第3章 Core Server 設定リファレンス
本章では、すべてのコア (サーバー関連) 属性のアルファベットの参照を提供します。「Directory Server 設定の概要」 Red Hat Directory Server 設定ファイルに関する適切な概要が含まれています。
3.1. コアサーバー設定の属性リファレンス
このセクションには、コアサーバーの機能に関連する設定属性の参照情報が記載されています。サーバー設定の変更に関する詳細は、「サーバー設定へのアクセスおよび変更」 を参照してください。プラグインとして実装されるサーバー機能のリストは、「サーバープラグインの機能リファレンス」 を参照してください。カスタムサーバー機能の実装に関するヘルプは、Directory Server サポートにお問い合わせください。
以下の図のように、dse.ldif ファイルに保存された設定情報は、一般的な設定エントリー cn=config 配下にある情報ツリーとして編成されます。
図3.1 設定データを示すディレクトリー情報ツリー
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins ノードは 4章プラグイン実装サーバー機能リファレンス で説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、その使用方法などが含まれます。
本章で説明するエントリーおよび属性の一部は、製品の今後のリリースで変更される可能性があります。
3.1.1. cn=config
一般的な設定エントリーは cn=config エントリーに保存されます。cn=config エントリーは、nsslapdConfig オブジェクトクラスのインスタンスで、extensibleObject オブジェクトクラスを継承します。
3.1.1.1. nsslapd-accesslog(アクセスログ)
この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。ログファイルには、デフォルトで以下の情報を記録します。
- データベースにアクセスするクライアントマシンの IP アドレス (IPv4 または IPv6)。
- 実行される操作 (検索、追加、変更など)。
- アクセス権の結果 (返されるエントリーの数やエラーコードなど)。
アクセスログをオフにする方法は、Red Hat Directory Server 管理ガイドのサーバーおよびデータベースアクティビティーの監視の章を参照してください。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.1 dse.ldif ファイル属性
| 属性 | 値 | ロギングの有効化または無効化 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | 無効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | 無効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | 無効 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名。 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/access |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(アクセスログレベル)
この属性は、アクセスログにログ記録する内容を制御します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | * 0 - アクセスロギングなし * 4 - 内部アクセス操作のロギング * 256 - 接続、操作、および結果の記録 * 512 - エントリーおよび参照情報にアクセスするためのロギング
* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、 |
| デフォルト値 | 256 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(アクセスログファイルの List)
設定できないこの読み取り専用属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
off に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を与えずに負荷が大きい場合でもサーバーがアクセスロギングを使用できます。ただし、デバッグ時には、操作と、ログエントリーがファイルにフラッシュされるのを待たずに、バッファーを無効にしても、すぐに結果を見えることがあります。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(アクセスログの有効期限)
この属性は、削除前にログファイルに到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit 属性で指定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(アクセスログの有効期限時間単位)
この属性は、nsslapd-accesslog-logexpirationtime 属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | month |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(アクセスログの有効化ロギング)
accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog 属性と併せてのみ有効です。
アクセスロギングを有効にするには、この属性を on に切り替え、nsslapd-accesslog 設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.2 dse.ldif Attributes
| 属性 | 値 | ログの有効化または無効化 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | 無効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | 無効 |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | 無効 |
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
この属性は、アクセスログが消費できる最大ディスク容量 (メガバイト単位) を指定します。この値を超えると、最も古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域のサイズが無制限であることを意味します。 |
| デフォルト値 | 500 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(アクセスログ最小空きディスク容量)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(アクセスログローテーション同期の有効化)
この属性は、アクセスログのローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour 属性値および nsslapd-accesslog-logrotationsyncmin 属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on に設定して有効にし、nsslapd-accesslog-logrotationsynchour 属性および nsslapd-accesslog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(アクセスログローテーション同期時間)
この属性は、アクセスログをローテーションする時刻を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 23 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(アクセスログローテーション同期確認確認)
この属性は、アクセスログをローテーションする日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled 属性および nsslapd-accesslog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 59 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(アクセスログローテーション時間)
この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨していませんが、ログが無期限に増大するため、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合、サーバーは nsslapd-accesslog-logrotationtime 属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir(アクセスログの最大数)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(アクセスログローテーション時間単位)
この属性は、nsslapd-accesslog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | day |
| 構文 | DirectoryString |
| 例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(アクセスログの最大サイズ)
この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(アクセスログの最大数)
この属性は、アクセスログが保存されるディレクトリーに格納できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンが削除されます。パフォーマンス上の理由から、サーバーがログをローテーションせず、ログが無制限に大きくなるため、Red Hat はこの値を 1 に設定 しない ことを推奨します。
この属性の値が 1 よりも大きい場合は、nsslapd-accesslog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-accesslog-logrotationtime(アクセスログローテーション時間)」 を参照してください。
nsslapd-accesslog-logminfreediskspace および nsslapd-accesslog-maxlogsize に設定した値によっては、実際のログ数は nsslapd-accesslog-maxlogsperdir で設定する数よりも少なくなる可能性があることに注意してください。たとえば、nsslapd-accesslog-maxlogsperdir がデフォルトの (10 ファイル) を使用し、nsslapd-accesslog-logminfreediskspace を 500 MB に、nsslapd-accesslog-maxlogsize を 100 MB に設定すると、Directory Server は 5 つのアクセスファイルのみを保持します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 10 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(アクセスログファイルのパーミッション)
この属性は、アクセスログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000 から 777 の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0 から 7 まで変わります。
-
0- なし -
1- 実行のみ -
2- 書き込みのみ -
3- 書き込みおよび実行 -
4- 読み取り専用 -
5- 読み取りおよび実行 -
6- 読み取りおよび書き込み -
7- 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます (オフ)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn 属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off | rootdse |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
このパラメーターは、事前にハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、事前にハッシュ化されたパスワードは Directory Manager 以外のユーザーによって設定できません。この権限を Password Administrators グループに追加すると、他のユーザーに委任できます。ただし、レプリケーションパートナーが、事前にハッシュ化されたパスワードチェックをすでに制御している場合など、この機能は Directory Server で無効にする必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
デフォルトでは、ルート DSE は SASL ライブラリーがサポートするすべてのメカニズムをリスト表示します。ただし、一部の環境では、特定の環境だけが優先されます。nsslapd-allowed-sasl-mechanisms 属性を使用すると、定義した SASL メカニズムのみを有効にできます。
メカニズム名は大文字、数字、およびアンダースコアで設定される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
EXTERNAL メカニズムは SASL プラグインによって実際に使用されません。これはサーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms 属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な SASL メカニズム |
| デフォルト値 | None(すべての SASL メカニズムが許可される) |
| 構文 | DirectoryString |
| 例 | nsslapd-allowed-sasl-mechanisms: GSSAPI、DIGEST-MD5、OTP |
3.1.1.22. nsslapd-anonlimitsdn
リソース制限は、認証されたバインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit)、時間制限 (nsslapd-timelimit)、およびタイムアウト期間 (nsslapd-idletimeout)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス拒否攻撃がディレクトリーリソースを結合し、全体的なパフォーマンスを向上させることができます。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。これは、通常、リソース制限が匿名操作には適用されません。
匿名バインドにリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。nsslapd-anonlimitsdn 設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
この属性を使用すると、属性名の標準以外の文字を、スキーマ定義属性の "_" など、古いサーバーと後方互換性に使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(監査ログ)
この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.3 nsslapd-auditlog の可能な組み合わせ
| dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | 無効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | 無効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | 無効 |
3.1.1.25. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs 属性を使用すると、Directory Server が監査ログに表示する属性を設定して、変更されるエントリーに関する有用な識別情報を提供できます。監査ログに属性を追加すると、エントリー内の特定の属性の現在の状態とエントリーの更新の詳細を確認できます。
次のオプションのいずれかを選択して、ログ内の属性を表示できます。
- Directory Server が変更するエントリーの特定の属性を表示するには、属性名を値として指定します。
- 複数の属性を表示するには、スペースで区切られた属性名のリストを値として指定します。
- エントリーのすべての属性を表示するには、値としてアスタリスク (*) を使用します。
Directory Server が監査ログに表示する必要がある属性のスペース区切りのリストを指定するか、値としてアスタリスク (*) を使用して、変更されるエントリーのすべての属性を表示します。
たとえば、監査ログ出力に cn 属性を追加するとします。nsslapd-auditlog-display-attrs 属性を cn に設定すると、監査ログに次の出力が表示されます。
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な属性名。監査ログ内のエントリーのすべての属性を表示する場合は、アスタリスク (*) を使用します。 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
監査ログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(監査ログの有効期限)
この属性は、ログファイルが削除される前に許可される最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit 属性で指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(監査ログの有効期限時間単位)
この属性は、nsslapd-auditlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(監査ログの有効化)
監査ロギングをオンおよびオフにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logging-enabled: off |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、ns slapd-auditlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.4 nsslapd-auditlog と nsslapd-auditlog-logging-enabled の組み合わせ
| 属性 | 値 | ロギングの有効化または無効化 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | 無効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | 無効 |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | 無効 |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(監査ログの最大ディスク領域)
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(監査ログの最小ディスク領域)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(監査ログローテーション同期の有効化)
この属性は、監査ログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour 属性値および nsslapd-auditlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour 属性および nsslapd-auditlog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(監査ログローテーション同期時間)
この属性は、監査ログのローテーションを行う時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 23 |
| デフォルト値 |
なし ( |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(監査ログローテーション同期数)
この属性は、監査ログのローテーションに使用する日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled 属性および nsslapd-auditlog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 59 |
| デフォルト値 |
なし ( |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(監査ログローテーション時間)
この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性が 1 に設定されていると、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-auditlog-maxlogsperdir(監査ログの最大数)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(監査ログローテーション時間単位)
この属性は、nsslapd-auditlog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(監査ログの最大サイズ)
この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir を 1 にすると、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(監査ログの最大数)
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-auditlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-auditlog-logrotationtime(監査ログローテーション時間)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(監査ログファイルのパーミッション)
この属性は、監査ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(送信失敗ログ)
この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled が有効にされており、nsslapd-auditfaillog が設定されていない場合、監査の失敗イベントは nsslapd-auditlog で指定されたファイルに記録されます。
nsslapd-auditfaillog パラメーターを nsslapd-auditlog と同じパスに設定すると、いずれも同じファイルに記録されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled 属性を on に設定する必要があります。
3.1.1.41. nsslapd-auditfaillog-list
監査失敗のログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(監査ログの有効期限)
この属性は、削除前のログファイルの最大期間を設定します。ユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit 属性の day、week、month など、単位を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration Time Unit)
この属性は、nsslapd-auditfaillog-logexpirationtime 属性に単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-logging-enabled(Audit Fail Log Enable Logging)
失敗した LDAP 変更のロギングをオンまたはオフにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(監査ログの最大ディスク領域)
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(監査失敗ログ最小空きディスク容量)
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定された値よりも小さい場合、十分なディスク領域が解放されるまで最も古い監査ログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(監査失敗ログローテーション同期有効)
この属性は、監査失敗のログローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour 属性値および nsslapd-auditfaillog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour 属性および nsslapd-auditfaillog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(監査ログローテーション同期時間)
この属性は、監査ログがローテーションされる時刻を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 23 |
| デフォルト値 |
なし ( |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(監査ログローテーション同期数)
この属性は、監査ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled 属性および nsslapd-auditfaillog-logrotationsynchour 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 59 |
| デフォルト値 |
なし ( |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(監査ログローテーション時間)
この属性は、監査失敗ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit 属性で指定します。nsslapd-auditfaillog-maxlogsperdir 属性が 1 に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-auditfaillog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir 属性をチェックして、この属性の値が 1 を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime 属性を確認します。詳細は、「nsslapd-auditfaillog-maxlogsperdir(監査ログの最大数)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(監査失敗ログローテーション時間単位)
この属性は、nsslapd-auditfaillog-logrotationtime 属性の単位を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(監査ログの最大サイズ)
この属性は、最大監査失敗ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir パラメーターが 1 に設定されている場合、サーバーはこの属性を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(監査ログの最大数)
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査失敗のログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-auditfaillog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime 属性の値が -1 の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logrotationtime(監査ログローテーション時間)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(監査失敗ログファイルパーミッション)
この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(デフォルトのバックアップディレクトリー)
このパラメーターは、デフォルトのバックアップディレクトリーへのパスを設定します。Directory Server ユーザーには、設定されたディレクトリーに書き込みパーミッションが必要です。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意のローカルディレクトリーパス。 |
| デフォルト値 | /var/lib/dirsrv/slapd-instance/bak |
| 構文 | DirectoryString |
| 例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(証明書およびキーデータベースディレクトリー)
このパラメーターは、Directory Server がインスタンスの Network Security Services(NSS) データベースを保存するために使用するディレクトリーへの完全パスを定義します。このデータベースには、インスタンスの秘密鍵と証明書が含まれます。
フォールバックとして Directory Server は、秘密鍵と証明書をこのディレクトリーに抽出します。サーバーがプライベート名前空間の /tmp/ ディレクトリーに抽出できません。プライベート名スペースの詳細は、systemd.exec(5) の man ページの PrivateTmp パラメーターの説明を参照してください。
nsslapd-certdir で指定したディレクトリーはサーバーのユーザー ID で所有され、このユーザー ID のみがこのディレクトリーに読み取り/書き込みパーミッションを持っている必要があります。セキュリティー上の理由から、他のユーザーには、このディレクトリーに読み書きするパーミッションがありません。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 絶対パス |
| デフォルト値 | /etc/dirsrv/slapd-instance_name/ |
| 構文 | DirectoryString |
| 例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(証明書マップ検索ベース)
この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づいてディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn 属性は、ルート以外のエントリーに基づいて検索を強制的に実行する可能性があります。この属性の有効な値は、証明書マッピングに使用する接尾辞またはサブツリーの DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
この読み取り専用属性は設定 DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の有効な設定 DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
このパラメーターを使用すると、CNF 値内で DN を有効にできます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn 属性を使用して DN 値を保存することがあります。たとえば、dn: cn="dc=A,dc=com", cn=mapping tree,cn=config の場合は、DN 構文に従って cn を正規化する必要があります。
この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns パラメーターを有効にします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer: 1
この属性は、接続バッファーの動作を設定します。値:
-
0: バッファーを無効にします。PDU(単一のプロトコルデータユニット) のみが一度に読み込まれます。 -
1:512バイトの通常の固定サイズLDAP_SOCKET_IO_BUFFER_SIZE。 -
2: 適応可能なバッファーサイズ
値が 2 の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加や変更操作の場合や、多くの非同期リクエスト数がレプリケーション中に単一の接続で受信される場合などがこれに該当します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 | 1 | 2 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
このオプションを使用すると、SASL NOCANON フラグを有効または無効にできます。無効にすると、Directory Server は、送信接続の DNS 逆引きエントリーを検索しないようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
この属性は接続テーブルサイズを設定し、サーバーによってサポートされる接続の総数を決定します。
接続スロットが不足しているため、Directory Server が接続を拒否する場合は、この属性の値を増やします。この状況が発生すると、Directory Server のエラーログファイルは、Not listening for new connections — too many fds open メッセージを記録します。
オープンファイルの数とプロセスごとのオープンファイル数の上限を増やす必要がある場合があります。Directory Server を起動するシェルでオープンファイルの数 (ulimit -n) の ulimit を増やす 必要がある場合があります。
接続テーブルのサイズは、nsslapd-maxdescriptor で上限です。詳細は、「nsslapd-maxdescriptors(最大ファイル記述子)」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Values | オペレーティングシステムに依存します |
| Default Value |
Directory Server プロセスが開くことのできるファイルの最大数。 |
| Syntax | 整数 |
| Example | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡すると、パフォーマンスに影響する可能性があります。カウンターの 64 ビットの整数をオフにすると、パフォーマンスが最小限に抑えられますが、長期統計追跡に悪影響を及ぼします。
このパラメーターは、デフォルトで有効になっています。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif ファイルを編集し、サーバーを再起動します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
この属性は、利用可能な場合は変更シーケンス番号 (CSN) がアクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングがオンになっています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
この属性は、クライアントがデフォルトで検索ベースとして使用する、設定されたすべての命名コンテキストを示します。この値は、defaultNamingContext 属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | ルート接尾辞 DN |
| デフォルト値 | デフォルトのユーザー接尾辞 |
| 構文 | DN |
| 例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
この属性は、ディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行している場所をマウントするために 10 秒ごとに実行されるスレッドを有効にします。利用可能なディスク領域が設定されたしきい値を下回ると、サーバーはロギングレベルの削減、アクセスまたは監査ログの無効化、ローテーションされたログの削除を行います。利用可能な領域が十分にない場合は、サーバーは正常にシャットダウンします (ウェイアと猶予期間後)。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
「nsslapd-disk-monitoring-threshold」 に設定されたディスク領域制限の半分に達すると、サーバーをシャットダウンするまで待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぐことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の整数値 (分単位) |
| デフォルト値 | 60 |
| 構文 | 整数 |
| 例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
ログディレクトリーがディスク領域の制限 「nsslapd-disk-monitoring-threshold」 に設定された半方向ポイントをパスした場合にサーバーをシャットダウンするかどうかを設定します。
これを有効にすると、ロギングは無効 ではなく、サーバーによるディスク使用量を減らす手段としてローテーションされたログは削除されません。サーバーは単にシャットダウンプロセスを実行します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
空きディスク領域が nsslapd-disk-monitoring-threshold パラメーターに設定した値の半分に達すると、Directory Server は、nsslapd-disk-monitoring-grace-period に設定された猶予期間後にインスタンスをシャットダウンします。ただし、インスタンスが停止する前にディスクの容量が不足すると、データが破損する可能性があります。この問題を回避するには、しきい値に達した場合に nsslapd-disk-monitoring-readonly-on-threshold パラメーターを有効にします。Directory Server は、しきい値に達したときにインスタンスを読み取り専用モードに設定します。
この設定では、空きディスク領域が nsslapd-disk-monitoring-threshold で設定したしきい値の半分を下回ると、Directory Server が起動しません。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
サーバーに十分なディスク領域があるかどうかを評価するために使用するしきい値をバイト単位で設定します。領域がこのしきい値の半分に達すると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト) の場合、利用可能なディスク領域が 1MB になると、サーバーはシャットダウンを開始します。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、およびデータベースディレクトリーによって使用されるディスク領域に対して評価されます。「nsslapd-disk-monitoring-logging-critical」 属性が有効な場合は、ログディレクトリーが評価に含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | * 32 ビットシステムの 0 から 32 ビットの整数値 (2147483647) * 64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807) |
| デフォルト値 | 2000000 (2MB) |
| 構文 | DirectoryString |
| 例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
「nsslapd-syntaxcheck」 属性により、サーバーは新規または変更された属性値がその属性に必要な構文と一致することを確認できます。
ただし、DN の構文ルールでは、厳格さが増大しています。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheck は RFC 1779 または RFC 2253 を使用して DN を検証します。
nsslapd-dn-validate-strict 属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性を off (デフォルト) に設定すると、サーバーは、構文違反があるかどうかをチェックする前に値を正規化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
cn=schema のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server の Turbo モードは、ワーカースレッドを接続専用にし、その接続からの受信操作を継続的に読み取ることができる機能です。これにより、非常にアクティブな接続でパフォーマンスを向上でき、この機能はデフォルトで有効になります。
ワーカースレッドは、サーバーによって受信される LDAP 操作を処理します。ワーカースレッドの数は nsslapd-threadnumber パラメーターで定義されます。各ワーカースレッドは、現在の接続のアクティビティーレベルが、確立されたすべての接続間で最大 1 つであるかどうかを評価します。Directory Server は、最後のチェック以降に開始される操作の数としてアクティビティーを測定し、現在の接続の動作が最も高い場合は turbo モードでワーカースレッドを切り替えます。
1 秒以上など、バインド操作の実行時間が長い (ログファイルの etime 値) 場合は、ターボモードを無効にするとパフォーマンスが向上する可能性があります。ただし、場合によっては、バインド時間がネットワークやハードウェアの問題の現象となる場合があります。このような状況では、turbo モードを無効にするとパフォーマンスが向上しません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
単純なバインド時に、バインド操作の性質上、Directory Server はプレーンテキストのパスワードにアクセスできます。nsslapd-enable-upgrade-hash パラメーターが有効で、ユーザーを認証した場合、Directory Server は、ユーザーの userPassword 属性が passwordStorageScheme 属性に設定されたハッシュアルゴリズムを使用するかどうかを確認します。アルゴリズムが異なる場合、サーバーは passwordStorageScheme のアルゴリズムでプレーンテキストのパスワードをハッシュ化し、ユーザーの userPassword 属性の値を更新します。
たとえば、弱いアルゴリズムを使用してハッシュ化されたパスワードを持つユーザーエントリーをインポートする場合、サーバーは passwordStorageScheme(デフォルトでは PBKDF2_SHA256) に設定したアルゴリズムを使用して、ユーザーの最初のログインでパスワードを自動的にハッシュ化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc (上級オブジェクトクラスエンクォーティングの有効化)
この属性は非推奨となり、Directory Server の今後のバージョンで削除されます。
この属性は、cn=schema エントリーに含まれる objectclass 属性の引用が、インターネットのドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠しており、この値は引用符で囲まれていないことを示します。非常に古いクライアントのみでは、この値を on に設定する必要があります。したがって、この値は off のままにします。
この属性をオンまたはオフにしても、Directory Server コンソールには影響を及ぼしません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に生成される更新シーケンス番号 (USN) を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on に設定します。
詳細は 「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
エントリーがサーバーからエクスポートされ、別のサーバーにインポートされた場合には、エントリーの更新シーケンス番号 (USN) が保持されません (レプリケーション用のデータベースの初期化の際を含む)。デフォルトでは、インポートされたエントリーのエントリー USN はゼロに設定されます。
nsslapd-entryusn-import-initval を使用して、エントリー USN に別の初期値を設定できます。これは、すべてのインポートされたエントリーに使用される開始 USN を設定します。
nsslapd-entryusn-import-initval には 2 つの値があります。
- 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
- next。つまり、インポートされたエントリーはすべて、インポート操作の前にサーバー上にあった最大のエントリー USN 値を、1 つずつインクリメントして使用します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の整数 | 次へ |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(エラーログ)
この属性は、Directory Server が生成するエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述することができますが、多くの場合、以下のような情報的条件が含まれます。
- サーバーの起動およびシャットダウン時間。
- サーバーが使用するポート番号。
このログの情報量は、Log Level 属性の現在の設定により異なります。詳細は、「nsslapd-errorlog-level(エラーログレベル)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なファイル名 |
| デフォルト値 | /var/log/dirsrv/slapd-instance/errors |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled 設定属性を on に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、エラーロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表3.5 Nsslapd-errorlog 設定属性に考えられる組み合わせ
| dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空の文字列 | 無効 |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | 有効 |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空の文字列 | 無効 |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | 無効 |
3.1.1.79. nsslapd-errorlog-level(エラーログレベル)
この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり、3 の値を指定するとレベル 1 と 2 の両方が含まれます。
nsslapd-errorlog-level のデフォルト値は 16384 です。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | * 1 - 追跡関数の呼び出し。サーバーに入る際にメッセージをログに記録し、関数を終了します。 * 2 - デバッグパケット処理。 * 4 - ヘビートレース出力デバッグ。 * 8 - 接続管理。 * 16 - 送信/受信パケットの出力。 * 32 - 検索フィルター処理。 * 64 - 設定ファイル処理。 * 128 - アクセス制御リスト処理。 * 1024 - シェルデータベースとのログ通信。 * 2048 - デバッグを解析するログエントリー。 * 4096 - ハウスキーピングスレッドのデバッグ。 * 8192 - レプリケーションのデバッグ。 * 16384 - 重大なエラーや、常にエラーログに書き込まれるその他のメッセージに使用されるデフォルトのロギングレベル (例: サーバー起動メッセージ)このレベルのメッセージは、ログレベルの設定に関係なく、常にエラーログに含まれます。 * 32768 - データベースキャッシュのデバッグ
* 65536 - サーバープラグインのデバッグ。サーバープラグインが
* 262144 - アクセス制御サマリー情報。レベル * 524288 - LMDB データベースのデバッグ。 |
| デフォルト値 | 16384 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
この読み取り専用属性は、エラーログファイルのリストを提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(エラーログの有効期限)
この属性は、削除前にログファイルが到達できる最大期間を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logexpirationtimeunit 属性で指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(エラーログの有効期限時間単位)
この属性は、nsslapd-errorlog-logexpirationtime 属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day |
| デフォルト値 | month |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(エラーロギングの有効化)
エラーロギングのオンとオフを切り替えます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(エラーログの最大ディスク領域)
この属性は、エラーログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログに許可されるディスク領域のサイズが無制限であることを意味します。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(エラーログの最小ディスク領域)
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(エラーログローテーション同期が有効)
この属性は、エラーログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーロギングのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour 属性値および nsslapd-errorlog-logrotationsyncmin 属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour 属性および nsslapd-errorlog-logrotationsyncmin 属性の値を 0 に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logrotationsync-enabled: on |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(エラーログローテーション同期時間)
この属性は、エラーログをローテーションする時刻を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsyncmin 属性と共に使用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 23 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(エラーログローテーション同期確認)
この属性は、エラーログをローテーションするために 1 日分を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled 属性および nsslapd-errorlog-logrotationsynchour 属性と併用する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 59 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(エラーログローテーション時間)
この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logrotationtimeunit (エラーログローテーション時間単位) 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir 属性値を 1 に設定するか、nsslapd-errorlog-logrotationtime 属性を -1 に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir 属性をチェックして、この属性の値が 1 よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime 属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir(最大エラーログファイル数)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。 |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(エラーログローテーション時間単位)
この属性は、nsslapd-errorlog-logrotationtime (エラーログローテーション時間) の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | month | week | day | hour | minute |
| デフォルト値 | 週 |
| 構文 | DirectoryString |
| 例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大ログサイズ)
この属性は、最大エラーログサイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーはログ情報の新しいログファイルへの書き込みを開始します。nsslapd-errorlog-maxlogsperdir が 1 に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が管理する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) で、値が -1 の場合は、ログファイルのサイズが無制限になります。 |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(最大エラーログファイル数)
この属性は、エラーログが保存されるディレクトリーに格納できるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1 ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1 よりも大きい場合は、nsslapd-errorlog-logrotationtime 属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime 属性の値が -1 の場合、ログローテーションはありません。詳細は、「nsslapd-errorlog-logrotationtime(エラーログローテーション時間)」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 1 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(エラーログファイルのパーミッション)
この属性は、エラーログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000 から 777 の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0 から 7 によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000 はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 000 から 777 まで |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
TLS 接続を確立すると、クライアントは最初に証明書を送信し、SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求を送信するときに SASL/EXTERNAL を使用しないため、Directory Server は簡易認証要求または匿名要求としてバインドを処理し、TLS 接続が失敗します。
nsslapd-force-sasl-external 属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | String |
| 例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
この属性は非推奨になり、これまでの目的でのみ説明されます。
アクセス制御プラグインは nsslapd-groupevalnestlevel 属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5 としてハードコーディングされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 5 |
| デフォルト値 | 5 |
| 構文 | 整数 |
| 例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-idletimeout(デフォルトのアイドルタイムアウト)
この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの秒数を設定します。0 に設定すると、サーバーはアイドル状態の接続を閉じなくなります。この設定は、すべての接続およびすべてのユーザーに適用されます。Poll() が 0 を返さない場合、接続テーブルがウォークされたときにアイドル状態のタイムアウトが強制されます。そのため、1 つの接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる nsIdleTimeout 操作属性を使用して、この属性に割り当てられた値を上書きします。詳細は、Red Hat Directory Server 管理ガイドのバインド DN に基づいたリソース制限の設定セクションを参照してください。
非常に大規模なデータベースの場合、この属性には、エントリーへの接続がタイムアウトすると、オンライン初期化プロセスが完了するか、レプリケーションが失敗するまで十分な値が必要です。または、nsIdleTimeout 属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 3600 |
| 構文 | 整数 |
| 例 | nsslapd-idletimeout: 3600 |
3.1.1.97. nsslapd-ignore-virtual-attrs
このパラメーターを使用すると、検索エントリーで仮想属性ルックアップを無効にできます。
仮想属性が必要ない場合は、検索結果で仮想属性ルックアップを無効にして、検索の速度を増やすことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| Example | nsslapd-ignore-virtual-attrs: off |
3.1.1.98. nsslapd-instancedir(インスタンスディレクトリー)
この属性は非推奨になりました。nsslapd-certdir、nsslapd-lockdir などのインスタンス固有のパス用に個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。
3.1.1.99. nsslapd-ioblocktimeout(IO ブロックのタイムアウト)
この属性は、停止した LDAP クライアントへの接続を閉じるまでの時間をミリ秒単位で設定します。LDAP クライアントは、読み取りまたは書き込み操作の I/O の進捗が全くない場合には停止されたと見なされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | ティックにおける 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 10000 |
| 構文 | 整数 |
| 例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.100. nsslapd-lastmod(トラッキング変更時間)
この属性は、Directory Server が新しく作成または更新されたエントリーの操作属性 creatorsName、createTimestamp、modifiersName、および modifyTimestamp を維持するかどうかを設定します。
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID 属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-lastmod: on |
3.1.1.101. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind は、サーバーが LDAPI を使用して Directory Server に自動バインドできるようにするかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、これらの認証情報に基づいて Directory Server に対してユーザーを自動的に認証します。Directory Server 接続は UNIX ソケット上で実行されます。
自動バインドを有効にするとともに、自動バインドを設定するには、マッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn は、システム上の root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries は、nsslapd-ldapiuidnumbertype、nsslapd-ldapigidnumbertype、および nsslapd-ldapientrysearchbase 属性で定義されたパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilisten が on になり、nsslapd-ldapifilepath 属性が LDAPI ソケットに設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapiautobind: off |
3.1.1.102. nsslapd-ldapientrysearchbase(LDAPI 認証エントリーの検索ベース)
自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号 (nsslapd-ldapiuidnumbertype) および GUID 番号 (nsslapd-ldapigidnumbertype) に使用する属性の Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase で、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | DN |
| デフォルト値 |
サーバーインスタンスの作成時に作成された接尾辞 (例: |
| 構文 | DN |
| 例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.103. nsslapd-ldapifilepath(LDAPI ソケットのファイルの場所)
LDAPI は、TCP ではなく UNIX ソケットを介して LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットを介して通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは、nsslapd-ldapifilepath 属性に設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意のディレクトリーパス |
| デフォルト値 | /var/run/dirsrv/slapd-example.socket |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.104. nsslapd-ldapigidnumbertype(System GUID 番号の属性マッピング)
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapigidnumbertype 属性は、システム GUID をユーザーエントリーにマッピングする Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server の属性 |
| デフォルト値 | gidNumber |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.105. nsslapd-ldapilisten(LDAPI の有効化)
nsslapd-ldapilisten は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilisten を on に設定して LDAPI を有効にすることに加えて、nsslapd-ldapifilepath 属性に LDAPI 用に設定された UNIX ソケットも必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapilisten: on |
3.1.1.106. nsslapd-ldapimaprootdn (root ユーザー用の自動バインドマッピング)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー (UID が 0 のユーザー) は、nsslapd-ldapimaprootdn 属性で指定した Directory Server エントリーにマッピングされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | cn=Directory Manager |
| 構文 | DN |
| 例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.107. nsslapd-ldapimaptoentries(通常ユーザーの自動バインドマッピングの有効化)
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries 属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効になっていない場合は、root ユーザーのみが autobind を使用して Directory Server に対して認証し、他のすべてのユーザーは匿名で接続できます。
マッピング自体は、nsslapd-ldapiuidnumbertype 属性および nsslapd-ldapigidnumbertype 属性で設定され、Directory Server 属性をユーザーの UID および GUID の番号にマップします。
LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapimaptoentries: on |
3.1.1.108. nsslapd-ldapiuidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapiuidnumbertype 属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten および nsslapd-ldapifilepath)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server の属性 |
| デフォルト値 | uidNumber |
| 構文 | DirectoryString |
| 例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.109. nsslapd-ldifdir
Directory Server は、db2ldif または db2ldif.pl を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式 (LDIF) 形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
| デフォルト値 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 構文 | DirectoryString |
| 例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.110. nsslapd-listen-backlog-size
この属性は、ソケット接続のバックログの最大数を設定します。listen サービスは、受信接続を受け付けるソケット数を設定します。Backlog 設定は、接続を拒否する前にソケット (sockfd) のキューを拡張する最大期間を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 最大 64 ビットの整数値 (9223372036854775807) |
| デフォルト値 | 128 |
| 構文 | 整数 |
| 例 | nsslapd-listen-backlog-size: 128 |
3.1.1.111. nsslapd-listenhost(IP アドレスに追加)
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。1 つのホップに関連する複数の IP アドレスが存在する可能性があります。これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。
ホスト名が nsslapd-listenhost 値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一 IP インターフェイス (IPv4 または IPv6) が nsslapd-listenhost の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | ローカルホスト名、IPv4 アドレスまたは IPv6 アドレス |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-listenhost: ldap.example.com |
3.1.1.112. nsslapd-localhost(ローカルホスト)
この属性は、Directory Server を実行するホストマシンを指定します。この属性は、MMR プロトコルの一部を設定する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、その参照はローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 完全修飾ホスト名。 |
| デフォルト値 | インストールされたマシンのホスト名。 |
| 構文 | DirectoryString |
| 例 | nsslapd-localhost: phonebook.example.com |
3.1.1.113. nsslapd-localuser(ローカルユーザー)
この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンス向けのインスタンス固有のファイルおよびディレクトリーはすべて chown などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に nsslapd-localuser の値が最初に設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なユーザー |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-localuser: dirsrv |
3.1.1.114. nsslapd-lockdir(サーバーロックファイルディレクトリー)
これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance です。この値の変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | サーバー ID への書き込みアクセスのあるサーバーユーザー ID が所有するディレクトリーへの絶対パス |
| デフォルト値 | /var/lock/dirsrv/slapd-instance |
| 構文 | DirectoryString |
| 例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.115. nsslapd-localssf
nsslapd-localssf パラメーターは、LDAPI 接続のセキュリティー強度係数 (SSF) を設定します。Directory Server は、nsslapd-localssf に設定した値が nsslapd-minssf パラメーターに設定した値と同じか、それ以上の場合にのみ LDAPI 接続を許可します。そのため、LDAPI の接続は nsslapd-minssf の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 71 |
| 構文 | 整数 |
| 例 | nsslapd-localssf: 71 |
3.1.1.116. nsslapd-logging-hr-timestamps-enabled(高解像度ログタイムスタンプの有効化または無効化)
ログがナノ秒の精度で高解像度のタイムスタンプを使用するか、1 秒の精度で標準解決タイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを off に設定します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 |
|
| デフォルト値 |
|
| 構文 | DirectoryString |
| 例 | nsslapd-logging-hr-timestamps-enabled: on |
3.1.1.117. nsslapd-maxbersize(最大メッセージサイズ)
受信メッセージに許可される最大サイズ (バイト単位) を定義します。これにより、Directory Server で処理できる LDAP 要求のサイズが制限されます。要求のサイズを制限すると、さまざまな DoS 攻撃を防ぎます。
この制限の対象は LDAP 要求の合計サイズです。たとえば、エントリーの追加要求で、要求のエントリーがデフォルトの設定値よりも大きい場合に、この追加要求は拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性の変更には細心の注意を払ってください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 2 (ギガバイト) - (2,147,483,647 バイト)
|
| デフォルト値 | 2097152 |
| 構文 | 整数 |
| 例 | nsslapd-maxbersize: 2097152 |
3.1.1.118. nsslapd-maxdescriptors(最大ファイル記述子)
この属性は、Directory Server が使用しようとするファイル記述子の最大数を設定します。ファイル記述子は、クライアントがサーバーに接続するたびに使用されます。ファイル記述子は、アクセスログ、エラーログ、監査ログ、データベースファイル (インデックスおよびトランザクションログ)、およびレプリケーションおよびチェーンの他のサーバーへの発信接続のソケットとして使用されます。
TCP/IP がクライアント接続に使用できる記述子の数は、nsslapd-conntablesize 属性によって決まります。この属性のデフォルト値は、ファイル記述子のソフト制限に設定されており、デフォルトは 1024 です。ただし、この属性を手動で設定すると、サーバーはプロセスファイル記述子のソフト制限が同じになるように更新します。
この値が設定されすぎると、Directory Server はオペレーティングシステムに許容可能な最大値をクエリーしてから、その値を使用します。また、エラーログに情報メッセージが出力されます。Directory Server Console または ldapmodify を使用して、この値をリモートで無効な値に設定すると、サーバーは新しい値を拒否し、古い値を維持し、エラーで応答します。
一部のオペレーティングシステムでは、ユーザーがプロセスで使用できるファイル記述子の数を設定できます。ファイル記述子の制限と設定に関する詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune プログラム (Red Hat Directory Server インストールガイド で説明) は、必要に応じてファイル記述子の数を増やすなど、システムカーネルまたは TCP/IP チューニング属性への変更を提案するために使用できます。ファイル記述子が不足しているため、Directory Server が接続を拒否する場合は、この属性の値を増加させます。これが発生すると、以下のメッセージが Directory Server のエラーログファイルに書き込まれます。
Not listening for new connections -- too many fds open
受信接続の数を増やす方法は、「nsslapd-conntablesize」 を参照してください。
UNIX シェルには通常、ファイル記述子の数に対する設定可能な制限があります。limit および ulimit についての詳細は、オペレーティングシステムのドキュメンテーションを参照してください。これらの 制限により、多くの場合で問題が発生する可能性があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から 65535 |
| Default Value | 4096 |
| Syntax | 整数 |
| Example | nsslapd-maxdescriptors: 4096 |
3.1.1.119. nsslapd-maxsasliosize (最大 SASL パケットサイズ)
ユーザーが SASL GSS-API 経由で Directory Server に対して認証される場合、サーバーはクライアントに一定量のメモリーをクライアントに割り当て、クライアント要求するメモリーの量に応じて、LDAP 操作を実行する必要があります。攻撃者は、このようなサイズの大きいパケットサイズを送信して、Directory Server がクラッシュするか、サービス拒否攻撃の一部として無限に連携する可能性があります。
Directory Server が SASL クライアントに許可するパケットサイズは、nsslapd-maxsasliosize 属性を使用して制限できます。この属性は、サーバーが許可する SASL IO パケットの最大サイズを設定します。
受信 SASL IO パケットが nsslapd-maxsasliosize の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログに記録し、管理者が必要に応じて設定を調節できるようにします。
この属性値はバイト単位で指定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | * 32 ビットシステムの -1(32 ビットの整数値)(2147483647) * 64 ビットシステムの -1(64 ビット整数値) から最大 64 ビットの整数値 (9223372036854775807) |
| デフォルト値 | 2097152 (2MB) |
| 構文 | 整数 |
| 例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.120. nsslapd-maxthreadsperconn(接続あたりの最大スレッド)
コネクションが使用する必要のあるスレッドの最大数を定義します。クライアントがバインドし、バインドを解除する前に 1 つまたは 2 つの操作のみを実行する通常の操作では、デフォルト値を使用します。クライアントが多くのリクエストをバインドして同時に発生する場合は、この値を増やして、各接続ですべての操作を実行できるようにします。この属性は、サーバーコンソールでは使用できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 threadnumber |
| デフォルト値 | 5 |
| 構文 | 整数 |
| 例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.121. nsslapd-minssf
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。nsslapd-minssf 属性は、サーバーへの接続に最低限 SSF 要件を設定します。接続試行は、最低 SSF よりも弱い接続を拒否します。
TLS および SASL 接続は、Directory Server への接続で混在できます。通常、これらの接続にはそれぞれ異なる SSF があります。2 つの SSF が高いほど、最小 SSF 要件との比較に使用されます。
SSF 値を 0 に設定すると、最低限の設定はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 正の整数 |
| デフォルト値 | 0 (off) |
| 構文 | DirectoryString |
| 例 | nsslapd-minssf: 128 |
3.1.1.122. nsslapd-minssf-exclude-rootdse
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf-exclude-rootdse 属性は、ルート DSE のクエリーを除き、サーバーへの任意の接続の SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が強制され、最初にセキュアな接続を確立しなくても、クライアントがルート DSE からサーバー設定に関する情報を取得することができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 正の整数 |
| デフォルト値 | 0 (off) |
| 構文 | DirectoryString |
| 例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.123. nsslapd-moddn-aci
このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲット制限を使用するときに ACI チェックを制御します。後方互換性のために、ACI チェックを無効にできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-moddn-aci: on |
3.1.1.124. nsslapd-malloc-mmap-threshold
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MMAP_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_MMAP_THRESHOLD パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 33554432 |
| デフォルト値 |
mallopt(3) の man ページの |
| 構文 | 整数 |
| 例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.125. nsslapd-malloc-mxfast
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MXFAST 環境変数を設定する代わりに、nsslapd-malloc-mxfast パラメーターを使用すると、Directory Server の設定に値を設定できます。詳細は、mallopt(3) の man ページの M_MXFAST パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 - 80 * (sizeof(size_t) / 4) |
| デフォルト値 |
mallopt(3) の man ページの |
| 構文 | 整数 |
| 例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.126. nsslapd-malloc-trim-threshold
Directory Server インスタンスが systemctl ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv ファイルまたは /etc/sysconfig/dirsrv-instance_name ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_TRIM_THRESHOLD 環境変数を設定する代わりに、nsslapd-malloc-trim-threshold パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_TRIM_THRESHOLD パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 2^31-1 |
| デフォルト値 |
mallopt(3) の man ページの |
| 構文 | 整数 |
| 例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.127. nsslapd-nagle
この属性の値が off の場合、TCP_NODELAY オプションが設定されます。これにより、LDAP 応答 (エントリーや結果メッセージなど) が即座にクライアントに送られます。属性が有効な場合、デフォルトの TCP 動作が適用されます。特に、データの送信は遅延され、通常はイーサネットの場合は 1 つのパケット (通常は 1500 バイト) にデータをグループ化できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-nagle: off |
3.1.1.128. nsslapd-ndn-cache-enabled
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターを更新して、このキャッシュの最大サイズを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-ndn-cache-enabled: on |
3.1.1.129. nsslapd-ndn-cache-max-size
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size パラメーターは、このキャッシュの最大サイズを設定します。
要求された DN がキャッシュされていない場合は、正規化され、追加されます。キャッシュサイズの制限を超過すると、Directory Server は、キャッシュから最も最近使用された 10,000 DN を削除します。ただし、少なくとも 10,000 の DN は常にキャッシュされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 20971520 |
| 構文 | 整数 |
| 例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.130. nsslapd-outbound-ldap-io-timeout
この属性は、すべてのアウトバウンド LDAP 接続の I/O 待機時間を制限します。デフォルトは 300000 ミリ秒 (5 分) です。値が 0 の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300000 |
| 構文 | DirectoryString |
| 例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.131. nsslapd-pagedsizelimit(シンプルページ結果検索のサイズ制限)
この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsslapd-sizelimit 属性がオーバーライドされます。
この値がゼロに設定されている場合、nsslapd-sizelimit 属性は、ページ検索と非ページ検索に使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.132. nsslapd-plug-in
この読み取り専用属性は、サーバーによって読み込まれる構文および一致するルールプラグインのプラグインエントリーの DN をリスト表示します。
3.1.1.133. nsslapd-plugin-binddn-tracking
操作自体がサーバープラグインによって開始された場合でも、エントリーの修飾子として操作に使用されるバインド DN を設定します。操作を実行する特定のプラグインは、別の運用属性 internalModifiersname にリスト表示されます。
もう 1 つの変更は、ディレクトリーツリーの他の自動変更をトリガーできます。たとえば、ユーザーが削除されると、そのユーザーは Referential Integrity プラグインが属するグループから自動的に削除されます。ユーザーの初回削除は、サーバーにバインドされているユーザーアカウントによって実行されますが、グループへの更新はプラグインによって実行されているものとして表示され、更新を開始したユーザーに関する情報はありません。nsslapd-plugin-binddn-tracking 属性により、サーバーは、更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
この属性はデフォルトで無効にされています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.134. nsslapd-plugin-logging
デフォルトでは、アクセスログが内部操作を記録するように設定されている場合でも、プラグイン内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターを使用してグローバルに制御することができます。
有効にすると、プラグインはこのグローバル設定およびログアクセスおよび監査イベント (有効な場合) を使用します。
nsslapd-plugin-logging が有効で、nsslapd-accesslog-level が内部操作を記録するように設定されている場合は、インデックスされていない検索とその他の内部操作がアクセスログファイルに記録されます。
nsslapd-plugin-logging が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-plugin-logging: off |
3.1.1.135. nsslapd-port(ポート番号)
この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を提供します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024 未満の場合は、Directory Server を root で起動する必要があります。
サーバーは、起動後にその uid を nsslapd-localuser 値に設定します。設定ディレクトリーのポート番号を変更する場合は、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 65535 |
| デフォルト値 | 389 |
| 構文 | 整数 |
| 例 | nsslapd-port: 389 |
LDAPS ポートが有効な場合は、ポート番号をゼロ (0) に設定して LDAP ポートを無効にします。
3.1.1.136. nsslapd-privatenamespaces
この読み取り専用属性には、プライベート命名コンテキスト cn=config、cn=schema、および cn=monitor のリストが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | cn=config, cn=schema, and cn=monitor |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-privatenamespaces: cn=config |
3.1.1.137. nsslapd-pwpolicy-inherit-global(グローバルパスワード構文の継承)
粒度の細かいパスワード構文が設定されていない場合、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードは確認されません。粒度の細かいパスワード構文を継承する場合は、この属性を on に設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.138. nsslapd-pwpolicy-local(サブツリーおよびユーザーレベルパスワードポリシーの有効化)
粒度の細かい (サブツリーおよびユーザーレベル) パスワードポリシーをオンまたはオフにします。
この属性の値が off の場合、ディレクトリー内のすべてのエントリー (cn=Directory Manager を除く) はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。
この属性の値が on の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-pwpolicy-local: off |
3.1.1.139. nsslapd-readonly(読み取り専用)
この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベースにはデータも設定情報も変更できません。データベースを読み取り専用モードで変更しようとすると、サーバーが操作を実施しないようにするエラーが返されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-readonly: off |
3.1.1.140. nsslapd-referral (Referral)
この多値属性は、サーバーがローカルツリーに属さないエントリーの要求を受信するときに接尾辞によって返される LDAP URL を指定します。つまり、接尾辞を持つエントリーは接尾辞属性で指定された値と一致しません。たとえば、サーバーにエントリーのみが含まれるとします。
ou=People,dc=example,dc=com
ただし、このエントリーに対する要求は、以下のとおりです。
ou=Groups,dc=example,dc=com
この場合、参照は LDAP クライアントが要求されたエントリーが含まれるサーバーを見つけようと試みます。Directory Server インスタンスごとに 1 つの参照のみが許可されますが、この参照は複数の値を持つことができます。
TLS 通信を使用するには、参照属性は ldaps://server-location の形式で指定する必要があります。
Start TLS は参照をサポートしません。
参照の管理に関する詳細は、Red Hat Directory Server 管理ガイドのディレクトリーデータベースの設定の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.141. nsslapd-referralmode (参照モード)
これが設定されている場合、この属性は接尾辞の任意のリクエストの参照を返します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.142. nsslapd-require-secure-binds
このパラメーターでは、ユーザーは、通常の接続ではなく、TLS、StartTLS、SASL などの保護された接続でディレクトリーに対して認証する必要があります。
これは認証されたバインドにのみ適用されます。nsslapd-require-secure-binds がオンの場合でも、匿名バインドと非認証バインドは、標準チャンネルで完了できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-require-secure-binds: on |
3.1.1.143. nsslapd-requiresrestart
このパラメーターには、変更後にサーバーを再起動する必要があるその他のコア設定属性がリスト表示されます。これは、nsslapd-requiresrestart にリスト表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性のリストは、ldapsearch で返すことができます。
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
この属性は多値です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | コアサーバー設定属性 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.144. nsslapd-reservedescriptors(予約ファイル記述子)
この属性は、インデックス管理やレプリケーションの管理など、Directory Server がクライアント接続以外の管理用に予約するファイル記述子の数を指定します。サーバーがこの目的のファイル記述子に対して予約するファイル記述子の数は、LDAP クライアント接続を提供するために利用可能なファイル記述子の合計数 (「nsslapd-maxdescriptors(最大ファイル記述子)」を参照) から減ります。
Directory Server のほとんどのインストールでは、この属性を変更する必要はありません。ただし、以下がすべて該当する場合には、この属性の値を増やすことを検討してください。
- サーバーは、多数のコンシューマーサーバーに複製する (10 以上)、またはサーバーが多数のインデックスファイル (30 以上) を維持している。
- サーバーは多数の LDAP 接続を提供します。
- サーバーがファイル記述子を開けないことを報告するエラーメッセージがあります (実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なりますが、これらのエラーメッセージは クライアントの LDAP 接続の管理とは関係ありません)。
この属性の値を増やすと、より多くの LDAP クライアントがディレクトリーにアクセスできない可能性があります。したがって、この属性の値は増加し、nsslapd-maxdescriptors 属性の値も増やします。オペレーティングシステムでプロセスの使用を許可するファイル記述子の最大数を使用している場合は、nsslapd-maxdescriptors 値を増やすことができない可能性があります。詳細は、オペレーティングシステムのドキュメントを参照してください。この場合、LDAP クライアントが代替ディレクトリーレプリカを検索することで、サーバーの負荷を軽減します。受信接続のファイル記述子の使用については、「nsslapd-conntablesize」 を参照してください。
この属性に設定されたファイル記述子の数を計算するには、以下の式を使用します。
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends は、ldbm データベースの数です。
- NglobalIndex は、システムインデックスを含むすべてのデータベースに設定されたインデックスの合計数です。(デフォルトでは 8 のシステムインデックスと、データベースごとに追加インデックス 17)
- ReplicationDescriptor は、8 に加えて、サプライヤーやハブとして機能するサーバー内のレプリカの数 (NSupplierReplica) です。
-
ChainingBackendDescriptors は、NchainingBackend に nsOperationConnectionsLimit (チェーンまたはデータベースリンクの設定属性で、デフォルトは
10) をかけたものです。 -
PTADescriptorsは、PTA が設定されている場合は
3、PTA が設定されていない場合は0です。 -
TLS が設定されている場合、SSLDescriptors は
5(4 ファイル + 1 listensocket) であり、TLS が設定されていない場合には0になります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から 65535 |
| デフォルト値 | 64 |
| 構文 | 整数 |
| 例 | nsslapd-reservedescriptors: 64 |
3.1.1.145. nsslapd-return-exact-case (完全に一致したケースを返す)
クライアントによって要求される属性タイプ名の正確なケースを返します。LDAPv3 準拠のクライアントは属性名のケースを無視する必要がありますが、一部のクライアントアプリケーションは、検索や変更操作の結果として Directory Server によって属性が返される際に、その属性がスキーマに記載されているとおりに属性名が一致する必要があります。ただし、ほとんどのクライアントアプリケーションは属性に大文字と小文字を無視します。したがって、デフォルトではこの属性は無効になっています。サーバーから返される属性名のケースを確認するレガシークライアントがない限り、変更しないでください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-return-exact-case: off |
3.1.1.146. nsslapd-rewrite-rfc1274
この属性は非推奨となり、今後のバージョンで削除されます。
この属性は、RFC 1274 の名前で属性タイプを返す必要がある LDAPv2 クライアントにのみ使用されます。これらのクライアントで値を on に設定します。デフォルトは off です。
3.1.1.147. nsslapd-rootdn (マネージャー DN)
この属性は、アクセス制御の制限を受けないエントリーの識別名 (DN)、ディレクトリーの操作に対する管理制限、または一般的にリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトではこの DN のエントリーはありません。したがって、cn=Directory Manager などの値は受け入れ可能です。
ルート DN の変更に関する詳細は、Red Hat Directory Server 管理ガイドのディレクトリーエントリーの作成の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効な識別名 |
| デフォルト値 | |
| 構文 | DN |
| 例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.148. nsslapd-rootpw(Root パスワード)
この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、nsslapd-rootpwstoragescheme 属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示すると、この属性に値 * が表示されます。dse.ldif ファイルから表示すると、この属性には、暗号化方法の後にパスワードの暗号化された文字列が表示されます。この例は、実際のパスワードではなく、dse.ldif ファイルに表示されるパスワードを示しています。
ルート DN がサーバーの設定になっている場合は、root パスワードが必要です。ただし、ファイルを直接編集して、root パスワードを dse.ldif から削除できます。この場合、ルート DN は、匿名のアクセスに対してはディレクトリーへの同じアクセスのみを取得できます。Root DN がデータベースに対して設定されている場合、root パスワードが dse.ldif で定義されているようにしてください。pwdhash コマンドラインユーティリティーは、新しい root パスワードを作成できます。詳細は、「pwdhash」 を参照してください。
コマンドラインから Directory Manager のパスワードをリセットする場合は、パスワードに 中括弧 ({}) を使用しないでください。Root パスワードは {password-storage-scheme}hashed_password 形式で保存されます。中括弧内の文字は、サーバーによって root パスワードストレージスキームとして解釈されます。そのテキストが有効なストレージスキームではない場合や、次のパスワードが適切にハッシュ化されない場合、Directory Manager はサーバーにバインドできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 で説明されている暗号化方法のいずれかで暗号化されている有効なパスワード。 |
| デフォルト値 | |
| 構文 | DirectoryString {encryption_method }encrypted_Password |
| 例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.149. nsslapd-rootpwstoragescheme (Root パスワードストレージスキーム)
この属性は、nsslapd-rootpw 属性に保存されている Directory Server のマネージャーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
| Default Value | PBKDF2_SHA256 |
| Syntax | DirectoryString |
| Example | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.150. nsslapd-rundir
このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
| デフォルト値 | /var/run/dirsrv/ |
| 構文 | DirectoryString |
| 例 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.151. nsslapd-sasl-mapping-fallback
デフォルトでは、最初に一致する SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能する可能性のあるマッピングが他にあっても、バインド操作は失敗します。SASL マッピングフォールバックは、一致するすべてのマッピングをチェックし続けます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-sasl-mapping-fallback: off |
3.1.1.152. nsslapd-sasl-max-buffer-size
この属性は、最大 SASL バッファーサイズを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 67108864 (64 キロバイト) |
| 構文 | 整数 |
| 例 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.153. nsslapd-saslpath
Cyrus-SASL SASL2 プラグインを含むディレクトリーに絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは非標準の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定され、Red Hat ではこの属性を変更しないことを強く推奨します。属性が存在しないか、値が空の場合は、Directory Server は、正しいバージョンであるシステムによって提供される SASL プラグインライブラリーを使用していることを意味します。
このパラメーターが設定されている場合、サーバーは SASL プラグインを読み込むために指定されたパスを使用します。このパラメーターが設定されていない場合、サーバーは SASL_PATH 環境変数を使用します。nsslapd -saslpath または SASL_PATH が設定されていない場合、サーバーはデフォルトの場所である /usr/lib/sasl2 から SASL プラグインの読み込みを試行します。
この属性への変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | プラグインディレクトリーへのパス。 |
| デフォルト値 | プラットフォーム依存 |
| 構文 | DirectoryString |
| 例 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.154. nsslapd-schema-ignore-trailing-spaces(オブジェクトクラス名の後続スペースを無視する)
オブジェクトクラス名の末尾を無視します。デフォルトでは、属性はオフになっています。ディレクトリーに、1 つ以上のスペースで終わるオブジェクトクラス値を持つエントリーが含まれている場合は、この属性をオンにします。LDAP 標準では許可しないため、末尾のスペースを削除することが推奨されます。
パフォーマンス上の理由から、変更を反映するには、サーバーを再起動する必要があります。
末尾のスペースを含むオブジェクトクラスがエントリーに追加されると、デフォルトでエラーが返されます。さらに、(オブジェクトクラスの拡張および不明な場合)add、modify、および import などの操作時に、末尾のスペースは無視されます (適切な場合)。これは、nsslapd-schema-ignore-trailing-spaces を on にした場合でも、top がすでに存在している場合に、top のような値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.155. nsslapd-schemacheck (スキーマチェック)
この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマは、オブジェクトクラスおよび属性タイプを使用して拡張できます。Directory Server コンソールを使用してスキーマを拡張する方法は、Red Hat Directory Server 管理ガイドのディレクトリースキーマの拡張の章を参照してください。
Red Hat は、スキーマチェックをオフにしないことを強く推奨します。これにより、深刻な相互運用性の問題が発生する可能性があります。これは通常、Directory Server にインポートする必要がある、非常に古い、または標準以外の LDAP データに使用されます。この問題の影響を受けるエントリーが多数ある場合は、これらのエントリーに extensibleObject オブジェクトクラスを使用してエントリーごとにスキーマチェックを無効にすることを検討してください。
スキーマのチェックは、ldapmodify などの LDAP クライアントを使用してデータベースが変更された場合や、ldif2db を使用して LDIF からデータベースをインポートする際にデフォルトで機能します。スキーマチェックをオフにする場合は、すべてのエントリーを手動で検証して、スキーマに準拠することを確認する必要があります。スキーマチェックが有効な場合、サーバーはエラーメッセージをリストし、スキーマに一致しないエントリーをリスト表示します。LDIF ステートメントで作成された属性とオブジェクトクラスの両方がスペルが正しく、dse.ldif で識別されていることを確認します。スキーマディレクトリーに LDIF ファイルを作成するか、その要素を 99user.ldif に追加します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-schemacheck: on |
3.1.1.156. nsslapd-schemadir
これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーが起動すると、このディレクトリーからスキーマファイルを読み取ります。スキーマが LDAP ツールで変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID で所有され、そのユーザーにはディレクトリーへの読み書きパーミッションがなければなりません。
この属性への変更は、サーバーが再起動するまで反映されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なパス |
| デフォルト値 | /etc/dirsrv/instance_name/schema |
| 構文 | DirectoryString |
| 例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.157. nsslapd-schemamod
オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効になっている場合は、このパラメーターを off に設定するとパフォーマンスが向上します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-schemamod: on |
3.1.1.158. nsslapd-schemareplace
cn=schema エントリーで属性値を置き換える変更操作が許可されるかどうかを決定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off | replication-only |
| デフォルト値 | replication-only |
| 構文 | DirectoryString |
| 例 | nsslapd-schemareplace: replication-only |
3.1.1.159. nsslapd-search-return-original-type-switch
検索に渡される属性リストにスペースと他の文字が含まれる場合には、同じ文字列がクライアントに返されます。以下に例を示します。
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
この動作はデフォルトでは無効にされますが、この設定パラメーターを使用して有効にできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-search-return-type-switch: off |
3.1.1.160. nsslapd-securelistenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。単一のホスト名に関連付けられる IP アドレスは複数あり、これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。また、このパラメーターは、通常の LDAP 接続ではなく、TLS トラフィックに使用するインターフェイスを設定します。
ホスト名が nsslapd-securelistenhost 値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一の IP インターフェイス (IPv4 または IPv6) が nsslapd-securelistenhost の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | セキュアなホスト名、IPv4 アドレスまたは IPv6 アドレス |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.161. nsslapd-securePort (暗号化されたポート番号)
この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024 未満の場合は、Directory Server を root で 起動する必要があります。サーバーは、起動後にその uid を nsslapd-localuser 値に設定します。
サーバーは、秘密鍵と証明書で設定され、nsslapd-security が on に設定されている場合にのみこのポートをリッスンします。それ以外の場合は、このポートでリッスンしません。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から 65535 |
| デフォルト値 | 636 |
| 構文 | 整数 |
| 例 | nsslapd-securePort: 636 |
3.1.1.162. nsslapd-security(セキュリティー)
この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続に対して on に設定する必要があります。セキュリティー上で実行するには、他の TLS 設定に加えて、秘密鍵とサーバー証明書でサーバーを設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-security: off |
3.1.1.163. nsslapd-sizelimit (サイズ制限)
この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns-slapd は検索要求に一致するエントリーと、超過サイズ制限エラーを返します。
制限が設定されていない場合、ns-slapd は見つかった数に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif ファイルのこの属性に -1 の値を指定します。
この制限は、組織に関係なくすべてのユーザーに適用されます。
Dse .ldif ファイルのこの属性に対する -1 の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限は使用されません。これは有効な整数ではないため、dse.ldif ファイルには null 値を指定できません。0 に設定すると、検索ごとに size limit exceeded が返されます。
対応するユーザーレベルの属性は nsSizeLimit です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 2000 |
| 構文 | 整数 |
| 例 | nsslapd-sizelimit: 2000 |
3.1.1.164. nsslapd-snmp-index
このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。
ポート 389 で、ポート 389 がすべてリッスンしている同じホストに複数の Directory Server インスタンスがある場合、このパラメーターを使用すると、インスタンスごとに異なる SNMP インデックス番号を設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-snmp-index: 0 |
3.1.1.165. nsslapd-SSLclientAuth
Nsslapd-SSLclientAuth パラメーターは今後のリリースで非推奨となり、現時点では後方互換性のために維持されます。代わりに cn=encryption,cn=config に保存されている新しいパラメーター nsSSLClientAuth を使用してください。「nsSSLClientAuth」 を参照してください。
3.1.1.166. nsslapd-ssl-check-hostname(アウトバウンド接続のホスト名を確認)
この属性は、提示される証明書のサブジェクト名 (subjectDN フィールド) の共通名 (cn) 属性に割り当てられた値に対してホスト名を照合することにより、TLS 対応の Directory Server が要求の信頼性を検証するかどうかを設定します。デフォルトでは、属性は on に設定されます。有効で、ホスト名が証明書の cn 属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。
たとえば、複製された環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないと、以下のようなメッセージがサプライヤーサーバーのログファイルに記録されます。
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)Red Hat は、MITM (MITM) 攻撃で、Directory Server のアウトバウンド TLS 接続を保護するために、この属性をオンにすることを推奨します。
これを機能させるには、DNS と逆引き DNS が正しく設定されている必要があります。そうしないと、サーバーは、証明書のサブジェクト名に対してピア IP アドレスを、証明書のサブジェクト DN で解決できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsslapd-ssl-check-hostname: on |
3.1.1.167. nsslapd-syntaxcheck
この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプに必要な構文に準拠することを確認します。この属性が有効になっていると、適切な構文に準拠しない変更は拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。
デフォルトでは、これはオンになっています。
構文の検証は、新規または変更された属性に対してのみ実行されます。既存の属性値の構文は検証されません。追加や変更などの LDAP 操作の構文検証がトリガーされます。元のサプライヤーで属性構文の有効性をチェックする必要があるため、レプリケーションなどの操作後には起こりません。
これは、バイナリー構文 (検証できない) および標準以外の構文 (定義された必要な形式がない) を除き、Directory Server でサポートされる属性タイプをすべて検証します。未検証 の構文は以下のとおりです。
- Fax (バイナリー)
- OctetString (binary)
- JPEG (バイナリー)
- バイナリー (標準以外)
- スペースに依存しない文字列 (非標準)
- URI (標準以外)
Nsslapd-syntaxcheck 属性は、属性の変更を検証および拒否するかどうかを設定します。これは、「nsslapd-syntaxlogging」 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nnsslapd-syntaxcheck: on |
3.1.1.168. nsslapd-syntaxlogging
この属性は、構文検証の失敗をエラーログに記録するかどうかを設定します。デフォルトでは、これはオフになっています。
「nsslapd-syntaxcheck」 属性が有効 (デフォルト) で、nsslapd-syntaxlogging 属性も有効になっている場合、無効な属性の変更は拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging のみが有効で、nsslapd-syntaxcheck が無効になっている場合は、無効な変更を続行できますが、警告メッセージがエラーログに書き込まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nnsslapd-syntaxlogging: off |
3.1.1.169. nsslapd-threadnumber (しきい値)
このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値が -1 (デフォルト) に設定されている場合、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。Auto-tuning が有効になっている場合、nsslapd-threadnumber は、Directory Server の実行中に自動生成されたスレッド数を表示することに注意してください。
Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。
詳細は、Red Hat Directory Server パフォーマンスチューニングガイドの該当するセクションを参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 からシステムのスレッドおよびプロセッサーでサポートされるスレッドの最大数。 |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsslapd-threadnumber: -1 |
3.1.1.170. nsslapd-timelimit(時間制限)
この属性は、検索要求に割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は、検索要求に一致するエントリーと、超過時間制限エラーを返します。
制限が設定されていない場合、ns-slapd は完了する時間に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif ファイルでこの属性に -1 の値を指定します。0 ゼロの値を指定すると、検索に時間が許可されません。最小の時間制限は 1 秒です。
dse.ldif のこの属性に対する -1 の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限が使用されないようになります。ただし、サーバーコンソールではこのフィールドで負の整数を設定できず、有効な整数ではないため、dse.ldif エントリーに null 値を使用することはできません。
対応するユーザーレベルの属性は nsTimeLimit です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | -1 から最大 32 ビットの整数値 (2147483647)(秒単位) |
| デフォルト値 | 3600 |
| 構文 | 整数 |
| 例 | nsslapd-timelimit: 3600 |
3.1.1.171. nsslapd-tmpdir
これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID で所有され、ユーザーには読み取りおよび書き込みアクセスが必要です。他のユーザー ID はディレクトリーに読み取りや書き込みを行うべきではありません。デフォルト値は /tmp です。
この属性への変更は、サーバーが再起動するまで反映されません。
3.1.1.172. nsslapd-unhashed-pw-switch
userPassword 属性 を更新すると、Directory Server はパスワードを暗号化し、userPassword に保存します。ただし、Active Directory (AD) とパスワードを同期する場合など、特定の状況では、Directory Server は暗号化されていないパスワードをプラグインに渡す必要があります。この場合、サーバーは、entry extension と呼ばれる一時的な unhashed#user#password 属性に暗号化されていないパスワードを保存し、シナリオに応じて changelog にも格納します。Directory Server は、サーバーのハードディスクに unhashed#user#password 属性を保存しないことに注意してください。
nsslapd-unhashed-pw-switch パラメーターは、Directory Server が暗号化されていないパスワードを保存するかどうかと方法を制御します。たとえば、Directory Server から Active Directory にパスワードを同期するには、nsslapd-unhashed-pw-switch を on に設定する必要があります。
パラメーターは以下のいずれかの値に設定できます。
-
off: Directory Server は、暗号化されていないパスワードをエントリー拡張や changelog に保存しません。AD とパスワードの同期を使用しない場合や、暗号化されていないパスワードへのアクセスを必要とするプラグインを使用する場合は、この値を設定します。 -
on: Directory Server は、暗号化されていないパスワードをエントリー拡張と changelog に保存します。AD とパスワードの同期を設定する場合は、この値を設定します。 -
nolog: Directory Server は、暗号化されていないパスワードをエントリー拡張にのみ保存しますが、changelog には保存しません。ローカルの Directory Server プラグインが暗号化されていないパスワードへのアクセスを必要とするが、AD とパスワードの同期を設定しない場合は、この値を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | off | on | nolog |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | nsslapd-unhashed-pw-switch: off |
3.1.1.173. nsslapd-validate-cert
Directory Server が TLS で実行されるように設定され、証明書の有効期限が切れると、Directory Server を起動できません。nsslapd-validate-cert パラメーターは、期限切れの証明書で起動しようとすると Directory Server がどのように応答するかを設定します。
-
warnにより、Directory Server は期限切れの証明書で正常に起動できますが、証明書の有効期限が切れているという警告メッセージが送信されます。これはデフォルト設定です。 -
onでは、証明書を検証します。また、証明書の有効期限が切れるとサーバーが再起動できなくなります。これにより、期限切れの証明書のハード障害が設定されます。 -
offは、すべての証明書の有効期限の検証を無効にするため、サーバーは警告をログに記録せずに期限切れの証明書で起動できるようにします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | warn | on | off |
| デフォルト値 | warn |
| 構文 | DirectoryString |
| 例 | nsslapd-validate-cert: warn |
3.1.1.174. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema パラメーターは、Directory Server がスキーマで指定されていない属性で検索フィルターを検証する方法を定義します。
nsslapd-verify-filter-schema を以下のオプションのいずれかに設定できます。
-
reject-invalid: Directory Server は、不明な要素が含まれる場合、エラーを出してフィルターを拒否します。 process-safe: Directory Server は不明なコンポーネントを空のセットに置き換え、警告を/var/log/dirsrv/slapd-instance_name/accessログファイルのnotes=Fフラグで記録します。nsslapd-verify-filter-schemaをwarn-invalidまたはoffからprocess-safeに切り替える前に、アクセスログを監視し、notes=Fフラグでログエントリーを発生させるアプリケーションからのクエリーを修正してください。そうしないと、操作結果が変更され、Directory Server が一致するすべてのエントリーを返さない可能性があります。-
warn-invalid: Directory Server は、/var/log/dirsrv/slapd-instance_name/accessログファイル内のnotes=Fフラグで警告を記録し、完全なデータベースをスキャンし続けます。 -
off: Directory Server はフィルターを検証しません。
たとえば、nsslapd-verify-filter-schema を warn-invalid または off に設定した場合、(&(non_exististent_attribute=example)(uid=user_name)) などのフィルターは uid=user_name エントリーを評価し、non_exististent_attribute=example が含まれている場合にのみそれを返すことに注意してください。nsslapd-verify-filter-schema を process-safe に設定した場合、Directory Server はそのエントリーを評価せず、返しません。
nsslapd-verify-filter-schema を reject-invalid または process-safe に設定すると、スキーマで指定されていない属性のインデックス付けされていない検索による高負荷を防ぐことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | reject-invalid、process-safe、warn-invalid、off |
| Default Value | warn-invalid |
| Syntax | DirectoryString |
| Example | nsslapd-verify-filter-schema: warn-invalid |
3.1.1.175. nsslapd-versionstring
この属性は、サーバーのバージョン番号を設定します。バージョン文字列が表示されると、ビルドデータが自動的に追加されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 有効なサーバーのバージョン番号。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-versionstring: Red Hat-Directory/11.3 |
3.1.1.176. nsslapd-workingdir
これは、サーバーが起動後に現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、サーバーが getcwd() 関数の値として返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示する値です。これは、コアファイルが生成されるディレクトリーです。サーバーのユーザー ID には、ディレクトリーへの読み取りおよび書き込みアクセス権が必要です。また、他のユーザー ID には、ディレクトリーへの読み取りまたは書き込みアクセス権がありません。この属性のデフォルト値は、エラーログを含む同じディレクトリーであり、通常は /var/log/dirsrv/slapd-instance です。
この属性への変更は、サーバーが再起動するまで反映されません。
3.1.1.177. passwordAllowChangeTime
この属性は、ユーザーがパスワードを変更できるようになるまでに経過する必要のある時間の長さを指定します。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の整数 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | passwordAllowChangeTime: 5h |
3.1.1.178. passwordChange (パスワード変更)
ユーザーがパスワードを変更できるかどうかを示します。
これは、pwdAllowUserChange と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordChange: on |
3.1.1.179. passwordCheckSyntax (パスワード構文チェック)
この属性は、パスワードを保存する前にパスワード構文をチェックするかどうかを設定します。パスワードの構文チェックメカニズムは、パスワードがパスワードの最小長要件を満たしているかどうか、また、文字列にユーザー名やユーザー ID、ユーザーのディレクトリーエントリーの uid、cn、sn、givenName、ou、または mail 属性に格納されている属性値など、簡単な単語が含まれていないかどうかをチェックします。
パスワード構文には、チェック用のいくつかの異なるカテゴリーが含まれています。
- パスワード内の普通の単語をチェックするときに比較するのに使用する文字列またはトークンの長さ (たとえば、トークンの長さが 3 の場合、パスワードに使用するユーザーの UID、名前、電子メールアドレス、またはその他のパラメーターに 3 つの連続する文字の文字列を含めることはできません)
- 数字の最小文字数 (0〜9)
- 大文字の ASCII アルファベットの最小数
- 小文字の ASCII アルファベットの最小数
-
!@#$などの特殊 ASCII 文字の最小数 - 8 ビット文字の最小数
- パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字、小文字、特殊文字、数字、または 8 ビット文字
これは、pwdCheckSyntax と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordCheckSyntax: off |
3.1.1.180. passwordDictCheck
on に設定すると、passwordDictCheck パラメーターはパスワードを CrackLib ディクショナリーと照合します。新しいパスワードに辞書の単語が含まれている場合、Directory Server はパスワードを拒否します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordDictCheck: off |
3.1.1.181. passwordExp (パスワードの有効期限)
指定された秒数後にユーザーパスワードの有効期限が切れるかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、passwordMaxAge 属性を使用して、パスワードの有効期限が切れるまでの秒数を設定します。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザーアカウントの管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordExp: on |
3.1.1.182. passwordExpirationTime
この属性は、ユーザーのパスワードの有効期限が切れるまでに経過する時間の長さを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の日付 (整数) |
| デフォルト値 | none |
| 構文 | GeneralizedTime |
| 例 | passwordExpirationTime: 202009011953 |
3.1.1.183. passwordExpWarned
この属性は、パスワードの有効期限の警告がユーザーに送信されたことを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | true | false |
| デフォルト値 | none |
| 構文 | DirectoryString |
| 例 | passwordExpWarned: true |
3.1.1.184. passwordGraceLimit (パスワードの有効期限)
この属性は、パスワードの有効期限が有効になっている場合にのみ適用されます。ユーザーのパスワードの有効期限が切れると、サーバーはユーザーがパスワードを変更する目的で接続できるようにします。これは、猶予ログイン と呼ばれます。サーバーは、ユーザーを完全にロックアウトする前に、特定の回数の試行のみを許可します。この属性は、許可される猶予ログインの数です。0 の値は、サーバーが猶予ログインを許可しないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 0 (オフ) から任意の妥当な整数 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordGraceLimit: 3 |
3.1.1.185. passwordHistory (パスワード履歴)
パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードの再利用を許可されているかどうかを示します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性が on に設定されている場合、ディレクトリーは指定された数の古いパスワードを保存し、ユーザーが保存されたパスワードを再利用できないようにします。passwordInHistory 属性を使用して、Directory Server が保存する古いパスワードの数を設定します。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordHistory: on |
3.1.1.186. passwordInHistory (覚えておくべきパスワードの数)
Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードは、ユーザーが再利用することはできません。デフォルトでは、パスワード履歴機能は無効になっています。つまり、Directory Server は古いパスワードを保存しないため、ユーザーはパスワードを再利用できます。passwordHistory 属性を使用してパスワード履歴を有効にします。
ユーザーが追跡されるパスワードの数をすばやく循環するのを防ぐには、passwordMinAge 属性を使用します。
これは、pwdInHistory と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から 24 個のパスワード |
| デフォルト値 | 6 |
| 構文 | 整数 |
| 例 | passwordInHistory: 7 |
3.1.1.187. passwordIsGlobalPolicy (パスワードポリシーとレプリケーション)
この属性は、パスワードポリシー属性を複製するかどうかを制御します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordIsGlobalPolicy: off |
3.1.1.188. passwordLegacyPolicy
従来のパスワードの動作を有効にします。古い LDAP クライアントは、最大障害制限を 超える と、ユーザーアカウントをロックするためのエラーを受け取ると予想されていました。たとえば、制限が 3 回失敗した場合は、4 回目の失敗でアカウントがロックされました。ただし、新しいクライアントは、障害制限に達したときにエラーメッセージを受信することを期待しています。たとえば、制限が 3 回失敗した場合、3 回目の失敗でアカウントをロックする必要があります。
障害制限を超えたときにアカウントをロックすることは古い動作であるため、レガシー動作と見なされます。これはデフォルトで有効になっていますが、無効にして、新しい LDAP クライアントが予想される時間にエラーを受信できるようにすることができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordLegacyPolicy: on |
3.1.1.189. passwordLockout (アカウントロックアウト)
バインドの試行が一定回数失敗した後、ユーザーがディレクトリーからロックアウトされているかどうかを示します。デフォルトでは、一連のバインド試行が失敗した後、ユーザーはディレクトリーからロックアウトされません。アカウントのロックアウトが有効になっている場合は、passwordMaxFailure 属性を使用して、ユーザーがロックアウトされるまでに失敗したバインドの試行回数を設定します。
これは、pwdLockOut と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordLockout: off |
3.1.1.190. passwordLockoutDuration (Lockout Duration)
アカウントのロックアウト後にユーザーがディレクトリーからロックアウトされるまでの時間を秒単位で示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。passwordLockout 属性を使用して、アカウントのロックアウト機能を有効または無効にします。
これは、pwdLockoutDuration と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 3600 |
| 構文 | 整数 |
| 例 | passwordLockoutDuration: 3600 |
3.1.1.191. passwordMaxAge (パスワードの最大年齢)
ユーザーパスワードの有効期限が切れるまでの秒数を示します。この属性を使用するには、passwordExp 属性を使用してパスワードの有効期限を有効にする必要があります。
これは、pwdMaxAge と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 8640000 (100 日) |
| 構文 | 整数 |
| 例 | passwordMaxAge: 100 |
3.1.1.192. passwordBadWords
passwordBadWords パラメーターは、ユーザーがパスワードで使用できない文字列のコンマ区切りリストを定義します。
Directory Server は文字列の大文字と小文字を区別しません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | "" |
| 構文 | DirectoryString |
| 例 | passwordBadWords: example |
3.1.1.193. passwordMaxClassChars
passwordMaxClassChars パラメーターを 0 よりも大きな値に設定する場合に、Directory Server では、パラメーターに設定した値と同じカテゴリーの文字を連続して指定することができなくなります。有効にすると、Directory Server は以下のカテゴリーに含まれる、連続した文字をチェックします。
- 数字
- 英字
- 小文字
- 大文字
たとえば、passwordMaxClassChars を 3 に設定した場合には、jdif や 1947 などのパスワードは使用できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0(無効) から最大 32 ビットの整数 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMaxClassChars: 0 |
3.1.1.194. passwordMaxFailure (最大パスワードの失敗回数)
バインドの試行を何回失敗するとユーザーがディレクトリーからロックアウトされるかを指定します。デフォルトでは、アカウントのロックアウトは無効になっています。passwordLockout 属性を変更して、アカウントのロックアウトを有効にします。
これは、pwdMaxFailure と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 最大バインド失敗数 (1 以上の整数) |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | passwordMaxFailure: 3 |
3.1.1.195. passwordMaxRepeats (パスワード構文)
パスワードに同じ文字を連続して指定できる最大回数。ゼロ (0) はオフです。整数値は、ある文字を指定の回数以上に使用したパスワードを拒否します。たとえば、1 を指定すると、文字が複数回使用された場合 (aa)、2 を指定すると、ある文字を複数回使用した場合に (aaa) 拒否されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMaxRepeats: 1 |
3.1.1.196. passwordMaxSeqSets
passwordMaxSeqSets パラメーターを 0 よりも大きな値に設定すると、Directory Server は、このパラメーターで設定した長さを超えて、同じ文字列が複数回出現するパスワードを拒否します。たとえば、passwordMaxSeqSets を 2 に設定した場合には、パスワード azXYZ_XYZ-g は、パスワードの中に XYZ が 2 回出現するため使用できません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMaxSeqSets: 0 |
3.1.1.197. passwordMaxSequence
passwordMaxSequence パラメーターを 0 よりも大きな値に設定すると、Directory Server は、 passwordMaxSequence に設定された値を超えて、同じ文字種が連続して出現するパスワードを拒否します。たとえば、パラメーターを 3 に設定すると、Directory Server は 1234 や dcba などの文字列を含むパスワードを拒否します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMaxSequence: 0 |
3.1.1.198. passwordMin8Bit (パスワード構文)
これにより、パスワードに含める必要のある 8 ビット文字の最小数が設定されます。
これを使用するには、userPassword の 7 ビットチェックを無効にする必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMin8Bit: 0 |
3.1.1.199. passwordMinAge (パスワードの最短有効期限)
ユーザーが次にパスワードを変更するまでに待機する必要のある秒数を指定します。この属性は passwordInHistory (記憶するパスワードの数) 属性と合わせて使用して、すぐにパスワードを循環して、以前のパスワードをもう一度使用できないようにします。0 の値は、ユーザーがすぐにパスワードを変更できることを示しています。
これは、pwdMaxFailure と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から有効な最大整数 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinAge: 150 |
3.1.1.200. passwordMinAlphas (パスワード構文)
この属性は、英数字のパスワードに含める必要がある最小数を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinAlphas: 4 |
3.1.1.201. passwordMinCategories (パスワード構文)
これにより、パスワードで使用される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。
- 小文字の英字
- 大文字の英字
- 数値
- $ や punctuation marks など、特別な ASCII 文字
- 8 ビット文字
たとえば、この属性の値が 2 に設定され、ユーザーがパスワードを aaaaa に変更しようとすると、小文字しか含まれないので、サーバーはパスワードを拒否します。aAaAaA のパスワードには大文字と小文字の 2 つのカテゴリーからの文字が含まれるため、このパスワードは指定できます。
デフォルトは 3 です。つまり、パスワード構文チェックが有効な場合は、有効なパスワードには 3 つの文字カテゴリーが必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 5 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinCategories: 2 |
3.1.1.202. PasswordMinDigits (パスワード構文)
これにより、パスワードに含める必要のある数字の最小数が設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinDigits: 3 |
3.1.1.203. passwordMinLength (パスワードの最小長)
この属性は、Directory Server ユーザーパスワード属性で使用する必要がある文字の最小数を指定します。一般的に、パスワードが短いほど解読されやすくなります。Directory Server では、強制的にパスワードの最小長を 8 文字にします。これは、解読が難しく、ユーザーがパスワードを書き留めなくても覚えられる長さです。
これは、pwdMinLength と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 2 - 512 文字 |
| デフォルト値 | 8 |
| 構文 | 整数 |
| 例 | passwordMinLength: 8 |
3.1.1.204. PasswordMinLowers (パスワード構文)
この属性は、小文字のパスワードに含める必要のある最小数を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinLowers: 1 |
3.1.1.205. PasswordMinSpecials (パスワード構文)
この属性は、パスワードに含める必要がある 特殊 文字 (または英数字以外の文字) の最小数を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinSpecials: 1 |
3.1.1.206. PasswordMinTokenLength (パスワード構文)
この属性は、簡単な 単語チェックに使用される最小の属性値の長さを設定します。たとえば、PasswordMinTokenLength が 3 に設定されている場合には、ポリシーで givenName の DJ は、パスワードに DJ が含まれていても拒否されず、givenName の Bob が含まれるパスワードは拒否されます。
Directory Server は、以下の属性の値に対してトークンの最小長をチェックします。
-
uid -
cn -
sn -
givenName -
mail -
ou
Directory Server が追加の属性を確認する必要がある場合は、passwordUserAttributes パラメーターで設定できます。詳細は 「passwordUserAttributes」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から 64 |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | passwordMinTokenLength: 3 |
3.1.1.207. PasswordMinUppers (パスワード構文)
これにより、パスワードに含める必要のある大文字の最小数が設定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 0 から 64 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | passwordMinUppers: 2 |
3.1.1.208. passwordMustChange (パスワードを変更する必要があります)
Directory Server への初回のバインド時、または Manager DN でパスワードのリセット時に、ユーザーがパスワードを変更する必要があるかどうかを示します。
これは、pwdMustChange と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordMustChange: off |
3.1.1.209. passwordPalindrome
passwordPalindrome パラメーターを有効にすると、新しいパスワードに回文が含まれる場合に、Directory Server はパスワードを拒否します。
回文とは、abc11cba など、上から読んでも、下から読んでも同じである文字列を指します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordPalindrome: off |
3.1.1.210. passwordResetFailureCount (パスワードの失敗回数のリセット)
パスワード障害カウンターがリセットされるまでの時間 (秒単位) を指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。passwordLockout 属性を on に設定すると、カウンターが passwordMaxFailure 属性で指定された失敗数に達すると、ユーザーはディレクトリーからロックされます (デフォルトでは 600 秒)。passwordLockoutDuration 属性で指定された時間が経過すると、失敗カウンターはゼロ (0) にリセットされます。
これは、pwdFailureCountInterval と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 600 |
| 構文 | 整数 |
| 例 | passwordResetFailureCount: 600 |
3.1.1.211. passwordUserAttributes
デフォルトでは、passwordMinTokenLength パラメーターにトークンの最小長を設定すると、Directory Server は特定の属性に対してのみトークンをチェックします。詳細は 「PasswordMinTokenLength (パスワード構文)」 を参照してください。
passwordUserAttributes パラメーターを使用すると、Directory Server がチェックする必要のある属性を追加でコンマ区切りリストとして設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | "" |
| 構文 | DirectoryString |
| 例 | passwordUserAttributes: telephoneNumber, l |
3.1.1.212. passwordSendExpiringTime
クライアントがパスワードの期限切れの制御を求めると、パスワードが警告期間内にある場合にのみ、Directory Server は有効期限までの時間の値を返します。パスワードの有効期限が警告期間内にあるかどうかにかかわらず、この値を常に返す必要のある既存のクライアントとの互換性を確保するために、passwordSendExpiringTime パラメーターを on に設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordSendExpiringTime: off |
3.1.1.213. passwordStorageScheme (パスワードの保存スキーム)
この属性は、userPassword 属性に保存されているユーザーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
Red Hat は、この属性を設定しないことを推奨します。値が設定されていないと、Directory Server は、最も強力なパスワードストレージスキームを自動的に使用します。今後の Directory Server の更新で、セキュリティーを向上させるデフォルト値を変更すると、パスワードを設定する際に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
| Default Value | PBKDF2_SHA256 |
| Syntax | DirectoryString |
| Example | passwordStorageScheme: PBKDF2_SHA256 |
3.1.1.214. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 属性はパスワードポリシーの一部です。管理者が一時パスワードをユーザーアカウントに設定した後に、passwordTPRDelayExpireAt は一時パスワードが期限切れになるまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | passwordTPRDelayExpireAt: 3600 |
3.1.1.215. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 属性はパスワードポリシーの一部です。管理者が一時的なパスワードをユーザーアカウントに設定した後に、passwordTPRDelayValidFrom は一時パスワードを使用するまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | passwordTPRDelayValidFrom: 60 |
3.1.1.216. passwordTPRMaxUse: 5
passwordTPRMaxUse 属性はパスワードポリシーの一部です。属性は、一時パスワードが期限切れになる前にユーザーが正常に認証できる回数を設定します。認証に成功すると、Directory Server では、パスワードの変更を行わないと、それ以外の操作ができないようになっています。ユーザーがパスワードを変更しないと、操作が終了します。認証が成功したかどうかにかかわらず、認証試行の回数が増えます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | passwordTPRMaxUse: 5 |
3.1.1.217. passwordTrackUpdateTime
入力パスワードを変更した最終時間専用に、別のタイムスタンプを記録するかどうかを設定します。これを有効にすると、pwdUpdateTime 操作属性をユーザーアカウントエントリーに追加します (modifyTime などの他の更新時間と区別)。
このタイムスタンプを使用すると、Active Directory など、さまざまな LDAP ストア間でパスワードの変更の同期が容易になります。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordTrackUpdateTime: off |
3.1.1.218. passwordUnlock (アカウントのロック解除)
指定期間ディレクトリーからロックアウトされるか、ロックアウトされてから管理者がパスワードをリセットするまでロックアウトするかを指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。この passwordUnlock 属性を off に設定し、操作属性 accountUnlockTime の値が 0 である場合に、アカウントは期限なしにロックされます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | passwordUnlock: off |
3.1.1.219. passwordWarning (警告の送信)
ユーザーのパスワードが失効するまで (ユーザーが次の LDAP 操作でパスワード失効の警告制御を受信するまで) の時間 (秒数) を指定します。LDAP クライアントによっては、警告の送信時にパスワードの変更を求めるプロンプトが表示される場合もあります。
これは、pwdExpireWarning と省略できます。
パスワードポリシーの詳細は、Red Hat Directory Server 管理ガイドのユーザー認証の管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
| デフォルト値 | 86400 (1 日) |
| 構文 | 整数 |
| 例 | passwordWarning: 86400 |
3.1.1.220. passwordAdminSkipInfoUpdate
新しい passwordAdminSkipInfoUpdate: on/off 設定を cn=config エントリーに追加すると、パスワード管理者が実行するパスワード更新をきめ細かく制御できます。この設定を on に設定すると、パスワードのみが変更され、ユーザーエントリーのパスワード状態属性は更新されません。このような属性には、たとえば、passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset、passwordExpWarned があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | passwordAdminSkipInfoUpdate: on |
パスワード管理者は、passwordAdminSkipInfoUpdate: on/off 設定を使用することで、パスワード構文の確認を回避できるだけでなく、グローバルおよびローカルのパスワードポリシーで設定され、expiration timestamp (passwordExpirationTime) 属性および must change the password (pwdMustChange) 属性を使用するパスワード有効期限設定も回避できます。
3.1.1.221. retryCountResetTime
retryCountResetTime 属性には UTC 形式の日時が含まれ、passwordRetryCount 属性が 0 にリセットされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| Valid Range | UTC 形式の有効なタイムスタンプ |
| デフォルト値 | none |
| 構文 | 一般化時間 |
| 例 | retryCountResetTime: 20190618094419Z |
3.1.2. cn=changelog5,cn=config
複数のサプライヤーレプリケーション変更ログの設定エントリーは cn=changelog5 エントリーに保存されます。cn=changelog5,cn=config エントリーは、extensibleObject オブジェクトクラスのインスタンスです。
cn=changelog5 エントリーには以下のオブジェクトクラスを含める必要があります。
-
top -
extensibleObject
Directory Server では、2 種類の changelogs が維持されます。ここに保存され、Changelog (変更ログ) と呼ばれる最初のタイプは、マルチサプライヤーレプリケーションによって使用されます。2 番目の変更ログは、実際にはプラグインで、retro changelog と呼ばれ、一部のレガシーアプリケーションとの互換性確保用です。Retro Changelog プラグインの詳細は、「Retro Changelog プラグイン」 を参照してください。
3.1.2.1. cn
この必須属性は、changelog エントリーの相対識別名 (RDN) を設定します。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | changelog5 |
| Syntax | DirectoryString |
| Example | cn=changelog5 |
3.1.2.2. nsslapd-changelogcompactdb-interval
データベースが明示的に圧縮されない限り、Berkeley データベースは空きページを再利用しません。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。このパラメーターは、changelog データベースが機能する間隔を秒単位で定義します。データベース圧縮はリソース集約型であるため、頻繁には実行しないでください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| 有効な値 | 0 (圧縮なし) から 2147483647 秒 |
| デフォルト値 | 2592000 (30 日) |
| 構文 | 整数 |
| 例 | nsslapd-changelogcompactdb-interval: 2592000 |
3.1.2.3. nsslapd-changelogdir
この必須属性は、changelog エントリーの作成先のディレクトリー名を指定します。changelog 設定エントリーが作成されるたびに、有効なディレクトリーを追加する必要があります。そうでない場合は、操作は拒否されます。デフォルトで GUI により、このエントリーが /var/lib/dirsrv/slapd-instance/changelogdb/ に保存されるように提案されます。
cn=changelog5 エントリーが削除されると、サブディレクトリーを含む、nsslapd-changelogdir パラメーターに指定されたディレクトリーが削除され、すべてのコンテンツが削除されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| 有効な値 | changelog を保存するディレクトリーへの有効なパス |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| Example | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/ |
3.1.2.4. nsslapd-changelogmaxage (Changelog 最大経過時間)
コンシューマーと同期する場合には、Directory Server は各更新をタイムスタンプ付きの変更ログに保存します。nsslapd-changelogmaxage パラメーターは、changelog に保存するレコードの最大期間を設定します。すべてのレプリカに正常に転送された古いレコードは自動的に削除されます。デフォルトでは、Directory Server は 8 日以上経過しているレコードを削除します。ただし、nsslapd-changelogmaxage および nsslapd-changelogmaxentries パラメーターを無効にした場合に、Directory Server はすべてのレコードを変更ログに保持するため、変更ログファイルが過度に大きくなる可能性があります。
Retro changelog には、セクション Retro changelog nsslapd-changelogmaxage で説明されている独自の nsslapd-changelogmaxage 属性があります。
trim 操作は、nsslapd-changelogtrim-interval パラメーターに設定される間隔で実行されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| Valid Range | 0 (エントリーはその経過時間に応じて削除されない) から最大 32 ビット整数 (2147483647) |
| デフォルト値 | 7d |
| 構文 |
DirectoryString IntegerAgeID。AgeID の |
| 例 | nsslapd-changelogmaxage: 4w |
3.1.2.5. nsslapd-changelogmaxentries (changelog の最大レコード)
コンシューマーと同期するとき、Directory Server は各更新を変更ログに保存します。nsslapd-changelogmaxentries パラメーターは、changelog に保存されているレコードの最大数を設定します。全レプリカに正常に転送されたレコードで一番古いものの数が nsslapd-changelogmaxentries の値を超えた場合に、Directory Server はそれらのレコードを自動的に変更ログから削除します。nsslapd-changelogmaxentries および nsslapd-changelogmaxage パラメーターを無効にした場合、Directory Server はすべてのレコードを変更ログに保持するため、変更ログファイルが過度に大きくなる可能性があります。
nsslapd-changelogmaxentries パラメーターに低い値を設定した場合に、Directory Server はレプリケーション変更ログのファイルサイズを自動的に縮小しません。詳細は、Red Hat Directory 管理ガイドの該当するセクションを参照してください。
Directory Server は、nsslapd-changelogtrim-interval パラメーターで設定された間隔でトリム操作を実行します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| Valid Range | 0(最大の上限がディスクサイズの場合) から最大 32 ビット整数 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsslapd-changelogmaxentries: 5000 |
3.1.2.6. nsslapd-changelogtrim-interval (レプリケーションの changelog のトリミング間隔)
Directory Server は、changelog でトリミングプロセスを繰り返し実行します。2 つの実行の間隔を変更するには、nsslapd-changelogtrim-interval パラメーターを更新し、間隔を秒単位で設定します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300 (5 分) |
| 構文 | DirectoryString |
| 例 | nsslapd-changelogtrim-interval: 300 |
3.1.2.7. nsslapd-encryptionalgorithm (暗号化アルゴリズム)
この属性は、changelog の暗号化に使用される暗号化アルゴリズムを指定します。changelog 暗号化を有効にするには、サーバー証明書を Directory Server にインストールする必要があります。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| Valid Range | AES または 3DES |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | nsslapd-encryptionalgorithm: AES |
3.1.2.8. nsSymmetricKey
この属性は、内部で生成された対称鍵を保存します。changelog の詳細は、「nsslapd-changelogdir」 を参照してください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| Entry DN | cn=changelog5,cn=config |
| Valid Range | Base64 でエンコードされたキー |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | なし |
3.1.3. changelog 属性
changelog 属性には、changelog に記録されている変更が含まれます。
3.1.3.1. changes
この属性には、LDIF 形式で追加操作と変更操作のエントリーに加えられた変更が含まれます。
| OID | 2.16.840.1.113730.3.1.8 |
| 構文 | Binary |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.2. changeLog
この属性には、サーバーの changelog を設定するエントリーのセットを含む、エントリーの識別名が含まれます。
| OID | 2.16.840.1.113730.3.1.35 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.3. changeNumber
この属性は常に存在します。これには、ディレクトリーエントリーに加えられた各変更を一意に識別する整数が含まれます。この数は、変更が発生した順序に関係します。数値が大きいほど、変更は遅くなります。
| OID | 2.16.840.1.113730.3.1.5 |
| 構文 | 整数 |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.4. changeTime
この属性は、エントリーの追加時に YYMMDDHHMMSS 形式で時間を定義します。
| OID | 2.16.840.1.113730.3.1.77 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.3.5. changeType
この属性は、LDAP 操作のタイプ、追加、削除、変更、または modrdn を指定します。以下に例を示します。
changeType: modify
| OID | 2.16.840.1.113730.3.1.7 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.6. deleteOldRdn
modrdn 操作の場合に、この属性は古い RDN が削除されたかどうかを指定します。
ゼロ (0) の値は、古い RDN を削除します。0 以外の値は古い RDN を維持します。(ゼロ以外の値は、負または正の整数にすることができます。)
| OID | 2.16.840.1.113730.3.1.10 |
| 構文 | Boolean |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.7. filterInfo
これは、レプリケーションの処理時に changelog で使用します。
| OID | 2.16.840.1.113730.3.1.206 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.3.8. newRdn
modrdn 操作の場合、この属性はエントリーの新しい RDN を指定します。
| OID | 2.16.840.1.113730.3.1.9 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.9. newSuperior
modrdn 操作の場合、この属性は移動したエントリーの新しい親 (補助) エントリーを指定します。
| OID | 2.16.840.1.113730.3.1.11 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.3.10. targetDn
この属性には、LDAP 操作の影響を受けるエントリーの DN が含まれます。modrdn 操作の場合、targetDn 属性には変更または移動前のエントリーの DN が含まれます。
| OID | 2.16.840.1.113730.3.1.6 |
| 構文 | DN |
| 多値または単一値 | 複数値 |
| 定義される場所 | Changelog インターネットドラフト |
3.1.4. cn=encryption
暗号化関連の属性は、cn=encryption,cn=config エントリーに保存されます。cn=encryption,cn=config エントリーは、nsslapdEncryptionConfig オブジェクトクラスのインスタンスです。
3.1.4.1. allowWeakCipher
この属性は、弱い暗号を許可または拒否するかどうかを指定します。デフォルトは、nsSSL3Ciphers パラメーターに設定した値により異なります。
暗号は、以下の場合に弱いとみなされます。
これらはエクスポート可能です。
エクスポートする暗号には、暗号名に
EXPORTというラベルが付いています。たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5の場合は以下のようになります。この暗号は対称的であり、3DES アルゴリズムよりも弱いです。
対称暗号は、暗号化と復号化の両方に同じ暗号鍵を使用します。
- キーの長さは 128 ビットより短いです。
この属性への変更を反映するには、サーバーを再起動する必要があります。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 |
|
| 構文 | DirectoryString |
| 例 | allowWeakCipher: on |
3.1.4.2. allowWeakDHParam
Directory Server にリンクするネットワークセキュリティーサービス (NSS) ライブラリーには、最低 2048 ビット Diffie-Hellman(DH) パラメーターが必要です。ただし、Java 1.6 や 1.7 クライアントなどの Directory Server に接続する一部のクライアントは、1024 ビットの DH パラメーターのみをサポートします。allowWeakDHParam パラメーターを使用すると、Directory Server で弱い 1024 ビットの DH パラメーターのサポートを有効にできます。
この属性への変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | off |
| 構文 | DirectoryString |
| 例 | allowWeakDHParam: off |
3.1.4.3. nsSSL3Ciphers
この属性は、暗号化された通信中に Directory Server が使用する TLS 暗号化暗号のセットを指定します。
このパラメーターに設定する値は、allowWeakCipher パラメーターのデフォルト値に影響します。詳細は 「allowWeakCipher」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | NSS 対応の暗号のコンマ区切りリスト。さらに、以下のパラメーターを使用することもできます。 * デフォルト - 弱い暗号以外の NSS でアドバタイズされるデフォルトの暗号を有効にします。詳細は List supported cipher suites for SSL connections を参照してください。
* +all: すべての暗号が有効になります。 * -all: すべての暗号が無効になります。 |
| デフォルト値 | default |
| 構文 | DirectoryString
無効にするにはプラス記号 (
すべての暗号を有効にするには (具体的に呼び出す必要がある |
| 例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
対応している暗号のリストの詳細は、Red Hat Directory Server 管理ガイドの該当するセクションを参照してください。
3.1.4.4. nsSSLActivation
この属性は、TLS 暗号ファミリーが特定のセキュリティーモジュールに対して有効になっているかどうかを示します。
| エントリー DN | cn=encryptionType,cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsSSLActivation: on |
3.1.4.5. nsSSLClientAuth
この属性は、DirectoryServer がクライアント認証を実施する方法を示します。次の値を取ります。
-
off- Directory Server ではクライアント認証は使用できません。 -
allowed(デフォルト)- Directory Server でクライアント認証は使用できますが、必須ではありません。 required: すべてのクライアントはクライアント認証を使用する必要があります。重要Directory Server コンソールは、クライアント認証をサポートしません。したがって、
nsSSLClientAuth属性をrequiredに設定すると、このコンソールを使用してインスタンスを管理できません。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | off | allowed | required |
| デフォルト値 | allowed |
| 構文 | DirectoryString |
| 例 | nsSSLClientAuth: allowed |
3.1.4.6. nsSSLEnabledCiphers
Directory Server は、複数値の nsSSLEnabledCiphers 属性を自動的に生成します。属性は読み取り専用で、現在使用している Directory Server 暗号を表示します。このリストは、nsSSL3Ciphers 属性に設定したものとは異なる場合があります。たとえば、nsSSL3Ciphers 属性に弱い暗号を設定し、allowWeakCipher が無効な場合には、nsSSLEnabledCiphers 属性は、弱い暗号をリスト表示せず、Directory Server ではその暗号を使用しません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=config |
| 有効な値 | この属性の値は自動生成され、読み取り専用です。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.7. nsSSLPersonalitySSL
この属性には、SSL に使用する証明書名が含まれます。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | 証明書のニックネーム |
| デフォルト値 | |
| 構文 | DirectoryString |
| 以下に例を示します。 | nsSSLPersonalitySSL: Server-Cert |
3.1.4.8. nsSSLSessionTimeout
この属性は、TLS 接続の有効期間を設定します。最小タイムアウト値は 5 秒です。小さい値を設定すると、自動的に 5 秒に置き換えられます。以下の有効な範囲内の最大値より大きい値は、範囲内の最大値に置き換えられます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| Valid Range | 5 秒から 24 時間 |
| デフォルト値 | 0(これは、上記の有効な範囲の最大値を使用することを意味します)。 |
| 構文 | 整数 |
| 例 | nsSSLSessionTimeout: 5 |
3.1.4.9. nsSSLSupportedCiphers
この属性には、サーバーでサポートされる暗号が含まれます。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | 特定のファミリー、暗号、および強度の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 以下に例を示します。 | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.10. nsSSLToken
この属性には、サーバーによって使用されるトークン (セキュリティーモジュール) の名前が含まれます。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | モジュール名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 以下に例を示します。 | nsSSLToken: 内部 (ソフトウェア) |
3.1.4.11. nsTLS1
TLS バージョン 1 を有効にします。TLS で使用される暗号は、nsSSL3Ciphers 属性で定義されます。
sslVersionMin パラメーターおよび sslVersionMax パラメーターが nsTLS1 と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsTLS1: on |
3.1.4.12. nsTLSAllowClientRenegotiation
Directory Server は、SSL_ENABLE_RENEGOTIATION オプションを使用した SSL_OptionSet() ネットワークセキュリティーサービス (NSS) 機能を使用して、NSS の TLS 再ネゴシエーション動作を制御します。
nsTLSAllowClientRenegotiation 属性は、Directory Server が SSL_ENABLE_RENEGOTIATION オプションに渡す値を制御します。
-
nsTLSAllowClientRenegotiationに指定すると、Directory Server はSSL_RENEGOTIATE_REQUIRES_XTNをSSL_ENABLE_RENEGOTIATIONオプションに渡します。この場合、NSS は RFC 5746 を使用したセキュアな再ネゴシエーション試行を許可します。 -
nsTLSAllowClientRenegotiation: offに指定すると、Directory Server はSSL_RENEGOTIATE_NEVERをSSL_ENABLE_RENEGOTIATIONオプションに渡します。この場合、NSS は、安全なものでもすべての再ネゴシエーションの試行を拒否します。
NSS TLS 再ネゴシエーション動作の詳細は、Is Red Hat affected by TLS renegotiation MITM attacks (CVE-2009-3555)?の記事のThe RFC 5746 implementation in NSS (Network Security Services)セクションを参照してください。
この属性への変更を反映するには、サービスを再起動する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=encryption,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsTLSAllowClientRenegotiation: on |
3.1.4.13. sslVersionMin
sslVersionMin パラメーターは、Directory Server が使用する TLS プロトコルの最小バージョンを設定します。ただし、デフォルトでは、Directory Server は、システム全体の暗号化ポリシーに基づいてこのパラメーターを自動的に設定します。/etc/crypto-policies/config ファイルでポリシープロファイルを以下のように設定します。
-
DEFAULT、FUTURE、またはFIPS、Directory Server はsslVersionMinをTLS1.2に設定します。 -
LEGACY、Directory Server はsslVersionMinをTLS1.0に設定します。
または、sslVersionMin は、crypto ポリシーで定義されている値よりも高い値に手動で設定できます。
この属性への変更を反映するには、サービスを再起動する必要があります。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 |
|
| デフォルト値 | 設定したシステム全体の暗号化ポリシープロファイルによって異なります。 |
| 構文 | DirectoryString |
| 以下に例を示します。 | sslVersionMin: TLS1.2 |
3.1.4.14. sslVersionMax
使用する TLS プロトコルの最大数を設定します。デフォルトでは、この値はシステムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョンに設定されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
sslVersionMin パラメーターおよび sslVersionMax パラメーターが nsTLS1 と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
| エントリー DN | cn=encryption,cn=config |
| 有効な値 |
|
| デフォルト値 | システムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョン |
| 構文 | DirectoryString |
| 以下に例を示します。 | sslVersionMax: TLS1.2 |
3.1.5. cn=features
cn=features エントリー自体には属性がありません。このエントリーは、オブジェクトクラスが nsContainer となっている、親コンテナーエントリーとしてのみ使用されます。
子エントリーには、機能および directoryServerFeature オブジェクトクラスを識別する oid 属性が含まれ、特定の ACL などの機能に関する識別情報のオプションも含まれます。以下に例を示します。以下に例を示します。
dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 2.16.840.1.113730.3.4.9 cn: VLV Request Control aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config createTimestamp: 20200129132357Z modifyTimestamp: 20200129132357Z
3.1.5.1. oid
oid 属性には、ディレクトリーサービス機能に割り当てられたオブジェクト識別子が含まれます。OID は、これらのディレクトリー機能の命名属性として使用されます。
| OID | 2.16.840.1.113730.3.1.215 |
| 構文 | DirectoryString |
| 多値または単一値 | 複数値 |
| 定義される場所 | Directory Server |
3.1.6. cn=mapping ツリー
接尾辞、レプリケーション、および Windows 同期の設定属性は
cn=mapping tree,cn=configに保存されます。接尾辞に関連する設定属性は、接尾辞サブエントリーcn=suffix、cn=mapping tree,cn=configにあります。たとえば、suffix はディレクトリーツリーの root エントリーです (例:
dc=example,dc=com)。-
レプリケーション設定属性は、
cn=replica,cn=suffix、cn=mapping tree,cn=configに保存されます。 -
レプリカ合意属性は
cn=replicationAgreementName、cn=replica,cn=suffix,cn=mapping tree,cn=configに保存されます。 -
Windows 同期合意属性は、
cn=syncAgreementName、cn=replica,cn=suffix,cn=mapping tree,cn=configに保存されます。
3.1.7. cn=suffix_DN 下の接尾辞設定属性
接尾辞の設定は、cn="suffix_DN",cn=mapping tree,cn=config エントリーに保存されます。これらのエントリーは、nsMappingTree オブジェクトクラスのインスタンスです。extensibleObject オブジェクトクラスは、所属するエントリーが任意のユーザー属性を保持できるようにします。サーバーが接尾辞設定属性を考慮に入れるには、最上位 のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。
接尾辞 DN には等号 (=)、コンマ (,)、空白文字などの文字が含まれるため、引用符で囲む必要があります。引用符を使用すると、DN が別の DN の値として正しく表示されます。例: cn="dc=example,dc=com",cn=mapping tree,cn=config
詳細は、Directory Server 管理ガイド の該当するセクションを参照してください。
3.1.7.1. cn
この必須属性は、新しい接尾辞の相対識別名 (RDN) を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: dn=example,dc=com |
3.1.7.2. nsslapd-backend
このパラメーターは、要求の処理に使用されるデータベースまたはデータベースリンクの名前を設定します。これは複数値であり、値ごとに 1 つのデータベースまたはデータベースリンクがあります。この属性は、nsslapd-state 属性の値が、backend ま referral on update に設定されている場合に必要です。
この値は、cn=ldbm database,cn=plugins,cn=config の下にあるバックエンドデータベースエントリーインスタンスの名前に設定します。例: o=userroot,cn=ldbm database,cn=plugins,cn=config
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパーティション名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-backend: userRoot |
3.1.7.3. nsslapd-distribution-function
nssldap-distribution-function パラメーターは、カスタムディストリビューション関数の名前を設定します。nsslapd-backend 属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
カスタムディストリビューション機能の詳細は、Directory Server 管理ガイドの該当するセクションを参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なディストリビューション機能 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-distribution-plugin: distribution_function_name |
3.1.7.4. nsslapd-distribution-plugin
nssldap-distribution-plugin は、カスタムディストリビューション関数で使用する共有ライブラリーを設定します。nsslapd-backend 属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
カスタムディストリビューション機能の詳細は、Directory Server 管理ガイドの該当するセクションを参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なディストリビューションプラグイン |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-distribution-plugin: /path/to/shared/library |
3.1.7.5. nsslapd-parent
サブ接尾辞を作成する場合は、nsslapd-parent 属性を使用して親接尾辞を定義します。
属性が設定されていない場合、新しい接尾辞が root 接尾辞として作成されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパーティション名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-parent-suffix: dc=example,dc=com |
3.1.7.6. nsslapd-referral
この属性は、接尾辞で返される参照の LDAP URL を設定します。nssldap-referral 属性を複数回追加して、複数の参照 URL を設定できます。
nsslapd-state パラメーターを referral に設定した場合や、更新 時にこの属性を設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssldap-referral: ldap://example.com/ |
3.1.7.7. nsslapd-state
このパラメーターは、接尾辞が操作を処理する方法を決定します。属性は以下の値を取ります。
-
backend: バックエンドデータベースはすべての操作を処理します。 -
disabled: 操作を処理するのにデータベースは利用できません。サーバーは、クライアントアプリケーションからの要求に応じて、No such search objectエラーを返します。 -
referral: Directory Server は、この接尾辞への要求の参照 URL を返します。 -
referral on update: データベースはすべての操作に使用されます。更新要求のみが送信される参照元です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 更新におこえる backend | disabled | referral | referral |
| デフォルト値 | バックエンド |
| 構文 | DirectoryString |
| 例 | nsslapd-state: backend |
3.1.8. cn=replica,cn=suffixDN,cn=mapping tree,cn=config 下のレプリケーション属性
レプリケーション設定属性は、cn=replica,cn=suffix、cn=mapping tree,cn=config に保存されます。cn=replica エントリーは、nsDS5Replica オブジェクトクラスのインスタンスです。サーバーがレプリケーション設定属性を考慮に入れるには、最上位 のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。レプリケーションの詳細は、Red Hat Directory Server 管理ガイドのレプリケーションの管理の章を参照してください。
cn=replica,cn=suffix,cn=mapping tree,cn=config エントリーには、以下のオブジェクトクラスが含まれている必要があります。
-
top -
extensibleObject -
nsds5replica
3.1.8.1. cn
レプリカの命名属性を設定します。cn 属性は replica に設定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
この値は |
| デフォルト値 | replica |
| 構文 | DirectoryString |
| 例 | cn=replica |
3.1.8.2. nsds5DebugReplicaTimeout
この属性で、レプリケーションがデバッグロギングで実行される場合に使用する別のタイムアウトの期間を指定します。これにより、時間だけ、または時間とデバッグレベル両方を設定できます。
nsds5debugreplicatimeout: seconds[:debuglevel]| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 数値文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5debugreplicatimeout: 60:8192 |
3.1.8.3. nsDS5Flags
この属性は、フラグで以前に定義されたレプリカプロパティーを設定します。現時点では、ログが変更されるかどうかを設定するフラグは 1 つのみ存在します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 * 0: レプリカは changelog に書き込みません。これはコンシューマーのデフォルトです。 * 1: レプリカは変更ログに書き込みます。これは、ハブとサプライヤーのデフォルトです。 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsDS5Flags: 0 |
3.1.8.4. nsDS5ReplConflict
この属性は cn=replica エントリーにはありませんが、レプリケーションと併用されます。この複数値属性は、同期プロセスで自動解決できない変更で競合があるエントリーに含まれます。管理者の介入を必要とするレプリケーションの競合を確認するには、LDAP 検索を実行します (nsDS5ReplConflict=*)。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
検索フィルター "(objectclass=nsTombstone)" を使用すると、tombstone(削除済み) エントリーも表示されます。nsDS5ReplConflict の値には、競合しているエントリーの詳細情報が含まれます。通常、nsUniqueID でそのエントリーを参照します。nsUniqueID で tombstone エントリーを検索できます。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
3.1.8.5. nsDS5ReplicaAutoReferral
この属性は、Directory Server がデータベースの設定済みの参照に従うかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaAutoReferral: on |
3.1.8.6. nsState
この属性は、クロックの状態に関する情報を格納します。これは、サーバーがバックワードクロックエラーの検出に必要な既存のシーケンス番号よりも低い変更シーケンス番号 (csn) を生成できないようにするための内部使用専用に設計されています。
3.1.8.7. nsDS5ReplicaAbortCleanRUV
この読み取り専用属性は、廃止または欠落しているサプライヤーの古い RUV エントリーを削除するバックグラウンドタスクを中止するかかどうかを指定します。このタスクの詳細は、「cn=abort cleanallruv」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを示します。
この属性は、サーバーの再起動後に中止タスクを再開できるように存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | nsDS5ReplicaAbortCleanRUV: 1 |
3.1.8.8. nsds5ReplicaBackoffMin および nsds5ReplicaBackoffMax
これらの属性は、更新をできるだけ早く送信する必要があるレプリケーショントラフィックがある環境で使用されます。
デフォルトでは、リモートレプリカがビジー状態になると、レプリケーションプロトコルはバックオフ状態になり、バックオフタイマーの次の間隔で更新の送信を再試行します。デフォルトでは、タイマーは 3 秒から開始し、最大待機時間は 5 分です。特定の状況ではこれらのデフォルト設定では不十分な場合があるため、nsds5ReplicaBackoffMin および nsds5ReplicaBackoffMax を使用して、最小および最大待機時間を設定できます。
この設定は、サーバーがオンラインの状態であれば適用でき、サーバーを再起動する必要はありません。無効な設定が使用されると、代わりにデフォルト値が使用されます。設定は CLI ツールを使用して処理する必要があります。
3.1.8.9. nsDS5ReplicaBindDN
この複数値属性は、バインディング時に使用する DN を指定します。この cn=replica エントリーには複数の値がありますが、レプリカ合意ごとに 1 つのサプライヤーバインド DN のみを使用できます。各値は、コンシューマーサーバーのローカルエントリーの DN である必要があります。レプリケーションサプライヤーがクライアント証明書ベースの認証を使用してコンシューマーに接続する場合は、証明書の subjectDN をローカルエントリーにマップするようにコンシューマーの証明書マッピングを設定します。
セキュリティー上の理由から、この属性は cn=Directory Manager に設定しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.8.10. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup 属性はグループ DN を指定します。次に、このグループをデプロイメントして、サブグループのメンバーを含むメンバーが起動時またはレプリカオブジェクトの変更時に replicaBindDNs 属性に追加されます。これにより、グループ DN を設定できるため、nsDS5ReplicaBindDN 属性によって提供される現在の機能が拡張されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なグループ DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
Directory Server は、nsDS5ReplicaBindDNGroup 属性で指定されたグループの変更をチェックし、それに応じて replicaBindDN パラメーターのリストを自動的に再構築します。これらの操作はパフォーマンスに悪影響を与えるため、nsDS5ReplicaBindDNGroupCheckInterval 属性で指定された間隔でのみ実行されます。
この属性は、次の値を受け入れます。
-
-1: 実行時の動的チェックを無効にします。管理者は、nsDS5ReplicaBindDNGroup属性が変更された場合にインスタンスを再起動する必要があります。 -
0: Directory Server は、グループの変更直後にリストを再ビルドします。 - 正の 32 ビットの整数値: 最後にリビルドされてから経過する必要のある最小期間 (秒数)。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | -1 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | -1 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
3.1.8.12. nsDS5ReplicaChangeCount
この読み取り専用属性は、変更ログ内のエントリーの総数と、それらがまだレプリケートされていないかどうかを示します。changelog がパージされると、まだレプリケートされていないエントリーのみが残ります。
パージ操作プロパティーの詳細は、「nsDS5ReplicaPurgeDelay」 および 「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | -1 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaChangeCount: 675 |
3.1.8.13. nsDS5ReplicaCleanRUV
この読み取り専用属性は、廃止または欠落しているサプライヤーの古い RUV エントリーを削除するバックグラウンドタスクがアクティブかどうかを指定します。このタスクの詳細は、「cn=cleanallruv」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを示します。
この属性は、サーバーの再起動後にクリーンアップタスクを再開できるように存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | nsDS5ReplicaCleanRUV: 0 |
3.1.8.14. nsDS5ReplicaId
この属性は、特定のレプリケーション環境のサプライヤーに一意の ID を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range |
サプライヤーの場合:
コンシューマーおよびハブの場合: |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaId: 1 |
3.1.8.15. nsDS5ReplicaLegacyConsumer
この属性がない場合や、値が false の場合、レプリカがレガシーコンシューマーではないことを意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaLegacyConsumer: false |
3.1.8.16. nsDS5ReplicaName
この属性は、内部操作の一意の識別子を割り当ててレププリカの名前を指定します。指定のない場合は、この一意の識別子は、レプリカの作成時にサーバーにより割り当てられます。
サーバーでこの名前の生成を許可することを推奨します。ただし、レプリカロールの変更 (ハブなど) など、特定の状況では、この値を指定する必要があります。それ以外の場合は、サーバーは正しい changelog データベースを使用しないので、レプリケーションに失敗します。
この属性は内部使用のみを対象とします。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | |
| デフォルト値 | |
| 構文 | DirectoryString (UID はレプリカを識別) |
| 例 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
3.1.8.17. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。nsds5ReplicaProtocolTimeout 属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 120 |
| 構文 | 整数 |
| 例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
3.1.8.18. nsDS5ReplicaPurgeDelay
この属性は、削除されたエントリー (tombstone エントリー) および状態情報の最大期間を制御します。
Directory Server は、トゥームストーンエントリーと状態情報を格納するため、マルチサプライヤーレプリケーションプロセスで競合が発生した場合に、サーバーは、変更シーケンス番号に格納されているタイムスタンプとレプリカ ID に基づいて競合を解決します。
内部 Directory Server のハウスキーピング操作では、この属性の値 (秒単位) よりも古い tombstone エントリーが定期的に削除されます。状態情報を含むエントリーが変更されると、nsDS5ReplicaPurgeDelay 値よりも古い状態情報が削除されます。
マルチサプライヤーレプリケーションでは、属性の値より古い場合でも、サーバーがプライムレプリケーションに対して少数の最新の更新を保持する必要がある場合があるため、すべての tombstone および状態情報が削除されるわけではありません。
この属性は、エントリーで内部パージ操作を実行する間隔を秒単位で指定します。この属性の設定時には、レプリケーションの競合を解決するのに十分な情報を保持し、異なるサーバーに格納されているデータのコピーが分岐しないように、パージ遅延がレプリケーションポリシーの最長のレプリケーションサイクルよりも長いことを確認してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | 0 (永続保持) から最大 32 ビットの整数 (2147483647) |
| デフォルト値 | 604800 [1 week (60x60x24x7)] |
| 構文 | 整数 |
| 例 | nsDS5ReplicaPurgeDelay: 604800 |
3.1.8.19. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値が 0 の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを示します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReapActive: 0 |
3.1.8.20. nsDS5ReplicaReferral
この複数値属性は、ユーザー定義の参照を指定します。これは、コンシューマーでのみ定義する必要があります。ユーザーの参照は、クライアントが読み取り専用コンシューマーのデータを変更しようとした場合にのみ返されます。このオプションの参照は、レプリケーションプロトコルのコンシューマーによって自動設定される参照を上書きします。
URL の形式は ldap[s]://host_name:port_number または ldap[s]://IP_address:port_number (IPv4 または IPv6 アドレス) 形式をしようできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な LDAP URL |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
3.1.8.21. nsDS5ReplicaReleaseTimeout
この属性は、複数のサプライヤーのシナリオでサプライヤーとハブで使用される場合、サプライヤーがレプリカをリリースするまでのタイムアウト期間 (秒単位) を決定します。これは、ネットワーク接続が遅いなどの問題で、1 つのサプライヤーがレプリカへのアクセスを取得して長期間確保し、他のすべてのサプライヤーがレプリカにアクセスして更新を送信できない場合に役立ちます。この属性が設定されている場合には、レプリカは指定された期間後にサプライヤーによって開放されるため、レプリケーションのパフォーマンスが向上します。
この属性を 0 に設定するとタイムアウトが無効になります。他の値の場合には、タイムアウトの長さが秒単位で決定されます。
この属性は、1 から 30 までの値に設定しないでください。多くの場合、タイムアウトが短い場合にはレプリケーションのパフォーマンスが低下します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 60 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReleaseTimeout: 60 |
3.1.8.22. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 複製されるデータベースの接尾辞 (接尾辞 DN) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
この属性は、パージ操作サイクルの間隔 (秒単位) を指定します。
サーバーは定期的に内部ハウスキーピング操作を実行し、changelog およびメインのデータベースから古い更新および状態情報を削除します。「nsDS5ReplicaPurgeDelay」 を参照してください。
この属性を設定するときは、特にサーバーがクライアントやサプライヤーからの削除操作を多数処理する場合に、パージ操作に時間がかかることに注意してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 86400 (1 日) |
| 構文 | 整数 |
| 例 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
3.1.8.24. nsDS5ReplicaType
このレプリカと他のレプリカ間で存在するレプリケーション関係のタイプを定義します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 | 2 | 3 * 0 は不明を意味します * 1はプライマリー (まだ使用されていない) を意味します * 2 はコンシューマーを意味します (読み取り専用) * 3 コンシューマー/サプライヤー (更新可能) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaType: 2 |
3.1.8.25. nsds5Task
この属性は、データベースのコンテンツを LDIF ファイルにダンプしたり、レプリケーショントポロジーから古くなったサプライヤーを削除するなど、レプリケーションタスクを起動します。
nsds5Task 属性を以下の値のいずれかに設定できます。
-
cl2ldif:/var/lib/dirsrv/slapd-instance_name/changelogdb/ディレクトリーの LDIF ファイルに changelog をエクスポートします。 -
ldif2cl:/var/lib/dirsrv/slapd-instance_name/changelogdb/ディレクトリーに保存されている LDIF ファイルから changelog をインポートします。 -
cleanruv: 操作を実行するサプライヤーからレプリカ更新ベクトル (RUV) を削除します。 -
cleanallruv: レプリケーショントポロジー内のすべてのサーバーから RUV を削除します。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
*
*
*
* |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5Task: cleanallruv |
3.1.9. cn=ReplicationAgreementName,cn=replica,cn=suffixName,cn=mapping tree,cn=config 下のレプリケーション属性
レプリカ合意に関連するレプリケーション属性は、cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config に保存されます。cn=ReplicationAgreementName エントリーは、nsDS5ReplicationAgreement オブジェクトクラスのインスタンスです。レプリカ合意は、サプライヤーレプリカでのみ設定されます。
3.1.9.1. cn
この属性は命名に使用されます。この属性が設定されたら、それを変更することはできません。この属性は、レプリカ合意の設定に必要です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
任意の有効な |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: SupplierAtoSupplierB |
3.1.9.2. description
レプリカ合意のフリーフォームテキストの説明。この属性は変更できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | 説明: サーバー A とサーバー B 間のレプリカ合意 |
3.1.9.3. nsDS5ReplicaBindDN
この属性は、レプリケーション中にコンシューマーにバインドする時に使用する DN を設定します。この属性の値は、コンシューマーレプリカの cn=replica にあるものと同じである必要があります。証明書ベースの認証が使用されている場合、これは空になる可能性があります。この場合、使用される DN は証明書のサブジェクト DN であり、コンシューマーは適切なクライアント証明書マッピングを有効にする必要があります。これは変更することもできます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な DN(クライアント証明書を使用する場合は空にすることができます) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.9.4. nsDS5ReplicaBindMethod
この属性は、サーバーがコンシューマーサーバーにバインドするのに使用するメソッドを設定します。
nsDS5ReplicaBindMethod は以下の値をサポートします。
-
空白または
SIMPLE: サーバーはパスワードベースの認証を使用します。このバインドメソッドを使用する場合は、nsds5ReplicaBindDNパラメーターおよびnsds5ReplicaCredentialsパラメーターをユーザー名とパスワードを指定します。 -
SSLCLIENTAUTH: サプライヤーとコンシューマー間の証明書ベースの認証を有効にします。このため、コンシューマーサーバーには、サプライヤーの証明書をレプリケーションマネージャーエントリーにマップするように設定された証明書マッピングが必要です。 SASL/GSSAPI: SASL を使用した Kerberos 認証を有効にします。これには、サプライヤーサーバーに Kerberos キータブがあり、コンシューマーサーバーは、サプライヤーの Kerberos プリンシパルをレプリケーションマネージャーエントリーにマップするように設定されている SASL マッピングエントリーが必要です。詳細は、Red Hat Directory Server 管理ガイドの以下のセクションを参照してください。
-
SASL/DIGEST-MD5:DIGEST-MD5メカニズムで SASL を使用したパスワードベースの認証を有効にします。このバインドメソッドを使用する場合は、nsds5ReplicaBindDNパラメーターおよびnsds5ReplicaCredentialsパラメーターをユーザー名とパスワードを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| デフォルト値 | SIMPLE |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaBindMethod: SIMPLE |
3.1.9.5. nsds5ReplicaBootstrapBindDN
nsds5ReplicaBootstrapBindDN パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)、または LDAP_NO_SUCH_OBJECT (err=32) エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックバインド識別名 (DN) を設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN パラメーター、nsds5ReplicaBootstrapCredentials パラメーター、nsds5ReplicaBootstrapBindMethod パラメーター、および nsds5ReplicaBootstrapTransportInfo パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config |
3.1.9.6. nsds5ReplicaBootstrapBindMethod
nsds5ReplicaBootstrapBindMethod パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)、または LDAP_NO_SUCH_OBJECT (err=32) エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックログインメカニズムのパスワードを設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN パラメーター、nsds5ReplicaBootstrapCredentials パラメーター、nsds5ReplicaBootstrapBindMethod パラメーター、および nsds5ReplicaBootstrapTransportInfo パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaBootstrapBindMethod: SIMPLE |
3.1.9.7. nsds5ReplicaBootstrapCredentials
nsds5ReplicaBootstrapCredentials パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)、または LDAP_NO_SUCH_OBJECT (err=32) エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックバインド識別名 (DN) のパスワードを設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN パラメーター、nsds5ReplicaBootstrapCredentials パラメーター、nsds5ReplicaBootstrapBindMethod パラメーター、および nsds5ReplicaBootstrapTransportInfo パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
Directory Server は、クリアテキストでパラメーターを設定すると、AES リバーシブルパスワードの暗号化アルゴリズムを使用してパスワードを自動的にハッシュ化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaBootstrapCredentials: password |
3.1.9.8. nsds5ReplicaBootstrapTransportInfo
nsds5ReplicaBootstrapTransportInfo パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)、LDAP_INAPPROPRIATE_AUTH (err=48)、または LDAP_NO_SUCH_OBJECT (err=32) のエラーにより、サプライヤーがコンシューマーへのバインドに失敗したときに、Directory Server が使用するフォールバック接続用のレプリカとの間の接続の暗号化方式を設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN パラメーター、nsds5ReplicaBootstrapCredentials パラメーター、nsds5ReplicaBootstrapBindMethod パラメーター、および nsds5ReplicaBootstrapTransportInfo パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
属性は以下の値を取ります。
-
TLS: 接続はStartTLSコマンドを使用して暗号化を開始します。 -
ssl: コネクションは TLS 暗号化で LDAPS を使用します。 -
LDAP: 接続は暗号化されていません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | TLS | SSL | LDAP |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaBootstrapTransportInfo: SSL |
3.1.9.9. nsDS5ReplicaBusyWaitTime
この属性は、コンシューマーがビジー応答を送信してから、コンシューマーがアクセスの取得を試みるまで、サプライヤーが待機する時間を秒単位で設定します。デフォルト値は 3 秒です。属性を負の値に設定すると、Directory Server はメッセージおよび LDAP_UNWILLING_TO_PERFORM エラーコードをクライアントに送信します。
nsDS5ReplicaBusyWaitTime 属性は、nsDS5ReplicaSessionPauseTime 属性とともに動作します。この 2 つの属性は、nsDS5ReplicaSessionPauseTime の間隔が、nsDS5ReplicaBusyWaitTime に指定された間隔よりも常に 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマーに再度アクセスできるようになる前に、コンシューマーにアクセスできる可能性が高くなります。
changetype:modify を replace 操作で使用して、任意のタイミングで nsDS5ReplicaBusyWaitTime 属性を設定します。更新セッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な整数 |
| デフォルト値 | 3 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaBusyWaitTime: 3 |
3.1.9.10. nsDS5ReplicaChangesSentSinceStartup
この読み取り専用属性は、サーバーが起動してからこのレプリカに送信された変更の数を示します。属性の実際の値は、バイナリーブロブとして保存されます。Directory Server コンソールでは、この値は比率で、replica_id:changes_sent/changes_skippedの形式を取ります。たとえば、100 個の変更が送信され、レプリカ 7 でスキップされた変更がなかった場合に、属性値はコンソールに 7:100/0 として表示されます。
コマンドラインでは、属性値はバイナリー形式で表示されます。以下に例を示します。
nsds5replicaChangesSentSinceStartup:: MToxLzAg
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | 0 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
3.1.9.11. nsDS5ReplicaCredentials
この属性は、nsDS5ReplicaBindDN 属性で指定されたバインド DN の認証情報を設定します。Directory Server はこのパスワードを使用してコンシューマーに接続します。
以下の例は、実際のパスワードではなく、/etc/dirsrv/slapd-instance_name/dse.ldif ファイルに保存されている暗号化値を示しています。値を設定するには、これをクリアテキストで設定します (例: nsDS5ReplicaCredentials: password)。Directory Server は、値の保存時に AES リバーシブルパスワードの暗号化スキーマを使用してパスワードを暗号化します。
証明書ベースの認証を使用する場合に、この属性には値が設定されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なパスワード |
| デフォルト値 | |
| 構文 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
| 例 | nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8GG5A… |
3.1.9.12. nsds5ReplicaEnabled
この属性は、レプリカ合意がアクティブかどうか (つまり、対象の合意に合わせてレプリケーションを実行するか) を設定します。デフォルトでは on になっており、レプリケーションが有効化されています。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaEnabled: off |
3.1.9.13. nsds5ReplicaFlowControlPause
このパラメーターは、nsds5ReplicaFlowControlWindow パラメーターに設定されたエントリーおよび更新の数に達すると一時停止する時間をミリ秒単位で設定します。nsds5ReplicaFlowControlWindow パラメーターおよび nsds5ReplicaFlowControlPause パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。詳細は 「nsds5ReplicaFlowControlWindow」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 64 ビットの長さ |
| デフォルト値 | 2000 |
| 構文 | 整数 |
| 例 | nsds5ReplicaFlowControlPause: 2000 |
3.1.9.14. nsds5ReplicaFlowControlWindow
この属性は、サプライヤーが送信し、コンシューマーにより確認されないエントリーおよび更新の最大数を設定します。制限に達すると、サプライヤーは nsds5ReplicaFlowControlPause パラメーターに設定された時間、レプリカ合意を一時停止します。nsds5ReplicaFlowControlWindow パラメーターおよび nsds5ReplicaFlowControlPause パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。
サプライヤーがエントリーおよび更新をコンシューマーがデータをインポートまたは更新できるよりも早く送信した場合に、この設定を更新します。この場合、サプライヤーのエラーログファイルに以下のメッセージが表示されます。
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有効な値 | 0 から最大 64 ビットの長さ |
| デフォルト値 | 1000 |
| 構文 | 整数 |
| 例 | nsds5ReplicaFlowControlWindow: 1000 |
3.1.9.15. nsDS5ReplicaHost
この属性は、コンシューマーレプリカを含む、リモートサーバーのホスト名を設定します。この属性が設定されたら、それを変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なホストサーバー名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaHost: ldap2.example.com |
3.1.9.16. nsDS5ReplicaLastInitEnd
このオプションの読み取り専用属性は、コンシューマーレプリカの初期化がいつ終了したかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
3.1.9.17. nsDS5ReplicaLastInitStart
このオプションの読み取り専用属性は、コンシューマーレプリカの初期化がいつ開始したかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastInitStart: 20200503030405 |
3.1.9.18. nsDS5ReplicaLastInitStatus
こ読み取り専用属性 (任意) は、コンシューマーの初期化のステータスを指定します。通常、数値コードの後にステータスを説明する短い文字列が続きます。ゼロ (0) は成功を意味します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 (Consumer Initialization Succeeded) (その後に他のステータスメッセージが表示されます) |
| デフォルト値 | |
| 構文 | String |
| 例 | nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded |
3.1.9.19. nsDS5ReplicaLastUpdateEnd
この読み取り専用属性は、最新のレプリケーションスケジュールの更新が終了すると表示されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
3.1.9.20. nsDS5ReplicaLastUpdateStart
この読み取り専用属性は、最新のレプリケーションスケジュールの更新が開始されるタイミングを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
| デフォルト値 | |
| 構文 | GeneralizedTime |
| 例 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
3.1.9.21. nsds5replicaLastUpdateStatus
各レプリカ合意の読み取り専用 nsds5replicaLastUpdateStatus 属性に、Directory Server は、契約の最新ステータスを表示します。ステータスのリストは、付録B レプリカ合意のステータス を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 付録B レプリカ合意のステータス を参照してください。 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5replicaLastUpdateStatus: Error (0) Replica acquired successfully: Incremental update succeeded |
3.1.9.22. nsDS5ReplicaPort
この属性は、レプリカを含むリモートサーバーのポート番号を設定します。この属性が設定されたら、それを変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | レプリカを含むリモートサーバーのポート番号 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaPort:389 |
3.1.9.23. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値がゼロ (0) の場合は、タスクが非アクティブであることを示します。値が 1 の場合は、タスクがアクティブであることを示します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 0 | 1 |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsDS5ReplicaReapActive: 0 |
3.1.9.24. nsDS5BeginReplicaRefresh
レプリカを初期化します。この属性はデフォルトでは指定されていません。ただし、この属性に start の値が追加されると、サーバーはレプリカを初期化し、属性値を削除します。初期化手順のステータスを監視するには、この属性をポーリングします。初期化が完了すると、属性はエントリーから削除され、他の監視属性を使用して詳細なステータス照会を行うことができます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | stop | start |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5BeginReplicaRefresh: start |
3.1.9.25. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 複製されるデータベースの接尾辞 (上記の suffixDN と同じ) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.9.26. nsDS5ReplicaSessionPauseTime
この属性は、次に行われる更新セッションまでの間に、サプライヤーが待機する時間を秒単位で設定します。デフォルト値は 0 です。属性を負の値に設定すると、Directory Server はメッセージおよび LDAP_UNWILLING_TO_PERFORM エラーコードをクライアントに送信します。
nsDS5ReplicaSessionPauseTime 属性は、nsDS5ReplicaBusyWaitTime 属性とともに動作します。この 2 つの属性は、nsDS5ReplicaSessionPauseTime の間隔が、nsDS5ReplicaBusyWaitTime に指定された間隔よりも常に 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマーに再度アクセスできるようになる前に、コンシューマーにアクセスできる可能性が高くなります。
-
どちらかの属性が指定され、両方が指定されていない場合には、
nsDS5ReplicaSessionPauseTimeは自動的にnsDS5ReplicaBusyWaitTimeよりも1秒より大きい値に設定されます。 -
両方の属性が指定されていても、
nsDS5ReplicaSessionPauseTimeがnsDS5ReplicaBusyWaitTime以下の場合には、nsDS5ReplicaSessionPauseTimeはnsDS5ReplicaBusyWaitTimeよりも1秒以上大きい値に自動的に設定されます。
値の設定時には、nsDS5ReplicaSessionPauseTime の間隔が nsDS5ReplicaBusyWaitTime に指定した間隔よりも 1 秒以上長くなっていることを確認します。サプライヤーの間で許容できる程度にコンシューマーアクセスが分散されるまで、必要に応じてこの間隔を増やします。
changetype:modify を replace 操作で使用して、任意のタイミングで nsDS5ReplicaSessionPauseTime 属性を設定します。更新セッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
Directory Server が nsDS5ReplicaSessionPauseTime の値を自動的にリセットする必要がある場合に、値は内部でだけ変更されます。この変更はクライアントには表示されず、設定ファイルには保存されません。外部から見ると、属性値は最初に設定されたとおりに表示されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な整数 |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaSessionPauseTime: 0 |
3.1.9.27. nsds5ReplicaStripAttrs
一部レプリケーションでは、レプリケーション更新 (nsDS5ReplicatedAttributeList) から削除される属性のリストが許可されます。しかし、除外された属性への変更があっても、修正イベントが発生し、空のレプリケーション更新が生成されます。
nsds5ReplicaBootstrapBindMethod 属性は、空のレプリケーションイベントでは送信できず、更新シーケンスから削除される属性のリストを追加します。論理的には、modifiersName のような操作属性が含まれます。
レプリケーションイベントが 空でない 場合は、ストライピングされた属性 が 複製されます。これらの属性は、イベントが空である場合にのみ更新から削除されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | サポートされるディレクトリー属性のスペース区切りリスト |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
3.1.9.28. nsDS5ReplicatedAttributeList
使用可能な属性は、コンシューマーサーバーにレプリケートされ ない 属性を指定します。部分的なレプリケーションでは、データベースを低速の接続で複製したり、機密情報を保護しながらも、安全性の低いコンシューマーに複製したりできます。デフォルトでは、すべての属性がレプリケートされ、この属性は存在しません。分数レプリケーションの詳細は、Red Hat Directory Server 管理ガイドのレプリケーションの管理の章を参照してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountlockout memberof |
3.1.9.29. nsDS5ReplicatedAttributeListTotal
使用可能な属性は、全更新中にコンシューマーサーバーにレプリケートされ ない 属性を指定します。
部分的なレプリケーションは、指定した属性のみをレプリケートします。これにより、ネットワークの全体的なパフォーマンスが向上します。ただし、管理者が増分更新時に部分的なレプリケーションを使用して一部の属性を制限する場合があり、これらの属性を全体更新時 (またはその逆) に複製することもできます。
デフォルトでは、すべての属性が複製されます。nsDS5ReplicatedAttributeList は増分レプリケーションリストを設定します。nsDS5ReplicatedAttributeList のみが設定されている場合には、このリストは更新全体にも適用されます。
nsDS5ReplicatedAttributeListTotal は、全更新から除外する属性のリストを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicatedAttributeListTotal: (objectclass=*) $ EXCLUDE accountlockout |
3.1.9.30. nsDS5ReplicaTimeout
使用可能な属性は、タイムアウトおよび失敗する前に、リモートレプリカからの応答を待つ秒単位のアウトバウンド LDAP 操作の数を指定します。サーバーがエラーログファイルに Warning: timed out waiting のメッセージを書き込む場合は、この属性の値を増やします。
リモートマシンのアクセスログを調べて、操作が実際に継続した時間を調べ、それに応じて nsDS5ReplicaTimeout 属性を設定して、パフォーマンスを最適化します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | 0 から最大 32 ビットの整数値 (2147483647)(秒単位) |
| デフォルト値 | 120 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaTimeout: 120 |
3.1.9.31. nsDS5ReplicaTransportInfo
この属性は、レプリカとの間のデータ転送に使用される転送ポートのタイプを設定します。この属性は、設定後は変更できません。
属性は以下の値を取ります。
-
StartTLS: 接続は、StartTLSコマンドで暗号化を使用します。 -
LDAPS: 接続は TLS 暗号化を使用します。 -
LDAP: 接続は暗号化されていない LDAP プロトコルを使用します。この値は、nsDS5ReplicaTransportInfo属性が設定されていない場合にも使用されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | StartTLS | LDAPS | LDAP |
| デフォルト値 | absent |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaTransportInfo: StartTLS |
3.1.9.32. nsDS5ReplicaUpdateInProgress
この読み取り専用属性は、レプリケーションの更新が進行中であるかどうかを示します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | true | false |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS5ReplicaUpdateInProgress: true |
3.1.9.33. nsDS5ReplicaUpdateSchedule
この複数値属性はレプリケーションスケジュールを指定し、変更できます。この属性に加えられた変更は即座に有効になります。この値を変更すると、レプリケーションを一時停止して後で再開するのに便利です。たとえば、この値を 0000-0001 0 にすると、サーバーがこのレプリカ合意の更新の送信を停止します。サーバーは、後で再生できるように保存し続けます。値が後で 0000-2359 0123456 に戻された場合は、レプリケーションがすぐに再開し、保留中のすべての変更が送信されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | XXXX-YYYY 0123456 として表示される時間スケジュール。ここでは、XXXX は開始時間、YYYY は終了時間、番号 0123456 は曜日 (日曜から開始) を表します。 |
| デフォルト値 | 0000-2359 0123456 (常時) |
| 構文 | 整数 |
| 例 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
3.1.9.34. nsDS5ReplicaWaitForAsyncResults
レプリケーション環境では、nsDS5ReplicaWaitForAsyncResults パラメーターは、コンシューマーが準備状態にない場合に待機する時間をミリ秒単位で設定します。
パラメーターを 0 に設定すると、デフォルト値が使用される点に注意してください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| Valid Range | 0 - 32 ビットの最大整数 (2147483647) |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsDS5ReplicaWaitForAsyncResults: 100 |
3.1.9.35. nsDS50ruv
この属性は、このレプリカ合意のコンシューマーから読み取られた最後のレプリカ更新ベクトル (RUV) を保存します。常に存在し、変更してはなりません。
3.1.9.36. nsruvReplicaLastModified
この属性には、レプリカのエントリーが変更され、changelog が更新された最新の時間が含まれます。
3.1.9.37. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。nsds5ReplicaProtocolTimeout 属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
| デフォルト値 | 120 |
| 構文 | 整数 |
| 例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
3.1.10. cn=syncAgreementName,cn=WindowsReplica,cn=suffixName,cn=mapping tree,cn=config 下の同期属性
同期合意に関連する同期属性は、cn=syncAgreementName,cn=WindowsReplica,cn=suffixDN,cn=mapping tree,cn=config に保存されます。cn=syncAgreementName エントリーは、nsDSWindowsReplicationAgreement オブジェクトクラスのインスタンスです。サーバーが同期合意の設定属性を考慮に入れるには、最上位 のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。同期合意は、Windows Active Directory サーバーとの同期が有効なデータベースでのみ設定されます。
3.1.10.1. nsds7DirectoryReplicaSubtree
同期している Directory Server サブツリーの接尾辞または DN。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な接尾辞またはサブ接尾辞 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
3.1.10.2. nsds7DirsyncCookie
この文字列は Active Directory DirSync により作成され、最終同期時の Active Directory Server の状態を示します。以前の cookie は、各 Directory Server の更新のたびに Active Directory に送信され、新しい Cookie が Windows ディレクトリーデータとともに返されます。これは、最後の同期が取得されてから変更されたエントリーだけを指します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
3.1.10.3. nsds7NewWinGroupSyncEnabled
この属性は、Directory Server で新しいグループを作成して、Windows 同期ピアで作成された新しいグループを自動的に同期するかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7NewWinGroupSyncEnabled: on |
3.1.10.4. nsds7NewWinUserSyncEnabled
この属性は、Directory Server で新しいエントリーを作成して、Windows 同期ピアで作成された新しいエントリーを自動的に同期するかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | on | off |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7NewWinUserSyncEnabled: on |
3.1.10.5. nsds7WindowsDomain
この属性は、Windows 同期ピアが属する Windows ドメインの名前を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効なドメイン名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7WinndowsDomain: DOMAINWORLD |
3.1.10.6. nsds7WindowsReplicaSubtree
同期している Windows サブツリーの接尾辞または DN。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 有効な接尾辞またはサブ接尾辞 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
3.1.10.7. oneWaySync
この属性は、同期を実行する方向を設定します。これは、Active Directory サーバーから Directory Server へ、または Directory Server から Active Directory サーバーのいずれかになります。
この属性がない場合 (デフォルト)、同期合意は 双方向 であるため、両方のドメインで行った変更が同期されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | toWindows | fromWindows | null |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | oneWaySync: fromWindows |
3.1.10.8. winSyncInterval
この属性は、Directory Server が Windows 同期ピアをポーリングして Active Directory エントリーの変更を検索する頻度を秒単位で設定します。このエントリーが設定されていない場合には、Directory Server は Windows サーバーを 5 分ごとにチェックします。つまり、デフォルト値は 300 (300 秒) です。
この値を低く設定すると、Active Directory の変更をディレクトリーサーバーにすばやく書き込むことができ、ディレクトリー検索に時間がかかりすぎる場合は、この値を高く設定できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | 1 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 300 |
| 構文 | 整数 |
| 例 | winSyncInterval: 600 |
3.1.10.9. winSyncMoveAction
同期プロセスは実際にルート DN で開始し、同期のエントリーの評価を開始します。エントリーは、Active Directory の samAccount と Directory Server の uid 属性に基づいて相関されます。Synchronization プラグインは、以前に同期されたエントリー ( samAccount/uid の関係に基づく) が削除または移動されたために同期されたサブツリーから削除された場合は、Synchronization プラグインはエントリーが同期されなくなったことを認識します。
同期合意の winSyncMoveAction 属性は、これらの移動したエントリーの処理方法を設定します。
-
noneは何もしないため、同期した Directory Server エントリーが存在する場合は、同期するか、スコープ 内 に Active Directory エントリーを作成したりできます。同期された Directory Server エントリーが存在しない場合は、何も発生しません (これはデフォルトの動作です)。 unsyncは、Directory Server エントリーから同期関連の属性 (ntUserまたはntGroup) を削除しますが、Directory Server エントリーはそのまま残されます。ActiveDirectory と Directory Server のエントリーは連携して存在します。重要エントリーの同期を解除すると、Active Directory のエントリーが後から削除され、Directory Server のエントリーがそのまま残ってしまう危険性があります。これにより、特に Active Directory 側でエントリーを再作成するのに Directory Server エントリーを使用する場合などに、データが不整合になる可能性があります。
deleteは、Active Directory と同期していたかどうかに関わらず、Directory Server で該当するエントリーを削除します (これは 9.0 のデフォルト動作です)。重要対応する Active Directory エントリーを削除せずに Directory Server エントリーを削除することはありません。このオプションは、Directory Server 9.0 システムとの互換性でのみ利用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有効な値 | none | delete | unsync |
| デフォルト値 | none |
| 構文 | DirectoryString |
| 例 | winSyncMoveAction: unsync |
3.1.11. cn=monitor
サーバーの監視に使用される情報は cn=monitor 下に保存されます。このエントリーとその子は読み取り専用で、クライアントは直接変更できません。サーバーはこの情報を自動的に更新します。本セクションでは、cn=monitor 属性を説明します。アクセス制御の設定向けにユーザーが変更できる属性は aci 属性のみです。
cn=config の nsslapd-counters 属性が on (デフォルト設定) に設定されている場合は、32 ビットマシンや、32 ビットバージョンの Directory Server でも、Directory Server インスタンスにより保持されるすべてのカウンターは、64 ビットの整数を使用して増分します。cn=monitor エントリーでは、opsinitiated、opscompleted、entriessent、および bytessent カウンターで 64 ビットの整数が使用されます。
nsslapd-counters 属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットサポートを有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
connection
この属性は、開放されている接続および関連するステータスおよびパフォーマンス関連情報および値をリスト表示します。これらは次の形式で提供されます。
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address以下に例を示します。
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1-
A は接続番号で、この接続に関連する接続テーブルのスロット数です。これは、この接続が開放されたときに、アクセスログメッセージで
slot=A としてログに記録された数字で、通常は接続に関連付けられたファイル記述子に対応します。dTableSize属性は、接続テーブルの合計サイズを表示します。 - YYYYMMDDhhmmssZ は、接続が開いた時間 ( GeneralizedTime) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。
- b は、この接続で受信する操作の数です。
- C は、完了した操作の数です。
-
サーバーがネットワークから BER を読み取る処理中である場合、D は
rであり、それ以外は空になります。(この例のように) この値は、通常空です。 -
e はバインド DN です。これは空であるか、匿名接続の
NULLDNの値を持つことがあります。 -
f は接続の最大スレッド状態です。
1では最大スレッドにあり、0では最大スレッドにありません。 - G は、このスレッドが最大スレッド値に達した回数です。
- H は、最大スレッド数によってブロックされた操作の数です。
-
I は、ログに
conn=connection_IDとして報告される接続 ID です。 - ip_address は、LDAP クライアントの IP アドレスです。
開始操作および完了した操作の B および C は同等であるべきです。
currentConnections
この属性は、現在開いていてアクティブな Directory Server 接続の数を表示します。
totalConnections
この属性は、Directory Server 接続の合計数を表示します。この数には、currentConnections に加えて、サーバーが最後に起動されてから開かれた接続と閉じられた接続が含まれます。
dTableSize
この属性は、Directory Server 接続テーブルのサイズを表示します。各接続はこのテーブルのスロットに関連付けられ、通常はこの接続で使用されるファイル記述子に対応します。詳細は、「nsslapd-conntablesize」 を参照してください。
readWaiters
この属性は、一部の要求が保留中であり、現在 DirectoryServer のスレッドで処理されていない接続の数を示します。
opsinitiated
この属性は、開始された Directory Server 操作の数を表示します。
opsCompleted
この属性は、完了した Directory Server 操作の数を表示します。
entriesSent
この属性は、Directory Server で送信されるエントリーの数を表示します。
bytesSent
この属性は、Directory Server が送信するバイト数を表示します。
currentTime
この属性は、グリニッジ標準時 (20200202131102Z など、generalizedTime 構文 Z 表記で表される) で指定されている現在の時間を表示します。
startTime
この属性は、グリニッジ標準時で指定した Directory Server の起動時間を表示します。これは、generalizedTime 構文 Z 表記で示されます。たとえば、20200202131102Z です。
version
この属性は、Directory Server のベンダー、バージョン、およびビルド番号を表示します。たとえば、Red Hat/11.3.1 B2020.274.08 です。
threads
この属性は、Directory Server が使用するスレッド数を表示します。これは cn=config の nsslapd-threadnumber に対応している必要があります。
nbackEnds
この属性は、Directory Server データベースバックエンドの数を示します。
backendMonitorDN
この属性は、各 Directory Server データベースバックエンドの DN を示します。データベースの監視に関する詳細は、以下のセクションを参照してください。
3.1.12. cn=replication
このエントリーには属性がありません。レガシーレプリケーションを設定する場合には、これらのエントリーはプレースホルダーとして機能する cn=replication ノードに保存されます。
3.1.13. cn=sasl
SASL マッピング設定を含むエントリーは、cn=mapping,cn=sasl,cn=config に保存されます。cn=sasl エントリーは、nsContainer オブジェクトクラスのインスタンスです。各マッピングは、nsSaslMapping オブジェクトクラスのインスタンスです。
3.1.13.1. nsSaslMapBaseDNTemplate
この属性には、SASL ID マッピングで使用される検索ベース DN テンプレートが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 任意の有効な DN |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
3.1.13.2. nsSaslMapFilterTemplate
この属性には、SASL ID マッピングで使用される検索フィルターテンプレートが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapFilterTemplate: (cn=\1) |
3.1.13.3. nsSaslMapPriority
Directory Server を使用すると、複数の簡易認証およびセキュリティー層 (SASL) マッピングを設定できます。SASL フォールバックが nsslapd-sasl-mapping-fallback パラメーターによって有効になっている場合には、nsSaslMapPriority 属性を設定して個別の SASL マッピングの優先順位を付けることができます。
この設定を有効にするためにサーバーを再起動する必要はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 1 (最も高い優先度)- 100(最も低い優先度) |
| デフォルト値 | 100 |
| 構文 | 整数 |
| 例 | nsSaslMapPriority: 100 |
3.1.13.4. nsSaslMapRegexString
この属性には、SASL アイデンティティー文字列をマッピングするために使用される正規表現が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有効な値 | 有効な正規表現 |
| デフォルト値 | |
| 構文 | IA5String |
| 例 | nsSaslMapRegexString: \(.*\) |
3.1.14. cn=SNMP
SNMP 設定属性は cn=SNMP,cn=config に保存されます。cn=SNMP エントリーは、nsSNMP オブジェクトクラスのインスタンスです。
3.1.14.1. nssnmpenabled
この属性は、SNMP を有効にするかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | on | off |
| デフォルト値 | on |
| 構文 | DirectoryString |
| 例 | nssnmpenabled: off |
3.1.14.2. nssnmporganization
この属性は、Directory Server が属する組織を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 組織名 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmporganization: Red Hat, Inc. |
3.1.14.3. nssnmplocation
この属性は、Directory Server が置かれている企業または組織内の場所を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 場所 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmplocation: B14 |
3.1.14.4. nssnmpcontact
この属性は、Directory Server を管理するユーザーのメールアドレスを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | メールアドレスへのお問い合わせ |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmpcontact: jerome@example.com |
3.1.14.5. nssnmpdescription
Directory Server インスタンスの一意の説明を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | 説明 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nssnmpdescription: Employee directory instance |
3.1.14.6. nssnmpmasterhost
nssnmpmasterhost は非推奨になりました。この属性は、net-snmp が導入され非推奨となりました。属性は、引き続き dse.ldif で表示されますが、デフォルト値はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | マシンホスト名または localhost |
| デフォルト値 | <blank> |
| 構文 | DirectoryString |
| 例 | nssnmpmasterhost: localhost |
3.1.14.7. nssnmpmasterport
nssnmpmasterport 属性は net-snmp が導入され、非推奨となりました。属性は、引き続き dse.ldif で表示されますが、デフォルト値はありません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=SNMP,cn=config |
| 有効な値 | オペレーティングシステムに依存するポート番号。詳細は、オペレーティングシステムのドキュメントを参照してください。 |
| デフォルト値 | <blank> |
| 構文 | 整数 |
| 例 | nssnmpmasterport: 199 |
3.1.15. SNMP の静的属性
表3.7「SNMP の静的属性」LDAP および SNMP クライアントで利用可能な統計をリストする読み取り専用属性が含まれます。特に明記されていない限り、指定された属性の値は、サーバーが受信した要求の数、または起動後にサーバーが返した結果になります。これらの属性の一部は、Directory Server によって使用されないか、適用されませんが、SNMP クライアント向けに存在する必要があります。
cn=config の nsslapd-counters 属性が on (デフォルト設定) に設定されている場合は、32 ビットマシンや、32 ビットバージョンの Directory Server でも、Directory Server インスタンスにより保持されるすべてのカウンターは、64 ビットの整数を使用して増分します。SNMP 統計属性はすべて 64 ビット整数を使用します (設定されている場合)。
nsslapd-counters 属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビット整数を有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
表3.7 SNMP の静的属性
| 属性 | 説明 |
|---|---|
| AnonymousBinds | これは、匿名バインド要求の数を示しています。 |
| UnAuthBinds | これは、認証されていない (匿名) バインドの数を示しています。 |
| SimpleAuthBinds | これは、LDAP の単純なバインド要求 (DN およびパスワード) の数を示しています。 |
| StrongAuthBinds | これは、すべての SASL メカニズムの LDAP SASL バインド要求の数を示しています。 |
| BindSecurityErrors | これは、バインド要求に無効なパスワードが指定されている回数を示します。 |
| InOps | これは、サーバーによって受信されるすべての要求総数を示します。 |
| ReadOps |
使用されていません。この値は、常に |
| CompareOps | これは、LDAP 比較要求の数を示しています。 |
| AddEntryOps | これは、LDAP 追加要求の数を示しています。 |
| RemoveEntryOps | これは、LDAP 削除要求の数を示しています。 |
| ModifyEntryOps | これは、LDAP 変更要求の数を示しています。 |
| ModifyRDNOps | これは、LDAP 変更 RDN (modrdn) 要求の数を示しています。 |
| ListOps |
使用されていません。この値は、常に |
| SearchOps | LDAP 検索要求の数を示します。 |
| OneLevelSearchOps | これは、1 レベルの検索操作の数を示しています。 |
| WholeSubtreeSearchOps | これは、サブツリーレベルの検索操作の数を示しています。 |
| Referrals | これは、返された LDAP 参照の数を示しています。 |
| Chainings |
使用されていません。この値は、常に |
| SecurityErrors | これは、無効なパスワード、不明な認証方法、または強力な認証が必要など、セキュリティー関連のエラー数を示しています。 |
| Errors | これは、返されたエラーの数を示しています。 |
| Connections | 現在開いている接続の数を示しています。 |
| ConnectionSeq | これにより、現在閉じている接続も開いている接続も含めた、開放されている合計接続数が表示されます。 |
| BytesRecv | 受信したバイト数を表示します。 |
| BytesSent | これは、送信されたバイト数を示します。 |
| EntriesReturned | これは、検索結果として返されたエントリーの数を示しています。 |
| ReferralsReturned | これは、検索結果として返された参照の情報を提供します (継続参照)。 |
| MasterEntries |
使用されていません。この値は、常に |
| CopyEntries |
使用されていません。この値は、常に |
| CacheEntries[a] |
サーバーにデータベースバックエンドが 1 つしかない場合は、エントリーキャッシュにキャッシュされたエントリーの数になります。サーバーに複数のデータベースバックエンドがある場合、この値は |
| CacheHits |
サーバーにデータベースバックエンドが 1 つしかない場合、これは検索結果に対してデータベースからではなく、エントリーキャッシュから返されるエントリーの数です。サーバーに複数のデータベースバックエンドがある場合、この値は |
| SlaveHits |
使用されていません。この値は、常に |
[a]
CacheEntries および CacheHits は 10 秒ごとに更新されます。Red Hat は、このデータベース情報およびその他のデータベース情報にデータベースバックエンド固有のモニターエントリーを使用することを強く推奨します。
| |
3.1.16. cn=tasks
一部のコア Directory Server タスクは、LDAP ツールを使用してディレクトリーエントリーを編集することで開始できます。これらのタスクエントリーは、cn=tasks に含まれています。各タスクは、以下のようなエントリーを更新して呼び出すことができます。
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
Directory Server 8.0 よりも前の Red Hat Directory Server デプロイメントでは、多くの Directory Server タスクが Administration Server によって管理されました。これらのタスクは、バージョン 8.0 のコア Directory Server 設定に移動し、cn=tasks エントリーの下で Directory Server により呼び出され、管理されています。
cn=tasks エントリーで次のタスクが管理されます。
これらのタスクの一般的な属性は、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載されています。
cn=tasks エントリー自体には属性がなく、個別のタスクエントリーの親およびコンテナーエントリーとして機能します。
タスクエントリーは、永続的な設定エントリーではありません。このエントリーは、タスク操作が実行中であるか、ttl の有効期限が切れるまで、設定ファイルにだけ存在します。その後、エントリーは自動的にサーバーにより削除されます。
3.1.16.1. cn=tasks の下にあるエントリーのタスク呼び出し属性
Directory Server インスタンスを管理する 5 つのタスクには、個々の操作を開始および特定する設定エントリーがあります。これらのタスクエントリーは、同じオブジェクトクラス extensibleObject のインスタンスで、このエントリーには Directory Server タスクの状態と動作を記述する特定の共通属性があります。タスクタイプは、インポート、エクスポート、バックアップ、復元、インデックス、スキーマのリロード、およびメンバーです。
cn
cn 属性は、開始する新しいタスク操作を特定します。cn 属性の値は、新しいタスクを定義する限りすべて使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: タスクエントリー名の例 |
nsTaskStatus
この属性には、累積の統計や現在の出力メッセージなどのタスクのステータスの変更情報が含まれます。属性の全内容は、プロセスが実行されている限り定期的に更新できます。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsTaskStatus: エントリーの読み込みなど |
nsTaskLog
このエントリーには、警告メッセージおよび情報メッセージの両方など、タスクのすべてのログメッセージが含まれます。新しいメッセージはエントリー値の最後に追加されるため、この属性値は、デフォルトでは元の内容を消去しないので、数値が大きくなります。
nsTaskExitCode が 0 である正常なタスク操作は、nsTaskLog 属性にのみ記録されます。エラーを示すゼロ以外の応答は、エラーとしてエラーログに記録される場合がありますが、エラーメッセージは nsTaskLog 属性にのみ記録されます。このため、nsTaskLog 属性の情報を使用して、実際に発生したエラーが分かります。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsTaskLog: example… |
nsTaskExitCode
この属性には、タスクの終了コードが含まれます。この属性は、タスクの完了後にのみ存在し、値はタスクが完了した場合にのみ有効になります。結果コードは、「LDAP の結果コード」 に記載されている LDAP 終了コードに指定できますが、0 値のみが成功に相当します。他の結果コードはエラーです。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 (成功) から 97[a] |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskExitCode: 0 |
[a]
0 以外の応答はエラーです。
| |
nsTaskCurrentItem
この属性は、タスクがサブタスクに分割できると仮定して、タスク操作が完了したサブタスクの数を表示します。タスクが 1 つしかない場合は、タスクの実行中に nsTaskCurrentItem が 0、タスクの完了時には 1 になります。このように、属性は進捗バーに似ています。nsTaskCurrentItem 属性に nsTaskTotalItems と同じ値がある場合は、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskCurrentItem: 148 |
nsTaskTotalItems
この属性は、タスク操作で完了する必要のあるサブタスクの合計数を示します。nsTaskCurrentItem 属性に nsTaskTotalItems と同じ値がある場合は、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | 整数 |
| 例 | nsTaskTotalItems: 152 |
nsTaskCancel
この属性を使用すると、進行中にタスクを中断できます。この属性は、ユーザーが変更できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsTaskCancel: true |
ttl
この属性は、タスクが終了または中止した後に、タスクエントリーが DSE に留まる時間 (秒単位) を設定します。ttl 属性を設定すると、終了コードを失うことなく、タスクエントリーをポーリングして新しいステータス情報を取得できます。ttl 属性を 0 に設定すると、エントリーがキャッシュされません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有効な値 | 0(キャッシュ不可) から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | ttl: 120 |
3.1.16.2. cn=import
LDIF ファイルまたは複数の LDIF ファイルは、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成することで、コマンドラインでインポートできます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=import エントリーは、インポートタスク操作のコンテナーエントリーです。cn=import エントリー自体には属性はありませんが、このエントリー内にあるタスクエントリーごとに (cn=task_ID、cn=import、cn=tasks、cn=config) 以下の属性を使用してインポートタスクを定義します。
cn=import のインポートタスクエントリーには、インポートする LDIF ファイル (nsFilename 属性) と、ファイルをインポートするインスタンスの名前 (nsInstance 属性) が含まれている必要があります。さらに、タスクを識別するために一意の cn を含める必要があります。以下に例を示します。
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
インポート操作が実行されると、タスクエントリーには、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載のサーバー生成タスク属性がすべて含まれます。
ldif2db と ldif2db.pl スクリプトのオプションと同様に、インポート操作の調整に使用できる任意の属性があります。
-
nsIncludeSuffix: インポートする接尾辞を指定する
-sオプションと類似しています。 -
nsExcludeSuffix: インポートから除外する接尾辞またはサブツリーを指定する
-xオプションと類似しています。 -
nsImportChunkSize: インポート時新しいパスの開始を上書きして、チャンクをマージする
-cオプションと類似しています。 - nsImportIndexAttrs: 属性インデックスをインポートするかどうかを設定します (スクリプトオプションに推論はありません)。
-
nsUniqueIdGenerator: エントリーの一意の ID 番号を生成する
-gオプションと類似しています。 -
nsUniqueIdGeneratorNamespace: エントリーの一意の名前ベースの ID を生成する、
-Gオプションと類似しています。
nsFilename
nsFilename 属性には、Directory Server インスタンスにインポートする LDIF ファイルのパスとファイル名が含まれます。複数のファイルをインポートするには、この属性のインスタンスを複数追加します。以下に例を示します。
nsFilename: file1.ldif nsFilename: file2.ldif
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 (複数値) |
| 例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
この属性は、userRoot、slapd-example などのファイルをインポートするデータベースインスタンスの名前を提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | Directory Server インスタンスデータベースの名前 (任意の文字列) |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsInstance: userRoot |
nsIncludeSuffix
この属性は、LDIF ファイルからインポートする特定の接尾辞またはサブツリーを識別します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
この属性は、インポートから除外する LDIF ファイルの接尾辞またはサブツリーを識別します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsImportChunkSize
この属性は、インポート操作中に保持するチャンクの数を定義し、インポート中にサーバーが検出した、新規パスを開始してチャンクをマージするタイミングの内容を上書きます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
| デフォルト値 | 0 |
| 構文 | 整数 |
| 例 | nsImportChunkSize: 10 |
nsImportIndexAttrs
この属性は、データベースインスタンスにインポートされる属性をデプロイするかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsImportIndexAttrs: true |
nsUniqueIdGenerator
これにより、インポートされたエントリーの一意の ID を生成するかどうかが設定されます。デフォルトでは、この属性は時間ベースの ID を生成します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | none (一意 ID なし) | empty (タイムベースの ID) | deterministic namespace (名前ベース ID) |
| デフォルト値 | 空 |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUniqueIdGenerator: |
nsUniqueIdGeneratorNamespace
この属性は、名前ベースの ID の生成方法を定義します。属性は、ID の生成に使用する名前空間を設定します。このオプションは、エントリーに同じ ID が必要な場合に同じ LDIF ファイルを 2 つの Directory Server インスタンスにインポートするのに便利です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUniqueIdGeneratorNamespace: example |
3.1.16.3. cn=export
タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成して、コマンドラインで 1 つまたは複数のデータベースをエクスポートできます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=export,cn=tasks,cn=config エントリーは、タスク操作をエクスポートするコンテナーです。これらのタスクはこのコンテナー内に保存され、cn=task_name,cn=export,cn=tasks,cn=config という名前が付けられます。
エクスポート操作の実行中に、タスクエントリーには、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載されているサーバー生成タスク属性がすべて含まれます。
エクスポートタスクは手動で作成するか、db2ldif.pl コマンドを使用します。以下の表は、db2ldif.pl コマンドラインオプションとそれに対応する属性を示しています。
db2ldif.pl オプション | タスクの属性 | 説明 |
|---|---|---|
|
|
| エクスポートされた LDIF ファイルへのパスを設定します。 |
|
|
| 有効な場合は、メインのデータベースファイルのみを使用します。 |
|
|
| 有効にすると、出力を複数のファイルに保存します。 |
|
|
| データベース名を設定します。 |
|
|
| シーケンス番号の出力を抑制できます。 |
|
|
| 設定されている場合は、エクスポートにはレプリカを初期化する属性が含まれます。 |
|
|
| エクスポートされたファイルに追加する接尾辞を設定します。 |
|
|
| 一意の ID をエクスポートしないようにします。 |
|
|
| 設定されている場合、長い行は折り返されません。 |
|
|
| エクスポートされたファイルで除外する接尾辞を設定します。 |
nsFilename
nsFilename 属性には、Directory Server インスタンスデータベースをエクスポートする LDIF ファイルのパスとファイル名が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 (複数値) |
| 例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
この属性は、userRoot や userRoot などのデータベースをエクスポートするデータベースインスタンスの名前を提供します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | Directory Server インスタンスの名前 (任意の文字列) |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 (複数値) |
| 例 | nsInstance: userRoot |
nsIncludeSuffix
この属性は、LDIF ファイルにエクスポートする特定の接尾辞またはサブツリーを識別します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
nsExcludeSuffix
この属性は、エクスポートした LDIF ファイルから除外するデータベースの接尾辞またはサブツリーを識別します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN、多値 |
| 例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsUseOneFile
この属性は、すべての Directory Server インスタンスを単一の LDIF ファイルまたは個別の LDIF ファイルのどちらにエクスポートするかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUseOneFile: true |
nsExportReplica
この属性は、エクスポートされたデータベースがレプリケーションで使用されるかどうかを特定します。レプリカの場合に、レプリカを自動的に初期化するエントリーに、適切な属性と設定が含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsExportReplica: true |
nsPrintKey
この属性は、エクスポートタスクでエントリーを処理する時にエントリー ID 番号を出力するかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsPrintKey: false |
nsUseId2Entry
nsUseId2Entry 属性は、メインのデータベースインデックス id2entry を使用してエクスポートされた LDIF エントリーを定義します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsUseId2Entry: true |
nsNoWrap
この属性は、LDIF ファイルで長い行を折り返すかどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | false |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsNoWrap: false |
nsDumpUniqId
この属性は、エクスポートされたエントリーの一意の ID がエクスポートされないように設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有効な値 | true | false |
| デフォルト値 | true |
| 構文 | 大文字と小文字を区別しない文字列 |
| 例 | nsDumpUniqId: true |
3.1.16.4. cn=backup
データベースをコマンドラインでバックアップするには、タスクのパラメーターを定義し、タスクを開始する特殊なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=backup エントリーは、バックアップタスク操作のコンテナーエントリーです。cn=backup エントリー自体には属性はありませんが、cn=task_ID、cn=backup、cn=tasks、cn=config など、このエントリー内にあるタスクエントリーごとに、以下の属性を使用してバックアップタスクを定義します。
cn=backup のバックアップタスクエントリーには、アーカイブコピーを取得するディレクトリーの場所 (nsArchiveDir 属性内) とバックアップするデータベースのタイプ (nsDatabaseType 属性) を含める必要があります。さらに、タスクを識別するために一意の cn を含める必要があります。以下に例を示します。
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
バックアップ操作が実行されると、タスクエントリーには、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載のサーバー生成タスク属性がすべて含まれます。
nsArchiveDir
この属性は、バックアップを書き込むディレクトリーの場所を指定します。
このバックアップディレクトリーは、通常 nsslapd-bakdir 属性で設定されたディレクトリーと同じである必要があります。
この属性が cn=backup タスクに含まれていないと、タスクは LDAP オブジェクトクラス違反エラー (65) で失敗します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有効な値 | ローカルディレクトリーの場所 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsArchiveDir: /export/backups |
nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有効な値 | ldbm データベース |
| デフォルト値 | ldbm データベース |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsDatabaseType: ldbm database |
3.1.16.5. cn=restore
データベースをコマンドラインで復元するには、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=restore エントリーは、データベースを復元するタスク操作のコンテナーエントリーです。cn=restore エントリー自体には属性はありませんが、cn=task_ID、cn=restore、cn=tasks、cn=config など、このエントリー内にあるタスクエントリーごろに、以下の属性を使用して復元タスクを定義します。
cn=restore の復元タスクエントリーには、アーカイブコピーを取得するディレクトリーの場所 (nsArchiveDir 属性内) と復元するデータベースのタイプ (nsDatabaseType 属性) を含める必要があります。さらに、タスクを識別するために一意の cn を含める必要があります。以下に例を示します。
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
復元操作が実行されると、タスクエントリーには、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載のサーバー生成タスク属性がすべて含まれます。
nsArchiveDir
この属性は、バックアップを書き込むディレクトリーの場所を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有効な値 | ローカルディレクトリーの場所 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsArchiveDir: /export/backups |
nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有効な値 | ldbm データベース |
| デフォルト値 | ldbm データベース |
| 構文 | 大文字と小文字を区別する文字列 |
| 例 | nsDatabaseType: ldbm database |
3.1.16.6. cn=index
ディレクトリー属性は、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成することで、コマンドラインでインデックスを作成できます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=index エントリーは、インデックスタスク操作のコンテナーエントリーです。cn=index エントリー自体には属性はありませんが、cn=task_ID、cn=index、cn=tasks、cn=config などのこのエントリー内にあるタスクエントリーごとに、以下の属性を使用してバックアップタスクを定義します。
cn=index の下のインデックスタスクエントリーは、nsIndexAttribute 属性に定義された、インデックスを作成する属性および作成するインデックスのタイプを識別することにより、標準のインデックスを作成できます。
または、インデックスタスクを使用して、nsIndexVLVAttribute 属性で、属性の仮想リストビュー (VLV) インデックスを生成できます。これは vlvindex スクリプトの実行と同じです。
以下に例を示します。
dn: cn=example presence index,cn=index,cn=tasks,cn=config objectclass: top objectclass: extensibleObject cn: example presence index nsInstance: userRoot nsIndexAttribute: cn:pres dn: cn=example VLV index,cn=index,cn=tasks,cn=config objectclass: extensibleObject cn: example VLV index nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"
インデックス操作が実行されると、タスクエントリーには、「cn=tasks の下にあるエントリーのタスク呼び出し属性」 に記載のサーバー生成タスク属性がすべて含まれます。
nsIndexAttribute
この属性は、インデックスする属性の名前と、適用するインデックスのタイプを示します。属性値の形式は、属性名と、二重引用符で囲まれたインデックスタイプのコンマ区切りリストです。以下に例を示します。
nsIndexAttribute: attribute:index1,index2| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有効な値 | * すべての属性
* インデックスタイプ、 |
| デフォルト値 | |
| 構文 | 大文字と小文字を区別しない文字列、多値 |
| 例 | * nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub |
nsIndexVLVAttribute
この属性は、VLV インデックスのターゲットエントリーの名前を指定します。仮想リストビューは、(Administration Guideで説明されているように) 参照インデックスエントリーに基づいており、仮想リストベース DN、スコープ、およびフィルターを定義します。nsIndexVLVAttribute 値は参照インデックスエントリーで、VLV 作成タスクは参照インデックスエントリーパラメーターに基づいて実行されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有効な値 | VLV エントリー定義のサブエントリーの RDN |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsIndexVLVAttribute: "参照先のインデックスソート識別子" |
3.1.16.7. cn=schema リロードタスク
ディレクトリースキーマは、ディレクトリーインスタンスの起動または再起動時に読み込まれます。カスタムスキーマ要素の追加を含むディレクトリースキーマへの変更は、サーバーが再起動するか、スキーマリロードタスクを開始するまで、自動的に読み込まれず、インスタンスで利用できます。
Directory Server インスタンスを再起動せずに、カスタムスキーマの変更を動的にリロードできます。これは、cn=tasks エントリーの下に新しいタスクエントリーを作成してスキーマの再読み込みタスクを開始することによって行われます。
カスタムスキーマファイルは任意のディレクトリーに配置できます。schemadir 属性で指定されていない場合には、サーバーはデフォルトの /etc/dirsrv/slapd-instance/schema ディレクトリーからスキーマを再読み込みします。
別のディレクトリーからロードされたスキーマをスキーマディレクトリーにコピーする必要があります。そうしないと、サーバーでスキーマが失われます。
schemd リロードタスクは、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成して、コマンドラインから開始されます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。以下に例を示します。
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
cn=schema reload task エントリーは、スキーマリロード操作のコンテナーエントリーです。cn=schema リロードタスク エントリー自体には属性はありませんが、cn=task_ID, cn=schema reload task, cn=tasks, cn=config など、このエントリー内にあるタスクエントリーごとに、スキーマリロード属性を使用して個別のリロードタスクを定義します。
cn
cn 属性は、開始する新しいタスク操作を特定します。cn 属性の値は、新しいタスクを定義する限りすべて使用できます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有効な値 | 任意の文字列 |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | cn: リロードタスク ID の例 |
schemadir
これには、カスタムスキーマファイルを含むディレクトリーへの完全パスが含まれます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有効な値 | 任意のローカルディレクトリーパス。 |
| デフォルト値 | /etc/dirsrv/schema |
| 構文 | DirectoryString |
| 例 | schemadir: /export/schema/ |
3.1.16.8. cn=memberof task
memberOf 属性は、Directory Server で自動的に作成して管理され、メンバーのユーザーエントリーにグループメンバーシップを表示します。グループエントリーの member 属性を変更すると、すべてのメンバーに関連付けられたディレクトリーエントリーが、対応する memberOf 属性で自動的に更新されます。
cn=memberof task (および関連する fixup-memberof.pl スクリプト) を使用して、ディレクトリー内のメンバーのユーザーエントリーに最初の memberOf 属性を作成します。memberOf 属性の作成後に、MemberOf プラグインは memberOf 属性を自動的に管理します。
memberOf 更新タスクには、更新タスクを実行するエントリーまたはサブツリーの DN (basedn 属性に設定) を指定する必要があります。必要に応じて、タスクにフィルターを追加して、更新するメンバーのユーザーエントリーを特定できます (filter 属性に設定)。以下に例を示します。
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=memberof task エントリーは、memberOf 更新操作のコンテナーエントリーです。cn=memberof task エントリー自体には属性はありませんが、cn=task_ID、cn=memberof task、cn=tasks、cn=config など、このエントリーのタスクエントリーごとに、その属性を使用して個別の更新タスクを定義します。
basedn
この属性は、memberOf 属性を更新するユーザーエントリーの検索に使用するベース DN を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | |
| 構文 | DN |
| 例 | basedn: ou=people,dc=example,dc=com |
filter
この属性は、memberOf 属性を更新するユーザーエントリーの選択に使用するオプションの LDAP フィルターを提供します。グループの各メンバーには、ディレクトリーに対応するユーザーエントリーがあります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | (objectclass=*) |
| 構文 | DirectoryString |
| 例 | filter: (l=Sunnyvale) |
3.1.16.9. cn=fixup リンクされた属性
Directory Server にはリンク属性プラグインがあり、エントリーに設定されている属性で、自動的に別のエントリー内の別の属性を更新できます。どちらのエントリーにも、値の DN があります。最初のエントリーの DN 値は、更新するプラグインのエントリーを参照し、2 番目のエントリーの属性には、最初のエントリーへの DN バックポイントが含まれます。
これは、MemberOf プラグインがグループエントリーの member 属性を使用してユーザーエントリーの memberOf 属性を設定する方法と似ています。リンク属性を使用すると、すべての属性をリンクとして定義し、影響を受けるエントリーで別の属性が管理されます。
cn=fixup linked attributes (および関連する fixup-linkedattrs.pl スクリプト) は、リンクプラグインインスタンスが作成されると、データベースにすでに存在しているリンク属性に基づいて、管理属性を作成します。リンクおよび管理属性の設定後には、リンク属性プラグインは、ユーザーによりリンク属性が変更されると、マネージドの属性を動的に管理します。
リンク属性の更新タスクは、更新するリンク属性プラグインインスタンスはどれかを指定できます。これは linkdn 属性に設定されます (任意)。この属性がタスクエントリーに設定されていない場合は、設定されたリンク属性がすべて更新されます。
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=fixup linked attributes エントリーは、リンク属性更新操作のコンテナーエントリーです。cn=fixup リンク属性エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID、cn=fixup linked attributes、cn=tasks、cn=config など、このエントリーの配下にあるタスクエントリーごとに属性を使用して個別の更新タスクを定義します。
linkdn
リンク属性と管理属性のペアは、リンク属性プラグインインスタンスで設定されます。linkdn 属性は、プラグインインスタンス DN を指定して、エントリーの更新に使用される特定のリンク属性プラグインを設定します。以下に例を示します。
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
プラグインインスタンスを指定しないと、リンクされているすべての属性が更新されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
| 有効な値 | DN(リンク属性プラグインのインスタンス) |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
3.1.16.10. cn=syntax validate
構文の検証では、属性への変更をすべてチェックし、新しい値に、その属性タイプに必要な構文が含まれていることを確認します。属性構文は RFC 4514 の定義に対して検証されます。
構文検証はデフォルトで有効になっています。ただし、構文の検証では、属性の追加や変更時など、属性値への変更のみが監査されます。既存 の属性値の構文は検証されません。
既存の構文の検証は、構文検証タスクを使用して実行できます。このタスクは、(basedn 属性内の) 指定のサブツリーでエントリーをチェックし、任意で、指定されたフィルターに一致するエントリー (filter 属性) のみを確認します。
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
構文検証が無効であるか、サーバーを移行する場合は、属性構文の要件に準拠しないサーバーにデータが存在する可能性があります。構文検証タスクを実行して、構文の検証を有効にする前に既存の属性値を評価できます。
cn=syntax validate エントリーは、構文検証操作のコンテナーエントリーです。cn=syntax validate エントリー自体には、タスクに固有の属性はありません。cn=task_ID, cn=syntax validate, cn=tasks, cn=config など、このエントリーにあるタスクエントリーごとに、その属性を使用して個別の更新タスクを定義します。
basedn
構文検証タスクを実行するサブツリーを指定します。以下に例を示します。
basedn: ou=people,dc=example,dc=com
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有効な値 | 任意の DN |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | basedn: dc=example,dc=com |
filter
構文検証タスクを実行する指定の basedn の下の特定のエントリーを識別するために使用できるオプションの LDAP フィルターが含まれます。この属性がタスクに設定されていない場合は、basedn 内のすべてのエントリーが監査されます。以下に例を示します。
filter: "(objectclass=person)"
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | "(objectclass=*)" |
| 構文 | DirectoryString |
| 例 | filter: "(objectclass=*)" |
3.1.16.11. cn=USN 破棄クリーンアップタスク
USN プラグインが有効な場合は、追加または変更などのディレクトリーの書き込み操作がそのエントリーで発生するたびに、すべてのエントリーで シーケンス番号 (USN) が設定されます。これは entryUSN 操作属性に反映されます。この USN は、エントリーが削除され、tombstone エントリーは Directory Server インスタンスによって管理されます。
cn=USN tombstone cleanup task (および関連の usn-tombstone-cleanup.pl スクリプト) は、バックエンドデータベース (バックエンド 属性) または接尾辞 (接尾辞 属性) に従って、インスタンスが維持する tombstone エントリーを削除します。必要に応じて、削除する USN の最大値 (max_usn_to_delete 属性) を指定して tombstone エントリーのサブセットのみを削除できるので、最新の tombstone エントリーを保持します。
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
このタスクは、レプリケーションが有効で ない 場合にのみ起動できます。レプリケーションは独自の tombstone ストアを維持し、これらの tombstone エントリーは USN プラグインで削除できないので、レプリケーションプロセスで維持する必要があります。したがって、Directory Server は、レプリケートされたデータベースのクリーンアップタスクを実行できないようにします。
レプリケートされたバックエンドに対して、このタスクエントリーを作成しようとすると、以下のエラーがコマンドラインで返されます。
ldap_add: DSA is unwilling to perform
エラーログには、接尾辞にレプリケートされているため tombstone を削除できないという明示的なメッセージが追加されます。
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=USN tombstone cleanup task エントリーは、すべての USN tombstone delete 操作のコンテナーエントリーです。cn=USN tombstone cleanup タスク エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID、cn=USN tombstone cleanup task、cn=tasks、cn=config など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
バックエンド
これにより、Directory Server インスタンスのバックエンドまたはデータベースにクリーンアップ操作を実行できます。バックエンドが指定されていない場合は、接尾辞を指定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | データベース名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | backend: userroot |
max_usn_to_delete
これにより、tombstone エントリーを削除する際に削除される USN の最大値が指定されます。この数字を含む tombstone エントリーはすべて削除されます。USN 値が大きい tombstone エントリー (つまり、最新のエントリー) は削除されません。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | 任意の整数 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | max_usn_to_delete: 500 |
接尾辞
これにより、Directory Server の接尾辞またはサブツリーに、クリーンアップ操作を実行できます。接尾辞が指定されていない場合は、バックエンドを指定する必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有効な値 | サブツリー DN |
| デフォルト値 | なし |
| 構文 | DN |
| 例 | suffix: dc=example,dc=com |
3.1.16.12. cn=cleanallruv
レプリケーショントポロジーに関する情報、つまり、相互に、および同じレプリケーショングループ内の他のレプリカに更新を提供するすべてのサプライヤーは、レプリカ更新ベクトル (RUV) と呼ばれるメタデータのセットに含まれています。RUV には、ID と URL、ローカルサーバー上で加えた最新の変更状態番号、最初の変更の CSN などのサプライヤーに関する情報が含まれています。サプライヤーとコンシューマーはいずれも RUV 情報を保存し、これを使用してレプリケーションの更新を制御します。
あるサプライヤーがレプリケーショントポロジーから削除されると、別のレプリカの RUV に残っている場合があります。他のレプリカが再起動すると、レプリケーションプラグインが (削除された) サプライヤーを認識しないエラーをログに記録します。
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not
contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000]
which is present in RUV [database RUV]
......
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica
dc=example,dc=com there were some differences between the changelog max RUV and the database RUV. If
there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task. If they
are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.サプライヤーがトポロジーから永久に削除されると、そのサプライヤーに関する残存するメタデータは、他のすべてのサプライヤーの RUV エントリーから消去されるはずです。
cn=cleanallruv タスクは、レプリケーショントポロジー内のすべてのサーバーを介して伝播し、欠落しているサプライヤーや、古くなったサプライヤーに関連付けられた、指定の RUV エントリーを削除します。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=cleanallruv エントリーは、すべてのクリーン RUV 操作のコンテナーエントリーです。cn=cleanallruv エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID、cn=cleanallruv、cn=tasks、cn=config など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
各クリーン RUV タスクは、削除するレプリカ RUV エントリーのレプリカ ID 番号、レプリケートされたデータベースのベース DN、および RUV データを削除する前に、欠落しているサプライヤーから残りの更新を適用する必要があるかどうかを指定する必要があります。
dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-force-cleaning: no cn: clean 55
replica-base-dn
これにより、複製されたデータベースに関連付けられた Directory Server ベース DN が提供されます。これは、複製された接尾辞のベース DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-base-dn: dc=example,dc=com |
replica-id
これにより、レプリカトポロジーから 削除される レプリカのレプリカ ID(レプリカ設定エントリーの nsDS5ReplicaId 属性で定義されている) が指定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | 0 から 65534 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | replica-id: 55 |
replica-force-cleaning
これにより、削除するレプリカから未処理の更新を適用する (no) か、clean RUV 操作を強制的に実行し、残りの更新を破棄する (yes) かどうかを設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有効な値 | no | yes |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-force-cleaning: no |
3.1.16.13. cn=abort cleanallruv
「cn=cleanallruv」 タスクの所要時間として、このタスクですべての更新を初めて処理する場合には、レプリケーショントポロジー内のすべてのサーバー間で伝播するのに数分かかる場合があります。パフォーマンスやその他のメンテナンスに関する考慮事項は、clean RUV タスクを終了し、その終了もレプリケーショントポロジー内のすべてのサーバーに伝播されます。
終了タスクは、cn=abort cleanallruv エントリーのインスタンスです。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=abort cleanallruv エントリーは、すべてのクリーン RUV 操作のコンテナーエントリーです。cn=abort cleanallruv エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID、cn=abort cleanallruv、cn=tasks、cn=config など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
各クリーン RUV タスクは、現在削除されている へのレプリカ RUV エントリーのレプリカ ID 番号、レプリケートされたデータベースのベース DN、およびターミネイトタスクがトポロジー内のすべてのサーバーで完了したときに完了するか、ローカルのみで完了するかを指定する必要があります。
dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-certify-all: yes cn: abort 55
replica-base-dn
これにより、複製されたデータベースに関連付けられた Directory Server ベース DN が提供されます。これは、複製された接尾辞のベース DN です。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-base-dn: dc=example,dc=com |
replica-id
これにより、レプリカトポロジーから 削除中の レプリカのレプリカ ID(レプリカ設定エントリーの nsDS5ReplicaId 属性で定義されている) が指定されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | 0 から 65534 |
| デフォルト値 | なし |
| 構文 | 整数 |
| 例 | replica-id: 55 |
replica-certify-all
これにより、タスクをローカルで完了する前にレプリケーショントポロジー内のすべてのサーバーでタスクを正常に完了するか (yes)、ローカルで完了するとすぐにタスクを完了として表示するか (no) を設定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有効な値 | no | yes |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | replica-certify-all: yes |
3.1.16.14. cn=automember rebuild membership
Auto Member プラグインは、新規エントリーがディレクトリーに追加された場合にのみ実行されます。このプラグインは、automembership ルールに一致するように編集された既存のエントリーを無視します。
cn=automember rebuild membership タスクは、既存 のエントリーに対して現在の automembership ルールを実行して、グループメンバーシップを更新または再構築します。設定された automembership ルールはすべて、特定されたエントリーに対して実行されます (すべてのルールが特定のエントリーに適用されるわけではありません)。
basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。その後、指定した DN のエントリーが automembership ルールに従って更新されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | basedn: dc=example,dc=com |
filter
この属性は、設定された automembership ルールに従って更新するユーザーエントリーの特定に使用する LDAP フィルターを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | filter: (uid=*) |
scope
この属性は、指定のベース DN の検索時に使用する LDAP 検索範囲を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有効な値 | sub | base | one |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | scope: sub |
3.1.16.15. cn=automember export updates
このタスクが、ディレクトリー内の 既存のエントリー に対して実行し、ルールに基づいてユーザーの追加結果をエクスポートします。これは、既存のルールをテストして、実際のデプロイメントの実行方法を確認するのに役立ちます。
automembership 関連の変更は実行 されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。automembership ルールのテスト実行は、特定されたエントリーに対して実行されます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | basedn: dc=example,dc=com |
filter
この属性は、automembership ルールをテストするユーザーエントリーの識別に使用する LDAP フィルターを指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | 任意の LDAP フィルター |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | filter: (uid=*) |
scope
この属性は、指定のベース DN の検索時に使用する LDAP 検索範囲を指定します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | sub | base | one |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | scope: sub |
ldif
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif: /tmp/automember-results.ldif |
3.1.16.16. cn=automember map updates
このタスクは、LDIF ファイル内 (新しいエントリー、または場合によってはテストエントリー内) でエントリーに対して実行され、提案された変更を LDIF ファイルに書き込みます。これは、(実際の) 新規または既存のユーザーエントリーに適用する前に、新しいルールをテストする場合に非常に役立ちます。
automembership 関連の変更は実行 されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
ldif_in
この属性は、設定された automembership ルールでテストするエントリーのインポート元の LDIF ファイルの完全パスおよびファイル名を設定します。これらのエントリーはディレクトリーにインポートされず、変更は実行されません。エントリーは、テスト実行でのみ読み込まれ、使用されます。
このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif_in: /tmp/automember-test-users.ldif |
ldif_out
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有効な値 | ローカルパスおよびファイル名 |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | ldif_out: /tmp/automember-results.ldif |
3.1.16.17. cn=des2aes
このタスクは、古い DES 暗号を使用してエンコードされた、指定のユーザーデータベースにある可逆パスワードエントリーをすべて検索し、それらをより安全な AES 暗号に変換します。
以前は、このタスクは、Directory Server の起動中にすべての接尾時に対して自動的に実行されていました。ただし、DES パスワードの検索は通常、インデックスが作成されていないため、大量のエントリーを含む接尾辞に対して実行するのに非常に時間がかかる可能性があり、その結果、Directory Server がタイムアウトして起動に失敗しました。このため、検索は cn=config でのみ実行されますが、他のデータベースでパスワードを変換するには、このタスクを手動で実行する必要があります。
接尾辞
この複数値属性は、DES パスワードを確認し、AES に変換する接尾辞を指定します。この属性を省略すると、すべてのバックエンド/接尾辞がチェックされます。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
| 有効な値 | ディレクトリーの接尾辞 DN |
| デフォルト値 | なし |
| 構文 | DirectoryString |
| 例 | suffix: dc=example,dc=com |
3.1.17. cn=uniqueid ジェネレーター
一意の ID ジェネレーター設定属性は、cn=uniqueid generator,cn=config の下に保管されます。cn=uniqueid generator エントリーは、extensibleObject オブジェクトクラスのインスタンスです。
nsstate
この属性は、サーバーの再起動後も一意の ID ジェネレーターの状態を保存します。この属性はサーバーによって維持されます。これは編集しないでください。
| パラメーター | 説明 |
|---|---|
| エントリー DN | cn=uniqueid generator,cn=config |
| 有効な値 | |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAAAA |
3.1.18. Root DSE 設定パラメーター
3.1.18.1. nsslapd-return-default-opattr
Directory Server では、Root DSE 検索で操作属性は表示されません。たとえば、-s base -b "" パラメーターを指定して ldapsearch ユーティリティーを実行している場合には、ユーザー属性のみが表示されます。Root DSE 検索出力で動作属性を想定しているクライアントの場合は、この動作を有効にして後方互換性を確保できます。
- Directory Server インスタンスを停止します。
/etc/dirsrv/slapd-instance_name/dse.ldifファイルを編集し、以下のパラメーターをdn:セクションに追加します。nsslapd-return-default-opattr: supportedsaslmechanisms nsslapd-return-default-opattr: nsBackendSuffix nsslapd-return-default-opattr: subschemasubentry nsslapd-return-default-opattr: supportedldapversion nsslapd-return-default-opattr: supportedcontrol nsslapd-return-default-opattr: ref nsslapd-return-default-opattr: vendorname nsslapd-return-default-opattr: vendorVersion nsslapd-return-default-opattr: supportedextension nsslapd-return-default-opattr: namingcontexts
- Directory Server インスタンスを開始します。
| パラメーター | 説明 |
|---|---|
| エントリー DN | Root DSE |
| 有効な値 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorname | vendorVersion |
| デフォルト値 | |
| 構文 | DirectoryString |
| 例 | nsslapd-return-default-opattr: supportedsaslmechanisms |
