di sviluppo e non è detto che tali misure resteranno le stesse in generali su altri sistemi disponibili. Inoltre, alcune misure potrebbero essere state stimate per estrapolazione. I risultati correnti potrebbero variare. Gli utenti di questo prodotto dovrebbero verificare la validità dei dati per il particolare ambiente. Le informazioni riguardanti prodotti non IBM sono state ottenute dai fornitori, dagli annunci pubblicati oppure da altri origini pubbliche disponibili per tali prodotti. IBM non ha testato tali prodotti e non può confermare l'accuratezza delle prestazioni, della compatibilità o qualsiasi altra esigenza relativa ai prodotti non IBM. Le eventuali domande sulle capacità dei prodotti non IBM dovrebbero essere indirizzate ai fornitori di tali prodotti. Tutte le dichiarazioni riguardanti i futuri intenti di IBM sono soggette a modifiche o ritiri senza avviso e rappresentano soltanto scopi e obiettivi. Tutti i prezzi IBM visualizzati rappresentano prezzi al dettaglio consigliati e possono essere soggetti a variazioni senza avviso. I prezzi all'ingrosso potrebbero variare. Questo documento contiene esempi di dati e prospetti utilizzati nelle operazioni commerciali quotidiane. Per illustrarle nella maniera più completa possibile, gli esempi comprendono nomi di persone, società, marchi e prodotti. Tutti questi nomi sono fittizi e qualsiasi somiglianza a nomi e indirizzi reali rappresenta una coincidenza. LICENZA DI COPYRIGHT: Questo documento contiene applicazioni di esempio nella lingua di origine, che illustrano le tecniche di programmazione per vari sistemi operativi. E' possibile copiare, modificare e distribuire questi programmi di esempio in qualsiasi forma senza dover effettuare alcun pagamento alla IBM per lo sviluppo, l'utilizzo, la commerciabilità o la distribuzione di applicazioni conformi all'interfaccia di programmazione dell'applicazione per la quale i programmi di esempio sono stati scritti. Questi programmi di esempio non sono stati testati sotto tutte le condizioni. Pertanto IBM non garantisce l'affidabilità, la funzionalità o il funzionamento di questi programmi. E' possibile copiare, modificare e distribuire questi programmi di esempio in qualsiasi forma senza dover effettuare alcun pagamento alla IBM per lo sviluppo, l'utilizzo, la commerciabilità o la distribuzione di applicazioni conformi all'interfaccia di programmazione dell'applicazione IBM. QUESTO DOCUMENTO E' FORNITO "COSI' COME E'" SENZA ALCUN TIPO DI GARANZIA. IBM SMENTISCE TUTTE LE GARANZIE, ESPRESSE O IMPLICITE, COMPRESE SENZA LIMITI, LE GARANZIE IMPLICITE DI IDONEITA' PER UNO SCOPO PARTICOLARE E LA COMMERCIABILITA' CON RISPETTO DELLE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO. FORNENDO QUESTO DOCUMENTO, IBM NON GARANTISCE ALCUNA LICENZA PER BREVETTI O MARCHI REGISTRATI. ======================================================== 12.1 Marchi e servizi I seguenti termini sono marchi della International Business Machines Corporation negli Stati Uniti, in altri paesi o entrambi: AIX DB2 IBM pSeries SecureWay Altri nomi di società, prodotti e servizi potrebbero essere marchi o servizi di altri.