Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

第3章 Core Server Configuration Reference

本章では、すべてのコア(サーバー関連)属性のアルファベット参照を提供します。「Directory Server 設定の概要」 Red Hat Directory Server 設定ファイルに関する適切な概要が含まれています。

3.1. Core Server Configuration Attributes Reference

このセクションでは、コアサーバー機能に関連する設定属性に関する参照情報を説明します。サーバー設定の変更に関する詳細は、「サーバー設定のアクセスおよび変更」 を参照してください。プラグインとして実装されるサーバー機能の一覧は、「サーバープラグインの機能リファレンス」 を参照してください。カスタムサーバー機能の実装は、Directory Server のサポートにお問い合わせください。
以下の図のように、dse.ldif ファイルに保存されている設定情報は、一般的な設定エントリー cn=config 配下にある情報ツリーとして編成されます。

図3.1 構成データを示すディレクトリー情報ツリー

構成データを示すディレクトリー情報ツリー
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins ノードは、4章プラグイン実装サーバー機能に関するリファレンス で説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、有効な範囲の値、その使用例などの詳細が含まれます。
注記
本章の一部のエントリーおよび属性は、今後の製品のリリースで変更される可能性があります。

3.1.1. cn=config

一般的な設定エントリーは cn=config エントリーに保存されます。cn=config エントリーは、nsslapdConfig オブジェクトクラスのインスタンスで、extensibleObject オブジェクトクラス を継承します。

3.1.1.1. nsslapd-accesslog(Access Log)

この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。以下の情報は、デフォルトではログファイルに記録されます。
  • データベースにアクセスしたクライアントマシンの IP アドレス(IPv4 または IPv6)。
  • 実行される操作(検索、追加、変更など)。
  • アクセスの結果(例: 返されるエントリーの数またはエラーコード)。
アクセスログをオフにする方法は、『Red 『Hat Directory Server 管理ガイド』の「サーバーおよびデータベースアクティビティーの監視」の章を参照してください』。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.1 dse.ldif ファイル属性

属性 ログの有効化または無効化
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
on
空の文字列
Disabled
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
on
filename
有効
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
off
空の文字列
Disabled
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
off
filename
Disabled
パラメーター 説明
エントリー DN cn=config
有効な値 有効なファイル名。
デフォルト値 /var/log/dirsrv/slapd-instance/access
構文 DirectoryString
nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

3.1.1.2. nsslapd-accesslog-level(アクセスログレベル)

この属性は、アクセスログにログ記録する内容を制御します。
パラメーター 説明
エントリー DN cn=config
有効な値
  • 0 - アクセスログなし
  • 4 - 内部アクセス操作用のロギング
  • 256: 接続、操作、および結果の記録
  • 512 - エントリーおよび参照情報にアクセスするためのロギング
  • これらの値は一緒に追加して、必要なロギングタイプを提供します。たとえば、516 (4 + 512)を使用して内部アクセス操作、エントリーアクセス、参照ロギングを取得します。
デフォルト値 256
構文 整数
nsslapd-accesslog-level: 256

3.1.1.3. nsslapd-accesslog-list(アクセスログファイルの一覧)

この読み取り専用属性は、設定できません。アクセスログローテーションで使用されるアクセスログファイルのリストを提供します。
パラメーター 説明
エントリー DN cn=config
有効な値
デフォルト値 なし
構文 DirectoryString
nsslapd-accesslog-list: accesslog2,accesslog3

3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)

off に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファー処理により、パフォーマンスに影響を及ぼさずに負荷が大きい場合でも、サーバーがアクセスログを使用できます。ただし、デバッグ時に、ログエントリーがファイルにフラッシュされるのを待つ代わりに、操作とその結果を正しいようにするためにバッファーを無効にしておくことが役に立つ場合があります。ログバッファーを無効にすると、負荷の高いサーバーでパフォーマンスに深刻な影響を与える可能性があります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-accesslog-logbuffering: off

3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)

この属性は、ログファイルが削除される前に到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは nsslapd-accesslog-logexpirationtimeunit 属性によって提供されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
デフォルト値 -1
構文 整数
nsslapd-accesslog-logexpirationtime: 2

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time Unit)

この属性は、nsslapd-accesslog-logexpirationtime 属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day
デフォルト値 month
構文 DirectoryString
nsslapd-accesslog-logexpirationtimeunit: week

3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)

accesslog ロギングを無効にして有効にしますが、各データベースアクセスを記録するために使用されるログのパスとパラメーターを指定する nsslapd-accesslog 属性と組み合わせます。
アクセスロギングを有効にするには、この属性を on に切り替え、nsslapd-accesslog 設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.2 dse.ldif Attributes

属性 ログの有効化または無効化
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
on
空の文字列
Disabled
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
on
filename
有効
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
off
空の文字列
Disabled
nsslapd-accesslog-logging-enabled
nsslapd-accesslog
off
filename
Disabled
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-accesslog-logging-enabled: off

3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)

この属性は、アクセスログが消費できるメガバイト単位の最大ディスク容量を指定します。この値を超えると、古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、アクセスログに許可されるディスク容量が無制限になります。
デフォルト値 -1
構文 整数
nsslapd-accesslog-logmaxdiskspace: 100000

3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)

この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性に指定した値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 -1
構文 整数
nsslapd-accesslog-logminfreediskspace: -1

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)

この属性は、アクセスログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour 属性値と nsslapd-accesslog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日深夜にローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-accesslog-logrotationsynchour 属性および nsslapd-accesslog-logrotationsyncmin 属性の値を 0 に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-accesslog-logrotationsync-enabled: on

3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)

この属性は、アクセスログのローテーション日の時間を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsyncmin 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 23
デフォルト値 0
構文 整数
nsslapd-accesslog-logrotationsynchour: 23

3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)

この属性は、アクセスログのローテーション日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsynchour 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 59
デフォルト値 0
構文 整数
nsslapd-accesslog-logrotationsyncmin: 30

3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)

この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-accesslog-logrotationtimeunit 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由は、ログが無限に長くなるため、ログローテーションを指定することは推奨されませんが、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-accesslog-logrotationtime 属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir(Access Log Maximum Number of Log Files)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。
デフォルト値 1
構文 整数
nsslapd-accesslog-logrotationtime: 100

3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time Unit)

この属性は、nsslapd-accesslog-logrotationtime 属性の単位を設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day | hour | minute
デフォルト値 day
構文 DirectoryString
nsslapd-accesslog-logrotationtimeunit: week

3.1.1.15. nsslapd-accesslog-maxlogsize(アクセスログ最大ログサイズ)

この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。
デフォルト値 100
構文 整数
nsslapd-accesslog-maxlogsize: 100

3.1.1.16. nsslapd-accesslog-maxlogsperdir(Access Log Maximum Number of Log Files)

この属性は、アクセスログが保存されるディレクトリーに含まれるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数が、この属性に保存されている値を超えると、ログファイルの古いバージョンが削除されます。パフォーマンス上の理由から、サーバーがログをローテーションせず、ログが無期限に増大するため、Red Hat はこの値を 1 に設定し ないことを推奨します
この属性の値が 1 よりも大きい場合は、nsslapd-accesslog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-accesslog-logrotationtime(Access Log Rotation Time)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 10
構文 整数
nsslapd-accesslog-maxlogsperdir: 10

3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)

この属性は、ログファイルを作成するアクセスモードまたはファイルパーミッションを設定します。有効な値は、000 から 777 の組み合わせ(番号または絶対 UNIX ファイルのパーミッション)です。値は、3 桁の数字である必要があります。数字は 0 から 7 によって異なります。
  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 000 から 777 まで
デフォルト値 600
構文 整数
nsslapd-accesslog-mode: 600

3.1.1.18. nsslapd-allow-anonymous-access

バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます(off)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、nsslapd-anonlimitsdn の説明に従って 「nsslapd-anonlimitsdn」 属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off | rootdse
デフォルト値 on
構文 DirectoryString
nsslapd-allow-anonymous-access: on

3.1.1.19. nsslapd-allow-hashed-passwords

このパラメーターは、ハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、Directory Server では、事前にハッシュ化されたパスワードは、Directory Manager 以外であれば誰でも設定できません。Password Administrators グループに特権を追加すると、この特権を他のユーザーに委譲できます。ただし、レプリケーションパートナーがハッシュ化されたパスワードの確認をすでに制御する場合など、この機能を Directory Server で無効にする必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-allow-hashed-passwords: off

3.1.1.20. nsslapd-allow-unauthenticated-binds

認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
警告
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-allow-unauthenticated-binds: off

3.1.1.21. nsslapd-allowed-sasl-mechanisms

デフォルトでは、root DSE は SASL ライブラリーがサポートするすべてのメカニズムを一覧表示します。ただし、一部の環境では、特定の環境のみが優先されます。nsslapd-allowed-sasl-mechanisms 属性を使用すると、一部の定義された SASL メカニズムのみを有効にできます。
メカニズム名には、大文字、数字、およびアンダースコアが含まれている必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
注記
EXTERNAL メカニズムは SASL プラグインによって実際に使用されません。サーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms 属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 有効な SASL メカニズム
デフォルト値 なし(すべての SASL メカニズムが許可)
構文 DirectoryString
nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP

3.1.1.22. nsslapd-anonlimitsdn

認証されたバインドでリソース制限を設定できます。リソース制限では、1 つの操作で検索できるエントリー数(nsslapd-sizeLimit)、時間制限(nsslapd-timelimit)、検索期間(nsslapd-idletimeout)、および検索可能なエントリーの総数(nsslapd-lookthroughlimit)を設定することができます。このリソース制限は、ディレクトリーリソースにサービス拒否攻撃を阻止し、全体的なパフォーマンスを改善します。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。つまり、通常はリソース制限が匿名操作には適用されません。
匿名バインドのリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。その後、このエントリーを示す nsslapd-anonlimitsdn 設定属性を追加して、リソース制限を匿名バインドに適用できます。
パラメーター 説明
エントリー DN cn=config
有効な値 任意の DN
デフォルト値 なし
構文 DirectoryString
nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

3.1.1.23. nsslapd-attribute-name-exceptions

この属性は、スキーマ定義属性の「_」など、古いサーバーとの後方互換性を維持するために、属性名の標準以外の文字を使用できます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-attribute-name-exceptions: on

3.1.1.24. nsslapd-auditlog(Audit Log)

この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なファイル名
デフォルト値 /var/log/dirsrv/slapd-instance/audit
構文 DirectoryString
nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.3 nsslapd-auditlog の可能性

dse.ldif の属性 ログの有効化または無効化
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
on
空の文字列
Disabled
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
on
filename
有効
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
off
空の文字列
Disabled
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
off
filename
Disabled

3.1.1.25. nsslapd-auditlog-list

監査ログファイルの一覧を提供します。
パラメーター 説明
エントリー DN cn=config
有効な値
デフォルト値 なし
構文 DirectoryString
nsslapd-auditlog-list: auditlog2,auditlog3

3.1.1.26. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)

この属性は、ログファイルの削除前にログファイルを許可する最大期間を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-auditlog-logexpirationtimeunit 属性で指定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
デフォルト値 -1
構文 整数
nsslapd-auditlog-logexpirationtime: 1

3.1.1.27. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration Time Unit)

この属性は、nsslapd-auditlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day
デフォルト値
構文 DirectoryString
nsslapd-auditlog-logexpirationtimeunit: day

3.1.1.28. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)

監査ロギングをオンおよびオフにします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-auditlog-logging-enabled: off
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.4 nsslapd-auditlog および nsslapd-auditlog-logging-enabled の組み合わせが可能

属性 ログの有効化または無効化
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
on
空の文字列
Disabled
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
on
filename
有効
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
off
空の文字列
Disabled
nsslapd-auditlog-logging-enabled
nsslapd-auditlog
off
filename
Disabled

3.1.1.29. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)

この属性は、監査ログが消費できるメガバイト単位の最大ディスク容量を設定します。この値を超えると、古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理した 3 つの異なるログファイル(アクセスログ、監査ログ、およびエラーログ)があることで、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を監査ログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログに許可されるディスク容量が無制限になります。
デフォルト値 -1
構文 整数
nsslapd-auditlog-logmaxdiskspace: 10000

3.1.1.30. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 (無制限) | 1 から 32 ビットの整数値 (2147483647)
デフォルト値 -1
構文 整数
nsslapd-auditlog-logminfreediskspace: -1

3.1.1.31. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)

この属性は、監査ログのローテーションを特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ログのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour 属性値と nsslapd-auditlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour 属性および nsslapd-auditlog-logrotationsyncmin 属性の値を 0 に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-auditlog-logrotationsync-enabled: on

3.1.1.32. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)

この属性は、監査ログのローテーションの日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsyncmin 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 23
デフォルト値 なし( nsslapd-auditlog-logrotationsync-enabled がオフであるため)
構文 整数
nsslapd-auditlog-logrotationsynchour: 23

3.1.1.33. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)

この属性は、監査ログのローテーション日の分に設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsynchour 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 59
デフォルト値 なし( nsslapd-auditlog-logrotationsync-enabled がオフであるため)
構文 整数
nsslapd-auditlog-logrotationsyncmin: 30

3.1.1.34. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)

この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditlog-maxlogsperdir(監査ログの最大数)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログファイルローテーションの間隔が無制限になります。
デフォルト値 1
構文 整数
nsslapd-auditlog-logrotationtime: 100

3.1.1.35. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation Time Unit)

この属性は、nsslapd-auditlog-logrotationtime 属性の単位を設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day | hour | minute
デフォルト値
構文 DirectoryString
nsslapd-auditlog-logrotationtimeunit: day

3.1.1.36. nsslapd-auditlog-maxlogsize(監査ログ最大ログサイズ)

この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir から 1 の場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を監査ログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。
デフォルト値 100
構文 整数
nsslapd-auditlog-maxlogsize: 50

3.1.1.37. nsslapd-auditlog-maxlogsperdir(監査ログの最大数)

この属性は、監査ログが保存されるディレクトリーに含まれる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-auditlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 1
構文 整数
nsslapd-auditlog-maxlogsperdir: 10

3.1.1.38. nsslapd-auditlog-mode(Audit Log File Permission)

この属性は、作成される監査ログファイルを作成するアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 000 から 777 まで
デフォルト値 600
構文 整数
nsslapd-auditlog-mode: 600

3.1.1.39. nsslapd-auditfaillog(Audit Fail Log)

この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled が有効で nsslapd-auditfaillog が設定されていない場合、監査の失敗イベントは nsslapd-auditlog で指定されたファイルに記録されます。
nsslapd-auditfaillog パラメーターを nsslapd-auditlog と同じパスに設定すると、いずれも同じファイルに記録されます。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なファイル名
デフォルト値 /var/log/dirsrv/slapd-instance/audit
構文 DirectoryString
nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled 属性を onに設定する必要があります。

3.1.1.40. nsslapd-auditfaillog-list

監査失敗ログファイルの一覧を提供します。
パラメーター 説明
エントリー DN cn=config
有効な値
デフォルト値 なし
構文 DirectoryString
nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

3.1.1.41. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)

この属性は、削除前のログファイルの最大期間を設定します。これはユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit 属性の day、week、month など、単位を指定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
デフォルト値 -1
構文 整数
nsslapd-auditfaillog-logexpirationtime: 1

3.1.1.42. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration Time Unit)

この属性は、nsslapd-auditfaillog-logexpirationtime 属性の単位を設定します。サーバーでユニットが不明な場合は、ログは期限切れになることはありません。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day
デフォルト値
構文 DirectoryString
nsslapd-auditfaillog-logexpirationtimeunit: day

3.1.1.43. nsslapd-auditfaillog-logging-enabled(Audit Fail Log Enable Logging)

失敗した LDAP の変更のオンおよびオフを切り替えます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-auditfaillog-logging-enabled: off

3.1.1.44. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)

この属性は、監査失敗ログが消費できるメガバイト単位の最大ディスク容量を設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査ログに許可されるディスク容量が無制限になります。
デフォルト値 -1
構文 整数
nsslapd-auditfaillog-logmaxdiskspace: 10000

3.1.1.45. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定の値よりも小さい場合、十分なディスク領域が解放されるまで、最も古い監査失敗ログが削除されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 (無制限) | 1 から 32 ビットの整数値 (2147483647)
デフォルト値 -1
構文 整数
nsslapd-auditfaillog-logminfreediskspace: -1

3.1.1.46. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)

この属性は、監査失敗のログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗のログローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour 属性値と nsslapd-auditfaillog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour 属性および nsslapd-auditfaillog-logrotationsyncmin 属性の値を 0 に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-auditfaillog-logrotationsync-enabled: on

3.1.1.47. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)

この属性は、監査失敗ログがローテーションされる時刻の時間を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsyncmin 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 23
デフォルト値 なし( nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)
構文 整数
nsslapd-auditfaillog-logrotationsynchour: 23

3.1.1.48. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)

この属性は、監査ログのローテーション期間を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsynchour 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 59
デフォルト値 なし( nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)
構文 整数
nsslapd-auditfaillog-logrotationsyncmin: 30

3.1.1.49. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)

この属性は、監査に失敗するログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-auditfaillog-logrotationtimeunit 属性で指定します。nsslapd-auditfaillog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-auditfaillog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditfaillog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。
デフォルト値 1
構文 整数
nsslapd-auditfaillog-logrotationtime: 100

3.1.1.50. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time Unit)

この属性は、nsslapd-auditfaillog-logrotationtime 属性の単位を設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day | hour | minute
デフォルト値
構文 DirectoryString
nsslapd-auditfaillog-logrotationtimeunit: day

3.1.1.51. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)

この属性は、監査ログの最大サイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir パラメーターが 1 に設定されている場合、サーバーはこの属性を無視します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。
デフォルト値 100
構文 整数
nsslapd-auditfaillog-maxlogsize: 50

3.1.1.52. nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)

この属性は、監査ログが保存されるディレクトリーに追加できる監査失敗ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-auditfaillog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditfaillog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 1
構文 整数
nsslapd-auditfaillog-maxlogsperdir: 10

3.1.1.53. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)

この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 000 から 777 まで
デフォルト値 600
構文 整数
nsslapd-auditfaillog-mode: 600

3.1.1.54. nsslapd-certdir(証明書および鍵データベースディレクトリー)

これは、Directory Server インスタンスの証明書およびキーデータベースを保持するディレクトリーの完全パスです。このディレクトリーには、このインスタンスの証明書およびキーデータベースのみが含まれ、他のインスタンスは含まないようにする必要があります。このディレクトリーは所有し、サーバーユーザー ID の読み取り/書き込みアクセスを許可する必要があります。他のユーザーは、このディレクトリーへの読み取り右アクセスを持つべきではありません。デフォルトの場所は、設定ファイルディレクトリー /etc/dirsrv/slapd-インスタンス です。
この値の変更は、サーバーが再起動するまで反映されません。
パラメーター 説明
エントリー DN cn=config
有効な値 サーバーユーザー ID が所有するディレクトリーへの絶対パス。サーバーユーザー ID への読み取りおよび書き込みアクセスのみを許可します。
デフォルト値 /etc/dirsrv/slapd-instance
構文 DirectoryString
/etc/dirsrv/slapd-phonebook

3.1.1.55. nsslapd-certmap-basedn(証明書マップ検索ベース)

この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づくディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn 属性は、ルート以外のエントリーに基づいて検索を強制する場合があります。この属性の有効な値は、証明書マッピングに使用するサフィックスまたはサブツリーの DN です。
パラメーター 説明
エントリー DN cn=config
有効な値 任意の有効な DN
デフォルト値
構文 DirectoryString
nsslapd-certmap-basedn: ou=People,dc=example,dc=com

3.1.1.56. nsslapd-config

この読み取り専用属性は設定 DN です。
パラメーター 説明
エントリー DN cn=config
有効な値 有効な設定 DN
デフォルト値
構文 DirectoryString
nsslapd-config: cn=config

3.1.1.57. nsslapd-cn-uses-dn-syntax-in-dns

このパラメーターを使用すると、CN 値内で DN を有効にすることができます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn 属性を使用して DN 値を保存することがあります。たとえば、dn : cn="dc=A,dc=com", cn=mapping tree,cn=config の場合、DN 構文に従って cn を正規化する必要があります。
この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns パラメーターを有効にします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-cn-uses-dn-syntax-in-dns: off

3.1.1.58. nsslapd-connection-buffer

この属性は、接続バッファリング動作を設定します。以下の値を使用できます。
  • 0: バッファーを無効にします。1 度に 1 つのプロトコルデータユニット(PDU)のみが読み取られます。
  • 1: 512 バイトの通常の固定サイズ LDAP_SOCKET_IO_BUFFER_SIZE
  • 2: 適応可能なバッファーサイズ
値が 2 の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加および変更操作の場合など、またはレプリケーション中の単一接続で多くの非同期リクエストが受信された場合などです。
パラメーター 説明
エントリー DN cn=config
有効な値 0 | 1 | 2
デフォルト値 1
構文 整数
nsslapd-connection-buffer: 1

3.1.1.59. nsslapd-connection-nocanon

このオプションを使用すると、SASL NOCANON フラグを有効または無効にできます。無効にすると、Directory Server が、発信接続の DNS 逆引きエントリーを検索するのを回避します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-connection-nocanon: on

3.1.1.60. nsslapd-conntablesize

この属性は、接続テーブルサイズを設定します。これはサーバーによってサポートされる接続の合計数を決定します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 operating-system dependent
デフォルト値 デフォルト値は、で説明されている nsslapd-maxdescriptors 属性を使用して設定できるシステムの最大記述子です。 「nsslapd-maxdescriptors(Maximum File Descriptors)」
構文 整数
nsslapd-conntablesize: 4093
Directory Server が接続スロットがなくなるため、接続を拒否する場合は、この属性の値を大きくします。これが発生すると、Directory Server のエラーログファイルは、Not listening for new connections -- too many fds open メッセージを記録します。
変更を反映するには、サーバーを再起動する必要があります。
オープンファイルの数とプロセスごとのオープンファイル数の上限を増やす必要がある場合があります。Directory Server を起動するシェルでオープンファイルの数( ulimit -n)の ulimit を増やす必要がある場合があります。詳細は、「nsslapd-maxdescriptors(Maximum File Descriptors)」 を参照してください。

3.1.1.61. nsslapd-counters

nsslapd-counters 属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡することで、パフォーマンスに影響する可能性があります。カウンターの 64 ビット整数をオフにすると、パフォーマンスに関する最小限の改善ができますが、長期的な統計追跡には悪影響を及ぼす可能性があります。
このパラメーターはデフォルトで有効になります。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif ファイルを編集し、サーバーを再起動します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-counters: on

3.1.1.62. nsslapd-csnlogging

この属性は、利用可能な場合にシーケンス番号(CSN)を変更するかどうかを設定します。アクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングはオンになっています。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-csnlogging: on

3.1.1.63. nsslapd-defaultnamingcontext

この属性は、デフォルトが検索ベースとして使用する設定済みのネーミングコンテキストすべてにネーミングコンテキストを提供します。この値は、defaultNamingContext 属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
パラメーター 説明
エントリー DN cn=config
有効な値 ルート接尾辞 DN
デフォルト値 デフォルトのユーザー接尾辞
構文 DN
nsslapd-defaultnamingcontext: dc=example,dc=com

3.1.1.64. nsslapd-disk-monitoring

この属性により、10 秒ごとに実行されるスレッドでディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行しているマウントが可能になります。利用可能なディスク容量が設定されたしきい値を下回ると、サーバーはロギングレベルの縮小、アクセスまたは監査ログの無効化、ローテーションされたログの削除を開始します。十分な空き領域がない場合、サーバーは(wanring および grace period)を正常にシャットダウンします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-disk-monitoring: on

3.1.1.65. nsslapd-disk-monitoring-grace-period

nsslapd-disk-monitoring-threshold で設定したディスク領域の制限の半分に達した後にサーバーをシャットダウンする前に待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぎます。
パラメーター 説明
エントリー DN cn=config
有効な値 整数(値を分単位)
デフォルト値 60
構文 整数
nsslapd-disk-monitoring-grace-period: 45

3.1.1.66. nsslapd-disk-monitoring-logging-critical

ログディレクトリーがディスク領域の上限 nsslapd-disk-monitoring-threshold で設定される半点をパスした場合にサーバーをシャットダウンするかどうかを設定します。
有効にすると、ロギングは無効にされ 、サーバーによるディスク使用量を減らす手段としてローテーションされたログ は削除されません。サーバーは、単純にシャットダウンプロセスを実行します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-disk-monitoring-logging-critical: on

3.1.1.67. nsslapd-disk-monitoring-threshold

サーバーに十分なディスク領域があるかどうかを評価するのに使用するしきい値をバイト単位で設定します。スペースがこのしきい値の半分になると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト)の場合、利用可能なディスク領域が 1MB に達すると、サーバーをシャットダウンします。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、データベースディレクトリーで使用されるディスク容量で評価されます。nsslapd-disk-monitoring-logging-critical 属性が有効な場合は、ログディレクトリーが評価に含まれます。
パラメーター 説明
エントリー DN cn=config
有効な値
32 ビットシステムの 0 から 32 ビットの整数値 (2147483647)
64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807)
デフォルト値 2000000 (2MB)
構文 DirectoryString
nsslapd-disk-monitoring-threshold: 2000000

3.1.1.68. nsslapd-dn-validate-strict

nsslapd-syntaxcheck 属性を使用すると、サーバーが新規または変更された属性値がその属性の必要な構文と一致することを検証できます。
ただし、DN の構文ルールは、厳密に増大します。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheckRFC 1779 または RFC 2253 を使用して DN を検証します
nsslapd-dn-validate-strict 属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性が off (デフォルト)に設定されている場合、サーバーは構文違反をチェックする前に値を正規化します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-dn-validate-strict: off

3.1.1.69. nsslapd-ds4-compatible-schema

cn=schema のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-ds4-compatible-schema: off

3.1.1.70. nsslapd-enable-nunc-stans

このパラメーターは、nunc -stans フレームワークを有効または無効にします。このフレームワークを有効にすると、Directory Server はパフォーマンスが低下することなく、多数の接続を処理できるようになります。
警告
このパラメーターを有効にすると、安定性の問題が発生する可能性があります。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-enable-nunc-stans: off

3.1.1.71. nsslapd-enable-turbo-mode

このパラメーターを使用すると、turbo モード機能を有効または無効にすることができます。
接続コードには Turbo モード機能が含まれており、ワーカースレッドがポーリングメカニズムに渡すことなく、継続的に接続を読み取ることができます。これにより、非常にアクティブな接続のパフォーマンスが向上します。エントリーの追加などの単一の操作に長い時間がかかる場合、turbo モードを無効にすると、操作を並行して適用することで速度が向上します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-enable-turbo-mode: off

3.1.1.72. nsslapd-enquote-sup-oc(Enable Superior Object Class Enquoting)

この属性は非推奨で、今後の Directory Server バージョンで削除される予定です。
この属性は、cn=schema エントリーに含まれる objectclass 属性の引用が、インターネットドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠し、この値は引用符で囲まれていないことを示しています。非常に古いクライアントのみでは、この値を on に設定する必要があります。したがって、この値は off のままにします。
この属性をオンまたはオフにすると Directory Server コンソールには影響を及ぼしません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-enquote-sup-oc: off

3.1.1.73. nsslapd-entryusn-global

nsslapd-entryusn-global パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に固有の更新シーケンス番号(USN)を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on に設定します。
詳細は 「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-entryusn-global: off

3.1.1.74. nsslapd-entryusn-import-initval

エントリー更新シーケンス番号(USN)は、エントリーがあるサーバーからエクスポートされ、レプリケーション用のデータベースの初期化時など、別のサーバーにインポートされる際には保持されません。デフォルトでは、インポートされたエントリーの USN エントリーはゼロに設定されます。
nsslapd-entryusn-import-initval を使用して、エントリー USN に別の初期値を設定できます。これにより、インポートされたすべてのエントリーに使用される開始 USN が設定されます。
nsslapd-entryusn-import-initval には 2 つの値を指定することができます。
  • 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
  • 次に、インポートされたすべてのエントリーは、インポート操作前にサーバー上の最も大きなエントリー USN 値を使用し、1 つずつ増分します。
パラメーター 説明
エントリー DN cn=config
有効な値 整数 | 次
デフォルト値
構文 DirectoryString
nsslapd-entryusn-import-initval: next

3.1.1.75. nsslapd-errorlog(エラーログ)

この属性は、Directory Server が生成したエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述しますが、多くの場合、以下のような情報条件が含まれます。
  • サーバーの起動とシャットダウン時間。
  • サーバーが使用するポート番号。
このログには、ログレベル属性の現行設定に応じたさまざまな情報が含まれます。詳細は、「nsslapd-errorlog-level(エラーログレベル)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なファイル名
デフォルト値 /var/log/dirsrv/slapd-instance/errors
構文 DirectoryString
nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled 設定属性を on に切り替える必要があります。この表では、これらの 2 つの設定属性に使用できる 4 つの値の組み合わせと、エラーロギングの無効化または有効化に関する結果が記載されています。

表3.5 nsslapd-errorlog 設定属性の可能な組み合わせ

dse.ldif の属性 ログの有効化または無効化
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
on
空の文字列
Disabled
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
on
filename
有効
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
off
空の文字列
Disabled
nsslapd-errorlog-logging-enabled
nsslapd-errorlog
off
filename
Disabled

3.1.1.76. nsslapd-errorlog-level(エラーログレベル)

この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり 、3 の値を指定するとレベル 12 の両方が含まれます。
nsslapd-errorlog-level のデフォルト値は 16384 です。
パラメーター 説明
エントリー DN cn=config
有効な値
  • 1 - 関数呼び出しを追跡します。サーバーに入る際にメッセージをログに記録し、関数を終了します。
  • 2 - パケット処理のデバッグ。
  • 4 - 負荷の高いトレース出力のデバッグ。
  • 8: 接続管理。
  • 16 - 送信/受信パケットを出力します。
  • 32 - 検索フィルター処理。
  • 64 - 設定ファイル処理。
  • 128: アクセス制御リスト処理。
  • 1024: シェルデータベースとの通信のログ通信
  • 2048 - デバッグを解析するログエントリー。
  • 4096 - ハウスキーピングスレッドのデバッグ。
  • 8192: レプリケーションのデバッグ
  • 16384 - 重大なエラーに使用されるデフォルトのロギングレベルと、常にエラーログに書き込まれるその他のメッセージ(例: サーバー起動メッセージ)です。このレベルのメッセージは、ログレベルの設定に関係なく、常にエラーログに含まれます。
  • 32768: データベースキャッシュのデバッグ
  • 65536 - サーバープラグインのデバッグ。サーバープラグインが slapi-log-error を呼び出す際に、ログファイルにエントリーを書き込みます。
  • 262144 - アクセス制御サマリー情報。レベル 128 よりも詳細度が低くなります。この値は、アクセス制御処理の概要が必要な場合に推奨されます。非常に詳細な処理メッセージには 128 を使用します。
  • 524288 - LMDB データベースのデバッグ。
デフォルト値 16384
構文 整数
nsslapd-errorlog-level: 8192

3.1.1.77. nsslapd-errorlog-list

この読み取り専用属性は、エラーログファイルのリストを提供します。
パラメーター 説明
エントリー DN cn=config
有効な値
デフォルト値 なし
構文 DirectoryString
nsslapd-errorlog-list: errorlog2,errorlog3

3.1.1.78. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)

この属性は、ログファイルが削除される前に到達できる最大期間を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-errorlog-logexpirationtimeunit 属性で指定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲
-1 から最大 32 ビットの整数値 (2147483647)
-1 または 0 の値は、ログが期限切れになることはありません。
デフォルト値 -1
構文 整数
nsslapd-errorlog-logexpirationtime: 1

3.1.1.79. nsslapd-errorlog-logexpirationtimeunit(Error Log Expiration Time Unit)

この属性は、nsslapd-errorlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day
デフォルト値 month
構文 DirectoryString
nsslapd-errorlog-logexpirationtimeunit: week

3.1.1.80. nsslapd-errorlog-logging-enabled(エラーロギングの有効化)

エラーのロギングをオンにします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-errorlog-logging-enabled: on

3.1.1.81. nsslapd-errorlog-logmaxdiskspace(エラーログ最大ディスク容量)

この属性は、エラーログが消費できるメガバイト単位の最大ディスク容量を設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、エラーログが許可されるディスク容量が無制限になります。
デフォルト値 -1
構文 整数
nsslapd-errorlog-logmaxdiskspace: 10000

3.1.1.82. nsslapd-errorlog-logminfreediskspace(最小空き領域)

この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性に指定した値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで、最も古いエラーログが削除されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 (無制限) | 1 から 32 ビットの整数値 (2147483647)
デフォルト値 -1
構文 整数
nsslapd-errorlog-logminfreediskspace: -1

3.1.1.83. nsslapd-errorlog-logrotationsync-enabled(エラーログローテーション同期の有効化)

この属性は、エラーログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーログのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour 属性値と nsslapd-errorlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour 属性および nsslapd-errorlog-logrotationsyncmin 属性の値を 0 に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-errorlog-logrotationsync-enabled: on

3.1.1.84. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)

この属性は、エラーログのローテーションの日数を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsyncmin 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 23
デフォルト値 0
構文 整数
nsslapd-errorlog-logrotationsynchour: 23

3.1.1.85. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)

この属性は、エラーログのローテーションの日数を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsynchour 属性と共に使用する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 59
デフォルト値 0
構文 整数
nsslapd-errorlog-logrotationsyncmin: 30

3.1.1.86. nsslapd-errorlog-logrotationtime(Error Log Rotation Time)

この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位(day、week、month など)は nsslapd-errorlog-logrotationtimeunit (エラーログローテーション時間単位)属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-errorlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)へ。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。
デフォルト値 1
構文 整数
nsslapd-errorlog-logrotationtime: 100

3.1.1.87. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time Unit)

この属性は、nsslapd-errorlog-logrotationtime の単位(エラーログローテーション時間)を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター 説明
エントリー DN cn=config
有効な値 month | week | day | hour | minute
デフォルト値
構文 DirectoryString
nsslapd-errorlog-logrotationtimeunit: day

3.1.1.88. nsslapd-errorlog-maxlogsize(Maximum Error Log Size)

この属性は、エラーログの最大サイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーは新しいログファイルへのログ情報の書き込みを開始します。nsslapd-errorlog-maxlogsperdir1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 | 1 から 32 ビット整数値(2147483647)までの値。値が -1 の場合は、ログファイルのサイズが無制限になります。
デフォルト値 100
構文 整数
nsslapd-errorlog-maxlogsize: 100

3.1.1.89. nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)

この属性は、エラーログが保存されるディレクトリーに含まれるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数が、この属性に保存されている値を超えると、ログファイルの古いバージョンが削除されます。デフォルトは 1 ログです。このデフォルトが許可されると、サーバーはログをローテーションせず、無限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-errorlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-errorlog-logrotationtime(Error Log Rotation Time)」 を参照してください。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 1
構文 整数
nsslapd-errorlog-maxlogsperdir: 10

3.1.1.90. nsslapd-errorlog-mode(Error Log File Permission)

この属性は、作成するエラーログファイルのあるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号が ミラーリングされる か、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0 から 7 によって異なります。
  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行
3 桁の数字では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 000 から 777 まで
デフォルト値 600
構文 整数
nsslapd-errorlog-mode: 600

3.1.1.91. nsslapd-force-sasl-external

TLS 接続を確立するときに、クライアントは最初に証明書を送信し、次に SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求の送信時に SASL/EXTERNAL を使用しないため、Directory Server は単純な認証要求または匿名要求としてバインドを処理し、TLS 接続は失敗します。
nsslapd-force-sasl-external 属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 文字列
nsslapd-force-sasl-external: on

3.1.1.92. nsslapd-groupevalnestlevel

この属性は非推奨となり、過去の目的でのみここに記載されています。
アクセス制御プラグインは nsslapd-groupevalnestlevel 属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5 としてハードコーディングされます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 5
デフォルト値 5
構文 整数
nsslapd-groupevalnestlevel: 5

3.1.1.93. nsslapd-idletimeout(Default Idle Timeout)

この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの時間を秒単位で設定します。値が 0 の場合は、サーバーはアイドル状態の接続を閉じなくなります。この設定は、すべての接続およびすべてのユーザーに適用されます。アイドルタイムアウトは、接続テーブルがウォーク時に適用されます。poll() がゼロを返さない場合です。そのため、単一の接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる nsIdleTimeout 操作属性を使用して、この属性に割り当てられた値を上書きします。詳細は、『Red 『Hat Directory Server 管理ガイド』の「バインド DN に基づくリソース制限の設定」セクションを参照してください』。
注記
非常に大きなデータベースの場合は、数百万ものエントリーの場合、この属性には、オンライン初期化プロセスが完了できるか、サーバーへの接続がタイムアウトするとレプリケーションが失敗するという十分な値が必要です。または、nsIdleTimeout 属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 0
構文 整数
nsslapd-idletimeout: 0

3.1.1.94. nsslapd-ignore-virtual-attrs

このパラメーターを使用すると、検索エントリーで仮想属性の検索を無効にできます。
仮想属性を必要としない場合は、検索結果で仮想属性の検索を無効にして、検索の速度を高めることができます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-ignore-virtual-attrs: off

3.1.1.95. nsslapd-instancedir(Instance Directory)

この属性は非推奨です。インスタンス固有のパス用に、nsslapd-certdirnsslapd-lockdir などの個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。

3.1.1.96. nsslapd-ioblocktimeout(IO Block Time Out)

この属性は、停止した LDAP クライアントへの接続が切断される時間(ミリ秒単位)を設定します。読み取り操作または書き込み操作で I/O の進捗がなかった場合、LDAP クライアントは停止していると見なされます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - ティック単位の最大 32 ビット整数値(2147483647)
デフォルト値 1800000
構文 整数
nsslapd-ioblocktimeout: 1800000

3.1.1.97. nsslapd-lastmod(Track Modification Time)

この属性は、Directory Server が新規作成または更新されたエントリーの creatorsNamecreateTimestampmodifiersNamemodifyTimestamp 操作属性を維持するかどうかを設定します。
重要
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID 属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-lastmod: on

3.1.1.98. nsslapd-ldapiautobind(Enable Autobind)

nsslapd-ldapiautobind は、サーバーが LDAPI を使用して Directory Server への自動バインドを許可するかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、その認証情報に基づいてユーザーを Directory Server に自動的に認証します。Directory Server 接続は UNIX ソケットを介して行われます。
autobind を有効にし、autobind を設定するにはマッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn は、システムの root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries は、nsslapd-ldapiuidnumbertypensslapd-ldapigidnumbertype、および nsslapd-ldapientrysearchbase 属性で定義されるパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilisten が有効になり nsslapd-ldapifilepath 属性が LDAPI ソケットに設定されます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-ldapiautobind: off

3.1.1.99. nsslapd-ldapientrysearchbase(Search Base for LDAPI Authentication entries)

自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号(nsslapd-ldapiuidnumbertype)および GUID 番号(nsslapd-ldapigidnumbertype)に使用する属性に Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase は、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
パラメーター 説明
エントリー DN cn=config
有効な値 DN
デフォルト値 サーバーインスタンスの作成時に作成された接尾辞(例: dc=example,dc=com
構文 DN
nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om

3.1.1.100. nsslapd-ldapifilepath(LDAPI ソケットのファイルの場所)

LDAPI は、TCP ではなく UNIX ソケットを介してユーザーを LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットで通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは nsslapd-ldapifilepath 属性に設定されます。
パラメーター 説明
エントリー DN cn=config
有効な値 任意のディレクトリーパス
デフォルト値 /var/run/dirsrv/slapd-example.socket
構文 大文字と小文字を区別する文字列
nsslapd-ldapifilepath: /var/run/slapd-example.socket

3.1.1.101. nsslapd-ldapigidnumbertype(システム GUID 番号の色マッピング)

自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapigidnumbertype 属性は、システム GUID をユーザーエントリーにマップするために Directory Server 属性を参照します。
LDAPI が有効になっている場合(nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合(nsslapd-ldapiautobind)、通常のユーザーに対して自動バインドマッピングが有効になっている場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapimaptoentries
パラメーター 説明
エントリー DN cn=config
有効な値 Directory Server の属性
デフォルト値 gidNumber
構文 DirectoryString
nsslapd-ldapigidnumbertype: gidNumber

3.1.1.102. nsslapd-ldapilisten(Enable LDAPI)

nsslapd-ldapilisten は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilistenon に設定して LDAPI を有効にするほか、nsslapd-ldapifilepath 属性に LDAPI 用に設定された UNIX ソケットセットも必要です。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-ldapilisten: off

3.1.1.103. nsslapd-ldapimaprootdn (root ユーザー用の自動バインドマッピング)

自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー(UID が 0 のユーザー)は、nsslapd-ldapimaprootdn 属性で指定された Directory Server エントリーにマッピングされます。
パラメーター 説明
エントリー DN cn=config
有効な値 任意の DN
デフォルト値 cn=Directory Manager
構文 DN
nsslapd-ldapimaprootdn: cn=Directory Manager

3.1.1.104. nsslapd-ldapimaptoentries(Enable Autobind Mapping for Regular Users)

自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries 属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効でない場合は、root ユーザーだけを使用して Directory Server への認証が可能で、その他のユーザーのみが匿名に接続します。
マッピング自体は nsslapd-ldapiuidnumbertype 属性および nsslapd-ldapigidnumbertype 属性を使用して設定します。この属性は、Directory Server 属性をユーザーの UID および GUID の番号にマッピングします。
LDAPI が有効(nsslapd-ldapilisten および nsslapd-ldapifilepath)で自動バインドが有効な場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapiautobind
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-ldapimaptoentries: on

3.1.1.105. nsslapd-ldapiuidnumbertype

自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapiuidnumbertype 属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を参照します。
LDAPI が有効になっている場合(nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合(nsslapd-ldapiautobind)、通常のユーザーに対して自動バインドマッピングが有効になっている場合にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。nsslapd-ldapimaptoentries
パラメーター 説明
エントリー DN cn=config
有効な値 Directory Server の属性
デフォルト値 uidNumber
構文 DirectoryString
nsslapd-ldapiuidnumbertype: uidNumber

3.1.1.106. nsslapd-ldifdir

Directory Server は、db 2ldif または db2ldif.pl を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式(LDIF)形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 Directory Server ユーザーが書き込み可能なディレクトリー
デフォルト値 /var/lib/dirsrv/slapd-instance_name/ldif/
構文 DirectoryString
nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/

3.1.1.107. nsslapd-listen-backlog-size

この属性は、ソケット接続バックログの最大数を設定します。listen サービスは、着信接続の受信に使用できるソケット数を設定します。backlog 設定は、接続を拒否する前にソケットのキューが増加する期間(sockfd)の最大長を設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 最大 64 ビットの整数値 (9223372036854775807)
デフォルト値 128
構文 整数
nsslapd-listen-backlog-size: 128

3.1.1.108. nsslapd-listenhost(IP アドレス を参照)

この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。複数の IP アドレスが単一の hos tname に関連付けられる可能性があり、これらの IP アドレスは IPv4 と IPv6 の両方を混在させることができます。このパラメーターを使用して、Directory Server インスタンスを 1 つの IP インターフェースに制限することができます。
ホスト名が nsslapd-listenhost の値として指定されると、Directory Server はホスト名に関連付けられたすべてのインターフェースの要求に応答します。単一の IP インターフェース(IPv4 または IPv6)が nsslapd-listenhost の値として指定される場合、Directory Server はその特定のインターフェースに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値
ローカルホスト名、IPv4 または IPv6 アドレス
デフォルト値
構文 DirectoryString
nsslapd-listenhost: ldap.example.com

3.1.1.109. nsslapd-localhost(Local Host)

この属性は、Directory Server が実行されるホストマシンを指定します。この属性は、MMR プロトコルの一部を形成する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、これはローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 完全修飾ホスト名。
デフォルト値 インストールされたマシンのホスト名。
構文 DirectoryString
nsslapd-localhost: phonebook.example.com

3.1.1.110. nsslapd-localuser(Local User)

この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンスのインスタンス固有のファイルおよびディレクトリーはすべて chown などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に nsslapd-localuser の値は最初に設定されます。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なユーザー
デフォルト値
構文 DirectoryString
nsslapd-localuser: dirsrv

3.1.1.111. nsslapd-lockdir(Server Lock File Directory)

これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance です。この値の変更は、サーバーが再起動するまで反映されません。
パラメーター 説明
エントリー DN cn=config
有効な値 サーバー ID への書き込みアクセス権を持つサーバーユーザー ID が所有するディレクトリーの絶対パス
デフォルト値 /var/lock/dirsrv/slapd-instance
構文 DirectoryString
nsslapd-lockdir: /var/lock/dirsrv/slapd-instance

3.1.1.112. nsslapd-localssf

nsslapd-localssf パラメーターは、LDAPI 接続のセキュリティー強度係数(SSF)を設定します。Directory Server は、nsslapd-localssf に設定された値が nsslapd-minssf パラメーターで設定されている値よりも大きいか、またはそれと同じ場合にのみ LDAPI 接続を許可します。そのため、LDAPI 接続は nsslapd-minssf の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 71
構文 整数
nsslapd-localssf: 71

3.1.1.113. nsslapd-logging-hr-timestamps-enabled(High-resolution Log Timestamps の有効化または無効化)

ログがナノ秒の精度で高解像度のタイムスタンプを使用するかどうかを制御します。または 1 秒の精度で標準解決タイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを off に設定します。これは、Red Hat Directory Server 10.0 以前で使用されていました。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-logging-hr-timestamps-enabled: on

3.1.1.114. nsslapd-maxbersize(Maximum Message Size)

受信メッセージに対して許可される最大サイズをバイト単位で定義します。これにより、Directory Server が処理できる LDAP 要求のサイズを制限します。リクエストのサイズを制限することで、一部の種類のサービス拒否攻撃を防ぎます。
この制限は、LDAP 要求の合計サイズに適用されます。たとえば、リクエストでエントリーを追加する場合で、リクエストのエントリーが設定値またはデフォルトよりも大きい場合は、追加のリクエストが拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性を変更する前に注意してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な範囲
0 - 2 (ギガバイト) - (2,147,483,647 バイト)
0 がゼロの場合は、デフォルト値を使用する必要があります。
デフォルト値 2097152
構文 整数
nsslapd-maxbersize: 2097152

3.1.1.115. nsslapd-maxdescriptors(Maximum File Descriptors)

この属性は、Directory Server が使用しようとするファイル記述子の最大数(プラットフォームに依存しない)を設定します。ファイル記述子は、クライアントがサーバーに接続するたびに使用され、インデックスのメンテナンスなどの一部のサーバーアクティビティーも使用します。ファイル記述子は、アクセスログ、エラーログ、監査ログ、データベースファイル(インデックスおよびトランザクションログ)、およびレプリケーションおよびチェーンの他のサーバーへの送信接続用のソケットでも使用されます。
TCP/IP がクライアント接続を提供するために利用可能な記述子の数は nsslapd-conntablesize によって決まり、nsslapd-maxdescriptors 属性は、インデックス管理やレプリケーションの管理など、クライアント接続以外の接続の nsslapd-reservedescriptors 属性で指定されたサーバーで使用されるファイル記述子の数を引いた値になります。nsslapd-reservedescriptors 属性は、上記のように、他の用途で使用できるファイル記述子の数です。「nsslapd-reservedescriptors(確保ファイル記述子)」 を参照してください。
ここで指定する数は、オペレーティングシステムで ns-slapd プロセスが使用できるファイル記述子の合計数よりも大きくすることはできません。この数はオペレーティングシステムによって異なります。
この値が高すぎると、Directory Server はオペレーティングシステムに対して最大許容値のクエリーを実行してから、その値を使用します。また、エラーログで警告も発行されます。Directory Server Console または ldapmodify を使用して、この値をリモートで無効な値に設定すると、サーバーは新しい値を拒否し、古い値を維持し、エラーで応答します。
一部のオペレーティングシステムを使用すると、ユーザーがプロセスで使用できるファイル記述子の数を設定できます。ファイル記述子の制限と設定に関する詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune プログラム( 『Red Hat Directory Server インストールガイド』で説明)は、必要に応じてファイル記述子の数を増やすなど、システムカーネルまたは TCP/IP チューニング属性への変更を提案するために使用できます。ファイル記述子が不足するため、Directory Server が接続を拒否する場合、この属性の値を大きくします。これが発生すると、以下のメッセージが Directory Server のエラーログファイルに書き込まれます。
Not listening for new connections -- too many fds open
受信接続の数を増やす方法は、「nsslapd-conntablesize」 を参照してください。
注記
UNIX シェルは通常、ファイル記述子の数に対して設定可能な制限があります。limit および ulimit についての詳細は、オペレーティングシステムのドキュメントを参照してください。これらの制限により、多くの場合で問題が発生する可能性があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 65535
デフォルト値 1024
構文 整数
nsslapd-maxdescriptors: 1024

3.1.1.116. nsslapd-maxsasliosize(Maximum SASL Packet Size)

ユーザーが SASL GSS-API 経由で Directory Server に対して認証されると、クライアントはクライアント要求の量に応じて LDAP 操作を実行するための一定量のメモリーを割り当てる必要があります。攻撃者は、Directory Server がクラッシュするか、サービス拒否攻撃の一環として無限に留まる大きなパケットサイズを送信することが可能です。
Directory Server が SASL クライアントに許可するパケットサイズは、nsslapd-maxsasliosize 属性を使用して制限できます。この属性は、サーバーで使用できる最大 SASL IO パケットサイズを設定します。
受信 SASL IO パケットが nsslapd-maxsasliosize の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログにログを記録します。これにより、管理者は必要に応じて設定を調整できます。
この属性値はバイト単位で指定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲
32 ビットシステムの -1(32 ビットの整数値)(2147483647)
64 ビットシステムの -1(64 ビットの整数値)(9223372036854775807)
デフォルト値 2000000 (2MB)
構文 整数
nsslapd-maxsasliosize: 5000000

3.1.1.117. nsslapd-maxthreadsperconn(接続ごとの最大スレッド)

接続が使用する必要のあるスレッドの最大数を定義します。クライアントがバインドし、バインドを解除する前に 1 つまたは複数の操作のみを実行する通常の操作の場合は、デフォルト値を使用します。クライアントが多くの要求をバインドして同時に発生する場合は、この値を大きくして、全オペレーションを実行するのに十分なリソースを許可します。この属性はサーバーコンソールから利用できません。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 最大スレッド数
デフォルト値 5
構文 整数
nsslapd-maxthreadsperconn: 5

3.1.1.118. nsslapd-minssf

セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。nsslapd-minssf 属性は、サーバーへの接続の最小 SSF 要件を設定します。最小 SSF よりも弱い接続試行は拒否されます。
TLS および SASL 接続は、Directory Server への接続と混在させることができます。通常、これらの接続には異なる SSF があります。2 つの SSF が高いほど、最小の SSF 要件と比較するために使用されます。
SSF の値を 0 に設定すると、最小設定はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 正の整数
デフォルト値 0 (off)
構文 DirectoryString
nsslapd-minssf: 128

3.1.1.119. nsslapd-minssf-exclude-rootdse

セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf-exclude-rootdse 属性は、ルート DSE のクエリーを除き、サーバーへの接続の最小 SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が実施されますが、クライアントは最初に安全な接続を確立せずに、ルート DSE からサーバー設定に関する情報を取得できるようにします。
パラメーター 説明
エントリー DN cn=config
有効な値 正の整数
デフォルト値 0 (off)
構文 DirectoryString
nsslapd-minssf-exclude-rootdse: 128

3.1.1.120. nsslapd-moddn-aci

このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲットの制限を使用する際の ACI チェックを制御します。後方互換性を確保するために、ACI チェックを無効にできます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-moddn-aci: on

3.1.1.121. nsslapd-malloc-mmap-threshold

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MMAP_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_MMAP_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 33554432
デフォルト値 M_MMAP_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
構文 整数
nsslapd-malloc-mmap-threshold: 33554432

3.1.1.122. nsslapd-malloc-mxfast

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MXFAST 環境変数を設定する代わりに、nsslapd-malloc-mxfast パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_MXFAST の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 80 * (sizeof(size_t) / 4)
デフォルト値 M_MXFAST の man ページの mallopt(3) パラメーターの説明を参照してください。
構文 整数
nsslapd-malloc-mxfast: 1048560

3.1.1.123. nsslapd-malloc-trim-threshold

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/ sysconfig/dirsrv -instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_TRIM_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-trim-threshold パラメーターを使用すると、Directory Server 設定で値を設定できます。詳細は、M_TRIM_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 2^31-1
デフォルト値 M_TRIM_THRESHOLD の man ページの mallopt(3) パラメーターの説明を参照してください。
構文 整数
nsslapd-malloc-trim-threshold: 131072

3.1.1.124. nsslapd-nagle

この属性の値が off の場合、TCP _NODELAY オプションが設定され、LDAP 応答(エントリーや結果メッセージなど)が即座にクライアントに送られます。属性がオンの場合、デフォルトの TCP の動作が適用されます。特に、データ送信は遅延され、データ送信は下層のネットワーク MTU サイズ(通常は Ethernet の場合は 1500 バイト)の 1 つのパケットにグループ化できるようにします。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-nagle: off

3.1.1.125. nsslapd-ndn-cache-enabled

識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターを有効にすると、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターを更新して、このキャッシュの最大サイズを設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-ndn-cache-enabled: on

3.1.1.126. nsslapd-ndn-cache-max-size

識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターを有効にすると、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターは、このキャッシュの最大サイズを設定します。
要求した DN がまだキャッシュされていない場合は、正規化され、追加されます。キャッシュサイズの制限を超えると、Directory Server は、最近使用された 10,000 DN をキャッシュから削除します。ただし、少なくとも 10,000 の DN は、常にキャッシュを保持します。
パラメーター 説明
エントリー DN cn=config
有効な値 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 20971520
構文 整数
nsslapd-ndn-cache-max-size: 20971520

3.1.1.127. nsslapd-outbound-ldap-io-timeout

この属性は、すべてのアウトバウンド LDAP 接続に対する I/O 待機時間を制限します。デフォルトは 300000 ミリ秒(5 分)です。値が 0 の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 300000
構文 DirectoryString
nsslapd-outbound-ldap-io-timeout: 300000

3.1.1.128. nsslapd-pagedsizelimit(Simple Paged Results 検索のサイズ制限)

この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsslapd-sizelimit 属性が上書きされます。
この値がゼロに設定されている場合は、nsslapd-sizelimit 属性は、ページ検索と非ページ検索に使用されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 から最大 32 ビットの整数値 (2147483647)
デフォルト値
構文 整数
nsslapd-pagedsizelimit: 10000

3.1.1.129. nsslapd-plug-in

この読み取り専用属性は、サーバーによって読み込まれる構文およびマッチングルールのプラグインの DN を一覧表示します。

3.1.1.130. nsslapd-plugin-binddn-tracking

操作自体がサーバープラグインによって開始されていても、エントリーの修飾子として操作に使用されるバインド DN を設定します。操作を実行する特定のプラグインは、別の運用属性 internalModifiersname に一覧表示されます。
もう 1 つの変更で、ディレクトリーツリーの自動変更をトリガーできます。ユーザーが削除されると、そのユーザーは referenceential Integrity Plug-in によって所属するグループから自動的に削除されます。ユーザーの初期削除は、サーバーにバインドされるユーザーアカウントによって実行されますが、グループ(デフォルトでは)の更新は、その更新を開始したユーザーの情報なしにプラグインによって表示されます。nsslapd-plugin-binddn-tracking 属性により、サーバーは更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。
dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
この属性はデフォルトで無効にされています。
パラメーター 説明
エントリー DN cn=config
有効な範囲 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-plugin-binddn-tracking: on

3.1.1.131. nsslapd-plugin-logging

デフォルトでは、アクセスログが内部操作を記録するように設定された場合でも、プラグイン内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターを使用してグローバルに制御することができます。
有効にすると、プラグインはこのグローバル設定を使用し、有効な場合はアクセスおよび監査イベントをログに記録します。
nsslapd-plugin-logging が有効で、nsslapd-accesslog-level が内部操作を記録するように設定されている場合は、インデックスなしの検索とその他の内部操作がアクセスログファイルに記録されます。
nsslapd-plugin-logging が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-plugin-logging: off

3.1.1.132. nsslapd-port(ポート番号)

この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を提供します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024 未満の場合は、Directory Server を root で 起動する必要があります。
サーバーは、起動後に uidnsslapd-localuser 値に設定します。設定ディレクトリーのポート番号を変更する場合、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲
1 から 65535
デフォルト値 389
構文 整数
nsslapd-port: 389
注記
LDAPS ポートが有効な場合は、ポート番号をゼロ(0)に設定して LDAP ポートを無効にします。

3.1.1.133. nsslapd-privatenamespaces

この読み取り専用属性には、プライベート命名コンテキスト cn=config、cn= schema、および cn= monitor の一覧が含まれます。
パラメーター 説明
エントリー DN cn=config
有効な値 cn=config、cn=schema、および cn=monitor
デフォルト値
構文 DirectoryString
nsslapd-privatenamespaces: cn=config

3.1.1.134. nsslapd-pwpolicy-inherit-global(グローバルパスワード構文の継承)

粒度の細かいパスワード構文が設定されていない場合には、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードがチェックされません。粒度の細かいパスワード構文を継承する場合は、この属性を on に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-pwpolicy-inherit-global: off

3.1.1.135. nsslapd-pwpolicy-local(Subtree- および ユーザーレベルのパスワードポリシーの有効化)

粒度の細かい(サブツリーとユーザーレベル)パスワードポリシーをオンおよびオフにします。
この属性の値が off の場合、ディレクトリー内のすべてのエントリー( cn=Directory Managerを除く)はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。
この属性の値が on の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-pwpolicy-local: off

3.1.1.136. nsslapd-readonly(Read Only)

この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベース内のデータや設定情報のいずれも変更できません。読み取り専用モードでデータベースの変更を試みると、サーバーが操作を実行していないことを示すエラーが返されます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-readonly: off

3.1.1.137. nsslapd-referral(Referral)

この多値属性は、サーバーがローカルツリーに属さないエントリーの要求を受信すると、接尾辞が接尾辞によって返される LDAP URL を指定します。つまり、接尾辞の属性で指定された値と一致しません。たとえば、サーバーにエントリーのみが含まれるとします。
ou=People,dc=example,dc=com
しかし、リクエストは以下のエントリーに対するものです。
ou=Groups,dc=example,dc=com
この場合、参照元はクライアントに戻され、LDAP クライアントが要求されたエントリーが含まれるサーバーを特定できるようになります。Directory Server インスタンスごとに参照元を 1 つだけ指定できますが、この参照元には複数の値を指定できます。
注記
TLS 通信を使用するには、参照属性は ldaps://server-location の形式で指定する必要があります。
TLS の開始はリファーラルをサポートしません。
参照の管理に関する詳細は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリーデータベースの設定」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 有効な LDAP URL
デフォルト値
構文 DirectoryString
nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com

3.1.1.138. nsslapd-referralmode(Referral Mode)

設定された場合、この属性はどのサフィックスでもリクエストの参照を返します。
パラメーター 説明
エントリー DN cn=config
有効な値 有効な LDAP URL
デフォルト値
構文 DirectoryString
nsslapd-referralmode: ldap://ldap.example.com

3.1.1.139. nsslapd-require-secure-binds

このパラメーターでは、通常の接続ではなく、TLS、StartTLS、または SASL などの保護された接続でユーザーがディレクトリーに対して認証する必要があります。
注記
これは認証されたバインドにのみ適用されます。nsslapd-require-secure-binds が有効であっても、匿名バインドと非認証バインドは、標準チャンネルで完了できます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-require-secure-binds: on

3.1.1.140. nsslapd-requiresrestart

このパラメーターは、変更後にサーバーを再起動する必要がある他のコア設定属性を一覧表示します。これは、nsslapd-requiresrestart に一覧表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性の一覧は、ldapsearch で返すことができます。
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
この属性は多値です。
パラメーター 説明
エントリー DN cn=config
有効な値 コアサーバー設定属性
デフォルト値
構文 DirectoryString
nsslapd-requiresrestart: nsslapd-cachesize

3.1.1.141. nsslapd-reservedescriptors(確保ファイル記述子)

この属性は、インデックス管理やレプリケーションの管理など、Directory Server がクライアント以外の接続の管理用に予約するファイル記述子の数を指定します。サーバーがこの目的のために予約するファイル記述子の数は、LDAP クライアント接続のサービスで利用可能なファイル記述子の合計数から減算します( 「nsslapd-maxdescriptors(Maximum File Descriptors)」を参照)。
Directory Server のほとんどのインストールでは、この属性を変更する必要はありません。ただし、以下がすべて true の場合は、この属性の値を大きくすることを検討してください。
  • サーバーは多数のコンシューマーサーバーに複製しているか(10 未満)、またはサーバーで多数のインデックスファイルを維持します(例: 30 を超える)。
  • サーバーは多数の LDAP 接続を提供している。
  • サーバーがファイル記述子を開くことができないことを示すエラーメッセージはあります(実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なります)。しかし、これらのエラーメッセージはクライアント LDAP 接続の管理に関係 ありません
この属性の値を大きくすると、LDAP クライアントがディレクトリーにアクセスできないことがあります。そのため、この属性の値は増加し、nsslapd-maxdescriptors 属性の値も増やします。オペレーティングシステムでプロセスが使用できるファイル記述子の最大数を使用している場合は、サーバーが nsslapd-maxdescriptors の値を増やすことができない可能性があります。詳細は、オペレーティングシステムのドキュメントを参照してください。その場合は、LDAP クライアントが代替ディレクトリーレプリカを検索することで、サーバーの負荷を減らします。受信接続のファイル記述子の使用については、「nsslapd-conntablesize」 を参照してください。
この属性に設定されたファイル記述子の数を計算するには、以下の式を使用します。
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
  • NldbmBackends は、ldbm データベースの数です。
  • NglobalIndex は、システムインデックスを含むすべてのデータベースに設定されたインデックスの合計数です。(デフォルトでは 8 のシステムインデックス、データベースごとの 17 個の追加のインデックス)。
  • ReplicationDescriptor は 8 つの(8)と、サプライヤーまたはハブ(NSupplierReplica)として機能するサーバー内のレプリカの数です。
  • ChainingBackendDescriptors は、NchainingBackendnsOperationConnectionsLimit (チェーンまたはデータベースリンクの設定属性(デフォルトでは 10 ))をかけたものです。
  • PTADescriptors は、PTA が構成されている場合は 3、PTA が構成されていない場合は 0 になります。
  • TLS が設定されている場合、SSLDescriptors5 (4 ファイル + 1 listensocket)で、TLS が設定されていない場合には 0 になります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 65535
デフォルト値 64
構文 整数
nsslapd-reservedescriptors: 64

3.1.1.142. nsslapd-return-exact-case(Return Exact Case)

クライアントによって要求される属性タイプ名の正確なケースを返します。LDAPv3- 準拠のクライアントは属性名のケースを無視する必要がありますが、一部のクライアントアプリケーションでは、検索または変更操作の結果として Directory Server が属性が返されても、スキーマにリストされている場合に属性名が該当し合致する必要があります。ただし、ほとんどのクライアントアプリケーションは属性のケースを無視します。そのため、デフォルトではこの属性は無効になっています。サーバーから返される結果となる属性名のケースを確認できるレガシークライアントがない場合は、これを変更しないでください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-return-exact-case: off

3.1.1.143. nsslapd-rewrite-rfc1274

この属性は非推奨で、今後のバージョンで削除予定です。
この属性は、RFC 1274 名で属性タイプを返す必要がある LDAPv2 クライアントにのみ使用されます。これらのクライアントで値を on に設定します。デフォルトは off です。

3.1.1.144. nsslapd-rootdn (マネージャー DN)

この属性は、アクセス制御の制限を受けないエントリーの識別名(DN)、ディレクトリーに対する管理制限、または一般的にリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトでは、この DN のエントリーはありません。したがって、cn=Directory Manager などの値は受け入れ可能です。
ルート DN の変更に関する詳細は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリーエントリーの作成」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 有効な識別名
デフォルト値
構文 DN
nsslapd-rootdn: cn=Directory Manager

3.1.1.145. nsslapd-rootpw(Root パスワード)

この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、nsslapd-rootpwstoragescheme 属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示する場合、この属性には値 *** が表示されますdse.ldif ファイルから表示すると、この属性には、暗号化方法の後にパスワードの暗号化された文字列が表示されます。この例は、実際のパスワードではなく、dse.ldif ファイルに表示されるパスワードを示しています。
警告
ルート DN がサーバー設定で configred になっている場合は、root パスワードが必要です。ただし、ファイルを直接編集して、root パスワードを dse.ldif から削除することが可能です。このような状況では、ルート DN は、匿名アクセスに対して、ディレクトリーへの同じアクセスのみを取得できます。root DN がデータベース用に設定されている場合には、必ず root パスワードが in dse.ldif で定義されているようにしてください。pwdhash コマンドラインユーティリティーは、新しい root パスワードを作成できます。詳細は、「pwdhash(Encrypts Passwords)」 を参照してください。
重要
コマンドラインから Directory Manager のパスワードをリセットする場合は、パスワードに 中括弧({})を使用しないでください。root パスワードは {password-storage-scheme}hashed_password の形式で保存されます。中括弧内の文字はすべて、サーバーが root パスワードの保存スキームとして解釈されます。このテキストが有効なストレージスキームでない場合や、後に続くパスワードが正しくハッシュ化されないと、Directory Manager はサーバーにバインドできません。
パラメーター 説明
エントリー DN cn=config
有効な値 「パスワードストレージスキーム」 に記載されている暗号化方法のいずれかにより暗号化される有効なパスワード。
デフォルト値
構文 DirectoryString {encryption_method }encrypted_Password
nsslapd-rootpw: {SSHA}9Eko69APCJfF

3.1.1.146. nsslapd-rootpwstoragescheme(Root パスワードストレージスキーム)

この属性は、nsslapd-rootpw 属性に保存されている Directory Server のマネージャーパスワードの暗号化に使用されるメソッドを設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 「パスワードストレージスキーム」 を参照してください。
デフォルト値 SSHA512
構文 DirectoryString
nsslapd-rootpwstoragescheme: SSHA512

3.1.1.147. nsslapd-rundir

このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 Directory Server ユーザーが書き込み可能なディレクトリー
デフォルト値 /var/run/dirsrv/
構文 DirectoryString
nsslapd-rundir: /var/run/dirsrv/

3.1.1.148. nsslapd-sasl-mapping-fallback

デフォルトでは、一致する最初の SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能している可能性がある他のマッチングマッピングが存在する場合でもバインド操作は失敗します。SASL マッピングフォールバックでは、一致するマッピングをすべてチェックします。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-sasl-mapping-fallback: off

3.1.1.149. nsslapd-sasl-max-buffer-size

この属性は、最大 SASL バッファーサイズを設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 67108864 (64 キロバイト)
構文 整数
nsslapd-sasl-max-buffer-size: 67108864

3.1.1.150. nsslapd-saslpath

Cyrus-SASL SASL2 プラグインを含むディレクトリーに絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは非標準の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定され、Red Hat はこの属性を変更しないことを強く推奨します。属性が存在しないか、値が空の場合は、Directory Server が、正しいバージョンであるシステムが提供する SASL プラグインライブラリーを使用していることを意味します。
このパラメーターを設定すると、サーバーは SASL プラグインを読み込むために指定されたパスを使用します。このパラメーターが設定されていない場合、サーバーは SASL_PATH 環境変数を使用します。nsslapd-saslpath または SASL_PATH が設定されていない場合は、サーバーはデフォルトの場所である /usr/lib/sasl2 から SASL プラグインの読み込みを試行します。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター 説明
エントリー DN cn=config
有効な値 プラグインディレクトリーへのパス。
デフォルト値 プラットフォーム依存
構文 DirectoryString
nsslapd-saslpath: /usr/lib/sasl2

3.1.1.151. nsslapd-schema-ignore-trailing-spaces(Object Class Names の Trailing Spaces を無視します)

オブジェクトクラス名の末尾のスペースを無視します。デフォルトでは、属性はオフになっています。ディレクトリーに、1 つ以上のスペースで終了するオブジェクトクラス値を持つエントリーが含まれている場合は、この属性をオンにします。LDAP 標準は許可しないため、末尾にスペースを削除することが推奨されます。
パフォーマンス上の理由から、変更を有効にするにはサーバーの再起動が必要です。
末尾のスペースが含まれるオブジェクトクラスがエントリーに追加されると、デフォルトでエラーが返されます。さらに、追加、変更、インポートなどの操作中(オブジェクトクラスが拡張され、スーパー子が不足している場合)、末尾のスペースは無視されます(該当する場合)。これは、nsslapd-schema-ignore-trailing-spaces がオンの場合 でも、top がすでに存在している場合top などの値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-schema-ignore-trailing-spaces: on

3.1.1.152. nsslapd-schemacheck (スキーマチェック)

この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマは、オブジェクトクラスおよび属性タイプを使用して拡張できます。Directory Server コンソールを使用してスキーマを拡張する方法は、『Red 『Hat Directory Server 管理ガイド』の「ディレクトリースキーマの拡張」の章を参照してください』。
警告
Red Hat は、スキーマチェックをオフにすることが強く推奨されます。これにより、重大な相互運用性が生じる可能性があります。これは通常、Directory Server にインポートする必要がある、非常に古い LDAP データまたは非標準 LDAP データに使用されます。この問題があるエントリーが多数ある場合は、それらのエントリーで extensibleObject オブジェクトクラスを使用してエントリーごとにスキーマチェックを無効にすることを検討してください。
注記
スキーマチェックは、ldapmodify などの LDAP クライアントを使用してデータベースの変更が行われた場合や、ldif2db を使用して LDIF からデータベースをインポートするときにデフォルトで動作します。スキーマチェックがオフになっている場合は、すべてのエントリーを手動で検証して、スキーマに準拠する必要があります。スキーマチェックが有効な場合、サーバーはスキーマに一致しないエントリーをリストするエラーメッセージを送信します。LDIF ステートメントで作成された属性とオブジェクトクラスが正しく書き出され、in dse.ldif の両方を識別します。スキーマディレクトリーに LDIF ファイルを作成するか、その要素を 99user.ldif に追加します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-schemacheck: on

3.1.1.153. nsslapd-schemadir

これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーの起動時に、このディレクトリーからスキーマファイルを読み取り、スキーマが LDAP ツールを使用して変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID によって所有され、そのユーザーはディレクトリーへの読み取りと書き込み権限が必要です。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なパス
デフォルト値 /etc/dirsrv/instance_name/schema
構文 DirectoryString
nsslapd-schemadir: /etc/dirsrv/instance_name/schem

3.1.1.154. nsslapd-schemamod

オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効の場合は、このパラメーターを off に設定すると、パフォーマンスを向上させることができます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-schemamod: on

3.1.1.155. nsslapd-schemareplace

cn=schema エントリーで属性値を置き換える操作を許可するかどうかを決定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off | replication-only
デフォルト値 replication-only
構文 DirectoryString
nsslapd-schemareplace: replication-only

3.1.1.156. nsslapd-search-return-original-type-switch

検索に渡される属性リストに他の文字の後にスペースが含まれる場合には、同じ文字列がクライアントに戻ります。以下に例を示します。
# ldapsearch -b <basedn> "(filter)" "sn someothertext"
  dn: <matched dn>
  sn someothertext: <sn>
この動作はデフォルトで無効にされていますが、この設定パラメーターを使用して有効にできます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-search-return-type-switch: off

3.1.1.157. nsslapd-securelistenhost

この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。1 つのホスト名に複数の IP アドレスを割り当てることができ、これらの IP アドレスは IPv4 と IPv6 の両方を混在させることができます。このパラメーターは、Directory Server インスタンスを 1 つの IP インターフェースに制限するために使用できます。このパラメーターは、通常の LDAP 接続ではなく TLS トラフィックに使用するインターフェースも設定します。
ホスト名が nsslapd-securelistenhost の値として指定されると、Directory Server はホスト名に関連付けられたすべてのインターフェースの要求に応答します。単一の IP インターフェース(IPv4 または IPv6)が nsslapd-securelistenhost の値として指定される場合、Directory Server はその特定のインターフェースに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 安全なホスト名、IPv4 または IPv6 アドレス
デフォルト値
構文 DirectoryString
nsslapd-securelistenhost: ldaps.example.com

3.1.1.158. nsslapd-securePort(暗号化されたポート番号)

この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。1024 未満のポート番号を指定するには、Directory Server を root で起動する必要があります。サーバーは、起動後に uidnsslapd-localuser 値に設定します。
サーバーは、秘密鍵と証明書で設定されている場合にのみこのポートをリッスンし、nsslapd-securityon に設定されている場合にのみ、このポートでリッスンしません。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 65535
デフォルト値 636
構文 整数
nsslapd-securePort: 636

3.1.1.159. nsslapd-security(Security)

この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続 の on に設定する必要があります。セキュリティーで実行するには、他の TLS 設定の他に、秘密鍵とサーバー証明書で設定する必要があります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nsslapd-security: off

3.1.1.160. nsslapd-sizelimit(サイズ制限)

この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns -slapd は、検索要求に一致するエントリーと、超過したサイズ制限エラーを返します。
制限が設定されていない場合、ns -slapd は一致するすべてのエントリーを、検出された番号に関係なくクライアントに返します。Directory Server による検索の完了まで無制限の制限値を設定するには、dse.ldif ファイルのこの属性に -1 の値を指定します。
この制限は、組織に関係なくすべてのユーザーに適用されます。
注記
この属性の値を -1 にすると サーバーコンソールで属性を空のままにすることと同じで、制限が使用されません。有効な整数ではないため、これには null 値 in dse.ldif ファイルを含めることはできません。これを 0 に設定すると、すべての検索に対して サイズ制限が超過 されます。
対応するユーザーレベルの属性は nsSizeLimit です。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 から最大 32 ビットの整数値 (2147483647)
デフォルト値 2000
構文 整数
nsslapd-sizelimit: 2000

3.1.1.161. nsslapd-snmp-index

このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。
ポート 389 ですべてをリッスンしている同じホストに、複数の Directory Server インスタンスがある場合は、このパラメーターにより、インスタンスごとに異なる SNMP インデックス番号を設定できます。
パラメーター 説明
エントリー DN cn=config
有効な値 0 から最大 32 ビットの整数値 (2147483647)
デフォルト値 0
構文 整数
nsslapd-snmp-index: 0

3.1.1.162. nsslapd-SSLclientAuth

注記
nsslapd-SSLclientAuth パラメーターは今後のリリースで非推奨となり、現時点では後方互換性のために維持されます。代わりに cn=encryption,cn=config に保存されている新しいパラメーター nsSSLClientAuth を使用してください。「nsSSLClientAuth」 を参照してください。

3.1.1.163. nsslapd-ssl-check-hostname(アウトバウンド接続のホスト名の確認)

この属性は、提示される証明書のサブジェクト名(cn)属性に割り当てられた値に対してホスト名を照合し、TLS 対応の Directory Server が要求の信頼性を検証するかどうかを設定します。subjectDNデフォルトでは、属性は on に設定されます。有効で、ホスト名が証明書の cn 属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。
たとえば、複製された環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないと、以下のようなメッセージがサプライヤーサーバーのログファイルに記録されます。
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
	 Unable to communicate securely with peer: requested domain name does not
	 match the server's certificate.)

[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
 Replication bind with SSL client authentication failed:
 LDAP error 81 (Can't contact LDAP server)
Red Hat は、MITM(MITM)攻撃で、Directory Server のアウトバウンド TLS 接続を保護するために、この属性をオンにすることを推奨します。
注記
これを機能させるには、DNS と逆引き DNS を正しく設定する必要があります。設定しないと、サーバーは証明書のサブジェクト DN のホスト名へのピア IP アドレスを解決できません。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nsslapd-ssl-check-hostname: on

3.1.1.164. nsslapd-syntaxcheck

この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプの必要な構文に準拠することを確認します。正しい構文に準拠しない変更はすべて拒否され、この属性が有効であると拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。
デフォルトでは、これはオンになります。
構文の検証は、新規または変更された属性に対してのみ実行されます。既存の属性値の構文は検証されません。構文の検証は、追加および変更などの LDAP 操作に対してトリガーされます。属性構文の有効性は、送信元のサプライヤーで確認されるため、レプリケーションなどの操作後には実行されません。
これは、バイナリー構文(検証ができない)および標準以外の構文を除き、Directory Server でサポートされるすべての属性タイプを検証します。この構文は、定義された必須形式ではありません。未検証 の構文は以下のとおりです。
  • Fax (バイナリー)
  • OctetString (binary)
  • JPEG (バイナリー)
  • バイナリー (標準以外)
  • スペースに依存しない文字列 (非標準)
  • URI (標準以外)
nsslapd-syntaxcheck 属性は、属性の変更を検証し、拒否するかどうかを設定します。nsslapd-syntaxlogging 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
nnsslapd-syntaxcheck: on

3.1.1.165. nsslapd-syntaxlogging

この属性は、構文検証の失敗をエラーログに記録するかどうかを設定します。デフォルトでは、これはオフになっています。
nsslapd-syntaxcheck 属性が enabled(デフォルト)で、nsslapd-syntaxlogging 属性も有効になっている場合、無効な属性の変更が拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging のみが有効で nsslapd-syntaxcheck が無効の場合、無効な変更を続行できますが、警告メッセージがエラーログに書き込まれます。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
nnsslapd-syntaxlogging: off

3.1.1.166. nsslapd-threadnumber(Thread Number)

このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値が -1 (デフォルト)に設定されている場合、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。自動調整が有効な場合には、nsslapd-threadnumber は Directory Server の実行中に自動生成されるスレッド数を表示することに注意してください。
注記
Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 からシステムのスレッドおよびプロセッサーでサポートされるスレッドの最大数。
デフォルト値 -1
構文 整数
nsslapd-threadnumber: -1

3.1.1.167. nsslapd-timelimit(時間制限)

この属性は、検索要求に割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は、検索要求に一致するエントリーと、超過した時間制限エラーを返します。
制限が設定されていない場合には、ns -slapd は、かかる時間に関係なく、一致するすべてのエントリーをクライアントに送信します。Directory Server が検索が完了するまで無期限に待機する制限値を設定し、dse.ldif ファイルにこの属性に -1 の値を指定します。ゼロ(0)の値を指定すると、検索に時間が与えられません。最小の時間制限は 1 秒です。
注記
dse.ldifこの属性の値 は、サーバーコンソールで属性を空白のままにして、制限を使用しないようにします。ただし、サーバーコンソールのこのフィールドには負の整数を設定できません。有効な整数ではないため、null 値は dse.ldif エントリーで使用できません。
対応するユーザーレベルの属性は nsTimeLimit です。
パラメーター 説明
エントリー DN cn=config
有効な範囲 -1 - 最大 32 ビット整数値(2147483647)(秒単位)
デフォルト値 3600
構文 整数
nsslapd-timelimit: 3600

3.1.1.168. nsslapd-tmpdir

これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID によって所有され、ユーザーには読み書きアクセスが必要です。他のユーザー ID はディレクトリーの読み取りまたは書き込みが行なわれることはありません。デフォルト値は /tmp です。
この属性への変更は、サーバーが再起動するまで反映されません。

3.1.1.169. nsslapd-validate-cert

Directory Server が TLS で実行するように設定され、証明書が期限切れになると、Directory Server を起動できません。nsslapd-validate-cert パラメーターは、期限切れの証明書で開始しようとすると、Directory Server がどのように応答するかを設定します。
  • warn は、Directory Server が期限切れの証明書で正常に起動できるようにしますが、証明書の有効期限が切れたことを示す警告メッセージを送信します。これはデフォルト設定です。
  • 証明書を検証し 証明書の有効期限が切れた場合にサーバーが再起動しないようにします。これにより、期限切れの証明書のハード障害が設定されます。
  • off は、警告をロギングせずに、期限切れの証明書で開始できるようにするため、すべての証明書の有効期限の検証を無効にします。
パラメーター 説明
エントリー DN cn=config
有効な値 warn | on | off
デフォルト値 warn
構文 DirectoryString
nsslapd-validate-cert: warn

3.1.1.170. nsslapd-versionstring

この属性はサーバーのバージョン番号を設定します。バージョン文字列が表示されると、ビルドデータが自動的に追加されます。
パラメーター 説明
エントリー DN cn=config
有効な値 有効なサーバーバージョン番号
デフォルト値
構文 DirectoryString
nsslapd-versionstring: Red Hat-Directory/10.6

3.1.1.171. nsslapd-workingdir

起動後にサーバーが現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、サーバーが getcwd() 関数の値として返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示される値になります。これは、コアファイルが作成されるディレクトリーです。サーバーユーザー ID はディレクトリーへの読み書きアクセスを持つ必要があり、他のユーザー ID は読み取り/書き込みアクセスを持つべきではありません。この属性のデフォルト値は、エラーログを含むディレクトリーと同じディレクトリーです。通常、/var/log/dirsrv/slapd-instance になります。
この属性への変更は、サーバーが再起動するまで反映されません。

3.1.1.172. passwordAllowChangeTime

この属性は、ユーザーがパスワードを変更できる前に渡す必要のある時間を指定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 任意の整数
デフォルト値
構文 DirectoryString
passwordAllowChangeTime: 5h

3.1.1.173. passwordChange(パスワード変更)

ユーザーがパスワードを変更できるかどうかを示します。
これは、pwdAllowUserChange に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
passwordChange: on

3.1.1.174. passwordCheckSyntax (パスワード構文チェック)

この属性は、パスワードの保存前にパスワード構文をチェックするかどうかを設定します。パスワード構文の確認メカニズムは、パスワードがパスワードの最小長要件を満たすか、またはそれを超えるか、文字列にユーザーの名前、ユーザー ID、ユーザー ID、ユーザーのディレクトリーエントリーの uidcnsngivenNameou、または mail 属性に保存されている属性値など、簡単な単語が含まれていないことを確認します。
パスワード構文には、以下を確認するためのさまざまなカテゴリーが含まれています。
  • パスワードの簡単な単語をチェックする際に比較に使用する文字列またはトークンの長さ(例: トークンの長さが 3 の場合、ユーザーの UID、名前、メールアドレス、他のパラメーターがパスワードでも使用できます)
  • 数字の最小数(0-9)
  • 大文字の ASCII アルファベットの最小数
  • 小文字の ASCII アルファベットの最小数
  • !@#$などの特殊文字の最小 ASCII 文字
  • 8 ビット文字数
  • パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字または小文字、特殊文字、数字、または 8 ビット文字になります。
これは、pwdCheckSyntax に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordCheckSyntax: off

3.1.1.175. passwordExp (パスワードの有効期限)

特定の秒数後にユーザーパスワードの有効期限が切れるかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、passwordMaxAge 属性を使用してパスワードの期限が切れるまでの秒数を設定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザーアカウントの管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordExp: on

3.1.1.176. passwordExpirationTime

この属性は、ユーザーのパスワードの有効期限が切れるまでにパスする期間を指定します。
パラメーター 説明
エントリー DN cn=config
有効な値 任意の日付 (整数)
デフォルト値 なし
構文 GeneralizedTime
passwordExpirationTime: 202009011953

3.1.1.177. passwordExpWarned

この属性は、パスワード有効期限の警告がユーザーに送られていることを示しています。
パラメーター 説明
エントリー DN cn=config
有効な値 true | false
デフォルト値 なし
構文 DirectoryString
passwordExpWarned: true

3.1.1.178. passwordGraceLimit (パスワードの有効期限)

この属性は、パスワードの有効期限が有効になっている場合にのみ適用されます。ユーザーのパスワードの期限が切れた後、サーバーはパスワードを変更する目的で接続できるようにします。これは grace login と呼ばれます。このサーバーでは、ユーザーを完全にロックする前に一定の試行回数のみが許可されます。この属性は、許可されたログインの数です。値が 0 の場合は、サーバーの強制ログインが許可されないことを意味します。
パラメーター 説明
エントリー DN cn=config
有効な値 合理的な整数に対して 0(off)
デフォルト値 0
構文 整数
passwordGraceLimit: 3

3.1.1.179. passwordHistory(パスワード履歴)

パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードを再利用できるかどうかを示します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性を on に設定すると、ディレクトリーは指定の数の古いパスワードを保存し、保存されたパスワードを再利用しないようにします。passwordInHistory 属性を使用して、Directory Server が保存する古いパスワードの数を設定します。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordHistory: on

3.1.1.180. passwordInHistory(メンバーへのパスワード数値)

Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードはユーザーが再利用できません。デフォルトでは、パスワード履歴機能が無効になるため、Directory Server では古いパスワードは保存されず、ユーザーはパスワードを再利用できます。passwordHistory 属性を使用してパスワード履歴を有効にします。
ユーザーが追跡されるパスワードの数により急速に繰り返し行われるのを防ぐには、passwordMinAge 属性を使用します。
これは、pwdInHistory に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 24 個のパスワード
デフォルト値 6
構文 整数
passwordInHistory: 7

3.1.1.181. passwordIsGlobalPolicy(パスワードポリシーおよびレプリケーション)

この属性は、パスワードポリシー属性がレプリケートされるかどうかを制御します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordIsGlobalPolicy: off

3.1.1.182. passwordLegacyPolicy

レガシーパスワードの動作を有効にします。古い LDAP クライアントは、最大失敗制限を超えた時点でユーザーアカウントのロックエラーを受信することが予想されます たとえば、制限が 3 回失敗すると、そのアカウントは 4 回失敗した試行でロックされました。ただし、新規クライアントでは、失敗制限に達するとエラーメッセージを受信することが予想されます。たとえば、制限が 3 つの失敗である場合、アカウントは 3 回失敗した試行でロックされる必要があります。
失敗制限を超えたときのアカウントのロックは古い動作であるため、レガシー動作とみなされます。これはデフォルトで有効になっていますが、無効にすると新しい LDAP クライアントが想定される時にエラーを受信できるようになります。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
passwordLegacyPolicy: on

3.1.1.183. passwordLockout(Account Lockout)

特定のバインド試行の失敗後にユーザーがディレクトリーからロックされているかどうかを示します。デフォルトでは、一連のバインド試行の失敗後には、ユーザーはディレクトリーからロックされません。アカウントのロックアウトが有効な場合は、ユーザーが passwordMaxFailure 属性を使用してロックアウトされた後に失敗したバインド試行の数を設定します。
これは、pwdLockOut に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
passwordLockout: off

3.1.1.184. passwordLockoutDuration(Lockout Duration)

アカウントのロックアウト後にディレクトリーがロックされる時間を秒単位で指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護されます。passwordLockout 属性を使用して、アカウントロックアウト機能を有効化および無効にします。
これは、pwdLockoutDuration に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビット整数値 (2147483647) (秒単位)
デフォルト値 3600
構文 整数
passwordLockoutDuration: 3600

3.1.1.185. passwordMaxAge(Password Maximum Age)

ユーザーのパスワードが失効するまでの秒数を示します。この属性を使用するには、passwordExp 属性を使用してパスワードの有効期限を有効にする必要があります。
これは、pwdMaxAge に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビット整数値 (2147483647) (秒単位)
デフォルト値 8640000 (100 日)
構文 整数
passwordMaxAge: 100

3.1.1.186. passwordMaxFailure(Maximum Password Failures)

ユーザーがディレクトリーからロックアウトされるまでのバインド試行の失敗回数を示します。デフォルトでは、アカウントのロックアウトは無効になっています。passwordLockout 属性を変更して、アカウントのロックアウトを有効にします。
これは、pwdMaxFailure に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1: 整数の最大バインド失敗数
デフォルト値 3
構文 整数
passwordMaxFailure: 3

3.1.1.187. passwordMaxRepeats (パスワード構文)

パスワード内に同じ文字が順次表示される最大回数。ゼロ(0)はオフです。整数値は、その回数を超える 文字 を使用するすべてのパスワード を拒否します
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMaxRepeats: 1

3.1.1.188. passwordMin8Bit (パスワード構文)

これにより、パスワードに含まれる 8 ビット文字の最小数が設定されます。
注記
これを使用するには、userPassword の 7 ビットチェックを無効にする必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMin8Bit: 0

3.1.1.189. passwordMinAge(Password Minimum Age)

ユーザーがパスワードを変更する前に渡す必要のある秒数を示します。passwordInHistory (パスワード数)属性とともにこの属性を使用して、ユーザーがパスワードをすぐに取得できないようにし、古いパスワードを再度使用できるようにします。0(0)の値は、ユーザーがすぐにパスワードを変更できることを意味します。
これは、pwdMaxFailure に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 - 有効な最大整数
デフォルト値 0
構文 整数
passwordMinAge: 150

3.1.1.190. passwordMinAlphas (パスワード構文)

この属性は、アルファベットのパスワードに含まれる必要のある最小文字数を設定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMinAlphas: 4

3.1.1.191. passwordMinCategories (パスワード構文)

これにより、パスワードで表される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。
  • 小文字のアルファベット
  • 大文字のアルファベット
  • 数字
  • 特別な ASCII 文字($ や punctuation marks など)
  • 8 ビット文字
たとえば、この属性の値を 2 に設定されていて、ユーザーがパスワードを aaaa に変更しようとすると、サーバーは小文字のみが含まれるため、パスワードを拒否しました。aAaAA のパスワードは、大文字、小文字の 2 つのカテゴリーの文字が含まれるためです。
デフォルトは 3 です。つまり、パスワード構文の確認が有効になっている場合、有効なパスワードには 3 つのカテゴリーのカテゴリーが必要です。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 5
デフォルト値 0
構文 整数
passwordMinCategories: 2

3.1.1.192. PasswordMinDigits (パスワード構文)

これにより、パスワードに含まれる数字の最小数が設定されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMinDigits: 3

3.1.1.193. passwordMinLength (パスワードの最小長)

この属性は、Directory Server のユーザーパスワード属性で使用する必要がある最小文字数を指定します。一般的に、パスワードが短いほど解読されやすくなります。Directory Server は、8 文字の最小パスワードを強制します。これは、解読が難しく、ユーザーがパスワードを書き留めなくても覚えられる長さです。
これは、pwdMinLength に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 2 - 512 文字
デフォルト値 8
構文 整数
passwordMinLength: 8

3.1.1.194. PasswordMinLowers (パスワード構文)

この属性は、小文字のパスワードの最小数を設定します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMinLowers: 1

3.1.1.195. PasswordMinSpecials (パスワード構文)

この属性は、特殊文字(英数字以外 )を設定します。これはパスワードに含まれる必要があります。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMinSpecials: 1

3.1.1.196. PasswordMinTokenLength (パスワード構文)

この属性は、簡単な 単語チェックに使用される最小の属性値の長さを設定します。たとえば、PasswordMinTokenLength3 に設定されている場合、DJgivenName は、D J がパスワードに含まれないように拒否するポリシーが出されませんが、このポリシーは BobgivenName を持つパスワードを拒否します。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から 64
デフォルト値 3
構文 整数
passwordMinTokenLength: 3

3.1.1.197. PasswordMinUppers (パスワード構文)

これにより、大文字のパスワードの最小数が追加されます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 0 から 64
デフォルト値 0
構文 整数
passwordMinUppers: 2

3.1.1.198. passwordMustChange(パスワード変更が必要)

ユーザーが Directory Server に初めてバインドされる場合や、Manager DN でパスワードをリセットする際にパスワードを変更する必要があるかどうかを示します。
これは、pwdMustChange に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordMustChange: off

3.1.1.199. passwordResetFailureCount(Reset Password Failure Count After)

パスワード障害カウンターがリセットされるまでの時間(秒単位)を指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。passwordLockout 属性が on に設定されている場合、カウンターが passwordMaxFailure 属性で指定された失敗数に達すると、ユーザーはディレクトリーからロックされます(デフォルトでは 600 秒)。passwordLockoutDuration 属性で指定された時間が経過すると、失敗カウンターはゼロ(0)にリセットされます。
これは、pwdFailureCountInterval に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビット整数値 (2147483647) (秒単位)
デフォルト値 600
構文 整数
passwordResetFailureCount: 600

3.1.1.200. passwordSendExpiringTime

クライアントが期限切れの制御を要求すると、Directory Server は、パスワードが警告期間内にある場合に限り、「time to expire」値を返します。パスワードの有効期限が警告期間内にいるかどうかにかかわらず、常にこの値が返されることを期待する既存のクライアントとの互換性を提供するには、passwordSendExpiringTime パラメーターを on に設定します。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordSendExpiringTime: off

3.1.1.201. passwordStorageScheme(パスワードストレージスキーム)

この属性は、userPassword 属性に保存されているユーザーパスワードの暗号化に使用されるメソッドを設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
注記
Red Hat は、この属性を設定しないことを推奨します。値が設定されていない場合、Directory Server は利用可能な最も強力なサポートパスワードストレージスキームを自動的に使用します。今後の Directory Server がデフォルト値を変更してセキュリティーを強化すると、ユーザーがパスワードを設定した場合に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=config
有効な値 「パスワードストレージスキーム」 を参照してください。
デフォルト値 SSHA512
構文 DirectoryString
passwordStorageScheme: SSHA512

3.1.1.202. passwordTrackUpdateTime

エントリーのパスワードが変更された最終時刻専用の個別のタイムスタンプを記録するかどうかを設定します。これが有効な場合は、ユーザーアカウントエントリー( pwdUpdateTime など)に modifyTime操作属性を追加します。
このタイムスタンプを使用すると、Active Directory など、異なる LDAP ストア間でパスワードの変更を簡単に同期できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 off
構文 DirectoryString
passwordTrackUpdateTime: off

3.1.1.203. passwordUnlock(Unlock アカウント)

ユーザーが指定した期間、または管理者がアカウントロックアウト後にパスワードをリセットするまでユーザーがディレクトリーからロックされているかどうかを示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護されます。この passwordUnlock 属性が off に設定され、操作属性 accountUnlockTime の値が 0 の場合、アカウントは無限にロックされます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な値 on | off
デフォルト値 on
構文 DirectoryString
passwordUnlock: off

3.1.1.204. passwordWarning(送信警告)

次の LDAP 操作でパスワードの有効期限に関する警告制御を受け取ると、ユーザーのパスワードの有効期限が切れるまでの秒数を示します。LDAP クライアントによっては、警告が送信されたときにパスワードを変更するように求められる場合があります。
これは、pwdExpireWarning に省略できます。
パスワードポリシーの詳細は、『Red 『Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください』。
パラメーター 説明
エントリー DN cn=config
有効な範囲 1 から最大 32 ビット整数値 (2147483647) (秒単位)
デフォルト値 86400 (1 日)
構文 整数
passwordWarning: 86400

3.1.1.205. retryCountResetTime

retryCountResetTime 属性には、passwordRetryCount 属性が 0 にリセットされる後の UTC 形式の日時が含まれます。
パラメーター 説明
エントリー DN cn=config
有効な範囲 UTC 形式の有効なタイムスタンプ
デフォルト値 なし
構文 一般化時間
retryCountResetTime: 20190618094419Z

3.1.2. cn=changelog5,cn=config

マルチマスターレプリケーション changelog 設定エントリーは、cn=changelog5 エントリーに保存されます。cn=changelog5,cn=config エントリーは、拡張可能なObject オブジェクトクラスのインスタンスです。
cn=changelog5 エントリーには、以下のオブジェクトクラスが含まれている必要があります。
  • top
  • extensibleObject
注記
Directory Server では、2 種類の changelogs が維持されます。ここで保存されている最初のタイプは、changelog と呼ばれる最初のタイプは、マルチマスターレプリケーションで使用されます。2 つ目の changelog は、実際にはプラグインで、Retro Changelog と呼ばれます。これは、 一部のレガシーアプリケーションとの互換性を目的としています。Retro Changelog プラグインの詳細は、「Retro Changelog プラグイン」 を参照してください。

3.1.2.1. cn

この必須の属性は、changelog エントリーの相対識別名(RDN)を設定します。
パラメーター 説明
エントリー DN cn=changelog5,cn=config
有効な値 任意の文字列
デフォルト値 changelog5
構文 DirectoryString
cn=changelog5

3.1.2.2. nsslapd-changelogcompactdb-interval

データベースが明示的に圧縮されない限り、Berkeley データベースは空きページを再利用しません。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。このパラメーターは、changelog データベースが圧縮される間隔(秒単位)を定義します。データベース圧縮はリソース集約型であるため、頻繁には実行しないでください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター 説明
エントリー DN cn=changelog5,cn=config
有効な値 0 (圧縮なし) から 2147483647 秒
デフォルト値 2592000 (30 日)
構文 整数
nsslapd-changelogcompactdb-interval: 2592000

3.1.2.3. nsslapd-changelogdir

この必須属性は、changelog エントリーが作成されるディレクトリーの名前を指定します。changelog 設定エントリーが作成されるたびに、有効なディレクトリーを含む必要があります。そうでない場合は、操作は拒否されます。GUI では、このエントリーを /var/lib/dirsrv/slapd-instance/changelogdb/ に保存されていることがデフォルトで提案されます
警告
cn=changelog5 エントリーが削除されると、サブディレクトリーを含む nsslapd-changelogdir パラメーターで指定されたディレクトリーは、すべての内容とともに削除されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=changelog5,cn=config
有効な値 変更ログを保存するディレクトリーへの有効なパス
デフォルト値 なし
構文 DirectoryString
nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/

3.1.2.4. nsslapd-changelogmaxage (Changelog 最大エイジ)

コンシューマーとの同期を行う場合、各更新は changelog にタイムスタンプに保存されます。nsslapd-changelogmaxage パラメーターは、changelog に保存されるレコードの最大期間を設定します。すべてのレプリカに正常に転送された古いレコードは自動的に削除されます。nsslapd-changelogmaxage および nsslapd-changelogmaxentries パラメーターが設定されていない場合、すべてのレコードが保持されます。
注記
nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーション changelog のファイルサイズは自動的に縮小されません。詳細は、『Red Hat Directory 管理ガイド』の該当するセクションを参照してください
nsslapd-changelogmaxage パラメーターは、さらに Retro Changelog のエントリーの最大期間を設定します。小さい値を設定すると、変更ログのサイズが自動的に縮小されます。
trim 操作は、nsslapd-changelog-trim-interval パラメーターに設定される間隔で実行されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=changelog5,cn=config
有効な範囲 0 (エントリーはそのエイジに応じて削除されない) から最大 32 ビット整数 (2147483647)
デフォルト値 0
構文 DirectoryString IntegerAgeID: AgeID は、秒(秒)、m for minutes、hd for days、および w for weeks
nsslapd-changelogmaxage: 30d

3.1.2.5. nsslapd-changelogmaxentries (changelog の最大レコード)

コンシューマーと同期する場合、各更新は changelog に保存されます。nsslapd-changelogmaxentries パラメーターは、changelog に保存されるレコードの最大数を設定します。すべてのレプリカに正常に転送され、この数を超える古いレコードは自動的に削除されます。nsslapd-changelogmaxentries および nsslapd-changelogmaxage パラメーターが設定されていない場合、すべてのレコードが保持されます。
注記
nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーション changelog のファイルサイズは自動的に縮小されません。詳細は、『Red Hat Directory 管理ガイド』の該当するセクションを参照してください
trim 操作は、nsslapd-changelog-trim-interval パラメーターに設定される間隔で実行されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター 説明
エントリー DN cn=changelog5,cn=config
有効な範囲 0(最大限はディスクサイズ)の 32 ビット整数(2147483647)までです。
デフォルト値 0
構文 整数
nsslapd-changelogmaxentries: 5000

3.1.2.6. nsslapd-changelogmaxconcurrentwrites (再書き込みの最大同時数)

この属性は、変更ログへの同時書き込みを制御する新しいセマフォの初期化に使用される値を指定します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。