Red Hat Training
A Red Hat training course is available for Red Hat Directory Server
第3章 Core Server Configuration Reference
本章では、すべてのコア(サーバー関連)属性のアルファベット参照を提供します。「Directory Server 設定の概要」 Red Hat Directory Server 設定ファイルに関する適切な概要が含まれています。
3.1. Core Server Configuration Attributes Reference
このセクションでは、コアサーバー機能に関連する設定属性に関する参照情報を説明します。サーバー設定の変更に関する詳細は、「サーバー設定のアクセスおよび変更」 を参照してください。プラグインとして実装されるサーバー機能の一覧は、「サーバープラグインの機能リファレンス」 を参照してください。カスタムサーバー機能の実装は、Directory Server のサポートにお問い合わせください。
以下の図のように、
dse.ldif ファイルに保存されている設定情報は、一般的な設定エントリー cn=config 配下にある情報ツリーとして編成されます。
図3.1 構成データを示すディレクトリー情報ツリー
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins ノードは、4章プラグイン実装サーバー機能に関するリファレンス で説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、有効な範囲の値、その使用例などの詳細が含まれます。
注記
本章の一部のエントリーおよび属性は、今後の製品のリリースで変更される可能性があります。
3.1.1. cn=config
一般的な設定エントリーは cn=config エントリーに保存されます。cn=config エントリーは、nsslapdConfig オブジェクトクラスのインスタンスで、extensibleObject オブジェクトクラス を継承します。
3.1.1.1. nsslapd-accesslog(Access Log)
この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。以下の情報は、デフォルトではログファイルに記録されます。
- データベースにアクセスしたクライアントマシンの IP アドレス(IPv4 または IPv6)。
- 実行される操作(検索、追加、変更など)。
- アクセスの結果(例: 返されるエントリーの数またはエラーコード)。
アクセスログをオフにする方法は、『Red 『Hat Directory Server 管理ガイド』の「サーバーおよびデータベースアクティビティーの監視」の章を参照してください』。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、
nsslapd-accesslog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.1 dse.ldif ファイル属性
| 属性 | 値 | ログの有効化または無効化 |
|---|---|---|
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
on
空の文字列
| Disabled |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
on
filename
| 有効 |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
off
空の文字列
| Disabled |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
off
filename
| Disabled |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名。 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/access |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(アクセスログレベル)
この属性は、アクセスログにログ記録する内容を制御します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 |
|
| デフォルト値 | 256 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(アクセスログファイルの一覧)
この読み取り専用属性は、設定できません。アクセスログローテーションで使用されるアクセスログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
off に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファー処理により、パフォーマンスに影響を及ぼさずに負荷が大きい場合でも、サーバーがアクセスログを使用できます。ただし、デバッグ時に、ログエントリーがファイルにフラッシュされるのを待つ代わりに、操作とその結果を正しいようにするためにバッファーを無効にしておくことが役に立つ場合があります。ログバッファーを無効にすると、負荷の高いサーバーでパフォーマンスに深刻な影響を与える可能性があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)
この属性は、ログファイルが削除される前に到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは
nsslapd-accesslog-logexpirationtimeunit 属性によって提供されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
|
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time Unit)
この属性は、
nsslapd-accesslog-logexpirationtime 属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | month |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)
accesslog ロギングを無効にして有効にしますが、各データベースアクセスを記録するために使用されるログのパスとパラメーターを指定する
nsslapd-accesslog 属性と組み合わせます。
アクセスロギングを有効にするには、この属性を on に切り替え、
nsslapd-accesslog 設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.2 dse.ldif Attributes
| 属性 | 値 | ログの有効化または無効化 |
|---|---|---|
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
on
空の文字列
| Disabled |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
on
filename
| 有効 |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
off
空の文字列
| Disabled |
|
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
|
off
filename
| Disabled |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
この属性は、アクセスログが消費できるメガバイト単位の最大ディスク容量を指定します。この値を超えると、古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、アクセスログに許可されるディスク容量が無制限になります。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logmaxdiskspace: 100000 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性に指定した値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)
この属性は、アクセスログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を
nsslapd-accesslog-logrotationsynchour 属性値と nsslapd-accesslog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日深夜にローテーションするには、その値を on に設定してこの属性を有効にしてから、
nsslapd-accesslog-logrotationsynchour 属性および nsslapd-accesslog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)
この属性は、アクセスログのローテーション日の時間を設定します。この属性は、
nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 23 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)
この属性は、アクセスログのローテーション日数を設定します。この属性は、
nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 59 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)
この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-accesslog-logrotationtimeunit 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由は、ログが無限に長くなるため、ログローテーションを指定することは推奨されませんが、これを指定する方法は 2 つあります。
nsslapd-accesslog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-accesslog-logrotationtime 属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir(Access Log Maximum Number of Log Files)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time Unit)
この属性は、
nsslapd-accesslog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | day |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(アクセスログ最大ログサイズ)
この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。
nsslapd-accesslog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(Access Log Maximum Number of Log Files)
この属性は、アクセスログが保存されるディレクトリーに含まれるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数が、この属性に保存されている値を超えると、ログファイルの古いバージョンが削除されます。パフォーマンス上の理由から、サーバーがログをローテーションせず、ログが無期限に増大するため、Red Hat はこの値を 1 に設定し ないことを推奨します。
この属性の値が 1 よりも大きい場合は、
nsslapd-accesslog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-accesslog-logrotationtime(Access Log Rotation Time)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 10 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)
この属性は、ログファイルを作成するアクセスモードまたはファイルパーミッションを設定します。有効な値は、000 から 777 の組み合わせ(番号または絶対 UNIX ファイルのパーミッション)です。値は、3 桁の数字である必要があります。数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます(off)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション
rootdse により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、
nsslapd-anonlimitsdn の説明に従って 「nsslapd-anonlimitsdn」 属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off | rootdse |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
このパラメーターは、ハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、Directory Server では、事前にハッシュ化されたパスワードは、Directory Manager 以外であれば誰でも設定できません。Password Administrators グループに特権を追加すると、この特権を他のユーザーに委譲できます。ただし、レプリケーションパートナーがハッシュ化されたパスワードの確認をすでに制御する場合など、この機能を Directory Server で無効にする必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
警告
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
デフォルトでは、root DSE は SASL ライブラリーがサポートするすべてのメカニズムを一覧表示します。ただし、一部の環境では、特定の環境のみが優先されます。
nsslapd-allowed-sasl-mechanisms 属性を使用すると、一部の定義された SASL メカニズムのみを有効にできます。
メカニズム名には、大文字、数字、およびアンダースコアが含まれている必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
注記
EXTERNAL メカニズムは SASL プラグインによって実際に使用されません。サーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms 属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な SASL メカニズム |
| デフォルト値 | なし(すべての SASL メカニズムが許可) |
| 構文 | DirectoryString |
| 例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
認証されたバインドでリソース制限を設定できます。リソース制限では、1 つの操作で検索できるエントリー数(
nsslapd-sizeLimit)、時間制限(nsslapd-timelimit)、検索期間(nsslapd-idletimeout)、および検索可能なエントリーの総数(nsslapd-lookthroughlimit)を設定することができます。このリソース制限は、ディレクトリーリソースにサービス拒否攻撃を阻止し、全体的なパフォーマンスを改善します。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。つまり、通常はリソース制限が匿名操作には適用されません。
匿名バインドのリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。その後、このエントリーを示す
nsslapd-anonlimitsdn 設定属性を追加して、リソース制限を匿名バインドに適用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
この属性は、スキーマ定義属性の「_」など、古いサーバーとの後方互換性を維持するために、属性名の標準以外の文字を使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(Audit Log)
この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、
nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.3 nsslapd-auditlog の可能性
| dse.ldif の属性 | 値 | ログの有効化または無効化 |
|---|---|---|
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
on
空の文字列
| Disabled |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
on
filename
| 有効 |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
off
空の文字列
| Disabled |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
off
filename
| Disabled |
3.1.1.25. nsslapd-auditlog-list
監査ログファイルの一覧を提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.26. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)
この属性は、ログファイルの削除前にログファイルを許可する最大期間を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-auditlog-logexpirationtimeunit 属性で指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
|
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.27. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration Time Unit)
この属性は、
nsslapd-auditlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.28. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)
監査ロギングをオンおよびオフにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logging-enabled: off |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、
nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.4 nsslapd-auditlog および nsslapd-auditlog-logging-enabled の組み合わせが可能
| 属性 | 値 | ログの有効化または無効化 |
|---|---|---|
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
on
空の文字列
| Disabled |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
on
filename
| 有効 |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
off
空の文字列
| Disabled |
|
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
|
off
filename
| Disabled |
3.1.1.29. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)
この属性は、監査ログが消費できるメガバイト単位の最大ディスク容量を設定します。この値を超えると、古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理した 3 つの異なるログファイル(アクセスログ、監査ログ、およびエラーログ)があることで、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を監査ログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログに許可されるディスク容量が無制限になります。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.30. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.31. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)
この属性は、監査ログのローテーションを特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ログのローテーションを時刻で同期するには、この属性を
nsslapd-auditlog-logrotationsynchour 属性値と nsslapd-auditlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、
nsslapd-auditlog-logrotationsynchour 属性および nsslapd-auditlog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.32. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)
この属性は、監査ログのローテーションの日数を設定します。この属性は、
nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 23 |
| デフォルト値 | なし( nsslapd-auditlog-logrotationsync-enabled がオフであるため) |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.33. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)
この属性は、監査ログのローテーション日の分に設定します。この属性は、
nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 59 |
| デフォルト値 | なし( nsslapd-auditlog-logrotationsync-enabled がオフであるため) |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.34. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)
この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。
nsslapd-auditlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditlog-maxlogsperdir(監査ログの最大数)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログファイルローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.35. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation Time Unit)
この属性は、
nsslapd-auditlog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.36. nsslapd-auditlog-maxlogsize(監査ログ最大ログサイズ)
この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。
nsslapd-auditlog-maxlogsperdir から 1 の場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を監査ログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.37. nsslapd-auditlog-maxlogsperdir(監査ログの最大数)
この属性は、監査ログが保存されるディレクトリーに含まれる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、
nsslapd-auditlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.38. nsslapd-auditlog-mode(Audit Log File Permission)
この属性は、作成される監査ログファイルを作成するアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-mode: 600 |
3.1.1.39. nsslapd-auditfaillog(Audit Fail Log)
この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled が有効で nsslapd-auditfaillog が設定されていない場合、監査の失敗イベントは nsslapd-auditlog で指定されたファイルに記録されます。
nsslapd-auditfaillog パラメーターを nsslapd-auditlog と同じパスに設定すると、いずれも同じファイルに記録されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、
nsslapd-auditfaillog-logging-enabled 属性を onに設定する必要があります。
3.1.1.40. nsslapd-auditfaillog-list
監査失敗ログファイルの一覧を提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.41. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)
この属性は、削除前のログファイルの最大期間を設定します。これはユニット数に提供されます。
nsslapd-auditfaillog-logexpirationtimeunit 属性の day、week、month など、単位を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
|
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration Time Unit)
この属性は、
nsslapd-auditfaillog-logexpirationtime 属性の単位を設定します。サーバーでユニットが不明な場合は、ログは期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.43. nsslapd-auditfaillog-logging-enabled(Audit Fail Log Enable Logging)
失敗した LDAP の変更のオンおよびオフを切り替えます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.44. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)
この属性は、監査失敗ログが消費できるメガバイト単位の最大ディスク容量を設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログに許可されるディスク容量が無制限になります。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.45. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定の値よりも小さい場合、十分なディスク領域が解放されるまで、最も古い監査失敗ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.46. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)
この属性は、監査失敗のログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗のログローテーションを時刻で同期するには、この属性を
nsslapd-auditfaillog-logrotationsynchour 属性値と nsslapd-auditfaillog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、
nsslapd-auditfaillog-logrotationsynchour 属性および nsslapd-auditfaillog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.47. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)
この属性は、監査失敗ログがローテーションされる時刻の時間を設定します。この属性は、
nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 23 |
| デフォルト値 | なし( nsslapd-auditfaillog-logrotationsync-enabled がオフであるため) |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.48. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)
この属性は、監査ログのローテーション期間を設定します。この属性は、
nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 59 |
| デフォルト値 | なし( nsslapd-auditfaillog-logrotationsync-enabled がオフであるため) |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.49. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)
この属性は、監査に失敗するログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-auditfaillog-logrotationtimeunit 属性で指定します。nsslapd-auditfaillog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。
nsslapd-auditfaillog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-auditfaillog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditfaillog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.50. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time Unit)
この属性は、
nsslapd-auditfaillog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.51. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)
この属性は、監査ログの最大サイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。
nsslapd-auditfaillog-maxlogsperdir パラメーターが 1 に設定されている場合、サーバーはこの属性を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.52. nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)
この属性は、監査ログが保存されるディレクトリーに追加できる監査失敗ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、
nsslapd-auditfaillog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditfaillog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.53. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)
この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.54. nsslapd-certdir(証明書および鍵データベースディレクトリー)
これは、Directory Server インスタンスの証明書およびキーデータベースを保持するディレクトリーの完全パスです。このディレクトリーには、このインスタンスの証明書およびキーデータベースのみが含まれ、他のインスタンスは含まないようにする必要があります。このディレクトリーは所有し、サーバーユーザー ID の読み取り/書き込みアクセスを許可する必要があります。他のユーザーは、このディレクトリーへの読み取り右アクセスを持つべきではありません。デフォルトの場所は、設定ファイルディレクトリー
/etc/dirsrv/slapd-インスタンス です。
この値の変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | サーバーユーザー ID が所有するディレクトリーへの絶対パス。サーバーユーザー ID への読み取りおよび書き込みアクセスのみを許可します。 |
| デフォルト値 | /etc/dirsrv/slapd-instance |
| 構文 | DirectoryString |
| 例 | /etc/dirsrv/slapd-phonebook |
3.1.1.55. nsslapd-certmap-basedn(証明書マップ検索ベース)
この属性は、
/etc/dirsrv/slapd-instance_name/certmap.conf ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づくディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn 属性は、ルート以外のエントリーに基づいて検索を強制する場合があります。この属性の有効な値は、証明書マッピングに使用するサフィックスまたはサブツリーの DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.56. nsslapd-config
この読み取り専用属性は設定 DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な設定 DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-config: cn=config |
3.1.1.57. nsslapd-cn-uses-dn-syntax-in-dns
このパラメーターを使用すると、CN 値内で DN を有効にすることができます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、
cn 属性を使用して DN 値を保存することがあります。たとえば、dn : cn="dc=A,dc=com", cn=mapping tree,cn=config の場合、DN 構文に従って cn を正規化する必要があります。
この設定が必要な場合は、
nsslapd-cn-uses-dn-syntax-in-dns パラメーターを有効にします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.58. nsslapd-connection-buffer
この属性は、接続バッファリング動作を設定します。以下の値を使用できます。
0: バッファーを無効にします。1 度に 1 つのプロトコルデータユニット(PDU)のみが読み取られます。1:512バイトの通常の固定サイズLDAP_SOCKET_IO_BUFFER_SIZE。2: 適応可能なバッファーサイズ
値が
2 の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加および変更操作の場合など、またはレプリケーション中の単一接続で多くの非同期リクエストが受信された場合などです。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 | 1 | 2 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-connection-buffer: 1 |
3.1.1.59. nsslapd-connection-nocanon
このオプションを使用すると、SASL
NOCANON フラグを有効または無効にできます。無効にすると、Directory Server が、発信接続の DNS 逆引きエントリーを検索するのを回避します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-connection-nocanon: on |
3.1.1.60. nsslapd-conntablesize
この属性は、接続テーブルサイズを設定します。これはサーバーによってサポートされる接続の合計数を決定します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | operating-system dependent |
| デフォルト値 | デフォルト値は、で説明されている nsslapd-maxdescriptors 属性を使用して設定できるシステムの最大記述子です。 「nsslapd-maxdescriptors(Maximum File Descriptors)」 |
| 構文 | 整数 |
| 例 | nsslapd-conntablesize: 4093 |
Directory Server が接続スロットがなくなるため、接続を拒否する場合は、この属性の値を大きくします。これが発生すると、Directory Server のエラーログファイルは、Not listening for new connections -- too many fds open メッセージを記録します。
変更を反映するには、サーバーを再起動する必要があります。
オープンファイルの数とプロセスごとのオープンファイル数の上限を増やす必要がある場合があります。Directory Server を起動するシェルでオープンファイルの数( ulimit -n)の ulimit を増やす必要がある場合があります。詳細は、「nsslapd-maxdescriptors(Maximum File Descriptors)」 を参照してください。
3.1.1.61. nsslapd-counters
nsslapd-counters 属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡することで、パフォーマンスに影響する可能性があります。カウンターの 64 ビット整数をオフにすると、パフォーマンスに関する最小限の改善ができますが、長期的な統計追跡には悪影響を及ぼす可能性があります。
このパラメーターはデフォルトで有効になります。カウンターを無効にするには、Directory Server を停止し、直接
dse.ldif ファイルを編集し、サーバーを再起動します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-counters: on |
3.1.1.62. nsslapd-csnlogging
この属性は、利用可能な場合にシーケンス番号(CSN)を変更するかどうかを設定します。アクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングはオンになっています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-csnlogging: on |
3.1.1.63. nsslapd-defaultnamingcontext
この属性は、デフォルトが検索ベースとして使用する設定済みのネーミングコンテキストすべてにネーミングコンテキストを提供します。この値は、
defaultNamingContext 属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | ルート接尾辞 DN |
| デフォルト値 | デフォルトのユーザー接尾辞 |
| 構文 | DN |
| 例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.64. nsslapd-disk-monitoring
この属性により、10 秒ごとに実行されるスレッドでディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行しているマウントが可能になります。利用可能なディスク容量が設定されたしきい値を下回ると、サーバーはロギングレベルの縮小、アクセスまたは監査ログの無効化、ローテーションされたログの削除を開始します。十分な空き領域がない場合、サーバーは(wanring および grace period)を正常にシャットダウンします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring: on |
3.1.1.65. nsslapd-disk-monitoring-grace-period
nsslapd-disk-monitoring-threshold で設定したディスク領域の制限の半分に達した後にサーバーをシャットダウンする前に待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぎます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 整数(値を分単位) |
| デフォルト値 | 60 |
| 構文 | 整数 |
| 例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.66. nsslapd-disk-monitoring-logging-critical
ログディレクトリーがディスク領域の上限 nsslapd-disk-monitoring-threshold で設定される半点をパスした場合にサーバーをシャットダウンするかどうかを設定します。
有効にすると、ロギングは無効にされ ず、サーバーによるディスク使用量を減らす手段としてローテーションされたログ は削除されません。サーバーは、単純にシャットダウンプロセスを実行します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.67. nsslapd-disk-monitoring-threshold
サーバーに十分なディスク領域があるかどうかを評価するのに使用するしきい値をバイト単位で設定します。スペースがこのしきい値の半分になると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト)の場合、利用可能なディスク領域が 1MB に達すると、サーバーをシャットダウンします。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、データベースディレクトリーで使用されるディスク容量で評価されます。nsslapd-disk-monitoring-logging-critical 属性が有効な場合は、ログディレクトリーが評価に含まれます。
| パラメーター | 説明 | ||
|---|---|---|---|
| エントリー DN | cn=config | ||
| 有効な値 |
| ||
| デフォルト値 | 2000000 (2MB) | ||
| 構文 | DirectoryString | ||
| 例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.68. nsslapd-dn-validate-strict
nsslapd-syntaxcheck 属性を使用すると、サーバーが新規または変更された属性値がその属性の必要な構文と一致することを検証できます。
ただし、DN の構文ルールは、厳密に増大します。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、
nsslapd-syntaxcheck は RFC 1779 または RFC 2253 を使用して DN を検証します。
nsslapd-dn-validate-strict 属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性が off (デフォルト)に設定されている場合、サーバーは構文違反をチェックする前に値を正規化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-dn-validate-strict: off |
3.1.1.69. nsslapd-ds4-compatible-schema
cn=schema のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ds4-compatible-schema: off |
3.1.1.70. nsslapd-enable-nunc-stans
このパラメーターは、nunc
-stans フレームワークを有効または無効にします。このフレームワークを有効にすると、Directory Server はパフォーマンスが低下することなく、多数の接続を処理できるようになります。
警告
このパラメーターを有効にすると、安定性の問題が発生する可能性があります。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-enable-nunc-stans: off |
3.1.1.71. nsslapd-enable-turbo-mode
このパラメーターを使用すると、turbo モード機能を有効または無効にすることができます。
接続コードには Turbo モード機能が含まれており、ワーカースレッドがポーリングメカニズムに渡すことなく、継続的に接続を読み取ることができます。これにより、非常にアクティブな接続のパフォーマンスが向上します。エントリーの追加などの単一の操作に長い時間がかかる場合、turbo モードを無効にすると、操作を並行して適用することで速度が向上します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-enable-turbo-mode: off |
3.1.1.72. nsslapd-enquote-sup-oc(Enable Superior Object Class Enquoting)
この属性は非推奨で、今後の Directory Server バージョンで削除される予定です。
この属性は、cn=schema エントリーに含まれる objectclass 属性の引用が、インターネットドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠し、この値は引用符で囲まれていないことを示しています。非常に古いクライアントのみでは、この値を on に設定する必要があります。したがって、この値は off のままにします。
この属性をオンまたはオフにすると Directory Server コンソールには影響を及ぼしません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-enquote-sup-oc: off |
3.1.1.73. nsslapd-entryusn-global
nsslapd-entryusn-global パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に固有の更新シーケンス番号(USN)を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on に設定します。
詳細は 「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-entryusn-global: off |
3.1.1.74. nsslapd-entryusn-import-initval
エントリー更新シーケンス番号(USN)は、エントリーがあるサーバーからエクスポートされ、レプリケーション用のデータベースの初期化時など、別のサーバーにインポートされる際には保持されません。デフォルトでは、インポートされたエントリーの USN エントリーはゼロに設定されます。
nsslapd-entryusn-import-initval を使用して、エントリー USN に別の初期値を設定できます。これにより、インポートされたすべてのエントリーに使用される開始 USN が設定されます。
nsslapd-entryusn-import-initval には 2 つの値を指定することができます。
- 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
- 次に、インポートされたすべてのエントリーは、インポート操作前にサーバー上の最も大きなエントリー USN 値を使用し、1 つずつ増分します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 整数 | 次 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-entryusn-import-initval: next |
3.1.1.75. nsslapd-errorlog(エラーログ)
この属性は、Directory Server が生成したエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述しますが、多くの場合、以下のような情報条件が含まれます。
- サーバーの起動とシャットダウン時間。
- サーバーが使用するポート番号。
このログには、ログレベル属性の現行設定に応じたさまざまな情報が含まれます。詳細は、「nsslapd-errorlog-level(エラーログレベル)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/errors |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、
nsslapd-errorlog-logging-enabled 設定属性を on に切り替える必要があります。この表では、これらの 2 つの設定属性に使用できる 4 つの値の組み合わせと、エラーロギングの無効化または有効化に関する結果が記載されています。
表3.5 nsslapd-errorlog 設定属性の可能な組み合わせ
| dse.ldif の属性 | 値 | ログの有効化または無効化 |
|---|---|---|
|
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
|
on
空の文字列
| Disabled |
|
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
|
on
filename
| 有効 |
|
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
|
off
空の文字列
| Disabled |
|
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
|
off
filename
| Disabled |
3.1.1.76. nsslapd-errorlog-level(エラーログレベル)
この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり 、3 の値を指定するとレベル 1 と 2 の両方が含まれます。
nsslapd-errorlog-level のデフォルト値は 16384 です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 |
|
| デフォルト値 | 16384 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-level: 8192 |
3.1.1.77. nsslapd-errorlog-list
この読み取り専用属性は、エラーログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.78. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
この属性は、ログファイルが削除される前に到達できる最大期間を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-errorlog-logexpirationtimeunit 属性で指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
|
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.79. nsslapd-errorlog-logexpirationtimeunit(Error Log Expiration Time Unit)
この属性は、
nsslapd-errorlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | month |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.80. nsslapd-errorlog-logging-enabled(エラーロギングの有効化)
エラーのロギングをオンにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.81. nsslapd-errorlog-logmaxdiskspace(エラーログ最大ディスク容量)
この属性は、エラーログが消費できるメガバイト単位の最大ディスク容量を設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、エラーログが許可されるディスク容量が無制限になります。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.82. nsslapd-errorlog-logminfreediskspace(最小空き領域)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性に指定した値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古いエラーログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.83. nsslapd-errorlog-logrotationsync-enabled(エラーログローテーション同期の有効化)
この属性は、エラーログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーログのローテーションを時刻で同期するには、この属性を
nsslapd-errorlog-logrotationsynchour 属性値と nsslapd-errorlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、
nsslapd-errorlog-logrotationsynchour 属性および nsslapd-errorlog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logrotationsync-enabled: on |
3.1.1.84. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
この属性は、エラーログのローテーションの日数を設定します。この属性は、
nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 23 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.85. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
この属性は、エラーログのローテーションの日数を設定します。この属性は、
nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 59 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.86. nsslapd-errorlog-logrotationtime(Error Log Rotation Time)
この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は
nsslapd-errorlog-logrotationtimeunit (エラーログローテーション時間単位)属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。
nsslapd-errorlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-errorlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.87. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time Unit)
この属性は、
nsslapd-errorlog-logrotationtime の単位(エラーログローテーション時間)を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.88. nsslapd-errorlog-maxlogsize(Maximum Error Log Size)
この属性は、エラーログの最大サイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーは新しいログファイルへのログ情報の書き込みを開始します。
nsslapd-errorlog-maxlogsperdir が 1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 | 1 から 32 ビット整数値(2147483647)までの値。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.89. nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)
この属性は、エラーログが保存されるディレクトリーに含まれるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数が、この属性に保存されている値を超えると、ログファイルの古いバージョンが削除されます。デフォルトは 1 ログです。このデフォルトが許可されると、サーバーはログをローテーションせず、無限に増加します。
この属性の値が 1 よりも大きい場合は、
nsslapd-errorlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-errorlog-logrotationtime(Error Log Rotation Time)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.90. nsslapd-errorlog-mode(Error Log File Permission)
この属性は、作成するエラーログファイルのあるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-mode: 600 |
3.1.1.91. nsslapd-force-sasl-external
TLS 接続を確立するときに、クライアントは最初に証明書を送信し、次に SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求の送信時に SASL/EXTERNAL を使用しないため、Directory Server は単純な認証要求または匿名要求としてバインドを処理し、TLS 接続は失敗します。
nsslapd-force-sasl-external 属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | 文字列 |
| 例 | nsslapd-force-sasl-external: on |
3.1.1.92. nsslapd-groupevalnestlevel
この属性は非推奨となり、過去の目的でのみここに記載されています。
アクセス制御プラグインは
nsslapd-groupevalnestlevel 属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5 としてハードコーディングされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 5 |
| デフォルト値 | 5 |
| 構文 | 整数 |
| 例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.93. nsslapd-idletimeout(Default Idle Timeout)
この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの時間を秒単位で設定します。値が 0 の場合は、サーバーはアイドル状態の接続を閉じなくなります。この設定は、すべての接続およびすべてのユーザーに適用されます。アイドルタイムアウトは、接続テーブルがウォーク時に適用されます。
poll() がゼロを返さない場合です。そのため、単一の接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる
nsIdleTimeout 操作属性を使用して、この属性に割り当てられた値を上書きします。詳細は、『Red 『Hat Directory Server 管理ガイド』の「バインド DN に基づくリソース制限の設定」セクションを参照してください』。
注記
非常に大きなデータベースの場合は、数百万ものエントリーの場合、この属性には、オンライン初期化プロセスが完了できるか、サーバーへの接続がタイムアウトするとレプリケーションが失敗するという十分な値が必要です。または、
nsIdleTimeout 属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-idletimeout: 0 |
3.1.1.94. nsslapd-ignore-virtual-attrs
このパラメーターを使用すると、検索エントリーで仮想属性の検索を無効にできます。
仮想属性を必要としない場合は、検索結果で仮想属性の検索を無効にして、検索の速度を高めることができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.95. nsslapd-instancedir(Instance Directory)
この属性は非推奨です。インスタンス固有のパス用に、
nsslapd-certdir や nsslapd-lockdir などの個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。
3.1.1.96. nsslapd-ioblocktimeout(IO Block Time Out)
この属性は、停止した LDAP クライアントへの接続が切断される時間(ミリ秒単位)を設定します。読み取り操作または書き込み操作で I/O の進捗がなかった場合、LDAP クライアントは停止していると見なされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - ティック単位の最大 32 ビット整数値(2147483647) |
| デフォルト値 | 1800000 |
| 構文 | 整数 |
| 例 | nsslapd-ioblocktimeout: 1800000 |
3.1.1.97. nsslapd-lastmod(Track Modification Time)
この属性は、Directory Server が新規作成または更新されたエントリーの
creatorsName、createTimestamp、modifiersName、modifyTimestamp 操作属性を維持するかどうかを設定します。
重要
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは
nsUniqueID 属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-lastmod: on |
3.1.1.98. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind は、サーバーが LDAPI を使用して Directory Server への自動バインドを許可するかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、その認証情報に基づいてユーザーを Directory Server に自動的に認証します。Directory Server 接続は UNIX ソケットを介して行われます。
autobind を有効にし、autobind を設定するにはマッピングエントリーを設定する必要があります。
nsslapd-ldapimaprootdn は、システムの root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries は、nsslapd-ldapiuidnumbertype、nsslapd-ldapigidnumbertype、および nsslapd-ldapientrysearchbase 属性で定義されるパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、
nsslapd-ldapilisten が有効になり 、nsslapd-ldapifilepath 属性が LDAPI ソケットに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapiautobind: off |
3.1.1.99. nsslapd-ldapientrysearchbase(Search Base for LDAPI Authentication entries)
自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号(
nsslapd-ldapiuidnumbertype)および GUID 番号(nsslapd-ldapigidnumbertype)に使用する属性に Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase は、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | DN |
| デフォルト値 | サーバーインスタンスの作成時に作成された接尾辞(例: dc=example,dc=com) |
| 構文 | DN |
| 例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.100. nsslapd-ldapifilepath(LDAPI ソケットのファイルの場所)
LDAPI は、TCP ではなく UNIX ソケットを介してユーザーを LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットで通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは
nsslapd-ldapifilepath 属性に設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意のディレクトリーパス |
| デフォルト値 | /var/run/dirsrv/slapd-example.socket |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.101. nsslapd-ldapigidnumbertype(システム GUID 番号の色マッピング)
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。
nsslapd-ldapigidnumbertype 属性は、システム GUID をユーザーエントリーにマップするために Directory Server 属性を参照します。
LDAPI が有効になっている場合(
nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合(nsslapd-ldapiautobind)、通常のユーザーに対して自動バインドマッピングが有効になっている場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapimaptoentries
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server の属性 |
| デフォルト値 | gidNumber |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.102. nsslapd-ldapilisten(Enable LDAPI)
nsslapd-ldapilisten は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilisten を on に設定して LDAPI を有効にするほか、nsslapd-ldapifilepath 属性に LDAPI 用に設定された UNIX ソケットセットも必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapilisten: off |
3.1.1.103. nsslapd-ldapimaprootdn (root ユーザー用の自動バインドマッピング)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー(UID が 0 のユーザー)は、
nsslapd-ldapimaprootdn 属性で指定された Directory Server エントリーにマッピングされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | cn=Directory Manager |
| 構文 | DN |
| 例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.104. nsslapd-ldapimaptoentries(Enable Autobind Mapping for Regular Users)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、
nsslapd-ldapimaptoentries 属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効でない場合は、root ユーザーだけを使用して Directory Server への認証が可能で、その他のユーザーのみが匿名に接続します。
マッピング自体は
nsslapd-ldapiuidnumbertype 属性および nsslapd-ldapigidnumbertype 属性を使用して設定します。この属性は、Directory Server 属性をユーザーの UID および GUID の番号にマッピングします。
LDAPI が有効(
nsslapd-ldapilisten および nsslapd-ldapifilepath)で自動バインドが有効な場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapiautobind
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapimaptoentries: on |
3.1.1.105. nsslapd-ldapiuidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。
nsslapd-ldapiuidnumbertype 属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を参照します。
LDAPI が有効になっている場合(
nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合(nsslapd-ldapiautobind)、通常のユーザーに対して自動バインドマッピングが有効になっている場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapimaptoentries
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server の属性 |
| デフォルト値 | uidNumber |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.106. nsslapd-ldifdir
Directory Server は、db 2ldif または db2ldif.pl を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式(LDIF)形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
| デフォルト値 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 構文 | DirectoryString |
| 例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.107. nsslapd-listen-backlog-size
この属性は、ソケット接続バックログの最大数を設定します。listen サービスは、着信接続の受信に使用できるソケット数を設定します。backlog 設定は、接続を拒否する前にソケットのキューが増加する期間(sockfd)の最大長を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 最大 64 ビットの整数値 (9223372036854775807) |
| デフォルト値 | 128 |
| 構文 | 整数 |
| 例 | nsslapd-listen-backlog-size: 128 |
3.1.1.108. nsslapd-listenhost(IP アドレス を参照)
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。複数の IP アドレスが単一の hos tname に関連付けられる可能性があり、これらの IP アドレスは IPv4 と IPv6 の両方を混在させることができます。このパラメーターを使用して、Directory Server インスタンスを 1 つの IP インターフェースに制限することができます。
ホスト名が
nsslapd-listenhost の値として指定されると、Directory Server はホスト名に関連付けられたすべてのインターフェースの要求に応答します。単一の IP インターフェース(IPv4 または IPv6)が nsslapd-listenhost の値として指定される場合、Directory Server はその特定のインターフェースに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 |
ローカルホスト名、IPv4 または IPv6 アドレス
|
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-listenhost: ldap.example.com |
3.1.1.109. nsslapd-localhost(Local Host)
この属性は、Directory Server が実行されるホストマシンを指定します。この属性は、MMR プロトコルの一部を形成する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、これはローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 完全修飾ホスト名。 |
| デフォルト値 | インストールされたマシンのホスト名。 |
| 構文 | DirectoryString |
| 例 | nsslapd-localhost: phonebook.example.com |
3.1.1.110. nsslapd-localuser(Local User)
この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンスのインスタンス固有のファイルおよびディレクトリーはすべて chown などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に
nsslapd-localuser の値は最初に設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なユーザー |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-localuser: dirsrv |
3.1.1.111. nsslapd-lockdir(Server Lock File Directory)
これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は
/var/lock/dirsrv/slapd-instance です。この値の変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | サーバー ID への書き込みアクセス権を持つサーバーユーザー ID が所有するディレクトリーの絶対パス |
| デフォルト値 | /var/lock/dirsrv/slapd-instance |
| 構文 | DirectoryString |
| 例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.112. nsslapd-localssf
nsslapd-localssf パラメーターは、LDAPI 接続のセキュリティー強度係数(SSF)を設定します。Directory Server は、nsslapd-localssf に設定された値が nsslapd-minssf パラメーターで設定されている値よりも大きいか、またはそれと同じ場合にのみ LDAPI 接続を許可します。そのため、LDAPI 接続は nsslapd-minssf の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 71 |
| 構文 | 整数 |
| 例 | nsslapd-localssf: 71 |
3.1.1.113. nsslapd-logging-hr-timestamps-enabled(High-resolution Log Timestamps の有効化または無効化)
ログがナノ秒の精度で高解像度のタイムスタンプを使用するかどうかを制御します。または 1 秒の精度で標準解決タイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを
off に設定します。これは、Red Hat Directory Server 10.0 以前で使用されていました。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-logging-hr-timestamps-enabled: on |
3.1.1.114. nsslapd-maxbersize(Maximum Message Size)
受信メッセージに対して許可される最大サイズをバイト単位で定義します。これにより、Directory Server が処理できる LDAP 要求のサイズを制限します。リクエストのサイズを制限することで、一部の種類のサービス拒否攻撃を防ぎます。
この制限は、LDAP 要求の合計サイズに適用されます。たとえば、リクエストでエントリーを追加する場合で、リクエストのエントリーが設定値またはデフォルトよりも大きい場合は、追加のリクエストが拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性を変更する前に注意してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
0 - 2 (ギガバイト) - (2,147,483,647 バイト)
0 がゼロの場合は、デフォルト値を使用する必要があります。
|
| デフォルト値 | 2097152 |
| 構文 | 整数 |
| 例 | nsslapd-maxbersize: 2097152 |
3.1.1.115. nsslapd-maxdescriptors(Maximum File Descriptors)
この属性は、Directory Server が使用しようとするファイル記述子の最大数(プラットフォームに依存しない)を設定します。ファイル記述子は、クライアントがサーバーに接続するたびに使用され、インデックスのメンテナンスなどの一部のサーバーアクティビティーも使用します。ファイル記述子は、アクセスログ、エラーログ、監査ログ、データベースファイル(インデックスおよびトランザクションログ)、およびレプリケーションおよびチェーンの他のサーバーへの送信接続用のソケットでも使用されます。
TCP/IP がクライアント接続を提供するために利用可能な記述子の数は
nsslapd-conntablesize によって決まり、nsslapd-maxdescriptors 属性は、インデックス管理やレプリケーションの管理など、クライアント接続以外の接続の nsslapd-reservedescriptors 属性で指定されたサーバーで使用されるファイル記述子の数を引いた値になります。nsslapd-reservedescriptors 属性は、上記のように、他の用途で使用できるファイル記述子の数です。「nsslapd-reservedescriptors(確保ファイル記述子)」 を参照してください。
ここで指定する数は、オペレーティングシステムで ns-slapd プロセスが使用できるファイル記述子の合計数よりも大きくすることはできません。この数はオペレーティングシステムによって異なります。
この値が高すぎると、Directory Server はオペレーティングシステムに対して最大許容値のクエリーを実行してから、その値を使用します。また、エラーログで警告も発行されます。Directory Server Console または ldapmodify を使用して、この値をリモートで無効な値に設定すると、サーバーは新しい値を拒否し、古い値を維持し、エラーで応答します。
一部のオペレーティングシステムを使用すると、ユーザーがプロセスで使用できるファイル記述子の数を設定できます。ファイル記述子の制限と設定に関する詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune プログラム( 『Red Hat Directory Server インストールガイド』で説明)は、必要に応じてファイル記述子の数を増やすなど、システムカーネルまたは TCP/IP チューニング属性への変更を提案するために使用できます。ファイル記述子が不足するため、Directory Server が接続を拒否する場合、この属性の値を大きくします。これが発生すると、以下のメッセージが Directory Server のエラーログファイルに書き込まれます。
Not listening for new connections -- too many fds open
受信接続の数を増やす方法は、「nsslapd-conntablesize」 を参照してください。
注記
UNIX シェルは通常、ファイル記述子の数に対して設定可能な制限があります。limit および ulimit についての詳細は、オペレーティングシステムのドキュメントを参照してください。これらの制限により、多くの場合で問題が発生する可能性があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 65535 |
| デフォルト値 | 1024 |
| 構文 | 整数 |
| 例 | nsslapd-maxdescriptors: 1024 |
3.1.1.116. nsslapd-maxsasliosize(Maximum SASL Packet Size)
ユーザーが SASL GSS-API 経由で Directory Server に対して認証されると、クライアントはクライアント要求の量に応じて LDAP 操作を実行するための一定量のメモリーを割り当てる必要があります。攻撃者は、Directory Server がクラッシュするか、サービス拒否攻撃の一環として無限に留まる大きなパケットサイズを送信することが可能です。
Directory Server が SASL クライアントに許可するパケットサイズは、
nsslapd-maxsasliosize 属性を使用して制限できます。この属性は、サーバーで使用できる最大 SASL IO パケットサイズを設定します。
受信 SASL IO パケットが
nsslapd-maxsasliosize の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログにログを記録します。これにより、管理者は必要に応じて設定を調整できます。
この属性値はバイト単位で指定します。
| パラメーター | 説明 | ||
|---|---|---|---|
| エントリー DN | cn=config | ||
| 有効な範囲 |
| ||
| デフォルト値 | 2000000 (2MB) | ||
| 構文 | 整数 | ||
| 例 | nsslapd-maxsasliosize: 5000000 |
3.1.1.117. nsslapd-maxthreadsperconn(接続ごとの最大スレッド)
接続が使用する必要のあるスレッドの最大数を定義します。クライアントがバインドし、バインドを解除する前に 1 つまたは複数の操作のみを実行する通常の操作の場合は、デフォルト値を使用します。クライアントが多くの要求をバインドして同時に発生する場合は、この値を大きくして、全オペレーションを実行するのに十分なリソースを許可します。この属性はサーバーコンソールから利用できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 最大スレッド数 |
| デフォルト値 | 5 |
| 構文 | 整数 |
| 例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.118. nsslapd-minssf
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf 属性は、サーバーへの接続の最小 SSF 要件を設定します。最小 SSF よりも弱い接続試行は拒否されます。
TLS および SASL 接続は、Directory Server への接続と混在させることができます。通常、これらの接続には異なる SSF があります。2 つの SSF が高いほど、最小の SSF 要件と比較するために使用されます。
SSF の値を 0 に設定すると、最小設定はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 正の整数 |
| デフォルト値 | 0 (off) |
| 構文 | DirectoryString |
| 例 | nsslapd-minssf: 128 |
3.1.1.119. nsslapd-minssf-exclude-rootdse
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf-exclude-rootdse 属性は、ルート DSE のクエリーを除き、サーバーへの接続の最小 SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が実施されますが、クライアントは最初に安全な接続を確立せずに、ルート DSE からサーバー設定に関する情報を取得できるようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 正の整数 |
| デフォルト値 | 0 (off) |
| 構文 | DirectoryString |
| 例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.120. nsslapd-moddn-aci
このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲットの制限を使用する際の ACI チェックを制御します。後方互換性を確保するために、ACI チェックを無効にできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-moddn-aci: on |
3.1.1.121. nsslapd-malloc-mmap-threshold
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは
/etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して
M_MMAP_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_MMAP_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 33554432 |
| デフォルト値 | M_MMAP_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。 |
| 構文 | 整数 |
| 例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.122. nsslapd-malloc-mxfast
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは
/etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して
M_MXFAST 環境変数を設定する代わりに、nsslapd-malloc-mxfast パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_MXFAST の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 80 * (sizeof(size_t) / 4) |
| デフォルト値 | M_MXFAST の man ページの mallopt(3) パラメーターの説明を参照してください。 |
| 構文 | 整数 |
| 例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.123. nsslapd-malloc-trim-threshold
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは
/etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して
M_TRIM_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-trim-threshold パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_TRIM_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 2^31-1 |
| デフォルト値 | M_TRIM_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。 |
| 構文 | 整数 |
| 例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.124. nsslapd-nagle
この属性の値が off の場合、TCP _NODELAY オプションが設定され、LDAP 応答(エントリーや結果メッセージなど)が即座にクライアントに送られます。属性がオンの場合、デフォルトの TCP の動作が適用されます。特に、データ送信は遅延され、データ送信は下層のネットワーク MTU サイズ(通常は Ethernet の場合は 1500 バイト)の 1 つのパケットにグループ化できるようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-nagle: off |
3.1.1.125. nsslapd-ndn-cache-enabled
識別名 (DN) の正規化は、リソース集約型タスクです。
nsslapd-ndn-cache-enabled パラメーターを有効にすると、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターを更新して、このキャッシュの最大サイズを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-ndn-cache-enabled: on |
3.1.1.126. nsslapd-ndn-cache-max-size
識別名 (DN) の正規化は、リソース集約型タスクです。
nsslapd-ndn-cache-enabled パラメーターを有効にすると、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターは、このキャッシュの最大サイズを設定します。
要求した DN がまだキャッシュされていない場合は、正規化され、追加されます。キャッシュサイズの制限を超えると、Directory Server は、最近使用された 10,000 DN をキャッシュから削除します。ただし、少なくとも 10,000 の DN は、常にキャッシュを保持します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 20971520 |
| 構文 | 整数 |
| 例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.127. nsslapd-outbound-ldap-io-timeout
この属性は、すべてのアウトバウンド LDAP 接続に対する I/O 待機時間を制限します。デフォルトは 300000 ミリ秒(5 分)です。値が 0 の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300000 |
| 構文 | DirectoryString |
| 例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.128. nsslapd-pagedsizelimit(Simple Paged Results 検索のサイズ制限)
この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の
nsslapd-sizelimit 属性が上書きされます。
この値がゼロに設定されている場合は、
nsslapd-sizelimit 属性は、ページ検索と非ページ検索に使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.129. nsslapd-plug-in
この読み取り専用属性は、サーバーによって読み込まれる構文およびマッチングルールのプラグインの DN を一覧表示します。
3.1.1.130. nsslapd-plugin-binddn-tracking
操作自体がサーバープラグインによって開始されていても、エントリーの修飾子として操作に使用されるバインド DN を設定します。操作を実行する特定のプラグインは、別の運用属性
internalModifiersname に一覧表示されます。
もう 1 つの変更で、ディレクトリーツリーの自動変更をトリガーできます。ユーザーが削除されると、そのユーザーは referenceential Integrity Plug-in によって所属するグループから自動的に削除されます。ユーザーの初期削除は、サーバーにバインドされるユーザーアカウントによって実行されますが、グループ(デフォルトでは)の更新は、その更新を開始したユーザーの情報なしにプラグインによって表示されます。
nsslapd-plugin-binddn-tracking 属性により、サーバーは更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
この属性はデフォルトで無効にされています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.131. nsslapd-plugin-logging
デフォルトでは、アクセスログが内部操作を記録するように設定された場合でも、プラグイン内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターを使用してグローバルに制御することができます。
有効にすると、プラグインはこのグローバル設定を使用し、有効な場合はアクセスおよび監査イベントをログに記録します。
nsslapd-plugin-logging が有効で、nsslapd-accesslog-level が内部操作を記録するように設定されている場合は、インデックスなしの検索とその他の内部操作がアクセスログファイルに記録されます。
nsslapd-plugin-logging が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-plugin-logging: off |
3.1.1.132. nsslapd-port(ポート番号)
この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を提供します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024 未満の場合は、Directory Server を
root で 起動する必要があります。
サーバーは、起動後に
uid を nsslapd-localuser 値に設定します。設定ディレクトリーのポート番号を変更する場合、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 |
1 から 65535
|
| デフォルト値 | 389 |
| 構文 | 整数 |
| 例 | nsslapd-port: 389 |
注記
LDAPS ポートが有効な場合は、ポート番号をゼロ(0)に設定して LDAP ポートを無効にします。
3.1.1.133. nsslapd-privatenamespaces
この読み取り専用属性には、プライベート命名コンテキスト cn=config、cn= schema、および cn= monitor の一覧が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | cn=config、cn=schema、および cn=monitor |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-privatenamespaces: cn=config |
3.1.1.134. nsslapd-pwpolicy-inherit-global(グローバルパスワード構文の継承)
粒度の細かいパスワード構文が設定されていない場合には、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードがチェックされません。粒度の細かいパスワード構文を継承する場合は、この属性を on に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.135. nsslapd-pwpolicy-local(Subtree- および ユーザーレベルのパスワードポリシーの有効化)
粒度の細かい(サブツリーとユーザーレベル)パスワードポリシーをオンおよびオフにします。
この属性の値が off の場合、ディレクトリー内のすべてのエントリー( cn=Directory Managerを除く)はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。
この属性の値が on の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-pwpolicy-local: off |
3.1.1.136. nsslapd-readonly(Read Only)
この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベース内のデータや設定情報のいずれも変更できません。読み取り専用モードでデータベースの変更を試みると、サーバーが操作を実行していないことを示すエラーが返されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-readonly: off |
3.1.1.137. nsslapd-referral(Referral)
この多値属性は、サーバーがローカルツリーに属さないエントリーの要求を受信すると、接尾辞が接尾辞によって返される LDAP URL を指定します。つまり、接尾辞の属性で指定された値と一致しません。たとえば、サーバーにエントリーのみが含まれるとします。
ou=People,dc=example,dc=com
しかし、リクエストは以下のエントリーに対するものです。
ou=Groups,dc=example,dc=com
この場合、参照元はクライアントに戻され、LDAP クライアントが要求されたエントリーが含まれるサーバーを特定できるようになります。Directory Server インスタンスごとに参照元を 1 つだけ指定できますが、この参照元には複数の値を指定できます。
注記
TLS 通信を使用するには、参照属性は ldaps://server-location の形式で指定する必要があります。
TLS の開始はリファーラルをサポートしません。
参照の管理に関する詳細は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリーデータベースの設定」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.138. nsslapd-referralmode(Referral Mode)
設定された場合、この属性はどのサフィックスでもリクエストの参照を返します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.139. nsslapd-require-secure-binds
このパラメーターでは、通常の接続ではなく、TLS、StartTLS、または SASL などの保護された接続でユーザーがディレクトリーに対して認証する必要があります。
注記
これは認証されたバインドにのみ適用されます。
nsslapd-require-secure-binds が有効であっても、匿名バインドと非認証バインドは、標準チャンネルで完了できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-require-secure-binds: on |
3.1.1.140. nsslapd-requiresrestart
このパラメーターは、変更後にサーバーを再起動する必要がある他のコア設定属性を一覧表示します。これは、
nsslapd-requiresrestart に一覧表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性の一覧は、ldapsearch で返すことができます。
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
この属性は多値です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | コアサーバー設定属性 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.141. nsslapd-reservedescriptors(確保ファイル記述子)
この属性は、インデックス管理やレプリケーションの管理など、Directory Server がクライアント以外の接続の管理用に予約するファイル記述子の数を指定します。サーバーがこの目的のために予約するファイル記述子の数は、LDAP クライアント接続のサービスで利用可能なファイル記述子の合計数から減算します( 「nsslapd-maxdescriptors(Maximum File Descriptors)」を参照)。
Directory Server のほとんどのインストールでは、この属性を変更する必要はありません。ただし、以下がすべて true の場合は、この属性の値を大きくすることを検討してください。
- サーバーは多数のコンシューマーサーバーに複製しているか(10 未満)、またはサーバーで多数のインデックスファイルを維持します(例: 30 を超える)。
- サーバーは多数の LDAP 接続を提供している。
- サーバーがファイル記述子を開くことができないことを示すエラーメッセージはあります(実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なります)。しかし、これらのエラーメッセージはクライアント LDAP 接続の管理に関係 ありません。
この属性の値を大きくすると、LDAP クライアントがディレクトリーにアクセスできないことがあります。そのため、この属性の値は増加し、
nsslapd-maxdescriptors 属性の値も増やします。オペレーティングシステムでプロセスが使用できるファイル記述子の最大数を使用している場合は、サーバーが nsslapd-maxdescriptors の値を増やすことができない可能性があります。詳細は、オペレーティングシステムのドキュメントを参照してください。その場合は、LDAP クライアントが代替ディレクトリーレプリカを検索することで、サーバーの負荷を減らします。受信接続のファイル記述子の使用については、「nsslapd-conntablesize」 を参照してください。
この属性に設定されたファイル記述子の数を計算するには、以下の式を使用します。
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends は、ldbm データベースの数です。
- NglobalIndex は、システムインデックスを含むすべてのデータベースに設定されたインデックスの合計数です。(デフォルトでは 8 のシステムインデックス、データベースごとの 17 個の追加のインデックス)。
- ReplicationDescriptor は 8 つの(8)と、サプライヤーまたはハブ(NSupplierReplica)として機能するサーバー内のレプリカの数です。
- ChainingBackendDescriptors は、NchainingBackend で nsOperationConnectionsLimit (チェーンまたはデータベースリンクの設定属性(デフォルトでは 10 ))をかけたものです。
- PTADescriptors は、PTA が構成されている場合は 3、PTA が構成されていない場合は 0 になります。
- TLS が設定されている場合、SSLDescriptors は 5 (4 ファイル + 1 listensocket)で、TLS が設定されていない場合には 0 になります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 65535 |
| デフォルト値 | 64 |
| 構文 | 整数 |
| 例 | nsslapd-reservedescriptors: 64 |
3.1.1.142. nsslapd-return-exact-case(Return Exact Case)
クライアントによって要求される属性タイプ名の正確なケースを返します。LDAPv3- 準拠のクライアントは属性名のケースを無視する必要がありますが、一部のクライアントアプリケーションでは、検索または変更操作の結果として Directory Server が属性が返されても、スキーマにリストされている場合に属性名が該当し合致する必要があります。ただし、ほとんどのクライアントアプリケーションは属性のケースを無視します。そのため、デフォルトではこの属性は無効になっています。サーバーから返される結果となる属性名のケースを確認できるレガシークライアントがない場合は、これを変更しないでください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-return-exact-case: off |
3.1.1.143. nsslapd-rewrite-rfc1274
この属性は非推奨で、今後のバージョンで削除予定です。
この属性は、RFC 1274 名で属性タイプを返す必要がある LDAPv2 クライアントにのみ使用されます。これらのクライアントで値を on に設定します。デフォルトは off です。
3.1.1.144. nsslapd-rootdn (マネージャー DN)
この属性は、アクセス制御の制限を受けないエントリーの識別名(DN)、ディレクトリーに対する管理制限、または一般的にリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトでは、この DN のエントリーはありません。したがって、cn=Directory Manager などの値は受け入れ可能です。
ルート DN の変更に関する詳細は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリーエントリーの作成」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な識別名 |
| デフォルト値 | |
| 構文 | DN |
| 例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.145. nsslapd-rootpw(Root パスワード)
この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、
nsslapd-rootpwstoragescheme 属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示する場合、この属性には値 *** が表示されます。dse.ldif ファイルから表示すると、この属性には、暗号化方法の後にパスワードの暗号化された文字列が表示されます。この例は、実際のパスワードではなく、dse.ldif ファイルに表示されるパスワードを示しています。
警告
ルート DN がサーバー設定で configred になっている場合は、root パスワードが必要です。ただし、ファイルを直接編集して、root パスワードを
dse.ldif から削除することが可能です。このような状況では、ルート DN は、匿名アクセスに対して、ディレクトリーへの同じアクセスのみを取得できます。root DN がデータベース用に設定されている場合には、必ず root パスワードが in dse.ldif で定義されているようにしてください。pwdhash コマンドラインユーティリティーは、新しい root パスワードを作成できます。詳細は、「pwdhash(Encrypts Passwords)」 を参照してください。
重要
コマンドラインから Directory Manager のパスワードをリセットする場合は、パスワードに 中括弧({})を使用しないでください。root パスワードは {password-storage-scheme}hashed_password の形式で保存されます。中括弧内の文字はすべて、サーバーが root パスワードの保存スキームとして解釈されます。このテキストが有効なストレージスキームでない場合や、後に続くパスワードが正しくハッシュ化されないと、Directory Manager はサーバーにバインドできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 に記載されている暗号化方法のいずれかにより暗号化される有効なパスワード。 |
| デフォルト値 | |
| 構文 | DirectoryString {encryption_method }encrypted_Password |
| 例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.146. nsslapd-rootpwstoragescheme(Root パスワードストレージスキーム)
この属性は、
nsslapd-rootpw 属性に保存されている Directory Server のマネージャーパスワードの暗号化に使用されるメソッドを設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
| デフォルト値 | SSHA512 |
| 構文 | DirectoryString |
| 例 | nsslapd-rootpwstoragescheme: SSHA512 |
3.1.1.147. nsslapd-rundir
このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
| デフォルト値 | /var/run/dirsrv/ |
| 構文 | DirectoryString |
| 例 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.148. nsslapd-sasl-mapping-fallback
デフォルトでは、一致する最初の SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能している可能性がある他のマッチングマッピングが存在する場合でもバインド操作は失敗します。SASL マッピングフォールバックでは、一致するマッピングをすべてチェックします。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-sasl-mapping-fallback: off |
3.1.1.149. nsslapd-sasl-max-buffer-size
この属性は、最大 SASL バッファーサイズを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 67108864 (64 キロバイト) |
| 構文 | 整数 |
| 例 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.150. nsslapd-saslpath
Cyrus-SASL SASL2 プラグインを含むディレクトリーに絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは非標準の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定され、Red Hat はこの属性を変更しないことを強く推奨します。属性が存在しないか、値が空の場合は、Directory Server が、正しいバージョンであるシステムが提供する SASL プラグインライブラリーを使用していることを意味します。
このパラメーターを設定すると、サーバーは SASL プラグインを読み込むために指定されたパスを使用します。このパラメーターが設定されていない場合、サーバーは
SASL_PATH 環境変数を使用します。nsslapd-saslpath または SASL_PATH が設定されていない場合は、サーバーはデフォルトの場所である /usr/lib/sasl2 から SASL プラグインの読み込みを試行します。
この属性への変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | プラグインディレクトリーへのパス。 |
| デフォルト値 | プラットフォーム依存 |
| 構文 | DirectoryString |
| 例 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.151. nsslapd-schema-ignore-trailing-spaces(Object Class Names の Trailing Spaces を無視します)
オブジェクトクラス名の末尾のスペースを無視します。デフォルトでは、属性はオフになっています。ディレクトリーに、1 つ以上のスペースで終了するオブジェクトクラス値を持つエントリーが含まれている場合は、この属性をオンにします。LDAP 標準は許可しないため、末尾にスペースを削除することが推奨されます。
パフォーマンス上の理由から、変更を有効にするにはサーバーの再起動が必要です。
末尾のスペースが含まれるオブジェクトクラスがエントリーに追加されると、デフォルトでエラーが返されます。さらに、追加、変更、インポートなどの操作中(オブジェクトクラスが拡張され、スーパー子が不足している場合)、末尾のスペースは無視されます(該当する場合)。これは、
nsslapd-schema-ignore-trailing-spaces がオンの場合 でも、top がすでに存在している場合 に top などの値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.152. nsslapd-schemacheck (スキーマチェック)
この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマは、オブジェクトクラスおよび属性タイプを使用して拡張できます。Directory Server コンソールを使用してスキーマを拡張する方法は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリースキーマの拡張」の章を参照してください』。
警告
Red Hat は、スキーマチェックをオフにすることが強く推奨されます。これにより、重大な相互運用性が生じる可能性があります。これは通常、Directory Server にインポートする必要がある、非常に古い LDAP データまたは非標準 LDAP データに使用されます。この問題があるエントリーが多数ある場合は、それらのエントリーで extensibleObject オブジェクトクラスを使用してエントリーごとにスキーマチェックを無効にすることを検討してください。
注記
スキーマチェックは、ldapmodify などの LDAP クライアントを使用してデータベースの変更が行われた場合や、ldif2db を使用して LDIF からデータベースをインポートするときにデフォルトで動作します。スキーマチェックがオフになっている場合は、すべてのエントリーを手動で検証して、スキーマに準拠する必要があります。スキーマチェックが有効な場合、サーバーはスキーマに一致しないエントリーをリストするエラーメッセージを送信します。LDIF ステートメントで作成された属性とオブジェクトクラスが正しく書き出され、in
dse.ldif の両方を識別します。スキーマディレクトリーに LDIF ファイルを作成するか、その要素を 99user.ldif に追加します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-schemacheck: on |
3.1.1.153. nsslapd-schemadir
これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーの起動時に、このディレクトリーからスキーマファイルを読み取り、スキーマが LDAP ツールを使用して変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID によって所有され、そのユーザーはディレクトリーへの読み取りと書き込み権限が必要です。
この属性への変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なパス |
| デフォルト値 | /etc/dirsrv/instance_name/schema |
| 構文 | DirectoryString |
| 例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.154. nsslapd-schemamod
オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効の場合は、このパラメーターを
off に設定すると、パフォーマンスを向上させることができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-schemamod: on |
3.1.1.155. nsslapd-schemareplace
cn=schema エントリーで属性値を置き換える操作を許可するかどうかを決定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off | replication-only |
| デフォルト値 | replication-only |
| 構文 | DirectoryString |
| 例 | nsslapd-schemareplace: replication-only |
3.1.1.156. nsslapd-search-return-original-type-switch
検索に渡される属性リストに他の文字の後にスペースが含まれる場合には、同じ文字列がクライアントに戻ります。以下に例を示します。
# ldapsearch -b <basedn> "(filter)" "sn someothertext"
dn: <matched dn>
sn someothertext: <sn>
この動作はデフォルトで無効にされていますが、この設定パラメーターを使用して有効にできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-search-return-type-switch: off |
3.1.1.157. nsslapd-securelistenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。1 つのホスト名に複数の IP アドレスを割り当てることができ、これらの IP アドレスは IPv4 と IPv6 の両方を混在させることができます。このパラメーターは、Directory Server インスタンスを 1 つの IP インターフェースに制限するために使用できます。このパラメーターは、通常の LDAP 接続ではなく TLS トラフィックに使用するインターフェースも設定します。
ホスト名が
nsslapd-securelistenhost の値として指定されると、Directory Server はホスト名に関連付けられたすべてのインターフェースの要求に応答します。単一の IP インターフェース(IPv4 または IPv6)が nsslapd-securelistenhost の値として指定される場合、Directory Server はその特定のインターフェースに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 安全なホスト名、IPv4 または IPv6 アドレス |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.158. nsslapd-securePort(暗号化されたポート番号)
この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。1024 未満のポート番号を指定するには、Directory Server を
root で起動する必要があります。サーバーは、起動後に uid を nsslapd-localuser 値に設定します。
サーバーは、秘密鍵と証明書で設定されている場合にのみこのポートをリッスンし、
nsslapd-security が on に設定されている場合にのみ、このポートでリッスンしません。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 65535 |
| デフォルト値 | 636 |
| 構文 | 整数 |
| 例 | nsslapd-securePort: 636 |
3.1.1.159. nsslapd-security(Security)
この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続 の on に設定する必要があります。セキュリティーで実行するには、他の TLS 設定の他に、秘密鍵とサーバー証明書で設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-security: off |
3.1.1.160. nsslapd-sizelimit(サイズ制限)
この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns -slapd は、検索要求に一致するエントリーと、超過したサイズ制限エラーを返します。
制限が設定されていない場合、ns -slapd は一致するすべてのエントリーを、検出された番号に関係なくクライアントに返します。Directory Server による検索の完了まで無制限の制限値を設定するには、
dse.ldif ファイルのこの属性に -1 の値を指定します。
この制限は、組織に関係なくすべてのユーザーに適用されます。
注記
この属性の値を -1 にすると
、 サーバーコンソールで属性を空のままにすることと同じで、制限が使用されません。有効な整数ではないため、これには null 値 in dse.ldif ファイルを含めることはできません。これを 0 に設定すると、すべての検索に対して サイズ制限が超過 されます。
対応するユーザーレベルの属性は
nsSizeLimit です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 2000 |
| 構文 | 整数 |
| 例 | nsslapd-sizelimit: 2000 |
3.1.1.161. nsslapd-snmp-index
このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。
ポート 389 ですべてをリッスンしている同じホストに、複数の Directory Server インスタンスがある場合は、このパラメーターにより、インスタンスごとに異なる SNMP インデックス番号を設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-snmp-index: 0 |
3.1.1.162. nsslapd-SSLclientAuth
注記
nsslapd-SSLclientAuth パラメーターは今後のリリースで非推奨となり、現時点では後方互換性のために維持されます。代わりに cn=encryption,cn=config に保存されている新しいパラメーター nsSSLClientAuth を使用してください。「nsSSLClientAuth」 を参照してください。
3.1.1.163. nsslapd-ssl-check-hostname(アウトバウンド接続のホスト名の確認)
この属性は、提示される証明書のサブジェクト名(
cn)属性に割り当てられた値に対してホスト名を照合し、TLS 対応の Directory Server が要求の信頼性を検証するかどうかを設定します。subjectDNデフォルトでは、属性は on に設定されます。有効で、ホスト名が証明書の cn 属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。
たとえば、複製された環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないと、以下のようなメッセージがサプライヤーサーバーのログファイルに記録されます。
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)
Red Hat は、MITM(MITM)攻撃で、Directory Server のアウトバウンド TLS 接続を保護するために、この属性をオンにすることを推奨します。
注記
これを機能させるには、DNS と逆引き DNS を正しく設定する必要があります。設定しないと、サーバーは証明書のサブジェクト DN のホスト名へのピア IP アドレスを解決できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-ssl-check-hostname: on |
3.1.1.164. nsslapd-syntaxcheck
この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプの必要な構文に準拠することを確認します。正しい構文に準拠しない変更はすべて拒否され、この属性が有効であると拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。
デフォルトでは、これはオンになります。
構文の検証は、新規または変更された属性に対してのみ実行されます。既存の属性値の構文は検証されません。構文の検証は、追加および変更などの LDAP 操作に対してトリガーされます。属性構文の有効性は、送信元のサプライヤーで確認されるため、レプリケーションなどの操作後には実行されません。
これは、バイナリー構文(検証ができない)および標準以外の構文を除き、Directory Server でサポートされるすべての属性タイプを検証します。この構文は、定義された必須形式ではありません。未検証 の構文は以下のとおりです。
- Fax (バイナリー)
- OctetString (binary)
- JPEG (バイナリー)
- バイナリー (標準以外)
- スペースに依存しない文字列 (非標準)
- URI (標準以外)
nsslapd-syntaxcheck 属性は、属性の変更を検証し、拒否するかどうかを設定します。nsslapd-syntaxlogging 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nnsslapd-syntaxcheck: on |
3.1.1.165. nsslapd-syntaxlogging
この属性は、構文検証の失敗をエラーログに記録するかどうかを設定します。デフォルトでは、これはオフになっています。
nsslapd-syntaxcheck 属性が enabled(デフォルト)で、
nsslapd-syntaxlogging 属性も有効になっている場合、無効な属性の変更が拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging のみが有効で nsslapd-syntaxcheck が無効の場合、無効な変更を続行できますが、警告メッセージがエラーログに書き込まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nnsslapd-syntaxlogging: off |
3.1.1.166. nsslapd-threadnumber(Thread Number)
このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値が -1 (デフォルト)に設定されている場合、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。自動調整が有効な場合には、
nsslapd-threadnumber は Directory Server の実行中に自動生成されるスレッド数を表示することに注意してください。
注記
Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 からシステムのスレッドおよびプロセッサーでサポートされるスレッドの最大数。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-threadnumber: -1 |
3.1.1.167. nsslapd-timelimit(時間制限)
この属性は、検索要求に割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は、検索要求に一致するエントリーと、超過した時間制限エラーを返します。
制限が設定されていない場合には、ns -slapd は、かかる時間に関係なく、一致するすべてのエントリーをクライアントに送信します。Directory Server が検索が完了するまで無期限に待機する制限値を設定し、
dse.ldif ファイルにこの属性に -1 の値を指定します。ゼロ(0)の値を指定すると、検索に時間が与えられません。最小の時間制限は 1 秒です。
注記
dse.ldif の この属性の値 は、サーバーコンソールで属性を空白のままにして、制限を使用しないようにします。ただし、サーバーコンソールのこのフィールドには負の整数を設定できません。有効な整数ではないため、null 値は dse.ldif エントリーで使用できません。
対応するユーザーレベルの属性は
nsTimeLimit です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | -1 - 最大 32 ビット整数値(2147483647)(秒単位) |
| デフォルト値 | 3600 |
| 構文 | 整数 |
| 例 | nsslapd-timelimit: 3600 |
3.1.1.168. nsslapd-tmpdir
これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID によって所有され、ユーザーには読み書きアクセスが必要です。他のユーザー ID はディレクトリーの読み取りまたは書き込みが行なわれることはありません。デフォルト値は
/tmp です。
この属性への変更は、サーバーが再起動するまで反映されません。
3.1.1.169. nsslapd-validate-cert
Directory Server が TLS で実行するように設定され、証明書が期限切れになると、Directory Server を起動できません。
nsslapd-validate-cert パラメーターは、期限切れの証明書で開始しようとすると、Directory Server がどのように応答するかを設定します。
- warn は、Directory Server が期限切れの証明書で正常に起動できるようにしますが、証明書の有効期限が切れたことを示す警告メッセージを送信します。これはデフォルト設定です。
- 証明書を検証し 、 証明書の有効期限が切れた場合にサーバーが再起動しないようにします。これにより、期限切れの証明書のハード障害が設定されます。
- off は、警告をロギングせずに、期限切れの証明書で開始できるようにするため、すべての証明書の有効期限の検証を無効にします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | warn | on | off |
| デフォルト値 | warn |
| 構文 | DirectoryString |
| 例 | nsslapd-validate-cert: warn |
3.1.1.170. nsslapd-versionstring
この属性はサーバーのバージョン番号を設定します。バージョン文字列が表示されると、ビルドデータが自動的に追加されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なサーバーバージョン番号 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-versionstring: Red Hat-Directory/10.6 |
3.1.1.171. nsslapd-workingdir
起動後にサーバーが現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、サーバーが
getcwd() 関数の値として返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示される値になります。これは、コアファイルが作成されるディレクトリーです。サーバーユーザー ID はディレクトリーへの読み書きアクセスを持つ必要があり、他のユーザー ID は読み取り/書き込みアクセスを持つべきではありません。この属性のデフォルト値は、エラーログを含むディレクトリーと同じディレクトリーです。通常、/var/log/dirsrv/slapd-instance になります。
この属性への変更は、サーバーが再起動するまで反映されません。
3.1.1.172. passwordAllowChangeTime
この属性は、ユーザーがパスワードを変更できる前に渡す必要のある時間を指定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の整数 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | passwordAllowChangeTime: 5h |
3.1.1.173. passwordChange(パスワード変更)
ユーザーがパスワードを変更できるかどうかを示します。
これは、
pwdAllowUserChange に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordChange: on |
3.1.1.174. passwordCheckSyntax (パスワード構文チェック)
この属性は、パスワードの保存前にパスワード構文をチェックするかどうかを設定します。パスワード構文の確認メカニズムは、パスワードがパスワードの最小長要件を満たすか、またはそれを超えるか、文字列にユーザーの名前、ユーザー ID、ユーザー ID、ユーザーのディレクトリーエントリーの
uid、cn、sn、givenName、ou、または mail 属性に保存されている属性値など、簡単な単語が含まれていないことを確認します。
パスワード構文には、以下を確認するためのさまざまなカテゴリーが含まれています。
- パスワードの簡単な単語をチェックする際に比較に使用する文字列またはトークンの長さ(例: トークンの長さが 3 の場合、ユーザーの UID、名前、メールアドレス、他のパラメーターがパスワードでも使用できます)
- 数字の最小数(0-9)
- 大文字の ASCII アルファベットの最小数
- 小文字の ASCII アルファベットの最小数
- !@#$などの特殊文字の最小 ASCII 文字
- 8 ビット文字数
- パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字または小文字、特殊文字、数字、または 8 ビット文字になります。
これは、
pwdCheckSyntax に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordCheckSyntax: off |
3.1.1.175. passwordExp (パスワードの有効期限)
特定の秒数後にユーザーパスワードの有効期限が切れるかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、
passwordMaxAge 属性を使用してパスワードの期限が切れるまでの秒数を設定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザーアカウントの管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordExp: on |
3.1.1.176. passwordExpirationTime
この属性は、ユーザーのパスワードの有効期限が切れるまでにパスする期間を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の日付 (整数) |
| デフォルト値 | なし |
| 構文 | GeneralizedTime |
| 例 | passwordExpirationTime: 202009011953 |
3.1.1.177. passwordExpWarned
この属性は、パスワード有効期限の警告がユーザーに送られていることを示しています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | true | false |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | passwordExpWarned: true |
3.1.1.178. passwordGraceLimit (パスワードの有効期限)
この属性は、パスワードの有効期限が有効になっている場合にのみ適用されます。ユーザーのパスワードの期限が切れた後、サーバーはパスワードを変更する目的で接続できるようにします。これは grace login と呼ばれます。このサーバーでは、ユーザーを完全にロックする前に一定の試行回数のみが許可されます。この属性は、許可されたログインの数です。値が 0 の場合は、サーバーの強制ログインが許可されないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 合理的な整数に対して 0(off) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordGraceLimit: 3 |
3.1.1.179. passwordHistory(パスワード履歴)
パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードを再利用できるかどうかを示します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性を on に設定すると、ディレクトリーは指定の数の古いパスワードを保存し、保存されたパスワードを再利用しないようにします。
passwordInHistory 属性を使用して、Directory Server が保存する古いパスワードの数を設定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordHistory: on |
3.1.1.180. passwordInHistory(メンバーへのパスワード数値)
Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードはユーザーが再利用できません。デフォルトでは、パスワード履歴機能が無効になるため、Directory Server では古いパスワードは保存されず、ユーザーはパスワードを再利用できます。
passwordHistory 属性を使用してパスワード履歴を有効にします。
ユーザーが追跡されるパスワードの数により急速に繰り返し行われるのを防ぐには、
passwordMinAge 属性を使用します。
これは、
pwdInHistory に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 24 個のパスワード |
| デフォルト値 | 6 |
| 構文 | 整数 |
| 例 | passwordInHistory: 7 |
3.1.1.181. passwordIsGlobalPolicy(パスワードポリシーおよびレプリケーション)
この属性は、パスワードポリシー属性がレプリケートされるかどうかを制御します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordIsGlobalPolicy: off |
3.1.1.182. passwordLegacyPolicy
レガシーパスワードの動作を有効にします。古い LDAP クライアントは、最大失敗制限を超えた時点でユーザーアカウントのロックエラーを受信することが予想されます 。たとえば、制限が 3 回失敗すると、そのアカウントは 4 回失敗した試行でロックされました。ただし、新規クライアントでは、失敗制限に達するとエラーメッセージを受信することが予想されます。たとえば、制限が 3 つの失敗である場合、アカウントは 3 回失敗した試行でロックされる必要があります。
失敗制限を超えたときのアカウントのロックは古い動作であるため、レガシー動作とみなされます。これはデフォルトで有効になっていますが、無効にすると新しい LDAP クライアントが想定される時にエラーを受信できるようになります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordLegacyPolicy: on |
3.1.1.183. passwordLockout(Account Lockout)
特定のバインド試行の失敗後にユーザーがディレクトリーからロックされているかどうかを示します。デフォルトでは、一連のバインド試行の失敗後には、ユーザーはディレクトリーからロックされません。アカウントのロックアウトが有効な場合は、ユーザーが
passwordMaxFailure 属性を使用してロックアウトされた後に失敗したバインド試行の数を設定します。
これは、
pwdLockOut に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordLockout: off |
3.1.1.184. passwordLockoutDuration(Lockout Duration)
アカウントのロックアウト後にディレクトリーがロックされる時間を秒単位で指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護されます。
passwordLockout 属性を使用して、アカウントロックアウト機能を有効化および無効にします。
これは、
pwdLockoutDuration に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 3600 |
| 構文 | 整数 |
| 例 | passwordLockoutDuration: 3600 |
3.1.1.185. passwordMaxAge(Password Maximum Age)
ユーザーのパスワードが失効するまでの秒数を示します。この属性を使用するには、
passwordExp 属性を使用してパスワードの有効期限を有効にする必要があります。
これは、
pwdMaxAge に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 8640000 (100 日) |
| 構文 | 整数 |
| 例 | passwordMaxAge: 100 |
3.1.1.186. passwordMaxFailure(Maximum Password Failures)
ユーザーがディレクトリーからロックアウトされるまでのバインド試行の失敗回数を示します。デフォルトでは、アカウントのロックアウトは無効になっています。
passwordLockout 属性を変更して、アカウントのロックアウトを有効にします。
これは、
pwdMaxFailure に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1: 整数の最大バインド失敗数 |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | passwordMaxFailure: 3 |
3.1.1.187. passwordMaxRepeats (パスワード構文)
パスワード内に同じ文字が順次表示される最大回数。ゼロ(0)はオフです。整数値は、その回数を超える 文字 を使用するすべてのパスワード を拒否します 。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMaxRepeats: 1 |
3.1.1.188. passwordMin8Bit (パスワード構文)
これにより、パスワードに含まれる 8 ビット文字の最小数が設定されます。
注記
これを使用するには、
userPassword の 7 ビットチェックを無効にする必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMin8Bit: 0 |
3.1.1.189. passwordMinAge(Password Minimum Age)
ユーザーがパスワードを変更する前に渡す必要のある秒数を示します。
passwordInHistory (パスワード数)属性とともにこの属性を使用して、ユーザーがパスワードをすぐに取得できないようにし、古いパスワードを再度使用できるようにします。0(0)の値は、ユーザーがすぐにパスワードを変更できることを意味します。
これは、
pwdMaxFailure に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 - 有効な最大整数 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinAge: 150 |
3.1.1.190. passwordMinAlphas (パスワード構文)
この属性は、アルファベットのパスワードに含まれる必要のある最小文字数を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinAlphas: 4 |
3.1.1.191. passwordMinCategories (パスワード構文)
これにより、パスワードで表される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。
- 小文字のアルファベット
- 大文字のアルファベット
- 数字
- 特別な ASCII 文字($ や punctuation marks など)
- 8 ビット文字
たとえば、この属性の値を 2 に設定されていて、ユーザーがパスワードを aaaa に変更しようとすると、サーバーは小文字のみが含まれるため、パスワードを拒否しました。aAaAA のパスワードは、大文字、小文字の 2 つのカテゴリーの文字が含まれるためです。
デフォルトは 3 です。つまり、パスワード構文の確認が有効になっている場合、有効なパスワードには 3 つのカテゴリーのカテゴリーが必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 5 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinCategories: 2 |
3.1.1.192. PasswordMinDigits (パスワード構文)
これにより、パスワードに含まれる数字の最小数が設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinDigits: 3 |
3.1.1.193. passwordMinLength (パスワードの最小長)
この属性は、Directory Server のユーザーパスワード属性で使用する必要がある最小文字数を指定します。一般的に、パスワードが短いほど解読されやすくなります。Directory Server は、8 文字の最小パスワードを強制します。これは、解読が難しく、ユーザーがパスワードを書き留めなくても覚えられる長さです。
これは、
pwdMinLength に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 2 - 512 文字 |
| デフォルト値 | 8 |
| 構文 | 整数 |
| 例 | passwordMinLength: 8 |
3.1.1.194. PasswordMinLowers (パスワード構文)
この属性は、小文字のパスワードの最小数を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinLowers: 1 |
3.1.1.195. PasswordMinSpecials (パスワード構文)
この属性は、特殊文字(英数字以外 )を設定します。これはパスワードに含まれる必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinSpecials: 1 |
3.1.1.196. PasswordMinTokenLength (パスワード構文)
この属性は、簡単な 単語チェックに使用される最小の属性値の長さを設定します。たとえば、
PasswordMinTokenLength が 3 に設定されている場合、DJ の givenName は、D J がパスワードに含まれないように拒否するポリシーが出されませんが、このポリシーは Bob の givenName を持つパスワードを拒否します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から 64 |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | passwordMinTokenLength: 3 |
3.1.1.197. PasswordMinUppers (パスワード構文)
これにより、大文字のパスワードの最小数が追加されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinUppers: 2 |
3.1.1.198. passwordMustChange(パスワード変更が必要)
ユーザーが Directory Server に初めてバインドされる場合や、Manager DN でパスワードをリセットする際にパスワードを変更する必要があるかどうかを示します。
これは、
pwdMustChange に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordMustChange: off |
3.1.1.199. passwordResetFailureCount(Reset Password Failure Count After)
パスワード障害カウンターがリセットされるまでの時間(秒単位)を指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。
passwordLockout 属性が on に設定されている場合、カウンターが passwordMaxFailure 属性で指定された失敗数に達すると、ユーザーはディレクトリーからロックされます(デフォルトでは 600 秒)。passwordLockoutDuration 属性で指定された時間が経過すると、失敗カウンターはゼロ(0)にリセットされます。
これは、
pwdFailureCountInterval に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | passwordResetFailureCount: 600 |
3.1.1.200. passwordSendExpiringTime
クライアントが期限切れの制御を要求すると、Directory Server は、パスワードが警告期間内にある場合に限り、「time to expire」値を返します。パスワードの有効期限が警告期間内にいるかどうかにかかわらず、常にこの値が返されることを期待する既存のクライアントとの互換性を提供するには、
passwordSendExpiringTime パラメーターを on に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordSendExpiringTime: off |
3.1.1.201. passwordStorageScheme(パスワードストレージスキーム)
この属性は、
userPassword 属性に保存されているユーザーパスワードの暗号化に使用されるメソッドを設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
注記
Red Hat は、この属性を設定しないことを推奨します。値が設定されていない場合、Directory Server は利用可能な最も強力なサポートパスワードストレージスキームを自動的に使用します。今後の Directory Server がデフォルト値を変更してセキュリティーを強化すると、ユーザーがパスワードを設定した場合に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
| デフォルト値 | SSHA512 |
| 構文 | DirectoryString |
| 例 | passwordStorageScheme: SSHA512 |
3.1.1.202. passwordTrackUpdateTime
エントリーのパスワードが変更された最終時刻専用の個別のタイムスタンプを記録するかどうかを設定します。これが有効な場合は、ユーザーアカウントエントリー(
pwdUpdateTime など)に modifyTime操作属性を追加します。
このタイムスタンプを使用すると、Active Directory など、異なる LDAP ストア間でパスワードの変更を簡単に同期できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordTrackUpdateTime: off |
3.1.1.203. passwordUnlock(Unlock アカウント)
ユーザーが指定した期間、または管理者がアカウントロックアウト後にパスワードをリセットするまでユーザーがディレクトリーからロックされているかどうかを示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護されます。この
passwordUnlock 属性が off に設定され、操作属性 accountUnlockTime の値が 0 の場合、アカウントは無限にロックされます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordUnlock: off |
3.1.1.204. passwordWarning(送信警告)
次の LDAP 操作でパスワードの有効期限に関する警告制御を受け取ると、ユーザーのパスワードの有効期限が切れるまでの秒数を示します。LDAP クライアントによっては、警告が送信されたときにパスワードを変更するように求められる場合があります。
これは、
pwdExpireWarning に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 86400 (1 日) |
| 構文 | 整数 |
| 例 | passwordWarning: 86400 |
3.1.1.205. retryCountResetTime
retryCountResetTime 属性には、passwordRetryCount 属性が 0 にリセットされる後の UTC 形式の日時が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な範囲 | UTC 形式の有効なタイムスタンプ |
| デフォルト値 | なし |
| 構文 | 一般化時間 |
| 例 | retryCountResetTime: 20190618094419Z |
3.1.2. cn=changelog5,cn=config
マルチマスターレプリケーション changelog 設定エントリーは、cn=changelog5 エントリーに保存されます。cn=changelog5,cn=config エントリーは、拡張可能なObject オブジェクトクラスのインスタンスです。
cn=changelog5 エントリーには、以下のオブジェクトクラスが含まれている必要があります。
- top
- extensibleObject
注記
Directory Server では、2 種類の changelogs が維持されます。ここで保存されている最初のタイプは、changelog と呼ばれる最初のタイプは、マルチマスターレプリケーションで使用されます。2 つ目の changelog は、実際にはプラグインで、Retro Changelog と呼ばれます。これは、 一部のレガシーアプリケーションとの互換性を目的としています。Retro Changelog プラグインの詳細は、「Retro Changelog プラグイン」 を参照してください。
3.1.2.1. cn
この必須の属性は、changelog エントリーの相対識別名(RDN)を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | changelog5 |
| 構文 | DirectoryString |
| 例 | cn=changelog5 |
3.1.2.2. nsslapd-changelogcompactdb-interval
データベースが明示的に圧縮されない限り、Berkeley データベースは空きページを再利用しません。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。このパラメーターは、changelog データベースが圧縮される間隔(秒単位)を定義します。データベース圧縮はリソース集約型であるため、頻繁には実行しないでください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な値 | 0 (圧縮なし) から 2147483647 秒 |
| デフォルト値 | 2592000 (30 日) |
| 構文 | 整数 |
| 例 | nsslapd-changelogcompactdb-interval: 2592000 |
3.1.2.3. nsslapd-changelogdir
この必須属性は、changelog エントリーが作成されるディレクトリーの名前を指定します。changelog 設定エントリーが作成されるたびに、有効なディレクトリーを含む必要があります。そうでない場合は、操作は拒否されます。GUI では、このエントリーを
/var/lib/dirsrv/slapd-instance/changelogdb/ に保存されていることがデフォルトで提案されます。
警告
cn=changelog5 エントリーが削除されると、サブディレクトリーを含む
nsslapd-changelogdir パラメーターで指定されたディレクトリーは、すべての内容とともに削除されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な値 | 変更ログを保存するディレクトリーへの有効なパス |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/ |
3.1.2.4. nsslapd-changelogmaxage (Changelog 最大エイジ)
コンシューマーとの同期を行う場合、各更新は changelog にタイムスタンプに保存されます。
nsslapd-changelogmaxage パラメーターは、changelog に保存されるレコードの最大期間を設定します。すべてのレプリカに正常に転送された古いレコードは自動的に削除されます。nsslapd-changelogmaxage および nsslapd-changelogmaxentries パラメーターが設定されていない場合、すべてのレコードが保持されます。
注記
nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーション changelog のファイルサイズは自動的に縮小されません。詳細は、『Red 『Hat Directory 管理ガイド』の該当するセクションを参照してください』。
nsslapd-changelogmaxage パラメーターは、さらに Retro Changelog のエントリーの最大期間を設定します。小さい値を設定すると、変更ログのサイズが自動的に縮小されます。
trim 操作は、
nsslapd-changelog-trim-interval パラメーターに設定される間隔で実行されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | 0 (エントリーはそのエイジに応じて削除されない) から最大 32 ビット整数 (2147483647) |
| デフォルト値 | 0 |
| 構文 | DirectoryString IntegerAgeID: AgeID は、秒(秒)、m for minutes、h、d for days、および w for weeks |
| 例 | nsslapd-changelogmaxage: 30d |
3.1.2.5. nsslapd-changelogmaxentries (changelog の最大レコード)
コンシューマーと同期する場合、各更新は changelog に保存されます。
nsslapd-changelogmaxentries パラメーターは、changelog に保存されるレコードの最大数を設定します。すべてのレプリカに正常に転送され、この数を超える古いレコードは自動的に削除されます。nsslapd-changelogmaxentries および nsslapd-changelogmaxage パラメーターが設定されていない場合、すべてのレコードが保持されます。
注記
nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーション changelog のファイルサイズは自動的に縮小されません。詳細は、『Red 『Hat Directory 管理ガイド』の該当するセクションを参照してください』。
trim 操作は、
nsslapd-changelog-trim-interval パラメーターに設定される間隔で実行されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | 0(最大限はディスクサイズ)の 32 ビット整数(2147483647)までです。 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-changelogmaxentries: 5000 |
3.1.2.6. nsslapd-changelogmaxconcurrentwrites (再書き込みの最大同時数)
この属性は、変更ログへの同時書き込みを制御する新しいセマフォの初期化に使用される値を指定します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | 同時 changelo 書き込みの最大数 |
| デフォルト値 | 2 |
| 構文 | DirectoryString |
| 例 | nsslapd-changelogmaxconcurrentwrites: 4 |
3.1.2.7. nsslapd-changelogtrim-interval (レプリケーションの changelog のトリミング間隔)
Directory Server は、changelog でトリムプロセスを繰り返し実行します。2 回の実行間隔を変更するには、
nsslapd-changelogtrim-interval パラメーターを更新して間隔を秒単位で設定します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300 (5 分) |
| 構文 | DirectoryString |
| 例 | nsslapd-changelogtrim-interval: 300 |
3.1.2.8. nsslapd-encryptionalgorithm (暗号化アルゴリズム)
この属性は、changelog の暗号化に使用される暗号化アルゴリズムを指定します。changelog 暗号化を有効にするには、サーバー証明書がディレクトリーサーバーにインストールされている必要があります。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | AES または 3DES |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-encryptionalgorithm: AES |
3.1.2.9. nsSymmetricKey
この属性は、内部で生成された対称鍵を保存します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=changelog5,cn=config |
| 有効な範囲 | Base64 でエンコードされたキー |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | None |
3.1.3. changelog 属性
changelog 属性には、changelog に記録されている変更が含まれます。
3.1.3.1. changes
LDIF フォーマットで add および modify 操作のエントリーに加えられた変更が含まれます。
| OID | 2.16.840.1.113730.3.1.8 |
| 構文 | Binary |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.2. changeLog
この属性には、サーバーの changelog を構成するエントリーのセットが含まれるエントリーの識別名が含まれます。
| OID | 2.16.840.1.113730.3.1.35 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.3. changeNumber
この属性は常に存在します。これには、ディレクトリーエントリーに対して行われた各変更を一意に識別する整数が含まれます。この数は、変更が発生した順序に関連します。数字が大きいほど、後で変更されます。
| OID | 2.16.840.1.113730.3.1.5 |
| 構文 | 整数 |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.4. changeTime
この属性は、エントリーが追加された時刻( YYYMMDDHHMMSS 形式)を定義します。
| OID | 2.16.840.1.113730.3.1.77 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.3.5. changeType
この属性は、LDAP 操作のタイプ、追加、削除、変更、または modrdn を指定します。以下に例を示します。
changeType: modify
| OID | 2.16.840.1.113730.3.1.7 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.6. deleteOldRdn
modrdn 操作の場合、この属性は古い RDN が削除されたかどうかを指定します。
0(0)の値は古い RDN を削除します。他のゼロ以外の値は古い RDN を維持します。(ゼロ以外の値は、負の値または正の整数にすることもできます。)
| OID | 2.16.840.1.113730.3.1.10 |
| 構文 | ブール値 |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.7. filterInfo
これは、レプリケーションの処理に changelog により使用されます。
| OID | 2.16.840.1.113730.3.1.206 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.3.8. newRdn
modrdn 操作の場合、この属性はエントリーの新しい RDN を指定します。
| OID | 2.16.840.1.113730.3.1.9 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.9. newSuperior
modrdn 操作の場合、この属性は移動したエントリーの新しい親(superior)エントリーを指定します。
| OID | 2.16.840.1.113730.3.1.11 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.10. targetDn
この属性には、LDAP 操作の影響を受けるエントリーの DN が含まれます。modrdn 操作の場合、
targetDn 属性には、変更または移動前のエントリーの DN が含まれます。
| OID | 2.16.840.1.113730.3.1.6 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.4. cn=encryption
暗号化関連の属性は、cn =encryption,cn=config エントリーの下に保存されます。cn=encryption,cn=config エントリーは、ns slapdEncryptionConfig オブジェクトクラスのインスタンスです。
3.1.4.1. allowWeakCipher
この属性は、弱い暗号を許可または拒否されるかどうかを制御します。デフォルトは、
nsSSL3Ciphers パラメーターに設定した値によって異なります。
以下のような場合は、暗号が脆弱とみなされます。
- これらはエクスポート可能です。エクスポート可能な暗号には、
暗号名に 404 というラベルが付けられます。たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5では、 - 3DES アルゴリズムよりも対称的で、弱点が弱くなっています。対称暗号は、暗号化と復号化に同じ暗号鍵を使用します。
- 鍵の長さは 128 ビットよりも短くなります。
この属性への変更を反映するには、サーバーを再起動する必要があります。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 |
off -
nsSSL3Ciphers パラメーターの値が +all または default に設定されている場合。
nsSSL3Ciphers パラメーターの値に ユーザー固有の暗号リストが含まれる場合。
|
| 構文 | DirectoryString |
| 例 | allowWeakCipher: on |
3.1.4.2. allowWeakDHParam
Directory Server にリンクされているネットワークセキュリティーサービス(NSS)ライブラリーには、最低 2048 ビットの Diffie-Hellman(DH)パラメーターが必要です。ただし、Java 1.6 や 1.7 クライアントなどの Directory Server に接続する一部のクライアントは、1024 ビットの DH パラメーターのみをサポートします。
allowWeakDHParam パラメーターを使用すると、Directory Server で弱い 1024 ビット DH パラメーターのサポートを有効にできます。
この属性への変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | allowWeakDHParam: off |
3.1.4.3. nsSSL2
このパラメーターは、以前は SSL バージョン 2 の接続を有効にしていました。
注記
SSLv2 プロトコルは Directory Server ではサポートされなくなり、設定されている場合は
nsSSL2 パラメーターは無視されます。セキュアな通信には、TLS v1.1 以降を使用します。
3.1.4.4. nsSSL2Ciphers
この属性は以前は、SSL 通信時に Directory Server が使用する暗号化暗号のセットを指定していました。
注記
SSLv2 プロトコルは Directory Server ではサポートされなくなり、設定されている場合は
nsSSL2Ciphers パラメーターは無視されます。セキュアな通信には、TLS v1.1 以降を使用します。
3.1.4.5. nsSSL3
SSL バージョン 3 を有効にします。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
sslVersionMin および sslVersionMax パラメーターが nsSSL3 および nsTLS1 とともに設定されている場合は、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
この属性への変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsSSL3: on |
3.1.4.6. nsSSL3Ciphers
この属性は、暗号化された通信時に Directory Server が使用する SSLv3 および TLS 暗号化暗号のセットを指定します。
このパラメーターに設定した値は、
allowWeakCipher パラメーターのデフォルト値に影響します。詳細は 「allowWeakCipher」 を参照してください。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 |
NSS 対応の暗号のコンマ区切りリスト。さらに、以下のパラメーターを使用できます。
|
| デフォルト値 | default |
| 構文 |
DirectoryString
プラス(+)記号を使用して、無効にする記号(-)の後に暗号化を有効にします。空白は、暗号のリストには使用できません。
すべての暗号を有効にするには、rsa_null_md5 を除く、これは特に - all を指定します。
|
| 例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
対応している暗号の一覧を表示するには、『Red 『Hat Directory Server 管理ガイド』の該当するセクションを参照してください』。
3.1.4.7. nsSSL3SessionTimeout
この属性は、SSLv3 接続の有効期間を設定します。最小タイムアウト値は 5 秒です。小さい値を設定すると、自動的に 5 秒に置き換えられます。以下の有効な範囲の最大値よりも大きい値は、範囲の最大値に置き換えられます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
| エントリー DN | cn=encryption,cn=config |
| 有効な範囲 | 5 秒から 24 時間 |
| デフォルト値 | 0。上の有効な範囲の最大値を使用することを意味します。 |
| 構文 | 整数 |
| 例 | nsSSL3SessionTimeout: 5 |
3.1.4.8. nsSSLActivation
この属性は、特定のセキュリティーモジュールに対して TLS 暗号ファミリーが有効かどうかを示します。
| エントリー DN | cn=encryptionType,cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsSSLActivation: on |
3.1.4.9. nsSSLClientAuth
この属性は、Directory Server がクライアント認証を実施する方法を示しています。次の値を取ります。
off- Directory Server はクライアント認証を受け入れません。allowed(デフォルト): Directory Server はクライアント認証を受け付けますが、必須ではありません。必須: すべてのクライアントはクライアント認証を使用する必要があります。重要Directory Server コンソールは、クライアント認証に対応していません。したがって、nsSSLClientAuth属性がrequiredに設定されている場合、コンソールを使用してインスタンスを管理することはできません。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | off | allowed | required |
| デフォルト値 | 許可 |
| 構文 | DirectoryString |
| 例 | nsSSLClientAuth: allowed |
3.1.4.10. nsSSLEnabledCiphers
Directory Server は、多値
nsSSLEnabledCiphers 属性を自動的に生成します。属性は読み取り専用で、現在使用している暗号 Directory Server を表示します。この一覧は、nsSSL2Ciphers 属性および nsSSL3Ciphers 属性に設定したものとは異なる場合があります。たとえば、nsSSL3Ciphers 属性に弱い暗号を設定し、allowWeakCipher が無効の場合、nsSSLEnabledCiphers 属性は弱い暗号化も Directory Server を使用したりしません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | この属性の値は自動生成され、読み取り専用です。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.11. nsSSLPersonalitySSL
この属性には、SSL に使用する証明書名が含まれます。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | 証明書のニックネーム |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例: | nsSSLPersonalitySSL: Server-Cert |
3.1.4.12. nsSSLSessionTimeout
この属性は、TLS 接続の有効期間を設定します。最小タイムアウト値は 5 秒です。小さい値を設定すると、自動的に 5 秒に置き換えられます。以下の有効な範囲の最大値よりも大きい値は、範囲の最大値に置き換えられます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な範囲 | 5 秒から 24 時間 |
| デフォルト値 | 0。上の有効な範囲の最大値を使用することを意味します。 |
| 構文 | 整数 |
| 例 | nsSSLSessionTimeout: 5 |
3.1.4.13. nsSSLSupportedCiphers
この属性には、サーバーでサポートされる暗号が含まれます。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | 特定のファミリー、暗号、および強度の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.14. nsSSLToken
この属性には、サーバーによって使用されるトークン(セキュリティーモジュール)の名前が含まれます。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | モジュール名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例: | nsSSLToken: 内部 (ソフトウェア) |
3.1.4.15. nsTLS1
TLS バージョン 1 を有効にします。TLS で使用される暗号は、
nsSSL3Ciphers 属性の SSLv3 暗号とともに定義されます。
sslVersionMin および sslVersionMax パラメーターが nsSSL3 および nsTLS1 とともに設定されている場合は、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsTLS1: on |
3.1.4.16. nsTLSAllowClientRenegotiation
Directory Server は、
SSL_ENABLE_RENEGOTIATION オプションで SSL_OptionSet() ネットワークセキュリティーサービス(NSS)関数を使用して NSS の TLS 再ネゴシエーション動作を制御します。
nsTLSAllowClientRenegotiation 属性は、Directory Server が SSL_ENABLE_RENEGOTIATION オプションに渡す値を制御します。
- nsTLSAllowClientRenegotiation: on に設定すると、Directory Server は SSL_RENEGOTIATE_REQUIRES_XTN を
SSL_ENABLE_RENEGOTIATIONオプションに渡します。この場合、NSS は RFC 5746 を使用したセキュアな再ネゴシエーション試行を許可します。 - nsTLSAllowClientRenegotiation: off を設定すると、Directory Server は SSL_RENEGOTIATE_NEVER を
SSL_ENABLE_RENEGOTIATIONオプションに渡します。この場合、NSS はセキュアなものであっても、すべての再ネゴシエーション試行を拒否します。
NSS TLS 再ネゴシエーション動作の詳細は、「 「Is Red Hat affected by TLS renegotiation 『MITM attacks(CVE-2009-3555)?」の記事の「The RFC 5746 implementation in NSS(』Network Security Services)」 」 セクションを参照してください。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsTLSAllowClientRenegotiation: on |
3.1.4.17. sslVersionMin
使用する SSL または TLS プロトコルの最小バージョンを設定します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
sslVersionMin および sslVersionMax パラメーターが nsSSL3 および nsTLS1 とともに設定されている場合は、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | TLS 1.0 などの SSL または TLSプロトコルバージョン |
| デフォルト値 | TLS1.0 |
| 構文 | DirectoryString |
| 例: | sslVersionMin: TLS1.1 |
3.1.4.18. sslVersionMax
使用する SSL または TLS プロトコルの最大数を設定します。デフォルトでは、この値は、システムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョンに設定されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
警告
SSLv2 プロトコルおよび SSLv3 プロトコルは、CVE-2014-3566(POODLE) の脆弱性により非推奨となり、Red Hat では使用を推奨していません。セキュアな通信には、TLS v1.1 以降を使用します。
sslVersionMin および sslVersionMax パラメーターが nsSSL3 および nsTLS1 とともに設定されている場合は、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | TLS 1.0 などの SSL または TLSプロトコルバージョン |
| デフォルト値 | システムにインストールされている NSS ライブラリーで最新の利用可能なプロトコルバージョン |
| 構文 | DirectoryString |
| 例: | sslVersionMax: TLS1.2 |
3.1.5. cn=features
cn=features エントリー自体には属性はありません。このエントリーは、ns Container オブジェクトクラスでは親コンテナーエントリーとしてのみ使用されます。
子エントリーには、機能や directoryServerFeature オブジェクトクラスを識別する
oid 属性、および特定の ACL などの機能に関する任意の識別情報が含まれます。以下に例を示します。
dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 2.16.840.1.113730.3.4.9 cn: VLV Request Control aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config createTimestamp: 20200129132357Z modifyTimestamp: 20200129132357Z
3.1.5.1. oid
oid 属性には、ディレクトリーサービス機能に割り当てられたオブジェクト識別子が含まれます。oid これらのディレクトリー機能の命名属性として使用されます。
| OID | 2.16.840.1.113730.3.1.215 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.6. cn=mapping ツリー
- サフィックス、レプリケーション、および Windows 同期の設定属性は cn=mapping ツリー,cn=config に保存されます。サフィックスに関する設定属性は、サフィックスの subentry cn=suffix (cn=mapping tree,cn=config )の下にあります。たとえば、サフィックスは、dc =example,dc=com などのディレクトリーツリーのルートディレクトリーです。
- レプリケーション設定属性は cn=replica,cn=suffix,cn= mapping tree,cn=configに保存されます。
- レプリカ合意属性は cn=replicationAgreementName、cn=replica,cn=suffix,cn= mapping tree,cn=configに保存されます。
- Windows 同期合意属性は、cn =syncAgreementName、cn=replica,cn=suffix,cn=mapping tree,cn=config に保存されます。
3.1.7. cn=suffix_DN 下の接尾辞設定属性
サフィックス設定は cn="suffix_DN",cn =mapping tree,cn=config エントリーに保存されます。これらのエントリーは、ns MappingTree オブジェクトクラスのインスタンスです。extensibleObject オブジェクトクラスでは、それに属するエントリーがユーザー属性を保持できるようになります。サーバーによって考慮されるサフィックス設定属性には、トップ オブジェクトクラスに加えてこれらのオブジェクトクラスがエントリーに存在する必要があります。
等号記号(=)、コンマ(,)、スペース文字などの文字が含まれるため、接尾辞 DN を引用符で記述する必要があります。引用符を使用すると、DN が別の DN の値として正しく表示されます。例: cn="dc=example,dc=com",cn=mapping tree,cn=config
3.1.7.1. cn
この必須の属性は、新しい接尾辞の RDN(相対識別名)を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: dn=example,dc=com |
3.1.7.2. nsslapd-backend
このパラメーターは、要求の処理に使用されるデータベースまたはデータベースリンクの名前を設定します。値ごとにデータベースまたはデータベースリンクが 1 つある多値になります。この属性は、
nsslapd-state 属性の値が バックエンド または更新時に 参照に設定されている場合に必要です。
この値は、cn =ldbm database,cn=plugins,cn=config の下にあるバックエンドデータベースエントリーインスタンスの名前に設定します。例: o=NetscapeRoot,cn=ldbm database,cn=plugins,cn=config
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパーティション名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-backend: userRoot |
3.1.7.3. nsslapd-distribution-function
nssldap-distribution-function パラメーターは、カスタムディストリビューション機能の名前を設定します。nsslapd-backend 属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
カスタムディストリビューション機能の詳細は、『 『Directory Server 管理ガイド』の該当するセクションを参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なディストリビューション関数 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-distribution-plugin: distribution_function_name |
3.1.7.4. nsslapd-distribution-plugin
nssldap-distribution-plugin は、カスタムディストリビューション機能で使用する共有ライブラリーを設定します。nsslapd-backend 属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
カスタムディストリビューション機能の詳細は、『 『Directory Server 管理ガイド』の該当するセクションを参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なディストリビューションプラグイン |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-distribution-plugin: /path/to/shared/library |
3.1.7.5. nsslapd-parent
サブ接尾辞を作成する場合は、
nsslapd-parent 属性を使用して親接尾辞を定義します。
属性が設定されていない場合、新しいサフィックスがルート接尾辞として作成されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパーティション名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-parent-suffix: dc=example,dc=com |
3.1.7.6. nsslapd-referral
この属性は、サフィックスによって返される参照元の LDAP URL を設定します。
nssldap-referral 属性を複数回追加して、複数の参照 URL を設定できます。
nsslapd-state パラメーターを リファーラル または更新時に設定する場合は、この属性 を設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssldap-referral: ldap://example.com/ |
3.1.7.7. nsslapd-state
このパラメーターは、接尾辞がどのように操作を処理する方法を決定します。属性は以下の値を取ります。
- バックエンド: バックエンドデータベースはすべての操作を処理します。
- disabled: データベースは処理操作には使用できません。サーバーは、クライアントアプリケーションによる要求に対応して
No such search objectエラーを返します。 - 参照: Directory Server は、このサフィックスへの要求の参照元の URL を返します。
- 参照: データベースはすべての操作に使用されます。更新リクエストの参照だけが送信されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 更新におこえる backend | disabled | referral | referral |
| デフォルト値 | backend |
| 構文 | DirectoryString |
| 例 | nsslapd-state: backend |
3.1.8. cn=replica,cn=suffixDN,cn=mapping tree,cn=config 下のレプリケーション属性
レプリケーション設定属性は cn=replica,cn=suffix,cn= mapping tree,cn=configに保存されます。cn=replica エントリーは、ns DS5Replica オブジェクトクラスのインスタンスです。サーバーによって考慮されるレプリケーション設定属性には、このオブジェクトクラス( トップ オブジェクトクラスに加えて)がエントリーに存在する必要があります。レプリケーションの詳細は、『Red 『Hat Directory Server 管理ガイド』の「レプリケーションの管理」の章を参照してください』。
cn=replica,cn=suffix,cn=mapping tree,cn=config エントリーには、以下のオブジェクトクラスが含まれている必要があります。
- top
- extensibleObject
- nsds5replica
3.1.8.1. cn
レプリカの命名属性を設定します。
cn 属性は replica に設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 値は replica に設定する必要があります。 |
| デフォルト値 | replica |
| 構文 | DirectoryString |
| 例 | cn=replica |
3.1.8.2. nsds5DebugReplicaTimeout
この属性は、レプリケーションがデバッグロギングで実行されるときに別のタイムアウト時間を指定します。これは、時間またはデバッグレベルの両方を設定できます。
nsds5debugreplicatimeout: seconds[:debuglevel]
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 数値文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5debugreplicatimeout: 60:8192 |
3.1.8.3. nsDS5Flags
この属性は、フラグで以前に定義されたレプリカプロパティーを設定します。現在、フラグは 1 つだけ存在するため、ログが変更されるかどうかが設定されます。
| パラメーター | 説明 | ||
|---|---|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config | ||
| 有効な値 | 0 | 1
| ||
| デフォルト値 | 0 | ||
| 構文 | 整数 | ||
| 例 | nsDS5Flags: 0 |
3.1.8.4. nsDS5ReplConflict
この属性は cn=replica エントリーにはありませんが、レプリケーションと併用されます。この多値属性は、同期プロセスで自動的に解決できない変更の競合のあるエントリーに含まれます。管理者の介入を必要とするレプリケーションの競合を確認するには、LDAP 検索(nsDS5ReplConflict=*)を実行します。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
検索フィルター "(objectclass=nsTombstone)" を使用すると、tombstone(deleted)エントリーも表示されます。
nsDS5ReplConflict の値には、競合しているエントリーに関する詳細情報が含まれます。通常、nsUniqueID で参照します。nsUniqueID で tombstone エントリーを検索できます。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
3.1.8.5. nsDS5ReplicaAutoReferral
この属性は、Directory Server がデータベースのリファーラルを設定するかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaAutoReferral: on |
3.1.8.6. nsState
この属性は、クロックの状態に関する情報を保存します。これは、サーバーが、後方互換性エラーの検出に必要な既存の番号(csn)にフェデレーションする変更シーケンス番号(csn)を生成できないようにする内部向けです。
3.1.8.7. nsDS5ReplicaAbortCleanRUV
この読み取り専用属性は、古い RUV エントリーを削除するバックグラウンドタスクが、古い RUV エントリーを削除するかどうかを指定します。このタスクの詳細は、「cn=abort cleanallruv」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを意味します。
この属性は、サーバーの再起動後にアボートタスクを再開できるようにするために存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | nsDS5ReplicaAbortCleanRUV: 1 |
3.1.8.8. nsds5ReplicaBackoffMin および nsds5ReplicaBackoffMax
これらの属性は、大規模なレプリケーショントラフィックがある環境で使用され、更新を迅速に送信する必要があります。
デフォルトでは、リモートレプリカがビジー状態になると、レプリケーションプロトコルは「back off」の状態に移動し、バックオフタイマーの次の間隔で更新の送信を再試行します。デフォルトでは、タイマーは 3 秒から開始し、最大待機時間は 5 分です。このようなデフォルト設定は、特定の状況で十分ではないので、ns
ds5ReplicaBackoffMin および nsds5ReplicaBackoffMax を使用して最小および最大待機時間を設定できます。
設定は、サーバーがオンラインのときに適用でき、サーバーの再起動は必要ありません。無効な設定を使用する場合は、代わりにデフォルト値が使用されます。設定は CLI ツールを使用して処理される必要があります。
3.1.8.9. nsDS5ReplicaBindDN
この多値属性は、バインディング時に使用する DN を指定します。この cn=replica エントリーには複数の値を指定できますが、レプリカ合意ごとに 1 つのサプライヤーバインド DN のみを使用できます。各値は、コンシューマーサーバーのローカルエントリーの DN である必要があります。レプリケーションサプライヤがクライアント証明書ベースの認証を使用してコンシューマーに接続する場合は、コンシューマーに証明書マッピングを設定して、証明書の subjectDN をローカルエントリーにマッピングします。
重要
セキュリティー上の理由から、この属性を cn=Directory Manager に設定しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.8.10. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup 属性はグループ DN を指定します。このグループは、サブグループのメンバーを含む、またはレプリカオブジェクトが変更されたときに、そのサブグループのメンバーが replicaBindDNs 属性に追加されます。これは、グループ DN を設定できるように、nsDS5ReplicaBindDN 属性が提供する現在の機能を拡張します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なグループ DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
Directory Server は、
nsDS5ReplicaBindDNGroup 属性で指定されたグループの変更の有無を確認し、replicaBindDN パラメーターの一覧を自動的に再ビルドします。この操作によりパフォーマンスに悪影響を及ぼすため、nsDS5ReplicaBindDNGroupCheckInterval 属性で指定した間隔でのみ実行されます。
この属性は以下の値を受け入れます。
- -1: ランタイム時に動的チェックを無効にします。管理者は、
nsDS5ReplicaBindDNGroup属性の変更時にインスタンスを再起動する必要があります。 - 0: directory Server は、グループの変更直後に一覧を再ビルドします。
- 任意の正の 32 ビット整数値: 最後の再構築から渡すのに必要な最小秒数。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | -1 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
3.1.8.12. nsDS5ReplicaChangeCount
この read-only 属性は、変更ログ内のエントリーの合計数と、それらをレプリケートされたままにします。changelog がパージされると、レプリケートされるエントリーのみが残ります。
パージ操作プロパティーの詳細は、「nsDS5ReplicaPurgeDelay」 および 「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | -1 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaChangeCount: 675 |
3.1.8.13. nsDS5ReplicaCleanRUV
この読み取り専用属性は、古い RUV エントリーを削除するバックグラウンドタスクか、古いサプライヤーがアクティブであるかどうかを指定します。このタスクの詳細は、「cn=cleanallruv」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを意味します。
この属性は、サーバーの再起動後にクリーンアップタスクを再開できるようにするために存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | nsDS5ReplicaCleanRUV: 0 |
3.1.8.14. nsDS5ReplicaId
この属性は、特定のレプリケーション環境でサプライヤー用の一意の ID を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 |
サプライヤーの場合: 1 から 65534
コンシューマーおよびハブの場合: 65535
|
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaId: 1 |
3.1.8.15. nsDS5ReplicaLegacyConsumer
この属性が存在しないか、または false の値がある場合は、レプリカがレガシーコンシューマーではないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaLegacyConsumer: false |
3.1.8.16. nsDS5ReplicaName
この属性は、内部操作の一意の ID を持つレプリカの名前を指定します。指定しないと、レプリカの作成時にこの一意の ID がサーバーによって割り当てられます。
注記
この名前を生成するようサーバーを許可することが推奨されます。ただし、レプリカロールの変更(例: ハブへのマスターなど)では、この値を指定する必要があります。それ以外の場合は、サーバーが正しい changelog データベースを使用せず、レプリケーションは失敗します。
この属性は内部使用のみの対象です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | |
| デフォルト値 | |
| 構文 | DirectoryString (UID はレプリカを識別) |
| 例 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
3.1.8.17. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。
nsds5ReplicaProtocolTimeout 属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有効な範囲 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 120 |
| 構文 | 整数 |
| 例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
3.1.8.18. nsDS5ReplicaPurgeDelay
この属性は、削除されたエントリー(tombstone エントリー)および状態情報の最大数を制御します。
Directory Server は tombstone エントリーおよび状態情報を保存し、複数のマスターレプリケーションプロセスで競合を解決すると、サーバーは変更シーケンス番号に保存されているタイムスタンプおよびレプリカ ID に基づいて競合を解決します。
内部 Directory Server のハウスキーピング操作では、この属性の値を(秒単位)以前の tombstone エントリーを定期的に削除します。状態情報を含むエントリーが変更されると、
nsDS5ReplicaPurgeDelay 値よりも古い状態情報が削除されます。
マルチマスターレプリケーションでは、トームストーンおよび状態情報がすべて削除されているわけではありません。これは、属性の値よりも古い場合でも、サーバーがプライマープレプリケーションに対して十分な数の最新更新を保持する必要がある場合があります。
この属性は、エントリーで内部パージ操作を実行する間隔を秒単位で指定します。この属性を設定する場合は、パージ遅延が、レプリケーションの競合を解決するための十分な情報を保持するために、レプリケーションポリシーで最も長いレプリケーションサイクルよりも長くなり、異なるサーバーに保存されているデータのコピーが分岐しないようにする必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 0(永久に維持)最大 32 ビット整数(2147483647) |
| デフォルト値 | 604800 [1 week (60x60x24x7)] |
| 構文 | 整数 |
| 例 | nsDS5ReplicaPurgeDelay: 604800 |
3.1.8.19. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを意味します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReapActive: 0 |
3.1.8.20. nsDS5ReplicaReferral
この多値属性は、ユーザー定義の参照元を指定します。これはコンシューマーでのみ定義する必要があります。ユーザー参照は、クライアントが読み取り専用コンシューマーでデータの修正を試みる場合にのみ返されます。このオプションの参照は、レプリケーションプロトコルによってコンシューマーによって自動的に設定される参照元の上書きされます。
URL では ldap[s]://host_name :port_number または ldap[s]://IP_address:port_number の形式(IPv4 または IPv6 アドレス)を使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
3.1.8.21. nsDS5ReplicaReleaseTimeout
この属性は、マルチマスターレプリケーションのマスターおよびハブで使用されると、マスターがレプリカを解放するタイムアウト期間(秒単位)を決定します。これは、ネットワーク接続が遅いなどの問題が原因でレプリカへのアクセスを取得し、長期間保持し、他のすべてのマスターが更新を送信しないようにする場合に便利です。この属性が設定されると、レプリカは指定された期間後にマスターによって解放されるため、レプリケーションのパフォーマンスが向上されます。
この属性を
0 に設定するとタイムアウトが無効になります。その他の値は、タイムアウトの長さ(秒単位)を決定します。
重要
この属性を 1 から 30 までの値に設定しないでください。ほとんどのシナリオでは、短いタイムアウトによりレプリケーションのパフォーマンスが低下します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 60 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReleaseTimeout: 60 |
3.1.8.22. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | レプリケートされるデータベースのサフィックス(接尾辞 DN)。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
この属性は、パージ操作サイクルの間隔(秒単位)を指定します。
定期的に、サーバーは内部ハウスキーピング操作を実行し、古い更新や状態情報を changelog およびメインデータベースからパージします。「nsDS5ReplicaPurgeDelay」 を参照してください。
この属性を設定する場合は、特にクライアントおよびサプライヤーから多数の削除操作を処理する場合に、パージ操作が時間かかることに注意してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 86400 (1 日) |
| 構文 | 整数 |
| 例 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
3.1.8.24. nsDS5ReplicaType
このレプリカと他のレプリカに存在するレプリケーション関係のタイプを定義します。
| パラメーター | 説明 | ||||
|---|---|---|---|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config | ||||
| 有効な値 | 0 | 1 | 2 | 3
| ||||
| デフォルト値 | |||||
| 構文 | 整数 | ||||
| 例 | nsDS5ReplicaType: 2 |
3.1.8.25. nsds5Task
この属性は、データベースコンテンツを LDIF ファイルにダンプしたり、レプリケーショントポロジーから古いマスターを削除するなど、レプリケーションタスクを起動します。
nsds5Task 属性を以下のいずれかの値に設定できます。
- cl2ldif: changelog を
/var/lib/dirsrv/slapd-instance_name/changelogdb/ディレクトリーの LDIF ファイルにエクスポートします。 - ldif2cl:
/var/lib/dirsrv/slapd-instance_name/changelogdb/ディレクトリーに保存されている LDIF ファイルから changelog をインポートします。 - cleanruv: 操作を実行するマスターから Replica Update Vector(RUV)を削除します。
- cleanAllRUV: レプリケーショントポロジーのすべてのサーバーから RUVs を削除します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
|
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5Task: cleanallruv |
3.1.9. cn=ReplicationAgreementName,cn=replica,cn=suffixName,cn=mapping tree,cn=config 下のレプリケーション属性
レプリカ合意に関連するレプリケーション属性は、cn=ReplicationAgreementName,cn=replica,cn= suffixDN,cn=mapping tree,cn=config に保存されます。cn=ReplicationAgreementName エントリーは、ns DS5ReplicationAgreement オブジェクトクラスのインスタンスです。レプリカ合意は、業者のレプリカでのみ設定されます。
3.1.9.1. cn
この属性は命名に使用されます。この属性が設定されたら、それを変更することはできません。この属性は、レプリカ合意の設定に必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な cn |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: MasterAtoMasterB |
3.1.9.2. description
レプリカ合意のフリーフォームテキストの説明。この属性は変更できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | Description: Replication Agreement between Server A and Server B. |
3.1.9.3. nsDS5ReplicaBindDN
この属性は、レプリケーション中にコンシューマーへバインディングする際に使用する DN を設定します。この属性の値は、コンシューマーレプリカの cn=replica にあるものと同じである必要があります。証明書ベースの認証を使用する場合、証明書ベースの認証を使用する場合、使用する DN が証明書のサブジェクト DN となり、コンシューマーに適切なクライアント証明書マッピングを有効にする必要があります。これは変更することもできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な DN(クライアント証明書を使用する場合は空にできます) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.9.4. nsDS5ReplicaBindMethod
この属性は、サーバーがコンシューマーサーバーにバインドするために使用するメソッドを設定します。
nsDS5ReplicaBindMethod は以下の値をサポートしています。
- 空または SIMPLE: サーバーはパスワードベースの認証を使用します。このバインドメソッドを使用する場合は、
nsds5ReplicaBindDNパラメーターおよびnsds5ReplicaCredentialsパラメーターもユーザー名とパスワードを提供するように設定します。 - SSLCLIENTAUTH: サプライヤーとコンシューマー間の証明書ベースの認証を有効にします。そのため、コンシューマーサーバーには、サプライヤーの証明書をレプリケーションマネージャーエントリーにマップするように証明書マッピングを設定する必要があります。
- SASL/GSSAPI: SASL を使用した Kerberos 認証を有効にします。これには、サプライヤーサーバーに Kerberos キータブがあり、コンシューマーサーバーにサプライヤーの Kerberos プリンシパルをレプリケーションマネージャーエントリーにマップするように設定された SASL マッピングエントリーが必要です。詳細は、『Red 『Hat Directory Server 管理ガイド』』 の以下の項を参照してください。
- SASL/DIGEST-MD5: DIGEST-MD5 メカニズムで SASL を使用したパスワードベースの認証を有効にします。このバインドメソッドを使用する場合は、
nsds5ReplicaBindDNパラメーターおよびnsds5ReplicaCredentialsパラメーターもユーザー名とパスワードを提供するように設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGGEST
|
| デフォルト値 | SIMPLE |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindMethod: SIMPLE |
3.1.9.5. nsDS5ReplicaBusyWaitTime
この属性は、コンシューマーがビジー応答を送った後、別のアクセス試行を試みる前にサプライヤーが待機する時間を秒単位で設定します。デフォルト値は 3(3)秒です。属性が負の値に設定されている場合、Directory Server はメッセージと LDAP_UNWILLING_TO_PERFORM エラーコードをクライアントに送信 します。
nsDS5ReplicaBusyWaitTime 属性は、nsDS5ReplicaSessionPauseTime 属性と連携します。2 つの属性は、nsDS5ReplicaSessionPauseTime の間隔が常に nsDS5ReplicaBusyWaitTime に指定された間隔よりも 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマに再度アクセスできるようになる前に、コンシューマにアクセスできる可能性が高くなります。
changetype:modify を replace 操作に使用することで、いつでも
nsDS5ReplicaBusyWaitTime 属性を設定します。アップデートセッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な整数 |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaBusyWaitTime: 3 |
3.1.9.6. nsDS5ReplicaChangesSentSinceStartup
この read-only 属性は、サーバーの起動後にこのレプリカに送信される変更の数を示します。属性の実際の値はバイナリーブロブとして保存されます。Directory Server コンソールでは、この値は replica_id:changes_sent/changes_skipped 形式の比率になります。たとえば、100 の変更が送信され、レプリカ 7 に対してスキップされた変更がない場合は、属性の値がコンソール 7:100/0 と表示されます。
コマンドラインで、属性値はバイナリー形式で表示されます。以下に例を示します。
nsds5replicaChangesSentSinceStartup:: MToxLzAg
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 0 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
3.1.9.7. nsDS5ReplicaCredentials
この属性は、
nsDS5ReplicaBindDN 属性に指定されたバインド DN の認証情報を設定します。Directory Server はこのパスワードを使用してコンシューマーに接続します。
以下の例は、実際のパスワードではなく、
/etc/dirsrv/slapd-instance_name/dse.ldif ファイルに保存されている暗号化値を示しています。値を設定するには、ns DS5ReplicaCredentials: password などのクリアテキストで値を設定します。次に、Directory Server は、値を格納する際に AES 再暗号化スキーマを使用してパスワードを暗号化します。
証明書ベースの認証を使用する場合、この属性には値は設定されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパスワード |
| デフォルト値 | |
| 構文 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
| 例 | nsDS5ReplicaCredentials: {AES-TUhNR0NT...}VoglUB8GG5A... |
3.1.9.8. nsds5ReplicaEnabled
この属性は、レプリカ合意がアクティブであるかどうかを設定します。これは、その契約ごとにレプリケーションが行われるかどうかを設定します。デフォルトは on であるため、レプリケーションが有効になります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaEnabled: off |
3.1.9.9. nsds5ReplicaFlowControlPause
このパラメーターは、
nsds5ReplicaFlowControlWindow パラメーターに設定したエントリーの数と更新に達した後に一時停止する時間(ミリ秒単位)を設定します。nsds5ReplicaFlowControlWindow パラメーターおよび nsds5ReplicaFlowControlPause パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。詳細は 「nsds5ReplicaFlowControlWindow」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 64 ビットの長さ |
| デフォルト値 | 2000 |
| 構文 | 整数 |
| 例 | nsds5ReplicaFlowControlPause: 2000 |
3.1.9.10. nsds5ReplicaFlowControlWindow
この属性は、サプライヤーが送信したエントリーおよび更新の最大数を設定します。これは、コンシューマーによって確認されていません。制限に達すると、サプライヤーは
nsds5ReplicaFlowControlPause パラメーターで設定した期間のレプリカ合意を一時停止します。nsds5ReplicaFlowControlWindow パラメーターおよび nsds5ReplicaFlowControlPause パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。
サプライヤーが、コンシューマーのインポートまたは更新が可能となるより早くエントリーおよび更新を送信し、データを確認する場合は、この設定を更新します。この場合、以下のメッセージがサプライヤーのエラーログファイルに記録されます。
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 64 ビットの長さ |
| デフォルト値 | 1000 |
| 構文 | 整数 |
| 例 | nsds5ReplicaFlowControlWindow: 1000 |
3.1.9.11. nsDS5ReplicaHost
この属性は、コンシューマーレプリカが含まれるリモートサーバーのホスト名を設定します。この属性が設定されたら、それを変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なホストサーバー名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaHost: ldap2.example.com |
3.1.9.12. nsDS5ReplicaLastInitEnd
このオプションの読み取り専用属性は、コンシューマレプリカの初期化がいつ終了したかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の Z は、時間がグリニッジ標準時と相対的であることを示します。 |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
3.1.9.13. nsDS5ReplicaLastInitStart
このオプションの読み取り専用属性は、コンシューマレプリカの初期化がいつ開始したかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の Z は、時間がグリニッジ標準時と相対的であることを示します。 |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastInitStart: 20200503030405 |
3.1.9.14. nsDS5ReplicaLastInitStatus
このオプションの read-only 属性は、コンシューマーの初期化のステータスを提供します。通常、数値コードの後にステータスを説明する短い文字列が続きます。ゼロ(0)は成功を意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 (Consumer Initialization Succeeded) (その後に他のステータスメッセージが表示されます) |
| デフォルト値 | |
| 構文 | 文字列 |
| 例 | nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded |
3.1.9.15. nsDS5ReplicaLastUpdateEnd
最新のレプリケーションスケジュールの更新が終了すると、この read-only 属性が表示されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の Z は、時間がグリニッジ標準時と相対的であることを示します。 |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
3.1.9.16. nsDS5ReplicaLastUpdateStart
最新のレプリケーションスケジュールの更新が開始されると、この read-only 属性が表示されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の Z は、時間がグリニッジ標準時と相対的であることを示します。 |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
3.1.9.17. nsds5replicaLastUpdateStatus
各レプリカ合意の読み取り専用
nsds5replicaLastUpdateStatus 属性に、Directory Server は、契約の最新ステータスを表示します。ステータスの一覧は、付録D レプリカ合意の状態 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 付録D レプリカ合意の状態 を参照してください。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5replicaLastUpdateStatus: Error (0) Replica acquired successfully: Incremental update succeeded |
3.1.9.18. nsDS5ReplicaPort
この属性は、レプリカが含まれるリモートサーバーのポート番号を設定します。この属性が設定されたら、それを変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | レプリカを含むリモートサーバーのポート番号 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaPort:389 |
3.1.9.19. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。0(0)の値は、タスクが非アクティブで、値が 1 の場合はタスクがアクティブであることを意味します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReapActive: 0 |
3.1.9.20. nsDS5BeginReplicaRefresh
レプリカを初期化します。デフォルトではこの属性がありません。ただし、start の値とともにこの属性を追加すると、サーバーはレプリカを初期化し、属性値を削除します。初期化手順のステータスを監視するには、この属性をポーリングします。初期化が終了すると、属性がエントリーから削除され、他の監視属性を使用して詳細なステータスを問い合わせることができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | stop | start |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5BeginReplicaRefresh: start |
3.1.9.21. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 複製されるデータベースの接尾辞 (上記の suffixDN と同じ) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.9.22. nsDS5ReplicaSessionPauseTime
この属性は、サプライヤーの更新セッション間の待ち時間を秒単位で設定します。デフォルト値は 0 です。属性が負の値に設定されている場合、Directory Server はメッセージと LDAP_UNWILLING_TO_PERFORM エラーコードをクライアントに送信 します。
nsDS5ReplicaSessionPauseTime 属性は、nsDS5ReplicaBusyWaitTime 属性と連携します。2 つの属性は、nsDS5ReplicaSessionPauseTime の間隔が常に nsDS5ReplicaBusyWaitTime に指定された間隔よりも 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマに再度アクセスできるようになる前に、コンシューマにアクセスできる可能性が高くなります。
- いずれかの属性が指定されていても両方でない場合、
nsDS5ReplicaSessionPauseTimeはnsDS5ReplicaBusyWaitTimeよりも 1 秒後に自動的に設定されます。 - 両方の属性が指定されていても、
nsDS5ReplicaSessionPauseTimeがnsDS5ReplicaBusyWaitTime以下である場合、nsDS5ReplicaSessionPauseTimeはnsDS5ReplicaBusyWaitTimeよりも多くの 1 秒に自動的に設定されます。
値を設定する際に、
nsDS5ReplicaSessionPauseTime の間隔が nsDS5ReplicaBusyWaitTime に指定された間隔よりも 1 秒以上長くしてください。必要に応じて、サプライヤー間のコンシューマーアクセスの配分ができるように間隔を引き上げます。
changetype:modify を replace 操作に使用することで、いつでも
nsDS5ReplicaSessionPauseTime 属性を設定します。アップデートセッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
Directory Server が
nsDS5ReplicaSessionPauseTime の値を自動的にリセットする必要がある場合は、値は内部的にのみ変更されます。変更はクライアントに表示されず、設定ファイルには保存されません。外部観から、属性値は最初にセットとして表示されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な整数 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaSessionPauseTime: 0 |
3.1.9.23. nsds5ReplicaStripAttrs
一部レプリケーションでは、レプリケーション更新 (
nsDS5ReplicatedAttributeList) から削除される属性の一覧が許可されます。しかし、除外された属性への変更があっても、修正イベントが発生し、空のレプリケーション更新が生成されます。
nsds5ReplicaStripAttrs 属性は、空のレプリケーションイベントでは送信できず、更新シーケンスから削除される属性の一覧を追加します。これには、modifiersName のような運用上の利便性が含まれます。
レプリケーションイベントが 空でない 場合は、ストライピングされた属性 が 複製されます。これらの属性は、イベントが空である場合にのみ更新から削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | サポートされるディレクトリー属性のスペース区切りリスト |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
3.1.9.24. nsDS5ReplicatedAttributeList
この許可される属性は 、 コンシューマーサーバーに複製されない属性を指定します。分数レプリケーションにより、データベースの速度が遅い接続全体に複製することや、機密情報を保護する間もセキュアなコンシューマーにデータベースを複製できます。デフォルトでは、すべての属性がレプリケートされ、この属性は存在しません。一部レプリケーションの詳細は、『Red 『Hat Directory Server 管理ガイド』の「レプリケーションの管理」の章を参照してください』。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountlockout memberof |
3.1.9.25. nsDS5ReplicatedAttributeListTotal
この許可される属性は 、 更新中にコンシューマーサーバーに複製されない属性を指定します。
分数レプリケーションは、指定属性のみを複製します。これにより、ネットワークの全体的なパフォーマンスが向上します。ただし、管理者が増分更新中は分数のレプリケーションを使用する属性を制限したいものの、アップデート全体中にこれらの属性をレプリケートすること(またはその逆も含む)に時間がかかることがあります。
デフォルトでは、すべての属性がレプリケートされます。
nsDS5ReplicatedAttributeList 増分レプリケーションリストを設定します。nsDS5ReplicatedAttributeList のみが設定されている場合、この一覧は全体の更新にも適用されます。
nsDS5ReplicatedAttributeListTotal 合計更新のみから除外する属性の一覧を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicatedAttributeListTotal: (objectclass=*) $ EXCLUDE accountlockout |
3.1.9.26. nsDS5ReplicaTimeout
この許可される属性は、タイムアウトして失敗する前に、リモートレプリカからの応答を待つ秒数を秒単位で指定します。サーバーで Warning: timed out waiting messages in the error ログファイルを書き込む場合は、この属性の値を大きくします。
リモートマシンのアクセスログを調べて、操作が実際に最後に実行された時間を確認してから、
nsDS5ReplicaTimeout 属性を設定してパフォーマンスを最適化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 0: 32 ビットの整数値(2147483647)の最大値(秒単位) |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaTimeout: 600 |
3.1.9.27. nsDS5ReplicaTransportInfo
この属性は、レプリカとの間でデータを転送するために使用されるトランスポートのタイプを設定します。この属性は、設定後に変更できません。
属性は以下の値を取ります。
- TLS: 接続は StartTLS コマンドを使用した暗号化を使用します。
- ssl: 接続は TLS または SSL 暗号化を使用します。
- LDAP: 接続は暗号化されていない LDAP プロトコルを使用します。
nsDS5ReplicaTransportInfo属性が設定されていない場合、この値が使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | TLS | SSL | LDAP |
| デフォルト値 | 不明 |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaTransportInfo: TLS |
3.1.9.28. nsDS5ReplicaUpdateInProgress
この読み取り専用属性は、レプリケーションの更新が進行中であるかどうかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | true | false |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaUpdateInProgress: true |
3.1.9.29. nsDS5ReplicaUpdateSchedule
この多値属性はレプリケーションスケジュールを指定し、変更できます。この属性への変更は、すぐに有効になります。この値を変更すると、レプリケーションを一時停止して後で再開する場合に便利です。たとえば、この値が 0000-0001 0 にすると、サーバーがこのレプリカ合意の更新の送信を停止します。サーバーは、後でリプレイ用に引き続き保存します。後に値が 0000-2359 0123456 に戻される場合、レプリケーションは即時に再開し、保留中の変更をすべて送信します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 時間スケジュールは XXXX-YYYY 0123456 として表示されます。XXXX は開始時刻、YYYY は完了時間、number0123456 は日曜日の曜日です。 |
| デフォルト値 | 0000-2359 0123456 (常時) |
| 構文 | 整数 |
| 例 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
3.1.9.30. nsDS5ReplicaWaitForAsyncResults
レプリケーション環境では、
nsDS5ReplicaWaitForAsyncResults パラメーターは、コンシューマーの準備ができていない場合にサプライヤーがデータを再送するまで待機する時間をミリ秒単位で設定します。
パラメーターを 0 に設定すると、デフォルト値が使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な範囲 | 0 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaWaitForAsyncResults: 100 |
3.1.9.31. nsDS50ruv
この属性は、このレプリカ合意のコンシューマーから読み取った最後のレプリカ更新ベクトル(RUV)を保存します。これは常に存在するため、変更しないでください。
3.1.9.32. nsruvReplicaLastModified
この属性には、レプリカのエントリーが変更になり、変更ログが更新される最新の時間が含まれます。
3.1.9.33. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。
nsds5ReplicaProtocolTimeout 属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有効な範囲 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 120 |
| 構文 | 整数 |
| 例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
3.1.10. cn=syncAgreementName,cn=WindowsReplica,cn=suffixName,cn=mapping tree,cn=config 下の同期属性
同期合意に関連する同期属性は cn=syncAgreementName, cn=WindowsReplica,cn=suffixDN,cn= mapping tree,cn=configに保存されます。cn=syncAgreementName エントリーは、ns DSWindowsReplicationAgreement オブジェクトクラスのインスタンスです。同期合意の設定属性がサーバーで考慮されるようにするには、このオブジェクトクラス( トップ オブジェクトクラスに加えて)がエントリーに存在する必要があります。同期合意は、Windows Active Directory サーバーと同期するために有効になっているデータベースでのみ設定されます。
3.1.10.1. nsds7DirectoryReplicaSubtree
同期している Directory Server サブツリーの接尾辞または DN。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な接尾辞またはサブ接尾辞 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
3.1.10.2. nsds7DirsyncCookie
この文字列は Active Directory DirSync によって作成され、最後の同期時の Active Directory Server の状態を提供します。古いクッキーは、各 Directory Server の更新によって Active Directory に送信されます。新しいクッキーが Windows ディレクトリーデータとともに返されます。これは、最後の同期が取得された後に変更されたエントリーのみを意味することを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
3.1.10.3. nsds7NewWinGroupSyncEnabled
この属性は、Directory Server で新規グループを作成して、Windows 同期ピアで作成される新規グループが自動的に同期されるかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7NewWinGroupSyncEnabled: on |
3.1.10.4. nsds7NewWinUserSyncEnabled
この属性は、Directory Server で新規エントリーを作成して、Windows 同期ピアで作成される新規エントリーが自動的に同期されるかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7NewWinUserSyncEnabled: on |
3.1.10.5. nsds7WindowsDomain
この属性は、Windows 同期ピアが属する Windows ドメイン名を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なドメイン名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7WinndowsDomain: DOMAINWORLD |
3.1.10.6. nsds7WindowsReplicaSubtree
同期される Windows サブツリーの接尾辞または DN。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な接尾辞またはサブ接尾辞 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
3.1.10.7. oneWaySync
この属性は、同期を実行する方向を設定します。これは、Active Directory サーバーから Directory Server へ、または Directory Server から Active Directory サーバーのいずれかになります。
この属性がない(デフォルト)の場合、同期合意は 双方向 であるため、両方のドメインで加えられた変更が同期されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | toWindows | fromWindows | null |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | oneWaySync: fromWindows |
3.1.10.8. winSyncInterval
この属性は、Directory Server が Windows 同期ピアをポーリングして Active Directory エントリーの変更を検索する頻度を秒単位で設定します。このエントリーが設定されていない場合は、Directory Server は Windows サーバーを 5 分ごとに確認します。つまり、デフォルト値は 300 (300 秒)です。
この値は、Directory Server への Active Directory の変更をより高速に書き込めるように設定することも、ディレクトリーの検索に時間がかかりすぎる場合に備えます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300 |
| 構文 | 整数 |
| 例 | winSyncInterval: 600 |
3.1.10.9. winSyncMoveAction
同期プロセスは、ルート DN で開始され、同期のエントリーの評価を開始します。エントリーは、Active Directory の
samAccount と Directory Server の uid 属性に基づいて相関します。同期プラグインは、( samAccount/uid 関係に基づいて)同期されたエントリーが削除または移動されたために同期されたサブツリーから削除された場合、同期プラグインはそのエントリーの同期がなくなったことを認識します。
同期合意の
winSyncMoveAction 属性は、これらの移動したエントリーの処理方法を設定します。
- 何も 実行しません。そのため、同期された Directory Server エントリーが存在する場合は、スコープ 内に Active Directory エントリーに対して同期するか、またはこれを作成することができます。同期された Directory Server エントリーが存在しない場合は、何もしません(これはデフォルトの動作です)。
- unsync は、Directory Server エントリーから同期関連の属性 (
ntUserまたはntGroup) を削除しますが、Directory Server エントリーはそのまま残されます。Active Directory および Directory Server エントリーは、tandem に存在します。重要エントリーの同期を解除すると、Active Directory のエントリーが後から削除され、Directory Server のエントリーがそのまま残ってしまう危険性があります。これにより、特に Active Directory 側でエントリーを再作成するのに Directory Server エントリーを使用する場合などに、データが不整合になる可能性があります。 - delete は、Active Directory と同期していたかどうかに関わらず、Directory Server で該当するエントリーを削除します(これは 9.0 のデフォルト動作です)。重要対応する Active Directory エントリーを削除せずに Directory Server エントリーを削除することはありません。このオプションは、Directory Server 9.0 システムとの互換性でのみ利用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | none | delete | unsync |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | winSyncMoveAction: unsync |
3.1.11. cn=monitor
サーバーの監視に使用される情報は cn=monitor に保存されます。このエントリーとその子は読み取り専用であるため、クライアントは直接変更できません。サーバーはこの情報を自動的に更新します。本セクションでは、cn =monitor 属性を説明します。アクセス制御を設定するためにユーザーが変更できる唯一の属性は
aci 属性です。
cn=config の
nsslapd-counters 属性が on に設定されている場合(デフォルト設定)、32 ビットマシンや 32 ビットバージョンの Directory Server の整数を使用して、64 ビットの整数を使用して Directory Server インスタンスにより保持されるすべてのカウンター。cn=monitor エントリーでは、64 ビットの整数が opsinitiated、opscompleted、entriessent、および bytessent カウンターで使用されます。
注記
nsslapd-counters 属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットサポートを有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
connection
この属性は、開かれた接続と関連するステータスおよびパフォーマンス関連の情報および値を一覧表示します。これらは以下の形式になります。
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address以下に例を示します。
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1
- a は接続番号で、このコネクションに関連する接続テーブル内のスロット数です。これは、この接続が開いたときにアクセスログメッセージの slot=A としてログに記録され、通常は接続に関連するファイル記述子に対応します。
dTableSize属性は、接続テーブルの合計サイズを示します。 - YYYYMMDDhhmmssZ は、接続が開かれた日時(GeneralizedTime)です。この値は、グリニッジ標準時との関係で時間を示します。
- b は、この接続で受け取った操作の数です。
- c は完了した操作数です。
- サーバーがネットワークから BER を読み取るプロセス内にある場合、D は r になります。(この例のように) この値は、通常空です。
- e はバインド DN です。これは空であるか、または匿名接続の NULLDN の値を持つことがあります。
- f は接続の最大スレッド状態です。1 は 最大スレッドにあり、0 はそう ではありません。
- G は、このスレッドが最大スレッド値に達した回数です。
- H は、最大スレッド数によってブロックされた操作の数です。
- I は、ログに conn=connection_ID として報告される接続 ID です。
- ip_address は、LDAP クライアントの IP アドレスです。
注記
開始操作および完了した操作の B および C は同等であるべきです。
totalConnections
この属性は、Directory Server 接続の合計数を示します。この数には、currentConnections に加えてサーバーが最後に開始された後に開かれ、閉じられた接続が含まれます。
dTableSize
この属性は、Directory Server 接続テーブルのサイズを示します。各接続はこのテーブルのスロットに関連付けられ、通常はこの接続で使用されるファイル記述子に対応します。詳細は、「nsslapd-conntablesize」 を参照してください。
startTime
この属性は、Greenwich Mean Time で指定の Directory Server の起動時間を示しています。これは、Generalized Time syntax Z 表記で示されます。たとえば、20200202131102Z です。
バージョン
この属性は、Directory Server のベンダー、バージョン、およびビルド番号を示しています。たとえば、Red Hat/10.6.1 B2020.274.08 です。
スレッド
この属性は、Directory Server が使用するスレッドの数を示します。これは cn=config の nsslapd-threadnumber に対応している必要があります。
backendMonitorDN
この属性は、各 Directory Server データベースバックエンドの DN を示しています。データベースの監視に関する詳細は、以下のセクションを参照してください。
3.1.12. cn=replication
このエントリーには属性がありません。レガシーレプリケーションを設定する場合、これらのエントリーはプレースホルダーとして機能するこの cn=replication ノードに保存されます。
3.1.13. cn=sasl
SASL マッピング設定を含むエントリーは cn=mapping,cn=sasl,cn=config の下に保存されます。cn=sasl エントリーは、ns Container オブジェクト クラスのインスタンスです。下にある各マッピングは、nsSasl Mapping オブジェクト クラスのインスタンスです。
3.1.13.1. nsSaslMapBaseDNTemplate
この属性には、SASL アイデンティティーマッピングで使用される検索ベース DN テンプレートが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
3.1.13.2. nsSaslMapFilterTemplate
この属性には、SASL アイデンティティーマッピングで使用される検索フィルターテンプレートが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapFilterTemplate: (cn=\1) |
3.1.13.3. nsSaslMapPriority
Directory Server を使用すると、複数の簡易認証およびセキュリティーレイヤー(SASL)マッピングを設定できます。
nsslapd-sasl-mapping-fallback パラメーターで SASL フォールバックが有効になっている場合は、nsSaslMapPriority 属性を設定して、個別の SASL マッピングの優先順位を設定できます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 1 (最も高い優先度)- 100(最も低い優先度) |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsSaslMapPriority: 100 |
3.1.13.4. nsSaslMapRegexString
この属性には、SASL アイデンティティー文字列をマッピングするために使用される正規表現が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 任意の有効な正規表現 |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapRegexString: \(.*\) |
3.1.14. cn=SNMP
SNMP 設定属性は cn=SNMP,cn=config に保存されます。cn=SNMP エントリーは、ns SNMP オブジェクト クラスのインスタンスです。
3.1.14.1. nssnmpenabled
この属性は、SNMP を有効にするかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nssnmpenabled: off |
3.1.14.2. nssnmporganization
この属性は、Directory Server が属する組織を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 組織名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmporganization: Red Hat, Inc. |
3.1.14.3. nssnmplocation
この属性は、Directory Server が置かれている企業または組織内の場所を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 場所 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmplocation: B14 |
3.1.14.4. nssnmpcontact
この属性は、Directory Server のメンテナンスを行うユーザーのメールアドレスを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | メールアドレスへのお問い合わせ |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmpcontact: jerome@example.com |
3.1.14.5. nssnmpdescription
Directory Server インスタンスの一意の説明を提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 詳細 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmpdescription: Employee directory instance |
3.1.14.6. nssnmpmasterhost
nssnmpmasterhost 非推奨です。この属性は、net-snmp の導入により非推奨となりました。属性は引き続き dse.ldif で表示されますが、デフォルト値はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | マシンホスト名または localhost |
| デフォルト値 | <blank> |
| 構文 | DirectoryString |
| 例 | nssnmpmasterhost: localhost |
3.1.14.7. nssnmpmasterport
nssnmpmasterport 属性は、net-snmp の導入により非推奨になりました。属性は引き続き dse.ldif で表示されますが、デフォルト値はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | オペレーティングシステムに依存するポート番号。詳細は、オペレーティングシステムのドキュメントを参照してください。 |
| デフォルト値 | <blank> |
| 構文 | 整数 |
| 例 | nssnmpmasterport: 199 |
3.1.15. SNMP の静的属性
表3.7「SNMP の静的属性」 LDAP および SNMP クライアントに使用できる統計を一覧表示する読み取り専用属性が含まれます。特に明記しない限り、指定の属性の値は、サーバーによって受信されるリクエスト数または起動以降によって返された結果の数になります。これらの属性の一部は Directory Server には使用されず、適用されませんが、引き続き SNMP クライアントが必要です。
cn=config の
nsslapd-counters 属性が on に設定されている場合(デフォルト設定)、32 ビットマシンや 32 ビットバージョンの Directory Server の整数を使用して、64 ビットの整数を使用して Directory Server インスタンスにより保持されるすべてのカウンター。すべての SNMP 統計属性は、設定している場合は 64 ビットの整数を使用します。
注記
nsslapd-counters 属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットの整数を有効にします。64 ビット整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されるすべてのカウンターに対して無効にされます。
表3.7 SNMP の静的属性
| 属性 | 説明 |
|---|---|
| AnonymousBinds | これは、匿名バインド要求の数を示します。 |
| UnAuthBinds | これは、認証されていない(匿名)バインドの数を示します。 |
| SimpleAuthBinds | これは、LDAP の単純なバインド要求の数(DN および password)を示します。 |
| StrongAuthBinds | これは、すべての SASL メカニズムに対する LDAP SASL バインド要求の数を示します。 |
| BindSecurityErrors | これは、バインド要求で無効なパスワードが与えられた回数を示します。 |
| InOps | サーバーによって受信されるすべてのリクエストの合計数が表示されます。 |
| ReadOps | 使用されていません。この値は、常に 0 です。 |
| CompareOps | これは LDAP 比較要求の数を示します。 |
| AddEntryOps | これは LDAP 追加要求の数を示します。 |
| RemoveEntryOps | これで、LDAP 削除要求の数が表示されます。 |
| ModifyEntryOps | これで LDAP の変更要求の数が表示されます。 |
| ModifyRDNOps | これは、LDAP 変更 RDN (modrdn) 要求の数を示しています。 |
| ListOps | 使用されていません。この値は、常に 0 です。 |
| SearchOps | これにより、LDAP 検索要求の数が表示されます。 |
| OneLevelSearchOps | これにより、1 レベルの検索操作の数が表示されます。 |
| WholeSubtreeSearchOps | これにより、サブツリーレベルの検索操作の数が表示されます。 |
| Referrals | 返される LDAP リファーラルの数が表示されます。 |
| Chainings | 使用されていません。この値は、常に 0 です。 |
| SecurityErrors | これは、無効なパスワード、不明な認証方法、またはより強力な認証が必要な場合など、セキュリティー関連のエラーの数を示しています。 |
| Errors | これにより、返されるエラーの数が表示されます。 |
| Connections | 現在開いている接続の数が表示されます。 |
| ConnectionSeq | 現在開かれた接続と切断された接続の両方を含む、開かれた接続の合計数が表示されます。 |
| BytesRecv | 受信バイト数が表示されます。 |
| BytesSent | 送信されたバイト数が表示されます。 |
| EntriesReturned | これにより、検索結果として返されるエントリーの数が表示されます。 |
| ReferralsReturned | これにより、検索結果として返される参照元(競合参照)に関する情報が提供されます。 |
| MasterEntries | 使用されていません。この値は、常に 0 です。 |
| CopyEntries | 使用されていません。この値は、常に 0 です。 |
| CacheEntries[a] | サーバーにデータベースバックエンドが 1 つしかない場合は、エントリーキャッシュにキャッシュされたエントリーの数になります。サーバーに複数のデータベースバックエンドがある場合、この値は 0 になり、各サーバーのモニターエントリーで詳細を確認します。 |
| CacheHits[a] | サーバーにデータベースバックエンドが 1 つだけある場合、これはデータベースからではなく、エントリーキャッシュから返されるエントリーの数になります。サーバーに複数のデータベースバックエンドがある場合、この値は 0 になり、各サーバーのモニターエントリーで詳細を確認します。 |
| SlaveHits | 使用されていません。この値は、常に 0 です。 |
[a]
CacheEntries また、CacheHits は 10 秒ごとに更新されます(10(10)秒)。Red Hat は、このデータベースや他のデータベース情報向けのデータベースバックエンド固有のモニターエントリーを使用することを強く推奨します。
| |
3.1.16. cn=tasks
LDAP ツールを使用してディレクトリーエントリーを編集して、一部のコア Directory Server タスクを開始することができます。これらのタスクエントリーは cn=tasks に含まれます。各タスクは、以下のようなエントリーを更新して呼び出すことができます。
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
Directory Server 8.0 より前の Red Hat Directory Server デプロイメントでは、多くの Directory Server タスクは管理サーバーによって管理されました。これらのタスクは、バージョン 8.0 のコア Directory Server 設定に移動し、cn=tasks エントリー下の Directory Server によって呼び出され、管理されます。
以下のタスクが cn=tasks エントリーで管理されます。
これらのタスクの一般的な属性は、「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されています。
cn=tasks エントリー自体には属性がなく、個別のタスクエントリーの親およびコンテナーエントリーとして機能します。
重要
タスクエントリーは永続的な設定エントリーではありません。これらは、タスク操作が実行されているか、
ttl 期間が期限切れになるまで設定ファイルにのみ存在します。次に、エントリーはサーバーにより自動的に削除されます。
3.1.16.1. cn=tasks の下にあるエントリーに対するタスク呼び出しの属性
Directory Server インスタンスを管理する 5 つのタスクには、個別の操作を開始および特定する設定エントリーがあります。これらのタスクエントリーは、同じオブジェクトクラスのインスタンスであり、拡張可能なオブジェクトオブジェクトには、 Directory Server タスクの状態や動作を記述するいくつかの一般的な属性があります。タスクタイプは、インポート、エクスポート、バックアップ、復元、インデックス、スキーマの再読み込み、およびメンバーにすることができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: example task entry name |
nsTaskStatus
この属性には、累積統計や現在の出力メッセージなどのタスクのステータス変更に関する情報が含まれます。属性の内容全体が、プロセスが実行中であれば定期的に更新される可能性があります。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | case-exact 文字列 |
| 例 | nsTaskStatus: エントリーの読み込み.... |
nsTaskLog
このエントリーには、警告や情報メッセージの両方を含む、タスクのすべてのログメッセージが含まれます。エントリー値の最後に新しいメッセージが追加されるので、この属性値は、元のコンテンツを消去せずに拡張します。
成功したタスク操作は
nsTaskExitCode の nsTaskLog 属性でのみ記録されます。エラーを示すゼロ以外の応答は、エラーログにエラーとして記録される場合がありますが、エラーメッセージは nsTaskLog 属性にのみ記録されます。このため、nsTaskLog 属性の情報を使用して、実際の発生したエラーを確認します。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsTaskLog: example... |
nsTaskExitCode
この属性には、タスクの終了コードが含まれます。この属性は、タスクの完了後にのみ存在し、タスクが完了した場合にのみ値が有効となっています。結果コードは、「LDAP の結果コード」 に記載されている LDAP の終了コードですが、0 の値 のみが成功になります。その他の結果コードはエラーです。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 (成功) から 97[a] |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskExitCode: 0 |
[a]
0 以外の応答はエラーです。
| |
nsTaskCurrentItem
この属性は、タスクがサブタスクに分割されることを前提として、タスク操作が完了したサブタスクの数を表示します。タスクが 1 つしかない場合は、nsTaskCurrentItem は 0 になり、タスク が完了してから 1 となります。これにより、属性は進捗バーに似ています。nsTaskCurrentItem 属性が nsTaskTotalItems と同じ値である場合、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskCurrentItem: 148 |
nsTaskTotalItems
この属性は、タスク操作を完了する必要のあるサブタスクの合計数を示します。nsTaskCurrentItem 属性が nsTaskTotalItems と同じ値である場合、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskTotalItems: 152 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsTaskCancel: true |
ttl
この属性は、タスクエントリーが終了または中止された後に DSE に留まる時間(秒単位)を設定します。ttl 属性を設定すると、終了コードがないことなく、タスクエントリーを新しいステータス情報をポーリングできます。ttl 属性を 0 に設定すると、エントリーがキャッシュされないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0(キャッシュ不可)から最大 32 ビット整数値へ(2147483647) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | ttl: 120 |
3.1.16.2. cn=import
LDIF ファイルまたは複数の LDIF ファイルをコマンドラインでインポートするには、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=import エントリーは、インポートタスク操作のコンテナーエントリーです。cn=import エントリー自体には属性はありませんが、cn=task_ID, cn=import , cn=import, cn= tasks,cn= config などのこのエントリー内のタスクエントリーには、以下の属性を使用してインポートタスクを定義します。
cn=import のインポートタスクエントリーには、インポートする LDIF ファイル( nsFilename 属性)と、ファイルをインポートするインスタンスの名前( nsInstance 属性内)が含まれている必要があります。また、タスクを識別するために一意の
cn を含める必要があります。以下に例を示します。
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
インポート操作が実行されると、タスクエントリーには 「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されているすべての server-generated タスク属性が含まれます。
ldif2db スクリプトおよび ldif2db.pl スクリプトのオプションと同様に、インポート操作の改良に使用できる任意の属性があります。
- nsIncludeSuffixインポートする接尾辞を指定する
-sオプションに類似しています。 - nsExcludeSuffix:
x オプションと同様に、インポートから除外するサフィックスまたはサブツリーを指定します。 - nsImportChunkSize
-cオプションと同様に、インポート中に新しいパスを開始し、チャンクをマージします。 - nsImportIndexAttrs: 属性インデックスをインポートするかどうかを設定します(スクリプトオプションには単数なし)。
- nsUniqueIdGeneratorエントリーの一意の ID 番号を生成する
-gオプションと似ています。 - nsUniqueIdGeneratorNamespaceエントリーの一意の名前ベースの ID を生成する
-Gオプションと似ています。
nsFilename
nsFilename 属性には、Directory Server インスタンスにインポートする LDIF ファイルのパスおよびファイル名が含まれます。複数のファイルをインポートするには、この属性の複数のインスタンスを追加します。以下に例を示します。
nsFilename: file1.ldif nsFilename: file2.ldif
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | case-exact string, multi-valued |
| 例 | nsFilename: /home/jsmith/example.ldif |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | Directory Server インスタンスデータベースの名前(任意の文字列) |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsInstance: userRoot |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsImportChunkSize
この属性は、インポート操作中に持つチャンクの数を定義します。これにより、新しいパスを開始してチャンクをマージする時に、インポート中にサーバーの検出が上書きされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsImportChunkSize: 10 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsImportIndexAttrs: true |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | なし(一意の ID なし)| 空白(時間ベースの ID)| 決定論的 名前空間 (名前ベースの ID) |
| デフォルト値 | empty |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUniqueIdGenerator: |
nsUniqueIdGeneratorNamespace
この属性は、名前ベースの ID を生成する方法を定義します。属性は ID の生成に使用する名前空間を設定します。このオプションは、エントリーに同じ ID を持つ必要がある場合に、同じ LDIF ファイルを 2 つの Directory Server インスタンスにインポートするのに便利です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUniqueIdGeneratorNamespace: example |
3.1.16.3. cn=export
データベースまたは複数のデータベースは、コマンドラインでエクスポートするには、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=export,cn=tasks,cn=config エントリーは、エクスポートタスク操作のコンテナーです。これらのタスクはこのコンテナーに格納され、cn =task_name,cn=export,cn=tasks,cn=config という名前で 保存されます。
export 操作の実行中に、タスクエントリーには 「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されているすべての server-generated タスク属性が含まれます。
エクスポートタスクを手動で作成するか、db 2ldif.pl コマンドを使用します。以下の表は、db 2ldif.pl コマンドラインオプションとそれに対応する属性を表示します。
| db2ldif.pl option | タスクの属性 | 詳細 |
|---|---|---|
-a | nsFilename | エクスポートした LDIF ファイルへのパスを設定します。 |
-C | nsUseId2Entry | 有効にされている場合は、メインのデータベースファイルのみを使用してください。 |
-M | nsUseOneFile | 有効にすると、出力を複数のファイルに保存します。 |
-n | nsInstance | データベース名を設定します。 |
-N | nsPrintKey | シーケンス番号の出力を非表示にできます。 |
-r | nsExportReplica | 設定された場合、エクスポートにはレプリカを初期化する属性が含まれます。 |
-s | nsIncludeSuffix | エクスポートされたファイルに追加する接尾辞を設定します。 |
-u | nsDumpUniqId | 一意の ID をエクスポートできません。 |
-U | nsNoWrap | 設定されている場合、長い行はラップされません。 |
-x | nsExcludeSuffix | エクスポートされたファイルで除外する接尾辞を設定します。 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | case-exact string, multi-valued |
| 例 | nsFilename: /home/jsmith/example.ldif |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | Directory Server インスタンスの名前(任意の文字列) |
| デフォルト値 | |
| 構文 | case-exact string, multi-valued |
| 例 | nsInstance: userRoot |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUseOneFile: true |
nsExportReplica
この属性は、エクスポートされたデータベースがレプリケーションで使用されるかどうかを確認します。レプリカの場合、レプリカを自動的に初期化するために、適切な属性と設定がエントリーに含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsExportReplica: true |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsPrintKey: false |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUseId2Entry: true |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsNoWrap: false |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsDumpUniqId: true |
3.1.16.4. cn=backup
コマンドラインからデータベースをバックアップするには、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=backup エントリーは、バックアップタスク操作のコンテナーエントリーです。cn=backup エントリー自体には属性はありませんが、cn =task_ID, cn=backup, cn= tasks,cn= config などのこのエントリー内のタスクエントリーには、以下の属性を使用してバックアップタスクを定義します。
cn=backup の下にあるバックアップタスクエントリーには、アーカイブコピーをコピーするディレクトリーの場所と、バックアップしているデータベースのタイプ( nsArchiveDir 属性内)が含まれている必要があります。nsDatabaseTypeまた、タスクを識別するために一意の
cn を含める必要があります。以下に例を示します。
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
バックアップ操作が実行されると、タスクエントリーには 「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されているすべての server-generated タスク属性が含まれます。
この属性が cn=backup タスクに含まれていない場合、タスクは LDAP オブジェクトクラス違反エラー(65)で失敗します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有効な値 | ローカルディレクトリーの場所 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsArchiveDir: /export/backups |
nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有効な値 | ldbm データベース |
| デフォルト値 | ldbm データベース |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsDatabaseType: ldbm database |
3.1.16.5. cn=restore
コマンドラインからデータベースを復元するには、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=restore エントリーは、タスク操作のコンテナーエントリーで、データベースを復元します。cn=restore エントリー自体には属性はありませんが、cn=task_ID, cn=restore , cn=restore, cn= tasks,cn= config などのこのエントリー内のタスクエントリーには、次の属性を使用して復元タスクを定義します。
cn=restore の下の復元タスクエントリーには、アーカイブコピーを取得するディレクトリーの場所と、復元するデータベースのタイプ( nsArchiveDir 属性内)が含まれている必要があります。nsDatabaseTypeまた、タスクを識別するために一意の
cn を含める必要があります。以下に例を示します。
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
復元操作が実行されると、タスクエントリーには 「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されているすべての server-generated タスク属性が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有効な値 | ローカルディレクトリーの場所 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsArchiveDir: /export/backups |
nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有効な値 | ldbm データベース |
| デフォルト値 | ldbm データベース |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsDatabaseType: ldbm database |
3.1.16.6. cn=index
ディレクトリー属性は、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成して、コマンドラインを使ってインデックス化することができます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=index エントリーは、インデックスタスク操作のコンテナーエントリーです。cn=index エントリー自体には属性はありませんが、cn=task_ID, cn=index , cn=index, cn= tasks,cn= config などのこのエントリー内のタスクエントリーには、以下の属性を使用してバックアップタスクを定義します。
cn=index の下にあるインデックスタスクエントリーは、nsIndexAttribute 属性で定義された属性と、作成するインデックスのタイプを特定し、標準のインデックスを作成できます。
または、インデックスタスクを使用して、
nsIndexVLVAttribute 属性を使用して属性の仮想リストビュー(VLV)インデックスを生成できます。これは vlvindex スクリプトの実行と同じです。
以下に例を示します。
dn: cn=example presence index,cn=index,cn=tasks,cn=config objectclass: top objectclass: extensibleObject cn: example presence index nsInstance: userRoot nsIndexAttribute: cn:pres dn: cn=example VLV index,cn=index,cn=tasks,cn=config objectclass: extensibleObject cn: example VLV index nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"
index 操作を実行するため、タスクエントリーには 「cn=tasks の下にあるエントリーに対するタスク呼び出しの属性」 に記載されているすべての server-generated タスク属性が含まれます。
nsIndexAttribute
この属性は、インデックスに対する属性の名前と、適用するインデックスのタイプを提供します。属性値の形式は、属性名とインデックス型のコンマ区切りリストで、二重引用符で囲まれています。以下に例を示します。
nsIndexAttribute: attribute:index1,index2
| パラメーター | 説明 | ||
|---|---|---|---|
| エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config | ||
| 有効な値 |
| ||
| デフォルト値 | |||
| 構文 | 大文字と小文字を区別しない文字列、多値 | ||
| 例 |
|
nsIndexVLVAttribute
この属性は、VLV インデックスのターゲットエントリーの名前を指定します。仮想リストビューは、( 『管理ガイド』で説明)参照インデックスエントリーに基づいており、仮想リストのベース DN、スコープ、およびフィルターを定義します。
nsIndexVLVAttribute の値は、参照するインデックスエントリーで、VLV 作成タスクは参照しているインデックスエントリーパラメーターに従って実行されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有効な値 | VLV エントリー定義のサブエントリーの RDN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsIndexVLVAttribute: "Browse index sort identifier" |
3.1.16.7. cn=schema リロードタスク
ディレクトリースキーマは、ディレクトリーインスタンスを起動または再起動すると読み込まれます。カスタムスキーマ要素の追加など、ディレクトリースキーマへの変更は自動的に読み込まれず、サーバーが再起動するか、スキーマリロードタスクを開始するまでインスタンスでは利用できません。
カスタムスキーマの変更は、Directory Server インスタンスを再起動せずに動的にリロードできます。これは、cn =tasks エントリーの下に新しいタスクエントリーを作成して、スキーマリロードタスクを開始 することで行います。
カスタムスキーマファイルはどのディレクトリーに置くことができます。schemadir 属性で指定されていない場合、サーバーはデフォルトの
/etc/dirsrv/slapd-instance/schema ディレクトリーからスキーマを再読み込みします。
重要
別のディレクトリーからロードされるスキーマはスキーマディレクトリーにコピーする必要があります。そうでないと、サーバーがあるとスキーマが失われます。
schemd reload タスクは、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成して、コマンドラインで開始します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。以下に例を示します。
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
cn=schema reload task エントリーは、スキーマのリロード操作のコンテナーエントリーです。cn=schema reload task エントリーには属性はありませんが、cn= task_ID , cn=schema reload task,cn=schema reload task ,cn= config などのこのエントリー内のタスクエントリーには、スキーマのリロード属性を使用して個別のリロードタスクを定義します。
cn
cn 属性は、開始する新しいタスク操作を識別します。cn 属性の値は、新しいタスクを定義する限りすべて使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: example reload task ID |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有効な値 | 任意のローカルディレクトリーパス |
| デフォルト値 | /etc/dirsrv/schema |
| 構文 | DirectoryString |
| 例 | schemadir: /export/schema/ |
3.1.16.8. cn=memberof task
memberOf 属性は、メンバーのユーザーエントリーにグループメンバーシップを表示するために Directory Server によって自動的に作成され、管理されます。グループエントリーの member 属性が変更されると、メンバーに関連付けられたディレクトリーエントリーはすべて、対応する memberOf 属性で自動的に更新されます。
cn=memberof タスク (および関連する fixup-memberof.pl スクリプト)は、ディレクトリー内のメンバーのユーザーエントリーの初期
memberOf 属性を作成するために使用されます。memberOf 属性が作成されると、MemberOf プラグインは memberOf 属性を自動的に管理します。
memberOf 更新タスクは、( basedn 属性に設定)更新タスクを実行するためのエントリーの DN またはサブツリーを指定する必要があります。必要に応じて、タスクには、更新するメンバーのユーザーエントリーを識別するフィルターを含めることができます( filter 属性で設定されます)。以下に例を示します。
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=memberof タスク エントリーは、
memberOf 更新操作のコンテナーエントリーです。cn=memberof タスク エントリー自体には属性はありませんが、cn= task_ID, cn=memberof task , cn=tasks,cn= config など、このエントリーの下にあるタスクエントリーは、その属性を使用して個別の更新タスクを定義します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN |
| 例 | baseDN: ou=people,dc=example,dc=com |
filter
この属性は、memberOf 属性を更新するユーザーエントリーの選択に使用するオプションの LDAP フィルターを提供します。グループの各メンバーには、ディレクトリーに対応するユーザーエントリーがあります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | (objectclass=*) |
| 構文 | DirectoryString |
| 例 | filter: (l=Sunnyvale) |
3.1.16.9. cn=fixup リンク属性
Directory Server には Linked Attributes プラグインがあり、その 1 つの属性で、別のエントリーで別の属性を自動的に更新できるようにします。これら両方のエントリーには、値に対する DN があります。最初のエントリーの DN 値は、更新するプラグインのエントリーを参照します。2 番目のエントリーの属性には、最初のエントリーに対する DN バックポイントが含まれます。
これは、MemberOf プラグインがグループエントリーの
member 属性を使用してユーザーエントリーの memberOf 属性を設定する方法と似ています。リンクされた属性では、任意の属性を "link" として定義でき、この属性が影響を受けるエントリーでは別の属性が "managed" となります。
cn=fixup リンク属性(および関連する fixup-linkedattrs.pl スクリプト)は、リンク プラグインインスタンスが作成されると、データベースにすでに存在しているリンク属性に基づいて、管理属性を作成します。リンクされた属性と管理属性が設定されたら、Linked Attributes プラグインが、ユーザーがリンク属性を変更するため、管理属性を動的に維持します。
リンクされた属性更新タスクは、更新するリンクされた属性プラグインインスタンスを指定し、オプションの linkdn 属性で設定できます。この属性がタスクエントリーで設定されていない場合、設定されたリンク属性がすべて更新されます。
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=fixup リンクされた属性 エントリーは、リンクされた属性更新操作のコンテナーエントリーです。cn=fixup リンクされた属性 エントリー自体には、個別のタスクに関連する属性はありませんが、cn =task_ID、cn=fixup リンクされた属性、cn = config など、このエントリーの下にあるタスクエントリーには、その属性を使用して個別の更新タスクを定義します。
linkdn
リンクされた管理属性ペアはそれぞれ、リンクされた属性プラグインインスタンスに設定されます。linkdn 属性は、プラグインインスタンス DN を指定して、エントリーの更新に使用される特定のリンクされた属性プラグインを設定します。以下に例を示します。
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
プラグインインスタンスを指定しないと、リンクされた属性がすべて更新されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
| 有効な値 | DN(リンクされた属性プラグインの場合) |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
3.1.16.10. cn=syntax validate
構文検証は、属性の変更をすべてチェックし、新しい値にその属性タイプに必要な構文があることを確認します。属性構文は RFC 4514 の定義に対して検証されます。
構文の検証はデフォルトで有効になっています。しかし、構文の検証は、属性の追加や修正時など、属性値 への変更 のみを監査します。既存の 属性値の構文は検証されません。
既存の構文の検証は、構文検証タスクで実行できます。このタスクは、指定されたサブツリー( basedn 属性)の下にあるエントリーをチェックし、オプションで、指定されたフィルターに一致するエントリーのみ( filter 属性内)します。
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
構文の検証が無効になっている場合や、サーバーが移行された場合、属性構文の要件に準拠しないサーバーのデータがあることがあります。構文検証タスクは、構文の検証を有効にする前に、既存の属性値を評価するために実行できます。
cn=syntax validate エントリーは、構文検証操作のコンテナーエントリーです。cn=syntax validate エントリー自体には、どのタスクに固有の属性がありません。cn=task_ID, cn=syntax validate, cn= tasks,cn= configなどのこのエントリーの下にあるタスクエントリーには、その属性を使用して個別の更新タスクを定義します。
basedn: ou=people,dc=example,dc=com
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | basedn: dc=example,dc=com |
filter
構文検証タスクを実行する basedn の下にある特定のエントリーを識別するために使用できる任意の LDAP フィルターが含まれます。この属性がタスクに設定されていない場合、basedn 内のすべてのエントリーが監査されます。以下に例を示します。
filter: "(objectclass=person)"
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | "(objectclass=*)" |
| 構文 | DirectoryString |
| 例 | filter: "(objectclass=*)" |
3.1.16.11. cn=USN tombstone cleanup task
USN プラグインが有効になっている場合は、そのエントリーでディレクトリー書き込み操作が行われるたびに、シーケンス番号 (USN)がすべてのエントリーに対して設定されます。これは、
entryUSN の操作属性に反映されます。この USN は、エントリーが削除されても設定され、廃棄(tombstone)エントリーが Directory Server インスタンスによって維持されます。
cn=USN tombstone クリーンアップタスク (および関連する usn-tombstone-cleanup.pl スクリプト)は、バックエンドデータベース( backend 属性)またはサフィックス( 接尾辞 属性)に従って、インスタンスが維持する廃棄エントリーを削除します。オプションとして、( max_usn_to_delete 属性で)削除する最大の USN を指定して、廃棄エントリーのサブセットのみを削除できます。これにより、最新の tombstone エントリーを保持します。
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
重要
このタスクは、レプリケーション が有効でない場合に は起動できます。レプリケーションは独自のトゥームストアを維持します。また、これらの廃棄(tombstone)エントリーは USN プラグインで削除できません。それらはレプリケーションプロセスで管理する必要があります。そのため、Directory Server では、ユーザーが複製されたデータベースのクリーンアップタスクを実行するのを防ぎます。
レプリケートされたバックエンドのこのタスクエントリーを作成しようとすると、コマンドラインで以下のエラーが返されます。
ldap_add: DSA is unwilling to perform
エラーログには、複製されるため、サフィックスに tombstone を削除できないという明示的なメッセージがあります。
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=USN tombstone cleanup task エントリーは、すべての USN tombstone 削除操作のコンテナーエントリーです。cn=USN tombstone cleanup タスク エントリー自体には、個別のタスクに関連する属性はありませんが、cn= task_ID , cn=USN tombstone cleanup task, cn= tasks,cn= config などのこのエントリーの下にあるタスクエントリーは、その属性を使用して個別の更新タスクを定義します。
backend
これにより、Directory Server インスタンスバックエンド(またはデータベース)がクリーンアップ操作を実行するようになります。バックエンドを指定しない場合は、サフィックスを指定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | データベース名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | backend: userroot |
max_usn_to_delete
これにより、廃棄エントリーの削除時に削除する最も USN 値が提供されます。該当する番号までのトゥームストーンエントリーはすべて削除されます。USN 値が高い tombstone エントリー(つまり、より最近のエントリー)は削除されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | 任意の整数 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | max_usn_to_delete: 500 |
接尾辞
これにより、Directory Server のサフィックスまたはサブツリーがクリーンアップ操作を実行するようになります。サフィックスが指定されていない場合には、バックエンドを指定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | サブツリー DN |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | suffix: dc=example,dc=com |
3.1.16.12. cn=cleanallruv
レプリケーショントポロジーに関する情報、つまり、相互に、および同じレプリケーショングループ内の他のレプリカに更新を提供するすべてのサプライヤーは、レプリカ更新ベクトル (RUV) と呼ばれるメタデータのセットに含まれています。RUV には、ID や URL などのサプライヤーに関する情報、ローカルサーバーの変更に関する最新の変更状態番号、および最初の変更の CSN が含まれます。サプライヤーとコンシューマーはいずれも RUV 情報を保存し、これを使用してレプリケーションの更新を制御します。
あるサプライヤーがレプリケーショントポロジーから削除されると、別のレプリカの RUV に残っている場合があります。他のレプリカが再起動すると、レプリケーションプラグインが (削除された) サプライヤーを認識しないエラーをログに記録します。
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not
contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000]
which is present in RUV [database RUV]
......
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica
dc=example,dc=com there were some differences between the changelog max RUV and the database RUV. If
there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task. If they
are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.
サプライヤーがトポロジーから永久に削除されると、そのサプライヤーに関する残存するメタデータは、他のすべてのサプライヤーの RUV エントリーから消去されるはずです。
cn=cleanallruv タスクは、レプリケーショントポロジー内のすべてのサーバーに伝播され、指定された不足または廃止されたサプライヤーに関連付けられた RUV エントリーを削除します。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=cleanallruv エントリーは、すべてのクリーンな RUV 操作のコンテナーエントリーです。cn=cleanallruv エントリー自体には、個別のタスクに関連する属性はありませんが、cn =task_ID,cn=cleanallruv, cn= tasks,cn= config など、このエントリーの下にあるタスクエントリーには、その属性を使用して個別の更新タスクを定義します。
clean RUV タスクごとに、削除するレプリカ RUV エントリーのレプリカ ID 番号、複製されたデータベースのベース DN、および RUV データを削除する前に、不足しているサプライヤーからの残りの更新を適用すべきかどうかを指定する必要があります。
dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-force-cleaning: no cn: clean 55
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-base-dn: dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | 0 から 65534 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | replica-id: 55 |
replica-force-cleaning
これにより、削除されるレプリカからの未処理の更新を適用するか(no)か、クリーンな RUV 操作が強制的に調整され、残りの更新を失うかどうかが設定されます(yes)。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | no | yes |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-force-cleaning: no |
3.1.16.13. cn=abort cleanallruv
「cn=cleanallruv」 タスクは、すべての更新を最初に処理していても、レプリケーショントポロジー内のすべてのサーバー間で伝播するのに数分かかる場合があります。パフォーマンスまたはその他のメンテナンスに関する考慮点では、クリーンな RUV タスクを終了して、レプリケーショントポロジー内のすべてのサーバーでも伝播されます。
終了タスクは、cn =abort cleanallruv エントリーの isntance です。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=abort cleanallruv エントリーは、すべてのクリーンな RUV 操作のコンテナーエントリーです。cn=abort cleanallruv エントリー自体には、個別のタスクに関連する属性はありませんが、cn =task_ID, cn=abort cleanallruv, cn= tasks,cn= config などのこのエントリーの下にあるタスクエントリーは、その属性を使用して個別の更新タスクを定義します。
各クリーン RUV タスクは、現在削除されている へのレプリカ RUV エントリーのレプリカ ID 番号、レプリケートされたデータベースのベース DN、およびターミネイトタスクがトポロジー内のすべてのサーバーで完了したときに完了するか、ローカルのみで完了するかを指定する必要があります。
dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-certify-all: yes cn: abort 55
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-base-dn: dc=example,dc=com |
replica-id
これにより、レプリケーショントポロジー から削除されるプロセスの レプリカのレプリカ ID(レプリカ設定エントリーの nsDS5ReplicaId 属性で定義されます)が提供されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | 0 から 65534 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | replica-id: 55 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | no | yes |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-certify-all: yes |
3.1.16.14. cn=automember rebuild membership
Auto Member プラグインは、新規エントリーがディレクトリーに追加される場合にのみ実行されます。プラグインは、automembership ルールに一致するように編集される既存のエントリーまたはエントリーを無視します。
cn=automember rebuild membership タスクは、既存の エントリーに対して現在の automembership ルールを実行し、グループメンバーシップを更新または再ビルドします。設定されたすべての automembership ルールは、特定されたエントリーに対して実行されます(すべてのルールが指定のエントリーに適用されるとは限りません)。
basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。その後、指定された DN のエントリーは automembership ルールに従って更新されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | basedn: dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | filter: (uid=*) |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | sub | base | one |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | scope: sub |
3.1.16.15. cn=automember エクスポートの更新
このタスクが、ディレクトリー内の 既存のエントリー に対して実行し、ルールに基づいてユーザーの追加結果をエクスポートします。これは、既存のルールをテストして、実際のデプロイメントの実行方法を確認するのに役立ちます。
automembership 関連の変更 は実行されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。automembership ルールのテスト実行は、特定されたエントリーに対して実行されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | basedn: dc=example,dc=com |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | filter: (uid=*) |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | sub | base | one |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | scope: sub |
ldif
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif: /tmp/automember-results.ldif |
3.1.16.16. cn=automember マップの更新
このタスクは、LDIF ファイル(新しいエントリーまたはテストエントリー)内のエントリーに対して実行し、提案された変更を LDIF ファイルに書き込みます。これは、(実際の) 新規または既存のユーザーエントリーに適用する前に、新しいルールをテストする場合に非常に役立ちます。
automembership 関連の変更 は実行されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
ldif_in
この属性は、エントリーのインポート元となる LDIF ファイルの完全パスおよびファイル名を設定し、設定された automembership ルールを使用してテストします。これらのエントリーはディレクトリーにインポートされず、変更は実行されません。エントリーはロードされ、test-run によってのみ使用されます。
このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif_in: /tmp/automember-test-users.ldif |
ldif_out
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif_out: /tmp/automember-results.ldif |
3.1.16.17. cn=des2aes
このタスクは、古い
DES 暗号を使用してエンコードされる、指定されたユーザーデータベースのすべての再入力可能なパスワードエントリーを検索し、それらをより安全な AES 暗号に変換します。
以前のバージョンでは、このタスクは、Directory Server の起動中にすべてのサフィックスで自動的に実行されていました。ただし、DES パスワードの検索は通常インデックス化されないため、大量のエントリーを含むサフィックスに対して非常に長い時間がかかる場合があり、Directory Server がタイムアウトし、起動に失敗しました。このため、検索は
cn=config でのみ実行され、他のデータベースでパスワードを変換するには、このタスクを手動で実行する必要があります。
接尾辞
この多値属性は、DES パスワードを確認し、それらを AES に変換するための接尾辞を指定します。この属性を省略すると、バックエンド/サフィックスをすべてチェックします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | suffix: dc=example,dc=com |
3.1.17. cn=uniqueid ジェネレーター
一意の ID ジェネレーター設定属性は、cn =uniqueid ジェネレーター(cn=config )の下に保存されます。cn=uniqueid ジェネレーター エントリーは、拡張可能なObject オブジェクトクラスのインスタンスです。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=uniqueid generator,cn=config |
| 有効な値 | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAAAA |
3.1.18. Root DSE 設定パラメーター
3.1.18.1. nsslapd-return-default-opattr
Directory Server では、root DSE 検索で運用属性は表示されません。たとえば、
-s base -b "" パラメーターを指定して ldapsearch ユーティリティーを実行している場合は、ユーザー属性のみが表示されます。Root DSE 検索出力で運用上の属性を想定しているクライアントでは、この動作を有効にして、後方互換性を提供することができます。
- Directory Server インスタンスを停止します。
/etc/dirsrv/slapd-instance_name/dse.ldifファイルを編集し、dn:セクションに以下のパラメーターを追加します。nsslapd-return-default-opattr: supportedsaslmechanisms nsslapd-return-default-opattr: nsBackendSuffix nsslapd-return-default-opattr: subschemasubentry nsslapd-return-default-opattr: supportedldapversion nsslapd-return-default-opattr: supportedcontrol nsslapd-return-default-opattr: ref nsslapd-return-default-opattr: vendorname nsslapd-return-default-opattr: vendorVersion nsslapd-return-default-opattr: supportedextension nsslapd-return-default-opattr: namingcontexts
- Directory Server インスタンスを開始します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | Root DSE |
| 有効な値 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorname | vendorVersion |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-return-default-opattr: supportedsaslmechanisms |
