設定およびスキーマ参照
コアサーバー設定の属性とサーバースキーマのリファレンス
概要
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに対するご意見をお聞かせください。ドキュメントの改善点があればお知らせください。これを行うには、以下を行います。
Jira からのフィードバック送信 (アカウントが必要)
- Jira の Web サイトにログインします。
- 上部のナビゲーションバーで Create をクリックします。
- Summary フィールドにわかりやすいタイトルを入力します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- ダイアログの下部にある Create をクリックします。
Bugzilla からのフィードバック送信 (アカウントが必要)
- Bugzilla の Web サイトに移動します。
- Component として Documentation を使用します。
- Description フィールドに、ドキュメントの改善に向けたご提案を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- Submit Bug をクリックします。
第1章 ファイルの場所の概要
Red Hat Directory Server は、ファイルシステム階層標準 (FHS) と互換性があります。FHS の詳細は、FHS Specification を参照してください。
1.1. Directory Server インスタンスに依存しないファイルおよびディレクトリー
Directory Server のインスタンスに依存しないデフォルトのファイルおよびディレクトリーの場所は次のとおりです。
型 | 場所 |
---|---|
コマンドラインユーティリティー |
|
systemd ユニットファイル |
|
自己署名認証局 |
|
1.2. Directory Server インスタンス固有のファイルおよびディレクトリー
同じホストで実行されている複数のインスタンスを分離するには、特定のファイルおよびディレクトリーにはインスタンスの名前が含まれます。Directory Server のセットアップ中にインスタンス名を設定します。デフォルトでは、これはドメイン名のないホスト名です。たとえば、完全修飾ドメイン名が server.example.com
の場合、デフォルトのインスタンス名は server
になります。
Directory Server のインスタンスに依存しないデフォルトのファイルおよびディレクトリーの場所は次のとおりです。
型 | 場所 |
---|---|
バックアップファイル |
|
設定ファイル |
|
証明書および鍵のデータベース |
|
データベースファイル |
|
LDIF ファイル |
|
ロックファイル |
|
ログファイル |
|
PID ファイル |
|
systemd ユニットファイル |
|
1.2.1. 設定ファイル
各 Directory Server インスタンスは、設定ファイルを /etc/dirsrv/slapd-instance_name_/
ディレクトリーに保存します。
Red Hat Directory Server の設定情報は、そのディレクトリー内に LDAP エントリーとして保存されます。したがって、サーバー設定の変更は、設定ファイルを編集するのではなく、サーバーを介して行う必要があります。設定ストレージの主な利点は、ディレクトリー管理者がサーバーの実行中に LDAP を使用してサーバーを再設定できることです。これにより、ほとんどの設定変更のためにサーバーをシャットダウンする必要がなくなります。
1.2.2. Directory Server 設定の概要
Directory Server をセットアップすると、サーバーは、cn=config
サブツリーのディレクトリー内にある一連の LDAP エントリーとしてデフォルト設定を保存します。サーバーを起動すると、サーバーは LDIF 形式の dse.ldif
ファイルから cn=config
サブツリーの内容を読み取ります。dse.ldif
ファイルにはすべてのサーバー設定情報が含まれ、次の名前が付けられます。
-
dse.ldif
。このファイルの最新バージョン。 -
dse.ldif.bak
。最終変更前のバージョン。 -
dse.ldif.startOK
。サーバーが正常に起動した最新のファイル。
Directory Server の大部分の機能は、コアサーバーに接続するための個別モジュールとして設計されています。各プラグインの内部設定の詳細は、cn=plugins,cn=config
サブツリー配下の個別のエントリーに含まれます。たとえば、Telephone Syntax プラグインの設定は、cn=Telephone Syntax,cn=plugins,cn=config
に含まれています。
同様に、データベース固有の設定は、cn=ldbm database,cn=plugins,cn=config
(ローカルデータベースの場合) および cn=chaining database,cn=plugins,cn=config
(データベースリンクの場合) に保存されます。
次の図は、設定データが cn=config
ディレクトリーツリーの下でどこに配置されるかを示しています。
図1.1 設定データのサブツリー
値 dc\3Dexample\2Cdc\3Dcom
は、エスケープ文字を含む DN dc=example,dc=com
を表します。
1.2.2.1. LDIF およびスキーマ設定ファイル
Directory Server は、設定データを /etc/dirsrv/slapd-instance_name
ディレクトリーの LDIF ファイルに保存します。サーバー名が phonebook
の場合、Directory Server では、設定 LDIF ファイルはすべて /etc/dirsrv/slapd-phonebook
の下に保存されます。
このディレクトリーには、他のサーバーインスタンス固有の設定ファイルも含まれます。
スキーマ設定も、次のディレクトリーに LDIF 形式で保存されます。
-
/etc/dirsrv/instance_name/schema/
(インスタンス固有のスキーマ)。 -
/usr/share/dirsrv/schema/
(デフォルトのスキーマ)。 -
/etc/dirsrv/schema/
(デフォルトのスキーマをオーバーライドするスキーマ)。
以前は、スキーマ設定ファイルは /etc/dirsrv/schema
ディレクトリーにのみ保存されていました。
以下の表は、Directory Server で提供される設定ファイルのリストです。その設定ファイルには、互換性のあるサーバーのスキーマも含まれます。各ファイルの前には、ロードする順序を示す番号が付いています (数値の昇順、次にアルファベットの昇順)。
表1.1 Directory Server LDIF 設定ファイル
設定ファイル名 | 目的 |
---|---|
dse.ldif |
サーバーの起動時にディレクトリーによって作成されたフロントエンドのディレクトリー固有のエントリー (DSE) が含まれます。このエントリーには、Root DSE ( |
00core.ldif |
最小限の機能セット (ユーザースキーマなし、コア以外の機能のスキーマなし) でサーバーを起動するために必要なスキーマ定義 (
ユーザー、機能、およびアプリケーションによって使用されるその他のスキーマは、 |
02common.ldif |
このファイルを変更すると、相互運用性の問題が発生します。ユーザー定義の属性は、Directory Server Web コンソールから追加する必要があります。。 |
05rfc2247.ldif | RFC 2247 のスキーマ (Using Domains in LDAP/X500 Distinguished Names) および関連パイロットスキーマ。 |
05rfc2927.ldif |
RFC 2927 のスキーマ (MIME Directory Profile for LDAP Schema)。 |
06inetorgperson.ldif |
|
10presence.ldif | レガシー。インスタントメッセージングのプレゼンス (オンライン) 情報のスキーマ。このファイルには、ユーザーがインスタントメッセージングのプレゼンス情報を利用できるようにするためにユーザーのエントリーに追加する必要のある、許可された属性を持つデフォルトのオブジェクトクラスがリスト表示されます。 |
10rfc2307.ldif | RFC 2307 のスキーマ (An Approach for Using LDAP as a Network Information Service)。
|
20subscriber.ldif |
新しいスキーマ要素と Nortel サブスクライバーの相互運用性仕様が含まれています。以前は |
25java-object.ldif | RFC 2713 のスキーマ (Schema for Representing Java® Objects in an LDAP Directory)。 |
28pilot.ldif |
RFC 1274 のパイロットディレクトリースキーマが含まれていますが、これは新しいデプロイメントには推奨されなくなりました。RFC 1274 の後継となる将来の RFC では、 |
30ns-common.ldif | Directory Server Web コンソールフレームワークに共通のオブジェクトクラスと属性を含むスキーマ。 |
50ns-admin.ldif | Red Hat 管理サーバーによって使用されるスキーマ。 |
50ns-certificate.ldif | Red Hat Certificate Management System のスキーマ。 |
50ns-directory.ldif | Directory Server 4.12 以前のバージョンのディレクトリーで使用される追加の設定スキーマが含まれていますが、これは Directory Server の現在のリリースには適用されなくなりました。このスキーマは、Directory Server 4.12 と現在のリリース間のレプリケーションに必要です。 |
50ns-mail.ldif | メールサーバーがメールユーザーおよびメールグループを定義するのに Netscape Messaging Server が使用するスキーマ。 |
50ns-value.ldif | サーバーの値のアイテム属性のスキーマ。 |
50ns-web.ldif | Netscape Web Server のスキーマ。 |
60pam-plugin.ldif | 将来の使用のために予約されています。 |
99user.ldif | Directory Server レプリケーションコンシューマーが維持するユーザー定義のスキーマ。このスキーマには、サプライヤーからの属性とオブジェクトクラスが含まれています。 |
1.2.2.2. dse.ldif
サーバー設定ファイル
dse.ldif
ファイルには、サーバーの起動時にディレクトリーが作成するディレクトリー固有のエントリー (DSE) (データベースに関連するエントリーなど) を含むすべての設定情報が含まれます。このファイルには、root Directory Server エントリー (または ""
で指定された Root DSE) と cn=config
サブツリーの内容が含まれます。
サーバーは、dse.ldif
ファイルを生成すると、cn=config
の下のディレクトリーに表示される順序でエントリーをリスト表示します。この順序は通常、ベース cn=config
のサブツリースコープの LDAP 検索でエントリーが返される順序と同じです。
dse.ldif
ファイルには cn=monitor
エントリーも含まれています。このエントリーは主に読み取り専用ですが、ACI を設定できます。
dse.ldif
ファイルには、cn=config
エントリーのすべての属性は含まれません。管理者が属性を設定せず、デフォルト値が設定されている場合、サーバーはこの属性を dse.ldif
ファイルに書き込みません。cn=config
エントリー内のすべての属性を表示するには、ldapsearch
ユーティリティーを使用します。
設定属性
`cn=config" などの各設定エントリーには、このエントリーに設定された属性と値のペアが含まれています。
dse.ldif
ファイルの次のサンプル部分は、nsslapd-schemacheck
属性を on
に設定することで、スキーマチェックが有効になったことを示しています。
dn: cn=config
objectclass: top
objectclass: extensibleObject
objectclass: nsslapdConfig
nsslapd-accesslog-logging-enabled: on
nsslapd-enquote-sup-oc: off
nsslapd-localhost: phonebook.example.com
nsslapd-schemacheck: on
nsslapd-port: 389
nsslapd-localuser: dirsrv
...
プラグイン機能の設定
Directory Server プラグイン機能の各設定には、独自のエントリーと、サブツリー cn=plugins,cn=config
下の属性セットがあります。
次の例は、Telephone Syntax プラグインの設定例を示しています。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
プラグイン設定には、すべてのプラグインに共通の属性と、当該プラグインに固有の属性が含まれます。Directory Server が現在使用している属性を確認するには、cn=config
サブツリーで ldapsearch
コマンドを実行します。
サポートされているプラグインとその設定情報の詳細は、プラグイン実装サーバー機能リファレンス を参照してください。
データベースの設定
cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
サブツリーには、セットアップ中に Directory Server が作成するデフォルトの接尾辞を含むデータベースの設定データが含まれます。
cn=UserRoot
サブツリーとその子には、キャッシュサイズ、インデックスファイルおよびトランザクションログへのパス、監視および統計情報のためのエントリーおよび属性、ならびにデータベースインデックスなど、さまざまなデータベース設定に使用される多くの属性があります。
インデックスの設定
インデックス設定情報は、Directory Server のエントリーとして以下のサブディレクトリーに保存されます。
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config
-
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
インデックスに関する一般的な情報については、インデックスの管理 のドキュメントを参照してください。
インデックス設定属性の詳細は、cn=config,cn=ldbm database,cn=plugins,cn=config
下のデータベース属性 を参照してください。
1.2.3. データベースファイル
各 Directory Server インスタンスには、すべてのデータベースファイルを保存する /var/lib/dirsrv/slapd-instance/db
ディレクトリーが含まれます。/var/lib/dirsrv/slapd-instance/db
ディレクトリーの内容のサンプルを以下に示します。
データベースディレクトリーの内容
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/
-
db.00x
ファイル。データベースが内部的に使用します。これらのファイルはいかなる方法でも移動、削除、または変更しないでください。 -
log.xxxxxxxxxx
ファイル。データベースごとのトランザクションログを保存するために使用します。 -
DBVERSION
。データベースのバージョンを保存するために使用します。 -
userRoot
。セットアップ時に作成されるユーザー定義の接尾辞 (ユーザー定義のデータベース) を保存します。たとえば、dc=example,dc=com
を保存します。
ディレクトリーツリーを新しい接尾辞で保存する新規データベース (例: testRoot
) を作成すると、testRoot
という名前のディレクトリーも /var/lib/dirsrv/slapd-instance/db
ディレクトリーに表示されます。
以下は、userRoot
ディレクトリーの内容の例です。
userroot
データベースディレクトリーの内容
ancestorid.db DBVERSION entryrdn.db id2entry.db nsuniqueid.db numsubordinates.db objectclass.db parentid.db
userroot
サブディレクトリーには以下のファイルが含まれます。
-
ancestorid.db
。エントリーの先祖の ID を検索する ID のリストが含まれます。 -
entrydn.db
。ID を検索する完全な DN のリストが含まれます。 -
id2entry.db
。実際のディレクトリーデータベースエントリーが含まれます。他のすべてのデータベースファイルは、必要に応じてこのデータベースファイルから再作成できます。 -
nsuniqueid.db
。ID を検索する一意の ID のリストが含まれます。 -
numsubordinates.db
。子エントリーを持つ ID が含まれます。 -
objectclass.db
。特定のオブジェクトクラスを持つ ID のリストが含まれます。 -
parentid.db
。親の ID を検索する ID のリストが含まれます。
1.3. LDIF ファイル
Directory Server は、LDIF 関連ファイルを /usr/share/dirsrv/data/
ディレクトリーに保存します。
LDIF ディレクトリーの内容
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
この例には次のファイルが含まれています。
-
European.ldif
。ヨーロッパの文字の例が含まれます。 -
Example.ldif
。LDIF ファイルの例です。 -
Example-roles.ldif
。Example.ldif
と同様の LDIF ファイルの例です。ただし、ディレクトリー管理者にアクセス制御およびリソース制限を設定するグループの代わりに、サービスのロールとクラスを使用する点が異なります。
インスタンスディレクトリーの db2ldif
スクリプトまたは db2ldif
.pl スクリプトがエクスポートした LDIF ファイルは、/var/lib/dirsrv/slapd-instance_name/ldif
に保存されます。
1.4. ロックファイル
各 Directory Server インスタンスには、ロック関連のファイルを保存する /var/lock/dirsrv/slapd-instance_name/
ディレクトリーが含まれます。
以下は、locks ディレクトリーの内容の例です。
Lock ディレクトリーの内容
exports/ imports/ server/
ロックメカニズムは、1 度に実行できる Directory Server プロセスのコピーの数を制御します。
-
サーバーがインポートを実行すると、
imports/
ディレクトリーにロックが設定され、他のns-slapd
(通常)、ldif2db
(他のインポート)、またはdb2ldif
(エクスポート) の操作が実行されないようにします。 -
サーバーが通常どおり実行されている場合は、
server/
ディレクトリーにロックが設定され、インポート操作のみ実行されないようにします。 -
サーバーがエクスポートを実行すると、
exports/
ディレクトリーにロックが設定されます。この場合、通常のサーバー操作は可能ですが、インポートはできなくなります。
利用可能なロックの数は、Directory Server の全体的なパフォーマンスに影響を及ぼす可能性があります。ロックの数は、nsslapd-db-locks
属性に設定されます。詳細は、nsslapd-db-locks
属性の説明 を参照してください。
1.5. ログファイル
すべての Directory Server インスタンスは、ログファイルを /var/log/dirsrv/slapd-instance_name/
ディレクトリーに保存します。
ログディレクトリーの内容
access access.rotationinfo audit audit.rotationinfo errors errors.rotationinfo security security.rotationinfo
access
、audit
、error
、security
ログファイルの内容は、ログ設定によって異なります。stats
ファイルは、`/var/run/dirsrv/slapd-instance_name.stats/` ディレクトリーにあります。
stats
ファイルはメモリーにマッピングされたファイルで、エディターで読み込むことができません。このファイルには、Directory Server SNMP データ収集コンポーネントが収集するデータが含まれます。このデータは SNMP 属性クエリーに対応して SNMP サブエージェントによって読み取られ、Directory Server SNMP 要求を処理する SNMP マスターエージェントと通信します。
すべてのログファイルの概要は、ログファイルのリファレンスの の章を参照してください。
1.6. PID ファイル
slapd-serverID.pid
ファイルおよび slapd-serverID.startpid
ファイルは、サーバーの稼働時に /var/run/dirsrv
ディレクトリーに作成されます。どちらのファイルもサーバーのプロセス ID を保存します。
1.7. バックアップファイル
すべての Directory Server インスタンスには、バックアップ関連ファイルを保存する次のディレクトリーが含まれます。
-
/var/lib/dirsrv/slapd-instance_name/bak/
。データベースのバックアップコピーが含まれます。各バックアップには、インスタンス名、データベースバックアップの日時が付きます (例:instance_name-2023_05_04_18_01_23
)。 -
/var/lib/dirsrv/slapd-instance_name/bak/config_files/
。設定ファイル、証明書データベース、カスタムスキーマファイルのバックアップが含まれます。
第2章 コアサーバー設定属性
このセクションには、コアサーバーの機能に関連する設定属性の参照情報が記載されています。サーバー設定の変更については、セクション 2.2.1.2Accessing and Modifying Server Configuration を参照してください。プラグインとして実装されるサーバー機能のリストは、セクション 4.1 の Server Plug-in Functionality Reference を参照してください。カスタムサーバー機能の実装に関するヘルプは、Directory Server サポートにお問い合わせください。
dse.ldif ファイルに格納されている設定情報は、一般的な設定エントリー cn=config の下に情報ツリーとして編成されています。
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins ノードは、第 4 章のプラグイン実装サーバー機能のリファレンスで説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、その使用方法などが含まれます。
本章で説明するエントリーおよび属性の一部は、製品の今後のリリースで変更される可能性があります。
2.1. cn=config
Directory Server は、cn=config
エントリーに一般的な設定エントリーを保存します。このエントリーは、nsslapdConfig
オブジェクトクラスのインスタンスで、extensibleObject
オブジェクトクラスを継承します。
2.1.1. nsslapd-accesslog
この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。ログファイルには、デフォルトで以下の情報を記録します。
- データベースにアクセスするクライアントマシンの IP アドレス (IPv4 または IPv6)。
- 実行される操作 (検索、追加、変更など)。
- アクセス権の結果 (返されるエントリーの数やエラーコードなど)。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.1 dse.ldif ファイル属性
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
nsslapd-accesslog
パラメーターの説明:
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名。 |
デフォルト値 | /var/log/dirsrv/slapd-instance/access |
構文 | DirectoryString |
例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
2.1.2. nsslapd-accesslog-compress
Directory Server は、デフォルトではアクセスログを圧縮しません。Directory Server がログをローテーションするときにアクセスログの圧縮を有効にするには、nsslapd-accesslog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-accesslog-compress: on |
2.1.3. nsslapd-accesslog-level
この属性は、アクセスログにログ記録する内容を制御します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 0 - アクセスロギングなし * 4 - 内部アクセス操作のロギング * 256 - 接続、操作、および結果の記録 * 512 - エントリーおよび参照情報にアクセスするためのロギング
* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、 |
デフォルト値 | 256 |
構文 | 整数 |
例 | nsslapd-accesslog-level: 256 |
2.1.4. nsslapd-accesslog-list
設定できないこの読み取り専用属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
2.1.5. nsslapd-accesslog-logbuffering
off
に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を与えずに負荷が大きい場合でもサーバーがアクセスロギングを使用できます。ただし、デバッグ時には、操作と、ログエントリーがファイルにフラッシュされるのを待たずに、バッファーを無効にしても、すぐに結果を見えることがあります。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logbuffering: off |
2.1.6. nsslapd-accesslog-logexpirationtime
この属性は、削除前にログファイルに到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit
属性で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logexpirationtime: 2 |
2.1.7. nsslapd-accesslog-logexpirationtimeunit
この属性は、nsslapd-accesslog-logexpirationtime
属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-accesslog-logexpirationtimeunit: week |
2.1.8. nsslapd-accesslog-logging-enabled
accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog
属性と併せてのみ有効です。
アクセスロギングを有効にするには、この属性を on
に切り替え、nsslapd-accesslog
設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.2 dse.ldif Attributes
属性 | 値 | ログの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logging-enabled: off |
2.1.9. nsslapd-accesslog-logmaxdiskspace
この属性は、アクセスログが消費できる最大ディスク容量 (メガバイト単位) を指定します。この値を超えると、最も古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 500 |
構文 | 整数 |
例 | nsslapd-accesslog-logmaxdiskspace: 500 |
2.1.10. nsslapd-accesslog-logminfreediskspace
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logminfreediskspace: -1 |
2.1.11. nsslapd-accesslog-logrotationsync-enabled
この属性は、アクセスログのローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour
属性値および nsslapd-accesslog-logrotationsyncmin
属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on
に設定して有効にし、nsslapd-accesslog-logrotationsynchour
属性および nsslapd-accesslog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationsync-enabled: on |
2.1.12. nsslapd-accesslog-logrotationsynchour
この属性は、アクセスログをローテーションする時刻を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsynchour: 23 |
2.1.13. nsslapd-accesslog-logrotationsyncmin
この属性は、アクセスログをローテーションする日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsyncmin: 30 |
2.1.14. nsslapd-accesslog-logrotationtime
この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit
属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨していませんが、ログが無期限に増大するため、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-accesslog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合、サーバーは nsslapd-accesslog-logrotationtime
属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationtime: 100 |
2.1.15. nsslapd-accesslog-logrotationtimeunit
この属性は、nsslapd-accesslog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | day |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationtimeunit: week |
2.1.16. nsslapd-accesslog-maxlogsize
この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定するときは、次の点を考慮してください。
- ログファイルのローテーションにより作成できるログファイルの総数。
- Directory Server は、アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログの 5 つの異なるログファイルを維持します。各ログファイルはディスク領域を消費します。
これらの考慮事項を、アクセスログ用に設定するディスク領域の合計と比較してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsize: 100 |
2.1.17. nsslapd-accesslog-maxlogsperdir
この属性は、アクセスログが保存されるディレクトリーに格納できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンが削除されます。パフォーマンス上の理由から、この値は 1
に設定しないでください。サーバーがログをローテーションせず、ログが無制限に増大するためです。
この属性の値が 1
よりも大きい場合は、nsslapd-accesslog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime」 を参照してください。
nsslapd-accesslog-logminfreediskspace
および nsslapd-accesslog-maxlogsize
に設定した値によっては、実際のログ数は nsslapd-accesslog-maxlogsperdir
で設定する数よりも少なくなる可能性があります。たとえば、nsslapd-accesslog-maxlogsperdir
がデフォルト (10 ファイル) を使用し、nsslapd-accesslog-logminfreediskspace
を 500 MB に、nsslapd-accesslog-maxlogsize
を 100 MB に設定すると、Directory Server は 5 つのアクセスログファイルのみを保持します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsperdir: 10 |
2.1.18. nsslapd-accesslog-mode
この属性は、アクセスログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000
から 777
の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0
から 7
の間で変わります。
-
0
- なし -
1
- 実行のみ -
2
- 書き込みのみ -
3
- 書き込みおよび実行 -
4
- 読み取り専用 -
5
- 読み取りおよび実行 -
6
- 読み取りおよび書き込み -
7
- 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-accesslog-mode: 600 |
2.1.19. nsslapd-allow-anonymous-access
バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます (オフ)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse
により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn
属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off | rootdse |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-allow-anonymous-access: on |
2.1.20. nsslapd-allowed-sasl-mechanisms
デフォルトでは、ルート DSE は SASL ライブラリーがサポートするすべてのメカニズムをリスト表示します。ただし、一部の環境では、特定の環境だけが優先されます。nsslapd-allowed-sasl-mechanisms
属性を使用すると、定義した SASL メカニズムのみを有効にできます。
メカニズム名は大文字、数字、およびアンダースコアで設定される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
EXTERNAL
メカニズムは SASL プラグインによって実際に使用されません。これはサーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL
メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms
属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な SASL メカニズム |
デフォルト値 | None(すべての SASL メカニズムが許可される) |
構文 | DirectoryString |
例 | nsslapd-allowed-sasl-mechanisms: GSSAPI、DIGEST-MD5、OTP |
2.1.21. nsslapd-allow-hashed-passwords
このパラメーターは、事前にハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、事前にハッシュ化されたパスワードは Directory Manager 以外のユーザーによって設定できません。この権限を Password Administrators グループに追加すると、他のユーザーに委任できます。ただし、レプリケーションパートナーが、事前にハッシュ化されたパスワードチェックをすでに制御している場合など、この機能は Directory Server で無効にする必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-hashed-passwords: off |
2.1.22. nsslapd-allow-unauthenticated-binds
認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-unauthenticated-binds: off |
2.1.23. nsslapd-anonlimitsdn
リソース制限は、認証されたバインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit
)、時間制限 (nsslapd-timelimit
)、およびタイムアウト期間 (nsslapd-idletimeout
)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit
) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス拒否攻撃がディレクトリーリソースを結合し、全体的なパフォーマンスを向上させることができます。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。これは、通常、リソース制限が匿名操作には適用されません。
匿名バインドにリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。nsslapd-anonlimitsdn
設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
2.1.24. nsslapd-attribute-name-exceptions
この属性を使用すると、属性名の標準以外の文字を、スキーマ定義属性の "_" など、古いサーバーと後方互換性に使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-attribute-name-exceptions: on |
2.1.25. nsslapd-auditfaillog
この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled
が有効にされており、nsslapd-auditfaillog
が設定されていない場合、監査の失敗イベントは nsslapd-auditlog
で指定されたファイルに記録されます。
nsslapd-auditfaillog
パラメーターを nsslapd-auditlog
と同じパスに設定すると、いずれも同じファイルに記録されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled
属性を on
に設定する必要があります。
2.1.26. nsslapd-auditfaillog-compress
Directory Server は、デフォルトでは監査失敗ログを圧縮しません。Directory Server がログをローテーションするときに監査失敗ログの圧縮を有効にするには、nsslapd-auditfaillog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-compress: on |
2.1.27. nsslapd-auditfaillog-list
監査失敗のログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
2.1.28. nsslapd-auditfaillog-logexpirationtime
この属性は、削除前のログファイルの最大期間を設定します。ユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit
属性の day、week、month など、単位を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logexpirationtime: 1 |
2.1.29. nsslapd-auditfaillog-logexpirationtimeunit
この属性は、nsslapd-auditfaillog-logexpirationtime
属性に単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
2.1.30. nsslapd-auditfaillog-logging-enabled
失敗した LDAP 変更のロギングをオンまたはオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logging-enabled: off |
2.1.31. nsslapd-auditfaillog-logmaxdiskspace
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
2.1.32. nsslapd-auditfaillog-logminfreediskspace
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定された値よりも小さい場合、十分なディスク領域が解放されるまで最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
2.1.33. nsslapd-auditfaillog-logrotationsync-enabled
この属性は、監査失敗のログローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour
属性値および nsslapd-auditfaillog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour
属性および nsslapd-auditfaillog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
2.1.34. nsslapd-auditfaillog-logrotationsynchour
この属性は、監査ログがローテーションされる時刻を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
2.1.35. nsslapd-auditfaillog-logrotationsyncmin
この属性は、監査ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
2.1.36. nsslapd-auditfaillog-logrotationtime
この属性は、監査失敗ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit
属性で指定します。nsslapd-auditfaillog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditfaillog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime
属性を確認します。詳細は、「nsslapd-auditfaillog」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationtime: 100 |
2.1.37. nsslapd-auditfaillog-logrotationtimeunit
この属性は、nsslapd-auditfaillog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationtimeunit: day |
2.1.38. nsslapd-auditfaillog-maxlogsize
この属性は、最大監査失敗ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir
パラメーターが 1
に設定されている場合、サーバーはこの属性を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsize: 50 |
2.1.39. nsslapd-auditfaillog-maxlogsperdir
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査失敗のログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditfaillog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime
属性の値が -1
の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logexpirationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
2.1.40. nsslapd-auditfaillog-mode
この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditfaillog-mode: 600 |
2.1.41. nsslapd-auditlog
この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.3 nsslapd-auditlog の可能な組み合わせ
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.42. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs
属性を使用すると、Directory Server が監査ログに表示する属性を設定して、変更されるエントリーに関する有用な識別情報を提供できます。監査ログに属性を追加すると、エントリー内の特定の属性の現在の状態とエントリーの更新の詳細を確認できます。
次のオプションのいずれかを選択して、ログ内の属性を表示できます。
- Directory Server が変更するエントリーの特定の属性を表示するには、属性名を値として指定します。
- 複数の属性を表示するには、スペースで区切られた属性名のリストを値として指定します。
- エントリーのすべての属性を表示するには、値としてアスタリスク (*) を使用します。
Directory Server が監査ログに表示する必要がある属性のスペース区切りのリストを指定するか、値としてアスタリスク (*
) を使用して、変更されるエントリーのすべての属性を表示します。
たとえば、監査ログ出力に cn
属性を追加するには、nsslapd-auditlog-display-attrs
属性を cn
に設定します。監査ログには、次のようなエントリーが含まれます。
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
任意の有効な属性名とアスタリスク ( |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-display-attrs: cn ou |
2.1.43. nsslapd-auditlog-compress
Directory Server は、デフォルトでは監査ログを圧縮しません。Directory Server がログをローテーションするときに監査ログの圧縮を有効にするには、nsslapd-auditlog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-compress: on |
2.1.44. nsslapd-auditlog-list
監査ログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
2.1.45. nsslapd-auditlog-logexpirationtime
この属性は、ログファイルが削除される前に許可される最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logexpirationtime: 1 |
2.1.46. nsslapd-auditlog-logexpirationtimeunit
この属性は、nsslapd-auditlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logexpirationtimeunit: day |
2.1.47. nsslapd-auditlog-logging-enabled
監査ロギングをオンおよびオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logging-enabled: off |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.4 nsslapd-auditlog と nsslapd-auditlog-logging-enabled の組み合わせ
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.48. nsslapd-auditlog-logmaxdiskspace
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
2.1.49. nsslapd-auditlog-logminfreediskspace
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logminfreediskspace: -1 |
2.1.50. nsslapd-auditlog-logrotationsync-enabled
この属性は、監査ログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour
属性値および nsslapd-auditlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour
属性および nsslapd-auditlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationsync-enabled: on |
2.1.51. nsslapd-auditlog-logrotationsynchour
この属性は、監査ログのローテーションを行う時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsynchour: 23 |
2.1.52. nsslapd-auditlog-logrotationsyncmin
この属性は、監査ログのローテーションに使用する日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsyncmin: 30 |
2.1.53. nsslapd-auditlog-logrotationtime
この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit
属性で指定します。nsslapd-auditlog-maxlogsperdir
属性が 1
に設定されていると、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-auditfaillog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationtime: 100 |
2.1.54. nsslapd-auditlog-logrotationtimeunit
この属性は、nsslapd-auditlog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationtimeunit: day |
2.1.55. nsslapd-auditlog-maxlogsize
この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir
を 1
にすると、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server は 5 つの異なるログファイル (アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログ) を維持しており、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsize: 50 |
2.1.56. nsslapd-auditlog-maxlogsperdir
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsperdir: 10 |
2.1.57. nsslapd-auditlog-mode
この属性は、監査ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditlog-mode: 600 |
2.1.58. nsslapd-bakdir
このパラメーターは、デフォルトのバックアップディレクトリーへのパスを設定します。Directory Server ユーザーには、設定されたディレクトリーに書き込みパーミッションが必要です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のローカルディレクトリーパス。 |
デフォルト値 | /var/lib/dirsrv/slapd-instance/bak |
構文 | DirectoryString |
例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
2.1.59. nsslapd-certdir
このパラメーターは、Directory Server がインスタンスの Network Security Services(NSS) データベースを保存するために使用するディレクトリーへの完全パスを定義します。このデータベースには、インスタンスの秘密鍵と証明書が含まれます。
フォールバックとして Directory Server は、秘密鍵と証明書をこのディレクトリーに抽出します。サーバーがプライベート名前空間の /tmp/
ディレクトリーに抽出できません。プライベート名スペースの詳細は、systemd.exec(5) の man ページの PrivateTmp
パラメーターの説明を参照してください。
nsslapd-certdir
で指定したディレクトリーはサーバーのユーザー ID で所有され、このユーザー ID のみがこのディレクトリーに読み取り/書き込みパーミッションを持っている必要があります。セキュリティー上の理由から、他のユーザーには、このディレクトリーに読み書きするパーミッションがありません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 絶対パス |
デフォルト値 | /etc/dirsrv/slapd-instance_name/ |
構文 | DirectoryString |
例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
2.1.60. nsslapd-certmap-basedn
この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf
ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づいてディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn
属性は、ルート以外のエントリーに基づいて検索を強制的に実行する可能性があります。この属性の有効な値は、証明書マッピングに使用する接尾辞またはサブツリーの DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
2.1.61. nsslapd-close-on-failed-bind
nsslapd-close-on-failed-bind
設定属性を使用すると、BIND
操作が失敗した場合にサーバー側からクライアント接続を閉じます。
このパラメーターを有効にすると、アプリケーションが BIND
の戻りコードを無視してリクエストの送信を続けた場合に、Directory Server からの負荷が軽減されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-close-on-failed-bind: off |
2.1.62. nsslapd-cn-uses-dn-syntax-in-dns
このパラメーターを使用すると、CNF 値内で DN を有効にできます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn
属性を使用して DN 値を保存することがあります。たとえば、dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
の場合は、DN 構文に従って cn
を正規化する必要があります。
この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns
パラメーターを有効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
2.1.63. nsslapd-config
この読み取り専用属性は設定 DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な設定 DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-config: cn=config |
2.1.64. nsslapd-connection-buffer: 1
この属性は、接続バッファーの動作を設定します。値:
-
0
: バッファーを無効にします。PDU(単一のプロトコルデータユニット) のみが一度に読み込まれます。 -
1
:512
バイトの通常の固定サイズLDAP_SOCKET_IO_BUFFER_SIZE
。 -
2
: 適応可能なバッファーサイズ
値が 2
の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加や変更操作の場合や、多くの非同期リクエスト数がレプリケーション中に単一の接続で受信される場合などがこれに該当します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 | 1 | 2 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-connection-buffer: 1 |
2.1.65. nsslapd-connection-nocanon
このオプションを使用すると、SASL NOCANON
フラグを有効または無効にできます。無効にすると、Directory Server は、送信接続の DNS 逆引きエントリーを検索しないようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-connection-nocanon: on |
2.1.66. nsslapd-counters
nsslapd-counters
属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡すると、パフォーマンスに影響する可能性があります。カウンターの 64 ビットの整数をオフにすると、パフォーマンスが最小限に抑えられますが、長期統計追跡に悪影響を及ぼします。
このパラメーターは、デフォルトで有効になっています。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif
ファイルを編集し、サーバーを再起動します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-counters: on |
2.1.67. nsslapd-csnlogging
この属性は、利用可能な場合は変更シーケンス番号 (CSN) がアクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングがオンになっています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-csnlogging: on |
2.1.68. nsslapd-defaultnamingcontext
この属性は、クライアントがデフォルトで検索ベースとして使用する、設定されたすべての命名コンテキストを示します。この値は、defaultNamingContext
属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ルート接尾辞 DN |
デフォルト値 | デフォルトのユーザー接尾辞 |
構文 | DN |
例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
2.1.69. nsslapd-disk-monitoring
この属性は、ディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行している場所をマウントするために 10 秒ごとに実行されるスレッドを有効にします。利用可能なディスク領域が設定されたしきい値を下回ると、サーバーはロギングレベルの削減、アクセスまたは監査ログの無効化、ローテーションされたログの削除を行います。利用可能な領域が十分にない場合は、サーバーは正常にシャットダウンします (ウェイアと猶予期間後)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring: on |
2.1.70. nsslapd-disk-monitoring-grace-period
「nsslapd-disk-monitoring-threshold」 に設定されたディスク領域制限の半分に達すると、サーバーをシャットダウンするまで待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぐことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数値 (分単位) |
デフォルト値 | 60 |
構文 | 整数 |
例 | nsslapd-disk-monitoring-grace-period: 45 |
2.1.71. nsslapd-disk-monitoring-logging-critical
ログディレクトリーがディスク領域の制限 「nsslapd-disk-monitoring-threshold」 に設定された半方向ポイントをパスした場合にサーバーをシャットダウンするかどうかを設定します。
これを有効にすると、ロギングは無効 ではなく、サーバーによるディスク使用量を減らす手段としてローテーションされたログは削除されません。サーバーは単にシャットダウンプロセスを実行します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-logging-critical: on |
2.1.72. nsslapd-disk-monitoring-readonly-on-threshold
空きディスク領域が nsslapd-disk-monitoring-threshold
パラメーターに設定した値の半分に達すると、Directory Server は、nsslapd-disk-monitoring-grace-period
に設定された猶予期間後にインスタンスをシャットダウンします。ただし、インスタンスが停止する前にディスクの容量が不足すると、データが破損する可能性があります。この問題を回避するには、しきい値に達した場合に nsslapd-disk-monitoring-readonly-on-threshold
パラメーターを有効にします。また、Directory Server は、しきい値に達したときにインスタンスを読み取り専用モードに設定します。
この設定では、空きディスク領域が nsslapd-disk-monitoring-threshold
で設定したしきい値の半分を下回ると、Directory Server が起動しません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
2.1.73. nsslapd-disk-monitoring-threshold
サーバーに十分なディスク領域があるかどうかを評価するために使用するしきい値をバイト単位で設定します。領域がこのしきい値の半分に達すると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト) の場合、利用可能なディスク領域が 1MB になると、サーバーはシャットダウンを開始します。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、およびデータベースディレクトリーによって使用されるディスク領域に対して評価されます。「nsslapd-disk-monitoring-logging-critical」 属性が有効な場合は、ログディレクトリーが評価に含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 32 ビットシステムの 0 から 32 ビットの整数値 (2147483647) * 64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 2000000 (2MB) |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-threshold: 2000000 |
2.1.74. nsslapd-dn-validate-strict
nsslapd-syntaxcheck 属性により、サーバーは新規または変更された属性値がその属性に必要な構文と一致することを確認できます。
ただし、DN の構文ルールでは、厳格さが増大しています。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheck
は RFC 1779 または RFC 2253 を使用して DN を検証します。
nsslapd-dn-validate-strict
属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性を off
(デフォルト) に設定すると、サーバーは、構文違反があるかどうかをチェックする前に値を正規化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-dn-validate-strict: off |
2.1.75. nsslapd-ds4-compatible-schema
cn=schema
のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ds4-compatible-schema: off |
2.1.76. nsslapd-enable-turbo-mode
Directory Server の Turbo モードは、ワーカースレッドを接続専用にし、その接続からの受信操作を継続的に読み取ることができる機能です。これにより、非常にアクティブな接続でパフォーマンスを向上でき、この機能はデフォルトで有効になります。
ワーカースレッドは、サーバーによって受信される LDAP 操作を処理します。ワーカースレッドの数は nsslapd-threadnumber
パラメーターで定義されます。各ワーカースレッドは、現在の接続のアクティビティーレベルが、確立されたすべての接続間で最大 1 つであるかどうかを評価します。Directory Server は、最後のチェック以降に開始される操作の数としてアクティビティーを測定し、現在の接続の動作が最も高い場合は turbo モードでワーカースレッドを切り替えます。
1 秒以上など、バインド操作の実行時間が長い (ログファイルの etime
値) 場合は、ターボモードを無効にするとパフォーマンスが向上する可能性があります。ただし、場合によっては、バインド時間がネットワークやハードウェアの問題の現象となる場合があります。このような状況では、turbo モードを無効にするとパフォーマンスが向上しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-turbo-mode: on |
2.1.77. nsslapd-enable-upgrade-hash
単純なバインド時に、バインド操作の性質上、Directory Server はプレーンテキストのパスワードにアクセスできます。nsslapd-enable-upgrade-hash
パラメーターが有効で、ユーザーを認証した場合、Directory Server は、ユーザーの userPassword
属性が passwordStorageScheme
属性に設定されたハッシュアルゴリズムを使用するかどうかを確認します。アルゴリズムが異なる場合、サーバーは passwordStorageScheme
のアルゴリズムでプレーンテキストのパスワードをハッシュ化し、ユーザーの userPassword
属性の値を更新します。
たとえば、弱いアルゴリズムを使用してハッシュ化されたパスワードを持つユーザーエントリーをインポートする場合、サーバーは passwordStorageScheme
(デフォルトでは PBKDF2_SHA256
) に設定したアルゴリズムを使用して、ユーザーの最初のログインでパスワードを自動的にハッシュ化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-upgrade-hash: on |
2.1.78. nsslapd-enquote-sup-oc
この属性は非推奨となり、Directory Server の今後のバージョンで削除されます。
この属性は、cn=schema
エントリーに含まれる objectclass
属性の引用が、インターネットドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠しており、この値は引用符で囲まれていないことを示します。非常に古いクライアントのみでは、この値を on
に設定する必要があります。したがって、この値は off
のままにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-enquote-sup-oc: off |
2.1.79. nsslapd-entryusn-global
nsslapd-entryusn-global
パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に生成される更新シーケンス番号 (USN) を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on
に設定します。
詳細は、「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-entryusn-global: off |
2.1.80. nsslapd-entryusn-import-initval
エントリーがサーバーからエクスポートされ、別のサーバーにインポートされた場合には、エントリーの更新シーケンス番号 (USN) が保持されません (レプリケーション用のデータベースの初期化の際を含む)。デフォルトでは、インポートされたエントリーのエントリー USN はゼロに設定されます。
nsslapd-entryusn-import-initval
を使用して、エントリー USN に別の初期値を設定できます。これは、すべてのインポートされたエントリーに使用される開始 USN を設定します。
nsslapd-entryusn-import-initval
には 2 つの値があります。
- 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
- next。つまり、インポートされたエントリーはすべて、インポート操作の前にサーバー上にあった最大のエントリー USN 値を、1 つずつインクリメントして使用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数 | 次へ |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-entryusn-import-initval: next |
2.1.81. nsslapd-errorlog
この属性は、Directory Server が生成するエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述することができますが、多くの場合、以下のような情報的条件が含まれます。
- サーバーの起動およびシャットダウン時間。
- サーバーが使用するポート番号。
このログの情報量は、Log Level 属性の現在の設定により異なります。詳細は、「nsslapd-errorlog-level」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/errors |
構文 | DirectoryString |
例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、エラーロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.5 Nsslapd-errorlog 設定属性に考えられる組み合わせ
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空の文字列 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | 有効 |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空の文字列 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
2.1.82. nsslapd-errorlog-compress
Directory Server は、デフォルトではエラーログを圧縮しません。Directory Server がログをローテーションするときにエラーログの圧縮を有効にするには、nsslapd-errorlog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-errorlog-compress: on |
2.1.83. nsslapd-errorlog-level
この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり、3
の値を指定するとレベル 1
と 2
の両方が含まれます。
nsslapd-errorlog-level
のデフォルト値は 16384
です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | エラーログログレベルの完全なリストは、エラーログレベル を参照してください。 |
デフォルト値 | 16384 |
構文 | 整数 |
例 | nsslapd-errorlog-level: 8192 |
2.1.84. nsslapd-errorlog-list
この読み取り専用属性は、エラーログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
2.1.85. nsslapd-errorlog-logexpirationtime
この属性は、削除前にログファイルが到達できる最大期間を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logexpirationtime: 1 |
2.1.86. nsslapd-errorlog-logexpirationtimeunit
この属性は、nsslapd-errorlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-errorlog-logexpirationtimeunit: week |
2.1.87. nsslapd-errorlog-logging-enabled
エラーロギングのオンとオフを切り替えます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-errorlog-logging-enabled: on |
2.1.88. nsslapd-errorlog-logmaxdiskspace
この属性は、エラーログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
2.1.89. nsslapd-errorlog-logminfreediskspace
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logminfreediskspace: -1 |
2.1.90. nsslapd-errorlog-logrotationsync-enabled
この属性は、エラーログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーロギングのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour
属性値および nsslapd-errorlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour
属性および nsslapd-errorlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationsync-enabled: on |
2.1.91. nsslapd-errorlog-logrotationsynchour
この属性は、エラーログをローテーションする時刻を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsynchour: 23 |
2.1.92. nsslapd-errorlog-logrotationsyncmin
この属性は、エラーログをローテーションするために 1 日分を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsynchour
属性と併用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsyncmin: 30 |
2.1.93. nsslapd-errorlog-logrotationtime
この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logrotationtimeunit
(エラーログローテーション時間単位) 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-errorlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationtime: 100 |
2.1.94. nsslapd-errorlog-logrotationtimeunit
この属性は、nsslapd-errorlog-logrotationtime
(エラーログローテーション時間) の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationtimeunit: day |
2.1.95. nsslapd-errorlog-maxlogsize
この属性は、最大エラーログサイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーはログ情報の新しいログファイルへの書き込みを開始します。nsslapd-errorlog-maxlogsperdir
が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server は 5 つの異なるログファイル (アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログ) を維持しており、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) で、値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsize: 100 |
2.1.96. nsslapd-errorlog-maxlogsperdir
この属性は、エラーログが保存されるディレクトリーに格納できるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-errorlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-errorlog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsperdir: 10 |
2.1.97. nsslapd-errorlog-mode
この属性は、エラーログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0
から 7
の間で変わります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-errorlog-mode: 600 |
2.1.98. nsslapd-external-libs-debug-enabled
Directory Server でサードパーティーのロギングを有効にするには、nsslapd-external-libs-debug-enabled
属性を使用します。
libldap
や libber
などのライブラリーはエラーおよびデバッグロギングを実行しますが、これらのレコードは Directory Server ログでは利用できません。nsslapd-external-libs-debug-enabled
属性が on
に設定されている場合、Directory Server は libldap
パッケージおよび libber
パッケージが提供するすべてのログレベルを使用できます。
nsslapd-external-libs-debug-enabled
属性は、すべての操作の詳細なロギングを生成するため、デバッグ目的でのみ有効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-external-libs-debug-enabled: off |
2.1.99. nsslapd-force-sasl-external
TLS 接続を確立すると、クライアントは最初に証明書を送信し、SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求を送信するときに SASL/EXTERNAL を使用しないため、Directory Server は簡易認証要求または匿名要求としてバインドを処理し、TLS 接続が失敗します。
nsslapd-force-sasl-external
属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | String |
例 | nsslapd-force-sasl-external: on |
2.1.100. nsslapd-groupevalnestlevel
この属性は非推奨になり、これまでの目的でのみ説明されます。
アクセス制御プラグインは nsslapd-groupevalnestlevel
属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5
としてハードコーディングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-groupevalnestlevel: 5 |
2.1.101. nsslapd-idletimeout
この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの秒数を設定します。値が 0
の場合は、サーバーはアイドル状態の接続を切断しません。この設定は、すべての接続およびすべてのユーザーに適用されます。Poll()
が 0 を返さない場合、接続テーブルがウォークされたときにアイドル状態のタイムアウトが強制されます。そのため、1 つの接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる nsIdleTimeout
操作属性を使用して、この属性に割り当てられた値を上書きします。
非常に大規模なデータベースの場合、この属性には、エントリーへの接続がタイムアウトすると、オンライン初期化プロセスが完了するか、レプリケーションが失敗するまで十分な値が必要です。または、nsIdleTimeout
属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsslapd-idletimeout: 3600 |
2.1.102. nsslapd-ignore-virtual-attrs
このパラメーターを使用すると、検索エントリーで仮想属性ルックアップを無効にできます。
仮想属性が必要ない場合は、検索結果で仮想属性ルックアップを無効にして、検索の速度を増やすことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ignore-virtual-attrs: on |
2.1.103. nsslapd-instancedir
この属性は非推奨になりました。nsslapd-certdir
、nsslapd-lockdir
などのインスタンス固有のパス用に個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。
2.1.104. nsslapd-ioblocktimeout
この属性は、停止した LDAP クライアントへの接続を閉じるまでの時間をミリ秒単位で設定します。LDAP クライアントは、読み取りまたは書き込み操作の I/O の進捗が全くない場合には停止されたと見なされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | ティックにおける 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10000 |
構文 | 整数 |
例 | nsslapd-ioblocktimeout: 10000 |
2.1.105. nsslapd-lastmod
この属性は、Directory Server が新しく作成または更新されたエントリーの操作属性 creatorsName
、createTimestamp
、modifiersName
、および modifyTimestamp
を維持するかどうかを設定します。
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID
属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-lastmod: on |
2.1.106. nsslapd-ldapiautobind
nsslapd-ldapiautobind
は、サーバーが LDAPI を使用して Directory Server に自動バインドできるようにするかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、これらの認証情報に基づいて Directory Server に対してユーザーを自動的に認証します。Directory Server 接続は UNIX ソケット上で実行されます。
自動バインドを有効にするとともに、自動バインドを設定するには、マッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn
は、システム上の root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries
は、nsslapd-ldapiuidnumbertype
、nsslapd-ldapigidnumbertype
、および nsslapd-ldapientrysearchbase
属性で定義されたパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilisten
が on
になり、nsslapd-ldapifilepath
属性が LDAPI ソケットに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapiautobind: off |
2.1.107. nsslapd-ldapientrysearchbase
自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号 (nsslapd-ldapiuidnumbertype
) および GUID 番号 (nsslapd-ldapigidnumbertype
) に使用する属性の Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase
で、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | DN |
デフォルト値 |
サーバーインスタンスの作成時に作成された接尾辞 (例: |
構文 | DN |
例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
2.1.108. nsslapd-ldapifilepath
LDAPI は、TCP ではなく UNIX ソケットを介して LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットを介して通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは、nsslapd-ldapifilepath
属性に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のディレクトリーパス |
デフォルト値 | /var/run/dirsrv/slapd-example.socket |
構文 | 大文字と小文字を区別する文字列 |
例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
2.1.109. nsslapd-ldapigidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapigidnumbertype
属性は、システム GUID をユーザーエントリーにマッピングする Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | gidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapigidnumbertype: gidNumber |
2.1.110. nsslapd-ldapilisten
nsslapd-ldapilisten
は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilisten
を on
に設定して LDAPI を有効にすることに加えて、nsslapd-ldapifilepath
属性に LDAPI 用に設定された UNIX ソケットも必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ldapilisten: on |
2.1.111. nsslapd-ldapimaprootdn
nsslapd-ldapimaprootdn
属性は非推奨になりました。システムルートエントリーをルート DN エントリーにマップするには、nsslapd-rootdn
パラメーターを使用します。
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー (UID が 0 のユーザー) は、nsslapd-ldapimaprootdn
属性で指定した Directory Server エントリーにマッピングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | cn=Directory Manager |
構文 | DN |
例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
2.1.112. nsslapd-ldapimaptoentries
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries
属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on
に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効になっていない場合は、root ユーザーのみが autobind を使用して Directory Server に対して認証し、他のすべてのユーザーは匿名で接続できます。
マッピング自体は、nsslapd-ldapiuidnumbertype
属性および nsslapd-ldapigidnumbertype
属性で設定され、Directory Server 属性をユーザーの UID および GUID の番号にマップします。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapimaptoentries: on |
2.1.113. nsslapd-ldapiuidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapiuidnumbertype
属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | uidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapiuidnumbertype: uidNumber |
2.1.114. nsslapd-ldifdir
Directory Server は、db2ldif
または db2ldif.pl
を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式 (LDIF) 形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
デフォルト値 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
構文 | DirectoryString |
例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
2.1.115. nsslapd-listen-backlog-size
この属性は、ソケット接続のバックログの最大数を設定します。listen サービスは、受信接続を受け付けるソケット数を設定します。Backlog 設定は、接続を拒否する前にソケット (sockfd) のキューを拡張する最大期間を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 最大 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 128 |
構文 | 整数 |
例 | nsslapd-listen-backlog-size: 128 |
2.1.116. nsslapd-listenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。1 つのホップに関連する複数の IP アドレスが存在する可能性があります。これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。
ホスト名が nsslapd-listenhost
値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一 IP インターフェイス (IPv4 または IPv6) が nsslapd-listenhost
の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ローカルホスト名、IPv4 アドレスまたは IPv6 アドレス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-listenhost: ldap.example.com |
2.1.117. nsslapd-localhost
この属性は、Directory Server を実行するホストマシンを指定します。この属性は、MMR プロトコルの一部を設定する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、その参照はローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 完全修飾ホスト名。 |
デフォルト値 | インストールされたマシンのホスト名。 |
構文 | DirectoryString |
例 | nsslapd-localhost: phonebook.example.com |
2.1.118. nsslapd-localssf
nsslapd-localssf
パラメーターは、LDAPI 接続のセキュリティー強度係数 (SSF) を設定します。Directory Server は、nsslapd-localssf
に設定した値が nsslapd-minssf
パラメーターに設定した値と同じか、それ以上の場合にのみ LDAPI 接続を許可します。そのため、LDAPI の接続は nsslapd-minssf
の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 71 |
構文 | 整数 |
例 | nsslapd-localssf: 71 |
2.1.119. nsslapd-localuser
この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンス向けのインスタンス固有のファイルおよびディレクトリーはすべて chown
などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に nsslapd-localuser
の値が最初に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なユーザー |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-localuser: dirsrv |
2.1.120. nsslapd-lockdir
これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance
です。この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | サーバー ID への書き込みアクセスのあるサーバーユーザー ID が所有するディレクトリーへの絶対パス |
デフォルト値 | /var/lock/dirsrv/slapd-instance |
構文 | DirectoryString |
例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
2.1.121. nsslapd-logging-hr-timestamps-enabled
ログがナノ秒の精度で高解像度のタイムスタンプを使用するか、1 秒の精度で標準解決タイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを off
に設定します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
|
デフォルト値 |
|
構文 | DirectoryString |
例 | nsslapd-logging-hr-timestamps-enabled: on |
2.1.122. nsslapd-malloc-mmap-threshold
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MMAP_THRESHOLD
環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold
パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_MMAP_THRESHOLD
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 33554432 |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-mmap-threshold: 33554432 |
2.1.123. nsslapd-malloc-mxfast
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MXFAST
環境変数を設定する代わりに、nsslapd-malloc-mxfast
パラメーターを使用すると、Directory Server の設定に値を設定できます。詳細は、mallopt(3) の man ページの M_MXFAST
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 80 * (sizeof(size_t) / 4) |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-mxfast: 1048560 |
2.1.124. nsslapd-malloc-trim-threshold
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_TRIM_THRESHOLD
環境変数を設定する代わりに、nsslapd-malloc-trim-threshold
パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_TRIM_THRESHOLD
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 2^31-1 |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-trim-threshold: 131072 |
2.1.125. nsslapd-maxbersize
受信メッセージに許可される最大サイズ (バイト単位) を定義します。これにより、Directory Server で処理できる LDAP 要求のサイズが制限されます。要求のサイズを制限すると、さまざまな DoS 攻撃を防ぎます。
この制限の対象は LDAP 要求の合計サイズです。たとえば、エントリーの追加要求で、要求のエントリーがデフォルトの設定値よりも大きい場合に、この追加要求は拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性の変更には細心の注意を払ってください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 2 (ギガバイト) - (2,147,483,647 バイト)
|
デフォルト値 | 2097152 |
構文 | 整数 |
例 | nsslapd-maxbersize: 2097152 |
2.1.126. nsslapd-maxdescriptors
nsslapd-maxdescriptors
属性は、Directory Server が使用可能なファイル記述子の最大数 (プラットフォームに依存) を設定します。ファイル記述子は、クライアントがサーバーに接続するときや、インデックスメンテナンスなどのサーバーアクティビティーに対して常に使用されます。ファイル記述子は、ログファイル、データベースファイル (インデックスとトランザクションログ) によっても使用されるほか、レプリケーションとチェーンのために他のサーバーへの送信接続用ソケットとしても使用されます。
TCP/IP がクライアント接続に対応するために利用可能な記述子の数は、nsslapd-maxdescriptors
属性から、nsslapd-reservedescriptors
属性によって決定される非クライアント接続用のファイル記述子の数を引いた値になります。詳細は、nsslapd-reservedescriptors を参照してください。
nsslapd-maxdescriptors
属性に設定する数は、オペレーティングシステムで ns-slapd
プロセスが使用できるファイル記述子の合計数よりも大きくすることはできません。この数はオペレーティングシステムによって異なります。ファイル記述子の制限と設定の詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune
プログラムを使用すると、システムカーネルまたは TCP/IP チューニング属性に対する変更を提案できます。
nsslapd-maxdescriptors
属性に設定した値が大きすぎると、Directory Server はオペレーティングシステムに許容可能な最大値をクエリーしてから、その値を使用します。Directory Server は、エラーログに警告も発行します。ldapmodify
を使用してリモートで無効な値を設定すると、サーバーは新しい値を拒否し、古い値を維持して、エラーで応答します。
ファイル記述子が不足しているために Directory Server が接続を拒否し、Directory Server のエラーログファイルに次のメッセージを書き込む場合は、nsslapd-maxdescriptors
属性値を大きくします。
Not listening for new connections -- too many fds open
UNIX シェルには通常、ファイル記述子の数に対する設定可能な制限があります。limit
および ulimit
についての詳細は、オペレーティングシステムのドキュメンテーションを参照してください。これらの 制限により、多くの場合で問題が発生する可能性があります。
変更を適用するにはサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | オペレーティングシステムに依存します |
デフォルト値 | 1048576。サーバーを実行しているオペレーティングシステムのファイル記述子の上限 |
構文 | 整数 |
例 | nsslapd-maxdescriptors: 64000 |
2.1.127. nsslapd-maxsasliosize
ユーザーが SASL GSS-API 経由で Directory Server に対して認証される場合、サーバーはクライアントに一定量のメモリーを割り当て、クライアントが要求するメモリーの量に応じて、LDAP 操作を実行する必要があります。攻撃者は、このようなサイズの大きいパケットを送信して、Directory Server がクラッシュするか、DoS 攻撃から無限に抜け出せなくなる可能性があります。
Directory Server が SASL クライアントに許可するパケットサイズは、nsslapd-maxsasliosize
属性を使用して制限できます。この属性は、サーバーが許可する SASL IO パケットの最大サイズを設定します。
受信 SASL IO パケットが nsslapd-maxsasliosize
の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログに記録し、管理者が必要に応じて設定を調節できるようにします。
この属性値はバイト単位で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | * 32 ビットシステムの -1(32 ビットの整数値)(2147483647) * 64 ビットシステムの -1(64 ビット整数値) から最大 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 2097152 (2MB) |
構文 | 整数 |
例 | nsslapd-maxsasliosize: 2097152 |
2.1.128. nsslapd-maxthreadsperconn
コネクションが使用する必要のあるスレッドの最大数を定義します。クライアントがバインドし、バインドを解除する前に 1 つまたは 2 つの操作のみを実行する通常の操作では、デフォルト値を使用します。クライアントが多くのリクエストをバインドして同時に発生する場合は、この値を増やして、各接続ですべての操作を実行できるようにします。この属性は、サーバーコンソールでは使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 threadnumber |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-maxthreadsperconn: 5 |
2.1.129. nsslapd-minssf
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。nsslapd-minssf
属性は、サーバーへの接続に最低限 SSF 要件を設定します。接続試行は、最低 SSF よりも弱い接続を拒否します。
TLS および SASL 接続は、Directory Server への接続で混在できます。通常、これらの接続にはそれぞれ異なる SSF があります。2 つの SSF が高いほど、最小 SSF 要件との比較に使用されます。
SSF 値を 0 に設定すると、最低限の設定はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 正の整数 |
デフォルト値 | 0 (off) |
構文 | DirectoryString |
例 | nsslapd-minssf: 128 |
2.1.130. nsslapd-minssf-exclude-rootdse
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf-exclude-rootdse
属性は、ルート DSE のクエリーを除き、サーバーへの任意の接続の SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が強制され、最初にセキュアな接続を確立しなくても、クライアントがルート DSE からサーバー設定に関する情報を取得することができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 正の整数 |
デフォルト値 | 0 (off) |
構文 | DirectoryString |
例 | nsslapd-minssf-exclude-rootdse: 128 |
2.1.131. nsslapd-moddn-aci
このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲット制限を使用するときに ACI チェックを制御します。後方互換性のために、ACI チェックを無効にできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-moddn-aci: on |
2.1.132. nsslapd-nagle
この属性の値が off
の場合、TCP_NODELAY
オプションが設定されます。これにより、LDAP 応答 (エントリーや結果メッセージなど) が即座にクライアントに送られます。属性が有効な場合、デフォルトの TCP 動作が適用されます。特に、データの送信は遅延され、通常はイーサネットの場合は 1 つのパケット (通常は 1500 バイト) にデータをグループ化できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-nagle: off |
2.1.133. nsslapd-ndn-cache-enabled
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled
パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size
パラメーターを更新して、このキャッシュの最大サイズを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ndn-cache-enabled: on |
2.1.134. nsslapd-ndn-cache-max-size
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled
パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size
パラメーターは、このキャッシュの最大サイズを設定します。
要求された DN がキャッシュされていない場合は、正規化され、追加されます。キャッシュサイズの制限を超過すると、Directory Server は、キャッシュから最も最近使用された 10,000 DN を削除します。ただし、少なくとも 10,000 の DN は常にキャッシュされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 20971520 |
構文 | 整数 |
例 | nsslapd-ndn-cache-max-size: 20971520 |
2.1.135. nsslapd-outbound-ldap-io-timeout
この属性は、すべてのアウトバウンド LDAP 接続の I/O 待機時間を制限します。デフォルトは 300000
ミリ秒 (5 分) です。値が 0
の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 300000 |
構文 | DirectoryString |
例 | nsslapd-outbound-ldap-io-timeout: 300000 |
2.1.136. nsslapd-pagedsizelimit
この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsslapd-sizelimit
属性がオーバーライドされます。
この値がゼロに設定されている場合、nsslapd-sizelimit
属性は、ページ検索と非ページ検索に使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsslapd-pagedsizelimit: 10000 |
2.1.137. nsslapd-plug-in
この読み取り専用属性は、サーバーによって読み込まれる構文および一致するルールプラグインのプラグインエントリーの DN をリスト表示します。
2.1.138. nsslapd-plugin-binddn-tracking
操作自体がサーバープラグインによって開始された場合でも、エントリーの修飾子として操作に使用されるバインド DN を設定します。操作を実行する特定のプラグインは、別の運用属性 internalModifiersname
にリスト表示されます。
もう 1 つの変更は、ディレクトリーツリーの他の自動変更をトリガーできます。たとえば、ユーザーが削除されると、そのユーザーは Referential Integrity プラグインが属するグループから自動的に削除されます。ユーザーの初回削除は、サーバーにバインドされているユーザーアカウントによって実行されますが、グループへの更新はプラグインによって実行されているものとして表示され、更新を開始したユーザーに関する情報はありません。nsslapd-plugin-binddn-tracking
属性により、サーバーは、更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
この属性はデフォルトで無効にされています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-plugin-binddn-tracking: on |
2.1.139. nsslapd-plugin-logging
デフォルトでは、アクセスログが内部操作を記録するように設定されている場合でも、プラグイン内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターを使用してグローバルに制御することができます。
有効にすると、プラグインはこのグローバル設定およびログアクセスおよび監査イベント (有効な場合) を使用します。
nsslapd-plugin-logging
が有効で、nsslapd-accesslog-level
が内部操作を記録するように設定されている場合は、インデックスされていない検索とその他の内部操作がアクセスログファイルに記録されます。
nsslapd-plugin-logging
が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-plugin-logging: off |
2.1.140. nsslapd-port
この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を提供します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024
未満の場合は、Directory Server を root
で起動する必要があります。
サーバーは、起動後にその uid
を nsslapd-localuser
値に設定します。設定ディレクトリーのポート番号を変更する場合は、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 65535 |
デフォルト値 | 389 |
構文 | 整数 |
例 | nsslapd-port: 389 |
LDAPS ポートが有効な場合は、ポート番号をゼロ (0
) に設定して LDAP ポートを無効にします。
2.1.141. nsslapd-privatenamespaces
この読み取り専用属性には、プライベート命名コンテキスト cn=config
、cn=schema
、および cn=monitor
のリストが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | cn=config, cn=schema, and cn=monitor |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-privatenamespaces: cn=config |
2.1.142. nsslapd-pwpolicy-inherit-global
粒度の細かいパスワード構文が設定されていない場合、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードは確認されません。粒度の細かいパスワード構文を継承する場合は、この属性を on
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-pwpolicy-inherit-global: off |
2.1.143. nsslapd-pwpolicy-local
粒度の細かい (サブツリーおよびユーザーレベル) パスワードポリシーをオンまたはオフにします。
この属性の値が off
の場合、ディレクトリー内のすべてのエントリー (cn=Directory Manager
を除く) はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。
この属性の値が on
の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-pwpolicy-local: off |
2.1.144. nsslapd-readonly
この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベースにはデータも設定情報も変更できません。データベースを読み取り専用モードで変更しようとすると、サーバーが操作を実施しないようにするエラーが返されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-readonly: off |
2.1.145. nsslapd-referral
この多値属性は、サーバーがローカルツリーに属さないエントリーの要求を受信するときに接尾辞によって返される LDAP URL を指定します。つまり、接尾辞を持つエントリーは接尾辞属性で指定された値と一致しません。たとえば、サーバーにエントリーのみが含まれるとします。
ou=People,dc=example,dc=com
ただし、このエントリーに対する要求は、以下のとおりです。
ou=Groups,dc=example,dc=com
この場合、参照は LDAP クライアントが要求されたエントリーが含まれるサーバーを見つけようと試みます。Directory Server インスタンスごとに 1 つの参照のみが許可されますが、この参照は複数の値を持つことができます。
TLS 通信を使用するには、参照属性は ldaps://
server-location の形式で指定する必要があります。
Start TLS は参照をサポートしません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
2.1.146. nsslapd-referralmode
これが設定されている場合、この属性は接尾辞の任意のリクエストの参照を返します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-referralmode: ldap://ldap.example.com |
2.1.147. nsslapd-require-secure-binds
このパラメーターでは、ユーザーは、通常の接続ではなく、TLS、StartTLS、SASL などの保護された接続でディレクトリーに対して認証する必要があります。
これは認証されたバインドにのみ適用されます。nsslapd-require-secure-binds
がオンの場合でも、匿名バインドと非認証バインドは、標準チャンネルで完了できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-require-secure-binds: on |
2.1.148. nsslapd-requiresrestart
このパラメーターには、変更後にサーバーを再起動する必要があるその他のコア設定属性がリスト表示されます。これは、nsslapd-requiresrestart
にリスト表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性のリストは、ldapsearch
で返すことができます。
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | コアサーバー設定属性 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-requiresrestart: nsslapd-cachesize |
2.1.149. nsslapd-reservedescriptors
nsslapd-reservedescriptors
属性は、インデックス管理やレプリケーションの管理など、非クライアント接続の管理用に Directory Server が予約するファイル記述子の数を指定します。
ほとんどの Directory Server インストールでは、nsslapd-reservedescriptors
属性値を変更する必要はありません。ただし、以下がすべて該当する場合には、この属性の値を増やすことを検討してください。
- サーバーが、多数のコンシューマーサーバー (10 以上) に複製される、またはサーバーが多数のインデックスファイル (30 以上) を維持している。
- サーバーが多数の LDAP 接続を処理する。
- サーバーがファイル記述子を開けないことを報告するエラーメッセージがある (実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なります)。ただし、これらのエラーメッセージは、クライアントの LDAP 接続の管理と 無関係 である。
この属性の値を増やすと、ディレクトリーにアクセスできない LDAP クライアントの数が増加する可能性があります。nsslapd-reservedescriptors
値を増やすとともに、nsslapd-maxdescriptors
属性の値も増やす必要があります。オペレーティングシステムがプロセスに使用を許可するファイル記述子の最大数をサーバーがすでに使用している場合、nsslapd-maxdescriptors
の値を増やすことができない可能性があります。この場合、LDAP クライアントが代替ディレクトリーレプリカを検索することで、サーバーの負荷を軽減します。詳細は、オペレーティングシステムのドキュメントと nsslapd-maxdescriptors 属性の説明 を参照してください。
nsslapd-reservedescriptors
属性に設定されたファイル記述子の数を計算するには、次の式を使用します。
nsslapd-reservedescriptor = 20 + (pass:quotes[NldbmBackends] * 4) + pass:quotes[NglobalIndex] + pass:quotes[ReplicationDescriptor] + pass:quotes[ChainingBackendDescriptors] + pass:quotes[PTADescriptors] + pass:quotes[SSLDescriptors]
- NldbmBackends は、ldbm データベースの数です。
- NglobalIndex は、システムインデックスを含むすべてのデータベースに設定されたインデックスの合計数です。(デフォルトでは 8 のシステムインデックスと、データベースごとに追加インデックス 17)
- ReplicationDescriptor は、8 に加えて、サプライヤーやハブとして機能するサーバー内のレプリカの数 (NSupplierReplica) です。
-
ChainingBackendDescriptors は、NchainingBackend に nsOperationConnectionsLimit (チェーンまたはデータベースリンクの設定属性で、デフォルトは
10
) をかけたものです。 -
PTADescriptorsは、PTA が設定されている場合は
3
、PTA が設定されていない場合は0
です。 -
TLS が設定されている場合、SSLDescriptors は
5
(4 ファイル + 1 listensocket) であり、TLS が設定されていない場合には0
になります。
サーバーを再起動して変更を適用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 65535 |
デフォルト値 | 64 |
構文 | 整数 |
例 | nsslapd-reservedescriptors: 64 |
2.1.150. nsslapd-return-exact-case
クライアントによって要求される属性タイプ名の正確なケースを返します。LDAPv3 準拠のクライアントは属性名のケースを無視する必要がありますが、一部のクライアントアプリケーションは、検索や変更操作の結果として Directory Server によって属性が返される際に、その属性がスキーマに記載されているとおりに属性名が一致する必要があります。ただし、ほとんどのクライアントアプリケーションは属性に大文字と小文字を無視します。したがって、デフォルトではこの属性は無効になっています。サーバーから返される属性名のケースを確認するレガシークライアントがない限り、変更しないでください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-return-exact-case: off |
2.1.151. nsslapd-return-original-entrydn
nsslapd-return-original-entrydn
パラメーターを使用して、検索操作中に Directory Server がエントリーの識別名 (DN) をクライアントアプリケーションに返す方法を管理します。
nsslapd-return-original-entrydn
パラメーターが on
に設定されている場合、Directory Server は、操作属性 dsEntryDN
から値を取得することによって、最初にデータベースに追加されたときとまったく同じ DN を返します。したがって、エントリー uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を追加または変更した場合、Directory Server はそのエントリーに対して同じ DN uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を返します。
nsslapd-return-original-entrydn
パラメーターが off
に設定されている場合、Directory Server はエントリーの Relative DN (RDN) とベース DN を組み合わせてエントリー DN を生成します。Directory Server は、エントリーのベース DN を、操作属性 nsslapd-suffix
の cn=userroot,cn=ldbm database,cn=plugins,cn=config
の下のデータベース接尾辞設定に保存します。したがって、エントリー uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を追加しても、ベース DN が ou=people,dc=example,dc=com
である場合、Directory Server は検索時に uid=User,ou=people,dc=example,dc=com
を返します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-return-original-entrydn: on |
2.1.152. nsslapd-rewrite-rfc1274
この属性は非推奨となり、今後のバージョンで削除されます。
この属性は、RFC 1274 の名前で属性タイプを返す必要がある LDAPv2 クライアントにのみ使用されます。これらのクライアントで値を on
に設定します。デフォルトは off
です。
2.1.153. nsslapd-rootdn
この属性は、アクセス制御の制限を受けないエントリーの識別名 (DN)、ディレクトリーの操作に対する管理制限、または一般的にリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトではこの DN のエントリーはありません。したがって、cn=Directory Manager
などの値は受け入れ可能です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な識別名 |
デフォルト値 | |
構文 | DN |
例 | nsslapd-rootdn: cn=Directory Manager |
2.1.154. nsslapd-rootpw
この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、nsslapd-rootpwstoragescheme
属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示すると、この属性に値 *
が表示されます。dse.ldif
ファイルから表示すると、この属性には、暗号化方法の後にパスワードの暗号化された文字列が表示されます。この例は、実際のパスワードではなく、dse.ldif
ファイルに表示されるパスワードを示しています。
ルート DN がサーバーの設定になっている場合は、root パスワードが必要です。ただし、ファイルを直接編集して、root パスワードを dse.ldif
から削除できます。この場合、ルート DN は、匿名のアクセスに対してはディレクトリーへの同じアクセスのみを取得できます。Root DN がデータベースに対して設定されている場合、root パスワードが dse.ldif
で定義されているようにしてください。pwdhash
コマンドラインユーティリティーは、新しい root パスワードを作成できます。
コマンドラインから Directory Manager のパスワードをリセットする場合は、パスワードに 中括弧 ({}
) を使用しないでください。Root パスワードは {password-storage-scheme}hashed_password 形式で保存されます。中括弧内の文字は、サーバーによって root パスワードストレージスキームとして解釈されます。そのテキストが有効なストレージスキームではない場合や、次のパスワードが適切にハッシュ化されない場合、Directory Manager はサーバーにバインドできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」 で説明されている暗号化方法のいずれかで暗号化されている有効なパスワード。 |
デフォルト値 | |
構文 | DirectoryString {encryption_method }encrypted_Password |
例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
2.1.155. nsslapd-rootpwstoragescheme
この属性は、nsslapd-rootpw
属性に保存されている Directory Server のマネージャーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」を参照してください。 |
デフォルト値 | PBKDF2-SHA512 |
構文 | DirectoryString |
例 | nsslapd-rootpwstoragescheme: PBKDF2-SHA512 |
2.1.156. nsslapd-rundir
このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
デフォルト値 | /var/run/dirsrv/ |
構文 | DirectoryString |
例 | nsslapd-rundir: /var/run/dirsrv/ |
2.1.157. nsslapd-sasl-mapping-fallback
デフォルトでは、最初に一致する SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能する可能性のあるマッピングが他にあっても、バインド操作は失敗します。SASL マッピングフォールバックは、一致するすべてのマッピングをチェックし続けます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-sasl-mapping-fallback: off |
2.1.158. nsslapd-sasl-max-buffer-size
この属性は、最大 SASL バッファーサイズを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 67108864 (64 キロバイト) |
構文 | 整数 |
例 | nsslapd-sasl-max-buffer-size: 67108864 |
2.1.159. nsslapd-saslpath
Cyrus-SASL SASL2 プラグインを含むディレクトリーに絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは非標準の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定され、Red Hat ではこの属性を変更しないことを強く推奨します。属性が存在しないか、値が空の場合は、Directory Server は、正しいバージョンであるシステムによって提供される SASL プラグインライブラリーを使用していることを意味します。
このパラメーターが設定されている場合、サーバーは SASL プラグインを読み込むために指定されたパスを使用します。このパラメーターが設定されていない場合、サーバーは SASL_PATH
環境変数を使用します。nsslapd -saslpath
または SASL_PATH
が設定されていない場合、サーバーはデフォルトの場所である /usr/lib/sasl2
から SASL プラグインの読み込みを試行します。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | プラグインディレクトリーへのパス。 |
デフォルト値 | プラットフォーム依存 |
構文 | DirectoryString |
例 | nsslapd-saslpath: /usr/lib/sasl2 |
2.1.160. nsslapd-schemacheck
この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on
の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマは、オブジェクトクラスおよび属性タイプを使用して拡張できます。
Red Hat は、スキーマチェックをオフにしないことを強く推奨します。これにより、深刻な相互運用性の問題が発生する可能性があります。これは通常、Directory Server にインポートする必要がある、非常に古い、または標準以外の LDAP データに使用されます。この問題の影響を受けるエントリーが多数ある場合は、これらのエントリーに extensibleObject
オブジェクトクラスを使用してエントリーごとにスキーマチェックを無効にすることを検討してください。
スキーマのチェックは、ldapmodify
などの LDAP クライアントを使用してデータベースが変更された場合や、ldif2db
を使用して LDIF からデータベースをインポートする際にデフォルトで機能します。スキーマチェックをオフにする場合は、すべてのエントリーを手動で検証して、スキーマに準拠することを確認する必要があります。スキーマチェックが有効な場合、サーバーはエラーメッセージをリストし、スキーマに一致しないエントリーをリスト表示します。LDIF ステートメントで作成された属性とオブジェクトクラスの両方がスペルが正しく、dse.ldif
で識別されていることを確認します。スキーマディレクトリーに LDIF ファイルを作成するか、その要素を 99user.ldif
に追加します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-schemacheck: on |
2.1.161. nsslapd-schemadir
これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーが起動すると、このディレクトリーからスキーマファイルを読み取ります。スキーマが LDAP ツールで変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID で所有され、そのユーザーにはディレクトリーへの読み書きパーミッションがなければなりません。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なパス |
デフォルト値 | /etc/dirsrv/instance_name/schema |
構文 | DirectoryString |
例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
2.1.162. nsslapd-schema-ignore-trailing-spaces
オブジェクトクラス名の末尾を無視します。デフォルトでは、属性はオフになっています。ディレクトリーに、1 つ以上のスペースで終わるオブジェクトクラス値を持つエントリーが含まれている場合は、この属性をオンにします。LDAP 標準では許可しないため、末尾のスペースを削除することが推奨されます。
パフォーマンス上の理由から、変更を反映するには、サーバーを再起動する必要があります。
末尾のスペースを含むオブジェクトクラスがエントリーに追加されると、デフォルトでエラーが返されます。さらに、(オブジェクトクラスの拡張および不明な場合)add、modify、および import などの操作時に、末尾のスペースは無視されます (適切な場合)。これは、nsslapd-schema-ignore-trailing-spaces
を on
にした場合でも、top
がすでに存在している場合に、top
のような値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-schema-ignore-trailing-spaces: on |
2.1.163. nsslapd-schemamod
オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効になっている場合は、このパラメーターを off
に設定するとパフォーマンスが向上します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-schemamod: on |
2.1.164. nsslapd-schemareplace
cn=schema
エントリーで属性値を置き換える変更操作が許可されるかどうかを決定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off | replication-only |
デフォルト値 | replication-only |
構文 | DirectoryString |
例 | nsslapd-schemareplace: replication-only |
2.1.165. nsslapd-search-return-original-type-switch
検索に渡される属性リストにスペースと他の文字が含まれる場合には、同じ文字列がクライアントに返されます。以下に例を示します。
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
この動作はデフォルトでは無効にされますが、この設定パラメーターを使用して有効にできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-search-return-type-switch: off |
2.1.166. nsslapd-securelistenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。単一のホスト名に関連付けられる IP アドレスは複数あり、これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。また、このパラメーターは、通常の LDAP 接続ではなく、TLS トラフィックに使用するインターフェイスを設定します。
ホスト名が nsslapd-securelistenhost
値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一の IP インターフェイス (IPv4 または IPv6) が nsslapd-securelistenhost
の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | セキュアなホスト名、IPv4 アドレスまたは IPv6 アドレス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-securelistenhost: ldaps.example.com |
2.1.167. nsslapd-securePort
この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024
未満の場合は、Directory Server を root
で 起動する必要があります。サーバーは、起動後にその uid
を nsslapd-localuser
値に設定します。
サーバーは、秘密鍵と証明書で設定され、nsslapd-security
が on
に設定されている場合にのみこのポートをリッスンします。それ以外の場合は、このポートでリッスンしません。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 65535 |
デフォルト値 | 636 |
構文 | 整数 |
例 | nsslapd-securePort: 636 |
2.1.168. nsslapd-securitylog-compress
Directory Server は、デフォルトでローテーションされたセキュリティーログを圧縮します。nsslapd-securitylog-compress
属性を使用して、セキュリティーログファイルの圧縮を管理します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-securitylog-compress: オン |
2.1.169. nsslapd-security
この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続に対して on
に設定する必要があります。セキュリティー上で実行するには、他の TLS 設定に加えて、秘密鍵とサーバー証明書でサーバーを設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-security: off |
2.1.170. nsslapd-securitylog
nsslapd-securitylog
属性は、認証攻撃、認可の問題、DOS/TCP 攻撃、その他のセキュリティーイベントを記録する特殊なセキュリティーログのパスとファイル名を設定します。
セキュリティーログを有効にするには、nsslapd-securitylog
属性に有効なパスが必要です。また、nsslapd-securitylog-logging-enabled
設定属性が on
に設定されている必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance_name/security |
構文 | DirectoryString |
例 | nsslapd-securitylog: /var/log/dirsrv/slapd-instance_name/security |
2.1.171. nsslapd-securitylog-list
nsslapd-securitylog-list
属性は、セキュリティーログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-securitylog-list: securitylog2,securitylog3 |
2.1.172. nsslapd-securitylog-logbuffering
off
に設定すると、サーバーはすべてのセキュリティーログエントリーをディスクに直接書き込みます。バッファリングを使用すると、サーバーは高負荷下でもパフォーマンスに影響を与えることなくセキュリティーログを使用します。ただし、デバッグするときは、ログエントリーがファイルにフラッシュされるのを待たずに、操作とその結果をすぐに確認できるようにバッファリングを無効にします。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-security-logbuffering: オン |
2.1.173. nsslapd-securitylog-logging-enabled
nsslapd-securitylog-logging-enabled
属性は、セキュリティーログのオンとオフを切り替えます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-security-logging-enabled: on |
2.1.174. nsslapd-securitylog-logexpirationtime
nsslapd-securitylog-logexpirationtime
属性は、セキュリティーログファイルが削除されるまでの最大保存期間を設定します。
nsslapd-securitylog-logexpirationtimeunit
属性がログに使用する単位 (日、週、月など) を指定する場合、nsslapd-securitylog-logexpirationtime
属性はその単位の 数 のみを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | 12 |
構文 | 整数 |
例 | nsslapd-securitylog-logexpirationtime: 12 |
2.1.175. nsslapd-securitylog-logexpirationtimeunit
nsslapd-securitylog-logexpirationtimeunit
属性は、nsslapd-securitylog-logexpirationtime
属性の単位を設定します。セキュリティーログの最大保存期間の単位を指定しなかった場合、またはサーバーが単位を認識しない場合、ログは期限切れになりません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-securitylog-logexpirationtimeunit: week |
2.1.176. nsslapd-securitylog-logminfreediskspace
nsslapd-securitylog-logminfreediskspace
属性は、許容される最小空きディスク容量をメガバイト単位で設定します。ディスクの空き容量がこの属性で指定された値を下回ると、サーバーは十分なディスク容量が確保されるまで最も古いセキュリティーログを削除します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-securitylog-logminfreediskspace: 5 |
2.1.177. nsslapd-securitylog-logrotationsync-enabled
nsslapd-securitylog-logrotationsync-enabled
属性は、セキュリティーログのローテーションを 1 日の特定の時刻と同期する必要があるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
セキュリティーログのローテーションを時刻と同期するには、nsslapd-securitylog-logrotationsync-enabled
属性を有効にし、nsslapd-securitylog-logrotationsynchour
属性および nsslapd-securitylog-logrotationsyncmin
属性を設定する必要があります。
たとえば、セキュリティーログファイルを毎日午前 0 時にローテーションするには、この属性の値を on
に設定して有効にし、次に nsslapd-securitylog-logrotationsynchour
属性と nsslapd-securitylog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-securitylog-logrotationsync-enabled: off |
2.1.178. nsslapd-securitylog-logrotationsynchour
nsslapd-securitylog-logrotationsynchour
属性は、セキュリティーログローテーションの時刻 (時) を設定します。この属性は、nsslapd-securitylog-logrotationsync-enabled
属性および nsslapd-securitylog-logrotationsyncmin
属性と一緒に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationsynchour: 23 |
2.1.179. nsslapd-securitylog-logrotationsyncmin
nsslapd-securitylog-logrotationsyncmin
属性は、セキュリティーログをローテーションする時刻 (分) を設定します。この属性は、nsslapd-securitylog-logrotationsync-enabled
属性および nsslapd-securitylog-logrotationsynchour
属性と一緒に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationsyncmin: 30 |
2.1.180. nsslapd-securitylog-logrotationtime
nsslapd-securitylog-logrotationtime
属性は、セキュリティーログファイルのローテーション間隔を定める時間の単位の 数 を設定します。別の設定属性 nsslapd-securitylog-logrotationtimeunit
を使用して、単位 (日、週、月など) を設定します。
nsslapd-securitylog-maxlogsperdir
属性が 1
に設定されている場合、サーバーは nsslapd-securitylog-logrotationtime
属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
ログローテーションなし ポリシーを指定するには、2 つの方法を使用できます。nsslapd-securitylog-maxlogsperdir
属性の値を 1
に設定するか、nsslapd-securitylog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-securitylog-maxlogsperdir
属性をチェックし、属性の値が 1
より大きい場合は、次に nsslapd-securitylog-logrotationtime
属性をチェックします。詳細は、「nsslapd-securitylog」 を参照してください。
ログローテーションなし ポリシーを使用すると、ログが無制限に増大し、サーバーのパフォーマンスに影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。-1 の値は、セキュリティーログファイルのローテーション間隔が無制限であることを意味します。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationtime: 5 |
2.1.181. nsslapd-securitylog-logrotationtimeunit
nsslapd-securitylog-logrotationtimeunit
属性は、nsslapd-securitylog-logrotationtime
(セキュリティーログローテーション時間) の 単位 を設定します。セキュリティーログのローテーションポリシーの単位を指定しなかった場合、またはサーバーが単位を認識しない場合、ログは期限切れになりません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-securitylog-logrotationtimeunit: week |
2.1.182. nsslapd-securitylog-maxlogsize
nsslapd-securitylog-maxlogsize
属性は、最大セキュリティーログサイズをメガバイト単位で設定します。この属性の値に達すると、Directory Server はセキュリティーログをローテーションし、新しいログファイルへのログ情報の書き込みを開始します。nsslapd-securitylog-maxlogsperdir
が 1
に設定されている場合、サーバーは nsslapd-securitylog-maxlogsize
属性を無視します。
最大ログサイズを設定するときは、次の点を考慮してください。
- ログファイルのローテーションにより作成できるログファイルの総数。
- Directory Server は、アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログの 5 つの異なるログファイルを維持します。各ログファイルはディスク領域を消費します。
これらの考慮事項を、セキュリティーログ用に設定するディスク領域の合計と比較してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。-1 の値は、ログファイルのサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-securitylog-maxlogsize: 100 |
2.1.183. nsslapd-securitylog-maxlogsperdir
nsslapd-securitylog-maxlogsperdir
属性は、Directory Server がログファイルディレクトリーに保存するセキュリティーログの総数を設定します。セキュリティーログがローテーションされるたびに、新しいログファイルが作成されます。セキュリティーログディレクトリーに含まれるファイルの数が nsslapd-securitylog-maxlogsperdir
属性の値を超えると、Directory Server はログファイルの最も古いバージョンを削除します。
nsslapd-securitylog-maxlogsperdir
属性の値が 1
より大きい場合は、nsslapd-securitylog-logrotationtime
属性を確認して、ログローテーションが設定されているかどうかを確認します。nsslapd-securitylog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-securitylog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-securitylog-maxlogsperdir: 5 |
2.1.184. nsslapd-securitylog-mode
nsslapd-securitylog-mode
属性は、Directory Server がセキュリティーログファイルを作成する際のアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定したアクセスモードは、サーバーが作成する新しいログにのみ影響します。このモードは、ログが新しいファイルにローテーションされるときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-securitylog-mode: 600 |
2.1.185. nsslapd-sizelimit
この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns-slapd
は検索要求に一致するエントリーと、超過サイズ制限エラーを返します。
制限が設定されていない場合、ns-slapd
は見つかった数に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif
ファイルでこの属性に -1
の値を指定します。
この制限は、組織に関係なくすべてのユーザーに適用されます。
dse.ldif
ファイルのこの属性に対する -1
の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限は使用されません。これは有効な整数ではないため、dse.ldif
ファイルには null 値を指定できません。0
に設定すると、検索ごとに size limit exceeded
が返されます。
対応するユーザーレベルの属性は nsSizeLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 2000 |
構文 | 整数 |
例 | nsslapd-sizelimit: 2000 |
2.1.186. nsslapd-snmp-index
このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。
ポート 389 で、ポート 389 がすべてリッスンしている同じホストに複数の Directory Server インスタンスがある場合、このパラメーターを使用すると、インスタンスごとに異なる SNMP インデックス番号を設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-snmp-index: 0 |
2.1.187. nsslapd-ssl-check-hostname
この属性は、提示される証明書のサブジェクト名 (subjectDN
フィールド) の共通名 (cn
) 属性に割り当てられた値に対してホスト名を照合することにより、TLS 対応の Directory Server が要求の信頼性を検証するかどうかを設定します。デフォルトでは、属性は on
に設定されます。有効で、ホスト名が証明書の cn
属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。
たとえば、複製された環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないと、以下のようなメッセージがサプライヤーサーバーのログファイルに記録されます。
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 - Unable to communicate securely with peer: requested domain name does not match the server's certificate.) [DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636): Replication bind with SSL client authentication failed: LDAP error 81 (Can't contact LDAP server)
Red Hat は、MITM (MITM) 攻撃で、Directory Server のアウトバウンド TLS 接続を保護するために、この属性をオンにすることを推奨します。
これを機能させるには、DNS と逆引き DNS が正しく設定されている必要があります。そうしないと、サーバーは、証明書のサブジェクト名に対してピア IP アドレスを、証明書のサブジェクト DN で解決できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ssl-check-hostname: on |
2.1.188. nsslapd-SSLclientAuth
Nsslapd-SSLclientAuth
パラメーターは今後のリリースで非推奨となり、現時点では後方互換性のために維持されます。代わりに cn=encryption,cn=config
に保存されている新しいパラメーター nsSSLClientAuth
を使用してください。「nsSSLClientAuth」を参照してください。
2.1.189. nsslapd-statlog-level
nsslapd-statlog-level
パラメーターを使用すると、Directory Server のパフォーマンスに影響を与えることなく、操作ごとの統計情報をアクセスログに記録できます。
Directory Server は、検索操作中に使用されるインデックスに関連する統計の収集をサポートします。nsslapd-statlog-level
を 1
に設定すると、アクセスログはインデックス内の各キーのインデックス検索 (データベース読み取り操作) の数の収集を開始します。
たとえば、ディレクトリーに値が user_
で始まる 100 万件の uid
エントリーがあり、検索操作でフィルター (uid=user_*)
を使用するとします。Directory Server は、^us
、use
、ser
、および er_
インデックスキーを作成します。nsslapd-statlog-level=1
を設定すると、アクセスログに次の情報が表示されます。
STAT read index: attribute=uid key(sub)=er_ count 1000000 STAT read index: attribute=uid key(sub)=ser count 1000000 STAT read index: attribute=uid key(sub)=use count 1000000 STAT read index: attribute=uid key(sub)=^us count 1000000 STAT read index: duration 0.001010276
検索の数とインデックス検索の全体的な継続時間を把握することは、(uid=user_*)
などのフィルターのコストが高い理由を診断するのに役立ちます。
変更を適用するにはサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
|
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-statlog-level: 1 |
2.1.190. nsslapd-syntaxcheck
この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプに必要な構文に準拠することを確認します。この属性が有効になっていると、適切な構文に準拠しない変更は拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。
デフォルトでは、これはオンになっています。
構文の検証は、新規または変更された属性に対してのみ実行されます。既存の属性値の構文は検証されません。追加や変更などの LDAP 操作の構文検証がトリガーされます。元のサプライヤーで属性構文の有効性をチェックする必要があるため、レプリケーションなどの操作後には起こりません。
これは、バイナリー構文 (検証できない) および標準以外の構文 (定義された必要な形式がない) を除き、Directory Server でサポートされる属性タイプをすべて検証します。未検証 の構文は以下のとおりです。
- Fax (バイナリー)
- OctetString (binary)
- JPEG (バイナリー)
- バイナリー (標準以外)
- スペースに依存しない文字列 (非標準)
- URI (標準以外)
Nsslapd-syntaxcheck
属性は、属性の変更を検証および拒否するかどうかを設定します。これは、nsslapd-syntaxlogging 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nnsslapd-syntaxcheck: on |
2.1.191. nsslapd-syntaxlogging
この属性は、構文検証の失敗をエラーログに記録するかどうかを設定します。デフォルトでは、これはオフになっています。
nsslapd-syntaxcheck 属性が有効 (デフォルト) で、nsslapd-syntaxlogging
属性も有効になっている場合、無効な属性の変更は拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging
のみが有効で、nsslapd-syntaxcheck
が無効になっている場合は、無効な変更を続行できますが、警告メッセージがエラーログに書き込まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nnsslapd-syntaxlogging: off |
2.1.192. nsslapd-threadnumber
このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値が -1
(デフォルト) に設定されている場合、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。Auto-tuning が有効になっている場合、nsslapd-threadnumber
は、Directory Server の実行中に自動生成されたスレッド数を表示することに注意してください。
Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 からシステムのスレッドおよびプロセッサーでサポートされるスレッドの最大数。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-threadnumber: -1 |
2.1.193. nsslapd-timelimit
この属性は、検索要求に割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は、検索要求に一致するエントリーと、超過時間制限エラーを返します。
制限が設定されていない場合、ns-slapd
は完了する時間に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif
ファイルでこの属性に -1
の値を指定します。0
ゼロの値を指定すると、検索に時間が許可されません。最小の時間制限は 1 秒です。
dse.ldif
のこの属性に対する -1
の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限が使用されないようになります。ただし、サーバーコンソールではこのフィールドで負の整数を設定できず、有効な整数ではないため、dse.ldif
エントリーに null 値を使用することはできません。
対応するユーザーレベルの属性は nsTimeLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647)(秒単位) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsslapd-timelimit: 3600 |
2.1.194. nsslapd-tmpdir
これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID で所有され、ユーザーには読み取りおよび書き込みアクセスが必要です。他のユーザー ID はディレクトリーに読み取りや書き込みを行うべきではありません。デフォルト値は /tmp
です。
この属性への変更は、サーバーが再起動するまで反映されません。
2.1.195. nsslapd-unhashed-pw-switch
userPassword
属性 を更新すると、Directory Server はパスワードを暗号化し、userPassword
に保存します。ただし、Active Directory (AD) とパスワードを同期する場合など、特定の状況では、Directory Server は暗号化されていないパスワードをプラグインに渡す必要があります。この場合、サーバーは、entry extension
と呼ばれる一時的な unhashed#user#password
属性に暗号化されていないパスワードを保存し、シナリオに応じて changelog にも格納します。Directory Server は、サーバーのハードディスクに unhashed#user#password
属性を保存しないことに注意してください。
nsslapd-unhashed-pw-switch
パラメーターは、Directory Server が暗号化されていないパスワードを保存するかどうかと方法を制御します。たとえば、Directory Server から Active Directory にパスワードを同期するには、nsslapd-unhashed-pw-switch
を on
に設定する必要があります。
パラメーターは以下のいずれかの値に設定できます。
-
off
: Directory Server は、暗号化されていないパスワードをエントリー拡張や changelog に保存しません。AD とパスワードの同期を使用しない場合や、暗号化されていないパスワードへのアクセスを必要とするプラグインを使用する場合は、この値を設定します。 -
on
: Directory Server は、暗号化されていないパスワードをエントリー拡張と changelog に保存します。AD とパスワードの同期を設定する場合は、この値を設定します。 -
nolog
: Directory Server は、暗号化されていないパスワードをエントリー拡張にのみ保存しますが、changelog には保存しません。ローカルの Directory Server プラグインが暗号化されていないパスワードへのアクセスを必要とするが、AD とパスワードの同期を設定しない場合は、この値を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | off | on | nolog |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-unhashed-pw-switch: off |
2.1.196. nsslapd-validate-cert
Directory Server が TLS で実行されるように設定され、証明書の有効期限が切れると、Directory Server を起動できません。nsslapd-validate-cert
パラメーターは、期限切れの証明書で起動しようとすると Directory Server がどのように応答するかを設定します。
-
warn
により、Directory Server は期限切れの証明書で正常に起動できますが、証明書の有効期限が切れているという警告メッセージが送信されます。これはデフォルト設定です。 -
on
では、証明書を検証します。また、証明書の有効期限が切れるとサーバーが再起動できなくなります。これにより、期限切れの証明書のハード障害が設定されます。 -
off
は、すべての証明書の有効期限の検証を無効にするため、サーバーは警告をログに記録せずに期限切れの証明書で起動できるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | warn | on | off |
デフォルト値 | warn |
構文 | DirectoryString |
例 | nsslapd-validate-cert: warn |
2.1.197. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema
パラメーターは、Directory Server がスキーマで指定されていない属性で検索フィルターを検証する方法を定義します。
nsslapd-verify-filter-schema
を以下のオプションのいずれかに設定できます。
-
reject-invalid
: Directory Server は、不明な要素が含まれる場合、エラーを出してフィルターを拒否します。 process-safe
: Directory Server は不明なコンポーネントを空のセットに置き換え、警告を/var/log/dirsrv/slapd-instance_name/access
ログファイルのnotes=F
フラグで記録します。nsslapd-verify-filter-schema
をwarn-invalid
またはoff
からprocess-safe
に切り替える前に、アクセスログを監視し、notes=F
フラグでログエントリーを発生させるアプリケーションからのクエリーを修正してください。そうしないと、操作結果が変更され、Directory Server が一致するすべてのエントリーを返さない可能性があります。-
warn-invalid
: Directory Server は、/var/log/dirsrv/slapd-instance_name/access
ログファイル内のnotes=F
フラグで警告を記録し、完全なデータベースをスキャンし続けます。 -
off
: Directory Server はフィルターを検証しません。
たとえば、nsslapd-verify-filter-schema
を warn-invalid
または off
に設定した場合、(&(non_exististent_attribute=example)(uid=user_name))
などのフィルターは uid=user_name
エントリーを評価し、non_exististent_attribute=example
が含まれている場合にのみそれを返すことに注意してください。nsslapd-verify-filter-schema
を process-safe
に設定した場合、Directory Server はそのエントリーを評価せず、返しません。
nsslapd-verify-filter-schema
を reject-invalid
または process-safe
に設定すると、スキーマで指定されていない属性のインデックス付けされていない検索による高負荷を防ぐことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | reject-invalid、process-safe、warn-invalid、off |
デフォルト値 | process-safe |
構文 | DirectoryString |
例 | nsslapd-verify-filter-schema: process-safe |
2.1.198. nsslapd-versionstring
この属性は、サーバーのバージョン番号を設定します。バージョン文字列が表示されると、ビルドデータが自動的に追加されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なサーバーのバージョン番号。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-versionstring: Red Hat-Directory/{VER} |
2.1.199. nsslapd-workingdir
これは、サーバーが起動後に現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、サーバーが getcwd()
関数の値として返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示する値です。これは、コアファイルが生成されるディレクトリーです。サーバーのユーザー ID には、ディレクトリーへの読み取りおよび書き込みアクセス権が必要です。また、他のユーザー ID には、ディレクトリーへの読み取りまたは書き込みアクセス権がありません。この属性のデフォルト値は、エラーログを含む同じディレクトリーであり、通常は /var/log/dirsrv/slapd-instance
です。
この属性への変更は、サーバーが再起動するまで反映されません。
2.1.200. nsslapd-numlisteners
nsslapd-numlisteners
属性は、確立された接続を監視するために Directory Server が使用できるリスナースレッドの数を指定します。属性値を増やすことで、サーバーで多数のクライアント接続が発生した場合の応答時間を改善できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 1 - 4 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-numlisteners: 2 |
nsslapd-numlisteners
属性の値を変更した後は、サーバーを再起動する必要があります。
2.1.201. passwordAdminSkipInfoUpdate
cn=config
エントリーで新しい passwordAdminSkipInfoUpdate: on/off
設定を使用すると、パスワード管理者が管理するパスワード更新をきめ細かく制御できます。この設定を on
にすると、Directory Server はパスワードのみを更新し、passwordHistory
、passwordExpirationTime
、passwordRetryCount
、pwdReset
、passwordExpWarned
などの属性は更新しません。
パスワード管理者は、この設定を使用することで、passwordExpirationTime
属性と pwdMustChange
属性を使用するグローバルおよびローカルなログインポリシーで設定された、パスワード構文チェックとパスワード有効期限設定を回避できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordAdminSkipInfoUpdate: on |
2.1.202. passwordAllowChangeTime
この属性は、ユーザーがパスワードを変更できるようになるまでに経過する必要のある時間の長さを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数 |
デフォルト値 | |
構文 | DirectoryString |
例 | passwordAllowChangeTime: 5h |
2.1.203. passwordBadWords
passwordBadWords
パラメーターは、ユーザーがパスワードで使用できない文字列のコンマ区切りリストを定義します。
Directory Server は文字列の大文字と小文字を区別しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | "" |
構文 | DirectoryString |
例 | passwordBadWords: example |
2.1.204. passwordChange
ユーザーがパスワードを変更できるかどうかを示します。
これは、pwdAllowUserChange
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordChange: on |
2.1.205. passwordCheckSyntax
この属性は、パスワードを保存する前にパスワード構文をチェックするかどうかを設定します。パスワードの構文チェックメカニズムは、パスワードがパスワードの最小長要件を満たしているかどうか、また、文字列にユーザー名やユーザー ID、ユーザーのディレクトリーエントリーの uid
、cn
、sn
、givenName
、ou
、または mail
属性に格納されている属性値など、簡単な単語が含まれていないかどうかをチェックします。
パスワード構文には、チェック用のいくつかの異なるカテゴリーが含まれています。
- パスワード内の普通の単語をチェックするときに比較するのに使用する文字列またはトークンの長さ (たとえば、トークンの長さが 3 の場合、パスワードに使用するユーザーの UID、名前、電子メールアドレス、またはその他のパラメーターに 3 つの連続する文字の文字列を含めることはできません)
- 数字の最小文字数 (0〜9)
- 大文字の ASCII アルファベットの最小数
- 小文字の ASCII アルファベットの最小数
-
!@#$
などの特殊 ASCII 文字の最小数 - 8 ビット文字の最小数
- パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字、小文字、特殊文字、数字、または 8 ビット文字
これは、pwdCheckSyntax
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordCheckSyntax: off |
2.1.206. passwordDictCheck
on
に設定すると、passwordDictCheck
パラメーターはパスワードを CrackLib
ディクショナリーと照合します。新しいパスワードに辞書の単語が含まれている場合、Directory Server はパスワードを拒否します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordDictCheck: off |
2.1.207. passwordExp
指定された秒数後にユーザーパスワードの有効期限が切れるかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、passwordMaxAge
属性を使用して、パスワードの有効期限が切れるまでの秒数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordExp: on |
2.1.208. passwordExpirationTime
この属性は、ユーザーのパスワードの有効期限が切れるまでに経過する時間の長さを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の日付 (整数) |
デフォルト値 | none |
構文 | GeneralizedTime |
例 | passwordExpirationTime: 202009011953 |
2.1.209. passwordExpWarned
この属性は、パスワードの有効期限の警告がユーザーに送信されたことを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | true | false |
デフォルト値 | none |
構文 | DirectoryString |
例 | passwordExpWarned: true |
2.1.210. passwordGraceLimit
この属性は、パスワードの有効期限が有効になっている場合にのみ適用されます。ユーザーのパスワードの有効期限が切れると、サーバーはユーザーがパスワードを変更する目的で接続できるようにします。これは、猶予ログイン と呼ばれます。サーバーは、ユーザーを完全にロックアウトする前に、特定の回数の試行のみを許可します。この属性は、許可される猶予ログインの数です。0
の値は、サーバーが猶予ログインを許可しないことを意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 (オフ) から任意の妥当な整数 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordGraceLimit: 3 |
2.1.211. passwordHistory
パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードの再利用を許可されているかどうかを示します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性が on
に設定されている場合、ディレクトリーは指定された数の古いパスワードを保存し、ユーザーが保存されたパスワードを再利用できないようにします。passwordInHistory
属性を使用して、Directory Server が保存する古いパスワードの数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordHistory: on |
2.1.212. passwordInHistory
Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードは、ユーザーが再利用することはできません。デフォルトでは、パスワード履歴機能は無効になっています。つまり、Directory Server は古いパスワードを保存しないため、ユーザーはパスワードを再利用できます。passwordHistory
属性を使用してパスワード履歴を有効にします。
ユーザーが追跡されるパスワードの数をすばやく循環するのを防ぐには、passwordMinAge
属性を使用します。
これは、pwdInHistory
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 24 個のパスワード |
デフォルト値 | 6 |
構文 | 整数 |
例 | passwordInHistory: 7 |
2.1.213. passwordIsGlobalPolicy
この属性は、パスワードポリシー属性を複製するかどうかを制御します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordIsGlobalPolicy: off |
2.1.214. passwordLegacyPolicy
従来のパスワードの動作を有効にします。古い LDAP クライアントは、最大障害制限を 超える と、ユーザーアカウントをロックするためのエラーを受け取ると予想されていました。たとえば、制限が 3 回失敗した場合は、4 回目の失敗でアカウントがロックされました。ただし、新しいクライアントは、障害制限に達したときにエラーメッセージを受信することを期待しています。たとえば、制限が 3 回失敗した場合、3 回目の失敗でアカウントをロックする必要があります。
障害制限を超えたときにアカウントをロックすることは古い動作であるため、レガシー動作と見なされます。これはデフォルトで有効になっていますが、無効にして、新しい LDAP クライアントが予想される時間にエラーを受信できるようにすることができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordLegacyPolicy: on |
2.1.215. passwordLockout
バインドの試行が一定回数失敗した後、ユーザーがディレクトリーからロックアウトされているかどうかを示します。デフォルトでは、一連のバインド試行が失敗した後、ユーザーはディレクトリーからロックアウトされません。アカウントのロックアウトが有効になっている場合は、passwordMaxFailure
属性を使用して、ユーザーがロックアウトされるまでに失敗したバインドの試行回数を設定します。
これは、pwdLockOut
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordLockout: off |
2.1.216. passwordLockoutDuration
アカウントのロックアウト後にユーザーがディレクトリーからロックアウトされるまでの時間を秒単位で示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。passwordLockout
属性を使用して、アカウントのロックアウト機能を有効または無効にします。
これは、pwdLockoutDuration
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | passwordLockoutDuration: 3600 |
2.1.217. passwordMaxAge
ユーザーパスワードの有効期限が切れるまでの秒数を示します。この属性を使用するには、passwordExp
属性を使用してパスワードの有効期限を有効にする必要があります。
これは、pwdMaxAge
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 8640000 (100 日) |
構文 | 整数 |
例 | passwordMaxAge: 100 |
2.1.218. passwordMaxClassChars
passwordMaxClassChars
パラメーターを 0
よりも大きな値に設定する場合に、Directory Server では、パラメーターに設定した値と同じカテゴリーの文字を連続して指定することができなくなります。有効にすると、Directory Server は以下のカテゴリーに含まれる、連続した文字をチェックします。
- 数字
- 英字
- 小文字
- 大文字
たとえば、passwordMaxClassChars
を 3
に設定した場合には、jdif
や 1947
などのパスワードは使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0(無効) から最大 32 ビットの整数 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxClassChars: 0 |
2.1.219. passwordMaxFailure
バインドの試行を何回失敗するとユーザーがディレクトリーからロックアウトされるかを指定します。デフォルトでは、アカウントのロックアウトは無効になっています。passwordLockout
属性を変更して、アカウントのロックアウトを有効にします。
これは、pwdMaxFailure
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 最大バインド失敗数 (1 以上の整数) |
デフォルト値 | 3 |
構文 | 整数 |
例 | passwordMaxFailure: 3 |
2.1.220. passwordMaxRepeats
パスワードに同じ文字を連続して指定できる最大回数。ゼロ (0
) はオフです。整数値は、ある文字を指定の回数以上に使用したパスワードを拒否します。たとえば、1
を指定すると、文字が複数回使用された場合 (aa
)、2
を指定すると、ある文字を複数回使用した場合に (aaa
) 拒否されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxRepeats: 1 |
2.1.221. passwordMaxSeqSets
passwordMaxSeqSets
パラメーターを 0
よりも大きな値に設定すると、Directory Server は、このパラメーターで設定した長さを超えて、同じ文字列が複数回出現するパスワードを拒否します。たとえば、passwordMaxSeqSets
を 2
に設定した場合には、パスワード azXYZ_XYZ-g
は、パスワードの中に XYZ
が 2 回出現するため使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxSeqSets: 0 |
2.1.222. passwordMaxSequence
passwordMaxSequence
パラメーターを 0
よりも大きな値に設定すると、Directory Server は、 passwordMaxSequence
に設定された値を超えて、同じ文字種が連続して出現するパスワードを拒否します。たとえば、パラメーターを 3
に設定すると、Directory Server は 1234
や dcba
などの文字列を含むパスワードを拒否します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxSequence: 0 |
2.1.223. passwordMin8Bit
これにより、パスワードに含める必要のある 8 ビット文字の最小数が設定されます。
これを使用するには、userPassword
の 7 ビットチェックを無効にする必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMin8Bit: 0 |
2.1.224. passwordMinAge
ユーザーが次にパスワードを変更するまでに待機する必要のある秒数を指定します。この属性は passwordInHistory
(記憶するパスワードの数) 属性と合わせて使用して、すぐにパスワードを循環して、以前のパスワードをもう一度使用できないようにします。0
の値は、ユーザーがすぐにパスワードを変更できることを示しています。
これは、pwdMaxFailure
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から有効な最大整数 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinAge: 150 |
2.1.225. passwordMinAlphas
この属性は、英数字のパスワードに含める必要がある最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinAlphas: 4 |
2.1.226. passwordMinCategories
これにより、パスワードで使用される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。
- 小文字の英字
- 大文字の英字
- 数値
- $ や punctuation marks など、特別な ASCII 文字
- 8 ビット文字
たとえば、この属性の値が 2
に設定され、ユーザーがパスワードを aaaaa
に変更しようとすると、小文字しか含まれないので、サーバーはパスワードを拒否します。aAaAaA
のパスワードには大文字と小文字の 2 つのカテゴリーからの文字が含まれるため、このパスワードは指定できます。
デフォルトは 3
です。つまり、パスワード構文チェックが有効な場合は、有効なパスワードには 3 つの文字カテゴリーが必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinCategories: 2 |
2.1.227. PasswordMinDigits
これにより、パスワードに含める必要のある数字の最小数が設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinDigits: 3 |
2.1.228. passwordMinLength
この属性は、Directory Server ユーザーパスワード属性で使用する必要がある文字の最小数を指定します。一般的に、パスワードが短いほど解読されやすくなります。Directory Server では、強制的にパスワードの最小長を 8 文字にします。これは、解読が難しく、ユーザーがパスワードを書き留めなくても覚えられる長さです。
これは、pwdMinLength
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 2 - 512 文字 |
デフォルト値 | 8 |
構文 | 整数 |
例 | passwordMinLength: 8 |
2.1.229. PasswordMinLowers
この属性は、小文字のパスワードに含める必要のある最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinLowers: 1 |
2.1.230. PasswordMinSpecials
この属性は、パスワードに含める必要がある 特殊 文字 (または英数字以外の文字) の最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinSpecials: 1 |
2.1.231. PasswordMinTokenLength
この属性は、簡単な 単語チェックに使用される最小の属性値の長さを設定します。たとえば、PasswordMinTokenLength
が 3
に設定されている場合には、ポリシーで givenName
の DJ
は、パスワードに DJ
が含まれていても拒否されず、givenName
の Bob
が含まれるパスワードは拒否されます。
Directory Server は、以下の属性の値に対してトークンの最小長をチェックします。
-
uid
-
cn
-
sn
-
givenName
-
mail
-
ou
Directory Server が追加の属性を確認する必要がある場合は、passwordUserAttributes
パラメーターで設定できます。詳細は、「passwordUserAttributes」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 64 |
デフォルト値 | 3 |
構文 | 整数 |
例 | passwordMinTokenLength: 3 |
2.1.232. PasswordMinUppers
これにより、パスワードに含める必要のある大文字の最小数が設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinUppers: 2 |
2.1.233. passwordMustChange
Directory Server への初回のバインド時、または Manager DN でパスワードのリセット時に、ユーザーがパスワードを変更する必要があるかどうかを示します。
これは、pwdMustChange
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordMustChange: off |
2.1.234. passwordPalindrome
passwordPalindrome
パラメーターを有効にすると、新しいパスワードに回文が含まれる場合に、Directory Server はパスワードを拒否します。
回文とは、abc11cba
など、上から読んでも、下から読んでも同じである文字列を指します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordPalindrome: off |
2.1.235. passwordResetFailureCount
パスワード障害カウンターがリセットされるまでの時間 (秒単位) を指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。passwordLockout
属性を on
に設定すると、カウンターが passwordMaxFailure
属性で指定された失敗数に達すると、ユーザーはディレクトリーからロックされます (デフォルトでは 600
秒)。passwordLockoutDuration
属性で指定された時間が経過すると、失敗カウンターはゼロ (0
) にリセットされます。
これは、pwdFailureCountInterval
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 600 |
構文 | 整数 |
例 | passwordResetFailureCount: 600 |
2.1.236. passwordSendExpiringTime
クライアントがパスワードの期限切れの制御を求めると、パスワードが警告期間内にある場合にのみ、Directory Server は有効期限までの時間の値を返します。パスワードの有効期限が警告期間内にあるかどうかにかかわらず、この値を常に返す必要のある既存のクライアントとの互換性を確保するために、passwordSendExpiringTime
パラメーターを on
に設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordSendExpiringTime: off |
2.1.237. passwordStorageScheme
この属性は、userPassword
属性に保存されているユーザーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
Red Hat は、この属性を設定しないことを推奨します。値が設定されていないと、Directory Server は、最も強力なパスワードストレージスキームを自動的に使用します。今後の Directory Server の更新で、セキュリティーを向上させるデフォルト値を変更すると、パスワードを設定する際に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
デフォルト値 | PBKDF2-SHA512 |
構文 | DirectoryString |
例 | passwordStorageScheme: PBKDF2-SHA512 |
2.1.238. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt
属性はパスワードポリシーの一部です。管理者が一時パスワードをユーザーアカウントに設定した後に、passwordTPRDelayExpireAt
は一時パスワードが期限切れになるまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRDelayExpireAt: 3600 |
2.1.239. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom
属性はパスワードポリシーの一部です。管理者が一時的なパスワードをユーザーアカウントに設定した後に、passwordTPRDelayValidFrom
は一時パスワードを使用するまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRDelayValidFrom: 60 |
2.1.240. passwordTPRMaxUse: 5
passwordTPRMaxUse
属性はパスワードポリシーの一部です。属性は、一時パスワードが期限切れになる前にユーザーが正常に認証できる回数を設定します。認証に成功すると、Directory Server では、パスワードの変更を行わないと、それ以外の操作ができないようになっています。ユーザーがパスワードを変更しないと、操作が終了します。認証が成功したかどうかにかかわらず、認証試行の回数が増えます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRMaxUse: 5 |
2.1.241. passwordTrackUpdateTime
入力パスワードを変更した最終時間専用に、別のタイムスタンプを記録するかどうかを設定します。これを有効にすると、pwdUpdateTime
操作属性をユーザーアカウントエントリーに追加します (modifyTime
などの他の更新時間と区別)。
このタイムスタンプを使用すると、Active Directory など、さまざまな LDAP ストア間でパスワードの変更の同期が容易になります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordTrackUpdateTime: off |
2.1.242. passwordUnlock
指定期間ディレクトリーからロックアウトされるか、ロックアウトされてから管理者がパスワードをリセットするまでロックアウトするかを指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。この passwordUnlock
属性を off
に設定し、操作属性 accountUnlockTime
の値が 0
である場合に、アカウントは期限なしにロックされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordUnlock: off |
2.1.243. passwordUserAttributes
デフォルトでは、passwordMinTokenLength
パラメーターにトークンの最小長を設定すると、Directory Server は特定の属性に対してのみトークンをチェックします。詳細は、「PasswordMinTokenLength」 を参照してください。
passwordUserAttributes
パラメーターを使用すると、Directory Server がチェックする必要のある属性を追加でコンマ区切りリストとして設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | "" |
構文 | DirectoryString |
例 | passwordUserAttributes: telephoneNumber, l |
2.1.244. passwordWarning
ユーザーのパスワードが失効するまで (ユーザーが次の LDAP 操作でパスワード失効の警告制御を受信するまで) の時間 (秒数) を指定します。LDAP クライアントによっては、警告の送信時にパスワードの変更を求めるプロンプトが表示される場合もあります。
これは、pwdExpireWarning
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 86400 (1 日) |
構文 | 整数 |
例 | passwordWarning: 86400 |
2.1.245. retryCountResetTime
retryCountResetTime
属性には UTC 形式の日時が含まれ、passwordRetryCount
属性が 0
にリセットされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | UTC 形式の有効なタイムスタンプ |
デフォルト値 | none |
構文 | 一般化時間 |
例 | retryCountResetTime: 20190618094419Z |
2.2. changelog 属性
changelog 属性には、changelog に記録されている変更が含まれます。
2.2.1. changeLog
この属性には、サーバーの changelog を設定するエントリーのセットを含む、エントリーの識別名が含まれます。
OID | 2.16.840.1.113730.3.1.35 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.2. changeNumber
この属性は常に存在します。これには、ディレクトリーエントリーに加えられた各変更を一意に識別する整数が含まれます。この数は、変更が発生した順序に関係します。数値が大きいほど、変更は遅くなります。
OID | 2.16.840.1.113730.3.1.5 |
構文 | 整数 |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.3. changes
この属性には、LDIF 形式で追加操作と変更操作のエントリーに加えられた変更が含まれます。
OID | 2.16.840.1.113730.3.1.8 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.4. changeTime
この属性は、エントリーの追加時に YYMMDDHHMMSS
形式で時間を定義します。
OID | 2.16.840.1.113730.3.1.77 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
2.2.5. changeType
この属性は、LDAP 操作のタイプ、追加
、削除
、変更
、または modrdn
を指定します。以下に例を示します。
changeType: modify
OID | 2.16.840.1.113730.3.1.7 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.6. deleteOldRdn
modrdn
操作の場合に、この属性は古い RDN が削除されたかどうかを指定します。
ゼロ (0
) の値は、古い RDN を削除します。0 以外の値は古い RDN を維持します。(ゼロ以外の値は、負または正の整数にすることができます。)
OID | 2.16.840.1.113730.3.1.10 |
構文 | Boolean |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.7. filterInfo
これは、レプリケーションの処理時に changelog で使用します。
OID | 2.16.840.1.113730.3.1.206 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
2.2.8. newRdn
modrdn
操作の場合、この属性はエントリーの新しい RDN を指定します。
OID | 2.16.840.1.113730.3.1.9 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.9. newSuperior
modrdn
操作の場合、この属性は移動したエントリーの新しい親 (補助) エントリーを指定します。
OID | 2.16.840.1.113730.3.1.11 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.2.10. targetDn
この属性には、LDAP 操作の影響を受けるエントリーの DN が含まれます。modrdn
操作の場合、targetDn
属性には変更または移動前のエントリーの DN が含まれます。
OID | 2.16.840.1.113730.3.1.6 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Changelog インターネットドラフト |
2.3. cn=encryption,cn=config
暗号化関連の属性は、cn=encryption,cn=config
エントリーに保存されます。cn=encryption,cn=config
エントリーは、nsslapdEncryptionConfig
オブジェクトクラスのインスタンスです。
2.3.1. allowWeakCipher
この属性は、弱い暗号を許可または拒否するかどうかを指定します。デフォルトは、nsSSL3Ciphers
パラメーターに設定した値により異なります。
暗号は、以下の場合に弱いとみなされます。
これらはエクスポート可能です。
エクスポートする暗号には、暗号名に
EXPORT
というラベルが付いています。たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5
の場合は以下のようになります。この暗号は対称的であり、3DES アルゴリズムよりも弱いです。
対称暗号は、暗号化と復号化の両方に同じ暗号鍵を使用します。
- キーの長さは 128 ビットより短いです。
この属性への変更を反映するには、サーバーを再起動する必要があります。
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 |
|
構文 | DirectoryString |
例 | allowWeakCipher: on |
2.3.2. allowWeakDHParam
Directory Server にリンクするネットワークセキュリティーサービス (NSS) ライブラリーには、最低 2048 ビット Diffie-Hellman(DH) パラメーターが必要です。ただし、Java 1.6 や 1.7 クライアントなどの Directory Server に接続する一部のクライアントは、1024 ビットの DH パラメーターのみをサポートします。allowWeakDHParam
パラメーターを使用すると、Directory Server で弱い 1024 ビットの DH パラメーターのサポートを有効にできます。
この属性への変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | allowWeakDHParam: off |
2.3.3. nsSSL3Ciphers
この属性は、暗号化された通信中に Directory Server が使用する TLS 暗号化暗号のセットを指定します。
このパラメーターに設定する値は、allowWeakCipher
パラメーターのデフォルト値に影響します。詳細は、「allowWeakCipher」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | NSS 対応の暗号のコンマ区切りリスト。さらに、以下のパラメーターを使用することもできます。 * デフォルト - 弱い暗号以外の NSS でアドバタイズされるデフォルトの暗号を有効にします。詳細は List supported cipher suites for SSL connections を参照してください。
* +all: すべての暗号が有効になります。 * -all: すべての暗号が無効になります。 |
デフォルト値 | default |
構文 | DirectoryString
無効にするにはプラス記号 (
すべての暗号を有効にするには (具体的に呼び出す必要がある |
例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
2.3.4. nsSSLActivation
この属性は、TLS 暗号ファミリーが特定のセキュリティーモジュールに対して有効になっているかどうかを示します。
エントリー DN | cn=encryptionType,cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | |
構文 | DirectoryString |
例 | nsSSLActivation: on |
2.3.5. nsSSLClientAuth
この属性は、Directory Server がクライアント認証を実施する方法を示します。次の値を取ります。
-
off
- Directory Server ではクライアント認証は使用できません。 -
allowed
(デフォルト)- Directory Server でクライアント認証は使用できますが、必須ではありません。 -
required
: すべてのクライアントはクライアント認証を使用する必要があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | off | allowed | required |
デフォルト値 | allowed |
構文 | DirectoryString |
例 | nsSSLClientAuth: allowed |
2.3.6. nsSSLEnabledCiphers
Directory Server は、複数値の nsSSLEnabledCiphers
属性を自動的に生成します。属性は読み取り専用で、現在使用している Directory Server 暗号を表示します。このリストは、nsSSL3Ciphers
属性に設定したものとは異なる場合があります。たとえば、nsSSL3Ciphers
属性に弱い暗号を設定し、allowWeakCipher
が無効な場合には、nsSSLEnabledCiphers
属性は、弱い暗号をリスト表示せず、Directory Server ではその暗号を使用しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | この属性の値は自動生成され、読み取り専用です。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.7. nsSSLPersonalitySSL
この属性には、SSL に使用する証明書名が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | 証明書のニックネーム |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLPersonalitySSL: Server-Cert |
2.3.8. nsSSLSessionTimeout
この属性は、TLS 接続の有効期間を設定します。最小タイムアウト値は 5
秒です。小さい値を設定すると、自動的に 5
秒に置き換えられます。以下の有効な範囲内の最大値より大きい値は、範囲内の最大値に置き換えられます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
Valid Range | 5 秒から 24 時間 |
デフォルト値 | 0(これは、上記の有効な範囲の最大値を使用することを意味します)。 |
構文 | 整数 |
例 | nsSSLSessionTimeout: 5 |
2.3.9. nsSSLSupportedCiphers
この属性には、サーバーでサポートされる暗号が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | 特定のファミリー、暗号、および強度の文字列 |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.10. nsSSLToken
この属性には、サーバーによって使用されるトークン (セキュリティーモジュール) の名前が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | モジュール名 |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLToken: 内部 (ソフトウェア) |
2.3.11. nsTLS1
TLS バージョン 1 を有効にします。TLS で使用される暗号は、nsSSL3Ciphers
属性で定義されます。
sslVersionMin
パラメーターおよび sslVersionMax
パラメーターが nsTLS1
と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsTLS1: on |
2.3.12. nsTLSAllowClientRenegotiation
Directory Server は、SSL_ENABLE_RENEGOTIATION
オプションを使用した SSL_OptionSet()
ネットワークセキュリティーサービス (NSS) 機能を使用して、NSS の TLS 再ネゴシエーション動作を制御します。
nsTLSAllowClientRenegotiation
属性は、Directory Server が SSL_ENABLE_RENEGOTIATION
オプションに渡す値を制御します。
-
nsTLSAllowClientRenegotiation
に指定すると、Directory Server はSSL_RENEGOTIATE_REQUIRES_XTN
をSSL_ENABLE_RENEGOTIATION
オプションに渡します。この場合、NSS は RFC 5746 を使用したセキュアな再ネゴシエーション試行を許可します。 -
nsTLSAllowClientRenegotiation: off
に指定すると、Directory Server はSSL_RENEGOTIATE_NEVER
をSSL_ENABLE_RENEGOTIATION
オプションに渡します。この場合、NSS は、安全なものでもすべての再ネゴシエーションの試行を拒否します。
NSS TLS 再ネゴシエーション動作の詳細は、Is Red Hat affected by TLS renegotiation MITM attacks (CVE-2009-3555)?の記事のThe RFC 5746 implementation in NSS (Network Security Services)セクションを参照してください。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsTLSAllowClientRenegotiation: on |
2.3.13. sslVersionMax
使用する TLS プロトコルの最大数を設定します。デフォルトでは、この値はシステムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョンに設定されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
sslVersionMin
パラメーターおよび sslVersionMax
パラメーターが nsTLS1
と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
エントリー DN | cn=encryption,cn=config |
有効な値 |
|
デフォルト値 | システムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョン |
構文 | DirectoryString |
以下に例を示します。 | sslVersionMax: TLS1.2 |
2.3.14. sslVersionMin
sslVersionMin
パラメーターは、Directory Server が使用する TLS プロトコルの最小バージョンを設定します。ただし、デフォルトでは、Directory Server は、システム全体の暗号化ポリシーに基づいてこのパラメーターを自動的に設定します。/etc/crypto-policies/config
ファイルでポリシープロファイルを以下のように設定します。
-
DEFAULT
、FUTURE
、またはFIPS
、Directory Server はsslVersionMin
をTLS1.2
に設定します。 -
LEGACY
、Directory Server はsslVersionMin
をTLS1.0
に設定します。
または、sslVersionMin
は、crypto ポリシーで定義されている値よりも高い値に手動で設定できます。
この属性への変更を反映するには、サービスを再起動する必要があります。
エントリー DN | cn=encryption,cn=config |
有効な値 |
|
デフォルト値 | 設定したシステム全体の暗号化ポリシープロファイルによって異なります。 |
構文 | DirectoryString |
以下に例を示します。 | sslVersionMin: TLS1.2 |
2.4. cn=features,cn=config
cn=features
エントリー自体には属性がありません。このエントリーは、オブジェクトクラスが nsContainer
となっている、親コンテナーエントリーとしてのみ使用されます。
子エントリーには、機能および directoryServerFeature
オブジェクトクラスを識別する oid
属性が含まれ、特定の ACL などの機能に関する識別情報のオプションも含まれます。以下に例を示します。以下に例を示します。
dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 2.16.840.1.113730.3.4.9 cn: VLV Request Control aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config createTimestamp: 20210129132357Z modifyTimestamp: 20210129132357Z
2.4.1. oid
oid
属性には、ディレクトリーサービス機能に割り当てられたオブジェクト識別子が含まれます。OID
は、これらのディレクトリー機能の命名属性として使用されます。
OID | 2.16.840.1.113730.3.1.215 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
2.5. cn=mapping tree,cn=config
接尾辞、レプリケーション、および Windows 同期の設定属性は
cn=mapping tree,cn=config
に保存されます。接尾辞に関連する設定属性は、接尾辞サブエントリーcn=suffix,cn=mapping tree,cn=config
にあります。たとえば、suffix はディレクトリーツリーの root エントリーです (例:
dc=example,dc=com
)。-
レプリケーション設定属性は、
cn=replica,cn=suffix,cn=mapping tree,cn=config
に保存されます。 -
レプリカ合意属性は
cn=`replicationAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config
に保存されます。 -
Windows 同期合意属性は、
cn=syncAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config
に保存されます。
2.6. cn=suffix_DN,cn=mapping tree,cn=config
接尾辞の設定は、cn-suffix_DN,cn-mapping tree,cn-config
エントリーに保存されます。これらのエントリーは、nsMappingTree
オブジェクトクラスのインスタンスです。extensibleObject
オブジェクトクラスは、所属するエントリーが任意のユーザー属性を保持できるようにします。サーバーが接尾辞設定属性を考慮に入れるには、最上位
のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。
接尾辞 DN には等号 (=)、コンマ (,)、空白文字などの文字が含まれるため、引用符で囲む必要があります。引用符を使用すると、DN が別の DN の値として正しく表示されます。例:cn-"dc=example,dc=com",cn-mapping tree,cn-config
2.6.1. cn
この必須属性は、新しい接尾辞の相対識別名 (RDN) を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効な LDAP DN |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: dn=example,dc=com |
2.6.2. nsslapd-backend
このパラメーターは、要求の処理に使用されるデータベースまたはデータベースリンクの名前を設定します。これは複数値であり、値ごとに 1 つのデータベースまたはデータベースリンクがあります。この属性は、nsslapd-state
属性の値が、backend
または referral on update
に設定されている場合に必要です。
この値は、cn=ldbm database,cn=plugins,cn=config
の下にあるバックエンドデータベースエントリーインスタンスの名前に設定します。例: o=userroot,cn=ldbm database,cn=plugins,cn=config
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効なパーティション名 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-backend: userRoot |
2.6.3. nsslapd-distribution-function
nssldap-distribution-function
パラメーターは、カスタムディストリビューション関数の名前を設定します。nsslapd-backend
属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効なディストリビューション機能 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-distribution-plugin: distribution_function_name |
2.6.4. nsslapd-distribution-plugin
nssldap-distribution-plugin
は、カスタムディストリビューション関数で使用する共有ライブラリーを設定します。nsslapd-backend
属性に複数のデータベースを設定する場合は、この属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効なディストリビューションプラグイン |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-distribution-plugin: /path/to/shared/library |
2.6.5. nsslapd-parent
サブ接尾辞を作成する場合は、nsslapd-parent
属性を使用して親接尾辞を定義します。
属性が設定されていない場合、新しい接尾辞が root 接尾辞として作成されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効なパーティション名 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-parent-suffix: dc=example,dc=com |
2.6.6. nsslapd-referral
この属性は、接尾辞で返される参照の LDAP URL を設定します。nssldap-referral
属性を複数回追加して、複数の参照 URL を設定できます。
nsslapd-state
パラメーターを referral
に設定した場合や、更新
時にこの属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nssldap-referral: ldap://example.com/ |
2.6.7. nsslapd-state
このパラメーターは、接尾辞が操作を処理する方法を決定します。属性は以下の値を取ります。
-
backend
: バックエンドデータベースはすべての操作を処理します。 -
disabled
: 操作を処理するのにデータベースは利用できません。サーバーは、クライアントアプリケーションからの要求に応じて、No such search object
エラーを返します。 -
referral
: Directory Server は、この接尾辞への要求の参照 URL を返します。 -
referral on update
: データベースはすべての操作に使用されます。更新要求のみが送信される参照元です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 更新におこえる backend | disabled | referral | referral |
デフォルト値 | バックエンド |
構文 | DirectoryString |
例 | nsslapd-state: backend |
2.7. cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
レプリケーション設定属性は、cn-replica,cn-suffix,cn-mapping tree,cn-config
に保存されます。cn-replica
エントリーは、nsDS5Replica
オブジェクトクラスのインスタンスです。サーバーがレプリケーション設定属性を考慮に入れるには、最上位
のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。
cn=replica,cn=suffix,cn=mapping tree,cn=config
エントリーには、以下のオブジェクトクラスが含まれている必要があります。
-
top
-
extensibleObject
-
nsds5replica
2.7.1. cn
レプリカの命名属性を設定します。cn
属性は replica
に設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
この値は |
デフォルト値 | replica |
構文 | DirectoryString |
例 | cn=replica |
2.7.2. nsds5DebugReplicaTimeout
この属性で、レプリケーションがデバッグロギングで実行される場合に使用する別のタイムアウトの期間を指定します。これにより、時間だけ、または時間とデバッグレベル両方を設定できます。
nsds5debugreplicatimeout: seconds[:debuglevel]
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 数値文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5debugreplicatimeout: 60:8192 |
2.7.3. nsDS5Flags
この属性は、フラグで以前に定義されたレプリカプロパティーを設定します。現時点では、ログが変更されるかどうかを設定するフラグは 1 つのみ存在します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 * 0: レプリカは changelog に書き込みません。これはコンシューマーのデフォルトです。 * 1: レプリカは変更ログに書き込みます。これは、ハブとサプライヤーのデフォルトです。 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsDS5Flags: 0 |
2.7.4. nsDS5ReplConflict
この属性は cn=replica
エントリーにはありませんが、レプリケーションと併用されます。この複数値属性は、同期プロセスで自動解決できない変更で競合があるエントリーに含まれます。管理者の介入を必要とするレプリケーションの競合を確認するには、LDAP 検索を実行します (nsDS5ReplConflict=*
)。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
検索フィルター "(objectclass=nsTombstone)"
を使用すると、tombstone(削除済み) エントリーも表示されます。nsDS5ReplConflict
の値には、競合しているエントリーの詳細情報が含まれます。通常、nsUniqueID
でそのエントリーを参照します。nsUniqueID
で tombstone エントリーを検索できます。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
2.7.5. nsDS5ReplicaAbortCleanRUV
この読み取り専用属性は、廃止または欠落しているサプライヤーの古い RUV エントリーを削除するバックグラウンドタスクを中止するかかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値が 0
の場合は、タスクが非アクティブであることを示します。値が 1
の場合は、タスクがアクティブであることを示します。
この属性は、サーバーの再起動後に中止タスクを再開できるように存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 |
デフォルト値 | なし |
構文 | 整数 |
例 | nsDS5ReplicaAbortCleanRUV: 1 |
2.7.6. nsDS5ReplicaAutoReferral
この属性は、Directory Server がデータベースの設定済みの参照に従うかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | on | off |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaAutoReferral: on |
2.7.7. nsds5ReplicaBackoffMin および nsds5ReplicaBackoffMax
これらの属性は、更新をできるだけ早く送信する必要があるレプリケーショントラフィックがある環境で使用されます。
デフォルトでは、リモートレプリカがビジー状態になると、レプリケーションプロトコルはバックオフ状態になり、バックオフタイマーの次の間隔で更新の送信を再試行します。デフォルトでは、タイマーは 3 秒から開始し、最大待機時間は 5 分です。特定の状況ではこれらのデフォルト設定では不十分な場合があるため、nsds5ReplicaBackoffMin
および nsds5ReplicaBackoffMax
を使用して、最小および最大待機時間を設定できます。
この設定は、サーバーがオンラインの状態であれば適用でき、サーバーを再起動する必要はありません。無効な設定が使用されると、代わりにデフォルト値が使用されます。設定は CLI ツールを使用して処理する必要があります。
2.7.8. nsDS5ReplicaBindDN
この複数値属性は、バインディング時に使用する DN を指定します。この cn=replica
エントリーには複数の値がありますが、レプリカ合意ごとに 1 つのサプライヤーバインド DN のみを使用できます。各値は、コンシューマーサーバーのローカルエントリーの DN である必要があります。レプリケーションサプライヤーがクライアント証明書ベースの認証を使用してコンシューマーに接続する場合は、証明書の subjectDN
をローカルエントリーにマップするようにコンシューマーの証明書マッピングを設定します。
セキュリティー上の理由から、この属性は cn=Directory Manager
に設定しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
2.7.9. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup
属性はグループ DN を指定します。次に、このグループをデプロイメントして、サブグループのメンバーを含むメンバーが起動時またはレプリカオブジェクトの変更時に replicaBindDNs
属性に追加されます。これにより、グループ DN を設定できるため、nsDS5ReplicaBindDN
属性によって提供される現在の機能が拡張されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効なグループ DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
2.7.10. nsDS5ReplicaBindDNGroupCheckInterval
Directory Server は、nsDS5ReplicaBindDNGroup
属性で指定されたグループの変更をチェックし、それに応じて replicaBindDN
パラメーターのリストを自動的に再構築します。これらの操作はパフォーマンスに悪影響を与えるため、nsDS5ReplicaBindDNGroupCheckInterval
属性で指定された間隔でのみ実行されます。
この属性は、次の値を受け入れます。
-
-1
: 実行時の動的チェックを無効にします。管理者は、nsDS5ReplicaBindDNGroup
属性が変更された場合にインスタンスを再起動する必要があります。 -
0
: Directory Server は、グループの変更直後にリストを再ビルドします。 - 正の 32 ビットの整数値: 最後にリビルドされてから経過する必要のある最小期間 (秒数)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | -1 - 32 ビットの最大整数 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
2.7.11. nsDS5ReplicaChangeCount
この読み取り専用属性は、変更ログ内のエントリーの総数と、それらがまだレプリケートされていないかどうかを示します。changelog がパージされると、まだレプリケートされていないエントリーのみが残ります。
パージ操作のプロパティーについて、詳しくは ] and xref:ref_nsDS5ReplicaTombstonePurgeInterval_assembly_cn-replica-cn-suffix_dn-cn-mapping-tree-cn-config[ を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | -1 - 32 ビットの最大整数 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaChangeCount: 675 |
2.7.12. nsDS5ReplicaCleanRUV
この読み取り専用属性は、廃止または欠落しているサプライヤーの古い RUV エントリーを削除するバックグラウンドタスクがアクティブかどうかを指定します。このタスクの詳細は、「cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config」 を参照してください。値が 0
の場合は、タスクが非アクティブであることを示します。値が 1
の場合は、タスクがアクティブであることを示します。
この属性は、サーバーの再起動後にクリーンアップタスクを再開できるように存在します。タスクが完了すると、属性が削除されます。
この値が手動で設定されている場合、サーバーは変更要求を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 |
デフォルト値 | なし |
構文 | 整数 |
例 | nsDS5ReplicaCleanRUV: 0 |
2.7.13. nsDS5ReplicaId
この属性は、特定のレプリケーション環境のサプライヤーに一意の ID を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range |
サプライヤーの場合:
コンシューマーおよびハブの場合: |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaId: 1 |
2.7.14. nsDS5ReplicaLegacyConsumer
この属性がない場合や、値が false
の場合、レプリカがレガシーコンシューマーではないことを意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | DirectoryString |
例 | nsDS5ReplicaLegacyConsumer: false |
2.7.15. nsDS5ReplicaName
この属性は、内部操作の一意の識別子を割り当ててレププリカの名前を指定します。指定のない場合は、この一意の識別子は、レプリカの作成時にサーバーにより割り当てられます。
サーバーでこの名前の生成を許可することを推奨します。ただし、レプリカロールの変更 (ハブなど) など、特定の状況では、この値を指定する必要があります。それ以外の場合は、サーバーは正しい changelog データベースを使用しないので、レプリケーションに失敗します。
この属性は内部使用のみを対象とします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | |
デフォルト値 | |
構文 | DirectoryString (UID はレプリカを識別) |
例 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
2.7.16. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。nsds5ReplicaProtocolTimeout
属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
デフォルト値 | 120 |
構文 | 整数 |
例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout
属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
2.7.17. nsDS5ReplicaPurgeDelay
この属性は、削除されたエントリー (tombstone エントリー) および状態情報の最大期間を制御します。
Directory Server は、トゥームストーンエントリーと状態情報を格納するため、マルチサプライヤーレプリケーションプロセスで競合が発生した場合に、サーバーは、変更シーケンス番号に格納されているタイムスタンプとレプリカ ID に基づいて競合を解決します。
内部 Directory Server のハウスキーピング操作では、この属性の値 (秒単位) よりも古い tombstone エントリーが定期的に削除されます。状態情報を含むエントリーが変更されると、nsDS5ReplicaPurgeDelay
値よりも古い状態情報が削除されます。
マルチサプライヤーレプリケーションでは、属性の値より古い場合でも、サーバーがプライムレプリケーションに対して少数の最新の更新を保持する必要がある場合があるため、すべての tombstone および状態情報が削除されるわけではありません。
この属性は、エントリーで内部パージ操作を実行する間隔を秒単位で指定します。この属性の設定時には、レプリケーションの競合を解決するのに十分な情報を保持し、異なるサーバーに格納されているデータのコピーが分岐しないように、パージ遅延がレプリケーションポリシーの最長のレプリケーションサイクルよりも長いことを確認してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | 0 (永続保持) から最大 32 ビットの整数 (2147483647) |
デフォルト値 | 604800 [1 week (60x60x24x7)] |
構文 | 整数 |
例 | nsDS5ReplicaPurgeDelay: 604800 |
2.7.18. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値が 0
の場合は、タスクが非アクティブであることを示します。値が 1
の場合は、タスクがアクティブであることを示します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaReapActive: 0 |
2.7.19. nsDS5ReplicaReferral
この複数値属性は、ユーザー定義の参照を指定します。これは、コンシューマーでのみ定義する必要があります。ユーザーの参照は、クライアントが読み取り専用コンシューマーのデータを変更しようとした場合にのみ返されます。このオプションの参照は、レプリケーションプロトコルのコンシューマーによって自動設定される参照を上書きします。
URL の形式は ldap://host_name:port_number
または ldap://IP_address:port_number
(IPv4 または IPv6 アドレス) 形式をしようできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
2.7.20. nsDS5ReplicaReleaseTimeout
この属性は、複数のサプライヤーのシナリオでサプライヤーとハブで使用される場合、サプライヤーがレプリカをリリースするまでのタイムアウト期間 (秒単位) を決定します。これは、ネットワーク接続が遅いなどの問題で、1 つのサプライヤーがレプリカへのアクセスを取得して長期間確保し、他のすべてのサプライヤーがレプリカにアクセスして更新を送信できない場合に役立ちます。この属性が設定されている場合には、レプリカは指定された期間後にサプライヤーによって開放されるため、レプリケーションのパフォーマンスが向上します。
この属性を 0
に設定するとタイムアウトが無効になります。他の値の場合には、タイムアウトの長さが秒単位で決定されます。
この属性は、1
から 30
までの値に設定しないでください。多くの場合、タイムアウトが短い場合にはレプリケーションのパフォーマンスが低下します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
デフォルト値 | 60 |
構文 | 整数 |
例 | nsDS5ReplicaReleaseTimeout: 60 |
2.7.21. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 複製されるデータベースの接尾辞 (接尾辞 DN) |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
2.7.22. nsDS5ReplicaTombstonePurgeInterval
この属性は、パージ操作サイクルの間隔 (秒単位) を指定します。
サーバーは定期的に内部ハウスキーピング操作を実行し、changelog およびメインのデータベースから古い更新および状態情報を削除します。「nsDS5ReplicaPurgeDelay」を参照してください。
この属性を設定するときは、特にサーバーがクライアントやサプライヤーからの削除操作を多数処理する場合に、パージ操作に時間がかかることに注意してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
デフォルト値 | 86400 (1 日) |
構文 | 整数 |
例 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
2.7.23. nsDS5ReplicaType
このレプリカと他のレプリカ間で存在するレプリケーション関係のタイプを定義します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 | 2 | 3 * 0 は不明を意味します * 1はプライマリー (まだ使用されていない) を意味します * 2 はコンシューマーを意味します (読み取り専用) * 3 コンシューマー/サプライヤー (更新可能) |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaType: 2 |
2.7.24. nsds5Task
この属性は、データベースのコンテンツを LDIF ファイルにダンプしたり、レプリケーショントポロジーから古くなったサプライヤーを削除するなど、レプリケーションタスクを起動します。
nsds5Task
属性を以下の値のいずれかに設定できます。
-
cl2ldif
:/var/lib/dirsrv/slapd-instance_name/changelogdb/
ディレクトリーの LDIF ファイルに changelog をエクスポートします。 -
ldif2cl
:/var/lib/dirsrv/slapd-instance_name/changelogdb/
ディレクトリーに保存されている LDIF ファイルから changelog をインポートします。 -
cleanruv
: 操作を実行するサプライヤーからレプリカ更新ベクトル (RUV) を削除します。 -
cleanallruv
: レプリケーショントポロジー内のすべてのサーバーから RUV を削除します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
*
*
*
* |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5Task: cleanallruv |
2.7.25. nsState
この属性は、クロックの状態に関する情報を格納します。これは、サーバーがバックワードクロックエラーの検出に必要な既存のシーケンス番号よりも低い変更シーケンス番号 (csn
) を生成できないようにするための内部使用専用に設計されています。
2.8. cn=ReplicationAgreementName,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
レプリカ合意に関連するレプリケーション属性は、cn=ReplicationAgreementName,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
に保存されます。cn=ReplicationAgreementName
エントリーは、nsDS5ReplicationAgreement
オブジェクトクラスのインスタンスです。レプリカ合意は、サプライヤーレプリカでのみ設定されます。
2.8.1. cn
この属性は命名に使用されます。この属性が設定されたら、それを変更することはできません。この属性は、レプリカ合意の設定に必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
任意の有効な |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: SupplierAtoSupplierB |
2.8.2. description
レプリカ合意のフリーフォームテキストの説明。この属性は変更できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | 説明: サーバー A とサーバー B 間のレプリカ合意 |
2.8.3. nsDS50ruv
この属性は、このレプリカ合意のコンシューマーから読み取られた最後のレプリカ更新ベクトル (RUV) を保存します。常に存在し、変更してはなりません。
2.8.4. nsDS5BeginReplicaRefresh
レプリカを初期化します。この属性はデフォルトでは指定されていません。ただし、この属性に start
の値が追加されると、サーバーはレプリカを初期化し、属性値を削除します。初期化手順のステータスを監視するには、この属性をポーリングします。初期化が完了すると、属性はエントリーから削除され、他の監視属性を使用して詳細なステータス照会を行うことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | stop | start |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5BeginReplicaRefresh: start |
2.8.5. nsDS5ReplicaBindDN
この属性は、レプリケーション中にコンシューマーにバインドする時に使用する DN を設定します。この属性の値は、コンシューマーレプリカの cn=replica
にあるものと同じである必要があります。証明書ベースの認証が使用されている場合、これは空になる可能性があります。この場合、使用される DN は証明書のサブジェクト DN であり、コンシューマーは適切なクライアント証明書マッピングを有効にする必要があります。これは変更することもできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な DN(クライアント証明書を使用する場合は空にすることができます) |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
2.8.6. nsDS5ReplicaBindMethod
この属性は、サーバーがコンシューマーサーバーにバインドするのに使用するメソッドを設定します。
nsDS5ReplicaBindMethod
は以下の値をサポートします。
-
空白または
SIMPLE
: サーバーはパスワードベースの認証を使用します。このバインドメソッドを使用する場合は、nsds5ReplicaBindDN
パラメーターおよびnsds5ReplicaCredentials
パラメーターをユーザー名とパスワードを指定します。 -
SSLCLIENTAUTH
: サプライヤーとコンシューマー間の証明書ベースの認証を有効にします。このため、コンシューマーサーバーには、サプライヤーの証明書をレプリケーションマネージャーエントリーにマップするように設定された証明書マッピングが必要です。 -
SASL/GSSAPI
: SASL を使用した Kerberos 認証を有効にします。これには、サプライヤーサーバーに Kerberos キータブがあり、コンシューマーサーバーは、サプライヤーの Kerberos プリンシパルをレプリケーションマネージャーエントリーにマップするように設定されている SASL マッピングエントリーが必要です。 -
SASL/DIGEST-MD5
:DIGEST-MD5
メカニズムで SASL を使用したパスワードベースの認証を有効にします。このバインドメソッドを使用する場合は、nsds5ReplicaBindDN
パラメーターおよびnsds5ReplicaCredentials
パラメーターをユーザー名とパスワードを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
デフォルト値 | SIMPLE |
構文 | DirectoryString |
例 | nsDS5ReplicaBindMethod: SIMPLE |
2.8.7. nsds5ReplicaBootstrapBindDN
nsds5ReplicaBootstrapBindDN
パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)
、LDAP_INAPPROPRIATE_AUTH (err=48)
、または LDAP_NO_SUCH_OBJECT (err=32)
エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックバインド識別名 (DN) を設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN
パラメーター、nsds5ReplicaBootstrapCredentials
パラメーター、nsds5ReplicaBootstrapBindMethod
パラメーター、および nsds5ReplicaBootstrapTransportInfo
パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config |
2.8.8. nsds5ReplicaBootstrapBindMethod
nsds5ReplicaBootstrapBindMethod
パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)
、LDAP_INAPPROPRIATE_AUTH (err=48)
、または LDAP_NO_SUCH_OBJECT (err=32)
エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックログインメカニズムのパスワードを設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN
パラメーター、nsds5ReplicaBootstrapCredentials
パラメーター、nsds5ReplicaBootstrapBindMethod
パラメーター、および nsds5ReplicaBootstrapTransportInfo
パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5ReplicaBootstrapBindMethod: SIMPLE |
2.8.9. nsds5ReplicaBootstrapCredentials
nsds5ReplicaBootstrapCredentials
パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)
、LDAP_INAPPROPRIATE_AUTH (err=48)
、または LDAP_NO_SUCH_OBJECT (err=32)
エラーにより、サプライヤーがコンシューマーへのバインドに失敗した場合に、Directory Server が使用するフォールバックバインド識別名 (DN) のパスワードを設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN
パラメーター、nsds5ReplicaBootstrapCredentials
パラメーター、nsds5ReplicaBootstrapBindMethod
パラメーター、および nsds5ReplicaBootstrapTransportInfo
パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
Directory Server は、クリアテキストでパラメーターを設定すると、AES リバーシブルパスワードの暗号化アルゴリズムを使用してパスワードを自動的にハッシュ化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5ReplicaBootstrapCredentials: password |
2.8.10. nsds5ReplicaBootstrapTransportInfo
nsds5ReplicaBootstrapTransportInfo
パラメーターは、LDAP_INVALID_CREDENTIALS (err=49)
、LDAP_INAPPROPRIATE_AUTH (err=48)
、または LDAP_NO_SUCH_OBJECT (err=32)
のエラーにより、サプライヤーがコンシューマーへのバインドに失敗したときに、Directory Server が使用するフォールバック接続用のレプリカとの間の接続の暗号化方式を設定します。
このような場合、Directory Server は、nsds5ReplicaBootstrapBindDN
パラメーター、nsds5ReplicaBootstrapCredentials
パラメーター、nsds5ReplicaBootstrapBindMethod
パラメーター、および nsds5ReplicaBootstrapTransportInfo
パラメーターを使用して接続を確立します。これらのブートストラップ設定を使用してサーバーが接続を確立できない場合、サーバーは接続の試行を停止します。
属性は以下の値を取ります。
-
TLS
: 接続はStartTLS
コマンドを使用して暗号化を開始します。 -
SSL
: コネクションは TLS 暗号化で LDAPS を使用します。 -
LDAP
: 接続は暗号化されていません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | TLS | SSL | LDAP |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5ReplicaBootstrapTransportInfo: SSL |
2.8.11. nsDS5ReplicaBusyWaitTime
この属性は、コンシューマーがビジー応答を送信してから、コンシューマーがアクセスの取得を試みるまで、サプライヤーが待機する時間を秒単位で設定します。デフォルト値は 3 秒です。属性を負の値に設定すると、Directory Server はメッセージおよび LDAP_UNWILLING_TO_PERFORM
エラーコードをクライアントに送信します。
nsDS5ReplicaBusyWaitTime
属性は、nsDS5ReplicaSessionPauseTime
属性とともに動作します。この 2 つの属性は、nsDS5ReplicaSessionPauseTime
の間隔が、nsDS5ReplicaBusyWaitTime
に指定された間隔よりも常に 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマーに再度アクセスできるようになる前に、コンシューマーにアクセスできる可能性が高くなります。
changetype:modify
を replace
操作で使用して、任意のタイミングで nsDS5ReplicaBusyWaitTime
属性を設定します。更新セッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsDS5ReplicaBusyWaitTime: 3 |
2.8.12. nsDS5ReplicaChangesSentSinceStartup
この読み取り専用属性は、サーバーが起動してからこのレプリカに送信された変更の数を示します。属性内の実際の値はバイナリーブロブとして保存されます。
コマンドラインでは、属性値はバイナリー形式で表示されます。以下に例を示します。
nsds5replicaChangesSentSinceStartup:: MToxLzAg
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | 0 - 32 ビットの最大整数 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
2.8.13. nsDS5ReplicaCredentials
この属性は、nsDS5ReplicaBindDN
属性で指定されたバインド DN の認証情報を設定します。Directory Server はこのパスワードを使用してコンシューマーに接続します。
以下の例は、実際のパスワードではなく、/etc/dirsrv/slapd-instance_name/dse.ldif
ファイルに保存されている暗号化値を示しています。値を設定するには、これをクリアテキストで設定します (例: nsDS5ReplicaCredentials: password
)。Directory Server は、値の保存時に AES リバーシブルパスワードの暗号化スキーマを使用してパスワードを暗号化します。
証明書ベースの認証を使用する場合に、この属性には値が設定されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効なパスワード |
デフォルト値 | |
構文 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
例 | nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8GG5A… |
2.8.14. nsds5ReplicaEnabled
この属性は、レプリカ合意がアクティブかどうか (つまり、対象の合意に合わせてレプリケーションを実行するか) を設定します。デフォルトでは on
になっており、レプリケーションが有効化されています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsds5ReplicaEnabled: off |
2.8.15. nsds5ReplicaFlowControlPause
このパラメーターは、nsds5ReplicaFlowControlWindow
パラメーターに設定されたエントリーおよび更新の数に達すると一時停止する時間をミリ秒単位で設定します。nsds5ReplicaFlowControlWindow
パラメーターおよび nsds5ReplicaFlowControlPause
パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。詳細は、「nsds5ReplicaFlowControlWindow」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 0 から最大 64 ビットの長さ |
デフォルト値 | 2000 |
構文 | 整数 |
例 | nsds5ReplicaFlowControlPause: 2000 |
2.8.16. nsds5ReplicaFlowControlWindow
この属性は、サプライヤーが送信し、コンシューマーにより確認されないエントリーおよび更新の最大数を設定します。制限に達すると、サプライヤーは nsds5ReplicaFlowControlPause
パラメーターに設定された時間、レプリカ合意を一時停止します。nsds5ReplicaFlowControlWindow
パラメーターおよび nsds5ReplicaFlowControlPause
パラメーターの両方を更新すると、レプリケーションのスループットを微調整できます。
サプライヤーがエントリーおよび更新をコンシューマーがデータをインポートまたは更新できるよりも早く送信した場合に、この設定を更新します。この場合、サプライヤーのエラーログファイルに以下のメッセージが表示されます。
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
有効な値 | 0 から最大 64 ビットの長さ |
デフォルト値 | 1000 |
構文 | 整数 |
例 | nsds5ReplicaFlowControlWindow: 1000 |
2.8.17. nsDS5ReplicaHost
この属性は、コンシューマーレプリカを含む、リモートサーバーのホスト名を設定します。この属性が設定されたら、それを変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効なホストサーバー名 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaHost: ldap2.example.com |
2.8.18. nsDS5ReplicaLastInitEnd
このオプションの読み取り専用属性は、コンシューマーレプリカの初期化がいつ終了したかを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
デフォルト値 | |
構文 | GeneralizedTime |
例 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
2.8.19. nsDS5ReplicaLastInitStart
このオプションの読み取り専用属性は、コンシューマーレプリカの初期化がいつ開始したかを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
デフォルト値 | |
構文 | GeneralizedTime |
例 | nsDS5ReplicaLastInitStart: 20200503030405 |
2.8.20. nsDS5ReplicaLastInitStatus
こ読み取り専用属性 (任意) は、コンシューマーの初期化のステータスを指定します。通常、数値コードの後にステータスを説明する短い文字列が続きます。ゼロ (0
) は成功を意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 (Consumer Initialization Succeeded) (その後に他のステータスメッセージが表示されます) |
デフォルト値 | |
構文 | String |
例 | nsDS5ReplicaLastInitStatus: 0 Consumer Initialization Succeeded |
2.8.21. nsDS5ReplicaLastUpdateEnd
この読み取り専用属性は、最新のレプリケーションスケジュールの更新が終了すると表示されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
デフォルト値 | |
構文 | GeneralizedTime |
例 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
2.8.22. nsDS5ReplicaLastUpdateStart
この読み取り専用属性は、最新のレプリケーションスケジュールの更新が開始されるタイミングを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 |
YYYYMMDDhhmmssZ は、接続が開いた時間 (一般化時間) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。時間は 24 時間クロックで設定されます。末尾の |
デフォルト値 | |
構文 | GeneralizedTime |
例 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
2.8.23. nsds5replicaLastUpdateStatus
各レプリカ合意の読み取り専用 nsds5replicaLastUpdateStatus
属性に、Directory Server は、契約の最新ステータスを表示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効なレプリカ合意のステータス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5replicaLastUpdateStatus: Error (0) Replica acquired successfully: Incremental update succeeded |
2.8.24. nsDS5ReplicaPort
この属性は、レプリカを含むリモートサーバーのポート番号を設定します。この属性が設定されたら、それを変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | レプリカを含むリモートサーバーのポート番号 |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaPort:389 |
2.8.25. nsds5ReplicaProtocolTimeout
サーバーを停止したり、レプリカを無効にしたり、レプリカ合意を削除したりすると、サーバーに負荷がかかっているときにレプリケーションを停止するまでの待機時間のタイムアウトがあります。nsds5ReplicaProtocolTimeout
属性はこのタイムアウトを設定するために使用され、デフォルト値は 120 秒です。
2 分のタイムアウトが長すぎる、または十分に長くないシナリオが存在する可能性があります。たとえば、特定のレプリカ合意は、シャットダウン中にレプリケーションセッションを終了する前により多くの時間が必要になる場合があります。
この属性は、バックエンドの主要レプリケーション設定エントリーに追加できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
Valid Range | 0 から最大 32 ビット整数 (2147483647) (秒単位) |
デフォルト値 | 120 |
構文 | 整数 |
例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout
属性をレプリカ合意に追加することもできます。レプリカ合意プロトコルのタイムアウトは、メインのレプリカ設定エントリーに設定されたタイムアウトをオーバーライドします。これにより、レプリカ合意ごとに異なるタイムアウトが可能になります。レプリケーションセッションが進行中、新しいタイムアウトによってそのセッションが中断され、サーバーのシャットダウンが許可されます。
2.8.26. nsDS5ReplicaReapActive
この読み取り専用属性は、データベースから古い tombstones (削除されたエントリー) を削除するバックグラウンドタスクがアクティブであるかどうかを指定します。このタスクの詳細は、「nsDS5ReplicaTombstonePurgeInterval」 を参照してください。値がゼロ (0
) の場合は、タスクが非アクティブであることを示します。値が 1
の場合は、タスクがアクティブであることを示します。この値が手動で設定されている場合、サーバーは変更要求を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 0 | 1 |
デフォルト値 | |
構文 | 整数 |
例 | nsDS5ReplicaReapActive: 0 |
2.8.27. nsDS5ReplicaRoot
この属性は、複製された領域のルートに DN を設定します。この属性は、レプリケートされるデータベースの接尾辞と同じ値であり、変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 複製されるデータベースの接尾辞 (上記の suffixDN と同じ) |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
2.8.28. nsDS5ReplicaSessionPauseTime
この属性は、次に行われる更新セッションまでの間に、サプライヤーが待機する時間を秒単位で設定します。デフォルト値は 0
です。属性を負の値に設定すると、Directory Server はメッセージおよび LDAP_UNWILLING_TO_PERFORM
エラーコードをクライアントに送信します。
nsDS5ReplicaSessionPauseTime
属性は、nsDS5ReplicaBusyWaitTime
属性とともに動作します。この 2 つの属性は、nsDS5ReplicaSessionPauseTime
の間隔が、nsDS5ReplicaBusyWaitTime
に指定された間隔よりも常に 1 秒以上長くなるように設計されています。間隔が長くなると、待機中のサプライヤーは、前のサプライヤーがコンシューマーに再度アクセスできるようになる前に、コンシューマーにアクセスできる可能性が高くなります。
-
どちらかの属性が指定され、両方が指定されていない場合には、
nsDS5ReplicaSessionPauseTime
は自動的にnsDS5ReplicaBusyWaitTime
よりも1
秒より大きい値に設定されます。 -
両方の属性が指定されていても、
nsDS5ReplicaSessionPauseTime
がnsDS5ReplicaBusyWaitTime
以下の場合には、nsDS5ReplicaSessionPauseTime
はnsDS5ReplicaBusyWaitTime
よりも1
秒以上大きい値に自動的に設定されます。
値の設定時には、nsDS5ReplicaSessionPauseTime
の間隔が nsDS5ReplicaBusyWaitTime
に指定した間隔よりも 1
秒以上長くなっていることを確認します。サプライヤーの間で許容できる程度にコンシューマーアクセスが分散されるまで、必要に応じてこの間隔を増やします。
changetype:modify
を replace
操作で使用して、任意のタイミングで nsDS5ReplicaSessionPauseTime
属性を設定します。更新セッションがすでに進行中であれば、次の更新セッションで変更が有効になります。
Directory Server が nsDS5ReplicaSessionPauseTime
の値を自動的にリセットする必要がある場合に、値は内部でだけ変更されます。この変更はクライアントには表示されず、設定ファイルには保存されません。外部から見ると、属性値は最初に設定されたとおりに表示されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な整数 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsDS5ReplicaSessionPauseTime: 0 |
2.8.29. nsds5ReplicaStripAttrs
一部レプリケーションでは、レプリケーション更新 (nsDS5ReplicatedAttributeList
) から削除される属性のリストが許可されます。しかし、除外された属性への変更があっても、修正イベントが発生し、空のレプリケーション更新が生成されます。
nsds5ReplicaBootstrapBindMethod
属性は、空のレプリケーションイベントでは送信できず、更新シーケンスから削除される属性のリストを追加します。論理的には、modifiersName
のような操作属性が含まれます。
レプリケーションイベントが 空でない 場合は、ストライピングされた属性 が 複製されます。これらの属性は、イベントが空である場合にのみ更新から削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | サポートされるディレクトリー属性のスペース区切りリスト |
デフォルト値 | |
構文 | DirectoryString |
例 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
2.8.30. nsDS5ReplicatedAttributeList
使用可能な属性は、コンシューマーサーバーにレプリケートされ ない 属性を指定します。部分的なレプリケーションでは、データベースを低速の接続で複製したり、機密情報を保護しながらも、安全性の低いコンシューマーに複製したりできます。デフォルトでは、すべての属性がレプリケートされ、この属性は存在しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountlockout memberof |
2.8.31. nsDS5ReplicatedAttributeListTotal
使用可能な属性は、全更新中にコンシューマーサーバーにレプリケートされ ない 属性を指定します。
部分的なレプリケーションは、指定した属性のみをレプリケートします。これにより、ネットワークの全体的なパフォーマンスが向上します。ただし、管理者が増分更新時に部分的なレプリケーションを使用して一部の属性を制限する場合があり、これらの属性を全体更新時 (またはその逆) に複製することもできます。
デフォルトでは、すべての属性が複製されます。nsDS5ReplicatedAttributeList
は増分レプリケーションリストを設定します。nsDS5ReplicatedAttributeList
のみが設定されている場合には、このリストは更新全体にも適用されます。
nsDS5ReplicatedAttributeListTotal
は、全更新から除外する属性のリストを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicatedAttributeListTotal: (objectclass=*) $ EXCLUDE accountlockout |
2.8.32. nsDS5ReplicaTimeout
使用可能な属性は、タイムアウトおよび失敗する前に、リモートレプリカからの応答を待つ秒単位のアウトバウンド LDAP 操作の数を指定します。サーバーがエラーログファイルに Warning: timed out waiting
のメッセージを書き込む場合は、この属性の値を増やします。
リモートマシンのアクセスログを調べて、操作が実際に継続した時間を調べ、それに応じて nsDS5ReplicaTimeout
属性を設定して、パフォーマンスを最適化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647)(秒単位) |
デフォルト値 | 120 |
構文 | 整数 |
例 | nsDS5ReplicaTimeout: 120 |
2.8.33. nsDS5ReplicaTransportInfo
この属性は、レプリカとの間のデータ転送に使用される転送ポートのタイプを設定します。この属性は、設定後は変更できません。
属性は以下の値を取ります。
-
StartTLS
: 接続は、StartTLS
コマンドで暗号化を使用します。 -
LDAPS
: 接続は TLS 暗号化を使用します。 -
LDAP
: 接続は暗号化されていない LDAP プロトコルを使用します。この値は、nsDS5ReplicaTransportInfo
属性が設定されていない場合にも使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | StartTLS | LDAPS | LDAP |
デフォルト値 | absent |
構文 | DirectoryString |
例 | nsDS5ReplicaTransportInfo: StartTLS |
2.8.34. nsDS5ReplicaUpdateInProgress
この読み取り専用属性は、レプリケーションの更新が進行中であるかどうかを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | true | false |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS5ReplicaUpdateInProgress: true |
2.8.35. nsDS5ReplicaUpdateSchedule
この複数値属性はレプリケーションスケジュールを指定し、変更できます。この属性に加えられた変更は即座に有効になります。この値を変更すると、レプリケーションを一時停止して後で再開するのに便利です。たとえば、この値を 0000-0001 0
にすると、サーバーがこのレプリカ合意の更新の送信を停止します。サーバーは、後で再生できるように保存し続けます。値が後で 0000-2359 0123456
に戻された場合は、レプリケーションがすぐに再開し、保留中のすべての変更が送信されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | XXXX-YYYY 0123456 として表示される時間スケジュール。ここでは、XXXX は開始時間、YYYY は終了時間、番号 0123456 は曜日 (日曜から開始) を表します。 |
デフォルト値 | 0000-2359 0123456 (常時) |
構文 | 整数 |
例 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
2.8.36. nsDS5ReplicaWaitForAsyncResults
レプリケーション環境では、nsDS5ReplicaWaitForAsyncResults
パラメーターは、コンシューマーが準備状態にない場合に待機する時間をミリ秒単位で設定します。
パラメーターを 0
に設定すると、デフォルト値が使用される点に注意してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
Valid Range | 0 - 32 ビットの最大整数 (2147483647) |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsDS5ReplicaWaitForAsyncResults: 100 |
2.8.37. nsruvReplicaLastModified
この属性には、レプリカのエントリーが変更され、changelog が更新された最新の時間が含まれます。
2.9. cn=syncAgreementName,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config
同期合意に関連する同期属性は、cn=syncAgreementName,cn=suffix_DN,cn=mapping tree,cn=config
に保存されます。cn=syncAgreementName
エントリーは、nsDSWindowsReplicationAgreement
オブジェクトクラスのインスタンスです。
サーバーが同期合意の設定属性を考慮に入れるには、最上位
のオブジェクトクラスに加えて、これらのオブジェクトクラスがエントリーに存在する必要があります。同期合意は、Windows Active Directory サーバーとの同期が有効なデータベースでのみ設定されます。
表2.6 レプリカと同期合意との間で共有される属性のリスト
cn | nsDS5ReplicaLastUpdateEnd |
description | nsDS5ReplicaLastUpdateStart |
nsDS5ReplicaBindDN (Windows 同期マネージャー ID) | nsDS5ReplicaLastUpdateStatus |
nsDS5ReplicaBindMethod | nsDS5ReplicaPort |
nsDS5ReplicaBusyWaitTime | nsDS5ReplicaRoot |
nsDS5ReplicaChangesSentSinceStartup | nsDS5ReplicaSessionPauseTime |
nsDS5ReplicaCredentials (Windows 同期マネージャーのパスワード) | nsDS5ReplicaTimeout |
nsDS5ReplicaHost (Windows ホスト) | nsDS5ReplicaTransportInfo |
nsDS5ReplicaLastInitEnd | nsDS5ReplicaUpdateInProgress |
nsDS5ReplicaLastInitStart | nsDS5ReplicaUpdateSchedule |
nsDS5ReplicaLastInitStatus | nsDS50ruv |
winSyncMoveAction | winSyncInterval |
nsds5ReplicaStripAttrs |
2.9.1. nsds7DirectoryReplicaSubtree
同期している Directory Server サブツリーの接尾辞または DN。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な接尾辞またはサブ接尾辞 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
2.9.2. nsds7DirsyncCookie
この文字列は Active Directory DirSync により作成され、最終同期時の Active Directory Server の状態を示します。以前の cookie は、各 Directory Server の更新のたびに Active Directory に送信され、新しい Cookie が Windows ディレクトリーデータとともに返されます。これは、最後の同期が取得されてから変更されたエントリーだけを指します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
2.9.3. nsds7NewWinGroupSyncEnabled
この属性は、Directory Server で新しいグループを作成して、Windows 同期ピアで作成された新しいグループを自動的に同期するかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | on | off |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7NewWinGroupSyncEnabled: on |
2.9.4. nsds7NewWinUserSyncEnabled
この属性は、Directory Server で新しいエントリーを作成して、Windows 同期ピアで作成された新しいエントリーを自動的に同期するかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | on | off |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7NewWinUserSyncEnabled: on |
2.9.5. nsds7WindowsDomain
この属性は、Windows 同期ピアが属する Windows ドメインの名前を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効なドメイン名 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7WinndowsDomain: DOMAINWORLD |
2.9.6. nsds7WindowsReplicaSubtree
同期している Windows サブツリーの接尾辞または DN。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 有効な接尾辞またはサブ接尾辞 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
2.9.7. oneWaySync
この属性は、同期を実行する方向を設定します。これは、Active Directory サーバーから Directory Server へ、または Directory Server から Active Directory サーバーのいずれかになります。
この属性がない場合 (デフォルト)、同期合意は 双方向 であるため、両方のドメインで行った変更が同期されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | toWindows | fromWindows | null |
デフォルト値 | |
構文 | DirectoryString |
例 | oneWaySync: fromWindows |
2.9.8. winSyncInterval
この属性は、Directory Server が Windows 同期ピアをポーリングして Active Directory エントリーの変更を検索する頻度を秒単位で設定します。このエントリーが設定されていない場合には、Directory Server は Windows サーバーを 5 分ごとにチェックします。つまり、デフォルト値は 300
(300 秒) です。
この値を低く設定すると、Active Directory の変更を Directory Server にすばやく書き込むことができ、ディレクトリーの検索に時間がかかりすぎる場合は、この値を高く設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 300 |
構文 | 整数 |
例 | winSyncInterval: 600 |
2.9.9. winSyncMoveAction
同期プロセスは実際にルート DN で開始し、同期のエントリーの評価を開始します。エントリーは、Active Directory の samAccount
と Directory Server の uid
属性に基づいて相関されます。Synchronization プラグインは、以前に同期されたエントリー ( samAccount/uid
の関係に基づく) が削除または移動されたために同期されたサブツリーから削除された場合は、Synchronization プラグインはエントリーが同期されなくなったことを認識します。
同期合意の winSyncMoveAction
属性は、これらの移動したエントリーの処理方法を設定します。
-
none
は何もしないため、同期した Directory Server エントリーが存在する場合は、同期するか、スコープ 内 に Active Directory エントリーを作成したりできます。同期された Directory Server エントリーが存在しない場合は、何も発生しません (これはデフォルトの動作です)。 unsync
は、Directory Server エントリーから同期関連の属性 (ntUser
またはntGroup
) を削除しますが、Directory Server エントリーはそのまま残されます。ActiveDirectory と Directory Server のエントリーは連携して存在します。重要エントリーの同期を解除すると、Active Directory のエントリーが後から削除され、Directory Server のエントリーがそのまま残ってしまう危険性があります。これにより、特に Active Directory 側でエントリーを再作成するのに Directory Server エントリーを使用する場合などに、データが不整合になる可能性があります。
delete
は、Active Directory と同期していたかどうかに関わらず、Directory Server で該当するエントリーを削除します (これは 9.0 のデフォルト動作です)。重要対応する Active Directory エントリーを削除せずに Directory Server エントリーを削除することはありません。このオプションは、Directory Server 9.0 システムとの互換性でのみ利用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
有効な値 | none | delete | unsync |
デフォルト値 | none |
構文 | DirectoryString |
例 | winSyncMoveAction: unsync |
2.10. cn=replication,cn=config
このエントリーには属性がありません。レガシーレプリケーションを設定する場合には、これらのエントリーはプレースホルダーとして機能する cn=replication,cn=replication
ノードに保存されます。
2.11. cn=sasl,cn=config
SASL マッピング設定を含むエントリーは、cn=mapping,cn=sasl,cn=config
に保存されます。cn=sasl
エントリーは、nsContainer
オブジェクトクラスのインスタンスです。各マッピングは、nsSaslMapping
オブジェクトクラスのインスタンスです。
2.11.1. nsSaslMapBaseDNTemplate
この属性には、SASL ID マッピングで使用される検索ベース DN テンプレートが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | IA5String |
例 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
2.11.2. nsSaslMapFilterTemplate
この属性には、SASL ID マッピングで使用される検索フィルターテンプレートが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | IA5String |
例 | nsSaslMapFilterTemplate: (cn=\1) |
2.11.3. nsSaslMapPriority
Directory Server を使用すると、複数の簡易認証およびセキュリティー層 (SASL) マッピングを設定できます。SASL フォールバックが nsslapd-sasl-mapping-fallback
パラメーターによって有効になっている場合には、nsSaslMapPriority
属性を設定して個別の SASL マッピングの優先順位を付けることができます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
有効な値 | 1 (最も高い優先度)- 100(最も低い優先度) |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsSaslMapPriority: 100 |
2.11.4. nsSaslMapRegexString
この属性には、SASL アイデンティティー文字列をマッピングするために使用される正規表現が含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
有効な値 | 有効な正規表現 |
デフォルト値 | |
構文 | IA5String |
例 | nsSaslMapRegexString: \(.*\) |
2.12. cn=SNMP,cn=config
SNMP 設定属性は cn=SNMP,cn=config
に保存されます。cn=SNMP
エントリーは、nsSNMP
オブジェクトクラスのインスタンスです。
2.12.1. nssnmpcontact
この属性は、Directory Server を管理するユーザーのメールアドレスを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | メールアドレスへのお問い合わせ |
デフォルト値 | |
構文 | DirectoryString |
例 | nssnmpcontact: jerome@example.com |
2.12.2. nssnmpdescription
Directory Server インスタンスの一意の説明を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | 説明 |
デフォルト値 | |
構文 | DirectoryString |
例 | nssnmpdescription: Employee directory instance |
2.12.3. nssnmpenabled
この属性は、SNMP を有効にするかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nssnmpenabled: off |
2.12.4. nssnmplocation
この属性は、Directory Server が置かれている企業または組織内の場所を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | 場所 |
デフォルト値 | |
構文 | DirectoryString |
例 | nssnmplocation: B14 |
2.12.5. nssnmpmasterhost
nssnmpmasterhost
は非推奨になりました。この属性は、net-snmp
が導入され非推奨となりました。属性は、引き続き dse.ldif
で表示されますが、デフォルト値はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | マシンホスト名または localhost |
デフォルト値 | <blank> |
構文 | DirectoryString |
例 | nssnmpmasterhost: localhost |
2.12.6. nssnmpmasterport
nssnmpmasterport
属性は net-snmp
が導入され、非推奨となりました。属性は、引き続き dse.ldif
で表示されますが、デフォルト値はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | オペレーティングシステムに依存するポート番号。詳細は、オペレーティングシステムのドキュメントを参照してください。 |
デフォルト値 | <blank> |
構文 | 整数 |
例 | nssnmpmasterport: 199 |
2.12.7. nssnmporganization
この属性は、Directory Server が属する組織を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=SNMP,cn=config |
有効な値 | 組織名 |
デフォルト値 | |
構文 | DirectoryString |
例 | nssnmporganization: Red Hat, Inc. |
2.12.8. SNMP の静的属性
以下の表には、LDAP クライアントおよび SNMP クライアントで利用可能な統計をリスト表示する cn=monitoring
の読み取り専用属性が含まれます。特に明記されていない限り、指定された属性の値は、サーバーが受信した要求の数、または起動後にサーバーが返した結果になります。これらの属性の一部は、Directory Server によって使用されないか、適用されませんが、SNMP クライアント向けに存在する必要があります。
cn=config
の nsslapd-counters
属性が on
(デフォルト設定) に設定されている場合は、32 ビットマシンや、32 ビットバージョンの Directory Server でも、Directory Server インスタンスにより保持されるすべてのカウンターは、64 ビットの整数を使用して増分します。SNMP 統計属性はすべて 64 ビット整数を使用します (設定されている場合)。
nsslapd-counters
属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビット整数を有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
表2.7 SNMP の静的属性
属性 | 説明 |
---|---|
AnonymousBinds | これは、匿名バインド要求の数を示しています。 |
UnAuthBinds | これは、認証されていない (匿名) バインドの数を示しています。 |
SimpleAuthBinds | これは、LDAP の単純なバインド要求 (DN およびパスワード) の数を示しています。 |
StrongAuthBinds | これは、すべての SASL メカニズムの LDAP SASL バインド要求の数を示しています。 |
BindSecurityErrors | これは、バインド要求に無効なパスワードが指定されている回数を示します。 |
InOps | これは、サーバーによって受信されるすべての要求総数を示します。 |
ReadOps |
使用されていません。この値は、常に |
CompareOps | これは、LDAP 比較要求の数を示しています。 |
AddEntryOps | これは、LDAP 追加要求の数を示しています。 |
RemoveEntryOps | これは、LDAP 削除要求の数を示しています。 |
ModifyEntryOps | これは、LDAP 変更要求の数を示しています。 |
ModifyRDNOps | これは、LDAP 変更 RDN (modrdn) 要求の数を示しています。 |
ListOps |
使用されていません。この値は、常に |
SearchOps | LDAP 検索要求の数を示します。 |
OneLevelSearchOps | これは、1 レベルの検索操作の数を示しています。 |
WholeSubtreeSearchOps | これは、サブツリーレベルの検索操作の数を示しています。 |
Referrals | これは、返された LDAP 参照の数を示しています。 |
Chainings |
使用されていません。この値は、常に |
SecurityErrors | これは、無効なパスワード、不明な認証方法、または強力な認証が必要など、セキュリティー関連のエラー数を示しています。 |
Errors | これは、返されたエラーの数を示しています。 |
Connections | 現在開いている接続の数を示しています。 |
ConnectionSeq | これにより、現在閉じている接続も開いている接続も含めた、開放されている合計接続数が表示されます。 |
BytesRecv | 受信したバイト数を表示します。 |
BytesSent | これは、送信されたバイト数を示します。 |
EntriesReturned | これは、検索結果として返されたエントリーの数を示しています。 |
ReferralsReturned | これは、検索結果として返された参照の情報を提供します (継続参照)。 |
MasterEntries |
使用されていません。この値は、常に |
CopyEntries |
使用されていません。この値は、常に |
CacheEntries[a] |
サーバーにデータベースバックエンドが 1 つしかない場合は、エントリーキャッシュにキャッシュされたエントリーの数になります。サーバーに複数のデータベースバックエンドがある場合、この値は |
CacheHits |
サーバーにデータベースバックエンドが 1 つしかない場合、これは検索結果に対してデータベースからではなく、エントリーキャッシュから返されるエントリーの数です。サーバーに複数のデータベースバックエンドがある場合、この値は |
SlaveHits |
使用されていません。この値は、常に |
[a]
CacheEntries および CacheHits は 10 秒ごとに更新されます。Red Hat は、このデータベース情報およびその他のデータベース情報にデータベースバックエンド固有のモニターエントリーを使用することを強く推奨します。
|
2.13. cn=uniqueid generator,cn=config
一意の ID ジェネレーター設定属性は、cn=uniqueid generator,cn=config
の下に保管されます。cn=uniqueid generator
エントリーは、extensibleObject
オブジェクトクラスのインスタンスです。
2.13.1. nsstate
この属性は、サーバーの再起動後も一意の ID ジェネレーターの状態を保存します。この属性はサーバーによって維持されます。これは編集しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=uniqueid generator,cn=config |
有効な値 | |
デフォルト値 | |
構文 | DirectoryString |
例 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAAAAA |
2.14. cn=tasks,cn=config 下のエントリーに対する一般的なタスク呼び出し属性
一部のコア Directory Server タスクは、LDAP ツールを使用してディレクトリーエントリーを編集することで開始できます。これらのタスクエントリーは、cn=tasks,cn=config
に含まれています。各タスクは、以下のようなエントリーを更新して呼び出すことができます。
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
本セクションでは、すべてのタスクタイプで共通の属性を紹介します。
タスクエントリーは、永続的な設定エントリーではありません。このエントリーは、タスク操作が実行中であるか、ttl
の有効期限が切れるまで、設定ファイルにだけ存在します。その後、エントリーは自動的にサーバーにより削除されます。
2.14.1. cn
cn
属性は、開始する新しいタスク操作を特定します。cn
属性の値は、新しいタスクを定義する限りすべて使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: タスクエントリー名の例 |
2.14.2. nsTaskCancel
この属性を使用すると、進行中にタスクを中断できます。この属性は、ユーザーが変更できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsTaskCancel: true |
2.14.3. nsTaskCurrentItem
この属性は、タスクがサブタスクに分割できると仮定して、タスク操作が完了したサブタスクの数を表示します。タスクが 1 つしかない場合は、タスクの実行中に nsTaskCurrentItem
が 0
、タスクの完了時には 1
になります。このように、属性は進捗バーに似ています。nsTaskCurrentItem
属性に nsTaskTotalItems
と同じ値がある場合は、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsTaskCurrentItem: 148 |
2.14.4. nsTaskExitCode
この属性には、タスクの終了コードが含まれます。この属性は、タスクの完了後にのみ存在し、値はタスクが完了した場合にのみ有効になります。結果コードは、LDAP 終了コードに指定できますが、0
値のみが成功に相当します。他の結果コードはエラーです。
この属性値はサーバーによって設定されるため、編集 しないでください。
2.14.5. nsTaskLog
このエントリーには、警告メッセージおよび情報メッセージの両方など、タスクのすべてのログメッセージが含まれます。新しいメッセージはエントリー値の最後に追加されるため、この属性値は、デフォルトでは元の内容を消去しないので、数値が大きくなります。
nsTaskExitCode
が 0
である正常なタスク操作は、nsTaskLog
属性にのみ記録されます。エラーを示すゼロ以外の応答は、エラーとしてエラーログに記録される場合がありますが、エラーメッセージは nsTaskLog
属性にのみ記録されます。このため、nsTaskLog
属性の情報を使用して、実際に発生したエラーが分かります。
この属性値はサーバーによって設定されるため、編集 しないでください。
2.14.6. nsTaskStatus
この属性には、累積の統計や現在の出力メッセージなどのタスクのステータスの変更情報が含まれます。属性の全内容は、プロセスが実行されている限り定期的に更新できます。
この属性値はサーバーによって設定されるため、編集 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 |
例 | nsTaskStatus: エントリーの読み込みなど |
2.14.7. nsTaskTotalItems
この属性は、タスク操作で完了する必要のあるサブタスクの合計数を示します。nsTaskCurrentItem
属性に nsTaskTotalItems
と同じ値がある場合は、タスクが完了します。
この属性値はサーバーによって設定されるため、編集 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsTaskTotalItems: 152 |
2.14.8. ttl
この属性は、タスクが終了または中止した後に、タスクエントリーが DSE に留まる時間 (秒単位) を設定します。ttl
属性を設定すると、終了コードを失うことなく、タスクエントリーをポーリングして新しいステータス情報を取得できます。ttl
属性を 0
に設定すると、エントリーがキャッシュされません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
有効な値 | 0(キャッシュ不可) から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | |
構文 | DirectoryString |
例 | ttl: 120 |
2.15. cn=task_name,cn=import,cn=tasks,cn=config
LDIF ファイルまたは複数の LDIF ファイルは、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成することで、コマンドラインでインポートできます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=import
エントリーは、インポートタスク操作のコンテナーエントリーです。cn=import
エントリー自体には属性はありませんが、このエントリー内にあるタスクエントリーごとに (cn=task_name,cn=import,cn=tasks,cn=config
) 以下の属性を使用してインポートタスクを定義します。
cn=import
のインポートタスクエントリーには、インポートする LDIF ファイル (nsFilename
属性) と、ファイルをインポートするインスタンスの名前 (nsInstance
属性) が含まれている必要があります。さらに、タスクを識別するために一意の cn
を含める必要があります。以下に例を示します。
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
インポート操作が実行されると、タスクエントリーには Common task invocation attributes for entries under cn=tasks,cn=config に記載されているサーバー生成タスク属性がすべて含まれます。
2.15.1. nsExcludeSuffix
この属性は、インポートから除外する LDIF ファイルの接尾辞またはサブツリーを識別します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | |
構文 | DN、多値 |
例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
2.15.2. nsFilename
nsFilename
属性には、Directory Server インスタンスにインポートする LDIF ファイルのパスとファイル名が含まれます。複数のファイルをインポートするには、この属性のインスタンスを複数追加します。以下に例を示します。
nsFilename: file1.ldif nsFilename: file2.ldif
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 (複数値) |
例 | nsFilename: /home/jsmith/example.ldif |
2.15.3. nsImportChunkSize
この属性は、インポート操作中に保持するチャンクの数を定義し、インポート中にサーバーが検出した、新規パスを開始してチャンクをマージするタイミングの内容を上書きます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsImportChunkSize: 10 |
2.15.4. nsImportIndexAttrs
この属性は、データベースインスタンスにインポートされる属性をデプロイするかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | true |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsImportIndexAttrs: true |
2.15.5. nsIncludeSuffix
この属性は、LDIF ファイルからインポートする特定の接尾辞またはサブツリーを識別します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | |
構文 | DN、多値 |
例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
2.15.6. nsInstance
この属性は、userRoot
、slapd-example
などのファイルをインポートするデータベースインスタンスの名前を提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | Directory Server インスタンスデータベースの名前 (任意の文字列) |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 |
例 | nsInstance: userRoot |
2.15.7. nsUniqueIdGenerator
この属性は、名前ベースの ID の生成方法を定義します。属性は、ID の生成に使用する名前空間を設定します。このオプションは、エントリーに同じ ID が必要な場合に同じ LDIF ファイルを 2 つの Directory Server インスタンスにインポートするのに便利です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsUniqueIdGeneratorNamespace: example |
2.15.8. nsUniqueIdGeneratorNamespace
この属性は、名前ベースの ID の生成方法を定義します。属性は、ID の生成に使用する名前空間を設定します。このオプションは、エントリーに同じ ID が必要な場合に同じ LDIF ファイルを 2 つの Directory Server インスタンスにインポートするのに便利です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=import,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsUniqueIdGeneratorNamespace: example |
2.16. cn=task_name,cn=export,cn=tasks,cn=config
タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成して、コマンドラインで 1 つまたは複数のデータベースをエクスポートできます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=export,cn=tasks,cn=config
エントリーは、タスク操作をエクスポートするコンテナーです。これらのタスクはこのコンテナー内に保存され、cn=task_name,cn=export,cn=tasks,cn=config
という名前が付けられます。
エクスポート操作の実行中に、タスクエントリーには Common task invocation attributes for entries under cn=tasks,cn=config に記載されているサーバー生成タスク属性がすべて含まれます。
2.16.1. nsDumpUniqId
この属性は、エクスポートされたエントリーの一意の ID がエクスポートされないように設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | true |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsDumpUniqId: true |
2.16.2. nsExcludeSuffix
この属性は、エクスポートした LDIF ファイルから除外するデータベースの接尾辞またはサブツリーを識別します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | |
構文 | DN、多値 |
例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
2.16.3. nsExportReplica
この属性は、エクスポートされたデータベースがレプリケーションで使用されるかどうかを特定します。レプリカの場合に、レプリカを自動的に初期化するエントリーに、適切な属性と設定が含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsExportReplica: true |
2.16.4. nsFilename
nsFilename
属性には、Directory Server インスタンスデータベースをエクスポートする LDIF ファイルのパスとファイル名が含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 (複数値) |
例 | nsFilename: /home/jsmith/example.ldif |
2.16.5. nsIncludeSuffix
この属性は、LDIF ファイルにエクスポートする特定の接尾辞またはサブツリーを識別します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | |
構文 | DN、多値 |
例 | nsIncludeSuffix: ou=people,dc=example,dc=com |
2.16.6. nsInstance
この属性は、userRoot
や userRoot
などのデータベースをエクスポートするデータベースインスタンスの名前を提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | Directory Server インスタンスの名前 (任意の文字列) |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 (複数値) |
例 | nsInstance: userRoot |
2.16.7. nsNoWrap
この属性は、LDIF ファイルで長い行を折り返すかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsNoWrap: false |
2.16.8. nsPrintKey
この属性は、エクスポートタスクでエントリーを処理する時にエントリー ID 番号を出力するかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | true |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsPrintKey: false |
2.16.9. nsUseId2Entry
nsUseId2Entry
属性は、メインのデータベースインデックス id2entry
を使用してエクスポートされた LDIF エントリーを定義します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsUseId2Entry: true |
2.16.10. nsUseOneFile
この属性は、すべての Directory Server インスタンスを単一の LDIF ファイルまたは個別の LDIF ファイルのどちらにエクスポートするかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=export,cn=tasks,cn=config |
有効な値 | true | false |
デフォルト値 | true |
構文 | 大文字と小文字を区別しない文字列 |
例 | nsUseOneFile: true |
2.17. cn=task_name,cn=backup,cn=tasks,cn=config
データベースをコマンドラインでバックアップするには、タスクのパラメーターを定義し、タスクを開始する特殊なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=backup
エントリーは、バックアップタスク操作のコンテナーエントリーです。cn=backup
エントリー自体には属性はありませんが、cn=`task_ID,cn=backup,cn=tasks,cn=config
など、このエントリー内にあるタスクエントリーごとに、以下の属性を使用してバックアップタスクを定義します。
cn=backup
のバックアップタスクエントリーには、アーカイブコピーを取得するディレクトリーの場所 (backup-nsArchiveDir
属性内) とバックアップするデータベースのタイプ (backup-nsDatabaseType`
属性) を含める必要があります。さらに、タスクを識別するために一意の cn
を含める必要があります。以下に例を示します。
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/_ nsDatabaseType: ldbm database__
バックアップ操作が実行されると、タスクエントリーには Common task invocation attributes for entries under cn=tasks,cn=config に記載されているサーバー生成タスク属性がすべて含まれます。
2.17.1. nsArchiveDir
この属性は、バックアップを書き込むディレクトリーの場所を指定します。
このバックアップディレクトリーは、通常 nsslapd-bakdir
属性で設定されたディレクトリーと同じである必要があります。
この属性が cn=backup
タスクに含まれていないと、タスクは LDAP オブジェクトクラス違反エラー (65
) で失敗します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
有効な値 | ローカルディレクトリーの場所 |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 |
例 | nsArchiveDir: /export/backups |
2.17.2. nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=backup,cn=tasks,cn=config |
有効な値 | ldbm データベース |
デフォルト値 | ldbm データベース |
構文 | 大文字と小文字を区別する文字列 |
例 | nsDatabaseType: ldbm database |
2.18. cn=task_name,cn=restore,cn=tasks,cn=config
データベースをコマンドラインで復元するには、タスクのパラメーターを定義し、タスクを開始する特別なタスクエントリーを作成します。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=restore
エントリーは、データベースを復元するタスク操作のコンテナーエントリーです。cn=restore
エントリー自体には属性はありませんが、cn=task_ID,cn=restore,cn=tasks,cn=config
など、このエントリー内にあるタスクエントリーごとに、以下の属性を使用して復元タスクを定義します。
cn=restore
の復元タスクエントリーには、アーカイブコピーを取得するディレクトリーの場所 (restore-nsArchiveDir
属性内) と復元するデータベースのタイプ (restore-nsDatabaseType
属性) を含める必要があります。さらに、タスクを識別するために一意の cn
を含める必要があります。以下に例を示します。
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
リストア操作が実行されると、タスクエントリーには Common task invocation attributes for entries under cn=tasks,cn=config に記載されているサーバー生成タスク属性がすべて含まれます。
2.18.1. nsArchiveDir
この属性は、バックアップを書き込むディレクトリーの場所を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
有効な値 | ローカルディレクトリーの場所 |
デフォルト値 | |
構文 | 大文字と小文字を区別する文字列 |
例 | nsArchiveDir: /export/backups |
2.18.2. nsDatabaseType
この属性は、アーカイブされるデータベースの種類を指定します。データベースタイプの設定は、Directory Server がデータベースのアーカイブに使用するバックアッププラグインの種類を通知します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=restore,cn=tasks,cn=config |
有効な値 | ldbm データベース |
デフォルト値 | ldbm データベース |
構文 | 大文字と小文字を区別する文字列 |
例 | nsDatabaseType: ldbm database |
2.19. cn=task_name,cn=index,cn=tasks,cn=config
ディレクトリー属性は、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成することで、コマンドラインでインデックスを作成できます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。
cn=index
エントリーは、インデックスタスク操作のコンテナーエントリーです。cn=index
エントリー自体には属性はありませんが、cn=task_ID,cn=index,cn=tasks,cn=config
などのこのエントリー内にあるタスクエントリーごとに、以下の属性を使用してバックアップタスクを定義します。
cn=index
の下のインデックスタスクエントリーは、nsIndexAttribute
属性に定義された、インデックスを作成する属性および作成するインデックスのタイプを識別することにより、標準のインデックスを作成できます。
または、インデックスタスクを使用して、nsIndexVLVAttribute
属性で、属性の仮想リストビュー (VLV) インデックスを生成できます。これは vlvindex
スクリプトの実行と同じです。
以下に例を示します。
dn: cn=example presence index,cn=index,cn=tasks,cn=config objectclass: top objectclass: extensibleObject cn: example presence index nsInstance: userRoot nsIndexAttribute: cn:pres dn: cn=example VLV index,cn=index,cn=tasks,cn=config objectclass: extensibleObject cn: example VLV index nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"
インデックス操作が実行されると、タスクエントリーには Common task invocation attributes for entries under cn=tasks,cn=config に記載されているサーバー生成タスク属性がすべて含まれます。
2.19.1. nsIndexAttribute
この属性は、インデックスする属性の名前と、適用するインデックスのタイプを示します。属性値の形式は、属性名と、二重引用符で囲まれたインデックスタイプのコンマ区切りリストです。以下に例を示します。
nsIndexAttribute: attribute:index1,index2
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config |
有効な値 | * すべての属性
* インデックスタイプ、 |
デフォルト値 | |
構文 | 大文字と小文字を区別しない文字列、多値 |
例 | * nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub |
2.19.2. nsIndexVLVAttribute
この属性は、VLV インデックスのターゲットエントリーの名前を指定します。仮想リストビューは、参照インデックスエントリーに基づいており、仮想リストベース DN、スコープ、およびフィルターを定義します。nsIndexVLVAttribute
値は参照インデックスエントリーで、VLV 作成タスクは参照インデックスエントリーパラメーターに基づいて実行されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=index,cn=tasks,cn=config |
有効な値 | VLV エントリー定義のサブエントリーの RDN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsIndexVLVAttribute: "参照先のインデックスソート識別子" |
2.20. cn=task_name,cn=schema reload task,cn=tasks,cn=config
ディレクトリースキーマは、ディレクトリーインスタンスの起動または再起動時に読み込まれます。カスタムスキーマ要素の追加を含むディレクトリースキーマへの変更は、サーバーが再起動するか、スキーマリロードタスクを開始するまで、自動的に読み込まれず、インスタンスで利用できます。
Directory Server インスタンスを再起動せずに、カスタムスキーマの変更を動的にリロードできます。これは、cn=tasks
エントリーの下に新しいタスクエントリーを作成してスキーマの再読み込みタスクを開始することによって行われます。
カスタムスキーマファイルは任意のディレクトリーに配置できます。schemadir
属性で指定されていない場合には、サーバーはデフォルトの /etc/dirsrv/slapd-instance_name/schema/
ディレクトリーからスキーマを再読み込みします。
別のディレクトリーからロードされたスキーマをスキーマディレクトリーにコピーする必要があります。そうしないと、サーバーでスキーマが失われます。
schema リロードタスクは、タスクのパラメーターを定義してタスクを開始する特別なタスクエントリーを作成して、コマンドラインから開始されます。タスクが完了するとすぐに、タスクエントリーがディレクトリーから削除されます。以下に例を示します。
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
cn=schema reload task
エントリーは、スキーマリロード操作のコンテナーエントリーです。cn=schema リロードタスク
エントリー自体には属性はありませんが、cn=`task_ID,cn=schema reload task,cn=tasks,cn=config
など、このエントリー内にあるタスクエントリーごとに、スキーマリロード属性を使用して個別のリロードタスクを定義します。
2.20.1. cn
cn
属性は、開始する新しいタスク操作を特定します。cn
属性の値は、新しいタスクを定義する限りすべて使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: リロードタスク ID の例 |
2.20.2. schemadir
これには、カスタムスキーマファイルを含むディレクトリーへの完全パスが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
有効な値 | 任意のローカルディレクトリーパス。 |
デフォルト値 | /etc/dirsrv/schema |
構文 | DirectoryString |
例 | schemadir: /export/schema/ |
2.21. cn=task_name,cn=memberof task,cn=tasks,cn=config
memberOf
属性は、Directory Server で自動的に作成して管理され、メンバーのユーザーエントリーにグループメンバーシップを表示します。グループエントリーの member
属性を変更すると、すべてのメンバーに関連付けられたディレクトリーエントリーが、対応する memberOf
属性で自動的に更新されます。
cn=memberof task
を使用して、ディレクトリー内のメンバーのユーザーエントリーに最初の memberOf
属性を作成します。memberOf
属性の作成後に、MemberOf プラグインは memberOf
属性を自動的に管理します。
memberOf
更新タスクには、更新タスクを実行するエントリーまたはサブツリーの DN (memberof-basdn
属性に設定) を指定する必要があります。必要に応じて、タスクにフィルターを追加して、更新するメンバーのユーザーエントリーを特定できます (memberof-filter
属性に設定)。以下に例を示します。
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=memberof task
エントリーは、memberOf
更新操作のコンテナーエントリーです。cn=memberof task
エントリー自体には属性はありませんが、cn=task_ID,cn=memberof task,cn=tasks,`cn=config
など、このエントリーのタスクエントリーごとに、その属性を使用して個別の更新タスクを定義します。
2.21.1. basedn
この属性は、memberOf
属性を更新するユーザーエントリーの検索に使用するベース DN を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | |
構文 | DN |
例 | basedn: ou=people,dc=example,dc=com |
2.21.2. filter
この属性は、memberOf
属性を更新するユーザーエントリーの選択に使用するオプションの LDAP フィルターを提供します。グループの各メンバーには、ディレクトリーに対応するユーザーエントリーがあります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=memberof task,cn=tasks,cn=config |
有効な値 | 任意の LDAP フィルター |
デフォルト値 | (objectclass=*) |
構文 | DirectoryString |
例 | filter: (l=Sunnyvale) |
2.22. cn=task_name,cn=fixup linked attributes task,cn=tasks,cn=config
Directory Server にはリンク属性プラグインがあり、エントリーに設定されている属性で、自動的に別のエントリー内の別の属性を更新できます。どちらのエントリーにも、値の DN があります。最初のエントリーの DN 値は、更新するプラグインのエントリーを参照し、2 番目のエントリーの属性には、最初のエントリーへの DN バックポイントが含まれます。
これは、MemberOf プラグインがグループエントリーの member
属性を使用してユーザーエントリーの memberOf
属性を設定する方法と似ています。リンク属性を使用すると、すべての属性をリンクとして定義し、影響を受けるエントリーで別の属性が管理されます。
cn=fixup linked attributes
は、リンクプラグインインスタンスが作成されると、データベースにすでに存在しているリンク属性に基づいて、管理属性を作成します。リンクおよび管理属性の設定後には、リンク属性プラグインは、ユーザーによりリンク属性が変更されると、マネージドの属性を動的に管理します。
リンク属性の更新タスクは、更新するリンク属性プラグインインスタンスはどれかを指定できます。これは cn-fixup-linked-attributes-linkdn
属性に設定されます (任意)。この属性がタスクエントリーに設定されていない場合は、設定されたリンク属性がすべて更新されます。
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=fixup linked attributes
エントリーは、リンク属性更新操作のコンテナーエントリーです。cn=fixup
リンク属性エントリー自体には個別のタスクに関連する属性はありませんが、cn=`task_ID,cn=fixup linked attributes,cn=tasks,cn=config
など、このエントリーの配下にあるタスクエントリーごとに属性を使用して個別の更新タスクを定義します。
2.22.1. linkdn
リンク属性と管理属性のペアは、リンク属性プラグインインスタンスで設定されます。linkdn
属性は、プラグインインスタンス DN を指定して、エントリーの更新に使用される特定のリンク属性プラグインを設定します。以下に例を示します。
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
プラグインインスタンスを指定しないと、リンクされているすべての属性が更新されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
有効な値 | DN(リンク属性プラグインのインスタンス) |
デフォルト値 | なし |
構文 | DN |
例 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
2.23. cn=task_name,cn=syntax validate,cn=tasks,cn=config
構文の検証では、属性への変更をすべてチェックし、新しい値に、その属性タイプに必要な構文が含まれていることを確認します。属性構文は RFC 4514 の定義に対して検証されます。
構文検証はデフォルトで有効になっています。ただし、構文の検証では、属性の追加や変更時など、属性値への変更のみが監査されます。既存 の属性値の構文は検証されません。
既存の構文の検証は、構文検証タスクを使用して実行できます。このタスクは、(syntax-validation-basedn
属性内の) 指定のサブツリーでエントリーをチェックし、任意で、指定されたフィルターに一致するエントリー (syntax-validation-filter
属性) のみを確認します。
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
構文検証が無効であるか、サーバーを移行する場合は、属性構文の要件に準拠しないサーバーにデータが存在する可能性があります。構文検証タスクを実行して、構文の検証を有効にする前に既存の属性値を評価できます。
cn=syntax validate
エントリーは、構文検証操作のコンテナーエントリーです。cn=syntax validate
エントリー自体には、タスクに固有の属性はありません。cn=task_ID,cn=syntax validate,cn=tasks,`cn=config
など、このエントリーにあるタスクエントリーごとに、その属性を使用して個別の更新タスクを定義します。
2.23.1. basedn
構文検証タスクを実行するサブツリーを指定します。以下に例を示します。
basedn: ou=people,dc=example,dc=com
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
有効な値 | 任意の DN |
デフォルト値 | なし |
構文 | DN |
例 | basedn: dc=example,dc=com |
2.23.2. filter
構文検証タスクを実行する指定の basedn
の下の特定のエントリーを識別するために使用できるオプションの LDAP フィルターが含まれます。この属性がタスクに設定されていない場合は、basedn
内のすべてのエントリーが監査されます。以下に例を示します。
filter: "(objectclass=person)"
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
有効な値 | 任意の LDAP フィルター |
デフォルト値 | "(objectclass=*)" |
構文 | DirectoryString |
例 | filter: "(objectclass=*)" |
2.24. cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config
USN プラグインが有効な場合は、追加または変更などのディレクトリーの書き込み操作がそのエントリーで発生するたびに、すべてのエントリーで シーケンス番号 (USN) が設定されます。これは entryUSN
操作属性に反映されます。この USN は、エントリーが削除され、tombstone エントリーは Directory Server インスタンスによって管理されます。
cn=USN tombstone cleanup task
は、バックエンドデータベース (backend
属性) または接尾辞 (suffix
属性) に従って、インスタンスが維持する tombstone エントリーを削除します。必要に応じて、削除する USN の最大値 (max-usn-to-delete
属性) を指定して tombstone エントリーのサブセットのみを削除できるので、最新の tombstone エントリーを保持します。
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
このタスクは、レプリケーションが有効で ない 場合にのみ起動できます。レプリケーションは独自の tombstone ストアを維持し、これらの tombstone エントリーは USN プラグインで削除できないので、レプリケーションプロセスで維持する必要があります。したがって、Directory Server は、レプリケートされたデータベースのクリーンアップタスクを実行できないようにします。
レプリケートされたバックエンドに対して、このタスクエントリーを作成しようとすると、以下のエラーがコマンドラインで返されます。
ldap_add: DSA is unwilling to perform
エラーログには、接尾辞にレプリケートされているため tombstone を削除できないという明示的なメッセージが追加されます。
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=USN tombstone cleanup task
エントリーは、すべての USN tombstone delete 操作のコンテナーエントリーです。cn=USN tombstone cleanup task
エントリー自体には個別のタスクに関連する属性はありませんが、cn=`task_ID,cn=USN tombstone cleanup task,cn=tasks,cn=config
など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
2.24.1. バックエンド
これにより、Directory Server インスタンスのバックエンドまたはデータベースにクリーンアップ操作を実行できます。バックエンドが指定されていない場合は、接尾辞を指定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
有効な値 | データベース名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | backend: userroot |
2.24.2. max_usn_to_delete
これにより、tombstone エントリーを削除する際に削除される USN の最大値が指定されます。この数字を含む tombstone エントリーはすべて削除されます。USN 値が大きい tombstone エントリー (つまり、最新のエントリー) は削除されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | なし |
構文 | 整数 |
例 | max_usn_to_delete: 500 |
2.24.3. 接尾辞
これにより、Directory Server の接尾辞またはサブツリーに、クリーンアップ操作を実行できます。接尾辞が指定されていない場合は、バックエンドを指定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
有効な値 | サブツリー DN |
デフォルト値 | なし |
構文 | DN |
例 | suffix: dc=example,dc=com |
2.25. cn=task_name,cn=cleanallruv,cn=tasks,cn=config
レプリケーショントポロジーに関する情報、つまり、相互に、および同じレプリケーショングループ内の他のレプリカに更新を提供するすべてのサプライヤーは、レプリカ更新ベクトル (RUV) と呼ばれるメタデータのセットに含まれています。RUV には、ID と URL、ローカルサーバー上で加えた最新の変更状態番号、最初の変更の CSN などのサプライヤーに関する情報が含まれています。サプライヤーとコンシューマーはいずれも RUV 情報を保存し、これを使用してレプリケーションの更新を制御します。
あるサプライヤーがレプリケーショントポロジーから削除されると、別のレプリカの RUV に残っている場合があります。他のレプリカが再起動すると、レプリケーションプラグインが (削除された) サプライヤーを認識しないエラーをログに記録します。
[09/Sep/2021:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000] which is present in RUV [database RUV] ...... [09/Sep/2021:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica dc=example,dc=com there were some differences between the changelog max RUV and the database RUV. If there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task. If they are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.
サプライヤーがトポロジーから永久に削除されると、そのサプライヤーに関する残存するメタデータは、他のすべてのサプライヤーの RUV エントリーから消去されるはずです。
cn=cleanallruv
タスクは、レプリケーショントポロジー内のすべてのサーバーを介して伝播し、欠落しているサプライヤーや、古くなったサプライヤーに関連付けられた、指定の RUV エントリーを削除します。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=cleanallruv
エントリーは、すべてのクリーン RUV 操作のコンテナーエントリーです。cn=cleanallruv
エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID,cn=cleanallruv,cn=tasks,cn=config
など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
各クリーン RUV タスクは、削除するレプリカ RUV エントリーのレプリカ ID 番号、レプリケートされたデータベースのベース DN、および RUV データを削除する前に、欠落しているサプライヤーから残りの更新を適用する必要があるかどうかを指定する必要があります。
dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-force-cleaning: no cn: clean 55
2.25.1. replica-base-dn
これにより、複製されたデータベースに関連付けられた Directory Server ベース DN が提供されます。これは、複製された接尾辞のベース DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
有効な値 | ディレクトリーの接尾辞 DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | replica-base-dn: dc=example,dc=com |
2.25.2. replica-force-cleaning
これにより、削除するレプリカから未処理の更新を適用する (no
) か、clean RUV 操作を強制的に実行し、残りの更新を破棄する (yes
) かどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
有効な値 | no | yes |
デフォルト値 | なし |
構文 | DirectoryString |
例 | replica-force-cleaning: no |
2.25.3. replica-id
これにより、レプリカトポロジーから 削除される レプリカのレプリカ ID(レプリカ設定エントリーの nsDS5ReplicaId
属性で定義されている) が指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
有効な値 | 0 から 65534 |
デフォルト値 | なし |
構文 | 整数 |
例 | replica-id: 55 |
2.26. cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config
cleanall タスクの所要時間として、このタスクですべての更新を初めて処理する場合には、レプリケーショントポロジー内のすべてのサーバー間で伝播するのに数分かかる場合があります。パフォーマンスやその他のメンテナンスに関する考慮事項は、clean RUV タスクを終了し、その終了もレプリケーショントポロジー内のすべてのサーバーに伝播されます。
終了タスクは、cn=abort cleanallruv
エントリーのインスタンスです。
タスクが完了すると、タスクエントリーはディレクトリーから削除されます。
cn=abort cleanallruv
エントリーは、すべてのクリーン RUV 操作のコンテナーエントリーです。cn=abort cleanallruv
エントリー自体には個別のタスクに関連する属性はありませんが、cn=task_ID,cn=abort cleanallruv,cn=tasks,cn=config
など、このエントリーの配下にあるタスクごとに、属性を使用して個別の更新タスクを定義します。
各クリーン RUV タスクは、現在削除されている へのレプリカ RUV エントリーのレプリカ ID 番号、レプリケートされたデータベースのベース DN、およびターミネイトタスクがトポロジー内のすべてのサーバーで完了したときに完了するか、ローカルのみで完了するかを指定する必要があります。
dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-certify-all: yes cn: abort 55
2.26.1. replica-base-dn
これにより、複製されたデータベースに関連付けられた Directory Server ベース DN が提供されます。これは、複製された接尾辞のベース DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
有効な値 | ディレクトリーの接尾辞 DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | replica-base-dn: dc=example,dc=com |
2.26.2. replica-certify-all
これにより、タスクをローカルで完了する前にレプリケーショントポロジー内のすべてのサーバーでタスクを正常に完了するか (yes
)、ローカルで完了するとすぐにタスクを完了として表示するか (no
) を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
有効な値 | no | yes |
デフォルト値 | なし |
構文 | DirectoryString |
例 | replica-certify-all: yes |
2.26.3. replica-id
これにより、レプリカトポロジーから 削除中の レプリカのレプリカ ID(レプリカ設定エントリーの nsDS5ReplicaId
属性で定義されている) が指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
有効な値 | 0 から 65534 |
デフォルト値 | なし |
構文 | 整数 |
例 | replica-id: 55 |
2.27. cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config
Auto Member プラグインは、新規エントリーがディレクトリーに追加された場合にのみ実行されます。このプラグインは、automembership ルールに一致するように編集された既存のエントリーを無視します。
cn=automember rebuild membership
タスクは、既存 のエントリーに対して現在の automembership ルールを実行して、グループメンバーシップを更新または再構築します。設定された automembership ルールはすべて、特定されたエントリーに対して実行されます (すべてのルールが特定のエントリーに適用されるわけではありません)。
2.27.1. basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。その後、指定した DN のエントリーが automembership ルールに従って更新されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
有効な値 | ディレクトリーの接尾辞 DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | basedn: dc=example,dc=com |
2.27.2. filter
この属性は、設定された automembership ルールに従って更新するユーザーエントリーの特定に使用する LDAP フィルターを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
有効な値 | 任意の LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | filter: (uid=*) |
2.27.3. scope
この属性は、指定のベース DN の検索時に使用する LDAP 検索範囲を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
有効な値 | sub | base | one |
デフォルト値 | なし |
構文 | DirectoryString |
例 | scope: sub |
2.28. cn=task_name,cn=automember export updates,cn=tasks,cn=config
このタスクが、ディレクトリー内の 既存のエントリー に対して実行し、ルールに基づいてユーザーの追加結果をエクスポートします。これは、既存のルールをテストして、実際のデプロイメントの実行方法を確認するのに役立ちます。
automembership 関連の変更は実行 されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
2.28.1. basedn
これにより、ユーザーエントリーの検索に使用する Directory Server ベース DN が提供されます。automembership ルールのテスト実行は、特定されたエントリーに対して実行されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
有効な値 | ディレクトリーの接尾辞 DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | basedn: dc=example,dc=com |
2.28.2. filter
この属性は、automembership ルールをテストするユーザーエントリーの識別に使用する LDAP フィルターを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
有効な値 | 任意の LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | filter: (uid=*) |
2.28.3. ldif
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
有効な値 | ローカルパスおよびファイル名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | ldif: /tmp/automember-results.ldif |
2.28.4. scope
この属性は、指定のベース DN の検索時に使用する LDAP 検索範囲を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
有効な値 | sub | base | one |
デフォルト値 | なし |
構文 | DirectoryString |
例 | scope: sub |
2.29. cn=task_name,cn=automember map updates,cn=tasks,cn=config
このタスクは、LDIF ファイル内 (新しいエントリー、または場合によってはテストエントリー内) でエントリーに対して実行され、提案された変更を LDIF ファイルに書き込みます。これは、(実際の) 新規または既存のユーザーエントリーに適用する前に、新しいルールをテストする場合に非常に役立ちます。
automembership 関連の変更は実行 されません。提案された変更は、指定された LDIF ファイルに書き込まれます。
2.29.1. ldif_in
この属性は、設定された automembership ルールでテストするエントリーのインポート元の LDIF ファイルの完全パスおよびファイル名を設定します。これらのエントリーはディレクトリーにインポートされず、変更は実行されません。エントリーは、テスト実行でのみ読み込まれ、使用されます。
このファイルは、タスクが開始するシステムのローカルである必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
有効な値 | ローカルパスおよびファイル名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | ldif_in: /tmp/automember-test-users.ldif |
2.29.2. ldif_out
この属性は、automembership ルールの test-run から提案された変更を書き込む LDIF ファイルの完全パスおよびファイル名を設定します。このファイルは、タスクが開始するシステムのローカルである必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
有効な値 | ローカルパスおよびファイル名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | ldif_out: /tmp/automember-results.ldif |
2.30. cn=task_name,cn=des2aes,cn=tasks,cn=config
このタスクは、古い DES
暗号を使用してエンコードされた、指定のユーザーデータベースにある可逆パスワードエントリーをすべて検索し、それらをより安全な AES
暗号に変換します。
以前は、このタスクは、Directory Server の起動中にすべての接尾時に対して自動的に実行されていました。ただし、DES パスワードの検索は通常、インデックスが作成されていないため、大量のエントリーを含む接尾辞に対して実行するのに非常に時間がかかる可能性があり、その結果、Directory Server がタイムアウトして起動に失敗しました。このため、検索は cn=config
でのみ実行されますが、他のデータベースでパスワードを変換するには、このタスクを手動で実行する必要があります。
2.30.1. 接尾辞
この複数値属性は、DES パスワードを確認し、AES に変換する接尾辞を指定します。この属性を省略すると、すべてのバックエンド/接尾辞がチェックされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
有効な値 | ディレクトリーの接尾辞 DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | suffix: dc=example,dc=com |
2.31. Root DSE 設定パラメーター
2.31.1. nsslapd-return-default-opattr
Directory Server では、Root DSE 検索で操作属性は表示されません。たとえば、-s base -b ""
パラメーターを指定して ldapsearch
ユーティリティーを実行している場合には、ユーザー属性のみが表示されます。Root DSE 検索出力で動作属性を想定しているクライアントの場合は、この動作を有効にして後方互換性を確保できます。
- Directory Server インスタンスを停止します。
/etc/dirsrv/slapd-instance_name/dse.ldif
ファイルを編集し、以下のパラメーターをdn:
セクションに追加します。nsslapd-return-default-opattr: supportedsaslmechanisms nsslapd-return-default-opattr: nsBackendSuffix nsslapd-return-default-opattr: subschemasubentry nsslapd-return-default-opattr: supportedldapversion nsslapd-return-default-opattr: supportedcontrol nsslapd-return-default-opattr: ref nsslapd-return-default-opattr: vendorname nsslapd-return-default-opattr: vendorVersion nsslapd-return-default-opattr: supportedextension nsslapd-return-default-opattr: namingcontexts
- Directory Server インスタンスを開始します。
パラメーター | 説明 |
---|---|
エントリー DN | Root DSE |
有効な値 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorname | vendorVersion |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-return-default-opattr: supportedsaslmechanisms |
第3章 設定オブジェクトクラス
多くの設定エントリーは extensibleObject
オブジェクトクラスのみを使用しますが、設定エントリーで他のオブジェクトクラスが必要になるものもあります。これらの設定オブジェクトクラスがここにリスト表示されます。
3.1. changeLogEntry
このオブジェクトクラスは、Directory Server エントリーへの変更を保存するエントリーに使用されます。
Directory Server 4.1x に実装された changelog との互換性を維持するように Directory Server を設定するには、Retro Changelog プラグインを有効にします。changelog の各エントリーには、changeLogEntry
オブジェクトクラスがあります。
このオブジェクトクラスは、Changelog インターネットドラフトで定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.1
表3.1 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
changelog に任意に割り当てられた数字が含まれます。 | |
変更が行われた時刻。 | |
エントリーに対して実行される変更のタイプ。 | |
サプライヤーサーバーで追加、変更、または削除されているエントリーの識別名。 |
表3.2 使用できる属性
Directory Server に対する変更。 | |
エントリーの古い Relative Distinguished Name (RDN) をエントリーの識別属性として保持するか、削除するかを定義するフラグ。 | |
modRDN または modDN 操作の対象となるエントリーの新しい RDN。 | |
modDN 操作の処理時に既存のエントリーの 1 つ上の階層となるエントリーの名前。 |
3.2. directoryServerFeature
このオブジェクトクラスは、ディレクトリーサービスの機能を識別するエントリー専用として使用されます。このオブジェクトクラスは Directory Server で定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.40
表3.3 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表3.4 使用できる属性
属性 | 定義 |
---|---|
cn | エントリーの一般的な名前を指定します。 |
multiLineDescription | エントリーのテキスト説明を入力します。 |
oid | 機能の OID を指定します。 |
3.3. nsBackendInstance
このオブジェクトクラスは、Directory Server バックエンドまたはデータベース、インスタンスエントリーに使用されます。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.109
表3.5 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | エントリーの共通名を指定します。 |
3.4. nsDS5Replica
このオブジェクトクラスは、データベースレプリケーションにレプリカを定義するエントリー用です。これらの属性の多くはバックエンド内で設定され、変更することはできません。
このオブジェクトクラスの属性に関する情報は、Directory Server 設定、コマンド、およびファイルリファレンス の 2 章のコア設定属性と共にリスト表示されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.108
表3.6 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
nsDS5ReplicaId | レプリケーション環境内のサプライヤーの一意の ID を指定します。 |
nsDS5ReplicaRoot | 複製された領域のルートで接尾辞 DN を指定します。 |
表3.7 使用できる属性
cn | レプリカの名前を指定します。 |
nsDS5Flags | フラグで以前に設定された情報を指定します。 |
nsDS5ReplicaAutoReferral | サーバーが Directory Server データベースに設定された参照に従うかどうかを設定します。 |
nsDS5ReplicaBindDN | サプライヤーサーバーがコンシューマーにバインドする時に使用する DN を指定します。 |
nsDS5ReplicaChangeCount | changelog の合計エントリー数と、複製されたかどうかを示します。 |
nsDS5ReplicaLegacyConsumer | レプリカがレガシーコンシューマーであるかどうかを指定します。 |
nsDS5ReplicaName | 内部操作用のレプリカの一意 ID を指定します。 |
nsDS5ReplicaPurgeDelay | changelog がパージされるまでの秒数を指定します。 |
nsDS5ReplicaReferral | ユーザー定義の参照の URL を指定します。 |
nsDS5ReplicaReleaseTimeout | 更新の送信が完了したかどうかに関係なく、サプライヤーがレプリカをリリースするまでのタイムアウトを指定します。 |
nsDS5ReplicaTombstonePurgeInterval | パージ操作サイクルの間隔 (秒単位) を指定します。 |
nsDS5ReplicaType | 読み取り専用コンシューマーなどのレプリカのタイプを定義します。 |
nsDS5Task | データベースのコンテンツを LDIF にダンプするなどのレプリケーションタスクを起動します。これは、Directory Server サプライヤーにより内部で使用されます。 |
nsState | 適切な変更シーケンス番号が生成されるように、クロックに関する情報を格納します。 |
3.5. nsDS5ReplicationAgreement
オブジェクトクラスが nsDS5ReplicationAgreement
のエントリーは、設定された情報をレプリカ合意に保存します。このオブジェクトクラスの属性に関する情報は、Directory Server 設定、コマンド、およびファイルリファレンス の 2 章を参照してください。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.103
表3.8 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | レプリカ合意の命名に使用されます。 |
表3.9 使用できる属性
description | フリーテキストでのレプリカ合意に関する説明が含まれます。 |
nsDS5BeginReplicaRefresh | レプリカを手動で初期化します。 |
nsds5debugreplicatimeout | レプリケーションがデバッグロギングで実行される場合に使用する別のタイムアウト期間を指定します。 |
nsDS5ReplicaBindDN | サプライヤーサーバーがコンシューマーにバインドする時に使用する DN を指定します。 |
nsDS5ReplicaBindMethod | バインディングに使用するメソッド (SSL または簡易認証) を指定します。 |
nsDS5ReplicaBusyWaitTime | コンシューマーがビジー応答を送信してから、コンシューマーがアクセスの取得を試みるまで、サプライヤーが待機する時間を秒単位で設定します。 |
nsDS5ReplicaChangesSentSinceStartup | サーバーが起動してからこのレプリカに送信された変更の数。 |
nsDS5ReplicaCredentials | バインド DN のパスワードを指定します。 |
nsDS5ReplicaHost | コンシューマーレプリカのホスト名を指定します。 |
nsDS5ReplicaLastInitEnd | コンシューマーレプリカの初期化がいつ終了したかを示します。 |
nsDS5ReplicaLastInitStart | コンシューマーレプリカの初期化を開始するタイミングを示します。 |
nsDS5ReplicaLastInitStatus | コンシューマーの初期化のステータス。 |
nsDS5ReplicaLastUpdateEnd | 最新のレプリケーションスケジュールの更新がいつ終了したかを示します。 |
nsDS5ReplicaLastUpdateStart | 直近のレプリケーションスケジュールの更新が開始されるタイミングを示します。 |
nsDS5ReplicaLastUpdateStatus | 最新のレプリケーションスケジュール更新のステータスを示します。 |
nsDS5ReplicaPort | リモートレプリカのポート番号を指定します。 |
nsDS5ReplicaRoot | 複製された領域のルートで接尾辞 DN を指定します。 |
nsDS5ReplicaSessionPauseTime | 次の更新セッションまでの間に、サプライヤーが待機する時間を秒単位で指定します。 |
nsDS5ReplicatedAttributeList | コンシューマーサーバーにレプリケートしない属性を指定します。 |
nsDS5ReplicaTimeout | タイムアウトや失敗するまでの間に、アウトバウンド LDAP 操作がリモートレプリカからの応答を待機する時間を秒単位で指定します。 |
nsDS5ReplicaTransportInfo | レプリカとの間のデータ転送に使用されるトランスポートのタイプを指定します。 |
nsDS5ReplicaUpdateInProgress | レプリケーションスケジュールの更新が進行中であるかどうかを示します。 |
nsDS5ReplicaUpdateSchedule | レプリケーションスケジュールを指定します。 |
nsDS50ruv | レプリケーション更新ベクトルを使用してレプリカの内部状態を管理します。 |
nsruvReplicaLastModified | レプリカのエントリーが変更され、changelog が更新された最新の時間が含まれます。 |
nsds5ReplicaStripAttrs |
一部のレプリケーションでは、除外した属性の更新も引き続きレプリケーションイベントをトリガーしますが、そのレプリケーションイベントは空となります。この属性は、レプリケーション更新から削除する属性を設定します。これにより、 |
3.6. nsDSWindowsReplicationAgreement
同期合意に関連する同期属性を保存します。このオブジェクトクラスの属性に関する情報は、{PRODUCT} 設定、コマンド、およびファイルリファレンスの 2 章を参照してください。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.503
表3.10 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | 同期合意の名前を指定します。 |
表3.11 使用できる属性
description | 同期合意のテキストの説明が含まれます。 |
nsDS5BeginReplicaRefresh | 手動同期を開始します。 |
nsds5debugreplicatimeout | 同期がデバッグロギングで実行される場合に使用する別のタイムアウト期間を指定します。 |
nsDS5ReplicaBindDN | Directory Server が Windows サーバーへのバインドに使用する DN を指定します。 |
nsDS5ReplicaBindMethod | バインディングに使用するメソッド (SSL または簡易認証) を指定します。 |
nsDS5ReplicaBusyWaitTime | Windows サーバーがビジー応答を送信してから、別のアクセスの取得を試みるまでに、Directory Server が待機する時間を秒単位で指定します。 |
nsDS5ReplicaChangesSentSinceStartup | Directory Server の起動後に送信された変更の数を示します。 |
nsDS5ReplicaCredentials | バインド DN の認証情報を指定します。 |
nsDS5ReplicaHost | 同期する Windows サーバーの Windows ドメインコントローラーのホスト名を指定します。 |
nsDS5ReplicaLastInitEnd | Windows サーバーの最後の完全な更新 (再同期) がいつ終了したかを示します。 |
nsDS5ReplicaLastInitStart | Windows サーバーの最後の完全な更新 (再同期) がいつ開始したかを示します。 |
nsDS5ReplicaLastInitStatus | Windows サーバーの完全な更新 (再同期) のステータス。 |
nsDS5ReplicaLastUpdateEnd | 最新の更新がいつ終了したかを示します。 |
nsDS5ReplicaLastUpdateStart | 最新の更新が開始された日時を示します。 |
nsDS5ReplicaLastUpdateStatus | 最新の更新ステータスを示します。 |
nsDS5ReplicaPort | Windows サーバーのポート番号を指定します。 |
nsDS5ReplicaRoot | Directory Server のルート接尾辞 DN を指定します。 |
nsDS5ReplicaSessionPauseTime | 次の更新セッションまでの間に、Directory Server が待機する時間を秒単位で指定します。 |
nsDS5ReplicaTimeout | タイムアウトや失敗するまでの間に、アウトバウンド LDAP 操作が Windows サーバーからの応答を待機する時間を秒単位で指定します。 |
nsDS5ReplicaTransportInfo | Windows サーバーとの間のデータ転送に使用されるトランスポートのタイプを指定します。 |
nsDS5ReplicaUpdateInProgress | 更新が進行中であるかどうかを示します。 |
nsDS5ReplicaUpdateSchedule | 同期スケジュールの適用 |
nsDS50ruv | レプリケーション更新ベクトル (RUV) を使用して、Directory Server 同期ピアの内部状態を管理します。 |
nsds7DirectoryReplicaSubtree | 同期する Directory Server の接尾辞 (root または sub) を指定します。 |
nsds7DirsyncCookie | RUV として機能する同期サービスで設定される Cookie が含まれます。 |
nsds7NewWinGroupSyncEnabled | Directory Server で新しい Windows グループアカウントが自動的に作成されるかどうかを指定します。 |
nsds7NewWinUserSyncEnabled | Directory Server で新しい Windows ユーザーアカウントを自動的に作成するかどうかを指定します。 |
nsds7WindowsDomain |
同期している Windows ドメインを特定します。レプリカ合意の |
nsds7WindowsReplicaSubtree | 同期する Windows サーバーの接尾辞 (root または sub) を指定します。 |
nsruvReplicaLastModified | Directory Server 同期ピアのエントリーが変更され、changelog が更新された最新の時間が含まれます。 |
winSyncInterval |
Directory Server が Windows サーバーをポーリングして更新を行う頻度を秒単位で設定します。これが設定されていない場合に、デフォルトは |
winSyncMoveAction | 同期されたサブツリー以外の Active Directory で検出された、対応のエントリーを同期プラグインが処理する方法を設定します。同期プロセスは、これらのエントリーを無視するか (none、デフォルト)、エントリーが意図的に移動されて同期から削除されたと見なし、対応する Directory Server エントリーまたは Synchronization 属性を削除するか (delete)、エントリーの同期を中止します (unsync)。 |
3.7. nsEncryptionConfig
nsEncryptionConfig
オブジェクトクラスは、プロトコルや暗号スイートなど、使用可能な暗号化オプションの設定情報を保存します。これは、Administraive Services で定義されます。
上級クラス
top
OID
nsEncryptionConfig-oid
表3.12 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn (commonName) | デバイスの一般名を指定します。 |
表3.13 使用できる属性
属性 | 定義 |
---|---|
nsSSL3SessionTimeout | SSLv3 暗号セッションのタイムアウト期間を設定します。 |
nsSSLClientAuth | サーバーがクライアント認証を処理する方法を設定します。allow、disallowed、または require の 3 つの値を使用できます。 |
nsSSLSessionTimeout | 暗号セッションのタイムアウト期間を設定します。 |
nsSSLSupportedCiphers | サーバーへのセキュアな接続で使用可能な暗号のリストがすべて含まれます。 |
nsTLS1 | サーバーで TLS バージョン 1 を有効にするかどうかを設定します。 |
3.8. nsEncryptionModule
nsEncryptionModule
オブジェクトクラスは、暗号化モジュール情報を保存します。これは、Administraive Services で定義されます。
上級クラス
top
OID
nsEncryptionModule-oid
表3.14 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn (commonName) | デバイスの一般名を指定します。 |
表3.15 使用できる属性
属性 | 定義 |
---|---|
nsSSLActivation | 暗号ファミリーを有効にするかどうかを設定します。 |
nsSSLPersonalitySSL | SSL のサーバーが使用する証明書の名前が含まれます。 |
nsSSLToken | サーバーが使用するセキュリティートークンを特定します。 |
3.9. nsMappingTree
マッピングツリーは、接尾辞をバックエンドにマップします。各マッピングツリーエントリーは nsMappingTree
オブジェクトクラスを使用します。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.110
表3.16 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cn | エントリーの共通名を指定します。 |
3.10. nsSaslMapping
このオブジェクトクラスは、SASL 属性を Directory Server 属性にマッピングするための ID マッピング設定を含むエントリーに使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.317
表3.17 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | SASL マッピングエントリーの名前を指定します。 |
検索ベースの DN テンプレートが含まれます。 | |
検索フィルターテンプレートが含まれます。 | |
SASL ID 文字列に一致する正規表現が含まれます。 |
3.11. nsslapdConfig
nsslapdConfig
オブジェクトクラスは、Directory Server インスタンスの設定オブジェクト cn=config
を定義します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.39
表3.18 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表3.19 使用できる属性
属性 | 定義 |
---|---|
cn | エントリーの共通名を指定します。 |
3.12. passwordPolicy
local および global パスワードポリシーはいずれも passwordPolicy
オブジェクトクラスを取ります。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.13
表3.20 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表3.21 使用できる属性
属性 | 定義 |
---|---|
ユーザーパスワードの有効期限が切れるまでの秒数を設定します。 | |
passwordMaxAge 属性で指定された間隔の後に、ユーザーのパスワードの有効期限が切れるかどうかを指定します。 | |
パスワードで使用する必要がある文字の最小数を設定します。 | |
ディレクトリーストアが履歴に、パスワード数を設定します。 | |
ユーザーが自身のパスワードを変更できるかどうかを指定します。 | |
パスワードの有効期限が近づいているユーザーに警告メッセージが送信されるまでの秒数を設定します。 | |
バインドの試行が一定回数失敗した後、ユーザーがディレクトリーからロックアウトされているかを示します。 | |
バインドの試行を何回失敗するとユーザーがディレクトリーからロックアウトされるかを設定します。 | |
管理者がパスワードをリセットするまでユーザーをロックアウトするかどうか、特定のロックアウト期間後にユーザーが再度ログインできるかどうかを識別します。デフォルトでは、ロックアウト期間後にユーザーが再度ログインできるようになっています。 | |
ユーザーがディレクトリーからロックされる時間を秒単位で設定します。 | |
パスワードを保存する前に、サーバーによってパスワード構文をチェックするかどうかを指定します。 | |
ディレクトリーへの初回ログイン時、または Directory Manager でパスワードのリセット後にパスワードを変更するかどうかを指定します。 | |
Directory Server のパスワード保存に使用する暗号化のタイプを設定します。 | |
ユーザーが次にパスワードを変更するまでに待機する必要のある秒数を設定します。 | |
パスワード障害カウンターをリセットするまでの時間を秒単位で設定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。 | |
ユーザーのパスワードの有効期限が切れたときに猶予として許可されるログインの数を設定します。 | |
パスワードで使用する必要がある数値の最小数 (0 から 9) を設定します。 | |
パスワードで使用する必要があるアルファベット文字の最小数を設定します。 | |
パスワードで使用する必要がある大文字の英字 (A から Z) の最小数を設定します。 | |
パスワードで使用する必要がある小文字の英字 (a から z) の最小数を設定します。 | |
パスワードで使用する必要がある | |
パスワードで使用される 8 ビット文字の最小数を設定します。 | |
同じ文字を連続して使用できる最大回数を設定します。 | |
パスワードで使用する必要があるカテゴリーの最小数を設定します。 | |
普通の言葉をチェックする長さを設定します。 | |
一時パスワードが有効になるまでの遅延を設定します。 | |
一時パスワードが有効な期間を秒数で設定します。 | |
一時パスワードを使用できる最大試行回数を設定します |
第4章 cn=monitor
サーバーの監視に使用される情報は cn=monitor
下に保存されます。このエントリーとその子は読み取り専用で、クライアントは直接変更できません。サーバーはこの情報を自動的に更新します。本セクションでは、cn=monitor
属性を説明します。アクセス制御の設定向けにユーザーが変更できる属性は aci
属性のみです。
cn=config
の nsslapd-counters
属性が on
(デフォルト設定) に設定されている場合は、32 ビットマシンや、32 ビットバージョンの Directory Server でも、Directory Server インスタンスにより保持されるすべてのカウンターは、64 ビットの整数を使用して増分します。cn=monitor
エントリーでは、opsinitiated
、opscompleted
、entriessent
、および bytessent
カウンターで 64 ビットの整数が使用されます。
nsslapd-counters
属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットサポートを有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
4.1. backendMonitorDN
この属性は、各 Directory Server データベースバックエンドの DN を示します。データベースの監視に関する詳細は、以下のセクションを参照してください。
4.2. bytesSent
この属性は、Directory Server が送信するバイト数を表示します。
4.3. connection
この属性は、開放されている接続および関連するステータスおよびパフォーマンス関連情報および値をリスト表示します。これらは次の形式で提供されます。
connection: pass:quotes[A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address]
以下に例を示します。
connection: pass:quotes[69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1]
-
A は接続番号で、この接続に関連する接続テーブルのスロット数です。これは、この接続が開放されたときに、アクセスログメッセージで
slot=
A としてログに記録された数字で、通常は接続に関連付けられたファイル記述子に対応します。dTableSize
属性は、接続テーブルの合計サイズを表示します。 - YYYYMMDDhhmmssZ は、接続が開いた時間 ( GeneralizedTime) 形式の日時です。この値は、グリニッジ標準時との関係で時間を示します。
- b は、この接続で受信する操作の数です。
- C は、完了した操作の数です。
-
サーバーがネットワークから BER を読み取る処理中である場合、D は
r
であり、それ以外は空になります。(この例のように) この値は、通常空です。 -
e はバインド DN です。これは空であるか、匿名接続の
NULLDN
の値を持つことがあります。 -
f は接続の最大スレッド状態です。
1
では最大スレッドにあり、0
では最大スレッドにありません。 - G は、このスレッドが最大スレッド値に達した回数です。
- H は、最大スレッド数によってブロックされた操作の数です。
-
I は、ログに
conn=connection_ID
として報告される接続 ID です。 - ip_address は、LDAP クライアントの IP アドレスです。
開始操作および完了した操作の B および C は同等であるべきです。
4.4. currentConnections
この属性は、現在開いていてアクティブな Directory Server 接続の数を表示します。
4.5. currentTime
この属性は、グリニッジ標準時 (20220202131102Z
など、generalizedTime
構文 Z
表記で表される) で指定されている現在の時間を表示します。
4.6. dTableSize
dTableSize
属性は、Directory Server 接続テーブルのサイズを表示します。各接続はこのテーブルのスロットに関連付けられ、通常はこの接続で使用されるファイル記述子に対応します。詳細は、nsslapd-maxdescriptors および nsslapd-reservedescriptors を参照してください。
4.7. entriesSent
この属性は、Directory Server で送信されるエントリーの数を表示します。
4.8. nbackEnds
この属性は、Directory Server データベースバックエンドの数を示します。
4.9. opsinitiated
この属性は、完了した Directory Server 操作の数を表示します。
4.10. readWaiters
この属性は、一部の要求が保留中であり、現在 Directory Server のスレッドで処理されていない接続の数を示します。
4.11. startTime
この属性は、グリニッジ標準時で指定した Directory Server の起動時間を表示します。これは、generalizedTime
構文 Z
表記で示されます。例: 20220202131102Z
4.12. threads
この属性は、Directory Server が使用するスレッド数を表示します。これは cn=config
の nsslapd-threadnumber
に対応している必要があります。
4.13. totalConnections
この属性は、Directory Server 接続の合計数を表示します。この数には、currentConnections
に加えて、サーバーが最後に起動されてから開かれた接続と閉じられた接続が含まれます。
4.14. version
この属性は、Directory Server のベンダー、バージョン、およびビルド番号を表示します。例: 389-Directory/2.0.14 B2022.082.0000
。
第5章 Root DSE 属性
このセクションの属性を使用して、サーバーインスタンスのルート Directory Server エントリー (DSE) を定義します。DSE で定義された情報は、そのサーバーソフトウェアのそのバージョンでサポートされる制御、メカニズム、機能など、サーバーインスタンスの実際の設定に関連します。また、インスタンスに固有の情報 (ビルド番号やインストール日など) も含まれます。
DSE は通常の DIT 以外の特別なエントリーで、null 検索ベースで検索して返すことができます。以下に例を示します。
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s base -b "" "objectclass=*"
5.1. dataversion
この属性には、ディレクトリー内のデータの最新の編集時刻を示すタイムスタンプが含まれます。
dataversion: 020090923175302020090923175302
OID | |
構文 | GeneralizedTime |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
5.2. defaultNamingContext
クライアントがデフォルトで使用する必要のあるすべての設定済みの命名コンテキストの中から特定の命名コンテキストに対応します。
OID | |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
5.3. lastusn
USN プラグインは、書き込み操作 (add、change、delete、および modrdn) がそのエントリーに対して実行されるたびに、すべてのエントリーにシーケンス番号を割り当てます。USN は エントリーの USN
操作属性に割り当てられます。
USN プラグインには、ローカルおよびグローバルの 2 つのモードがあります。
ローカルモードでは、サーバーインスタンス用に維持される各データベースには、バックエンドデータベースごとに個別の USN カウンターが割り当てられた USN プラグインの独自のインスタンスがあります。データベースのエントリーに割り当てられた最新の USN は lastusn
属性に表示されます。USN プラグインがローカルモードに設定されていると、lastUSN
属性は USN と USN が割り当てられたデータベースの両方を表示します。
lastusn;pass:quotes[database_name]:pass:quotes[USN]
以下に例を示します。
lastusn;example1: 213 lastusn;example2: 207
グローバルモードでは、データベースが共有 USN カウンターを使用する場合に、lastUSN
値では、データベースで割り当てられた最新の USN を表示します。
lastusn: 420
5.4. namingContexts
サーバーが制御またはシャドウする命名コンテキストに対応します。Directory Server で情報を制御しない場合は (パブリック X.500 ディレクトリーへの LDAP ゲートウェイである場合など)、この属性はありません。Directory Server がディレクトリー全体を含むと判断した場合は、この属性の値は 1 つで、その値は空の文字列 (root の Null DN を示す) です。この属性を使用し、サーバーに接続しているクライアントは、検索に適したベースオブジェクトを選択できます。
OID | 1.3.6.1.4.1.1466.101.120.5 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
5.5. netscapemdsuffix
この属性には、サーバーで保持されるマシンデータのディレクトリーツリーの最上位接尾辞の DN が含まれます。DN 自体は LDAP URL を参照します。以下に例を示します。
cn=ldap://dc=pass:quotes[server_name],dc=example,dc=com:389
OID | 2.16.840.1.113730.3.1.212 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
5.6. supportedControl
この属性の値は、サーバーでサポートされる制御を識別するオブジェクト識別子 (OID) です。サーバーが制御に対応していない場合には、この属性は存在しません。
OID | 1.3.6.1.4.1.1466.101.120.13 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
5.7. supportedExtension
この属性の値は、サーバーでサポートされる拡張操作を識別するオブジェクト識別子 (OID) です。サーバーが拡張操作に対応していない場合には、この属性は存在しません。
OID | 1.3.6.1.4.1.1466.101.120.7 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
5.8. supportedFeatures
この属性には、{PRODUCT} の現行バージョンでサポートされる機能が含まれます。
OID | 1.3.6.1.4.1.4203.1.3.5 |
構文 | OID |
多値または単一値 | 複数値 |
定義される場所 |
5.9. supportedLDAPVersion
この属性は、サーバーで実装された LDAP プロトコルのバージョンを識別します。
OID | 1.3.6.1.4.1.1466.101.120.15 |
構文 | 整数 |
多値または単一値 | 複数値 |
定義される場所 |
5.10. supportedSASLMechanisms
この属性は、サーバーでサポートされる SASL メカニズムの名前を識別します。サーバーが SASL 属性に対応していない場合には、この属性は存在しません。
OID | 1.3.6.1.4.1.1466.101.120.14 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
5.11. vendorName
この属性には、サーバーベンダーの名前が含まれます。
OID | 1.3.6.1.1.4 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
5.12. vendorVersion
この属性では、サーバーのベンダーのバージョン番号を示します。
OID | 1.3.6.1.1.5 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
config-schema-reference-title
第6章 プラグイン実装サーバー機能リファレンス
この章では、プラグインの参考情報を紹介します。
Directory Server プラグイン機能の各設定には、独自のエントリーと、サブツリー cn=plugins,cn=config
下の属性セットがあります。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginPath: libsyntax-plugin nsslapd-pluginInitfunc: tel_init nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
これらの属性の一部はすべてのプラグインに共通するものであり、特定のプラグインに固有の場合もあります。cn=config
サブツリーで ldapsearch
を実行すると、特定のプラグインが使用する属性を確認できます。
すべてのプラグインは、extensibleObject
オブジェクトクラスから継承された nsSlapdPlugin
オブジェクトクラスのインスタンスです。次の例に示すように、両方のオブジェクトクラスが (最上位のオブジェクトクラスに加えて) エントリーに存在する場合、サーバーはプラグイン設定属性を考慮します。
dn:cn=ACL Plugin,cn=plugins,cn=config objectclass:top objectclass:nsSlapdPlugin objectclass:extensibleObject
6.1. すべてのプラグインに共通の属性のリスト
このリストには、簡単な属性の説明、エントリー DN、有効な範囲、デフォルト値、構文、および各属性の例が記載されています。
各 Directory Server プラグインは nsslapdPlugin
オブジェクトクラスに属します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.41
表6.1 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cn | エントリーの共通名を指定します。 |
プラグインライブラリー名を特定します (ライブラリー接尾辞なし)。 | |
プラグインの初期化機能を特定します。 | |
プラグインのタイプを識別します。 | |
プラグイン ID を特定します。 | |
プラグインのバージョンを特定します。 | |
プラグインのベンダーを特定します。 | |
プラグインの説明を識別します。 | |
プラグインを有効にするかどうかを特定します。 | |
実行順序でプラグインの優先度を設定します。 |
6.1.1. nsslapd-logAccess
この属性を使用すると、プラグインにより実行される検索操作を、cn=config
の nsslapd-accesslog
パラメーターに設定したファイルに記録できます。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-logAccess: Off |
6.1.2. nsslapd-logAudit
この属性を使用すると、プラグインから送られるデータベースへの変更をログに記録して監査できます。
nsslapd-auditlog-logging-enabled
パラメーターが cn=config
で有効になっていると、正常な変更イベントが監査ログに記録されます。プラグインで失敗した変更データベース操作をログに記録するには、cn=config
で nsslapd-auditfaillog-logging-enabled
属性を有効にします。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-logAudit: Off |
6.1.3. nsslapd-pluginDescription
この属性では、プラグインの説明を追加します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-pluginDescription: acl access check plug-in |
6.1.4. nsslapd-pluginEnabled
この属性は、プラグインを有効にするかどうかを指定します。この属性はプロトコルで変更できますが、サーバーが次回再起動されたタイミングでのみ有効になります。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-pluginEnabled: on |
6.1.5. nsslapd-pluginId
この属性は、プラグイン ID を指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 有効なプラグイン ID |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-pluginId: chaining database |
6.1.6. nsslapd-pluginInitfunc
この属性は、起動するプラグイン関数を指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 有効なプラグイン機能 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-pluginInitfunc: NS7bitAttr_Init |
6.1.7. nsslapd-pluginPath
この属性は、プラグインへの完全パスを指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 有効なパス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-pluginPath: uid-plugin |
6.1.8. nsslapd-pluginPrecedence
この属性は、プラグインの実行順序の優先順位を設定します。優先順位は、プラグインの実行順序を定義し、プラグインの実行前に、プラグインの操作が完了するのを待機できるので、より複雑な環境や対話が可能になります。これは、事前操作および操作後のプラグインにはより重要です。
値が 1 のプラグインの優先度が最も高く、最初に実行され、値が 99 のプラグインは優先度が最も低くなります。デフォルトは 50 です。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 1 から 99 |
デフォルト値 | 50 |
構文 | 整数 |
例 | nsslapd-pluginPrecedence: 3 |
6.1.9. nsslapd-pluginType
この属性は、プラグインのタイプを指定します。詳細は、「nsslapd-plugin-depends-on-type」 を参照してください。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 有効なプラグインタイプ |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-pluginType: preoperation |
6.1.10. nsslapd-pluginVendor
この属性は、プラグインのベンダーを指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 承認されたプラグインベンダー |
デフォルト値 | Red Hat, Inc. |
構文 | DirectoryString |
例 | nsslapd-pluginVendor: Red Hat, Inc. |
6.1.11. nsslapd-pluginVersion
この属性は、プラグインのバージョンを指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 有効なプラグインバージョン |
デフォルト値 | 製品バージョン番号 |
構文 | DirectoryString |
例 | nsslapd-pluginVersion: {VER} |
6.2. 特定のプラグインのオプション属性
6.2.1. nsslapd-dynamic-plugins
インスタンスを再起動しなくても、一部の Directory Server プラグインを動的に有効にできます。Directory Server で nsslapd-dynamic-plugins
属性を有効にして、動的プラグインを許可します。デフォルトでは、動的プラグインは無効になっています。
Red Hat Directory Server は動的プラグインをサポートしません。これは、テストおよびデバッグの目的でのみ使用してください。
一部のプラグインは動的として設定することはできません。このようなプラグインを有効にするには、インスタンスを再起動します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-dynamic-plugins: on |
6.2.2. nsslapd-pluginConfigArea
一部のプラグインエントリーはコンテナーエントリーで、プラグインのインスタンスが複数、cn=plugins,cn=config
のこのコンテナーの下に作成されます。ただし、cn=plugins,cn=config
は複製されないので、これらのコンテナーエントリーの下にあるプラグイン設定は、すべての Directory Server インスタンスで手動で設定する必要があります。
nsslapd-pluginConfigArea
属性は、プラグインインスタンスエントリーが含まれるメインのデータベース領域にある別のコンテナーエントリーを参照します。このコンテナーエントリーは、複製されたデータベースで使用することができます。これにより、プラグイン設定を複製できます。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DN |
例 | nsslapd-pluginConfigArea: cn=managed entries container,ou=containers,dc=example,dc=com |
6.2.3. nsslapd-plugin-depends-on-named
プラグインが正しい順序でサーバーによって呼び出されるようにするために使用される多値属性。プラグインの cn
値に対応する値を取ります。cn
値が、以下の値のいずれかに一致するプラグインは、このプラグインの前にサーバーにより起動されます。プラグインが存在しない場合は、サーバーが起動できません。以下の postoperation Referential Integrity プラグインの例は、Views プラグインが Roles の前に起動することを示しています。ビューが見つからない場合は、サーバーは起動しません。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=referential integrity postoperation,cn=plugins,cn=config |
有効な値 | サービスのクラス |
デフォルト値 | |
構文 | DirectoryString |
例 | * nsslapd-plugin-depends-on-named: Views * nsslapd-pluginId: roles |
6.2.4. nsslapd-plugin-depends-on-type
プラグインが正しい順序でサーバーによって呼び出されるようにするために使用される多値属性。nsslapd-pluginType
属性に含まれるプラグインのタイプ番号に対応する値を取ります。詳細は、「nsslapd-pluginType」 を参照してください。以下の有効な範囲内で、この値のいずれかに一致する type 値を持つプラグインはすべて、このプラグインの前にサーバーによって起動します。以下の postoperation Referential Integrity プラグインの例は、postoperation Referential Integrity プラグインの前にデータベースプラグインを起動することを示します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=referential integrity postoperation,cn=plugins,cn=config |
有効な値 | database |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-plugin-depends-on-type: database |
6.2.5. nsslapd-pluginLoadGlobal
この属性は、依存ライブラリーのシンボルがローカルで表示される (false
) か、実行可能ファイルおよびすべての共有オブジェクトに (true
) 表示されるかどうかを指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | DirectoryString |
例 | nsslapd-pluginLoadGlobal: false |
6.2.6. nsslapd-pluginLoadNow
この属性は、プラグインが使用するすべてのシンボル、これらのシンボルによるすべてのシンボル参照を即時に読み込む (true
) か、初回時に使用されるシンボルを読み込む (false
) かを指定します。
プラグインパラメーター | 説明 |
---|---|
エントリー DN | cn=plug-in name,cn=plugins,cn=config |
有効な値 | true | false |
デフォルト値 | false |
構文 | DirectoryString |
例 | nsslapd-pluginLoadNow: false |
6.3. サーバープラグインの機能リファレンス
以下のセクションは、Directory Server で提供されるプラグインの概要と、設定可能な引数、設定可能な引数、デフォルト設定、依存関係、一般的なパフォーマンス関連情報、および詳細な情報を示しています。
6.3.1. 7-bit Check プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | NS7bitAtt |
設定エントリーの DN | cn=7-bit check,cn=plugins,cn=config |
説明 | 特定の属性が 7 ビットクリーニングであることを確認します。 |
タイプ | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 |
属性のリスト ( |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
追加情報 | Directory Server が日本語などの ASCII 以外の文字を使用する場合は、このプラグインをオフにします。 |
6.3.2. Account Policy プラグイン
アカウントポリシーは、一定期間が経過すると自動的にアカウントをロックするように設定できます。これは、事前設定された期間にのみ有効な一時的なアカウントを作成したり、一定期間非アクティブであったユーザーをロックしたりするために使用できます。
Account Policy プラグイン自体は、プラグイン設定エントリーを参照する引数のみを受け入れます。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
アカウントポリシー設定エントリーは、サーバー全体で、アカウントポリシーに使用する属性を定義します。ほとんどの設定では、アカウントポリシーと有効期限の評価に使用する属性を定義しますが、設定はサブツリーレベルのアカウントポリシー定義を識別するために使用するオブジェクトクラスも定義します。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
プラグインの 1 つがグローバルで設定され、ユーザーのサブツリー内にアカウントポリシーエントリーを作成したり、これらのポリシーをサービスのクラスを介してユーザーおよびロールに適用できます。
例6.1 アカウントポリシー定義
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
個々のユーザーとロールまたは CoS テンプレートの両方のエントリーには、アカウントポリシーのサブエントリーを指定できます。すべてのアカウントポリシーのサブエントリーには、有効期限ポリシーに対して追跡される作成およびログイン時間があります。
例6.2 アカウントポリシーを含むユーザーアカウント
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Account Policy Plugin,cn=plugins,cn=config |
説明 | 特定の有効期限またはアクティブではない期間を経過後にユーザーアカウントをロックするポリシーを定義します。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | グローバルアカウントポリシー設定を含む設定エントリーへのポインター。 |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
追加情報 |
このプラグイン設定は、設定エントリーを参照し、アクティビティーのないアカウントおよび有効期限のデータに関するサーバー全体の設定に使用します。個別の (サブツリーレベルまたはユーザーレベルの) アカウントポリシーは、ディレクトリーエントリー ( |
6.3.2.1. altstateattrname
アカウントの有効期限ポリシーは、アカウントのいくつかの時間基準に基づいています。たとえば、非アクティブポリシーの場合、主要な基準は最終ログイン時刻 lastLoginTime
です。ただし、アカウントにログインしたことがないユーザーなど、その属性がエントリーに存在しない場合があります。altstateattrname
属性は、サーバー が有効期限を評価するために参照する backup 属性を提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | altstateattrname: createTimeStamp |
6.3.2.2. alwaysRecordLogin
デフォルトでは、アカウントポリシーが直接適用されているエントリー (つまり、acctPolicySubentry
属性を持つエントリー) のみがログイン時間を追跡します。アカウントポリシーがサービスクラスまたはロールを通じて適用される場合、acctPolicySubentry
属性は、ユーザーエントリー自体ではなく、テンプレートまたはコンテナーエントリーにあります。
alwaysRecordLogin
属性は、すべてのエントリーが最後のログイン時間を記録するように設定します。これにより、CoS およびロールを使用してアカウントポリシーを適用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | yes | no |
デフォルト値 | いいえ |
構文 | DirectoryString |
例 | alwaysRecordLogin: no |
6.3.2.3. alwaysRecordLoginAttr
Account Policy
プラグインは、alwaysRecordLoginAttr
パラメーターに設定された属性名を使用して、ユーザーのディレクトリーエントリーに最後に成功したログインの時間を保存します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 有効な属性名 |
デフォルト値 | stateAttrName |
構文 | DirectoryString |
例 | alwaysRecordLoginAttr: lastLoginTime |
6.3.2.4. limitattrname
ユーザーディレクトリーのアカウントポリシーエントリーは、アカウントロックアウトポリシーの時間制限を定義します。この時間制限は任意のタイムベースの属性で設定でき、ポリシーエントリーには ti に複数の時間ベースの属性を含めることができます。アカウントの非アクティブ化制限に使用するポリシー内の属性は、Account Policy プラグインの limitattrname
属性で定義され、すべてのアカウントポリシーにグローバルに適用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | limitattrname: accountInactivityLimit |
6.3.2.5. specattrname
アカウントポリシーには、プラグイン設定エントリーのグローバル設定と、ユーザーディレクトリー内のエントリーの yser- または subtree-level の設定という 2 つの設定エントリーがあります。アカウントポリシーはユーザーエントリーに直接設定することも、CoS またはロール設定の一部として設定することもできます。プラグインがアカウントポリシー設定エントリーであるエントリーを識別する方法は、アカウントポリシーとしてフラグを立てるエントリーの特定の属性を識別することです。プラグイン設定のこの属性は specattrname
です。通常は acctPolicySubentry
に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | specattrname: acctPolicySubentry |
6.3.2.6. stateattrname
アカウントの有効期限ポリシーは、アカウントのいくつかの時間基準に基づいています。たとえば、非アクティブポリシーの場合、主要な基準は最終ログイン時刻 lastLoginTime
です。アカウントポリシーの評価に使用される主な時間属性は、stateattrname
属性に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | stateattrname: lastLoginTime |
6.3.3. Account Usability プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acctusability |
設定エントリーの DN | cn=Account Usability Plugin,cn=plugins,cn=config |
説明 | 指定したユーザーとして実際に認証することなく、アカウントの認証ステータスまたはユーザービリティーを確認します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.4. ACL プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acl |
設定エントリーの DN | cn=ACL Plugin,cn=plugins,cn=config |
説明 | ACL アクセスチェックプラグイン |
型 | accesscontrol |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | アクセス制御により、パフォーマンスが最小限に抑えられます。サーバーのアクセス制御の主な方法であるため、このプラグインを有効にしたままにしておきます。 |
6.3.5. ACL Preoperation プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acl |
設定エントリーの DN | cn=ACL preoperation,cn=plugins,cn=config |
説明 | ACL アクセスチェックプラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | アクセス制御により、パフォーマンスが最小限に抑えられます。サーバーのアクセス制御の主な方法であるため、このプラグインを有効にしたままにしておきます。 |
6.3.6. AD DN プラグイン
AD DN プラグインは、複数のドメイン設定をサポートします。ドメインごとに 1 つの設定エントリーを作成します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | addn |
設定エントリーの DN | cn=addn,cn=plugins,cn=config |
説明 |
バインド操作で、 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
|
依存関係 | なし |
パフォーマンス関連の情報 | なし |
6.3.6.1. addn_base
Directory Server が ユーザーの DN を検索するベース DN を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の有効な DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | addn_base: ou=People,dc=example,dc=com |
6.3.6.2. addn_filter
検索フィルターを設定します。Directory Server は、%s
変数を、認証ユーザーのドメイン以外の部分に自動的に置き換えます。たとえば、バインド内のユーザー名が user_name@example.com
の場合、フィルターは対応する DN (&(objectClass=account)(uid=user_name))
を検索します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の有効な DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | addn_filter: (&(objectClass=account)(uid=%s)) |
6.3.6.3. cn
設定エントリーのドメイン名を設定します。プラグインは、認証ユーザー名のドメイン名を使用して、対応する設定エントリーを選択します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | cn: example.com |
6.3.7. Alias Entries プラグイン
Alias Entries プラグインは、オブジェクトクラス alias
の ベースエントリー と、別のエントリーへの DN (別のエントリーへのエイリアス) を含む aliasedObjectName
属性をチェックします。検索中に、このプラグインは検索ベース DN をこのエイリアス DN に変更します。
Alias Entries プラグインは、ベースレベルの検索のみをサポートします。エイリアスを持つエントリーを取得するには、ldapsearch -a find
コマンドを使用します。
このプラグインがエイリアス化したエントリーを返すためには、ベースエントリーに次の情報が含まれている必要があります。
-
alias
オブジェクトクラス。 -
別のエントリーを指す DN 値を持つ
aliasedObjectName
属性 (X.500 ではaliasedEntryName
属性として知られています)。
Directory Server は、クライアントに次のエラーを返す場合があります。
-
エイリアス DN が欠落している場合は、
Error 32 (no such object)
を返します。 -
検索がベースレベルの検索ではない場合は、
Error 53 (unwilling to perform)
を返します。
逆参照とは、エイリアス名をオブジェクト名に変換することです。このプロセスでは、複数のエイリアスエントリーの検査が必要になる場合があります。エイリアスエントリーは、リーフエントリーではないエントリーを指す場合があります。DIT 内のエントリーには複数のエイリアス名がある場合があり、いくつかのエイリアスエントリーが同じエントリーを指すことがあります。
例6.3 エイリアスを持つエントリー
dn: cn=Barbara Jensen,ou=Engineering,dc=example,dc=com objectClass: top objectClass: alias objectClass: extensibleObject cn: Barbara Jensen aliasedObjectName: cn=Barbara Smith,ou=Engineering,dc=example,dc=com
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | エイリアスエントリー |
設定エントリーの DN | cn=Alias Entries, cn=plugins, cn=config |
説明 |
ベースレベル の検索中に、ベースエントリーで |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
エイリアスエントリーは、
|
依存関係 | データベース |
パフォーマンス関連の情報 |
すべてのエイリアスエントリーは |
追加情報 |
|
6.3.8. Attribute Uniqueness プラグイン
ディレクトリーまたはサブツリー全体で属性の値が一意になるように、Attribute Uniqueness プラグインを使用します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | NSUniqueAttr |
設定エントリーの DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
説明 | エントリーに変更が発生するたびに、指定された属性の値が一意であることを確認します。たとえば、ほとんどのサイトでは、ユーザー ID とメールアドレスは一意でなければなりません。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
リスト表示されているすべてのサブツリーで UID 属性が一意であることを確認するには、 |
依存関係 | データベース |
パフォーマンス関連の情報 | Directory Server は、デフォルトで UID Uniqueness プラグインを提供します。他の属性の値を一意にするには、これらの属性の Attribute Uniqueness プラグインのインスタンスを作成します。 マルチサプライヤーレプリケーション環境でプラグインを有効にする前に対処する必要がある操作制限があるので、UID Uniqueness プラグインはデフォルトでオフになっています。プラグインを有効すると、Directory Server のパフォーマンスが遅くなる可能性があります。 |
6.3.8.1. cn
Attribute Uniqueness プラグイン設定レコードの名前を設定します。任意の文字列を使用できますが、RedHat では設定レコード attribute_name 属性の一意性
という名前を付けることを推奨します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効な文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | cn: mail Attribute Uniqueness |
6.3.8.2. uniqueness-across-all-subtrees
有効 (on
) の場合、プラグインは属性がすべてのサブツリーセットで一意であることを確認します。属性を off
に設定すると、一意性は更新されたエントリーのサブツリー内でのみ適用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | uniqueness-across-all-subtrees: off |
6.3.8.3. uniqueness-attribute-name
値が一意である必要がある属性の名前を設定します。この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-attribute-name: mail |
6.3.8.4. uniqueness-subtree-entries-oc
任意で、uniqueness-top-entry-oc
パラメーターを使用する場合、Attribute Uniqueness プラグインは、このパラメーターに設定されているオブジェクトクラスが含まれている場合に属性が一意かどうかのみを検証するように設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なオブジェクトクラス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-subtree-entries-oc: inetOrgPerson |
6.3.8.5. uniqueness-subtrees
プラグインが属性の値を一意性をチェックする DN を設定します。この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なサブツリー DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-subtrees: ou=Sales,dc=example,dc=com |
6.3.8.6. uniqueness-top-entry-oc
Directory Server は、更新されたオブジェクトの親エントリーでこのオブジェクトクラスを検索します。見つからない場合は、ディレクトリーツリーのルートまで、次に高いレベルのエントリーで検索が続行されます。オブジェクトクラスが見つかった場合、Directory Server はこのサブツリーで uniqueness-attribute-name
に設定された属性の値が一意であることを確認します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なオブジェクトクラス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-top-entry-oc: nsContainer |
6.3.9. Auto Membership プラグイン
自動メンバーシップにより、基本的に、静的グループが動的グループのように動作できるようにします。異なる自動メンバー定義により、すべての新規ディレクトリーエントリーで自動的に実行される検索が作成されます。自動メンバールールは、動的検索フィルターと同様に、一致するエントリーを検索し、特定します。次に、これらのエントリーをメンバーとして指定した静的グループに追加します。
Auto Membership プラグイン自体は、のコンテナーエントリーです。各 automember 定義は、Auto Membership プラグインの子です。automember 定義は、LDAP 検索ベースと、エントリーを追加するデフォルトグループを特定するフィルターを定義します。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
各 automember 定義には、グループにエントリーを割り当てる追加の条件を定義する独自の子エントリーを含めることができます。正規表現を使用すると、エントリーを包含または除外し、その条件に基づいて特定のグループに割り当てることができます。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
エントリーがメイン定義に一致し、正規表現条件のいずれにも一致しない場合、メイン定義のグループを使用します。正規表現条件と一致する場合は、正規表現の条件グループに追加されます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | 自動メンバーシップ |
設定エントリーの DN | cn=Auto Membership,cn=plugins,cn=config |
説明 | 自動メンバー定義のコンテナー項目。Automember 定義は新規エントリーを検索して定義した LDAP 検索フィルターおよび正規表現条件と一致する場合は、指定されたグループにエントリーを自動的に追加します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。定義エントリーでは、LDAP スコープ、LDAP フィルター、デフォルトグループ、およびメンバー属性形式を指定する必要があります。任意の正規表現の子エントリーは、包含式と排他式、異なるターゲットグループを指定できます。 |
依存関係 | データベース |
パフォーマンス関連の情報 | なし。 |
6.3.9.1. autoMemberDefaultGroup
この属性は、エントリーをメンバーとして追加するデフォルトまたはフォールバックグループを設定します。定義エントリーのみを使用する場合は、一致するすべてのエントリーが追加されるグループになります。正規表現条件が使用される場合、LDAP 検索フィルターに一致するエントリーが正規表現にマッチしない場合、このグループはフォールバックとして使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 既存の Directory Server グループ |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.9.2. autoMemberDefinition (オブジェクトクラス)
この属性は、エントリーを automember 定義として識別します。このエントリーは、Auto Membership プラグイン (cn=Auto Membership Plugin,cn=plugins,cn=config
) の子である必要があります。
使用できる属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
6.3.9.3. autoMemberExclusiveRegex
この属性は、除外 するエントリーの特定に使用する単一の正規表現を設定します。エントリーが除外条件と一致する場合は、グループに 含まれません。複数の正規表現を使用できます。エントリーがこれらの式のいずれかと一致する場合は、グループで除外されます。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
除外条件は最初に評価され、包含条件よりも優先されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 正規表現 |
デフォルト値 | なし |
単一値または複数値 | 複数値 |
構文 | DirectoryString |
例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.4. autoMemberFilter
この属性は、一致するエントリーの検索に使用する標準の LDAP 検索フィルターを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 有効な LDAP 検索フィルターです。 |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberFilter:objectclass=ntUser |
6.3.9.5. autoMemberGroupingAttr
この属性は、group_member_attr:entry_attr の形式で、グループエントリーのメンバー属性と、member 属性値を提供するオブジェクトエントリーの属性を指定します。
この構造では、グループの設定に応じて Automembership プラグインがグループにメンバーを追加する方法。たとえば、groupOfUniqueNames
ユーザーグループの場合、各メンバーは uniqueMember
属性として追加されます。uniqueMember
の値は、ユーザーエントリーの DN です。基本的に、各グループメンバーは uniqueMember:
user_entry_DN の属性/値のペアで識別されます。メンバーエントリーのフォーマットは uniqueMember:dn
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberGroupingAttr: member:dn |
6.3.9.6. autoMemberInclusiveRegex
この属性は、追加 するエントリーの特定に使用する単一の正規表現を設定します。複数の正規表現を使用できます。エントリーがこれらの式のいずれかに一致する場合、そのエントリーはグループに含まれます (除外式と一致しない場合)。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 正規表現 |
デフォルト値 | なし |
単一値または複数値 | 複数値 |
構文 | DirectoryString |
例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.7. autoMemberProcessModifyOps
デフォルトでは、Directory Server は Automembership プラグインを呼び出して追加および変更操作を行います。この設定では、グループにグループエントリーを追加したり、ユーザーのグループエントリーを変更したりする際に、プラグインがグループを変更します。autoMemberProcessModifyOps
を off
に設定すると、Directory Server はグループエントリーをユーザーに追加するときにのみ Automembership プラグインを呼び出します。この場合、管理者がユーザーエントリーを変更し、そのエントリーがユーザーが属する Automembership グループに影響を与える場合、プラグインは古いグループからユーザーを削除しず、新規グループのみを追加します。古いグループを更新するには、修正タスクを手動で実行する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberProcessModifyOps: on |
6.3.9.8. autoMemberRegexRule (オブジェクトクラス)
この属性は、エントリーを正規表現ルールとして識別します。このエントリーは、automember 定義 (objectclass: autoMemberDefinition
) の子である必要があります。
使用できる属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
6.3.9.9. autoMemberScope
この属性は、エントリーを検索するサブツリー DN を設定します。これは検索ベースです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server のサブツリー |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberScope: dc=example,dc=com |
6.3.9.10. autoMemberTargetGroup
この属性は、正規表現の条件を満たす場合に、エントリーをメンバーとして追加するグループを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server グループ |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.10. Binary Syntax プラグイン
バイナリー構文は非推奨です。代わりに Octet String 構文を使用します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | bin-syntax |
設定エントリーの DN | cn=Binary Syntax,cn=plugins,cn=config |
説明 | バイナリーデータを処理する構文。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.11. Bit String Syntax プラグイン
6.3.12. Bitwise プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | bitwise |
設定エントリーの DN | cn=Bitwise Plugin,cn=plugins,cn=config |
説明 | LDAP サーバーに対してビット単位の操作を実行するマッチングルール |
型 | matchingrule |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.13. Boolean Syntax プラグイン
6.3.14. Case Exact String Syntax 構文プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ces-syntax |
設定エントリーの DN | cn=Case Exact String Syntax,cn=plugins,cn=config |
説明 | 大文字と小文字が区別する照合または Directory String、IA5 String、および関連する構文をサポートします。これは大文字と小文字を区別する構文ではありません。このプラグインは、異なる文字列構文に対して大文字と小文字を区別する照合ルールを提供します。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.15. Case Ignore String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | directorystring-syntax |
設定エントリーの DN | cn=Case Ignore String Syntax,cn=plugins,cn=config |
説明 | Directory String、IA5 String、および関連する構文の大文字と小文字を区別しない照合ルールをサポートします。これは大文字と小文字を区別しない構文ではありません。このプラグインは異なる文字列構文に対して大文字と小文字を区別する照合ルールを提供します。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.16. Chaining Database プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | chaining database |
設定エントリーの DN | cn=Chaining database,cn=plugins,cn=config |
説明 | バックエンドデータベースをリンクできるようにします |
型 | database |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | チェーンデータベースに関連するパフォーマンス関連のチューニングパラメーターは多数あります。 |
追加情報 | チェーンデータベースは、データベースリンク としても知られています。 |
6.3.17. Class of Service プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | cos |
設定エントリーの DN | cn=Class of Service,cn=plugins,cn=config |
説明 | エントリー間で属性を共有できます。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン * 名前付き: ビュープラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。このプラグインは常に実行したままにします。 |
6.3.18. Content Synchronization プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | content-sync-plugin |
設定エントリーの DN | cn=Content Synchronization,cn=plugins,cn=config |
説明 |
RFC 4533 に従って、Directory Server の |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | Retro Changelog プラグイン |
パフォーマンス関連の情報 |
データを同期するバックエンドまたはサブツリーのクライアントアクセスを把握している場合は、それに応じて |
6.3.19. Country String Syntax プラグイン
6.3.20. Delivery Method Syntax プラグイン
6.3.21. deref プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | 間接参照 |
設定エントリーの DN | cn=deref,cn=plugins,cn=config |
説明 | ディレクトリー検索における間接参照制御 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.22. Distinguished Name Syntax プラグイン
6.3.23. Distributed Numeric Assignment プラグイン
Distributed Numeric Assignment プラグインは、数値の範囲を管理し、その範囲内の一意の番号をエントリーに割り当てます。番号の割り当てを範囲に分割することで、Distributed Numeric Assignment プラグインは、競合なしに複数のサーバーが数値を割り当てることができます。プラグインは、サーバーに割り当てられた範囲も管理します。そのため、1 つのインスタンスがその範囲で迅速に実行される場合は、他のサーバーから追加の範囲を要求できます。
分散数値割り当ては、単一の属性型または複数の属性タイプを使用するように設定でき、サブツリー内の特定の接尾辞および特定のエントリーにのみ適用されます。
分散数値割り当ては属性ごとに処理され、サブツリー内の特定の接尾辞と特定のエントリーにのみ適用されます。
プラグイン情報 | 説明 |
---|---|
プラグイン ID | 分散数値割り当て |
設定エントリー DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
説明 | Distributed Numeric Assignme プラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.23.1. dnaFilter
この属性は、分散数値割り当て範囲を適用するエントリーを検索および識別するために使用する LDAP フィルターを設定します。
dnaFilter
属性は、属性の分散数値割り当てを設定するために必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 有効な LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaFilter: (objectclass=person) |
6.3.23.2. dnaHostname
この属性は、複数サ upplier レプリケーションの特定ホストの DNA 範囲設定の一部として、共有範囲内のサーバーのホスト名を特定します。利用可能な範囲はホストによって追跡され、範囲情報はすべてのサプライヤー間で複製されるため、サプライヤーが利用可能な数が少ない場合に、ホスト情報を使用して別のサプライヤーに連絡し、新しい範囲を要求できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString |
Valid Range | 有効なホスト名 |
デフォルト値 | なし |
例 | dnahostname: ldap1.example.com |
6.3.23.3. dnaInterval
この属性は、範囲内の数値をインクリメントするために使用する間隔を設定します。基本的に、これは事前定義されたレートで数値をスキップします。間隔が 3
で、範囲内の最初の数字が 1
の場合、範囲内で使用される次の数字は 4
、7
、10
と、新しい数字を割り当てるたびに 3 ずつ増加していきます。
レプリケーション環境では、dnaInterval
により、複数のサーバーが同じ範囲を共有できます。ただし、同じ範囲を共有する異なるサーバーを設定する場合は、それに応じて dnaInterval
と dnaNextVal
パラメーターを設定し、異なるサーバーが同じ値を生成しないようにします。レプリケーショントポロジーに新しいサーバーを追加する場合も、これを考慮する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の整数 |
デフォルト値 | 1 |
構文 | 整数 |
例 | dnaInterval: 1 |
6.3.23.4. dnaMagicRegen
この属性は、エントリーに新しい値を割り当てるようにプラグインに指示するユーザー定義の値を設定します。マジック値は、既存のエントリーに新しい一意の番号を割り当てるため、または新しいエントリーを追加するときの標準設定として使用できます。
マジックエントリーは、誤ってトリガーされないように、サーバーに対して定義された範囲外にある必要があります。DirectoryString または他の文字タイプで使用する場合、この属性は数値である必要はないことに注意してください。ただし、ほとんどの場合、DNA プラグインは整数値のみを許可する属性で使用されます。この場合は、dnamagicregen
値も整数である必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaMagicRegen: -1 |
6.3.23.5. dnaMaxValue: 1000
この属性は、範囲に割り当てることができる最大値を設定します。デフォルトは -1
で、最大 64 ビット整数を設定するのと同じです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数。-1 は無制限。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | dnaMaxValue: 1000 |
6.3.23.6. dnaNextRange
この属性は、現在の範囲が使い切られるときに使用する次の範囲を定義します。この値は、範囲がサーバー間で転送される際に自動的に設定されますが、範囲要求を使用しない場合は、手動で範囲をサーバーに追加するように設定することもできます。
dnaNextRange
属性は、個別の特定範囲を他のサーバーに割り当てる必要がある場合にのみ明示的に設定する必要があります。dnaNextRange
属性に設定した範囲は、重複を避けるために、他のサーバーで利用可能な範囲から一意でなければなりません。他のサーバーからの要求がなく、 dnaNextRange
が明示的に設定されているサーバーがその設定された dnaMaxValue
に達した場合、次の値のセット (dnaNextRange
の一部) がこのデッキから割り当てられます。
dnaNextRange
の割り当ては、DNA 設定で設定された dnaThreshold
属性によっても制限されます。dnaNextRange
用に別のサーバーに割り当てられる範囲は、範囲が dnaNextRange
のデッキで利用可能であっても、サーバーのしきい値に違反できません。
dnaNextRange
属性が明示的に設定されていない場合に内部で処理される場合。自動的に処理される場合、dnaMaxValue
属性は次の範囲の上限として機能します。
この属性は、範囲を lower_range-upper_range の形式で設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは下限と上限の h 範囲に最大 64 ビット整数 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaNextRange: 100-500 |
6.3.23.7. dnaNextValue
この属性は、次に割り当て可能な番号を提供します。設定エントリーで最初に設定された後、この属性は分散数値割り当てプラグインによって管理されます。
dnaNextValue
属性は、属性の分散数値割り当てを設定するために必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | -1 |
構文 | 整数 |
例 | dnaNextValue: 1 |
6.3.23.8. dnaPluginConfig (オブジェクトクラス)
このオブジェクトクラスは、エントリーに割り当てる DNA プラグインおよび数値範囲を設定するエントリーに使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.324
使用できる属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue: 1000
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
6.3.23.9. dnaPortNum
この属性は、dnaHostname
で特定されたホストへの接続に使用する標準のポート番号を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | 整数 |
Valid Range | 0 から 65535 |
デフォルト値 | 389 |
例 | dnaPortNum: 389 |
6.3.23.10. dnaPrefix
この属性は、属性に生成された番号の値の前に付けることができる接頭辞を定義します。たとえば、user1000
などのユーザー ID を生成するには、dnaPrefix
設定は user
になります。
dnaPrefix
は、あらゆる種類の文字列を保持できます。ただし、dnaType
の一部の可能な値 (uidNumber
や gidNumber
など) には整数値のみが必要です。接頭辞文字列を使用するには、文字列を許可する dnaType
のカスタム属性の使用を検討してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の文字列 |
デフォルト値 | なし |
例 | dnaPrefix: id |
6.3.23.11. dnaRangeRequestTimeout
Distributed Numeric Assignment プラグインを使用すると考えられる状況の 1 つは、1 台のサーバーが割り当てる番号が不足し始めていることです。dnaThreshold
属性は、範囲内で使用可能な番号のしきい値を設定します。これにより、サーバーは、番号の割り当てを実行できなくなる前に、他のサーバーに追加の範囲を要求できます。
dnaRangeRequestTimeout
属性は、範囲要求のタイムアウト期間を秒単位で設定します。これにより、サーバーは 1 つのサーバーからの新しい範囲の待機を停止せず、新しいサーバーからの範囲を要求できます。
範囲要求を実行するには、dnaSharedCfgDN
属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | 10 |
構文 | 整数 |
例 | dnaRangeRequestTimeout: 15 |
6.3.23.12. dnaRemainingValues
この属性には、残りの値と、エントリーに割り当てるサーバーで使用できる値の数が含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | 整数 |
Valid Range | 任意の整数 |
デフォルト値 | なし |
例 | dnaRemainingValues: 1000 |
6.3.23.13. dnaRemoteBindCred
Replication Manager のパスワードを指定します。認証が必要な dnaRemoteBindMethod
属性にバインドメソッドを設定する場合は、cn=config
エントリーの下のプラグイン設定エントリーにあるレプリケーションデプロイメントですべてのサーバーに対して dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
パラメーターをプレーンテキストで設定します。値は、保存される前に自動的に AES 暗号化されます。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString {AES} encrypted_password |
有効な値 | 有効な AES 暗号化パスワード。 |
デフォルト値 | |
例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVHQ1NxR1NJYjNEUUVGRERBNEJDUmxObUk0WXpjM1l5MHdaVE5rTXpZNA0KTnkxaE9XSmhORGRoT0MwMk1ESmpNV014TUFBQ0FRSUNBU0F3Q2dZSUtvWklodmNOQWdjd0hRWUpZSVpJQVdVRA0KQkFFcUJCQk5KbUFDUWFOMHlITWdsUVp3QjBJOQ==}bBR3On6cBmw0DdhcRx826g== |
6.3.23.14. dnaRemoteBindDN
Replication Manager DN を指定します。認証が必要な dnaRemoteBindMethod
属性にバインドメソッドを設定する場合は、 cn=config
エントリーの下のプラグイン設定にあるレプリケーションデプロイメントですべてのサーバーに対して dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString |
有効な値 | 有効な Replication Manager DN。 |
デフォルト値 | |
例 | dnaRemoteBindDN: cn=replication manager,cn=config |
6.3.23.15. dnaRemoteBindMethod
リモートバインドメソッドを指定します。認証が必要な この属性にバインドメソッドを設定する場合は、cn=config
エントリーの下のプラグイン設定エントリーのレプリケーションデプロイメント内のすべてのサーバーに dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | DirectoryString |
有効な値 |
|
デフォルト値 | |
例 | dnaRemoteBindMethod: SIMPLE |
6.3.23.16. dnaRemoteConnProtocol
リモート接続プロトコルを指定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | DirectoryString |
有効な値 |
|
デフォルト値 | |
例 | dnaRemoteConnProtocol: LDAP |
6.3.23.17. dnaScope
この属性は、分散数値割り当てを適用するエントリーを検索するためのベース DN を設定します。これは ldapsearch
のベース DN と似ています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaScope: ou=people,dc=example,dc=com |
6.3.23.18. dnaSecurePortNum
この属性は、dnaHostname
で特定されたホストへの接続に使用するセキュアな (TLS) ポート番号を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | 整数 |
Valid Range | 0 から 65535 |
デフォルト値 | 636 |
例 | dnaSecurePortNum: 636 |
6.3.23.19. dnaSharedCfgDN
この属性は、サーバーが範囲を別の転送に使用できる共有 ID を定義します。このエントリーはサーバー間で複製され、他のサーバーが利用可能な範囲を認識できるようにプラグインによって管理されます。範囲転送を有効にするには、この属性を設定する必要があります。
共有設定エントリーは、エントリーをサーバーに複製できるように、レプリケートされたサブツリーで設定する必要があります。たとえば、ou=People,dc=example,dc=com
サブツリーが複製されると、設定エントリーは ou=UID Number Ranges
、ou=People,dc=example,dc=com
などのサブツリーに存在する必要があります。
この設定で識別されるエントリーは、管理者が手動で作成する必要があります。サーバーには、範囲を転送するためにそれの下にサブエントリーが自動的に含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の DN |
デフォルト値 | なし |
構文 | DN |
例 | dnaSharedCfgDN: cn=range transfer user,cn=config |
6.3.23.20. dnaSharedConfig (オブジェクトクラス)
このオブジェクトクラスは、数値割り当てのために同じ DNA プラグイン設定を使用するサプライヤー間でレプリケートされる共有設定エントリーを設定するために使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.325
使用できる属性
- dnaHostname
- dnaPortNum
- dnaSecurePortNum
- dnaRemainingValues
6.3.23.21. dnaThreshold
Distributed Numeric Assignment プラグインを使用すると考えられる状況の 1 つは、1 台のサーバーが割り当てる番号が不足し始め、問題が発生する可能性があることです。分散数値割り当てプラグインを使用すると、サーバーは他のサーバーで使用可能な範囲から新しい範囲を要求できます。
サーバーは割り当てられた範囲の終了に到達すると認識できるため、dnaThreshold
属性は範囲内で利用可能な残りの数字のしきい値を設定します。サーバーがしきい値に達すると、新しい範囲の要求を送信します。
範囲要求を実行するには、dnaSharedCfgDN
属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | 100 |
構文 | 整数 |
例 | dnaThreshold: 100 |
6.3.23.22. dnaType
この属性は、一意の数字が生成される属性を設定します。この場合、マジック番号を持つエントリーに属性が追加されるたびに、割り当てられた値が自動的に指定されます。
この属性は、属性に分散した数値割り当てを設定するには必要になります。
dnaPrefix
属性が設定されている場合、接頭辞の値は dnaType
によって生成される値の前に付けられます。dnaPrefix
値には任意の文字列を指定できますが、dnaType
(uidNumber
や gidNumber
など) の妥当な値には整数値のみが必要になります。接頭辞文字列を使用するには、文字列を許可する dnaType
のカスタム属性の使用を検討してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
例 | dnaType: uidNumber |
6.3.24. Enhanced Guide Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | enhancedguide-syntax |
設定エントリーの DN | cn=Enhanced Guide Syntax,cn=plugins,cn=config |
説明 | 検索を構築するために、属性およびフィルターに基づいて複雑な基準を作成するための構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.25. Facsimile Telephone Number Syntax プラグイン
6.3.26. Fax Syntax プラグイン
6.3.27. Generalized Time Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | time-syntax |
設定エントリーの DN | cn=Generalized Time Syntax,cn=plugins,cn=config |
説明 | 日付、時間、およびタイムゾーンを処理する構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | 一般化時間形式は、4 桁の月、2 桁の月 (たとえば、1 月は 01)、2 桁の日、2 桁の時間、2 桁の分、2 桁の分、秒のオプションの 10 進数、タイムゾーン表示を使用することが強く推奨されます。Red Hat では、グリニッジ標準時である Z のタイムゾーン表示を使用することを推奨します。 RFC 4517 も参照してください。 |
6.3.28. Guide Syntax プラグイン
この構文は非推奨です。代わりに Enhanced Guide 構文を使用してください。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | guide-syntax |
設定エントリーの DN | cn=Guide Syntax,cn=plugins,cn=config |
説明 | 検索を構築するための、属性とフィルターに基づいた複雑な条件を作成する構文 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | この構文は廃止されました。代わりに、Enhanced Guide 構文を使用する必要があります。 |
6.3.29. HTTP クライアントプラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | http-client |
設定エントリーの DN | cn=HTTP Client,cn=plugins,cn=config |
説明 | HTTP クライアントプラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
6.3.30. Integer Syntax プラグイン
6.3.31. Internationalization プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | orderingrule |
設定エントリーの DN | cn=Internationalization Plugin,cn=plugins,cn=config |
説明 | 国際化された文字列をディレクトリーで並べ替えることができます |
型 | matchingrule |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 |
Internationalization プラグインには、 |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.32. JPEG Syntax プラグイン
6.3.33. ldbm database プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ldbm-backend |
設定エントリーの DN | cn=ldbm database,cn=plugins,cn=config |
説明 | ローカルデータベースの実装 |
型 | database |
設定可能な引数 | |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * 構文 * matchingRule |
パフォーマンス関連の情報 | データベース設定の詳細は、「データベースプラグインの属性」 を参照してください。 |
6.3.34. Linked Attributes プラグイン
多くの場合、エントリーには相互に固有の関係があります (マネージャーと従業員、ドキュメントエントリーとその作成者、または特別なグループとグループメンバーなど)。これらの関係を反映する属性は存在しますが、これらの属性は各エントリーで手動で追加および更新する必要があります。そのため、これらのエントリーの関係が不明確、古くなっている、または欠落している、気まぐれに一貫性のないディレクトリーデータのセットが発生する可能性があります。
リンク属性プラグインでは、エントリーに設定されている属性で、自動的に別のエントリー内の別の属性を更新できます。最初の属性には、更新するエントリーを参照する DN 値があります。2 番目のエントリー属性には、1 番目のエントリーへのバックポイントである DN 値もあります。ユーザーによって設定されるリンク属性と、影響を受けるエントリーの動的に更新されるマネージド属性は、どちらもリンク属性プラグインインスタンスの管理者によって定義されます。
概念として、これは、MemberOf プラグインがグループエントリーの member
属性を使用してユーザーエントリーの memberOf
属性を設定する方法と似ています。リンク属性プラグインの場合のみ、すべてのリンク/管理属性はユーザー定義であり、プラグインの複数のインスタンスが存在する可能性があり、それぞれが異なるリンク管理関係を反映します。
属性リンクには、以下の 2 つの注意点があります。
- link 属性とマネージド属性の両方に DN を値として指定する必要があります。link 属性の DN は、管理属性を追加するエントリーを参照します。管理属性には、リンクしたエントリー DN が値として含まれています。
- 管理属性は多値である必要があります。それ以外の場合は、複数のリンク属性が同じ管理エントリーを参照すると、管理属性値は正確に更新されません。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | リンクされた属性 |
設定エントリーの DN | cn=Linked Attributes,cn=plugins,cn=config |
説明 |
リンクされた管理属性設定エントリーのコンテナーエントリー。コンテナーの各設定エントリーは属性と属性をリンクすして、あるエントリー (マネージャーエントリーなど) が更新されると、そのエントリーに関連付けられたエントリー (カスタムの |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。各プラグインインスタンスには、以下の 3 つの属性があります。 * linkType - プラグインが監視するプライマリー属性を設定します。 * managedType - linkType の属性が変更されるたびにプラグインによって動的に管理される属性を設定します。 * linkScope - ディレクトリーツリー内の特定のサブツリーにプラグインのアクティビティーを制限します。 |
依存関係 | データベース |
パフォーマンス関連の情報 | linkType に設定された属性は、DN 形式の値のみを許可する必要があります。managedType に設定された属性は複数値である必要があります。 |
6.3.34.1. linkScope
これにより、プラグインのスコープが制限されるため、特定のサブツリーまたは接尾辞でのみ動作します。範囲が指定されていない場合、プラグインはディレクトリーツリーの一部を更新します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | 任意の DN |
デフォルト値 | なし |
構文 | DN |
例 | linkScope: ou=People,dc=example,dc=com |
6.3.34.2. linkType
これにより、ユーザー管理属性が設定されます。この属性はユーザーが変更および維持し、この属性値が変更すると、リンクされた属性がターゲットエントリーで自動的に更新されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | linkType: directReport |
6.3.34.3. managedType
これにより、マネージドまたはプラグインの管理属性が設定されます。この属性は、リンク属性プラグインインスタンスによって動的に管理されます。マネージドの属性に変更が加えられるたびに、プラグインは対象のエントリーにあるリンク属性をすべて更新します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
構文 | DN |
例 | managedType: manager |
6.3.35. Managed Entries プラグイン
一意の状況では、別のエントリーの作成時にエントリーが自動的に作成される場合に便利です。たとえば、新規ユーザーの作成時に特定のグループエントリーを作成して、POSIX 統合の一部にすることができます。Managed Entries プラグインの各インスタンスは、2 つの領域を特定します。
- プラグインのスコープ。対応するマネージドエントリーを必要とするエントリーを識別するために使用するサブツリーと検索フィルターを意味します。
- 管理エントリーがどのようになるかを定義するテンプレートエントリー
プラグイン情報 | 説明 |
---|---|
プラグイン ID | マネージドエントリー |
設定エントリー DN | cn=Managed Entries,cn=plugins,cn=config |
説明 | 自動生成されるディレクトリーエントリーのコンテナーエントリー。各設定エントリーは、ターゲットサブツリーとテンプレートエントリーを定義します。ターゲットサブツリーの一致するエントリーが作成されると、プラグインはテンプレートに基づいて新規の関連エントリーを自動的に作成します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。各プラグインインスタンスには、以下の 4 つの属性があります。 * originScope - 検索ベースを設定します。 * originFilter - 一致するエントリーの検索ベースを設定します。 * managedScope - 新しい管理エントリーを作成するサブツリーを設定します。 * managedTemplate - 管理エントリーの作成に使用されるテンプレートエントリー |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.35.1. managedBase
この属性は、管理エントリーを作成するサブツリーを設定します。これは、ディレクトリーツリーの任意のエントリーにすることができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のサブツリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | managedBase: ou=groups,dc=example,dc=com |
6.3.35.2. managedTemplate
この属性は、管理エントリーの作成に使用するテンプレートエントリーを特定します。このエントリーは、ディレクトリーツリーのどこにでも配置できます。ただし、レプリケーション内のすべてのサプライヤーとコンシューマーが同じテンプレートを使用するように、このエントリーをレプリケートされた接尾辞に含めることを推奨します。
管理対象エントリーテンプレートの作成に使用される属性は、Red Hat Directory Server の設定、コマンド、およびファイルリファレンスで 説明されています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 |
|
デフォルト値 | なし |
構文 | DirectoryString |
例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
6.3.35.3. originFilter
この属性は、検索に使用する検索フィルターで、管理エントリーを必要とするサブツリーのエントリーを特定します。フィルターを使用すると、マネージドエントリーの動作を特定のタイプやエントリーのサブセットに限定できます。構文は、通常の検索フィルターと同じです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | 有効な LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | originFilter: objectclass=posixAccount |
6.3.35.4. originScope
この属性は、プラグインモニターのエントリーを確認するために使用する検索の範囲を設定します。スコープのサブツリー内に新規エントリーが作成されると、Managed Entries プラグインはこれに対応する新しい管理エントリーを作成します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のサブツリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | originScope: ou=people,dc=example,dc=com |
6.3.36. MemberOf プラグイン
グループメンバーシップは、member
などの属性を使用してグループエントリー内で定義されます。member
属性を検索すると、グループのすべてのメンバーを簡単にリスト表示できます。ただし、グループメンバーシップはメンバーのユーザーエントリーに反映されないため、ユーザーのエントリーを参照してユーザーが所属するグループに指示することはできません。
MemberOf プラグインは、グループメンバーのグループメンバーシップをメンバーの個別のディレクトリーエントリーと同期します。これは、グループエントリー内の特定のメンバー属性 (member
など) に変更を識別し、メンバーのユーザーエントリーの特定の属性にメンバーシップの変更を書き込むことです。
プラグイン情報 | 説明 |
---|---|
プラグイン ID | memberOf |
設定エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
説明 |
グループエントリーの |
型 | postoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
*
* |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.36.1. cn
プラグインインスタンスの名前を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | 有効な文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: MemberOf プラグインインスタンスの例 |
6.3.36.2. memberOfAllBackends
この属性は、ユーザーエントリーまたは利用可能なすべての接尾辞のローカル接尾辞を検索するかどうかを指定します。これは、複数のデータベースにユーザーを分散させるディレクトリーツリーで適し、グループメンバーシップを包括的かつ一貫して評価できるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | memberOfAllBackends: on |
6.3.36.3. memberOfAttr
この属性は、グループメンバーシップを反映するために Directory Server が管理するユーザーエントリーの属性を指定します。MemberOf プラグインは、メンバーのディレクトリーエントリーで指定された属性の値を生成します。ユーザーが属するグループごとに個別の属性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | memberOf |
構文 | DirectoryString |
例 | memberOfAttr: memberOf |
6.3.36.4. memberOfAutoAddOC
memberOf
プラグインで memberOf
属性をユーザーに追加できるようにするには、ユーザーオブジェクトにこの属性を許可するオブジェクトクラスが含まれている必要があります。エントリーに memberOf
属性を許可するオブジェクトクラスがない場合、memberOf
プラグインは memberOfAutoAddOC
パラメーターにリスト表示されているオブジェクトクラスを自動的に追加します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のオブジェクトクラス |
デフォルト値 | nsMemberOf |
構文 | DirectoryString |
例 | memberOfAutoAddOC: nsMemberOf |
6.3.36.5. memberOfEntryScope
複数のバックエンドまたは複数のネストされた接尾辞を設定した場合、複数値の memberOfEntryScope
パラメーターを使用すると、MemberOf
プラグインが機能する接尾辞を設定できます。パラメーターが設定されていない場合、プラグインはすべての接尾辞で機能します。memberOfEntryScopeExcludeSubtree
パラメーターに設定した値は、memberOfEntryScope
に設定された値よりも優先順位が高くなります。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー DN。 |
デフォルト値 | |
構文 | DirectoryString |
例 | memberOfEntryScope: ou=people,dc=example,dc=com |
6.3.36.6. memberOfEntryScopeExcludeSubtree
複数のバックエンドまたは複数のネストされた接尾辞を設定した場合、複数値の memberOfEntryScopeExcludeSubtree
パラメーターを使用すると、MemberOf
プラグインが除外する接尾辞を設定できます。memberOfEntryScopeExcludeSubtree
パラメーターに設定した値は、memberOfEntryScope
に設定された値よりも優先順位が高くなります。両方のパラメーターで設定したスコープが重複する場合、MemberOf
プラグインは、非オーバーラッピングディレクトリーエントリーでのみ機能します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー DN。 |
デフォルト値 | |
構文 | DirectoryString |
例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
6.3.36.7. memberOfGroupAttr
この属性は、グループメンバーの DN を識別するために使用するグループエントリーの属性を指定します。デフォルトでは、これは member
属性ですが、 uniquemember
や member
など、DN 値を含む任意のメンバーシップ関連属性にすることができます。
memberOfGroupAttr
値には任意の属性を使用できますが、MemberOf プラグインは、ターゲット属性の値にメンバーエントリーの DN が含まれる場合にのみ機能します。たとえば、member
属性にはメンバーのユーザーエントリーの DN が含まれます。
member: uid=jsmith,ou=People,dc=example,dc=com
一部のメンバー関連の属性には、memberURL
属性などの DN が含まれていないものもあります。この属性は memberOfGroupAttr
の値として機能しません。memberURL
値は URL で、DN 以外の値は MemberOf プラグインでは機能しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | member |
構文 | DirectoryString |
例 | memberOfGroupAttr: member |
6.3.36.8. memberOfSkipNested
ディレクトリーでネスト化されたグループを使用しない場合は、memberOfSkipNested
属性を on
に設定して、ネスト化されたグループチェックをスキップします。Directory Server が 10000 を超えるエントリーのメンバーシップを計算する必要がある場合、更新操作の応答時間が大幅に改善されます。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な範囲 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | memberOfSkipNested: off |
6.3.37. Multi-supplier Replication プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | replication-multisupplier |
設定エントリーの DN | cn=Multisupplier Replication Plugin,cn=plugins,cn=config |
説明 | 2 つの現在の Directory Server 間のレプリケーションを有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Named: ldbm データベース * Named: DES * Named: サービスのクラス |
パフォーマンス関連の情報 | |
追加情報 | サーバーが複製されない場合には、このプラグインをオフにします。 |
6.3.38. Name and Optional UID Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | nameoptuid-syntax |
設定エントリーの DN | cn=Name And Optional UID Syntax,cn=plugins,cn=config |
説明 | 任意かつ一意の ID で DN を保存し、検索する構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | 任意の UID は、DN または命名属性が同じ可能性のあるエントリーを区別するために使用されます。 RFC 4517 も参照してください。 |
6.3.39. Numeric String Syntax プラグイン
6.3.40. Octet String Syntax プラグイン
非推奨の Binary の代わりに Octet String 構文を使用してください。
6.3.41. OID Syntax プラグイン
6.3.42. PAM Pass Through Auth プラグイン
Unix システム上のローカルの PAM 設定は、LDAP ユーザーの外部認証ストアを利用できます。これはパススルー認証の形式で、Directory Server がディレクトリーアクセスに外部に保存されたユーザーの認証情報を使用できます。
PAM パススルー認証は、PAM パススルー認証プラグインコンテナーエントリーの下にある子エントリーで設定されます。PAM 認証用の可能な設定属性 (60pam-plugin.ldif
スキーマファイルで定義) はすべて子エントリーで利用できます。子エントリーは PAM 設定オブジェクトクラスのインスタンスである必要があります。
例6.4 PAM パススルー認証設定エントリーの例
dn: cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: PAM Pass Through Auth nsslapd-pluginPath: libpam-passthru-plugin nsslapd-pluginInitfunc: pam_passthruauth_init nsslapd-pluginType: preoperation pass:quotes[nsslapd-pluginEnabled: on
] nsslapd-pluginLoadGlobal: true nsslapd-plugin-depends-on-type: database nsslapd-pluginId: pam_passthruauth nsslapd-pluginVersion: 9.0.0 nsslapd-pluginVendor: Red Hat nsslapd-pluginDescription: PAM pass through authentication plugin dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: Example PAM Config pamMissingSuffix: ALLOW pass:quotes[pamExcludeSuffix: cn=config
] pass:quotes[pamIDMapMethod: RDN ou=people,dc=example,dc=com
] pass:quotes[pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
] pass:quotes[pamIDAttr: customPamUid
] pass:quotes[pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
] pamFallback: FALSE pass:quotes[pamSecure: TRUE
] pass:quotes[pamService: ldapserver
]
PAM 設定は、少なくとも Directory Server エントリーから PAM ユーザー ID を識別するためのマッピング方法、使用する PAM サーバー、サービスへのセキュアな接続を使用するかどうかを特定する必要があります。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
サブツリーを除外または具体的に含める、特定の属性値を PAM ユーザー ID にマップするなど、特別な設定のために設定を拡張できます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | pam_passthruauth |
設定エントリーの DN | cn=PAM Pass Through Auth,cn=plugins,cn=config |
説明 | PAM のパススルー認証を有効にし、PAM サービスは Directory Server をユーザー認証ストアとして使用できます。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
6.3.42.1. pamConfig (オブジェクトクラス)
このオブジェクトクラスは、ディレクトリーサービスと対話するための PAM 設定を定義するために使用されます。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.318
使用できる属性
-
pamExcludeSuffix
-
pamIncludeSuffix
-
pamMissingSuffix
-
pamFilter
-
pamIDAttr
-
pamIDMapMethod
-
pamFallback
-
pamSecure
-
pamService
-
nsslapd-pluginConfigArea
6.3.42.2. pamExcludeSuffix
この属性は、PAM 認証から除外する接尾辞を指定します。
OID | 2.16.840.1.113730.3.1.2068 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.3. pamFallback
PAM 認証が失敗した場合に通常の LDAP 認証にフォールバックするかどうかを設定します。
OID | 2.16.840.1.113730.3.1.2072 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.4. pamFilter
PAM パススルー認証を使用するために含まれている接尾辞内の特定のエントリーを識別するために使用する LDAP フィルターを設定します。設定されていない場合、接尾辞内のすべてのエントリーが設定エントリーの対象になります。
OID | 2.16.840.1.113730.3.1.2131 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.5. pamIDAttr
この属性には、PAM ユーザー ID を保持するために使用される属性名が含まれています。
OID | 2.16.840.1.113730.3.1.2071 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.6. pamIDMapMethod
LDAP バインド DN を PAMID にマップするために使用するメソッドを提供します。
Directory Server ユーザーアカウントは、ENTRY マッピング方法を使用してのみ検証されます。RDN または DN では、アカウントが非アクティブの Directory Server ユーザーでも、サーバーに正常にバインドされます。
OID | 2.16.840.1.113730.3.1.2070 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.7. pamIncludeSuffix
この属性は、PAM 認証に含める接尾辞を設定します。
OID | 2.16.840.1.113730.3.1.2067 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.8. pamMissingSuffix
欠落している包含または除外接尾辞を処理する方法を識別します。オプションは次の通りです。ERROR は、バインド操作を失敗させます。ALLOW は、エラーをログに記録しますが、操作を続行できます。IGNORE は、操作を許可し、エラーをログに記録しません。
OID | 2.16.840.1.113730.3.1.2069 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.9. pamSecure
PAM 認証にはセキュアな TLS 接続が必要です。
OID | 2.16.840.1.113730.3.1.2073 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.10. pamService
PAM に渡すサービス名が含まれます。これは、指定されたサービスに /etc/pam.d/
ディレクトリーに設定ファイルがあることを前提としています。
pam_fprintd.so
モジュールは、PAM パススルー認証プラグイン 設定の pamService
属性によって参照される設定ファイルにすることはできません。PAM の pam_fprintd.so
モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。
pam_fprintd.so
モジュールは、PAM パススルー認証プラグイン設定の pamService
属性によって参照される設定ファイルにすることはできません。PAM の fprintd
モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。
OID | 2.16.840.1.113730.3.1.2074 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.43. Pass Through Authentication プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | passthruauth |
設定エントリーの DN | cn=Pass Through Authentication,cn=plugins,cn=config |
説明 | パススルー認証 を有効にします。これにより、1 つのディレクトリーが別のディレクトリーでバインド要求の認証を行うことができます。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | ldap://example.com:389/o=example |
依存関係 | データベース |
パフォーマンス関連の情報 | パススルー認証では、リモートサーバーにさらにホップを追加する必要があるため、バインド要求が若干遅くなります。 |
6.3.44. パスワードストレージスキーム
Directory Server は、パスワードストレージスキームをプラグインとして実装します。ただし、cn=Password Storage Schemes,cn=plugins,cn=config
エントリー自体は単なるコンテナーであり、プラグインエントリーではありません。パスワードストレージスキームプラグインはすべて、このコンテナーのサブエントリーとして保存されます。
パスワードストレージスキームプラグインをすべて表示するには、次のコマンドを実行します。
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn
Red Hat は、パスワードスキームプラグインを無効にしたり、予期しない認証動作を防ぐためにプラグインの設定を変更したりしないことを推奨します。
強力なパスワードストレージスキーム
Red Hat は、以下の強力なパスワードストレージスキーム (最も強力なパスワードストレージスキーム) のみを使用することを推奨します。
-
PBKDF2-SHA512
(デフォルト)。PBKDF2-SHA512 は
PBKDF2_SHA256
より安全です。
パスワードベースの鍵導出関数 2 (PBKDF2) は、ブルートフォース攻撃に対応するリソースを当てるように設計されています。PBKDF2 は、ハッシュアルゴリズムを適用する可変回数の反復をサポートします。反復回数が高くなるとセキュリティーが向上しますが、必要となるハードウェアリソースが増えます。PBKDF2-SHA512 アルゴリズムを適用するために、Directory Server は 10,000 回の反復を使用します。
Red Hat Enterprise Linux 6 のネットワークセキュリティーサービス (NSS) データベースは PBKDF2 をサポートしません。したがって、Directory Server 9 のレプリケーショントポロジーでは、このパスワードスキームを使用することはできません。
-
SSHA512
SSHA(Salted Secure hashing algorithm) は、無作為に生成された salt を使用してハッシュ化されたパスワードのセキュリティーを向上させる、セキュアなハッシュアルゴリズム (SHA) の強化バージョンを実装します。SSHA512
は 512 ビットを使用してハッシュアルゴリズムを実装します。
脆弱なパスワード保存スキーム
Directory Server は、推奨される強力なパスワードストレージスキームのほかに、後方互換性として、以下の強度の低いスキームをサポートします。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
Directory Server は、このスキームを使用した認証のみをサポートします。パスワードの暗号化に使用できなくなりました。
[b]
160 ビット
|
セキュリティーリスクが高くなるので、強度の低いスキームは短期間のみ使用を継続するようにします。
6.3.45. Posix Winsync API プラグイン
デフォルトでは、POSIX 関連の属性は Active Directory と {PRODUCT} の間で同期されません。Linux システムでは、システムユーザーおよびグループは Posix エントリーとして識別され、LDAP Posix 属性に必要な情報が含まれています。しかし、Windows ユーザーが同期すると、Windows アカウントであることを示す ntUser
属性および ntGroup
属性が自動的に追加されますが、Posix 属性は同期されず (Active Directory エントリーに存在していても)、Directory Server 側でも Posix 属性は追加されません。
POSIX Winsync API プラグインは、Active Directory エントリーと Directory Server エントリーとの間で POSIX 属性を同期します。
すべての POSIX 属性 (uidNumber
、gidNumber
、homeDirectory
など) は、Active Directory と Directory Server のエントリー間で同期されます。ただし、新しい POSIX エントリーまたは POSIX 属性が Directory Server の既存のエントリーに追加されると、POSIX 属性のみが Active Directory に対応するエントリーと同期します。POSIX オブジェクトクラス (ユーザーの場合は posixAccount
、グループの場合は posixGroup
) は Active Directory エントリーに追加されません。
このプラグインはデフォルトで無効になっており、Posix 属性を Active Directory エントリーから Directory Server エントリーに同期する前に有効にする必要があります。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | posix-winsync-plugin |
設定エントリーの DN | cn=Posix Winsync API,cn=plugins,cn=config |
説明 | Active Directory ユーザーおよびグループエントリーに設定された Posix 属性の Windows 同期を有効にして設定します。 |
型 | preoperation |
設定可能な引数 | on | off * memberUID マッピング (グループ) * 小文字 (グループ) での memberUID 値の変換およびソート * 同期操作による memberOf 修正タスク * Windows 2003 Posix スキーマを使用 |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | database |
6.3.45.1. posixWinsyncCreateMemberOfTask
この属性は、同期されたユーザーのグループメンバーシップを更新するために、同期実行後すぐに memberOf fix-up タスクを実行するかどうかを設定します。memberOf 修正タスクではリソースを集中的に使用し、頻繁に実行する場合はパフォーマンスの問題が発生する可能性があるため、デフォルトでは無効になっています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncCreateMemberOfTask: false |
6.3.45.2. posixWinsyncLowerCaseUID
この属性は、UID 値を memberUID
属性に小文字で格納する (および必要に応じて変換する) かどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncLowerCaseUID: false |
6.3.45.3. posixWinsyncMapMemberUID
この属性は、Active Directory グループの memberUID
属性を Directory Server グループの uniqueMember
属性にマッピングするかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | true |
例 | posixWinsyncMapMemberUID: false |
6.3.45.4. posixWinsyncMapNestedGrouping
posixWinsyncMapNestedGrouping
パラメーターは、Active Directory POSIX グループの memberUID
属性が変更されるときにネスト化されたグループが更新されるかどうかを管理します。ネスト化されたグループの更新は、5 つのレベルの深さに対応します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncMapNestedGrouping: false |
6.3.45.5. posixWinsyncMsSFUSchema
この属性は、Active Directory から Posix 属性を同期するときに Unix 3.0 (msSFU30) スキーマの古い Microsoft System Services にするかどうかを設定します。デフォルトでは、POSIX Winsync API プラグインは最新の Active Directory サーバーに Posix スキーマを使用します (2005、2008、およびそれ以降)。最新の Active Directory Posix スキーマと、Windows Server 2003 以前の Windows サーバーで使用される Posix スキーマには若干の違いがあります。Active Directory ドメインが古いスタイルスキーマを使用している場合は、代わりに古いスタイルスキーマを使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncMsSFUSchema: true |
6.3.46. Postal Address String Syntax プラグイン
6.3.47. Printable String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | printablestring-syntax |
設定エントリーの DN | cn=Printable String Syntax,cn=plugins,cn=config |
説明 | 英数字および選択句読点文字列 (RFC 4517 で定義されている出力可能な文字列に準拠する文字列の場合) の構文およびマッチングルールをサポートします。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.48. Referential Integrity プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | referint |
設定エントリーの DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
説明 | サーバーが参照整合性を確保できるようにします。 |
型 | postoperation |
設定可能な引数 | すべての設定および on | off |
デフォルト設定 | off |
設定可能な引数 |
有効にすると、操作後の Referential Integrity プラグインは、削除または名前変更操作の直後に、 |
依存関係 | データベース |
パフォーマンス関連の情報 | マルチサプライヤーレプリケーション環境では、すべてのサプライヤーで Referential Integrity プラグインを有効にする必要があります。チェーンされたサーバーでプラグインを有効にする場合は、パフォーマンスリソースと時間のニーズ、整合性のニーズも分析してください。整合性チェックには、時間がかかり、メモリーと CPU への負荷が多くなる可能性があります。指定されたすべての属性は、存在と等価性の両方にインデックス化する必要があります。 |
6.3.49. Retro Changelog プラグイン
Directory Server では、2 種類の changelogs が維持されます。changelog と呼ばれる最初のタイプはマルチサ upplier レプリケーションに使用され、2 つ目の changelog は retro changelog と呼ばれるプラグインで、Directory Server 4.x バージョンとのアプリケーション互換性を維持するために LDAP クライアントが使用することを目的としています。
この Retro Changelog プラグインは、サプライヤーサーバーに加えられた変更を記録するために使用されます。サプライヤーサーバーのディレクトリーが変更されると、エントリーは、以下の両方が含まれる Retro Changelog に書き込まれます。
- 変更を一意に識別する数字。この数は、changelog の他のエントリーに関連して順次行われます。
- 変更アクション。つまりディレクトリーの変更内容を正確に行う必要があります。
cn=changelog
接尾辞への検索を使用して Directory Server に加えられた変更がアクセスされることが Retro Changelog プラグインを介して実行されます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | retrocl |
設定エントリーの DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
説明 |
Directory Server 4.x バージョンとのアプリケーション互換性を維持するために LDAP クライアントによって使用されます。Directory Server で発生したすべての変更のログを維持します。retro changelog には、Directory Server の 4.x バージョンの changelog と同じ機能があります。このプラグインは |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | このプラグインの設定属性の詳細は、「Retro Changelog プラグイン」 を参照してください。 |
依存関係 | * Type: データベース * Named: サービスのクラス |
パフォーマンス関連の情報 | Directory Server の更新パフォーマンスが低下する可能性があります。 |
6.3.49.1. isReplicated
このオプション属性は、そのサーバーで新たに変更が加えられているかどうか、別のサーバーから複製されたかどうかに関わらず、changelog の変更を示すフラグを設定します。
パラメーター | 説明 |
---|---|
OID | 2.16.840.1.113730.3.1.2085 |
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | true | false |
デフォルト値 | なし |
構文 | Boolean |
例 | isReplicated: true |
6.3.49.2. nsslapd-attribute
この属性は、retro changelog エントリーに含める必要のある別の Directory Server 属性を明示的に指定します。
通常、操作属性およびその他のタイプの属性は retro changelog から除外されますが、サードパーティーアプリケーションで changelog データを使用するにはこれらの属性が存在する必要がある場合があります。これは、nsslapd-attribute
パラメーターを使用して retro changelog プラグイン設定に属性をリスト表示することで行います。
nsslapd-attribute
値内で指定した属性に任意のエイリアスを指定することもできます。
nsslapd-attribute: attribute:pass:attributes[{blank}]alias
属性のエイリアスを使用すると、retro changelog レコードを使用する外部サーバーまたはアプリケーションの他の属性との競合を避けることができます。
nsslapd-attribute
属性の値を isReplicated
に設定することは、変更がローカルサーバーで行われていたか (つまり変更が元の変更かどうか) か、変更がサーバーに複製されたかを示す方法です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効なディレクトリー属性 (標準またはカスタム) |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-attribute: nsUniqueId: uniqueID |
6.3.49.3. nsslapd-changelogdir
この属性は、プラグインの初回実行時に changelog データベースが作成されるディレクトリーの名前を指定します。デフォルトでは、データベースは /var/lib/dirsrv/slapd-instance/changelogdb
下の他のすべてのデータベースに保存されます。
パフォーマンス上の理由から、このデータベースを異なる物理ディスクに保存します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | ディレクトリーへの有効なパス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
6.3.49.4. nsslapd-changelogmaxage
nsslapd-changelogmaxage
属性は、changelog のエントリーの最大期間を設定します。changelog には各ディレクトリーの変更のレコードが含まれ、コンシューマーサーバーの同期時に使用されます。各レコードにはタイムスタンプが含まれます。この属性に指定した値よりも古いタイムスタンプを持つレコードはすべて削除されます。デフォルトでは、Directory Server は 8 日以上経過しているレコードを削除します。この属性を 0
に設定すると、changelog レコードの有効期限がなくなり、Directory Server がすべてのレコードを保持します。
retro changelog のサイズは、小さい値を設定すると自動的に縮小されます。
最大期間よりも長い合意がある場合は、期限切れの changelog レコードは削除されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
Valid Range | 0 (エントリーは経過時間に応じて削除されない) から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 7d |
構文 | DirectoryString IntegerAgeID、この場合の AgeID は以下のとおり。
AgeID なしで整数値のみを設定すると、Directory Server はそれを秒として扱います。 |
例 | nsslapd-changelogmaxage: 30d |
6.3.49.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs
パラメーターは、レトロ変更ログデータベースから除外する属性名を保管します。複数の属性を除外するには、除外する属性ごとに 1 つの nsslapd-exclude-attrs
パラメーターを追加します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-exclude-attrs: example |
6.3.49.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix
パラメーターは、レトロ変更ログデータベースから除外する接尾辞を保管します。パラメーターを複数回追加して、複数の接尾辞を除外できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
6.3.50. Roles プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | roles |
設定エントリーの DN | cn=Roles Plugin,cn=plugins,cn=config |
説明 | Directory Server でのロールの使用を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン * 名前付き: ビュープラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.51. RootDN Access Control プラグイン
ルート DN である cn=Directory Manager は、通常のユーザーデータベースの外部で定義される特別なユーザーエントリーです。通常のアクセス制御ルールは root DN には適用されませんが、root ユーザーの強力な性質により、何らかのアクセス制御ルールを root ユーザーに適用することが有益です。
RootDN アクセス制御プラグインは、root ユーザーの通常のアクセス制御 (ホストおよび IP アドレスの制限、時刻の制限、および曜日の制限) を設定します。
このプラグインはデフォルトで無効になっています。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | rootdn-access-control |
設定エントリーの DN | cn=RootDN Access Control,cn=plugins,cn=config |
説明 | ルート DN エントリーに使用するアクセス制御を有効にして設定します。 |
型 | internalpreoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な属性 | * rootdn-open-time および rootdn-close-time(時間ベースのアクセス制御用) * rootdn-days-allowed (日ベースのアクセス制御用) * rootdn-allow-host、rootdn-deny-host、rootdn-allow-ip、および rootdn-deny-ip(ホストベースのアクセス制御用) |
依存関係 | なし |
6.3.51.1. rootdn-allow-host
これにより、root ユーザーが Directory Server にアクセスするのに使用できるホストを完全修飾ドメイン名で設定します。リストされていないホストは暗黙的に拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のホスト、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む有効なホスト名またはドメイン |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-allow-host: *.example.com |
6.3.51.2. rootdn-allow-ip
これにより、root ユーザーが Directory Server へのアクセスに使用できるマシンの IPv4 または IPv6 のいずれかの IP アドレスが設定されます。リストされていない IP アドレスは暗黙的に拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のアドレス、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む、有効な IPv4 アドレスまたは IPv6 アドレス。 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-allow-ip: 192.168.. |
6.3.51.3. rootdn-close-time
これは、root ユーザーが Directory Server にアクセスできる期間または範囲の一部を設定します。これは、root ユーザーが Directory Server へのアクセスが許可されなくなった場合に、時間ベースのアクセスの 終了 時に設定されます。
これは、rootdn-open-time
属性と組み合わせて使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | 24 時間形式で有効な時間。 |
デフォルト値 | なし |
構文 | 整数 |
例 | rootdn-close-time: 1700 |
6.3.51.4. rootdn-days-allowed
これにより、root ユーザーが Directory Server にアクセスするのに使用できる日数のコンマ区切りリストが提供されます。リストされている日は暗黙的に拒否されます。これは、 rootdn-close-time
および rootdn-open-time
とともに使用して、時間ベースのアクセスと曜日を組み合わせることができます。または、単独で使用することもできます (許可された日にすべての時間が許可されます)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有効な値 | * Sun * Mon * Tue * Wed * Thu * Fri * Sat |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
6.3.51.5. rootdn-deny-ip
これにより、root ユーザーが Directory Server にアクセスすることができ ない マシンの IPv4 または IPv6 のいずれかの IP アドレスが設定されます。リストされていない IP アドレスは暗黙的に拒否されます。
deny ルールは allow ルールよりも優先されるため、IP アドレスが rootdn-allow-ip
および rootdn-deny-ip
属性の両方にリスト表示されている場合、アクセスは拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のアドレス、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む、有効な IPv4 アドレスまたは IPv6 アドレス。 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-deny-ip: 192.168.0.0 |
6.3.51.6. rootdn-open-time
これは、root ユーザーが Directory Server にアクセスできる期間または範囲の一部を設定します。これは、時間ベースのアクセスがいつ 開始 するかを設定します。
これは、rootdn-close-time
属性と組み合わせて使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | 24 時間形式で有効な時間。 |
デフォルト値 | なし |
構文 | 整数 |
例 | rootdn-open-time: 0800 |
6.3.52. Schema Reload プラグイン
プラグイン情報 | 説明 |
---|---|
プラグイン ID | schemareload |
設定エントリー DN | cn=Schema Reload,cn=plugins,cn=config |
説明 | スキーマファイルを再ロードするタスクプラグイン |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 |
6.3.53. Space Insensitive String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Space Insensitive String Syntax,cn=plugins,cn=config |
説明 | スペースに依存しない値を処理するための構文 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | このプラグインを使用することで、Directory Server は スペースおよび大文字と小文字の区別なし の値をサポートできるようになります。これにより、アプリケーションは ASCII スペース文字が含まれるエントリーを使用してディレクトリーを検索できます。
たとえば、属性のスキーマがスペースに依存しない構文を使用して設定された場合、 |
6.3.54. State Change プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | statechange |
設定エントリーの DN | cn=State Change Plugin,cn=plugins,cn=config |
説明 | state-change-notification service サービスを有効にします。 |
型 | postoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 |
6.3.55. Syntax Validation Task プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Syntax Validation Task,cn=plugins,cn=config |
説明 | 属性値の構文検証を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | |
追加情報 | このプラグインは、構文検証タスクを実装します。構文検証を実行する実際のプロセスは、特定の構文プラグインごとに実行されます。 |
6.3.56. Telephone Syntax プラグイン
6.3.57. Teletex Terminal Identifier Syntax プラグイン
6.3.58. Telex Number Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | telex-syntax |
設定エントリーの DN | cn=Telex Number Syntax,cn=plugins,cn=config |
説明 | テレックス端末のテレックス番号、国コード、およびアンサーバーックコードの構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.59. URI Syntax プラグイン
6.3.60. USN プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | USN |
設定エントリーの DN | cn=USN,cn=plugins,cn=config |
説明 | エントリーの追加および削除や属性値の変更など、変更が生じるたびに、ディレクトリー内のすべてのエントリーに更新シーケンス番号 (USN) を設定します。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
レプリケーションでは、分数レプリケーションを使用して |
6.3.61. Views プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ビュー |
設定エントリーの DN | cn=Views,cn=plugins,cn=config |
説明 | Directory Server データベースでのビューの使用を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.4. データベースプラグインの属性
また、データベースプラグインは、情報ツリーにまとめられます。データベースインスタンスで使用されるすべてのプラグインテクノロジーは、cn=ldbm database
プラグインノードに保存されます。このセクションでは、cn=ldbm database,cn=plugins,cn=config
情報ツリーの各ノードの追加の属性情報を太字で示します。
6.4.1. cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
このセクションでは、すべてのインスタンスに共通するグローバル設定属性を cn=config,cn=ldbm database,cn=plugins,cn=config
ツリーノードに格納します。
6.4.1.1. nsslapd-backend-implement
nsslapd-backend- implementations
パラメーターは、Directory Server が使用するデータベースバックエンドを定義します。
Directory Server は現在 Berkeley Database(BDB) のみをサポートしています。したがって、このパラメーターを別の値に設定できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | bdb |
デフォルト値 | bdb |
構文 | ディレクトリー文字列 |
例 | nsslapd-backend-implement: bdb |
6.4.1.2. nsslapd-backend-opt-level
このパラメーターは、実験的なコードをトリガーして書き込みパフォーマンスを向上できます。
値:
-
0
: パラメーターを無効にします。 -
1
: トランザクション中にレプリケーション更新ベクターがデータベースに書き込まれません -
2
: バックエンドロックの取得順序を変更し、トランザクションを開始します。 -
4
: トランザクションからコードを移動します。
すべてのパラメーターを組み合わせることができます。たとえば、7
の場合は、すべての最適な機能を有効にします。
このパラメーターは実験的なものです。Red Hat サポートから特に指示されない限り、値を変更 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0 | 1 | 2 | 4 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-backend-opt-level: 0 |
6.4.1.3. nsslapd-db-deadlock-policy
nsslapd-db-deadlock-policy
パラメーターは、libdb
library-internal deadlock ポリシーを設定します。
このパラメーターは、Red Hat サポートから指示された場合にのみ変更します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0-9 |
デフォルト値 | 0 |
構文 | DirectoryString |
例 | nsslapd-db-deadlock-policy: 9 |
6.4.1.4. nsslapd-db-private-import-mem
nsslapd-db-private-import-mem
パラメーターは、Directory Server がデータベースインポート用のリージョンとミューテックスの割り当てにプライベートメモリーを使用するかどうかを管理します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-db-private-import-mem: on |
6.4.1.5. nsslapd-db-transaction-wait
nsslapd-db-transaction-wait
パラメーターを有効にすると、Directory Server はトランザクションを開始せずに、ロックリソースが利用可能になるまで待機します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-db-transaction-wait |
6.4.1.6. nsslapd-directory
この属性は、データベースインスタンスへの絶対パスを指定します。データベースインスタンスを手動で作成する場合は、この属性を含める必要があります。データベースインスタンスを作成したら、このパスを変更しないでください。変更すると、サーバーがデータにアクセスできなくなるリスクがあります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | データベースインスタンスへの有効な絶対パス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-directory: /var/lib/dirsrv/slapd-instance/db |
6.4.1.7. nsslapd-exclude-from-export
この属性には、データベースのエクスポート時にエントリーから除外する属性の名前のスペース区切りのリストが含まれています。これは主に、サーバーインスタンス固有の設定および運用属性に使用されます。
サーバーのパフォーマンスに影響する可能性があるため、この属性のデフォルト値を削除しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効な属性 |
デフォルト値 | entrydn entryid dncomp parentid numSubordinates entryusn |
構文 | DirectoryString |
例 | nsslapd-exclude-from-export: entrydn entryid dncomp parentid numSubordinates entryusn |
6.4.1.8. nsslapd-idlistscanlimit
nsslapd-idlistscanlimit
属性は非推奨になりました。検索パフォーマンスに対するこの属性の影響が、有益というよりも有害であるためです。以下の説明は、履歴としてのみ提供されています。
デフォルトでは、このパフォーマンス関連の属性は、検索操作中に特定されるエントリー ID の数を指定します。数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。検索パフォーマンスを向上させるには、デフォルト値を保持することを推奨します。
このパラメーターはサーバーの実行中に変更でき、新しい値は後続の検索に影響します。
対応するユーザーレベルの属性は nsIDListScanLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 100 から最大 32 ビットの整数値 (2147483647) のエントリー ID |
デフォルト値 | 2147483646 |
構文 | 整数 |
例 | nsslapd-idlistscanlimit: 50000 |
6.4.1.9. nsslapd-idl-switch
nsslapd-idl-switch
パラメーターは、Directory Server が使用する IDL 形式を設定します。Red Hat では、以前の IDL 形式に対応しなくなった点に注意してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | new | old |
デフォルト値 | new |
構文 | ディレクトリー文字列 |
例 | nsslapd-idl-switch: new |
6.4.1.10. nsslapd-lookthroughlimit
このパフォーマンス関連の属性は、検索要求に応答して候補エントリーを調べるときに Directory Server がチェックするエントリーの最大数を指定します。ただし、Directory Manager DN は、デフォルトでは無制限で、ここで指定したその他の設定を上書きします。この制限では、バインドベースのリソース制限が機能する点に注意する必要があります。つまり、ユーザーバインドするエントリーに操作属性 nsLookThroughLimit
の値が存在する場合は、デフォルトの制限が上書きされます。数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | エントリーの -1 から最大 32 ビット整数までです (-1 は無制限)。 |
デフォルト値 | 5000 |
構文 | 整数 |
例 | nsslapd-lookthroughlimit: 5000 |
6.4.1.11. nsslapd-mode
この属性は、新しく作成されたインデックスファイルに使用されるパーミッションを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 |
4 桁の 8 進数。ただし、モード |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-mode: 0600 |
6.4.1.12. nsslapd-pagedidlistscanlimit
このパフォーマンス関連の属性は、簡単なページ結果制御を使用して検索操作で特定されるエントリー ID の数を指定します。
この属性は nsslapd-idlistscanlimit
属性と同じように機能しますが、単純なページ結果制御による検索にのみ適用される点が異なります。
この属性が存在しないか、ゼロに設定されている場合は、nsslapd-idlistscanlimit
を使用してページングされた検索およびページ以外の検索を行います。
対応するユーザーレベルの属性は nsPagedIDListScanLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | エントリーの -1 から最大 32 ビット整数までです (-1 は無制限)。 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-pagedidlistscanlimit: 5000 |
6.4.1.13. nsslapd-pagedlookthroughlimit
このパフォーマンス関連の属性は、単純なページ結果制御を使用する検索の候補エントリーを調べる時に Directory Server がチェックするエントリーの最大数を指定します。
この属性は nsslapd-lookthroughlimit
属性と同じように機能しますが、単純なページ結果制御の検索にのみ適用される点が異なります。
この属性が存在しないか、ゼロに設定されている場合は、nsslapd-lookthroughlimit
を使用して、ページングされた検索と、ページングされていない検索の両方を行います。
対応するユーザーレベルの属性は nsPagedLookThroughLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | エントリーの -1 から最大 32 ビット整数までです (-1 は無制限)。 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-pagedlookthroughlimit: 25000 |
6.4.1.14. nsslapd-rangelookthroughlimit
このパフォーマンス関連の属性は、範囲検索リクエストへの応答として候補のエントリーを調べるときに Directory Server がチェックするエントリーの最大数を指定します。
範囲検索は演算子を使用して括弧を設定して検索し、ディレクトリー内のエントリーのサブセット全体を返します。たとえば、これにより 1 月 1 日の午前 0 時以降に変更されたすべてのエントリーを検索します。
(modifyTimestamp>=20200101010101Z)
範囲検索の性質は、ディレクトリー内のすべてのエントリーを評価して、その範囲内にあるかどうかを確認する必要があることです。基本的に、範囲検索は常に ID 検索です。
ほとんどのユーザーの場合は、ルックスルーの制限が開始され、範囲の検索が全 ID 検索に変換するのを防ぎます。これにより、全体的なパフォーマンスが向上し、さまざまな検索結果を加速します。ただし、Directory Manager などの一部のクライアントまたは管理ユーザーには、ルックスルー制限が設定されていない場合があります。この場合は、範囲検索が完了するまで数分かかるか、無限に続行することがあります。
nsslapd-rangelookthroughlimit
属性は、Directory Manager を含むすべてのユーザーに適用される個別の範囲のルックスルー制限を設定します。
これにより、クライアントや管理者ユーザーは、パフォーマンスが低下する可能性のある範囲検索に合理的な制限を設けながらも、高いルックスルー制限を設定することができます。
その他のリソース制限とは異なり、Directory Manager、通常ユーザー、およびその他の LDAP クライアントなどのユーザーによる検索に適用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | エントリーの -1 から最大 32 ビット整数までです (-1 は無制限)。 |
デフォルト値 | 5000 |
構文 | 整数 |
例 | nsslapd-rangelookthroughlimit: 5000 |
6.4.1.15. nsslapd-search-bypass-filter-test
nsslapd-search-bypass-filter-test
パラメーターを有効にすると、Directory Server は、検索時に候補リストをビルドするタイミングでフィルターチェックを回避します。パラメーターを verify
に設定すると、Directory Server は検索候補エントリーに対してフィルターを評価します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off | verify |
デフォルト値 | on |
構文 | ディレクトリー文字列 |
例 | nsslapd-search-bypass-filter-test: on |
6.4.1.16. nsslapd-search-use-vlv-index
nsslapd-search-use-vlv-index
は、仮想リストビュー (VLV) 検索を有効または無効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | ディレクトリー文字列 |
例 | nsslapd-search-use-vlv-index: on |
6.4.2. cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
このセクションでは、すべてのインスタンスに共通するグローバル設定属性を cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config
ツリーノードに格納します。
6.4.2.1. nsslapd-cache-autosize
このパフォーマンスチューニング関連の属性は、データベースおよびエントリーキャッシュの合計で使用される空きメモリーの割合を設定します。たとえば、値を 10
に設定する場合には、システムの空きメモリーの 10% が両方のキャッシュに使用されます。この値を 0
よりも大きい値に設定すると、データベースおよびエントリーキャッシュに対して自動サイズ設定が有効になります。
Red Hat は、パフォーマンスの最適化を図るため、自動サイジングを無効にしないことを推奨します。ただし、特定の状況では、自動サイジングを無効にする必要がある場合があります。この場合は nsslapd-cache-autosize
属性を 0
に設定し、手動で設定します。
-
nsslapd-dbcachesize
属性のデータベースキャッシュ。 -
nsslapd-cachememsize
属性のエントリーキャッシュ。
nsslapd-cache-autosize
および nsslapd-cache-autosize-split
属性が 100
などの高い値に設定されていると、Directory Server が起動に失敗します。この問題を修正するには、両方のパラメーターをより妥当な値に設定します。以下に例を示します。
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 1000 を設定すると、代わりにデフォルト値が使用されます。 |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-cache-autosize: 10 |
6.4.2.2. nsslapd-cache-autosize-split
このパフォーマンスチューニング関連の属性は、データベースキャッシュに使用されるメモリーの割合を設定します。残りのメモリーはエントリーキャッシュに使用されます。たとえば、値が 40
に設定されている場合には、データベースキャッシュは 40% を使用して、エントリーは、nsslapd-cache-autosize
属性で予約されている空きメモリーの残り 60% をキャッシュします。
nsslapd-cache-autosize
および nsslapd-cache-autosize-split
属性が 100
などの高い値に設定されていると、Directory Server が起動に失敗します。この問題を修正するには、両方のパラメーターをより妥当な値に設定します。以下に例を示します。
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 990 を設定すると、代わりにデフォルト値が使用されます。 |
デフォルト値 | 40 |
構文 | 整数 |
例 | nsslapd-cache-autosize-split: 40 |
6.4.2.3. nsslapd-dbcachesize
このパフォーマンスチューニング関連の属性は、データベースインデックスキャッシュサイズをバイト単位で指定します。これは、Directory Server が使用する物理 RAM の量を制御するうえで最も重要な値の 1 つです。
これはエントリーキャッシュではありません。これは、Berkeley データベースバックエンドがインデックス (.db
ファイル) およびその他のファイルをキャッシュするために使用するメモリー量です。この値は、Berkeley DB API 関数 set_cachesize
に渡されます。自動キャッシュサイズ変更が有効になっていると、サーバーがサーバーの起動後の段階でこれらの値を推測した値に置き換えると、この属性が上書きされます。
この属性に関する技術的な情報は、link:https://docs.oracle.com/cd/E17076_04/html/programmer_reference/general_am_conf.html#am_conf_cachesize の Berkeley DB リファレンスガイドのキャッシュサイズセクション を参照してください。
数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。
データベースキャッシュのサイズは手動で設定しないでください。Red Hat は、パフォーマンスを最適化するためにデータベースキャッシュの自動サイジング機能を使用することを推奨します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 32 ビットプラットフォームの場合は 500 キロバイトから 4 ギガバイト、64 ビットプラットフォームの場合 500 キロバイトから 2^64-1 |
デフォルト値 | |
構文 | 整数 |
例 | nsslapd-dbcachesize: 10000000 |
6.4.2.4. nsslapd-db-checkpoint-interval
これは、Directory Server がチェックポイントエントリーをデータベーストランザクションログに送信するまでの時間を秒単位で設定します。データベーストランザクションログには、最近の全データベース操作の連続リストが含まれ、データベースリカバリーのみに使用されます。チェックポイントエントリーは、どのデータベース操作がディレクトリーデータベースに物理的に書き込まれたかを示します。チェックポイントエントリーは、データベーストランザクションログのどこでシステム障害後にリカバリーを開始するかを決定するために使用されます。nsslapd-db-checkpoint-interval
属性は dse.ldif
に存在しません。チェックポイントの間隔を変更するには、属性を dse.ldif
に追加します。この属性は ldapmodify
を使用して動的に変更できます。
この属性は、システムの変更/診断のためにのみ提供されており、Red Hat テクニカルサポートまたは Red Hat Consulting のガイダンスがある場合にのみ変更する必要があります。この属性およびその他の設定属性の設定に一貫性がないと、Directory Server が不安定になる可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 10 から 300 秒 |
デフォルト値 | 60 |
構文 | 整数 |
例 | nsslapd-db-checkpoint-interval: 120 |
6.4.2.5. nsslapd-db-circular-logging
この属性は、トランザクションログファイルの循環ロギングを指定します。この属性をオフにすると、以前のトランザクションログファイルが削除されず、以前のログトランザクションファイルとして名前が変更されたままになります。循環ロギングをオフにすると、サーバーのパフォーマンスが大幅に低下する可能性があるので、Red Hat テクニカルサポートまたはコンサルティングの指示がある場合以外は変更しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-db-circular-logging: on |
6.4.2.6. nsslapd-db-debug
この属性は、追加のエラー情報を Directory Server に報告するかどうかを指定します。エラー情報を報告するには、パラメーターを on
に設定します。このパラメーターはトラブルシューティングを目的としており、パラメーターを有効にすると Directory Server の速度が低下する可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-db-debug: off |
6.4.2.7. nsslapd-db-durable-transactions
この属性は、データベースのトランザクションログエントリーをすぐにディスクに書き込むかどうかを設定します。データベーストランザクションログには、最近の全データベース操作の連続リストが含まれ、データベースリカバリーのみに使用されます。永続トランザクションを有効にすると、すべてのディレクトリーの変更は常にログファイルに物理的に記録されるため、システムに障害が発生した場合に復元できます。ただし、永続トランザクション機能は、Directory Server のパフォーマンスも低下させる可能性があります。永続トランザクションが無効の場合には、すべてのトランザクションはデータベーストランザクションログに論理的に書き込まれますが、すぐにディスクに物理的に書き込まれない可能性があります。ディレクトリーの変更をディスクに物理的に書き込む前にシステムに障害が発生した場合には、その変更は復元できません。nsslapd-db-durable-transactions
属性は dse.ldif
に存在しません。永続トランザクションを無効にするには、属性を dse.ldif
に追加します。
この属性は、システムの変更/診断のためにのみ提供されており、Red Hat テクニカルサポートまたは Red Hat Consulting のガイダンスがある場合にのみ変更する必要があります。この属性およびその他の設定属性の設定に一貫性がないと、Directory Server が不安定になる可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-db-durable-transactions: on |
6.4.2.8. nsslapd-db-compactdb-interval
nsslapd-db-compactdb-interval
属性は、Directory Server がデータベースおよびレプリケーション変更ログを圧縮する際の間隔を秒単位で定義します。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。データベースの圧縮はリソースを大量に使用するため、頻繁に行うべきではない点に注意してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0 (圧縮なし) から 2147483647 秒 |
デフォルト値 | 2592000 (30 日) |
構文 | 整数 |
例 | nsslapd-db-compactdb-interval: 2592000 |
6.4.2.9. nsslapd-db-compactdb-time
nsslapd-db-compactdb-time
属性は、Directory Server がすべてのデータベースとそのレプリケーション変更ログを圧縮する際の日の時間を設定します。圧縮タスクは、圧縮間隔 (nsslapd-db-compactdb-interval
) を超えた後に実行します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | HH:MM.時間は 24 時間形式で設定 |
デフォルト値 | 23:59 |
構文 | DirectoryString |
例 | nsslapd-db-compactdb-time: 23:59 |
6.4.2.10. nsslapd-db-home-directory
このパラメーターは、Directory Server データベースのメモリーマップファイルの場所を指定します。パフォーマンス上の理由から、このパラメーターのデフォルト値は、tmpfs
ファイルシステムを使用する /dev/shm/
ディレクトリーを参照します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効なディレクトリー |
デフォルト値 | /dev/shm/ |
構文 | DirectoryString |
例 | nsslapd-db-home-directory: /dev/shm/ |
6.4.2.11. nsslapd-db-idl-divisor
この属性は、データベースページごとのブロック数の観点から、インデックスブロックサイズを指定します。ブロックサイズは、データベースページサイズをこの属性の値で除算して計算します。値が 1
の場合は、ブロックサイズがページサイズとちょうど等しくなります。デフォルト値の 0
は、ブロックサイズをページサイズから内部データベースオーバーヘッドの推定許容値を引いたものに設定します。ほとんどのインストールでは、特定のチューニングが必要にならない限り、デフォルト値を変更しないでください。
この属性の値を変更する前に、db2ldif
スクリプトを使用してすべてのデータベースをエクスポートします。変更が完了したら、ldif2db
スクリプトを使用してデータベースを再読み込みします。
このパラメーターは、非常にスキルの高いユーザーのみが使用するようにしてください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 8 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-db-idl-divisor: 2 |
6.4.2.12. nsslapd-db-locks
Directory Server のロックメカニズムは、Directory Server プロセスのコピーを同時に実行できる数を制御します。nsslapd-db-locks
パラメーターは、ロックの最大数を設定します。
Directory Server がロックを使い果たして、libdb: Lock table is out of available locks
のエラーメッセージがログに記録される場合にのみ、このパラメーターをより高い値に設定します。必要なしに高い値を設定すると、/var/lib/dirsrv/slapd-instance_name/db__db.*
ファイルのサイズが増えるだけ、利点はありません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 - 2147483647 |
デフォルト値 | 10000 |
構文 | 整数 |
例 | nsslapd-db-locks: 10000 |
6.4.2.13. nsslapd-db-locks-monitoring-enable
データベースロックが不足すると、データが破損する可能性があります。nsslapd-db-locks-monitoring-enable
パラメーターを使用すると、データベースロックの監視を有効または無効にできます。パラメーターが有効になっている場合 (デフォルト)、アクティブなデータベースロックの数が nsslapd-db-locks-monitoring-threshold
で設定されているパーセンテージのしきい値よりも大きい場合、Directory Server はすべての検索を中止します。問題が発生した場合には、管理者は nsslapd_db_locks
パラメーターのデータベースロックの数を増やすことができます。
この属性への変更を有効にするには、サービスを再起動します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-db-locks-monitoring-enable: on |
6.4.2.14. nsslapd-db-locks-monitoring-pause
nsslapd-db-locks-monitoring-enable
パラメーターでデータベースロックの監視が有効である場合には、nsslapd-db-locks-monitoring-pause
は、次のチェックを行うまでに監視スレッドがスリープする間隔をミリ秒単位で定義します。
このパラメーターに設定する値が大きすぎると、監視チェックを行う前に、サーバーがデータベースロックを使い果たす可能性があります。ただし、値が低すぎると、サーバーの速度が遅くなる可能性があります。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0 - 2147483647 (ミリ秒単位) |
デフォルト値 | 500 |
構文 | DirectoryString |
例 | nsslapd-db-locks-monitoring-pause: 500 |
6.4.2.15. nsslapd-db-locks-monitoring-threshold
nsslapd-db-locks-monitoring-enable
パラメーターでデータベースロックの監視が有効になっている場合には、nsslapd-db-locks-monitoring-threshold
は、Directory Server が検索を終了する前にデータベースロックの最大使用率を設定し、ロックの枯渇を回避します。
この属性への変更を有効にするには、サービスを再起動します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 70 - 95 |
デフォルト値 | 90 |
構文 | DirectoryString |
例 | nsslapd-db-locks-monitoring-threshold: 90 |
6.4.2.16. nsslapd-db-logbuf-size
この属性は、ログ情報のバッファーサイズを指定します。ログ情報は、バッファーがいっぱいになるか、トランザクションコミットで、バッファーがディスクに書き込まれるまでメモリーに保存されます。バッファーサイズを大きくすると、トランザクションの実行時間が長い場合、同時アプリケーションが多い場合、または大量のデータを生成するトランザクションが存在する場合に、スループットが大幅に向上します。ログ情報のバッファーサイズは、トランザクションログのサイズを 4 で割ったものです。
nsslapd-db-logbuf-size
属性は、nsslapd-db-durable-transactions
属性が on
に設定されている場合にのみ有効です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 32K から最大 32 ビット整数 (マシンで利用可能なメモリー容量に制限されます) |
デフォルト値 | 32K |
構文 | 整数 |
例 | nsslapd-db-logbuf-size: 32K |
6.4.2.17. nsslapd-db-logdirectory
この属性は、データベーストランザクションログが含まれるディレクトリーへのパスを指定します。データベーストランザクションログには、最近のすべてのデータベース操作の連続リストが含まれます。Directory Server はこの情報を使用して、インスタンスが予期せずシャットダウンした後にデータベースを復元します。
デフォルトでは、データベーストランザクションログはディレクトリーデータベースと同じディレクトリーに保存されます。このパラメーターを更新するには、/etc/dirsrv/slapd-instance_name/dse.ldif
ファイルを手動で更新する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効なパス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-db-logdirectory: /var/lib/dirsrv/slapd-instance_name/db/ |
6.4.2.18. nsslapd-db-logfile-size
この属性は、ログ内の単一ファイルの最大サイズをバイト単位で指定します。デフォルト、または値が 0
に設定されている場合には、最大 10 メガバイトが使用されます。最大サイズは符号なし 4 バイト値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から署名なしの 4 バイトの整数 |
デフォルト値 | 10MB |
構文 | 整数 |
例 | nsslapd-db-logfile-size: 10 MB |
6.4.2.19. nsslapd-dbncache
この属性は、LDBM キャッシュを、メモリーの個別の部分に均等に分割することができます。一部のアーキテクチャーで連続して割り当てることができないように、十分な大きさのキャッシュを指定することができます。たとえば、一部のシステムでは、プロセスによって連続して割り当てられる可能性のあるメモリーの量が制限されています。nsslapd-dbncache
が 0
または 1
の場合、キャッシュはメモリーの連続して割り当てられます。1
より大きい場合、キャッシュは ncache
に分割され、メモリーの個別の部分と同等にサイズが設定されます。
4 ギガバイトを超える dbcache サイズを設定するには、nsslapd-dbncache
属性行と nsslapd-db-logdirectory
属性行の間の cn = config,cn = ldbm database,cn=plugins,cn=config
に nsslapd-dbncache
属性を追加します。
この値を、ギガバイト単位のメモリー量の 1/4(1/4) の整数に設定します。たとえば、12 ギガバイトシステムの場合は nsslapd-dbncache
の値を 3
に設定します。8 ギガバイトシステムの場合は、2
に設定します。
この属性は、システムの変更/診断のためにのみ提供されており、Red Hat テクニカルサポートまたは Red Hat プロフェッショナルサービスのガイダンスがある場合にのみ変更する必要があります。この属性およびその他の設定属性の設定に一貫性がないと、Directory Server が不安定になる可能性があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 1 から 4 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-dbncache: 1 |
6.4.2.20. nsslapd-db-page-size
この属性は、データベースのアイテムの保持に使用されるページのサイズをバイト単位で指定します。最小サイズは 512 バイトで、最大サイズは 64 キロバイトです。ページサイズが明示的に設定されていない場合には、Directory Server はデフォルトでページサイズ 8 キロバイトに設定されます。このデフォルト値を変更すると、パフォーマンスに大きな影響を及ぼす可能性があります。ページサイズが小さすぎると、ページの分割やコピーが大量に発生しますが、ページサイズが大きすぎると、ディスク領域が無駄になる可能性があります。
この属性の値を変更する前に、db2ldif
スクリプトを使用してすべてのデータベースをエクスポートします。変更が完了したら、ldif2db
スクリプトを使用してデータベースを再読み込みします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 512 バイトから 64 キロバイト |
デフォルト値 | 8KB |
構文 | 整数 |
例 | nsslapd-db-page-size: 8KB |
6.4.2.21. nsslapd-db-spin-count
この属性は、test-and-set ミューテックスがブロックなしにスピンする回数を指定します。
Berkeley DB の内部に精通しているか、Red Hat サポートにより具体的に依頼された場合を除き、この値は 変更しない でください。
デフォルト値の 0
を指定すると、BDB は、利用可能な CPU コア数 (nproc
ユーティリティーまたは sysconf(_SC_NPROCESSORS_ONLN)
呼び出しで報告される) に 50
をかけて実際の値を計算します。たとえば、8 つの論理コアを備えたプロセッサーでは、この属性を 0
に設定したままにすることは、400
に設定することと同じです。スピンを完全にオフにすることはできません。test-and-set ミューテックスをブロックせずにスピンする回数を最小限に抑える場合は、この属性を 1
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 2147483647 (2^31-1) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-db-spin-count: 0 |
6.4.2.22. nsslapd-db-transaction-batch-max-wait
nsslapd-db-transaction-batch-val が設定されている場合には、トランザクションのフラッシュは、設定されたバッチ値に達したときに別のスレッドで実行されます。ただし、更新が少ない場合は、このプロセスに時間がかかる場合があります。このパラメーターは、バッチ数とは関係なく、トランザクションを最新にフラッシュするタイミングを制御します。値はミリ秒単位で定義されます。
このパラメーターは実験的なものです。Red Hat サポートから特に指示されない限り、値を変更 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 - 2147483647 (ミリ秒単位) |
デフォルト値 | 50 |
構文 | 整数 |
例 | nsslapd-db-transaction-batch-max-wait: 50 |
6.4.2.23. nsslapd-db-transaction-batch-min-wait
nsslapd-db-transaction-batch-val が設定されている場合には、トランザクションのフラッシュは、設定されたバッチ値に達したときに別のスレッドで実行されます。ただし、更新が少ない場合は、このプロセスに時間がかかる場合があります。このパラメーターは、トランザクションをバッチ数とは関係なく、最も早くフラッシュするタイミングを制御します。値はミリ秒単位で定義されます。
このパラメーターは実験的なものです。Red Hat サポートから特に指示されない限り、値を変更 しないでください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 - 2147483647 (ミリ秒単位) |
デフォルト値 | 50 |
構文 | 整数 |
例 | nsslapd-db-transaction-batch-min-wait: 50 |
6.4.2.24. nsslapd-db-transaction-batch-val
この属性は、コミット前にバッチ処理されるトランザクションの数を指定します。この属性は、完全なトランザクションの持続性が必要ない場合には、更新のパフォーマンスを向上できます。この属性は ldapmodify
を使用して動的に変更できます。
この値を設定すると、データの一貫性が低下し、データが失われる可能性があります。これは、サーバーがバッチ処理されたトランザクションをフラッシュする前に停電が発生した場合に、バッチ内のそれらのトランザクションが失われるためです。
Red Hat サポートから特に依頼されない限り、この値は設定しないでください。
この属性が定義されていないか、0
に設定されている場合には、トランザクションバッチ処理はオフになり、LDAP を使用してこの属性にリモートで変更を加えることはできません。ただし、この属性を 0
より大きい値に設定すると、キューに置かれたトランザクションの数が属性値と同じになるまでトランザクションのコミットが遅延します。0
より大きい値を指定すると、LDAP を使用してこの属性をリモートで変更できます。この属性の値が 1
の場合、LDAP を使用してリモートで属性設定を変更できますが、バッチ処理は行われません。そのため、サーバーの起動時に 1
を指定すると、必要に応じて、リモートでトランザクションバッチのオンとオフを切り替えることができる一方で、通常の持続性を維持するすることができます。この属性の値では、nsslapd-db-logbuf-size
属性を変更して、バッチ処理されたトランザクションに対応するのに十分なログバッファーサイズを確保しなければならない可能性がある点に注意してください。
nsslapd-db-transaction-batch-val
属性は、nsslapd-db-durable-transaction
属性が on
に設定されている場合にのみ有効です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 30 |
デフォルト値 | 0 (またはオフ) |
構文 | 整数 |
例 | nsslapd-db-transaction-batch-val: 5 |
6.4.2.25. nsslapd-db-trickle-percentage
この属性は、少なくとも共有メモリープールに指定したページの割合が、バッキングファイルにダーティーページを書き込むことで消去されるように設定します。これは、書き込みを待たずに、新しい情報の読み取りにページが常に利用できるようにするためです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から 100 |
デフォルト値 | 40 |
構文 | 整数 |
例 | nsslapd-db-trickle-percentage: 40 |
6.4.2.26. nsslapd-db-verbose
この属性は、チェックポイントのログの検索、デッドロックの検出の実行、およびリカバリーの実行時に追加の情報およびデバッグメッセージを記録するかどうかを指定します。このパラメーターはトラブルシューティングを目的としており、パラメーターを有効にすると Directory Server の速度が低下する可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-db-verbose: off |
6.4.2.27. nsslapd-import-cache-autosize
このパフォーマンスチューニング関連の属性は、LDIF ファイルのデータベースへのコマンドラインベースのインポートプロセス (ldif2db
操作) 中に使用されるインポートキャッシュ (importCache
) のサイズを自動的に設定します。
Directory Server では、インポート操作はサーバータスクとして実行することも、コマンドラインでのみ実行できます。タスクモードでは、インポート操作は一般的な Directory Server 操作として実行されます。nsslapd-import-cache-autosize
属性を使用すると、インポート操作がコマンドラインで実行される場合に、インポートキャッシュを事前に決定したサイズに自動設定できます。また、この属性はタスクモードのインポート時に Directory Server で使用して、インポートキャッシュに指定した空きメモリーの割合を割り当てることができます。
デフォルトでは、nsslapd-import-cache-autosize
属性は有効で、値が -1
に設定されます。この値により、ldif2db
操作のインポートキャッシュが自動的に設定され、インポートキャッシュの空き物理メモリーの 50% が自動的に割り当てられます。パーセンテージの値 (50%) はハードコーディングされており、変更はできません。
属性値を 50
(nsslapd-import-cache-autosize: 50
) に設定すると、ldif2db
操作中のパフォーマンスにも同じ効果があります。ただし、このような設定は、インポート操作が Directory Server タスクとして実行するとパフォーマンスに影響を及ぼします。-1
の値は、インポート、一般的な Directory Server タスクなど、ldif2db
操作に対してのみインポートキャッシュを自動的にサイズします。
-1
の設定の目的は、ldif2db
操作を有効にして空きの物理メモリーを活用できるようにすることですが、同時に、Directory Server の一般的な操作に使用されるエントリーキャッシュと価値のあるメモリーには競合しないようにします。
nsslapd-import-cache-autosize
属性の値を 0
に設定すると、インポートキャッシュの自動サイズ機能が無効になります。つまり、インポート操作のいずれかのモードでは自動調整は行われません。代わりに、Directory Server はインポートキャッシュサイズに nsslapd-import-cachesize
属性を使用し、デフォルト値は 20000000
です。
Directory Server のコンテキストには、データベースキャッシュ、エントリーキャッシュ、およびインポートキャッシュの 3 つのキャッシュがあります。インポートキャッシュは、インポート操作時にのみ使用されます。nsslapd-cache-autosize
属性。これはエントリーキャッシュとデータベースキャッシュの自動調整に使用されます。これは、Directory Server の操作時にのみ使用され、ldif2db
コマンドの実行中は使用しません。属性の値は、エントリーキャッシュとデータベースキャッシュに割り当てられる空き物理メモリーの割合です。
自動サイズ属性である nsslapd-cache-autosize
と nsslapd-import-cache-autosize
の両方が有効になっている場合は、合計値が 100 未満であることを確認します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
Valid Range | -1、0 (インポートキャッシュの自動サイズ設定をオフにします) から 100 |
デフォルト値 | -1 (ldif2db に対してのみインポートキャッシュの自動サイズ設定をオンにし、空き物理メモリーの 50% をインポートキャッシュに割り当てます) |
構文 | 整数 |
例 | nsslapd-import-cache-autosize: -1 |
6.4.2.28. nsslapd-search-bypass-filter-test
nsslapd-search-bypass-filter-test
パラメーターを有効にすると、Directory Server は、検索時に候補リストをビルドするタイミングでフィルターチェックを回避します。パラメーターを verify
に設定すると、Directory Server は検索候補エントリーに対してフィルターを評価します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off | verify |
デフォルト値 | on |
構文 | ディレクトリー文字列 |
例 | nsslapd-search-bypass-filter-test: on |
6.4.3. cn=monitor,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
データベースのアクティビティーをモニターするためのデータベース統計を含むグローバル読み取り専用属性は、cn=monitor,cn=ldbm database,cn=plugins,cn=config
ツリーノードに保管されます。
6.4.3.1. currentNormalizedDNcachecount
正規化されたキャッシュされた DN の数。
6.4.3.2. currentNormalizedDNcachesize
正規化された DN キャッシュの現在のサイズ (バイト単位)。
6.4.3.3. dbcachehitratio
この属性は、データベースキャッシュ (hits/tries) で見つかった要求されたページのパーセンテージを表示します。
6.4.3.4. dbcachehits
この属性は、データベースで見つかった要求されたページを表示します。
6.4.3.5. dbcachepagein
この属性は、データベースキャッシュに読み込まれたページを表示します。
6.4.3.6. dbcachepageout
この属性は、データベースキャッシュからバッキングファイルに書き込まれたページを表示します。
6.4.3.7. dbcacheroevict
この属性は、キャッシュから強制されたクリーンページを表示します。
6.4.3.8. dbcacherwevict
この属性は、キャッシュから強制されたダーティーページを表示します。
6.4.3.9. dbcachetries
この属性は、キャッシュルックアップ合計を表示します。
6.4.3.10. maxNormalizedDNcachesize
nsslapd-ndn-cache-max-size
パラメーターの現在の値。この設定の更新方法は、「nsslapd-ndn-cache-max-size」 を参照してください。
6.4.3.11. normalizedDNcachehitratio
キャッシュにある正規化された DN のパーセンテージ。
6.4.3.12. normalizedDNcachehits
キャッシュ内にある正規化された DN。
6.4.3.13. normalizedDNcachemisses
キャッシュ内に正規化された DN が見つかりません。
6.4.3.14. normalizedDNcachetries
インスタンスが開始してからのキャッシュルックアップの合計数。
6.4.4. cn=database_name,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
cn=database_name
サブツリーには、ユーザー定義データベースのすべての設定データが含まれています。
cn=userRoot
サブツリーは、デフォルトで userRoot と呼ばれます。ただし、これはハードコーディングされず、複数のデータベースインスタンスが存在すると、この名前が変更され、新規データベースが追加されるとユーザーによって変更および定義されます。参照される cn=userRoot
データベースは、任意のユーザーデータベースにすることができます。
次の属性は、cn=userRoot
などのデータベースに共通です。
6.4.4.1. nsslapd-cachememsize
このパフォーマンスチューニング関連の属性は、エントリーキャッシュに使用可能なメモリースペースのサイズをバイト単位で指定します。最も簡単な方法として、メモリー関連のキャッシュサイズを制限しています。自動キャッシュサイズ変更をアクティブにすると、この属性が上書きされ、サーバー起動の後の段階でこれらの値が独自の推測値に置き換えられます。
数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値 (32 ビットシステムの場合) を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。
この設定のパフォーマンスカウンターは、32 ビットシステムでも最高の 64 ビット整数になりますが、システムメモリーをアドレス指定する方法のため、設定自体は 32 ビットシステムでは最高の 32 ビット整数に制限されます。
データベースキャッシュのサイズは手動で設定しないでください。Red Hat は、パフォーマンスを最適化するためにエントリーキャッシュの自動サイジング機能を使用することを推奨します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 64 ビットシステムでは 500 キロバイトから 264 -1 |
デフォルト値 | 209715200 (200 MiB) |
構文 | 整数 |
例 | nsslapd-cachememsize: 209715200 |
6.4.4.2. nsslapd-cachesize
この属性は非推奨になっています。エントリーキャッシュのサイズを変更するには、nsslapd-cachememsize を使用します。
このパフォーマンスチューニング関連の属性は、保持できるエントリー数に関してキャッシュサイズを指定します。ただし、「nsslapd-cachememsize」 で説明されているように、この属性は非推奨になりました。nsslapd-cachememsize
属性は、エントリーキャッシュサイズの RAM の絶対割り当てを設定します。
数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値 (32 ビットシステムの場合) を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
この設定のパフォーマンスカウンターは、32 ビットシステムでも最高の 64 ビット整数になりますが、システムメモリーをアドレス指定する方法のため、設定自体は 32 ビットシステムでは最高の 32 ビット整数に制限されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 32 ビットシステムの場合は 1 から 232-1、または 64 ビットシステムの場合は 263-1、もしくは -1 (制限がないという意味) です。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-cachesize: -1 |
6.4.4.3. nsslapd-directory
この属性は、データベースインスタンスへのパスを指定します。相対パスの場合は、グローバルデータベースエントリー cn=config,cn=ldbm database,cn=plugins,cn=config
の nsslapd-directory
で指定されたパスから開始します。データベースインスタンスディレクトリーの名前はインスタンス名の後にあり、デフォルトではグローバルデータベースディレクトリーにあります。データベースインスタンスの作成後に、このパスを変更しないでください。変更すると、サーバーがデータにアクセスできなくなる可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | データベースインスタンスへの有効なパス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-directory: /var/lib/dirsrv/slapd-instance/db/userRoot |
6.4.4.4. nsslapd-dncachememsize
このパフォーマンスチューニング関連の属性は、DN キャッシュで利用可能なメモリー領域のサイズをバイト単位で指定します。DN キャッシュはデータベースのエントリーキャッシュと似ていますが、テーブルのみがエントリー ID とエントリー DN を保存します。これにより、名前変更および moddn 操作のルックアップが速くなります。
最も簡単な方法として、メモリー関連のキャッシュサイズを制限しています。
数値ではない場合、または 32 ビットの符号付き整数には大きすぎる値 (32 ビットシステムの場合) を設定しようとすると、LDAP_UNWILLING_TO_PERFORM
エラーメッセージが返され、問題を説明する追加のエラー情報が示されます。
この設定のパフォーマンスカウンターは、32 ビットシステムでも最高の 64 ビット整数になりますが、システムメモリーをアドレス指定する方法のため、設定自体は 32 ビットシステムでは最高の 32 ビット整数に制限されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 500 キロバイトから、32 ビットシステムの場合は 232-1、64 ビットシステムの場合は 264-1 |
デフォルト値 | 10485,760 (10 メガバイト) |
構文 | 整数 |
例 | nsslapd-dncachememsize: 10485760 |
6.4.4.5. nsslapd-readonly
この属性は、1 つのバックエンドインスタンスの読み取り専用モードを指定します。この属性の値が off
である場合、ユーザーにはアクセスパーミッションで許可されるすべての読み取り、書き込み、および実行パーミッションが付与されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-readonly: off |
6.4.4.6. nsslapd-require-index
on
に切り替えると、この属性はインデックスなしの検索を拒否することができます。このパフォーマンス関連の属性は、サーバーに誤った検索で満たされないようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-require-index: off |
6.4.4.7. nsslapd-require-internalop-index
プラグインがデータを変更すると、データベースに書き込みロックがあります。大規模なデータベースでは、プラグインがインデックス化されていない検索を実行すると、プラグインはすべてのデータベースロックを使用し、データベースが破損したり、サーバーが応答しなくなることがあります。この問題を回避するには、nsslapd-require-internalop-index
パラメーターを有効にして、インデックス化されていない内部検索を拒否することができるようになりました。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-require-internalop-index: off |
6.4.4.8. nsslapd-suffix
この属性は、データベースリンク の接尾辞を指定します。各データベースインスタンスには接尾辞が 1 つしかないため、この属性は 1 つの値の属性です。以前は、1 つのデータベースインスタンスに複数の接尾辞を含めることができましたが、これは今後そうではなくなりました。その結果、この属性の値は、各データベースインスタンスに接尾辞エントリーを 1 つだけ持つことができるという事実を強制します。エントリーの作成後にこの属性に加えた変更は、データベースリンクを含むサーバーを再起動した後のみ反映されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-suffix: o=Example |
6.4.4.9. vlvBase
この属性は、参照または仮想リストビュー (VLV) インデックスが作成されるベース DN を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | vlvBase: ou=People,dc=example,dc=com |
6.4.4.10. vlvEnabled
vlvEnabled
属性は特定の VLV インデックスのステータス情報を提供し、Directory Server はランタイム時にこの属性を設定します。vlvEnabled
が設定に表示されますが、この属性を変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0 (無効) | 1 (有効) |
デフォルト値 | 1 |
構文 | DirectoryString |
例 | vlvEnbled: 0 |
6.4.4.11. vlvFilter
ブラウジングまたは仮想リストビュー (VLV) インデックスは、フィルターに従って検索を実行し、そのフィルターに一致するエントリーをインデックスに含めることによって作成されます。フィルターは vlvFilter
属性で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効な LDAP フィルター |
デフォルト値 | |
構文 | DirectoryString |
例 | vlvFilter: ( |
6.4.4.12. vlvIndex
参照インデックス または 仮想リストビュー (VLV) インデックスは、エントリーヘッダーの省略インデックスを動的に生成するため、大規模なインデックスを視覚的に参照する方がはるかに速くなります。VLV インデックス定義には、インデックスを定義する部分と、インデックスに追加するエントリーを識別するのに使用される検索を定義する 2 つの部分があります。vlvIndex
オブジェクトクラスは、インデックスエントリーを定義します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.42
表6.2 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | エントリーの共通名を指定します。 |
vlvSort | 参照インデックス (仮想リストビューインデックス) がソートされている属性リストを識別します。 |
表6.3 使用できる属性
属性 | 定義 |
---|---|
vlvEnabled | 参照インデックスの可用性を保管します。 |
vlvUses | 参照インデックスが使用されるカウントが含まれます。 |
6.4.4.13. vlvScope
この属性は、参照または仮想リストビュー (VLV) インデックスのエントリー用に実行する検索の範囲を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | * 1 (1 レベルまたは子の検索) * 2 (サブツリー検索) |
デフォルト値 | |
構文 | 整数 |
例 | vlvScope: 2 |
6.4.4.14. vlvSearch
参照インデックス または 仮想リストビュー (VLV) インデックスは、エントリーヘッダーの省略インデックスを動的に生成するため、大規模なインデックスを視覚的に参照する方がはるかに速くなります。VLV インデックス定義には、インデックスを定義する部分と、インデックスに追加するエントリーを識別するのに使用される検索を定義する 2 つの部分があります。vlvSearch
オブジェクトクラスは、検索フィルターエントリーを定義します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.38
表6.4 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
vlvBase | 参照インデックスが作成されるベース DN を特定します。 |
vlvScope | 参照インデックスを定義するスコープを識別します。 |
vlvFilter | 参照インデックスを定義するフィルター文字列を識別します。 |
表6.5 使用できる属性
属性 | 定義 |
---|---|
multiLineDescription | エントリーのテキスト説明を入力します。 |
6.4.4.15. vlvSort
この属性は、参照または仮想リストビュー (VLV) インデックスで返されるエントリーのソート順序を設定します。
この属性のエントリーは、vlvSearch
エントリーの下にある vlvIndex
エントリーです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | スペースで区切られたリスト内の任意の Directory Server 属性 |
デフォルト値 | |
構文 | DirectoryString |
例 | vlvSort: cn givenName o ou sn |
6.4.4.16. vlvUses
vlvUses
属性には参照インデックスが使用するカウントが含まれ、Directory Server はランタイム時にこの属性を設定します。vlvUses
が設定に表示されますが、この属性を変更することはできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 該当なし |
デフォルト値 | |
構文 | DirectoryString |
例 | vlvUses: 800 |
6.4.5. cn=database,cn=monitor,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
このツリーノードエントリーの属性はすべて読み取り専用であるデータベースパフォーマンスカウンターです。これらの属性のすべての値は、entrycachehits
および entrycachetries
を除く 32 ビットの整数です。
cn=config
の nsslapd-counters
属性が on
に設定されている場合は、32 ビットマシンや 32 ビットバージョンの Directory Server の整数を使用して、64 ビットの整数を使用して Directory Server インスタンスにより保持されるカウンターの一部。データベースの監視には、entrycachehits
カウンターおよび entrycachetries
カウンターは 64 ビットの整数を使用します。
nsslapd-counters
属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットサポートを有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
6.4.5.1. currentdncachecount
この属性は、DN キャッシュに現在存在している DN の数を表示します。
6.4.5.2. currentdncachesize
この属性は、DN キャッシュに現在存在する DN の合計サイズをバイト単位で示します。
6.4.5.3. maxdncachesize
この属性は、データベース DN キャッシュに保持できる DN の最大サイズをバイト単位で示します。
6.4.5.4. nsslapd-db-abort-rate
この属性は、中止されたトランザクションの数を示します。
6.4.5.5. nsslapd-db-active-txns
この属性は、現在アクティブなトランザクションの数を表示します。
6.4.5.6. nsslapd-db-cache-hit
この属性は、キャッシュにある要求されたページを表示します。
6.4.5.7. nsslapd-db-cache-region-wait-rate
この属性は、リージョンロックを取得する前に、コントロールのスレッドが強制的に待機した回数を示します。
6.4.5.8. nsslapd-db-cache-size-bytes
この属性は、キャッシュの合計サイズをバイト単位で表示します。
6.4.5.9. nsslapd-db-cache-try
この属性は、キャッシュルックアップ合計を表示します。
6.4.5.10. nsslapd-db-clean-pages
この属性は、現在のキャッシュにクリーンなページを表示します。
6.4.5.11. nsslapd-db-commit-rate
この属性は、コミットされたトランザクションの数を表示します。
6.4.5.12. nsslapd-db-deadlock-rate
この属性は、検出されたデッドロックの数を表示します。
6.4.5.13. nsslapd-db-dirty-pages
この属性は、現在のキャッシュにダーティーページを表示します。
6.4.5.14. nsslapd-db-hash-buckets
この属性は、バッファーハッシュテーブルのハッシュバケットの数を表示します。
6.4.5.15. nsslapd-db-hash-elements-examine-rate
この属性は、ハッシュテーブルのルックアップ中に走査されたハッシュ要素の合計数を表示します。
6.4.5.16. nsslapd-db-hash-search-rate
この属性は、バッファーハッシュテーブル検索の合計数を表示します。
6.4.5.17. nsslapd-db-lock-conflicts
この属性は、競合によりすぐに利用できないロックの合計数を表示します。
6.4.5.18. nsslapd-db-lockers
この属性は、現在のロックの数を表示します。
6.4.5.19. nsslapd-db-lock-region-wait-rate
この属性は、リージョンロックを取得する前に、コントロールのスレッドが強制的に待機した回数を示します。
6.4.5.20. nsslapd-db-lock-request-rate
この属性は、要求されたロックの合計数を表示します。
6.4.5.21. nsslapd-db-log-bytes-since-checkpoint
この属性は、最後のチェックポイント以降にこのログに書き込まれたバイト数を表示します。
6.4.5.22. nsslapd-db-log-region-wait-rate
この属性は、リージョンロックを取得する前に、コントロールのスレッドが強制的に待機した回数を示します。
6.4.5.23. nsslapd-db-log-write-rate
この属性は、このログに書き込まれたメガバイトおよびバイト数を表示します。
6.4.5.24. nsslapd-db-longest-chain-length
この属性は、バッファーハッシュテーブル検索で最も長いチェーンを示しています。
6.4.5.25. nsslapd-db-page-create-rate
この属性は、キャッシュで作成されたページを表示します。
6.4.5.26. nsslapd-db-page-read-rate
この属性は、キャッシュに読み取れるページを表示します。
6.4.5.27. nsslapd-db-page-ro-evict-rate
この属性は、キャッシュから強制されたクリーンページを表示します。
6.4.5.28. nsslapd-db-page-rw-evict-rate
この属性は、キャッシュから強制されたダーティーページを表示します。
6.4.5.29. nsslapd-db-pages-in-use
この属性は、現在使用中のクリーンまたはダーティのすべてのページを表示します。
6.4.5.30. nsslapd-db-page-trickle-rate
この属性は、memp_trickle
インターフェイスを使用して書き込まれたダーティーページを表示します。
6.4.5.31. nsslapd-db-page-write-rate
この属性は、キャッシュに読み取れるページを表示します。
6.4.5.32. nsslapd-db-txn-region-wait-rate
この属性は、リージョンロックを取得する前に、コントロールのスレッドが強制的に待機した回数を示します。
6.4.6. cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
マルチサプライヤーレプリケーションでは、Directory Server は、top
および extensibleObject
オブジェクトクラスを持つ cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config
エントリーの下に changelog 設定エントリーを保存します。
changelog という用語は、以下を意味します。
- Changelog
- この章で説明している属性を使用するマルチサプライヤーレプリケーションの実際の変更ログ。
- Retro Changelog
- Directory Server が特定のレガシーアプリケーションとの互換性のために使用するプラグイン。詳細は、「Retro Changelog プラグイン」 を参照してください。
6.4.6.1. cn
cn
属性は、changelog エントリーの相対識別名 (RDN) を設定します。この属性は必須です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | changelog |
構文 | DirectoryString |
例 | cn=changelog,cn=userRoot,cn=ldbm database,cn=plugins |
6.4.6.2. nsslapd-changelogcompactdb-interval
nsslapd-changelogcompactdb-interval
属性は、Directory Server がレプリケーション changelog を圧縮する間隔を秒単位で定義します。compact 操作は未使用のページをファイルシステムに返し、データベースファイルサイズを縮小します。データベースの圧縮はリソースを大量に消費するため、頻繁に実行しないでください。
属性値の変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | n=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 0 (圧縮なし) から 2147483647 秒 |
デフォルト値 | 2592000 (30 日) |
構文 | 整数 |
例 | nsslapd-changelogcompactdb-interval: 2592000 |
6.4.6.3. nsslapd-changelogmaxage
コンシューマーと同期する場合には、Directory Server は各更新をタイムスタンプ付きの変更ログに保存します。nsslapd-changelogmaxage
属性は、changelog に保存するレコードの最大期間を設定します。Directory Server は、すべてのコンシューマーに正常に転送された古いレコードを自動的に削除します。デフォルトでは、Directory Server は 8 日以上経過しているレコードを削除します。ただし、nsslapd-changelogmaxage
および nsslapd-changelogmaxentries
属性を無効にした場合、Directory Server はすべてのレコードを変更ログに保持するため、変更ログファイルが過度に大きくなる可能性があります。
Retro changelog には独自の nsslapd-changelogmaxage
属性があります。詳細は、 Retro changelog nsslapd-changelogmaxage を参照してください。
Directory Server は、nsslapd-changelogtrim-interval
属性で設定された間隔でトリム操作を実行します。
属性値の変更を適用するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 (エントリーはその経過時間に応じて削除されない) から最大 32 ビットの整数 (2147483647) |
デフォルト値 | 7d |
構文 | DirectoryString IntegerAgeID、この場合の AgeID は以下のとおり。
AgeID なしで整数値のみを設定すると、Directory Server はそれを秒として扱います。 |
例 | nsslapd-changelogmaxage: 30d |
6.4.6.4. nsslapd-changelogmaxentries
nsslapd-changelogmaxentries
属性は、changelog に保存されているレコードの最大数を設定します。すべてのコンシューマーに正常に転送された最も古いレコードの数が nsslapd-changelogmaxentries
の値を超えた場合、Directory Server はこれらのレコードを chagelog から自動的に削除します。nsslapd-changelogmaxentries
および nsslapd-changelogmaxage
属性を 0
に設定すると、Directory Server はすべてのレコードを changelog に保持するため、changelog ファイルが過度に大きくなる可能性があります。
nsslapd-changelogmaxentries
属性に低い値を設定した場合に、Directory Server はレプリケーション変更ログのファイルサイズを自動的に縮小しません。
Directory Server は、nsslapd-changelogtrim-interval
属性で設定された間隔でトリム操作を実行します。
属性値の変更を適用するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 (唯一の上限がディスクサイズ) から最大 32 ビットの整数 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-changelogmaxentries: 5000 |
6.4.6.5. nsslapd-changelogtrim-interval
Directory Server は、changelog でトリミングプロセスを繰り返し実行します。2 つの実行の間隔を変更するには、nsslapd-changelogtrim-interval
属性を更新し、間隔を秒単位で設定します。
属性の変更を適用するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 300 (5 分) |
構文 | DirectoryString |
例 | nsslapd-changelogtrim-interval: 300 |
6.4.6.6. nsslapd-encryptionalgorithm
nsslapd-encryptionalgorithm
属性は、Directory Server が changelog の暗号化に使用する暗号化アルゴリズムを指定します。changelog の暗号化を有効にするには、Directory Server にサーバー証明書をインストールする必要があります。
属性値の変更を適用するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | AES または 3DES |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-encryptionalgorithm: AES |
6.4.6.7. nsSymmetricKey
nsSymmetricKey
属性は、内部で生成された対称キーを格納します。
属性値の変更を適用するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=changelog,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
Valid Range | Base64 でエンコードされたキー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | なし |
6.4.7. cn=monitor,cn=database_name,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
このツリーノードエントリーの属性はすべて読み取り専用であるデータベースパフォーマンスカウンターです。
cn=config
の nsslapd-counters
属性が on
に設定されている場合は、32 ビットマシンや 32 ビットバージョンの Directory Server の整数を使用して、64 ビットの整数を使用して Directory Server インスタンスにより保持されるカウンターの一部。データベースの監視では、entrycachehits
および entrycachetries
カウンターは 64 ビット整数を使用します。
nsslapd-counters
属性は、これらの特定のデータベースおよびサーバーカウンターの 64 ビットサポートを有効にします。64 ビットの整数を使用するカウンターは設定できません。64 ビットの整数は、許可されるすべてのカウンターに対して有効であるか、許可されているすべてのカウンターに対して無効にされます。
6.4.7.1. currentDNcachecount
キャッシュされた DN の数。
6.4.7.2. currentDNcachesize
DN キャッシュの現在のサイズ (バイト単位)。
6.4.7.3. dbfilecachehit-number
この属性は、このファイルからデータを必要とする検索を実行し、データをキャッシュから正常に取得した回数を示します。この属性名の数字は、dbfilename
にあるものに対応します。
6.4.7.4. dbfilecachemiss-number
この属性は、このファイルからのデータを必要とする検索が実行され、データをキャッシュから取得できなかった回数を示します。この属性名の数字は、dbfilename
にあるものに対応します。
6.4.7.5. dbfilename-number
この属性は、ファイルの名前を示し、ファイルの順次整数 ID (0 から始まる) を提供します。ファイルに関連するすべての統計には、この同じ数値 ID が割り当てられます。
6.4.7.6. dbfilepagein-number
この属性は、このファイルからキャッシュに取られたページ数を示します。この属性名の数字は、dbfilename
にあるものに対応します。
6.4.7.7. dbfilepageout-number
この属性は、キャッシュからディスクに書き込まれたこのファイルのページ数を示します。この属性名の数字は、dbfilename
にあるものに対応します。
6.4.7.8. DNcachehitratio
キャッシュで見つかった DN のパーセンテージ。
6.4.7.9. DNcachehits
キャッシュ内にある DNS。
6.4.7.10. DNcachemisses
DNS がキャッシュ内に見つかりません。
6.4.7.11. DNcachetries
インスタンスが開始してからのキャッシュルックアップの合計数。
6.4.7.12. maxDNcachesize
nsslapd-ndn-cache-max-size
パラメーターの現在の値。この設定の更新方法は、「nsslapd-ndn-cache-max-size」 を参照してください。
6.4.8. cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
デフォルトのインデックスのセットはここに保存されます。ほとんどの設定シナリオの Directory Server 機能を最適化するために、デフォルトのインデックスはバックエンドごとに設定されます。システムに不可欠なものを除くすべてのインデックスは削除できますが、不要な中断が生じないように注意する必要があります。
6.4.8.1. cn
この属性は、インデックスする属性の名前です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効なインデックス cn |
デフォルト値 | なし |
構文 | DirectoryString |
例 | cn: aci |
6.4.8.2. nsIndex
このオブジェクトクラスはバックエンドデータベースのインデックスを定義します。このオブジェクトは Directory Server で定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.44
表6.6 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | エントリーの共通名を指定します。 |
nsSystemIndex | インデックスがシステムで定義されるインデックスであるかどうかを特定します。 |
表6.7 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
nsIndexType | インデックスタイプを識別します。 |
nsMatchingRule | マッチングルールを識別します。 |
6.4.8.3. nsIndexType
このオプションの複数値属性は、Directory Server 操作のインデックスのタイプを指定し、インデックス化される属性の値を取ります。必要なインデックスタイプは、それぞれ別の行に入力する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | * pres = 存在インデックス * eq = equality index * approx = approximate index * sub = 部分文字列インデックス * matching rule = 国際インデックス * index browse = 参照インデックス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsIndexType: eq |
6.4.8.4. nsMatchingRule
このオプションの複数値属性は、値と一致し、属性のインデックスキーを生成するために使用される順序一致ルール名または OID を指定します。これは、英語 (7 ビット ASCII) 以外の言語で等式および範囲検索が正しく機能することを保証するために最も一般的に使用されます。
これは、スキーマ定義で順序一致ルールを指定しない整数構文属性に対して範囲検索が正しく機能するようにするためにも使用されます。uidNumber
と gidNumber
は、このカテゴリーに含まれる一般的に使用される 2 つの属性です。
たとえば、整数構文を使用する uidNumber
の場合、ルール属性は nsMatchingRule:integerOrderingMatch
のようになります。
この属性への変更は、変更を保存して、db2index
コマンドでインデックスが再構築されるまで有効になりません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 有効な照合順序オブジェクト識別子 (OID) |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsMatchingRule: 2.16.840.1.113730.3.3.2.3.1 (ブルガリア語の場合) |
6.4.8.5. nsSystemIndex
この必須属性は、インデックスが システムインデックス であるかどうかを指定します。これは、Directory Server の操作に不可欠なインデックスです。この属性の値が true
の場合は、システムに不可欠です。サーバー機能が深刻な影響を与えるため、システムインデックスは削除できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
有効な値 | true | false |
デフォルト値 | |
構文 | DirectoryString |
例 | nssystemindex: true |
6.4.9. cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
に保存されるデフォルトインデックスのセットのほかに、ユーザー定義のバックエンドインスタンス用にカスタムインデックスを作成できます。これらは cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config
に保存されます。
たとえば、o=UserRoot
の下にある aci
属性のインデックスファイルは、以下のように Directory Server に表示されます。
dn:cn=aci,cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config objectclass:top objectclass:nsIndex cn:aci nsSystemIndex:true nsIndexType:pres
これらのエントリーは、「cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性」 のデフォルトインデックスにリスト表示されるすべてのインデックス属性を共有します。
6.4.9.1. nsIndexIDListScanLimit
この複数値 パラメーターは、特定のインデックスの検索制限や ID リストを使用しない場合は定義します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | |
デフォルト値 | |
構文 | DirectoryString |
例 | nsIndexIDListScanLimit: limit=0 type=eq values=inetorgperson |
6.4.9.2. nsSubStrBegin
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrBegin
属性は、ワイルドカードの前に検索文字列の最初にインデックス化された検索に必要な文字数を設定します。以下に例を示します。
abc*
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrBegin: 2 |
6.4.9.3. nsSubStrEnd
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrEnd
属性は、ワイルドカードの後に検索文字列の最後にインデックス化された検索に必要な文字数を設定します。以下に例を示します。
*xyz
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrEnd: 2 |
6.4.9.4. nsSubStrMiddle
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrMiddle
属性は、検索文字列の途中でワイルドカードが使用される、インデックス化された検索に必要な文字数を設定します。以下に例を示します。
ab*z
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrMiddle: 3 |
6.4.10. cn=attribute_name,cn=encrypted attributes,cn=database_name,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
に保存されるデフォルトインデックスのセットのほかに、ユーザー定義のバックエンドインスタンス用にカスタムインデックスを作成できます。これらは cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config
に保存されます。
たとえば、o=UserRoot
の下にある aci
属性のインデックスファイルは、以下のように Directory Server に表示されます。
dn:cn=aci,cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config objectclass:top objectclass:nsIndex cn:aci nsSystemIndex:true nsIndexType:pres
これらのエントリーは、「cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config 下のデータベース属性」 のデフォルトインデックスにリスト表示されるすべてのインデックス属性を共有します。
6.4.10.1. nsIndexIDListScanLimit
この複数値 パラメーターは、特定のインデックスの検索制限や ID リストを使用しない場合は定義します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | |
デフォルト値 | |
構文 | DirectoryString |
例 | nsIndexIDListScanLimit: limit=0 type=eq values=inetorgperson |
6.4.10.2. nsSubStrBegin
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrBegin
属性は、ワイルドカードの前に検索文字列の最初にインデックス化された検索に必要な文字数を設定します。以下に例を示します。
abc*
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrBegin: 2 |
6.4.10.3. nsSubStrEnd
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrEnd
属性は、ワイルドカードの後に検索文字列の最後にインデックス化された検索に必要な文字数を設定します。以下に例を示します。
*xyz
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrEnd: 2 |
6.4.10.4. nsSubStrMiddle
デフォルトでは、検索がインデックス化されるようにするには、検索文字列はワイルドカード文字をカウントせずに 3 文字以上である必要があります。たとえば、abc
という文字列はインデックス検索になりますが、ab*
はインデックス検索になりません。インデックス化された検索は、インデックスなし検索よりもはるかに高速であるため、検索キーの最小長を変更すると、インデックス化された検索の数を増やすと便利です。
この部分文字列の長さは、ワイルドカード文字の場所に基づいて編集できます。nsSubStrMiddle
属性は、検索文字列の途中でワイルドカードが使用される、インデックス化された検索に必要な文字数を設定します。以下に例を示します。
ab*z
この属性の値が変更された場合は、db2index
を使用してインデックスを再生成する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
有効な値 | 任意の整数 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsSubStrMiddle: 3 |
6.5. データベースリンクプラグインの属性
データベースリンクプラグインの属性も、情報ツリーに編成されます。データベースリンクインスタンスで使用されるすべてのプラグインテクノロジーは、cn=chaining database
プラグインノードに格納されます。このセクションでは、図の cn=chaining database,cn=plugins,cn=config
情報ツリーで太字でマークされた 3 つのノードの追加の属性情報を示します。
6.5.1. cn=config,cn=chaining database,cn=plugins,cn=config 下のデータベースリンク属性
このセクションでは、すべてのインスタンスに共通するグローバル設定属性を cn=config,cn=chaining database,cn=plugins,cn=config
ツリーノードに格納します。
6.5.1.1. nsActiveChainingComponents
この属性は、チェーンを使用してコンポーネントをリスト表示します。コンポーネントとは、サーバー内の機能単位です。この属性の値は、グローバル設定属性の値を上書きします。特定のデータベースインスタンスでチェーンを無効にするには、None
の値を使用します。この属性を使用すると、チェーンに使用されるコンポーネントを変更することもできます。デフォルトでは、チェーンが許可されないコンポーネントはありません。LDAP は空の属性が存在しないと見なすため、この属性が cn=config,cn=chaining database,cn=config
属性のリストに表示されなくなる理由を説明します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=chaining database,cn=plugins,cn=config |
有効な値 | 有効なコンポーネントエントリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsActiveChainingComponents: cn=uid uniqueness,cn=plugins,cn=config |
6.5.1.2. nsMaxResponseDelay
このエラー検出のパフォーマンス関連属性は、エラーが疑われる前に、リモートサーバーがデータベースリンクによって行われた LDAP 操作要求に応答するのにかかる最大時間を指定します。この遅延期間が満たされると、データベースリンクはリモートサーバーとの接続をテストします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=chaining database,cn=plugins,cn=config |
有効な値 | 有効な遅延期間 (秒単位) |
デフォルト値 | 60 秒 |
構文 | 整数 |
例 | nsMaxResponseDelay: 60 |
6.5.1.3. nsMaxTestResponseDelay
このエラー検出のパフォーマンス関連の属性は、リモートサーバーが応答しているかどうかを確認するためのデータベースリンクが発行するテストの期間を指定します。この期間の経過前にリモートサーバーからの応答が返されなかった場合、データベースリンクはリモートサーバーが停止していることを想定し、後続の操作で接続は使用されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=chaining database,cn=plugins,cn=config |
有効な値 | 有効な遅延期間 (秒単位) |
デフォルト値 | 15 秒 |
構文 | 整数 |
例 | nsMaxTestResponseDelay: 15 |
6.5.1.4. nsTransmittedControls
この属性は、グローバル (したがって動的) 設定またはインスタンス (つまり、cn =
データベースリンクインスタンス、cn=chaining database,cn=plugins,cn=config
) 設定属性の両方であり、データベースリンクを制御できます。変更されるように転送します。以下のコントロールは、デフォルトでデータベースリンクによって転送されます。
- 管理 DSA (OID: 2.16.840.1.113730.3.4.2)
- 仮想リストビュー (VLV) (OID: 2.16.840.1.113730.3.4.9)
- サーバー側のソート (OID: 1.2.840.113556.1.4.473)
- ループ検出 (OID: 1.3.6.1.4.1.1466.29539.12)
検索の逆参照や簡単なページ結果など、転送するコントロールリストにさらに制御を追加できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=chaining database,cn=plugins,cn=config |
有効な値 | データベースリンクによって転送される有効な OID または上記のコントロール |
デフォルト値 | なし |
構文 | 整数 |
例 | nsTransmittedControls: 1.2.840.113556.1.4.473 |
6.5.2. cn=default instance config,cn=chaining database,cn=plugins,cn=config 下のデータベースリンク属性
インスタンスのデフォルトのインスタンス設定属性は cn=default instance config,cn=chaining database,cn=plugins,cn=config
ツリーノードに格納されます。
6.5.2.1. nsAbandonedSearchCheckInterval
この属性は、サーバーが破棄操作をチェックするまで経過する秒数を表示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 0 から最大 32 ビット整数 (2147483647) 秒 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsAbandonedSearchCheckInterval: 10 |
6.5.2.2. nsBindConnectionsLimit
この属性は、データベースリンクがリモートサーバーで確立する TCP 接続の最大数を示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 1 から 50 の接続 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsBindConnectionsLimit: 3 |
6.5.2.3. nsBindRetryLimit
名前が示すように、この属性は、データベースリンクがリモートサーバーとのバインドを再試行する回数ではなく、リモートサーバーとのバインドを試行する回数を指定します。ここでの値 1
は、データベースリンクが一度だけバインドしようとすることを示しています。
再試行は接続の失敗に対してのみ行われ、無効なバインド DN や不正なパスワードなどの他のタイプのエラーは発生しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 3 |
構文 | 整数 |
例 | nsBindRetryLimit: 3 |
6.5.2.4. nsBindTimeout
この属性は、バインドの試行がタイムアウトするまでの時間を表示します。妥当な範囲の制限を除き、この属性には実際の有効な範囲はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 0 から 60 秒 |
デフォルト値 | 15 |
構文 | 整数 |
例 | nsBindTimeout: 15 |
6.5.2.5. nsCheckLocalACI
高度な使用のために予約されます。この属性は、ACI がデータベースリンクおよびリモートデータサーバーで評価されるかどうかを制御します。この属性への変更は、サーバーが再起動しないと反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsCheckLocalACI: on |
6.5.2.6. nsConcurrentBindLimit
この属性は、TCP 接続ごとの同時バインド操作の最大数を表示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 1 から 25 個のバインド |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsConcurrentBindLimit: 10 |
6.5.2.7. nsConcurrentOperationsLimit
この属性は、許可される同時操作の最大数を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 1 から 50 の操作 |
デフォルト値 | 2 |
構文 | 整数 |
例 | nsConcurrentOperationsLimit: 5 |
6.5.2.8. nsConnectionLife
この属性は、接続の有効期間を指定します。データベースリンクとリモートサーバー間の接続は、未指定の期間開いたままにしたり、一定期間後に閉じることができます。接続を開く方が高速ですが、より多くのリソースを使用します。値が 0
で、フェイルオーバーサーバーのリストが nsFarmServerURL
属性に提供されていると、メインサーバーは代替サーバーへのフェイルオーバー後に接続されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 0 から無制限の秒 (0 は永遠を意味します) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsConnectionLife: 0 |
6.5.2.9. nsOperationConnectionsLimit
この属性は、データベースリンクがリモートサーバーで確立する LDAP 接続の最大数を示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | 1 から n の接続 |
デフォルト値 | 20 |
構文 | 整数 |
例 | nsOperationConnectionsLimit: 10 |
6.5.2.10. nsProxiedAuthorization
高度な使用のために予約されます。プロキシー化された承認を無効にすると、チェーンされた操作のバインドは、nsMultiplexorBindDn
属性に設定されたユーザーとして実行されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsProxiedAuthorization: on |
6.5.2.11. nsReferralOnScopedSearch
この属性は、参照がスコープ指定の検索によって返されるかどうかを制御します。スコープ指定の検索への応答で参照を返す方がより効率的であるため、この属性を使用してディレクトリーを最適化できます。設定されたすべてのファームサーバーへ参照が返されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsReferralOnScopedSearch: off |
6.5.2.12. nsSizeLimit
この属性は、データベースリンクのデフォルトのサイズ制限をバイト単位で示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | -1 (無制限) から 32 ビットの整数 (2147483647) エントリーまで |
デフォルト値 | 2000 |
構文 | 整数 |
例 | nsSizeLimit: 2000 |
6.5.2.13. nsTimeLimit
この属性は、データベースリンクのデフォルトの検索時間制限を表示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=default instance config,cn=chaining database,cn=plugins,cn=config |
Valid Range | -1 から最大 32 ビット整数 (2147483647) 秒 |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsTimeLimit: 3600 |
6.5.3. database_link_name,cn=chaining database,cn=plugins,cn=config 下のデータベースリンク属性
この情報ノードは、データを含むサーバーに関する属性を保存します。ファームサーバー は、データベースのデータが含まれるサーバーです。この属性には、空白で区切られた、フェイルオーバーのオプションサーバーを含めることができます。チェーンをカスケードする場合、この URL は別のデータベースリンクを参照できます。
6.5.3.1. nsBindMechanism
この属性は、ファームサーバーがリモートサーバーに接続するバインドメカニズムを設定します。ファームサーバーは、1 つ以上のデータベースにデータを含むサーバーです。この属性は、標準、TLS、または SASL のいずれかの接続タイプを設定します。
-
empty.これは簡単な認証を実行し、バインド情報を提供する
nsMultiplexorBindDn
属性およびnsMultiplexorCredentials
属性が必要です。 EXTERNAL。これは TLS 証明書を使用して、ファームサーバーをリモートサーバーに認証します。ファームサーバーをセキュアな URL (
ldaps
) に設定するか、nsUseStartTLS
属性をon
に設定する必要があります。さらに、リモートサーバーがファームサーバーの証明書をバインド ID にマップするように設定する必要があります。
-
DIGEST-MD5。これは、DIGEST-MD5 暗号化を備えた SASL を使用します。単純な認証と同様に、これには、バインド情報を提供するために
nsMultiplexorBindDn
属性とnsMultiplexorCredentials
属性が必要です。 GSSAPI.SASL 上で Kerberos ベースの認証を使用します。Directory Server は SASL/GS-API over TLS をサポートしていないため、ファームサーバーは標準ポートを介して接続する必要があります (URL には
ldap
が含まれる)。ファームサーバーは Kerberos キータブで設定する必要があるため、リモートサーバーには、そのファームサーバーのバインド ID に対して定義された SASL マッピングが必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
有効な値 | * empty * EXTERNAL * DIGEST-MD5 * GSSAPI |
デフォルト値 | 空 |
構文 | DirectoryString |
例 | nsBindMechanism: GSSAPI |
6.5.3.2. nsFarmServerURL
この属性は、リモートサーバーの LDAP URL を提供します。ファームサーバーは、1 つ以上のデータベースにデータを含むサーバーです。この属性には、空白で区切られた、フェイルオーバーのオプションサーバーを含めることができます。カスケードの変更を使用する場合、この URL は別のデータベースリンクを参照できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
有効な値 | 有効なリモートサーバーの LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsFarmServerURL: ldap://farm1.example.com farm2.example.com:389 farm3.example.com:1389/ |
6.5.3.3. nshoplimit
この属性は、データベースのチェーンが許可される最大回数を指定します。つまり、あるデータベースリンクから別のデータベースリンクにリクエストを転送できる回数です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
Valid Range | 1 からデプロイメントに適した上限 |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsHopLimit: 3 |
6.5.3.4. nsMultiplexorBindDN
この属性は、リモートサーバーとの通信に使用される管理エントリーの DN を指定します。multiplexor は、データベースリンクが含まれ、ファームサーバーと通信するサーバーです。このバインド DN をディレクトリーマネージャーにすることはできません。この属性が指定されていない場合、データベースリンクは anonymous
としてバインドされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
有効な値 | |
デフォルト値 | マルチプレクサーの DN |
構文 | DirectoryString |
例 | nsMultiplexerBindDN: cn=proxy manager |
6.5.3.5. nsMultiplexorCredentials
プレーンテキストで指定された管理ユーザーのパスワード。パスワードが指定されていない場合は、ユーザーが anonymous
バインドできることを意味します。パスワードは設定ファイルで暗号化されます。以下は、入力されている内容ではなく、表示される例です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
有効な値 | 有効なパスワード。これは、DES 取り消し可能なパスワード暗号化スキーマを使用して暗号化されます。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsMultiplexerCredentials: {DES} 9Eko69APCJfF |
6.5.3.6. nsUseStartTLS
この属性は、Start TLS を使用してセキュアでないポートでセキュアな暗号化された接続を開始するかどうかを設定します。この属性は、nsBindMechanism
属性が EXTERNAL
に設定されているが、ファームサーバーの URL が標準 URL (ldap
) に設定されている場合、または nsBindMechanism
属性が空のままの場合に使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
有効な値 | off | on |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsUseStartTLS: on |
6.5.4. cn=monitoring,cn=database_link_name,cn=chaining database,cn=plugins,cn=config 下のデータベースリンク属性
インスタンスでのアクティビティーの監視に使用される属性は、cn=monitor,cn=database instance name,cn=chaining database,cn=plugins,cn=config
情報ツリーに保存されます。
6.5.4.1. nsAbandonCount
この属性は、受信される破棄操作の数を示します。
6.5.4.2. nsAddCount
この属性は、受信される追加操作の数を示します。
6.5.4.3. nsBindCount
この属性は、受信されるバインド要求の数を指定します。
6.5.4.4. nsCompareCount
この属性は、受け取った比較操作の数を示します。
6.5.4.5. nsDeleteCount
この属性は、受信される削除操作の数を示します。
6.5.4.6. nsModifyCount
この属性は、受信される変更操作の数を示します。
6.5.4.7. nsOpenBindConnectionCount
この属性は、バインド操作用に開いている接続の数を指定します。
6.5.4.8. nsOperationConnectionCount
この属性は、通常の操作に対して開かれた接続の数を指定します。
6.5.4.9. nsRenameCount
この属性は、受信される名前変更操作の数を示します。
6.5.4.10. nsSearchBaseCount
この属性は、受信されるベースレベルの検索の数を示します。
6.5.4.11. nsSearchOneLevelCount
この属性は、受信される 1 レベルの検索の数を示します。
6.5.4.12. nsSearchSubtreeCount
この属性は、受信されるサブツリー検索の数を指定します。
6.5.4.13. nsUnbindCount
この属性は、受信されないバインド解除の数を指定します。
6.6. Referential Integrity プラグインの属性
Referential Integrity により、ディレクトリー内のエントリーに対して更新または削除操作を実行すると、削除または更新されたエントリーを参照するエントリーの情報もサーバーによって更新されます。たとえば、ユーザーのエントリーがディレクトリーから削除され、Referential Integrity が有効になると、サーバーはユーザーがメンバーとなるグループからユーザーも削除します。
6.6.1. nsslapd-pluginAllowReplUpdates
Referential Integrity は、非常にリソースを必要とする手順になる可能性があります。そのため、マルチサプライヤーレプリケーションを設定した場合に、Referential Integrity プラグインはデフォルトでレプリケートされた更新を無視します。ただし、Referential Integrity プラグインを有効にできない場合や、プラグインを使用できない場合があります。
たとえば、複製トポロジーのサプライヤーの 1 つが Active Directoryですが、Active Directory は Referential Integrity をサポートしていません (詳細は、Windows の同期 の章を参照)。このような場合、nsslapd-pluginAllowReplUpdates 属性を使用して、別のサプライヤーの Referential Integrity プラグインがレプリケートされた更新を処理できるようにすることができます。
マルチサプライヤーレプリケーショントポロジーでは、1 つのサプライヤーのみが nsslapd-pluginAllowReplUpdates
属性値を on
にする必要があります。そうしないと、レプリケーションエラーが発生する可能性があり、問題を解決するには完全な初期化が必要になります。一方、Referential Integrity プラグインは、可能な限りすべてのサプライで有効にしておく必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=referential integrity postoperation,cn=plugins,cn=config |
Valid Range | on/off |
デフォルト値 | off |
構文 | Boolean |
例 | nsslapd-pluginAllowReplUpdates: off |
第7章 スキーマ定義
ディレクトリースキーマは、ディレクトリーへのデータの保存方法を定義する一連のルールです。ディレクトリー情報は個別のエントリーに保存され、各エントリーは属性のセットとその値で設定されます。エントリーで説明されるアイデンティティーの種類は、エントリーのオブジェクトクラスで定義されます。オブジェクトクラスは、オブジェクトクラスの定義された属性セットでエントリーが記述するオブジェクトの種類を指定します。
基本的に、スキーマファイルは、作成できるエントリーの種類 (オブジェクトクラス) と、それらのエントリーを記述する方法 (属性) のリストです。スキーマは、オブジェクトクラスおよび属性を 定義 します。スキーマは、属性値に含まれる形式 (属性の 構文) と、その属性のインスタンスが 1 つだけであるかどうかも定義します。
追加のスキーマファイルを Directory Server 設定に追加してサーバーにロードできるため、スキーマはカスタマイズ可能であり、必要に応じて拡張できます。
スキーマ定義に文字数が多すぎると、Directory Server は起動に失敗します。これらの場所では、LDAP 標準で、NAME キーワードと属性タイプの名前など、ゼロまたは多数のスペースを使用できるようにするスペースを 1 つだけ使用します。
7.1. オブジェクトクラス
LDAP では、オブジェクトクラスはエントリーの定義に使用できる属性のセットを定義します。LDAP 標準仕様は、ユーザー (person
および inetOrgPerson
)、グループ (groupOfUniqueNames
)、場所 (locality
)、組織および部門 (organization
および organizationalUnit
)、および機器 (device
) など、多くの一般的なエントリーに対するオブジェクトクラスを提供します。
スキーマファイルでは、オブジェクトクラスは objectclasses
行によって識別され、その後 OID、名前、説明、その直接の上位オブジェクトクラス (オブジェクトクラスと使用する必要のあるオブジェクトクラス、およびそのオブジェクトクラスと属性を共有するのに必要なオブジェクトクラス)、および必須属性のリスト (MUST
) および許可される属性のリスト (MAY
) が続きます。次の例で、この点について説明します。
例7.1 個人のオブジェクトクラススキーマエントリー
objectClasses: ( 2.5.6.6 NAME 'person' DESC 'Standard LDAP objectclass' SUP top MUST ( sn $ cn ) MAY ( description $ seeAlso $ telephoneNumber $ userPassword ) X-ORIGIN 'RFC 2256' )
7.1.1. 必須および許可される属性
すべてのオブジェクトクラスは、多数の必須属性と許可される属性を定義します。必須属性は、指定されたオブジェクトクラスを使用するエントリーに存在する必要がありますが、許可された属性は許可されており、エントリーで使用できますが、エントリーが有効である必要はありません。
例7.1「個人のオブジェクトクラススキーマエントリー」 と同様に、person
オブジェクトクラスには cn
、sn
、および objectClass
属性が必要で、description
(seeAlso
、TelephoneNumber
、および userPassword
属性) を許可します。
すべてのエントリーには、エントリーに割り当てられたオブジェクトクラスをリスト表示する objectClass
属性が必要です。
7.1.2. オブジェクトクラスの継承
エントリーには、複数のオブジェクトクラスを含めることができます。たとえば、個人のエントリーは person
オブジェクトクラスで定義されますが、同じユーザーが inetOrgPerson
および organizationalPerson
オブジェクトクラスの属性で記述することもできます。
さらに、オブジェクトクラスは階層的に実行できます。オブジェクトクラスは、独自の必須属性と許可される属性に加えて、別のクラスから属性を継承できます。2 つ目のオブジェクトクラスは、最初のオブジェクトクラスの superior オブジェクトクラスです。
サーバーのオブジェクトクラス構造は、特定のエントリーに必要な属性と許可される属性のリストを決定します。たとえば、ユーザーのエントリーに inetOrgPerson
オブジェクトクラスが必要です。その場合、エントリーには、inetOrgPerson
と organizationalPerson
の上位オブジェクトクラスと、organizationalPerson
の上位オブジェクトクラスである person
も含める必要があります。
objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson
inetOrgPerson
オブジェクトクラスがエントリーに割り当てられている場合、エントリーは上位オブジェクトクラスから必要な属性および許可される属性を自動的に継承します。
7.2. 属性
ディレクトリーエントリーは、属性とその値で設定されます。これらのペアは、属性値表明 または AVA と呼ばれます。ディレクトリー内の情報には説明的な属性が関連付けられています。たとえば、cn
属性は、cn: John Smith
などのユーザーの氏名を保存するために使用されます。
追加の属性は、John Smith に関する補足情報を提供できます。
givenname: John surname: Smith mail: jsmith@example.com
スキーマファイルでは、属性は attributetypes
行で識別され、次に OID、名前、説明、構文 (値に使用できる形式)、任意で属性が単一の値または複数の値であるかどうか、および属性が定義されます。
次の例で、この点について説明します。
例7.2 説明属性スキーマエントリー
attributetypes: ( 2.5.4.13 NAME 'description' DESC 'Standard LDAP attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 X-ORIGIN 'RFC 2256' )
一部の属性は省略できます。これらの略語は、属性定義の一部としてリストされています。
attributetypes: ( 2.5.4.3 NAME ( 'cn' 'commonName'
) ...
7.2.1. Directory Server 属性の構文
属性の構文は、属性が許可する値の形式を定義します。他のスキーマ要素と同様に、構文は、スキーマファイルエントリーで構文の OID を使用して属性に対して定義されます。
Directory Server は、属性の構文を使用してエントリーでのソートとパターン一致を実行します。
LDAP 属性の構文に関する詳細は、RFC 4517 を参照してください。
表7.1 サポートされる LDAP 属性構文
名前 | OID | 定義 |
---|---|---|
Binary | 1.3.6.1.4.1.1466.115.121.1.5 | 非推奨:代わりに Octet 文字列を使用してください。 |
Bit String | 1.3.6.1.4.1.1466.115.121.1.6 |
|
Boolean | 1.3.6.1.4.1.1466.115.121.1.7 | 許可される値が TRUE または FALSE の 2 つしかない属性の場合。 |
国文字列 | 1.3.6.1.4.1.1466.115.121.1.11 | 正確に 2 つの印刷可能な文字列文字に制限されている値の場合。たとえば、米国の場合は米国です。 |
DN | 1.3.6.1.4.1.1466.115.121.1.12 | 識別名 (DN) である値の場合。 |
配信方法 | 1.3.6.1.4.1.1466.115.121.1.14 | 情報の配信やエンティティーへの問い合わせの推奨方法が含まれる値の場合。異なる値はドル記号 ($) で区切ります。以下に例を示します。 [literal,subs="+quotes",options="nowrap",role=white-space-pre] …. telephone $ physical …. |
ディレクトリー文字列 | 1.3.6.1.4.1.1466.115.121.1.15 | 有効な UTF-8 文字列である値の場合。これらの値は、大文字と小文字を区別する場合もあります。Directory String および関連する構文では、大文字と小文字の区別のないマッチングルールの両方を使用できます。 |
拡張されたガイド | 1.3.6.1.4.1.1466.115.121.1.21 | 属性およびフィルターに基づく、複雑な検索パラメーターが含まれる値の場合。 |
Facsimile | 1.3.6.1.4.1.1466.115.121.1.22 | ファックス番号を含む値の場合。 |
Fax | 1.3.6.1.4.1.1466.115.121.1.23 | 送信されるファックスのイメージを含む値の場合。 |
一般化時間 | 1.3.6.1.4.1.1466.115.121.1.24 | 印刷可能な文字列としてエンコードされる値の場合。タイムゾーンを指定する必要があります。GMT 時間を使用することを強く推奨します。 |
ガイド | 1.3.6.1.4.1.1466.115.121.1.25 | 廃止属性およびフィルターに基づく、複雑な検索パラメーターが含まれる値の場合。 |
IA5 String | 1.3.6.1.4.1.1466.115.121.1.26 | 有効な文字列である値の場合。これらの値は、大文字と小文字を区別する場合もあります。IA5 String および関連する構文では、大文字と小文字の区別のないマッチングルールの両方を使用できます。 |
整数 | 1.3.6.1.4.1.1466.115.121.1.27 | 整数の値。 |
JPEG | 1.3.6.1.4.1.1466.115.121.1.28 | イメージデータが含まれる値の場合。 |
名前および任意の UID | 1.3.6.1.4.1.1466.115.121.1.34 | DN と (オプションの) 一意の ID の組み合わせ値を含む値の場合。 |
数値文字列 | 1.3.6.1.4.1.1466.115.121.1.36 | 数値とスペースの両方の文字列を含む値の場合。 |
OctetString | 1.3.6.1.4.1.1466.115.121.1.40 | バイナリーの値の場合は、バイナリー構文が置き換えられます。 |
Object Class Description | 1.3.6.1.4.1.1466.115.121.1.37 | オブジェクトクラス定義を含む値の場合。 |
OID | 1.3.6.1.4.1.1466.115.121.1.38 | OID 定義を含む値の場合。 |
住所 | 1.3.6.1.4.1.1466.115.121.1.41 |
[literal,subs="+quotes",options="nowrap",role=white-space-pre] ….1234 Main St.$Raleigh, NC 12345$USA …. 各 dstring コンポーネントは DirectoryString の値としてエンコードされます。バックスラッシュとドル文字は引用符で囲まれるため、行の区切り文字では間違いはなくなりました。多くのサーバーは、ポストアドレスを最大 30 文字までの 6 行に制限します。 |
出力可能な文字列 | 1.3.6.1.4.1.1466.115.121.1.44 | 印刷可能な文字列を含む値の場合。 |
Space-Insensitive String | 2.16.840.1.113730.3.7.1 | スペースの区別のない文字列を含む値の場合: |
TelephoneNumber | 1.3.6.1.4.1.1466.115.121.1.50 | 電話番号の形式にある値国際形式で電話番号を使用することが推奨されます。 |
Teletex Terminal Identifier | 1.3.6.1.4.1.1466.115.121.1.51 | 国際電話番号が含まれる値の場合。 |
Telex Number | 1.3.6.1.4.1.1466.115.121.1.52 | テレックス端末のテレックス番号、国コード、および回答コードを含む値の場合。 |
URI |
|
7.2.2. 単一値および複数値の属性
デフォルトでは、ほとんどの属性は複数値です。つまり、エントリーに同じ属性を複数回追加できます。以下に例を示します。
dn: uid=jsmith,ou=marketing,ou=people,dc=example,dc=com ou: marketing ou: people
cn
属性、tel
属性、および objectclass
属性は、すべて複数の値を持つことができます。単一値である属性 (属性の 1 つのインスタンスのみを指定可能) は、単一の値のみを許可するようにスキーマに指定されます。たとえば、uidNumber
は使用可能な値は 1 つしかないため、スキーマエントリーには SINGLE-VALUE
という用語があります。属性が複数値の場合、値式はありません。
7.3. デフォルトの Directory Server スキーマファイル
Directory Server のテンプレートスキーマ定義は /etc/dirsrv/schema
ディレクトリーに保存されます。これらのデフォルトのスキーマファイルは、新しい Directory Server インスタンスのスキーマファイルを生成します。各サーバーインスタンスには、/etc/dirsrv/slapd- instance/schema
に独自のインスタンス固有のスキーマディレクトリーがあります。インスタンスディレクトリーのスキーマファイルは、そのインスタンスによってのみ使用されます。
ディレクトリースキーマを変更するには、インスタンス固有のスキーマディレクトリーに新しい属性と新しいオブジェクトクラスを作成します。デフォルトのスキーマは新規インスタンスの作成に使用され、各インスタンスには独自のスキーマファイルがあるため、各インスタンスの使用は若干異なるため、各インスタンスの使用を照合することができます。
LDAP コマンドを使用して追加されるカスタム属性は、99user.ldif
ファイルに保存されます。その他のカスタムスキーマファイルは、各インスタンスの /etc/dirsrv/slapd-instance/schema
ディレクトリーに追加できます。{PRODUCT} に付属している標準ファイルを変更しないでください。
表7.2 スキーマファイル
スキーマファイル | 目的 |
---|---|
00core.ldif | X.500 および LDAP 標準 (RFC) から推奨されるコアスキーマ。このスキーマは、インスタンス設定の Directory Server 自体で使用され、サーバーインスタンスを起動します。 |
01core389.ldif | X.500 および LDAP 標準 (RFC) から推奨されるコアスキーマ。このスキーマは、インスタンス設定の Directory Server 自体で使用され、サーバーインスタンスを起動します。 |
02common.ldif | エントリーを設定するために使用される Directory Server で定義された RFC 2256、LDAPv3、および標準スキーマの標準関連のスキーマ。 |
05rfc2927.ldif | RFC 2927 からのスキーマ MIME Directory Profile for LDAP Schema。 |
05rfc4523.ldif | X.509 証明書のスキーマ定義。 |
05rfc4524.ldif | LDAP/X.500 スキーマをコーディングします。 |
06inetorgperson.ldif | RFC 2798、RFC 2079、および RFC 1274 の一部からの inetOrgPerson スキーマ要素。 |
10rfc2307.ldif | RFC 2307 からのスキーマ LDAP をネットワーク情報サービスとして使用するためのアプローチ。 |
20subscriber.ldif | Directory Server-Nortel サブスクライバーの相互運用性の一般的なスキーマ要素。 |
25java-object.ldif | RFC 2713 のスキーマ Schema for Representing Java Objects in an LDAP Directory |
28pilot.ldif | パイロット RFC、特に RFC 1274 からのスキーマで、新しいデプロイメントでの使用は推奨されなくなりました。 |
30ns-common.ldif | 共通スキーマ。 |
50ns-admin.ldif | 管理サーバーで使用されるスキーマ。 |
50ns-certificate.ldif | Red Hat 証明書システムで使用されるスキーマ。 |
50ns-directory.ldif | レガシー Directory Server 4.x サーバーによって使用されるスキーマ。 |
50ns-mail.ldif | メールサーバーのスキーマ。 |
50ns-value.ldif | Directory Server のバリューアイテムのスキーマ。 |
50ns-web.ldif | Web サーバーのスキーマ。 |
60autofs.ldif | 自動マウント設定のオブジェクトクラス。これは、NIS サーバーに使用される複数のスキーマファイルの 1 つです。 |
60eduperson.ldif | 企業関連の人や組織エントリーのスキーマ要素。 |
60mozilla.ldif | Mozilla 関連のユーザープロファイルのスキーマ要素。 |
60nss-ldap.ldif | GSS-API サービス名のスキーマ要素。 |
60pam-plugin.ldif | ディレクトリーサービスを PAM モジュールと統合するためのスキーマ要素。 |
60pureftpd.ldif | FTP ユーザーアカウントを定義するためのスキーマ要素。 |
60rfc2739.ldif | カレンダーおよび vCard プロパティーのスキーマ要素。 |
60rfc3712.ldif | プリンターを設定するためのスキーマ要素。 |
60sabayon.ldif | sabayon ユーザーエントリーを定義するためのスキーマ要素。 |
60sudo.ldif | sudo ユーザーおよびロールを定義するためのスキーマ要素。 |
60trust.ldif | NSS または PAM の信頼関係を定義するためのスキーマ要素。 |
99user.ldif | カスタムスキーマ要素 |
7.4. オブジェクト識別子
すべてのスキーマ要素には、属性やオブジェクトクラスなど、オブジェクト識別子 (OID) が割り当てられます。OID は、通常はドットで区切られた文字列として記述される整数のシーケンスです。すべてのカスタム属性とクラスは、X.500 および LDAP 標準に準拠する必要があります。
スキーマ要素に OID が指定されていない場合、Directory Server はObjectClass_name-oid and attribute_name-oid を自動的に使用します。ただし、数値 OID の代わりにテキスト OID を使用すると、クライアント、サーバーの相互運用性、およびサーバーの動作に問題が発生する可能性があるため、数値 OID を割り当てることを強く推奨します。
OID をビルドできます。ベース OID は、組織のすべてのスキーマ要素に使用されるルート番号で、そこからスキーマ要素を増やすことができます。たとえば、ベース OID は 1
になります。その後、属性に 1.1
を使用するため、新しい属性の OID は 1.1.x
です。オブジェクトクラスに 1.2
を使用するため、新しいオブジェクトクラスの OID は 1.2.x
です。
Directory Server 定義のスキーマ要素では、ベース OID は以下のようになります。
-
Netscape のベース OID は
2.16.840.1.113730
です。 -
Directory Server のベース OID は
2.16.840.1.113730.3
です。 -
Netscape で定義されたすべての属性には、ベース
OID2.16.840.1.113370.3.1
があります。 -
Netscape で定義されたすべてのオブジェクトクラスには、基本
OID2.16.840.1.113730.3.2
があります。
OID に関する詳細や接頭辞を要求する場合は、Internet Assigned Number Authority (IANA) Web サイト (http://www.iana.org/) を参照してください。
7.5. スキーマの拡張
Directory Server スキーマには、ほとんどのディレクトリー要件を満たすために使用できる数百のオブジェクトクラスと属性が含まれています。このスキーマは、カスタムスキーマファイルを作成して、企業内のディレクトリーサービスの進化要件を満たす新しいオブジェクトクラスおよび属性で拡張できます。
スキーマに新しい属性を追加する場合、新しいオブジェクトクラスを作成してスキーマを含める必要があります。既存のオブジェクトクラスに新しい属性を追加すると、Directory Server と、標準の LDAP スキーマに依存する既存の LDAP クライアントとの互換性が損なわれ、サーバーのアップグレード時に問題が発生する可能性があります。
7.6. スキーマチェック
スキーマチェックとは、Directory Server が LDIF を使用してインポートされたデータベースで作成、変更、またはデータベースですべてのエントリーをチェックし、スキーマファイルのスキーマ定義に準拠しているかどうかを確認することです。スキーマチェックでは、次の 3 つのことを確認します。
- エントリーで使用されるオブジェクトクラスおよび属性はディレクトリースキーマで定義されます。
- オブジェクトクラスに必要な属性はエントリーに含まれます。
- オブジェクトクラスで使用できる属性のみがエントリーに含まれます。
スキーマチェックが有効になっている Directory Server を実行する必要があります。
7.7. 構文の検証
構文の検証 とは、Directory Server が属性の値が、その属性に必要な構文と一致することを確認することを意味します。たとえば、構文の検証では、新しい telephoneNumber
属性に、実際にその値に有効な電話番号が指定されていることを確認します。
基本設定では、構文検証 (スキーマチェックなど) により、ディレクトリーの変更がチェックされ、属性値が必要な構文と一致することが確認され、構文に違反する変更が拒否されます。オプションで、構文違反に関する警告メッセージをログに記録し、変更を拒否するか、変更プロセスを成功できるように構文の検証を設定できます。
すべての構文は、DN を除く RFC 4514 に対して検証されます。デフォルトでは、DN は RFC 1779 または RFC 2253 に対して検証されますが、RFC 4514 よりは厳格ではありません。DN の厳密な検証を明示的に設定する必要があります。
この機能は、バイナリー構文 (検証できない) および標準以外の構文 (定義された必要な形式がない) を除き、すべての属性構文を検証します。未検証 の構文は以下のとおりです。
- Fax (バイナリー)
- OctetString (binary)
- JPEG (バイナリー)
- バイナリー (標準以外)
- スペースに依存しない文字列 (非標準)
- URI (標準以外)
構文検証が有効になっている場合、属性がエントリーに追加または変更されるたびに、新しい 属性値がチェックされます。(構文はサプライヤーサーバーでチェックされているため、これには レプリケーション の変更は含まれません。)
第8章 エントリー属性の参照
この参照にリストされている属性は、手動で割り当てたり、ディレクトリーエントリーで利用したりできます。属性は、定義、構文、および OID を使用してアルファベット順にリスト表示されます。
8.1. abstract
abstract
属性には、ドキュメントエントリーの抽象が含まれます。
OID | 0.9.2342.19200300.102.1.9 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.2. accessTo
この属性は、ユーザーがアクセスできる特定のホストまたはサーバーを定義します。
OID | 5.3.6.1.1.1.1.1 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | nss_ldap/pam_ldap |
8.3. accountInactivityLimit
accountInactivityLimit
属性は、アカウントの最後のログイン時刻から、そのアカウントが非アクティブであるためにロックされるまでの期間を秒単位で設定します。
OID | 1.3.6.1.4.1.11.1.3.2.1.3 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.4. acctPolicySubentry
acctPolicySubentry
属性は、アカウントポリシー (具体的には、アカウントロックアウトポリシー) に属するすべてのエントリーを識別します。この属性の値は、エントリーに適用されるアカウントポリシーを参照します。
これは、個別のユーザーエントリーまたは CoS テンプレートエントリーまたはロールエントリーに設定できます。
OID | 1.3.6.1.4.1.11.1.3.2.1.2 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.5. administratorContactInfo
この属性には、LDAP またはサーバー管理者の連絡先情報が含まれます。
OID | 2.16.840.1.113730.3.1.74 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.6. adminRole
この属性には、エントリーで特定されたユーザーに割り当てられたロールが含まれます。
OID | 2.16.840.1.113730.3.1.601 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape 管理サービス |
8.7. adminUrl
この属性には、管理サーバーの URL が含まれます。
OID | 2.16.840.1.113730.3.1.75 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.8. aliasedObjectName
aliasedObjectName
属性は、エイリアスエントリーを識別するために Directory Server によって使用されます。この属性には、このエントリーがエイリアスであるエントリーの DN (識別名) が含まれます。以下に例を示します。
aliasedObjectName: uid=jdoe,ou=people,dc=example,dc=com
OID | 2.5.4.1 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 |
8.9. associatedDomain
associatedDomain
属性には、ディレクトリーツリーのエントリーに関連付けられた DNS ドメインが含まれます。たとえば、識別名 c=US,o=Example Corporation
のエントリーは、EC.US
の関連するドメインを持ちます。これらのドメインは RFC 822 の順序で表す必要があります。
associatedDomain:US
OID | 0.9.2342.19200300.100.1.37 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.10. associatedName
associatedName
は、DNS ドメインに関連付けられた組織ディレクトリーツリーエントリーを識別します。以下に例を示します。
associatedName: c=us
OID | 0.9.2342.19200300.100.1.38 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.11. attributeTypes
この属性は、subschema 内で定義される属性を特定するためにスキーマファイルで使用されます。
OID | 2.5.21.5 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.12. audio
audio
属性には、バイナリー形式を使用したサウンドファイルが含まれます。この属性は、u-law
でエンコードされたサウンドデータを使用します。以下に例を示します。
audio:: AAAAAA==
OID | 0.9.2342.19200300.100.1.55 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.13. authorCn
authorCn
属性には、ドキュメントの作成者の共通名が含まれます。以下に例を示します。
authorCn: John Smith
OID | 0.9.2342.19200300.102.1.11 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.14. authorityRevocationList
authorityRevocationList
属性には、失効した CA 証明書のリストが含まれます。この属性は要求され、authorityRevocationList;binary
などのバイナリー形式で保存する必要があります。以下に例を示します。
authorityrevocationlist;binary:: AAAAAA==
OID | 2.5.4.38 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.15. authorSn
authorSn
属性には、ドキュメントエントリーの作成者の名前またはファミリー名が含まれます。以下に例を示します。
authorSn: Smith
OID | 0.9.2342.19200300.102.1.12 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.16. automountInformation
この属性には、autofs 自動マウント機能が使用する情報が含まれます。
automountInformation
属性は、Directory Server の 60autofs.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、60autofs.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.33 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.17. bootFile
この属性には、ブートイメージのファイル名が含まれます。
bootFile
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.24 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.18. bootParameter
この属性には、rpc.bootparamd
の値が含まれます。
bootParameter
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.23 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.19. buildingName
buildingName
属性には、エントリーに関連付けられたビルド名が含まれます。以下に例を示します。
buildingName: 14
OID | 0.9.2342.19200300.100.1.48 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.20. businessCategory
businessCategory
属性は、エントリーが関与するビジネスのタイプを特定します。属性の値は、企業部門レベルなどの幅広い一般化である必要があります。以下に例を示します。
businessCategory: Engineering
OID | 2.5.4.15 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.21. cACertificate
cACertificate
属性には CA 証明書が含まれます。属性は要求され、cACertificate;binary
などのバイナリー形式を保存する必要があります。以下に例を示します。
cACertificate;binary:: AAAAAA==
OID | 2.5.4.37 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.22. c
countryName
または c
の属性には、国名を表す 2 文字の国コードが含まれます。国コードは ISO によって定義されています。以下に例を示します。
countryName: GB c: US
OID | 2.5.4.6 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.23. carLicense
carLicense
属性には、エントリーの automobile ライセンス plate 番号が含まれます。以下に例を示します。
carLicense: 6ABC246
OID | 2.16.840.1.113730.3.1.1 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.24. certificateRevocationList
certificateRevocationList
属性には、失効したユーザー証明書のリストが含まれます。属性値は、certificateACertificate;binary
として要求され、バイナリー形式で保存されます。以下に例を示します。
certificateRevocationList;binary:: AAAAAA==
OID | 2.5.4.39 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.25. cn
commonName
属性にはエントリーの名前が含まれます。ユーザーエントリーの場合、cn
属性は通常ユーザーのフルネームです。以下に例を示します。
commonName: John Smith cn: Bill Anderson
LDAPReplica
または LDAPServerobject
オブジェクトクラスを使用すると、cn
属性の値の形式は以下のようになります。
cn: replicater.example.com:17430/dc%3Dexample%2Cdc%3com
OID | 2.5.4.3 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.26. co
friendlyCountryName
属性には国名が含まれます。これには任意の文字列を使用できます。多くの場合、country
は ISO デザインされた 2 文字の国コードと共に使用され、co
属性には読み取り可能な国名が含まれます。以下に例を示します。
friendlyCountryName: Ireland co: Ireland
OID | 0.9.2342.19200300.100.1.43 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.27. cosAttribute
cosAttribute
には、CoS の値を生成する属性の名前が含まれます。複数の cosAttribute
値を指定できます。この属性は、すべてのタイプの CoS 定義エントリーによって使用されます。
OID | 2.16.840.1.113730.3.1.550 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.28. cosIndirectSpecifier
cosIndirectSpecifier
は、テンプレートエントリーを識別するために間接 CoS によって使用される属性値を指定します。
OID | 2.16.840.1.113730.3.1.577 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.29. cosPriority
cosPriority
属性は、CoS テンプレートが属性値を提供するために競合するときに属性値を提供するテンプレートを指定します。この属性は、テンプレートのグローバルの優先度を表します。0 の優先度が最も優先されます。
OID | 2.16.840.1.113730.3.1.569 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.30. cosSpecifier
cosSpecifier
属性には、従来の CoS で使用される属性値が含まれており、テンプレートエントリーの DN とテンプレートエントリーを特定します。
OID | 2.16.840.1.113730.3.1.551 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.31. cosTargetTree
cosTargetTree
属性は、CoS スキーマが適用されるサブツリーを定義します。スキーマと複数の CoS スキーマのこの属性の値は、任意にターゲットツリーと重複する可能性があります。
OID | 2.16.840.1.113730.3.1.552 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.32. cosTemplateDn
cosTemplateDn
属性には、共有属性値のリストが含まれるテンプレートエントリーの DN が含まれます。テンプレートエントリー属性値への変更は、CoS の範囲内のすべてのエントリーに自動的に適用されます。1 つの CoS に、複数のテンプレートエントリーが関連付けられている場合があります。
OID | 2.16.840.1.113730.3.1.553 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.33. crossCertificatePair
crossCertificatePair
属性の値は要求され、certificateCertificateRepair;binary
などのバイナリー形式で保存する必要があります。以下に例を示します。
crossCertificatePair;binary:: AAAAAA==
OID | 2.5.4.40 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.34. dc
dc
属性には、ドメイン名の 1 つのコンポーネントが含まれます。以下に例を示します。
dc: example domainComponent: example
OID | 0.9.2342.19200300.100.1.25 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.35. deltaRevocationList
deltaRevocationList
属性には、証明書失効リスト (CRL) が含まれます。属性の値を要求し、deltaRevocationList;binary
などのバイナリー形式で保存されます。
OID | 2.5.4.53 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.36. departmentNumber
departmentNumber
属性には、エントリーの部門番号が含まれます。以下に例を示します。
departmentNumber: 2604
OID | 2.16.840.1.113730.3.1.2 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.37. description
description
属性は、人間が判読可能なエントリーの説明を提供します。person
または organization
のオブジェクトクラスの場合は、エントリーのロールや作業割り当てに使用することができます。以下に例を示します。
description: Quality control inspector for the ME2873 product line.
OID | 2.5.4.13 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.38. destinationIndicator
destinationIndicator
属性には、エントリーに関連付けられた city および country が含まれます。この属性は、パブリックの telegram サービスを提供するために必要なばかりで、通常 registeredAddress
属性とともに使用されます。以下に例を示します。
destinationIndicator: Stow, Ohio, USA
OID | 2.5.4.27 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.39. displayName
displayName
属性には、そのユーザーのエントリーを表示するときに使用するユーザーの優先名が含まれます。これは、1 行のサマリーリストにエントリーの推奨名を表示する場合に特に便利です。cn
などの他の属性タイプは多値であるため、優先される名前を表示するために使用できません。以下に例を示します。
displayName: John Smith
OID | 2.16.840.1.113730.3.1.241 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.40. dITRedirect
dITRedirect
属性は、1 つのエントリーによって記述されたオブジェクトにディレクトリーツリー内の新しいエントリーがあることを示します。この属性は、個別の作業の場所が変更され、個人が新しい組織 DN を取得する場合に使用できます。
dITRedirect: cn=jsmith,dc=example,dc=com
OID | 0.9.2342.19200300.100.1.54 |
構文 | DN |
定義される場所 |
8.41. dmdName
dmdName
属性値は、Directory Server を操作する管理機関であるディレクトリー管理ドメイン (DMD) を指定します。
OID | 2.5.4.54 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.42. dn
dn
属性には、エントリーの識別名が含まれます。以下に例を示します。
dn: uid=Barbara Jensen,ou=Quality Control,dc=example,dc=com
OID | 2.5.4.49 |
構文 | DN |
定義される場所 |
8.43. dNSRecord
dNSRecord
属性には、A(Address)、タイプ A (Mail Exchange)、タイプ NS(Name Server)、タイプ SOA (Start of Authority) リソースレコードなどの DNS リソースレコードが含まれます。以下に例を示します。
dNSRecord: IN NS ns.uu.net
OID | 0.9.2342.19200300.100.1.26 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | インターネットディレクトリーパイロット |
8.44. documentAuthor
documentAuthor
属性には、ドキュメントエントリーの作成者の DN が含まれます。以下に例を示します。
documentAuthor: uid=Barbara Jensen,ou=People,dc=example,dc=com
OID | 0.9.2342.19200300.100.1.14 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.45. documentIdentifier
documentIdentifier
属性には、ドキュメントの一意の識別子が含まれます。以下に例を示します。
documentIdentifier: L3204REV1
OID | 0.9.2342.19200300.100.1.11 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.46. documentLocation
documentLocation
属性には、ドキュメントの元のバージョンの場所が含まれます。以下に例を示します。
documentLocation: Department Library
OID | 0.9.2342.19200300.100.1.15 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.47. documentPublisher
documentPublisher
属性には、ドキュメントを公開した個人または組織が含まれます。以下に例を示します。
documentPublisher: Southeastern Publishing
OID | 0.9.2342.19200300.100.1.56 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.48. documentStore
documentStore
属性には、ドキュメントが保存される場所に関する情報が含まれます。
OID | 0.9.2342.19200300.102.1.10 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.49. documentTitle
documentTitle
属性には、ドキュメントのタイトルが含まれます。以下に例を示します。
documentTitle: Installing Red Hat Directory Server
OID | 0.9.2342.19200300.100.1.12 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.50. documentVersion
documentVersion
属性には、ドキュメントの現在のバージョン番号が含まれます。以下に例を示します。
documentVersion: 1.1
OID | 0.9.2342.19200300.100.1.13 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.51. drink
favouriteDrink
属性には、人物のお気に入りの方が含まれます。これは、drink
に短縮できます。以下に例を示します。
favouriteDrink: iced tea drink: cranberry juice
OID | 0.9.2342.19200300.100.1.5 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.52. dSAQuality
dSAQuality
属性には、ディレクトリーシステムエージェント (DSA) の品質の評価が含まれます。この属性により、DSA マネージャーは DSA の予想される可用性レベルを示します。以下に例を示します。
dSAQuality: high
OID | 0.9.2342.19200300.100.1.49 |
構文 | Directory-String |
多値または単一値 | 単一値 |
定義される場所 |
8.53. employeeNumber
employeeNumber
属性には、対象の個人の従業員番号が含まれます。以下に例を示します。
employeeNumber: 3441
OID | 2.16.840.1.113730.3.1.3 |
構文 | Directory-String |
多値または単一値 | 単一値 |
定義される場所 |
8.54. employeeType
employeeType
属性には、個人の勤務タイプが含まれます。以下に例を示します。
employeeType: Full time
OID | 2.16.840.1.113730.3.1.4 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.55. enhancedSearchGuide
enhancedSearchGuide
属性には、検索フィルターを構築する X.500 クライアントによって使用される情報が含まれます。以下に例を示します。
enhancedSearchGuide: (uid=bjensen)
OID | 2.5.4.47 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.56. ファックス
facsimileTelephoneNumber
属性にはエントリーの facsimile 番号が含まれます。この属性は fax
として省略できます。以下に例を示します。
facsimileTelephoneNumber: +1 415 555 1212 fax: +1 415 555 1212
OID | 2.5.4.23 |
構文 | TelephoneNumber |
多値または単一値 | 複数値 |
定義される場所 |
8.57. gecos
gecos
属性は、ユーザーの GECOS フィールドを判別するために使用されます。これは cn
属性と類似していますが、gecos
属性を使用すると、共通名とは別の GECOS フィールドに追加情報を埋め込むことができます。また、このフィールドは、ディレクトリーに保存されている共通名がユーザーのフルネームではない場合にも便利です。
gecos: John Smith
gecos
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.2 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.58. generationQualifier
generationQualifier
属性には、人の名前の生成修飾子が含まれます。これは通常、名前に接尾辞として追加されます。以下に例を示します。
generationQualifier:III
OID | 2.5.4.44 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.59. gidNumber
gidNumber
属性には、グループエントリーの一意の数値識別子が含まれるか、ユーザーエントリーのグループを特定します。これは Unix のグループ番号に似ています。
gidNumber: 100
gidNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.1 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.60. givenName
givenName
属性には、エントリーの指定された名前 (通常は名) が含まれます。以下に例を示します。
givenName: Rachel
OID | 2.5.4.42 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.61. homeDirectory
homeDirectory
属性には、ユーザーのホームディレクトリーへのパスが含まれます。
homeDirectory: /home/jsmith
homeDirectory
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.3 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
8.62. homePhone
homePhone
属性には、エントリーの常駐電話番号が含まれます。以下に例を示します。
homePhone: 415-555-1234
RFC 1274 は homeTelephoneNumber
と homePhone
の両方を residential phone number 属性の名前として定義しますが、Directory Server は homePhone
名のみを実装します。
OID | 0.9.2342.19200300.100.1.20 |
構文 | TelephoneNumber |
多値または単一値 | 複数値 |
定義される場所 |
8.63. homePostalAddress
homePostalAddress
属性には、エントリーのホームメーリングリストが含まれます。この属性は通常複数行にまたがるため、各行破損はドル記号 ($
) で表す必要があります。属性値の実際のドル記号 ($
) またはバックスラッシュ (\
) を表すには、エスケープされた 16 進値 \24
と \5c
を使用します。以下に例を示します。
homePostalAddress: 1234 Ridgeway Drive$Santa Clara, CA$99555
以下の文字列を表すには、以下を実行します。
The dollar ($) value can be found in the c:\cost file.
エントリーの値は以下のようになります。
The dollar (\24) value can be found$in the c:\c5cost file.
OID | 0.9.2342.19200300.100.1.39 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.64. host
host
にはコンピューターのホスト名が含まれます。以下に例を示します。
host: labcontroller01
OID | 0.9.2342.19200300.100.1.9 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.65. houseIdentifier
houseIdentifier
には、ロケーションに特定のビルディング用の識別子が含まれています。以下に例を示します。
houseIdentifier: B105
OID | 2.5.4.51 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.66. inetDomainBaseDN
この属性は、DNS ドメインのユーザーサブツリーのベース DN を識別します。
OID | 2.16.840.1.113730.3.1.690 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | サブスクライバーの相互運用性 |
8.67. inetDomainStatus
この属性は、ドメインの現在の状態を表示します。ドメインのステータスは active
、inactive
、または deleted
になります。
OID | 2.16.840.1.113730.3.1.691 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | サブスクライバーの相互運用性 |
8.68. inetSubscriberAccountId
この属性には、サブスクライバーのユーザーエントリーを請求システムにリンクするために使用される一意の属性が含まれます。
OID | 2.16.840.1.113730.3.1.694 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | サブスクライバーの相互運用性 |
8.69. inetSubscriberChallenge
inetSubscriberChallenge
属性には、 subscriberIdentity
属性でユーザーの ID を確認するために使用される、ある種の質問またはプロンプト、チャレンジフレーズが含まれています。この属性は、チャレンジへの応答が含まれる inetSubscriberResponse
属性とともに使用されます。
OID | 2.16.840.1.113730.3.1.695 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | サブスクライバーの相互運用性 |
8.70. inetSubscriberResponse
inetSubscriberResponse
属性には、SubscriberChallenge
属性のチャレンジ質問への回答が含まれており、inetSubscriberChallenge
属性のユーザーを確認します。
OID | 2.16.840.1.113730.3.1.696 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | サブスクライバーの相互運用性 |
8.71. inetUserHttpURL
この属性には、ユーザーに関連付けられた Web アドレスが含まれます。
OID | 2.16.840.1.113730.3.1.693 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | サブスクライバーの相互運用性 |
8.72. inetUserStatus
この属性は、ユーザーの現在の状態 (subscriber) を表示します。ユーザーは、active
、inactive
、または deleted
のステータスがあります。
OID | 2.16.840.1.113730.3.1.692 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | サブスクライバーの相互運用性 |
8.73. info
info
属性には、オブジェクトに関する一般情報が含まれます。特定の情報にこの属性を使用せず、代わりに特定のカスタム属性タイプに依存します。以下に例を示します。
info: not valid
OID | 0.9.2342.19200300.100.1.4 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.74. initials
initials
には ユーザーの最初のものが含まれます。これにはエントリーのラスト名は含まれません。以下に例を示します。
initials: BAJ
Directory Server と Active Directory は initials
属性を異なる方法で処理します。Directory Server では、実際には文字数が無制限になりますが、Active Directory では文字数が 6 文字に制限されます。エントリーが Windows ピアと同期され、initial
属性の値が 6 文字より長い場合、同期時に値は自動的に 6 文字に切り捨てられます。エラーログに書き込まれ、同期によって属性値が変更されたことを示す情報はありません。
OID | 2.5.4.43 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.75. installationTimeStamp
これには、サーバーインスタンスがインストールされた時間が含まれます。
OID | 2.16.840.1.113730.3.1.73 |
構文 | DirectoryString |
多値または単一値 | 多値 |
定義される場所 | Netscape 管理サービス |
8.76. internationalISDNNumber
internationalISDNNumber
属性には、ドキュメントエントリーの ISDN 番号が含まれます。この属性は、CCITT Rec で指定される ISDN アドレスに国際化された形式を使用します。E.164.
OID | 2.5.4.25 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.77. ipHostNumber
これには、サーバーの IP アドレスが含まれます。
ipHostNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.19 |
構文 | DirectoryString |
多値または単一値 | 多値 |
定義される場所 |
8.78. ipNetmaskNumber
これには、サーバーの IP ネットマスクが含まれます。
ipHostNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 2.16.840.1.113730.3.1.73 |
構文 | DirectoryString |
多値または単一値 | 多値 |
定義される場所 |
8.79. ipNetworkNumber
これにより、IP ネットワークが識別されます。
ipNetworkNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.20 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.80. ipProtocolNumber
この属性は、IP プロトコルのバージョン番号を識別します。
ipProtocolNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.17 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.81. ipServicePort
この属性は、IP サービスによって使用されるポートを提供します。
ipServicePort
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.15 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.82. ipServiceProtocol
これは、IP サービスによって使用されるプロトコルを特定します。
ipServiceProtocol
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.16 |
構文 | DirectoryString |
多値または単一値 | 多値 |
定義される場所 |
8.83. janetMailbox
janetMailbox
には JANET メールアドレスが含まれます。通常、RFC 822 メールアドレスを使用しない米国の Kingdom にあるユーザー向けです。この属性が含まれるエントリーには、rfc822Mailbox
属性が含まれる必要もあります。
OID | 0.9.2342.19200300.100.1.46 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.84. jpegPhoto
jpegPhoto
属性には、バイナリー値である JPEG 写真が含まれます。以下に例を示します。
jpegPhoto:: AAAAAA==
OID | 0.9.2342.19200300.100.1.60 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.85. keyWords
keyWord
属性には、エントリーに関連付けられたキーワードが含まれます。以下に例を示します。
keyWords: directory LDAP X.500
OID | 0.9.2342.19200300.102.1.7 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.86. knowledgeInformation
この属性は使用されなくなりました。
OID | 2.5.4.2 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.87. labeledURI
labeledURI
には、エントリーに関連する URI (Uniform Resource Identifier) が含まれます。属性に配置される値は、URI (現在、URL のみがサポートされています) で設定され、オプションで 1 つ以上のスペース文字とラベルが続く必要があります。
labeledURI: http://home.example.com labeledURI: http://home.example.com Example website
OID | 1.3.6.1.4.1.250.1.57 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.88. l
localityName
または l
の属性には、エントリーに関連する county、city、またはその他の地理的な指定が含まれます。以下に例を示します。
localityName: Santa Clara l: Santa Clara
OID | 2.5.4.7 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.89. loginShell
loginShell
属性には、ユーザーがドメインにログインする際に自動的に起動するスクリプトへのパスが含まれます。
loginShell: c:\scripts\jsmith.bat
loginShell
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.4 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
8.90. macAddress
この属性は、サーバーまたは機器の MAC アドレスを提供します。
macAddress
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.22 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.91. mailAccessDomain
この属性は、ユーザーがメッセージングサーバーにアクセスするために使用できるドメインをリスト表示します。
OID | 2.16.840.1.113730.3.1.12 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.92. mail
mail
属性には、ユーザーのプライマリーメールアドレスが含まれます。この属性値は、ホワイトページアプリケーションによって取得され、表示されます。以下に例を示します。
mail: jsmith@example.com
OID | 0.9.2342.19200300.100.1.3 |
構文 | DirectyString |
多値または単一値 | 単一値 |
定義される場所 |
8.93. mailAlternateAddress
mailAlternateAddress
属性には、ユーザーの追加のメールアドレスが含まれます。この属性は、デフォルトまたはプライマリーメールアドレスを反映しません。メールアドレスは mail
属性で設定されます。
以下に例を示します。
mailAlternateAddress: jsmith@example.com mailAlternateAddress: smith1701@alt.com
OID | 2.16.840.1.113730.3.1.13 |
構文 | DirectyString |
多値または単一値 | 複数値 |
定義される場所 |
8.94. mailAutoReplyMode
この属性は、メッセージングサーバーに対して自動応答を有効にするかどうかを設定します。
OID | 2.16.840.1.113730.3.1.14 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.95. mailAutoReplyText
この属性は、自動リプライメールで使用されるテキストを保存します。
OID | 2.16.840.1.113730.3.1.15 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.96. mailDeliveryOption
この属性は、メールユーザーに使用するメール配信メカニズムを定義します。
OID | 2.16.840.1.113730.3.1.16 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.97. mailEnhancedUniqueMember
この属性には、メールグループの一意のメンバーの DN が含まれます。
OID | 2.16.840.1.113730.3.1.31 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.98. mailForwardingAddress
この属性には、ユーザーのメールを転送するメールアドレスが含まれます。
OID | 2.16.840.1.113730.3.1.17 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.99. mailHost
mailHost
属性には、メールサーバーのホスト名が含まれます。以下に例を示します。
mailHost: mail.example.com
OID | 2.16.840.1.113730.3.1.18 |
構文 | DirectyString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.100. mailMessageStore
これは、ユーザーのメールボックスの場所を特定します。
OID | 2.16.840.1.113730.3.1.19 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.101. mailPreferenceOption
mailPreferenceOption
は、電子と物理的なメーリングリストにユーザーを含めるかどうかを定義します。3 つのオプションがあります。
0 | メーリングリストには表示されません。 |
1 | メーリングリストに追加します。 |
2 | ユーザーの興味のあるプロバイダービューをメーリングリストにのみ追加。 |
属性が存在しない場合、デフォルトでは、ユーザーはどのメーリングリストにも含まれていないと見なされます。この属性は、ディレクトリーを使用してメーリングリストを取得し、その値を引き継ぐことで解釈する必要があります。以下に例を示します。
mailPreferenceOption: 0
OID | 0.9.2342.19200300.100.1.47 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.102. mailProgramDeliveryInfo
この属性には、プログラムメール配信に使用するコマンドが含まれます。
OID | 2.16.840.1.113730.3.1.20 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.103. mailQuota
この属性は、ユーザーのメールボックスに許可されるディスク領域を設定します。
OID | 2.16.840.1.113730.3.1.21 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.104. mailRoutingAddress
この属性には、ユーザーが受信した電子メールを別のメッセージングサーバーに転送するときに使用するルーティングアドレスが含まれます。
OID | 2.16.840.1.113730.3.1.24 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.105. manager
manager
には、その人のマネージャーの識別名 (DN) が含まれています。以下に例を示します。
manager: cn=Bill Andersen,ou=Quality Control,dc=example,dc=com
OID | 0.9.2342.19200300.100.1.10 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.106. member
member
属性には、グループの各メンバーの識別名 (DN) が含まれます。以下に例を示します。
member: cn=John Smith,dc=example,dc=com
OID | 2.5.4.31 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.107. memberCertificateDescription
この属性は多値属性で、各値は、証明書のサブジェクト DN に一致する説明、パターン、または TLS クライアント認証に使用される証明書に一致するフィルターになります。
memberCertificateDescription
は、説明と同じ属性値アサーション (AVA) を持つサブジェクト DN を含むすべての証明書と一致します。説明は、複数の ou
の AVA を含めることができます。一致する DN には、同じ ou
AVA が同じ順序で含まれている必要がありますが、他の ouAVA
を含む他の AVA が散在している場合があります。他の属性タイプ (ou
以外) の場合、説明にはそのタイプの AVA が最大で 1 つ含まれている必要があります。複数の場合、最後のものはすべて無視されます。
一致する DN には、同じ AVA が含まれている必要がありますが、ルートの近くにある同じタイプの他の AVA は含まれていません (後で構文的に)。
AVA に同じ属性の説明 (大文字と小文字を区別しない比較) と同じ属性値 (大文字と小文字を区別しない比較、先頭と末尾の空白は無視され、連続する空白文字は単一のスペースとして扱われる) が含まれている場合、AVA は同じと見なされます。
次の memberCertificateDescription
値を持つグループのメンバーと見なされるには、証明書に ou=x
、ou=A
、および dc=example
が含まれている必要がありますが、dc=company
は含まれていません。
memberCertificateDescription: {ou=x,ou=A,dc=company,dc=example}
グループの要件と一致させるには、証明書のサブジェクト DN には memberCertificateDescription
属性で定義された順序で同じ ou
属性タイプが含まれている必要があります。
OID | 2.16.840.1.113730.3.1.199 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.108. memberNisNetgroup
この属性は、マージ netgroup の名前をリスト表示することで、別の netgroup の属性値を現在の値にマージします。
memberNisNetgroup
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.13 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.109. memberOf
この属性には、ユーザーがメンバーであるグループ名が含まれます。
memberOf
は、グループメンバーのユーザーエントリーの MemberOf プラグインによって生成されたデフォルトの属性です。この属性は、グループエントリーに記載されている member
属性に自動的に同期されるため、エントリーのグループメンバーシップを表示することは Directory Server によって管理されます。
この属性は、MemberOf プラグインが有効で、この属性を使用するように設定されている場合、グループエントリーと対応するメンバーのユーザーエントリー間で同期されます。
OID | 1.2.840.113556.1.2.102 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Netscape 委譲管理者 |
8.110. memberUid
memberUid
属性には、グループのメンバーのログイン名が含まれます。これは、member
属性で特定された DN とは異なる場合があります。
memberUID: jsmith
memberUID
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.12 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
8.111. memberURL
この属性は、グループの各メンバーに関連付けられた URL を識別します。ラベル付きの URL の任意のタイプを使用できます。
memberURL: ldap://cn=jsmith,ou=people,dc=example,dc=com
OID | 2.16.840.1.113730.3.1.198 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.112. mepManagedBy
この属性には、送信元エントリーの DN を参照する自動生成されるエントリーのポインターが含まれます。この属性はマネージドエントリープラグインによって設定され、手動で変更することはできません。
OID | 2.16.840.1.113730.3.1.2086 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.113. mepManagedEntry
この属性には、現在のエントリー に 対応する自動生成されたエントリーへのポインターが含まれます。この属性はマネージドエントリープラグインによって設定され、手動で変更することはできません。
OID | 2.16.840.1.113730.3.1.2087 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.114. mepMappedAttr
この属性は、生成されたエントリーに存在する必要がある Managed Entries テンプレートエントリーに属性を設定します。マッピング は、元のエントリーの値の一部が指定の属性を指定するために使用されます。これらの属性の値は、attribute: $attr のトークンになります。以下に例を示します。
mepMappedAttr: gidNumber: $gidNumber
属性の拡張トークンの構文が必要な属性構文に違反しない限り、他の用語や文字列を属性で使用できます。以下に例を示します。
mepMappedAttr: cn: Managed Group for $cn
OID | 2.16.840.1.113730.3.1.2089 |
構文 | OctetString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.115. mepRDNAttr
この属性は、マネージドエントリープラグインによって作成された自動生成エントリーの命名属性として使用する属性を設定します。命名属性で指定されている属性 型 はすべて、マネージドエントリーのテンプレートエントリーに mepMappedAttr
として存在する必要があります。
OID | 2.16.840.1.113730.3.1.2090 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
8.116. mepStaticAttr
この属性は、Managed Entries プラグインによって管理される自動生成されたエントリーに追加する必要がある定義された値を持つ属性を設定します。この値は、Managed Entries プラグインのそのインスタンスが生成するすべてのエントリーに使用されます。
mepStaticAttr: posixGroup
OID | 2.16.840.1.113730.3.1.2088 |
構文 | OctetString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.117. mgrpAddHeader
この属性には、メッセージのヘッダーに関する情報が含まれます。
OID | 2.16.840.1.113730.3.1.781 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.118. mgrpAllowedBroadcaster
この属性は、ユーザーがブロードキャストメッセージを送信できるようにするかどうかを設定します。
OID | 2.16.840.1.113730.3.1.22 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.119. mgrpAllowedDomain
この属性は、メールグループのドメインを設定します。
OID | 2.16.840.1.113730.3.1.23 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.120. mgrpApprovePassword
この属性は、メールへのアクセスに使用されるパスワードを承認する必要があるかどうかを設定します。
OID | mgrpApprovePassword-oid |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | Netscape Messaging Server |
8.121. mgrpBroadcasterPolicy
この属性は、メールをブロードキャストするポリシーを定義します。
OID | 2.16.840.1.113730.3.1.788 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.122. mgrpDeliverTo
この属性には、電子メールの配信先に関する情報が含まれます。
OID | 2.16.840.1.113730.3.1.25 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.123. mgrpErrorsTo
この属性には、メッセージングサーバーのエラーメッセージを配信する場所に関する情報が含まれます。
OID | 2.16.840.1.113730.3.1.26 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | Netscape Messaging Server |
8.124. mgrpModerator
この属性には、メーリングリストの連絡先名が含まれます。
OID | 2.16.840.1.113730.3.1.33 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.125. mgrpMsgMaxSize
この属性は、電子メールメッセージに許可される最大サイズを設定します。
OID | 2.16.840.1.113730.3.1.32 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape Messaging Server |
8.126. mgrpMsgRejectAction
この属性は、メッセージングサーバーが拒否されたメッセージに対して実行するアクションを定義します。
OID | 2.16.840.1.113730.3.1.28 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.127. mgrpMsgRejectText
この属性は、拒否通知に使用するテキストを設定します。
OID | 2.16.840.1.113730.3.1.29 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.128. mgrpNoDuplicateChecks
この属性は、メッセージングサーバーが重複メールをチェックするかどうかを定義します。
OID | 2.16.840.1.113730.3.1.789 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape Messaging Server |
8.129. mgrpRemoveHeader
この属性は、応答メッセージでヘッダーが削除されるかどうかを設定します。
OID | 2.16.840.1.113730.3.1.801 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.130. mgrpRFC822MailMember
この属性は、メールグループのメンバーを特定します。
OID | 2.16.840.1.113730.3.1.30 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.131. mobile
mobile
、または mobileTelephoneNumber
には、エントリーのモバイルまたはセル形式の電話番号が含まれます。以下に例を示します。
mobileTelephoneNumber: 415-555-4321
OID | 0.9.2342.19200300.100.1.41 |
構文 | TelephoneNumber |
多値または単一値 | 複数値 |
定義される場所 |
8.132. mozillaCustom1
この属性は、共有アドレスの書籍を管理するために Mozilla Thunderbird によって使用されます。
OID | 1.3.6.1.4.1.13769.4.1 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.133. mozillaCustom2
この属性は、共有アドレスの書籍を管理するために Mozilla Thunderbird によって使用されます。
OID | 1.3.6.1.4.1.13769.4.2 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.134. mozillaCustom3
この属性は、共有アドレスの書籍を管理するために Mozilla Thunderbird によって使用されます。
OID | 1.3.6.1.4.1.13769.4.3 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.135. mozillaCustom4
この属性は、共有アドレスの書籍を管理するために Mozilla Thunderbird によって使用されます。
OID | 1.3.6.1.4.1.13769.4.4 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.136. mozillaHomeCountryName
この属性は、共有アドレスガイドの Mozilla gitops が使用する国を設定します。
OID | 1.3.6.1.4.1.13769.3.6 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.137. mozillaHomeLocalityName
この属性は、共有アドレスガイドの Mozilla pid で使用される都市を設定します。
OID | 1.3.6.1.4.1.13769.3.3 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.138. mozillaHomePostalCode
この属性は、共有アドレスガイドの Mozilla Warehouse で使用されるポストコードを設定します。
OID | 1.3.6.1.4.1.13769.3.5 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.139. mozillaHomeState
この属性は、共有アドレスガイドの Mozilla TEMPLATES で使用される状態またはプロイエンスを設定します。
OID | 1.3.6.1.4.1.13769.3.4 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.140. mozillaHomeStreet2
この属性には、共有電話帳の Mozilla TEMPLATES で使用されるアドレス帳の 2 行目が含まれます。
OID | 1.3.6.1.4.1.13769.3.2 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.141. mozillaHomeStreet
この属性は、共有アドレスガイドで使用する Mozilla street アドレスを設定します。
OID | 1.3.6.1.4.1.13769.3.1 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.142. mozillaHomeUrl
この属性には、共有アドレス帳ガイドの Mozilla Warehouse が使用する URL が含まれます。
OID | 1.3.6.1.4.1.13769.3.7 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.143. mozillaNickname
この属性には、MozillaThunderbird が共有アドレス帳として使用するニックネームが含まれています。
OID | 1.3.6.1.4.1.13769.2.1 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Mozilla Address Book |
8.144. mozillaSecondEmail
この属性には、Mozilla pid の共有アドレス帳ガイドのエントリーの代替またはセカンダリーメールアドレスが含まれます。
OID | 1.3.6.1.4.1.13769.2.2 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.145. mozillaUseHtmlMail
この属性は、Mozilla pid の共有アドレス帳ガイドのエントリーのメールタイプの優先度を設定します。
OID | 1.3.6.1.4.1.13769.2.3 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.146. mozillaWorkStreet2
この属性には、Mozilla 336 の共有アドレス帳ガイドのエントリーのワークプレースまたはオフィス用のストリートアドレスが含まれます。
OID | 1.3.6.1.4.1.13769.3.8 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.147. mozillaWorkUrl
この属性には、Mozilla pid の共有アドレス帳ガイドのエントリーにワークサイトの URL が含まれます。
OID | 1.3.6.1.4.1.13769.3.9 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Mozilla Address Book |
8.148. multiLineDescription
この属性には、LDIF ファイルの複数の行にまたがるエントリーの説明が含まれます。
OID | 1.3.6.1.4.1.250.1.2 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.149. name
name
属性は、命名用の文字列属性型を形成するために使用できる属性 supertype を識別します。
このタイプの値はエントリーで発生するわけではありません。属性サブタイプをサポートしない LDAP サーバー実装は、リクエストでこの属性を認識する必要はありません。クライアントの実装は、LDAP サーバーが属性のサブクラスを実行できることを想定すべきではありません。
OID | 2.5.4.41 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.150. netscapeReversiblePassword
この属性には、HTTP Digest/MD5 認証のパスワードが含まれます。
OID | 2.16.840.1.113730.3.1.812 |
構文 | OctetString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Web Server |
8.151. NisMapEntry
この属性には、ネットワーク情報サービスが使用する NIS マップの情報が含まれます。
この属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.27 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
8.152. nisMapName
この属性には、NIS サーバーで使用されるマッピングの名前が含まれます。
OID | 1.3.6.1.1.1.1.26 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.153. nisNetgroupTriple
この属性には、NIS サーバーが使用する netgroup に関する情報が含まれます。
この属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.14 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.154. nsAccessLog
このエントリーは、サーバーによって使用されるアクセスログを特定します。
OID | nsAccessLog-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.155. nsAdminAccessAddresses
この属性には、インスタンスによって使用される管理サーバーの IP アドレスが含まれます。
OID | nsAdminAccessAddresses-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.156. nsAdminAccessHosts
この属性には、管理サーバーのホスト名が含まれます。
OID | nsAdminAccessHosts-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.157. nsAdminAccountInfo
この属性には、管理サーバーアカウントに関するその他の情報が含まれます。
OID | nsAdminAccountInfo-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.158. nsAdminCacheLifetime
これにより、Directory Server が使用するキャッシュを保存する時間が設定されます。
OID | nsAdminCacheLifetime-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.159. nsAdminCgiWaitPid
この属性は、管理サーバー CGI プロセス ID の待機時間を定義します。
OID | nsAdminCgiWaitPid-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.160. nsAdminDomainName
この属性には、Directory Server インスタンスを含む管理ドメインの名前が含まれます。
OID | nsAdminDomainName-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.161. nsAdminEnableEnduser
この属性は、エンドユーザーが admin サービスへのアクセスを許可するかどうかを設定します。
OID | nsAdminEnableEnduser-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.162. nsAdminEndUserHTMLIndex
この属性は、エンドユーザーが admin サービスの HTML インデックスにアクセスできるようにするかどうかを設定します。
OID | nsAdminEndUserHTMLIndex-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.163. nsAdminGroupName
この属性は、管理者ガイドの名前を指定します。
OID | nsAdminGroupName-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.164. nsAdminOneACLDir
この属性は、管理サーバーのアクセス制御リストを含むディレクトリーパスを提供します。
OID | nsAdminOneACLDir-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.165. nsAdminSIEDN
この属性には、管理サーバーの SIE (sserer インスタンスエントリー) の DN が含まれます。
OID | nsAdminSIEDN-oid |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.166. nsAdminUsers
この属性は、管理サーバーの管理ユーザーの情報が含まれるファイルのパスと名前を指定します。
OID | nsAdminUsers-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.167. nsAIMid
この属性には、ユーザーの AOL インスタントメッセージングユーザー ID が含まれます。
OID | 2.16.840.1.113730.3.2.300 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.168. nsBaseDN
これには、Directory Server のサーバーインスタンスの定義エントリーで使用されるベース DN が含まれます。
OID | nsBaseDN-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.169. nsBindDN
この属性には、Directory Server SIE で定義されたバインド DN が含まれます。
OID | nsBindDN-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.170. nsBindPassword
この属性には、nsBindDN
で定義されたバインド DN によって使用されるパスワードが含まれます。
OID | nsBindPassword-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.171. nsBuildNumber
これは、Directory Server SIE で、サーバーインスタンスのビルド番号を定義します。
OID | nsBuildNumber-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.172. nsBuildSecurity
これにより、Directory Server SIE でビルドのセキュリティーレベルが定義されます。
OID | nsBuildSecurity-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.173. nsCertConfig
この属性は、Red Hat Certificate System の設定を定義します。
OID | nsCertConfig-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Certificate System |
8.174. nsClassname
OID | nsClassname-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.175. nsConfigRoot
この属性には、設定ディレクトリーのルート DN が含まれます。
OID | nsConfigRoot-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.176. nscpAIMScreenname
この属性は、ユーザーの AIM スクリーン名を示します。
OID | 1.3.6.1.4.1.13769.2.4 |
構文 | TelephoneString |
多値または単一値 | 複数値 |
定義される場所 | Mozilla Address Book |
8.177. nsDefaultAcceptLanguage
この属性には、HTML クライアントで受け入れられる言語コードが含まれています。
OID | nsDefaultAcceptLanguage-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.178. nsDefaultObjectClass
この属性は、オブジェクトクラス情報をコンテナーエントリーに格納します。
OID | nsDefaultObjectClass-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.179. nsDeleteclassname
OID | nsDeleteclassname-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.180. nsDirectoryFailoverList
この属性には、フェイルオーバーに使用する Directory Server のリストが含まれています。
OID | nsDirectoryFailoverList-oid |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.181. nsDirectoryInfoRef
この属性は、サーバーに関する情報を含むエントリーの DN を参照します。
OID | nsDirectoryInfoRef-oid |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.182. nsDirectoryURL
この属性には、Directory Server の URL が含まれます。
OID | nsDirectoryURL-oid |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.183. nsDisplayName
この属性には表示名が含まれています。
OID | nsDisplayName-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.184. nsErrorLog
この属性では、サーバーが使用するエラーログを特定します。
OID | nsErrorLog-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.185. nsExecRef
この属性には、サーバータスクの実行に使用できる実行可能ファイルのパスまたは場所が含まれます。
OID | nsExecRef-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.186. nsExpirationDate
この属性には、アプリケーションの有効期限が含まれます。
OID | nsExpirationDate-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.187. nsGroupRDNComponent
この属性は、グループエントリーの RDN に使用する属性を定義します。
OID | nsGroupRDNComponent-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.188. nsHardwarePlatform
この属性は、サーバーが実行されているハードウェアを指定します。この属性の値は、uname-m
からの出力と同じです。以下に例を示します。
nsHardwarePlatform:i686
OID | nsHardwarePlatform-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.189. nsHelpRef
この属性には、オンラインヘルプファイルへの参照が含まれています。
OID | nsHelpRef-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.190. nsHostLocation
この属性には、サーバーホストに関する情報が含まれています。
OID | nsHostLocation-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.191. nsICQid
この属性には、ユーザーの ICQID が含まれています。
OID | 2.16.840.1.113730.3.1.2014 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.192. nsInstalledLocation
この属性には、バージョン 7.1 以前の Directory Server のインストールディレクトリーが含まれます。
OID | nsInstalledLocation-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.193. nsJarfilename
この属性は、コンソールで使用される jar ファイル名を指定します。
OID | nsJarfilename-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.194. nsLdapSchemaVersion
これにより、LDAP ディレクトリースキーマのバージョン番号がわかります。
OID | nsLdapSchemaVersion-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.195. nsLicensedFor
nsLicensedFor
属性は、ユーザーが使用を許可されているサーバーを識別します。管理サーバーは、各 nsLicenseUser
エントリーにこの属性のインスタンスが 0 個以上含まれていることを想定しています。この属性の有効なキーワードは次のとおりです。
-
slapd
: ライセンスされた Directory Server クライアントの場合 -
mail
: ライセンスが割り当てられたメールサーバークライアント。 -
news
: ライセンスが割り当てられたニュースサーバークライアント。 -
cal
: ライセンスが割り当てられたカレンダーサーバークライアント。
以下に例を示します。
nsLicensedFor: slapd
OID | 2.16.840.1.113730.3.1.36 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | 管理サーバー |
8.196. nsLicenseEndTime
将来の使用のために予約されています。
OID | 2.16.840.1.113730.3.1.38 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | 管理サーバー |
8.197. nsLicenseStartTime
将来の使用のために予約されています。
OID | 2.16.840.1.113730.3.1.37 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | 管理サーバー |
8.198. nsLogSuppress
この属性は、サーバーのロギングを抑制するかどうかを設定します。
OID | nsLogSuppress-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.199. nsmsgDisallowAccess
この属性は、メッセージングサーバーへのアクセスを定義します。
OID | nsmsgDisallowAccess-oid |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.200. nsmsgNumMsgQuota
この属性は、メッセージングサーバーによって保持されるメッセージ数のクォータを設定します。
OID | nsmsgNumMsgQuota-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.201. nsMSNid
この属性には、ユーザーの MSN インスタントメッセージング ID が含まれます。
OID | 2.16.840.1.113730.3.1.2016 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.202. nsNickName
この属性は、アプリケーションのニックネームを示します。
OID | nsNickName-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.203. nsNYR
OID | nsNYR-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | 管理サービス |
8.204. nsOsVersion
この属性には、サーバーが実行されているホストのオペレーティングシステムのバージョン番号が含まれます。
OID | nsOsVersion-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.205. nsPidLog
OID | nsPidLog-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.206. nsPreference
この属性は、コンソール設定を格納します。
OID | nsPreference-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.207. nsProductName
これには、{PRODUCT} や管理サーバーなどの製品の名前が含まれます。
OID | nsProductName-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.208. nsProductVersion
これには、Directory Server のバージョン番号が含まれています。
OID | nsProductVersion-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.209. nsRevisionNumber
この属性には、Directory Server または 管理サーバーのリビジョン番号が含まれます。
OID | nsRevisionNumber-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.210. nsSecureServerPort
この属性には、Directory Server の TLS ポートが含まれています。
この属性では、Directory Server の TLS ポートは 設定 されません。これは、Directory Server の dse.ldif
ファイルの nsslapd-secureport
設定属性で設定されます。設定属性については、設定、コマンド、およびファイルリファレンス で説明しています。
OID | nsSecureServerPort-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.211. nsSerialNumber
この属性には、{PRODUCT} や 管理サーバーなどの特定のサーバーアプリケーションに割り当てられたシリアル番号または追跡番号が含まれます。
OID | nsSerialNumber-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.212. nsServerAddress
この属性には、Directory Server が実行されているサーバーホストの IP アドレスが含まれます。
OID | nsServerAddress-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.213. nsServerCreationClassname
この属性は、サーバーの作成時に使用するクラス名を指定します。
OID | nsServerCreationClassname-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.214. nsServerID
これには、サーバーのインスタンス名が含まれます。以下に例を示します。
nsServerID: slapd-example
OID | nsServerID-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.215. nsServerMigrationClassname
この属性には、サーバーの移行時に使用するクラスの名前が含まれています。
OID | nsServerMigrationClassname-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.216. nsServerPort
この属性には、Directory Server の標準 LDAP ポートが含まれています。
この属性では、Directory Server の標準ポートは 設定 されません。これは、Directory Server の dse.ldif
ファイルの nsslapd-port
設定属性で設定されます。設定属性については、設定、コマンド、およびファイルリファレンス で説明しています。
OID | nsServerPort-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.217. nsServerSecurity
これは、Directory Server が安全な TLS または SSL 接続を必要とするかどうかを示します。
OID | nsServerSecurity-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.218. nsSNMPContact
この属性には、SNMP によって提供される連絡先情報が含まれます。
OID | 2.16.840.1.113730.3.1.235 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.219. nsSNMPDescription
これには、SNMP サービスの説明が含まれています。
OID | 2.16.840.1.113730.3.1.236 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.220. nsSNMPEnabled
この属性は、サーバーで SNMP が有効になっているかどうかを指定します。
OID | 2.16.840.1.113730.3.1.232 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.221. nsSNMPLocation
この属性は、SNMP サービスによって提供される場所を指定します。
OID | 2.16.840.1.113730.3.1.234 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.222. nsSNMPMasterHost
この属性は、SNMP マスターエージェントのホスト名を指定します。
OID | 2.16.840.1.113730.3.1.237 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.223. nsSNMPMasterPort
この属性は、SNMP サブエージェントのポート番号を指定します。
OID | 2.16.840.1.113730.3.1.238 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.224. nsSNMPOrganization
この属性には、SNMP によって提供される組織情報が含まれます。
OID | 2.16.840.1.113730.3.1.233 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.225. nsSuiteSpotUser
この属性は非推奨になりました。
この属性は、サーバーをインストールした Unix ユーザーを識別します。
OID | nsSuiteSpotUser-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.226. nsTaskLabel
OID | nsTaskLabel-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.227. nsUniqueAttribute
これにより、サーバー設定に一意の属性が設定されます。
OID | nsUniqueAttribute-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.228. nsUserIDFormat
この属性は、givenname
属性と sn
属性から uid
属性を生成するために使用する形式を設定します。
OID | nsUserIDFormat-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.229. nsUserRDNComponent
この属性は、ユーザーエントリーの RDN を設定するための属性タイプを設定します。
OID | nsUserRDNComponent-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.230. nsValueBin
OID | 2.16.840.1.113730.3.1.247 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.231. nsValueCES
OID | 2.16.840.1.113730.3.1.244 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.232. nsValueCIS
OID | 2.16.840.1.113730.3.1.243 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.233. nsValueDefault
OID | 2.16.840.1.113730.3.1.250 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.234. nsValueDescription
OID | 2.16.840.1.113730.3.1.252 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.235. nsValueDN
OID | 2.16.840.1.113730.3.1.248 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.236. nsValueFlags
OID | 2.16.840.1.113730.3.1.251 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.237. nsValueHelpURL
OID | 2.16.840.1.113730.3.1.254 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.238. nsValueInt
OID | 2.16.840.1.113730.3.1.246 |
構文 | 整数 |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.239. nsValueSyntax
OID | 2.16.840.1.113730.3.1.253 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.240. nsValueTel
OID | 2.16.840.1.113730.3.1.245 |
構文 | TelephoneString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.241. nsValueType
OID | 2.16.840.1.113730.3.1.249 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape サーバー - 値項目 |
8.242. nsVendor
これには、サーバーベンダーの名前が含まれます。
OID | nsVendor-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape |
8.243. nsViewConfiguration
この属性は、コンソールで使用されるビュー設定を格納します。
OID | nsViewConfiguration-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.244. nsViewFilter
この属性は、ビューに属するエントリーを識別するために使用される属性と値のペアを設定します。
OID | 2.16.840.1.113730.3.1.3023 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.245. nsWellKnownJarfiles
OID | nsWellKnownJarfiles-oid |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.246. nswmExtendedUserPrefs
この属性は、メッセージングサーバーのアカウントのユーザー設定を保存するために使用されます。
OID | 2.16.840.1.113730.3.1.520 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.247. nsYIMid
この属性には、ユーザーの Yahoo インスタントメッセージングユーザー名が含まれます。
OID | 2.16.840.1.113730.3.1.2015 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
8.248. ntGroupAttributes
この属性は、グループに関する情報を含むバイナリーファイルを指定します。以下に例を示します。
ntGroupAttributes:: IyEvYmluL2tzaAoKIwojIGRlZmF1bHQgdmFsdWUKIwpIPSJgaG9zdG5hb
OID | 2.16.840.1.113730.3.1.536 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.249. ntGroupCreateNewGroup
ntGroupCreateNewGroup
属性は、Windows Sync によって使用され、Windows Server で新しいグループが作成されたときに Directory Server が新しいグループエントリーを作成するかどうかを決定します。true
は新しいエントリーを作成します。false
は Windows エントリーを無視します。
OID | 2.16.840.1.113730.3.1.45 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.250. ntGroupDeleteGroup
ntGroupDeleteGroup
属性は、Windows 同期によって使用され、Windows 同期ピアサーバーでグループが削除されたときに Directory Server がグループエントリーを削除する必要があるかどうかを決定します。true
は、アカウントを削除し、false
は削除を無視します。
OID | 2.16.840.1.113730.3.1.46 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.251. ntGroupDomainId
ntGroupDomainID
属性には、グループのドメイン ID 文字列が含まれます。
ntGroupDomainId: DS HR Group
OID | 2.16.840.1.113730.3.1.44 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.252. ntGroupId
ntGroupId
属性は、グループを識別するバイナリーファイルを指します。以下に例を示します。
ntGroupId: IOUnHNjjRgghghREgfvItrGHyuTYhjIOhTYtyHJuSDwOopKLhjGbnGFtr
OID | 2.16.840.1.113730.3.1.110 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.253. ntGroupType
Active Directory には、セキュリティーとディストリビューションの 2 つの主要なグループタイプがあります。セキュリティーグループは、アクセス制御、リソースの制限、およびその他のパーミッションに対してポリシーを設定することができるため、Directory Server のグループには最も似ています。配信グループは、メール配信のためのグループです。これはさらに、グローバルグループおよびローカルグループに分けられます。Directory Server ntGroupType は、以下の 4 つのグループタイプをすべてサポートします。
ntGroupType
属性は、Windows グループのタイプを識別します。有効な値は次のとおりです。
-
グローバル/セキュリティーの場合は
-21483646
-
ドメインローカル/セキュリティーの場合は
-21483644
-
グローバル/ディストリビューションの場合は
2
-
ドメインローカル/ディストリビューションの場合は
4
この値は、Windows グループの同期時に自動的に設定されます。グループのタイプを判別するには、グループの作成時に手動で設定する必要があります。デフォルトでは、Directory Server グループにはこの属性がなく、グローバル/セキュリティーグループとして同期されます。
ntGroupType: -21483646
OID | 2.16.840.1.113730.3.1.47 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.254. ntUniqueId
ntUniqueId
属性には、生成された番号が含まれており、内部サーバーの識別と操作に使用されます。以下に例を示します。
ntUniqueId: 352562404224a44ab040df02e4ef500b
OID | 2.16.840.1.113730.3.1.111 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.255. ntUserAcctExpires
この属性は、エントリーの Windows アカウントがいつ期限切れになるかを示します。この値は、GMT 形式の文字列として保存されます。以下に例を示します。
ntUserAcctExpires: 20081015203415
OID | 2.16.840.1.113730.3.1.528 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.256. ntUserAuthFlags
この属性には、Windows アカウントに設定された認可フラグが含まれています。
OID | 2.16.840.1.113730.3.1.60 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.257. ntUserBadPwCount
この属性は、アカウントがロックされるまでに許容される、不正なパスワード入力の失敗回数を設定します。
OID | 2.16.840.1.113730.3.1.531 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.258. ntUserCodePage
ntUserCodePage
属性には、選択したユーザーの言語のコードページが含まれています。以下に例を示します。
ntUserCodePage: AAAAAA==
OID | 2.16.840.1.113730.3.1.533 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.259. ntUserComment
この属性には、ユーザーエントリーに関するテキストの説明またはメモが含まれます。
OID | 2.16.840.1.113730.3.1.522 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.260. ntUserCountryCode
この属性には、ユーザーの居住国の 2 文字の国コードが含まれています。
OID | 2.16.840.1.113730.3.1.532 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.261. ntUserCreateNewAccount
ntUserCreateNewAccount
属性は、Windows Sync によって使用され、Windows Server で新しいユーザーが作成されたときに Directory Server が新しいユーザーエントリーを作成するかどうかを決定します。true
は新しいエントリーを作成します。false
は Windows エントリーを無視します。
OID | 2.16.840.1.113730.3.1.42 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.262. ntUserDeleteAccount
ntUserDeleteAccount
属性は WindowsSync によって使用され、ユーザーが Windows 同期ピアサーバーから削除されたときに Directory Server エントリーが自動的に削除されるかどうかを決定します。true
は、ユーザーエントリーを削除し、false
は削除を無視します。
OID | 2.16.840.1.113730.3.1.43 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.263. ntUserDomainId
ntUserDomainId
属性には、Windows ドメインのログイン ID が含まれています。以下に例を示します。
ntUserDomainId: jsmith
OID | 2.16.840.1.113730.3.1.41 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.264. ntUserFlags
この属性には、Windows アカウントに設定された追加のフラグが含まれています。
OID | 2.16.840.1.113730.3.1.523 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.265. ntUserHomeDir
ntUserHomeDir
属性には、Windows ユーザーのホームディレクトリーを表す ASCII 文字列が含まれています。この属性は null にすることができます。以下に例を示します。
ntUserHomeDir: c:\jsmith
OID | 2.16.840.1.113730.3.1.521 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.266. ntUserHomeDirDrive
この属性には、ユーザーのホームディレクトリーが保存されているドライブに関する情報が含まれています。
OID | 2.16.840.1.113730.3.1.535 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.267. ntUserLastLogoff
ntUserLastLogoff
属性には、最後のログオフの時刻が含まれます。この値は、GMT 形式の文字列として保存されます。
セキュリティーロギングが有効な場合は、ユーザーエントリーの他の要素が変更になった場合にのみこの属性が同期時に更新されます。
ntUserLastLogoff: 20201015203415Z
OID | 2.16.840.1.113730.3.1.527 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.268. ntUserLastLogon
ntUserLastLogon
属性には、ユーザーが最後に Windows ドメインにログインした時刻が含まれます。この値は、GMT 形式の文字列として保存されます。セキュリティーロギングが有効な場合は、ユーザーエントリーの他の要素が変更になった場合にのみこの属性が同期時に更新されます。
ntUserLastLogon: 20201015203415Z
OID | 2.16.840.1.113730.3.1.526 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.269. ntUserLogonHours
ntUserLogonHours
属性には、ユーザーが Active Directory ドメインにログオンできる期間が含まれています。この属性は、Active Directory の logonHours
属性に対応します。
OID | 2.16.840.1.113730.3.1.530 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.270. ntUserLogonServer
ntUserLogonServer
属性は、ユーザーのログオン要求の転送先となる Active Directory サーバーを定義します。
OID | 2.16.840.1.113730.3.1.65 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.271. ntUserMaxStorage
ntUserMaxStorage
属性には、ユーザーが使用できる最大ディスク容量が含まれています。
ntUserMaxStorage: 4294967295
OID | 2.16.840.1.113730.3.1.529 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.272. ntUserNumLogons
この属性は、対象ユーザーの Active Directory ドメインへの正常なログオンの数を示します。
OID | 2.16.840.1.113730.3.1.64 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.273. ntUserParms
ntUserParms
属性には、アプリケーションで使用するために予約されている Unicode 文字列が含まれています。
OID | 2.16.840.1.113730.3.1.62 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.274. ntUserPasswordExpired
この属性は、Active Directory アカウントのパスワードの有効期限が切れているかどうかを示します。
OID | 2.16.840.1.113730.3.1.68 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.275. ntUserPrimaryGroupId
ntUserPrimaryGroupId
属性には、ユーザーが属するプライマリーグループのグループ ID が含まれます。
OID | 2.16.840.1.113730.3.1.534 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.276. ntUserPriv
この属性は、ユーザーに許可されている特権のタイプを指定します。
OID | 2.16.840.1.113730.3.1.59 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.277. ntUserProfile
ntUserProfile
属性には、ユーザーのプロファイルへのパスが含まれています。以下に例を示します。
ntUserProfile: c:\jsmith\profile.txt
OID | 2.16.840.1.113730.3.1.67 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.278. ntUserScriptPath
ntUserScriptPath
属性には、ユーザーがドメインにログインするために使用する ASCII スクリプトへのパスが含まれています。
ntUserScriptPath: c:\jstorm\lscript.bat
OID | 2.16.840.1.113730.3.1.524 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.279. ntUserUniqueId
ntUserUniqueId
属性には、Windows ユーザーの一意の数値 ID が含まれています。
OID | 2.16.840.1.113730.3.1.66 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.280. ntUserUnitsPerWeek
ntUserUnitsPerWeek
属性には、ユーザーが Active Directory ドメインにログインしていた合計時間が含まれます。
OID | 2.16.840.1.113730.3.1.63 |
構文 | Binary |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.281. ntUserUsrComment
ntUserUsrComment
属性には、ユーザーに関する追加のコメントが含まれています。
OID | 2.16.840.1.113730.3.1.61 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.282. ntUserWorkstations
ntUserWorkstations
属性には、ユーザーがログインできるワークステーションの名前のリストが ASCII 文字列で含まれています。最大 8 つのワークステーションをコンマで区切ってリストすることができます。ユーザーが任意のワークステーションからログオンできるようにするには、null
を指定します。以下に例を示します。
ntUserWorkstations: firefly
OID | 2.16.840.1.113730.3.1.525 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape NT 同期 |
8.283. o
organizationName
または o
属性には組織名が含まれます。以下に例を示します。
organizationName: Example Corporation o: Example Corporation
OID | 2.5.4.10 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.284. objectClass
objectClass
属性は、エントリーに使用されるオブジェクトクラスを識別します。以下に例を示します。
objectClass: person
OID | 2.5.4.0 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.285. objectClasses
この属性は、サブスキーマ定義で許可されているオブジェクトクラスを識別するためにスキーマファイルで使用されます。
OID | 2.5.21.6 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.286. obsoletedByDocument
obsoletedByDocument
属性には、ドキュメントの識別名が含まれます。これにより、現在のドキュメントエントリーが非推奨になります。
OID | 0.9.2342.19200300.102.1.4 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.287. obsoletesDocument
obsoletesDocument
属性にはドキュメントの識別名が含まれます。これにより、現在のドキュメントエントリーが非推奨になります。
OID | 0.9.2342.19200300.102.1.3 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.288. oncRpcNumber
oncRpcNumber
属性には、RPC マップの一部が含まれ、UNIXRPC の RPC 番号が格納されます。
oncRpcNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.18 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.289. organizationalStatus
organizationalStatus
は、組織内の個人のカテゴリーを識別します。
organizationalStatus: researcher
OID | 0.9.2342.19200300.100.1.45 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.290. otherMailbox
otherMailbox
属性には、X.400 および RFC822 以外の電子メールタイプの値が含まれています。
otherMailbox: internet $ jsmith@example.com
OID | 0.9.2342.19200300.100.1.22 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.291. ou
OrganizationalUnitName
、または ou
には、ディレクトリー階層内の組織部門またはサブツリーの名前が含まれます。
organizationalUnitName: Marketing ou: Marketing
OID | 2.5.4.11 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.292. owner
所有者
属性には、エントリーの責任者の DN が含まれます。以下に例を示します。
owner: cn=John Smith,ou=people,dc=example,dc=com
OID | 2.5.4.32 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.293. pager
pagerTelephoneNumber
または pager
属性には、個人のポケットベルの電話番号が含まれます。
pagerTelephoneNumber: 415-555-6789 pager: 415-555-6789
OID | 0.9.2342.19200300.100.1.42 |
構文 | TelephoneNumber |
多値または単一値 | 複数値 |
定義される場所 |
8.294. parentOrganization
parentOrganization
属性は、組織または組織単位の親組織を識別します。
OID | 1.3.6.1.4.1.1466.101.120.41 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Netscape |
8.295. personalSignature
personalSignature
属性には、エントリーの署名ファイルがバイナリー形式で含まれています。
personalSignature:: AAAAAA==
OID | 0.9.2342.19200300.100.1.53 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.296. personalTitle
personalTitle
属性には、Ms.
、Dr.
、Prof.
, および Rev.
などの敬称が含まれます。
personalTitle: Mr.
OID | 0.9.2342.19200300.100.1.40 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.297. photo
photo
属性には、バイナリー形式の写真ファイルが含まれています。
photo:: AAAAAA==
OID | 0.9.2342.19200300.100.1.7 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.298. physicalDeliveryOfficeName
physicalDeliveryOffice
には、実際に郵便配達オフィスが配置されている市または町が含まれています。
physicalDeliveryOfficeName: Raleigh
OID | 2.5.4.19 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.299. postalAddress
postalAddress
属性は、エントリーの郵送先住所を識別します。このフィールドは、複数行を含めることが想定されています。LDIF 形式で表す場合には、各行はドル記号 ($) で区切る必要があります。
エントリーテキスト内で実際のドル記号 ($) または円記号 (\) を表すには、エスケープされた 16 進値 \24
および \5c
をそれぞれ使用します。たとえば、文字列を表すには、次のようにします。
The dollar ($) value can be found in the c:\cost file.
文字列を指定します。
The dollar (\24) value can be found$in the c:\5ccost file.
OID | 2.5.4.16 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.300. postalCode
postalCode
には、米国内にあるエントリーの郵便番号が含まれます。
postalCode: 44224
OID | 2.5.4.17 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.301. postOfficeBox
postOfficeBox
属性には、エントリーの実際の郵送先住所の番地または私書箱番号が含まれます。
postOfficeBox: 1234
OID | 2.5.4.18 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.302. preferredDeliveryMethod
PreferredDeliveryMethod
には、エントリーの希望の連絡先または配信方法が含まれています。以下に例を示します。
preferredDeliveryMethod: telephone
OID | 2.5.4.28 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.303. preferredLanguage
preferredLanguage
属性には、ユーザーが希望する使用言語が含まれています。値は、HTTP Accept-Language ヘッダー値の構文に準拠している必要があります。
OID | 2.16.840.1.113730.3.1.39 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.304. preferredLocale
ロケール とは、特定の地域、文化、慣習のユーザーがどのようにデータを表示するかについての言語固有の情報を示すもので、ある言語のデータをどのように解釈するか、データをどのようにソートするかなどが含まれます。Directory Server は、アメリカ英語、日本語、およびドイツ語の 3 つのロケールをサポートしています。
PreferredLocale
属性は、ユーザーが優先するロケールを設定します。
OID | 1.3.6.1.4.1.1466.101.120.42 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape |
8.305. preferredTimeZone
PreferredTimeZone
属性は、ユーザーエントリーに使用するタイムゾーンを設定します。
OID | 1.3.6.1.4.1.1466.101.120.43 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Netscape |
8.306. presentationAddress
presentaddress
属性には、エントリーの OSI のプレゼンテーションアドレスが含まれます。この属性には、OSI ネットワークアドレスと最大 3 つのセレクターが含まれます。各セレクターは、トランスポート、セッション、およびプレゼンテーションエンティティーで使用されます。以下に例を示します。
presentationAddress: TELEX+00726322+RFC-1006+02+130.59.2.1
OID | 2.5.4.29 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
8.307. protocolInformation
protocolInformation
属性は、presentationAddress
属性と併用され、OSO ネットワークサービスに関する追加情報を提供します。
OID | 2.5.4.48 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.308. pwdReset
管理者がユーザーのパスワードを変更すると、Directory Server は、ユーザーのエントリーの pwdReset
操作属性を true
に設定します。アプリケーションはこの属性を使用して、管理者がユーザーのパスワードをリセットしたかどうかを識別できます。
pwdReset
属性は操作属性であるため、ユーザーは編集できません。
OID | 1.3.6.1.4.1.1466.115.121.1.7 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 |
8.309. ref
ref
属性は、LDAPv3 スマート参照のサポートすに使用されます。この属性の値は LDAPURL です。
ldap: pass:quotes[host_name]:pass:quotes[port_number]/pass:quotes[subtree_dn]
ポート番号はオプションです。
以下に例を示します。
ref: ldap://server.example.com:389/ou=People,dc=example,dc=com
OID | 2.16.840.1.113730.3.1.34 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | LDAPv3 参照インターネットドラフト |
8.310. registeredAddress
この属性には、電報または速達文書を受け取る住所が含まれます。通常、配達時に受取人の署名が必要です。
OID | 2.5.4.26 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.311. roleOccupant
この属性には、organizationalRole
エントリーで定義されたロールが割り当てられたユーザーの識別名が含まれます。
roleOccupant: uid=bjensen,dc=example,dc=com
OID | 2.5.4.33 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.312. roomNumber
この属性は、オブジェクトの部屋番号を指定します。cn
属性は、部屋オブジェクトの命名に使用する必要があります。
roomNumber: 230
OID | 0.9.2342.19200300.100.1.6 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.313. searchGuide
searchGuide
属性は、検索操作のディレクトリーツリーでエントリーをベースオブジェクトとして使用する場合に、推奨される検索条件の情報を指定します。検索フィルターの作成時には、代わりに enhancedSearchGuide
属性を使用してください。
OID | 2.5.4.14 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.314. secretary
secretary
属性は、エントリーの秘書または管理アシスタントを識別します。
secretary: cn=John Smith,dc=example,dc=com
OID | 0.9.2342.19200300.100.1.21 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.315. seeAlso
seeAlso
属性は、このエントリーに関連する情報を含む可能性のある別の Directory Server エントリーを識別します。
seeAlso: cn=Quality Control Inspectors,ou=manufacturing,dc=example,dc=com
OID | 2.5.4.34 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.316. serialNumber
serialNumber
属性には、デバイスのシリアル番号が含まれています。
serialNumber: 555-1234-AZ
OID | 2.5.4.5 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.317. serverHostName
serverHostName
属性には、Directory Server が実行されているサーバーのホスト名が含まれます。
OID | 2.16.840.1.113730.3.1.76 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Red Hat 管理サービス |
8.318. serverProductName
serverProductName
属性には、サーバー製品の名前が含まれています。
OID | 2.16.840.1.113730.3.1.71 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Red Hat 管理サービス |
8.319. serverRoot
この属性は廃止されました。
この属性は、Directory Server バージョン 7.1 以前のインストールディレクトリー (サーバールート) を示します。
OID | 2.16.840.1.113730.3.1.70 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape 管理サービス |
8.320. serverVersionNumber
serverVersionNumber
属性には、サーバーのバージョン番号が含まれます。
OID | 2.16.840.1.113730.3.1.72 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Red Hat 管理サービス |
8.321. shadowExpire
shadowExpire
属性には、シャドウアカウントの有効期限が切れる日付が含まれます。日付の形式は、UTC での EPOCH からの日数です。システムでこれを計算するには、現在の日付に -d
を使用し、UTC に -u
を使用して、次のようなコマンドを実行します。
$ echo date -u -d 20100108 +%s
/24/60/60 |bc
14617
結果 (例では 14617) は、shadowExpire
の値になります。
shadowExpire: 14617
shadowExpire
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.10 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.322. shadowFlag
shadowFlag
属性は、シャドウマップのどの領域にフラグ値を格納するかを識別します。
shadowFlag: 150
shadowFlag
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.11 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.323. shadowInactive
shadowInactive
属性は、シャドウアカウントを非アクティブにできる期間を日数で設定します。
shadowInactive: 15
shadowInactive
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.9 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.324. shadowLastChange
shadowLastChange
属性には、1970 年 1 月 1 日からユーザーパスワードの最終設定日までの日数が含まれます。たとえば、アカウントのパスワードが 2016 年 11 月 4 日に最後に設定された場合は、shadowLastChange
属性は 0
に設定しておきます。
次の例外があります。
-
cn=config
エントリーでpasswordMustChange
パラメーターが有効になっている場合に、新しいアカウントでは、shadowLastChange
属性に0
が設定されます。 -
パスワードなしでアカウントを作成すると、
shadowLastChange
属性は追加されません。
shadowLastChange
属性は、Active Directory から同期されたアカウントに対して自動的に更新されます。
shadowLastChange
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.5 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.325. shadowMax
shadowMax
属性は、シャドウパスワードが有効である最大日数を設定します。
shadowMax: 10
shadowMax
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.7 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.326. shadowMin
shadowMin
属性は、シャドウパスワードを変更するまでに最小限経過する必要のある日数を設定します。
shadowMin: 3
shadowMin
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.6 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.327. shadowWarning
shadowWarning
属性は、パスワードの有効期限が切れる何日前にユーザーに警告を送信するかを設定します。
shadowWarning: 2
shadowWarning
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.8 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.328. singleLevelQuality
singleLevelQuality
は、ディレクトリーツリーのすぐ下のレベルでのデータ品質を指定します。
OID | 0.9.2342.19200300.100.1.50 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.329. sn
surname
または sn
属性には、エントリーの 姓 (名字など) が含まれます。
surname: Jensen sn: Jensen
OID | 2.5.4.4 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.330. st
stateOrProvinceName
または st
属性には、エントリーの州が含まれます。
stateOrProvinceName: California st: California
OID | 2.5.4.8 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.331. street
streetAddress
または street
属性には、エントリーの番地と住所が含まれます。
streetAddress: 1234 Ridgeway Drive street: 1234 Ridgeway Drive
OID | 2.5.4.9 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.332. サブジェクト (subject)
subject
属性には、ドキュメントエントリーのサブジェクトに関する情報が含まれています。
subject: employee option grants
OID | 0.9.2342.19200300.102.1.8 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.333. subtreeMaximumQuality
subtreeMaximumQuality
属性は、ディレクトリーサブツリーの最大データ品質を指定します。
OID | 0.9.2342.19200300.100.1.52 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.334. subtreeMinimumQuality
subtreeMinimumQuality
は、ディレクトリーサブツリーの最小データ品質を指定します。
OID | 0.9.2342.19200300.100.1.51 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 |
8.335. supportedAlgorithms
supportedAlgorithms
属性には、supportedAlgorithms;binary
などのバイナリー形式で要求および保存されるアルゴリズムが含まれています。
supportedAlgorithms:: AAAAAA==
OID | 2.5.4.52 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.336. supportedApplicationContext
この属性には、OSI アプリケーションコンテキストの識別子が含まれています。
OID | 2.5.4.30 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.337. telephoneNumber
TelephoneNumber
には、エントリーの電話番号が含まれています。以下に例を示します。
telephoneNumber: 415-555-2233
OID | 2.5.4.20 |
構文 | TelephoneNumber |
多値または単一値 | 複数値 |
定義される場所 |
8.338. teletexTerminalIdentifier
teletexTerminalIdentifier
属性には、エントリーのテレテックス端末識別子が含まれています。この例で最初に出力できる文字列は、エンコードするテレテックス端末識別子の最初の部分で、次にくる 0 個以上のオクテット文字列が、テレテックス端末識別子の続きの部分となります。
teletex-id = ttx-term 0*("$" ttx-param) ttx-term = printablestring ttx-param = ttx-key ":" ttx-value ttx-key = "graphic" / "control" / "misc" / "page" / "private" ttx-value = octetstring
OID | 2.5.4.22 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.339. telexNumber
この属性は、エントリーのテレックス番号を定義します。テレックス番号の形式は次のとおりです。
actual-number "$" country "$" answerback
- actual-number は、エンコードされているテレックス番号の番号部分の構文表現です。
- country は TELEX の国コードです。
- answerback は、TELEX 端末のアンサーバーックコードです。
OID | 2.5.4.21 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.340. title
title
属性には、組織内の個人の役職が含まれます。
title: Senior QC Inspector
OID | 2.5.4.12 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.341. ttl
TimeToLive
または ttl
属性には、キャッシュされているエントリーの情報が有効とみなされる時間 (秒) が含まれます。指定された時間が経過すると、情報は古くなったと見なされます。ゼロ (0
) の値は、エントリーをキャッシュしてはならないことを指定します。
TimeToLive: 120 ttl: 120
OID | 1.3.6.1.4.250.1.60 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | LDAP キャッシングインターネットドラフト |
8.342. uid
userID
(より一般的には uid
) 属性には、エントリーの一意のユーザー名が含まれます。
userID: jsmith uid: jsmith
OID | 0.9.2342.19200300.100.1.1 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.343. uidNumber
uidNumber
属性には、ユーザーエントリーの一意の数値識別子が含まれています。これは、Unix のユーザー番号に似ています。
uidNumber: 120
uidNumber
属性は、Directory Server の 10rfc2307.ldif
で定義されます。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
OID | 1.3.6.1.1.1.1.0 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 |
8.344. uniqueIdentifier
この属性は、識別名が再利用されたときに 2 つのエントリーを区別するために使用される特定の項目を識別します。この属性は、削除された識別名への参照のインスタンスを検出することを目的としています。この属性はサーバーによって割り当てられます。
uniqueIdentifier:: AAAAAA==
OID | 0.9.2342.19200300.100.1.44 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.345. uniqueMember
uniqueMember
属性は、エントリーに関連付けられた名前のグループを識別します。名前ごとに、一意性を確保するために uniqueIdentifier
が割り当てられています。uniqueMember
属性の値は、DN の後に uniqueIdentifier
が続きます。
OID | 2.5.4.50 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
8.346. updatedByDocument
updatedByDocument
属性には、ドキュメントエントリーの更新バージョンであるドキュメントの識別名が含まれています。
OID | 0.9.2342.19200300.102.1.6 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.347. updatesDocument
updatesDocument
属性には、このドキュメントの更新版であるドキュメントの識別名が含まれます。
OID | 0.9.2342.19200300.102.1.5 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Internet White Pages Pilot |
8.348. userCertificate
この属性は、userCertificate;binary
として、バイナリー形式で保存および要求されます。
userCertificate;binary:: AAAAAA==
OID | 2.5.4.36 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.349. userClass
この属性は、コンピューターユーザーのカテゴリーを指定します。この属性のセマンティクスは任意です。OrganizationalStatus
属性は、コンピューターユーザーと他のタイプのユーザーを区別しません。ユーザーのほうがより適切な場合があります。
userClass: intern
OID | 0.9.2342.19200300.100.1.8 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
8.350. userPassword
この属性は、エントリーのパスワードと暗号化方式を {encryption method}encrypted password の形式で識別します。以下に例を示します。
userPassword: {sha}FTSLQhxXpA05
基盤となるトランスポートサービスが機密性を保証できない場合に、クリアテキストのパスワードを転送しないようにすることを強く推奨します。クリアテキストで転送すると、許可されていない第三者にパスワードが開示される可能性があります。
OID | 2.5.4.35 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.351. userPKCS12
この属性は、個人の ID 情報を交換するための形式を提供します。属性は、userPKCS12;binary
として、バイナリー形式で保存および要求されます。属性値は、バイナリーデータとして保存された PFXPDU です。
OID | 2.16.840.1.113730.3.1.216 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.352. userSMIMECertificate
userSMIMECertificate
属性には、メールクライアントが S/MIME に使用できる証明書が含まれています。この属性は、データをバイナリー形式で要求して保存します。以下に例を示します。
userSMIMECertificate;binary:: AAAAAA==
OID | 2.16.840.1.113730.3.1.40 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
8.353. vacationEndDate
この属性は、ユーザーの休暇期間の終了日を指定します。
OID | 2.16.840.1.113730.3.1.708 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.354. vacationStartDate
この属性は、ユーザーの休暇期間の開始日を指定します。
OID | 2.16.840.1.113730.3.1.707 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Netscape Messaging Server |
8.355. x121Address
x121Address
属性には、ユーザーの X.121 アドレスが含まれます。
OID | 2.5.4.24 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
8.356. x500UniqueIdentifier
将来の使用のために予約されています。X.500 識別子は、識別名が再利用されたときにオブジェクトを区別するのに役立つバイナリーの識別方法です。
x500UniqueIdentifier:: AAAAAA==
OID | 2.5.4.45 |
構文 | Binary |
多値または単一値 | 複数値 |
定義される場所 |
第9章 エントリーオブジェクトクラスの参照
この参照は、デフォルトのスキーマで受け入れられるオブジェクトクラスのアルファベット順のリストです。各オブジェクトクラスの定義を示し、その必須属性と使用できる属性をリスト表示します。リストされているオブジェクトクラスは、エントリー情報をサポートするために使用できます。
オブジェクトクラスにリストされている必須属性は、そのオブジェクトクラスをディレクトリーの ldif
ファイルに追加する時にエントリーに存在している必要があります。オブジェクトクラスに、親のオブジェクトクラスがある場合は、必要なすべての属性を持つこれらのオブジェクトクラスの両方がエントリーに存在する必要があります。必要な属性が ldif
ファイルにリストされていない場合には、サーバーは再起動しません。
LDAP RFC および X.500 標準では、オブジェクトクラスに複数の親のオブジェクトクラスを含めることができます。この動作は現在、Directory Server ではサポートされていません。
9.1. アカウント
アカウント
オブジェクトクラスは、コンピューターアカウントのエントリーを定義します。このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.5
表9.1 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを指定します。 |
userID | 定義されたアカウントのユーザー ID を指定します。 |
表9.2 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
host | アカウントが存在するマシンのホスト名を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | アカウントが属する組織を指定します。 |
organizationalUnitName | アカウントが属する組織単位または部門を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.2. accountpolicy
accountpolicy
オブジェクトクラスは、アカウントの非アクティブ化または有効期限ポリシーのエントリーを定義します。これは、アカウントポリシープラグイン設定と連携して機能するユーザーディレクトリー設定のエントリーに使用されます。
上級クラス
top
OID
1.3.6.1.4.1.11.1.3.2.2.1
表9.3 使用できる属性
属性 | 定義 |
---|---|
accountInactivityLimit | アカウントの最終ログイン時刻から、非アクティブ時にアカウントがロックされるまでの時間を秒単位で設定します。 |
9.3. alias
alias
オブジェクトクラスは、他のディレクトリーエントリーを参照します。このオブジェクトクラスは RFC 2256 に定義されています。
エントリーのエイリアス作成は {PRODUCT} ではサポートされていません。
上級クラス
top
OID
2.5.6.1
表9.4 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
aliasedObjectName | エントリーがエイリアスの場合にエントリーの識別名を指定します。 |
9.4. bootableDevice
bootableDevice
オブジェクトクラスは、boot パラメーターが割り当てられたデバイスを指定します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.12
表9.5 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
表9.6 使用できる属性
属性 | 定義 |
---|---|
bootFile | ブートイメージファイルを指定します。 |
bootParameter | デバイスの起動プロセスで使用されるパラメーターを指定します。 |
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | デバイスが属する組織を指定します。 |
organizationalUnitName | デバイスが属する組織単位または部門を指定します。 |
owner | デバイスに対応するユーザーの DN (識別名) を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
serialNumber | デバイスのシリアル番号が含まれます。 |
9.5. cacheObject
cacheObject
は、存続時間 ( ttl
) 属性タイプを含むオブジェクトです。このオブジェクトクラスは、LDAP キャッシングインターネットドラフトで定義されています。
上級クラス
top
OID
1.3.6.1.4.1.250.3.18
表9.7 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
表9.8 使用できる属性
属性 | 定義 |
---|---|
timeToLive | オブジェクトがキャッシュに残っている (存続している) 時間。 |
9.6. cosClassicDefinition
cosClassicDefinition
オブジェクトクラスは、cosTemplateDn 属性で指定されたエントリーの DN (識別名) と、cosSpecifier 属性で指定されたターゲット属性の 1 つの値を使用して、サービスクラステンプレートエントリーを定義します。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
cosSuperDefinition
OID
2.16.840.1.113730.3.2.100
表9.9 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cosAttribute |
CoS が値を生成する属性の名前を指定します。複数の |
表9.10 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
cosSpecifier | 従来の CoS が使用する属性値を指定します。これは、テンプレートエントリーの DN とともに、テンプレートエントリーを識別します。 |
cosTemplateDn | CoS 定義に関連付けられたテンプレートエントリーの DN を提供します。 |
description | エントリーのテキスト説明を入力します。 |
9.7. cosDefinition
cosDefinition
オブジェクトクラスは、使用されているサービスクラスを定義します。このオブジェクトクラスで、DS4.1CoS プラグインとの互換性を確保します。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.84
表9.11 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.12 使用できる属性
属性 | 定義 |
---|---|
aci | Directory Server がクライアントから LDAP 要求を受信したときに付与または拒否される権限を評価します。 |
commonName | エントリーの共通名を指定します。 |
cosAttribute |
CoS が値を生成する属性の名前を指定します。複数の |
cosSpecifier | 従来の CoS が使用する属性値を指定します。これは、テンプレートエントリーの DN とともに、テンプレートエントリーを識別します。 |
cosTargetTree | CoS スキーマが適用されるディレクトリー内のサブツリーを定義します。 |
cosTemplateDn | CoS 定義に関連付けられたテンプレートエントリーの DN を提供します。 |
userID | エントリーのユーザー ID を指定します。 |
9.8. cosIndirectDefinition
cosIndirectDefinition
は、ターゲットエントリーの属性の 1 つの値を使用してテンプレートエントリーを定義します。ターゲットエントリーの属性は、cosIndirectSpecifier 属性で指定されます。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
cosSuperDefinition
OID
2.16.840.1.113730.3.2.102
表9.13 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cosAttribute |
CoS が値を生成する属性の名前を指定します。複数の |
表9.14 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
cosIndirectSpecifier | テンプレートエントリーを識別するために間接 CoS が使用する属性値を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.9. cosPointerDefinition
このオブジェクトクラスは、テンプレートエントリーの DN 値を使用して、CoS 定義に関連付けられたテンプレートエントリーを識別します。テンプレートエントリーの DN は、cosIndirectSpecifier 属性で指定されます。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
cosSuperDefinition
OID
2.16.840.1.113730.3.2.101
表9.15 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cosAttribute |
CoS が値を生成する属性の名前を指定します。複数の |
表9.16 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
cosTemplateDn | CoS 定義に関連付けられたテンプレートエントリーの DN を提供します。 |
description | エントリーのテキスト説明を入力します。 |
9.10. cosSuperDefinition
すべての CoS 定義オブジェクトクラスは、cosSuperDefinition
オブジェクトクラスを継承します。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
LDAPsubentry
OID
2.16.840.1.113730.3.2.99
表9.17 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
cosAttribute |
CoS が値を生成する属性の名前を指定します。複数の |
表9.18 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.11. cosTemplate
cosTemplate
オブジェクトクラスには、CoS の共有属性値のリストが含まれています。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.128
表9.19 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.20 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
cosPriority | 属性値の指定時に CoS テンプレートが競合する場合に、どのテンプレートがその属性値を提供するかを指定します。 |
9.12. country
country
オブジェクトクラスは、国を表すエントリーを定義します。このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.2
表9.21 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
countryName | ディレクトリー内の ISO で定義されている国名を表す 2 文字のコードが含まれます。 |
表9.22 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
9.13. dcObject
dcObject
オブジェクトクラスを使用すると、エントリーに対してドメインコンポーネントを定義できます。このオブジェクトクラスは、一般的に o
(organization
)、ou
(organizationalUnit
)、または l
(locality
) などの別のオブジェクトクラスと併用されるため、補助として定義されます。
以下に例を示します。
dn: dc=example,dc=com objectClass: top objectClass: organizationalUnit objectClass: dcObject dc: example ou: Example Corporation
このオブジェクトクラスは RFC 2247 に定義されています。
上級クラス
top
OID
1.3.6.1.4.1.1466.344
表9.23 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
dc | ドメイン名の 1 つのコンポーネントが含まれます。 |
9.14. device
device
オブジェクトクラスは、プリンターなどのネットワークデバイスに関する情報をディレクトリーに格納します。このオブジェクトクラスは RFC 2247 に定義されています。
上級クラス
top
OID
2.5.6.14
表9.24 必要な属性
属性 | 定義 |
---|---|
objectClass | デバイスに割り当てられたオブジェクトクラスを指定します。 |
commonName | デバイスの一般名を指定します。 |
表9.25 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | デバイスが属する組織を指定します。 |
organizationalUnitName | デバイスが属する組織単位または部門を指定します。 |
owner | デバイスに対応するユーザーの DN (識別名) を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
serialNumber | デバイスのシリアル番号が含まれます。 |
9.15. document
document
オブジェクトクラスは、ドキュメントを表すディレクトリーエントリーを定義します。RFC 1247
上級クラス
top
OID
0.9.2342.19200300.100.4.6
表9.26 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
documentIdentifier | ドキュメントの一意の ID を提供します。 |
表9.27 使用できる属性
属性 | 定義 |
---|---|
abstract | ドキュメントの要約が含まれています。 |
audio | サウンドファイルをバイナリー形式で格納します。 |
authorCn | 著者の一般名または通称を付けます。 |
authorSn | 作成者の名前を指定します。 |
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
dITRedirect | ドキュメントエントリーのリダイレクトとして使用するエントリーの DN (識別名) が含まれます。 |
documentAuthor | 作成者の DN (識別名) が含まれます。 |
documentLocation | 元のドキュメントの場所を示します。 |
documentPublisher | ドキュメントを公開した個人または組織を識別します。 |
documentStore | |
documentTitle | ドキュメントのタイトルが含まれています。 |
documentVersion | ドキュメントのバージョン番号を示します。 |
info | ドキュメントに関する情報が含まれています。 |
jpegPhoto | JPG イメージを保存します。 |
keyWords | ドキュメントに関連するキーワードが含まれています。 |
localityName | エントリーの市または地理的な場所を指定します。 |
lastModifiedBy | ドキュメントエントリーを修正した最終ユーザーの DN (識別名) を指定します。 |
lastModifiedTime | 最後の変更の時刻を示します。 |
manager | エントリーマネージャーの DN (識別名) を指定します。 |
organizationName | ドキュメントが属する組織を指定します。 |
obsoletedByDocument | 対象のドキュメントを 置き換える、別のドキュメントエントリーの DN (識別名) を指定します。 |
obsoletesDocument | このドキュメントで 置き換える、別のドキュメントエントリーの DN (識別名) を指定します。 |
organizationalUnitName | ドキュメントが属する組織単位または部門を指定します。 |
photo | ドキュメントの写真をバイナリー形式で保存します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
サブジェクト (subject) | ドキュメントの主題について説明します。 |
uniqueIdentifier | 識別名を再利用する場合は、2 つのエントリーを区別します。 |
updatedByDocument | 対象のドキュメントを 更新する 別のドキュメントエントリーの DN (識別名) を指定します。 |
updatesDocument | 対象のドキュメントで 更新される 別のドキュメントエントリーの DN (識別名) を指定します。 |
9.16. documentSeries
documentSeries
オブジェクトクラスは、一連のドキュメントを表すエントリーを定義します。このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.9
表9.28 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.29 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | ドキュメントシリーズが物理的に配置されている場所を指定します。 |
organizationName | ドキュメントシリーズが属する組織を指定します。 |
organizationalUnitName | シリーズが属する組織単位または部門を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
telephoneNumber | 一連のドキュメントの担当者の電話番号を指定します。 |
9.17. domain
domain
オブジェクトクラスは、DNS ドメインを表すディレクトリーエントリーを定義します。dc 属性を使用して、このオブジェクトクラスのエントリーに名前を付けます。
このオブジェクトクラスは、example.com
などのインターネットドメイン名にも使用されます。
domain
オブジェクトクラスは、組織、組織単位、またはオブジェクトクラスが定義されているその他のオブジェクトに対応しない ディレクトリーエントリーにのみ使用できます。
このオブジェクトクラスは RFC 2252 で定義されます。
上級クラス
top
OID
0.9.2342.19200300.100.4.13
表9.30 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
dc | ドメイン名の 1 つのコンポーネントが含まれます。 |
表9.31 使用できる属性
属性 | 定義 |
---|---|
associatedName | DNS ドメインに関連付けられた組織ディレクトリーツリー内のエントリー名を指定します。 |
businessCategory | このドメインが従事しているビジネスの種類を指定します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | ドメインの FAX 番号を指定します。 |
internationalISDNNumber | ドメインの ISDN 番号を示します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | エントリーが属する組織を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postOfficeBox | ドメインの私書箱番号を示します。 |
postalAddress | ドメインのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、ドメインの郵便番号を示します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ドメインがある州を指定します。 |
streetaddress | ドメインの物理的な場所の番地と住所を示します。 |
telephoneNumber | ドメインの電話番号を示します。 |
teletexTerminalIdentifier | ドメインのテレテックス端末の ID を提供します。 |
telexNumber | ドメインのテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | ドメインの X.121 アドレスを指定します。 |
9.18. domainRelatedObject
domainRelatedObject
オブジェクトクラスは、組織や組織単位などの X.500 ドメインと同等の DNS ドメインまたは NRS ドメインを表すエントリーを定義します。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.17
表9.32 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
associatedDomain | ディレクトリーツリー内のオブジェクトに関連付けられている DNS ドメインを指定します。 |
9.19. dSA
dSA
オブジェクトクラスは、DSA を表すエントリーを定義します。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
2.5.6.13
表9.33 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
presentationAddress | エントリーの OSI プレゼンテーションアドレスが含まれます。 |
表9.34 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
knowledgeinformation | |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
supportedApplicationContext | OSI アプリケーションコンテキストの識別子が含まれています。 |
9.20. extensibleObject
エントリーに存在する場合には、extensibleObject
は、エントリーがオプションで任意の属性を保持できるようにします。このクラスで使用できる属性リストは、暗黙的にはサーバーが認識している属性セットすべてです。
このオブジェクトクラスは RFC 2252 で定義されます。
上級クラス
top
OID
1.3.6.1.4.1.1466.101.120.111
表9.35 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
使用できる属性
サーバーに認識されているすべての属性。
9.21. friendlyCountry
friendlyCountry
オブジェクトクラスは、ディレクトリー内の国のエントリーを定義します。このオブジェクトクラスでは、country
オブジェクトクラスよりもわかりやすい名前を使用できます。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.18
表9.36 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
friendlyCountryName | 人間が読める国の名前を格納します。 |
countryName | ディレクトリー内の ISO で定義されている国名を表す 2 文字のコードが含まれます。 |
表9.37 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
9.22. groupOfCertificates
groupOfCertificates
オブジェクトクラスは、一連の X.509 証明書を記述します。memberCertificateDescription 値のいずれかに一致する証明書はすべて、グループのメンバーと見なされます。
上級クラス
top
OID
2.16.840.1.113730.3.2.31
表9.38 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.39 使用できる属性
属性 | 定義 |
---|---|
businessCategory | グループの参加先となるビジネス種別を指定します。 |
description | エントリーのテキスト説明を入力します。 |
memberCertificateDescription | 特定の証明書がこのグループのメンバーであるかどうかを判別するために使用される値が含まれています。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.23. groupOfMailEnhancedUniqueNames
groupOfMailEnhancedUniqueNames
オブジェクトクラスは、メールグループに使用されます。このグループのメンバーは一意でなければなりません。このオブジェクトクラスは Netscape Messaging Server に定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.5
表9.40 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.41 使用できる属性
属性 | 定義 |
---|---|
businessCategory | グループの参加先となるビジネス種別を指定します。 |
description | エントリーのテキスト説明を入力します。 |
mailEnhancedUniqueMember | メールグループのメンバーを識別するための一意の DN 値が含まれます。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.24. groupOfNames
groupOfNames
オブジェクトクラスには、名前のグループのエントリーが含まれています。このオブジェクトクラスは RFC 2256 に定義されています。
Directory Server でのこのオブジェクトクラスの定義は、標準の定義とは異なります。標準の定義では、member は必須属性ですが、Directory Server では使用可能な属性です。したがって、Directory Server では、グループにメンバーがないのを許可します。
上級クラス
top
OID
2.5.6.9
表9.42 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.43 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
member | グループメンバーの DN (識別名) が含まれます。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.25. groupOfUniqueNames
groupofuniquenames
オブジェクトクラスは、一意の名前を含むグループを定義します。
Directory Server でのこのオブジェクトクラスの定義は、標準の定義とは異なります。標準の定義では、uniqueMember は必須の属性ですが、Directory Server では使用可能な属性です。したがって、Directory Server では、グループにメンバーがないのを許可します。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.17
表9.44 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.45 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
uniqueMember | グループのメンバーの DN (識別名) が含まれます。この DN は一意である必要があります。 |
9.26. groupOfURLs
groupOfURLs
オブジェクトクラスは、groupofuniquenames
および groupOfNames
オブジェクトクラスの補助オブジェクトクラスです。このグループは、ラベル付けされた URL のリストで設定されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.33
表9.46 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.47 使用できる属性
属性 | 定義 |
---|---|
businessCategory | グループの参加先となるビジネス種別を指定します。 |
description | エントリーのテキスト説明を入力します。 |
memberURL | グループの各メンバーに関連付けられた URL が含まれます。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.27. ieee802Device
ieee802Device
オブジェクトクラスは、MAC アドレスのあるデバイスを指します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.11
表9.48 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
表9.49 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
macAddress | デバイスの MAC アドレスを指定します。 |
organizationName | デバイスが属する組織を指定します。 |
organizationalUnitName | デバイスが属する組織単位または部門を指定します。 |
owner | デバイスに対応するユーザーの DN (識別名) を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
serialNumber | デバイスのシリアル番号が含まれます。 |
9.28. inetAdmin
inetAdmin
オブジェクトクラスは、管理グループまたはユーザーのマーカーです。このオブジェクトクラスは Netscape Delegated Administrator に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.112
表9.50 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.51 使用できる属性
属性 | 定義 |
---|---|
adminRole | 管理ユーザーが属するロールを識別します。 |
memberOf | 管理ユーザーが属するグループ名が含まれます。これは MemberOf プラグインによって動的に管理されます。 |
9.29. inetDomain
inetDomain
オブジェクトクラスは、仮想ドメインノードの補助クラスです。このオブジェクトクラスは Netscape Delegated Administrator に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.129
表9.52 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.53 使用できる属性
属性 | 定義 |
---|---|
inetDomainBaseDN | DNS ドメインのユーザーサブツリーのベース DN を定義します。 |
inetDomainStatus | ドメインのステータスを示します。ステータスは active、inactive、または deleted のいずれかです。 |
9.30. inetOrgPerson
inetOrgPerson
オブジェクトクラスは、組織のエンタープライズネットワーク内のユーザーを表すエントリーを定義します。このオブジェクトクラスは、person
オブジェクトクラスから commonName 属性と surname 属性を継承します。
このオブジェクトクラスは RFC 2798 で定義されています。
上級クラス
person
OID
2.16.840.1.113730.3.2.2
表9.54 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
姓 | ユーザーの姓を指定します。 |
表9.55 使用できる属性
属性 | 定義 |
---|---|
audio | サウンドファイルをバイナリー形式で格納します。 |
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
carLicense | ユーザーの自動車登録番号を指定します。 |
departmentNumber | ユーザーが所属する部門を示します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
displayName | エントリーを表示するときに使用する推奨のユーザー名を表示します。 |
employeeNumber | その人の従業員番号が含まれます。 |
employeeType | ユーザーの雇用の種類を指定します (たとえば、フルタイム)。 |
facsimileTelephoneNumber | ユーザーの FAX 番号が含まれています。 |
givenName | そのユーザーの名前が含まれます。 |
homeTelephoneNumber | そのユーザーの自宅の電話番号を示します。 |
homePostalAddress | そのユーザーの自宅の郵送先住所を指定します。 |
initials | そのユーザーのイニシャルを指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
jpegPhoto | JPG イメージを保存します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
labeledURI | エントリーに関連する URL が含まれています。 |
| そのユーザーのメールアドレスが含まれます。 |
manager | person エントリーの直接スパーバイザーの DN (識別名) が含まれます。 |
mobile | そのユーザーの携帯電話番号を指定します。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
pagerTelephoneNumber | そのユーザーのポケットベル番号を指定します。 |
photo | 人物の写真をバイナリー形式で保存します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
preferredLanguage | その人が希望する書き言葉または話し言葉を指定します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
roomNumber | そのユーザーが存在する部屋番号を指定します。 |
secretary | そのユーザーの秘密や管理アシスタントの DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | そのユーザーの所在する州を指定します。 |
streetaddress | そのユーザーの物理的な場所の住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | そのユーザーのテレテックス端末の識別子を提供します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
title | そのユーザーの役職を表示します。 |
userID | そのユーザーのユーザー ID (通常はログイン ID) が含まれます。 |
userCertificate | ユーザーの証明書をクリアテキストで保存します (使用されていません)。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
userSMIMECertificate | S/MIME クライアントで使用できるように、個人の証明書をバイナリー形式で保存します。 |
x121Address | その人の X.121 アドレスを提供します。 |
x500UniqueIdentifier | 将来の使用のために予約されています。 |
9.31. inetSubscriber
inetSubscriber
オブジェクトクラスは、一般的なユーザーアカウント管理に使用されます。このオブジェクトクラスは Netscape サブスクライバーの相互運用性に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.134
表9.56 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.57 使用できる属性
属性 | 定義 |
---|---|
inetSubscriberAccountId | 加入者を課金システムにリンクする一意の属性が含まれています。 |
inetSubscriberChallenge | ユーザーの身元を確認するために使用される、ある種の質問またはプロンプト、チャレンジフレーズが含まれています。 |
inetSubscriberResponse | チャレンジフレーズの質問への回答が含まれています。 |
9.32. inetUser
inetUser
オブジェクトクラスは、加入者サービスを提供するためにエントリーに存在している必要がある補助クラスです。このオブジェクトクラスは Netscape サブスクライバーの相互運用性に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.130
表9.58 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.59 使用できる属性
属性 | 定義 |
---|---|
inetUserHttpURL | ユーザーに関連付けられた Web アドレスが含まれます。 |
inetUserStatus | ユーザーのステータスを指定します。ステータスは active、inactive、または deleted のいずれかです。 |
memberOf | ユーザーが属するグループ名が含まれます。これは MemberOf プラグインによって動的に管理されます。 |
userID | そのユーザーのユーザー ID (通常はログイン ID) が含まれます。 |
userPassword | ユーザーがユーザーアカウントへのアクセスに使用できるパスワードを保存します。 |
9.33. ipHost
ipHost
オブジェクトクラスは、ホストに関する IP 情報を格納します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.6
表9.60 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
ipHostNumber | デバイスまたはホストの IP アドレスが含まれます。 |
表9.61 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
manager | エントリーのメンテナーまたはスーパーバイザーの DN (識別名) が含まれます。 |
organizationName | デバイスが属する組織を指定します。 |
organizationalUnitName | デバイスが属する組織単位または部門を指定します。 |
owner | デバイスに対応するユーザーの DN (識別名) を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
serialNumber | デバイスのシリアル番号が含まれます。 |
9.34. ipNetwork
ipNetwork
オブジェクトクラスは、ネットワークに関する IP 情報を格納します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.7
表9.62 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
ipNetworkNumber | ネットワークの IP 番号が含まれます。 |
表9.63 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
manager | エントリーのメンテナーまたはスーパーバイザーの DN (識別名) が含まれます。 |
ipNetmaskNumber | ネットワークの IP ネットマスクが含まれます。 |
9.35. ipProtocol
ipProtocol
オブジェクトクラスは、IP プロトコルのバージョンを指定します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.4
表9.64 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
ipProtocolNumber | ネットワークの IP プロトコル番号が含まれます。 |
表9.65 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.36. ipService
ipService
オブジェクトクラスは、IP サービスに関する情報を格納します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.3
表9.66 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
ipServicePort | IP サービスで使用されるポート番号を示します。 |
ipServiceProtocol | サービスの IP プロトコル番号が含まれます。 |
表9.67 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.37. labeledURIObject
このオブジェクトクラスを既存のディレクトリーオブジェクトに追加して、URI 値を含めることができます。このオブジェクトクラスを使用しても、必要に応じて、labeledURI 属性タイプを他のオブジェクトクラスに直接含めることができます。
このオブジェクトクラスは RFC 2079 に定義されています。
上級クラス
top
OID
1.3.6.1.4.1.250.3.15
表9.68 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.69 使用できる属性
属性 | 定義 |
---|---|
labeledURI | エントリーのオブジェクトに関連する URI を指定します。 |
9.38. locality
locality
オブジェクトクラスは、地域または地理的領域を表すエントリーを定義します。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.3
表9.70 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.71 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | 地域に関連付けられている州または県を指定します。 |
streetaddress | 地域に関連付けられている通りと番号を示します。 |
9.39. mailGroup
mailGroup
オブジェクトクラスは、グループのメール属性を定義します。このオブジェクトは、Netscape Messaging Server のスキーマで定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.4
表9.72 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.73 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
| グループのメールアドレスを保存します。 |
mailAlternateAddress | グループのセカンダリーメールアドレスが含まれます。 |
mailHost | メールサーバーのホスト名が含まれます。 |
owner | グループの対象者の DN (識別名) が含まれます。 |
9.40. mailRecipient
mailRecipient
オブジェクトクラスは、ユーザーのメールアカウントを定義します。このオブジェクトは、Netscape Messaging Server のスキーマで定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.3
表9.74 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.75 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
| グループのメールアドレスを保存します。 |
mailAccessDomain | ユーザーがメッセージングサーバーにアクセスできるドメインが含まれます。 |
mailAlternateAddress | グループのセカンダリーメールアドレスが含まれます。 |
mailAutoReplyMode | アカウントの自動リプライモードが有効であるかどうかを指定します。 |
mailAutoReplyText | 自動返信メールに使用するテキストが含まれます。 |
mailDeliveryOption | メールユーザーに使用するメール配信メカニズムを指定します。 |
mailForwardingAddress | メールユーザーに使用するメール配信メカニズムを指定します。 |
mailHost | メールサーバーのホスト名が含まれます。 |
mailMessageStore | ユーザーのメールボックスの場所を指定します。 |
mailProgramDeliveryInfo | プログラムしたメール配信に使用されるコマンドを指定します。 |
mailQuota | ユーザーのメールボックスに許可されるディスク容量を指定します。 |
mailRoutingAddress | このエントリーのアカウントから別のメッセージングサーバーにメールを転送するときに使用するルーティングアドレスが含まれています。 |
multiLineDescription | 複数行にまたがるエントリーのテキスト説明が含まれています。 |
userID | 定義されたアカウントのユーザー ID を指定します。 |
userPassword | エントリーがアカウントにアクセスするために使用するパスワードを保存します。 |
9.41. mepManagedEntry
mepManagedEntry
オブジェクトクラスは、マネージドエントリープラグインのインスタンスによって生成されたエントリーを識別します。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.319
表9.76 使用できる属性
属性 | 定義 |
---|---|
mepManagedBy | マネージドエントリーに対応する元のエントリーの DN を指定します。 |
9.42. mepOriginEntry
mepOriginEntry
オブジェクトクラスは、マネージドエントリープラグインのインスタンスによって監視されるサブツリー内にあり、さらに プラグインによって作成されたマネージドエントリーを含むエントリーを識別します。これが元のエントリーになります。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.320
表9.77 使用できる属性
属性 | 定義 |
---|---|
mepManagedEntry | マネージドエントリープラグインインスタンスによって作成され、この元のエントリーに対応するマネージドエントリーの DN を指定します。 |
9.43. mepTemplateEntry
mepTemplateEntry
オブジェクトクラスは、マネージドエントリーを作成するためにマネージドエントリープラグインのインスタンスによってテンプレートとして使用されるエントリーを識別します。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.321
表9.78 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
mepMappedAttr | プラグインは、元のエントリーから取得した値で管理エントリーの属性を作成するために使用する属性とトークンのペアが含まれます。 |
mepRDNAttr | 管理エントリーで naming 属性として使用する属性を指定します。 |
mepStaticAttr | 管理エントリーに指定された値とともに使用される属性と値のペアが含まれます。 |
9.44. netscapeCertificateServer
netscapeCertificateServer
オブジェクトクラスは、Netscape 証明書サーバーに関する情報を格納します。このオブジェクトは、Netscape 証明書管理システムのスキーマで定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.18
表9.79 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
9.45. netscapeDirectoryServer
netscapeDirectoryServer
オブジェクトクラスは、Directory Server インスタンスに関する情報を格納します。このオブジェクトは Netscape Directory Server のスキーマで定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.23
表9.80 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
9.46. NetscapeLinkedOrganization
NetscapeLinkedOrganization
は、補助オブジェクトクラスです。このオブジェクトは、Netscape サーバースイートのスキーマで定義されています。
上級クラス
top
OID
1.3.6.1.4.1.1466.101.120.141
表9.81 使用できる属性
属性 | 定義 |
---|---|
parentOrganization | サーバースイート用に定義されたリンクされた組織の親組織を識別します。 |
9.47. netscapeMachineData
netscapeMachineData
オブジェクトクラスは、マシンデータとマシン以外のデータを区別します。このオブジェクトは Netscape Directory Server のスキーマで定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.32
9.48. NetscapePreferences
NetscapePreferences
は、ユーザー設定を格納する補助オブジェクトクラスです。このオブジェクトは Netscape によって定義されています。
上級クラス
top
OID
1.3.6.1.4.1.1466.101.120.142
表9.82 必要な属性
属性 | 定義 |
---|---|
preferredLanguage | その人が希望する書き言葉または話し言葉を指定します。 |
preferredLocale | ユーザーの希望のロケールを指定します。ロケール設定は、日付形式や通貨などの文化または国の設定を定義します。 |
preferredTimeZone | その人の好みのタイムゾーンを示します。 |
9.49. netscapeReversiblePasswordObject
netscapeReversiblePasswordObject
は、パスワードを格納するための補助オブジェクトクラスです。このオブジェクトは、NetscapeWeb サーバーのスキーマで定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.154
表9.83 使用できる属性
属性 | 定義 |
---|---|
netscapeReversiblePassword | HTTP ダイジェスト/MD5 認証に使用されるパスワードが含まれています。 |
9.50. netscapeServer
netscapeServer
オブジェクトクラスには、Netscape サーバーとそのインストールに関するインスタンス固有の情報が含まれています。
上級クラス
top
OID
2.16.840.1.113730.3.2.10
表9.84 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.85 使用できる属性
属性 | 定義 |
---|---|
administratorContactInfo | サーバー管理者の連絡先情報が含まれています。 |
adminUrl | インスタンスが使用する管理サーバーの URL が含まれます。 |
description | エントリーのテキスト説明を入力します。 |
installationTimeStamp | サーバーインスタンスがインストールされた時間が含まれます。 |
serverHostName | Directory Server インスタンスが実行しているサーバーのホスト名が含まれます。 |
serverProductName | サーバータイプの製品名が含まれます。 |
serverRoot | サーバー製品がインストールされている最上位ディレクトリーを指定します。 |
serverVersionNumber | 製品のバージョン番号が含まれています。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.51. netscapeWebServer
netscapeWebServer
オブジェクトクラスは、インストールされている NetscapeWeb サーバーを識別します。
上級クラス
top
OID
2.16.840.1.113730.3.2.29
表9.86 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
nsServerID | サーバーの名前または ID が含まれます。 |
表9.87 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
nsServerPort | サーバーのポート番号が含まれます。 |
9.52. newPilotPerson
newPilotPerson
オブジェクトクラスは、person
のサブクラスであり、person
オブジェクトクラスのエントリーに追加の属性を割り当てることができます。このオブジェクトクラスは、person
オブジェクトクラスから commonName 属性と surname 属性を継承します。
このオブジェクトクラスは、Internet White Pages Pilot で定義されています。
上級クラス
person
OID
0.9.2342.19200300.100.4.4
表9.88 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
姓 | ユーザーの姓を指定します。 |
表9.89 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
favoriteDrink | ユーザーの好きな飲み物を指定します。 |
homeTelephoneNumber | そのユーザーの自宅の電話番号を示します。 |
homePostalAddress | そのユーザーの自宅の郵送先住所を指定します。 |
janetMailbox | ユーザーのメールアドレスを指定します。これは主に、英国または RFC822 メールアドレスを使用しない組織で使用するためのものです。 |
| そのユーザーのメールアドレスが含まれます。 |
mailPreferenceOption | メーリングリスト (電子的または物理的) に自分の名前を追加するかどうか、ユーザーの希望を指定します。 |
mobile | そのユーザーの携帯電話番号を指定します。 |
organizationalStatus | ユーザーの職務に共通する職種を示します。 |
otherMailbox | X.400 および RFC822 以外の電子メールボックスタイプの値が含まれています。 |
pagerTelephoneNumber | そのユーザーのポケットベル番号を指定します。 |
Personal_Signature_personalSignature | 個人の署名ファイルが含まれています。 |
personalTitle | ユーザーの敬称を指定します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
roomNumber | そのユーザーが存在する部屋番号を指定します。 |
secretary | そのユーザーの秘密や管理アシスタントの DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
telephoneNumber | エントリーの電話番号を指定します。 |
userID | そのユーザーのユーザー ID (通常はログイン ID) が含まれます。 |
userClass | このエントリーのコンピューターユーザーのタイプを説明します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.53. nisMap
このオブジェクトクラスは NIS マップを指します。
このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.13
表9.90 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
nisMapName | NIS マップ名が含まれます。 |
表9.91 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.54. nisNetgroup
このオブジェクトクラスには、NIS ドメイン内で使用されるネットグループが含まれています。このオブジェクトクラスを追加すると、管理者はネットグループを使用して NIS でのログインとサービス認証を制御できます。
このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.8
表9.92 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.93 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
memberNisNetgroup | マージ netgroup の名前をリスト表示することで、別の netgroup の属性値を現在の値にマージします。 |
nisNetgroupTriple |
ユーザー名 ( |
9.55. nisObject
このオブジェクトクラスには、NIS ドメイン内のオブジェクトに関する情報が含まれています。
このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.10
表9.94 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
NisMapEntry | NIS マップエントリーを識別します。 |
nisMapName | NIS マップの名前が含まれています。 |
表9.95 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.56. nsAdminConfig
このオブジェクトクラスは管理サーバーの設定パラメーターを保存します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
nsConfig
OID
nsAdminConfig-oid
表9.96 使用できる属性
属性 | 定義 |
---|---|
nsAdminAccessAddresses | 管理サーバーの IP アドレスを識別します。 |
nsAdminAccessHosts | 管理サーバーのホスト名またはホスト名のリストが含まれます。 |
nsAdminCacheLifetime | キャッシュタイムアウト期間の長さに注意してください。 |
nsAdminCgiWaitPid | サーバーが待機している CGI プロセスの PID が含まれます。 |
nsAdminEnableEnduser | 管理サーバーの Web サービスページへのエンドユーザーアクセスを許可するか禁止するかを設定します。 |
nsAdminOneACLDir | 管理サーバーのローカル ACL ディレクトリーのパスが含まれます。 |
nsAdminUsers | 管理者ユーザー情報を含むファイルを指します。 |
9.57. nsAdminConsoleUser
このオブジェクトクラスは管理サーバーの設定パラメーターを保存します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
top
OID
nsAdminConsoleUser-oid
表9.97 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.98 使用できる属性
属性 | 定義 |
---|---|
nsPreference | コンソール設定の設定情報を格納します。 |
9.58. nsAdminDomain
このオブジェクトクラスは、管理コンソールにアクセスするためのユーザー情報を格納します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
organizationalUnit
OID
nsAdminDomain-oid
表9.99 使用できる属性
属性 | 定義 |
---|---|
nsAdminDomainName | サーバーの管理ドメインを識別します。 |
9.59. nsAdminGlobalParameters
このオブジェクトクラスは管理サーバーの設定パラメーターを保存します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
top
OID
nsAdminGlobalParameters-oid
表9.100 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.101 使用できる属性
属性 | 定義 |
---|---|
nsAdminEndUserHTMLIndex | HTML インデックスページへのエンドユーザーアクセスを許可するか禁止するかを設定します。 |
nsNickName | アプリケーションのニックネームを指定します。 |
9.60. nsAdminGroup
このオブジェクトクラスは、管理者ユーザーのグループ情報を管理サーバーに格納します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
top
OID
nsAdminGroup-oid
表9.102 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.103 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
nsAdminGroupName | 管理者グループの名前が含まれます。 |
nsAdminSIEDN | 管理サーバーインスタンスのサーバーインスタンスエントリー (SIE) の DN を表示します。 |
nsConfigRoot | 管理サーバーインスタンスの設定ディレクトリーへの完全パスを指定します。 |
9.61. nsAdminObject
このオブジェクトクラスには、タスクなど、管理サーバーによって使用されるオブジェクトに関する情報が含まれています。このオブジェクトは管理サービスに対して定義されます。
上級クラス
top
OID
nsAdminObject-oid
表9.104 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.105 使用できる属性
属性 | 定義 |
---|---|
nsClassname | 管理サーバーのタスクまたはリソースエディターに関連付けられているクラス名が含まれます。 |
nsJarfilename | 管理サーバーコンソールがオブジェクトへのアクセスに使用する JAR ファイルの名前を指定します。 |
9.62. nsAdminResourceEditorExtension
このオブジェクトクラスには、コンソールリソースエディターで使用される拡張機能が含まれています。このオブジェクトは管理サービスに対して定義されます。
上級クラス
nsAdminObject
OID
nsAdminResourceEditorExtension-oid
表9.106 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.107 使用できる属性
属性 | 定義 |
---|---|
nsAdminAccountInfo | 管理サーバーアカウントに関する情報が含まれています。 |
nsDeleteclassname | 削除するクラスの名前が含まれます。 |
9.63. nsAdminServer
このオブジェクトクラスは、管理サーバーインスタンスを定義します。このオブジェクトは管理サービスに対して定義されます。
上級クラス
top
OID
nsAdminServer-oid
表9.108 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
nsServerID |
|
表9.109 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.64. nsAIMpresence
nsAIMpresence
は、AOL インスタンスメッセージングアカウントのステータスを定義する補助オブジェクトクラスです。このオブジェクトは Directory Server に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.300
表9.110 使用できる属性
属性 | 定義 |
---|---|
nsAIMid | エントリーの AIM ユーザー ID が含まれています。 |
nsAIMStatusGraphic | AIM アカウントのステータスを示すグラフィックイメージへのポインターが含まれています。 |
nsAIMStatusText | AIM アカウントのステータスを示すテキストが含まれています。 |
9.65. nsApplication
nsApplication
は、アプリケーションまたはサーバーのエントリーを定義します。これは Netscape によって定義されています。
上級クラス
top
OID
nsApplication-oid
表9.111 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | エントリーの共通名を指定します。 |
表9.112 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
installationTimeStamp | サーバーインスタンスがインストールされた時間が含まれます。 |
nsBuildNumber | サーバーインスタンスのビルド番号が含まれます。 |
nsBuildSecurity | ビルドに使用されるセキュリティーのレベルが含まれます。 |
nsExpirationDate | アプリケーションのライセンスの有効期限が切れる日付が含まれます。 |
nsInstalledLocation | バージョン 7.1 以前のサーバーの場合に、サーバーのインストールディレクトリーを表示します。 |
nsLdapSchemaVersion | Directory Server が使用する LDAP スキーマファイルのバージョンを示します。 |
nsNickName | アプリケーションのニックネームを指定します。 |
nsProductName | サーバー製品の名前を示します。 |
nsProductVersion | サーバー製品のバージョン番号を表示します。 |
nsRevisionNumber | 製品のリビジョン番号 (マイナーバージョン) が含まれています。 |
nsSerialNumber | サーバー製品に割り当てられたシリアル番号を指定します。 |
nsServerMigrationClassname | サーバーインスタンスの移行に使用するクラスを指定します。 |
nsServerCreationClassname | サーバーインスタンスの作成に使用するクラスを指定します。 |
nsVendor | サーバーを設計したベンダーの名前が含まれます。 |
9.66. nsCertificateServer
nsCertificateServer
オブジェクトクラスは、Red Hat Certificate System インスタンスに関する情報を格納します。このオブジェクトは、証明書システムのスキーマで定義されています。
上級クラス
top
OID
nsCertificateServer-oid
表9.113 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
nsServerID | サーバーの名前または ID が含まれます。 |
表9.114 使用できる属性
属性 | 定義 |
---|---|
nsCertConfig | Red Hat Certificate System インスタンスの設定が含まれています。 |
nsServerPort | サーバーのポート番号が含まれます。 |
serverHostName | Directory Server インスタンスが実行しているサーバーのホスト名が含まれます。 |
9.67. nsComplexRoleDefinition
定義では、単純なロール以外のロールは、複雑なロールとなります。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
nsRoleDefinition
OID
2.16.840.1.113730.3.2.95
表9.115 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.116 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.68. nsContainer
一部のエントリーは特定のエンティティーを定義しませんが、類似または関連する子エントリーの親エントリーとしてディレクトリーツリー内に定義されたスペースを作成します。これらは コンテナーエントリー であり、nsContainer
オブジェクトクラスによって識別されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.104
表9.117 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
cn | エントリーの共通名を指定します。 |
9.69. nsCustomView
nsCustomView
オブジェクトクラスは、Directory Server データのカスタムビューに関する情報を定義します。
上級クラス
nsAdminObject
OID
nsCustomView-oid
表9.118 使用できる属性
属性 | 定義 |
---|---|
nsDisplayName | カスタムビュー設定プロファイルの名前が含まれます。 |
9.70. nsDefaultObjectClasses
nsDefaultObjectClasses
は、ディレクトリー内に特定のタイプのオブジェクトの新規作成時に使用するデフォルトのオブジェクトクラスを設定します。これは管理サービスに対して定義されます。
上級クラス
top
OID
nsDefaultObjectClasses-oid
表9.119 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
表9.120 使用できる属性
属性 | 定義 |
---|---|
nsDefaultObjectClass | デフォルトでオブジェクトタイプに割り当てるオブジェクトクラスが含まれます。 |
9.71. nsDirectoryInfo
nsDirectoryInfo
には、ディレクトリーインスタンスに関する情報が含まれています。これは管理サービスに対して定義されます。
上級クラス
top
OID
nsDirectoryInfo-oid
表9.121 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | デバイスの一般名を指定します。 |
表9.122 使用できる属性
属性 | 定義 |
---|---|
nsBindDN | サーバーインスタンスエントリーのサーバーに対して定義されたバインド DN が含まれます。 |
nsBindPassword | SIE にバインドアイデンティティーのパスワードが含まれます。 |
nsDirectoryFailoverList |
|
nsDirectoryInfoRef | ディレクトリー内の識別名 (DN) への参照が含まれています。 |
nsDirectoryURL | Directory Server インスタンスにアクセスするための URL が含まれています。 |
9.72. nsDirectoryServer
nsDirectoryServer
は、Directory Server インスタンスの定義オブジェクトクラスです。これは、Directory Server に対して定義されています。
上級クラス
top
OID
nsDirectoryServer-oid
表9.123 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
nsServerID | サーバーの名前または ID が含まれます。 |
表9.124 使用できる属性
属性 | 定義 |
---|---|
nsBaseDN | サーバーインスタンスのベース DN が含まれます。 |
nsBindDN | サーバーインスタンスエントリーのサーバーに対して定義されたバインド DN が含まれます。 |
nsBindPassword | SIE にバインドアイデンティティーのパスワードが含まれます。 |
nsSecureServerPort | サーバーの TLS ポート番号が含まれます。 |
nsServerPort | サーバーのポート番号が含まれます。 |
serverHostName | Directory Server インスタンスが実行しているサーバーのホスト名が含まれます。 |
9.73. nsFilteredRoleDefinition
nsFilteredRoleDefinition
オブジェクトクラスは、各エントリーに含まれる属性に応じて、エントリーがロールに割り当てられる方法を定義します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.97
表9.125 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
nsRoleFilter | フィルターされたロールのエントリーを識別するために使用されるフィルターを指定します。 |
表9.126 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.74. nsGlobalParameters
nsGlobalParameters
オブジェクトクラスには、グローバルプリファレンス設定が含まれています。
このオブジェクトクラスは Administrative Services で定義されます。
上級クラス
top
OID
nsGlobalParameters-oid
表9.127 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.128 使用できる属性
属性 | 定義 |
---|---|
nsGroupRDNComponent | グループエントリーの RDN で使用されるデフォルトの属性タイプを定義します。 |
nsUniqueAttribute | 設定で一意の属性を定義します。 |
nsUserIDFormat |
指定された |
nsUserRDNComponent | ユーザー DN のネーミングコンポーネントとして使用する属性タイプを設定します。 |
nsNYR | 使用されていません。 |
nsWellKnownJarfiles | 使用されていません。 |
9.75. nsHost
nsHost
オブジェクトクラスは、サーバーホストに関する情報を格納します。
このオブジェクトクラスは Administrative Services で定義されます。
上級クラス
top
OID
nsHost-oid
表9.129 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.130 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
nsHardwarePlatform |
Directory Server インスタンスが実行されているホストのハードウェアプラットフォームを識別します。これは、 |
nsHostLocation | サーバーホストの場所を示します。 |
nsOsVersion | サーバーホストのオペレーティングシステムバージョンが含まれます。 |
serverHostName | Directory Server インスタンスが実行しているサーバーのホスト名が含まれます。 |
9.76. nsICQpresence
nsICQpresence
は、ICQ メッセージングアカウントのステータスを定義する補助オブジェクトクラスです。このオブジェクトは Directory Server に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.301
表9.131 使用できる属性
属性 | 定義 |
---|---|
nsICQid | エントリーの ICQ ユーザー ID が含まれています。 |
nsICQStatusGraphic | ICQ アカウントのステータスを示すグラフィックイメージへのポインターが含まれています。 |
nsICQStatusText | ICQ アカウントのステータスを示すテキストが含まれています。 |
9.77. nsLicenseUser
nsLicenseUser
オブジェクトクラスは、クライアントごとにライセンスが付与されているサーバーのライセンスを追跡します。nsLicenseUser
は、inetOrgPerson
オブジェクトクラスで使用することを目的としています。このオブジェクトクラスの内容は、管理サーバーの ユーザーとグループ
領域から管理できます。
このオブジェクトクラスは、管理サーバースキーマで定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.7
表9.132 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.133 使用できる属性
属性 | 定義 |
---|---|
nsLicensedFor | ユーザーが使用を許可されているサーバーを識別します。 |
nsLicenseEndTime | 将来の使用のために予約されています。 |
nsLicenseStartTime | 将来の使用のために予約されています。 |
9.78. nsManagedRoleDefinition
nsManagedRoleDefinition
オブジェクトクラスは、明示的に列挙されたメンバーリストへのロールのメンバー割り当てを指定します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.96
表9.134 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.135 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.79. nsMessagingServerUser
nsICQpresence
は、メッセージングサーバーユーザーを記述する補助オブジェクトクラスです。このオブジェクトクラスは Netscape Messaging Server に定義されます。
上級クラス
top
OID
2.16.840.113730.3.2.37
表9.136 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを指定します。 |
表9.137 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
mailAccessDomain | ユーザーがメッセージングサーバーにアクセスできるドメインが含まれます。 |
mailAlternateAddress | グループのセカンダリーメールアドレスが含まれます。 |
mailAutoReplyMode | アカウントの自動リプライモードが有効であるかどうかを指定します。 |
mailAutoReplyText | 自動返信メールに使用するテキストが含まれます。 |
mailDeliveryOption | メールユーザーに使用するメール配信メカニズムを指定します。 |
mailForwardingAddress | メールユーザーに使用するメール配信メカニズムを指定します。 |
mailMessageStore | ユーザーのメールボックスの場所を指定します。 |
mailProgramDeliveryInfo | プログラムしたメール配信に使用されるコマンドを指定します。 |
mailQuota | ユーザーのメールボックスに許可されるディスク容量を指定します。 |
nsmsgDisallowAccess | ユーザーが使用できるメールプロトコルに制限を設定します。 |
nsmsgNumMsgQuota | ユーザーのメールボックスに許可されるメッセージの数を指定します。 |
nswmExtendedUserPrefs | ユーザーの拡張設定を保存します。 |
vacationEndDate | 休暇期間の終了日が含まれます。 |
vacationStartDate | 休暇期間の開始日が含まれます。 |
9.80. nsMSNpresence
nsMSNpresence
は、MSN インスタンスメッセージングアカウントのステータスを定義する補助オブジェクトクラスです。このオブジェクトは Directory Server に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.303
表9.138 使用できる属性
属性 | 定義 |
---|---|
nsMSNid | エントリーの MSN ユーザー ID が含まれます。 |
9.81. nsNestedRoleDefinition
nsNestedRoleDefinition
オブジェクトクラスは、任意のタイプの 1 つ以上のロールが、ロール内のメンバーとして含まれることを指定します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.98
表9.139 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
nsRoleDn | エントリーに割り当てられるロールを指定します。 |
表9.140 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.82. nsResourceRef
nsNestedRoleDefinition
オブジェクトクラスは、リソース参照を設定します。
このオブジェクトクラスは、管理サービスで定義されています。
上級クラス
top
OID
nsResourceRef-oid
表9.141 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.142 使用できる属性
属性 | 定義 |
---|---|
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.83. nsRoleDefinition
すべてのロール定義オブジェクトクラスは、nsRoleDefinition
オブジェクトクラスから継承されます。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
LDAPsubentry
OID
2.16.840.1.113730.3.2.93
表9.143 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.144 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.84. nsSimpleRoleDefinition
このオブジェクトクラスを含むロールは、柔軟性が意図的に制限されているため、単純なロールと呼ばれます。これにより、次のことが容易になります。
- ロールのメンバーを列挙する。
- 特定のエントリーに特定のロールが割り当てられているどうかを判断する。
- 特定のエントリーが持つすべてのロールを列挙する。
- 特定のエントリーに特定のロールを割り当てる。
- 特定のエントリーから特定のロールを削除する
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
nsRoleDefinition
OID
2.16.840.1.113730.3.2.94
表9.145 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.146 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
9.85. nsSNMP
このオブジェクトクラスは、Directory Server が使用する SNMP プラグインオブジェクトの設定を定義します。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.41
表9.147 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
nsSNMPEnabled | Directory Server インスタンスに対して SNMP を有効にするかどうかを設定します。 |
表9.148 使用できる属性
属性 | 定義 |
---|---|
nsSNMPContact | SNMP エージェントにより渡される連絡先情報が含まれています。 |
nsSNMPDescription | SNMP 設定のテキスト説明が含まれています。 |
nsSNMPLocation | SNMP エージェントのロケーション情報または設定が含まれています。 |
nsSNMPMasterHost | SNMP マスターエージェントが配置されているサーバーのホスト名が含まれます。 |
nsSNMPMasterPort | SNMP サブエージェントにアクセスするためのポートが含まれています。 |
nsSNMPOrganization | SNMP サービスで渡される組織名または情報が含まれます。 |
9.86. nsTask
このオブジェクトクラスは、Directory Server によって実行されるタスクの設定を定義します。
このオブジェクトクラスは Administrative Services に対して定義されます。
上級クラス
top
OID
nsTask-oid
表9.149 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.150 使用できる属性
属性 | 定義 |
---|---|
nsExecRef | タスクを実行するプログラムへの参照が含まれます。 |
nsHelpRef | タスクウィンドウに関連付けられたオンライン (HTML) ヘルプファイルへの参照が含まれます。 |
nsLogSuppress | タスクのロギングを抑制するかどうかを設定します。 |
nsTaskLabel | コンソールのタスクに関連付けられたラベルが含まれます。 |
9.87. nsTaskGroup
このオブジェクトクラスは、コンソール内のタスクのグループの情報を定義します。
このオブジェクトクラスは Administrative Services に対して定義されます。
上級クラス
top
OID
nsTaskGroup-oid
表9.151 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.152 使用できる属性
属性 | 定義 |
---|---|
nsTaskLabel | コンソールのタスクに関連付けられたラベルが含まれます。 |
9.88. nsTopologyCustomView
このオブジェクトクラスは、コンソールのプロファイルに使用されるトポロジービューを設定します。
このオブジェクトクラスは Administrative Services に対して定義されます。
上級クラス
nsCustomView
OID
nsTopologyCustomView-oid
表9.153 必要な属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
表9.154 使用できる属性
属性 | 定義 |
---|---|
nsViewConfiguration | コンソールで使用するビュー設定が含まれています。 |
9.89. nsTopologyPlugin
このオブジェクトクラスは、コンソールでのビュー設定に使用されるトポロジープラグインを設定します。
このオブジェクトクラスは Administrative Services に対して定義されます。
上級クラス
nsAdminObject
OID
nsTopologyPlugin-oid
9.90. nsValueItem
このオブジェクトクラスは、値アイテムのオブジェクト設定を定義します。これは、エントリーの値タイプに依存する情報を指定するために使用されます。値項目は、バイナリー文字列や、大文字と小文字を区別する文字列など、エントリー属性で使用可能な属性値の構文に関連しています。
このオブジェクトクラスは、Netscape Servers-Value Item で定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.45
表9.155 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.156 使用できる属性
属性 | 定義 |
---|---|
nsValueBin | バイナリー値タイプに関連する情報または操作が含まれています。 |
nsValueCES | 大文字と小文字を区別する文字列 (CES) の値の型に関連する情報または操作が含まれます。 |
nsValueCIS | 大文字と小文字を区別しない (CIS) 値の型に関連する情報または操作が含まれます。 |
nsValueDefault | 属性または設定パラメーターに使用するデフォルト値のタイプを設定します。 |
nsValueDescription | 値項目設定のテキスト説明を指定します。 |
nsValueDN | DN 値タイプに関連する情報または操作が含まれています。 |
nsValueFlags | 値アイテムオブジェクトのフラグを設定します。 |
nsValueHelpURL | 値アイテムオブジェクトに関連付けられたオンライン (HTML) ヘルプファイルへの参照が含まれています。 |
nsValueInt | 整数値型に関連する情報または操作が含まれています。 |
nsValueSyntax | 値アイテムオブジェクトに使用する構文を定義します。 |
nsValueTel | 電話の文字列値のタイプに関連する情報または操作が含まれています。 |
nsValueType | 適用する値のタイプを設定します。 |
9.91. nsView
このオブジェクトクラスは、ディレクトリーツリーのビューエントリーに使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.304
表9.157 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.158 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
nsViewFilter | ビュープラグインで使用されるフィルターを識別します。 |
9.92. nsYIMpresence
nsYIMpresence
は、Yahoo インスタンスメッセージングアカウントのステータスを定義する補助オブジェクトクラスです。このオブジェクトは Directory Server に対して定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.302
表9.159 使用できる属性
属性 | 定義 |
---|---|
nsYIMid | エントリーの Yahoo ユーザー ID が含まれます。 |
nsYIMStatusGraphic | Yahoo アカウントのステータスを示すグラフィックイメージへのポインターが含まれています。 |
nsYIMStatusText | Yahoo アカウントのステータスを示すテキストが含まれています。 |
9.93. ntGroup
ntGroup
オブジェクトクラスは、Active Directory サーバーに格納されているグループエントリーのデータを保持します。いくつかの Directory Server 属性は、Windows グループ属性に直接対応するか、一致するようにマップされます。Windows Server グループと同期する新しいグループを Directory Server に作成すると、Directory Server 属性が Windows エントリーに割り当てられます。これらの属性は、いずれかのディレクトリーサービスでエントリーに追加、変更、または削除できます。
このオブジェクトクラスは Netscape NT Synchronization で定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.9
表9.160 必要なオブジェクトクラス
オブジェクトクラス | 定義 |
---|---|
mailGroup |
|
表9.161 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
ntUserDomainId | グループアカウントの Windows ドメインログイン ID が含まれます。 |
表9.162 使用できる属性
属性 | 定義 |
---|---|
commonName |
エントリーの一般的な名前を指定します。これは Windows の |
description |
エントリーのテキストの説明を指定します。Windows の |
localityName | エントリーの市または地理的な場所を指定します。 |
member | グループのメンバーを指定します。 |
ntGroupCreateNewGroup | Directory Server でエントリーを作成するときに Windows アカウントを作成するかどうかを指定します。 |
ntGroupDeleteGroup | Directory Server でエントリーが削除されたときに Windows アカウントを削除するかどうかを指定します。 |
ntGroupDomainId | グループのドメイン ID 文字列を提供します。 |
ntGroupType | エントリーがどの種類の Windows ドメイングループであるかを定義します。 |
ntUniqueId | サーバーが操作と識別に使用する、生成された ID 番号が含まれます。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
9.94. ntUser
ntUser
エントリーは、Active Directory サーバーに格納されているユーザーエントリーのデータを保持します。いくつかの Directory Server 属性は、Windows ユーザーアカウントフィールドに直接対応するか、一致するようにマップされます。Windows Server と同期する新しい個人エントリーを Directory Server に作成すると、Directory Server の属性が Windows ユーザーアカウントフィールドに割り当てられます。これらの属性は、いずれかのディレクトリーサービスでエントリーに追加、変更、または削除できます。
このオブジェクトクラスは Netscape NT Synchronization で定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.8
表9.163 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName |
エントリーの一般的な名前を指定します。これは Windows の |
ntUserDomainId | ユーザーアカウントの Windows ドメインログイン ID が含まれます。 |
表9.164 使用できる属性
属性 | 定義 |
---|---|
description |
エントリーのテキストの説明を指定します。Windows の |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | ユーザーの FAX 番号を指定します。 |
givenName | そのユーザーの名前が含まれます。 |
homeTelephoneNumber | そのユーザーの自宅の電話番号を示します。 |
homePostalAddress | そのユーザーの自宅の郵送先住所を指定します。 |
initials | そのユーザーのイニシャルを指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
| そのユーザーのメールアドレスが含まれます。 |
manager | person エントリーの直接スパーバイザーの DN (識別名) が含まれます。 |
mobile | そのユーザーの携帯電話番号を指定します。 |
ntUserAcctExpires | ユーザーの Windows アカウントの有効期限を識別します。 |
ntUserCodePage | ユーザーのコードページに移動します。 |
ntUserCreateNewAccount | このエントリーを Directory Server で作成するときに、Windows アカウントを作成するかどうかを指定します。 |
ntUserDeleteAccount | Directory Server でこのエントリーを削除するときに、Windows アカウントを削除するかどうかを指定します。 |
ntUserHomeDir | ユーザーのホームディレクトリーへのパスを指定します。 |
ntUserLastLogoff | Windows Server からユーザーが最後にログオフした時間を示します。 |
ntUserLastLogon | ユーザーが最後に Windows Server にログオンした時刻を示します。 |
ntUserMaxStorage | Windows Server でユーザーが使用できる最大ディスク容量を表示します。 |
ntUserParms | アプリケーションで使用するために予約されている Unicode 文字列が含まれています。 |
ntUserProfile | ユーザーの Windows プロファイルへのパスが含まれます。 |
ntUserScriptPath | ユーザーの Windows ログインスクリプトへのパスが含まれます。 |
ntUserWorkstations | ユーザーが Windows ドメインにログインできる Windows ワークステーションのリストが含まれます。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
pagerTelephoneNumber | そのユーザーのポケットベル番号を指定します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
姓 | ユーザーの姓を指定します。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | ユーザーの物理的な場所の番地と住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | そのユーザーのテレテックス端末の識別子を提供します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
title | そのユーザーの役職を表示します。 |
userCertificate | ユーザーの証明書をクリアテキストで保存します (使用されていません)。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.95. oncRpc
oncRpc
オブジェクトクラスは、Open Network Computing Remote Procedure Call (ONC RPC) の抽象化を定義します。このオブジェクトクラスは RFC 2307 に定義されています。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.5
表9.165 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーのオブジェクトクラスを定義します。 |
commonName | エントリーの共通名を指定します。 |
oncRpcNumber | RPC マップの一部を含み、UNIXRPC の RPC 番号を格納します。 |
表9.166 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
9.96. 組織
組織
属性は、組織を表すエントリーを定義します。組織は通常、大企業またはエンタープライズ内の大規模で比較的静的なグループであると見なされます。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.4
表9.167 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
organizationName | エントリーが属する組織を指定します。 |
表9.168 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | エントリーの希望の連絡方法およびメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | そのユーザーの物理的な場所の住所を示します。 |
telephoneNumber | 組織の責任者の電話番号を示します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.97. organizationalPerson
OrganizationalPerson
オブジェクトクラスは、組織に雇用されている、または所属しているユーザーのエントリーを定義します。このオブジェクトクラスは、person
オブジェクトクラスから commonName 属性と surname 属性を継承します。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
person
OID
2.5.6.7
表9.169 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
姓 | ユーザーの姓を指定します。 |
表9.170 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | そのユーザーの物理的な場所の住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
title | そのユーザーの役職を表示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.98. organizationalRole
OrganizationalRole
オブジェクトクラスは、組織内のユーザーが保持するロールのエントリーの定義に使用されます。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.8
表9.171 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.172 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | ロールの連絡方法またはメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
roleOccupant | ロール内のユーザーの DN (識別名) が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | そのユーザーの所在する州を指定します。 |
streetaddress | そのロールの物理的な場所の住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.99. organizationalUnit
OrganizationalUnit
オブジェクトクラスは、組織の部門 を表すエントリーを定義します。このクラスは、一般的に、大規模な組織内の比較的静的なグループ分けであると認識されています。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.5
表9.173 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
表9.174 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | 希望する連絡方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | そのロールの物理的な場所の住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.100. person
person
オブジェクトクラスは、一般的なユーザーのエントリーを表します。これは、organizationalPerson
オブジェクトクラスの基本オブジェクトクラスです。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.6
表9.175 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
姓 | ユーザーの姓を指定します。 |
表9.176 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
telephoneNumber | エントリーの電話番号を指定します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.101. pilotObject
PilotObject
は、他のすべてのオブジェクトクラスのエントリーに追加の属性を割り当てることができるようにするサブクラスです。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.3
表9.177 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.178 使用できる属性
属性 | 定義 |
---|---|
audio | サウンドファイルをバイナリー形式で保存します。 |
dITRedirect | エントリーのリダイレクトとして使用するエントリーの DN (識別名) が含まれます。 |
info | エントリーに関する情報が含まれています。 |
jpegPhoto | JPG イメージを保存します。 |
lastModifiedBy | ドキュメントエントリーを修正した最終ユーザーの DN (識別名) を指定します。 |
lastModifiedTime | オブジェクトが最後に変更された時刻を指定します。 |
manager | エントリーマネージャーの DN (識別名) を指定します。 |
photo | ドキュメントの写真をバイナリー形式で保存します。 |
uniqueIdentifier | 識別名を再利用する場合は、2 つのエントリーを区別します。 |
9.102. pilotOrganization
PilotOrganization
オブジェクトクラスは、organization
および organizationalUnit
オブジェクトクラスエントリーに属性を追加するために使用されるサブクラスです。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.20
表9.179 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
organizationName | エントリーが属する組織を指定します。 |
organizationalUnitName | エントリーが属する組織単位または部門を指定します。 |
表9.180 使用できる属性
属性 | 定義 |
---|---|
buildingName | 対象のエントリーが配置されている建物の名前を指定します。 |
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | 希望する連絡方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | ユーザーの物理的な場所の番地と住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.103. pkiCA
pkiCA
補助オブジェクトクラスには、認証局用に設定された必須または使用可能な証明書が含まれています。このオブジェクトクラスは RFC 4523 に定義されています。これは、X.509 証明書および関連する証明書サービスの管理に使用する LDAP のオブジェクトクラスおよび属性を定義します。
上級クラス
top
OID
2.5.6.22
表9.181 使用できる属性
属性 | 定義 |
---|---|
authorityRevocationList | 取り消された CA 証明書のリストが含まれています。 |
cACertificate | CA 証明書が含まれています。 |
certificateRevocationList | 取り消された証明書のリストが含まれています。 |
crossCertificatePair | FBCA スタイルのブリッジ CA 設定で CA のペアを相互認証するために使用される証明書のペアが含まれています。 |
9.104. pkiUser
pkiUser
補助オブジェクトクラスには、公開鍵インフラストラクチャーの認証局または要素に接続するユーザーまたはクライアントに必要な証明書が含まれます。このオブジェクトクラスは RFC 4523 に定義されています。これは、X.509 証明書および関連する証明書サービスの管理に使用する LDAP のオブジェクトクラスおよび属性を定義します。
上級クラス
top
OID
2.5.6.21
表9.182 使用できる属性
属性 | 定義 |
---|---|
userCertificate | ユーザーの証明書 (通常はバイナリー形式) を保存します。 |
9.105. posixAccount
posixAccount
オブジェクトクラスは、POSIX 属性を使用するネットワークアカウントを定義します。このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.0
表9.183 必要な属性
属性 | 定義 |
---|---|
commonName | エントリーの共通名を指定します。 |
gidNumber | Unix のグループ番号に類似した、グループエントリーまたはユーザーエントリーのグループを識別するための一意の数値識別子が含まれます。 |
homeDirectory | ユーザーのホームディレクトリーへのパスを含めます。 |
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
userID | 定義されたアカウントのユーザー ID を指定します。 |
uidNumber | Unix のユーザー番号に類似した、ユーザーエントリーの一意の数値識別子が含まれます。 |
表9.184 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
gecos | ユーザーの GECOS フィールドを決定するために使用されます。これはコモンネーム (CN) に基づいており、追加の情報が埋め込まれています。 |
loginShell | ユーザーがドメインにログインすると自動的に起動するスクリプトへのパスが含まれます。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.106. posixGroup
posixGroup
オブジェクトクラスは、POSIX 属性を使用するネットワークアカウントのグループを定義します。このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
上級クラス
top
OID
1.3.6.1.1.1.2.2
表9.185 必要な属性
属性 | 定義 |
---|---|
gidNumber | ユーザーがドメインにログインすると自動的に起動するスクリプトへのパスが含まれます。 |
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.186 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
memberUid | グループメンバーのログイン名を指定します。これは、メンバーの DN と同じではない可能性があります。 |
userPassword | グループのメンバーのログイン名が含まれます。 |
9.107. referral
referral
オブジェクトクラスは、LDAPv3 スマート参照をサポートするオブジェクトを定義します。このオブジェクトクラスは、LDAPv3 参照インターネットドラフトで定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.6
表9.187 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表9.188 使用できる属性
属性 | 定義 |
---|---|
ref | LDAPv3 スマート参照の情報が含まれています。 |
9.108. residentialPerson
ResidentialPerson
オブジェクトクラスでは、個人の居住情報を管理します。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.10
表9.189 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
姓 | ユーザーの姓を指定します。 |
表9.190 使用できる属性
属性 | 定義 |
---|---|
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | ユーザーの物理的な場所の番地と住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | エントリーのテレテックス端末の ID を指定します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.109. RFC822LocalPart
RFC822LocalPart
オブジェクトクラスは、RFC822 メールアドレスのローカル部分を表すエントリーを定義します。ディレクトリーは、RFC822 アドレスのこの部分をドメインとして扱います。
このオブジェクトクラスは、インターネットディレクトリーパイロットによって定義されます。
上級クラス
domain
OID
0.9.2342.19200300.100.4.14
表9.191 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
dc | ドメイン名の 1 つのコンポーネントが含まれます。 |
表9.192 使用できる属性
属性 | 定義 |
---|---|
associatedName | DNS ドメインに関連付けられた組織ディレクトリーツリー内のエントリー名を指定します。 |
businessCategory | エントリーが従事しているビジネスの種類を示します。 |
commonName | エントリーの共通名を指定します。 |
description | エントリーのテキスト説明を入力します。 |
destinationIndicator | エントリーに関連付けられている国と都市を指定します。これはかつて、公共の電報サービスを提供するのに必要でした。 |
facsimileTelephoneNumber | エントリーの fax 番号を指定します。 |
internationalISDNNumber | エントリーの ISDN 番号を指定します。 |
localityName | エントリーの市または地理的な場所を指定します。 |
organizationName | アカウントが属する組織を指定します。 |
physicalDeliveryOfficeName | 物理的な配送が可能な場所を提供します。 |
postalAddress | エントリーのメールアドレスが含まれます。 |
postalCode | 米国の郵便番号など、エントリーの郵便番号を示します。 |
postOfficeBox | エントリーの私書箱番号を示します。 |
preferredDeliveryMethod | ユーザーの連絡方法またはメッセージ配信方法を示します。 |
General_Atttribute_registeredAddress | 受信者が配信を確認する必要がある場合に、編集したドキュメントを受け取るのに使用される住所を指定します。 |
searchGuide | エントリーを検索用にディレクトリーツリーのベースオブジェクトとして使用する場合に、提案した検索条件の情報を指定します。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
姓 | ユーザーの姓を指定します。 |
stateOrProvinceName | ユーザーのいる州を指定します。 |
streetaddress | ユーザーの物理的な場所の番地と住所を示します。 |
telephoneNumber | エントリーの電話番号を指定します。 |
teletexTerminalIdentifier | そのユーザーのテレテックス端末の識別子を提供します。 |
telexNumber | エントリーに関連付けられているテレックス番号を示します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
x121Address | エントリーの X.121 アドレスを指定します。 |
9.110. room
room
オブジェクトクラスは、部屋に関する情報をディレクトリーに格納します。
上級クラス
top
OID
0.9.2342.19200300.100.4.7
表9.193 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
commonName | エントリーの共通名を指定します。 |
表9.194 使用できる属性
属性 | 定義 |
---|---|
description | ルームのテキスト説明を入力します。 |
roomNumber | 部屋の番号が含まれます。 |
seeAlso | 関連情報が含まれる別のエントリーまたはサイトへの URL が含まれます。 |
telephoneNumber | エントリーの電話番号を指定します。 |
9.111. shadowAccount
shadowAccount
オブジェクトクラスを使用すると、LDAP ディレクトリーをシャドウパスワードサービスとして使用できます。シャドウパスワードサービスは、アクセスが厳密に制限されたシャドウファイルに、ホスト上のパスワードファイルを再配置します。
このオブジェクトクラスは RFC 2307 で定義され、LDAP をネットワーク情報サービスとして使用するオブジェクトクラスおよび属性を定義します。
このオブジェクトクラスは、Directory Server の 10rfc2307.ldif
で定義されています。更新された RFC 2307 スキーマを使用するには、10rfc2307.ldif
ファイルを削除し、/usr/share/dirsrv/data
ディレクトリーの 10rfc2307bis.ldif
ファイルを /etc/dirsrv/slapd-instance/schema
ディレクトリーにコピーします。
上級クラス
top
OID
1.3.6.1.1.1.2.1
表9.195 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
userID | 定義されたアカウントのユーザー ID を指定します。 |
表9.196 使用できる属性
属性 | 定義 |
---|---|
description | エントリーのテキスト説明を入力します。 |
shadowExpire | シャドウアカウントの有効期限が切れる日付が含まれます。 |
shadowFlag | シャドウマップのどの領域にフラグ値が格納されているかを識別します。 |
shadowInactive | シャドウアカウントを非アクティブにできる期間を設定します。 |
shadowLastChange | シャドウアカウントへの最後の変更の日時が含まれます。 |
shadowMax | シャドウパスワードの最大有効日数を設定します。 |
shadowMin | シャドウパスワードを変更するまでに最低でも経過する必要のある日数を設定します。 |
shadowWarning | パスワードの有効期限が切れる何日前にユーザーに警告を送信するかを設定します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.112. simpleSecurityObject
simpleSecurityObject
オブジェクトクラスでは、エントリーのプリンシパルオブジェクトクラスでパスワード属性が許可されていない場合に、エントリーに userPassword
属性を含めることができます。将来の使用のために予約されています。
このオブジェクトクラスは RFC 1274 に定義されています。
上級クラス
top
OID
0.9.2342.19200300.100.4.19
表9.197 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
userPassword | エントリーがディレクトリーにバインドできるパスワードを保存します。 |
9.113. strongAuthenticationUser
strongAuthenticationUser
オブジェクトクラスは、ユーザーの証明書をディレクトリーに格納します。
このオブジェクトクラスは RFC 2256 に定義されています。
上級クラス
top
OID
2.5.6.15
表9.198 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
userCertificate | ユーザーの証明書 (通常はバイナリー形式) を保存します。 |
第10章 運用属性とオブジェクトクラス
操作属性は、ディレクトリー操作を実行するために使用される属性で、エントリーのオブジェクトクラスに定義されているかどうかに関係なく、ディレクトリー内のすべてのエントリーで使用できます。操作属性は、特に要求された場合にのみ ldapsearch
操作で返されます。オブジェクトのすべての操作属性を返すには、+
を指定します。
操作属性は、エントリーの作成または変更時刻や作成者の名前など、Directory Server がエントリーに対して作成して管理します。これらの属性は、エントリーの他の属性やオブジェクトクラスに関係なく、任意のエントリーに設定できます。
10.1. accountUnlockTime
accountUnlockTime
属性には、アカウントのロックが解除される日付と時刻が GMT 形式で含まれています。値 0
は、管理者がアカウントのロックを解除する必要があることを意味します。
OID | 2.16.840.1.113730.3.1.95 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.2. aci
この属性は、クライアントから LDAP 要求を受信したときに、どの権限が許可または拒否されるかの評価に Directory Server が使用します。
OID | 2.16.840.1.113730.3.1.55 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.3. altServer
この属性値は、対象のサーバーが使用できなくなったときに接続するる可能性のある他のサーバーの URL です。このサーバーが、使用可能な他のサーバーを認識していない場合には、この属性は空です。この情報は、優先 LDAP サーバーが後で使用できなくなった場合に備えてキャッシュできます。
OID | 1.3.6.1.4.1.1466.101.120.6 |
構文 | IA5String |
多値または単一値 | 複数値 |
定義される場所 |
10.4. createTimestamp
この属性には、エントリーが最初に作成された日時が含まれます。
OID | 2.5.18.1 |
構文 | GeneralizedTime |
多値または単一値 | 単一値 |
定義される場所 |
10.5. creatorsName
この属性には、エントリーを作成したユーザーの名前が含まれています。
OID | 2.5.18.3 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 |
10.6. dITContentRules
この属性は、サブスキーマ内で有効な DIT コンテンツルールを定義します。各値は、1 つの DIT コンテンツルールを定義します。各値は、関連する構造オブジェクトクラスのオブジェクト識別子によってタグ付けされます。
OID | 2.5.21.2 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.7. dITStructureRules
この属性は、サブスキーマ内で有効な DIT 構造ルールを定義します。各値は、1 つの DIT 構造規則を定義します。
OID | 2.5.21.1 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.8. entryusn
USN プラグインが有効になっている場合に、サーバーは、書き込み操作 (追加、変更、modrdn、または削除) が実行されるたびに、更新シーケンス番号 をエントリーに自動的に割り当てます。USN は、エントリーの entryUSN
操作属性に格納され、次に entryUSN
は、任意のエントリーの最新の変更の番号を表示します。
entryUSN
属性は、LDAP クライアントによって実行される操作があった場合にのみ増分します。内部操作はカウントされません。
デフォルトでは、entryUSN
はバックエンドデータベースインスタンスごとに一意であるため、他のデータベースのエントリーは同じ USN を使用している必要があります。nsslapd-entryusn-global
パラメーターは、USN の割り当てをローカルからグローバルに変更します。つまり、単一のデータベースでカウントされていたものが、トポロジー内のすべてのデータベースでカウントされるようになります。パラメーターはデフォルトでオフになっています。
対応するエントリー lastusn
は、ルート DSE エントリーに保持され、最後に割り当てられた USN を示します。local モードでは、lastusn
はバックエンドデータベースごとに最後に割り当てられた USN を表示します。global モードでは、lastusn
はトポロジー全体に最後に割り当てられた USN を表示します。
OID | 2.16.840.1.113730.3.1.606 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.9. glue
glue
オブジェクトクラスは、特別な状態のエントリー (レプリケーションの競合が原因で再生成された場合など) を定義します。
このオブジェクトクラスは Directory Server で定義されます。
上級クラス
top
OID
2.16.840.1.113730.3.2.30
表10.1 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
10.10. hasSubordinates
この属性は、エントリーに従属エントリーがあるかどうかを示します。
OID | 1.3.6.1.4.1.1466.115.121.1.7 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | numSubordinates インターネットドラフト |
10.11. internalCreatorsName
Directory Server ユーザーではなく、プラグインまたはサーバーで作成されたエントリーの場合には、この属性は、(プラグイン DN により) 内部ユーザーがどのようなエントリーを作成したかを記録します。
internalCreatorsname
属性は、常にプラグインを ID として表示します。このプラグインは、MemberOf プラグインなどの追加のプラグインである可能性があります。コア Directory Server により変更が加えられると、プラグインはデータベースプラグイン (cn=ldbm database,cn=plugins,cn=config
) になります。
OID | 2.16.840.1.113730.3.1.2114 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.12. internalModifiersName
Directory Server ユーザーではなく、プラグインまたはサーバーでエントリーを編集した場合、この属性は、内部ユーザー (プラグイン DN を使用) がエントリーを修正した内容を記録します。
internalModifiersname
属性は、常にプラグインを ID として表示します。このプラグインは、MemberOf プラグインなどの追加のプラグインである可能性があります。コア Directory Server により変更が加えられると、プラグインはデータベースプラグイン (cn=ldbm database,cn=plugins,cn=config
) になります。
OID | 2.16.840.1.113730.3.1.2113 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.13. lastLoginTime
lastLoginTime
属性には、YYYMMDDHHMMSSZ
の形式で、指定されたアカウントがディレクトリーに対して最後に認証されたときのタイムスタンプが含まれます。以下に例を示します。
lastLoginTime: 20200527001051Z
これは、アカウントが使用されていない期間をもとに、アカウントのロックアウトポリシーを評価するために使用されます。
OID | 2.16.840.1.113719.1.1.4.1.35 |
構文 | GeneralizedTime |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.14. lastModifiedBy
lastModifiedBy
属性には、エントリーを最後に編集したユーザーの識別名 (DN) が含まれます。以下に例を示します。
lastModifiedBy: cn=Barbara Jensen,ou=Engineering,dc=example,dc=com
OID | 0.9.2342.19200300.100.1.24 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 |
10.15. lastModifiedTime
lastModifiedTime
属性には、エントリーが最後に変更された時刻が UTC 形式で含まれています。以下に例を示します。
lastModifiedTime: Thursday, 22-Sep-93 14:15:00 GMT
OID | 0.9.2342.19200300.100.1.23 |
構文 | DirectyString |
多値または単一値 | 複数値 |
定義される場所 |
10.16. ldapSubEntry
これらのエントリーは、操作データを保持します。このオブジェクトクラスは、LDAP サブエントリーインターネットドラフト
上級クラス
top
OID
2.16.840.1.113719.2.142.6.1.1
表10.2 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表10.3 使用できる属性
属性 | 定義 |
---|---|
commonName | エントリーの一般的な名前を指定します。 |
10.17. ldapSyntaxes
この属性は、実装されている構文を識別し、各値は 1 つの構文に対応します。
OID | 1.3.6.1.4.1.1466.101.120.16 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.18. matchingRules
この属性は、サブスキーマ内で使用される照合ルールを定義します。各値は 1 つの一致ルールを定義します。
OID | 2.5.21.4 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.19. matchingRuleUse
この属性は、サブスキーマで照合ルールが適用される属性タイプを示します。
OID | 2.5.21.8 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.20. modifiersName
この属性には、エントリーを最後に変更したユーザーの名前が含まれます。
OID | 2.5.18.4 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 |
10.21. modifyTimestamp
この属性には、エントリーが最後に変更された日時が含まれます。
OID | 2.5.18.2 |
構文 | GeneralizedTime |
多値または単一値 | 単一値 |
定義される場所 |
10.22. nameForms
この属性は、サブスキーマで使用される名前の形式を定義します。値ごとに名前形式が 1 つ定義されます。
OID | 2.5.21.7 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 |
10.23. nsAccountLock
この属性は、アカウントがアクティブか非アクティブかを示します。
OID | 2.16.840.1.113730.3.1.610 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.24. nsAIMStatusGraphic
この属性には、AIM のユーザーステータスを示すグラフィックを示すパスが含まれます。
OID | 2.16.840.1.113730.3.1.2018 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.25. nsAIMStatusText
この属性には、現在の AIM ユーザーステータスを示すテキストが含まれています。
OID | 2.16.840.1.113730.3.1.2017 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.26. nsBackendSuffix
これには、バックエンドで使用される接尾辞が含まれます。
OID | 2.16.840.1.113730.3.1.803 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.27. nscpEntryDN
この属性には、tombstone エントリー用の (以前の) エントリー DN が含まれます。
OID | 2.16.840.1.113730.3.1.545 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.28. nsDS5ReplConflict
この属性は、同期またはレプリケーションプロセスで自動解決できない変更で競合があるエントリーに含まれます。nsDS5ReplConflict
の値には、競合しているエントリーに関する情報が含まれています。通常は、現在のエントリーと tombstone エントリーの両方の nsUniqueID
で参照されます。
OID | 2.16.840.1.113730.3.1.973 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.29. nsICQStatusGraphic
この属性には、ICQ のユーザーステータスを示すグラフィックを示すパスが含まれます。
OID | 2.16.840.1.113730.3.1.2022 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.30. nsICQStatusText
この属性には、現在の ICQ ユーザーステータスのテキストが含まれます。
OID | 2.16.840.1.113730.3.1.2021 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.31. nsIdleTimeout
この属性は、ユーザーベースの接続アイドルタイムアウト期間を秒単位で識別します。
OID | 2.16.840.1.113730.3.1.573 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.32. nsIDListScanLimit
この属性は、検索操作中に検索されるエントリー ID の数を指定します。検索パフォーマンスを向上させるために、デフォルト値を保持します。
OID | 2.16.840.1.113730.3.1.2106 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.33. nsLookThroughLimit
この属性は、対象のユーザーに対して、サーバーが検索操作時に検索可能な最大エントリー数を設定します。この属性はサーバー自体で設定され、ユーザーが検索を開始するときにユーザーに適用されます。
OID | 2.16.840.1.113730.3.1.570 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.34. nsPagedIDListScanLimit
この属性は、簡単なページ結果制御を使用して検索操作で特定されるエントリー ID の数を指定します。この属性は nsIDListScanLimit
属性と同じように機能しますが、単純なページ結果制御による検索にのみ適用される点が異なります。
この属性が存在しないか、ゼロに設定されている場合は、nsIDListScanLimit
を使用してページングされた検索およびページ以外の検索を行います。
OID | 2.16.840.1.113730.3.1.2109 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.35. nsPagedLookThroughLimit
この属性は、単純なページ結果制御を使用する検索の候補エントリーを調べる時に Directory Server がチェックするエントリーの最大数を指定します。この属性は nsLookThroughLimit
属性と同じように機能しますが、単純なページ結果制御の検索にのみ適用される点が異なります。
この属性が存在しないか、ゼロに設定されている場合は、nsLookThroughLimit
を使用して、ページングされた検索と、ページングされていない検索の両方を行います。
OID | 2.16.840.1.113730.3.1.2108 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.36. nsPagedSizeLimit
この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsSizeLimit
属性がオーバーライドされます。
この値がゼロに設定されている場合、nsSizeLimit
属性は、そのユーザーに対してページ化された検索だけでなく、ページ化されていない検索にも使用されるか、グローバル設定が使用されます。
OID | 2.16.840.1.113730.3.1.2107 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.37. nsParentUniqueId
レプリケーションに保存される tombstone (削除済み) エントリーの場合、nsParentUniqueId
属性には、元のエントリーの親の DN またはエントリー ID が含まれます。
OID | 2.16.840.1.113730.3.1.544 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.38. nsRole
この属性は、計算属性で、エントリー自体と一緒に保存されません。エントリーが属するロールを識別します。
OID | 2.16.840.1.113730.3.1.574 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.39. nsRoleDn
この属性には、エントリーに適用されるすべてのロールの識別名が含まれます。マネージドロールのメンバーシップは、ロールの DN をエントリーの nsRoleDN
属性に追加してエントリーが追加されるタイミングで付与されます。以下に例を示します。
dn: cn=staff,ou=employees,dc=example,dc=com objectclass: LDAPsubentry objectclass: nsRoleDefinition objectclass: nsSimpleRoleDefinition objectclass: nsManagedRoleDefinition dn: cn=userA,ou=users,ou=employees,dc=example,dc=com objectclass: top objectclass: person sn: uA userpassword: secret nsroledn: cn=staff,ou=employees,dc=example,dc=com
ネストされたロールは、対象のロールに任意のタイプのロールが 1 つまたは複数含まれていることを指定します。その場合、nsRoleDN
は含まれるロールの DN を定義します。以下に例を示します。
dn: cn=everybody,ou=employees,dc=example,dc=com objectclass: LDAPsubentry objectclass: nsRoleDefinition objectclass: nsComplexRoleDefinition objectclass: nsNestedRoleDefinition nsroledn: cn=manager,ou=employees,dc=example,dc=com nsroledn: cn=staff,ou=employees,dc=example,dc=com
OID | 2.16.840.1.113730.3.1.575 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
10.40. nsRoleFilter
この属性は、フィルターがロールに属するエントリーを識別するように設定します。
OID | 2.16.840.1.113730.3.1.576 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 |
10.41. nsSchemaCSN
この属性は、サブスキーマ DSE 属性タイプの 1 つです。
OID | 2.5.21.82.16.840.1.113730.3.1.804 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.42. nsSizeLimit
この属性は、データベースまたはデータベースリンクのデフォルトのサイズ制限をバイト単位で示します。
OID | 2.16.840.1.113730.3.1.571 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.43. nsTimeLimit
この属性は、データベースまたはデータベースリンクのデフォルトの検索時間制限を示します。
OID | 2.16.840.1.113730.3.1.572 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.44. nsTombstone (オブジェクトクラス)
Tombstone エントリーは、Directory Server から削除されたエントリーです。レプリケーションおよび復元操作の場合には、必要に応じて再生成および置き換えができるように、対象の削除済みのエントリーは保存されます。各 tombstone エントリーには、自動的に nsTombstone
オブジェクトクラスが追加されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.113
表10.4 必要な属性
属性 | 定義 |
---|---|
objectClass | エントリーに割り当てられたオブジェクトクラスを指定します。 |
表10.5 使用できる属性
属性 | 定義 |
---|---|
nsParentUniqueId | 元のエントリーの親エントリーの一意 ID を指定します。 |
nscpEntryDN | Tombstone エントリー内の元のエントリー DN を特定します。 |
10.45. nsUniqueId
この属性は、サーバーエントリーに一意 ID を指定するか、割当ます。
OID | 2.16.840.1.113730.3.1.542 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.46. nsYIMStatusGraphic
この属性には、Yahoo IM のユーザーステータスを示すグラフィックを示すパスが含まれます。
OID | 2.16.840.1.113730.3.1.2020 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.47. nsYIMStatusText
この属性には、現在の Yahoo IM ユーザーステータスのテキストが含まれています。
OID | 2.16.840.1.113730.3.1.2019 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.48. numSubordinates
この属性は、エントリーに含まれる多くの直属の部下を示します。たとえば、リーフエントリーの numSubordinates=0
です。
OID | 1.3.1.1.4.1.453.16.2.103 |
構文 | 整数 |
多値または単一値 | 単一値 |
定義される場所 | numSubordinates インターネットドラフト |
10.49. passwordGraceUserTime
この属性は、ユーザーが期限切れのパスワードを使用して試行した回数をカウントします。
OID | 2.16.840.1.113730.3.1.998 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.50. passwordObject (オブジェクトクラス)
このオブジェクトクラスは、ユーザーのパスワード情報をディレクトリーに格納するエントリーに使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.12
表10.6 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
表10.7 使用できる属性
accountUnlockTime | アカウントのロックアウト後に、ユーザーがディレクトリーに再度バインドできるようになるまでに待機する必要のある時間を指します。 |
passwordAllowChangeTime | ユーザーがパスワードを変更できるようになるまでに待機する必要のある時間を指定します。 |
password_ExpirationTime | ユーザーのパスワードの有効期限が切れるまでに経過する時間の長さを指定します。 |
password_ExpWarned | パスワードの有効期限の警告がユーザーに送信されたことを示します。 |
passwordGrace_UserTime | パスワードの有効期限が切れてから、ユーザーが試行できるログイン回数を指定します。 |
cnconfig-passwordHistory_Password_History | ユーザーの以前のパスワードの履歴が含まれます。 |
password_RetryCount | パスワードを正しく入力できなかった試行回数をカウントします。 |
pwdpolicy_subentry | 新しいパスワードポリシーのエントリー DN を参照します。 |
retryCountResetTime |
|
10.51. passwordRetryCount
この属性は、パスワードを正しく入力できなかった試行回数をカウントします。
OID | 2.16.840.1.113730.3.1.93 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.52. pwdpolicysubentry
この属性値は、新しいパスワードポリシーのエントリー DN を参照します。
OID | 2.16.840.1.113730.3.1.997 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.53. pwdUpdateTime
この属性値は、アカウントのパスワードが最後に変更された時間を保存します。
OID | 2.16.840.1.113730.3.1.2133 |
構文 | GeneralizedTime |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
10.54. subschem (オブジェクトクラス)
これは、サブスキーマ管理領域のサブスキーマを管理する補助オブジェクトクラスサブエントリーを指定します。サブスキーマを表すポリシーパラメーターを表す操作属性を保持します。
このオブジェクトクラスは RFC 2252 に定義されています。
上級クラス
top
OID
2.5.20.1
表10.8 必要な属性
objectClass | エントリーのオブジェクトクラスを定義します。 |
表10.9 使用できる属性
attributeTypes | サブスキーマ内で使用される属性タイプ。 |
dITContentRules | サブスキーマ内で有効な DIT コンテンツルールを定義します。 |
dITStructureRules | サブスキーマ内で有効な DIT 構造ルールを定義します。 |
matchingRuleUse | サブスキーマで照合致ルールが適用される属性タイプを示します。 |
matchingRules | サブスキーマ内で使用される照合ルールを定義します。 |
nameForms | サブスキーマで使用される名前の形式を定義します。 |
objectClasses | サブスキーマで使用されるオブジェクトクラスを定義します。 |
10.55. subschemaSubentry
この属性には、スキーマ情報を含むエントリーの DN が含まれます。以下に例を示します。
subschemaSubentry: cn=schema
OID | 2.5.18.10 |
構文 | DN |
多値または単一値 | 単一値 |
定義される場所 |
第11章 ログファイルのリファレンス
Directory Server は、既存の問題を解決するために、また障害やパフォーマンスの低下を引き起こす可能性のある潜在的な問題を予測するために不可欠なイベントをログファイルに記録します。
ログファイルを使用すると、次の目標を達成できます。
- 問題のトラブルシューティング
- サーバーのアクティビティーの監視
- ディレクトリーのアクティビティーの分析
ディレクトリーを効果的に監視するには、ログファイルの構造と内容を理解する必要があります。
この章にはログメッセージの完全なリストはありません。以下に提示する情報は、一般的な問題を解決し、アクセス、エラー、監査、監査失敗、およびセキュアログの記録を理解するための良い出発点として役立ちます。
Directory Server インスタンスは、ログを /var/log/dirsrv/slapd-instance_name
ディレクトリーに保存します。
11.1. アクセスログのリファレンス
Directory Server のアクセスログには、ディレクトリーへのクライアント接続に関する詳細情報が含まれます。接続は、同じクライアントからのリクエストシーケンスで、以下の設定になっています。
- 接続インデックスとクライアントの IP アドレスを提供する接続レコード
- バインドレコード
- バインド結果レコード
- レコードの操作要求と操作結果ペアのシーケンス、または接続、クローズ、および破棄レコードの場合の個別レコード
- バインド解除レコード
- クローズレコード
アクセスログレコードの例:
[time_stamp] conn=1 op=73 SRCH base="dc=example,dc=com" scope=2 filter="(&(objectClass=top)(objectClass=ldapsubentry)(objectClass=passwordpolicy))" attrs="distinguishedName" [time_stamp] conn=1 op=73 RESULT err=0 tag=101 nentries=24 wtime=0.000078414 optime=0.001614101 etime=0.001690742
ほとんどすべてのレコードは、サービスリクエストレコード (この例の SRCH
) と RESULT
レコードのペアで表示されます。接続、クローズ、破棄のレコードは個別に表示されます。
アクセスログには、いくつかのレベルのログがあります。これは、nsslapd-accesslog-level
属性を使用して設定できます。
11.1.1. アクセスロギングレベル
アクセスログのレベルに応じて、Directory Server が実行するさまざまな種類の操作が記録されます。
アクセスログには次のログレベルがあります。
- アクセスログなし (0)。
- 内部アクセス操作のロギング (4)。
- 接続、操作、および結果のロギング (256)。デフォルトのレベルです。
- エントリーおよび参照へのアクセスのロギング (512)。
nsslapd-accesslog-level
属性を使用して、アクセスログのレベルを設定します。属性値は加算されます。ログレベル値を 260 に設定すると、この値にはレベル 256 と 4 が含まれます。
11.1.2. デフォルトのアクセスログの内容
デフォルトでは、Directory Server のログレベルは 256 です。このレベルでは、エントリーへのアクセスに加えて、以下の情報が記録されます。
接続番号 (conn)
Directory Server は、すべての外部 LDAP 要求を、一連の接続番号 (この例では conn=13)
とともにリストします。接続番号は、サーバー起動直後の conn=0
から始まります。
[time_stamp] conn=13 fd=608 slot=608 connection from 172.17.0.2 to 172.17.0.2
Directory Server は、デフォルトでは内部 LDAP 要求を記録しません。内部アクセス操作のロギングを有効にするには、nsslapd-accesslog-level
設定属性を使用します。
ファイル記述子 (fd)
外部 LDAP クライアントから Directory Server へのすべての接続には、オペレーティングシステムからのファイル記述子またはソケット記述子 (この場合は fd=608
) が必要です。fd=608
値は、外部 LDAP クライアントが、使用可能なファイル記述子の合計プールのうちファイル記述子番号 608 を使用したことを示します。
[time_stamp] conn=11 fd=608 slot=608 connection from 172.17.0.2 to 172.17.0.2
スロット番号 (slot)
スロット番号 (この例では slot=608)
は、アクセスログのレガシー部分で、ファイル記述子と同じ意味を持ちます。アクセスログのこの部分は無視してください。
[time_stamp] conn=11 fd=608 slot=608 connection from 172.17.0.2 to 172.17.0.2.
操作番号 (opt)
LDAP 要求を処理するために、Directory Server は一連の操作を実行します。接続については、さまざまな操作を識別するために、すべての操作要求と操作結果のペアに op=0
で始まる一連の操作番号が割り当てられます。
[time_stamp] conn=14 op=0 BIND dn="cn=Directory Manager" method=128 version=3 [time_stamp] conn=14 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680 [time_stamp] conn=14 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)" [time_stamp] conn=14 op=2 ABANDON targetop=2 msgid=3 nentries=0 etime=0.0000113702 [time_stamp] conn=14 op=3 UNBIND [time_stamp] conn=14 op=3 fd=634 closed - U1
上記の例では、以下のようになります。
-
op=0
: バインド操作の要求と結果 -
op=1
: LDAP 検索の要求と結果 -
op=2
: 破棄操作 -
op=3
: LDAP クライアントが送信するバインド解除操作とその結果
メソッドのタイプ (method)
メソッド番号 (この例では method=128)
は、クライアントがどの LDAPv3 バインドメソッドを使用したかを示します。
[time_stamp] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
メソッドのタイプには、次の 3 つの値があります。
-
0
: 認証の場合 -
128
: ユーザーパスワードを使用した単純なバインドの場合 -
sasl
: 外部認証メカニズムを使用する SASL バインドの場合
バージョン番号 (version)
バージョン番号は、LDAP クライアントが LDAP サーバーと通信するために使用した LDAP のバージョン番号を示します。LDAP バージョン番号は、LDAPv2 または LDAPv3 のいずれかになります。この例では、version=3
を使用しています。
[time_stamp] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
エラー番号 (err)
エラー番号は、実行された LDAP 操作を返す LDAP 結果コードを示します。LDAP エラー番号 0
は、操作が成功したことを意味します。この例では op=0
です。
[time_stamp] conn=2 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680
タグ番号 (tag)
タグ番号は、操作で返された結果のタイプを示します。Directory Server は、LDAP プロトコルの BER タグを使用します。この例では tag=97
です。
[time_stamp] conn=11 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680
次の表に、一般的に使用されるタグを示します。
タグ | 説明 |
---|---|
tag=97 | クライアントのバインド操作の結果。 |
tag=100 | Directory Server が検索した実際のエントリー。これは結果タグではなく、アクセスログにこのようなタグは含まれません。 |
tag=101 | 検索操作の結果。 |
tag=103 | 変更操作の結果。 |
tag=105 | 追加操作の結果。 |
tag=107 | 削除操作の結果。 |
tag=109 | moddn (名前変更) 操作の結果。 |
tag=111 | 比較操作の結果。 |
tag=115 | 操作の検索対象のエントリーが、必要なエントリーへの参照を保持している場合の検索参照。これは結果タグではなく、アクセスログにこのようなタグは含まれません。 |
tag=120 | 拡張操作の結果。 |
tag=121 | 中間操作の結果。 |
エントリー数 (nentries)
nentries
レコードは、検索操作で LDAP クライアントの要求と一致することが検出されたエントリーの数を示します。
[time_stamp] conn=11 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680
この例では nentries=0
です。つまり、Directory Server は一致するエントリーを検出しませんでした。
経過時間 (etime)
etime
レコードは、Directory Server が LDAP 操作の実行に費やした経過時間または期間 (秒単位) を示します。
[time_stamp] conn=11 op=1 RESULT err=0 tag=101 nentries=1 wtime=0.000076581 optime=0.000082736 etime=0.000158680 notes=U
この例では、Directory Server は操作の実行に 0.000158680 秒かかりました。
etime
値が 0 の場合は、操作の実行に実際には 0 ナノ秒かかったことを意味します。
LDAP 要求タイプ
LDAP 要求タイプは、LDAP クライアントが発行した LDAP 要求のタイプを示します。可能な値は次のとおりです。
-
SRCH
: 検索操作の場合 -
MOD
: 変更操作の場合 -
DEL
: 削除操作の場合 -
ADD
: 追加操作の場合 -
MODDN
: moddn (名前変更) 操作の場合 -
EXT
: 拡張操作の場合 -
ABANDON
: 破棄操作の場合 -
SORT serialno
: LDAP 要求の結果としてエントリーがソートされる場合
[time_stamp] conn=114 op=68 SORT serialno (1)
この例の括弧で囲まれた数字は、LDAP 要求によって 1 つの候補エントリーがソートされたことを示しています。
LDAP 応答タイプ
Directory Server は、次の 3 つの LDAP 応答タイプを発行できます。
-
RESULT
は、クライアントの LDAP 要求に対する結果を意味します。 -
ENTRY
は、検索操作に応答して Directory Server が返すエントリーを意味します。 -
REFERRAL
は、Directory Server が LDAP 要求を別のサーバーに送信することを意味します。
RESULT
メッセージには、以下のパフォーマンス関連のレコードが含まれます。
wtime
- ワーカースレッドが操作をピックアップするまで、操作がワークキューで待機していた時間
optime
- 実際の操作がタスクを実行するのにかかった時間
etime
- Directory Server が要求を受信してから、サーバーが結果をクライアントに送り返すまでの時間
wtime
および optime
の値により、サーバーがどのように負荷をおよび操作を処理するかに関する有用な情報を提供されます。Directory Server がこれらの統計を収集するには時間がかかるため、wtime
値と optime
値の合計は etime
値よりわずかに大きくなります。
検索インジケーター (note)
Directory Server は、ログエントリーの note メッセージで検索に関する追加情報を提供します。以下に例を示します。
[time_stamp] conn=11 op=1 RESULT err=0 tag=101 nentries=1 wtime=0.000076581 optime=0.000082736 etime=0.000158680 notes=U
Directory Server は、次の検索インジケーターをサポートしています。
検索インジケーター | 説明 |
---|---|
|
ページ検索インジケーター。リソースが制限された LDAP クライアントでは、LDAP サーバーが検索操作の結果を返す速度を制御できます。実行された検索で LDAP 制御拡張を使用して検索結果を単純にページングすると、DirectoryServer は |
|
インデックスのない検索インジケーター。フィルター内のすべての候補属性がインデックス化されておらず、テーブル全体のスキャンが必要な場合、Directory Server は |
|
インデックスのない検索インジケーター。次の状況では、Directory Server は
|
note レコードには、notes=P,A
や notes=U,P
など、値の組み合わせが含まれることがあります。
属性がインデックス化されていない場合、Directory Server はそれらを直接データベースで検索する必要があります。この手順では、インデックスファイルを検索する場合よりも多くのリソースが消費されます。
インデックス化されていない検索は、以下のシナリオで発生します。
-
インデックスファイルを使用した場合でも、検索操作が
nsslapd-idlistscanlimit
属性に設定された検索エントリー数を超えている。nsslapd-idlistscanlimit
属性の詳細は、nsslapd-idlistscanlimit の説明 を参照してください。 - インデックスファイルが存在しない。
- インデックスファイルが検索で必要な方法で設定されなかった。
今後の検索を最適化するには、インデックスに頻繁に検索されるインデックス化されていない属性を追加します。
通常、インデックス化されていない検索には時間がかかるため、インデックス化されていない検索インジケーターには大きな etime
値が伴うことがよくあります。
VLV 関連エントリー (VLV)
検索に仮想リストビュー (VLV) が含まれる場合、Directory Server は適切なエントリーをアクセスログファイルに記録します。他のエントリーと同様に、VLV 固有のレコードには、要求と応答の情報が一緒に表示されます。
[time_stamp] conn=67 op=8530 VLV 0:5:0210 10:5397 (0)
この例では、要求情報は 0:5:0210
で、形式は beforeCount:afterCount:index:contentCount
です。応答情報は 10:5397 (0)
で、形式は targetPosition:contentCount (resultCode)
です。
クライアントが Position-by-Value VLV 要求を使用する場合、要求情報の形式は beforeCount: afterCount: value
となります。
検索範囲 (scope)
scope
エントリーは、実行される検索操作のスコープを定義し、次のいずれかの値を持ちます。
-
0
: ベース検索の場合 -
1
: 1 レベルの検索の場合 -
2
: サブツリー検索の場合
拡張操作の OID (oid)
oid
レコードは、実行された拡張操作のオブジェクト識別子 (OID) を提供します。以下は、拡張操作の OID を含むアクセスログレコードの例です。
[time_stamp] conn=13 op=1 EXT oid="2.16.840.1.113730.3.5.3" ... [time_stamp] conn=15 op=3 EXT oid="2.16.840.1.113730.3.5.5"
Directory Server は、以下の LDAPv3 拡張操作とその OID をサポートしています。
拡張操作名 | 説明 | OID |
---|---|---|
Directory Server のレプリケーション開始要求 | レプリケーションイニシエーターがレプリケーションセッションを要求する。 | 2.16.840.1.113730.3.5.3 |
Directory Server のレプリケーション応答 | レプリケーションレスポンダーが、レプリケーション開始要求の拡張操作またはレプリケーション終了要求の拡張操作に対して応答する。 | 2.16.840.1.113730.3.5.4 |
Directory Server のレプリケーション終了要求 | レプリケーションイニシエーターがレプリケーションセッションを終了する。 | 2.16.840.1.113730.3.5.5 |
Directory Server のレプリケーションエントリー要求 |
状態情報 ( | 2.16.840.1.113730.3.5.6 |
Directory Server の一括インポートの開始 | クライアントが一括インポート開始操作を使用してインポートされた接尾辞による一括インポートを要求し、Directory Server が一括インポートを開始できることを示す。 | 2.16.840.1.113730.3.5.7 |
Directory Server の一括インポートの完了 | クライアントが一括インポート完了操作を使用して一括インポートを終了し、Directory Server が一括インポートの終了を確認する。 | 2.16.840.1.113730.3.5.8 |
シーケンス番号の変更 (csn)
csn=3b4c8cfb000000030000
などの csn
メッセージは、Directory Server が 'csn' で識別される更新を受信し、処理したことを示します。
破棄メッセージ (ABANDON)
破棄メッセージは、クライアントまたは Directory Server が操作を終了したことを示します。
以下は、破棄メッセージを含むログレコードの例です。
[time_stamp] conn=12 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)" [time_stamp] conn=12 op=2 ABANDON targetop=2 msgid=3 nentries=0 etime=0.0000113980
nentries=0
値は、操作が終了する前に Directory Server が送信したエントリーの数を示します。etime=0.0000113980
値は、経過時間 (秒単位) を示します。targetop =2
は、Directory Server が以前に開始した操作番号 (opt =2
) に対応します。
Directory Server が破棄する操作を見つけられない場合、ログレコードには targetop=NOTFOUND
メッセージが含まれます。
[time_stamp] conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2
このメッセージ例は、Directory Server が操作を以前に完了したか、不明な操作であることを意味します。
メッセージ ID (msgid)
LDAP SDK クライアントは、msgid=2
などのメッセージ ID を生成します。これは、LDAP 操作識別子でもあります。msgid
値は opt
値と異なる場合があります。ただし、これは同じ操作を識別するものです。Directory Server は、ABANDON
操作を含む msgid
を記録し、どのクライアント操作が破棄されたかをユーザーに通知します。
[time_stamp] conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2
Directory Server の操作番号 opt
は、ある接続に対して 0 からカウントされます。ほとんどの LDAP SDK/クライアント実装では、メッセージ ID 番号 msgid
は 1 からカウントされます。msgid
が、Directory Server の opt
に 1 を加えたものと等しいことが多いのはそのためです。
SASL マルチステージバインドロギング
Directory Server は、バインドプロセスの各段階をログに記録します。SASL 接続のエラーコードは、実際には戻りコードです。
[time_stamp] conn=16 op=0 BIND dn="" method=sasl version=3 mech=DIGEST-MD5 [time_stamp] conn=16 op=0 RESULT err=14 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680, SASL bind in progress
このレコード例は、SASL バインドが現在進行中 (SASL bind in progress
) であり、戻りコード err=14
があることを示しています。これは、接続がまだ開いていることを意味します。Directory Server は、LDAP バージョン番号 (version=3
) および使用された SASL メカニズム (mech=DIGEST-MD5
) とともに SASL バインド情報をログに記録します。
SASL 認証には複数のステップが必要なため、Directory Server がバインドプロセスを完了すると、認証された DN (アクセス制御の決定に使用される DN) がバインドの RESULT 行に記録されます。これは、どのエントリーが SASL バインド要求にマップされたかを示しています。
[time_stamp] conn=14 op=1 RESULT err=0 tag=97 nentries=0 wtime=0.000076581 optime=0.000082736 etime=0.000158680 dn="uid=jdoe,dc=example,dc=com"
11.1.3. デフォルト以外のアクセスログの内容
デフォルト以外のログレベルを設定するか、特定のログ設定を適用すると、Directory Server はアクセスログファイルへの追加情報の記録を開始します。
内部操作のレコード
内部操作のロギングを有効にすると (4
)、Directory Server は、Directory Server またはクライアントによって開始された内部操作の記録を開始します。
サーバーが開始する内部操作
クライアントがエントリーを削除すると、サーバーはエントリーの検索や、ユーザーが所属していたグループの更新など、いくつかの内部処理を行います。
次の例は、サーバーが開始する内部操作のログ形式を示しています。
[time_stamp] conn=Internal(0) op=0(0)(0) MOD dn="cn=uniqueid generator,cn=config" [time_stamp] conn=Internal(0) op=0(0)(0) RESULT err=0 tag=48 nentries=0 wtime=0.0003979676 optime=0.0003989250 etime=0.0007968796
この例のレコードには conn=Internal
があり、その後に (0)
と op=0(0)(nesting_level)
が続いています。操作 ID と内部操作 ID は常に 0
です。ネストされていないログレコードの場合、ネストレベルは 0
です。
クライアントが開始する内部操作
クライアントが開始する内部操作のログには、実行された検索の詳細に加えて、検索ベース、スコープ、フィルター、および要求された検索属性が含まれます。次の例は、ログレコードの形式を示しています。
[time_stamp] conn=5 (Internal) op=15(1)(0) SRCH base="cn=config,cn=userroot,cn=ldbm database,cn=plugins,cn=config" scope=1 filter="objectclass=vlvsearch" attrs=ALL [time_stamp] conn=5 (Internal) op=15(1)(0) RESULT err=0 tag=48 nentries=0 wtime=0.0000143989 optime=0.0000151450 etime=0.0000295419 [time_stamp] conn=5 (Internal) op=15(2)(0) SRCH base="cn=config,cn=example,cn=ldbm database,cn=plugins,cn=config" scope=1 filter="objectclass=vlvsearch" attrs=ALL [time_stamp] conn=5 (Internal) op=15(2)(0) RESULT err=0
この例のレコードには、クライアント接続 ID に設定された conn
レコードがあり、その後に文字列 (Internal)
が続いています。op
レコードには、操作 ID と (internal_operation_ID)(nesting_level)
が含まれています。内部操作 ID は異なる場合があります。ネストされていないログエントリーの場合、ネストレベルは 0
です。
プラグインロギングが有効になっている場合の内部操作
nsslapd-plugin-logging
パラメーターが on
に設定されており、内部操作のロギング (4) が有効になっている場合、Directory Server はさらにプラグインの内部操作をログに記録します。
たとえば、uid=user,dc=example,dc=com
エントリーを削除し、Referential Integrity プラグインがこのエントリーを example
グループから自動的に削除すると、サーバーは次の内容をログに記録します。
[time_stamp] conn=2 op=37 DEL dn="uid=user,dc=example,dc=com" [time_stamp] conn=2 (Internal) op=37(1) SRCH base="uid=user,dc=example,dc=com" scope=0 filter="(|(objectclass=*)(objectclass=ldapsubentry))" attrs=ALL [time_stamp] conn=2 (Internal) op=37(1) RESULT err=0 tag=48 nentries=1 wtime=0.0000062569 optime=0.0000067203 etime=0.0000129148 [time_stamp] conn=2 (Internal) op=37(2) SRCH base="dc=example,dc=com" scope=2 filter="(member=uid=user,dc=example,dc=com)" attrs="member" [time_stamp] conn=2 (Internal) op=37(2) RESULT err=0 tag=48 nentries=0 wtime=0.0000058002 optime=0.0000065198 etime=0.0000123162 [time_stamp] conn=2 (Internal) op=37(3) SRCH base="dc=example,dc=com" scope=2 filter="(uniquemember=uid=user,dc=example,dc=com)" attrs="uniquemember" [time_stamp] conn=2 (Internal) op=37(3) RESULT err=0 tag=48 nentries=1 wtime=0.0000062123 optime=0.0000066022 etime=0.0000128104 [time_stamp] conn=2 (Internal) op=37(4) MOD dn="cn=example,dc=example,dc=com" [time_stamp] conn=2 (Internal) op=37(5) SRCH base="cn=example,dc=example,dc=com" scope=0 filter="(|(objectclass=\*)(objectclass=ldapsubentry))" attrs=ALL [time_stamp] conn=2 (Internal) op=37(5) RESULT err=0 tag=48 nentries=1 wtime=0.0000061994 optime=0.0000068742 etime=0.0000130685 [time_stamp] conn=2 (Internal) op=37(4) RESULT err=0 tag=48 nentries=0 wtime=0.0002600573 optime=0.0002617786 etime=0.0005217545 [time_stamp] conn=2 (Internal) op=37(6) SRCH base="dc=example,dc=com" scope=2 filter="(owner=uid=user,dc=example,dc=com)" attrs="owner" [time_stamp] conn=2 (Internal) op=37(6) RESULT err=0 tag=48 nentries=0 wtime=0.000061678 optime=0.000076107 etime=0.0000137656 [time_stamp] conn=2 (Internal) op=37(7) SRCH base="dc=example,dc=com" scope=2 filter="(seeAlso=uid=user,dc=example,dc=com)" attrs="seeAlso" [time_stamp] conn=2 (Internal) op=37(7) RESULT err=0 tag=48 nentries=0 wtime=0.0000031789 optime=0.0000035354 etime=0.0000066978 [time_stamp] conn=2 (Internal) op=37(8) SRCH base="o=example" scope=2 filter="(member=uid=user,dc=example,dc=com)" attrs="member" [time_stamp] conn=2 (Internal) op=37(8) RESULT err=0 tag=48 nentries=0 wtime=0.0000030987 optime=0.0000032456 etime=0.0000063316 [time_stamp] conn=2 (Internal) op=37(9) SRCH base="o=example" scope=2 filter="(uniquemember=uid=user,dc=example,dc=com)" attrs="uniquemember" [time_stamp] conn=2 (Internal) op=37(9) RESULT err=0 tag=48 nentries=0 wtime=0.0000021958 optime=0.0000026676 etime=0.0000048634 [time_stamp] conn=2 (Internal) op=37(10) SRCH base="o=example" scope=2 filter="(owner=uid=user,dc=example,dc=com)" attrs="owner" [time_stamp] conn=2 (Internal) op=37(10) RESULT err=0 tag=48 nentries=0 wtime=0.0000022109 optime=0.00000268003 etime=00000048854 [time_stamp] conn=2 (Internal) op=37(11) SRCH base="o=example" scope=2 filter="(seeAlso=uid=user,dc=example,dc=com)" attrs="seeAlso" [time_stamp] conn=2 (Internal) op=37(11) RESULT err=0 tag=48 nentries=0 wtime=0.0000021786 optime=0.0000024867 etime=0.0000046522 [time_stamp] conn=2 op=37 RESULT err=0 tag=107 nentries=0 wtime=0.005147365 optime=0.005150798 etime=0.0010297858
エントリーと参照へのアクセス
エントリーと参照へのアクセスのロギングを有効にすると (512
)、Directory Server のアクセスログファイルに次のレコードが記録されます。
[time_stamp] conn=306 fd=60 slot=60 connection from 127.0.0.1 to 127.0.0.1 [time_stamp] conn=306 op=0 SRCH base="dc=example,dc=com" scope=2 filter="(description=*)" attrs=ALL [time_stamp] conn=306 op=0 ENTRY dn="ou=Special [time_stamp] conn=306 op=0 ENTRY dn="cn=Accounting Managers,ou=groups,dc=example,dc=com" [time_stamp] conn=306 op=0 ENTRY dn="cn=HR Managers,ou=groups,dc=example,dc=com" [time_stamp] conn=306 op=0 ENTRY dn="cn=QA Managers,ou=groups,dc=example,dc=com" [time_stamp] conn=306 op=0 ENTRY dn="cn=PD Managers,ou=groups,dc=example,dc=com" [time_stamp] conn=306 op=0 ENTRY dn="ou=Red Hat Servers,dc=example,dc=com" [time_stamp0] conn=306 op=0 REFERRAL
この例は、ロギングレベルが 768
(512
+ 256
) であり、検索要求の応答として返される 6 つのエントリーと 1 つの参照を示しています。
オプションの説明
options=persistent
メッセージは、Directory Server が永続的な検索を実行することを示します。モニタリング目的で永続的な検索を使用し、変更が発生したときに指定した設定に変更を返すように設定できます。
次の例は、オプションの説明を含む 512
および 4
のログレベルを示しています。
[time_stamps] conn=1 (Internal) op=2(1)(0) SRCH base="cn=\22dc=example,dc=com\22,cn=mapping tree,cn=config"scope=0 filter="objectclass=nsMappingTree"attrs="nsslapd-referral" options=persistent
検索操作ごとの統計情報
nsslapd-statlog-level
属性を 1
に設定すると、アクセスログは、検索操作ごとに、インデックス検索の数やインデックス検索の全体的な時間などのメトリクスの収集を開始します。
[time_stamps] conn=1 op=73 SRCH base="dc=example,dc=com" scope=2 filter="(cn=user_*)" attrs=ALL [time_stamps] conn=1 op=73 STAT read index: attribute=objectclass key(eq)=referral --> count 0 [time_stamps] conn=1 op=73 STAT read index: attribute=cn key(sub)=er_ --> count 24 [time_stamps] conn=1 op=73 STAT read index: attribute=cn key(sub)=ser --> count 25 [time_stamps] conn=1 op=73 STAT read index: attribute=cn key(sub)=use --> count 25 [time_stamps] conn=1 op=73 STAT read index: attribute=cn key(sub)=^us --> count 24 [time_stamps] conn=1 op=73 STAT read index: duration 0.000010276 [time_stamps] conn=1 op=73 RESULT err=0 tag=101 nentries=24 wtime=0.00007841
このログレコードの例は、フィルター (cn=user_*)
を使用した検索中に、Directory Server が次の数のデータベース検索を実行したことを示しています。
- 参照は 0 回
-
er_
キーは 24 回 -
ser
キーは 25 回 -
use
キーは 25 回 -
^us
キーは 24 回
11.1.4. 一般的な接続コード
Directory Server は、接続の終了に関連する追加情報を含む接続コードを終了ログメッセージに追加します。
接続コード | 説明 |
---|---|
A1 | クライアントが接続を中断しました。 |
B1 | 破損した BER タグが検出されました。Directory Server は、回線経由で送信された破損した BER タグを受信すると、B1 接続コードをアクセスログに記録します。BER タグは、物理層ネットワークの問題や、LDAP クライアントがすべての要求の結果を受信する前に操作をキャンセルするなど、不適切な LDAP クライアント操作により破損する可能性があります。 |
B2 |
BER タグが |
B3 | 破損した BER タグが検出されました。 |
B4 | サーバーがクライアントに応答を送り返すことができませんでした。 |
P2 | 終了または破損した接続が検出されました。 |
T1 |
|
T2 |
|
U1 | クライアントがバインド解除要求を送信した後に、サーバーが接続を閉じます。サーバーはバインド解除要求を受信すると、常に接続を閉じます。 |
11.2. エラーログ参照
Directory Server エラーログには、Directory Server のトランザクションと操作のメッセージが記録されます。エラーログには、失敗した操作のエラーメッセージだけでなく、サーバーの起動メッセージ、ディレクトリーのログインと検索、接続情報など、Directory Server のプロセスと LDAP タスクに関する一般情報も含まれます。
11.2.1. エラーログレベル
エラーログには、有効なログレベルに応じたさまざまな種類の情報など、Directory Server 操作のさまざまな詳細を記録できます。
cn=config
エントリーの nsslapd-errorlog-level
設定属性を使用して、ログレベルを設定できます。
デフォルトのログレベルは 16384
です。このレベルには、重大なエラーメッセージと、LDAP 結果コードや起動メッセージなどの標準ログメッセージが含まれます。エラーログレベルは付加的です。レプリケーションログ (8192
) とプラグインログ (65536
) の両方を有効にするには、nsslapd-errorlog-level
属性を 73728
(8192 + 65536
) に設定します。
高レベルのデバッグログを有効にすると、サーバーのパフォーマンスが大幅に低下する可能性があります。したがって、レプリケーション (8192
) などの高いデバッグログレベルは、トラブルシューティングの場合にのみ有効にしてください。
表11.1 エラーログレベル
設定 | コンソール名 | 説明 |
---|---|---|
1 | 関数呼び出しの追跡 | サーバーに入る際にメッセージをログに記録し、関数を終了します。 |
2 | パケット処理 | サーバーが処理するパケットのデバッグ情報をログに記録します。 |
4 | ヘビートレース出力 | サーバーが関数を開始/終了する際に、追加のデバッグメッセージと共にログを記録します。 |
8 | 接続管理 | SASL バインドに使用される接続方法を含む、現在の接続ステータスをログに記録します。 |
16 | 送受信されたパケット | サーバーが送受信したパケットの数を出力します。 |
32 | 検索フィルター処理 | 検索操作で呼び出されるすべての関数をログに記録します。 |
64 | 設定ファイルの処理 |
サーバーの起動時に、サーバーが使用したすべての |
128 | アクセス制御リスト処理 | 詳細なアクセス制御リスト処理情報を提供します。 |
2048 | ログエントリーの解析 | デバッグ情報を解析するスキーマをログに記録します。 |
4096 | Housekeeping | ハウスキーピングスレッドのデバッグ情報をログに記録します。 |
8192 | レプリケーション | 更新やエラーなど、レプリケーション関連のすべての操作に関する詳細情報をログに記録します。これはレプリケーションの問題のデバッグに重要です。 |
16384 | デフォルト | 重大なエラーや、Directory Server が常にエラーログに書き込むその他のメッセージ (サーバー起動メッセージなど) を記録します。エラーログには、ログレベルの設定に関係なく、これらのメッセージが含まれます。 |
32768 | エントリーキャッシュ | データベースエントリーキャッシュのデバッグ情報をログに記録します。 |
65536 | プラグイン |
サーバープラグインが |
262144 | アクセス制御の概要 |
サーバーへのアクセスに関する情報を要約します。 |
524288 | バックエンドデータベース | 接尾辞に関連付けられたデータベースを処理するためのデバッグ情報をログに記録します。 |
1048576 | パスワードポリシー | パスワードポリシーの決定に関するデバッグ情報をログに記録します。 |
11.2.2. デフォルトのエラーログの内容
サーバーまたはプラグインは、エラーログにエントリーを書き込むことができます。
サーバーがログを書き込むときは、次の形式を使用します。
[time_stamp] - <severity_level> - <function_name> - <message>
サーバーが生成するエラーログの例:
[time_stamp] - NOTICE - bdb_start_autotune - found 7110616k physical memory
プラグインはログを書き込むときに、次の形式を使用します。
[time_stamp] - <severity_level> - <plug-in_name> - <function_name> - <message>
プラグインが生成するエラーログの例:
[time_stamp] - ERR - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=19 op=3 repl="o=example.com": Excessive clock skew from supplier RUV
エラーログエントリーには次の情報が含まれます。
ログメッセージ | 説明 |
---|---|
タイムスタンプ | タイムスタンプ形式はローカルの設定によって異なります。デフォルトでは、高解像度タイムスタンプが有効になっており、ナノ秒単位で測定されます。 |
重大度 | 重大度レベルには次の値を指定できます。
|
プラグイン名 | プラグイン名は、プラグインがメッセージをエラーログに書き込む場合にのみ表示されます。 |
関数名 | オペレーションまたはプラグインが呼び出す関数。 |
Message | オペレーションまたはプラグインが返す出力。このメッセージには、LDAP のエラーコードや接続情報などの追加情報が含まれます。 |
重大度レベルを使用して、ログエントリーを絞り込むことができます。たとえば、重大度が ERR
のログエントリーのみを表示するには、次のコマンドを実行します。
# grep ERR /var/log/dirsrv/slapd-instance_name/errors
[time_stamp] - ERR - no_diskspace - No enough space left on device (/var/lib/dirsrv/slapd-instance_name/db) (40009728 bytes); at least 145819238 bytes space is needed for db region files
[time_stamp] - ERR - ldbm_back_start - Failed to init database, err=28 No space left on device
[time_stamp] - ERR - plugin_dependency_startall - Failed to start database plugin ldbm database
...
関連情報
11.2.3. デフォルト以外のエラーログの内容
ロギングレベルが異なると、サーバー操作の種類など、異なる詳細が返されます。以下は、デフォルトでは有効になっていない、最も頻繁に使用されるエラーロギングレベルです。ロギングレベルの組み合わせが可能である点に留意してください。
レプリケーション (8192)
レプリケーションロギングは、実装する最も重要な診断レベルの 1 つです。このレプリケーション (8192
) レベルは、サプライヤー変更の処理および変更ログへの書き込み、更新の送信、ならびにレプリカ合意の変更など、レプリケーションおよび Windows 同期に関連するすべての操作を記録します。
Directory Server がレプリケーション更新を準備または送信すると、エラーログでは、それがレプリケーションまたは同期合意であるかが識別されます。ログでは、コンシューマーのホストとポート、および現在のレプリケーションタスクも識別されます。
レプリケーションレベルのログの形式は次のとおりです。
[time_stamp] NSMMReplicationPlugin - agmt="name" (consumer_host:consumer_port): current_task
以下はレプリケーション (8192
) レベルのログの例です。ここで、{replicageneration}
は Directory Server が新しい情報を送信することを意味し、4949df6e000000010000
はレプリケートされたエントリーのシーケンス番号の変更 (CSN) です。
[time_stamp] NSMMReplicationPlugin - agmt="cn=example2_agreement" (alt:13864): {replicageneration} 4949df6e000000010000
以下は、changelog へのエントリーの追加から、レプリケーションの完了後のコンシューマーの解放まで、単一のエントリーをコンシューマーに送信する完全なプロセスの例です。
[time_stamp] - DEBUG - _csngen_adjust_local_time - gen state before 592c103d0000:1496059964:0:1 [time_stamp] - DEBUG - _csngen_adjust_local_time - gen state after 592c10e20000:1496060129:0:1 [time_stamp] - DEBUG - NSMMReplicationPlugin - ruv_add_csn_inprogress - Successfully inserted csn 592c10e2000000020000 into pending list [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFileByReplicaName - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - cl5WriteOperationTxn - Successfully written entry with csn (592c10e2000000020000) [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFileByReplicaName - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db [time_stamp] - DEBUG - NSMMReplicationPlugin - csnplCommitALL: committing all csns for csn 592c10e2000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - csnplCommitALL: processing data csn 592c10e2000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - ruv_update_ruv - Successfully committed csn 592c10e2000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: wait_for_changes -> wait_for_changes [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: wait_for_changes -> ready_to_acquire_replica [time_stamp] - DEBUG - NSMMReplicationPlugin - conn_connect - agmt="cn=meTo_localhost:39001" (localhost:39001) - Trying non-secure slapi_ldap_init_ext [time_stamp] - DEBUG - NSMMReplicationPlugin - conn_connect - agmt="cn=meTo_localhost:39001" (localhost:39001) - binddn = cn=replrepl,cn=config, passwd = {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVHQ1NxR1NJYjNEUUVGRERBNEJDUmlZVFUzTnpRMk55MDBaR1ZtTXpobQ0KTWkxaE9XTTRPREpoTlMwME1EaGpabVUxWmdBQ0FRSUNBU0F3Q2dZSUtvWklodmNOQWdjd0hRWUpZSVpJQVdVRA0KQkFFcUJCRGhwMnNLcEZ2ZWE2RzEwWG10OU41Tg==}+36owaI7oTmvWhxRzUqX5w== [time_stamp] - DEBUG - NSMMReplicationPlugin - conn_cancel_linger - agmt="cn=meTo_localhost:39001" (localhost:39001) - No linger to cancel on the connection [time_stamp] - DEBUG - _csngen_adjust_local_time - gen state before 592c10e20001:1496060129:0:1 [time_stamp] - DEBUG - _csngen_adjust_local_time - gen state after 592c10e30000:1496060130:0:1 [time_stamp] - DEBUG - NSMMReplicationPlugin - acquire_replica - agmt="cn=meTo_localhost:39001" (localhost:39001): Replica was successfully acquired. [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: ready_to_acquire_replica -> sending_updates [time_stamp] - DEBUG - csngen_adjust_time - gen state before 592c10e30001:1496060130:0:1 [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFile - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5PositionCursorForReplay - (agmt="cn=meTo_localhost:39001" (localhost:39001)): Consumer RUV: [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replicageneration} 592c0e0b000000010000 [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 1 ldap://localhost:39001} 592c0e17000000010000 592c0e1a000100010000 00000000 [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 2 ldap://localhost:39002} 592c103c000000020000 592c103c000000020000 00000000 [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5PositionCursorForReplay - (agmt="cn=meTo_localhost:39001" (localhost:39001)): Supplier RUV: [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replicageneration} 592c0e0b000000010000 [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 2 ldap://localhost:39002} 592c103c000000020000 592c10e2000000020000 592c10e1 [time_stamp] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 1 ldap://localhost:39001} 592c0e1a000100010000 592c0e1a000100010000 00000000 [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_buffer - found thread private buffer cache 0x558ddf870f00 [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_buffer - _pool is 0x558ddfe294d0 _pool->pl_busy_lists is 0x558ddfab84c0 _pool->pl_busy_lists->bl_buffers is 0x558ddf870f00 [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_initial_anchorcsn - agmt="cn=meTo_localhost:39001" (localhost:39001) - (cscb 0 - state 0) - csnPrevMax () csnMax (592c10e2000000020000) csnBuf (592c103c000000020000) csnConsumerMax (592c103c000000020000) [time_stamp] - DEBUG - clcache_initial_anchorcsn - anchor is now: 592c103c000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - changelog program - agmt="cn=meTo_localhost:39001" (localhost:39001): CSN 592c103c000000020000 found, position set for replay [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_next_change - load=1 rec=1 csn=592c10e2000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Starting [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0 [time_stamp] - DEBUG - NSMMReplicationPlugin - replay_update - agmt="cn=meTo_localhost:39001" (localhost:39001): Sending add operation (dn="cn=user,ou=People,dc=example,dc=com" csn=592c10e2000000020000) [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0 [time_stamp] - DEBUG - NSMMReplicationPlugin - replay_update - agmt="cn=meTo_localhost:39001" (localhost:39001): Consumer successfully sent operation with csn 592c10e2000000020000 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0 [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_adjust_anchorcsn - agmt="cn=meTo_localhost:39001" (localhost:39001) - (cscb 0 - state 1) - csnPrevMax (592c10e2000000020000) csnMax (592c10e2000000020000) csnBuf (592c10e2000000020000) csnConsumerMax (592c10e2000000020000) [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_load_buffer - rc=-30988 [time_stamp] - DEBUG - NSMMReplicationPlugin - send_updates - agmt="cn=meTo_localhost:39001" (localhost:39001): No more updates to send (cl5GetNextOperationToReplay) [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_waitfor_async_results - 0 5 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 5 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Result 1, 0, 0, 5, (null) [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 5 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_waitfor_async_results - 5 5 [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain exiting [time_stamp] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_return_buffer - session end: state=5 load=1 sent=1 skipped=0 skipped_new_rid=0 skipped_csn_gt_cons_maxcsn=0 skipped_up_to_date=0 skipped_csn_gt_ruv=0 skipped_csn_covered=0 [time_stamp] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_acquire_exclusive_access - conn=4 op=3 Acquired consumer connection extension [time_stamp] - DEBUG - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=4 op=3 repl="dc=example,dc=com": Begin incremental protocol [time_stamp] - DEBUG - csngen_adjust_time - gen state before 592c10e30001:1496060130:0:1 [time_stamp] - DEBUG - csngen_adjust_time - gen state after 592c10e40001:1496060130:1:1 [time_stamp] - DEBUG - NSMMReplicationPlugin - replica_get_exclusive_access - conn=4 op=3 repl="dc=example,dc=com": Acquired replica [time_stamp] - DEBUG - NSMMReplicationPlugin - release_replica - agmt="cn=meTo_localhost:39001" (localhost:39001): Successfully released consumer [time_stamp] - DEBUG - NSMMReplicationPlugin - conn_start_linger -agmt="cn=meTo_localhost:39001" (localhost:39001) - Beginning linger on the connection [time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: sending_updates -> wait_for_changes [time_stamp] - DEBUG - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=4 op=3 repl="dc=example,dc=com": StartNSDS90ReplicationRequest: response=0 rc=0 [time_stamp] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_relinquish_exclusive_access - conn=4 op=3 Relinquishing consumer connection extension [time_stamp] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_acquire_exclusive_access - conn=4 op=4 Acquired consumer connection extension [time_stamp] - DEBUG - NSMMReplicationPlugin - replica_relinquish_exclusive_access - conn=4 op=4 repl="dc=example,dc=com": Released replica held by locking_purl=conn=4 id=3 [time_stamp] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_relinquish_exclusive_access - conn=4 op=4 Relinquishing consumer connection extension
プラグイン (65536
)
プラグイン (65536
) レベルには、プラグインの名前と、プラグインが呼び出すすべての関数が記録されます。
プラグインレベルのログの形式は次のとおりです。
[time_stamp] plug-in_name - message [time_stamp] - function - message
Directory Server はすべてのステップを処理するため、返される情報には数百行が含まれる場合があります。正確に記録される情報はプラグイン自体に依存します。以下の例の ACL プラグインには、接続番号と操作番号が含まれています。
[time_stamp] - DEBUG - NSACLPlugin - acl_access_allowed - conn=15 op=1 (main): Allow search on entry(cn=replication,cn=config): root user
設定ファイル処理 (64)
設定ファイルの処理ログレベルは、サーバーが使用する各 .conf
ファイルを調べて、サーバーの起動時にすべての行を出力します。64
ログレベルを使用すると、サーバーの通常の設定以外のファイルに関する問題をデバッグできます。デフォルトでは、国際言語セットの設定が含まれる slapd-collations.conf
ファイルのみが利用可能です。
設定ファイルの処理 (64) レベルの例:
[time_stamp] - DEBUG - collation_read_config - Reading config file /etc/dirsrv/slapd-supplier_1/slapd-collations.conf [time_stamp] - DEBUG - collation-plugin - collation_read_config - line 16: collation "" "" "" 1 3 2.16.840.1.113730.3.3.2.0.1 default [time_stamp] - DEBUG - collation-plugin - collation_read_config - line 17: collation ar "" "" 1 3 2.16.840.1.113730.3.3.2.1.1 ar [time_stamp] - DEBUG - collation-plugin - collation_read_config - line 18: collation be "" "" 1 3 2.16.840.1.113730.3.3.2.2.1 be be-BY ...
アクセス制御リストの処理 (128
) およびアクセス制御の概要 (262144
)
両方の ACI ロギングレベルは、他のログレベルには含まれない情報を記録し、接続番号 (conn
) と操作番号 (op
) が含まれています。アクセス制御リストの処理 (128
) は、バインドおよびその他の操作の過程で呼び出される一連の関数を示しています。アクセス制御の概要 (262144
) には、プラグインの名前、ユーザーのバインド DN、実行または試行された操作、および適用された ACI が記録されます。
アクセス制御の概要 (262144
) レベルの例:
[time_stamp] - DEBUG - NSACLPlugin - acllist_init_scan - Failed to find root for base: cn=features,cn=config [time_stamp] - DEBUG - NSACLPlugin - acllist_init_scan - Failed to find root for base: cn=config [time_stamp] - DEBUG - NSACLPlugin - acl_access_allowed - ## conn=6 op=1 binddn="cn=user,ou=people,dc=example,dc=com" [time_stamp] - DEBUG - NSACLPlugin - RESOURCE INFO STARTS [time_stamp] - DEBUG - NSACLPlugin - Client DN: cn=user,ou=people,dc=example,dc=com [time_stamp] - DEBUG - NSACLPlugin - resource type:256(search target_DN ) [time_stamp] - DEBUG - NSACLPlugin - Slapi_Entry DN: cn=features,cn=config [time_stamp] - DEBUG - NSACLPlugin - ATTR: objectClass [time_stamp] - DEBUG - NSACLPlugin - rights:search [time_stamp] - DEBUG - NSACLPlugin - RESOURCE INFO ENDS [time_stamp] - DEBUG - NSACLPlugin - acl__scan_for_acis - Num of ALLOW Handles:0, DENY handles:0 [time_stamp] - DEBUG - NSACLPlugin - print_access_control_summary - conn=6 op=1 (main): Deny search on entry(cn=features,cn=config).attr(objectClass) to cn=user,ou=people,dc=example,dc=com: no aci matched the resource
他のロギングレベル
他の多くのロギングレベルの出力形式は、プラグインのロギングレベルと似ています。唯一の違いは、記録された内部操作です。
ヘビートレース出力 (4
)、アクセス制御リスト処理 (128
)、スキーマ解析 (2048
)、およびハウスキーピング (4096
) レベルなどのロギングレベルは、Directory Server がさまざまな操作を実行するときに呼び出される関数を記録します。さらに、エラーログには、Directory Server が指定された操作に対してこれらの関数を呼び出す理由が記録されます。
11.3. 監査ログのリファレンス
監査ログには、各データベースとサーバー設定に加えられた変更が記録されます。このログタイプはデフォルトでは有効になっていません。監査ログを有効にすると、Directory Server は成功した操作のみを監査ログファイルに記録します。ただし、監査失敗ログを有効にすると、失敗した操作を別のファイルに記録できます。
エラーログやアクセスログとは異なり、監査ログはサーバーインスタンスへのアクセスを記録しないため、データベースに対する検索はログに記録されません。
監査ログの形式は、アクセスログやエラーログの形式とは異なります。Directory Server は、LDIF ステートメントの監査ログに操作を記録します。
timestamp: date dn: modified_entry changetype: action action:attribute attribute:new_value - replace: modifiersname modifiersname: dn - replace: modifytimestamp modifytimestamp: date -
LDIF ファイルと形式の詳細は、LDAP データ交換形式 を参照してください。
監査ログの例:
... modifying an entry ... time: 20200108181429 dn: uid=scarter,ou=people,dc=example,dc=com changetype: modify replace: userPassword userPassword: {SSHA}8EcJhJoIgBgY/E5j8JiVoj6W3BLyj9Za/rCPOw== - replace: modifiersname modifiersname: cn=Directory Manager - replace: modifytimestamp modifytimestamp: 20200108231429Z - ... sending a replication update ... time: 20200109131811 dn: cn=example2,cn=replica,cn="dc=example,dc=com",cn=mapping tree,cn=config changetype: modify replace: nsds5BeginReplicaRefresh nsds5BeginReplicaRefresh: start - replace: modifiersname modifiersname: cn=Directory Manager - replace: modifytimestamp modifytimestamp: 20200109181810Z -
関連情報
11.4. 監査失敗ログのリファレンス
失敗監査ログを有効にすると、Directory Server はサーバーインスタンスに対して行われた、失敗した変更のみを監査失敗ログファイルに記録し始めます。
監査失敗ログは、監査ログと同じ形式で、LDIF ステートメントに似ています。デフォルトでは有効になっていません。
関連情報
11.5. セキュリティーログのリファレンス
セキュリティーログには、次のようなさまざまなセキュリティーイベントが記録されます。
- 認証イベント
- 認可の問題
- DoS および TCP 攻撃
Directory Server は、セキュリティーログを他のログファイルとともに /var/log/dirsrv/slapd-instance_name/
ディレクトリーに保存します。セキュリティーログは、すべての情報が含まれるアクセスログと比較して、すぐには更新されず、消費するディスクリソースも少なくなりますが、セキュリティーデータを取得するために高価な解析が必要になります。
セキュリティーログは JSON 形式であり、他のツールでログの複雑な解析を行うことができます。セキュリティーログのログ形式を変更したり、ログレベルを設定したりすることはできません。
セキュリティーログの例:
{ “date”: “[time_stamp] “, “utc_time”: “1684155510.154562500", “event”: “BIND_SUCCESS”, “dn”: “cn=directory manager”, “bind_method”: “LDAPI”, “root_dn”: true, “client_ip”: “local”, “server_ip”: “\/run\/slapd-instance_name.socket”, “ldap_version”: 3, “conn_id”: 1, “op_id”: 0, “msg”: “” } { “date”: “[time_stamp] “, “utc_time”: “1684155510.163790695", “event”: “BIND_SUCCESS”, “dn”: “cn=directory manager”, “bind_method”: “LDAPI”, “root_dn”: true, “client_ip”: “local”, “server_ip”: “\/run\/slapd-instance_name.socket”, “ldap_version”: 3, “conn_id”: 2, “op_id”: 0, “msg”: “” } {'date': '[time_stamp]', 'utc_time': '168485945', 'event': 'BIND_FAILED', 'dn': 'uid=mark,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '2', 'op_id': '1', 'msg': 'INVALID_PASSWORD'} {'date': '[time_stamp]', 'utc_time': '168499999', 'event': 'BIND_FAILED', 'dn': 'uid=mike,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '7', 'op_id': '1', 'msg': 'NO_SUCH_ENTRY'} {"date": "[time_stamp]", "utc_time": 1657907429, "event": "TCP_ERROR", "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "msg": "Bad Ber Tag or uncleanly closed connection - B1"}
このログの例は、サーバーへの 2 つのバインドが成功したこと、2 つのバインドが失敗したこと、1 つのイベントが TCP エラーであることを示しています。
関連情報
11.6. LDAP の結果コード
Directory Server は、次の LDAP 結果コードをログファイルに使用します。
10 進数値 | 16 進値 | 定数 |
---|---|---|
0 | 0x00 | LDAP_SUCCESS |
1 | 0x01 | LDAP_OPERATIONS_ERROR |
2 | 0x02 | LDAP_PROTOCOL_ERROR |
3 | 0x03 | LDAP_TIMELIMIT_EXCEEDED |
4 | 0x04 | LDAP_SIZELIMIT_EXCEEDED |
5 | 0x05 | LDAP_COMPARE_FALSE |
6 | 0x06 | LDAP_COMPARE_TRUE |
7 | 0x07 | LDAP_AUTH_METHOD_NOT_SUPPORTED LDAP_STRONG_AUTH_NOT_SUPPORTED |
8 | 0x08 | LDAP_STRONGER_AUTH_REQUIRED LDAP_STRONG_AUTH_REQUIRED |
9 | 0x09 | LDAP_PARTIAL_RESULTS |
10 | 0x0a | LDAP_REFERRAL (LDAPv3) |
11 | 0x0b | LDAP_ADMINLIMIT_EXCEEDED |
12 | 0x0c | LDAP_UNAVAILABLE_CRITICAL_EXTENSION |
13 | 0x0d | LDAP_CONFIDENTIALITY_REQUIRED |
14 | 0x0e | LDAP_SASL_BIND_IN_PROGRESS |
16 | 0x10 | LDAP_NO_SUCH_ATTRIBUTE |
17 | 0x11 | LDAP_UNDEFINED_TYPE |
18 | 0x12 | LDAP_INAPPROPRIATE_MATCHING |
19 | 0x13 | LDAP_CONSTRAINT_VIOLATION |
20 | 0x14 | LDAP_TYPE_OR_VALUE_EXISTS |
21 | 0x15 | LDAP_INVALID_SYNTAX |
32 | 0x20 | LDAP_NO_SUCH_OBJECT |
33 | 0x21 | LDAP_ALIAS_PROBLEM |
34 | 0x22 | LDAP_INVALID_DN_SYNTAX |
35 | 0x23 | LDAP_IS_LEAF (LDAPv3 では使用されません) |
36 | 0x24 | LDAP_ALIAS_DEREF_PROBLEM |
48 | 0x30 | LDAP_INAPPROPRIATE_AUTH |
49 | 0x31 | LDAP_INVALID_CREDENTIALS |
50 | 0x32 | LDAP_INSUFFICIENT_ACCESS |
51 | 0x33 | LDAP_BUSY |
52 | 0x34 | LDAP_UNAVAILABLE |
53 | 0x35 | LDAP_UNWILLING_TO_PERFORM |
54 | 0x36 | LDAP_LOOP_DETECT |
60 | 0x3c | LDAP_SORT_CONTROL_MISSING |
61 | 0x3d | LDAP_INDEX_RANGE_ERROR |
64 | 0x40 | LDAP_NAMING_VIOLATION |
65 | 0x41 | LDAP_OBJECT_CLASS_VIOLATION |
66 | 0x42 | LDAP_NOT_ALLOWED_ON_NONLEAF |
67 | 0x43 | LDAP_NOT_ALLOWED_ON_RDN |
68 | 0x44 | LDAP_ALREADY_EXISTS |
69 | 0x45 | LDAP_NO_OBJECT_CLASS_MODS |
70 | 0x46 | LDAP_RESULTS_TOO_LARGE (CLDAP 用に予約済み) |
71 | 0x47 | LDAP_AFFECTS_MULTIPLE_DSAS |
76 | 0x4C | LDAP_VIRTUAL_LIST_VIEW_ERROR |
80 | 0x50 | LDAP_OTHER |
81 | 0x51 | LDAP_SERVER_DOWN |
82 | 0x52 | LDAP_LOCAL_ERROR |
83 | 0x53 | LDAP_ENCODING_ERROR |
84 | 0x54 | LDAP_DECODING_ERROR |
85 | 0x55 | LDAP_TIMEOUT |
86 | 0x56 | LDAP_AUTH_UNKNOWN |
87 | 0x57 | LDAP_FILTER_ERROR |
88 | 0x58 | LDAP_USER_CANCELLED |
89 | 0x59 | LDAP_PARAM_ERROR |
90 | 0x5A | LDAP_NO_MEMORY |
91 | 0x5B | LDAP_CONNECT_ERROR |
92 | 0x5C | LDAP_NOT_SUPPORTED |
93 | 0x5D | LDAP_CONTROL_NOT_FOUND |
94 | 0x5E | LDAP_MORE_RESULTS_TO_RETURN |
95 | 0x5F | LDAP_MORE_RESULTS_TO_RETURN |
96 | 0x60 | LDAP_CLIENT_LOOP |
97 | 0x61 | LDAP_REFERRAL_LIMIT_EXCEEDED |
118 | 0x76 | LDAP_CANCELLED |