第2章 コアサーバー設定属性
このセクションには、コアサーバーの機能に関連する設定属性の参照情報が記載されています。サーバー設定の変更については、セクション 2.2.1.2Accessing and Modifying Server Configuration を参照してください。プラグインとして実装されるサーバー機能のリストは、セクション 4.1 の Server Plug-in Functionality Reference を参照してください。カスタムサーバー機能の実装に関するヘルプは、Directory Server サポートにお問い合わせください。
dse.ldif ファイルに格納されている設定情報は、一般的な設定エントリー cn=config の下に情報ツリーとして編成されています。
この設定ツリーのノードのほとんどは、以下のセクションで説明されています。
cn=plugins ノードは、第 4 章のプラグイン実装サーバー機能のリファレンスで説明されています。各属性の説明には、ディレクトリーエントリーの DN、デフォルト値、値の有効な範囲、その使用方法などが含まれます。
本章で説明するエントリーおよび属性の一部は、製品の今後のリリースで変更される可能性があります。
2.1. cn=config
Directory Server は、cn=config
エントリーに一般的な設定エントリーを保存します。このエントリーは、nsslapdConfig
オブジェクトクラスのインスタンスで、extensibleObject
オブジェクトクラスを継承します。
2.1.1. nsslapd-accesslog
この属性は、各 LDAP アクセスを記録するために使用されるログのパスおよびファイル名を指定します。ログファイルには、デフォルトで以下の情報を記録します。
- データベースにアクセスするクライアントマシンの IP アドレス (IPv4 または IPv6)。
- 実行される操作 (検索、追加、変更など)。
- アクセス権の結果 (返されるエントリーの数やエラーコードなど)。
アクセスロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-accesslog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.1 dse.ldif ファイル属性
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
nsslapd-accesslog
パラメーターの説明:
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名。 |
デフォルト値 | /var/log/dirsrv/slapd-instance/access |
構文 | DirectoryString |
例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
2.1.2. nsslapd-accesslog-compress
Directory Server は、デフォルトではアクセスログを圧縮しません。Directory Server がログをローテーションするときにアクセスログの圧縮を有効にするには、nsslapd-accesslog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-accesslog-compress: on |
2.1.3. nsslapd-accesslog-level
この属性は、アクセスログにログ記録する内容を制御します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 0 - アクセスロギングなし * 4 - 内部アクセス操作のロギング * 256 - 接続、操作、および結果の記録 * 512 - エントリーおよび参照情報にアクセスするためのロギング
* これらの値を一緒に追加して、必要なロギングタイプを提供します。たとえば、 |
デフォルト値 | 256 |
構文 | 整数 |
例 | nsslapd-accesslog-level: 256 |
2.1.4. nsslapd-accesslog-list
設定できないこの読み取り専用属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
2.1.5. nsslapd-accesslog-logbuffering
off
に設定すると、サーバーはすべてのアクセスログエントリーを直接ディスクに書き込みます。バッファーを使用すると、パフォーマンスに影響を与えずに負荷が大きい場合でもサーバーがアクセスロギングを使用できます。ただし、デバッグ時には、操作と、ログエントリーがファイルにフラッシュされるのを待たずに、バッファーを無効にしても、すぐに結果を見えることがあります。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logbuffering: off |
2.1.6. nsslapd-accesslog-logexpirationtime
この属性は、削除前にログファイルに到達できる最大期間を指定します。この属性はユニット数のみを提供します。ユニットは、nsslapd-accesslog-logexpirationtimeunit
属性で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logexpirationtime: 2 |
2.1.7. nsslapd-accesslog-logexpirationtimeunit
この属性は、nsslapd-accesslog-logexpirationtime
属性の単位を指定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-accesslog-logexpirationtimeunit: week |
2.1.8. nsslapd-accesslog-logging-enabled
accesslog ロギングを無効にして有効にしますが、各データベースへのアクセスを記録するのに使用されるログのパスおよびパラメーターを指定する nsslapd-accesslog
属性と併せてのみ有効です。
アクセスロギングを有効にするには、この属性を on
に切り替え、nsslapd-accesslog
設定属性に有効なパスとパラメーターが必要です。以下の表は、これらの 2 つの設定属性と、アクセスロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.2 dse.ldif Attributes
属性 | 値 | ログの有効化または無効化 |
---|---|---|
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | 有効 |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空の文字列 | Disabled |
nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-accesslog-logging-enabled: off |
2.1.9. nsslapd-accesslog-logmaxdiskspace
この属性は、アクセスログが消費できる最大ディスク容量 (メガバイト単位) を指定します。この値を超えると、最も古いアクセスログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、アクセスログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 500 |
構文 | 整数 |
例 | nsslapd-accesslog-logmaxdiskspace: 500 |
2.1.10. nsslapd-accesslog-logminfreediskspace
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-accesslog-logminfreediskspace: -1 |
2.1.11. nsslapd-accesslog-logrotationsync-enabled
この属性は、アクセスログのローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
アクセスログのローテーションを時刻で同期するには、この属性を nsslapd-accesslog-logrotationsynchour
属性値および nsslapd-accesslog-logrotationsyncmin
属性値をログファイルのローテーションの時間と分に設定して、この属性を有効にする必要があります。
たとえば、アクセスログファイルを毎日真夜中にローテーションするには、この属性の値を on
に設定して有効にし、nsslapd-accesslog-logrotationsynchour
属性および nsslapd-accesslog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationsync-enabled: on |
2.1.12. nsslapd-accesslog-logrotationsynchour
この属性は、アクセスログをローテーションする時刻を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsynchour: 23 |
2.1.13. nsslapd-accesslog-logrotationsyncmin
この属性は、アクセスログをローテーションする日数を設定します。この属性は、nsslapd-accesslog-logrotationsync-enabled
属性および nsslapd-accesslog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationsyncmin: 30 |
2.1.14. nsslapd-accesslog-logrotationtime
この属性は、アクセスログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-accesslog-logrotationtimeunit
属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨していませんが、ログが無期限に増大するため、これを指定する方法は 2 つあります。nsslapd-accesslog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-accesslog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-accesslog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合、サーバーは nsslapd-accesslog-logrotationtime
属性をチェックします。詳細は、「nsslapd-accesslog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、アクセスログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-accesslog-logrotationtime: 100 |
2.1.15. nsslapd-accesslog-logrotationtimeunit
この属性は、nsslapd-accesslog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | day |
構文 | DirectoryString |
例 | nsslapd-accesslog-logrotationtimeunit: week |
2.1.16. nsslapd-accesslog-maxlogsize
この属性は、最大アクセスログサイズをメガバイト単位で設定します。この値に達すると、アクセスログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-accesslog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定するときは、次の点を考慮してください。
- ログファイルのローテーションにより作成できるログファイルの総数。
- Directory Server は、アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログの 5 つの異なるログファイルを維持します。各ログファイルはディスク領域を消費します。
これらの考慮事項を、アクセスログ用に設定するディスク領域の合計と比較してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsize: 100 |
2.1.17. nsslapd-accesslog-maxlogsperdir
この属性は、アクセスログが保存されるディレクトリーに格納できるアクセスログの合計数を設定します。アクセスログがローテーションされるたびに、新しいログファイルが作成されます。アクセスログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンが削除されます。パフォーマンス上の理由から、この値は 1
に設定しないでください。サーバーがログをローテーションせず、ログが無制限に増大するためです。
この属性の値が 1
よりも大きい場合は、nsslapd-accesslog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-accesslog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime」 を参照してください。
nsslapd-accesslog-logminfreediskspace
および nsslapd-accesslog-maxlogsize
に設定した値によっては、実際のログ数は nsslapd-accesslog-maxlogsperdir
で設定する数よりも少なくなる可能性があります。たとえば、nsslapd-accesslog-maxlogsperdir
がデフォルト (10 ファイル) を使用し、nsslapd-accesslog-logminfreediskspace
を 500 MB に、nsslapd-accesslog-maxlogsize
を 100 MB に設定すると、Directory Server は 5 つのアクセスログファイルのみを保持します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-accesslog-maxlogsperdir: 10 |
2.1.18. nsslapd-accesslog-mode
この属性は、アクセスログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、000
から 777
の組み合わせ (番号または絶対 UNIX ファイルのパーミッション) です。値は、3 桁の数字である必要があります。数字は 0
から 7
の間で変わります。
-
0
- なし -
1
- 実行のみ -
2
- 書き込みのみ -
3
- 書き込みおよび実行 -
4
- 読み取り専用 -
5
- 読み取りおよび実行 -
6
- 読み取りおよび書き込み -
7
- 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-accesslog-mode: 600 |
2.1.19. nsslapd-allow-anonymous-access
バインド DN またはパスワードを指定せずに Directory Server への接続を試みると、これは 匿名バインド になります。匿名バインドは、ユーザーが最初にディレクトリーに対して認証を行う必要がないため、電話番号や電子メールアドレスをディレクトリーで確認するような、一般的な検索および読み取り操作を簡素化します。
ただし、匿名バインドにはリスクがあります。機密情報へのアクセスを制限したり、変更や削除などのアクションを許可しないように、適切な ACI を導入する必要があります。さらに、匿名バインドは、サービス拒否攻撃や、悪意のあるユーザーがサーバーへのアクセスを取得するのに使用できます。
匿名バインドを無効にしてセキュリティーを強化できます (オフ)。デフォルトでは、匿名バインドは検索操作および読み取り操作に対して許可 (on) されます。これにより、ユーザーおよびグループのエントリーに加えて、root DSE などの設定エントリーを含む 通常のディレクトリーエントリー にアクセスすることができます。3 つ目のオプション rootdse
により、匿名検索および root DSE 自体への読み取りアクセスが許可されますが、他のすべてのディレクトリーエントリーへのアクセスを制限します。
必要に応じて、「nsslapd-anonlimitsdn」 で説明されているように nsslapd-anonlimitsdn
属性を使用して、リソース制限を匿名バインドに配置できます。
この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off | rootdse |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-allow-anonymous-access: on |
2.1.20. nsslapd-allowed-sasl-mechanisms
デフォルトでは、ルート DSE は SASL ライブラリーがサポートするすべてのメカニズムをリスト表示します。ただし、一部の環境では、特定の環境だけが優先されます。nsslapd-allowed-sasl-mechanisms
属性を使用すると、定義した SASL メカニズムのみを有効にできます。
メカニズム名は大文字、数字、およびアンダースコアで設定される必要があります。各メカニズムはコンマまたはスペースで区切ることができます。
EXTERNAL
メカニズムは SASL プラグインによって実際に使用されません。これはサーバーの内部であり、主に TLS クライアント認証に使用されます。したがって、EXTERNAL
メカニズムは制限または制御できません。nsslapd-allowed-sasl-mechanisms
属性に設定されているかどうかに関わらず、常にサポートされているメカニズムリストに表示されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な SASL メカニズム |
デフォルト値 | None(すべての SASL メカニズムが許可される) |
構文 | DirectoryString |
例 | nsslapd-allowed-sasl-mechanisms: GSSAPI、DIGEST-MD5、OTP |
2.1.21. nsslapd-allow-hashed-passwords
このパラメーターは、事前にハッシュ化されたパスワードチェックを無効にします。デフォルトでは、Directory Server では、事前にハッシュ化されたパスワードは Directory Manager 以外のユーザーによって設定できません。この権限を Password Administrators グループに追加すると、他のユーザーに委任できます。ただし、レプリケーションパートナーが、事前にハッシュ化されたパスワードチェックをすでに制御している場合など、この機能は Directory Server で無効にする必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-hashed-passwords: off |
2.1.22. nsslapd-allow-unauthenticated-binds
認証されていないバインドは、ユーザーが空のパスワードを提供する Directory Server への接続です。Directory Server では、デフォルト設定を使用すると、セキュリティー上の理由から、このシナリオのアクセスを拒否します。
Red Hat は、認証されていないバインドを有効にしないことを推奨します。この認証方法により、Directory Manager を含むアカウントとしてパスワードを指定せずにユーザーがバインドできます。バインド後、ユーザーはバインドに使用されるアカウントのパーミッションを持つすべてのデータにアクセスできます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-allow-unauthenticated-binds: off |
2.1.23. nsslapd-anonlimitsdn
リソース制限は、認証されたバインドに設定できます。リソース制限では、検索の単一の操作 (nsslapd-sizeLimit
)、時間制限 (nsslapd-timelimit
)、およびタイムアウト期間 (nsslapd-idletimeout
)、ならびに検索可能なエントリーの合計数 (nsslapd-lookthroughlimit
) で検索可能なエントリー数の上限を設定できます。このリソース制限により、サービス拒否攻撃がディレクトリーリソースを結合し、全体的なパフォーマンスを向上させることができます。
リソース制限はユーザーエントリーに設定されます。匿名のバインディングは、当然ながら、ユーザーエントリーとは関係ありません。これは、通常、リソース制限が匿名操作には適用されません。
匿名バインドにリソース制限を設定するには、適切なリソース制限でテンプレートエントリーを作成できます。nsslapd-anonlimitsdn
設定属性を追加して、このエントリーを指定し、リソース制限を匿名バインドに適用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
2.1.24. nsslapd-attribute-name-exceptions
この属性を使用すると、属性名の標準以外の文字を、スキーマ定義属性の "_" など、古いサーバーと後方互換性に使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-attribute-name-exceptions: on |
2.1.25. nsslapd-auditfaillog
この属性は、失敗した LDAP の変更を記録するために使用されるログのパスおよびファイル名を設定します。
nsslapd-auditfaillog-logging-enabled
が有効にされており、nsslapd-auditfaillog
が設定されていない場合、監査の失敗イベントは nsslapd-auditlog
で指定されたファイルに記録されます。
nsslapd-auditfaillog
パラメーターを nsslapd-auditlog
と同じパスに設定すると、いずれも同じファイルに記録されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
監査の失敗ログを有効にするには、この属性に有効なパスが必要で、nsslapd-auditfaillog-logging-enabled
属性を on
に設定する必要があります。
2.1.26. nsslapd-auditfaillog-compress
Directory Server は、デフォルトでは監査失敗ログを圧縮しません。Directory Server がログをローテーションするときに監査失敗ログの圧縮を有効にするには、nsslapd-auditfaillog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-compress: on |
2.1.27. nsslapd-auditfaillog-list
監査失敗のログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
2.1.28. nsslapd-auditfaillog-logexpirationtime
この属性は、削除前のログファイルの最大期間を設定します。ユニット数に提供されます。nsslapd-auditfaillog-logexpirationtimeunit
属性の day、week、month など、単位を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logexpirationtime: 1 |
2.1.29. nsslapd-auditfaillog-logexpirationtimeunit
この属性は、nsslapd-auditfaillog-logexpirationtime
属性に単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
2.1.30. nsslapd-auditfaillog-logging-enabled
失敗した LDAP 変更のロギングをオンまたはオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logging-enabled: off |
2.1.31. nsslapd-auditfaillog-logmaxdiskspace
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。サイズが制限を超えると、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
2.1.32. nsslapd-auditfaillog-logminfreediskspace
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量が指定された値よりも小さい場合、十分なディスク領域が解放されるまで最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
2.1.33. nsslapd-auditfaillog-logrotationsync-enabled
この属性は、監査失敗のログローテーションが、特定の日に同期されるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査失敗ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditfaillog-logrotationsynchour
属性値および nsslapd-auditfaillog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査失敗ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditfaillog-logrotationsynchour
属性および nsslapd-auditfaillog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationsync-enabled: on |
2.1.34. nsslapd-auditfaillog-logrotationsynchour
この属性は、監査ログがローテーションされる時刻を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
2.1.35. nsslapd-auditfaillog-logrotationsyncmin
この属性は、監査ログがローテーションされる分を設定します。この属性は、nsslapd-auditfaillog-logrotationsync-enabled
属性および nsslapd-auditfaillog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
2.1.36. nsslapd-auditfaillog-logrotationtime
この属性は、監査失敗ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditfaillog-logrotationtimeunit
属性で指定します。nsslapd-auditfaillog-maxlogsperdir
属性が 1
に設定されている場合、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditfaillog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditfaillog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditfaillog-maxlogsperdir
属性をチェックして、この属性の値が 1
を超える場合は、サーバーでは nsslapd-auditfaillog-logrotationtime
属性を確認します。詳細は、「nsslapd-auditfaillog」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査失敗ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-logrotationtime: 100 |
2.1.37. nsslapd-auditfaillog-logrotationtimeunit
この属性は、nsslapd-auditfaillog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditfaillog-logrotationtimeunit: day |
2.1.38. nsslapd-auditfaillog-maxlogsize
この属性は、最大監査失敗ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditfaillog-maxlogsperdir
パラメーターが 1
に設定されている場合、サーバーはこの属性を無視します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsize: 50 |
2.1.39. nsslapd-auditfaillog-maxlogsperdir
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査失敗のログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditfaillog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを設定します。nsslapd-auditfaillog-logrotationtime
属性の値が -1
の場合は、ログローテーションがありません。詳細は、「nsslapd-auditfaillog-logexpirationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
2.1.40. nsslapd-auditfaillog-mode
この属性は、監査失敗ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditfaillog-mode: 600 |
2.1.41. nsslapd-auditlog
この属性は、各データベースに加えられた変更を記録するために使用されるログのパスおよびファイル名を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/audit |
構文 | DirectoryString |
例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.3 nsslapd-auditlog の可能な組み合わせ
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.42. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs
属性を使用すると、Directory Server が監査ログに表示する属性を設定して、変更されるエントリーに関する有用な識別情報を提供できます。監査ログに属性を追加すると、エントリー内の特定の属性の現在の状態とエントリーの更新の詳細を確認できます。
次のオプションのいずれかを選択して、ログ内の属性を表示できます。
- Directory Server が変更するエントリーの特定の属性を表示するには、属性名を値として指定します。
- 複数の属性を表示するには、スペースで区切られた属性名のリストを値として指定します。
- エントリーのすべての属性を表示するには、値としてアスタリスク (*) を使用します。
Directory Server が監査ログに表示する必要がある属性のスペース区切りのリストを指定するか、値としてアスタリスク (*
) を使用して、変更されるエントリーのすべての属性を表示します。
たとえば、監査ログ出力に cn
属性を追加するには、nsslapd-auditlog-display-attrs
属性を cn
に設定します。監査ログには、次のようなエントリーが含まれます。
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: John Smith
result: 0
changetype: modify
...
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
任意の有効な属性名とアスタリスク ( |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-display-attrs: cn ou |
2.1.43. nsslapd-auditlog-compress
Directory Server は、デフォルトでは監査ログを圧縮しません。Directory Server がログをローテーションするときに監査ログの圧縮を有効にするには、nsslapd-auditlog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-compress: on |
2.1.44. nsslapd-auditlog-list
監査ログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
2.1.45. nsslapd-auditlog-logexpirationtime
この属性は、ログファイルが削除される前に許可される最大期間を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logexpirationtime: 1 |
2.1.46. nsslapd-auditlog-logexpirationtimeunit
この属性は、nsslapd-auditlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logexpirationtimeunit: day |
2.1.47. nsslapd-auditlog-logging-enabled
監査ロギングをオンおよびオフにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logging-enabled: off |
監査ロギングを有効にするには、この属性に有効なパスとパラメーターが必要で、nsslapd-auditlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、監査ロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.4 nsslapd-auditlog と nsslapd-auditlog-logging-enabled の組み合わせ
属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | 有効 |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空の文字列 | Disabled |
nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
2.1.48. nsslapd-auditlog-logmaxdiskspace
この属性は、監査ログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古い監査ログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
2.1.49. nsslapd-auditlog-logminfreediskspace
この属性は、許容できる最小ディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性によって指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古い監査ログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-auditlog-logminfreediskspace: -1 |
2.1.50. nsslapd-auditlog-logrotationsync-enabled
この属性は、監査ログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
監査ロギングのローテーションを時刻で同期するには、この属性を nsslapd-auditlog-logrotationsynchour
属性値および nsslapd-auditlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜に監査ログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-auditlog-logrotationsynchour
属性および nsslapd-auditlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationsync-enabled: on |
2.1.51. nsslapd-auditlog-logrotationsynchour
この属性は、監査ログのローテーションを行う時刻を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsynchour: 23 |
2.1.52. nsslapd-auditlog-logrotationsyncmin
この属性は、監査ログのローテーションに使用する日数を設定します。この属性は、nsslapd-auditlog-logrotationsync-enabled
属性および nsslapd-auditlog-logrotationsynchour
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 |
なし ( |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationsyncmin: 30 |
2.1.53. nsslapd-auditlog-logrotationtime
この属性は、監査ログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。単位 (day、week、month など) は nsslapd-auditlog-logrotationtimeunit
属性で指定します。nsslapd-auditlog-maxlogsperdir
属性が 1
に設定されていると、サーバーはこの属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-auditlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-auditlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-auditlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-auditlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-auditfaillog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、監査ログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-logrotationtime: 100 |
2.1.54. nsslapd-auditlog-logrotationtimeunit
この属性は、nsslapd-auditlog-logrotationtime
属性の単位を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-auditlog-logrotationtimeunit: day |
2.1.55. nsslapd-auditlog-maxlogsize
この属性は、最大監査ログサイズをメガバイト単位で設定します。この値に達すると、監査ログはローテーションされます。つまり、サーバーがログ情報を新しいログファイルに書き込むことを意味します。nsslapd-auditlog-maxlogsperdir
を 1
にすると、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server は 5 つの異なるログファイル (アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログ) を維持しており、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、監査ログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsize: 50 |
2.1.56. nsslapd-auditlog-maxlogsperdir
この属性は、監査ログが保存されるディレクトリーに格納できる監査ログの合計数を設定します。監査ログがローテーションされるたびに、新しいログファイルが作成されます。監査ログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-auditlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-auditlog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-auditlog-maxlogsperdir: 10 |
2.1.57. nsslapd-auditlog-mode
この属性は、監査ログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-auditlog-mode: 600 |
2.1.58. nsslapd-bakdir
このパラメーターは、デフォルトのバックアップディレクトリーへのパスを設定します。Directory Server ユーザーには、設定されたディレクトリーに書き込みパーミッションが必要です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のローカルディレクトリーパス。 |
デフォルト値 | /var/lib/dirsrv/slapd-instance/bak |
構文 | DirectoryString |
例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
2.1.59. nsslapd-certdir
このパラメーターは、Directory Server がインスタンスの Network Security Services(NSS) データベースを保存するために使用するディレクトリーへの完全パスを定義します。このデータベースには、インスタンスの秘密鍵と証明書が含まれます。
フォールバックとして Directory Server は、秘密鍵と証明書をこのディレクトリーに抽出します。サーバーがプライベート名前空間の /tmp/
ディレクトリーに抽出できません。プライベート名スペースの詳細は、systemd.exec(5) の man ページの PrivateTmp
パラメーターの説明を参照してください。
nsslapd-certdir
で指定したディレクトリーはサーバーのユーザー ID で所有され、このユーザー ID のみがこのディレクトリーに読み取り/書き込みパーミッションを持っている必要があります。セキュリティー上の理由から、他のユーザーには、このディレクトリーに読み書きするパーミッションがありません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 絶対パス |
デフォルト値 | /etc/dirsrv/slapd-instance_name/ |
構文 | DirectoryString |
例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
2.1.60. nsslapd-certmap-basedn
この属性は、/etc/dirsrv/slapd-instance_name/certmap.conf
ファイルで設定される security サブシステム証明書マッピングの制限を回避するために、TLS 証明書を使用してクライアント認証を実行する場合に使用できます。このファイルの設定によっては、証明書マッピングは、ルート DN に基づいてディレクトリーサブツリー検索を使用して実行できます。検索がルート DN をベースとする場合、nsslapd-certmap-basedn
属性は、ルート以外のエントリーに基づいて検索を強制的に実行する可能性があります。この属性の有効な値は、証明書マッピングに使用する接尾辞またはサブツリーの DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
2.1.61. nsslapd-close-on-failed-bind
nsslapd-close-on-failed-bind
設定属性を使用すると、BIND
操作が失敗した場合にサーバー側からクライアント接続を閉じます。
このパラメーターを有効にすると、アプリケーションが BIND
の戻りコードを無視してリクエストの送信を続けた場合に、Directory Server からの負荷が軽減されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-close-on-failed-bind: off |
2.1.62. nsslapd-cn-uses-dn-syntax-in-dns
このパラメーターを使用すると、CNF 値内で DN を有効にできます。
Directory Server の DN ノーマライザーは RFC4514 に従い、RDN 属性タイプが DN 構文にベースでない場合は空白を保持します。ただし、Directory Server の設定エントリーは、cn
属性を使用して DN 値を保存することがあります。たとえば、dn: cn="dc=A,dc=com", cn=mapping tree,cn=config
の場合は、DN 構文に従って cn
を正規化する必要があります。
この設定が必要な場合は、nsslapd-cn-uses-dn-syntax-in-dns
パラメーターを有効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
2.1.63. nsslapd-config
この読み取り専用属性は設定 DN です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の有効な設定 DN |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-config: cn=config |
2.1.64. nsslapd-connection-buffer: 1
この属性は、接続バッファーの動作を設定します。値:
-
0
: バッファーを無効にします。PDU(単一のプロトコルデータユニット) のみが一度に読み込まれます。 -
1
:512
バイトの通常の固定サイズLDAP_SOCKET_IO_BUFFER_SIZE
。 -
2
: 適応可能なバッファーサイズ
値が 2
の場合は、クライアントが大量のデータを一度に送信する場合にパフォーマンスが向上します。たとえば、大規模な追加や変更操作の場合や、多くの非同期リクエスト数がレプリケーション中に単一の接続で受信される場合などがこれに該当します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 | 1 | 2 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-connection-buffer: 1 |
2.1.65. nsslapd-connection-nocanon
このオプションを使用すると、SASL NOCANON
フラグを有効または無効にできます。無効にすると、Directory Server は、送信接続の DNS 逆引きエントリーを検索しないようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-connection-nocanon: on |
2.1.66. nsslapd-counters
nsslapd-counters
属性は、Directory Server データベースおよびサーバーパフォーマンスカウンターを有効および無効にします。
大きなカウンターを追跡すると、パフォーマンスに影響する可能性があります。カウンターの 64 ビットの整数をオフにすると、パフォーマンスが最小限に抑えられますが、長期統計追跡に悪影響を及ぼします。
このパラメーターは、デフォルトで有効になっています。カウンターを無効にするには、Directory Server を停止し、直接 dse.ldif
ファイルを編集し、サーバーを再起動します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-counters: on |
2.1.67. nsslapd-csnlogging
この属性は、利用可能な場合は変更シーケンス番号 (CSN) がアクセスログに記録されるかどうかを設定します。デフォルトでは、CSN ロギングがオンになっています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-csnlogging: on |
2.1.68. nsslapd-defaultnamingcontext
この属性は、クライアントがデフォルトで検索ベースとして使用する、設定されたすべての命名コンテキストを示します。この値は、defaultNamingContext
属性としてルート DSE にコピーされます。これにより、クライアントはルート DSE にクエリーを実行してコンテキストを取得し、適切なベースで検索を開始できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ルート接尾辞 DN |
デフォルト値 | デフォルトのユーザー接尾辞 |
構文 | DN |
例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
2.1.69. nsslapd-disk-monitoring
この属性は、ディスクで利用可能なディスク領域を確認するか、Directory Server データベースが実行している場所をマウントするために 10 秒ごとに実行されるスレッドを有効にします。利用可能なディスク領域が設定されたしきい値を下回ると、サーバーはロギングレベルの削減、アクセスまたは監査ログの無効化、ローテーションされたログの削除を行います。利用可能な領域が十分にない場合は、サーバーは正常にシャットダウンします (ウェイアと猶予期間後)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring: on |
2.1.70. nsslapd-disk-monitoring-grace-period
「nsslapd-disk-monitoring-threshold」 に設定されたディスク領域制限の半分に達すると、サーバーをシャットダウンするまで待機する猶予期間を設定します。これにより、管理者がディスクをクリーンアップし、シャットダウンを防ぐことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数値 (分単位) |
デフォルト値 | 60 |
構文 | 整数 |
例 | nsslapd-disk-monitoring-grace-period: 45 |
2.1.71. nsslapd-disk-monitoring-logging-critical
ログディレクトリーがディスク領域の制限 「nsslapd-disk-monitoring-threshold」 に設定された半方向ポイントをパスした場合にサーバーをシャットダウンするかどうかを設定します。
これを有効にすると、ロギングは無効 ではなく、サーバーによるディスク使用量を減らす手段としてローテーションされたログは削除されません。サーバーは単にシャットダウンプロセスを実行します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-logging-critical: on |
2.1.72. nsslapd-disk-monitoring-readonly-on-threshold
空きディスク領域が nsslapd-disk-monitoring-threshold
パラメーターに設定した値の半分に達すると、Directory Server は、nsslapd-disk-monitoring-grace-period
に設定された猶予期間後にインスタンスをシャットダウンします。ただし、インスタンスが停止する前にディスクの容量が不足すると、データが破損する可能性があります。この問題を回避するには、しきい値に達した場合に nsslapd-disk-monitoring-readonly-on-threshold
パラメーターを有効にします。また、Directory Server は、しきい値に達したときにインスタンスを読み取り専用モードに設定します。
この設定では、空きディスク領域が nsslapd-disk-monitoring-threshold
で設定したしきい値の半分を下回ると、Directory Server が起動しません。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
2.1.73. nsslapd-disk-monitoring-threshold
サーバーに十分なディスク領域があるかどうかを評価するために使用するしきい値をバイト単位で設定します。領域がこのしきい値の半分に達すると、サーバーはシャットダウンプロセスを開始します。
たとえば、しきい値が 2MB(デフォルト) の場合、利用可能なディスク領域が 1MB になると、サーバーはシャットダウンを開始します。
デフォルトでは、しきい値は Directory Server インスタンスの設定、トランザクション、およびデータベースディレクトリーによって使用されるディスク領域に対して評価されます。「nsslapd-disk-monitoring-logging-critical」 属性が有効な場合は、ログディレクトリーが評価に含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | * 32 ビットシステムの 0 から 32 ビットの整数値 (2147483647) * 64 ビットシステムの 0 から 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 2000000 (2MB) |
構文 | DirectoryString |
例 | nsslapd-disk-monitoring-threshold: 2000000 |
2.1.74. nsslapd-dn-validate-strict
nsslapd-syntaxcheck 属性により、サーバーは新規または変更された属性値がその属性に必要な構文と一致することを確認できます。
ただし、DN の構文ルールでは、厳格さが増大しています。RFC 4514 で DN 構文ルールを適用しようとすると、古い構文定義を使用して多くのサーバーが破損する可能性があります。デフォルトでは、nsslapd-syntaxcheck
は RFC 1779 または RFC 2253 を使用して DN を検証します。
nsslapd-dn-validate-strict
属性は、RFC 4514 のセクション 3 に従って、DN の厳密な構文検証を明示的に有効にします。この属性を off
(デフォルト) に設定すると、サーバーは、構文違反があるかどうかをチェックする前に値を正規化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-dn-validate-strict: off |
2.1.75. nsslapd-ds4-compatible-schema
cn=schema
のスキーマを Directory Server の 4.x バージョンと互換性を持たせるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ds4-compatible-schema: off |
2.1.76. nsslapd-enable-turbo-mode
Directory Server の Turbo モードは、ワーカースレッドを接続専用にし、その接続からの受信操作を継続的に読み取ることができる機能です。これにより、非常にアクティブな接続でパフォーマンスを向上でき、この機能はデフォルトで有効になります。
ワーカースレッドは、サーバーによって受信される LDAP 操作を処理します。ワーカースレッドの数は nsslapd-threadnumber
パラメーターで定義されます。各ワーカースレッドは、現在の接続のアクティビティーレベルが、確立されたすべての接続間で最大 1 つであるかどうかを評価します。Directory Server は、最後のチェック以降に開始される操作の数としてアクティビティーを測定し、現在の接続の動作が最も高い場合は turbo モードでワーカースレッドを切り替えます。
1 秒以上など、バインド操作の実行時間が長い (ログファイルの etime
値) 場合は、ターボモードを無効にするとパフォーマンスが向上する可能性があります。ただし、場合によっては、バインド時間がネットワークやハードウェアの問題の現象となる場合があります。このような状況では、turbo モードを無効にするとパフォーマンスが向上しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-turbo-mode: on |
2.1.77. nsslapd-enable-upgrade-hash
単純なバインド時に、バインド操作の性質上、Directory Server はプレーンテキストのパスワードにアクセスできます。nsslapd-enable-upgrade-hash
パラメーターが有効で、ユーザーを認証した場合、Directory Server は、ユーザーの userPassword
属性が passwordStorageScheme
属性に設定されたハッシュアルゴリズムを使用するかどうかを確認します。アルゴリズムが異なる場合、サーバーは passwordStorageScheme
のアルゴリズムでプレーンテキストのパスワードをハッシュ化し、ユーザーの userPassword
属性の値を更新します。
たとえば、弱いアルゴリズムを使用してハッシュ化されたパスワードを持つユーザーエントリーをインポートする場合、サーバーは passwordStorageScheme
(デフォルトでは PBKDF2_SHA256
) に設定したアルゴリズムを使用して、ユーザーの最初のログインでパスワードを自動的にハッシュ化します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-enable-upgrade-hash: on |
2.1.78. nsslapd-enquote-sup-oc
この属性は非推奨となり、Directory Server の今後のバージョンで削除されます。
この属性は、cn=schema
エントリーに含まれる objectclass
属性の引用が、インターネットドラフト RFC 2252 によって指定された引用に準拠するかどうかを制御します。デフォルトでは、Directory Server は RFC 2252 に準拠しており、この値は引用符で囲まれていないことを示します。非常に古いクライアントのみでは、この値を on
に設定する必要があります。したがって、この値は off
のままにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-enquote-sup-oc: off |
2.1.79. nsslapd-entryusn-global
nsslapd-entryusn-global
パラメーターは、USN プラグインがすべてのバックエンドデータベースまたは各データベースに個別に生成される更新シーケンス番号 (USN) を割り当てるかどうかを定義します。すべてのバックエンドデータベースで一意の USN の場合は、このパラメーターを on
に設定します。
詳細は、「entryusn」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-entryusn-global: off |
2.1.80. nsslapd-entryusn-import-initval
エントリーがサーバーからエクスポートされ、別のサーバーにインポートされた場合には、エントリーの更新シーケンス番号 (USN) が保持されません (レプリケーション用のデータベースの初期化の際を含む)。デフォルトでは、インポートされたエントリーのエントリー USN はゼロに設定されます。
nsslapd-entryusn-import-initval
を使用して、エントリー USN に別の初期値を設定できます。これは、すべてのインポートされたエントリーに使用される開始 USN を設定します。
nsslapd-entryusn-import-initval
には 2 つの値があります。
- 整数。インポートされたすべてのエントリーに使用される明示的な開始番号です。
- next。つまり、インポートされたエントリーはすべて、インポート操作の前にサーバー上にあった最大のエントリー USN 値を、1 つずつインクリメントして使用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数 | 次へ |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-entryusn-import-initval: next |
2.1.81. nsslapd-errorlog
この属性は、Directory Server が生成するエラーメッセージを記録するために使用されるログのパスおよびファイル名を設定します。これらのメッセージはエラー状態を記述することができますが、多くの場合、以下のような情報的条件が含まれます。
- サーバーの起動およびシャットダウン時間。
- サーバーが使用するポート番号。
このログの情報量は、Log Level 属性の現在の設定により異なります。詳細は、「nsslapd-errorlog-level」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance/errors |
構文 | DirectoryString |
例 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
エラーロギングを有効にするには、この属性に有効なパスとファイル名が必要で、nsslapd-errorlog-logging-enabled
設定属性を on
に切り替える必要があります。以下の表は、これらの 2 つの設定属性と、エラーロギングを無効化または有効にするという 2 つの設定属性に対して可能な 4 つの値の組み合わせを示しています。
表2.5 Nsslapd-errorlog 設定属性に考えられる組み合わせ
dse.ldif の属性 | 値 | ロギングの有効化または無効化 |
---|---|---|
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空の文字列 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | 有効 |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空の文字列 | Disabled |
nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
2.1.82. nsslapd-errorlog-compress
Directory Server は、デフォルトではエラーログを圧縮しません。Directory Server がログをローテーションするときにエラーログの圧縮を有効にするには、nsslapd-errorlog-compress
を on
に設定します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-errorlog-compress: on |
2.1.83. nsslapd-errorlog-level
この属性は、Directory Server のロギングレベルを設定します。ログレベルは加算されます。つまり、3
の値を指定するとレベル 1
と 2
の両方が含まれます。
nsslapd-errorlog-level
のデフォルト値は 16384
です。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | エラーログログレベルの完全なリストは、エラーログレベル を参照してください。 |
デフォルト値 | 16384 |
構文 | 整数 |
例 | nsslapd-errorlog-level: 8192 |
2.1.84. nsslapd-errorlog-list
この読み取り専用属性は、エラーログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
2.1.85. nsslapd-errorlog-logexpirationtime
この属性は、削除前にログファイルが到達できる最大期間を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logexpirationtimeunit
属性で指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logexpirationtime: 1 |
2.1.86. nsslapd-errorlog-logexpirationtimeunit
この属性は、nsslapd-errorlog-logexpirationtime
属性の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-errorlog-logexpirationtimeunit: week |
2.1.87. nsslapd-errorlog-logging-enabled
エラーロギングのオンとオフを切り替えます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-errorlog-logging-enabled: on |
2.1.88. nsslapd-errorlog-logmaxdiskspace
この属性は、エラーログが消費できる最大ディスク容量をメガバイト単位で設定します。この値を超えると、最も古いエラーログが削除されます。
最大ディスク容量を設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server が維持する 3 つの異なるログファイル (アクセスログ、監査ログ、およびエラーログ) があり、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログに許可されるディスク領域のサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
2.1.89. nsslapd-errorlog-logminfreediskspace
この属性は、許可される最小空きディスク容量をメガバイト単位で設定します。空きディスク容量がこの属性で指定された値を下回ると、この属性を満たすために十分なディスク領域が解放されるまで、最も古いアクセスログが削除されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 (無制限) | 1 から 32 ビットの整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-errorlog-logminfreediskspace: -1 |
2.1.90. nsslapd-errorlog-logrotationsync-enabled
この属性は、エラーログのローテーションが特定の時刻と同期するかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
エラーロギングのローテーションを時刻で同期するには、この属性を nsslapd-errorlog-logrotationsynchour
属性値および nsslapd-errorlog-logrotationsyncmin
属性値をログファイルのローテーションの時間および分に設定して、この属性を有効にする必要があります。
たとえば、毎日深夜にエラーログファイルをローテーションするには、その値を on
に設定してこの属性を有効にしてから、nsslapd-errorlog-logrotationsynchour
属性および nsslapd-errorlog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationsync-enabled: on |
2.1.91. nsslapd-errorlog-logrotationsynchour
この属性は、エラーログをローテーションする時刻を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsyncmin
属性と共に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsynchour: 23 |
2.1.92. nsslapd-errorlog-logrotationsyncmin
この属性は、エラーログをローテーションするために 1 日分を設定します。この属性は、nsslapd-errorlog-logrotationsync-enabled
属性および nsslapd-errorlog-logrotationsynchour
属性と併用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationsyncmin: 30 |
2.1.93. nsslapd-errorlog-logrotationtime
この属性は、エラーログファイルのローテーションの間隔を設定します。この属性はユニット数のみを提供します。ユニット (day、week、month など) は nsslapd-errorlog-logrotationtimeunit
(エラーログローテーション時間単位) 属性で指定します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
パフォーマンス上の理由から、ログローテーションを指定しないことは推奨しませんが、ログは無期限に大きくなるため、これを指定する方法は 2 つあります。nsslapd-errorlog-maxlogsperdir
属性値を 1
に設定するか、nsslapd-errorlog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-errorlog-maxlogsperdir
属性をチェックして、この属性の値が 1
よりも大きい場合、サーバーは nsslapd-errorlog-logrotationtime
属性をチェックします。詳細は、「nsslapd-errorlog-maxlogsperdir」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。値が -1 の場合は、エラーログファイルのローテーションの間隔が無制限になります。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-logrotationtime: 100 |
2.1.94. nsslapd-errorlog-logrotationtimeunit
この属性は、nsslapd-errorlog-logrotationtime
(エラーログローテーション時間) の単位を設定します。ユニットがサーバーによって認識されていない場合は、ログが期限切れになることはありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | 週 |
構文 | DirectoryString |
例 | nsslapd-errorlog-logrotationtimeunit: day |
2.1.95. nsslapd-errorlog-maxlogsize
この属性は、最大エラーログサイズをメガバイト単位で設定します。この値に達すると、エラーログがローテーションされ、サーバーはログ情報の新しいログファイルへの書き込みを開始します。nsslapd-errorlog-maxlogsperdir
が 1
に設定されている場合、サーバーはこの属性を無視します。
最大ログサイズを設定する場合は、ログファイルのローテーションにより作成可能なログファイルの合計数を考慮してください。また、Directory Server は 5 つの異なるログファイル (アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログ) を維持しており、それぞれがディスク領域を消費することに注意してください。これらの考慮事項を、エラーログのディスク領域の合計量と比較します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) で、値が -1 の場合は、ログファイルのサイズが無制限になります。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsize: 100 |
2.1.96. nsslapd-errorlog-maxlogsperdir
この属性は、エラーログが保存されるディレクトリーに格納できるエラーログの合計数を設定します。エラーログがローテーションされるたびに、新しいログファイルが作成されます。エラーログディレクトリーに含まれるファイルの数がこの属性に保存されている値を超えると、ログファイルの最も古いバージョンは削除されます。デフォルトは 1
ログです。このデフォルト値が許可されると、サーバーはログをローテーションせず、無制限に増加します。
この属性の値が 1
よりも大きい場合は、nsslapd-errorlog-logrotationtime
属性をチェックして、ログローテーションが指定されているかどうかを確認します。nsslapd-errorlog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-errorlog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-errorlog-maxlogsperdir: 10 |
2.1.97. nsslapd-errorlog-mode
この属性は、エラーログファイルが作成されるアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。つまり、値は 3 桁の数字の組み合わせである必要があり、数字は 0
から 7
の間で変わります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定されたアクセスモードは、作成された新しいログにのみ影響します。モードは、ログが新しいファイルにローテーションするときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-errorlog-mode: 600 |
2.1.98. nsslapd-external-libs-debug-enabled
Directory Server でサードパーティーのロギングを有効にするには、nsslapd-external-libs-debug-enabled
属性を使用します。
libldap
や libber
などのライブラリーはエラーおよびデバッグロギングを実行しますが、これらのレコードは Directory Server ログでは利用できません。nsslapd-external-libs-debug-enabled
属性が on
に設定されている場合、Directory Server は libldap
パッケージおよび libber
パッケージが提供するすべてのログレベルを使用できます。
nsslapd-external-libs-debug-enabled
属性は、すべての操作の詳細なロギングを生成するため、デバッグ目的でのみ有効にします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-external-libs-debug-enabled: off |
2.1.99. nsslapd-force-sasl-external
TLS 接続を確立すると、クライアントは最初に証明書を送信し、SASL/EXTERNAL メカニズムを使用して BIND 要求を発行します。SASL/EXTERNAL を使用すると、Directory Server に対して、TLS ハンドシェイクの証明書の認証情報を使用するように指示します。ただし、一部のクライアントは BIND 要求を送信するときに SASL/EXTERNAL を使用しないため、Directory Server は簡易認証要求または匿名要求としてバインドを処理し、TLS 接続が失敗します。
nsslapd-force-sasl-external
属性は、証明書ベースの認証でクライアントを強制し、SASL/EXTERNAL メソッドを使用して BIND 要求を送信します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | String |
例 | nsslapd-force-sasl-external: on |
2.1.100. nsslapd-groupevalnestlevel
この属性は非推奨になり、これまでの目的でのみ説明されます。
アクセス制御プラグインは nsslapd-groupevalnestlevel
属性で指定された値を使用して、アクセス制御がグループ評価用に実行するネストのレベル数を設定します。その代わりに、ネスト化のレベルの数は 5
としてハードコーディングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-groupevalnestlevel: 5 |
2.1.101. nsslapd-idletimeout
この属性は、アイドル状態の LDAP クライアント接続がサーバーによって閉じられるまでの秒数を設定します。値が 0
の場合は、サーバーはアイドル状態の接続を切断しません。この設定は、すべての接続およびすべてのユーザーに適用されます。Poll()
が 0 を返さない場合、接続テーブルがウォークされたときにアイドル状態のタイムアウトが強制されます。そのため、1 つの接続を持つサーバーはアイドル状態のタイムアウトを強制しません。
ユーザーエントリーに追加できる nsIdleTimeout
操作属性を使用して、この属性に割り当てられた値を上書きします。
非常に大規模なデータベースの場合、この属性には、エントリーへの接続がタイムアウトすると、オンライン初期化プロセスが完了するか、レプリケーションが失敗するまで十分な値が必要です。または、nsIdleTimeout
属性を、サプライヤーバインド DN として使用するエントリーの高い値に設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsslapd-idletimeout: 3600 |
2.1.102. nsslapd-ignore-virtual-attrs
このパラメーターを使用すると、検索エントリーで仮想属性ルックアップを無効にできます。
仮想属性が必要ない場合は、検索結果で仮想属性ルックアップを無効にして、検索の速度を増やすことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ignore-virtual-attrs: on |
2.1.103. nsslapd-instancedir
この属性は非推奨になりました。nsslapd-certdir
、nsslapd-lockdir
などのインスタンス固有のパス用に個別の設定パラメーターになりました。設定された特定のディレクトリーパスのドキュメントを参照してください。
2.1.104. nsslapd-ioblocktimeout
この属性は、停止した LDAP クライアントへの接続を閉じるまでの時間をミリ秒単位で設定します。LDAP クライアントは、読み取りまたは書き込み操作の I/O の進捗が全くない場合には停止されたと見なされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | ティックにおける 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10000 |
構文 | 整数 |
例 | nsslapd-ioblocktimeout: 10000 |
2.1.105. nsslapd-lastmod
この属性は、Directory Server が新しく作成または更新されたエントリーの操作属性 creatorsName
、createTimestamp
、modifiersName
、および modifyTimestamp
を維持するかどうかを設定します。
Red Hat は、これらの属性の追跡を無効にしないことを推奨します。無効にすると、エントリーは nsUniqueID
属性に割り当てられた一意の ID を取得しなくなり、レプリケーションは機能しません。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-lastmod: on |
2.1.106. nsslapd-ldapiautobind
nsslapd-ldapiautobind
は、サーバーが LDAPI を使用して Directory Server に自動バインドできるようにするかどうかを設定します。自動バインドは、システムユーザーの UID または GUID 数を Directory Server ユーザーにマッピングし、これらの認証情報に基づいて Directory Server に対してユーザーを自動的に認証します。Directory Server 接続は UNIX ソケット上で実行されます。
自動バインドを有効にするとともに、自動バインドを設定するには、マッピングエントリーを設定する必要があります。nsslapd-ldapimaprootdn
は、システム上の root ユーザーを Directory Manager にマッピングします。nsslapd-ldapimaptoentries
は、nsslapd-ldapiuidnumbertype
、nsslapd-ldapigidnumbertype
、および nsslapd-ldapientrysearchbase
属性で定義されたパラメーターに基づいて、通常のユーザーを Directory Server ユーザーにマッピングします。
autobind は LDAPI が有効な場合にのみ有効にできます。つまり、nsslapd-ldapilisten
が on
になり、nsslapd-ldapifilepath
属性が LDAPI ソケットに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapiautobind: off |
2.1.107. nsslapd-ldapientrysearchbase
自動バインドでは、システムユーザーの UID および GUID 番号に基づいて、システムユーザーを Directory Server ユーザーエントリーにマッピングできます。これには、UID 番号 (nsslapd-ldapiuidnumbertype
) および GUID 番号 (nsslapd-ldapigidnumbertype
) に使用する属性の Directory Server パラメーターを設定し、一致するユーザーエントリーの検索に使用する検索ベースを設定する必要があります。
nsslapd-ldapientrysearchbase
で、自動バインドに使用するユーザーエントリーを検索するサブツリーを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | DN |
デフォルト値 |
サーバーインスタンスの作成時に作成された接尾辞 (例: |
構文 | DN |
例 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
2.1.108. nsslapd-ldapifilepath
LDAPI は、TCP ではなく UNIX ソケットを介して LDAP サーバーに接続します。LDAPI を設定するには、UNIX ソケットを介して通信するようにサーバーを設定する必要があります。使用する UNIX ソケットは、nsslapd-ldapifilepath
属性に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意のディレクトリーパス |
デフォルト値 | /var/run/dirsrv/slapd-example.socket |
構文 | 大文字と小文字を区別する文字列 |
例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
2.1.109. nsslapd-ldapigidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapigidnumbertype
属性は、システム GUID をユーザーエントリーにマッピングする Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | gidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapigidnumbertype: gidNumber |
2.1.110. nsslapd-ldapilisten
nsslapd-ldapilisten
は、Directory Server への LDAPI 接続を有効にします。LDAPI を使用すると、ユーザーは標準の TCP ポートではなく UNIX ソケットを介して Directory Server に接続できるようになります。nsslapd-ldapilisten
を on
に設定して LDAPI を有効にすることに加えて、nsslapd-ldapifilepath
属性に LDAPI 用に設定された UNIX ソケットも必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ldapilisten: on |
2.1.111. nsslapd-ldapimaprootdn
nsslapd-ldapimaprootdn
属性は非推奨になりました。システムルートエントリーをルート DN エントリーにマップするには、nsslapd-rootdn
パラメーターを使用します。
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。
root システムユーザー (UID が 0 のユーザー) は、nsslapd-ldapimaprootdn
属性で指定した Directory Server エントリーにマッピングされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の DN |
デフォルト値 | cn=Directory Manager |
構文 | DN |
例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
2.1.112. nsslapd-ldapimaptoentries
自動バインドにより、システムユーザーは Directory Server ユーザーにマッピングされ、UNIX ソケットを介して Directory Server に対して自動的に認証されます。このマッピングは root ユーザーに対して自動化されますが、nsslapd-ldapimaptoentries
属性を介して通常のシステムユーザーに対して有効にする必要があります。この属性を on
に設定すると、通常のシステムユーザーを Directory Server エントリーにマッピングできます。この属性が有効になっていない場合は、root ユーザーのみが autobind を使用して Directory Server に対して認証し、他のすべてのユーザーは匿名で接続できます。
マッピング自体は、nsslapd-ldapiuidnumbertype
属性および nsslapd-ldapigidnumbertype
属性で設定され、Directory Server 属性をユーザーの UID および GUID の番号にマップします。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-ldapimaptoentries: on |
2.1.113. nsslapd-ldapiuidnumbertype
自動バインドを使用して、システムユーザーを自動的に認証し、UNIX ソケットを使用してサーバーに接続できます。システムユーザーを、認証のために Directory Server ユーザーにマッピングするには、システムユーザーの UID および GUID 番号を Directory Server 属性にマッピングする必要があります。nsslapd-ldapiuidnumbertype
属性は、システム UID をユーザーエントリーにマップするために Directory Server 属性を示します。
LDAPI が有効になっている場合 (nsslapd-ldapilisten
および nsslapd-ldapifilepath
)、自動バインドが有効になっている場合 (nsslapd-ldapiautobind
)、および通常のユーザーに対して自動バインドマッピングが有効になっている場合 (nsslapd-ldapimaptoentries
) にのみ、ユーザーは自動バインドを使用してサーバーに接続できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server の属性 |
デフォルト値 | uidNumber |
構文 | DirectoryString |
例 | nsslapd-ldapiuidnumbertype: uidNumber |
2.1.114. nsslapd-ldifdir
Directory Server は、db2ldif
または db2ldif.pl
を使用する場合に、このパラメーターで設定したディレクトリーに LDAP データ交換形式 (LDIF) 形式のファイルをエクスポートします。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
デフォルト値 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
構文 | DirectoryString |
例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
2.1.115. nsslapd-listen-backlog-size
この属性は、ソケット接続のバックログの最大数を設定します。listen サービスは、受信接続を受け付けるソケット数を設定します。Backlog 設定は、接続を拒否する前にソケット (sockfd) のキューを拡張する最大期間を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 最大 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 128 |
構文 | 整数 |
例 | nsslapd-listen-backlog-size: 128 |
2.1.116. nsslapd-listenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。1 つのホップに関連する複数の IP アドレスが存在する可能性があります。これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。
ホスト名が nsslapd-listenhost
値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一 IP インターフェイス (IPv4 または IPv6) が nsslapd-listenhost
の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求のみに応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | ローカルホスト名、IPv4 アドレスまたは IPv6 アドレス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-listenhost: ldap.example.com |
2.1.117. nsslapd-localhost
この属性は、Directory Server を実行するホストマシンを指定します。この属性は、MMR プロトコルの一部を設定する参照 URL を作成します。フェイルオーバーノードのある高可用性設定では、その参照はローカルホスト名ではなく、クラスターの仮想名を参照する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 完全修飾ホスト名。 |
デフォルト値 | インストールされたマシンのホスト名。 |
構文 | DirectoryString |
例 | nsslapd-localhost: phonebook.example.com |
2.1.118. nsslapd-localssf
nsslapd-localssf
パラメーターは、LDAPI 接続のセキュリティー強度係数 (SSF) を設定します。Directory Server は、nsslapd-localssf
に設定した値が nsslapd-minssf
パラメーターに設定した値と同じか、それ以上の場合にのみ LDAPI 接続を許可します。そのため、LDAPI の接続は nsslapd-minssf
の最小 SSF セットに対応します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 71 |
構文 | 整数 |
例 | nsslapd-localssf: 71 |
2.1.119. nsslapd-localuser
この属性は、Directory Server を実行するユーザーを設定します。ユーザーを実行するグループは、ユーザーのプライマリーグループを調べてこの属性から派生します。ユーザーの変更により、このインスタンス向けのインスタンス固有のファイルおよびディレクトリーはすべて chown
などのツールを使用して、新規ユーザーによって所有されるように変更する必要があります。
サーバーインスタンスの設定時に nsslapd-localuser
の値が最初に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なユーザー |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-localuser: dirsrv |
2.1.120. nsslapd-lockdir
これは、サーバーがロックファイルに使用するディレクトリーへの完全パスです。デフォルト値は /var/lock/dirsrv/slapd-instance
です。この値の変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | サーバー ID への書き込みアクセスのあるサーバーユーザー ID が所有するディレクトリーへの絶対パス |
デフォルト値 | /var/lock/dirsrv/slapd-instance |
構文 | DirectoryString |
例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
2.1.121. nsslapd-logging-hr-timestamps-enabled
ログがナノ秒の精度で高解像度のタイムスタンプを使用するか、1 秒の精度で標準解決タイムスタンプを使用するかどうかを制御します。デフォルトでは有効です。ログのタイムスタンプを 1 秒の精度に戻すには、このオプションを off
に設定します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
|
デフォルト値 |
|
構文 | DirectoryString |
例 | nsslapd-logging-hr-timestamps-enabled: on |
2.1.122. nsslapd-malloc-mmap-threshold
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MMAP_THRESHOLD
環境変数を設定する代わりに、nsslapd-malloc-mmap-threshold
パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_MMAP_THRESHOLD
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 33554432 |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-mmap-threshold: 33554432 |
2.1.123. nsslapd-malloc-mxfast
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_MXFAST
環境変数を設定する代わりに、nsslapd-malloc-mxfast
パラメーターを使用すると、Directory Server の設定に値を設定できます。詳細は、mallopt(3) の man ページの M_MXFAST
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 80 * (sizeof(size_t) / 4) |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-mxfast: 1048560 |
2.1.124. nsslapd-malloc-trim-threshold
Directory Server インスタンスが systemctl
ユーティリティーを使用してサービスとして起動すると、/etc/sysconfig/dirsrv
ファイルまたは /etc/sysconfig/dirsrv-instance_name
ファイルに設定しない限り、環境変数はサーバーに渡されません。詳細は、systemd.exec(3) の man ページを参照してください。
サービスファイルを手動で編集して M_TRIM_THRESHOLD
環境変数を設定する代わりに、nsslapd-malloc-trim-threshold
パラメーターを使用すると、Directory Server 設定で値を設定します。詳細は、mallopt(3) の man ページの M_TRIM_THRESHOLD
パラメーターの説明を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 2^31-1 |
デフォルト値 |
mallopt(3) の man ページの |
構文 | 整数 |
例 | nsslapd-malloc-trim-threshold: 131072 |
2.1.125. nsslapd-maxbersize
受信メッセージに許可される最大サイズ (バイト単位) を定義します。これにより、Directory Server で処理できる LDAP 要求のサイズが制限されます。要求のサイズを制限すると、さまざまな DoS 攻撃を防ぎます。
この制限の対象は LDAP 要求の合計サイズです。たとえば、エントリーの追加要求で、要求のエントリーがデフォルトの設定値よりも大きい場合に、この追加要求は拒否されます。ただし、この制限はレプリケーションプロセスには適用されません。この属性の変更には細心の注意を払ってください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 2 (ギガバイト) - (2,147,483,647 バイト)
|
デフォルト値 | 2097152 |
構文 | 整数 |
例 | nsslapd-maxbersize: 2097152 |
2.1.126. nsslapd-maxdescriptors
nsslapd-maxdescriptors
属性は、Directory Server が使用可能なファイル記述子の最大数 (プラットフォームに依存) を設定します。ファイル記述子は、クライアントがサーバーに接続するときや、インデックスメンテナンスなどのサーバーアクティビティーに対して常に使用されます。ファイル記述子は、ログファイル、データベースファイル (インデックスとトランザクションログ) によっても使用されるほか、レプリケーションとチェーンのために他のサーバーへの送信接続用ソケットとしても使用されます。
TCP/IP がクライアント接続に対応するために利用可能な記述子の数は、nsslapd-maxdescriptors
属性から、nsslapd-reservedescriptors
属性によって決定される非クライアント接続用のファイル記述子の数を引いた値になります。詳細は、nsslapd-reservedescriptors を参照してください。
nsslapd-maxdescriptors
属性に設定する数は、オペレーティングシステムで ns-slapd
プロセスが使用できるファイル記述子の合計数よりも大きくすることはできません。この数はオペレーティングシステムによって異なります。ファイル記述子の制限と設定の詳細は、オペレーティングシステムのドキュメントを参照してください。dsktune
プログラムを使用すると、システムカーネルまたは TCP/IP チューニング属性に対する変更を提案できます。
nsslapd-maxdescriptors
属性に設定した値が大きすぎると、Directory Server はオペレーティングシステムに許容可能な最大値をクエリーしてから、その値を使用します。Directory Server は、エラーログに警告も発行します。ldapmodify
を使用してリモートで無効な値を設定すると、サーバーは新しい値を拒否し、古い値を維持して、エラーで応答します。
ファイル記述子が不足しているために Directory Server が接続を拒否し、Directory Server のエラーログファイルに次のメッセージを書き込む場合は、nsslapd-maxdescriptors
属性値を大きくします。
Not listening for new connections -- too many fds open
UNIX シェルには通常、ファイル記述子の数に対する設定可能な制限があります。limit
および ulimit
についての詳細は、オペレーティングシステムのドキュメンテーションを参照してください。これらの 制限により、多くの場合で問題が発生する可能性があります。
変更を適用するにはサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | オペレーティングシステムに依存します |
デフォルト値 | 1048576。サーバーを実行しているオペレーティングシステムのファイル記述子の上限 |
構文 | 整数 |
例 | nsslapd-maxdescriptors: 64000 |
2.1.127. nsslapd-maxsasliosize
ユーザーが SASL GSS-API 経由で Directory Server に対して認証される場合、サーバーはクライアントに一定量のメモリーを割り当て、クライアントが要求するメモリーの量に応じて、LDAP 操作を実行する必要があります。攻撃者は、このようなサイズの大きいパケットを送信して、Directory Server がクラッシュするか、DoS 攻撃から無限に抜け出せなくなる可能性があります。
Directory Server が SASL クライアントに許可するパケットサイズは、nsslapd-maxsasliosize
属性を使用して制限できます。この属性は、サーバーが許可する SASL IO パケットの最大サイズを設定します。
受信 SASL IO パケットが nsslapd-maxsasliosize
の制限よりも大きい場合、サーバーは即座にクライアントを切断し、メッセージをエラーログに記録し、管理者が必要に応じて設定を調節できるようにします。
この属性値はバイト単位で指定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | * 32 ビットシステムの -1(32 ビットの整数値)(2147483647) * 64 ビットシステムの -1(64 ビット整数値) から最大 64 ビットの整数値 (9223372036854775807) |
デフォルト値 | 2097152 (2MB) |
構文 | 整数 |
例 | nsslapd-maxsasliosize: 2097152 |
2.1.128. nsslapd-maxthreadsperconn
コネクションが使用する必要のあるスレッドの最大数を定義します。クライアントがバインドし、バインドを解除する前に 1 つまたは 2 つの操作のみを実行する通常の操作では、デフォルト値を使用します。クライアントが多くのリクエストをバインドして同時に発生する場合は、この値を増やして、各接続ですべての操作を実行できるようにします。この属性は、サーバーコンソールでは使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 threadnumber |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-maxthreadsperconn: 5 |
2.1.129. nsslapd-minssf
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。nsslapd-minssf
属性は、サーバーへの接続に最低限 SSF 要件を設定します。接続試行は、最低 SSF よりも弱い接続を拒否します。
TLS および SASL 接続は、Directory Server への接続で混在できます。通常、これらの接続にはそれぞれ異なる SSF があります。2 つの SSF が高いほど、最小 SSF 要件との比較に使用されます。
SSF 値を 0 に設定すると、最低限の設定はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 正の整数 |
デフォルト値 | 0 (off) |
構文 | DirectoryString |
例 | nsslapd-minssf: 128 |
2.1.130. nsslapd-minssf-exclude-rootdse
セキュリティー強度係数 は、接続の強度が鍵強度に応じてどのように近いかについての相対測定です。SSF は、TLS または SASL 接続の保護方法を決定します。
nsslapd-minssf-exclude-rootdse
属性は、ルート DSE のクエリーを除き、サーバーへの任意の接続の SSF 要件を設定します。これにより、ほとんどの接続に対して適切な SSF 値が強制され、最初にセキュアな接続を確立しなくても、クライアントがルート DSE からサーバー設定に関する情報を取得することができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 正の整数 |
デフォルト値 | 0 (off) |
構文 | DirectoryString |
例 | nsslapd-minssf-exclude-rootdse: 128 |
2.1.131. nsslapd-moddn-aci
このパラメーターは、ディレクトリーエントリーがあるサブツリーから別のサブツリーに移動し、moddn 操作でソースおよびターゲット制限を使用するときに ACI チェックを制御します。後方互換性のために、ACI チェックを無効にできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-moddn-aci: on |
2.1.132. nsslapd-nagle
この属性の値が off
の場合、TCP_NODELAY
オプションが設定されます。これにより、LDAP 応答 (エントリーや結果メッセージなど) が即座にクライアントに送られます。属性が有効な場合、デフォルトの TCP 動作が適用されます。特に、データの送信は遅延され、通常はイーサネットの場合は 1 つのパケット (通常は 1500 バイト) にデータをグループ化できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-nagle: off |
2.1.133. nsslapd-ndn-cache-enabled
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled
パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size
パラメーターを更新して、このキャッシュの最大サイズを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ndn-cache-enabled: on |
2.1.134. nsslapd-ndn-cache-max-size
識別名 (DN) の正規化は、リソース集約型タスクです。nsslapd-ndn-cache-enabled
パラメーターが有効になっている場合、Directory Server はメモリーに正規化された DN をキャッシュします。nsslapd-ndn-cache-max-size
パラメーターは、このキャッシュの最大サイズを設定します。
要求された DN がキャッシュされていない場合は、正規化され、追加されます。キャッシュサイズの制限を超過すると、Directory Server は、キャッシュから最も最近使用された 10,000 DN を削除します。ただし、少なくとも 10,000 の DN は常にキャッシュされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 20971520 |
構文 | 整数 |
例 | nsslapd-ndn-cache-max-size: 20971520 |
2.1.135. nsslapd-outbound-ldap-io-timeout
この属性は、すべてのアウトバウンド LDAP 接続の I/O 待機時間を制限します。デフォルトは 300000
ミリ秒 (5 分) です。値が 0
の場合は、サーバーが I/O の待機時間に制限を課さないことを意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 300000 |
構文 | DirectoryString |
例 | nsslapd-outbound-ldap-io-timeout: 300000 |
2.1.136. nsslapd-pagedsizelimit
この属性は、簡単なページ結果制御を使用する 検索操作から返すエントリーの最大数を設定します。これにより、ページ検索の nsslapd-sizelimit
属性がオーバーライドされます。
この値がゼロに設定されている場合、nsslapd-sizelimit
属性は、ページ検索と非ページ検索に使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | |
構文 | 整数 |
例 | nsslapd-pagedsizelimit: 10000 |
2.1.137. nsslapd-plug-in
この読み取り専用属性は、サーバーによって読み込まれる構文および一致するルールプラグインのプラグインエントリーの DN をリスト表示します。
2.1.138. nsslapd-plugin-binddn-tracking
操作自体がサーバープラグインによって開始された場合でも、エントリーの修飾子として操作に使用されるバインド DN を設定します。操作を実行する特定のプラグインは、別の運用属性 internalModifiersname
にリスト表示されます。
もう 1 つの変更は、ディレクトリーツリーの他の自動変更をトリガーできます。たとえば、ユーザーが削除されると、そのユーザーは Referential Integrity プラグインが属するグループから自動的に削除されます。ユーザーの初回削除は、サーバーにバインドされているユーザーアカウントによって実行されますが、グループへの更新はプラグインによって実行されているものとして表示され、更新を開始したユーザーに関する情報はありません。nsslapd-plugin-binddn-tracking
属性により、サーバーは、更新操作を開始したユーザーと、実際に実行した内部プラグインを追跡できます。以下に例を示します。
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
この属性はデフォルトで無効にされています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-plugin-binddn-tracking: on |
2.1.139. nsslapd-plugin-logging
デフォルトでは、アクセスログが内部操作を記録するように設定されている場合でも、プラグイン内部操作はアクセスログファイルに記録されません。各プラグインの設定でロギングを有効にする代わりに、このパラメーターを使用してグローバルに制御することができます。
有効にすると、プラグインはこのグローバル設定およびログアクセスおよび監査イベント (有効な場合) を使用します。
nsslapd-plugin-logging
が有効で、nsslapd-accesslog-level
が内部操作を記録するように設定されている場合は、インデックスされていない検索とその他の内部操作がアクセスログファイルに記録されます。
nsslapd-plugin-logging
が設定されていない場合、プラグインからインデックスされていない検索は Directory Server エラーログに記録されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-plugin-logging: off |
2.1.140. nsslapd-port
この属性は、標準の LDAP 通信に使用される TCP/IP ポート番号を提供します。このポートで TLS を実行するには、Start TLS 拡張操作を使用します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024
未満の場合は、Directory Server を root
で起動する必要があります。
サーバーは、起動後にその uid
を nsslapd-localuser
値に設定します。設定ディレクトリーのポート番号を変更する場合は、設定ディレクトリーの対応するサーバーインスタンスエントリーを更新する必要があります。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 65535 |
デフォルト値 | 389 |
構文 | 整数 |
例 | nsslapd-port: 389 |
LDAPS ポートが有効な場合は、ポート番号をゼロ (0
) に設定して LDAP ポートを無効にします。
2.1.141. nsslapd-privatenamespaces
この読み取り専用属性には、プライベート命名コンテキスト cn=config
、cn=schema
、および cn=monitor
のリストが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | cn=config, cn=schema, and cn=monitor |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-privatenamespaces: cn=config |
2.1.142. nsslapd-pwpolicy-inherit-global
粒度の細かいパスワード構文が設定されていない場合、グローバルパスワード構文が設定されている場合でも、新規または更新されたパスワードは確認されません。粒度の細かいパスワード構文を継承する場合は、この属性を on
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-pwpolicy-inherit-global: off |
2.1.143. nsslapd-pwpolicy-local
粒度の細かい (サブツリーおよびユーザーレベル) パスワードポリシーをオンまたはオフにします。
この属性の値が off
の場合、ディレクトリー内のすべてのエントリー (cn=Directory Manager
を除く) はグローバルパスワードポリシーの対象になります。サーバーは、定義されたサブツリー/ユーザーレベルのパスワードポリシーを無視します。
この属性の値が on
の場合、サーバーはサブツリーおよびユーザーレベルでパスワードポリシーをチェックし、これらのポリシーを適用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-pwpolicy-local: off |
2.1.144. nsslapd-readonly
この属性は、サーバー全体が読み取り専用モードであるかどうかを設定します。つまり、データベースにはデータも設定情報も変更できません。データベースを読み取り専用モードで変更しようとすると、サーバーが操作を実施しないようにするエラーが返されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-readonly: off |
2.1.145. nsslapd-referral
この多値属性は、サーバーがローカルツリーに属さないエントリーの要求を受信するときに接尾辞によって返される LDAP URL を指定します。つまり、接尾辞を持つエントリーは接尾辞属性で指定された値と一致しません。たとえば、サーバーにエントリーのみが含まれるとします。
ou=People,dc=example,dc=com
ただし、このエントリーに対する要求は、以下のとおりです。
ou=Groups,dc=example,dc=com
この場合、参照は LDAP クライアントが要求されたエントリーが含まれるサーバーを見つけようと試みます。Directory Server インスタンスごとに 1 つの参照のみが許可されますが、この参照は複数の値を持つことができます。
TLS 通信を使用するには、参照属性は ldaps://
server-location の形式で指定する必要があります。
Start TLS は参照をサポートしません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
2.1.146. nsslapd-referralmode
これが設定されている場合、この属性は接尾辞の任意のリクエストの参照を返します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な LDAP URL |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-referralmode: ldap://ldap.example.com |
2.1.147. nsslapd-require-secure-binds
このパラメーターでは、ユーザーは、通常の接続ではなく、TLS、StartTLS、SASL などの保護された接続でディレクトリーに対して認証する必要があります。
これは認証されたバインドにのみ適用されます。nsslapd-require-secure-binds
がオンの場合でも、匿名バインドと非認証バインドは、標準チャンネルで完了できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-require-secure-binds: on |
2.1.148. nsslapd-requiresrestart
このパラメーターには、変更後にサーバーを再起動する必要があるその他のコア設定属性がリスト表示されます。これは、nsslapd-requiresrestart
にリスト表示される属性が変更された場合、サーバーが再起動するまで新しい設定が有効にならないことを意味します。属性のリストは、ldapsearch
で返すことができます。
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | コアサーバー設定属性 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-requiresrestart: nsslapd-cachesize |
2.1.149. nsslapd-reservedescriptors
nsslapd-reservedescriptors
属性は、インデックス管理やレプリケーションの管理など、非クライアント接続の管理用に Directory Server が予約するファイル記述子の数を指定します。
ほとんどの Directory Server インストールでは、nsslapd-reservedescriptors
属性値を変更する必要はありません。ただし、以下がすべて該当する場合には、この属性の値を増やすことを検討してください。
- サーバーが、多数のコンシューマーサーバー (10 以上) に複製される、またはサーバーが多数のインデックスファイル (30 以上) を維持している。
- サーバーが多数の LDAP 接続を処理する。
- サーバーがファイル記述子を開けないことを報告するエラーメッセージがある (実際のエラーメッセージは、サーバーが実行しようとしている操作によって異なります)。ただし、これらのエラーメッセージは、クライアントの LDAP 接続の管理と 無関係 である。
この属性の値を増やすと、ディレクトリーにアクセスできない LDAP クライアントの数が増加する可能性があります。nsslapd-reservedescriptors
値を増やすとともに、nsslapd-maxdescriptors
属性の値も増やす必要があります。オペレーティングシステムがプロセスに使用を許可するファイル記述子の最大数をサーバーがすでに使用している場合、nsslapd-maxdescriptors
の値を増やすことができない可能性があります。この場合、LDAP クライアントが代替ディレクトリーレプリカを検索することで、サーバーの負荷を軽減します。詳細は、オペレーティングシステムのドキュメントと nsslapd-maxdescriptors 属性の説明 を参照してください。
nsslapd-reservedescriptors
属性に設定されたファイル記述子の数を計算するには、次の式を使用します。
nsslapd-reservedescriptor = 20 + (pass:quotes[NldbmBackends] * 4) + pass:quotes[NglobalIndex] + pass:quotes[ReplicationDescriptor] + pass:quotes[ChainingBackendDescriptors] + pass:quotes[PTADescriptors] + pass:quotes[SSLDescriptors]
- NldbmBackends は、ldbm データベースの数です。
- NglobalIndex は、システムインデックスを含むすべてのデータベースに設定されたインデックスの合計数です。(デフォルトでは 8 のシステムインデックスと、データベースごとに追加インデックス 17)
- ReplicationDescriptor は、8 に加えて、サプライヤーやハブとして機能するサーバー内のレプリカの数 (NSupplierReplica) です。
-
ChainingBackendDescriptors は、NchainingBackend に nsOperationConnectionsLimit (チェーンまたはデータベースリンクの設定属性で、デフォルトは
10
) をかけたものです。 -
PTADescriptorsは、PTA が設定されている場合は
3
、PTA が設定されていない場合は0
です。 -
TLS が設定されている場合、SSLDescriptors は
5
(4 ファイル + 1 listensocket) であり、TLS が設定されていない場合には0
になります。
サーバーを再起動して変更を適用します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 65535 |
デフォルト値 | 64 |
構文 | 整数 |
例 | nsslapd-reservedescriptors: 64 |
2.1.150. nsslapd-return-exact-case
クライアントによって要求される属性タイプ名の正確なケースを返します。LDAPv3 準拠のクライアントは属性名のケースを無視する必要がありますが、一部のクライアントアプリケーションは、検索や変更操作の結果として Directory Server によって属性が返される際に、その属性がスキーマに記載されているとおりに属性名が一致する必要があります。ただし、ほとんどのクライアントアプリケーションは属性に大文字と小文字を無視します。したがって、デフォルトではこの属性は無効になっています。サーバーから返される属性名のケースを確認するレガシークライアントがない限り、変更しないでください。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-return-exact-case: off |
2.1.151. nsslapd-return-original-entrydn
nsslapd-return-original-entrydn
パラメーターを使用して、検索操作中に Directory Server がエントリーの識別名 (DN) をクライアントアプリケーションに返す方法を管理します。
nsslapd-return-original-entrydn
パラメーターが on
に設定されている場合、Directory Server は、操作属性 dsEntryDN
から値を取得することによって、最初にデータベースに追加されたときとまったく同じ DN を返します。したがって、エントリー uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を追加または変更した場合、Directory Server はそのエントリーに対して同じ DN uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を返します。
nsslapd-return-original-entrydn
パラメーターが off
に設定されている場合、Directory Server はエントリーの Relative DN (RDN) とベース DN を組み合わせてエントリー DN を生成します。Directory Server は、エントリーのベース DN を、操作属性 nsslapd-suffix
の cn=userroot,cn=ldbm database,cn=plugins,cn=config
の下のデータベース接尾辞設定に保存します。したがって、エントリー uid=User,ou=PEople,dc=ExaMPlE,DC=COM
を追加しても、ベース DN が ou=people,dc=example,dc=com
である場合、Directory Server は検索時に uid=User,ou=people,dc=example,dc=com
を返します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-return-original-entrydn: on |
2.1.152. nsslapd-rewrite-rfc1274
この属性は非推奨となり、今後のバージョンで削除されます。
この属性は、RFC 1274 の名前で属性タイプを返す必要がある LDAPv2 クライアントにのみ使用されます。これらのクライアントで値を on
に設定します。デフォルトは off
です。
2.1.153. nsslapd-rootdn
この属性は、アクセス制御の制限を受けないエントリーの識別名 (DN)、ディレクトリーの操作に対する管理制限、または一般的にリソース制限を設定します。この DN に対応するエントリーは必要ありません。デフォルトではこの DN のエントリーはありません。したがって、cn=Directory Manager
などの値は受け入れ可能です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効な識別名 |
デフォルト値 | |
構文 | DN |
例 | nsslapd-rootdn: cn=Directory Manager |
2.1.154. nsslapd-rootpw
この属性は、Manager DN に関連付けられたパスワードを設定します。root パスワードを指定すると、nsslapd-rootpwstoragescheme
属性に選択した暗号化方法に従って暗号化されます。サーバーコンソールから表示すると、この属性に値 *
が表示されます。dse.ldif
ファイルから表示すると、この属性には、暗号化方法の後にパスワードの暗号化された文字列が表示されます。この例は、実際のパスワードではなく、dse.ldif
ファイルに表示されるパスワードを示しています。
ルート DN がサーバーの設定になっている場合は、root パスワードが必要です。ただし、ファイルを直接編集して、root パスワードを dse.ldif
から削除できます。この場合、ルート DN は、匿名のアクセスに対してはディレクトリーへの同じアクセスのみを取得できます。Root DN がデータベースに対して設定されている場合、root パスワードが dse.ldif
で定義されているようにしてください。pwdhash
コマンドラインユーティリティーは、新しい root パスワードを作成できます。
コマンドラインから Directory Manager のパスワードをリセットする場合は、パスワードに 中括弧 ({}
) を使用しないでください。Root パスワードは {password-storage-scheme}hashed_password 形式で保存されます。中括弧内の文字は、サーバーによって root パスワードストレージスキームとして解釈されます。そのテキストが有効なストレージスキームではない場合や、次のパスワードが適切にハッシュ化されない場合、Directory Manager はサーバーにバインドできません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」 で説明されている暗号化方法のいずれかで暗号化されている有効なパスワード。 |
デフォルト値 | |
構文 | DirectoryString {encryption_method }encrypted_Password |
例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
2.1.155. nsslapd-rootpwstoragescheme
この属性は、nsslapd-rootpw
属性に保存されている Directory Server のマネージャーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」を参照してください。 |
デフォルト値 | PBKDF2-SHA512 |
構文 | DirectoryString |
例 | nsslapd-rootpwstoragescheme: PBKDF2-SHA512 |
2.1.156. nsslapd-rundir
このパラメーターは、Directory Server が PID ファイルなどのランタイム情報を保存するディレクトリーへの絶対パスを設定します。ディレクトリーは Directory Server のユーザーおよびグループが所有する必要があります。このユーザーおよびグループは、このディレクトリーに読み取りおよび書き込みアクセスを持つ必要があるだけです。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | Directory Server ユーザーが書き込み可能なディレクトリー |
デフォルト値 | /var/run/dirsrv/ |
構文 | DirectoryString |
例 | nsslapd-rundir: /var/run/dirsrv/ |
2.1.157. nsslapd-sasl-mapping-fallback
デフォルトでは、最初に一致する SASL マッピングのみがチェックされます。このマッピングに失敗すると、機能する可能性のあるマッピングが他にあっても、バインド操作は失敗します。SASL マッピングフォールバックは、一致するすべてのマッピングをチェックし続けます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-sasl-mapping-fallback: off |
2.1.158. nsslapd-sasl-max-buffer-size
この属性は、最大 SASL バッファーサイズを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 67108864 (64 キロバイト) |
構文 | 整数 |
例 | nsslapd-sasl-max-buffer-size: 67108864 |
2.1.159. nsslapd-saslpath
Cyrus-SASL SASL2 プラグインを含むディレクトリーに絶対パスを設定します。この属性を設定すると、サーバーはカスタムまたは非標準の SASL プラグインライブラリーを使用できます。通常、これはインストール時に正しく設定され、Red Hat ではこの属性を変更しないことを強く推奨します。属性が存在しないか、値が空の場合は、Directory Server は、正しいバージョンであるシステムによって提供される SASL プラグインライブラリーを使用していることを意味します。
このパラメーターが設定されている場合、サーバーは SASL プラグインを読み込むために指定されたパスを使用します。このパラメーターが設定されていない場合、サーバーは SASL_PATH
環境変数を使用します。nsslapd -saslpath
または SASL_PATH
が設定されていない場合、サーバーはデフォルトの場所である /usr/lib/sasl2
から SASL プラグインの読み込みを試行します。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | プラグインディレクトリーへのパス。 |
デフォルト値 | プラットフォーム依存 |
構文 | DirectoryString |
例 | nsslapd-saslpath: /usr/lib/sasl2 |
2.1.160. nsslapd-schemacheck
この属性は、エントリーが追加または変更されたときにデータベーススキーマを適用するかどうかを設定します。この属性の値が on
の場合、Directory Server は変更されるまで既存のエントリーのスキーマを確認しません。データベーススキーマでは、データベースで許可される情報のタイプを定義します。デフォルトのスキーマは、オブジェクトクラスおよび属性タイプを使用して拡張できます。
Red Hat は、スキーマチェックをオフにしないことを強く推奨します。これにより、深刻な相互運用性の問題が発生する可能性があります。これは通常、Directory Server にインポートする必要がある、非常に古い、または標準以外の LDAP データに使用されます。この問題の影響を受けるエントリーが多数ある場合は、これらのエントリーに extensibleObject
オブジェクトクラスを使用してエントリーごとにスキーマチェックを無効にすることを検討してください。
スキーマのチェックは、ldapmodify
などの LDAP クライアントを使用してデータベースが変更された場合や、ldif2db
を使用して LDIF からデータベースをインポートする際にデフォルトで機能します。スキーマチェックをオフにする場合は、すべてのエントリーを手動で検証して、スキーマに準拠することを確認する必要があります。スキーマチェックが有効な場合、サーバーはエラーメッセージをリストし、スキーマに一致しないエントリーをリスト表示します。LDIF ステートメントで作成された属性とオブジェクトクラスの両方がスペルが正しく、dse.ldif
で識別されていることを確認します。スキーマディレクトリーに LDIF ファイルを作成するか、その要素を 99user.ldif
に追加します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-schemacheck: on |
2.1.161. nsslapd-schemadir
これは、Directory Server インスタンス固有のスキーマファイルを含むディレクトリーへの絶対パスです。サーバーが起動すると、このディレクトリーからスキーマファイルを読み取ります。スキーマが LDAP ツールで変更されると、このディレクトリーのスキーマファイルが更新されます。このディレクトリーはサーバーユーザー ID で所有され、そのユーザーにはディレクトリーへの読み書きパーミッションがなければなりません。
この属性への変更は、サーバーが再起動するまで反映されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なパス |
デフォルト値 | /etc/dirsrv/instance_name/schema |
構文 | DirectoryString |
例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
2.1.162. nsslapd-schema-ignore-trailing-spaces
オブジェクトクラス名の末尾を無視します。デフォルトでは、属性はオフになっています。ディレクトリーに、1 つ以上のスペースで終わるオブジェクトクラス値を持つエントリーが含まれている場合は、この属性をオンにします。LDAP 標準では許可しないため、末尾のスペースを削除することが推奨されます。
パフォーマンス上の理由から、変更を反映するには、サーバーを再起動する必要があります。
末尾のスペースを含むオブジェクトクラスがエントリーに追加されると、デフォルトでエラーが返されます。さらに、(オブジェクトクラスの拡張および不明な場合)add、modify、および import などの操作時に、末尾のスペースは無視されます (適切な場合)。これは、nsslapd-schema-ignore-trailing-spaces
を on
にした場合でも、top
がすでに存在している場合に、top
のような値が追加されないことを意味します。オブジェクトクラスが見つからない場合にエラーメッセージをログに記録し、クライアントに返し、末尾のスペースが含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-schema-ignore-trailing-spaces: on |
2.1.163. nsslapd-schemamod
オンラインスキーマの変更には、パフォーマンスに影響するロック保護が必要です。スキーマの変更が無効になっている場合は、このパラメーターを off
に設定するとパフォーマンスが向上します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-schemamod: on |
2.1.164. nsslapd-schemareplace
cn=schema
エントリーで属性値を置き換える変更操作が許可されるかどうかを決定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off | replication-only |
デフォルト値 | replication-only |
構文 | DirectoryString |
例 | nsslapd-schemareplace: replication-only |
2.1.165. nsslapd-search-return-original-type-switch
検索に渡される属性リストにスペースと他の文字が含まれる場合には、同じ文字列がクライアントに返されます。以下に例を示します。
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
この動作はデフォルトでは無効にされますが、この設定パラメーターを使用して有効にできます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-search-return-type-switch: off |
2.1.166. nsslapd-securelistenhost
この属性により、複数の Directory Server インスタンスがマルチホームのマシンで実行できるようになります (または、マルチホームマシンの 1 つのインターフェイスのリッスンを制限することができます)。単一のホスト名に関連付けられる IP アドレスは複数あり、これらの IP アドレスは、IPv4 と IPv6 の両方の組み合わせになります。このパラメーターを使用して、Directory Server インスタンスを単一の IP インターフェイスに制限することができます。また、このパラメーターは、通常の LDAP 接続ではなく、TLS トラフィックに使用するインターフェイスを設定します。
ホスト名が nsslapd-securelistenhost
値として指定される場合、Directory Server はホスト名に関連付けられたすべてのインターフェイスについて要求に応答します。単一の IP インターフェイス (IPv4 または IPv6) が nsslapd-securelistenhost
の値として指定される場合、Directory Server は、その特定のインターフェイスに送信された要求にのみ応答します。IPv4 アドレスまたは IPv6 アドレスのいずれかを使用できます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | セキュアなホスト名、IPv4 アドレスまたは IPv6 アドレス |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-securelistenhost: ldaps.example.com |
2.1.167. nsslapd-securePort
この属性は、TLS 通信に使用される TCP/IP ポート番号を設定します。この選択したポートは、ホストシステムで一意でなければなりません。他のアプリケーションが同じポート番号を使用しないようにしてください。ポート番号が 1024
未満の場合は、Directory Server を root
で 起動する必要があります。サーバーは、起動後にその uid
を nsslapd-localuser
値に設定します。
サーバーは、秘密鍵と証明書で設定され、nsslapd-security
が on
に設定されている場合にのみこのポートをリッスンします。それ以外の場合は、このポートでリッスンしません。
ポート番号の変更を考慮してサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 65535 |
デフォルト値 | 636 |
構文 | 整数 |
例 | nsslapd-securePort: 636 |
2.1.168. nsslapd-securitylog-compress
Directory Server は、デフォルトでローテーションされたセキュリティーログを圧縮します。nsslapd-securitylog-compress
属性を使用して、セキュリティーログファイルの圧縮を管理します。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-securitylog-compress: オン |
2.1.169. nsslapd-security
この属性は、Directory Server が暗号化されたポートで TLS 通信を受け入れるかどうかを設定します。この属性は、セキュアな接続に対して on
に設定する必要があります。セキュリティー上で実行するには、他の TLS 設定に加えて、秘密鍵とサーバー証明書でサーバーを設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-security: off |
2.1.170. nsslapd-securitylog
nsslapd-securitylog
属性は、認証攻撃、認可の問題、DOS/TCP 攻撃、その他のセキュリティーイベントを記録する特殊なセキュリティーログのパスとファイル名を設定します。
セキュリティーログを有効にするには、nsslapd-securitylog
属性に有効なパスが必要です。また、nsslapd-securitylog-logging-enabled
設定属性が on
に設定されている必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なファイル名 |
デフォルト値 | /var/log/dirsrv/slapd-instance_name/security |
構文 | DirectoryString |
例 | nsslapd-securitylog: /var/log/dirsrv/slapd-instance_name/security |
2.1.171. nsslapd-securitylog-list
nsslapd-securitylog-list
属性は、セキュリティーログファイルのリストを提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-securitylog-list: securitylog2,securitylog3 |
2.1.172. nsslapd-securitylog-logbuffering
off
に設定すると、サーバーはすべてのセキュリティーログエントリーをディスクに直接書き込みます。バッファリングを使用すると、サーバーは高負荷下でもパフォーマンスに影響を与えることなくセキュリティーログを使用します。ただし、デバッグするときは、ログエントリーがファイルにフラッシュされるのを待たずに、操作とその結果をすぐに確認できるようにバッファリングを無効にします。ログバッファリングを無効にすると、負荷の高いサーバーのパフォーマンスに深刻な影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-security-logbuffering: オン |
2.1.173. nsslapd-securitylog-logging-enabled
nsslapd-securitylog-logging-enabled
属性は、セキュリティーログのオンとオフを切り替えます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-security-logging-enabled: on |
2.1.174. nsslapd-securitylog-logexpirationtime
nsslapd-securitylog-logexpirationtime
属性は、セキュリティーログファイルが削除されるまでの最大保存期間を設定します。
nsslapd-securitylog-logexpirationtimeunit
属性がログに使用する単位 (日、週、月など) を指定する場合、nsslapd-securitylog-logexpirationtime
属性はその単位の 数 のみを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) -1 または 0 の値は、ログが期限切れになることはありません。 |
デフォルト値 | 12 |
構文 | 整数 |
例 | nsslapd-securitylog-logexpirationtime: 12 |
2.1.175. nsslapd-securitylog-logexpirationtimeunit
nsslapd-securitylog-logexpirationtimeunit
属性は、nsslapd-securitylog-logexpirationtime
属性の単位を設定します。セキュリティーログの最大保存期間の単位を指定しなかった場合、またはサーバーが単位を認識しない場合、ログは期限切れになりません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-securitylog-logexpirationtimeunit: week |
2.1.176. nsslapd-securitylog-logminfreediskspace
nsslapd-securitylog-logminfreediskspace
属性は、許容される最小空きディスク容量をメガバイト単位で設定します。ディスクの空き容量がこの属性で指定された値を下回ると、サーバーは十分なディスク容量が確保されるまで最も古いセキュリティーログを削除します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 5 |
構文 | 整数 |
例 | nsslapd-securitylog-logminfreediskspace: 5 |
2.1.177. nsslapd-securitylog-logrotationsync-enabled
nsslapd-securitylog-logrotationsync-enabled
属性は、セキュリティーログのローテーションを 1 日の特定の時刻と同期する必要があるかどうかを設定します。この方法でログローテーションを同期すると、毎日深夜から深夜までなど、1 日の指定された時間にログファイルを生成できます。これにより、ログファイルがカレンダーに直接マップされるため、ログファイルの分析がはるかに簡単になります。
セキュリティーログのローテーションを時刻と同期するには、nsslapd-securitylog-logrotationsync-enabled
属性を有効にし、nsslapd-securitylog-logrotationsynchour
属性および nsslapd-securitylog-logrotationsyncmin
属性を設定する必要があります。
たとえば、セキュリティーログファイルを毎日午前 0 時にローテーションするには、この属性の値を on
に設定して有効にし、次に nsslapd-securitylog-logrotationsynchour
属性と nsslapd-securitylog-logrotationsyncmin
属性の値を 0
に設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-securitylog-logrotationsync-enabled: off |
2.1.178. nsslapd-securitylog-logrotationsynchour
nsslapd-securitylog-logrotationsynchour
属性は、セキュリティーログローテーションの時刻 (時) を設定します。この属性は、nsslapd-securitylog-logrotationsync-enabled
属性および nsslapd-securitylog-logrotationsyncmin
属性と一緒に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 23 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationsynchour: 23 |
2.1.179. nsslapd-securitylog-logrotationsyncmin
nsslapd-securitylog-logrotationsyncmin
属性は、セキュリティーログをローテーションする時刻 (分) を設定します。この属性は、nsslapd-securitylog-logrotationsync-enabled
属性および nsslapd-securitylog-logrotationsynchour
属性と一緒に使用する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 - 59 |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationsyncmin: 30 |
2.1.180. nsslapd-securitylog-logrotationtime
nsslapd-securitylog-logrotationtime
属性は、セキュリティーログファイルのローテーション間隔を定める時間の単位の 数 を設定します。別の設定属性 nsslapd-securitylog-logrotationtimeunit
を使用して、単位 (日、週、月など) を設定します。
nsslapd-securitylog-maxlogsperdir
属性が 1
に設定されている場合、サーバーは nsslapd-securitylog-logrotationtime
属性を無視します。
Directory Server は、ログのサイズにかかわらず、設定された間隔が過ぎた後の最初の書き込み操作でログをローテーションします。
ログローテーションなし ポリシーを指定するには、2 つの方法を使用できます。nsslapd-securitylog-maxlogsperdir
属性の値を 1
に設定するか、nsslapd-securitylog-logrotationtime
属性を -1
に設定します。サーバーは最初に nsslapd-securitylog-maxlogsperdir
属性をチェックし、属性の値が 1
より大きい場合は、次に nsslapd-securitylog-logrotationtime
属性をチェックします。詳細は、「nsslapd-securitylog」 を参照してください。
ログローテーションなし ポリシーを使用すると、ログが無制限に増大し、サーバーのパフォーマンスに影響を与える可能性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。-1 の値は、セキュリティーログファイルのローテーション間隔が無制限であることを意味します。 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-securitylog-logrotationtime: 5 |
2.1.181. nsslapd-securitylog-logrotationtimeunit
nsslapd-securitylog-logrotationtimeunit
属性は、nsslapd-securitylog-logrotationtime
(セキュリティーログローテーション時間) の 単位 を設定します。セキュリティーログのローテーションポリシーの単位を指定しなかった場合、またはサーバーが単位を認識しない場合、ログは期限切れになりません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | month | week | day | hour | minute |
デフォルト値 | month |
構文 | DirectoryString |
例 | nsslapd-securitylog-logrotationtimeunit: week |
2.1.182. nsslapd-securitylog-maxlogsize
nsslapd-securitylog-maxlogsize
属性は、最大セキュリティーログサイズをメガバイト単位で設定します。この属性の値に達すると、Directory Server はセキュリティーログをローテーションし、新しいログファイルへのログ情報の書き込みを開始します。nsslapd-securitylog-maxlogsperdir
が 1
に設定されている場合、サーバーは nsslapd-securitylog-maxlogsize
属性を無視します。
最大ログサイズを設定するときは、次の点を考慮してください。
- ログファイルのローテーションにより作成できるログファイルの総数。
- Directory Server は、アクセスログ、監査ログ、監査失敗ログ、エラーログ、セキュリティーログの 5 つの異なるログファイルを維持します。各ログファイルはディスク領域を消費します。
これらの考慮事項を、セキュリティーログ用に設定するディスク領域の合計と比較してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 | 1 から最大 32 ビットの整数値 (2147483647)。-1 の値は、ログファイルのサイズが無制限であることを意味します。 |
デフォルト値 | 100 |
構文 | 整数 |
例 | nsslapd-securitylog-maxlogsize: 100 |
2.1.183. nsslapd-securitylog-maxlogsperdir
nsslapd-securitylog-maxlogsperdir
属性は、Directory Server がログファイルディレクトリーに保存するセキュリティーログの総数を設定します。セキュリティーログがローテーションされるたびに、新しいログファイルが作成されます。セキュリティーログディレクトリーに含まれるファイルの数が nsslapd-securitylog-maxlogsperdir
属性の値を超えると、Directory Server はログファイルの最も古いバージョンを削除します。
nsslapd-securitylog-maxlogsperdir
属性の値が 1
より大きい場合は、nsslapd-securitylog-logrotationtime
属性を確認して、ログローテーションが設定されているかどうかを確認します。nsslapd-securitylog-logrotationtime
属性の値が -1
の場合、ログローテーションは行われません。詳細は、「nsslapd-securitylog-logrotationtime」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 10 |
構文 | 整数 |
例 | nsslapd-securitylog-maxlogsperdir: 5 |
2.1.184. nsslapd-securitylog-mode
nsslapd-securitylog-mode
属性は、Directory Server がセキュリティーログファイルを作成する際のアクセスモードまたはファイルパーミッションを設定します。有効な値は、番号がミラーリングされるか、絶対 UNIX ファイルのパーミッションになるため、000
から 777
の組み合わせです。値は、3 桁の数字の組み合わせである必要があります。数字は 0
から 7
によって異なります。
- 0 - なし
- 1 - 実行のみ
- 2 - 書き込みのみ
- 3 - 書き込みおよび実行
- 4 - 読み取り専用
- 5 - 読み取りおよび実行
- 6 - 読み取りおよび書き込み
- 7 - 読み取り、書き込み、および実行
3 桁の数値では、最初の数字は所有者の権限を表し、2 つ目の数字はグループのパーミッションを表し、3 つ目の数字は全員のパーミッションを表します。デフォルト値を変更する場合、000
はログへのアクセスを許可せず、すべてのユーザーに書き込み権限を許可すると、ログが上書きまたは削除される可能性があることに注意してください。
新しく設定したアクセスモードは、サーバーが作成する新しいログにのみ影響します。このモードは、ログが新しいファイルにローテーションされるときに設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 000 から 777 まで |
デフォルト値 | 600 |
構文 | 整数 |
例 | nsslapd-securitylog-mode: 600 |
2.1.185. nsslapd-sizelimit
この属性は、検索操作から返すエントリーの最大数を設定します。この制限に達すると、ns-slapd
は検索要求に一致するエントリーと、超過サイズ制限エラーを返します。
制限が設定されていない場合、ns-slapd
は見つかった数に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif
ファイルでこの属性に -1
の値を指定します。
この制限は、組織に関係なくすべてのユーザーに適用されます。
dse.ldif
ファイルのこの属性に対する -1
の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限は使用されません。これは有効な整数ではないため、dse.ldif
ファイルには null 値を指定できません。0
に設定すると、検索ごとに size limit exceeded
が返されます。
対応するユーザーレベルの属性は nsSizeLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 2000 |
構文 | 整数 |
例 | nsslapd-sizelimit: 2000 |
2.1.186. nsslapd-snmp-index
このパラメーターは、Directory Server インスタンスの SNMP インデックス番号を制御します。
ポート 389 で、ポート 389 がすべてリッスンしている同じホストに複数の Directory Server インスタンスがある場合、このパラメーターを使用すると、インスタンスごとに異なる SNMP インデックス番号を設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-snmp-index: 0 |
2.1.187. nsslapd-ssl-check-hostname
この属性は、提示される証明書のサブジェクト名 (subjectDN
フィールド) の共通名 (cn
) 属性に割り当てられた値に対してホスト名を照合することにより、TLS 対応の Directory Server が要求の信頼性を検証するかどうかを設定します。デフォルトでは、属性は on
に設定されます。有効で、ホスト名が証明書の cn
属性と一致しない場合は、適切なエラーと監査メッセージがログに記録されます。
たとえば、複製された環境では、ピアサーバーのホスト名が証明書で指定された名前と一致しないと、以下のようなメッセージがサプライヤーサーバーのログファイルに記録されます。
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 - Unable to communicate securely with peer: requested domain name does not match the server's certificate.) [DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636): Replication bind with SSL client authentication failed: LDAP error 81 (Can't contact LDAP server)
Red Hat は、MITM (MITM) 攻撃で、Directory Server のアウトバウンド TLS 接続を保護するために、この属性をオンにすることを推奨します。
これを機能させるには、DNS と逆引き DNS が正しく設定されている必要があります。そうしないと、サーバーは、証明書のサブジェクト名に対してピア IP アドレスを、証明書のサブジェクト DN で解決できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsslapd-ssl-check-hostname: on |
2.1.188. nsslapd-SSLclientAuth
Nsslapd-SSLclientAuth
パラメーターは今後のリリースで非推奨となり、現時点では後方互換性のために維持されます。代わりに cn=encryption,cn=config
に保存されている新しいパラメーター nsSSLClientAuth
を使用してください。「nsSSLClientAuth」を参照してください。
2.1.189. nsslapd-statlog-level
nsslapd-statlog-level
パラメーターを使用すると、Directory Server のパフォーマンスに影響を与えることなく、操作ごとの統計情報をアクセスログに記録できます。
Directory Server は、検索操作中に使用されるインデックスに関連する統計の収集をサポートします。nsslapd-statlog-level
を 1
に設定すると、アクセスログはインデックス内の各キーのインデックス検索 (データベース読み取り操作) の数の収集を開始します。
たとえば、ディレクトリーに値が user_
で始まる 100 万件の uid
エントリーがあり、検索操作でフィルター (uid=user_*)
を使用するとします。Directory Server は、^us
、use
、ser
、および er_
インデックスキーを作成します。nsslapd-statlog-level=1
を設定すると、アクセスログに次の情報が表示されます。
STAT read index: attribute=uid key(sub)=er_ count 1000000 STAT read index: attribute=uid key(sub)=ser count 1000000 STAT read index: attribute=uid key(sub)=use count 1000000 STAT read index: attribute=uid key(sub)=^us count 1000000 STAT read index: duration 0.001010276
検索の数とインデックス検索の全体的な継続時間を把握することは、(uid=user_*)
などのフィルターのコストが高い理由を診断するのに役立ちます。
変更を適用するにはサーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 |
|
デフォルト値 | 0 |
構文 | 整数 |
例 | nsslapd-statlog-level: 1 |
2.1.190. nsslapd-syntaxcheck
この属性は、エントリー属性に対するすべての変更を検証し、新規または変更された値がその属性タイプに必要な構文に準拠することを確認します。この属性が有効になっていると、適切な構文に準拠しない変更は拒否されます。すべての属性値は RFC 4514 の構文定義に対して検証されます。
デフォルトでは、これはオンになっています。
構文の検証は、新規または変更された属性に対してのみ実行されます。既存の属性値の構文は検証されません。追加や変更などの LDAP 操作の構文検証がトリガーされます。元のサプライヤーで属性構文の有効性をチェックする必要があるため、レプリケーションなどの操作後には起こりません。
これは、バイナリー構文 (検証できない) および標準以外の構文 (定義された必要な形式がない) を除き、Directory Server でサポートされる属性タイプをすべて検証します。未検証 の構文は以下のとおりです。
- Fax (バイナリー)
- OctetString (binary)
- JPEG (バイナリー)
- バイナリー (標準以外)
- スペースに依存しない文字列 (非標準)
- URI (標準以外)
Nsslapd-syntaxcheck
属性は、属性の変更を検証および拒否するかどうかを設定します。これは、nsslapd-syntaxlogging 属性とともに使用して、無効な属性値に関する警告メッセージをエラーログに書き込むことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nnsslapd-syntaxcheck: on |
2.1.191. nsslapd-syntaxlogging
この属性は、構文検証の失敗をエラーログに記録するかどうかを設定します。デフォルトでは、これはオフになっています。
nsslapd-syntaxcheck 属性が有効 (デフォルト) で、nsslapd-syntaxlogging
属性も有効になっている場合、無効な属性の変更は拒否され、エラーログに書き込まれます。nsslapd-syntaxlogging
のみが有効で、nsslapd-syntaxcheck
が無効になっている場合は、無効な変更を続行できますが、警告メッセージがエラーログに書き込まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | nnsslapd-syntaxlogging: off |
2.1.192. nsslapd-threadnumber
このパフォーマンスチューニング関連の値は、起動時に Directory Server が作成するスレッドの数を設定します。値が -1
(デフォルト) に設定されている場合、Directory Server は利用可能なハードウェアに基づいて最適化された自動チューニングを有効にします。Auto-tuning が有効になっている場合、nsslapd-threadnumber
は、Directory Server の実行中に自動生成されたスレッド数を表示することに注意してください。
Red Hat は、パフォーマンスを最適化するために自動チューニング設定を使用することを推奨します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 からシステムのスレッドおよびプロセッサーでサポートされるスレッドの最大数。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | nsslapd-threadnumber: -1 |
2.1.193. nsslapd-timelimit
この属性は、検索要求に割り当てられる最大秒数を設定します。この制限に達すると、Directory Server は、検索要求に一致するエントリーと、超過時間制限エラーを返します。
制限が設定されていない場合、ns-slapd
は完了する時間に関係なく、一致するすべてのエントリーをクライアントに返します。Directory Server が検索が完了するまで無期限に待機する制限値を設定するには、dse.ldif
ファイルでこの属性に -1
の値を指定します。0
ゼロの値を指定すると、検索に時間が許可されません。最小の時間制限は 1 秒です。
dse.ldif
のこの属性に対する -1
の値は、サーバーコンソールで属性を空白のままにしておくのと同じため、制限が使用されないようになります。ただし、サーバーコンソールではこのフィールドで負の整数を設定できず、有効な整数ではないため、dse.ldif
エントリーに null 値を使用することはできません。
対応するユーザーレベルの属性は nsTimeLimit
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | -1 から最大 32 ビットの整数値 (2147483647)(秒単位) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | nsslapd-timelimit: 3600 |
2.1.194. nsslapd-tmpdir
これは、サーバーが一時ファイルに使用するディレクトリーの絶対パスです。ディレクトリーはサーバーユーザー ID で所有され、ユーザーには読み取りおよび書き込みアクセスが必要です。他のユーザー ID はディレクトリーに読み取りや書き込みを行うべきではありません。デフォルト値は /tmp
です。
この属性への変更は、サーバーが再起動するまで反映されません。
2.1.195. nsslapd-unhashed-pw-switch
userPassword
属性 を更新すると、Directory Server はパスワードを暗号化し、userPassword
に保存します。ただし、Active Directory (AD) とパスワードを同期する場合など、特定の状況では、Directory Server は暗号化されていないパスワードをプラグインに渡す必要があります。この場合、サーバーは、entry extension
と呼ばれる一時的な unhashed#user#password
属性に暗号化されていないパスワードを保存し、シナリオに応じて changelog にも格納します。Directory Server は、サーバーのハードディスクに unhashed#user#password
属性を保存しないことに注意してください。
nsslapd-unhashed-pw-switch
パラメーターは、Directory Server が暗号化されていないパスワードを保存するかどうかと方法を制御します。たとえば、Directory Server から Active Directory にパスワードを同期するには、nsslapd-unhashed-pw-switch
を on
に設定する必要があります。
パラメーターは以下のいずれかの値に設定できます。
-
off
: Directory Server は、暗号化されていないパスワードをエントリー拡張や changelog に保存しません。AD とパスワードの同期を使用しない場合や、暗号化されていないパスワードへのアクセスを必要とするプラグインを使用する場合は、この値を設定します。 -
on
: Directory Server は、暗号化されていないパスワードをエントリー拡張と changelog に保存します。AD とパスワードの同期を設定する場合は、この値を設定します。 -
nolog
: Directory Server は、暗号化されていないパスワードをエントリー拡張にのみ保存しますが、changelog には保存しません。ローカルの Directory Server プラグインが暗号化されていないパスワードへのアクセスを必要とするが、AD とパスワードの同期を設定しない場合は、この値を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | off | on | nolog |
デフォルト値 | off |
構文 | DirectoryString |
例 | nsslapd-unhashed-pw-switch: off |
2.1.196. nsslapd-validate-cert
Directory Server が TLS で実行されるように設定され、証明書の有効期限が切れると、Directory Server を起動できません。nsslapd-validate-cert
パラメーターは、期限切れの証明書で起動しようとすると Directory Server がどのように応答するかを設定します。
-
warn
により、Directory Server は期限切れの証明書で正常に起動できますが、証明書の有効期限が切れているという警告メッセージが送信されます。これはデフォルト設定です。 -
on
では、証明書を検証します。また、証明書の有効期限が切れるとサーバーが再起動できなくなります。これにより、期限切れの証明書のハード障害が設定されます。 -
off
は、すべての証明書の有効期限の検証を無効にするため、サーバーは警告をログに記録せずに期限切れの証明書で起動できるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | warn | on | off |
デフォルト値 | warn |
構文 | DirectoryString |
例 | nsslapd-validate-cert: warn |
2.1.197. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema
パラメーターは、Directory Server がスキーマで指定されていない属性で検索フィルターを検証する方法を定義します。
nsslapd-verify-filter-schema
を以下のオプションのいずれかに設定できます。
-
reject-invalid
: Directory Server は、不明な要素が含まれる場合、エラーを出してフィルターを拒否します。 process-safe
: Directory Server は不明なコンポーネントを空のセットに置き換え、警告を/var/log/dirsrv/slapd-instance_name/access
ログファイルのnotes=F
フラグで記録します。nsslapd-verify-filter-schema
をwarn-invalid
またはoff
からprocess-safe
に切り替える前に、アクセスログを監視し、notes=F
フラグでログエントリーを発生させるアプリケーションからのクエリーを修正してください。そうしないと、操作結果が変更され、Directory Server が一致するすべてのエントリーを返さない可能性があります。-
warn-invalid
: Directory Server は、/var/log/dirsrv/slapd-instance_name/access
ログファイル内のnotes=F
フラグで警告を記録し、完全なデータベースをスキャンし続けます。 -
off
: Directory Server はフィルターを検証しません。
たとえば、nsslapd-verify-filter-schema
を warn-invalid
または off
に設定した場合、(&(non_exististent_attribute=example)(uid=user_name))
などのフィルターは uid=user_name
エントリーを評価し、non_exististent_attribute=example
が含まれている場合にのみそれを返すことに注意してください。nsslapd-verify-filter-schema
を process-safe
に設定した場合、Directory Server はそのエントリーを評価せず、返しません。
nsslapd-verify-filter-schema
を reject-invalid
または process-safe
に設定すると、スキーマで指定されていない属性のインデックス付けされていない検索による高負荷を防ぐことができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | reject-invalid、process-safe、warn-invalid、off |
デフォルト値 | process-safe |
構文 | DirectoryString |
例 | nsslapd-verify-filter-schema: process-safe |
2.1.198. nsslapd-versionstring
この属性は、サーバーのバージョン番号を設定します。バージョン文字列が表示されると、ビルドデータが自動的に追加されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 有効なサーバーのバージョン番号。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsslapd-versionstring: Red Hat-Directory/{VER} |
2.1.199. nsslapd-workingdir
これは、サーバーが起動後に現在の作業ディレクトリーとして使用するディレクトリーの絶対パスです。これは、サーバーが getcwd()
関数の値として返す値であり、システムプロセステーブルが現在の作業ディレクトリーとして表示する値です。これは、コアファイルが生成されるディレクトリーです。サーバーのユーザー ID には、ディレクトリーへの読み取りおよび書き込みアクセス権が必要です。また、他のユーザー ID には、ディレクトリーへの読み取りまたは書き込みアクセス権がありません。この属性のデフォルト値は、エラーログを含む同じディレクトリーであり、通常は /var/log/dirsrv/slapd-instance
です。
この属性への変更は、サーバーが再起動するまで反映されません。
2.1.200. nsslapd-numlisteners
nsslapd-numlisteners
属性は、確立された接続を監視するために Directory Server が使用できるリスナースレッドの数を指定します。属性値を増やすことで、サーバーで多数のクライアント接続が発生した場合の応答時間を改善できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 1 - 4 |
デフォルト値 | 1 |
構文 | 整数 |
例 | nsslapd-numlisteners: 2 |
nsslapd-numlisteners
属性の値を変更した後は、サーバーを再起動する必要があります。
2.1.201. passwordAdminSkipInfoUpdate
cn=config
エントリーで新しい passwordAdminSkipInfoUpdate: on/off
設定を使用すると、パスワード管理者が管理するパスワード更新をきめ細かく制御できます。この設定を on
にすると、Directory Server はパスワードのみを更新し、passwordHistory
、passwordExpirationTime
、passwordRetryCount
、pwdReset
、passwordExpWarned
などの属性は更新しません。
パスワード管理者は、この設定を使用することで、passwordExpirationTime
属性と pwdMustChange
属性を使用するグローバルおよびローカルなログインポリシーで設定された、パスワード構文チェックとパスワード有効期限設定を回避できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordAdminSkipInfoUpdate: on |
2.1.202. passwordAllowChangeTime
この属性は、ユーザーがパスワードを変更できるようになるまでに経過する必要のある時間の長さを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の整数 |
デフォルト値 | |
構文 | DirectoryString |
例 | passwordAllowChangeTime: 5h |
2.1.203. passwordBadWords
passwordBadWords
パラメーターは、ユーザーがパスワードで使用できない文字列のコンマ区切りリストを定義します。
Directory Server は文字列の大文字と小文字を区別しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | "" |
構文 | DirectoryString |
例 | passwordBadWords: example |
2.1.204. passwordChange
ユーザーがパスワードを変更できるかどうかを示します。
これは、pwdAllowUserChange
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordChange: on |
2.1.205. passwordCheckSyntax
この属性は、パスワードを保存する前にパスワード構文をチェックするかどうかを設定します。パスワードの構文チェックメカニズムは、パスワードがパスワードの最小長要件を満たしているかどうか、また、文字列にユーザー名やユーザー ID、ユーザーのディレクトリーエントリーの uid
、cn
、sn
、givenName
、ou
、または mail
属性に格納されている属性値など、簡単な単語が含まれていないかどうかをチェックします。
パスワード構文には、チェック用のいくつかの異なるカテゴリーが含まれています。
- パスワード内の普通の単語をチェックするときに比較するのに使用する文字列またはトークンの長さ (たとえば、トークンの長さが 3 の場合、パスワードに使用するユーザーの UID、名前、電子メールアドレス、またはその他のパラメーターに 3 つの連続する文字の文字列を含めることはできません)
- 数字の最小文字数 (0〜9)
- 大文字の ASCII アルファベットの最小数
- 小文字の ASCII アルファベットの最小数
-
!@#$
などの特殊 ASCII 文字の最小数 - 8 ビット文字の最小数
- パスワードごとに必要な文字カテゴリーの最小数。カテゴリーは大文字、小文字、特殊文字、数字、または 8 ビット文字
これは、pwdCheckSyntax
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordCheckSyntax: off |
2.1.206. passwordDictCheck
on
に設定すると、passwordDictCheck
パラメーターはパスワードを CrackLib
ディクショナリーと照合します。新しいパスワードに辞書の単語が含まれている場合、Directory Server はパスワードを拒否します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordDictCheck: off |
2.1.207. passwordExp
指定された秒数後にユーザーパスワードの有効期限が切れるかどうかを示します。デフォルトでは、ユーザーパスワードは期限切れになりません。パスワードの有効期限が有効になったら、passwordMaxAge
属性を使用して、パスワードの有効期限が切れるまでの秒数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordExp: on |
2.1.208. passwordExpirationTime
この属性は、ユーザーのパスワードの有効期限が切れるまでに経過する時間の長さを指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の日付 (整数) |
デフォルト値 | none |
構文 | GeneralizedTime |
例 | passwordExpirationTime: 202009011953 |
2.1.209. passwordExpWarned
この属性は、パスワードの有効期限の警告がユーザーに送信されたことを示します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | true | false |
デフォルト値 | none |
構文 | DirectoryString |
例 | passwordExpWarned: true |
2.1.210. passwordGraceLimit
この属性は、パスワードの有効期限が有効になっている場合にのみ適用されます。ユーザーのパスワードの有効期限が切れると、サーバーはユーザーがパスワードを変更する目的で接続できるようにします。これは、猶予ログイン と呼ばれます。サーバーは、ユーザーを完全にロックアウトする前に、特定の回数の試行のみを許可します。この属性は、許可される猶予ログインの数です。0
の値は、サーバーが猶予ログインを許可しないことを意味します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 0 (オフ) から任意の妥当な整数 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordGraceLimit: 3 |
2.1.211. passwordHistory
パスワード履歴を有効にします。パスワード履歴は、ユーザーがパスワードの再利用を許可されているかどうかを示します。デフォルトでは、パスワード履歴は無効になっており、ユーザーはパスワードを再利用できます。この属性が on
に設定されている場合、ディレクトリーは指定された数の古いパスワードを保存し、ユーザーが保存されたパスワードを再利用できないようにします。passwordInHistory
属性を使用して、Directory Server が保存する古いパスワードの数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordHistory: on |
2.1.212. passwordInHistory
Directory Server が履歴に保存するパスワードの数を示します。履歴に保存されているパスワードは、ユーザーが再利用することはできません。デフォルトでは、パスワード履歴機能は無効になっています。つまり、Directory Server は古いパスワードを保存しないため、ユーザーはパスワードを再利用できます。passwordHistory
属性を使用してパスワード履歴を有効にします。
ユーザーが追跡されるパスワードの数をすばやく循環するのを防ぐには、passwordMinAge
属性を使用します。
これは、pwdInHistory
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 24 個のパスワード |
デフォルト値 | 6 |
構文 | 整数 |
例 | passwordInHistory: 7 |
2.1.213. passwordIsGlobalPolicy
この属性は、パスワードポリシー属性を複製するかどうかを制御します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordIsGlobalPolicy: off |
2.1.214. passwordLegacyPolicy
従来のパスワードの動作を有効にします。古い LDAP クライアントは、最大障害制限を 超える と、ユーザーアカウントをロックするためのエラーを受け取ると予想されていました。たとえば、制限が 3 回失敗した場合は、4 回目の失敗でアカウントがロックされました。ただし、新しいクライアントは、障害制限に達したときにエラーメッセージを受信することを期待しています。たとえば、制限が 3 回失敗した場合、3 回目の失敗でアカウントをロックする必要があります。
障害制限を超えたときにアカウントをロックすることは古い動作であるため、レガシー動作と見なされます。これはデフォルトで有効になっていますが、無効にして、新しい LDAP クライアントが予想される時間にエラーを受信できるようにすることができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordLegacyPolicy: on |
2.1.215. passwordLockout
バインドの試行が一定回数失敗した後、ユーザーがディレクトリーからロックアウトされているかどうかを示します。デフォルトでは、一連のバインド試行が失敗した後、ユーザーはディレクトリーからロックアウトされません。アカウントのロックアウトが有効になっている場合は、passwordMaxFailure
属性を使用して、ユーザーがロックアウトされるまでに失敗したバインドの試行回数を設定します。
これは、pwdLockOut
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordLockout: off |
2.1.216. passwordLockoutDuration
アカウントのロックアウト後にユーザーがディレクトリーからロックアウトされるまでの時間を秒単位で示します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。passwordLockout
属性を使用して、アカウントのロックアウト機能を有効または無効にします。
これは、pwdLockoutDuration
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 3600 |
構文 | 整数 |
例 | passwordLockoutDuration: 3600 |
2.1.217. passwordMaxAge
ユーザーパスワードの有効期限が切れるまでの秒数を示します。この属性を使用するには、passwordExp
属性を使用してパスワードの有効期限を有効にする必要があります。
これは、pwdMaxAge
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 8640000 (100 日) |
構文 | 整数 |
例 | passwordMaxAge: 100 |
2.1.218. passwordMaxClassChars
passwordMaxClassChars
パラメーターを 0
よりも大きな値に設定する場合に、Directory Server では、パラメーターに設定した値と同じカテゴリーの文字を連続して指定することができなくなります。有効にすると、Directory Server は以下のカテゴリーに含まれる、連続した文字をチェックします。
- 数字
- 英字
- 小文字
- 大文字
たとえば、passwordMaxClassChars
を 3
に設定した場合には、jdif
や 1947
などのパスワードは使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0(無効) から最大 32 ビットの整数 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxClassChars: 0 |
2.1.219. passwordMaxFailure
バインドの試行を何回失敗するとユーザーがディレクトリーからロックアウトされるかを指定します。デフォルトでは、アカウントのロックアウトは無効になっています。passwordLockout
属性を変更して、アカウントのロックアウトを有効にします。
これは、pwdMaxFailure
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 最大バインド失敗数 (1 以上の整数) |
デフォルト値 | 3 |
構文 | 整数 |
例 | passwordMaxFailure: 3 |
2.1.220. passwordMaxRepeats
パスワードに同じ文字を連続して指定できる最大回数。ゼロ (0
) はオフです。整数値は、ある文字を指定の回数以上に使用したパスワードを拒否します。たとえば、1
を指定すると、文字が複数回使用された場合 (aa
)、2
を指定すると、ある文字を複数回使用した場合に (aaa
) 拒否されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxRepeats: 1 |
2.1.221. passwordMaxSeqSets
passwordMaxSeqSets
パラメーターを 0
よりも大きな値に設定すると、Directory Server は、このパラメーターで設定した長さを超えて、同じ文字列が複数回出現するパスワードを拒否します。たとえば、passwordMaxSeqSets
を 2
に設定した場合には、パスワード azXYZ_XYZ-g
は、パスワードの中に XYZ
が 2 回出現するため使用できません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxSeqSets: 0 |
2.1.222. passwordMaxSequence
passwordMaxSequence
パラメーターを 0
よりも大きな値に設定すると、Directory Server は、 passwordMaxSequence
に設定された値を超えて、同じ文字種が連続して出現するパスワードを拒否します。たとえば、パラメーターを 3
に設定すると、Directory Server は 1234
や dcba
などの文字列を含むパスワードを拒否します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMaxSequence: 0 |
2.1.223. passwordMin8Bit
これにより、パスワードに含める必要のある 8 ビット文字の最小数が設定されます。
これを使用するには、userPassword
の 7 ビットチェックを無効にする必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMin8Bit: 0 |
2.1.224. passwordMinAge
ユーザーが次にパスワードを変更するまでに待機する必要のある秒数を指定します。この属性は passwordInHistory
(記憶するパスワードの数) 属性と合わせて使用して、すぐにパスワードを循環して、以前のパスワードをもう一度使用できないようにします。0
の値は、ユーザーがすぐにパスワードを変更できることを示しています。
これは、pwdMaxFailure
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から有効な最大整数 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinAge: 150 |
2.1.225. passwordMinAlphas
この属性は、英数字のパスワードに含める必要がある最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinAlphas: 4 |
2.1.226. passwordMinCategories
これにより、パスワードで使用される文字カテゴリーの最小数が設定されます。カテゴリーは以下のとおりです。
- 小文字の英字
- 大文字の英字
- 数値
- $ や punctuation marks など、特別な ASCII 文字
- 8 ビット文字
たとえば、この属性の値が 2
に設定され、ユーザーがパスワードを aaaaa
に変更しようとすると、小文字しか含まれないので、サーバーはパスワードを拒否します。aAaAaA
のパスワードには大文字と小文字の 2 つのカテゴリーからの文字が含まれるため、このパスワードは指定できます。
デフォルトは 3
です。つまり、パスワード構文チェックが有効な場合は、有効なパスワードには 3 つの文字カテゴリーが必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 5 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinCategories: 2 |
2.1.227. PasswordMinDigits
これにより、パスワードに含める必要のある数字の最小数が設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinDigits: 3 |
2.1.228. passwordMinLength
この属性は、Directory Server ユーザーパスワード属性で使用する必要がある文字の最小数を指定します。一般的に、パスワードが短いほど解読されやすくなります。Directory Server では、強制的にパスワードの最小長を 8 文字にします。これは、解読が難しく、ユーザーがパスワードを書き留めなくても覚えられる長さです。
これは、pwdMinLength
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 2 - 512 文字 |
デフォルト値 | 8 |
構文 | 整数 |
例 | passwordMinLength: 8 |
2.1.229. PasswordMinLowers
この属性は、小文字のパスワードに含める必要のある最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinLowers: 1 |
2.1.230. PasswordMinSpecials
この属性は、パスワードに含める必要がある 特殊 文字 (または英数字以外の文字) の最小数を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinSpecials: 1 |
2.1.231. PasswordMinTokenLength
この属性は、簡単な 単語チェックに使用される最小の属性値の長さを設定します。たとえば、PasswordMinTokenLength
が 3
に設定されている場合には、ポリシーで givenName
の DJ
は、パスワードに DJ
が含まれていても拒否されず、givenName
の Bob
が含まれるパスワードは拒否されます。
Directory Server は、以下の属性の値に対してトークンの最小長をチェックします。
-
uid
-
cn
-
sn
-
givenName
-
mail
-
ou
Directory Server が追加の属性を確認する必要がある場合は、passwordUserAttributes
パラメーターで設定できます。詳細は、「passwordUserAttributes」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から 64 |
デフォルト値 | 3 |
構文 | 整数 |
例 | passwordMinTokenLength: 3 |
2.1.232. PasswordMinUppers
これにより、パスワードに含める必要のある大文字の最小数が設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 0 から 64 |
デフォルト値 | 0 |
構文 | 整数 |
例 | passwordMinUppers: 2 |
2.1.233. passwordMustChange
Directory Server への初回のバインド時、または Manager DN でパスワードのリセット時に、ユーザーがパスワードを変更する必要があるかどうかを示します。
これは、pwdMustChange
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordMustChange: off |
2.1.234. passwordPalindrome
passwordPalindrome
パラメーターを有効にすると、新しいパスワードに回文が含まれる場合に、Directory Server はパスワードを拒否します。
回文とは、abc11cba
など、上から読んでも、下から読んでも同じである文字列を指します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordPalindrome: off |
2.1.235. passwordResetFailureCount
パスワード障害カウンターがリセットされるまでの時間 (秒単位) を指定します。無効なパスワードがユーザーのアカウントから送信されるたびに、パスワードの失敗カウンターがインクリメントされます。passwordLockout
属性を on
に設定すると、カウンターが passwordMaxFailure
属性で指定された失敗数に達すると、ユーザーはディレクトリーからロックされます (デフォルトでは 600
秒)。passwordLockoutDuration
属性で指定された時間が経過すると、失敗カウンターはゼロ (0
) にリセットされます。
これは、pwdFailureCountInterval
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 600 |
構文 | 整数 |
例 | passwordResetFailureCount: 600 |
2.1.236. passwordSendExpiringTime
クライアントがパスワードの期限切れの制御を求めると、パスワードが警告期間内にある場合にのみ、Directory Server は有効期限までの時間の値を返します。パスワードの有効期限が警告期間内にあるかどうかにかかわらず、この値を常に返す必要のある既存のクライアントとの互換性を確保するために、passwordSendExpiringTime
パラメーターを on
に設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordSendExpiringTime: off |
2.1.237. passwordStorageScheme
この属性は、userPassword
属性に保存されているユーザーパスワードを暗号化する方法を設定します。強固なパスワードストレージスキームなどの詳細は、「パスワードストレージスキーム」 を参照してください。
Red Hat は、この属性を設定しないことを推奨します。値が設定されていないと、Directory Server は、最も強力なパスワードストレージスキームを自動的に使用します。今後の Directory Server の更新で、セキュリティーを向上させるデフォルト値を変更すると、パスワードを設定する際に、新しいストレージスキームを使用してパスワードが自動的に暗号化されます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 「パスワードストレージスキーム」 を参照してください。 |
デフォルト値 | PBKDF2-SHA512 |
構文 | DirectoryString |
例 | passwordStorageScheme: PBKDF2-SHA512 |
2.1.238. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt
属性はパスワードポリシーの一部です。管理者が一時パスワードをユーザーアカウントに設定した後に、passwordTPRDelayExpireAt
は一時パスワードが期限切れになるまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRDelayExpireAt: 3600 |
2.1.239. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom
属性はパスワードポリシーの一部です。管理者が一時的なパスワードをユーザーアカウントに設定した後に、passwordTPRDelayValidFrom
は一時パスワードを使用するまでの時間を秒単位で定義します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRDelayValidFrom: 60 |
2.1.240. passwordTPRMaxUse: 5
passwordTPRMaxUse
属性はパスワードポリシーの一部です。属性は、一時パスワードが期限切れになる前にユーザーが正常に認証できる回数を設定します。認証に成功すると、Directory Server では、パスワードの変更を行わないと、それ以外の操作ができないようになっています。ユーザーがパスワードを変更しないと、操作が終了します。認証が成功したかどうかにかかわらず、認証試行の回数が増えます。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | -1 (無効) から最大 32 ビット整数値 (2147483647) |
デフォルト値 | -1 |
構文 | 整数 |
例 | passwordTPRMaxUse: 5 |
2.1.241. passwordTrackUpdateTime
入力パスワードを変更した最終時間専用に、別のタイムスタンプを記録するかどうかを設定します。これを有効にすると、pwdUpdateTime
操作属性をユーザーアカウントエントリーに追加します (modifyTime
などの他の更新時間と区別)。
このタイムスタンプを使用すると、Active Directory など、さまざまな LDAP ストア間でパスワードの変更の同期が容易になります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | passwordTrackUpdateTime: off |
2.1.242. passwordUnlock
指定期間ディレクトリーからロックアウトされるか、ロックアウトされてから管理者がパスワードをリセットするまでロックアウトするかを指定します。アカウントのロックアウト機能は、ユーザーのパスワードを繰り返し推測してディレクトリーに分割しようとするハッカーから保護します。この passwordUnlock
属性を off
に設定し、操作属性 accountUnlockTime
の値が 0
である場合に、アカウントは期限なしにロックされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | passwordUnlock: off |
2.1.243. passwordUserAttributes
デフォルトでは、passwordMinTokenLength
パラメーターにトークンの最小長を設定すると、Directory Server は特定の属性に対してのみトークンをチェックします。詳細は、「PasswordMinTokenLength」 を参照してください。
passwordUserAttributes
パラメーターを使用すると、Directory Server がチェックする必要のある属性を追加でコンマ区切りリストとして設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | 任意の文字列 |
デフォルト値 | "" |
構文 | DirectoryString |
例 | passwordUserAttributes: telephoneNumber, l |
2.1.244. passwordWarning
ユーザーのパスワードが失効するまで (ユーザーが次の LDAP 操作でパスワード失効の警告制御を受信するまで) の時間 (秒数) を指定します。LDAP クライアントによっては、警告の送信時にパスワードの変更を求めるプロンプトが表示される場合もあります。
これは、pwdExpireWarning
と省略できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | 1 から最大 32 ビット整数値 (2147483647) (秒単位) |
デフォルト値 | 86400 (1 日) |
構文 | 整数 |
例 | passwordWarning: 86400 |
2.1.245. retryCountResetTime
retryCountResetTime
属性には UTC 形式の日時が含まれ、passwordRetryCount
属性が 0
にリセットされます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
Valid Range | UTC 形式の有効なタイムスタンプ |
デフォルト値 | none |
構文 | 一般化時間 |
例 | retryCountResetTime: 20190618094419Z |