設定コマンドおよびファイルリファレンス

Red Hat Directory Server 11

Directory Server を設定するためのリファレンスガイド

概要

これは、Red Hat Directory Server の設定パラメーター、サーバースキーマ、ファイル、およびコマンドラインユーティリティーのリファレンスです。

前書き

Directory Server を設定するためのリファレンスガイド

Copyright 2021 Red Hat, Inc.

このドキュメントは、Red Hat が Creative Commons Attribution-ShareAlike 3.0 Unported License に基づいてライセンスを提供しています。If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original.If the document is modified, all Red Hat trademarks must be removed.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux is the registered trademark of Linus Torvalds in the United States and other countries.

Java is a registered trademark of Oracle and/or its affiliates.

XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js is an official trademark of Joyent.Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission.We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

作成者

Marc Muehlfeld

Red Hat Customer Content Services

mmuehlfeld@redhat.com

Petr Bokoč

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Petr Kovář

Red Hat Customer Content Services

Ella Deon Ballard

Red Hat Customer Content Services

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、弊社の CTO、Chris Wright のメッセージ を参照してください。

このリファレンスについて

Red Hat Directory Server (Directory Server) は、業界標準の Lightweight Directory Access Protocol (LDAP) をベースとした強力でスケーラブルな分散ディレクトリーサーバーです。Directory Server は、イントラネット、取引先とのエクストラネット、またはパブリックインターネットを介して顧客に到達するために使用できる一元化された分散データリポジトリーを構築するための基礎です。

このリファレンスは、サーバー設定とコマンドラインユーティリティーに対応しています。これは主に、ディレクトリー管理者向けに設計されており、そのディレクトリーにアクセスするためにコマンドラインを使用する経験のあるディレクトリーユーザー向けに設計されています。サーバーの設定後、この参照を使用してサーバーを維持します。

Directory Server は、グラフィカルユーザーインターフェースである Directory Server コンソール から管理できます。Red Hat Directory Server 管理ガイド では、これを行う方法と、個々の管理タスクについて詳細に説明しています。

1. Directory Server の概要

Directory Server の主なコンポーネントには、以下が含まれます。

  • LDAP サーバー: LDAP v3 準拠のネットワークデーモン
  • Directory Server Console: ディレクトリーサービスの設定と保守の労力を大幅に削減するグラフィカルな管理コンソール。
  • SNMP エージェント: Simple Network Management Protocol (SNMP) を使用して Directory Server を監視できます。

第1章 はじめに

Directory Server は、LDAP (Lightweight Directory Access Protocol) と呼ばれるオープンシステムサーバープロトコルに基づいています。Directory Server は、大規模なスケールディレクトリーを管理し、ユーザーおよびリソースのエンタープライズ全体ディレクトリー、エクストラネット、およびインターネットでの e-commerce アプリケーションをサポートするよう設計されている、堅牢かつスケーラブルなサーバーです。Directory Server は、マシンの ns-slapd プロセスまたはサービスとして実行します。サーバーはディレクトリーデータベースを管理し、クライアント要求に応答します。

ほとんどの Directory Server の管理タスクは、Directory Server コンソール、Directory Server で提供されるグラフィカルユーザーインターフェースから実行できます。Directory Server コンソールの使用に関する情報は、Red Hat Directory Server 管理ガイド を参照してください。

このリファレンスは、コマンドラインとコマンドラインユーティリティーおよびスクリプトを使用してサーバー設定属性を変更し、Directory Server を管理する他の方法を処理します。

1.1. Directory Server 設定

Directory Server の設定情報およびすべてのサーバー属性の一覧を保存する形式および方法は、3章Core Server Configuration Reference4章プラグインによって実装されるサーバーの機能リファレンス の 2 つの章を参照してください。

1.2. Directory Server インスタンスファイルのリファレンス

「Directory Server インスタンスに依存しないファイルおよびディレクトリー」 には、Directory Server の各インスタンスに保存されるファイルおよび設定情報の概要があります。これは、管理者がディレクトリーアクティビティーの過程で変更や変更がない場合に理解するのに役立つリファレンスです。セキュリティーの観点からは、通常の変更と異常な動作を強調表示し、エラーと侵入を検知するのに役立ちます。

1.3. Directory Server コマンドラインユーティリティーの使用

Directory Server には、ディレクトリー内のエントリーの検索や変更、サーバーの管理が可能な一連の設定可能なコマンドラインユーティリティーが含まれています。9章コマンドラインユーティリティー では、このコマンドラインユーティリティーを説明し、ユーティリティーを保存する場所と、そのアクセス方法を説明します。

第2章 ファイルの場所の概要

Red Hat Directory Server は、ファイルシステム階層標準 (FHS) と互換性があります。FHS の詳細は http://refspecs.linuxfoundation.org/fhs.shtml を参照してください。

2.1. Directory Server インスタンスに依存しないファイルおよびディレクトリー

Directory Server のインスタンスに依存しないデフォルトファイルおよびディレクトリーの場所を以下に示します。

タイプ場所

コマンドラインユーティリティー

/usr/bin/

/usr/sbin/

systemd ユニットファイル

/usr/lib/systemd/system/dirsrv.target

/etc/systemd/system/dirsrv.target.wants/

2.2. Directory Server インスタンス固有のファイルおよびディレクトリー

同じホストで実行されている複数のインスタンスを分離するには、特定のファイルおよびディレクトリーにはインスタンスの名前が含まれます。Directory Server の設定中にインスタンス名を設定します。デフォルトでは、これはドメイン名のないホスト名です。たとえば、完全修飾ドメイン名が server.example.com の場合、デフォルトのインスタンス名は server になります。

Directory Server のインスタンス固有のデフォルトファイルおよびディレクトリーの場所を以下に示します。

タイプ場所

バックアップファイル

/var/lib/dirsrv/slapd-instance_name/bak/

設定ファイル

/etc/dirsrv/slapd-instance_name/

証明書および鍵のデータベース

/etc/dirsrv/slapd-instance_name/

データベースファイル

/var/lib/dirsrv/slapd-instance_name/db/

LDIF ファイル

/var/lib/dirsrv/slapd-instance/ldif/

ロックファイル

/var/lock/dirsrv/slapd-instance_name/

ログファイル

/var/log/dirsrv/slapd-instance_name/

PID ファイル

/var/run/dirsrv/instance_name.pid

systemd ユニットファイル

/etc/systemd/system/dirsrv.target.wants/dirsrv@instance_name.service

2.2.1. 設定ファイル

各 Directory Server インスタンスは、設定ファイルを /etc/dirsrv/slapd-instance ディレクトリーに保存します。

Red Hat Directory Server の設定情報は、そのディレクトリー内に LDAP エントリーとして保存されます。そのため、単純に設定ファイルを編集するのではなく、サーバー設定への変更はサーバー自体を使用して実装する必要があります。この設定ストレージの方法の主な利点は、ディレクトリー管理者が LDAP を使用してサーバーを再構成できることです。これにより、ほとんどの構成変更のためにサーバーをシャットダウンする必要がなくなります。

2.2.1.1. Directory Server 設定の概要

Directory Server が設定されると、デフォルト設定が、サブツリー cn=config のディレクトリー内にある一連の LDAP エントリーとして保存されます。サーバーが起動すると、cn=config サブツリーの内容は、LDIF 形式のファイル (dse.ldif) から読み込まれます。dse.ldif ファイルには、すべてのサーバー設定情報が含まれます。このファイルの最新バージョンは dse.ldif と呼ばれ、最後の変更前のバージョンは dse.ldif.bak と呼ばれ、サーバーが正常に起動する最新のファイルが dse.ldif.startOK と呼ばれます。

Directory Server の機能の多くは、コアサーバーに接続するための個別モジュールとして設計されています。各プラグインの内部設定の詳細は、cn=plugins,cn=config 配下の個別のエントリーに含まれます。たとえば、Telephone 構文プラグインの設定は、以下のエントリーに含まれています。

cn=Telephone Syntax,cn=plugins,cn=config

同様に、データベース固有の設定は以下に保存されます。

cn=ldbm database,cn=plugins,cn=config (ローカルデータベースの場合) および cn=chaining database,cn=plugins,cn=config (データベースリンクの場合)

以下の図は、cn=config ディレクトリー情報ツリー内で設定データがどのように適合するかを示しています。

図2.1 構成データを示すディレクトリー情報ツリー

cfgdit1
2.2.1.1.1. LDIF およびスキーマ設定ファイル

Directory Server の設定データは、/etc/dirsrv/slapd-instance ディレクトリーの LDIF ファイルに保存されます。そのため、サーバー識別子が phonebook で、Directory Server の場合は、設定 LDIF ファイルはすべて /etc/dirsrv/slapd-phonebook の下に保存されます。

このディレクトリーには、他のサーバーインスタンス固有の設定ファイルも含まれます。

スキーマ設定は LDIF 形式でも保存され、これらのファイルは /etc/dirsrv/schema ディレクトリーに置かれます。

以下の表は、Directory Server で提供されるすべての設定ファイルを表しています。その設定ファイルには、他の互換性のあるサーバーのスキーマも含まれます。各ファイルの前には、読み込む順序を示す番号が付いています(数値の昇順、次にアルファベットの昇順)。

表2.1 Directory Server LDIF 設定ファイル

設定ファイル名目的

dse.ldif

サーバーの起動時にディレクトリーによって作成されたフロントエンドのディレクトリー固有のエントリーが含まれます。これには、Root DSE ("") および cn=config および cn=monitor の内容が含まれます (acis のみ)。

00core.ldif

最低限の機能セット (ユーザースキーマなし、コア以外の機能のスキーマなし) でサーバーを起動するために必要なスキーマ定義のみが含まれます。ユーザー、機能、およびアプリケーションが使用するその他のスキーマは 01common.ldif と他のスキーマファイルにあります。このファイルは変更しないでください。

01common.ldif

subschemaSubentry、RFC2256 (X.520/X.521 ベース) で定義された LDAPv3 標準のユーザーおよび組織スキーマ、inetOrgPerson などの広く使われている属性や、Directory Server の設定で使われる運用属性など、LDAPv3 標準の運用スキーマが含まれています。このファイルを変更すると、相互運用性の問題が発生します。ユーザー定義の属性は Directory Server コンソールを使用して追加する必要があります。

05rfc2247.ldif

RFC 2247 、および「Using Domains in LDAP/X500 Distinguished Names.」の関連コレクションスキーマのスキーマ。

05rfc2927.ldif

RFC 2927 からのスキーマ「MIME Directory Profile for LDAP Schema」。 subschema サブエントリーに表示する属性に必要な ldapSchemas 操作属性が含まれます。

10presence.ldif

レガシー。インスタントメッセージングプレゼンス (オンライン) 情報のスキーマ。このファイルには、ユーザーがインスタントメッセージングプレゼンス情報を利用できるようにするためにユーザーのエントリーに追加する必要のある、許可された属性を持つデフォルトのオブジェクトクラスが一覧表示されます。

10rfc2307.ldif

RFC 2307 からのスキーマ「LDAP をネットワーク情報サービスとして使用するためのアプローチ」。 これは、そのスキーマが使用可能になる10rfc2307bisrfc2307 の新バージョンに、取って代わられます。

20subscriber.ldif

新しいスキーマ要素と Nortel サブスクライバーの相互運用性仕様が含まれています。以前は 50ns-delegated-admin.ldif ファイルに保存されていた、adminRole 属性、memberOf 属性、および inetAdmin オブジェクトクラスが含まれます。

25java-object.ldif

RFC 2713 のスキーマ「Schema for Representing Java® Objects in an LDAP Directory」

28pilot.ldif

RFC 1274 のパイロットディレクトリースキーマが含まれていますが、これは新しいデプロイメントには推奨されなくなりました。RFC 1274 を成功する今後の RFC は、すべて 28pilot.ldif 属性タイプおよびクラスを非推奨とする場合があります。

30ns-common.ldif

Directory Server コンソールフレームワークに共通するオブジェクトクラスおよび属性が含まれるスキーマ。

50ns-admin.ldif

Red Hat 管理サーバーによって使用されるスキーマ。

50ns-certificate.ldif

Red Hat Certificate Management System のスキーマ。

50ns-directory.ldif

Directory Server 4.12 以前のバージョンで使用される追加の設定スキーマがディレクトリーに含まれており、これは現在のバージョンの Directory Server には適用されなくなりました。このスキーマは、Directory Server 4.12 と現在のリリース間の複製に必要です。

50ns-mail.ldif

メールサーバーがメールユーザーおよびメールグループを定義するのに Netscape Messaging Server が使用するスキーマ。

50ns-value.ldif

サーバーの値のアイテム属性のスキーマ。

50ns-web.ldif

Netscape Web Server のスキーマ。

60pam-plugin.ldif

将来の使用のために予約されています。

99user.ldif

サプライヤーの属性とオブジェクトクラスを含む Directory Server レプリケーションコンシューマーによって維持されるユーザー定義のスキーマ。

2.2.1.1.2. サーバー設定の組織化方法

dse.ldif ファイルには、データベースに関連するエントリーなど、サーバーの起動時にディレクトリー固有のエントリーを含むすべての設定情報が含まれます。このファイルには、root Directory Server エントリー (または ""という名前の DSE) と cn=config および cn=monitor のコンテンツが含まれます。

サーバーが dse.ldif ファイルを生成すると、エントリーが cn=config の下のディレクトリーに表示される順番に一覧表示されます。これは、ベース cn=config のサブツリースコープの LDAP 検索の順序と同じです。

dse.ldif には cn=monitor エントリーも含まれています。このエントリーは主に読み取り専用ですが、ACI を設定できます。

注記

dse.ldif ファイルには、cn=config のすべての属性は含まれません。管理者によって属性が設定されておらず、デフォルト値がある場合は、サーバーはその属性を dse.ldif に書き込みません。cn=config のすべての属性を表示するには、ldapsearch を使用します。

設定属性

設定エントリー内で、各属性は属性名として解釈されます。属性の値は属性の設定に対応します。

以下のコード例は、Directory Server の dse.ldif ファイルの一部になります。この例では、スキーマチェックが有効になっていると表示されます。これは、nsslapd-schemacheck 属性で表され、値は on になります。

dn: cn=config
objectclass: top
objectclass: extensibleObject
objectclass: nsslapdConfig
nsslapd-accesslog-logging-enabled: on
nsslapd-enquote-sup-oc: off
nsslapd-localhost: phonebook.example.com
nsslapd-schemacheck: on
nsslapd-port: 389
nsslapd-localuser: dirsrv
...

プラグイン機能の設定

Directory Server プラグイン機能の各設定には、独自のエントリーと、サブツリー cn=plugins,cn=config 下の属性セットがあります。以下のコード例は、プラグインのサンプルである Telephone Syntax プラグインの設定エントリーの例です。

dn: cn=Telephone Syntax,cn=plugins,cn=config
objectclass: top
objectclass: nsSlapdPlugin
objectclass: extensibleObject
cn: Telephone Syntax
nsslapd-pluginType: syntax
nsslapd-pluginEnabled: on

これらの属性の一部はすべてのプラグインに共通しており、特定のプラグインに固有のものです。cn=config サブツリーで ldapsearch を実行して、特定のプラグインで現在使用されている属性を確認します。

Directory Server がサポートするプラグイン、一般的なプラグイン設定情報、プラグイン設定属性の参照、および設定変更に必要なプラグインの一覧は、4章プラグインによって実装されるサーバーの機能リファレンス を参照してください。

データベースの設定

データベースプラグインエントリーの cn=UserRoot サブツリーには、セットアップ時に作成されたデフォルトのサフィックスを含むデータベースの設定データが含まれます。

これらのエントリーと子には、キャッシュサイズ、インデックスファイルへのパス、監視および統計の属性、データベースインデックスなどの異なるデータベースの設定に使用される属性が多数あります。

インデックスの設定

インデックスの設定情報は、以下の info-tree ノード下の Directory Server のエントリーとして保存されます。

  • cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
  • cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config

一般インデックスの詳細は、『Red Hat Directory Server 管理ガイド』を参照してください。インデックス設定属性の詳細は、「cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性」 を参照してください。

2.2.1.2. サーバー設定へのアクセスおよび変更

このセクションでは、設定エントリーのアクセス制御を説明し、サーバー設定を表示および修正できるさまざまな方法について説明します。また、変更を有効にするためにサーバーを再起動する必要がある属性を説明し、変更できる変更の種類に制限を扱います。

2.2.1.2.1. 設定エントリーのアクセス制御

Directory Server がインストールされると、cn=config 下のすべてのエントリーに対して、デフォルトのアクセス制御命令 (ACI) が実装されます。以下のコード例は、これらのデフォルトの ACI の例です。

aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
     groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)

これらのデフォルトの ACI により、以下のユーザーはすべての LDAP 操作をすべて設定属性で実行できます。

  • Configuration Administrators グループのメンバー。
  • 管理者として機能するユーザーは、セットアップで設定した admin アカウントです。デフォルトでは、これはコンソールにログインしているのと同じユーザーアカウントです。
  • ローカルの Directory Administrators グループのメンバー。
  • SIE (Server Instance Entry) グループは、通常 Set Access Permissions プロセスを使用してメインコンソールに割り当てられます。

アクセス制御の詳細は、『Red Hat Directory Server 管理ガイド』を参照してください。

2.2.1.2.2. 設定属性の変更

サーバー属性は、3 つの方法 (Directory Server コンソール、ldapsearch コマンドおよび ldapmodify コマンドの実行、または dse.ldif ファイルの手動編集) のいずれかで表示および変更できます。

注記

dse.ldif ファイルを編集する前にサーバーを停止する 必要 があります。それ以外の場合は、変更が失われます。dse.ldif ファイルの編集は、動的に変更できない属性の変更のみに推奨されます。詳細は サーバーの再起動再起動の設定変更 を参照してください。

次のセクションでは、LDAPを使用して (Directory Server Console とコマンドラインの両方を使用して) エントリーを変更する方法、エントリーの変更に適用される制限、属性の変更に適用される制限、および再起動が必要な構成の変更を説明します。

LDAP を使用した設定エントリーの変更

ディレクトリーの設定エントリーは、Directory Server Console を使用するか、他のディレクトリーエントリーと同じ方法で ldapsearch 操作および ldapmodify 操作を実行して LDAP を使用して検索および変更できます。LDAP を使用してエントリーを修正する利点は、サーバーの実行中に変更できます。

詳細は、『Red Hat Directory Server 管理ガイド』の「ディレクトリーエントリーの作成」の章を参照してください。ただし、特定の変更では、考慮する前にサーバーを再起動する必要があります。詳細は サーバーの再起動再起動の設定変更 を参照してください。

注記

設定ファイルセットと同様に、Directory Server 機能に影響を与えるリスクがあるため、cn=config サブツリーのノードを変更または削除する場合には注意が必要です。

常にデフォルト値を取る属性を含む設定全体を表示するには、cn=config サブツリーの ldapsearch 操作を実行します。

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
  • bindDN は、サーバーのインストール時に Directory Manager に対して選択される DN です (デフォルトでは cn=Directory Manager)。
  • password は、Directory Manager に選択するパスワードです。

プラグインを無効にするには、ldapmodify を使用して nsslapd-pluginEnabled 属性を編集します。

# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=Telephone Syntax,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled: off

設定エントリーおよび属性の変更に関する制限

サーバーエントリーおよび属性を変更する際に、特定の制限が適用されます。

  • The cn=monitor エントリーとその子エントリーは読み取り専用で、ACI の管理以外は変更できません。
  • cn=config に属性が追加されると、サーバーは属性を無視します。
  • 属性に無効な値を入力すると、サーバーはこれを無視します。
  • ldapdelete はエントリー全体を削除するために使用されているため、ldapmodify を使用してエントリーから属性を削除します。

サーバーの再起動再起動の設定変更

一部の設定属性は、サーバーの実行中に変更することはできません。このような場合、変更を反映するには、サーバーをシャットダウンして再起動する必要があります。この変更は、Directory Server コンソールを使用するか、手動で dse.ldif ファイルを編集して行う必要があります。サーバーを再起動して変更を反映する必要がある属性の一部は次のとおりです。このリストは網羅的ではありません。完全なリストを表示するには、ldapsearch を実行し、nsslapd-requiresrestart 属性を検索します。以下に例を示します。

# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

nsslapd-cachesize

nsslapd-certdir

nsslapd-dbcachesize

nsslapd-dbncache

nsslapd-plugin

nsslapd-changelogdir

nsslapd-changelogmaxage

nsslapd-changelogmaxentries

nsslapd-port

nsslapd-schemadir

nsslapd-saslpath

nsslapd-secureport

nsslapd-tmpdir

nsSSLclientauth

nsSSLSessionTimeout

nsslapd-conntablesize

nsslapd-lockdir

nsslapd-maxdescriptors

nsslapd-reservedescriptors

nsslapd-listenhost

nsslapd-schema-ignore-trailing-spaces

nsslapd-securelistenhost

nsslapd-workingdir

nsslapd-return-exact-case

nsslapd-maxbersize[a]

 
[a] この属性には再起動が必要ですが、検索で返されません。

設定属性の削除

/etc/dirsrv/slapd-instance-name/dse.ldif ファイルに書き込まれていない場合でも、コア設定属性はすべてサーバーで使用されるデフォルト値を持つためにあります。

コア設定属性と削除できない属性の一覧の詳細は、『Red Hat Directory Server 管理ガイド』の該当するセクションを参照してください。

2.2.2. データベースファイル

各 Directory Server インスタンスには、すべてのデータベースファイルを保存する /var/lib/dirsrv/slapd-instance/db ディレクトリーが含まれます。以下は、/var/lib/dirsrv/slapd-instance/db ディレクトリーの内容のサンプルです。

例2.1 データベースディレクトリーのコンテンツ

db.001 db.002  __db.003  DBVERSION  log.0000000001  userroot/
  • db.00x ファイル - データベースによって内部で使用されるため、いかなる方法でも移動、削除、または変更しないでください。
  • log.xxxxxxxxxx ファイル - データベースごとにトランザクションログを保存するために使用されます。
  • DBVERSION - データベースのバージョンを保存するために使用します。
  • userRoot - 設定で作成されるユーザー定義の接尾辞 (ユーザー定義のデータベース) を保存します。たとえば、dc=example,dc=com を保存します。
注記

ディレクトリーツリーを新しい接尾辞の下に保存する新規データベース (例: testRoot) が作成されると、testRoot という名前のディレクトリーも /var/lib/dirsrv/slapd-instance/db ディレクトリーに表示されます。

以下は、userRoot ディレクトリーの内容の例です。

例2.2 ユーザールートデータベースディレクトリーのコンテンツ

ancestorid.db
DBVERSION
entryrdn.db
id2entry.db
nsuniqueid.db
numsubordinates.db
objectclass.db
parentid.db

userroot サブディレクトリーには以下のファイルが含まれます。

  • ancestorid.db - エントリーの先祖の ID を検索する ID の一覧が含まれています。
  • entrydn.db - ID を検索する完全な DN の一覧が含まれています。
  • id2entry.db - 実際のディレクトリーデータベースエントリーが含まれます。必要に応じて、他のデータベースファイルはすべて、このデータベースファイルから再作成できます。
  • nsuniqueid.db - ID を検索する一意の ID の一覧が含まれています。
  • numsubordinates.db - 子エントリーを持つ ID が含まれます。
  • objectclass.db - 特定のオブジェクトクラスを持つ ID の一覧が含まれます。
  • parentid.db - 親の ID を検索する ID の一覧が含まれます。

2.2.3. LDIF ファイル

LDIF ファイルの例は、LDIF 関連のファイルを保存する /var/lib/dirsrv/slapd-instance/ldif ディレクトリーに保存されます。例2.3「LDIF ディレクトリーの内容」 は、/ldif ディレクトリーの内容を一覧表示します。

例2.3 LDIF ディレクトリーの内容

European.ldif
Example.ldif
Example-roles.ldif
Example-views.ldif
  • European.ldif: ヨーロッパの文字サンプルが含まれます。
  • example.ldif: LDIF ファイルのサンプルです。
  • example-roles.ldif: Example.ldif と同様に LDIF ファイルの例です。ただし、ディレクトリー管理者にアクセス制御およびリソース制限を設定するグループの代わりに、サービスのロールとクラスを使用する点が異なります。
注記

インスタンスディレクトリーの db2ldif スクリプトまたは db2ldif.pl スクリプトがエクスポートした LDIF ファイルは、/var/lib/dirsrv/slapd-instance/ldif に保存されます。

2.2.4. ロックファイル

各 Directory Server インスタンスには、ロック関連のファイルを保存する /var/lock/dirsrv/slapd-instance ディレクトリーが含まれます。以下は、locks ディレクトリーのコンテンツの一覧表示例です。

例2.4 ディレクトリーコンテンツのロック

exports/ imports/ server/

ロックメカニズムは、一度に実行できる Directory Server プロセスのコピーの数を制御します。たとえば、インポートジョブがある場合は、ロックが imports/ ディレクトリーに格納され、他の ns-slapd (通常)、ldif2db (他のインポート)、または db2ldif (エクスポート) の操作が実行されないようにします。サーバーが通常通りに実行されている場合は、server/ ディレクトリーにロックがあり、インポート操作は妨げられ (エクスポート操作は妨げられない)、エクスポート操作がある場合、exports/ ディレクトリーのロックは、通常のサーバー操作を許可しますが、インポート操作を防ぎます。

利用可能なロックの数は、Directory Server 全体のパフォーマンスに影響する可能性があります。ロックの数は、nsslapd-db-locks 属性に設定されます。属性値の調整については、『パフォーマンスチューニングガイド』を参照してください。

2.2.5. ログファイル

各 Directory Server インスタンスには、ログファイルを保存する /var/log/dirsrv/slapd-instance ディレクトリーが含まれます。以下は、/logs ディレクトリーの内容を一覧表示した例です。

例2.5 ログディレクトリーのコンテンツ

access                  access.20200228-171925  errors
access.20200221-162824  access.rotationinfo     errors.20200221-162824
access.20200223-171949  audit                   errors.rotationinfo
access.20200227-171818  audit.rotationinfo	slapd.stats
  • accessaudit、および error のログファイルの内容は、ログ設定によって異なります。
  • slapd.stats ファイルはメモリーにマッピングされたファイルで、エディターで読み込むことができません。これには、Directory Server SNMP データ収集コンポーネントによって収集されるデータが含まれます。このデータは SNMP 属性クエリーに対応して SNMP サブエージェントによって読み取られ、Directory Server SNMP リクエストを処理する SNMP マスターエージェントに通信されます。

7章ログファイルのリファレンス アクセス、エラー、監査ログファイル形式のソリッドの概要と、その形式の情報が含まれます。

2.2.6. PID ファイル

slapd-serverID.pid ファイルおよび slapd-serverID.startpid ファイルは、サーバーの稼働時に /var/run/dirsrv ディレクトリーに作成されます。両方のファイルがサーバーのプロセス ID を保存します。

2.2.7. バックアップファイル

各 Directory Server インスタンスには、バックアップ関連のファイルを保存するための以下のディレクトリーとファイルが含まれます。

  • /var/lib/dirsrv/slapd-instance/bak: これには、インスタンス、データベースバックアップの日時 (例: インスタンスの-2020_05_02_16_56_05/ など) がデータベースのバックアップのコピーを保持します。
  • /etc/dirsrv/slapd-instance/dse_original.ldif: これは、インストール時からの dse.ldif 設定ファイルのバックアップコピーです。

2.3. 管理サーバーファイルおよびディレクトリー

管理サーバーのデフォルトファイルおよびディレクトリーの場所を以下に示します。

タイプ場所

ログファイル

/var/log/dirsrv/admin-serv/

設定ファイル

/etc/dirsrv/admin-serv/

証明書および鍵のデータベース

/etc/dirsrv/admin-serv/

ランタイムファイル:

/var/run/dirsrv/admin-serv.*

systemd ユニットファイル

/etc/systemd/system/multi-user.target.wants/dirsrv-admin.service

コマンドラインユーティリティー

/usr/bin/

/usr/sbin/

第3章 Core Server Configuration Reference

本章では、すべてのコア(サーバー関連)属性のアルファベット参照を提供します。「Directory Server 設定の概要」 Red Hat Directory Server 設定ファイルについてよく概説します。

3.1. Core Server Configuration Attributes Reference

このセクションでは、コアサーバーの機能に関連する設定属性の参照情報を説明します。サーバー設定の変更に関する詳細は、「サーバー設定へのアクセスおよび変更」 を参照してください。プラグインとして実装されるサーバー機能の一覧は、「サーバープラグインの機能リファレンス」 を参照してください。カスタムサーバーの機能の実装に関するヘルプは、Directory Server のサポートにお問い合わせください。

以下の図のように、dse.ldif ファイルに保存された設定情報は、一般的な設定エントリー cn=config 配下にある情報ツリーとして編成されます。

図3.1 構成データを示すディレクトリー情報ツリー

cfgdit1

この設定ツリーノードのほとんどは、以下のセクションで説明されています。

cn=plugins ノードは 4章プラグインによって実装されるサーバーの機能リファレンス で説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、およびその使用例などの詳細が含まれます。

注記

本章で説明するエントリーや属性の一部は、製品の今後のリリースで変更される可能性があります。

3.1.1. cn=config

一般的な設定エントリーは cn=config エントリーに保存されます。cn=config エントリーは、nsslapdConfig オブジェクトクラスのインスタンスで、extensibleObject オブジェクトクラスを継承します。

3.1.1.1. nsslapd-accesslog(アクセスログ)

この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。以下の情報は、デフォルトでログファイルに記録されます。

  • データベースにアクセスしたクライアントマシンの IP アドレス(IPv4 または IPv6)。
  • 実行される操作(検索、追加、変更など)。
  • アクセスの結果(例: 返されたエントリーの数またはエラーコード)。

アクセスログをオフにする方法は、『Red Hat Directory Server 管理ガイド』の「サーバーおよびデータベースアクティビティーの監視」の章を参照してください。

アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.1 dse.ldif ファイル属性

属性ログの有効化または無効化

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

有効

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名。

デフォルト値

/var/log/dirsrv/slapd-instance/access

構文

DirectoryString

nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access

3.1.1.2. nsslapd-accesslog-level(アクセスログレベル)

この属性は、アクセスログにログを記録した内容を制御します。

パラメーター説明

エントリー DN

cn=config

有効な値

* 0 - アクセスログなし

* 4 - 内部アクセス操作のログ

* 256 - 接続、操作、および結果のログ

* 512 - エントリーおよび参照へのアクセスに関するロギング

* 131072 - マイクロ秒単位の操作タイミングを提供します。

* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、516 (4 + 512) )を使用して内部アクセス操作、エントリーアクセス、参照ロギングを取得します。

デフォルト値

256

構文

整数

nsslapd-accesslog-level: 256

3.1.1.3. nsslapd-accesslog-list(アクセスログファイルの一覧)

この read-only 属性(設定できません)は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-accesslog-list: accesslog2,accesslog3

3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)

off に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を及ぼさずに負荷が大きい場合でも、サーバーはアクセスログを使用できます。ただし、デバッグ時には、ログエントリーがファイルにフラッシュされるのを待つ代わりに、バッファーを無効にして操作とその結果を直ちに表示することが役に立つ場合があります。ログバッファーを無効にすると、負荷の高いサーバーでパフォーマンスに深刻な影響を与える可能性があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logbuffering: off

3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)

この属性は、ログファイルの削除前に到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit 属性で指定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-accesslog-logexpirationtime: 2

3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time Unit)

この属性は、nsslapd-accesslog-logexpirationtime 属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

month

構文

DirectoryString

nsslapd-accesslog-logexpirationtimeunit: week

3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)

accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog 属性と併せてのみ有効です。

アクセスロギングを有効にするには、この属性を on に切り替え、nsslapd-accesslog 設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.2 dse.ldif Attributes

属性ログの有効化または無効化

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

on

filename

有効

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

空の文字列

Disabled

nsslapd-accesslog-logging-enabled

nsslapd-accesslog

off

filename

Disabled

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logging-enabled: off

3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)

この属性は、アクセスログが消費できる最大ディスク容量をメガバイトで指定します。この値を超えると、一番古いアクセスログが削除されます。

最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域がサイズが無制限になります。

デフォルト値

-1

構文

整数

nsslapd-accesslog-logmaxdiskspace: 100000

3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)

この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで古いアクセスログが削除されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-accesslog-logminfreediskspace: -1

3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)

この属性は、アクセスログのローテーションが 1 日の特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour 属性値および nsslapd-accesslog-logrotationsyncmin 属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。

たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on に設定して有効にし、nsslapd-accesslog-logrotationsynchour 属性および nsslapd-accesslog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-accesslog-logrotationsync-enabled: on

3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)

この属性は、アクセスログのローテーションを行う日の時間を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 23

デフォルト値

0

構文

整数

nsslapd-accesslog-logrotationsynchour: 23

3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)

この属性は、アクセスログのローテーションを行う曜日を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 59

デフォルト値

0

構文

整数

nsslapd-accesslog-logrotationsyncmin: 30

3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)

この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit 属性で指定します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

ログの無限に増大するため、パフォーマンスの理由でログローテーションを指定しない場合は推奨されませんが、これを指定することは 2 つあります。nsslapd-accesslog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合、サーバーは nsslapd-accesslog-logrotationtime 属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir(アクセスログの最大ログファイル数)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、ログファイルのローテーション間の時間が無制限になります。

デフォルト値

1

構文

整数

nsslapd-accesslog-logrotationtime: 100

3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time Unit)

この属性は、nsslapd-accesslog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

day

構文

DirectoryString

nsslapd-accesslog-logrotationtimeunit: week

3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)

この属性は、最大アクセスログサイズをメガバイトで設定します。この値に達すると、アクセスログがローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。

最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-accesslog-maxlogsize: 100

3.1.1.16. nsslapd-accesslog-maxlogsperdir(アクセスログの最大ログファイル数)

この属性は、アクセスログが保存されるディレクトリーに追加できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存された値を超えると、ログファイルの最も古いバージョンは削除されます。パフォーマンス上の理由から、サーバーがログをローテーションせず、ログが無制限に大きくなるため、Red Hat はこの値を 1 に設定 しない ことを推奨します。

この属性の値が 1 よりも大きい場合は、nsslapd-accesslog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-accesslog-logrotationtime(Access Log Rotation Time)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

10

構文

整数

nsslapd-accesslog-maxlogsperdir: 10

3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)

この属性は、ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000 から 777 の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0 から 7 まで変わります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-accesslog-mode: 600

3.1.1.18. nsslapd-allow-anonymous-access

バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。

ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。

匿名バインドを無効にしてセキュリティーを向上させる(off)ことができます。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。

必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn 属性を使用して、リソース制限を匿名バインドに配置できます。

この値の変更は、サーバーが再起動するまで反映されません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off | rootdse

デフォルト値

on

構文

DirectoryString

nsslapd-allow-anonymous-access: on

3.1.1.19. nsslapd-allow-hashed-passwords

このパラメーターは、事前にハッシュされたパスワードチェックを無効にします。デフォルトでは、Directory Server では、Directory Manager 以外のユーザーが事前にハッシュ化されたパスワードを設定できないようにします。この特権は、Password Administrators グループに追加するときに他のユーザーに委任できます。ただし、レプリケーションパートナーが事前にハッシュ化されたパスワード確認を制御する場合など、シナリオによっては、この機能を Directory Server で無効にする必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-allow-hashed-passwords: off

3.1.1.20. nsslapd-allow-unauthenticated-binds

認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。

警告

Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-allow-unauthenticated-binds: off

3.1.1.21. nsslapd-allowed-sasl-mechanisms

デフォルトでは、ルート DSE には SASL ライブラリーがサポートするすべてのメカニズムが一覧表示されます。ただし、環境によっては、特定の設定のみを使用することが推奨されます。nsslapd-allowed-sasl-mechanisms 属性を使用すると、定義した SASL メカニズムのみを有効にできます。

メカニズム名は大文字、数字、およびアンダースコアで構成される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。

注記

EXTERNAL メカニズムは SASL プラグインによって実際に使用されません。サーバーの内部で、主に TLS クライアント認証に使用されます。したがって、EXTERNAL メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms 属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な SASL メカニズム

デフォルト値

none(許可されるすべての SASL メカニズム)

構文

DirectoryString

nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP

3.1.1.22. nsslapd-anonlimitsdn

リソース制限は認証バインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit)、時間制限 (nsslapd-timelimit)、およびタイムアウト期間 (nsslapd-idletimeout)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス攻撃がディレクトリーリソースを偽装しなくなり、全体的なパフォーマンスが改善されます。

リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。つまり、リソース制限は、通常匿名操作には適用されません。

匿名バインドにリソース制限を設定するには、適切なリソース制限を指定してテンプレートエントリーを作成できます。nsslapd-anonlimitsdn 設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の DN

デフォルト値

なし

構文

DirectoryString

nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com

3.1.1.23. nsslapd-attribute-name-exceptions

この属性は、スキーマ定義属性の "_" などの旧サーバーとの後方互換性を維持するため、属性名の非標準文字を使用できます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-attribute-name-exceptions: on

3.1.1.24. nsslapd-auditlog(Audit Log)

この属性は、各データベースに加えた変更を記録するために使用されるログのパスおよびファイル名を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名

デフォルト値

/var/log/dirsrv/slapd-instance/audit

構文

DirectoryString

nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit

監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.3 nsslapd-auditlog の組み合わせが可能

dse.ldif の属性ログの有効化または無効化

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

有効

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

3.1.1.25. nsslapd-auditlog-list

監査ログファイルの一覧を提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-auditlog-list: auditlog2,auditlog3

3.1.1.26. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)

この属性は、ログファイルの削除前にログファイルが許容できる最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit 属性で指定します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-auditlog-logexpirationtime: 1

3.1.1.27. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration Time Unit)

この属性は、nsslapd-auditlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

構文

DirectoryString

nsslapd-auditlog-logexpirationtimeunit: day

3.1.1.28. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)

監査ロギングをオンにし、オフにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-logging-enabled: off

監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、ns slapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。

表3.4 nsslapd-auditlog および nsslapd-auditlog-logging-enabled の組み合わせが可能

属性ログの有効化または無効化

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

on

filename

有効

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

空の文字列

Disabled

nsslapd-auditlog-logging-enabled

nsslapd-auditlog

off

filename

Disabled

3.1.1.29. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)

この属性は、監査ログの消費が許可されるメガバイト単位で最大ディスク容量を設定します。この値を超えると、最も古い監査ログが削除されます。

最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル(アクセスログ、監査ログ、およびエラーログ)があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、監査ログが許可されるディスク領域がサイズが無制限になります。

デフォルト値

-1

構文

整数

nsslapd-auditlog-logmaxdiskspace: 10000

3.1.1.30. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで古い監査ログが削除されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 (無制限) | 1 から 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-auditlog-logminfreediskspace: -1

3.1.1.31. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)

この属性は、監査ログのローテーションが日の特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour 属性値および nsslapd-auditlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。

たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour 属性および nsslapd-auditlog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-logrotationsync-enabled: on

3.1.1.32. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)

この属性は、監査ログのローテーションを実行する時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 23

デフォルト値

なし (nsslapd-auditlog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditlog-logrotationsynchour: 23

3.1.1.33. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)

この属性は、監査ログのローテーションのための日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 59

デフォルト値

なし (nsslapd-auditlog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditlog-logrotationsyncmin: 30

3.1.1.34. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)

この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性が 1 に設定されていると、サーバーはこの属性を無視します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of Log Files)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、監査ログファイルのローテーション間の時間が無制限になります。

デフォルト値

1

構文

整数

nsslapd-auditlog-logrotationtime: 100

3.1.1.35. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation Time Unit)

この属性は、nsslapd-auditlog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

構文

DirectoryString

nsslapd-auditlog-logrotationtimeunit: day

3.1.1.36. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)

この属性は、最大監査ログサイズをメガバイトで設定します。この値に達すると、監査ログがローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir1 にすると、サーバーはこの属性を無視します。

最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-auditlog-maxlogsize: 50

3.1.1.37. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of Log Files)

この属性は、監査ログが保存されるディレクトリーに指定できる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。

この属性の値が 1 よりも大きい場合は、nsslapd-auditlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

1

構文

整数

nsslapd-auditlog-maxlogsperdir: 10

3.1.1.38. nsslapd-auditlog-mode(Audit log File Permission)

この属性は、監査ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-auditlog-mode: 600

3.1.1.39. nsslapd-auditfaillog(Audit Fail Log)

この属性は、失敗した LDAP 変更の記録に使用するログのパスおよびファイル名を設定します。

nsslapd-auditfaillog-logging-enabled が有効にされており、nsslapd-auditfaillog が設定されていない場合、監査の失敗イベントは nsslapd-auditlog で指定されたファイルに記録されます。

nsslapd-auditfaillog パラメーターを nsslapd-auditlog と同じパスに設定すると、いずれも同じファイルに記録されます。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名

デフォルト値

/var/log/dirsrv/slapd-instance/audit

構文

DirectoryString

nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit

監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled 属性を on に設定する必要があります。

3.1.1.40. nsslapd-auditfaillog-list

監査失敗ログファイルの一覧を提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3

3.1.1.41. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)

この属性は、削除する前にログファイルの最大期間を設定します。これはユニットの数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit 属性の day、week、month など、単位を指定します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-auditfaillog-logexpirationtime: 1

3.1.1.42. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration Time Unit)

この属性は、nsslapd-auditfaillog-logexpirationtime 属性に単位を設定します。サーバーでユニットが不明な場合は、ログの期限が切れません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

構文

DirectoryString

nsslapd-auditfaillog-logexpirationtimeunit: day

3.1.1.43. nsslapd-auditfaillog-logging-enabled(Audit Fail Log Enable Logging)

LDAP 変更の失敗のログをオンにし、オフにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditfaillog-logging-enabled: off

3.1.1.44. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)

この属性は、監査失敗ログが消費できるメガバイト単位で最大ディスク容量を設定します。サイズが制限を超えると、一番古い監査ログが削除されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、ログの失敗が許可されるディスク領域がサイズが無制限になります。

デフォルト値

-1

構文

整数

nsslapd-auditfaillog-logmaxdiskspace: 10000

3.1.1.45. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)

この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定した値よりも小さい場合、一番古い監査失敗ログは、十分なディスク領域が解放されるまで削除されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 (無制限) | 1 から 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-auditfaillog-logminfreediskspace: -1

3.1.1.46. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)

この属性は、監査の失敗ログローテーションが 1 日の特定の時間と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour 属性値および nsslapd-auditfaillog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。

たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour 属性および nsslapd-auditfaillog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditfaillog-logrotationsync-enabled: on

3.1.1.47. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)

この属性は、監査の失敗ログがローテーションされる日の時間を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 23

デフォルト値

なし (nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditfaillog-logrotationsynchour: 23

3.1.1.48. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)

この属性は、監査の失敗ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsynchour 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 59

デフォルト値

なし (nsslapd-auditfaillog-logrotationsync-enabled がオフであるため)

構文

整数

nsslapd-auditfaillog-logrotationsyncmin: 30

3.1.1.49. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)

この属性は、監査失敗ログファイルのローテーション間の時間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit 属性で指定します。nsslapd-auditfaillog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditfaillog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime 属性を確認します。詳細は、「nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、監査失敗のログファイルのローテーションが無制限になります。

デフォルト値

1

構文

整数

nsslapd-auditfaillog-logrotationtime: 100

3.1.1.50. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time Unit)

この属性は、nsslapd-auditfaillog-logrotationtime 属性の単位を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

構文

DirectoryString

nsslapd-auditfaillog-logrotationtimeunit: day

3.1.1.51. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)

この属性は、監査失敗ログの最大サイズをメガバイトで設定します。この値に達すると、監査の失敗ログがローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir パラメーターが 1 に設定されている場合、サーバーはこの属性を無視します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-auditfaillog-maxlogsize: 50

3.1.1.52. nsslapd-auditfaillog-maxlogsperdir(Audit Fail Log Maximum Number of Log Files)

この属性は、監査ログが保存されるディレクトリーに含める監査失敗ログの合計数を設定します。監査の失敗ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。

この属性の値が 1 よりも大きい場合は、nsslapd-auditfaillog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime 属性の値が -1 の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

1

構文

整数

nsslapd-auditfaillog-maxlogsperdir: 10

3.1.1.53. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)

この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-auditfaillog-mode: 600

3.1.1.54. nsslapd-bakdir(Default Backup Directory)

このパラメーターは、デフォルトのバックアップディレクトリーへのパスを設定します。Directory Server ユーザーに、設定したディレクトリーに書き込み権限が必要です。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

ローカルディレクトリーパス。

デフォルト値

/var/lib/dirsrv/slapd-instance/bak

構文

DirectoryString

nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak

3.1.1.55. nsslapd-certdir(証明書およびキーデータベースディレクトリー)

このパラメーターは、Directory Server がインスタンスの Network Security Services(NSS)データベースを保存するために使用するディレクトリーへの完全パスを定義します。このデータベースには、インスタンスの秘密鍵と証明書が含まれます。

フォールバックとして Directory Server は、秘密鍵と証明書をこのディレクトリーに抽出します。サーバーがプライベート名前空間の /tmp/ ディレクトリーに抽出できません。プライベート名スペースの詳細は、systemd.exec(5) の man ページのPrivateTmp パラメーターの説明を参照してください。

nsslapd-certdir で指定したディレクトリーはサーバーのユーザー ID で所有され、このユーザー ID のみがこのディレクトリーに読み取り/書き込みパーミッションを持っている必要があります。セキュリティー上の理由から、他のユーザーがこのディレクトリーへの読み書きを実行する必要はありません。

この属性への変更を反映するには、サービスを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

絶対パス

デフォルト値

/etc/dirsrv/slapd-instance_name/

構文

DirectoryString

nsslapd-certdir: /etc/dirsrv/slapd-instance_name/

3.1.1.56. nsslapd-certmap-basedn(証明書マップ検索ベース)

この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、ルート DN をもとにしたディレクトリーサブツリー検索を使用して、証明書マッピングを行うことができます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn 属性は、ルート以外のエントリーに基づいて検索を強制的に実行する可能性があります。この属性に有効な値は、証明書マッピングに使用するサフィックスまたはサブツリーの DN です。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の有効な DN

デフォルト値

 

構文

DirectoryString

nsslapd-certmap-basedn: ou=People,dc=example,dc=com

3.1.1.57. nsslapd-config

この read-only 属性は設定 DN です。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な設定 DN

デフォルト値

 

構文

DirectoryString

nsslapd-config: cn=config

3.1.1.58. nsslapd-cn-uses-dn-syntax-in-dns

このパラメーターにより、CN 値内で DN を有効にすることができます。

Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn 属性を使用して DN 値を保存することがあります。たとえば、dn: cn="dc=A,dc=com", cn=mapping tree,cn=config の場合は、DN 構文に従って cn を正規化する必要があります。

この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns パラメーターを有効にします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-cn-uses-dn-syntax-in-dns: off

3.1.1.59. nsslapd-connection-buffer

この属性は、接続バッファーの動作を設定します。以下の値が使用できます。

  • 0: バッファーを無効にします。1 度に読み取られるのは単一の Protocol Data Units(PDU)のみです。
  • 1: 512 バイトの通常の固定サイズ LDAP_SOCKET_IO_BUFFER_SIZE
  • 2: 適応可能なバッファーサイズ

値が 2 の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加/変更操作のケース、またはレプリケーションなどの 1 つの接続で非同期リクエストを受け取る場合などです。

パラメーター説明

エントリー DN

cn=config

有効な値

0 | 1 | 2

デフォルト値

1

構文

整数

nsslapd-connection-buffer: 1

3.1.1.60. nsslapd-connection-nocanon

このオプションを使用すると、SASL NOCANON フラグを有効または無効にできます。無効にすると、Directory Server が外向き接続に対して DNS 逆引きエントリーを検索しないようにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-connection-nocanon: on

3.1.1.61. nsslapd-conntablesize

この属性は、接続テーブルサイズを設定します。これは、サーバーでサポートされる接続の合計数を決定します。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

オペレーティングシステムに依存する

デフォルト値

デフォルト値は、「nsslapd-maxdescriptors(Maximum File Descriptors)」 で説明されているように、nsslapd-maxdescriptors 属性を使用して設定できます。

構文

整数

nsslapd-conntablesize: 4093

接続スロットが範囲外であるため、Directory Server が接続を拒否している場合は、この属性の値を大きくしてください。この状況が発生すると、Directory Server のエラーログファイルは、Not listening for new connections — too many fds open メッセージを記録します。

変更を反映するには、サーバーを再起動する必要があります。

オープンファイルの数と、プロセスごとのオープンファイル数の上限を引き上げる必要がある場合があります。Directory Server を起動するシェルでオープンファイルの数 (ulimit -n) の ulimit を増やす必要がある場合があります。詳細は、「nsslapd-maxdescriptors(Maximum File Descriptors)」 を参照してください。

3.1.1.62. nsslapd-counters

nsslapd-counters 属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。

大きいカウンターを追跡することで、パフォーマンスに影響する可能性があります。カウンターの 64 ビット整数をオフにすると、パフォーマンスは最小限向上することがありますが、長期的に統計追跡に影響が及ぶ可能性があります。

このパラメーターはデフォルトで有効になります。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif ファイルを編集し、サーバーを再起動します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-counters: on

3.1.1.63. nsslapd-csnlogging

この属性は、利用可能なときにシーケンス番号(CSN)を変更することがアクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングはオンになっています。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-csnlogging: on

3.1.1.64. nsslapd-defaultnamingcontext

この属性は、クライアントが検索ベースとして使用する設定済みのすべてのネーミングコンテキストに対して、ネーミングコンテキストを提供します。この値は、defaultNamingContext 属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。

パラメーター説明

エントリー DN

cn=config

有効な値

ルート接尾辞 DN

デフォルト値

デフォルトのユーザー接尾辞

構文

DN

nsslapd-defaultnamingcontext: dc=example,dc=com

3.1.1.65. nsslapd-disk-monitoring

この属性は、ディスク上で利用可能なディスク領域を確認するか、Directory Server データベースが稼働しているマウントに 10 秒ごとに実行されるスレッドを有効にします。利用可能なディスク容量が設定されたしきい値を下回ると、サーバーはロギングレベルの縮小、アクセスまたは監査ログの無効化、ローテーションされたログの削除を開始します。十分な空き容量がない場合は、サーバーは正常にシャットダウンします(wanring およびgrace period)。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-disk-monitoring: on

3.1.1.66. nsslapd-disk-monitoring-grace-period

「nsslapd-disk-monitoring-threshold」 に設定されたディスク領域の制限の半分に達した後にサーバーをシャットダウンするまで待機する猶予期間を設定します。これにより、管理者はディスクをクリーンアップし、シャットダウンを防ぐことができます。

パラメーター説明

エントリー DN

cn=config

有効な値

整数(分の設定値)

デフォルト値

60

構文

整数

nsslapd-disk-monitoring-grace-period: 45

3.1.1.67. nsslapd-disk-monitoring-logging-critical

ログディレクトリーが、ディスク領域の制限 「nsslapd-disk-monitoring-threshold」 に設定された半方向ポイントをパスした場合に、サーバーをシャットダウンするかどうかを設定します。

これを有効にすると、ロギングは無効にされ 、サーバーでのディスク使用量を減らす手段としてローテーションされるログ は削除されません。サーバーはシャットダウンプロセスへ進められます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-disk-monitoring-logging-critical: on

3.1.1.68. nsslapd-disk-monitoring-readonly-on-threshold

空きディスク領域が nsslapd-disk-monitoring-threshold パラメーターに設定した値の半分に達すると、Directory Server は、nsslapd-disk-monitoring-grace-period に設定された猶予期間後にインスタンスをシャットダウンします。ただし、インスタンスがダウンする前にディスクの容量が不足すると、データが破損する可能性があります。この問題を回避するには、しきい値に達した場合に nsslapd-disk-monitoring-readonly-on-threshold パラメーターを有効にします。Directory Server は、しきい値に達したときにインスタンスを読み取り専用モードに設定します。

重要

この設定では、空きディスク領域が nsslapd-disk-monitoring-threshold で設定したしきい値の半分を下回ると、Directory Server が起動しません。

この属性への変更を反映するには、サービスを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-disk-monitoring-readonly-on-threshold: off

3.1.1.69. nsslapd-disk-monitoring-threshold

サーバーに十分なディスク領域があるかどうかを評価するのに使用するしきい値(バイト単位)を設定します。領域がこのしきい値の半分に達すると、サーバーはシャットダウンプロセスを開始します。

たとえば、しきい値が 2MB(デフォルト)の場合は、利用可能なディスク領域が 1MB に達すると、サーバーはシャットダウンを開始します。

デフォルトでは、このしきい値は Directory Server インスタンスの設定、トランザクション、およびデータベースディレクトリーによって使用されるディスク領域に対して評価されます。「nsslapd-disk-monitoring-logging-critical」 属性が有効な場合には、ログディレクトリーは評価に含まれます。

パラメーター説明

エントリー DN

cn=config

有効な値

* 32 ビットシステムの 0 から 32 ビットの整数値 (2147483647)

* 64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807)

デフォルト値

2000000 (2MB)

構文

DirectoryString

nsslapd-disk-monitoring-threshold: 2000000

3.1.1.70. nsslapd-dn-validate-strict

「nsslapd-syntaxcheck」 属性を使用すると、サーバーにより、新規または変更された属性値がその属性の必要な構文と一致することを確認できます。

ただし、DN の構文ルールは厳格に拡大しました。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheckRFC 1779 または RFC 2253 を使用して DN を検証します。

nsslapd-dn-validate-strict 属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性を off (デフォルト) に設定すると、サーバーは、構文違反があるかどうかをチェックする前に値を正規化します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-dn-validate-strict: off

3.1.1.71. nsslapd-ds4-compatible-schema

cn=schema のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-ds4-compatible-schema: off

3.1.1.72. nsslapd-enable-turbo-mode

Directory Server の turbo モードは、ワーカースレッドを接続専用にし、その接続から着信操作を継続的に読み取りできるようにする機能です。これにより、非常にアクティブな接続のパフォーマンスが向上します。この機能はデフォルトで有効になっています。

ワーカースレッドは、サーバーによって受信される LDAP 操作を処理します。ワーカースレッドの数は nsslapd-threadnumber パラメーターで定義されます。各ワーカースレッドは 5 秒ごとに、現在の接続のアクティビティーレベルが、確立されたすべての接続の中で最も高いものであるかどうかを評価します。Directory Server は、最後のチェック以降に開始された操作数として動作を測定し、現在の接続のアクティビティーが最も高い 1 つであれば、turbo モードでワーカースレッドを切り替えます。

1 秒以上など、バインド操作の実行時間が長い (ログファイルの etime 値) 場合は、ターボモードを無効にするとパフォーマンスが向上する可能性があります。ただし、バインド時間が長くなると、ネットワークやハードウェアの問題の現象があります。このような場合は、turbo モードを無効にすると、パフォーマンスは向上しません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-enable-turbo-mode: on

3.1.1.73. nsslapd-enquote-sup-oc(Enable Superior Object Class Enquoting)

この属性は非推奨で、Directory Server の今後のバージョンで削除される予定です。

この属性は、cn=schema エントリーに含まれる objectclass 属性の引用が、インターネットのドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠しており、この値を引用符で囲まないことを示しています。非常に古いクライアントのみでは、この値を on に設定する必要があります。したがって、この値は off のままにします。

この属性をオンにしても、Directory Server のコンソールには影響しません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-enquote-sup-oc: off

3.1.1.74. nsslapd-entryusn-global

nsslapd-entryusn-global パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に生成される更新シーケンス番号 (USN) を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on に設定します。

詳細は 「entryusn」 を参照してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-entryusn-global: off

3.1.1.75. nsslapd-entryusn-import-initval

エントリー更新のシーケンス番号(USN)は、エントリーが別のサーバーからエクスポートされ、別のサーバーにインポートされる場合(レプリケーション用のデータベースを初期化する場合など)は保持されません。デフォルトでは、インポートされたエントリーのエントリーの USNs はゼロに設定されます。

nsslapd-entryusn-import-initval を使用して、エントリー USN に別の初期値を設定できます。これにより、インポートされたすべてのエントリーに使用される最初の USN が設定されます。

nsslapd-entryusn-import-initval には 2 つの値があります。

  • 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
  • 次に、インポートされたすべてのエントリーが、インポート操作の前にサーバーに最高のエントリー USN 値を使用し、それによって増分されることを意味します。
パラメーター説明

エントリー DN

cn=config

有効な値

整数 | 次へ

デフォルト値

 

構文

DirectoryString

nsslapd-entryusn-import-initval: next

3.1.1.76. nsslapd-errorlog(エラーログ)

この属性は、Directory Server によって生成されたエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述することができますが、多くの場合、以下のような情報状態が含まれます。

  • サーバーの起動およびシャットダウン時間。
  • サーバーが使用するポート番号。

このログには、ログレベル属性の現在の設定によって、情報量が異なります。詳細は、「nsslapd-errorlog-level(Error Log Level)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なファイル名

デフォルト値

/var/log/dirsrv/slapd-instance/errors

構文

DirectoryString

nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors

エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled 設定属性を on に切り替える必要があります。この表では、エラーロギングを無効化または有効にするという 2 つの設定属性に対して、考えられる 4 つの値の組み合わせとその結果が記載されています。

表3.5 nsslapd-errorlog 設定属性の組み合わせの可能性

dse.ldif の属性ログの有効化または無効化

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

on

空の文字列

Disabled

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

on

filename

有効

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

off

空の文字列

Disabled

nsslapd-errorlog-logging-enabled

nsslapd-errorlog

off

filename

Disabled

3.1.1.77. nsslapd-errorlog-level(Error Log Level)

この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり、3 の値を指定するとレベル 12 の両方が含まれます。

nsslapd-errorlog-level のデフォルト値は 16384 です。

パラメーター説明

エントリー DN

cn=config

有効な値

* 1 - 関数呼び出しの追跡。サーバーに入る際にメッセージをログに記録し、関数を終了します。

* 2 - パケット処理のデバッグ

* 4 - 大きいトレース出力デバッグ。

* 8 - 接続管理

* 16: 送信/受信パケットを出力します。

* 32 - 検索フィルター処理。

* 64 - 設定ファイルの処理。

* 128 - アクセス制御リストの処理。

* 1024 - シェルデータベースへのログ通信。

* 2048: デバッグの解析ログエントリー。

* 4096: ハウスキーピングスレッドのデバッグ

* 8192 - レプリケーションのデバッグ

* 16384 - 重大なエラーに使用されるデフォルトのロギングレベルと、エラーログに常に書き込まれるその他のメッセージ。たとえば、サーバー起動メッセージなど。このレベルのメッセージは、ログレベルの設定に関係なく、常にエラーログに含まれます。

* 32768 - データベースキャッシュのデバッグ

* 65536 - サーバープラグインのデバッグサーバープラグインが slapi-log-error を呼び出す際に、ログファイルにエントリーを書き込みます。

* 262144 - アクセス制御サマリー情報。レベル 128 よりも詳細度が低くなります。この値は、アクセス制御処理の概要が必要な場合に推奨されます。非常に詳細な処理メッセージには 128 を使用します。

* 524288 - LMDB データベースのデバッグ

デフォルト値

16384

構文

整数

nsslapd-errorlog-level: 8192

3.1.1.78. nsslapd-errorlog-list

この read-only 属性は、エラーログファイルのリストを提供します。

パラメーター説明

エントリー DN

cn=config

有効な値

 

デフォルト値

なし

構文

DirectoryString

nsslapd-errorlog-list: errorlog2,errorlog3

3.1.1.79. nsslapd-errorlog-logexpirationtime(エラーログの有効期限)

この属性は、ログファイルの削除前に到達できる最大期間を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logexpirationtimeunit 属性で指定します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

-1 または 0 の値は、ログが期限切れになることはありません。

デフォルト値

-1

構文

整数

nsslapd-errorlog-logexpirationtime: 1

3.1.1.80. nsslapd-errorlog-logexpirationtimeunit(Error Log Expiration Time Unit)

この属性は、nsslapd-errorlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day

デフォルト値

month

構文

DirectoryString

nsslapd-errorlog-logexpirationtimeunit: week

3.1.1.81. nsslapd-errorlog-logging-enabled(Enable Error Logging)

エラーのロギングをオンにし、オフにします。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-errorlog-logging-enabled: on

3.1.1.82. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)

この属性は、エラーログが消費できるメガバイト単位のディスク領域の最大量を設定します。この値を超えると、最も古いエラーログが削除されます。

最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、エラーログが許可されるディスク領域がサイズが無制限になります。

デフォルト値

-1

構文

整数

nsslapd-errorlog-logmaxdiskspace: 10000

3.1.1.83. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)

この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすのに十分なディスク領域が解放されるまで古いエラーログが削除されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 (無制限) | 1 から 32 ビットの整数値 (2147483647)

デフォルト値

-1

構文

整数

nsslapd-errorlog-logminfreediskspace: -1

3.1.1.84. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)

この属性は、エラーログローテーションが特定の時間と同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。

エラーロギングのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour 属性値および nsslapd-errorlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。

たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour 属性および nsslapd-errorlog-logrotationsyncmin 属性の値を 0 に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-errorlog-logrotationsync-enabled: on

3.1.1.85. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)

この属性は、エラーログの回転時間を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsyncmin 属性と共に使用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 23

デフォルト値

0

構文

整数

nsslapd-errorlog-logrotationsynchour: 23

3.1.1.86. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)

この属性は、エラーログのローテーションを行う曜日を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsynchour 属性と併用する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 59

デフォルト値

0

構文

整数

nsslapd-errorlog-logrotationsyncmin: 30

3.1.1.87. nsslapd-errorlog-logrotationtime(Error Log Rotation Time)

この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logrotationtimeunit (エラーログローテーション時間単位) 属性で指定します。

Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。

パフォーマンス上の理由から、ログローテーションを指定しないことはお勧めしませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-errorlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、エラーログファイルのローテーション間の時間が無制限になります。

デフォルト値

1

構文

整数

nsslapd-errorlog-logrotationtime: 100

3.1.1.88. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time Unit)

この属性は、nsslapd-errorlog-logrotationtime (エラーログローテーション時間) の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。

パラメーター説明

エントリー DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

構文

DirectoryString

nsslapd-errorlog-logrotationtimeunit: day

3.1.1.89. nsslapd-errorlog-maxlogsize(Maximum Error Log Size)

この属性は、最大エラーログサイズをメガバイトで設定します。この値に達すると、エラーログがローテーションされ、サーバーはログ情報を新しいログファイルに書き込みます。nsslapd-errorlog-maxlogsperdir1 に設定されている場合、サーバーはこの属性を無視します。

最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 | 1 から最大 32 ビットの整数値(2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。

デフォルト値

100

構文

整数

nsslapd-errorlog-maxlogsize: 100

3.1.1.90. nsslapd-errorlog-maxlogsperdir(Maximum Number of Error Log Files)

この属性は、エラーログが保存されるディレクトリーに指定できるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数がこの属性に保存された値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。

この属性の値が 1 よりも大きい場合は、nsslapd-errorlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-errorlog-logrotationtime(Error Log Rotation Time)」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

1

構文

整数

nsslapd-errorlog-maxlogsperdir: 10

3.1.1.91. nsslapd-errorlog-mode(Error Log File Permission)

この属性は、ログファイルが作成されるエラーのモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、または絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0 から 7 によって異なります。

  • 0 - なし
  • 1 - 実行のみ
  • 2 - 書き込みのみ
  • 3 - 書き込みおよび実行
  • 4 - 読み取り専用
  • 5 - 読み取りおよび実行
  • 6 - 読み取りおよび書き込み
  • 7 - 読み取り、書き込み、および実行

3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。

新しく構成されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

000 から 777 まで

デフォルト値

600

構文

整数

nsslapd-errorlog-mode: 600

3.1.1.92. nsslapd-force-sasl-external

TLS 接続の確立時に、クライアントは最初に証明書を送信し、SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server は、TLS ハンドシェイクの証明書の証明書の証明書を使用するように指示します。ただし、BIND 要求を送信する際に SASL/EXTERNAL が使用されないため、Directory Server は単純な認証要求または匿名要求としてバインドを処理し、TLS 接続に失敗します。

nsslapd-force-sasl-external 属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

String

nsslapd-force-sasl-external: on

3.1.1.93. nsslapd-groupevalnestlevel

この属性は非推奨になっており、ここでは履歴の目的でのみ文書化されています。

アクセス制御プラグインは nsslapd-groupevalnestlevel 属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5 としてハードコーディングされます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 5

デフォルト値

5

構文

整数

nsslapd-groupevalnestlevel: 5

3.1.1.94. nsslapd-idletimeout(Default Idle Timeout)

この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの時間を秒単位で設定します。0 に設定すると、サーバーはアイドル状態の接続を閉じなくなります。この設定は、すべての接続およびすべてのユーザーに適用されます。アイドルタイムアウトは、接続テーブルがウォークされ、poll() がゼロを返さない場合に適用されます。そのため、1 つの接続を持つサーバーはアイドル状態のタイムアウトを強制しません。

ユーザーエントリーに追加できる nsIdleTimeout 操作属性を使用して、この属性に割り当てられた値を上書きします。詳細は、『Red Hat Directory Server 管理ガイド』の「バインド DN に基づいたリソース制限の設定」セクションを参照してください。

注記

非常に大きいデータベース(数百万のエントリー)の場合、この属性は、サーバーへの接続がタイムアウトしたときに、オンライン初期化プロセスが完了するか、レプリケーションが失敗する可能性があるのに十分な値が必要です。または、nsIdleTimeout 属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

3600

構文

整数

nsslapd-idletimeout: 3600

3.1.1.95. nsslapd-ignore-virtual-attrs

このパラメーターにより、検索エントリーの仮想属性ルックアップを無効にすることができます。

仮想属性が必要ない場合は、検索結果で仮想属性検索を無効にして、検索の速度を高めることができます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-ignore-virtual-attrs: off

3.1.1.96. nsslapd-instancedir(Instance Directory)

この属性は非推奨です。nsslapd-certdirnsslapd-lockdir などのインスタンス固有のパス用に個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。

3.1.1.97. nsslapd-ioblocktimeout(IO Block Time Out)

この属性は、停止した LDAP クライアントへの接続が閉じられるまでの時間をミリ秒単位で設定します。読み取り操作または書き込み操作で I/O の進捗がなかった場合、LDAP クライアントは停止していると見なされます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から最大 32 ビット整数値(2147483647)ティック

デフォルト値

10000

構文

整数

nsslapd-ioblocktimeout: 10000

3.1.1.98. nsslapd-lastmod(Track Modification Time)

この属性は、Directory Server が新しく作成または更新されたエントリーの操作属性 creatorsNamecreateTimestampmodifiersName、および modifyTimestamp を維持するかどうかを設定します。

重要

Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID 属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-lastmod: on

3.1.1.99. nsslapd-ldapiautobind(Enable Autobind)

nsslapd-ldapiautobind は、サーバーが LDAPI を使用して Directory Server に自動バインドできるようにするかどうかを設定します。システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、これらの認証情報に基づいてユーザーを Directory Server に自動的に認証します。Directory Server の接続は UNIX ソケットを介して行われます。

autobind の有効化に加えて、autobind を設定するにはマッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn は、システム上の root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries は、nsslapd-ldapiuidnumbertypensslapd-ldapigidnumbertype、および nsslapd-ldapientrysearchbase 属性で定義されたパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。

autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilistenon になり、nsslapd-ldapifilepath 属性が LDAPI ソケットに設定されます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-ldapiautobind: off

3.1.1.100. nsslapd-ldapientrysearchbase(Search Base for LDAPI Authentication Entries)

自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマップできます。これには、UID 番号 (nsslapd-ldapiuidnumbertype) および GUID番号 (nsslapd-ldapigidnumbertype) に使用する属性の Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。

nsslapd-ldapientrysearchbase で、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。

パラメーター説明

エントリー DN

cn=config

有効な値

DN

デフォルト値

サーバーインスタンスの作成時に作成されたサフィックス (例: dc=example,dc=com)

構文

DN

nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om

3.1.1.101. nsslapd-ldapifilepath(LDAPI ソケットのファイルの場所)

LDAPI は、ユーザーを TCP ではなく UNIX ソケットを介して LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットを介して通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは、nsslapd-ldapifilepath 属性に設定されます。

パラメーター説明

エントリー DN

cn=config

有効な値

任意のディレクトリーパス

デフォルト値

/var/run/dirsrv/slapd-example.socket

構文

大文字と小文字を区別する文字列

nsslapd-ldapifilepath: /var/run/slapd-example.socket

3.1.1.102. nsslapd-ldapigidnumbertype(システム GUID 番号の属性マッピング)

自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを認証用に Directory Server ユーザーにマッピングするには、システムユーザーの UID と GUID 番号を Directory Server 属性としてマッピングする必要があります。nsslapd-ldapigidnumbertype 属性は、システム GUID をユーザーエントリーにマッピングする Directory Server 属性を示します。

LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。

パラメーター説明

エントリー DN

cn=config

有効な値

Directory Server の属性

デフォルト値

gidNumber

構文

DirectoryString

nsslapd-ldapigidnumbertype: gidNumber

3.1.1.103. nsslapd-ldapilisten(LDAPI の有効化)

nsslapd-ldapilisten は、Directory Server への LDAPI 接続を有効にします。LDAPI により、ユーザーは標準の TCP ポートではなく、UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilistenon に設定して LDAPI を有効にすることに加えて、nsslapd-ldapifilepath 属性に LDAPI 用に設定された UNIX ソケットも必要です。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-ldapilisten: on

3.1.1.104. nsslapd-ldapimaprootdn (root ユーザー用の自動バインドマッピング)

自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。

root システムユーザー (UID が 0 のユーザー) は、nsslapd-ldapimaprootdn 属性で指定した Directory Server エントリーにマッピングされます。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の DN

デフォルト値

cn=Directory Manager

構文

DN

nsslapd-ldapimaprootdn: cn=Directory Manager

3.1.1.105. nsslapd-ldapimaptoentries(Enable Autobind Mapping for Regular Users)

自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries 属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効になっていない場合、root ユーザーのみが autobind を使用して Directory Server に対して認証でき、その他のすべてのユーザーは匿名で接続できます。

マッピング自体は、nsslapd-ldapiuidnumbertype 属性および nsslapd-ldapigidnumbertype 属性で設定され、Directory Server 属性をユーザーの UID および GUID の番号にマップします。

LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-ldapimaptoentries: on

3.1.1.106. nsslapd-ldapiuidnumbertype

自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを認証用に Directory Server ユーザーにマッピングするには、システムユーザーの UID と GUID 番号を Directory Server 属性としてマッピングする必要があります。nsslapd-ldapiuidnumbertype 属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を示します。

LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。

パラメーター説明

エントリー DN

cn=config

有効な値

Directory Server の属性

デフォルト値

uidNumber

構文

DirectoryString

nsslapd-ldapiuidnumbertype: uidNumber

3.1.1.107. nsslapd-ldifdir

Directory Server は、db2ldif または db2ldif.pl を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式 (LDIF) 形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。

この属性への変更を反映するには、サービスを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

Directory Server ユーザーが書き込み可能なディレクトリー

デフォルト値

/var/lib/dirsrv/slapd-instance_name/ldif/

構文

DirectoryString

nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/

3.1.1.108. nsslapd-listen-backlog-size

この属性は、ソケット接続バックログの最大数を設定します。listen サービスは、着信接続の受信に使用できるソケット数を設定します。バックログ設定では、接続を拒否する前にソケット(sockfd)のキューが増加できる期間(sockfd)の最大長を設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

最大 64 ビットの整数値 (9223372036854775807)

デフォルト値

128

構文

整数

nsslapd-listen-backlog-size: 128

3.1.1.109. nsslapd-listenhost(Listen to IP Address)

この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。1 つの hos tname に複数の IP アドレスを関連付けることができ、この IP アドレスは、IPv4 と IPv6 の両方の組み合わせにすることができます。このパラメーターを使用すると、Directory Server インスタンスを 1 つの IP インターフェースに制限することができます。

ホスト名が nsslapd-listenhost 値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェースについて要求に応答します。単一 IP インターフェース (IPv4 または IPv6) が nsslapd-listenhost の値として指定される場合、Directory Server は、その特定のインターフェースに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

ローカルホスト名、IPv4 アドレス、または IPv6 アドレス

デフォルト値

 

構文

DirectoryString

nsslapd-listenhost: ldap.example.com

3.1.1.110. nsslapd-localhost(ローカルホスト)

この属性は、Directory Server が実行されるホストマシンを指定します。この属性は、MMR プロトコルの一部を形成する参照 URL を作成します。フェイルオーバーノードを使用した高可用性設定では、参照がローカルのホスト名ではなく、クラスターの仮想名を参照する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

完全修飾ホスト名。

デフォルト値

インストールされたマシンのホスト名。

構文

DirectoryString

nsslapd-localhost: phonebook.example.com

3.1.1.111. nsslapd-localuser(Local User)

この属性は、Directory Server が実行されるユーザーを設定します。ユーザーのプライマリーグループを調べることで、ユーザーの実行先のグループはこの属性から派生します。ユーザーの変更により、このインスタンス向けのインスタンス固有のファイルおよびディレクトリーはすべて chown などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。

サーバーインスタンスの設定時に nsslapd-localuser の値が最初に設定されます。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なユーザー

デフォルト値

 

構文

DirectoryString

nsslapd-localuser: dirsrv

3.1.1.112. nsslapd-lockdir(Server Lock File Directory)

これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance です。この値の変更は、サーバーが再起動するまで反映されません。

パラメーター説明

エントリー DN

cn=config

有効な値

サーバー ID への書き込みアクセスを持つサーバーユーザー ID が所有するディレクトリーへの絶対パス

デフォルト値

/var/lock/dirsrv/slapd-instance

構文

DirectoryString

nsslapd-lockdir: /var/lock/dirsrv/slapd-instance

3.1.1.113. nsslapd-localssf

nsslapd-localssf パラメーターは、LDAPI 接続のセキュリティー強度係数 (SSF) を設定します。Directory Server は、nsslapd-localssf に設定した値が nsslapd-minssf パラメーターに設定した値と同じか、またはそれ以上の場合にのみ LDAPI 接続を許可します。そのため、LDAPI の接続は nsslapd-minssf の最小 SSF セットに対応します。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

71

構文

整数

nsslapd-localssf: 71

3.1.1.114. nsslapd-logging-hr-timestamps-enabled(High-resolution Log Timestamp を有効または無効にします)

ログがナノ秒の精度で高解像度のタイムスタンプ、または 1 秒の精度で標準解決のタイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを off に設定します。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-logging-hr-timestamps-enabled: on

3.1.1.115. nsslapd-maxbersize(Maximum Message Size)

受信メッセージの最大許容サイズ(バイト単位)を定義します。これにより、Directory Server が処理できる LDAP 要求のサイズを制限します。リクエストのサイズを制限することで、一部の種類のサービス拒否攻撃を防ぎます。

この制限は、LDAP 要求の合計サイズに適用されます。たとえば、リクエストでエントリーを追加する場合で、リクエストのエントリーが設定値またはデフォルトよりも大きい場合は、追加のリクエストが拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性を変更する前に注意してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 2 (ギガバイト) - (2,147,483,647 バイト)

0 がゼロの場合は、デフォルト値を使用する必要があります。

デフォルト値

2097152

構文

整数

nsslapd-maxbersize: 2097152

3.1.1.116. nsslapd-maxdescriptors(Maximum File Descriptors)

この属性は、Directory Server が使用しようとする最大のファイル記述子数を設定します。ファイル記述子は、クライアントがサーバーに接続し、インデックスメンテナンスなどの一部のサーバーのアクティビティーに常に使用されます。ファイル記述子は、アクセスログ、エラーログ、監査ログ(インデックスおよびトランザクションログ)、およびレプリケーションおよびチェーンのために他のサーバーへの送信接続用のソケットとしても使用されます。

TCP/IP がクライアント接続に対応するために利用可能な記述子の数は、nsslapd-conntablesize によって決定され、nsslapd-maxdescriptors 属性から、インデックス管理やレプリケーションの管理などの非クライアント接続のために nsslapd-reservedescriptors 属性で指定されたサーバーが使用するファイル記述子の数を引いた値になります。nsslapd-reservedescriptors 属性は、上記のように、他の用途で利用できるファイル記述子の数です。「nsslapd-reservedescriptors(予約済みファイル記述子)」 を参照してください。

ここで指定する数は、オペレーティングシステムで ns-slapd プロセスが使用できるファイル記述子の合計数よりも大きくすることはできません。この数はオペレーティングシステムによって異なります。

この値が高すぎると、Directory Server はオペレーティングシステムに最大許容値のクエリーを行い、その値を使用します。また、エラーログに警告を発行します。Directory Server Console または ldapmodify を使用して、この値をリモートで無効な値に設定すると、サーバーは新しい値を拒否し、古い値を維持し、エラーで応答します。

オペレーティングシステムによっては、プロセスで利用可能なファイル記述子の数を設定できます。ファイル記述子の制限と設定に関する詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune プログラム (Red Hat Directory Server インストールガイド で説明) は、必要に応じてファイル記述子の数を増やすなど、システムカーネルまたは TCP/IP チューニング属性への変更を提案するために使用できます。ファイル記述子が不足しているため、Directory Server が接続を拒否している場合は、この属性の値を増加させます。これが発生すると、以下のメッセージが Directory Server のエラーログファイルに書き込まれます。

Not listening for new connections -- too many fds open

受信接続の数を増やす方法は、「nsslapd-conntablesize」 を参照してください。

注記

UNIX シェルは通常、ファイル記述子の数に対する設定可能な制限を持ちます。limit および ulimit についての詳細は、オペレーティングシステムのドキュメンテーションを参照してください。これらの 制限により、多くの場合で問題が発生する可能性があります。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 65535

デフォルト値

4096

構文

整数

nsslapd-maxdescriptors: 4096

3.1.1.117. nsslapd-maxsasliosize(Maximum SASL Packet Size)

ユーザーが SASL GSS-API 経由で Directory Server に対して認証されるとき、サーバーはクライアントの要求量に応じて一定のメモリー量をクライアントに割り当て、LDAP 操作を実行する必要があります。攻撃者が大規模なパケットサイズを送信し、Directory Server をクラッシュさせたり、サービス拒否攻撃の一環として無期限に認識したりする可能性があります。

Directory Server が SASL クライアントに許可するパケットサイズは、nsslapd-maxsasliosize 属性を使用して制限できます。この属性は、サーバーが許可する最大許容 SASL IO パケットサイズを設定します。

受信 SASL IO パケットが nsslapd-maxsasliosize の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログに記録し、管理者が必要に応じて設定を調節できるようにします。

この属性の値はバイト単位で指定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

* 32 ビットシステムでは最大 32 ビットの整数値(2147483647)への -1(無制限)

64 ビットシステムでは、64 ビットの整数値(9223372036854775807)への -1(無制限)

デフォルト値

2097152 (2MB)

構文

整数

nsslapd-maxsasliosize: 2097152

3.1.1.118. nsslapd-maxthreadsperconn(接続ごとの最大スレッド)

接続が使用する最大スレッド数を定義します。クライアントがバインドし、バインドを解除する 1 つまたは 2 つの操作のみを実行する通常の操作では、デフォルト値を使用します。クライアントが多数の要求をバインドして同時に発行する状況では、この値を増やし、十分なリソースですべての操作を実行できるようにします。この属性は、サーバーコンソールからは利用できません。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1(最大スレッド数値)

デフォルト値

5

構文

整数

nsslapd-maxthreadsperconn: 5

3.1.1.119. nsslapd-minssf

セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。nsslapd-minssf 属性は、サーバーへの接続に最低限 SSF 要件を設定します。接続試行は、最低 SSF よりも弱い接続を拒否します。

TLS 接続および SASL 接続は、Directory Server への接続で混在させることができます。通常、これらの接続には SSF が異なります。2 つの SSF が高いものは、最小 SSF 要件と比較するために使用されます。

SSF 値を 0 に設定すると、最小設定はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

正の整数

デフォルト値

0 (off)

構文

DirectoryString

nsslapd-minssf: 128

3.1.1.120. nsslapd-minssf-exclude-rootdse

セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。

nsslapd-minssf-exclude-rootdse 属性は、ルート DSE のクエリーを除き、サーバーへの任意の接続の SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が適用される一方、クライアントが最初にセキュアな接続を確立せずに、ルート DSE からサーバー設定に関する情報を取得することができます。

パラメーター説明

エントリー DN

cn=config

有効な値

正の整数

デフォルト値

0 (off)

構文

DirectoryString

nsslapd-minssf-exclude-rootdse: 128

3.1.1.121. nsslapd-moddn-aci

このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲット制限を使用する場合に ACI チェックを制御します。後方互換性を確保するため、ACI チェックを無効にできます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-moddn-aci: on

3.1.1.122. nsslapd-malloc-mmap-threshold

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。

サービスファイルを手動で編集して M_MMAP_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_MMAP_THRESHOLD パラメーターの説明を参照してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 33554432

デフォルト値

mallopt(3) の man ページの M_MMAP_THRESHOLD パラメーターの説明を参照してください。

構文

整数

nsslapd-malloc-mmap-threshold: 33554432

3.1.1.123. nsslapd-malloc-mxfast

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。

サービスファイルを手動で編集して M_MXFAST 環境変数を設定する代わりに、nsslapd-malloc-mxfast パラメーターを使用すると、Directory Server の設定に値を設定できます。詳細は、mallopt(3) の man ページの M_MXFAST パラメーターの説明を参照してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 - 80 * (sizeof(size_t) / 4)

デフォルト値

mallopt(3) の man ページの M_MXFAST パラメーターの説明を参照してください。

構文

整数

nsslapd-malloc-mxfast: 1048560

3.1.1.124. nsslapd-malloc-trim-threshold

Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。

サービスファイルを手動で編集して M_TRIM_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-trim-threshold パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_TRIM_THRESHOLD パラメーターの説明を参照してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 2^31-1

デフォルト値

mallopt(3) の man ページの M_TRIM_THRESHOLD パラメーターの説明を参照してください。

構文

整数

nsslapd-malloc-trim-threshold: 131072

3.1.1.125. nsslapd-nagle

この属性の値が off の場合、TCP_NODELAY オプションが設定されます。これにより、LDAP 応答 (エントリーや結果メッセージなど) が即座にクライアントに送られます。属性がオンの場合、デフォルトの TCP 動作が適用されます。特に、追加のデータが下層のネットワーク MTU サイズの 1 つのパケット(イーサネットの場合は 1500 バイト)にグループ化できるように、データの送信は遅延します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-nagle: off

3.1.1.126. nsslapd-ndn-cache-enabled

識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターを更新して、このキャッシュの最大サイズを設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-ndn-cache-enabled: on

3.1.1.127. nsslapd-ndn-cache-max-size

識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターは、このキャッシュの最大サイズを設定します。

要求された DN がキャッシュされていない場合は正規化され、追加されます。キャッシュサイズの制限を超えると、Directory Server は、キャッシュから最近使用された 10,000 DN を削除します。ただし、最低 10,000 の DN は常にキャッシュされます。

パラメーター説明

エントリー DN

cn=config

有効な値

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

20971520

構文

整数

nsslapd-ndn-cache-max-size: 20971520

3.1.1.128. nsslapd-outbound-ldap-io-timeout

この属性は、すべてのアウトバウンド LDAP 接続の I/O 待機時間を制限します。デフォルトは 300000 ミリ秒 (5 分) です。値が 0 の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

300000

構文

DirectoryString

nsslapd-outbound-ldap-io-timeout: 300000

3.1.1.129. nsslapd-pagedsizelimit(Simple Paged 結果検索のサイズ制限)

この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsslapd-sizelimit 属性がオーバーライドされます。

この値がゼロに設定されている場合、nsslapd-sizelimit 属性は、ページ検索と非ページ検索に使用されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

 

構文

整数

nsslapd-pagedsizelimit: 10000

3.1.1.130. nsslapd-plug-in

この read-only 属性は、構文のプラグインエントリーの DN と、サーバーがロードしたルールプラグインの DN を一覧表示します。

3.1.1.131. nsslapd-plugin-binddn-tracking

操作自体がサーバープラグインによって開始された場合でも、操作に使用されるバインド DN をエントリーの修飾子として設定します。操作を実行する特定のプラグインは、別の運用属性 internalModifiersname に一覧表示されます。

変更を 1 つは、ディレクトリーツリー内の他の自動変更をトリガーできます。たとえば、ユーザーが削除されると、そのユーザーは、Refential Integrity Plug-in が所属するグループから自動的に削除されます。ユーザーの初回削除は、サーバーにバインドされているユーザーアカウントによって実行されますが、グループ(デフォルト)への更新はプラグインによって行われ、その更新を開始したユーザーに関する情報はありません。nsslapd-plugin-binddn-tracking 属性により、サーバーは、更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。

dn: cn=my_group,ou=groups,dc=example,dc=com
modifiersname: uid=jsmith,ou=people,dc=example,dc=com
internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config

この属性はデフォルトでは無効になっています。

パラメーター説明

エントリー DN

cn=config

有効な範囲

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-plugin-binddn-tracking: on

3.1.1.132. nsslapd-plugin-logging

デフォルトでは、アクセスログが内部操作を記録するように設定されている場合でも、プラグインの内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターでグローバルに制御することができます。

有効にすると、プラグインはこのグローバル設定とログアクセスイベントを使用し(有効にされている場合)、ログアクセスおよび監査イベントを使用します。

nsslapd-plugin-logging が有効で、nsslapd-accesslog-level が内部操作を記録するように設定されている場合は、インデックスされていない検索とその他の内部操作がアクセスログファイルに記録されます。

nsslapd-plugin-logging が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-plugin-logging: off

3.1.1.133. nsslapd-port(ポート番号)

この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を指定します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024 未満の場合は、Directory Server を root で起動する必要があります。

サーバーは、起動後にその uidnsslapd-localuser 値に設定します。設定ディレクトリーのポート番号を変更する場合は、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。

ポート番号の変更を考慮してサーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 65535

デフォルト値

389

構文

整数

nsslapd-port: 389

注記

LDAPS ポートが有効な場合は、ポート番号をゼロ (0) に設定して LDAP ポートを無効にします。

3.1.1.134. nsslapd-privatenamespaces

この読み取り専用属性には、プライベート命名コンテキスト cn=configcn=schema、および cn=monitor の一覧が含まれます。

パラメーター説明

エントリー DN

cn=config

有効な値

cn=config、cn=schema、および cn=monitor

デフォルト値

 

構文

DirectoryString

nsslapd-privatenamespaces: cn=config

3.1.1.135. nsslapd-pwpolicy-inherit-global(グローバルパスワード構文の継承)

粒度の細かいパスワード構文が設定されていない場合には、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードは確認されません。粒度の細かいパスワード構文を継承する場合は、この属性を on に設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-pwpolicy-inherit-global: off

3.1.1.136. nsslapd-pwpolicy-local(Enable Subtree- and User-Level Password Policy)

粒度の細かい(サブツリーおよびユーザーレベルの)パスワードポリシーをオンおよびオフにします。

この属性の値が off の場合、ディレクトリー内のすべてのエントリー (cn=Directory Manager を除く) はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。

この属性の値が on の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-pwpolicy-local: off

3.1.1.137. nsslapd-readonly(Read Only)

この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベース内のデータや設定情報も修正できません。読み取り専用モードでデータベースを変更しようとすると、サーバーが操作を実行していないことを示すエラーが返されます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-readonly: off

3.1.1.138. nsslapd-referral(Referral)

この多値属性は、サーバーがローカルツリーに属するエントリーの要求を受信する際にサフィックスによって返される LDAP URL を指定します。つまり、サフィックスがサフィックス属性で指定された値と一致しないエントリーです。たとえば、サーバーにエントリーのみが含まれるとします。

ou=People,dc=example,dc=com

ただし、このエントリーに対する要求は次のようになります。

ou=Groups,dc=example,dc=com

この場合、参照元はクライアントに戻され、LDAP クライアントが要求されたエントリーを含むサーバーを特定できるようにします。Directory Server インスタンスごとに参照 1 つのみが許可されますが、この参照には複数の値を指定できます。

注記

TLS 通信を使用するには、参照属性は ldaps://server-location の形式で指定する必要があります。

start TLS は参照をサポートしません。

参照の管理に関する詳細は、『Red Hat Directory Server 管理ガイド』の「ディレクトリーデータベースの設定」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な LDAP URL

デフォルト値

 

構文

DirectoryString

nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com

3.1.1.139. nsslapd-referralmode(Referral Mode)

これが設定されている場合、この属性はすべてのサフィックスの要求について参照元を送り返します。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な LDAP URL

デフォルト値

 

構文

DirectoryString

nsslapd-referralmode: ldap://ldap.example.com

3.1.1.140. nsslapd-require-secure-binds

このパラメーターでは、通常の接続ではなく、TLS、StartTLS、SASL などの保護された接続でディレクトリーに対して認証する必要があります。

注記

これは認証バインドにのみ適用されます。nsslapd-require-secure-binds がオンの場合でも、匿名バインドと非認証バインドは、標準チャンネルで完了できます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-require-secure-binds: on

3.1.1.141. nsslapd-requiresrestart

このパラメーターには、変更後にサーバーを再起動する必要があるその他のコア設定属性が一覧表示されます。これは、nsslapd-requiresrestart に一覧表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性の一覧は、ldapsearch で返すことができます。

ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart

この属性は多値です。

パラメーター説明

エントリー DN

cn=config

有効な値

すべてのコアサーバー設定属性

デフォルト値

 

構文

DirectoryString

nsslapd-requiresrestart: nsslapd-cachesize

3.1.1.142. nsslapd-reservedescriptors(予約済みファイル記述子)

この属性は、インデックス管理やレプリケーションの管理など、Directory Server がクライアント以外の接続を管理するために予約するファイル記述子の数を指定します。この目的のためにサーバーが予約するファイル記述子の数は、LDAP クライアント接続に利用可能なファイル記述子の合計数( 「nsslapd-maxdescriptors(Maximum File Descriptors)」を参照)から減らします。

Directory Server のインストールの大半は、この属性を変更する必要はありません。ただし、以下のすべてが true の場合、この属性の値を増やすことを検討してください。

  • サーバーが多数のコンシューマーサーバー(10 以上)に複製するか、またはサーバーが多数のインデックスファイル(30 以上)を維持している。
  • サーバーは多数の LDAP 接続を提供しています。
  • サーバーがファイル記述子を開くことができないことを示すエラーメッセージがあります(実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なりますが、これらのエラーメッセージはクライアント LDAP 接続 の管理 とは関係ありません)。

この属性の値を増やすと、より多くの LDAP クライアントがディレクトリーにアクセスできなくなる可能性があります。したがって、この属性の値は増加し、nsslapd-maxdescriptors 属性の値も増やします。オペレーティングシステムでプロセスの使用を許可するファイル記述子の最大数を使用している場合は、nsslapd-maxdescriptors 値を増やすことができない可能性があります。詳細は、オペレーティングシステムのドキュメントを参照してください。この場合は、LDAP クライアントが代替のディレクトリーレプリカを検索することで、サーバーの負荷を軽減します。受信接続のファイル記述子の使用については、「nsslapd-conntablesize」 を参照してください。

この属性に設定されたファイル記述子の数を計算するのを支援するには、以下の式を使用します。

nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex +
ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
  • NldbmBackends は、ldbm データベースの数です。
  • NglobalIndex は、システムインデックスを含む全データベースに設定されたインデックスの合計数です。(デフォルトでは 8 個のシステムインデックスとデータベースごとの追加インデックス 17)
  • ReplicationDescriptor は 8 つの(8)で、サプライヤーまたはハブ(NSupplierReplica)として機能するサーバーのレプリカ数。
  • ChainingBackendDescriptors は、NchainingBackendnsOperationConnectionsLimit (チェーンまたはデータベースリンクの構成属性で、デフォルトは 10) をかけたものです。
  • PTADescriptorsは、PTA が構成されている場合は 3、PTA が構成されていない場合は 0 です。
  • TLS が設定されている場合、SSLDescriptors5 (4 ファイル + 1 listensocket) であり、TLS が設定されていない場合には 0 になります。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 65535

デフォルト値

64

構文

整数

nsslapd-reservedescriptors: 64

3.1.1.143. nsslapd-return-exact-case(Return Exact Case)

クライアントによって要求される属性型名の正確なケースを返します。LDAPv3- 準拠のクライアントは属性名の場合を無視する必要がありますが、一部のクライアントアプリケーションでは、検索または変更操作の結果として属性が Directory Server によって返されたときに、属性がスキーマにリストされているときに属性名をそのまま一致させる必要があります。ただし、ほとんどのクライアントアプリケーションは属性のケースを無視するため、デフォルトではこの属性は無効になります。サーバーから返された結果に属性名の大文字/小文字を確認できるレガシークライアントがない限り、変更しないでください。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-return-exact-case: off

3.1.1.144. nsslapd-rewrite-rfc1274

この属性は非推奨になっており、今後のバージョンで削除される予定です。

この属性は、RFC 1274 の名前で属性タイプを返す必要がある LDAPv2 クライアントのみに使用されます。これらのクライアントで値を on に設定します。デフォルトは off です。

3.1.1.145. nsslapd-rootdn (マネージャー DN)

この属性は、アクセス制御制限の対象でないエントリーの識別名(DN)、ディレクトリー上の操作の管理制限、一般的なリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトではこの DN のエントリーはありません。したがって、cn=Directory Manager などの値は受け入れ可能です。

ルート DN の変更に関する詳細は、『Red Hat Directory Server 管理ガイド』の「ディレクトリーエントリーの作成」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

有効な識別名

デフォルト値

 

構文

DN

nsslapd-rootdn: cn=Directory Manager

3.1.1.146. nsslapd-rootpw(Root Password)

この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、nsslapd-rootpwstoragescheme 属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示すると、この属性に値 * が表示されます。この属性は、dse.ldif ファイルから表示されると、暗号化メソッドの後にパスワードの暗号化された文字列が表示されます。この例では、実際のパスワードではなく、dse.ldif ファイルに表示されるパスワードを示しています。

警告

ルート DN がサーバー設定で指定した場合には、root パスワードが必要になります。ただし、ファイルを直接編集して、root パスワードを dse.ldif から削除することは可能です。この場合、ルート DN は匿名アクセスでディレクトリーへの同じアクセスのみを取得できます。root DN がデータベースに設定されている場合には、root パスワードが常に dse.ldif で定義されていることを確認してください。The pwdhash コマンドラインユーティリティーは、新しい root パスワードを作成できます。詳細は、「pwdhash」 を参照してください。

重要

コマンドラインから Directory Manager のパスワードをリセットする場合には、パスワードに 中括弧 ({})を使用しないでください。root パスワードは 、{password-storage-scheme}hashed_password の形式で保存されます。中括弧内の文字はすべて、サーバーにより root パスワードのストレージスキームとして解釈されます。そのテキストが有効なストレージスキームではない場合や、準拠したパスワードが適切にハッシュ化されていない場合は、Directory Manager はサーバーにバインドできません。

パラメーター説明

エントリー DN

cn=config

有効な値

「パスワードストレージスキーム」 で説明されている暗号化方法のいずれかで暗号化される有効なパスワード。

デフォルト値

 

構文

DirectoryString {encryption_method }encrypted_Password

nsslapd-rootpw: {SSHA}9Eko69APCJfF

3.1.1.147. nsslapd-rootpwstoragescheme(Root Password Storage Scheme)

この属性は、ns slapd-rootpw 属性に保存されている Directory Server のマネージャーパスワードを暗号化するために使用する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

「パスワードストレージスキーム」 を参照してください。

デフォルト値

PBKDF2_SHA256

構文

DirectoryString

nsslapd-rootpwstoragescheme: PBKDF2_SHA256

3.1.1.148. nsslapd-rundir

このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。

この属性への変更を反映するには、サービスを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

Directory Server ユーザーが書き込み可能なディレクトリー

デフォルト値

/var/run/dirsrv/

構文

DirectoryString

nsslapd-rundir: /var/run/dirsrv/

3.1.1.149. nsslapd-sasl-mapping-fallback

デフォルトでは、最初にマッチする SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能する可能性がある他のマッピングが存在する場合でも、バインド操作は失敗します。SASL マッピングフォールバックは、一致するマッピングをすべてチェックします。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-sasl-mapping-fallback: off

3.1.1.150. nsslapd-sasl-max-buffer-size

この属性は、最大 SASL バッファーサイズを設定します。

パラメーター説明

エントリー DN

cn=config

有効な値

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

67108864 (64 キロバイト)

構文

整数

nsslapd-sasl-max-buffer-size: 67108864

3.1.1.151. nsslapd-saslpath

Cyrus-SASL SASL2 プラグインを含むディレクトリーへの絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは標準以外の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定されています。Red Hat はこの属性を変更することを強く推奨します。属性がない場合や値が空の場合、Directory Server は、正しいバージョンであるシステムによって提供される SASL プラグインライブラリーを使用していることを意味します。

このパラメーターが設定されると、サーバーは SASL プラグインのロードに指定のパスを使用します。このパラメーターが設定されていない場合、サーバーは SASL_PATH 環境変数を使用します。nsslapd-saslpath または SASL_PATH のいずれも設定されていない場合、サーバーはデフォルトの場所 /usr/lib/sasl2 から SASL プラグインの読み込みを試みます。

この属性への変更は、サーバーが再起動するまで反映されません。

パラメーター説明

エントリー DN

cn=config

有効な値

プラグインディレクトリーへのパス。

デフォルト値

プラットフォーム依存

構文

DirectoryString

nsslapd-saslpath: /usr/lib/sasl2

3.1.1.152. nsslapd-schema-ignore-trailing-spaces(Object Class Name のIgnore Trailing Spaces)

オブジェクトクラス名の最後にスペースを無視します。デフォルトでは、属性はオフになっています。ディレクトリーに 1 つ以上のスペースで終了するオブジェクトクラス値を持つエントリーが含まれる場合は、この属性をオンにします。LDAP 標準は許可しないため、末尾のスペースを削除することが推奨されます。

パフォーマンス上の理由から、変更を有効にするにはサーバーの再起動が必要です。

末尾のスペースを含むオブジェクトクラスがエントリーに追加されると、デフォルトではエラーが返されます。さらに、追加、変更、インポートなどの操作中(オブジェクトクラスが展開され、スーパーイベントが追加される時)、適切な場合はスペースは無視されます。これは、nsslapd-schema-ignore-trailing-spaceson にした場合でも、top がすでに存在している場合に、top のような値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-schema-ignore-trailing-spaces: on

3.1.1.153. nsslapd-schemacheck (スキーマチェック)

この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマはオブジェクトクラスおよび属性タイプを使用して拡張できます。Directory Server コンソールを使用してスキーマを拡張する方法は、『Red Hat Directory Server 管理ガイド』の「ディレクトリースキーマの拡張」の章を参照してください。

警告

Red Hat は、スキーマチェックをオフにすることを強く推奨します。これにより、深刻な相互運用性の問題が発生する可能性があります。これは通常、Directory Server にインポートする必要がある以前の LDAP データまたは非標準の LDAP データに使用されます。この問題の多くのエントリーがない場合は、これらのエントリーで extensibleObject オブジェクトクラスを使用して、エントリーごとにスキーマチェックを無効にすることを検討してください。

注記

ldapmodify などの LDAP クライアントを使用してデータベースの変更を行う場合や、ldif2db を使用して LDIF からデータベースをインポートする場合、デフォルトでスキーマチェックが機能します。スキーマチェックが有効な場合、すべてのエントリーが手動で検証され、スキーマに準拠することを確認する必要があります。スキーマチェックが有効な場合、サーバーはスキーマに一致しないエントリーを一覧表示するエラーメッセージを送信します。LDIF ステートメントで作成された属性とオブジェクトクラスはどちらも spelled と in dse.ldif であることを確認します。スキーマディレクトリーに LDIF ファイルを作成するか、要素を 99user.ldif に追加します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-schemacheck: on

3.1.1.154. nsslapd-schemadir

これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーが起動すると、このディレクトリーからスキーマファイルを読み取り、LDAP ツールを使用してスキーマが変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID によって所有され、そのユーザーにはディレクトリーへの読み取りと書き込み権限が必要です。

この属性への変更は、サーバーが再起動するまで反映されません。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なパス

デフォルト値

/etc/dirsrv/instance_name/schema

構文

DirectoryString

nsslapd-schemadir: /etc/dirsrv/instance_name/schem

3.1.1.155. nsslapd-schemamod

オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効になっている場合は、このパラメーターを off に設定すると、パフォーマンスを向上させることができます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-schemamod: on

3.1.1.156. nsslapd-schemareplace

cn=schema エントリーで属性値を置き換える操作が許可されるかどうかを決定します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off | replication-only

デフォルト値

replication-only

構文

DirectoryString

nsslapd-schemareplace: replication-only

3.1.1.157. nsslapd-search-return-original-type-switch

検索に渡される属性リストにスペースと他の文字が続く場合は、同じ文字列がクライアントに返されます。以下に例を示します。

# ldapsearch -b <basedn> "(filter)" "sn someothertext"
  dn: <matched dn>
  sn someothertext: <sn>

この動作はデフォルトで無効にされていますが、この設定パラメーターを使用して有効にできます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-search-return-type-switch: off

3.1.1.158. nsslapd-securelistenhost

この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェースのリッスンを制限することができます)。1 つのホスト名に関連付けられている複数の IP アドレスがあり、この IP アドレスは、IPv4 と IPv6 を混在させることが可能です。このパラメーターを使用すると、Directory Server インスタンスを 1 つの IP インターフェースに制限することができます。このパラメーターは、通常の LDAP 接続ではなく TLS トラフィックに使用するインターフェースも設定します。

ホスト名が nsslapd-securelistenhost の値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェースの要求に応答します。単一 IP インターフェース(IPv4 または IPv6)が nsslapd-securelistenhost の値として指定された場合、Directory Server は、その特定のインターフェースに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

セキュアなホスト名、IPv4 アドレス、または IPv6 アドレス

デフォルト値

 

構文

DirectoryString

nsslapd-securelistenhost: ldaps.example.com

3.1.1.159. nsslapd-securePort(Encrypted Port Number)

この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。1024 未満のポート番号を指定すると、Directory Server を root として起動する必要があります。サーバーは、起動後にその uidnsslapd-localuser 値に設定します。

サーバーは、秘密鍵と証明書で設定され、ns slapd-securityon に設定されている場合にのみこのポートをリッスンします。そうでない場合は、このポートでリッスンしません。

ポート番号の変更を考慮してサーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 65535

デフォルト値

636

構文

整数

nsslapd-securePort: 636

3.1.1.160. nsslapd-security(Security)

この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続に対して オン に設定する必要があります。セキュリティーで実行するには、他の TLS 設定に加えて、秘密鍵とサーバー証明書でサーバーを設定する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-security: off

3.1.1.161. nsslapd-sizelimit(Size Limit)

この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns -slapd は、検索要求に一致するエントリーと、サイズ制限を超える制限エラーを返します。

制限が設定されていない場合、ns -slapd は、検出された番号に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif ファイルのこの属性に -1 の値を指定します。

この制限は、組織に関係なく、すべてのユーザーに適用されます。

注記

in dse.ldif ファイルのこの属性にある -1 の値は、サーバーコンソールで属性を空白のままにしておくのと同じで、制限は使用されません。有効な整数ではないため、これには null 値 in dse.ldif ファイルを使用することはできません。すべての検索で サイズの制限値を返す 0 に設定できます。

対応するユーザーレベルの属性は nsSizeLimit です。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 から最大 32 ビットの整数値 (2147483647)

デフォルト値

2000

構文

整数

nsslapd-sizelimit: 2000

3.1.1.162. nsslapd-snmp-index

このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。

同じホストで複数の Directory Server インスタンスがあり、ポート 389 が異なるネットワークインターフェース上にある場合には、このパラメーターで、各インスタンスに異なる SNMP インデックス番号を設定できます。

パラメーター説明

エントリー DN

cn=config

有効な値

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

0

構文

整数

nsslapd-snmp-index: 0

3.1.1.163. nsslapd-SSLclientAuth

注記

nsslapd-SSLclientAuth パラメーターは今後のリリースで非推奨となり、現時点では後方互換性を維持するために維持されます。代わりに cn=encryption,cn=config に保存されている新しいパラメーター nsSSL:3.6.0 を使用します。「nsSSLClientAuth」 を参照してください。

3.1.1.164. nsslapd-ssl-check-hostname(アウトバウンド接続のホスト名の確認)

この属性は、提示される証明書のサブジェクト名(cn)属性に割り当てられた値に対してホスト名と一致することで、TLS 対応の Directory Server が要求の信頼性を検証すべきかどうかを設定します。デフォルトでは、属性は on に設定されます。オンで、ホスト名が証明書の cn 属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。

たとえば、レプリケートされた環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないことを検出すると、次のようなメッセージが supplier サーバーのログファイルに記録されます。

[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
	 Unable to communicate securely with peer: requested domain name does not
	 match the server's certificate.)

[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
 Replication bind with SSL client authentication failed:
 LDAP error 81 (Can't contact LDAP server)

Red Hat は、中間者(MITM)攻撃の man に対して Directory Server の送信 TLS 接続を保護するには、この属性をオンにすることを推奨します。

注記

DNS と逆引き DNS を正しく設定してこれを機能させるには、サーバーは証明書のサブジェクト DN のホスト名にピア IP アドレスを解決できません。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-ssl-check-hostname: on

3.1.1.165. nsslapd-syntaxcheck

この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプに必要な構文に準拠するようにします。この属性が有効な場合に、適切な構文に準拠しない変更は拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。

デフォルトでは、これはオンになっています。

構文検証は、新規または変更された属性に対してのみ実行され、既存の属性値の構文は検証されません。追加や変更などの LDAP 操作の構文検証がトリガーされます。属性構文の有効性は元のサプライヤーでチェックされるため、レプリケーションなどの操作の後には発生しません。

これにより、Directory Server でサポートされる属性タイプがすべて検証され、バイナリー構文(検証できない)および標準以外の構文で、必要な形式が定義されていません。未検証 の構文は以下のとおりです。

  • Fax (バイナリー)
  • OctetString (binary)
  • JPEG (バイナリー)
  • バイナリー (標準以外)
  • スペースに依存しない文字列 (非標準)
  • URI (標準以外)

nsslapd-syntaxcheck 属性は、属性の変更を検証および拒否するかどうかを設定します。これは、「nsslapd-syntaxlogging」 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nnsslapd-syntaxcheck: on

3.1.1.166. nsslapd-syntaxlogging

この属性は、構文の検証の失敗をログに記録するかどうかをエラーログに設定します。デフォルトでは、これはオフになっています。

「nsslapd-syntaxcheck」 属性が有効な場合(デフォルト)、nsslapd-syntaxlogging 属性も有効である場合、無効な属性の変更が拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging が有効で、nsslapd-syntaxcheck が無効の場合、無効な変更は続行されますが、警告メッセージがエラーログに書き込まれます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nnsslapd-syntaxlogging: off

3.1.1.167. nsslapd-threadnumber(Thread Number)

このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値を -1 (デフォルト)に設定すると、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。自動チューニングが有効な場合には、ns slapd-threadnumber には、Directory Server の実行中にスレッドの自動生成された数が表示されます。

注記

Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。

詳細は、『Red Hat Directory Server パフォーマンスチューニングガイド』の該当するセクションを参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 は、システムのスレッドおよびプロセッサーがサポートするスレッドの最大数です。

デフォルト値

-1

構文

整数

nsslapd-threadnumber: -1

3.1.1.168. nsslapd-timelimit(Time Limit)

この属性は、検索リクエストに割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は検索リクエストに一致するエントリーおよび超過した時間制限エラーを返します。

制限が設定されていない場合、ns -slapd は、かかる時間に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif ファイルのこの属性に、-1 の値を指定します。ゼロ(0)を指定すると、検索には時間がありません。最小の時間制限は 1 秒です。

注記

dse.ldif のこの属性上の -1 の値は、サーバーコンソールで属性を空白のままにしておくのと同じで、制限は使用されません。ただし、サーバーコンソールのこのフィールドには負の整数を設定できず、有効な整数ではないため、null 値は dse.ldif エントリーで使用できません。

対応するユーザーレベルの属性は nsTimeLimit です。

パラメーター説明

エントリー DN

cn=config

有効な範囲

-1 - 32 ビット整数値(2147483647)(秒単位)

デフォルト値

3600

構文

整数

nsslapd-timelimit: 3600

3.1.1.169. nsslapd-tmpdir

これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID によって所有され、ユーザーには読み書きアクセスが必要になります。他のユーザー ID はディレクトリーの読み取りまたは書き込みを持たせません。デフォルト値は /tmp です。

この属性への変更は、サーバーが再起動するまで反映されません。

3.1.1.170. nsslapd-unhashed-pw-switch

userPassword 属性 を更新すると、Directory Server はパスワードを暗号化し、userPassword に保存します ただし、Active Directory(AD)とパスワードを同期する場合など、特定の状況では、Directory Server は暗号化されていないパスワードをプラグインに渡す必要があります。この場合、サーバーは、呼び出した エントリー拡張子 の一時的な 未ハッシュ化の#user#password 属性に暗号化されていないパスワードを、変更ログにも保存します。Directory Server は、サーバーのハードディスクに ハッシュされていない#user#password 属性を一時的に保存しないことに注意してください。

nsslapd-unhashed-pw-switch パラメーターは、Directory Server が暗号化されていないパスワードを保存するかどうかや方法を制御します。たとえば、Directory Server から Active Directory へのパスワードを同期するには、ns slapd-unhashed-pw-switchon に設定する必要があります。

パラメーターに以下の値のいずれかを設定できます。

  • off: Directory Server は、エントリー拡張子や changelog に暗号化されていないパスワードを保存しません。AD とパスワードの同期を使用しない場合や、暗号化されていないパスワードへのアクセスを必要とするプラグインを使用しない場合は、この値を設定します。
  • : Directory Server は、暗号化されていないパスワードをエントリー拡張と changelog に保存します。パスワードの同期を AD と設定する場合は、この値を設定してください。
  • nolog: Directory Server は、暗号化されていないパスワードをエントリー拡張にのみ保存しますが、changelog には保存しません。local Directory Server プラグインが暗号化されていないパスワードにアクセスする必要があるものの、AD とパスワードの同期が設定されていない場合には、この値を設定します。
パラメーター説明

エントリー DN

cn=config

有効な値

off | on | nolog

デフォルト値

off

構文

DirectoryString

nsslapd-unhashed-pw-switch: off

3.1.1.171. nsslapd-validate-cert

Directory Server が TLS で実行されるように設定され、証明書の期限が切れると、Directory Server を起動することはできません。nsslapd-validate-cert パラメーターは、期限切れの証明書で起動を試みる際に Directory Server が応答する方法を設定します。

  • warn により、Directory Server は期限切れの証明書で正常に起動できますが、証明書が期限切れになったことを示す警告メッセージが送信されます。これはデフォルト設定です。
  • 証明書を検証する際に、証明書が失効してもサーバーが再起動できなくなります。これにより、期限切れの証明書のハード障害が設定されます。
  • すべての 証明書の有効期限を検証するため、警告をログ記録せずにサーバーが期限切れの証明書で起動できます。
パラメーター説明

エントリー DN

cn=config

有効な値

warn | on | off

デフォルト値

warn

構文

DirectoryString

nsslapd-validate-cert: warn

3.1.1.172. nsslapd-verify-filter-schema

nsslapd-verify-filter-schema パラメーターは、Directory Server がスキーマで指定されていない属性で検索フィルターを検証する方法を定義します。

nsslapd-verify-filter-schema を以下のオプションのいずれかに設定できます。

  • reject-invalid: Directory Server は、不明な要素が含まれているとエラーでフィルターを拒否します。
  • Process-safe: Directory Server が不明なコンポーネントを空のセットに置き換え、/var/log/dirsrv/slapd-instance_name/access ログファイルの notes=F フラグで警告を記録します。

    nsslapd-verify-filter-schemawarn-invalid または off から process-safe に切り替える前に、accesslog をモニターし、notes=F フラグでログエントリーを行うアプリケーションからクエリーを修正します。それ以外の場合は、操作の結果が変更され、Directory Server は一致するすべてのエントリーを返さない可能性があります。

  • warn-invalid: Directory Server は、/var/log/dirsrv/slapd-instance_name/access ログファイルの notes=F フラグを使用して警告をログに記録し、完全なデータベースのスキャンを続行します。
  • off: Directory Server ではフィルターが検証されません。

たとえば、ns slapd-verify-filter-schema を warn- invalid または off に設定すると、フィルター (&(non_exististent_attribute=example)(uid=user_name))uid=user_name エントリーを評価し、non_existent _attribute=example が含まれる場合にのみ返します。nsslapd-verify-filter-schemaprocess-safe に設定すると、Directory Server はそのエントリーを評価し、返しません。

注記

nsslapd-verify-filter-schemareject -invalid または process-safe に設定すると、スキーマに指定されていない属性を検索するため、負荷が高くなる可能性があります。

パラメーター説明

エントリー DN

cn=config

有効な値

reject-invalid, process-safe, warn-invalid, off

デフォルト値

warn-invalid

構文

DirectoryString

nsslapd-verify-filter-schema: warn-invalid

3.1.1.173. nsslapd-versionstring

この属性は、サーバーのバージョン番号を設定します。ビルドデータは、バージョン文字列が表示されると自動的に追加されます。

パラメーター説明

エントリー DN

cn=config

有効な値

有効なサーバーのバージョン番号

デフォルト値

 

構文

DirectoryString

nsslapd-versionstring: Red Hat-Directory/11.3

3.1.1.174. nsslapd-workingdir

これは、起動後にサーバーが現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、getcwd () 関数の値としてサーバーが返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示される値です。これは、コアファイルが生成されるディレクトリーです。サーバーユーザー ID はディレクトリーへの読み取りおよび書き込みアクセスを持つ必要があり、他のユーザー ID には読み取りまたは書き込みアクセス権を持たせないでください。この属性のデフォルト値は、エラーログを含む同じディレクトリーです。通常、これは /var/log/dirsrv/slapd-instance です。

この属性への変更は、サーバーが再起動するまで反映されません。

3.1.1.175. passwordAllowChangeTime

この属性は、ユーザーがパスワードを変更できるようになるまでに渡さなければならない期間を指定します。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の整数

デフォルト値

 

構文

DirectoryString

passwordAllowChangeTime: 5h

3.1.1.176. passwordChange(パスワードの変更)

ユーザーがパスワードを変更できるかどうかを示します。

これは、pwdAllowUserChange に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordChange: on

3.1.1.177. passwordCheckSyntax (パスワード構文チェック)

この属性は、パスワードを保存する前にパスワード構文をチェックするかどうかを設定します。パスワードの構文チェックメカニズムは、パスワードがパスワードの最小長要件を満たしているかどうか、また、文字列にユーザー名やユーザーID、ユーザーのディレクトリーエントリーの uidcnsngivenNameou、または mail 属性に格納されている属性値など、簡単な単語が含まれていないかどうかをチェックします。

パスワード構文には、チェックを行うためのさまざまなカテゴリーがあります。

  • パスワード内の簡単な単語のチェック時に使用する文字列またはトークンの長さ(トークンの長さが 3 の場合、ユーザーの UID、名前、メールアドレス、またはその他のパラメーターがパスワードで使用するその他のパラメーターに使用可能な場合)
  • 数字の最小数(0-9)
  • 大文字の ASCII 文字の最小数
  • 小文字の ASCII 文字の最小数
  • !@#$などの特殊文字の最小数。
  • 8 ビット文字の最小数
  • パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字または小文字、特殊文字、数字、または 8 ビット文字になります。

これは、pwdCheckSyntax に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordCheckSyntax: off

3.1.1.178. passwordDictCheck

on に設定すると、passwordDictCheck パラメーターはパスワードを CrackLib ディクショナリーに対して確認します。新しいパスワードに辞書単語が含まれている場合は、Directory Server がパスワードを拒否します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordDictCheck: off

3.1.1.179. passwordExp (パスワードの有効期限)

指定された秒数後にユーザーパスワードが失効するかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、password MaxAge 属性を使用してパスワードが失効する秒数を設定します

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザーアカウントの管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordExp: on

3.1.1.180. passwordExpirationTime

この属性は、ユーザーのパスワードの有効期限が切れる前に渡された時間を指定します。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の日付 (整数)

デフォルト値

なし

構文

GeneralizedTime

passwordExpirationTime: 202009011953

3.1.1.181. passwordExpWarned

この属性は、パスワード失効の警告がユーザーに送信されていることを示します。

パラメーター説明

エントリー DN

cn=config

有効な値

true | false

デフォルト値

なし

構文

DirectoryString

passwordExpWarned: true

3.1.1.182. passwordGraceLimit (パスワードの有効期限)

この属性は、パスワードの有効期限が有効な場合にのみ該当します。ユーザーのパスワードの期限が切れると、サーバーにより、パスワードの変更の目的でユーザーが接続できるようになります。これは grace login と呼ばれます。このサーバーでは、ユーザーを完全にロックするまでに一定の試行回数のみが許可されます。この属性は、許可される猶予期間の数です。値が 0 の場合は、サーバーが猶予期間ログインを許可しないことを意味します。

パラメーター説明

エントリー DN

cn=config

有効な値

0(off)または任意の妥当な整数

デフォルト値

0

構文

整数

passwordGraceLimit: 3

3.1.1.183. passwordHistory(パスワード履歴)

パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードを再利用できるかどうかを参照します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性が on に設定されていると、そのディレクトリーには、指定した数の古いパスワードを保存し、ユーザーが保存したパスワードを再利用しないようにします。passwordInHistory 属性を使用して、Directory Server が保存する古いパスワードの数を設定します。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordHistory: on

3.1.1.184. passwordInHistory(Remember へのパスワードの問題)

Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードは、ユーザーが再利用できません。パスワード履歴機能はデフォルトでは無効になっており、Directory Server は古いパスワードを保存しないため、ユーザーはパスワードを再利用できます。passwordHistory 属性を使用してパスワード履歴を有効にします。

追跡されるパスワードの数をユーザーが急速に発生させないようにするには、passwordMinAge 属性を使用します。

これは、pwdInHistory に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 24 個のパスワード

デフォルト値

6

構文

整数

passwordInHistory: 7

3.1.1.185. PasswordIsGlobalPolicy(Password Policy および Replication)

この属性は、パスワードポリシーの属性がレプリケートされるかどうかを制御します。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordIsGlobalPolicy: off

3.1.1.186. passwordLegacyPolicy

レガシーパスワードの動作を有効にします。古い LDAP クライアントは、最大失敗 制限を超える とユーザーアカウントをロックするエラーを受信することが想定されます。たとえば、制限に 3 つの失敗があった場合、アカウントは 4 回の試行でロックされました。ただし、新規クライアントは、障害制限に達するとエラーメッセージを受信することが予想されます。たとえば、制限が 3 回の失敗の場合は、3 番目の試行でアカウントをロックする必要があります。

失敗の制限を超えた場合にアカウントが古い動作であるとロックされるため、レガシー動作とみなされます。これはデフォルトで有効になっていますが、新規の LDAP クライアントが想定時にエラーを受信できるように無効にすることができます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordLegacyPolicy: on

3.1.1.187. passwordLockout(アカウントロックアウト)

指定した数のバインド試行後にユーザーがディレクトリーからロックされるかどうかを示します。デフォルトでは、ユーザーは一連のバインド試行後にディレクトリーからロックされません。アカウントのロックアウトが有効な場合は、パスワードMaxFailure 属性を使用してユーザーがロックされた後、失敗したバインド試行の数を設定します。

これは、pwdLockOut に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordLockout: off

3.1.1.188. passwordLockoutDuration(Lockout Duration)

アカウントのロックアウト後にユーザーがディレクトリーからロックされる時間(秒単位)を指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。passwordLockout 属性を使用して、アカウントロックアウト機能を有効にして無効にします。

これは、pwdLockoutDuration に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビット整数値 (2147483647) (秒単位)

デフォルト値

3600

構文

整数

passwordLockoutDuration: 3600

3.1.1.189. passwordMaxAge(Password Maximum Age)

ユーザーパスワードの有効期限が切れるまでの秒数を示します。この属性を使用するには、password Exp 属性を使用してパスワードの有効期限を有効にする必要があります。

これは、pwdMaxAge に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビット整数値 (2147483647) (秒単位)

デフォルト値

8640000 (100 日)

構文

整数

passwordMaxAge: 100

3.1.1.190. passwordBadWords

passwordBadWords パラメーターは、ユーザーがパスワードで使用できない文字列のコンマ区切りリストを定義します。

Directory Server は、文字列の大文字小文字の区別のないことに注意してください。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の文字列

デフォルト値

""

構文

DirectoryString

passwordBadWords: example

3.1.1.191. passwordMaxClassChars

passwordMaxClassChars パラメーターを 0 よりも大きな値に設定すると、Directory Server では、パラメーターに設定した値と同じカテゴリーに連続文字が設定されたパスワードが設定されないようにします。有効にすると、Directory Server は、以下のカテゴリーの連続文字をチェックします。

  • 数字
  • 英字
  • 小文字
  • 大文字

たとえば、passwordMaxClassChars3 に設定すると、jd if や1947 を含むパスワード は許可されません

パラメーター説明

エントリー DN

cn=config

有効な範囲

0(無効)から最大 32 ビット整数(2147483647)

デフォルト値

0

構文

整数

passwordMaxClassChars: 0

3.1.1.192. passwordMaxFailure(Maximum Password Failures)

ユーザーがディレクトリーからロックされるまでのバインド試行の失敗回数を示します。デフォルトでは、アカウントロックアウトは無効になっています。passwordLockout 属性を変更してアカウントのロックアウトを有効にします。

これは、pwdMaxFailure に省略できます。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 - 整数バインド失敗の最大数

デフォルト値

3

構文

整数

passwordMaxFailure: 3

3.1.1.193. passwordMaxRepeats (パスワード構文)

パスワードに同じ文字が順次表示される最大回数。ゼロ (0) はオフです。整数値は、その回数を超える文字を使用するパスワードを拒否します。たとえば 、1 は 2 回を超える(a)と 2 文字を超える文字を拒否します(aaa)。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMaxRepeats: 1

3.1.1.194. passwordMaxSeqSets

passwordMaxSeqSets パラメーターを 0 よりも大きな値に設定すると、Directory Server は、パラメーターで設定した長さを超える重複単調シーケンスのあるパスワードを拒否します。たとえば、passwordMaxSeqSets2 に設定すると、パスワードを azXYZ_XYZ-g に設定することはできません。XYZ がパスワードに 2 回表示されるためです。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 (無効) から最大 32 ビット整数値 (2147483647)

デフォルト値

0

構文

整数

passwordMaxSeqSets: 0

3.1.1.195. passwordMaxSequence

passwordMaxSequence パラメーターを 0 よりも大きな値に設定すると、Directory Server は、password MaxSequence に設定された値よりも長い、単調的なシーケンスを持つ新しいパスワードを拒否します。たとえば、パラメーターを 3 に設定すると、Directory Server は 1234dcba などの文字列を含むパスワードを拒否します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 (無効) から最大 32 ビット整数値 (2147483647)

デフォルト値

0

構文

整数

passwordMaxSequence: 0

3.1.1.196. passwordMin8Bit (パスワード構文)

これにより、パスワードに含まれる 8 ビット文字の最小数が設定されます。

注記

これを使用するには、userPassword 7 ビットのチェックを無効にする必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMin8Bit: 0

3.1.1.197. passwordMinAge(Password Minimum Age)

ユーザーがパスワードを変更できるまで渡さなければならない秒数を示します。この属性は、passwordInHistory (パスワードを記憶する)属性と共に使用し、ユーザーが古いパスワードを再度使用できるようにします。0を値として指定すると、ユーザーはすぐにパスワードを変更できます。

これは、pwdMaxFailure に省略できます。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 の有効な最大整数

デフォルト値

0

構文

整数

passwordMinAge: 150

3.1.1.198. passwordMinAlphas (パスワード構文)

この属性は、アルファベットのパスワードの最小数を設定します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMinAlphas: 4

3.1.1.199. passwordMinCategories (パスワード構文)

これにより、パスワードで表現される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。

  • 小文字
  • アルファベットの大文字
  • 数字
  • 特別な ASCII 文字(例: $ や句読点)
  • 8 ビット文字

たとえば、この属性の値が 2 に設定され、ユーザーがパスワードを aaaa に変更しようとすると、サーバーは小文字のみが含まれるため、パスワードを拒否します。そのため、1 つのカテゴリーのみが含まれています。A aAA のパスワードには、大文字、小文字の 2 つのカテゴリーの文字が含まれているため、合格していました

デフォルトは 3 です。これは、パスワード構文のチェックが有効な場合に有効なパスワードに 3 つのカテゴリーを持つ必要があることを意味します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 5

デフォルト値

0

構文

整数

passwordMinCategories: 2

3.1.1.200. PasswordMinDigits (パスワード構文)

これにより、パスワードに必要な数字の最小数が設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMinDigits: 3

3.1.1.201. passwordMinLength (パスワードの最小長)

この属性は、Directory Server ユーザーのパスワード属性で使用する必要のある最小文字数を指定します。一般的に、パスワードの短い方が追跡が簡単です。Directory Server は、最低 8 文字のパスワードを強制します。これは、クラッキングすることが難しくなるかもしれませんが、ユーザーはパスワードに書き込みを行わずに覚えることができます。

これは、pwdMinLength に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

2 - 512 文字

デフォルト値

6

構文

整数

passwordMinLength: 6

3.1.1.202. PasswordMinLowers (パスワード構文)

この属性は、小文字のパスワードの最小数を設定します。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMinLowers: 1

3.1.1.203. PasswordMinSpecials (パスワード構文)

この属性は、数字の最低数( 英数字以外 )を設定します。パスワードを含める必要があります。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMinSpecials: 1

3.1.1.204. PasswordMinTokenLength (パスワード構文)

この属性は、簡単な 単語チェックに使用される最小属性値の長さを設定します。たとえば、PasswordMinTokenLength3 に設定されている場合、D JgivenName がパスワードで拒否されるポリシーが生成されませんが、このポリシーは、Bob givenName が含まれるパスワードを拒否します。

Directory Server は、以下の属性の値に対して、最小のトークンの長さをチェックします。

  • uid
  • cn
  • sn
  • givenName
  • mail
  • ou

Directory Server で追加の属性を確認する必要がある場合は、passwordUserAttributes パラメーターで設定できます。詳細は 「passwordUserAttributes」 を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から 64

デフォルト値

3

構文

整数

passwordMinTokenLength: 3

3.1.1.205. PasswordMinUppers (パスワード構文)

これにより、大文字のパスワードの最小数が設定されます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

0 から 64

デフォルト値

0

構文

整数

passwordMinUppers: 2

3.1.1.206. passwordMustChange(Password Must Change)

ユーザーが Directory Server への初回バインド時または Manager DN でパスワードのリセット時に、パスワードを変更する必要があるかどうかを示します。

これは、pwdMustChange に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordMustChange: off

3.1.1.207. passwordPalindrome

passwordPalindrome パラメーターを有効にすると、新しいパスワードに palindrome がある場合は、Directory Server はパスワードを拒否します。

palindrome は、abc 11cba など、後方と同じ転送を読み取る文字列です。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordPalindrome: off

3.1.1.208. passwordResetFailureCount(Reset Password Failure Count After)

パスワード失敗のカウンターがリセットされるまでの時間を秒単位で指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。passwordLockout 属性が on に設定されている場合、カウンターが passwordMaxFailure 属性で指定された失敗数に達すると(デフォルトでは 600 秒)、ユーザーはディレクトリーからロックされます。passwordLockoutDuration 属性で指定した時間が経過すると、失敗カウンターはゼロ(0)にリセットされます。

これは、pwdFailureCountInterval に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビット整数値 (2147483647) (秒単位)

デフォルト値

600

構文

整数

passwordResetFailureCount: 600

3.1.1.209. passwordUserAttributes

デフォルトでは、passwordMinTokenLength パラメーターに最低トークンの長さを設定すると、Directory Server は特定の属性に対してのみトークンをチェックします。詳細は 「PasswordMinTokenLength (パスワード構文)」 を参照してください。

passwordUserAttributes パラメーターを使用すると、Directory Server がチェックすべき追加属性のコンマ区切りリストを設定できます。

パラメーター説明

エントリー DN

cn=config

有効な値

任意の文字列

デフォルト値

""

構文

DirectoryString

passwordUserAttributes: telephoneNumber, l

3.1.1.210. passwordSendExpiringTime

クライアントがパスワードを期限切れの制御を要求すると、パスワードが警告期間内にのみ、Directory Server は「期限が切れる」値を返します。パスワードの有効期限が警告期間内にいるかにかかわらず、常にこの値が返される既存のクライアントとの互換性を提供するには、passwordSendExpiringTime パラメーターを on に設定できます。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordSendExpiringTime: off

3.1.1.211. passwordStorageScheme(Password Storage Scheme)

この属性は、userPassword 属性に保存されているユーザーパスワードの暗号化に使用する 方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。

注記

Red Hat は、この属性を設定しないことを推奨します。値が設定されていないと、Directory Server は、利用できる最も強力なパスワードストレージスキームを自動的に使用します。今後の Directory Server の更新でデフォルト値が変更され、ユーザーがパスワードを設定した場合に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=config

有効な値

「パスワードストレージスキーム」 を参照してください。

デフォルト値

PBKDF2_SHA256

構文

DirectoryString

passwordStorageScheme: PBKDF2_SHA256

3.1.1.212. passwordTrackUpdateTime

エントリーのパスワードが最後に変更した時間専用に個別のタイムスタンプを記録するかどうかを設定します。これが有効になっている場合は、pwdUpdateTime 運用属性をユーザーアカウントエントリーに追加します( modifyTime など、他の更新時間からレート)。

このタイムスタンプを使用すると、Active Directory など、異なる LDAP ストア間でパスワード変更を同期できるようになります。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordTrackUpdateTime: off

3.1.1.213. passwordUnlock(未ロックアカウント)

ユーザーが指定した時間でディレクトリーからロックされたか、またはアカウントロックアウト後に管理者がパスワードをリセットするかどうかを示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。この passwordUnlock 属性が off に設定され、運用属性 accountUnlockTime の値が 0 の場合、アカウントは無限にロックされます。

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordUnlock: off

3.1.1.214. PasswordWarning(Send Warning)

ユーザーのパスワードが次の LDAP 操作でパスワード有効期限の警告制御を受け取れることを失効するために失効するまでの時間(秒単位)を示します。LDAP クライアントによっては、警告の送信時に、ユーザーにはパスワードを変更するように求められます。

これは、pwdExpireWarning に省略できます

パスワードポリシーの詳細は、『Red Hat Directory Server 管理ガイド』の「ユーザー認証の管理」の章を参照してください。

パラメーター説明

エントリー DN

cn=config

有効な範囲

1 から最大 32 ビット整数値 (2147483647) (秒単位)

デフォルト値

86400 (1 日)

構文

整数

passwordWarning: 86400

3.1.1.215. retryCountResetTime

retryCountResetTime 属性には、passwordRetryCount 属性が 0 にリセットされる後、UTC-format の日付と時間が含まれます。

パラメーター説明

エントリー DN

cn=config

有効な範囲

UTC 形式の有効なタイムスタンプ

デフォルト値

なし

構文

一般化時間

retryCountResetTime: 20190618094419Z

3.1.2. cn=changelog5,cn=config

マルチsupplier レプリケーションの changelog 設定エントリーは、cn =changelog5 エントリーの下に保存されます。cn=changelog5,cn=config エントリーは、拡張可能なObject オブジェクトクラスのインスタンスです。

cn=changelog5 エントリーには以下のオブジェクトクラスが含まれている必要があります。

  • top
  • extensibleObject
注記

Directory Server では、2 種類の changelogs が維持されます。ここに保存される最初のタイプ(ここでは changelog と呼ばれます)は、マルチsupplier レプリケーションにより使用されます。2 つ目の changelog は、実際にはプラグインであり、再集計する changelog と呼ばれています。一部のレガシーアプリケーションとの互換性を目的としています。Retro Changelog プラグインの詳細は、「Retro Changelog プラグイン」 を参照してください。

3.1.2.1. cn

この必須属性は、changelog エントリーの相対識別名(RDN)を設定します。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な値

任意の文字列

デフォルト値

changelog5

構文

DirectoryString

cn=changelog5

3.1.2.2. nsslapd-changelogcompactdb-interval

データベースが明示的に圧縮されない限り、Berkeley データベースは空きページを再利用しません。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。このパラメーターは、変更ログデータベースが圧縮される間隔(秒単位)を定義します。データベース圧縮はリソース集約型であるため、頻繁には実行しないでください。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な値

0 (圧縮なし) から 2147483647 秒

デフォルト値

2592000 (30 日)

構文

整数

nsslapd-changelogcompactdb-interval: 2592000

3.1.2.3. nsslapd-changelogdir

この必須属性は、changelog エントリーが作成されるディレクトリー名を指定します。changelog 設定エントリーが作成されるたびに、有効なディレクトリーが含まれている必要があります。そうでない場合は、操作は拒否されます。GUI は、このエントリーが /var/lib/dirsrv/slapd-instance/changelogdb/ に格納されるデフォルトで提案されます

警告

cn=changelog5 エントリーを削除すると、ns slapd-changelogdir パラメーターで指定されたディレクトリー(サブディレクトリーを含む)はすべて削除されます。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な値

changelog を格納するディレクトリーへの有効なパス

デフォルト値

なし

構文

DirectoryString

nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/

3.1.2.4. nsslapd-changelogmaxage (Changelog 最大エイジ)

コンシューマーとの同期を行う場合、各更新はタイムスタンプを使用して changelog に保存されます。nsslapd-changelogmaxage パラメーターは、changelog に保存されているレコードの最大期間を設定します。すべてのレプリカに正常に転送された古いレコードは自動的に削除されます。nsslapd-changelogmaxage パラメーターおよび nsslapd-changelogmaxentries パラメーターが設定されていない場合、すべてのレコードが保持されます。

注記

nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーションの changelog ファイルのサイズは自動的に縮小されません。詳細は、『Red Hat Directory 管理ガイド』の該当するセクションを参照してください。

nsslapd-changelogmaxage パラメーターは、再tro 変更ログでエントリーの最大期間を設定します。上書きの changelog のサイズは、小さい値を設定すると自動的に縮小されます。

trim 操作は、nsslapd-changelogtrim-interval パラメーターに設定される間隔で実行されます。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

0 (エントリーはそのエイジに応じて削除されない) から最大 32 ビット整数 (2147483647)

デフォルト値

0

構文

DirectoryString IntegerAgeID: AgeID秒、m( )、時、時 d for days、および w for weeks

nsslapd-changelogmaxage: 30d

3.1.2.5. nsslapd-changelogmaxentries (changelog の最大レコード)

コンシューマーと同期すると、各更新は changelog に保存されます。nsslapd-changelogmaxentries パラメーターは、changelog に保存されているレコードの最大数を設定します。最も古いレコード(すべてのレプリカに転送され、この数値を超える)は、自動的に削除されます。nsslapd-changelogmaxentries および nsslapd-changelogmaxage パラメーターが設定されていない場合、すべてのレコードが保持されます。

注記

nsslapd-changelogmaxentries パラメーターに小さい値を設定すると、レプリケーションの changelog ファイルのサイズは自動的に縮小されません。詳細は、『Red Hat Directory 管理ガイド』の該当するセクションを参照してください。

trim 操作は、nsslapd-changelogtrim-interval パラメーターに設定される間隔で実行されます。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

0(つまり、最大上限はディスクサイズ)。32 ビットの整数値(2147483647)

デフォルト値

0

構文

整数

nsslapd-changelogmaxentries: 5000

3.1.2.6. nsslapd-changelogmaxconcurrentwrites (再書き込みの最大同時数)

この属性は、変更ログへの同時書き込みを制御する新しいセマフォを初期化するために使用される値を指定します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

同時 changelo 書き込みの最大数

デフォルト値

2

構文

DirectoryString

nsslapd-changelogmaxconcurrentwrites: 4

3.1.2.7. nsslapd-changelogtrim-interval (レプリケーションの changelog のトリミング間隔)

Directory Server は、変更ログでトリムプロセスを繰り返し実行します。2 回の実行の間隔を変更するには、ns slapd-changelogtrim-interval パラメーターを更新し、間隔を秒単位で設定します。

この設定を有効にするためにサーバーを再起動する必要はありません。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

0 から最大 32 ビットの整数値 (2147483647)

デフォルト値

300 (5 分)

構文

DirectoryString

nsslapd-changelogtrim-interval: 300

3.1.2.8. nsslapd-encryptionalgorithm (暗号化アルゴリズム)

この属性は、changelog の暗号化に使用する暗号化アルゴリズムを指定します。changelog 暗号化を有効にするには、サーバー証明書をディレクトリーサーバーにインストールする必要があります。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

AES または 3DES

デフォルト値

なし

構文

DirectoryString

nsslapd-encryptionalgorithm: AES

3.1.2.9. nsSymmetricKey

この属性は、内部で生成された対称鍵を保存します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=changelog5,cn=config

有効な範囲

Base64 でエンコードされたキー

デフォルト値

なし

構文

DirectoryString

なし

3.1.3. changelog 属性

changelog 属性には、changelog に記録されている変更が含まれます。

3.1.3.1. changes

この属性には、LDIF 形式の追加および修正操作のエントリーの変更が含まれます。

OID

2.16.840.1.113730.3.1.8

構文

Binary

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.2. changeLog

この属性には、サーバーの changelog を構成するエントリーセットが含まれるエントリーの識別名が含まれます。

OID

2.16.840.1.113730.3.1.35

構文

DN

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.3. changeNumber

この属性は常に存在します。これには、ディレクトリーエントリーに追加された各変更を一意に識別する整数が含まれます。この数字は、変更が発生した順序に関連します。数値が大きいほど、後に変更されます。

OID

2.16.840.1.113730.3.1.5

構文

整数

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.4. changeTime

この属性は、エントリーの追加時における a YYMMDDHHMMSS 形式で時間を定義します。

OID

2.16.840.1.113730.3.1.77

構文

DirectoryString

多値または単一値

複数値

定義される場所

Directory Server

3.1.3.5. changeType

この属性は、LDAP 操作のタイプ、追加削除変更、または modrdn を指定します。以下に例を示します。

changeType: modify

OID

2.16.840.1.113730.3.1.7

構文

DirectoryString

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.6. deleteOldRdn

modrdn 操作の場合、この属性は古い RDN が削除されたかどうかを指定します。

値をゼロ(0)に設定すると古い RDN が削除されます。その他のゼロ以外の値は、古い RDN を維持します。(ゼロ以外の値は、負の値または正の整数にすることができます。)

OID

2.16.840.1.113730.3.1.10

構文

ブール値

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.7. filterInfo

これは、レプリケーションを処理するために changelog によって使用されます。

OID

2.16.840.1.113730.3.1.206

構文

DirectoryString

多値または単一値

複数値

定義される場所

Directory Server

3.1.3.8. newRdn

modrdn 操作の場合、この属性はエントリーの新しい RDN を指定します。

OID

2.16.840.1.113730.3.1.9

構文

DN

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.9. newSuperior

modrdn 操作の場合、この属性は移動エントリーの新しい親(スーパーユーザー)エントリーを指定します。

OID

2.16.840.1.113730.3.1.11

構文

DN

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.3.10. targetDn

この属性には、LDAP 操作の影響を受けるエントリーの DN が含まれます。modrdn 操作の場合、targetDn 属性には、変更または移動する前にエントリーの DN が含まれます。

OID

2.16.840.1.113730.3.1.6

構文

DN

多値または単一値

複数値

定義される場所

Changelog インターネットドラフト

3.1.4. cn=encryption

暗号化関連の属性は、cn =encryption,cn=config エントリーに保存されます。cn=encryption,cn=config エントリーは、ns slapdEncryptionConfig オブジェクトクラスのインスタンスです。

3.1.4.1. allowWeakCipher

この属性は、弱い暗号を許可または拒否するかどうかを制御します。デフォルトは nsSSL3Ciphers パラメーターに設定される値によって異なります。

以下の場合は、暗号が弱すぎます。

  • これらはエクスポート可能です。

    エクスポート可能な暗号には、暗号名で EXPORT というラベルが付けられます。たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5 になります

  • 3DES アルゴリズムよりも対称的で弱いものになります。

    対称暗号は、暗号化と復号化の両方に同じ暗号鍵を使用します。

  • キーの長さは 128 ビットよりも短くなります。

この属性への変更を反映するには、サーバーを再起動する必要があります。

エントリー DN

cn=encryption,cn=config

有効な値

on | off

デフォルト値

nsSSL3Ciphers パラメーターの値が +all または default に設定されている場合、オフ

ns SSL3Ciphers パラメーターの値に ユーザー固有の暗号リストが含まれる場合。

構文

DirectoryString

allowWeakCipher: on

3.1.4.2. allowWeakDHParam

Directory Server でリンクされているネットワークセキュリティーサービス(NSS)ライブラリーには、最低 2048 ビットの Diffie-Hellman(DH)パラメーターが必要です。ただし、Java 1.6 や 1.7 クライアントなどの Directory Server に接続する一部のクライアントは、1024 ビットの DH パラメーターのみをサポートします。allowWeakDHParam パラメーターを使用すると、Directory Server の弱い 1024 ビットの DH パラメーターのサポートを有効にできます。

この属性への変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=encryption,cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

allowWeakDHParam: off

3.1.4.3. nsSSL3Ciphers

この属性は、暗号化された通信中に Directory Server が使用する TLS 暗号化暗号のセットを指定します。

このパラメーターに設定した値は、allowWeakCipher パラメーターのデフォルト値 に影響します。詳細は 「allowWeakCipher」 を参照してください。

パラメーター説明

エントリー DN

cn=encryption,cn=config

有効な値

NSS 対応暗号のコンマ区切りリスト。さらに、以下のパラメーターも可能です。

* デフォルト: NSS によって公開されるデフォルトの暗号は、弱い暗号を除くようにします。詳細は「List supported cipher suites for SSL connections」を参照してください。

* +all: すべての暗号が有効になります。allowWeakCipher パラメーターが有効になっている場合は、弱い暗号が含まれます。

* -all: すべての暗号が無効になります。

デフォルト値

default

構文

DirectoryString

無効化する場合はプラス記号(+)記号を使用して、無効にする記号を有効または無効にします。暗号のリストでは空白は許可されません。

すべての暗号を有効にするには、rsa_null_md5 を除く必要があります。これは、具体的には +all と指定してください。

nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA

対応している暗号の一覧の詳細は、『Red Hat Directory Server 管理ガイド』の該当するセクションを参照してください。

3.1.4.4. nsSSLActivation

この属性は、指定のセキュリティーモジュールに対して TLS 暗号ファミリーが有効になっているかどうかを示します。

エントリー DN

cn=encryptionType,cn=encryption,cn=config

有効な値

on | off

デフォルト値

 

構文

DirectoryString

nsSSLActivation: on

3.1.4.5. nsSSLClientAuth

この属性は、Directory Server がクライアント認証を強制する方法を示しています。次の値を取ります。

  • off - Directory Server はクライアント認証を受け入れません。
  • allowed (デフォルト): Directory Server はクライアント認証を受け入れますが、これは必須ではありません。
  • 必須: すべてのクライアントはクライアント認証を使用する必要があります。

    重要

    Directory Server コンソールはクライアント認証をサポートしません。したがって、nsSSL can required を必須 に設定すると、コンソールを使用してインスタンスを管理することができません。

この属性の変更を反映するには、サーバーを再起動する必要があります。

パラメーター説明

エントリー DN

cn=config

有効な値

off | allowed | required

デフォルト値

allowed

構文

DirectoryString

nsSSLClientAuth: allowed

3.1.4.6. nsSSLEnabledCiphers

Directory Server は、多値 nsSSLEnabledCiphers 属性を自動的に生成します。属性は読み取り専用で、現在使用中の暗号化 Directory Server を表示します。この一覧は、ns SSL3Ciphers 属性に設定したものと