구성, 명령 및 파일 참조
디렉터리 서버 구성을 위한 참조 가이드
초록
머리말
디렉터리 서버 구성을 위한 참조 가이드
법적 공지
Copyright 2021 Red Hat, Inc.
이 문서는 Red Hat의 Creative Commons Attribution-ShareAlike 3.0 Unported License 에 따라 라이센스가 부여됩니다. 이 문서 또는 수정된 버전을 배포하는 경우 Red Hat, Inc.에 attribution을 제공하고 원본에 대한 링크를 제공해야 합니다. 문서가 수정되면 모든 Red Hat 상표를 제거해야 합니다.
Red Hat은 이 문서의 라이센스 제공자로서 관련 법률이 허용하는 한도 내에서 CC-BY-SA의 섹션 4d를 시행할 권리를 포기하며 이를 주장하지 않을 것에 동의합니다.
Red Hat, Red Hat Enterprise Linux, Shadowman 로고, JBoss, OpenShift, Fedora, Infinity 로고 및 RHCE는 미국 및 기타 국가에 등록된 Red Hat, Inc.의 상표입니다.
Linux 는 미국 및 기타 국가에서 Linus Torvalds의 등록 상표입니다.
Java 는 Oracle 및/또는 그 계열사의 등록 상표입니다.
XFS 는 미국 및/또는 기타 국가에 있는 Silicon Graphics International Corp. 또는 그 자회사의 상표입니다.
MySQL 은 미국, 유럽 연합 및 기타 국가에서 MySQL AB의 등록 상표입니다.
Node.js 는 Joyent의 공식 상표입니다. Red Hat Software Collections는 공식 Joyent Node.js 오픈 소스 또는 상용 프로젝트의 보증 대상이 아니며 공식적인 관계도 없습니다.
OpenStack Word Mark 및 OpenStack 로고는 미국 및 기타 국가에서 OpenStack Foundation의 등록 상표/서비스 마크 또는 상표/서비스 마크이며 OpenStack Foundation의 허가 하에 사용됩니다. 당사는 OpenStack Foundation 또는 OpenStack 커뮤니티와 제휴 관계가 아니며 보증 또는 후원을 받지 않습니다.
기타 모든 상표는 각각 해당 소유자의 자산입니다.
보다 포괄적인 오픈 소스 구현
Red Hat은 코드, 문서 및 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 먼저 마스터(master), 슬레이브(slave), 블랙리스트(blacklist), 화이트리스트(whitelist) 등 네 가지 용어를 교체하고 있습니다. 이러한 변경 작업은 작업 범위가 크므로 향후 여러 릴리스에 걸쳐 점차 구현할 예정입니다. 자세한 내용은 CTO Chris Wright의 메시지 를 참조하십시오.
이 참조 정보
Red Hat Directory Server(Directory Server)는 업계 표준 LDAP(Lightweight Directory Access Protocol)를 기반으로 하는 강력하고 확장 가능한 분산 디렉터리 서버입니다. Directory Server는 중앙 집중식 분산 데이터 리포지토리를 구축하기 위한 초석이며, 이는 인트라넷에서 거래 파트너와의 엑스트라넷을 통해 또는 공용 인터넷을 통해 고객에게 도달할 수 있습니다.
이 참조에서는 서버 구성 및 명령줄 유틸리티에 대해 설명합니다. 이는 주로 명령줄을 사용하여 디렉터리에 액세스하려는 디렉터리 관리자 및 숙련된 디렉터리 사용자용으로 설계되었습니다. 서버를 구성한 후 이 참조를 사용하여 유지 관리.
Directory Server는 그래픽 사용자 인터페이스인 Directory Server 콘솔을 통해 관리할 수도 있습니다. Red Hat Directory Server 관리 가이드에서는 이 작업을 수행하는 방법과 개별 관리 작업을 보다 완벽하게 설명합니다.
1. 디렉터리 서버 개요
Directory Server의 주요 구성 요소는 다음과 같습니다.
- LDAP 서버 - LDAP v3 호환 네트워크 데몬.
- 디렉터리 서버 콘솔 - 디렉터리 서비스를 설정 및 유지 관리하는 작업을 크게 줄이는 그래픽 관리 콘솔입니다.
- SNMP 에이전트 - SNMP(Simple Network Management Protocol)를 사용하여 디렉터리 서버를 모니터링할 수 있습니다.
1장. 소개
Directory Server는 LDAP(Lightweight Directory Access Protocol)라는 오픈 시스템 서버 프로토콜을 기반으로 합니다. Directory Server는 인터넷을 통해 엔터프라이즈급 사용자 및 리소스, 엑스트라넷 및 전자 상거래 애플리케이션을 지원하기 위해 대규모 디렉터리를 관리하도록 설계된 강력하고 확장 가능한 서버입니다. Directory Server는 시스템에서 ns-slapd 프로세스 또는 서비스로 실행됩니다. 서버는 디렉터리 데이터베이스를 관리하고 클라이언트 요청에 응답합니다.
대부분의 Directory Server 관리 작업은 Directory Server Console과 함께 제공되는 그래픽 사용자 인터페이스인 Directory Server 콘솔을 통해 수행할 수 있습니다. Directory Server Console 사용에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오.
이 참조는 명령줄을 사용하고 명령줄 유틸리티 및 스크립트를 사용하여 서버 구성 특성을 변경하여 Directory Server를 관리하는 다른 방법을 다룹니다.
1.1. 디렉터리 서버 구성
Directory Server에 대한 구성 정보와 구성 정보를 저장하는 형식 및 방법은 3장. 코어 서버 구성 참조 및 4장. 플러그인 실행 서버 기능 참조 두 가지 장에서 확인할 수 있습니다.
1.2. 디렉터리 서버 인스턴스 파일 참조
2.1절. “Directory Server 인스턴스 독립적인 파일 및 디렉터리” Directory Server의 각 인스턴스에 저장된 파일 및 구성 정보에 대한 개요가 있습니다. 이 참조는 관리자가 디렉터리 활동 과정에서 변경되거나 변경 사항이 없음을 이해하는 데 유용합니다. 또한 보안 관점에서 이는 정상적인 변경 사항과 비정상적인 동작을 강조하여 오류 및 침입을 탐지하는 데 도움이 됩니다.
1.3. Directory Server 명령줄 유틸리티 사용
Directory Server에는 디렉터리에서 항목을 검색 및 수정하고 서버를 관리할 수 있는 구성 가능한 명령줄 유틸리티 세트가 포함되어 있습니다. 9장. 명령줄 유틸리티 이러한 명령줄 유틸리티에 대해 설명하고 유틸리티가 저장된 위치와 액세스 방법에 대한 정보가 포함되어 있습니다.
2장. 파일 위치 개요
Red Hat Directory Server는 Filesystem Hierarchy Standards (FHS)와 호환됩니다. FHS에 대한 자세한 내용은 http://refspecs.linuxfoundation.org/fhs.shtml 을 참조하십시오.
2.1. Directory Server 인스턴스 독립적인 파일 및 디렉터리
Directory Server의 인스턴스 독립적 기본 파일 및 디렉터리 위치는 다음과 같습니다.
| 유형 | 위치 |
|---|---|
| 명령줄 유틸리티 |
|
| systemd 장치 파일 |
|
2.2. Directory Server 인스턴스별 파일 및 디렉터리
동일한 호스트에서 실행 중인 여러 인스턴스를 분리하기 위해 특정 파일과 디렉터리에 인스턴스의 이름이 포함됩니다. Directory Server를 설정하는 동안 인스턴스 이름을 설정합니다. 기본적으로 도메인 이름이 없는 호스트 이름입니다. 예를 들어 정규화된 도메인 이름이 server.example.com 인 경우 기본 인스턴스 이름은 server 입니다.
Directory Server의 인스턴스별 기본 파일 및 디렉터리 위치는 다음과 같습니다.
| 유형 | 위치 |
|---|---|
| 백업 파일 |
|
| 구성 파일 |
|
| 인증서 및 키 데이터베이스 |
|
| 데이터베이스 파일 |
|
| LDIF 파일 |
|
| 파일 잠금 |
|
| 로그 파일 |
|
| PID 파일 |
|
| systemd 장치 파일 |
|
2.2.1. 구성 파일
각 Directory Server 인스턴스는 해당 구성 파일을 /etc/dirsrv/slapd-인스턴스 디렉터리에 저장합니다.
Red Hat Directory Server에 대한 구성 정보는 디렉터리 자체 내에 LDAP 항목으로 저장됩니다. 따라서 구성 파일을 편집하는 대신 서버 자체를 사용하여 서버 구성에 대한 변경 사항을 구현해야 합니다. 이 구성 스토리지의 주요 장점은 디렉터리 관리자가 실행 중인 동안 LDAP를 사용하여 서버를 재구성할 수 있으므로 대부분의 구성 변경을 위해 서버를 종료할 필요가 없다는 것입니다.
2.2.1.1. 디렉터리 서버 구성 개요
Directory Server가 설정되면 기본 구성은 디렉터리의 하위 트리 cn=config 아래에 일련의 LDAP 항목으로 저장됩니다. 서버를 시작하면 cn=config 하위 트리의 콘텐츠를 LDIF 형식의 파일(dse.ldif)에서 읽습니다. 이 dse.ldif 파일에는 모든 서버 구성 정보가 포함되어 있습니다. 이 파일의 최신 버전을 dse.ldif 라고 하며, 마지막 수정 이전의 버전을 dse.ldif.bak 라고 하며 서버가 성공적으로 시작된 최신 파일을 dse.ldif.startOK 라고 합니다.
Directory Server의 많은 기능은 코어 서버에 연결된 개별 모듈로 설계되었습니다. 각 플러그인의 내부 구성 세부 사항은 cn=plugins,cn=config 의 개별 항목에 포함됩니다. 예를 들어, Telephone Syntax 플러그인의 구성은 이 항목에 포함되어 있습니다.
cn=Telephone Syntax,cn=plugins,cn=config
마찬가지로 데이터베이스별 구성은 다음과 같이 저장됩니다.
CN=ldbm 데이터베이스,cn=plugins,cn=config for local databases 및 cn=chaining database,cn=plugins,cn=config.
다음 다이어그램에서는 구성 데이터가 cn=config 디렉토리 정보 트리에 적합한 방법을 보여줍니다.
그림 2.1. 디렉터리 정보 트리 표시 구성 데이터
2.2.1.1.1. LDIF 및 스키마 구성 파일
Directory Server 구성 데이터는 /etc/dirsrv/slapd-인스턴스 디렉터리에 있는 LDIF 파일에 저장됩니다. 따라서 서버 식별자가 phonebook 인 경우 디렉터리 서버의 구성 LDIF 파일은 모두 /etc/dirsrv/slapd-phonebook 에 저장됩니다.
이 디렉터리에는 다른 서버 인스턴스별 구성 파일도 포함되어 있습니다.
스키마 구성은 LDIF 형식으로도 저장되며 이러한 파일은 /etc/dirsrv/schema 디렉터리에 있습니다.
다음 표에서는 다른 호환 가능한 서버의 스키마를 포함하여 Directory Server와 함께 제공되는 모든 구성 파일을 나열합니다. 각 파일은 로드해야 하는 순서를 나타내는 숫자 앞에 옵니다(숫자 및 알파벳순으로 정렬).
표 2.1. Directory Server LDIF 구성 파일
| 구성 파일 이름 | 목적 |
|---|---|
| dse.ldif |
서버 시작 시 디렉터리에 생성된 프론트엔드 디렉터리 특정 항목이 포함되어 있습니다. 여기에는 Root DSE( |
| 00core.ldif |
최소 기능 세트를 사용하여 서버를 시작하는 데 필요한 스키마 정의만 포함합니다(사용자 스키마 없음, 비코어 기능에 대한 스키마 없음). 사용자, 기능 및 애플리케이션에서 사용하는 나머지 스키마는 |
| 01common.ldif |
RFC 2256(X.520/X.521)에 정의된 |
| 05rfc2247.ldif | "LDAP/X500의 도메인 사용"의 RFC 2247 및 관련 파일럿 스키마의 스키마입니다. |
| 05rfc2927.ldif |
RFC 2927, "MIME Directory Profile for LDAP Schema"의 스키마입니다. |
| 10presence.ldif | 레거시. 인스턴트 메시징 존재(online) 정보를 위한 스키마; 파일 은 해당 사용자에 대해 인스턴트 메시징 존재 정보를 사용할 수 있도록 사용자 항목에 추가해야 하는 허용된 속성이 있는 기본 오브젝트 클래스를 나열합니다. |
| 10rfc2307.ldif |
RFC 2307의 스키마, "LDAP를 네트워크 정보 서비스로 사용하기 위한 접근 방식". 이는 해당 스키마를 사용할 수 있게 되면 |
| 20subscriber.ldif |
새 스키마 요소 및 Nortel 구독자 상호 운용성 사양을 포함합니다. 또한 |
| 25java-object.ldif | RFC 2713의 스키마 "LDAP 디렉터리의 Java® 오브젝트를 나타내는Schema". |
| 28pilot.ldif |
새로운 배포에 더 이상 권장되지 않는 RFC 1274의 Pilot 디렉터리 스키마가 포함되어 있습니다. RFC 1274에 성공하면 RFC 1274가 |
| 30ns-common.ldif | Directory Server Console 프레임워크에 공통된 개체 클래스 및 속성을 포함하는 스키마입니다. |
| 50ns-admin.ldif | Red Hat Administration Server에서 사용하는 스키마입니다. |
| 50ns-certificate.ldif | Red Hat Certificate Management System의 스키마입니다. |
| 50ns-directory.ldif | Directory Server 4.12 및 이전 버전의 디렉터리에서 사용하는 추가 구성 스키마가 포함되어 있으며, 이는 더 이상 현재 Directory Server 릴리스에 적용되지 않습니다. 이 스키마는 Directory Server 4.12와 현재 릴리스 간 복제에 필요합니다. |
| 50ns-mail.ldif | Netscape Messaging Server에서 메일 사용자 및 메일 그룹을 정의하는 데 사용되는 스키마입니다. |
| 50ns-value.ldif | 서버의 값 항목 특성에 대한 스키마입니다. |
| 50ns-web.ldif | Netscape Web Server의 스키마입니다. |
| 60pam-plugin.ldif | 나중에 사용하기 위해 예약되어 있습니다. |
| 99user.ldif | Directory Server 복제 사용자가 유지 관리하는 사용자 정의 스키마는 공급자의 속성 및 개체 클래스를 포함합니다.User-defined schema maintained by Directory Server replication consumers that contains the attributes and object classes from the provider. |
2.2.1.1.2. 서버 구성이 조직되는 방법
dse.ldif 파일에는 서버 시작 시 디렉터리에 의해 생성된 디렉토리별 항목(예: 데이터베이스와 관련된 항목)을 포함한 모든 구성 정보가 포함되어 있습니다. 파일에는 루트 디렉터리 서버 항목(또는 ""으로 이름이 지정된 DSE)과 cn=config 및 cn=monitor 의 내용이 포함됩니다.
서버가 dse.ldif 파일을 생성하면 cn=config 아래에 항목이 표시되는 순서에 따라 계층 구조 순서로 나열됩니다. 이는 일반적으로 기본 cn=config 에 대한 LDAP 하위 트리 범위를 검색하는 순서와 동일합니다.
D SE.ldif 에는 대부분 읽기 전용이지만 ACIs를 설정할 수 있는 cn=monitor 항목이 포함되어 있습니다.
dse.ldif 파일에 cn=config 의 모든 속성이 포함되어 있지 않습니다. 관리자가 속성을 설정하지 않고 기본값이 있는 경우 서버에서 dse.ldif 에 해당 속성을 쓰지 않습니다. cn=config 의 모든 속성을 보려면 ldapsearch 를 사용합니다.
구성 속성
구성 항목 내에서 각 특성은 특성 이름으로 표시됩니다. 특성 값은 특성의 구성에 해당합니다.
다음 코드 샘플은 Directory Server에 대한 dse.ldif 파일의 일부입니다. 이 예제는 다른 사항 중에서 스키마 검사를 활성화한 것을 보여줍니다. 이는 의 값을 사용하는 nsslapd-schemacheck 속성으로 표시됩니다.
dn: cn=config objectclass: top objectclass: extensibleObject objectclass: nsslapdConfig nsslapd-accesslog-logging-enabled: on nsslapd-enquote-sup-oc: off nsslapd-localhost: phonebook.example.com nsslapd-schemacheck: on nsslapd-port: 389 nsslapd-localuser: dirsrv ...
플러그인 기능 구성
Directory Server 플러그인 기능의 각 부분에 대한 구성에는 하위 트리 cn=plugins,cn=config. 다음 코드 샘플은 예제 플러그인인 Telephone Syntax 플러그인에 대한 구성 항목의 예입니다.
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
이러한 속성 중 일부는 모든 플러그인에 공통적이며, 일부 속성은 특정 플러그인에 따라 달라질 수 있습니다. cn=config 하위 트리에서 ldapsearch 를 수행하여 지정된 플러그인에서 현재 사용 중인 속성을 확인합니다.
Directory Server에서 지원하는 플러그인 목록, 일반 플러그인 구성 정보, 플러그인 구성 특성 참조 및 구성 변경에 대해 재시작해야 하는 플러그인 목록은 4장. 플러그인 실행 서버 기능 참조 을 참조하십시오.
데이터베이스 구성
데이터베이스 플러그인 항목의 cn=UserRoot 하위 트리에는 설치 중에 생성된 기본 접미사가 포함된 데이터베이스의 구성 데이터가 포함되어 있습니다.
이러한 항목 및 하위 항목에는 캐시 크기, 인덱스 파일 및 트랜잭션 로그의 경로, 모니터링 및 통계를 위한 항목 및 속성 등 다양한 데이터베이스 설정을 구성하는 데 사용되는 많은 속성이 있습니다.
인덱스 구성
인덱싱에 대한 구성 정보는 다음 information-tree 노드 아래에 Directory Server의 항목으로 저장됩니다.
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config -
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
일반적으로 인덱스에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오. 인덱스 구성 속성에 대한 자세한 내용은 4.4.1절. “cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config 아래에 있는 데이터베이스 속성” 을 참조하십시오.
2.2.1.2. 서버 구성 액세스 및 수정
이 섹션에서는 구성 항목에 대한 액세스 제어에 대해 설명하고 서버 구성을 보고 수정할 수 있는 다양한 방법을 설명합니다. 또한 수정할 수 있는 종류의 수정에 대한 제한 사항 및 변경 사항을 적용하려면 서버를 다시 시작해야 하는 특성에 대해 설명합니다.
2.2.1.2.1. 구성 항목을 위한 액세스 제어
Directory Server가 설치되면 cn=config 아래의 모든 항목에 대해 기본 액세스 제어 명령(ACI) 세트가 구현됩니다. 다음 코드 샘플은 이러한 기본 ACI의 예입니다.
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)이러한 기본 ACIs를 사용하면 다음 사용자가 모든 LDAP 작업을 모든 구성 속성에 수행할 수 있습니다.
- Configuration Administrators 그룹의 멤버입니다.
-
설치 시 구성된 관리자 계정인
관리자역할을 하는 사용자입니다. 기본적으로 이는 콘솔에 로그인한 것과 동일한 사용자 계정입니다. - 로컬 디렉터리 관리자 그룹의 멤버입니다.
-
일반적으로 기본 콘솔을 사용하여
액세스 권한 설정프로세스를 사용하여 SIE(Server Instance Entry) 그룹이 할당됩니다.
액세스 제어에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드를 참조하십시오.
2.2.1.2.2. 구성 속성 변경
디렉터리 서버 콘솔을 통해, ldapsearch 및 ldapmodify 명령을 수행하거나 dse.ldif 파일을 수동으로 편집하여 세 가지 방법 중 하나로 서버 특성을 보고 변경할 수 있습니다.
dse.ldif 파일을 편집하기 전에 서버를 중지해야 합니다. 그렇지 않으면 변경 사항이 손실됩니다. dse.ldif 파일을 편집하는 것은 동적으로 변경할 수 없는 속성 변경 경우에만 권장됩니다. 자세한 내용은 구성 변경 사항 다시 시작 을 참조하십시오.
다음 섹션에서는 LDAP를 사용하여 항목을 수정하는 방법(Directory Server Console을 사용하고 명령줄 사용), 수정 항목에 적용되는 제한 사항, 속성 수정에 적용되는 제한 사항, 재시작이 필요한 구성 변경 사항에 대해 설명합니다.
LDAP를 사용하여 구성 항목 수정
디렉터리의 구성 항목은 디렉터리 서버 콘솔을 사용하거나 다른 디렉토리 항목과 동일한 방식으로 ldapsearch 및 ldapmodify 작업을 수행하여 LDAP를 사용하여 검색 및 수정할 수 있습니다. LDAP를 사용하여 항목을 수정하면 서버가 실행되는 동안 변경할 수 있습니다.
자세한 내용은 Red Hat Directory Server 관리 가이드의 " Directory Entries" 장을 참조하십시오. 그러나 특정 변경 사항을 적용하려면 서버를 다시 시작해야 합니다. 자세한 내용은 구성 변경 사항 다시 시작 을 참조하십시오.
모든 구성 파일과 마찬가지로 Directory Server 기능에 영향을 줄 위험이 있으므로 cn=config 하위 트리에서 노드를 변경하거나 삭제할 때 주의해야 합니다.
항상 기본값을 사용하는 속성을 포함한 전체 구성은 cn=config 하위 트리에서 ldapsearch 작업을 수행하여 볼 수 있습니다.
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
-
bindDN 은 서버를 설치할 때 Directory Manager용으로 선택한 DN입니다(기본적으로
cn=Directory Manager). - 암호 는 Directory Manager에 대해 선택한 암호입니다.
플러그인을 비활성화하려면 ldapmodify 를 사용하여 nsslapd-pluginEnabled 특성을 편집합니다.
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Telephone Syntax,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: off
구성 항목 수정 및 속성 수정 제한 사항
특정 제한 사항은 서버 항목 및 속성을 수정할 때 적용됩니다.
-
cn=monitor항목과 해당 하위 항목은 읽기 전용이며 ACI 관리를 제외하고 수정할 수 없습니다. -
cn=config에 속성이 추가되면 서버는 이를 무시합니다. - 속성에 유효하지 않은 값을 입력하면 서버에서 해당 값을 무시합니다.
-
ldapdelete는 전체 항목을 삭제하는 데 사용되므로ldapmodify를 사용하여 항목에서 특성을 제거합니다.
구성 변경 사항 다시 시작
일부 구성 속성은 서버를 실행하는 동안 변경할 수 없습니다. 이러한 경우 변경 사항을 적용하려면 서버를 종료하고 다시 시작해야 합니다. 디렉터리 서버 콘솔을 통해 또는 dse.ldif 파일을 수동으로 편집하여 수정해야 합니다. 변경 사항을 적용하기 위해 서버를 다시 시작해야 하는 일부 속성은 아래에 나열되어 있습니다. 이 목록은 완전하지 않습니다. 전체 목록을 보려면 ldapsearch 를 실행하고 nsslapd-requiresrestart 특성을 검색합니다. 예를 들면 다음과 같습니다.
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
이 속성에는 다시 시작해야 하지만 검색에서 반환되지 않습니다.Although this attribute requires a restart, it is not returned in the search.
| |
구성 속성 삭제
/etc/dirsrv/slapd-instance-name/dse.ldif 파일에 작성되지 않은 경우에도 모든 코어 구성 속성이 있습니다. 모두 서버에서 사용하는 기본 값이 있기 때문입니다.
삭제할 수 없는 핵심 구성 속성 목록과 삭제할 수 없는 속성 목록은 Red Hat Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
2.2.2. 데이터베이스 파일
각 Directory Server 인스턴스에는 모든 데이터베이스 파일을 저장하기 위한 /var/lib/dirsrv/slapd-인스턴스/db 디렉터리가 포함되어 있습니다. 다음은 /var/lib/dirsrv/slapd-인스턴스/db 디렉토리 콘텐츠의 샘플 목록입니다.
예 2.1. 데이터베이스 디렉터리 콘텐츠
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/-
DB.00x파일 - 데이터베이스에 내부적으로 사용되며 어떠한 방식으로든 이동, 삭제 또는 수정하지 않아야 합니다. -
log.xxxxxxfiles - 데이터베이스당 트랜잭션 로그를 저장하는 데 사용됩니다. -
DBVERSION- 데이터베이스 버전을 저장하는 데 사용됩니다. -
UserRoot- setup에 생성된 사용자 정의 접미사(사용자 정의 데이터베이스)를 저장합니다(예:dc=example,dc=com).
디렉터리 트리를 새 접미사로 저장하기 위해 새 데이터베이스(예: testRoot)가 생성되면 testRoot 라는 디렉터리도 /var/lib/dirsrv/slapd-인스턴스/db 디렉터리에 표시됩니다.
다음은 사용자Root 디렉터리 콘텐츠의 샘플 목록입니다.
예 2.2. 사용자 루트 데이터베이스 디렉터리 콘텐츠
ancestorid.db DBVERSION entryrdn.db id2entry.db nsuniqueid.db numsubordinates.db objectclass.db parentid.db
userroot 하위 디렉터리에는 다음 파일이 포함되어 있습니다.
-
ancestorid.db- 항목의 상위 항목의 ID를 찾는 ID 목록을 포함합니다. -
entrydn.db- ID를 찾을 수 있는 전체 DN 목록이 포함되어 있습니다. -
id2entry.db- 실제 디렉터리 데이터베이스 항목이 포함되어 있습니다. 다른 모든 데이터베이스 파일은 필요한 경우 이 장치에서 다시 만들 수 있습니다. -
nsuniqueid.db- ID를 찾을 수 있는 고유한 ID 목록을 포함합니다. -
numsubordinates.db- 하위 항목이 있는 ID를 포함합니다. -
Objectclass.db - 특정 오브젝트클래스가 있는 ID 목록을 포함합니다. -
parentID.db- 부모의 ID를 찾을 ID 목록을 포함합니다.
2.2.3. LDIF 파일
샘플 LDIF 파일은 LDIF 관련 파일을 저장하기 위해 /var/lib/dirsrv/slapd-인스턴스/ldif 디렉터리에 저장됩니다. 예 2.3. “LDIF 디렉터리 콘텐츠” /ldif 디렉토리 콘텐츠를 나열합니다.
예 2.3. LDIF 디렉터리 콘텐츠
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
-
European.ldif- 유럽 문자 샘플을 포함합니다. -
example.ldif- 샘플 LDIF 파일입니다. -
example
-roles.ldif- 디렉터리 관리자에게 액세스 제어 및 리소스 제한을 설정하기 위해 그룹 대신 역할 및 서비스 클래스를 사용한다는 점을 제외하고는Example.ldif파일과 유사한 샘플 LDIF 파일입니다.
인스턴스 디렉터리에 db2ldif 또는 db2ldif.pl 스크립트에서 내보낸 LDIF 파일은 /var/lib/dirsrv/slapd-인스턴스/ldif 에 저장됩니다.
2.2.4. 파일 잠금
각 Directory Server 인스턴스에는 잠금 관련 파일을 저장하기 위한 /var/lock/dirsrv/slapd-인스턴스 디렉터리가 포함되어 있습니다. 다음은 잠금 디렉터리 콘텐츠의 샘플 목록입니다.
예 2.4. 디렉터리 콘텐츠 잠금
exports/ imports/ server/
잠금 메커니즘은 한 번에 실행할 수 있는 Directory Server 프로세스의 복사본 수를 제어합니다. 예를 들어 가져오기 작업이 있는 경우 다른 ns-slapd (일반), ldif2db ( 가져오기) 또는 디렉토리에 배치됩니다. 서버가 정상적으로 실행 중인 경우 db2ldif (export) 작업이 실행되지 않도록 잠금이 import/server/ 디렉터리에 잠금이 있어 가져오기 작업(내보내기 작업 없음)이 발생하지만 내보내기 작업이 있는 경우 exports/ 디렉터리에 잠금이 있으면 가져오기 작업을 허용하지만 가져오기 작업이 방지됩니다.
사용 가능한 잠금 수가 전체 Directory Server 성능에 영향을 줄 수 있습니다. nsslapd-db-locks 속성에 잠금 수가 설정됩니다. 해당 특성 값은 성능 튜닝 가이드에 설명되어 있습니다.
2.2.5. 로그 파일
각 Directory Server 인스턴스에는 로그 파일을 저장하기 위한 /var/log/dirsrv/slapd-인스턴스 디렉터리가 포함되어 있습니다. 다음은 /logs 디렉토리 콘텐츠의 샘플 목록입니다.
예 2.5. 로그 디렉터리 콘텐츠
access access.20200228-171925 errors access.20200221-162824 access.rotationinfo errors.20200221-162824 access.20200223-171949 audit errors.rotationinfo access.20200227-171818 audit.rotationinfo slapd.stats
-
액세스,감사및오류로그 파일의 내용은 로그 구성에 따라 달라집니다. -
slapd.stats파일은 편집기에서 읽을 수 없는 메모리 매핑된 파일입니다. Directory Server SNMP 데이터 수집 구성 요소에서 수집한 데이터를 포함합니다. 이 데이터는 SNMP 속성 쿼리에 대한 응답으로 SNMP 하위 에이전트가 읽고 Directory Server SNMP 요청을 처리하는 SNMP 마스터 에이전트와 통신합니다.
7장. 로그 파일 참조 액세스, 오류 및 감사 로그 파일 형식과 해당 정보에 대한 강력한 개요가 포함되어 있습니다.
2.2.6. PID 파일
slapd-serverID.pid 및 slapd-serverID.startpid 파일은 서버가 가동되어 실행될 때 /var/run/dirsrv 디렉토리에 생성됩니다. 두 파일 모두 서버의 프로세스 ID를 저장합니다.
2.2.7. 백업 파일
각 Directory Server 인스턴스는 백업 관련 파일을 저장하기 위한 다음 디렉터리 및 파일을 포함합니다.
-
/var/lib/dirsrv/slapd-인스턴스-2020_05_02_16_56_05/ .와 같이 데이터베이스 백업인스턴스, 시간 및 날짜와 함께 날짜를 포함합니다. 이 디렉터리는 데이터베이스 백업 사본을 포함합니다. -
/etc/dirsrv/slapd-인스턴스/dse_original.ldif- 설치 시dse.ldif구성 파일의 백업 사본입니다.
3장. 코어 서버 구성 참조
이 장에서는 모든 코어(서버 관련) 특성에 대한 알파벳 참조를 제공합니다. 2.2.1.1절. “디렉터리 서버 구성 개요” Red Hat Directory Server 구성 파일을 간략하게 설명합니다.
3.1. 코어 서버 구성 속성 참조
이 섹션에는 핵심 서버 기능과 관련된 구성 속성에 대한 참조 정보가 포함되어 있습니다. 서버 구성 변경에 대한 자세한 내용은 2.2.1.2절. “서버 구성 액세스 및 수정” 을 참조하십시오. 플러그인으로 구현된 서버 기능 목록은 4.1절. “서버 플러그인 기능 참조” 에서 참조하십시오. 사용자 지정 서버 기능을 구현하는 데 도움이 필요하면 Directory Server 지원에 문의하십시오.
dse.ldif 파일에 저장된 구성 정보는 다음 다이어그램에 표시된 것처럼 일반 구성 항목 cn=config 아래에 정보 트리로 구성됩니다.
그림 3.1. 디렉터리 정보 트리 표시 구성 데이터
이러한 구성 트리 노드 대부분은 다음 섹션에서 다룹니다.
cn=plugins 노드는 4장. 플러그인 실행 서버 기능 참조 에서 다룹니다. 각 특성에 대한 설명에는 디렉터리 항목의 DN, 기본값, 유효한 값 범위 및 사용 예시와 같은 세부 정보가 포함되어 있습니다.
이 장에서 설명하는 일부 항목 및 속성은 향후 제품 릴리스에서 변경될 수 있습니다.
3.1.1. cn=config
일반 구성 항목은 cn=config 항목에 저장됩니다. cn=config 항목은 nsslapdConfig 오브젝트 클래스의 인스턴스이며, 결국 extensibleObject 개체 클래스에서 상속됩니다.
3.1.1.1. nsslapd-accesslog (Access Log)
이 속성은 각 LDAP 액세스를 기록하는 데 사용되는 로그의 경로와 파일 이름을 지정합니다. 기본적으로 로그 파일에 다음 정보가 기록됩니다.
- 데이터베이스에 액세스한 클라이언트 시스템의 IP 주소(IPv4 또는 IPv6).
- 수행되는 작업(예: 검색, 추가 및 수정).
- 액세스 결과(예: 반환된 항목 수 또는 오류 코드)입니다.
액세스 로깅 비활성화에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "서버 및 데이터베이스 활동 모니터링" 장을 참조하십시오.
액세스 로깅을 활성화하려면 이 속성에 유효한 경로와 매개 변수가 있어야 하며 nsslapd-accesslog-logging-enabled 구성 특성을 켜야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 액세스 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
표 3.1. DSE.ldif 파일 속성
| 속성 | 값 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 빈 문자열 | disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On filename | enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 빈 문자열 | disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | disabled |
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 모든 파일 이름. |
| 기본값 | /var/log/dirsrv/slapd-instance/access |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level (Access Log Level)
이 속성은 액세스 로그에 기록되는 항목을 제어합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | * 0 - 액세스 로깅 없음 * 4 - 내부 액세스 작업을 위한 로깅 * 256 - 연결, 작업 및 결과에 대한 로깅 * 512 - 엔트리 및 추천에 대한 액세스를 위한 로깅
* 이러한 값은 정확한 유형의 로깅을 제공하기 위해 함께 추가할 수 있습니다. 예를 들어 |
| 기본값 | 256 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list (액세스 로그 파일 목록)
설정할 수 없는 이 읽기 전용 속성은 액세스 로그 회전에 사용되는 액세스 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering (Log Buffering)
off 로 설정하면 서버는 모든 액세스 로그 항목을 디스크에 직접 씁니다. 버퍼링을 사용하면 서버에 성능에 영향을 주지 않고 로드가 많은 경우에도 액세스 로깅을 사용할 수 있습니다. 그러나 디버깅할 때 로그 항목이 파일에 플러시될 때까지 기다리지 않고 작업과 결과를 즉시 확인하기 위해 버퍼링을 비활성화하는 것이 유용할 수 있습니다. 로그 버퍼링을 비활성화하면 로드된 서버의 성능에 심각한 영향을 미칠 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime (Access Log Expiration Time)
이 속성은 로그 파일이 삭제되기 전에 도달할 수 있는 최대 기간을 지정합니다. 이 속성은 단위 수만 제공합니다. 단위는 nsslapd-accesslog-logexpirationtimeunit 속성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다.A value of -1 or 0 means that the log never expires. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit (Access Log Expiration Time Unit)
이 속성은 nsslapd-accesslog-logexpirationtime 속성의 단위를 지정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, then the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day |
| 기본값 | month |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled (Access Log Enable Logging)
각 데이터베이스 액세스를 기록하는 데 사용되는 로그의 경로 및 매개변수를 지정하는 nsslapd-accesslog 속성과 함께 accesslog 로깅을 비활성화하고 활성화합니다.
액세스 로깅을 활성화하려면 이 특성을 on 으로 전환해야 하며 nsslapd-accesslog 구성 속성에는 유효한 경로 및 매개변수가 있어야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 액세스 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
표 3.2. dse.ldif Attributes
| 속성 | 값 | Enabled 또는 Disabled 로깅 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On 빈 문자열 | disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | On filename | enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 빈 문자열 | disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | disabled |
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace (Access Log Maximum Disk Space)
이 속성은 액세스 로그가 사용할 수 있는 최대 디스크 공간(MB)을 지정합니다. 이 값을 초과하면 가장 오래된 액세스 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 액세스 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 액세스 로그에 허용된 디스크 공간이 크기 제한이 없음을 의미합니다. |
| 기본값 | 500 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace (Access Log Minimum Free Disk Space)
이 속성은 허용되는 최소 디스크 공간을 메가바이트 단위로 설정합니다. 사용 가능한 디스크 공간의 양이 이 특성에 지정된 값 아래로 떨어지면 이 특성을 충족하기 위해 충분한 디스크 공간을 확보할 때까지 가장 오래된 액세스 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled (Access Log Rotation Sync Enabled)
이 특성은 액세스 로그 순환이 특정 요일과 동기화될지 여부를 설정합니다. 이러한 방식으로 동기화 로그 회전은 매일 자정하는 것과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 그러면 로그 파일을 달력에 직접 매핑하므로 로그 파일을 훨씬 쉽게 분석할 수 있습니다.
액세스 로그 순환이 시간별 시간과 동기화되도록 하려면 이 특성을 nsslapd-accesslog-logrotationsynchour 및 nsslapd-accesslog-logrotationsyncmin 속성 값으로 설정해야 합니다.
예를 들어 자정마다 액세스 로그 파일을 순환하려면 해당 값을 on 으로 설정하여 이 특성을 활성화한 다음 nsslapd-accesslog-logrotationsynchour 및 nsslapd-accesslog-logrotationsyncmin 특성을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-logrotationsync-enabled: on |
3.1.1.11. nsslapd-accesslog-logrotationsynchour (Access Log Rotation Sync Hour)
이 속성은 액세스 로그를 회전하는 데 하루의 시간을 설정합니다. 이 속성은 nsslapd-accesslog-logrotationsync-enabled 및 nsslapd-accesslog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin (Access Log Rotation Sync Minute)
이 속성은 액세스 로그를 회전하는 데 하루의 분을 설정합니다. 이 속성은 nsslapd-accesslog-logrotationsync-enabled 및 nsslapd-accesslog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 59 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime (Access Log Rotation Time)
이 속성은 액세스 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-accesslog-logrotationtimeunit 속성에서 제공합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
로그가 무한하게 증가하기 때문에 성능 상의 이유로 로그 순환을 지정하지 않는 것이 권장되지는 않지만 이 방법을 두 가지 방법으로 지정할 수 있습니다. nsslapd-accesslog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-accesslog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-accesslog-maxlogsperdir 속성을 먼저 확인하고, 이 속성 값이 1 보다 크면 서버에서 nsslapd-accesslog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.16절. “nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 액세스 로그 파일 순환 사이의 시간이 무제한임을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit (Access Log Rotation Time Unit)
이 속성은 nsslapd-accesslog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day | hour | minute |
| 기본값 | day |
| 구문 | DirectoryString |
| 예제 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize (Access Log Maximum Log Size)
이 속성은 최대 로그 크기(MB)를 설정합니다. 이 값에 도달하면 액세스 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-accesslog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 특성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 액세스 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir (Access Log Maximum Number of Log Files)
이 속성은 액세스 로그가 저장된 디렉터리에 포함될 수 있는 총 액세스 로그 수를 설정합니다. 액세스 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 액세스 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 가장 오래된 버전의 로그 파일이 삭제됩니다. 성능상의 이유로 서버가 로그를 회전 하지 않고 무기한 증가하므로 이 값을 1 로 설정하지 않는 것이 좋습니다.
이 속성의 값이 1 보다 크면 nsslapd-accesslog-logrotationtime 속성을 확인하여 로그 회전이 지정되는지 여부를 확인합니다. nsslapd-accesslog-logrotationtime 속성의 값이 -1 이면 로그 순환이 없습니다. 자세한 내용은 3.1.1.13절. “nsslapd-accesslog-logrotationtime (Access Log Rotation Time)”를 참조하십시오.
nsslapd-accesslog-logminfreediskspace 및 nsslapd-accesslog-maxlogsize 에 설정된 값에 따라 실제 로그 수는 nsslapd-accesslog-maxlogsperdir 에서 구성한 것보다 적을 수 있습니다. 예를 들어 nsslapd-accesslog-maxlogsperdir 이 기본값 (10개 파일)을 사용하고 nsslapd-accesslog-logminfreediskspace 를 500 MB로 설정하고 nsslapd-accesslog-maxlogsize 를 100 MB로 설정하면 Directory Server는 5개의 액세스 파일만 유지합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 10 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode (Access Log File Permission)
이 특성은 생성할 액세스 로그 파일이 있는 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 000 에서 777 로 조합됩니다(숫자 또는 절대 UNIX 파일 권한 미러링). 값은 3자리 숫자여야 하며 숫자는 0 부터 7 까지입니다.
-
0- none -
1- 실행만 -
2- 쓰기 전용 -
3- 쓰기 및 실행 -
4- 읽기 전용 -
5- 읽기 및 실행 -
6- 읽기 및 쓰기 -
7- 읽기, 쓰기, 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내고, 두 번째 숫자는 그룹의 권한을 나타내고, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한을 허용하면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 로그가 새 파일로 순환되면 모드가 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 000에서 777을 통해 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예제 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
사용자가 바인딩 DN 또는 암호를 제공하지 않고 Directory Server에 연결을 시도하면 익명 바인딩 입니다. 익명 바인딩은 사용자가 먼저 디렉토리에 인증할 필요 없이, 전화 번호 또는 이메일 주소에 대한 디렉터리를 확인하는 것과 같은 일반적인 검색 및 읽기 작업을 단순화합니다.
그러나 익명의 바인딩에는 위험이 있습니다. 중요한 정보에 대한 액세스를 제한하고 수정 및 삭제와 같은 조치를 허용하지 않도록 적절한 ACIs를 마련해야 합니다. 또한 익명 바인딩은 서비스 거부 공격 또는 악의적인 사용자가 서버에 액세스할 수 있도록 사용할 수 있습니다.Additionally, anonymous binds can be used for denial of service attacks or for malicious people to gain access to the server.
보안을 강화하기 위해 익명 바인딩을 비활성화할 수 있습니다(off). 기본적으로 검색 및 읽기 작업에 대해 익명 바인딩이 허용됩니다.By default, anonymous binds are allowed for search and read operations. 이를 통해 사용자 및 그룹 항목 및 루트 DSE와 같은 구성 항목을 포함하는 일반 디렉터리 항목에 액세스할 수 있습니다. 세 번째 옵션인 rootdse 를 사용하면 익명 검색 및 읽기 액세스 권한을 사용하여 루트 DSE 자체를 검색할 수 있지만 다른 모든 디렉터리 항목에 대한 액세스를 제한합니다.
필요한 경우 3.1.1.22절. “nsslapd-anonlimitsdn” 에 설명된 대로 nsslapd-anonlimitsdn 속성을 사용하여 리소스 제한을 익명 바인딩에 배치할 수 있습니다.
이 값을 변경하면 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | on | off | rootdse |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-allow-anonymous-access: on |
3.1.1.19. nsslapd-allow-hashed-passwords
이 매개변수는 사전에 사용된 암호 확인을 비활성화합니다. 기본적으로 Directory Server는 Directory Manager 이외의 다른 사용자가 설정한 암호를 허용하지 않습니다. Password Administrators 그룹에 추가할 때 이 권한을 다른 사용자에게 위임할 수 있습니다. 그러나 복제 파트너가 이미 사전에 사용된 암호 확인을 제어하는 경우와 같은 일부 시나리오에서는 이 기능을 Directory Server에서 비활성화해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
인증되지 않은 바인딩은 사용자가 빈 암호를 제공하는 Directory Server에 대한 연결입니다. 기본 설정을 사용하여 Directory Server는 보안상의 이유로 이 시나리오에서 액세스를 거부합니다.
인증되지 않은 바인딩을 활성화하지 않는 것이 좋습니다. 이 인증 방법을 사용하면 Directory Manager를 포함하여 모든 계정으로 암호를 제공하지 않고도 바인딩할 수 있습니다. 바인딩 후 사용자는 바인딩에 사용되는 계정의 권한으로 모든 데이터에 액세스할 수 있습니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
기본적으로 루트 DSE는 SASL 라이브러리에서 지원하는 모든 메커니즘을 나열합니다. 그러나 일부 환경에서는 특정 환경만 선호됩니다. nsslapd-allowed-sasl-mechanisms 속성을 사용하면 몇 가지 정의된 SASL 메커니즘만 활성화할 수 있습니다.
메커니즘 이름은 대문자, 숫자, 밑줄로 구성되어야 합니다. 각 메커니즘은 쉼표 또는 공백으로 구분할 수 있습니다.
EXTERNAL 메커니즘은 실제로 SASL 플러그인에 의해 사용되지 않습니다. 서버 내부이며 주로 TLS 클라이언트 인증에 사용됩니다. 따라서 EXTERNAL 메커니즘을 제한하거나 제어할 수 없습니다. nsslapd-allowed-sasl-mechanisms 속성에 설정된 것과 관계없이 지원되는 메커니즘 목록에 항상 표시됩니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 SASL 메커니즘 |
| 기본값 | none(모든 SASL 메커니즘은 허용됨) |
| 구문 | DirectoryString |
| 예제 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
인증된 바인딩에 리소스 제한을 설정할 수 있습니다. 리소스 제한은 검색을 위해 검색할 수 있는 총 항목 수(nsslapd-sizeLimit), 시간 제한(nsslapd-timelimit) 및 시간 초과 기간(nsslapd-idletimeout) 및 검색할 수 있는 총 항목 수(nsslapd-lookthroughlimit)에 대한 제한을 설정할 수 있습니다. 이러한 리소스 제한을 통해 서비스 거부 공격으로 디렉터리 리소스를 제한하고 전반적인 성능이 향상되지 않습니다.
리소스 제한은 사용자 항목에 설정됩니다. 익명 바인딩은 분명히 사용자 항목이 연결되어 있지 않습니다. 즉, 리소스 제한은 일반적으로 익명 작업에 적용되지 않습니다.
익명 바인딩에 대한 리소스 제한을 설정하려면 적절한 리소스 제한을 사용하여 템플릿 항목을 생성할 수 있습니다. 그런 다음 이 항목을 가리키는 nsslapd-anonlimitsdn 구성 특성을 추가하고 리소스 제한을 익명 바인딩에 적용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-anonsdn: cn=anon 템플릿,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
이 특성을 사용하면 특성 이름의 비표준 문자를 스키마 정의 속성의 "_"와 같은 이전 버전과의 호환성을 위해 사용할 수 있습니다.This attribute allows non-standard characters in attribute names to be used for backward compatibility with older servers, such as "_" in schema-defined attributes.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog (Audit Log)
이 특성은 각 데이터베이스에 대한 변경 사항을 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/audit |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
감사 로깅을 활성화하려면 이 속성에 유효한 경로 및 매개변수가 있어야 하며 nsslapd-auditlog-logging-enabled 구성 속성을 켜야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 감사 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
표 3.3. nsslapd-auditlog에 대한 가능한 Combinations
| dse.ldif의 속성 | 값 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 빈 문자열 | disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On filename | enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 빈 문자열 | disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
nsslapd-auditlog-display-attrs 속성을 사용하면 Directory Server가 감사 로그에 표시되는 속성을 설정하여 수정 중인 항목에 대한 유용한 정보를 제공할 수 있습니다. 감사 로그에 속성을 추가하면 항목에서 특정 속성의 현재 상태와 해당 항목의 세부 정보를 확인할 수 있습니다.
다음 옵션 중 하나를 선택하여 로그에 속성을 표시할 수 있습니다.
- Directory Server가 수정하는 항목의 특정 속성을 표시하려면 특성 이름을 값으로 제공합니다.
- 둘 이상의 특성을 표시하려면 특성 이름의 공백으로 구분된 목록을 값으로 제공합니다.
- 항목의 모든 속성을 표시하려면 별표(*)를 값으로 사용합니다.
Directory Server가 감사 로그에 표시해야 하는 특성의 공백으로 구분된 목록을 제공하거나 별표(*)를 값으로 사용하여 수정 중인 항목의 모든 속성을 표시합니다.
예를 들어 감사 로그 출력에 cn 특성을 추가하려고 합니다. nsslapd-auditlog-display-attrs 속성을 cn 로 설정하면 감사 로그에 다음 출력이 표시됩니다.
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 속성 이름입니다. 감사 로그에 항목의 모든 속성을 표시하려면 별표 (*)를 사용합니다. |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
감사 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime (Audit Log Expiration Time)
이 특성은 로그 파일이 삭제되기 전에 허용되는 최대 기간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-auditlog-logexpirationtimeunit 속성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다.A value of -1 or 0 means that the log never expires. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit (Audit Log Expiration Time Unit)
이 속성은 nsslapd-auditlog-logexpirationtime 속성의 단위를 설정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, then the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day |
| 기본값 | week |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled (Audit Log Enable Logging)
감사 로깅을 설정하고 해제합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-logging-enabled: off |
감사 로깅을 활성화하려면 이 속성에 유효한 경로 및 매개변수가 있어야 하며 nsslapd-auditlog-logging-enabled 구성 속성을 켜야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 감사 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
표 3.4. nsslapd-auditlog 및 nsslapd-auditlog-logging-enabled에 대해 가능한 조합
| 속성 | 값 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On 빈 문자열 | disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | On filename | enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 빈 문자열 | disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace (Audit Log Maximum Disk Space)
이 속성은 감사 로그가 사용할 수 있는 최대 디스크 공간(MB)을 설정합니다. 이 값을 초과하면 가장 오래된 감사 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 감사 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 감사 로그에 허용되는 디스크 공간이 무제한임을 의미합니다. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreedisk space (Audit Log Minimum Free Disk Space)
이 속성은 최소 허용 가능한 디스크 공간을 메가바이트 단위로 설정합니다. 사용 가능한 디스크 공간의 양이 이 속성에서 지정한 값 아래로 떨어지면 이 특성을 충족하기 위해 충분한 디스크 공간을 확보할 때까지 가장 오래된 감사 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1(제한 없음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled (Audit Log Rotation Sync Enabled)
이 속성은 감사 로그 순환을 하루의 특정 시간과 동기화할지 여부를 설정합니다. 이러한 방식으로 동기화 로그 회전은 매일 자정하는 것과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 그러면 로그 파일을 달력에 직접 매핑하므로 로그 파일을 훨씬 쉽게 분석할 수 있습니다.
감사 로그 순환이 일별 시간과 동기화되도록 하려면 이 특성을 nsslapd-auditlog-logrotationsynchour 및 nsslapd-auditlog-logrotationsyncmin 속성 값으로 설정해야 합니다.
예를 들어 자정마다 감사 로그 파일을 순환하려면 해당 값을 on 으로 설정하여 이 속성을 활성화한 다음 nsslapd-auditlog-logrotationsynchour 및 nsslapd-auditlog-logrotationsyncmin 특성을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-logrotationsync-enabled: on |
3.1.1.33. nsslapd-auditlog-logrotationsynchour (Audit Log Rotation Sync Hour)
이 속성은 감사 로그를 회전하는 날의 시간을 설정합니다. 이 속성은 nsslapd-auditlog-logrotationsync-enabled 및 nsslapd-auditlog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin (Audit Log Rotation Sync Minute)
이 속성은 감사 로그를 회전하는 데 하루의 분을 설정합니다. 이 속성은 nsslapd-auditlog-logrotationsync-enabled 및 nsslapd-auditlog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 59 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)
이 속성은 감사 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-auditlog-logrotationtimeunit 속성에서 제공합니다. nsslapd-auditlog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 특성을 무시합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
성능상의 이유로 로그 순환을 지정하지 않는 것은 권장되지 않지만 로그가 무기한 증가하면 두 가지 방법으로 지정할 수 있습니다. nsslapd-auditlog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-auditlog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-auditlog-maxlogsperdir 속성을 먼저 확인하고, 이 속성 값이 1 보다 크면 서버에서 nsslapd-auditlog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.38절. “nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 감사 로그 파일 순환 사이의 시간이 무제한임을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit (Audit Log Rotation Time Unit)
이 속성은 nsslapd-auditlog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day | hour | minute |
| 기본값 | week |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize (Audit Log Maximum Log Size)
이 속성은 최대 감사 로그 크기(MB)를 설정합니다. 이 값에 도달하면 감사 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-auditlog-maxlogsperdir 이 1 로 설정된 경우 서버는 이 특성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 감사 로그의 총 디스크 공간과 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir (Audit Log Maximum Number of Log Files)
이 속성은 감사 로그가 저장된 디렉터리에 포함될 수 있는 총 감사 로그 수를 설정합니다. 감사 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 감사 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 허용하면 서버는 로그를 순환하지 않으며 무한으로 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-auditlog-logrotationtime 속성을 확인하여 로그 순환이 지정되는지 여부를 확인합니다. nsslapd-auditlog-logrotationtime 속성의 값이 -1 이면 로그 순환이 없습니다. 자세한 내용은 3.1.1.35절. “nsslapd-auditlog-logrotationtime (Audit Log Rotation Time)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode (Audit Log File Permission)
이 특성은 감사 로그 파일을 생성할 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 숫자 또는 절대 UNIX 파일 권한을 미러링하므로 10,000~ 777 의 조합입니다. 값은 3자리 숫자, 숫자 0 에서 7 까지의 조합이어야 합니다.
- 0 - none
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기, 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내고, 두 번째 숫자는 그룹의 권한을 나타내고, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한을 허용하면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 로그가 새 파일로 순환되면 모드가 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 000에서 777을 통해 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예제 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog (Audit Fail Log)
이 속성은 실패한 LDAP 수정 사항을 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다.
nsslapd-auditfaillog-logging-enabled 가 활성화되고 nsslapd-auditfaillog 가 설정되지 않은 경우 감사 실패 이벤트가 nsslapd-auditlog 에 지정된 파일에 기록됩니다.
nsslapd-auditfaillog 매개변수를 nsslapd-auditlog 와 동일한 경로로 설정하면 둘 다 동일한 파일에 기록됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/audit |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
감사 실패 로그를 활성화하려면 이 속성에 유효한 경로가 있어야 하며 nsslapd-auditfaillog-logging-enabled 속성을 on으로 설정해야 합니다.
3.1.1.41. nsslapd-auditfaillog-list
감사 실패 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime (Audit Fail Log Expiration Time)
이 특성은 제거되기 전에 로그 파일의 최대 사용 기간을 설정합니다. 그것은 단위의 수에 공급됩니다. nsslapd-auditfaillog-logexpirationtimeunit 속성에서 Day, week, month 등과 같은 단위를 지정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다.A value of -1 or 0 means that the log never expires. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit (Audit Fail Log Expiration Time Unit)
이 속성은 nsslapd-auditfaillog-logexpirationtime 속성의 단위를 설정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day |
| 기본값 | week |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-logging-enabled (Audit Fail Log Enable Logging)
실패한 LDAP 수정의 로깅을 켜고 비활성화합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace (Audit Fail Log Maximum Disk Space)
이 속성은 감사 로그가 사용할 수 있는 최대 디스크 공간(MB)을 설정합니다. 크기가 제한을 초과하는 경우 가장 오래된 감사 실패 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 감사 실패 로그에 허용된 디스크 공간이 크기 제한이 없음을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace (Audit Fail Log Minimum Free Disk Space)
이 속성은 최소 허용 가능한 디스크 공간을 메가바이트 단위로 설정합니다. 사용 가능한 디스크 공간의 양이 지정된 값보다 작으면 충분한 디스크 공간을 확보할 때까지 가장 오래된 감사 실패 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1(제한 없음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled (Audit Fail Log Rotation Sync Enabled)
이 특성은 감사 실패 로그 순환이 특정 요일과 동기화되는지 여부를 설정합니다. 이러한 방식으로 동기화 로그 회전은 매일 자정하는 것과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 그러면 로그 파일을 달력에 직접 매핑하므로 로그 파일을 훨씬 쉽게 분석할 수 있습니다.
감사 실패 로그 순환은 시간별 시간과 동기화되도록 하려면 nsslapd-auditfaillog-logrotationsynchour 및 nsslapd-auditfaillog-logrotationsyncmin 특성 값이 회전된 로그 파일의 시간 및 분으로 설정된 경우 이 특성을 활성화해야 합니다.
예를 들어, 자정마다 감사 실패 로그 파일을 교체하려면 해당 값을 on 으로 설정하여 이 속성을 활성화한 다음 nsslapd-auditfaillog-logrotationsynchour 및 nsslapd-auditfaillog-logrotationsyncmin 특성을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog-logrotationsync-enabled: on |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour (Audit Fail Log Rotation Sync Hour)
이 속성은 감사 실패 로그가 순환된 날의 시간을 설정합니다. 이 속성은 nsslapd-auditfaillog-logrotationsync-enabled 및 nsslapd-auditfaillog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin (Audit Fail Log Rotation Sync Minute)
이 속성은 감사 실패 로그가 순환되는 분을 설정합니다. 이 속성은 nsslapd-auditfaillog-logrotationsync-enabled 및 nsslapd-auditfaillog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 59 |
| 기본값 |
none ( |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)
이 속성은 감사 실패 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-auditfaillog-logrotationtimeunit 속성에서 제공합니다. nsslapd-auditfaillog-maxlogsperdir 속성이 1 로 설정된 경우 서버는 이 특성을 무시합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
성능상의 이유로 로그 순환을 지정하지 않는 것은 권장되지 않지만 로그가 무기한 증가하면 두 가지 방법으로 지정할 수 있습니다. nsslapd-auditfaillog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-auditfaillog-logrotationtime 속성을 -1. 서버는 nsslapd-auditfaillog-maxlogsperdir 속성을 먼저 확인하고, 이 속성 값이 1 보다 크면 서버에서 nsslapd-auditfaillog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.53절. “nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 감사 실패 로그 파일 순환 사이의 시간을 무제한으로 나타냅니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit (Audit Fail Log Rotation Time Unit)
이 속성은 nsslapd-auditfaillog-logrotationtime 속성의 단위를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day | hour | minute |
| 기본값 | week |
| 구문 | DirectoryString |
| 예제 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize (Audit Fail Log Maximum Log Size)
이 속성은 최대 감사 실패 로그 크기(MB)를 설정합니다. 이 값에 도달하면 감사 실패 로그가 순환됩니다. 즉, 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-auditfaillog-maxlogsperdir 매개변수가 1 로 설정된 경우 서버는 이 특성을 무시합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir (Audit Fail Log Maximum Number of Log Files)
이 속성은 감사 로그가 저장된 디렉터리에 포함될 수 있는 총 감사 실패 로그 수를 설정합니다. 감사 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 감사 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 로그 파일의 가장 오래된 버전이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 허용하면 서버는 로그를 순환하지 않으며 무한으로 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-auditfaillog-logrotationtime 속성을 확인하여 로그 순환이 지정되는지 여부를 확인합니다. nsslapd-auditfaillog-logrotationtime 속성에 -1 값이 있는 경우 로그 순환이 없습니다. 자세한 내용은 3.1.1.50절. “nsslapd-auditfaillog-logrotationtime (Audit Fail Log Rotation Time)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode (Audit Fail Log File Permission)
이 특성은 감사 실패 로그 파일을 생성할 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 숫자 또는 절대 UNIX 파일 권한을 미러링하므로 10,000~ 777 의 조합입니다. 값은 3자리 숫자, 숫자 0 에서 7 까지의 조합이어야 합니다.
- 0 - none
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기, 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내고, 두 번째 숫자는 그룹의 권한을 나타내고, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한을 허용하면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 로그가 새 파일로 순환되면 모드가 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 000에서 777을 통해 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예제 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir (기본 백업 디렉터리)
이 매개변수는 기본 백업 디렉터리의 경로를 설정합니다. Directory Server 사용자는 구성된 디렉터리에 쓰기 권한이 있어야 합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 로컬 디렉터리 경로입니다. |
| 기본값 | /var/lib/dirsrv/slapd-instance/bak |
| 구문 | DirectoryString |
| 예제 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(인증서 및 키 데이터베이스 디렉터리)
이 매개 변수는 Directory Server에서 인스턴스의 NSS(Network Security Services) 데이터베이스를 저장하는 데 사용하는 디렉터리의 전체 경로를 정의합니다. 이 데이터베이스에는 인스턴스의 개인 키와 인증서가 포함되어 있습니다.
대체 방법으로 Directory Server는 개인 키와 인증서를 이 디렉토리에 추출합니다. 서버가 개인 네임 스페이스의 /tmp/ 디렉터리에 추출할 수 없는 경우. 개인 네임 스페이스에 대한 자세한 내용은 systemd.exec(5) 도움말 페이지의 PrivateTmp 매개변수 설명을 참조하십시오.
nsslapd-certdir 에 지정된 디렉터리는 서버의 사용자 ID가 소유해야 하며 이 사용자 ID만 이 디렉터리에 읽기-쓰기 권한이 있어야 합니다. 보안상의 이유로 다른 사용자는 이 디렉터리를 읽거나 쓸 수 있는 권한이 없어야 합니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 절대 경로 |
| 기본값 | /etc/dirsrv/slapd-instance_name/ |
| 구문 | DirectoryString |
| 예제 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn (인증서 맵 검색 기준)
이 속성은 /etc/dirsrv/slapd-instance_name/certmap.conf 파일에 구성된 보안 하위 시스템 인증서 매핑의 제한을 방지하기 위해 TLS 인증서를 사용하여 클라이언트 인증을 수행할 때 사용할 수 있습니다. 이 파일의 구성에 따라 루트 DN을 기반으로 하는 디렉터리 하위 트리 검색을 사용하여 인증서 매핑을 수행할 수 있습니다. 검색이 루트 DN을 기반으로 하는 경우 nsslapd-certmap-basedn 속성은 검색을 루트 이외의 일부 항목을 기반으로 할 수 있습니다. 이 특성에 유효한 값은 인증서 매핑에 사용할 접미사 또는 하위 트리의 DN입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
이 읽기 전용 속성은 구성 DN입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 구성 DN |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
이 매개변수를 사용하면 CN 값 내에서 DN을 활성화할 수 있습니다.
Directory Server DN 노멀라이저는 RFC4514 를 따르고 RDN 특성 유형이 DN 구문을 기반으로 하지 않는 경우 공백을 유지합니다. 그러나 Directory Server의 구성 항목에서는 cn 속성을 사용하여 DN 값을 저장하는 경우가 있습니다. 예를 들어 dn: cn="dc=A,dc=com", cn=mapping 트리,cn=config.의 경우 DN 구문 다음에 cn 을 정규화해야 합니다.
이 구성이 필요한 경우 nsslapd-cn-uses-dn-syntax-in-dns 매개 변수를 활성화합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
이 특성은 연결 버퍼링 동작을 설정합니다. 가능한 값은 다음과 같습니다.
-
0: 버퍼링을 비활성화합니다. 단일 프로토콜 데이터 장치(PDU)만 한 번에 읽습니다. -
1: 일반 고정 크기LDAP_SOCKET_IO_BUFFER_SIZE512바이트. -
2: 조정 가능한 버퍼 크기.
값 2 는 클라이언트가 대량의 데이터를 한 번에 보내는 경우 더 나은 성능을 제공합니다. 예를 들어 대규모 추가 및 수정 작업의 경우 또는 복제 중과 같은 단일 연결에서 여러 비동기 요청이 수신되는 경우입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 0 | 1 | 2 |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
이 옵션을 사용하면 SASL NOCANON 플래그를 활성화하거나 비활성화할 수 있습니다. 비활성화는 발신 연결에 대한 DNS 역방향 항목을 찾는 것을 피합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
이 특성은 서버에서 지원하는 총 연결 수를 결정하는 연결 테이블 크기를 설정합니다.
Directory Server가 연결 슬롯이 없기 때문에 연결을 거부하면 이 속성의 값을 늘립니다. 이 경우 Directory Server의 오류 로그 파일은 새 연결을 수신 대기하지 않음 메시지를 기록합니다(다음으로 많은 fd가 열려 있음).
열린 파일 수와 프로세스당 열려 있는 파일의 수에 대한 운영 체제 제한을 늘려야 할 수 있으며 Directory Server를 시작하는 쉘의 열린 파일( ) 수에 대한 ulimit를 늘려야 할 수 있습니다.
ulimit -n
연결 테이블의 크기는 nsslapd-maxdescriptor. 자세한 내용은 3.1.1.118절. “nsslapd-maxdescriptors (Maximum File Descriptors)”를 참조하십시오.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 운영 체제에 따라 다릅니다. |
| 기본값 |
Directory Server 프로세스에서 열 수 있는 최대 파일 수입니다. |
| 구문 | 정수 |
| 예제 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 특성은 Directory Server 데이터베이스 및 서버 성능 카운터를 활성화하고 비활성화합니다.
더 큰 카운터를 추적하여 성능 영향이 있을 수 있습니다. 64비트 정수를 카운터로 끄면 장기 통계 추적에 부정적인 영향을 미치지만 성능을 최소화할 수 있습니다.
이 매개변수는 기본적으로 활성화되어 있습니다. 카운터를 비활성화하려면 Directory Server를 중지하고, dse.ldif 파일을 직접 편집하고 서버를 다시 시작합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
이 속성은 사용 가능한 경우 변경 시퀀스 번호(CSN)가 액세스 로그에 기록되는지 여부를 설정합니다. 기본적으로 CSN 로깅이 설정되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
이 속성은 구성된 모든 이름 지정 컨텍스트, 기본적으로 검색 기반으로 사용해야 하는 모든 이름 지정 컨텍스트를 제공합니다. 이 값은 기본NamingContext 속성으로 루트 DSE에 복사되므로 클라이언트가 루트 DSE를 쿼리하여 컨텍스트를 가져온 다음 적절한 기준으로 검색을 시작할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 root 접미사 DN |
| 기본값 | 기본 사용자 접미사 |
| 구문 | DN |
| 예제 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
이 속성을 사용하면 10초마다 10초마다 실행되는 스레드를 사용하여 디스크에서 사용 가능한 디스크 공간을 확인하거나 Directory Server 데이터베이스가 실행 중인 위치를 마운트할 수 있습니다. 사용 가능한 디스크 공간이 구성된 임계값 아래로 떨어지면 서버는 로깅 수준을 줄이고 액세스 또는 감사 로그를 비활성화하고 순환된 로그를 삭제합니다. 사용 가능한 공간을 확보하지 않으면 서버는 정상적으로 종료됩니다(Wanring 및 유예 기간 후).
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
3.1.1.70절. “nsslapd-disk-monitoring-threshold” 에 설정된 디스크 공간 제한의 절반에 도달한 후 서버를 종료하기 전에 대기하는 유예 기간을 설정합니다. 이렇게 하면 관리자가 디스크를 정리하고 종료를 방지할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 정수(분 단위 값 설정) |
| 기본값 | 60 |
| 구문 | 정수 |
| 예제 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
로그 디렉터리가 디스크 공간 제한에서 설정된 halfway 포인트를 통과하는 경우 서버 종료 여부를 설정합니다. 3.1.1.70절. “nsslapd-disk-monitoring-threshold”.
이 기능을 활성화하면 서버가 디스크 사용량을 줄이는 방법으로 로깅이 비활성화되고 순환된 로그가 삭제되지 않습니다. 서버는 단순히 종료 프로세스를 진행합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
사용 가능한 디스크 공간이 nsslapd-disk-monitoring-threshold 매개변수에 설정된 값의 절반에 도달하면 Directory Server가 nsslapd-disk-monitoring-grace-period 에 설정된 유예 기간 후에 인스턴스를 종료합니다. 그러나 인스턴스가 다운되기 전에 디스크가 공간이 부족하면 데이터가 손상될 수 있습니다. 이 문제를 방지하려면 nsslapd-disk-monitoring-readonly-on-threshold 매개변수를 활성화하면 Directory Server에서 임계값에 도달하면 인스턴스를 읽기 전용 모드로 설정합니다.
이 설정을 사용하면 사용 가능한 디스크 공간이 nsslapd-disk-monitoring-threshold 에 구성된 임계값의 절반 미만인 경우 Directory Server가 시작되지 않습니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
서버에 사용 가능한 디스크 공간이 충분한지 여부를 평가하는 데 사용할 임계값(바이트)을 설정합니다. 공간이 이 임계값의 절반에 도달하면 서버는 종료 프로세스를 시작합니다.
예를 들어 임계값이 2MB(기본값)인 경우 사용 가능한 디스크 공간이 1MB에 도달하면 서버가 종료되기 시작합니다.
기본적으로 임계값은 Directory Server 인스턴스에 대한 구성, 트랜잭션 및 데이터베이스 디렉터리에서 사용되는 디스크 공간에 백으로 평가됩니다. 3.1.1.68절. “nsslapd-disk-monitoring-logging-critical” 속성이 활성화된 경우 로그 디렉터리가 평가에 포함됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | * 0 32비트 시스템의 최대 32비트 정수 값 (2147483647) * 64-bit 시스템에서 최대 64비트 정수 값(9223372036854775807)으로 |
| 기본값 | 2000000 (2MB) |
| 구문 | DirectoryString |
| 예제 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
3.1.1.167절. “nsslapd-syntaxcheck” 속성을 사용하면 서버에서 새 또는 수정된 속성 값이 해당 속성의 필수 구문과 일치하는지 확인할 수 있습니다.
그러나 DN의 구문 규칙은 점점 더 엄격하게 증가했습니다. RFC 4514 에서 DN 구문 규칙을 적용하려고 하면 이전 구문 정의를 사용하여 많은 서버가 중단될 수 있습니다. 기본적으로 nsslapd-syntaxcheck 는 RFC 1779 또는 RFC 2253 을 사용하여 DN을 검증합니다.
nsslapd-dn-validate-strict 속성은 RFC 4514 의 섹션 3에 따라 DN에 대해 엄격한 구문 검증을 명시적으로 활성화합니다. 이 속성이 off (기본값)로 설정된 경우 서버는 구문 위반을 확인하기 전에 값을 정규화합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
Directory Server의 4.x 버전과 호환되는 cn=schema 의 스키마를 만듭니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 모드는 작업자 스레드가 연결에 전용되고 해당 연결에서 들어오는 작업을 지속적으로 읽을 수 있는 기능입니다. 이렇게 하면 활성 연결에서 성능이 향상될 수 있으며 이 기능은 기본적으로 활성화되어 있습니다.
작업자 스레드는 서버에서 수신한 LDAP 작업을 처리하고 있습니다. 작업자 스레드 수는 nsslapd-threadnumber 매개변수에 정의되어 있습니다. 5초마다 각 작업자 스레드는 현재 연결의 활동 수준이 설정된 모든 연결 중에서 가장 높은 수준인지 여부를 평가합니다. Directory Server는 마지막 점검 이후 시작된 작업 수로 활동을 측정하고 현재 연결의 활동이 가장 높은 경우 터보 모드에서 작업자 스레드를 전환합니다.
1초 이상 바인딩 작업에 대한 긴 실행시간(예: 로그 파일의 값)이 발생하면 turbo 모드를 비활성화하면 성능이 향상될 수 있습니다. 그러나 경우에 따라 긴 바인딩 시간은 네트워킹 또는 하드웨어 문제의 증상입니다. 이러한 상황에서는 turbo 모드를 비활성화하면 성능이 향상되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
단순 바인딩 중에 Directory Server는 바인딩 작업 특성으로 인해 일반 텍스트 암호에 액세스할 수 있습니다. nsslapd-enable-upgrade-hash 매개변수가 활성화되어 사용자가 인증되면 Directory Server는 사용자의 userPassword 속성이 passwordStorageScheme 속성에 설정된 해싱 알고리즘 세트를 사용하는지 확인합니다. 알고리즘이 다르면 서버는 passwordStorageScheme 의 알고리즘을 사용하여 일반 텍스트 암호를 해시하고 사용자의 userPassword 특성 값을 업데이트합니다.
예를 들어 약한 알고리즘을 사용하여 해시된 암호를 사용하여 사용자 항목을 가져오는 경우 서버는 기본적으로 PBKDF2_SHA256 인 passwordStorageScheme 에서 알고리즘 세트를 사용하여 사용자의 첫 번째 로그인 시 암호를 다시 확인합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc (Enable Superior Object Class Enquoting)
이 속성은 더 이상 사용되지 않으며 이후 버전의 Directory Server에서 제거됩니다.
이 속성은 cn=schema 항목에 포함된 objectclass 속성의 인용이 인터넷 초안 RFC 2252에 의해 지정된 인용을 준수하는지 여부를 제어합니다. 기본적으로 Directory Server는 이 값을 인용하지 않아야 함을 나타내는 RFC 2252를 따릅니다. 매우 오래된 클라이언트만 이 값을 on 으로 설정해야 하므로 꺼 주십시오.
이 속성을 켜거나 해제해도 Directory Server 콘솔에는 영향을 미치지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global 매개변수는 USN 플러그인이 모든 백엔드 데이터베이스 또는 각 데이터베이스에 개별적으로 고유한 업데이트 시퀀스 번호(USN)를 할당하는지 정의합니다. 모든 백엔드 데이터베이스에 대한 고유 USN의 경우 이 매개 변수를 의 로 설정합니다.
자세한 내용은 6.8절. “entryusn”의 내용을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
항목 업데이트 시퀀스 번호(USN)는 항목을 한 서버에서 내보내거나 복제용 데이터베이스를 초기화할 시기를 포함하여 다른 서버로 가져올 때 유지되지 않습니다. 기본적으로 가져온 항목의 USN 항목은 0으로 설정됩니다.
nsslapd-entryusn-import-initval 을 사용하여 USNs 항목에 대해 다른 초기 값을 구성할 수 있습니다. 이렇게 하면 가져온 모든 항목에 사용되는 시작 USN이 설정됩니다.
nsslapd-entryusn-import-initval 에 대해 가능한 값은 두 가지가 있습니다.
- 가져온 모든 항목에 사용되는 명시적 시작 번호입니다.An integer, which is the explicit start number used for every imported entry.
- 다음. 즉, 가져온 모든 항목은 가져오기 작업 전 서버에 가장 높은 항목 USN 값을 사용하고 하나씩 증가했음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 임의의 정수 | 다음 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog (오류 로그)
이 속성은 Directory Server에서 생성된 오류 메시지를 기록하는 데 사용되는 로그의 경로와 파일 이름을 설정합니다. 이러한 메시지에는 오류 조건을 설명할 수 있지만, 다음과 같은 정보 조건이 더 자주 포함됩니다.
- 서버 시작 및 종료 시간.
- 서버에서 사용하는 포트 번호입니다.
이 로그에는 로그 수준 특성의 현재 설정에 따라 다른 양의 정보가 포함되어 있습니다. 자세한 내용은 3.1.1.79절. “nsslapd-errorlog-level (오류 로그 수준)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 파일 이름 |
| 기본값 | /var/log/dirsrv/slapd-instance/errors |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog: /var/log/dirsrv/slapd-instance/errors |
오류 로깅을 활성화하려면 이 속성에 유효한 경로와 파일 이름이 있어야 하며 nsslapd-errorlog-logging-enabled 구성 속성을 켜야 합니다. 이 표에는 이러한 두 구성 속성에 대한 값의 네 가지 가능한 조합과 오류 로깅을 비활성화하거나 활성화하는 면에서 결과가 나와 있습니다.
표 3.5. nsslapd-errorlog Configuration Attributes에 대한 Combinations 가능
| dse.ldif의 속성 | 값 | 로깅 활성화 또는 비활성화 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | On 빈 문자열 | disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | On filename | enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 빈 문자열 | disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | disabled |
3.1.1.79. nsslapd-errorlog-level (오류 로그 수준)
이 특성은 Directory Server에 대한 로깅 수준을 설정합니다. 로그 수준은 additive입니다. 즉, 값을 3 으로 지정하면 수준 1 과 2 가 모두 포함됩니다.
nsslapd-errorlog-level 의 기본값은 16384 입니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | * 1 - 함수 호출을 추적합니다. 서버가 들어오고 함수를 종료할 때 메시지를 기록합니다. * 2 - 패킷 처리 디버깅. 4 - 대규모 추적 출력 디버깅입니다. * 8 - 연결 관리 * 16 - 전송/받기된 패킷을 인쇄합니다. * 32 - 검색 필터 처리 * 64 - 구성 파일 처리. * 128 - 액세스 제어 목록 처리. 1024 - 쉘 데이터베이스와의 통신 로그입니다. * 2048 - 로그 항목 구문 분석 디버깅입니다. * 4096 - 하우스키핑 스레드 디버깅. * 8192 - 복제 디버깅. 16384 - 중요한 오류 및 오류 로그에 표시되는 기타 메시지에 사용되는 기본 로깅(예: 서버 시작 메시지)입니다. 이 수준의 메시지는 로그 수준 설정과 관계없이 항상 오류 로그에 포함됩니다. *32768 - 데이터베이스 캐시 디버깅.
* 65536 - 서버 플러그인 디버깅. 서버 플러그인에서
* 262144 - 액세스 제어 요약 정보, 레벨 * 524288 - LMDB 데이터베이스 디버깅. |
| 기본값 | 16384 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
이 읽기 전용 속성은 오류 로그 파일 목록을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime (오류 로그 만료 시간)
이 속성은 로그 파일이 삭제되기 전에 도달할 수 있는 최대 기간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-errorlog-logexpirationtimeunit 속성에서 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) 값이 -1 또는 0이면 로그가 만료되지 않습니다.A value of -1 or 0 means that the log never expires. |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit (오류 로그 만료 시간 단위)
이 속성은 nsslapd-errorlog-logexpirationtime 속성의 단위를 설정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, then the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day |
| 기본값 | month |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled (오류 로깅 활성화)
오류 로깅 및 해제를 켭니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace (오류 로그 최대 디스크 공간)
이 속성은 오류 로그가 사용할 수 있는 최대 디스크 공간(MB)을 설정합니다. 이 값을 초과하면 가장 오래된 오류 로그가 삭제됩니다.
최대 디스크 공간을 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 오류 로그의 총 디스크 공간 크기와 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1 값은 오류 로그에 허용된 디스크 공간이 크기 제한이 없음을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace (오류 로그 최소 자유 디스크 공간)
이 속성은 허용되는 최소 디스크 공간을 메가바이트 단위로 설정합니다. 사용 가능한 디스크 공간의 양이 이 특성에 지정된 값 아래로 떨어지면 이 특성을 충족하기 위해 충분한 디스크 공간을 확보할 때까지 가장 오래된 오류 로그가 삭제됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1(제한 없음) | 1에서 최대 32비트 정수 값(2147483647) |
| 기본값 | -1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled (오류 Log Rotation Sync Enabled)
이 특성은 오류 로그 순환이 특정 요일과 동기화될지 여부를 설정합니다. 이러한 방식으로 동기화 로그 회전은 매일 자정하는 것과 같이 하루 중 지정된 시간에 로그 파일을 생성할 수 있습니다. 그러면 로그 파일을 달력에 직접 매핑하므로 로그 파일을 훨씬 쉽게 분석할 수 있습니다.
오류 로그 순환을 시간별과 동기화하려면 이 특성을 nsslapd-errorlog-logrotationsynchour 및 nsslapd-errorlog-logrotationsyncmin 속성 값으로 설정해야 합니다.
예를 들어 자정에 오류 로그 파일을 순환하려면 해당 값을 on 으로 설정하여 이 특성을 활성화한 다음 nsslapd-errorlog-logrotationsynchour 및 nsslapd-errorlog-logrotationsyncmin 특성을 0 으로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logrotationsync-enabled: on |
3.1.1.87. nsslapd-errorlog-logrotationsynchour (오류 로그 로테이션 동기화 시간)
이 속성은 오류 로그를 회전하는 데 하루의 시간을 설정합니다. 이 속성은 nsslapd-errorlog-logrotationsync-enabled 및 nsslapd-errorlog-logrotationsyncmin 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 23까지 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin (오류 로그 로테이션 동기화 분)
이 속성은 오류 로그를 회전하는 데 하루의 분을 설정합니다. 이 속성은 nsslapd-errorlog-logrotationsync-enabled 및 nsslapd-errorlog-logrotationsynchour 속성과 함께 사용해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 59 |
| 기본값 | 0 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime (오류 로그 로테이션 시간)
이 속성은 오류 로그 파일 순환 사이의 시간을 설정합니다. 이 속성은 단위 수만 제공합니다. 단위(일, 주, 월 등)는 nsslapd-errorlog-logrotationtimeunit (오류 로그 로테이션 시간 단위) 속성에서 제공합니다.
Directory Server는 로그 크기에 관계없이 구성된 간격이 만료된 후 첫 번째 쓰기 작업에서 로그를 회전합니다.
성능상의 이유로 로그 순환을 지정하지 않는 것은 권장되지 않지만 로그가 무기한 증가하면 두 가지 방법으로 지정할 수 있습니다. nsslapd-errorlog-maxlogsperdir 특성 값을 1 로 설정하거나 nsslapd-errorlog-logrotationtime 속성을 -1 로 설정합니다. 서버는 nsslapd-errorlog-maxlogsperdir 특성을 먼저 확인하고, 이 속성 값이 1 보다 크면 서버에서 nsslapd-errorlog-logrotationtime 속성을 확인합니다. 자세한 내용은 3.1.1.92절. “nsslapd-errorlog-maxlogsperdir (최대 오류 로그 파일 수)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 여기서 -1은 오류 로그 파일 순환 간격이 무제한임을 의미합니다. |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit (오류 로그 로테이션 시간 단위)
이 속성은 nsslapd-errorlog-logrotationtime (오류 로그 로테이션 시간)의 단위를 설정합니다. 서버에서 단위를 알 수 없는 경우 로그가 만료되지 않습니다.If the unit is unknown by the server, then the log never expires.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | month | week | Day | hour | minute |
| 기본값 | week |
| 구문 | DirectoryString |
| 예제 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize (최대 오류 로그 크기)
이 속성은 최대 오류 로그 크기(MB)를 설정합니다. 이 값에 도달하면 오류 로그가 순환되고 서버가 새 로그 파일에 로그 정보 쓰기를 시작합니다. nsslapd-errorlog-maxlogsperdir 이 1 로 설정된 경우 서버는 이 특성을 무시합니다.
최대 로그 크기를 설정할 때 로그 파일 순환으로 생성할 수 있는 총 로그 파일 수를 고려하십시오. 또한 디렉터리 서버에서 유지 관리하는 세 개의 로그 파일(액세스 로그, 감사 로그 및 오류 로그)이 각각 디스크 공간을 사용합니다. 이러한 고려 사항을 오류 로그의 총 디스크 공간 크기와 비교합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | -1 | 1에서 최대 32비트 정수 값(2147483647)으로, 값 -1은 로그 파일의 크기가 무제한임을 의미합니다. |
| 기본값 | 100 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir (최대 오류 로그 파일 수)
이 속성은 오류 로그가 저장되는 디렉터리에 포함될 수 있는 총 오류 로그 수를 설정합니다. 오류 로그가 순환될 때마다 새 로그 파일이 생성됩니다. 오류 로그 디렉터리에 포함된 파일 수가 이 속성에 저장된 값을 초과하면 가장 오래된 버전의 로그 파일이 삭제됩니다. 기본값은 1 log입니다. 이 기본값을 허용하면 서버는 로그를 순환하지 않으며 무한으로 증가합니다.
이 속성의 값이 1 보다 크면 nsslapd-errorlog-logrotationtime 속성을 확인하여 로그 회전이 지정되는지 여부를 확인합니다. nsslapd-errorlog-logrotationtime 속성의 값이 -1 이면 로그 순환이 없습니다. 자세한 내용은 3.1.1.89절. “nsslapd-errorlog-logrotationtime (오류 로그 로테이션 시간)”를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 1 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode (오류 로그 파일 권한)
이 특성은 생성할 오류 로그 파일이 있는 액세스 모드 또는 파일 권한을 설정합니다. 유효한 값은 숫자 또는 절대 UNIX 파일 권한을 미러링하므로 10,000~ 777 의 조합입니다. 즉, 값은 0 에서 7 까지의 숫자인 3자리 숫자의 조합이어야 합니다.
- 0 - none
- 1 - 실행만
- 2 - 쓰기 전용
- 3 - 쓰기 및 실행
- 4 - 읽기 전용
- 5 - 읽기 및 실행
- 6 - 읽기 및 쓰기
- 7 - 읽기, 쓰기, 실행
3자리 숫자에서 첫 번째 숫자는 소유자의 권한을 나타내고, 두 번째 숫자는 그룹의 권한을 나타내고, 세 번째 숫자는 모든 사람의 권한을 나타냅니다. 기본값을 변경할 때 000 은 로그에 대한 액세스를 허용하지 않으며 모든 사용자에게 쓰기 권한을 허용하면 누구나 로그를 덮어쓰거나 삭제할 수 있습니다.
새로 구성된 액세스 모드는 생성된 새 로그에만 영향을 미칩니다. 로그가 새 파일로 순환되면 모드가 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 000에서 777을 통해 |
| 기본값 | 600 |
| 구문 | 정수 |
| 예제 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
TLS 연결을 설정할 때 클라이언트는 해당 인증서를 먼저 보낸 다음 SASL/EXTERNAL 메커니즘을 사용하여 BIND 요청을 발행합니다. SASL/EXTERNAL을 사용하면 디렉터리 서버에 TLS 핸드셰이크에 대한 인증서의 자격 증명을 사용하도록 지시합니다. 그러나 일부 클라이언트는 BIND 요청을 보낼 때 SASL/EXTERNAL을 사용하지 않으므로 Directory Server는 바인딩을 간단한 인증 요청 또는 익명 요청으로 처리하고 TLS 연결이 실패합니다.
nsslapd-force-sasl-external 특성은 인증서 기반 인증의 클라이언트가 SASL/EXTERNAL 메서드를 사용하여 BIND 요청을 전송하도록 강제 적용합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | 문자열 |
| 예제 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
이 속성은 더 이상 사용되지 않으며 기록 용도로만 여기에 설명되어 있습니다.
액세스 제어 플러그인은 nsslapd-groupevalnestlevel 속성에서 지정한 값을 사용하지 않으므로 그룹 평가를 위해 액세스 제어가 수행하는 중첩 수준 수를 설정할 수 없습니다. 대신 중첩의 수가 5 로 하드 코딩됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 5 |
| 기본값 | 5 |
| 구문 | 정수 |
| 예제 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-idletimeout (기본 Idle Timeout)
이 속성은 서버에서 유휴 LDAP 클라이언트 연결을 종료하는 시간(초)을 설정합니다. 값이 0 이면 서버가 유휴 연결을 종료하지 않습니다. 이 설정은 모든 연결 및 모든 사용자에게 적용됩니다. idle 시간 제한은 poll() 이 0을 반환하지 않는 경우 연결 테이블이 이동할 때 적용됩니다. 따라서 단일 연결이 있는 서버는 유휴 타임아웃을 적용하지 않습니다.
이 속성에 할당된 값을 재정의하려면 사용자 항목에 추가할 수 있는 nsIdleTimeout operational 속성을 사용합니다. 자세한 내용은 Red Hat Directory Server 관리 가이드의 바인딩 DN에 따라 "리소스 제한 설정" 섹션을 참조하십시오.
수백만 개의 항목이 있는 매우 큰 데이터베이스의 경우 이 특성에는 서버 시간이 초과될 때 온라인 초기화 프로세스가 완료되거나 복제에 실패할 수 있는 충분한 값이 있어야 합니다.For very large databases, with millions of entries, this attribute must have a high enough value that the online initialization process can complete or replication will fail when the connection to the server times out. 또는 nsIdleTimeout 특성을 공급자 바인딩 DN으로 사용되는 항목의 값으로 설정할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 3600 |
| 구문 | 정수 |
| 예제 | nsslapd-idletimeout: 3600 |
3.1.1.97. nsslapd-ignore-virtual-attrs
이 매개변수를 사용하면 검색 항목에서 가상 특성 조회를 비활성화할 수 있습니다.
가상 속성이 필요하지 않은 경우 검색 결과에서 가상 특성 조회를 비활성화하여 검색 속도를 높일 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-ignore-virtual-attrs: off |
3.1.1.98. nsslapd-instancedir(인스턴스 디렉터리)
이 속성은 더 이상 사용되지 않습니다. 이제 nsslapd-certdir 및 nsslapd-lockdir 과 같은 인스턴스별 경로에 대한 별도의 구성 매개변수가 있습니다. 설정된 특정 디렉터리 경로는 설명서를 참조하십시오.
3.1.1.99. nsslapd-ioblocktimeout (IO Block Time Out)
이 속성은 stalled LDAP 클라이언트에 대한 연결이 닫은 후 시간(밀리초)을 설정합니다. LDAP 클라이언트는 읽기 또는 쓰기 작업에 대한 I/O 진행률이 없는 경우 중지되는 것으로 간주됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 틱에서 최대 32 비트 정수 값 (2147483647)으로 |
| 기본값 | 10000 |
| 구문 | 정수 |
| 예제 | nsslapd-ioblocktimeout: 10000 |
3.1.1.100. nsslapd-lastmod (track Modification Time)
이 속성은 Directory Server 가 생성자Name,, createTimestamp,modifiersName modifyTimestamp 운영 특성의 새로 생성 또는 업데이트된 항목을 유지 관리하는지 여부를 설정합니다.
Red Hat은 이러한 속성 추적을 비활성화하지 않는 것이 좋습니다. 비활성화된 경우 항목에서 nsUniqueID 특성에 할당된 고유 ID가 없으며 복제가 작동하지 않습니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-lastmod: on |
3.1.1.101. nsslapd-ldapiautobind (자동 바인딩 활성화)
nsslapd-ldapiautobind 는 서버에서 사용자가 LDAPI를 사용하여 Directory Server로 자동 바인딩을 허용할지 여부를 설정합니다. Autobind는 시스템 사용자의 UID 또는 GUID 번호를 Directory Server 사용자에게 매핑하고 해당 자격 증명을 기반으로 사용자를 Directory Server에 자동으로 인증합니다. Directory Server 연결은 UNIX 소켓에서 발생합니다.
자동 바인딩 활성화와 함께 자동 바인딩을 구성하려면 매핑 항목을 구성해야 합니다. nsslapd-ldapimaprootdn 은 시스템의 root 사용자를 Directory Manager에 매핑합니다. nsslapd-ldapimaptoentries 는 nsslapd-ldapiuidnumbertype,nsslapd-ldapigidnumbertype, nsslapd-ldapientrysearchbase 속성에 정의된 매개변수를 기반으로 일반 사용자를 Directory Server 사용자에게 매핑합니다.
LDAPI가 활성화된 경우에만 Autobind를 활성화할 수 있습니다. 즉, nsslapd-ldapilisten 이 켜 져 있고 nsslapd-ldapifilepath 속성이 LDAPI 소켓으로 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldapiautobind: off |
3.1.1.102. nsslapd-ldapientrysearchbase (LDAPI Authentication Entries용 검색 기준)
자동 바인딩을 사용하면 시스템 사용자 UID 및 GUID 번호를 기반으로 시스템 사용자를 Directory Server 사용자 항목에 매핑할 수 있습니다. 이를 위해서는 UID 번호(nsslapd-ldapiuidnumbertype) 및 GUID 번호(nsslapd-ldapigidnumbertype)에 사용할 속성의 Directory Server 매개변수를 설정하고 일치하는 사용자 항목을 검색하도록 검색 기준을 설정해야 합니다.
nsslapd-ldapientrysearchbase 는 autobind에 사용할 사용자 항목을 검색할 하위 트리를 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | DN |
| 기본값 |
|
| 구문 | DN |
| 예제 | nsslapd-ldapientrysearchbase: ou=people,dc=example,dc=om |
3.1.1.103. nsslapd-ldapifilepath (LDAPI 소켓의 파일 위치)
LDAPI는 TCP가 아닌 UNIX 소켓을 통해 사용자를 LDAP 서버에 연결합니다. LDAPI를 구성하려면 UNIX 소켓을 통해 통신하도록 서버를 구성해야 합니다. 사용할 UNIX 소켓은 nsslapd-ldapifilepath 속성에 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 디렉터리 경로 |
| 기본값 | /var/run/dirsrv/slapd-example.socket |
| 구문 | case-exact 문자열 |
| 예제 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.104. nsslapd-ldapigidnumbertype (시스템 GUID 번호의 특성 매핑)
Autobind는 시스템에 사용자를 자동으로 인증하고 UNIX 소켓을 사용하여 서버에 연결할 수 있습니다. 인증을 위해 시스템 사용자를 Directory Server 사용자에게 매핑하려면 시스템의 사용자 UID 및 GUID 번호를 Directory Server 속성으로 매핑해야 합니다. nsslapd-ldapigidnumbertype 속성은 시스템 GUID를 사용자 항목에 매핑하는 Directory Server 속성을 가리킵니다.
LDAPI가 활성화된 경우 autobind를 사용하여 서버에 연결할 수 있으며(nsslapd-ldapilisten 및 nsslapd-ldapifilepath), 자동 바인딩이 활성화됨(nsslapd-ldapiautobind), 일반 사용자( napd-ldapimaptoentries)에 대해 자동 바인딩 매핑이 활성화됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 Directory Server 특성 |
| 기본값 | gidNumber |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.105. nsslapd-ldapilisten (LDAPI 사용)
nsslapd-ldapilisten 은 LDAPI와 Directory Server 연결을 활성화합니다. LDAPI를 사용하면 표준 TCP 포트가 아닌 UNIX 소켓을 통해 Directory Server에 연결할 수 있습니다. nsslapd-ldapilisten 을 에서 로 설정하여 LDAPI를 활성화하는 것과 함께 nsslapd-ldapifilepath 속성에 LDAPI에 대한 UNIX 소켓 세트도 있어야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldapilisten: on |
3.1.1.106. nsslapd-ldapimaprootdn (루트 사용자에 대한 자동 바인딩 매핑)
자동 바인딩을 사용하면 시스템 사용자가 Directory Server 사용자에게 매핑한 다음, UNIX 소켓을 통해 Directory Server에 자동으로 인증됩니다.
루트 시스템 사용자( UID가 0인 사용자)는 nsslapd-ldapimaprootdn 속성에 지정된 Directory Server 항목에 매핑됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 DN |
| 기본값 | CN=Directory Manager |
| 구문 | DN |
| 예제 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.107. nsslapd-ldapimaptoentries(일반 사용자의 자동 바인딩 매핑 활성화)
자동 바인딩을 사용하면 시스템 사용자가 Directory Server 사용자에게 매핑한 다음, UNIX 소켓을 통해 Directory Server에 자동으로 인증됩니다. 이 매핑은 root 사용자의 경우 자동이지만 nsslapd-ldapimaptoentries 특성을 통해 일반 시스템 사용자가 활성화해야 합니다. 이 속성을 on 으로 설정하면 일반 시스템 사용자를 Directory Server 항목에 매핑할 수 있습니다. 이 속성이 활성화되지 않은 경우 루트 사용자만 디렉터리 서버에 대한 인증을 위해 autobind를 사용할 수 있으며 다른 모든 사용자는 익명으로 연결합니다.
매핑 자체는 nsslapd-ldapiuidnumbertype 및 nsslapd-ldapigidnumbertype 속성을 통해 구성되며 Directory Server 속성을 사용자의 UID 및 GUID 번호에 매핑합니다.
LDAPI가 활성화된 경우에만 autobind를 사용하여 서버에 연결할 수 있으며(nsslapd-ldapilisten 및 nsslapd-ldapifilepath) 자동 바인딩이 활성화되어 있습니다(nsslapd-ldapiautobind).
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldapimaptoentries: on |
3.1.1.108. nsslapd-ldapiuidnumbertype
Autobind는 시스템에 사용자를 자동으로 인증하고 UNIX 소켓을 사용하여 서버에 연결할 수 있습니다. 인증을 위해 시스템 사용자를 Directory Server 사용자에게 매핑하려면 시스템의 사용자 UID 및 GUID 번호를 Directory Server 속성으로 매핑해야 합니다. nsslapd-ldapiuidnumbertype 속성은 시스템 UID를 사용자 항목에 매핑하는 Directory Server 속성을 가리킵니다.
LDAPI가 활성화된 경우 autobind를 사용하여 서버에 연결할 수 있으며(nsslapd-ldapilisten 및 nsslapd-ldapifilepath), 자동 바인딩이 활성화됨(nsslapd-ldapiautobind), 일반 사용자( napd-ldapimaptoentries)에 대해 자동 바인딩 매핑이 활성화됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 Directory Server 특성 |
| 기본값 | uidNumber |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.109. nsslapd-ldifdir
Directory Server는 db2ldif 또는 db2ldif.pl 을 사용할 때 LDAP Data Interchange Format(LDIF) 형식의 파일을 이 매개 변수에 설정된 디렉토리로 내보냅니다. 디렉터리는 Directory Server 사용자 및 그룹이 소유해야 합니다. 이 사용자 및 그룹만 이 디렉토리에 읽기 및 쓰기 액세스 권한이 있어야 합니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | Directory Server 사용자가 쓸 수 있는 모든 디렉터리 |
| 기본값 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 구문 | DirectoryString |
| 예제 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.110. nsslapd-listen-backlog-size
이 속성은 소켓 연결 백로그의 최대 값을 설정합니다. listen 서비스는 들어오는 연결을 수신하는 데 사용할 수 있는 소켓 수를 설정합니다. backlog 설정은 연결을 거부하기 전에 소켓의 큐(sockfd)가 증가할 수 있는 최대 길이를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 최대 64비트 정수 값(9223372036854775807) |
| 기본값 | 128 |
| 구문 | 정수 |
| 예제 | nsslapd-listen-backlog-size: 128 |
3.1.1.111. nsslapd-listenhost (Listen to IP Address)
이 속성을 사용하면 여러 Directory Server 인스턴스를 다중 홈 시스템에서 실행할 수 있습니다(또는 다중 홈 시스템의 하나의 인터페이스로 수신 대기를 제한할 수 있음). 단일 hos tname과 연결된 여러 IP 주소가 있을 수 있으며 이러한 IP 주소는 IPv4와 IPv6을 혼합할 수 있습니다. 이 매개 변수는 Directory Server 인스턴스를 단일 IP 인터페이스로 제한하는 데 사용할 수 있습니다.
호스트 이름이 nsslapd-listenhost 값으로 지정되면 Directory Server는 호스트 이름과 연결된 모든 인터페이스에 대한 요청에 응답합니다. 단일 IP 인터페이스(IPv4 또는 IPv6)가 nsslapd-listenhost 값으로 지정되면 Directory Server는 해당 특정 인터페이스에 전송된 요청에만 응답합니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 로컬 호스트 이름, IPv4 또는 IPv6 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-listenhost: ldap.example.com |
3.1.1.112. nsslapd-localhost(Local Host)
이 속성은 Directory Server가 실행되는 호스트 시스템을 지정합니다. 이 속성은 MMR 프로토콜의 일부를 형성하는 참조 URL을 생성합니다. 장애 조치(failover) 노드가 있는 고가용성 구성에서 해당 참조는 로컬 호스트 이름이 아닌 클러스터의 가상 이름을 가리켜야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 정규화된 호스트 이름입니다. |
| 기본값 | 설치된 시스템의 호스트 이름. |
| 구문 | DirectoryString |
| 예제 | nsslapd-localhost: phonebook.example.com |
3.1.1.113. nsslapd-localuser (Local User)
이 속성은 Directory Server가 실행되는 사용자를 설정합니다. 사용자가 실행하는 그룹은 사용자의 기본 그룹을 검사하여 이 특성에서 파생됩니다. 사용자가 변경한 경우 chown 과 같은 도구를 사용하여 이 인스턴스의 모든 인스턴스 관련 파일 및 디렉터리를 새 사용자가 소유하도록 변경해야 합니다.
서버 인스턴스가 구성되면 nsslapd-localuser 의 값이 처음에 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 모든 사용자 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-localuser: dirsrv |
3.1.1.114. nsslapd-lockdir (Server Lock File Directory)
이는 서버가 잠금 파일에 사용하는 디렉터리의 전체 경로입니다. 기본값은 /var/lock/dirsrv/slapd-인스턴스 입니다. 이 값을 변경하면 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 서버 ID에 대한 쓰기 권한이 있는 서버 사용자 ID가 소유한 디렉터리의 절대 경로입니다. |
| 기본값 | /var/lock/dirsrv/slapd-instance |
| 구문 | DirectoryString |
| 예제 | nsslapd-lockdir: /var/lock/dirsrv/slapd-instance |
3.1.1.115. nsslapd-localssf
nsslapd-localssf 매개변수는 LDAPI 연결에 대한 보안 강화 요소(SSF)를 설정합니다. Directory Server는 nsslapd-localssf 에 설정된 값이 nsslapd-minssf 매개변수에 설정된 값보다 크거나 같은 경우에만 LDAPI 연결을 허용합니다. 따라서 LDAPI 연결은 nsslapd-minssf 에서 설정된 최소 SSF를 충족합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 0에서 최대 32비트 정수 값 (2147483647) |
| 기본값 | 71 |
| 구문 | 정수 |
| 예제 | nsslapd-localssf: 71 |
3.1.1.116. nsslapd-logging-hr-timestamps-enabled (High-resolution Log Timestamps 사용 또는 비활성화)
로그가 nanosecond precision을 사용하여 높은 해상도 타임스탬프 또는 1초 정밀도가 있는 표준 확인 타임스탬프를 사용할지 여부를 제어합니다. 기본적으로 활성화되어 있습니다. 로그 타임스탬프를 1초 정밀도로 되돌리려면 이 옵션을 off 로 설정합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 |
|
| 기본값 |
|
| 구문 | DirectoryString |
| 예제 | nsslapd-logging-hr-timestamps-enabled: on |
3.1.1.117. nsslapd-maxbersize (Maximum Message Size)
수신되는 메시지에 허용되는 최대 크기(바이트)를 정의합니다. 이렇게 하면 Directory Server에서 처리할 수 있는 LDAP 요청의 크기가 제한됩니다. 요청 크기를 제한하면 서비스 거부 공격을 방지할 수 있습니다.
제한은 LDAP 요청의 총 크기에 적용됩니다. 예를 들어 요청에서 항목을 추가하고 요청의 항목이 구성된 값 또는 기본값보다 크면 추가 요청이 거부됩니다. 그러나 이 제한은 복제 프로세스에 적용되지 않습니다. 이 특성을 변경하기 전에 주의하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0 - 2GB(2,147,483,647바이트)
|
| 기본값 | 2097152 |
| 구문 | 정수 |
| 예제 | nsslapd-maxbersize: 2097152 |
3.1.1.118. nsslapd-maxdescriptors (Maximum File Descriptors)
이 속성은 디렉터리 서버가 사용하려는 최대 파일 설명자 수를 설정합니다. 파일 설명자는 클라이언트가 서버에 연결할 때마다 사용됩니다. 파일 설명자는 액세스 로그, 오류 로그, 감사 로그, 데이터베이스 파일(인덱스 및 트랜잭션 로그) 및 복제 및 체인을 위해 다른 서버에 대한 발신 연결 소켓에도 사용됩니다.
TCP/IP에서 클라이언트 연결을 제공하는 데 사용할 수 있는 설명자 수는 nsslapd-conntablesize 속성에 따라 결정됩니다. 이 속성의 기본값은 파일 설명자 소프트 제한으로 설정되며 기본값은 1024입니다. 그러나 이 속성을 수동으로 구성하는 경우 서버는 프로세스 파일 설명자 소프트 제한이 일치하도록 업데이트합니다.
이 값이 너무 높으면 Directory Server는 운영 체제를 최대 허용 값으로 쿼리한 다음 해당 값을 사용합니다. 또한 오류 로그에 정보 메시지가 발행됩니다. 이 값이 Directory Server Console 또는 ldapmodify 를 사용하여 원격으로 유효하지 않은 값으로 설정된 경우 서버는 새 값을 거부하고 이전 값을 유지하고 오류로 응답합니다.
일부 운영 체제에서는 사용자가 프로세스에 사용할 수 있는 파일 설명자 수를 구성할 수 있습니다. 파일 설명자 제한 및 구성에 대한 자세한 내용은 운영 체제 설명서를 참조하십시오. dsktune 프로그램( Red Hat Directory Server 설치 가이드에서설명됨)을 사용하여 필요한 경우 파일 설명자 수를 늘리는 것을 포함하여 시스템 커널 또는 TCP/IP 튜닝 속성을 변경할 수 있습니다. Directory Server가 파일 설명자가 없기 때문에 연결을 거부하면 이 속성의 값을 늘립니다. 이 오류가 발생하면 Directory Server의 오류 로그 파일에 다음 메시지가 기록됩니다.
Not listening for new connections -- too many fds open
들어오는 연결 수를 늘리는 방법에 대한 자세한 내용은 3.1.1.62절. “nsslapd-conntablesize” 을 참조하십시오.
일반적으로 UNIX 쉘은 파일 설명자 수에 구성 가능한 제한이 있습니다. 제한 및 u 에 대한 자세한 내용은 운영 체제 설명서를 참조하십시오. 이러한 제한이 종종 문제를 일으킬 수 있기 때문입니다.
limit
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 4096 |
| 구문 | 정수 |
| 예제 | nsslapd-maxdescriptors: 4096 |
3.1.1.119. nsslapd-maxsasliosize (Maximum SASL Packet Size)
사용자가 SASL GSS-API를 통해 Directory Server에 인증되면 서버는 클라이언트 요청의 메모리에 따라 LDAP 작업을 수행하기 위해 클라이언트에 특정 양의 메모리를 할당해야 합니다. 공격자는 Directory Server에 충돌하는 큰 패킷 크기를 보내거나 서비스 거부 공격의 일부로 무기한 연결을 할 수 있습니다.
디렉터리 서버에서 SASL 클라이언트를 허용하는 패킷 크기는 nsslapd-maxsasliosize 특성을 사용하여 제한할 수 있습니다. 이 속성은 서버에서 허용할 최대 허용된 SASL IO 패킷 크기를 설정합니다.
들어오는 SASL IO 패킷이 nsslapd-maxsasliosize 제한보다 크면 서버에서 즉시 클라이언트의 연결을 끊고 오류 로그에 메시지를 기록하므로 관리자가 필요한 경우 설정을 조정할 수 있습니다.
이 특성 값은 바이트 단위로 지정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | * - 32비트 시스템의 최대 32비트 정수 값(2147483647)으로 제한됨 * - (limited) 최대 64 비트 정수 값 (9223372036854775807) |
| 기본값 | 2097152(2MB) |
| 구문 | 정수 |
| 예제 | nsslapd-maxsasliosize: 2097152 |
3.1.1.120. nsslapd-maxthreadsperconn (연결당 최대 스레드)
연결에서 사용해야 하는 최대 스레드 수를 정의합니다. 클라이언트가 바인딩되지 않은 작업 이전에 한 개 또는 두 개의 작업만 바인딩하고 수행하는 일반적인 작업의 경우 기본값을 사용합니다. 클라이언트가 바인딩하고 동시에 많은 요청을 발행하는 경우 각 연결에 충분한 리소스가 모든 작업을 수행할 수 있도록 이 값을 늘립니다.For situations where a client binds and simultaneously issues many requests, increase this value to allow each connection enough resources to perform all the operations. 이 속성은 서버 콘솔에서 사용할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 최대 스레드 번호까지 |
| 기본값 | 5 |
| 구문 | 정수 |
| 예제 | nsslapd-maxthreadsperconn: 5 |
3.1.1.121. nsslapd-minssf
보안 강도 요인은 연결의 핵심 힘 에 따라 얼마나 강력한지에 대한 상대적 측정입니다. SSF는 TLS 또는 SASL 연결이 얼마나 안전한지 결정합니다. nsslapd-minsf 속성은 서버에 대한 모든 연결에 대한 최소 SSF 요구 사항을 설정합니다. 최소 SSF가 거부된 모든 연결 시도는 거부됩니다.
디렉터리 서버에 대한 연결에서 TLS 및 SASL 연결을 혼합할 수 있습니다. 이러한 연결에는 일반적으로 서로 다른 SSF가 있습니다. 두 SSF의 높은 값은 최소 SSF 요구 사항과 비교할 때 사용됩니다.
SSF 값을 0으로 설정하면 최소 설정이 없음을 의미합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 양의 정수 |
| 기본값 | 0 (off) |
| 구문 | DirectoryString |
| 예제 | nsslapd-minssf: 128 |
3.1.1.122. nsslapd-minssf-exclude-rootdse
보안 강도 요인은 연결의 핵심 힘 에 따라 얼마나 강력한지에 대한 상대적 측정입니다. SSF는 TLS 또는 SASL 연결이 얼마나 안전한지 결정합니다.
nsslapd-minsf-exclude-rootdse 속성은 루트 DSE에 대한 쿼리를 제외하고 서버에 대한 연결에 대한 최소 SSF 요구 사항을 설정합니다. 이렇게 하면 대부분의 연결에 적절한 SSF 값이 적용되지만 클라이언트가 먼저 보안 연결을 설정할 필요 없이 루트 DSE에서 서버 구성에 대한 필수 정보를 얻을 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 양의 정수 |
| 기본값 | 0 (off) |
| 구문 | DirectoryString |
| 예제 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.123. nsslapd-moddn-aci
이 매개 변수는 디렉터리 항목이 한 하위 트리에서 다른 하위 트리로 이동되고 moddn 작업에서 소스 및 대상 제한을 사용할 때 ACI 검사를 제어합니다. 이전 버전과의 호환성을 위해 ACI 검사를 비활성화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-moddn-aci: on |
3.1.1.124. nsslapd-malloc-mmap-threshold
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정한 경우를 제외하고 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 매뉴얼 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_MMAP_THRESHOLD 환경 변수를 설정하는 대신 nsslapd-malloc-mmap-threshold 매개 변수를 사용하면 Directory Server 구성에서 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_MMAP_THRESHOLD 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0 - 33554432 |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예제 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.125. nsslapd-malloc-mxfast
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정한 경우를 제외하고 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 매뉴얼 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_MXFAST 환경 변수를 설정하는 대신 nsslapd-malloc-mxfast 매개 변수를 사용하면 Directory Server 구성에 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_MXFAST 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0 - 80 * (sizeof(size_t) / 4) |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예제 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.126. nsslapd-malloc-trim-threshold
Directory Server 인스턴스가 systemctl 유틸리티를 사용하여 서비스로 시작되면 /etc/sysconfig/dirsrv 또는 /etc/ 파일에 설정한 경우를 제외하고 환경 변수가 서버에 전달되지 않습니다. 자세한 내용은 systemd.exec(3) 매뉴얼 페이지를 참조하십시오.
sysconfig/dirsrv -instance_name
서비스 파일을 수동으로 편집하여 M_TRIM_THRESHOLD 환경 변수를 설정하는 대신 nsslapd-malloc-trim-threshold 매개 변수를 사용하면 Directory Server 구성에서 값을 설정할 수 있습니다. 자세한 내용은 mallopt(3) 도움말 페이지의 M_TRIM_THRESHOLD 매개변수 설명을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 2^31-1 |
| 기본값 |
mallopt(3) 도움말 페이지의 |
| 구문 | 정수 |
| 예제 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.127. nsslapd-nagle
이 속성의 값이 꺼져 있으면 TCP_NODELAY 옵션이 설정되어 LDAP 응답(예: 항목 또는 결과 메시지)이 즉시 클라이언트에 전송됩니다. 속성이 켜지면 기본 TCP 동작이 적용됩니다. 특히 데이터 전송이 지연되므로 추가 데이터를 기본 네트워크 MTU 크기의 하나의 패킷(일반적으로 이더넷용 1500바이트)으로 그룹화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-nagle: off |
3.1.1.128. nsslapd-ndn-cache-enabled
DN(신규화 이름)은 리소스 집약적인 작업입니다. nsslapd-ndn-cache-enabled 매개변수가 활성화된 경우 Directory Server는 메모리에서 정규화된 DN을 캐시합니다. nsslapd-ndn-cache-max-size 매개변수를 업데이트하여 이 캐시의 최대 크기를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-ndn-cache-enabled: on |
3.1.1.129. nsslapd-ndn-cache-max-size
DN(신규화 이름)은 리소스 집약적인 작업입니다. nsslapd-ndn-cache-enabled 매개변수가 활성화된 경우 Directory Server는 메모리에서 정규화된 DN을 캐시합니다. nsslapd-ndn-cache-max-size 매개변수는 이 캐시의 최대 크기를 설정합니다.
요청한 DN이 이미 캐시되지 않은 경우 정규화되고 추가됩니다. 캐시 크기 제한을 초과하면 Directory Server는 캐시에서 최근에 사용한 10,000개의 DN을 제거합니다. 그러나 최소 10,000개의 DN은 항상 캐시됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 0에서 최대 32비트 정수 값 (2147483647) |
| 기본값 | 20971520 |
| 구문 | 정수 |
| 예제 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.130. nsslapd-outbound-ldap-io-timeout
이 속성은 모든 아웃바운드 LDAP 연결에 대한 I/O 대기 시간을 제한합니다. 기본값은 300000 밀리초(5분)입니다. 값이 0 이면 서버가 I/O 대기 시간에 제한을 적용하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 최대 32비트 정수 값 (2147483647) |
| 기본값 | 300000 |
| 구문 | DirectoryString |
| 예제 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.131. nsslapd-pagedsizelimit (Simple Paged 결과 검색에 대한 크기 제한)
이 특성은 간단한 페이지된 결과 컨트롤을 사용하는 검색 작업에서 반환하는 최대 항목 수를 설정합니다. 그러면 paged 검색의 nsslapd-sizelimit 특성이 재정의됩니다.
이 값을 0으로 설정하면 nsslapd-sizelimit 특성이 paged 검색 및 페이지되지 않은 검색에 사용됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) |
| 기본값 | |
| 구문 | 정수 |
| 예제 | nsslapd-pagedsizelimit: 10000 |
3.1.1.132. nsslapd-plug-in
이 읽기 전용 특성은 서버에서 로드한 구문 및 일치하는 규칙 플러그인에 대한 플러그인 항목의 DN을 나열합니다.
3.1.1.133. nsslapd-plugin-binddn-tracking
작업에 사용되는 바인딩 DN을 서버 플러그인에서 작업 자체를 시작한 경우에도 항목의 수정자로 설정합니다. 작업을 수행한 특정 플러그인은 별도의 운영 속성 internalModifiersname 에 나열되어 있습니다.
한 가지 변경으로 디렉터리 트리의 다른 변경 사항을 자동으로 변경할 수 있습니다. 예를 들어 사용자가 삭제되면 해당 사용자는 Referential Integrity Plug-in에 의해 속한 그룹에서 자동으로 제거됩니다. 사용자의 초기 삭제는 서버에 바인딩되는 모든 사용자 계정에 의해 수행되지만 기본적으로 해당 업데이트를 시작한 사용자에 대한 정보는 플러그인에 의해 수행되는 것으로 표시됩니다. nsslapd-plugin-binddn-tracking 속성을 사용하면 서버에서 업데이트 작업을 시작한 사용자와 실제 수행했던 내부 플러그인을 추적할 수 있습니다. 예를 들면 다음과 같습니다.
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
이 속성은 기본적으로 비활성화되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-plugin-binddn-tracking: on |
3.1.1.134. nsslapd-plugin-logging
기본적으로 액세스 로깅이 내부 작업을 기록하도록 설정되어 있어도 플러그인 내부 작업은 액세스 로그 파일에 기록되지 않습니다. 각 플러그인의 구성에서 로깅을 활성화하는 대신 이 매개변수를 사용하여 전역적으로 제어할 수 있습니다.
활성화된 경우 플러그인은 이 글로벌 설정을 사용하고 활성화된 경우 로그 액세스 및 감사 이벤트를 사용합니다.
nsslapd-plugin-logging 이 활성화되고 nsslapd-accesslog-level 이 내부 작업을 기록하도록 설정된 경우 인덱스되지 않은 검색 및 기타 내부 작업이 액세스 로그 파일에 기록됩니다.
nsslapd-plugin-logging 이 설정되지 않은 경우 플러그인에서 인덱싱되지 않은 검색은 여전히 Directory Server 오류 로그에 기록됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-plugin-logging: off |
3.1.1.135. nsslapd-port (포트 번호)
이 속성은 표준 LDAP 통신에 사용되는 TCP/IP 포트 번호를 제공합니다. 이 포트를 통해 TLS를 실행하려면 TLS 확장 시작 작업을 사용합니다. 이 선택된 포트는 호스트 시스템에서 고유해야 합니다. 다른 애플리케이션에서 동일한 포트 번호를 사용하려고 시도하지 않아야 합니다. 포트 번호를 1024 미만의 경우 Directory Server를 root 로 시작해야 함을 의미합니다.
시작 후 서버는 uid 를 nsslapd-localuser 값으로 설정합니다. 구성 디렉터리의 포트 번호를 변경할 때 구성 디렉터리의 해당 서버 인스턴스 항목을 업데이트해야 합니다.
포트 번호를 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 0에서 65535 |
| 기본값 | 389 |
| 구문 | 정수 |
| 예제 | nsslapd-port: 389 |
LDAPS 포트가 활성화된 경우 포트 번호를0( 0)으로 설정하여 LDAP 포트를 비활성화합니다.
3.1.1.136. nsslapd-privatenamespaces
이 read-only 특성에는 개인 이름 지정 컨텍스트 cn=config,cn=schema 및 cn=monitor 목록이 포함되어 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | cn=config, cn=schema, and cn=monitor |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-privatenamespaces: cn=config |
3.1.1.137. nsslapd-pwpolicy-inherit-global (Inherit Global Password Syntax)
세분화된 암호 구문이 설정되지 않은 경우 글로벌 암호 구문이 구성되어 있어도 새 암호 또는 업데이트된 암호를 확인하지 않습니다. 글로벌 세분화된 암호 구문을 상속하려면 이 속성을 의 로 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.138. nsslapd-pwpolicy-local (Enable Subtree- and User-Level Password Policy)
및 off에서 세분화된(subtree- 및 사용자 수준) 암호 정책을 설정합니다.
이 속성이 off 인 경우 디렉터리의 cn=Directory Manager를 제외한 모든 항목은 전역 암호 정책에 따라 달라집니다. 서버는 정의된 하위 트리/사용자 수준 암호 정책을 무시합니다.
이 속성이 에 값이 있는 경우 서버는 하위 트리 및 사용자 수준에서 암호 정책을 확인하고 해당 정책을 적용합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-pwpolicy-local: off |
3.1.1.139. nsslapd-readonly (Read Only)
이 특성은 전체 서버가 읽기 전용 모드에 있는지 여부를 설정합니다. 즉 데이터베이스의 데이터 또는 구성 정보를 수정할 수 없습니다. 읽기 전용 모드에서 데이터베이스를 수정하려고 하면 서버에서 작업을 수행할 수 없음을 나타내는 오류가 반환됩니다.Any attempt to modify a database in read-only mode returns an error indicating that the server is unwilling to perform the operation.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-readonly: off |
3.1.1.140. nsslapd-referral (Referral)
이 다중 값 특성은 서버가 로컬 트리에 속하지 않는 항목에 대한 요청을 수신할 때 접미사로 반환되는 LDAP URL을 지정합니다. 즉 접미사가 접미사 속성에 지정된 값과 일치하지 않는 항목. 예를 들어 서버에 항목만 포함되어 있다고 가정합니다.
ou=People,dc=example,dc=com
그러나 요청은 이 항목에 대한 것입니다.
ou=Groups,dc=example,dc=com
이 경우 LDAP 클라이언트가 요청된 항목이 포함된 서버를 찾을 수 있도록 참조를 다시 클라이언트로 다시 전달합니다. Directory Server 인스턴스당 하나의 참조만 허용되지만 이 참조에는 여러 값이 있을 수 있습니다.
TLS 통신을 사용하려면 추천 특성은 ldaps ://서버 위치형식이어야 합니다.
Start TLS는 참조를 지원하지 않습니다.
참조 관리에 대한 자세한 내용은 Red Hat Directory Server 관리 가이드의 "파일 데이터베이스 구성" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.141. nsslapd-referralmode (Referral Mode)
설정하는 경우 이 속성은 모든 접미사에 대한 모든 요청에 대한 참조를 다시 보냅니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 LDAP URL |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.142. nsslapd-require-secure-binds
이 매개 변수를 사용하려면 사용자가 일반 연결이 아닌 TLS, StartTLS 또는 SASL과 같은 보호된 연결을 통해 디렉터리에 대한 인증을 받아야 합니다.
이는 인증된 바인딩에만 적용됩니다. nsslapd-require-secure-binds 가 설정되어 있어도 익명 바인딩 및 인증되지 않은 바인딩은 표준 채널을 통해 완료할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-require-secure-binds: on |
3.1.1.143. nsslapd-requiresrestart
이 매개변수는 수정 후 서버를 다시 시작해야 하는 기타 핵심 구성 속성을 나열합니다. 즉, nsslapd-requiresrestart 에 나열된 속성이 변경되면 서버를 다시 시작할 때까지 새 설정이 적용되지 않습니다. 속성 목록은 ldapsearch 에서 반환할 수 있습니다:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
이 속성은 다중 값입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 코어 서버 구성 특성 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.144. nsslapd-reservedescriptors (Reserved File Descriptors)
이 속성은 Directory Server가 인덱스 관리 및 복제 관리와 같은 클라이언트 이외의 연결을 관리하기 위해 예약하는 파일 설명자 수를 지정합니다. 서버가 이 목적을 위해 예약하는 파일 설명자 수는 LDAP 클라이언트 연결 서비스에 사용할 수 있는 총 파일 설명자 수( 3.1.1.118절. “nsslapd-maxdescriptors (Maximum File Descriptors)”참조하십시오.
대부분의 Directory Server 설치는 이 속성을 변경할 필요가 없습니다. 그러나 다음 중 하나라도 해당하는 경우 이 속성의 값을 늘리는 것이 좋습니다.
- 서버가 많은 수의 소비자 서버에 복제하고 있거나(10개 이상) 서버가 많은 수의 인덱스 파일을 유지 관리합니다(30개 이상).
- 서버는 많은 수의 LDAP 연결을 제공하고 있습니다.
- 서버가 파일 설명자를 열 수 없다고 보고하는 오류 메시지가 있습니다(서버가 수행하려는 작업에 따라 실제 오류 메시지는 다르지만 이러한 오류 메시지는 클라이언트 LDAP 연결 관리와 관련이 없습니다.
이 속성의 값을 늘리면 더 많은 LDAP 클라이언트가 디렉터리에 액세스할 수 없습니다. 따라서 이 속성의 값이 증가하여 nsslapd-maxdescriptors 속성의 값도 증가합니다. 서버가 이미 운영 체제에서 사용할 수 있는 최대 파일 설명자 수를 사용하는 경우 nsslapd-maxdescriptors 값을 늘릴 수 없습니다. 자세한 내용은 운영 체제 설명서를 참조하십시오. 이 경우 LDAP 클라이언트가 대체 디렉터리 복제본을 검색하도록 하여 서버의 부하를 줄입니다. 수신 연결에 대한 파일 설명자 사용에 대한 자세한 내용은 3.1.1.62절. “nsslapd-conntablesize” 을 참조하십시오.
이 특성에 설정된 파일 설명자 수를 계산하는 데 도움이 되도록 다음 공식을 사용합니다.
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends 는 ldbm 데이터베이스의 수입니다.
- NglobalIndex 는 시스템 인덱스를 포함한 모든 데이터베이스에 대해 구성된 총 인덱스 수입니다. (기본 8 시스템 인덱스 및 데이터베이스당 17 추가 인덱스).
- ReplicationDescriptor 는 8(8)이고 공급자 또는 허브로 작동할 수 있는 서버의 복제본 수(NSupplierReplica)입니다.
-
ChainingBackendDescriptors 는 NchainingBackend times the nsOperationConnectionsLimit (연결 또는 데이터베이스 링크 구성 속성, 기본적으로
10)입니다. -
PTA가 구성된 경우 PTA가
3이고 PTA가 구성되지 않은 경우0입니다. -
TLS가 구성되지 않은 경우 SSLDescriptors 는
5(4 파일 + 1 listensocket)입니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 64 |
| 구문 | 정수 |
| 예제 | nsslapd-reservedescriptors: 64 |
3.1.1.145. nsslapd-return-exact-case (Return Exact Case)
클라이언트에서 요청한 대로 특성 유형 이름의 정확한 대소문자를 반환합니다. LDAPv3 호환 클라이언트는 특성 이름의 대소문자를 무시해야 하지만 일부 클라이언트 애플리케이션은 검색 또는 수정 작업의 결과로 Directory Server에서 속성을 반환하는 경우 스키마에 나열된 속성 이름과 정확히 일치하도록 특성 이름이 필요합니다. 그러나 대부분의 클라이언트 애플리케이션은 속성의 대소문자를 무시합니다. 따라서 기본적으로 이 특성은 비활성화됩니다. 서버에서 반환된 결과에서 특성 이름의 대소문자를 확인할 수 있는 레거시 클라이언트가 없으면 수정하지 마십시오.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-return-exact-case: off |
3.1.1.146. nsslapd-rewrite-rfc1274
이 속성은 더 이상 사용되지 않으며 이후 버전에서 제거됩니다.
이 속성은 RFC 1274 이름과 함께 특성 유형을 반환해야 하는 LDAPv2 클라이언트에만 사용됩니다. 해당 클라이언트에 값을 on 으로 설정합니다. 기본값은 OFF 입니다.
3.1.1.147. nsslapd-rootdn (Manager DN)
이 속성은 액세스 제어 제한, 디렉터리 작업의 관리 제한, 일반적으로 리소스 제한의 영향을 받지 않는 항목의 고유 이름(DN)을 설정합니다. 이 DN에 해당하는 항목이 있을 필요는 없으며 기본적으로 이 DN에 대한 항목이 없으므로 cn=Directory Manager 와 같은 값을 사용할 수 있습니다.
루트 DN 변경에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "디렉토리 항목 생성" 장을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 유효한 고유 이름 |
| 기본값 | |
| 구문 | DN |
| 예제 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.148. nsslapd-rootpw (Root Password)
이 속성은 Manager DN과 연결된 암호를 설정합니다. 루트 암호가 제공되면 nsslapd-rootpwstoragescheme 속성에 대해 선택된 암호화 방법에 따라 암호화됩니다. 서버 콘솔에서 볼 때 이 속성은 * 값을 표시합니다. dse.ldif 파일에서 볼 때 이 특성은 암호화 방법과 암호의 암호화된 문자열을 표시합니다. 이 예제에서는 실제 암호가 아닌 dse.ldif 파일에 표시된 암호를 보여줍니다.
서버 설정에서 루트 DN을 구성할 때 루트 암호가 필요합니다. 그러나 파일을 직접 편집하여 루트 암호를 dse.ldif 에서 삭제할 수 있습니다. 이 경우 root DN은 익명 액세스를 위해 디렉터리에 대한 동일한 액세스 권한만 얻을 수 있습니다. 데이터베이스에 루트 DN이 구성된 경우 항상 루트 암호 dse.ldif 에 정의되어 있는지 확인합니다. pwdhash 명령줄 유틸리티는 새 루트 암호를 만들 수 있습니다. 자세한 내용은 9.6절. “pwdhash”의 내용을 참조하십시오.
명령줄에서 Directory Manager의 암호를 재설정 할 때 암호에서 curly braces({})를 사용하지 마십시오. 루트 암호는 {password-storage-scheme}hashed_password 형식으로 저장됩니다. curly braces의 모든 문자는 서버에서 루트 암호의 암호 스토리지 체계로 해석됩니다. 해당 텍스트가 유효한 스토리지 스키마가 아니거나 다음 암호를 올바르게 해시하지 않으면 Directory Manager가 서버에 바인딩할 수 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 4.1.43절. “Password Storage Schemes” 에 설명된 암호화 방법 중 하나로 암호화된 유효한 암호입니다. |
| 기본값 | |
| 구문 | DirectoryString {encryption_method }encrypted_Password |
| 예제 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.149. nsslapd-rootpwstoragescheme (Root Password Storage Scheme)
이 특성은 nsslapd-rootpw 특성에 저장된 Directory Server의 관리자 암호를 암호화하는 데 사용되는 메서드를 설정합니다. 권장되는 강력한 암호 스토리지 체계와 같은 자세한 내용은 4.1.43절. “Password Storage Schemes” 을 참조하십시오.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 4.1.43절. “Password Storage Schemes” 을 참조하십시오. |
| 기본값 | PBKDF2_SHA256 |
| 구문 | DirectoryString |
| 예제 | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.150. nsslapd-rundir
이 매개 변수는 디렉터리 서버가 PID 파일과 같은 런타임 정보를 저장하는 디렉터리의 절대 경로를 설정합니다. 디렉터리는 Directory Server 사용자 및 그룹이 소유해야 합니다. 이 사용자 및 그룹만 이 디렉토리에 읽기 및 쓰기 액세스 권한이 있어야 합니다.
이 특성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | Directory Server 사용자가 쓸 수 있는 모든 디렉터리 |
| 기본값 | /var/run/dirsrv/ |
| 구문 | DirectoryString |
| 예제 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.151. nsslapd-sasl-mapping-fallback
기본적으로 처음 일치하는 SASL 매핑만 확인합니다. 이 매핑이 실패하면 작동했을 수 있는 다른 일치 매핑이 있는 경우에도 bind 작업이 실패합니다. SASL 매핑 대체는 일치하는 모든 매핑을 계속 확인합니다.
이 설정을 적용하려면 서버를 다시 시작할 필요가 없습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-sasl-mapping-fallback: off |
3.1.1.152. nsslapd-sasl-max-buffer-size
이 속성은 최대 SASL 버퍼 크기를 설정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 0에서 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 67108864 (64 킬로바이트) |
| 구문 | 정수 |
| 예제 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.153. nsslapd-saslpath
Cyrus-SASL SASL2 플러그인이 포함된 디렉토리의 절대 경로를 설정합니다. 이 속성을 설정하면 서버에서 사용자 지정 또는 비표준 SASL 플러그인 라이브러리를 사용할 수 있습니다. 일반적으로 설치 중에 올바르게 설정되어 있으며 이 속성을 변경하지 않는 것이 좋습니다. 속성이 없거나 값이 비어 있으면 Directory Server에서 올바른 버전인 SASL 플러그인 라이브러리가 제공된 시스템을 사용하고 있음을 의미합니다.
이 매개 변수가 설정되면 서버는 SASL 플러그인을 로드하는 데 지정된 경로를 사용합니다. 이 매개 변수가 설정되지 않은 경우 서버는 SASL_PATH 환경 변수를 사용합니다. nsslapd-saslpath 또는 SASL_PATH 가 모두 설정되어 있지 않으면 서버는 기본 위치 /usr/lib/sasl2 에서 SASL 플러그인을 로드하려고 합니다.
이 속성의 변경 내용은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 플러그인 디렉터리의 경로입니다. |
| 기본값 | 플랫폼 종속 |
| 구문 | DirectoryString |
| 예제 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.154. nsslapd-schema-ignore-trailing-spaces (Object Class Name에서 Trailing Spaces 무시)
오브젝트 클래스 이름의 후행 공백을 무시합니다. 기본적으로 이 속성은 해제되어 있습니다.By default, the attribute is turned off. 디렉터리에 하나 이상의 공백으로 끝나는 개체 클래스 값이 포함된 항목이 있는 경우 이 특성을 켭니다. LDAP 표준에서 허용하지 않으므로 후행 공백을 제거하는 것이 좋습니다.
성능상의 이유로 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
후행 공백을 포함하는 개체 클래스가 항목에 추가되면 기본적으로 오류가 반환됩니다.An error is returned by default when object classes that include trailing spaces are added to an entry. 또한 add, modify, and import와 같은 작업 중 (오브젝트 클래스가 확장되고 누락된 경우) 필요에 따라 후행 공백은 무시됩니다. 즉, nsslapd-schema-ignore-trailing-spaces 가 에 도 불구하고 top 과 같은 값은 top 이 이미 있는 경우 추가되지 않습니다. 개체 클래스를 찾을 수 없고 후행 공백이 포함된 경우 오류 메시지가 기록되고 클라이언트에 반환됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.155. nsslapd-schemacheck (Schema Checking)
이 특성은 항목이 추가되거나 수정될 때 데이터베이스 스키마가 적용되는지 여부를 설정합니다. 이 속성이 에 값이 있는 경우 Directory Server는 수정될 때까지 기존 항목의 스키마를 확인하지 않습니다. 데이터베이스 스키마는 데이터베이스에 허용되는 정보의 유형을 정의합니다. 기본 스키마는 개체 클래스 및 특성 유형을 사용하여 확장할 수 있습니다. Directory Server Console을 사용하여 스키마를 확장하는 방법에 대한 자세 한 내용은 Red Hat Directory Server 관리 가이드의 "Directory Schema 종료" 장을 참조하십시오.
Red Hat은 스키마 검사를 끊는 것을 강력히 권장하지 않습니다. 이로 인해 심각한 상호 운용성 문제가 발생할 수 있습니다. 일반적으로 디렉터리 서버로 가져와야 하는 매우 오래되거나 비표준 LDAP 데이터에 사용됩니다. 이 문제가 있는 항목이 많지 않은 경우 해당 항목에서 extensibleObject 개체 클래스를 사용하여 항목별로 스키마 검사를 사용하지 않도록 설정합니다.If there are not a lot of entries that have this problem, consider using the extensibleObject object class in those entries to disable schema checking on a per entry basis.
스키마 검사는 ldapmodify 와 같은 LDAP 클라이언트를 사용하거나 ldif2db 를 사용하여 LDIF에서 데이터베이스를 가져올 때 기본적으로 데이터베이스 수정 작업을 수행합니다. 스키마 검사를 해제한 경우 스키마를 준수하는지 확인하기 위해 모든 항목을 수동으로 확인해야 합니다. 스키마 확인이 설정되어 있으면 서버에서 스키마와 일치하지 않는 항목이 나열되는 오류 메시지를 보냅니다. LDIF 문에서 생성된 속성 및 개체 클래스가 모두 올바르게 지정되고 dse.ldif 에서 식별되는지 확인합니다. 스키마 디렉터리에 LDIF 파일을 생성하거나 요소를 99user.ldif 에 추가합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemacheck: on |
3.1.1.156. nsslapd-schemadir
Directory Server 인스턴스별 스키마 파일이 포함된 디렉터리의 절대 경로입니다. 서버가 시작되면 이 디렉터리에서 스키마 파일을 읽고 스키마가 LDAP 도구를 통해 수정되면 이 디렉터리의 스키마 파일이 업데이트됩니다. 이 디렉터리는 서버 사용자 ID가 소유해야 하며 해당 사용자는 디렉터리에 대한 읽기 및 쓰기 권한이 있어야 합니다.
이 속성의 변경 내용은 서버를 다시 시작할 때까지 적용되지 않습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 모든 유효한 경로 |
| 기본값 | /etc/dirsrv/instance_name/schema |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.157. nsslapd-schemamod
온라인 스키마를 수정하려면 성능에 영향을 미치는 잠금 보호가 필요합니다. 스키마 수정을 사용하지 않도록 설정하면 이 매개변수를 off 로 설정하면 성능이 향상될 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemamod: on |
3.1.1.158. nsslapd-schemareplace
cn=schema 항목에서 특성 값을 교체할 수 있는 수정 작업을 결정합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off | 복제 전용 |
| 기본값 | 복제 전용 |
| 구문 | DirectoryString |
| 예제 | nsslapd-schemareplace: replication-only |
3.1.1.159. nsslapd-search-return-original-type-switch
특성 목록에 다른 문자가 뒤에 오는 공백이 포함된 경우 동일한 문자열이 클라이언트에 반환됩니다. 예를 들면 다음과 같습니다.
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
이 동작은 기본적으로 비활성화되어 있지만 이 구성 매개변수를 사용하여 활성화할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-search-return-type-switch: off |
3.1.1.160. nsslapd-securelistenhost
이 속성을 사용하면 여러 Directory Server 인스턴스를 다중 홈 시스템에서 실행할 수 있습니다(또는 다중 홈 시스템의 하나의 인터페이스로 수신 대기를 제한할 수 있음). 단일 호스트 이름과 연결된 IP 주소가 여러 개 있을 수 있으며 이러한 IP 주소는 IPv4와 IPv6을 혼합할 수 있습니다. 이 매개 변수는 Directory Server 인스턴스를 단일 IP 인터페이스로 제한하는 데 사용할 수 있습니다. 이 매개 변수는 일반 LDAP 연결 대신 TLS 트래픽에 사용할 인터페이스를 구체적으로 설정합니다.
호스트 이름이 nsslapd-securelistenhost 값으로 지정되면 Directory Server는 호스트 이름과 연결된 모든 인터페이스에 대한 요청에 응답합니다. 단일 IP 인터페이스(IPv4 또는 IPv6)가 nsslapd-securelistenhost 값으로 지정되면 Directory Server는 해당 특정 인터페이스에 전송된 요청에만 응답합니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.
이 특성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | 보안 호스트 이름, IPv4 또는 IPv6 주소 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.161. nsslapd-securePort (Encrypted Port Number)
이 특성은 TLS 통신에 사용되는 TCP/IP 포트 번호를 설정합니다. 이 선택된 포트는 호스트 시스템에서 고유해야 합니다. 다른 애플리케이션에서 동일한 포트 번호를 사용하려고 시도하지 않아야 합니다. 포트 번호를 1024 미만의 경우 디렉터리 서버를 root 로 시작해야 합니다. 시작 후 서버는 uid 를 nsslapd-localuser 값으로 설정합니다.
서버는 개인 키 및 인증서로 구성된 경우에만 이 포트를 수신 대기하고, nsslapd-security 가 .의 로 설정됩니다. 그렇지 않으면 이 포트에서 수신 대기하지 않습니다.
포트 번호를 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | 1에서 65535 |
| 기본값 | 636 |
| 구문 | 정수 |
| 예제 | nsslapd-securePort: 636 |
3.1.1.162. nsslapd-security(보안)
이 특성은 Directory Server가 암호화된 포트에서 TLS 통신을 허용할지 여부를 설정합니다. 보안 연결을 위해 이 속성을 on 으로 설정해야 합니다. 에서 보안을 사용하려면 다른 TLS 구성 외에도 개인 키 및 서버 인증서로 서버를 구성해야 합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예제 | nsslapd-security: off |
3.1.1.163. nsslapd-sizelimit (Size Limit)
이 속성은 검색 작업에서 반환할 최대 항목 수를 설정합니다. 이 제한에 도달하면 ns-slapd 는 검색 요청과 일치하는 항목을 반환하고 초과 크기 제한 오류를 반환합니다.
제한이 설정되지 않으면 ns-sla d는 발견된 번호에 관계없이 모든 일치하는 항목을 클라이언트에 반환합니다. 디렉터리 서버가 검색이 완료될 때까지 무기한 대기하는 제한 값을 설정하려면 dse.ldif 파일에 이 속성의 값을 -1 로 지정합니다.
이 제한은 조직에 관계없이 모든 사람에게 적용됩니다.
dse.ldif 파일의 이 속성에서 -1 값은 서버 콘솔에서 특성을 비워 두는 것과 동일하므로 제한이 사용되지 않습니다. dse.ldif 파일에는 유효한 정수가 아니므로 null 값이 있을 수 없습니다. 모든 검색에 대해 초과한 크기 제한 을 반환하는 0 으로 설정할 수 있습니다.
해당 사용자 수준 속성은 nsSizeLimit 입니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | cn=config |
| 유효한 범위 | - 최대 32 비트 정수 값 (2147483647) |
| 기본값 | 2000 |
| 구문 | 정수 |
| 예제 | nsslapd-sizelimit: 2000 |