6.3. サーバープラグインの機能リファレンス
以下のセクションは、Directory Server で提供されるプラグインの概要と、設定可能な引数、設定可能な引数、デフォルト設定、依存関係、一般的なパフォーマンス関連情報、および詳細な情報を示しています。
6.3.1. 7-bit Check プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | NS7bitAtt |
設定エントリーの DN | cn=7-bit check,cn=plugins,cn=config |
説明 | 特定の属性が 7 ビットクリーニングであることを確認します。 |
タイプ | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 |
属性のリスト ( |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
追加情報 | Directory Server が日本語などの ASCII 以外の文字を使用する場合は、このプラグインをオフにします。 |
6.3.2. Account Policy プラグイン
アカウントポリシーは、一定期間が経過すると自動的にアカウントをロックするように設定できます。これは、事前設定された期間にのみ有効な一時的なアカウントを作成したり、一定期間非アクティブであったユーザーをロックしたりするために使用できます。
Account Policy プラグイン自体は、プラグイン設定エントリーを参照する引数のみを受け入れます。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
アカウントポリシー設定エントリーは、サーバー全体で、アカウントポリシーに使用する属性を定義します。ほとんどの設定では、アカウントポリシーと有効期限の評価に使用する属性を定義しますが、設定はサブツリーレベルのアカウントポリシー定義を識別するために使用するオブジェクトクラスも定義します。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
プラグインの 1 つがグローバルで設定され、ユーザーのサブツリー内にアカウントポリシーエントリーを作成したり、これらのポリシーをサービスのクラスを介してユーザーおよびロールに適用できます。
例6.1 アカウントポリシー定義
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
個々のユーザーとロールまたは CoS テンプレートの両方のエントリーには、アカウントポリシーのサブエントリーを指定できます。すべてのアカウントポリシーのサブエントリーには、有効期限ポリシーに対して追跡される作成およびログイン時間があります。
例6.2 アカウントポリシーを含むユーザーアカウント
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Account Policy Plugin,cn=plugins,cn=config |
説明 | 特定の有効期限またはアクティブではない期間を経過後にユーザーアカウントをロックするポリシーを定義します。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | グローバルアカウントポリシー設定を含む設定エントリーへのポインター。 |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
追加情報 |
このプラグイン設定は、設定エントリーを参照し、アクティビティーのないアカウントおよび有効期限のデータに関するサーバー全体の設定に使用します。個別の (サブツリーレベルまたはユーザーレベルの) アカウントポリシーは、ディレクトリーエントリー ( |
6.3.2.1. altstateattrname
アカウントの有効期限ポリシーは、アカウントのいくつかの時間基準に基づいています。たとえば、非アクティブポリシーの場合、主要な基準は最終ログイン時刻 lastLoginTime
です。ただし、アカウントにログインしたことがないユーザーなど、その属性がエントリーに存在しない場合があります。altstateattrname
属性は、サーバー が有効期限を評価するために参照する backup 属性を提供します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | altstateattrname: createTimeStamp |
6.3.2.2. alwaysRecordLogin
デフォルトでは、アカウントポリシーが直接適用されているエントリー (つまり、acctPolicySubentry
属性を持つエントリー) のみがログイン時間を追跡します。アカウントポリシーがサービスクラスまたはロールを通じて適用される場合、acctPolicySubentry
属性は、ユーザーエントリー自体ではなく、テンプレートまたはコンテナーエントリーにあります。
alwaysRecordLogin
属性は、すべてのエントリーが最後のログイン時間を記録するように設定します。これにより、CoS およびロールを使用してアカウントポリシーを適用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | yes | no |
デフォルト値 | いいえ |
構文 | DirectoryString |
例 | alwaysRecordLogin: no |
6.3.2.3. alwaysRecordLoginAttr
Account Policy
プラグインは、alwaysRecordLoginAttr
パラメーターに設定された属性名を使用して、ユーザーのディレクトリーエントリーに最後に成功したログインの時間を保存します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 有効な属性名 |
デフォルト値 | stateAttrName |
構文 | DirectoryString |
例 | alwaysRecordLoginAttr: lastLoginTime |
6.3.2.4. limitattrname
ユーザーディレクトリーのアカウントポリシーエントリーは、アカウントロックアウトポリシーの時間制限を定義します。この時間制限は任意のタイムベースの属性で設定でき、ポリシーエントリーには ti に複数の時間ベースの属性を含めることができます。アカウントの非アクティブ化制限に使用するポリシー内の属性は、Account Policy プラグインの limitattrname
属性で定義され、すべてのアカウントポリシーにグローバルに適用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | limitattrname: accountInactivityLimit |
6.3.2.5. specattrname
アカウントポリシーには、プラグイン設定エントリーのグローバル設定と、ユーザーディレクトリー内のエントリーの yser- または subtree-level の設定という 2 つの設定エントリーがあります。アカウントポリシーはユーザーエントリーに直接設定することも、CoS またはロール設定の一部として設定することもできます。プラグインがアカウントポリシー設定エントリーであるエントリーを識別する方法は、アカウントポリシーとしてフラグを立てるエントリーの特定の属性を識別することです。プラグイン設定のこの属性は specattrname
です。通常は acctPolicySubentry
に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | specattrname: acctPolicySubentry |
6.3.2.6. stateattrname
アカウントの有効期限ポリシーは、アカウントのいくつかの時間基準に基づいています。たとえば、非アクティブポリシーの場合、主要な基準は最終ログイン時刻 lastLoginTime
です。アカウントポリシーの評価に使用される主な時間属性は、stateattrname
属性に設定されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
Valid Range | 時間ベースのエントリー属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | stateattrname: lastLoginTime |
6.3.3. Account Usability プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acctusability |
設定エントリーの DN | cn=Account Usability Plugin,cn=plugins,cn=config |
説明 | 指定したユーザーとして実際に認証することなく、アカウントの認証ステータスまたはユーザービリティーを確認します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.4. ACL プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acl |
設定エントリーの DN | cn=ACL Plugin,cn=plugins,cn=config |
説明 | ACL アクセスチェックプラグイン |
型 | accesscontrol |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | アクセス制御により、パフォーマンスが最小限に抑えられます。サーバーのアクセス制御の主な方法であるため、このプラグインを有効にしたままにしておきます。 |
6.3.5. ACL Preoperation プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | acl |
設定エントリーの DN | cn=ACL preoperation,cn=plugins,cn=config |
説明 | ACL アクセスチェックプラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | アクセス制御により、パフォーマンスが最小限に抑えられます。サーバーのアクセス制御の主な方法であるため、このプラグインを有効にしたままにしておきます。 |
6.3.6. AD DN プラグイン
AD DN プラグインは、複数のドメイン設定をサポートします。ドメインごとに 1 つの設定エントリーを作成します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | addn |
設定エントリーの DN | cn=addn,cn=plugins,cn=config |
説明 |
バインド操作で、 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
|
依存関係 | なし |
パフォーマンス関連の情報 | なし |
6.3.6.1. addn_base
Directory Server が ユーザーの DN を検索するベース DN を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の有効な DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | addn_base: ou=People,dc=example,dc=com |
6.3.6.2. addn_filter
検索フィルターを設定します。Directory Server は、%s
変数を、認証ユーザーのドメイン以外の部分に自動的に置き換えます。たとえば、バインド内のユーザー名が user_name@example.com
の場合、フィルターは対応する DN (&(objectClass=account)(uid=user_name))
を検索します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の有効な DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | addn_filter: (&(objectClass=account)(uid=%s)) |
6.3.6.3. cn
設定エントリーのドメイン名を設定します。プラグインは、認証ユーザー名のドメイン名を使用して、対応する設定エントリーを選択します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
有効なエントリー | 任意の文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | cn: example.com |
6.3.7. Alias Entries プラグイン
Alias Entries プラグインは、オブジェクトクラス alias
の ベースエントリー と、別のエントリーへの DN (別のエントリーへのエイリアス) を含む aliasedObjectName
属性をチェックします。検索中に、このプラグインは検索ベース DN をこのエイリアス DN に変更します。
Alias Entries プラグインは、ベースレベルの検索のみをサポートします。エイリアスを持つエントリーを取得するには、ldapsearch -a find
コマンドを使用します。
このプラグインがエイリアス化したエントリーを返すためには、ベースエントリーに次の情報が含まれている必要があります。
-
alias
オブジェクトクラス。 -
別のエントリーを指す DN 値を持つ
aliasedObjectName
属性 (X.500 ではaliasedEntryName
属性として知られています)。
Directory Server は、クライアントに次のエラーを返す場合があります。
-
エイリアス DN が欠落している場合は、
Error 32 (no such object)
を返します。 -
検索がベースレベルの検索ではない場合は、
Error 53 (unwilling to perform)
を返します。
逆参照とは、エイリアス名をオブジェクト名に変換することです。このプロセスでは、複数のエイリアスエントリーの検査が必要になる場合があります。エイリアスエントリーは、リーフエントリーではないエントリーを指す場合があります。DIT 内のエントリーには複数のエイリアス名がある場合があり、いくつかのエイリアスエントリーが同じエントリーを指すことがあります。
例6.3 エイリアスを持つエントリー
dn: cn=Barbara Jensen,ou=Engineering,dc=example,dc=com objectClass: top objectClass: alias objectClass: extensibleObject cn: Barbara Jensen aliasedObjectName: cn=Barbara Smith,ou=Engineering,dc=example,dc=com
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | エイリアスエントリー |
設定エントリーの DN | cn=Alias Entries, cn=plugins, cn=config |
説明 |
ベースレベル の検索中に、ベースエントリーで |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
エイリアスエントリーは、
|
依存関係 | データベース |
パフォーマンス関連の情報 |
すべてのエイリアスエントリーは |
追加情報 |
|
6.3.8. Attribute Uniqueness プラグイン
ディレクトリーまたはサブツリー全体で属性の値が一意になるように、Attribute Uniqueness プラグインを使用します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | NSUniqueAttr |
設定エントリーの DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
説明 | エントリーに変更が発生するたびに、指定された属性の値が一意であることを確認します。たとえば、ほとんどのサイトでは、ユーザー ID とメールアドレスは一意でなければなりません。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
リスト表示されているすべてのサブツリーで UID 属性が一意であることを確認するには、 |
依存関係 | データベース |
パフォーマンス関連の情報 | Directory Server は、デフォルトで UID Uniqueness プラグインを提供します。他の属性の値を一意にするには、これらの属性の Attribute Uniqueness プラグインのインスタンスを作成します。 マルチサプライヤーレプリケーション環境でプラグインを有効にする前に対処する必要がある操作制限があるので、UID Uniqueness プラグインはデフォルトでオフになっています。プラグインを有効すると、Directory Server のパフォーマンスが遅くなる可能性があります。 |
6.3.8.1. cn
Attribute Uniqueness プラグイン設定レコードの名前を設定します。任意の文字列を使用できますが、RedHat では設定レコード attribute_name 属性の一意性
という名前を付けることを推奨します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効な文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | cn: mail Attribute Uniqueness |
6.3.8.2. uniqueness-across-all-subtrees
有効 (on
) の場合、プラグインは属性がすべてのサブツリーセットで一意であることを確認します。属性を off
に設定すると、一意性は更新されたエントリーのサブツリー内でのみ適用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | uniqueness-across-all-subtrees: off |
6.3.8.3. uniqueness-attribute-name
値が一意である必要がある属性の名前を設定します。この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-attribute-name: mail |
6.3.8.4. uniqueness-subtree-entries-oc
任意で、uniqueness-top-entry-oc
パラメーターを使用する場合、Attribute Uniqueness プラグインは、このパラメーターに設定されているオブジェクトクラスが含まれている場合に属性が一意かどうかのみを検証するように設定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なオブジェクトクラス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-subtree-entries-oc: inetOrgPerson |
6.3.8.5. uniqueness-subtrees
プラグインが属性の値を一意性をチェックする DN を設定します。この属性は多値です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なサブツリー DN |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-subtrees: ou=Sales,dc=example,dc=com |
6.3.8.6. uniqueness-top-entry-oc
Directory Server は、更新されたオブジェクトの親エントリーでこのオブジェクトクラスを検索します。見つからない場合は、ディレクトリーツリーのルートまで、次に高いレベルのエントリーで検索が続行されます。オブジェクトクラスが見つかった場合、Directory Server はこのサブツリーで uniqueness-attribute-name
に設定された属性の値が一意であることを確認します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
有効な値 | 有効なオブジェクトクラス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | uniqueness-top-entry-oc: nsContainer |
6.3.9. Auto Membership プラグイン
自動メンバーシップにより、基本的に、静的グループが動的グループのように動作できるようにします。異なる自動メンバー定義により、すべての新規ディレクトリーエントリーで自動的に実行される検索が作成されます。自動メンバールールは、動的検索フィルターと同様に、一致するエントリーを検索し、特定します。次に、これらのエントリーをメンバーとして指定した静的グループに追加します。
Auto Membership プラグイン自体は、のコンテナーエントリーです。各 automember 定義は、Auto Membership プラグインの子です。automember 定義は、LDAP 検索ベースと、エントリーを追加するデフォルトグループを特定するフィルターを定義します。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
各 automember 定義には、グループにエントリーを割り当てる追加の条件を定義する独自の子エントリーを含めることができます。正規表現を使用すると、エントリーを包含または除外し、その条件に基づいて特定のグループに割り当てることができます。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
エントリーがメイン定義に一致し、正規表現条件のいずれにも一致しない場合、メイン定義のグループを使用します。正規表現条件と一致する場合は、正規表現の条件グループに追加されます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | 自動メンバーシップ |
設定エントリーの DN | cn=Auto Membership,cn=plugins,cn=config |
説明 | 自動メンバー定義のコンテナー項目。Automember 定義は新規エントリーを検索して定義した LDAP 検索フィルターおよび正規表現条件と一致する場合は、指定されたグループにエントリーを自動的に追加します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。定義エントリーでは、LDAP スコープ、LDAP フィルター、デフォルトグループ、およびメンバー属性形式を指定する必要があります。任意の正規表現の子エントリーは、包含式と排他式、異なるターゲットグループを指定できます。 |
依存関係 | データベース |
パフォーマンス関連の情報 | なし。 |
6.3.9.1. autoMemberDefaultGroup
この属性は、エントリーをメンバーとして追加するデフォルトまたはフォールバックグループを設定します。定義エントリーのみを使用する場合は、一致するすべてのエントリーが追加されるグループになります。正規表現条件が使用される場合、LDAP 検索フィルターに一致するエントリーが正規表現にマッチしない場合、このグループはフォールバックとして使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 既存の Directory Server グループ |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.9.2. autoMemberDefinition (オブジェクトクラス)
この属性は、エントリーを automember 定義として識別します。このエントリーは、Auto Membership プラグイン (cn=Auto Membership Plugin,cn=plugins,cn=config
) の子である必要があります。
使用できる属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
6.3.9.3. autoMemberExclusiveRegex
この属性は、除外 するエントリーの特定に使用する単一の正規表現を設定します。エントリーが除外条件と一致する場合は、グループに 含まれません。複数の正規表現を使用できます。エントリーがこれらの式のいずれかと一致する場合は、グループで除外されます。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
除外条件は最初に評価され、包含条件よりも優先されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 正規表現 |
デフォルト値 | なし |
単一値または複数値 | 複数値 |
構文 | DirectoryString |
例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.4. autoMemberFilter
この属性は、一致するエントリーの検索に使用する標準の LDAP 検索フィルターを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 有効な LDAP 検索フィルターです。 |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberFilter:objectclass=ntUser |
6.3.9.5. autoMemberGroupingAttr
この属性は、group_member_attr:entry_attr の形式で、グループエントリーのメンバー属性と、member 属性値を提供するオブジェクトエントリーの属性を指定します。
この構造では、グループの設定に応じて Automembership プラグインがグループにメンバーを追加する方法。たとえば、groupOfUniqueNames
ユーザーグループの場合、各メンバーは uniqueMember
属性として追加されます。uniqueMember
の値は、ユーザーエントリーの DN です。基本的に、各グループメンバーは uniqueMember:
user_entry_DN の属性/値のペアで識別されます。メンバーエントリーのフォーマットは uniqueMember:dn
です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberGroupingAttr: member:dn |
6.3.9.6. autoMemberInclusiveRegex
この属性は、追加 するエントリーの特定に使用する単一の正規表現を設定します。複数の正規表現を使用できます。エントリーがこれらの式のいずれかに一致する場合、そのエントリーはグループに含まれます (除外式と一致しない場合)。
式の形式は、Perl と互換性のある正規表現 (PCRE) です。PCRE パターンの詳細は、pcresyntax(3) の man ページ を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | 正規表現 |
デフォルト値 | なし |
単一値または複数値 | 複数値 |
構文 | DirectoryString |
例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
6.3.9.7. autoMemberProcessModifyOps
デフォルトでは、Directory Server は Automembership プラグインを呼び出して追加および変更操作を行います。この設定では、グループにグループエントリーを追加したり、ユーザーのグループエントリーを変更したりする際に、プラグインがグループを変更します。autoMemberProcessModifyOps
を off
に設定すると、Directory Server はグループエントリーをユーザーに追加するときにのみ Automembership プラグインを呼び出します。この場合、管理者がユーザーエントリーを変更し、そのエントリーがユーザーが属する Automembership グループに影響を与える場合、プラグインは古いグループからユーザーを削除しず、新規グループのみを追加します。古いグループを更新するには、修正タスクを手動で実行する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | on |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberProcessModifyOps: on |
6.3.9.8. autoMemberRegexRule (オブジェクトクラス)
この属性は、エントリーを正規表現ルールとして識別します。このエントリーは、automember 定義 (objectclass: autoMemberDefinition
) の子である必要があります。
使用できる属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
6.3.9.9. autoMemberScope
この属性は、エントリーを検索するサブツリー DN を設定します。これは検索ベースです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server のサブツリー |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberScope: dc=example,dc=com |
6.3.9.10. autoMemberTargetGroup
この属性は、正規表現の条件を満たす場合に、エントリーをメンバーとして追加するグループを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
Valid Range | Directory Server グループ |
デフォルト値 | なし |
単一値または複数値 | 単一値 |
構文 | DirectoryString |
例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
6.3.10. Binary Syntax プラグイン
バイナリー構文は非推奨です。代わりに Octet String 構文を使用します。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | bin-syntax |
設定エントリーの DN | cn=Binary Syntax,cn=plugins,cn=config |
説明 | バイナリーデータを処理する構文。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.11. Bit String Syntax プラグイン
6.3.12. Bitwise プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | bitwise |
設定エントリーの DN | cn=Bitwise Plugin,cn=plugins,cn=config |
説明 | LDAP サーバーに対してビット単位の操作を実行するマッチングルール |
型 | matchingrule |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.13. Boolean Syntax プラグイン
6.3.14. Case Exact String Syntax 構文プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ces-syntax |
設定エントリーの DN | cn=Case Exact String Syntax,cn=plugins,cn=config |
説明 | 大文字と小文字が区別する照合または Directory String、IA5 String、および関連する構文をサポートします。これは大文字と小文字を区別する構文ではありません。このプラグインは、異なる文字列構文に対して大文字と小文字を区別する照合ルールを提供します。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.15. Case Ignore String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | directorystring-syntax |
設定エントリーの DN | cn=Case Ignore String Syntax,cn=plugins,cn=config |
説明 | Directory String、IA5 String、および関連する構文の大文字と小文字を区別しない照合ルールをサポートします。これは大文字と小文字を区別しない構文ではありません。このプラグインは異なる文字列構文に対して大文字と小文字を区別する照合ルールを提供します。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.16. Chaining Database プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | chaining database |
設定エントリーの DN | cn=Chaining database,cn=plugins,cn=config |
説明 | バックエンドデータベースをリンクできるようにします |
型 | database |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | チェーンデータベースに関連するパフォーマンス関連のチューニングパラメーターは多数あります。 |
追加情報 | チェーンデータベースは、データベースリンク としても知られています。 |
6.3.17. Class of Service プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | cos |
設定エントリーの DN | cn=Class of Service,cn=plugins,cn=config |
説明 | エントリー間で属性を共有できます。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン * 名前付き: ビュープラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。このプラグインは常に実行したままにします。 |
6.3.18. Content Synchronization プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | content-sync-plugin |
設定エントリーの DN | cn=Content Synchronization,cn=plugins,cn=config |
説明 |
RFC 4533 に従って、Directory Server の |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | Retro Changelog プラグイン |
パフォーマンス関連の情報 |
データを同期するバックエンドまたはサブツリーのクライアントアクセスを把握している場合は、それに応じて |
6.3.19. Country String Syntax プラグイン
6.3.20. Delivery Method Syntax プラグイン
6.3.21. deref プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | 間接参照 |
設定エントリーの DN | cn=deref,cn=plugins,cn=config |
説明 | ディレクトリー検索における間接参照制御 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.22. Distinguished Name Syntax プラグイン
6.3.23. Distributed Numeric Assignment プラグイン
Distributed Numeric Assignment プラグインは、数値の範囲を管理し、その範囲内の一意の番号をエントリーに割り当てます。番号の割り当てを範囲に分割することで、Distributed Numeric Assignment プラグインは、競合なしに複数のサーバーが数値を割り当てることができます。プラグインは、サーバーに割り当てられた範囲も管理します。そのため、1 つのインスタンスがその範囲で迅速に実行される場合は、他のサーバーから追加の範囲を要求できます。
分散数値割り当ては、単一の属性型または複数の属性タイプを使用するように設定でき、サブツリー内の特定の接尾辞および特定のエントリーにのみ適用されます。
分散数値割り当ては属性ごとに処理され、サブツリー内の特定の接尾辞と特定のエントリーにのみ適用されます。
プラグイン情報 | 説明 |
---|---|
プラグイン ID | 分散数値割り当て |
設定エントリー DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
説明 | Distributed Numeric Assignme プラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.23.1. dnaFilter
この属性は、分散数値割り当て範囲を適用するエントリーを検索および識別するために使用する LDAP フィルターを設定します。
dnaFilter
属性は、属性の分散数値割り当てを設定するために必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 有効な LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaFilter: (objectclass=person) |
6.3.23.2. dnaHostname
この属性は、複数サ upplier レプリケーションの特定ホストの DNA 範囲設定の一部として、共有範囲内のサーバーのホスト名を特定します。利用可能な範囲はホストによって追跡され、範囲情報はすべてのサプライヤー間で複製されるため、サプライヤーが利用可能な数が少ない場合に、ホスト情報を使用して別のサプライヤーに連絡し、新しい範囲を要求できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString |
Valid Range | 有効なホスト名 |
デフォルト値 | なし |
例 | dnahostname: ldap1.example.com |
6.3.23.3. dnaInterval
この属性は、範囲内の数値をインクリメントするために使用する間隔を設定します。基本的に、これは事前定義されたレートで数値をスキップします。間隔が 3
で、範囲内の最初の数字が 1
の場合、範囲内で使用される次の数字は 4
、7
、10
と、新しい数字を割り当てるたびに 3 ずつ増加していきます。
レプリケーション環境では、dnaInterval
により、複数のサーバーが同じ範囲を共有できます。ただし、同じ範囲を共有する異なるサーバーを設定する場合は、それに応じて dnaInterval
と dnaNextVal
パラメーターを設定し、異なるサーバーが同じ値を生成しないようにします。レプリケーショントポロジーに新しいサーバーを追加する場合も、これを考慮する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の整数 |
デフォルト値 | 1 |
構文 | 整数 |
例 | dnaInterval: 1 |
6.3.23.4. dnaMagicRegen
この属性は、エントリーに新しい値を割り当てるようにプラグインに指示するユーザー定義の値を設定します。マジック値は、既存のエントリーに新しい一意の番号を割り当てるため、または新しいエントリーを追加するときの標準設定として使用できます。
マジックエントリーは、誤ってトリガーされないように、サーバーに対して定義された範囲外にある必要があります。DirectoryString または他の文字タイプで使用する場合、この属性は数値である必要はないことに注意してください。ただし、ほとんどの場合、DNA プラグインは整数値のみを許可する属性で使用されます。この場合は、dnamagicregen
値も整数である必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の文字列 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaMagicRegen: -1 |
6.3.23.5. dnaMaxValue: 1000
この属性は、範囲に割り当てることができる最大値を設定します。デフォルトは -1
で、最大 64 ビット整数を設定するのと同じです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数。-1 は無制限。 |
デフォルト値 | -1 |
構文 | 整数 |
例 | dnaMaxValue: 1000 |
6.3.23.6. dnaNextRange
この属性は、現在の範囲が使い切られるときに使用する次の範囲を定義します。この値は、範囲がサーバー間で転送される際に自動的に設定されますが、範囲要求を使用しない場合は、手動で範囲をサーバーに追加するように設定することもできます。
dnaNextRange
属性は、個別の特定範囲を他のサーバーに割り当てる必要がある場合にのみ明示的に設定する必要があります。dnaNextRange
属性に設定した範囲は、重複を避けるために、他のサーバーで利用可能な範囲から一意でなければなりません。他のサーバーからの要求がなく、 dnaNextRange
が明示的に設定されているサーバーがその設定された dnaMaxValue
に達した場合、次の値のセット (dnaNextRange
の一部) がこのデッキから割り当てられます。
dnaNextRange
の割り当ては、DNA 設定で設定された dnaThreshold
属性によっても制限されます。dnaNextRange
用に別のサーバーに割り当てられる範囲は、範囲が dnaNextRange
のデッキで利用可能であっても、サーバーのしきい値に違反できません。
dnaNextRange
属性が明示的に設定されていない場合に内部で処理される場合。自動的に処理される場合、dnaMaxValue
属性は次の範囲の上限として機能します。
この属性は、範囲を lower_range-upper_range の形式で設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは下限と上限の h 範囲に最大 64 ビット整数 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaNextRange: 100-500 |
6.3.23.7. dnaNextValue
この属性は、次に割り当て可能な番号を提供します。設定エントリーで最初に設定された後、この属性は分散数値割り当てプラグインによって管理されます。
dnaNextValue
属性は、属性の分散数値割り当てを設定するために必要です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | -1 |
構文 | 整数 |
例 | dnaNextValue: 1 |
6.3.23.8. dnaPluginConfig (オブジェクトクラス)
このオブジェクトクラスは、エントリーに割り当てる DNA プラグインおよび数値範囲を設定するエントリーに使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.324
使用できる属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue: 1000
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
6.3.23.9. dnaPortNum
この属性は、dnaHostname
で特定されたホストへの接続に使用する標準のポート番号を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | 整数 |
Valid Range | 0 から 65535 |
デフォルト値 | 389 |
例 | dnaPortNum: 389 |
6.3.23.10. dnaPrefix
この属性は、属性に生成された番号の値の前に付けることができる接頭辞を定義します。たとえば、user1000
などのユーザー ID を生成するには、dnaPrefix
設定は user
になります。
dnaPrefix
は、あらゆる種類の文字列を保持できます。ただし、dnaType
の一部の可能な値 (uidNumber
や gidNumber
など) には整数値のみが必要です。接頭辞文字列を使用するには、文字列を許可する dnaType
のカスタム属性の使用を検討してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の文字列 |
デフォルト値 | なし |
例 | dnaPrefix: id |
6.3.23.11. dnaRangeRequestTimeout
Distributed Numeric Assignment プラグインを使用すると考えられる状況の 1 つは、1 台のサーバーが割り当てる番号が不足し始めていることです。dnaThreshold
属性は、範囲内で使用可能な番号のしきい値を設定します。これにより、サーバーは、番号の割り当てを実行できなくなる前に、他のサーバーに追加の範囲を要求できます。
dnaRangeRequestTimeout
属性は、範囲要求のタイムアウト期間を秒単位で設定します。これにより、サーバーは 1 つのサーバーからの新しい範囲の待機を停止せず、新しいサーバーからの範囲を要求できます。
範囲要求を実行するには、dnaSharedCfgDN
属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | 10 |
構文 | 整数 |
例 | dnaRangeRequestTimeout: 15 |
6.3.23.12. dnaRemainingValues
この属性には、残りの値と、エントリーに割り当てるサーバーで使用できる値の数が含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | 整数 |
Valid Range | 任意の整数 |
デフォルト値 | なし |
例 | dnaRemainingValues: 1000 |
6.3.23.13. dnaRemoteBindCred
Replication Manager のパスワードを指定します。認証が必要な dnaRemoteBindMethod
属性にバインドメソッドを設定する場合は、cn=config
エントリーの下のプラグイン設定エントリーにあるレプリケーションデプロイメントですべてのサーバーに対して dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
パラメーターをプレーンテキストで設定します。値は、保存される前に自動的に AES 暗号化されます。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString {AES} encrypted_password |
有効な値 | 有効な AES 暗号化パスワード。 |
デフォルト値 | |
例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVHQ1NxR1NJYjNEUUVGRERBNEJDUmxObUk0WXpjM1l5MHdaVE5rTXpZNA0KTnkxaE9XSmhORGRoT0MwMk1ESmpNV014TUFBQ0FRSUNBU0F3Q2dZSUtvWklodmNOQWdjd0hRWUpZSVpJQVdVRA0KQkFFcUJCQk5KbUFDUWFOMHlITWdsUVp3QjBJOQ==}bBR3On6cBmw0DdhcRx826g== |
6.3.23.14. dnaRemoteBindDN
Replication Manager DN を指定します。認証が必要な dnaRemoteBindMethod
属性にバインドメソッドを設定する場合は、 cn=config
エントリーの下のプラグイン設定にあるレプリケーションデプロイメントですべてのサーバーに対して dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
構文 | DirectoryString |
有効な値 | 有効な Replication Manager DN。 |
デフォルト値 | |
例 | dnaRemoteBindDN: cn=replication manager,cn=config |
6.3.23.15. dnaRemoteBindMethod
リモートバインドメソッドを指定します。認証が必要な この属性にバインドメソッドを設定する場合は、cn=config
エントリーの下のプラグイン設定エントリーのレプリケーションデプロイメント内のすべてのサーバーに dnaRemoteBindDN
および dnaRemoteBindCred
パラメーターを追加で設定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | DirectoryString |
有効な値 |
|
デフォルト値 | |
例 | dnaRemoteBindMethod: SIMPLE |
6.3.23.16. dnaRemoteConnProtocol
リモート接続プロトコルを指定します。
変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | DirectoryString |
有効な値 |
|
デフォルト値 | |
例 | dnaRemoteConnProtocol: LDAP |
6.3.23.17. dnaScope
この属性は、分散数値割り当てを適用するエントリーを検索するためのベース DN を設定します。これは ldapsearch
のベース DN と似ています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | dnaScope: ou=people,dc=example,dc=com |
6.3.23.18. dnaSecurePortNum
この属性は、dnaHostname
で特定されたホストへの接続に使用するセキュアな (TLS) ポート番号を指定します。
パラメーター | 説明 |
---|---|
エントリー DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
構文 | 整数 |
Valid Range | 0 から 65535 |
デフォルト値 | 636 |
例 | dnaSecurePortNum: 636 |
6.3.23.19. dnaSharedCfgDN
この属性は、サーバーが範囲を別の転送に使用できる共有 ID を定義します。このエントリーはサーバー間で複製され、他のサーバーが利用可能な範囲を認識できるようにプラグインによって管理されます。範囲転送を有効にするには、この属性を設定する必要があります。
共有設定エントリーは、エントリーをサーバーに複製できるように、レプリケートされたサブツリーで設定する必要があります。たとえば、ou=People,dc=example,dc=com
サブツリーが複製されると、設定エントリーは ou=UID Number Ranges
、ou=People,dc=example,dc=com
などのサブツリーに存在する必要があります。
この設定で識別されるエントリーは、管理者が手動で作成する必要があります。サーバーには、範囲を転送するためにそれの下にサブエントリーが自動的に含まれます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 任意の DN |
デフォルト値 | なし |
構文 | DN |
例 | dnaSharedCfgDN: cn=range transfer user,cn=config |
6.3.23.20. dnaSharedConfig (オブジェクトクラス)
このオブジェクトクラスは、数値割り当てのために同じ DNA プラグイン設定を使用するサプライヤー間でレプリケートされる共有設定エントリーを設定するために使用されます。
このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.325
使用できる属性
- dnaHostname
- dnaPortNum
- dnaSecurePortNum
- dnaRemainingValues
6.3.23.21. dnaThreshold
Distributed Numeric Assignment プラグインを使用すると考えられる状況の 1 つは、1 台のサーバーが割り当てる番号が不足し始め、問題が発生する可能性があることです。分散数値割り当てプラグインを使用すると、サーバーは他のサーバーで使用可能な範囲から新しい範囲を要求できます。
サーバーは割り当てられた範囲の終了に到達すると認識できるため、dnaThreshold
属性は範囲内で利用可能な残りの数字のしきい値を設定します。サーバーがしきい値に達すると、新しい範囲の要求を送信します。
範囲要求を実行するには、dnaSharedCfgDN
属性を設定する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | 32 ビットシステムでは 1 から最大 32 ビット整数、64 ビットシステムでは最大 64 ビット整数 |
デフォルト値 | 100 |
構文 | 整数 |
例 | dnaThreshold: 100 |
6.3.23.22. dnaType
この属性は、一意の数字が生成される属性を設定します。この場合、マジック番号を持つエントリーに属性が追加されるたびに、割り当てられた値が自動的に指定されます。
この属性は、属性に分散した数値割り当てを設定するには必要になります。
dnaPrefix
属性が設定されている場合、接頭辞の値は dnaType
によって生成される値の前に付けられます。dnaPrefix
値には任意の文字列を指定できますが、dnaType
(uidNumber
や gidNumber
など) の妥当な値には整数値のみが必要になります。接頭辞文字列を使用するには、文字列を許可する dnaType
のカスタム属性の使用を検討してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
例 | dnaType: uidNumber |
6.3.24. Enhanced Guide Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | enhancedguide-syntax |
設定エントリーの DN | cn=Enhanced Guide Syntax,cn=plugins,cn=config |
説明 | 検索を構築するために、属性およびフィルターに基づいて複雑な基準を作成するための構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.25. Facsimile Telephone Number Syntax プラグイン
6.3.26. Fax Syntax プラグイン
6.3.27. Generalized Time Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | time-syntax |
設定エントリーの DN | cn=Generalized Time Syntax,cn=plugins,cn=config |
説明 | 日付、時間、およびタイムゾーンを処理する構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | 一般化時間形式は、4 桁の月、2 桁の月 (たとえば、1 月は 01)、2 桁の日、2 桁の時間、2 桁の分、2 桁の分、秒のオプションの 10 進数、タイムゾーン表示を使用することが強く推奨されます。Red Hat では、グリニッジ標準時である Z のタイムゾーン表示を使用することを推奨します。 RFC 4517 も参照してください。 |
6.3.28. Guide Syntax プラグイン
この構文は非推奨です。代わりに Enhanced Guide 構文を使用してください。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | guide-syntax |
設定エントリーの DN | cn=Guide Syntax,cn=plugins,cn=config |
説明 | 検索を構築するための、属性とフィルターに基づいた複雑な条件を作成する構文 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | この構文は廃止されました。代わりに、Enhanced Guide 構文を使用する必要があります。 |
6.3.29. HTTP クライアントプラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | http-client |
設定エントリーの DN | cn=HTTP Client,cn=plugins,cn=config |
説明 | HTTP クライアントプラグイン |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
6.3.30. Integer Syntax プラグイン
6.3.31. Internationalization プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | orderingrule |
設定エントリーの DN | cn=Internationalization Plugin,cn=plugins,cn=config |
説明 | 国際化された文字列をディレクトリーで並べ替えることができます |
型 | matchingrule |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 |
Internationalization プラグインには、 |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.32. JPEG Syntax プラグイン
6.3.33. ldbm database プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ldbm-backend |
設定エントリーの DN | cn=ldbm database,cn=plugins,cn=config |
説明 | ローカルデータベースの実装 |
型 | database |
設定可能な引数 | |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * 構文 * matchingRule |
パフォーマンス関連の情報 | データベース設定の詳細は、「データベースプラグインの属性」 を参照してください。 |
6.3.34. Linked Attributes プラグイン
多くの場合、エントリーには相互に固有の関係があります (マネージャーと従業員、ドキュメントエントリーとその作成者、または特別なグループとグループメンバーなど)。これらの関係を反映する属性は存在しますが、これらの属性は各エントリーで手動で追加および更新する必要があります。そのため、これらのエントリーの関係が不明確、古くなっている、または欠落している、気まぐれに一貫性のないディレクトリーデータのセットが発生する可能性があります。
リンク属性プラグインでは、エントリーに設定されている属性で、自動的に別のエントリー内の別の属性を更新できます。最初の属性には、更新するエントリーを参照する DN 値があります。2 番目のエントリー属性には、1 番目のエントリーへのバックポイントである DN 値もあります。ユーザーによって設定されるリンク属性と、影響を受けるエントリーの動的に更新されるマネージド属性は、どちらもリンク属性プラグインインスタンスの管理者によって定義されます。
概念として、これは、MemberOf プラグインがグループエントリーの member
属性を使用してユーザーエントリーの memberOf
属性を設定する方法と似ています。リンク属性プラグインの場合のみ、すべてのリンク/管理属性はユーザー定義であり、プラグインの複数のインスタンスが存在する可能性があり、それぞれが異なるリンク管理関係を反映します。
属性リンクには、以下の 2 つの注意点があります。
- link 属性とマネージド属性の両方に DN を値として指定する必要があります。link 属性の DN は、管理属性を追加するエントリーを参照します。管理属性には、リンクしたエントリー DN が値として含まれています。
- 管理属性は多値である必要があります。それ以外の場合は、複数のリンク属性が同じ管理エントリーを参照すると、管理属性値は正確に更新されません。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | リンクされた属性 |
設定エントリーの DN | cn=Linked Attributes,cn=plugins,cn=config |
説明 |
リンクされた管理属性設定エントリーのコンテナーエントリー。コンテナーの各設定エントリーは属性と属性をリンクすして、あるエントリー (マネージャーエントリーなど) が更新されると、そのエントリーに関連付けられたエントリー (カスタムの |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。各プラグインインスタンスには、以下の 3 つの属性があります。 * linkType - プラグインが監視するプライマリー属性を設定します。 * managedType - linkType の属性が変更されるたびにプラグインによって動的に管理される属性を設定します。 * linkScope - ディレクトリーツリー内の特定のサブツリーにプラグインのアクティビティーを制限します。 |
依存関係 | データベース |
パフォーマンス関連の情報 | linkType に設定された属性は、DN 形式の値のみを許可する必要があります。managedType に設定された属性は複数値である必要があります。 |
6.3.34.1. linkScope
これにより、プラグインのスコープが制限されるため、特定のサブツリーまたは接尾辞でのみ動作します。範囲が指定されていない場合、プラグインはディレクトリーツリーの一部を更新します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | 任意の DN |
デフォルト値 | なし |
構文 | DN |
例 | linkScope: ou=People,dc=example,dc=com |
6.3.34.2. linkType
これにより、ユーザー管理属性が設定されます。この属性はユーザーが変更および維持し、この属性値が変更すると、リンクされた属性がターゲットエントリーで自動的に更新されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | linkType: directReport |
6.3.34.3. managedType
これにより、マネージドまたはプラグインの管理属性が設定されます。この属性は、リンク属性プラグインインスタンスによって動的に管理されます。マネージドの属性に変更が加えられるたびに、プラグインは対象のエントリーにあるリンク属性をすべて更新します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | なし |
構文 | DN |
例 | managedType: manager |
6.3.35. Managed Entries プラグイン
一意の状況では、別のエントリーの作成時にエントリーが自動的に作成される場合に便利です。たとえば、新規ユーザーの作成時に特定のグループエントリーを作成して、POSIX 統合の一部にすることができます。Managed Entries プラグインの各インスタンスは、2 つの領域を特定します。
- プラグインのスコープ。対応するマネージドエントリーを必要とするエントリーを識別するために使用するサブツリーと検索フィルターを意味します。
- 管理エントリーがどのようになるかを定義するテンプレートエントリー
プラグイン情報 | 説明 |
---|---|
プラグイン ID | マネージドエントリー |
設定エントリー DN | cn=Managed Entries,cn=plugins,cn=config |
説明 | 自動生成されるディレクトリーエントリーのコンテナーエントリー。各設定エントリーは、ターゲットサブツリーとテンプレートエントリーを定義します。ターゲットサブツリーの一致するエントリーが作成されると、プラグインはテンプレートに基づいて新規の関連エントリーを自動的に作成します。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | メインプラグインエントリーの場合はなしです。各プラグインインスタンスには、以下の 4 つの属性があります。 * originScope - 検索ベースを設定します。 * originFilter - 一致するエントリーの検索ベースを設定します。 * managedScope - 新しい管理エントリーを作成するサブツリーを設定します。 * managedTemplate - 管理エントリーの作成に使用されるテンプレートエントリー |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.35.1. managedBase
この属性は、管理エントリーを作成するサブツリーを設定します。これは、ディレクトリーツリーの任意のエントリーにすることができます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のサブツリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | managedBase: ou=groups,dc=example,dc=com |
6.3.35.2. managedTemplate
この属性は、管理エントリーの作成に使用するテンプレートエントリーを特定します。このエントリーは、ディレクトリーツリーのどこにでも配置できます。ただし、レプリケーション内のすべてのサプライヤーとコンシューマーが同じテンプレートを使用するように、このエントリーをレプリケートされた接尾辞に含めることを推奨します。
管理対象エントリーテンプレートの作成に使用される属性は、Red Hat Directory Server の設定、コマンド、およびファイルリファレンスで 説明されています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 |
|
デフォルト値 | なし |
構文 | DirectoryString |
例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
6.3.35.3. originFilter
この属性は、検索に使用する検索フィルターで、管理エントリーを必要とするサブツリーのエントリーを特定します。フィルターを使用すると、マネージドエントリーの動作を特定のタイプやエントリーのサブセットに限定できます。構文は、通常の検索フィルターと同じです。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | 有効な LDAP フィルター |
デフォルト値 | なし |
構文 | DirectoryString |
例 | originFilter: objectclass=posixAccount |
6.3.35.4. originScope
この属性は、プラグインモニターのエントリーを確認するために使用する検索の範囲を設定します。スコープのサブツリー内に新規エントリーが作成されると、Managed Entries プラグインはこれに対応する新しい管理エントリーを作成します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のサブツリー |
デフォルト値 | なし |
構文 | DirectoryString |
例 | originScope: ou=people,dc=example,dc=com |
6.3.36. MemberOf プラグイン
グループメンバーシップは、member
などの属性を使用してグループエントリー内で定義されます。member
属性を検索すると、グループのすべてのメンバーを簡単にリスト表示できます。ただし、グループメンバーシップはメンバーのユーザーエントリーに反映されないため、ユーザーのエントリーを参照してユーザーが所属するグループに指示することはできません。
MemberOf プラグインは、グループメンバーのグループメンバーシップをメンバーの個別のディレクトリーエントリーと同期します。これは、グループエントリー内の特定のメンバー属性 (member
など) に変更を識別し、メンバーのユーザーエントリーの特定の属性にメンバーシップの変更を書き込むことです。
プラグイン情報 | 説明 |
---|---|
プラグイン ID | memberOf |
設定エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
説明 |
グループエントリーの |
型 | postoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 |
*
* |
依存関係 | データベース |
パフォーマンス関連の情報 | なし |
6.3.36.1. cn
プラグインインスタンスの名前を設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | 有効な文字列 |
デフォルト値 | |
構文 | DirectoryString |
例 | cn: MemberOf プラグインインスタンスの例 |
6.3.36.2. memberOfAllBackends
この属性は、ユーザーエントリーまたは利用可能なすべての接尾辞のローカル接尾辞を検索するかどうかを指定します。これは、複数のデータベースにユーザーを分散させるディレクトリーツリーで適し、グループメンバーシップを包括的かつ一貫して評価できるようにします。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | memberOfAllBackends: on |
6.3.36.3. memberOfAttr
この属性は、グループメンバーシップを反映するために Directory Server が管理するユーザーエントリーの属性を指定します。MemberOf プラグインは、メンバーのディレクトリーエントリーで指定された属性の値を生成します。ユーザーが属するグループごとに個別の属性があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | memberOf |
構文 | DirectoryString |
例 | memberOfAttr: memberOf |
6.3.36.4. memberOfAutoAddOC
memberOf
プラグインで memberOf
属性をユーザーに追加できるようにするには、ユーザーオブジェクトにこの属性を許可するオブジェクトクラスが含まれている必要があります。エントリーに memberOf
属性を許可するオブジェクトクラスがない場合、memberOf
プラグインは memberOfAutoAddOC
パラメーターにリスト表示されているオブジェクトクラスを自動的に追加します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な値 | Directory Server のオブジェクトクラス |
デフォルト値 | nsMemberOf |
構文 | DirectoryString |
例 | memberOfAutoAddOC: nsMemberOf |
6.3.36.5. memberOfEntryScope
複数のバックエンドまたは複数のネストされた接尾辞を設定した場合、複数値の memberOfEntryScope
パラメーターを使用すると、MemberOf
プラグインが機能する接尾辞を設定できます。パラメーターが設定されていない場合、プラグインはすべての接尾辞で機能します。memberOfEntryScopeExcludeSubtree
パラメーターに設定した値は、memberOfEntryScope
に設定された値よりも優先順位が高くなります。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー DN。 |
デフォルト値 | |
構文 | DirectoryString |
例 | memberOfEntryScope: ou=people,dc=example,dc=com |
6.3.36.6. memberOfEntryScopeExcludeSubtree
複数のバックエンドまたは複数のネストされた接尾辞を設定した場合、複数値の memberOfEntryScopeExcludeSubtree
パラメーターを使用すると、MemberOf
プラグインが除外する接尾辞を設定できます。memberOfEntryScopeExcludeSubtree
パラメーターに設定した値は、memberOfEntryScope
に設定された値よりも優先順位が高くなります。両方のパラメーターで設定したスコープが重複する場合、MemberOf
プラグインは、非オーバーラッピングディレクトリーエントリーでのみ機能します。
この設定を有効にするためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server エントリー DN。 |
デフォルト値 | |
構文 | DirectoryString |
例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
6.3.36.7. memberOfGroupAttr
この属性は、グループメンバーの DN を識別するために使用するグループエントリーの属性を指定します。デフォルトでは、これは member
属性ですが、 uniquemember
や member
など、DN 値を含む任意のメンバーシップ関連属性にすることができます。
memberOfGroupAttr
値には任意の属性を使用できますが、MemberOf プラグインは、ターゲット属性の値にメンバーエントリーの DN が含まれる場合にのみ機能します。たとえば、member
属性にはメンバーのユーザーエントリーの DN が含まれます。
member: uid=jsmith,ou=People,dc=example,dc=com
一部のメンバー関連の属性には、memberURL
属性などの DN が含まれていないものもあります。この属性は memberOfGroupAttr
の値として機能しません。memberURL
値は URL で、DN 以外の値は MemberOf プラグインでは機能しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
Valid Range | Directory Server の属性 |
デフォルト値 | member |
構文 | DirectoryString |
例 | memberOfGroupAttr: member |
6.3.36.8. memberOfSkipNested
ディレクトリーでネスト化されたグループを使用しない場合は、memberOfSkipNested
属性を on
に設定して、ネスト化されたグループチェックをスキップします。Directory Server が 10000 を超えるエントリーのメンバーシップを計算する必要がある場合、更新操作の応答時間が大幅に改善されます。
変更を適用するためにサーバーを再起動する必要はありません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=MemberOf Plugin,cn=plugins,cn=config |
有効な範囲 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | memberOfSkipNested: off |
6.3.37. Multi-supplier Replication プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | replication-multisupplier |
設定エントリーの DN | cn=Multisupplier Replication Plugin,cn=plugins,cn=config |
説明 | 2 つの現在の Directory Server 間のレプリケーションを有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Named: ldbm データベース * Named: DES * Named: サービスのクラス |
パフォーマンス関連の情報 | |
追加情報 | サーバーが複製されない場合には、このプラグインをオフにします。 |
6.3.38. Name and Optional UID Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | nameoptuid-syntax |
設定エントリーの DN | cn=Name And Optional UID Syntax,cn=plugins,cn=config |
説明 | 任意かつ一意の ID で DN を保存し、検索する構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | 任意の UID は、DN または命名属性が同じ可能性のあるエントリーを区別するために使用されます。 RFC 4517 も参照してください。 |
6.3.39. Numeric String Syntax プラグイン
6.3.40. Octet String Syntax プラグイン
非推奨の Binary の代わりに Octet String 構文を使用してください。
6.3.41. OID Syntax プラグイン
6.3.42. PAM Pass Through Auth プラグイン
Unix システム上のローカルの PAM 設定は、LDAP ユーザーの外部認証ストアを利用できます。これはパススルー認証の形式で、Directory Server がディレクトリーアクセスに外部に保存されたユーザーの認証情報を使用できます。
PAM パススルー認証は、PAM パススルー認証プラグインコンテナーエントリーの下にある子エントリーで設定されます。PAM 認証用の可能な設定属性 (60pam-plugin.ldif
スキーマファイルで定義) はすべて子エントリーで利用できます。子エントリーは PAM 設定オブジェクトクラスのインスタンスである必要があります。
例6.4 PAM パススルー認証設定エントリーの例
dn: cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: PAM Pass Through Auth nsslapd-pluginPath: libpam-passthru-plugin nsslapd-pluginInitfunc: pam_passthruauth_init nsslapd-pluginType: preoperation pass:quotes[nsslapd-pluginEnabled: on
] nsslapd-pluginLoadGlobal: true nsslapd-plugin-depends-on-type: database nsslapd-pluginId: pam_passthruauth nsslapd-pluginVersion: 9.0.0 nsslapd-pluginVendor: Red Hat nsslapd-pluginDescription: PAM pass through authentication plugin dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: Example PAM Config pamMissingSuffix: ALLOW pass:quotes[pamExcludeSuffix: cn=config
] pass:quotes[pamIDMapMethod: RDN ou=people,dc=example,dc=com
] pass:quotes[pamIDMapMethod: ENTRY ou=engineering,dc=example,dc=com
] pass:quotes[pamIDAttr: customPamUid
] pass:quotes[pamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)
] pamFallback: FALSE pass:quotes[pamSecure: TRUE
] pass:quotes[pamService: ldapserver
]
PAM 設定は、少なくとも Directory Server エントリーから PAM ユーザー ID を識別するためのマッピング方法、使用する PAM サーバー、サービスへのセキュアな接続を使用するかどうかを特定する必要があります。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
サブツリーを除外または具体的に含める、特定の属性値を PAM ユーザー ID にマップするなど、特別な設定のために設定を拡張できます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | pam_passthruauth |
設定エントリーの DN | cn=PAM Pass Through Auth,cn=plugins,cn=config |
説明 | PAM のパススルー認証を有効にし、PAM サービスは Directory Server をユーザー認証ストアとして使用できます。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
6.3.42.1. pamConfig (オブジェクトクラス)
このオブジェクトクラスは、ディレクトリーサービスと対話するための PAM 設定を定義するために使用されます。このオブジェクトクラスは Directory Server に定義されています。
上級クラス
top
OID
2.16.840.1.113730.3.2.318
使用できる属性
-
pamExcludeSuffix
-
pamIncludeSuffix
-
pamMissingSuffix
-
pamFilter
-
pamIDAttr
-
pamIDMapMethod
-
pamFallback
-
pamSecure
-
pamService
-
nsslapd-pluginConfigArea
6.3.42.2. pamExcludeSuffix
この属性は、PAM 認証から除外する接尾辞を指定します。
OID | 2.16.840.1.113730.3.1.2068 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.3. pamFallback
PAM 認証が失敗した場合に通常の LDAP 認証にフォールバックするかどうかを設定します。
OID | 2.16.840.1.113730.3.1.2072 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.4. pamFilter
PAM パススルー認証を使用するために含まれている接尾辞内の特定のエントリーを識別するために使用する LDAP フィルターを設定します。設定されていない場合、接尾辞内のすべてのエントリーが設定エントリーの対象になります。
OID | 2.16.840.1.113730.3.1.2131 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.5. pamIDAttr
この属性には、PAM ユーザー ID を保持するために使用される属性名が含まれています。
OID | 2.16.840.1.113730.3.1.2071 |
構文 | DirectoryString |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.6. pamIDMapMethod
LDAP バインド DN を PAMID にマップするために使用するメソッドを提供します。
Directory Server ユーザーアカウントは、ENTRY マッピング方法を使用してのみ検証されます。RDN または DN では、アカウントが非アクティブの Directory Server ユーザーでも、サーバーに正常にバインドされます。
OID | 2.16.840.1.113730.3.1.2070 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.7. pamIncludeSuffix
この属性は、PAM 認証に含める接尾辞を設定します。
OID | 2.16.840.1.113730.3.1.2067 |
構文 | DN |
多値または単一値 | 複数値 |
定義される場所 | Directory Server |
6.3.42.8. pamMissingSuffix
欠落している包含または除外接尾辞を処理する方法を識別します。オプションは次の通りです。ERROR は、バインド操作を失敗させます。ALLOW は、エラーをログに記録しますが、操作を続行できます。IGNORE は、操作を許可し、エラーをログに記録しません。
OID | 2.16.840.1.113730.3.1.2069 |
構文 | DirectoryString |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.9. pamSecure
PAM 認証にはセキュアな TLS 接続が必要です。
OID | 2.16.840.1.113730.3.1.2073 |
構文 | Boolean |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.42.10. pamService
PAM に渡すサービス名が含まれます。これは、指定されたサービスに /etc/pam.d/
ディレクトリーに設定ファイルがあることを前提としています。
pam_fprintd.so
モジュールは、PAM パススルー認証プラグイン 設定の pamService
属性によって参照される設定ファイルにすることはできません。PAM の pam_fprintd.so
モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。
pam_fprintd.so
モジュールは、PAM パススルー認証プラグイン設定の pamService
属性によって参照される設定ファイルにすることはできません。PAM の fprintd
モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。
OID | 2.16.840.1.113730.3.1.2074 |
構文 | IA5String |
多値または単一値 | 単一値 |
定義される場所 | Directory Server |
6.3.43. Pass Through Authentication プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | passthruauth |
設定エントリーの DN | cn=Pass Through Authentication,cn=plugins,cn=config |
説明 | パススルー認証 を有効にします。これにより、1 つのディレクトリーが別のディレクトリーでバインド要求の認証を行うことができます。 |
型 | preoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | ldap://example.com:389/o=example |
依存関係 | データベース |
パフォーマンス関連の情報 | パススルー認証では、リモートサーバーにさらにホップを追加する必要があるため、バインド要求が若干遅くなります。 |
6.3.44. パスワードストレージスキーム
Directory Server は、パスワードストレージスキームをプラグインとして実装します。ただし、cn=Password Storage Schemes,cn=plugins,cn=config
エントリー自体は単なるコンテナーであり、プラグインエントリーではありません。パスワードストレージスキームプラグインはすべて、このコンテナーのサブエントリーとして保存されます。
パスワードストレージスキームプラグインをすべて表示するには、次のコマンドを実行します。
# ldapsearch -D "cn=Directory Manager" -W -H ldap://server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn
Red Hat は、パスワードスキームプラグインを無効にしたり、予期しない認証動作を防ぐためにプラグインの設定を変更したりしないことを推奨します。
強力なパスワードストレージスキーム
Red Hat は、以下の強力なパスワードストレージスキーム (最も強力なパスワードストレージスキーム) のみを使用することを推奨します。
-
PBKDF2-SHA512
(デフォルト)。PBKDF2-SHA512 は
PBKDF2_SHA256
より安全です。
パスワードベースの鍵導出関数 2 (PBKDF2) は、ブルートフォース攻撃に対応するリソースを当てるように設計されています。PBKDF2 は、ハッシュアルゴリズムを適用する可変回数の反復をサポートします。反復回数が高くなるとセキュリティーが向上しますが、必要となるハードウェアリソースが増えます。PBKDF2-SHA512 アルゴリズムを適用するために、Directory Server は 10,000 回の反復を使用します。
Red Hat Enterprise Linux 6 のネットワークセキュリティーサービス (NSS) データベースは PBKDF2 をサポートしません。したがって、Directory Server 9 のレプリケーショントポロジーでは、このパスワードスキームを使用することはできません。
-
SSHA512
SSHA(Salted Secure hashing algorithm) は、無作為に生成された salt を使用してハッシュ化されたパスワードのセキュリティーを向上させる、セキュアなハッシュアルゴリズム (SHA) の強化バージョンを実装します。SSHA512
は 512 ビットを使用してハッシュアルゴリズムを実装します。
脆弱なパスワード保存スキーム
Directory Server は、推奨される強力なパスワードストレージスキームのほかに、後方互換性として、以下の強度の低いスキームをサポートします。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
Directory Server は、このスキームを使用した認証のみをサポートします。パスワードの暗号化に使用できなくなりました。
[b]
160 ビット
|
セキュリティーリスクが高くなるので、強度の低いスキームは短期間のみ使用を継続するようにします。
6.3.45. Posix Winsync API プラグイン
デフォルトでは、POSIX 関連の属性は Active Directory と {PRODUCT} の間で同期されません。Linux システムでは、システムユーザーおよびグループは Posix エントリーとして識別され、LDAP Posix 属性に必要な情報が含まれています。しかし、Windows ユーザーが同期すると、Windows アカウントであることを示す ntUser
属性および ntGroup
属性が自動的に追加されますが、Posix 属性は同期されず (Active Directory エントリーに存在していても)、Directory Server 側でも Posix 属性は追加されません。
POSIX Winsync API プラグインは、Active Directory エントリーと Directory Server エントリーとの間で POSIX 属性を同期します。
すべての POSIX 属性 (uidNumber
、gidNumber
、homeDirectory
など) は、Active Directory と Directory Server のエントリー間で同期されます。ただし、新しい POSIX エントリーまたは POSIX 属性が Directory Server の既存のエントリーに追加されると、POSIX 属性のみが Active Directory に対応するエントリーと同期します。POSIX オブジェクトクラス (ユーザーの場合は posixAccount
、グループの場合は posixGroup
) は Active Directory エントリーに追加されません。
このプラグインはデフォルトで無効になっており、Posix 属性を Active Directory エントリーから Directory Server エントリーに同期する前に有効にする必要があります。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | posix-winsync-plugin |
設定エントリーの DN | cn=Posix Winsync API,cn=plugins,cn=config |
説明 | Active Directory ユーザーおよびグループエントリーに設定された Posix 属性の Windows 同期を有効にして設定します。 |
型 | preoperation |
設定可能な引数 | on | off * memberUID マッピング (グループ) * 小文字 (グループ) での memberUID 値の変換およびソート * 同期操作による memberOf 修正タスク * Windows 2003 Posix スキーマを使用 |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | database |
6.3.45.1. posixWinsyncCreateMemberOfTask
この属性は、同期されたユーザーのグループメンバーシップを更新するために、同期実行後すぐに memberOf fix-up タスクを実行するかどうかを設定します。memberOf 修正タスクではリソースを集中的に使用し、頻繁に実行する場合はパフォーマンスの問題が発生する可能性があるため、デフォルトでは無効になっています。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncCreateMemberOfTask: false |
6.3.45.2. posixWinsyncLowerCaseUID
この属性は、UID 値を memberUID
属性に小文字で格納する (および必要に応じて変換する) かどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncLowerCaseUID: false |
6.3.45.3. posixWinsyncMapMemberUID
この属性は、Active Directory グループの memberUID
属性を Directory Server グループの uniqueMember
属性にマッピングするかどうかを設定します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | true |
例 | posixWinsyncMapMemberUID: false |
6.3.45.4. posixWinsyncMapNestedGrouping
posixWinsyncMapNestedGrouping
パラメーターは、Active Directory POSIX グループの memberUID
属性が変更されるときにネスト化されたグループが更新されるかどうかを管理します。ネスト化されたグループの更新は、5 つのレベルの深さに対応します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncMapNestedGrouping: false |
6.3.45.5. posixWinsyncMsSFUSchema
この属性は、Active Directory から Posix 属性を同期するときに Unix 3.0 (msSFU30) スキーマの古い Microsoft System Services にするかどうかを設定します。デフォルトでは、POSIX Winsync API プラグインは最新の Active Directory サーバーに Posix スキーマを使用します (2005、2008、およびそれ以降)。最新の Active Directory Posix スキーマと、Windows Server 2003 以前の Windows サーバーで使用される Posix スキーマには若干の違いがあります。Active Directory ドメインが古いスタイルスキーマを使用している場合は、代わりに古いスタイルスキーマを使用できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
Valid Range | true | false |
デフォルト値 | false |
例 | posixWinsyncMsSFUSchema: true |
6.3.46. Postal Address String Syntax プラグイン
6.3.47. Printable String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | printablestring-syntax |
設定エントリーの DN | cn=Printable String Syntax,cn=plugins,cn=config |
説明 | 英数字および選択句読点文字列 (RFC 4517 で定義されている出力可能な文字列に準拠する文字列の場合) の構文およびマッチングルールをサポートします。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.48. Referential Integrity プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | referint |
設定エントリーの DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
説明 | サーバーが参照整合性を確保できるようにします。 |
型 | postoperation |
設定可能な引数 | すべての設定および on | off |
デフォルト設定 | off |
設定可能な引数 |
有効にすると、操作後の Referential Integrity プラグインは、削除または名前変更操作の直後に、 |
依存関係 | データベース |
パフォーマンス関連の情報 | マルチサプライヤーレプリケーション環境では、すべてのサプライヤーで Referential Integrity プラグインを有効にする必要があります。チェーンされたサーバーでプラグインを有効にする場合は、パフォーマンスリソースと時間のニーズ、整合性のニーズも分析してください。整合性チェックには、時間がかかり、メモリーと CPU への負荷が多くなる可能性があります。指定されたすべての属性は、存在と等価性の両方にインデックス化する必要があります。 |
6.3.49. Retro Changelog プラグイン
Directory Server では、2 種類の changelogs が維持されます。changelog と呼ばれる最初のタイプはマルチサ upplier レプリケーションに使用され、2 つ目の changelog は retro changelog と呼ばれるプラグインで、Directory Server 4.x バージョンとのアプリケーション互換性を維持するために LDAP クライアントが使用することを目的としています。
この Retro Changelog プラグインは、サプライヤーサーバーに加えられた変更を記録するために使用されます。サプライヤーサーバーのディレクトリーが変更されると、エントリーは、以下の両方が含まれる Retro Changelog に書き込まれます。
- 変更を一意に識別する数字。この数は、changelog の他のエントリーに関連して順次行われます。
- 変更アクション。つまりディレクトリーの変更内容を正確に行う必要があります。
cn=changelog
接尾辞への検索を使用して Directory Server に加えられた変更がアクセスされることが Retro Changelog プラグインを介して実行されます。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | retrocl |
設定エントリーの DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
説明 |
Directory Server 4.x バージョンとのアプリケーション互換性を維持するために LDAP クライアントによって使用されます。Directory Server で発生したすべての変更のログを維持します。retro changelog には、Directory Server の 4.x バージョンの changelog と同じ機能があります。このプラグインは |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | このプラグインの設定属性の詳細は、「Retro Changelog プラグイン」 を参照してください。 |
依存関係 | * Type: データベース * Named: サービスのクラス |
パフォーマンス関連の情報 | Directory Server の更新パフォーマンスが低下する可能性があります。 |
6.3.49.1. isReplicated
このオプション属性は、そのサーバーで新たに変更が加えられているかどうか、別のサーバーから複製されたかどうかに関わらず、changelog の変更を示すフラグを設定します。
パラメーター | 説明 |
---|---|
OID | 2.16.840.1.113730.3.1.2085 |
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | true | false |
デフォルト値 | なし |
構文 | Boolean |
例 | isReplicated: true |
6.3.49.2. nsslapd-attribute
この属性は、retro changelog エントリーに含める必要のある別の Directory Server 属性を明示的に指定します。
通常、操作属性およびその他のタイプの属性は retro changelog から除外されますが、サードパーティーアプリケーションで changelog データを使用するにはこれらの属性が存在する必要がある場合があります。これは、nsslapd-attribute
パラメーターを使用して retro changelog プラグイン設定に属性をリスト表示することで行います。
nsslapd-attribute
値内で指定した属性に任意のエイリアスを指定することもできます。
nsslapd-attribute: attribute:pass:attributes[{blank}]alias
属性のエイリアスを使用すると、retro changelog レコードを使用する外部サーバーまたはアプリケーションの他の属性との競合を避けることができます。
nsslapd-attribute
属性の値を isReplicated
に設定することは、変更がローカルサーバーで行われていたか (つまり変更が元の変更かどうか) か、変更がサーバーに複製されたかを示す方法です。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効なディレクトリー属性 (標準またはカスタム) |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-attribute: nsUniqueId: uniqueID |
6.3.49.3. nsslapd-changelogdir
この属性は、プラグインの初回実行時に changelog データベースが作成されるディレクトリーの名前を指定します。デフォルトでは、データベースは /var/lib/dirsrv/slapd-instance/changelogdb
下の他のすべてのデータベースに保存されます。
パフォーマンス上の理由から、このデータベースを異なる物理ディスクに保存します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | ディレクトリーへの有効なパス |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
6.3.49.4. nsslapd-changelogmaxage
nsslapd-changelogmaxage
属性は、changelog のエントリーの最大期間を設定します。changelog には各ディレクトリーの変更のレコードが含まれ、コンシューマーサーバーの同期時に使用されます。各レコードにはタイムスタンプが含まれます。この属性に指定した値よりも古いタイムスタンプを持つレコードはすべて削除されます。デフォルトでは、Directory Server は 8 日以上経過しているレコードを削除します。この属性を 0
に設定すると、changelog レコードの有効期限がなくなり、Directory Server がすべてのレコードを保持します。
retro changelog のサイズは、小さい値を設定すると自動的に縮小されます。
最大期間よりも長い合意がある場合は、期限切れの changelog レコードは削除されません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
Valid Range | 0 (エントリーは経過時間に応じて削除されない) から最大 32 ビットの整数値 (2147483647) |
デフォルト値 | 7d |
構文 | DirectoryString IntegerAgeID、この場合の AgeID は以下のとおり。
AgeID なしで整数値のみを設定すると、Directory Server はそれを秒として扱います。 |
例 | nsslapd-changelogmaxage: 30d |
6.3.49.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs
パラメーターは、レトロ変更ログデータベースから除外する属性名を保管します。複数の属性を除外するには、除外する属性ごとに 1 つの nsslapd-exclude-attrs
パラメーターを追加します。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-exclude-attrs: example |
6.3.49.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix
パラメーターは、レトロ変更ログデータベースから除外する接尾辞を保管します。パラメーターを複数回追加して、複数の接尾辞を除外できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
有効な値 | 有効な属性名 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
6.3.50. Roles プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | roles |
設定エントリーの DN | cn=Roles Plugin,cn=plugins,cn=config |
説明 | Directory Server でのロールの使用を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン * 名前付き: ビュープラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
6.3.51. RootDN Access Control プラグイン
ルート DN である cn=Directory Manager は、通常のユーザーデータベースの外部で定義される特別なユーザーエントリーです。通常のアクセス制御ルールは root DN には適用されませんが、root ユーザーの強力な性質により、何らかのアクセス制御ルールを root ユーザーに適用することが有益です。
RootDN アクセス制御プラグインは、root ユーザーの通常のアクセス制御 (ホストおよび IP アドレスの制限、時刻の制限、および曜日の制限) を設定します。
このプラグインはデフォルトで無効になっています。
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | rootdn-access-control |
設定エントリーの DN | cn=RootDN Access Control,cn=plugins,cn=config |
説明 | ルート DN エントリーに使用するアクセス制御を有効にして設定します。 |
型 | internalpreoperation |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な属性 | * rootdn-open-time および rootdn-close-time(時間ベースのアクセス制御用) * rootdn-days-allowed (日ベースのアクセス制御用) * rootdn-allow-host、rootdn-deny-host、rootdn-allow-ip、および rootdn-deny-ip(ホストベースのアクセス制御用) |
依存関係 | なし |
6.3.51.1. rootdn-allow-host
これにより、root ユーザーが Directory Server にアクセスするのに使用できるホストを完全修飾ドメイン名で設定します。リストされていないホストは暗黙的に拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のホスト、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む有効なホスト名またはドメイン |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-allow-host: *.example.com |
6.3.51.2. rootdn-allow-ip
これにより、root ユーザーが Directory Server へのアクセスに使用できるマシンの IPv4 または IPv6 のいずれかの IP アドレスが設定されます。リストされていない IP アドレスは暗黙的に拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のアドレス、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む、有効な IPv4 アドレスまたは IPv6 アドレス。 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-allow-ip: 192.168.. |
6.3.51.3. rootdn-close-time
これは、root ユーザーが Directory Server にアクセスできる期間または範囲の一部を設定します。これは、root ユーザーが Directory Server へのアクセスが許可されなくなった場合に、時間ベースのアクセスの 終了 時に設定されます。
これは、rootdn-open-time
属性と組み合わせて使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | 24 時間形式で有効な時間。 |
デフォルト値 | なし |
構文 | 整数 |
例 | rootdn-close-time: 1700 |
6.3.51.4. rootdn-days-allowed
これにより、root ユーザーが Directory Server にアクセスするのに使用できる日数のコンマ区切りリストが提供されます。リストされている日は暗黙的に拒否されます。これは、 rootdn-close-time
および rootdn-open-time
とともに使用して、時間ベースのアクセスと曜日を組み合わせることができます。または、単独で使用することもできます (許可された日にすべての時間が許可されます)。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
有効な値 | * Sun * Mon * Tue * Wed * Thu * Fri * Sat |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
6.3.51.5. rootdn-deny-ip
これにより、root ユーザーが Directory Server にアクセスすることができ ない マシンの IPv4 または IPv6 のいずれかの IP アドレスが設定されます。リストされていない IP アドレスは暗黙的に拒否されます。
deny ルールは allow ルールよりも優先されるため、IP アドレスが rootdn-allow-ip
および rootdn-deny-ip
属性の両方にリスト表示されている場合、アクセスは拒否されます。
ワイルドカードは許可されています。
この属性は複数回使用して、複数のアドレス、ドメイン、またはサブネットを指定できます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | ワイルドカードのアスタリスク (*) を含む、有効な IPv4 アドレスまたは IPv6 アドレス。 |
デフォルト値 | なし |
構文 | DirectoryString |
例 | rootdn-deny-ip: 192.168.0.0 |
6.3.51.6. rootdn-open-time
これは、root ユーザーが Directory Server にアクセスできる期間または範囲の一部を設定します。これは、時間ベースのアクセスがいつ 開始 するかを設定します。
これは、rootdn-close-time
属性と組み合わせて使用されます。
パラメーター | 説明 |
---|---|
エントリー DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
Valid Range | 24 時間形式で有効な時間。 |
デフォルト値 | なし |
構文 | 整数 |
例 | rootdn-open-time: 0800 |
6.3.52. Schema Reload プラグイン
プラグイン情報 | 説明 |
---|---|
プラグイン ID | schemareload |
設定エントリー DN | cn=Schema Reload,cn=plugins,cn=config |
説明 | スキーマファイルを再ロードするタスクプラグイン |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 |
6.3.53. Space Insensitive String Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Space Insensitive String Syntax,cn=plugins,cn=config |
説明 | スペースに依存しない値を処理するための構文 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 | このプラグインを使用することで、Directory Server は スペースおよび大文字と小文字の区別なし の値をサポートできるようになります。これにより、アプリケーションは ASCII スペース文字が含まれるエントリーを使用してディレクトリーを検索できます。
たとえば、属性のスキーマがスペースに依存しない構文を使用して設定された場合、 |
6.3.54. State Change プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | statechange |
設定エントリーの DN | cn=State Change Plugin,cn=plugins,cn=config |
説明 | state-change-notification service サービスを有効にします。 |
型 | postoperation |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 |
6.3.55. Syntax Validation Task プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | none |
設定エントリーの DN | cn=Syntax Validation Task,cn=plugins,cn=config |
説明 | 属性値の構文検証を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | |
追加情報 | このプラグインは、構文検証タスクを実装します。構文検証を実行する実際のプロセスは、特定の構文プラグインごとに実行されます。 |
6.3.56. Telephone Syntax プラグイン
6.3.57. Teletex Terminal Identifier Syntax プラグイン
6.3.58. Telex Number Syntax プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | telex-syntax |
設定エントリーの DN | cn=Telex Number Syntax,cn=plugins,cn=config |
説明 | テレックス端末のテレックス番号、国コード、およびアンサーバーックコードの構文および関連マッチングルールをサポートします (RFC 4517)。 |
型 | 構文 |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | なし |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |
追加情報 |
6.3.59. URI Syntax プラグイン
6.3.60. USN プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | USN |
設定エントリーの DN | cn=USN,cn=plugins,cn=config |
説明 | エントリーの追加および削除や属性値の変更など、変更が生じるたびに、ディレクトリー内のすべてのエントリーに更新シーケンス番号 (USN) を設定します。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | off |
設定可能な引数 | なし |
依存関係 | データベース |
パフォーマンス関連の情報 |
レプリケーションでは、分数レプリケーションを使用して |
6.3.61. Views プラグイン
プラグインパラメーター | 説明 |
---|---|
プラグイン ID | ビュー |
設定エントリーの DN | cn=Views,cn=plugins,cn=config |
説明 | Directory Server データベースでのビューの使用を有効にします。 |
型 | object |
設定可能な引数 | on | off |
デフォルト設定 | on |
設定可能な引数 | なし |
依存関係 | * Type: データベース * 名前付き: 状態変更プラグイン |
パフォーマンス関連の情報 | このプラグインの設定は変更しないでください。Red Hat は、このプラグインを常に実行することを推奨します。 |