Panu Haaramo's questions

我在 Windows 服务器 2008 R2 上的 Domino 9.0.1 服务器前面有 Shibboleth SP 2.5 和 Apache 2.4。

这是来自 Shibboleth SP 调试日志的传入 SAML 消息的开头：

<?xml version="1.0" encoding="UTF-8" standalone="no"?>

这是来自同一日志的属性值：

<saml:AttributeValue>Mäkelä Test</saml:AttributeValue>

属性作为 HTTP 头传递给 Domino。在 Domino 形式中，我确实@GetHTTPHeader("cn")获得了该属性值，我得到了

M├ñkel├ñ测试

在 Shibboleth SP 配置中，我没有在任何地方设置字符集，我相信它应该始终是 UTF-8。

我的 Apache 代理配置如下所示：

ServerName my.test.fi:8443
UseCanonicalName On
ProxyPass / http://my.test.fi/

我试过这些：

ProxyHTMLMeta On
RequestHeader unset Accept-Encoding
AddDefaultCharset utf-8
CharsetSourceEnc  UTF-8
CharsetDefault    UTF-8

在 domino 网站文档中，我将“使用 UTF-8 输出”设置为“是”，并将表单字符集设置为 UTF-8。Domino 响应标头包括：

Content-Type:text/html; charset=UTF-8

对我来说，当从 Shibbolet SP/Apache 到达 Domino 时，角色似乎已经搞砸了。任何想法如何解决这一问题？

我正在尝试在 Win64 中安装 Domino 9.0 IF5 来修复此漏洞：

[CVE-2013-5388] FP5 IF2 之前的 IBM Domino 8.5.3 和 IF5 之前的 9.0 中 iNotes 中的跨站点脚本 (XSS) 漏洞允许远程攻击者通过未指定的向量（即 SPR PTHN9AYK5F）注入任意 Web 脚本或 HTML。

安装程序是90HF888_W64.exe。它可以正常启动并确认 Domino 安装的位置。但是当我点击“下一步”时，安装程​​序就会关闭。我首先通过双击它来运行它，后来我还尝试了“以管理员身份运行”。

我已经关闭了 Domino 和 Domino 诊断服务，还按照某人的建议关闭了“Windows Management Instrumentation”服务。

我正在使用/ADMIN /CONSOLE命令行选项连接 Windows 远程桌面。

某处是否有日志显示出了什么问题或者我该如何解决这个问题？

编辑

看起来我们要安装 9.0.1FP2。我希望一切顺利。

在我将我们的 32 位专用 Windows 2003 服务器从 9.0 升级到 9.0.1 之后，java.policy文件中的这一部分停止工作：

permission java.util.logging.LoggingPermission "control";

这意味着我无法使用 Java Logger。我明白了：

HTTP JVM: java.security.AccessControlException: Access denied (java.util.logging.LoggingPermission control)
HTTP JVM:   at java.security.AccessController.throwACE(AccessController.java:100)
HTTP JVM:   at java.security.AccessController.checkPermission(AccessController.java:166)
HTTP JVM:   at java.lang.SecurityManager.checkPermission(SecurityManager.java:544)
HTTP JVM:   at java.util.logging.LogManager.checkPermission(LogManager.java:317)
HTTP JVM:   at java.util.logging.LogManager.checkAccess(LogManager.java:311)
HTTP JVM:   at java.util.logging.Logger.addHandler(Logger.java:548)

我什至尝试从它工作的 64 位 9.0 虚拟服务器复制 java.policy 文件并重新启动 HTTP。然后我用一个在 9.0 服务器上运行的应用程序的副本进行了测试，它在 9.0.1 服务器上给出了这个错误。

Java 代码位于Code/Java元素中，它是从 XPage 调用的。

如何在 Domino 9.0.1 中授予 Java 权限？

更新：

如果我添加这个：

permission java.security.AllPermission;

然后它工作。因此它正在读取 java.policy 文件，但授予对日志记录的访问权限不再起作用，至少与 9.0.1 中的工作方式不同。授予AllPermission绝对不是我正在寻找的解决方案。

在 8.5.3 中安装补丁包后，Lars Migula 似乎遇到了同样的问题。

我们的生产 Domino 服务器是 32 位 Windows 2003 服务器，其中操作系统、程序文件和 Domino 数据都位于不同的磁盘驱动器上。我不记得在那台服务器上看到过这个错误：

NotesException: Notes 错误: 此数据库的全文索引正在使用中

在我们切换到只有 C: 驱动器的 64 位 Windows 2008 虚拟服务器后，我们经常看到此错误。

今天我做了一个测试，我首先生成了 4000 个相当大的文档。然后我运行了这个 XPage SSJS 代码：

for (var i = 0; i < 300; i++) {
    print("FT");
    database.FTSearch("[Form]=Test");
    java.lang.Thread.sleep(100);
}

当上面的代码运行时，我运行这个：

print("START indexing");
database.updateFTIndex(true);
print("END indexing");

我在两台服务器上都做了两次。在 32 位专用服务器上，我没有收到任何错误。编制索引耗时 4 秒，在编制索引期间进行了 32 次 FT 搜索。

在 64 位虚拟服务器上，在“开始索引”打印之后只有 1 次 FT 搜索，之后我得到了错误。所有这 3 件事都发生在同一秒（索引开始、一次 FT 搜索和错误）。

两台 Domino 服务器都是版本 9。在虚拟服务器上有超过 10GB 的可用空间（测试数据库中的 FT 索引大小为 10MB）。

我能想到的这种差异的唯一原因是 FT 索引器使用专用服务器上的其他驱动器进行索引，因此错误没有发生在那里。对吗？是否有相关文档？

我们没有使用FTBasePathnotes.ini 参数。

当我们将 Domino 开发服务器从 8.5.3 升级到 9 时，从 Java 代码到具有GoDaddy证书的站点的 HTTPS 连接停止工作。与具有DigiCert证书的服务器的连接工作正常。这在代理和 XPage 中都会发生。

这是一个 XPage 示例代码：

<?xml version="1.0" encoding="UTF-8"?>
<xp:view xmlns:xp="http://www.ibm.com/xsp/core">
    <xp:this.beforePageLoad>
             <![CDATA[#{javascript:new java.net.URL("https://www.sslshopper.com/").openStream();]]>
    </xp:this.beforePageLoad>
</xp:view>

我也试过UrlConnection. 这是例外：

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 3659
    com.ibm.jsse2.o.a(o.java:15)
    com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:460)
    com.ibm.jsse2.kb.a(kb.java:294)
    com.ibm.jsse2.kb.a(kb.java:533)
    com.ibm.jsse2.lb.a(lb.java:55)
    com.ibm.jsse2.lb.a(lb.java:581)
    com.ibm.jsse2.kb.s(kb.java:11)
    com.ibm.jsse2.kb.a(kb.java:394)
    com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:44)
    com.ibm.jsse2.SSLSocketImpl.h(SSLSocketImpl.java:496)
    com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:528)
    com.ibm.jsse2.SSLSocketImpl.startHandshake(SSLSocketImpl.java:505)
    com.ibm.net.ssl.www2.protocol.https.c.afterConnect(c.java:83)
    com.ibm.net.ssl.www2.protocol.https.d.connect(d.java:31)
    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1184)
    com.ibm.net.ssl.www2.protocol.https.b.getInputStream(b.java:40)
    java.net.URL.openStream(URL.java:1022)

...

java.security.cert.CertificateException: 3659
com.ibm.domino.napi.ssl.DominoX509TrustManager.checkServerTrusted(DominoX509TrustManager.java:98)
    com.ibm.jsse2.lb.a(lb.java:468)
    com.ibm.jsse2.lb.a(lb.java:581)
    com.ibm.jsse2.kb.s(kb.java:11)
    com.ibm.jsse2.kb.a(kb.java:394)
    com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:44)
    com.ibm.jsse2.SSLSocketImpl.h(SSLSocketImpl.java:496)
    com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:528)
    com.ibm.jsse2.SSLSocketImpl.startHandshake(SSLSocketImpl.java:505)
    com.ibm.net.ssl.www2.protocol.https.c.afterConnect(c.java:83)
    com.ibm.net.ssl.www2.protocol.https.d.connect(d.java:31)
    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1184)
    com.ibm.net.ssl.www2.protocol.https.b.getInputStream(b.java:40)
    java.net.URL.openStream(URL.java:1022)

我根据以下说明将 GoDaddy 证书导入到 domino_path\jvm\lib\security\cacerts 密钥库：

http://drcs.ca/blog/adding-godaddy-intermediate-certificates-to-java-jdk/

但这没有帮助，我也导入了gd-class2-root.crt但没有结果。我还尝试重命名cacerts文件并从 8.5.3 服务器复制该文件，但这也无济于事。在这些更改之后，我一直在启动 HTTP 和 Domino 服务器。

当然，我可以使用不关心证书的 Java 代码，但我认为这不是一个很好的生产解决方案。此外，我们在许多不同的地方（包括 JAR）都有代码，这些代码与此 URL 建立 HTTPS 连接。

更新 1

这是在error-log-0.xml 中：

证书主题为 CN=www.sslshopper.com，OU=Domain Control Validated，O=www.sslshopper.com，由 SERIALNUMBER=07969287 颁发，CN=Go Daddy Secure Certification Authority，OU= http://certificates.godaddy.com /repository , O="GoDaddy.com, Inc.", L=Scottsdale, ST=Arizona, C=US,不受信任。验证失败，错误 3659。

我认为这个信息很明确。我还注意到System.getProperty("javax.net.ssl.trustStore")返回 null 但这也发生在 8.5.3 服务器中。我尝试将 trustStore 设置为setProperty但错误仍然相同。

更新 2

它与使用createSocket. 但是我们所有的代码都使用java.net.URL、UrlConnection或HttpsUrlConnectionApache HTTP 客户端。其中一些由第 3 方作为 JAR 提供。我们不能将所有这些更改为 use createSocket。

有任何想法吗？谢谢。

我的updatesite.nsf具有以下功能：

Domino Access Services (DAS)                                          8.5.3.20121217-1354
Domino Wink                                                           8.5.3.20121217-1354
XPages Extension Library Feature                                      8.5.3.20121217-1354
Extended Components Library for XPages Extension Feature              8.5.3.20121217-1354
XPages Extension Library Designer Source Feature                      8.5.3.20121217-1354
XPages Extension Library Designer Feature                             8.5.3.20121217-1354
XPages Extension Library Source Feature                               8.5.3.20121217-1354
Extended Components Library for XPages Extension Feature              8.5.3.20121217-1354
Apache Wink                                                           1.1.2.20121217-1354

在notes.ini我有这个：

OSGI_HTTP_DYNAMIC_BUNDLES=admin/updatesite.nsf

当我重新启动 HTTP 时，我收到此消息：

HTTP JVM：CLFAD0330I：正在 OSGi 运行时中安装基于 NSF 的插件。更多信息请查阅日志

“请查阅日志”指的是哪个日志？

当我发出控制台命令时

tell http osgi ss com.ibm.xsp.extlib

我明白了：

10 INSTALLED   com.ibm.xsp.extlib.designer_8.5.3.20121217-1354
11 RESOLVED    com.ibm.xsp.extlib.feature.source_8.5.3.20121217-1354
12 INSTALLED   com.ibm.xsp.extlib.designer.tooling_8.5.3.20121217-1354
13 INSTALLED   com.ibm.xsp.extlib.designer.xspprops_8.5.3.20121217-1354
14 RESOLVED    com.ibm.xsp.extlib.designer.tooling.feature.source_8.5.3.20121217-1354
15 RESOLVED    com.ibm.xsp.extlibx.source_8.5.3.20121217-1354
142 RESOLVED    com.ibm.xsp.extlib.controls.nl1_8.5.3.20111208-0717
             Master=145
143 RESOLVED    com.ibm.xsp.extlib.controls.nl2_8.5.3.20111208-0717
             Master=145
144 RESOLVED    com.ibm.xsp.extlib.controls.nl3_8.5.3.20111208-0717
             Master=145
145 <<LAZY>>    com.ibm.xsp.extlib.controls_8.5.3.20111208-0717
             Fragments=142, 143, 144
146 RESOLVED    com.ibm.xsp.extlib.core.nl1_8.5.3.20111208-0717
             Master=149
147 RESOLVED    com.ibm.xsp.extlib.core.nl2_8.5.3.20111208-0717
             Master=149
148 RESOLVED    com.ibm.xsp.extlib.core.nl3_8.5.3.20111208-0717
             Master=149
149 <<LAZY>>    com.ibm.xsp.extlib.core_8.5.3.20111208-0717
             Fragments=146, 147, 148
150 RESOLVED    com.ibm.xsp.extlib.domino.nl1_8.5.3.20111208-0717
             Master=153
151 RESOLVED    com.ibm.xsp.extlib.domino.nl2_8.5.3.20111208-0717
             Master=153
152 RESOLVED    com.ibm.xsp.extlib.domino.nl3_8.5.3.20111208-0717
             Master=153
153 <<LAZY>>    com.ibm.xsp.extlib.domino_8.5.3.20111208-0717
             Fragments=150, 151, 152
154 RESOLVED    com.ibm.xsp.extlib.mobile.nl1_8.5.3.20111208-0717
             Master=157
155 RESOLVED    com.ibm.xsp.extlib.mobile.nl2_8.5.3.20111208-0717
             Master=157
156 RESOLVED    com.ibm.xsp.extlib.mobile.nl3_8.5.3.20111208-0717
             Master=157
157 <<LAZY>>    com.ibm.xsp.extlib.mobile_8.5.3.20111208-0717
             Fragments=154, 155, 156
158 RESOLVED    com.ibm.xsp.extlib.oneui.nl1_8.5.3.20111208-0717
             Master=161
159 RESOLVED    com.ibm.xsp.extlib.oneui.nl2_8.5.3.20111208-0717
             Master=161
160 RESOLVED    com.ibm.xsp.extlib.oneui.nl3_8.5.3.20111208-0717
             Master=161
161 <<LAZY>>    com.ibm.xsp.extlib.oneui_8.5.3.20111208-0717
             Fragments=158, 159, 160
162 <<LAZY>>    com.ibm.xsp.extlib_8.5.3.20111208-0717

此时这些都不是活动的。我怎么知道它使用哪个版本以及为什么列出旧版本？当我开始使用 XPages 时，旧的 2011 版本变为 ACTIVE 状态并且xpagesext.nsf给出了这个错误：

找不到要由页面 /Core_InPlaceDialog.xsp 使用的标记版本为 8.5.32001 的库“com.ibm.xsp.extlib.library”。库标签版本为空。

据我了解，这表示旧的 ExtLib 版本。如何删除旧版本并激活新版本？

谢谢，

• 帕努