配置、命令和文件参考
配置目录服务器的参考指南
摘要
前言
配置目录服务器的参考指南
法律声明
Copyright 2021 Red Hat, Inc.
本文档使用红帽根据 Creative Commons Attribution-ShareAlike 3.0 Unported License.如果您发布本文档,或修改本文档,则必须向 Red Hat, Inc. 提供相关文档,并提供原始版本的链接。如果修改了相关文档,则必须删除所有红帽商标。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、Shadowman 商标、JBoss、OpenShift、Fedora、Infinity 商标以及 RHCE 都是在美国及其他国家的注册商标。
Linux 是 Linus Torvalds 在美国和其他国家/地区的注册商标。
Java 是 Oracle 和/或其附属公司的注册商标。
XFS 是 Silicon Graphics International Corp. 或其子公司在美国和/或其他国家或地区的注册商标。
MySQL 是美国、欧洲联合和其他国家的 MySQL AB 注册商标。
Node.js 是 Joyent 的官方商标。Red Hat Software Collections 与官方 Joyent Node.js 开源或商业项目没有正式关联或被正式认可。
OpenStack Word Mark 和 OpenStack 徽标是 OpenStack Foundation 的注册商标/服务标记或商标/服务标记,在美国和其它国家/地区,可根据 OpenStack Foundation 的许可使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。
使开源更具 Incsive
红帽致力于替换我们的代码、文档和 Web 属性中有问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
关于此参考信息
Red Hat Directory Server(Directory Server)是一个基于行业标准的轻量级目录访问协议(LDAP)的强大、可扩展的分布式目录服务器。目录服务器是构建中央化和分布式数据库的基石,可用于内部内部、交易合作伙伴以及公共互联网来接触客户。
本参考涵盖了服务器配置和命令行实用程序。它主要针对想要使用命令行访问该目录的目录管理员和经验丰富的目录用户而设计。配置服务器后,使用此参考来帮助维护服务器。
也可以通过 Directory Server Console(一个图形用户界面)来管理目录服务器。Red Hat Directory Server Administration Guide 介绍如何进行此操作,并更全面地解释各个管理任务。
1. 目录服务器概述
Directory 服务器的主要组件包括:
- LDAP 服务器 - LDAP v3 兼容网络守护进程。
- 目录服务器控制台 - 图形化管理控制台,可显著减少设置和维护您的目录服务。
- SNMP 代理 - 可使用简单网络管理协议(SNMP)监控目录服务器。
第 1 章 简介
目录服务器基于开放系统服务器协议,称为轻量级目录访问协议(LDAP)。目录服务器是一种强大的可扩展服务器,用来管理大规模目录,以支持通过互联网上的企业范围内的用户和资源、extranets 和电子商务应用程序。目录服务器在机器上作为 ns-slapd 进程或服务运行。服务器管理目录数据库并响应客户端请求。
大部分目录服务器管理任务可以通过 Directory Server 提供的图形用户界面来执行。有关使用 Directory 服务器控制台的详情,请参考 Red Hat Directory Server Administration Guide。
本参考是通过使用命令行更改服务器配置属性以及使用命令行工具和脚本来管理目录服务器的其他方法。
1.1. 目录服务器配置
用于存储目录服务器配置信息和所有服务器属性列表的格式和方法可在两个章节 第 3 章 核心服务器配置参考 和 第 4 章 插件实现的服务器功能参考 中找到。
1.2. 目录服务器实例文件参考
第 2.1 节 “目录服务器实例独立文件和目录” 概述了 Directory Server 每个实例中存储的文件和配置信息。这可用于帮助管理员了解目录活动中的更改或不存在更改。从安全角度来说,这也有助于用户通过突出显示正常更改和异常行为来检测错误和入侵。
1.3. 使用 Directory Server 命令行 utility
目录服务器包含一组可配置的命令行实用程序,它们可搜索和修改目录中的条目,并管理服务器。第 9 章 命令行实用程序 描述这些命令行实用程序,包含关于存储实用程序的位置以及如何访问它们的信息。
第 2 章 文件位置概述
Red Hat Directory Server 与 Filesystem Hierarchy Standards(FHS)兼容。有关 FHS 的详情,请参考 http://refspecs.linuxfoundation.org/fhs.shtml。
2.1. 目录服务器实例独立文件和目录
以下是 Directory 服务器的实例相关的默认文件和目录位置:
| 类型 | 位置 |
|---|---|
| 命令行工具 |
|
| systemd 单元文件 |
|
2.2. 目录服务器实例特定文件和目录
要分隔在同一主机上运行的多个实例,某些文件和目录包含实例的名称。您在 Directory 服务器设置过程中设置实例名称。默认情况下,这是没有域名的主机名。例如,如果您的完全限定的域名是 server.example.com,则默认实例名称为 server。
以下是 Directory 服务器特定实例的默认文件和目录位置:
| 类型 | 位置 |
|---|---|
| 备份文件 |
|
| 配置文件 |
|
| 证书和密钥数据库 |
|
| 数据库文件 |
|
| LDIF 文件 |
|
| 锁定文件 |
|
| 日志文件 |
|
| PID 文件 |
|
| systemd 单元文件 |
|
2.2.1. 配置文件
每个目录服务器实例将其配置文件存储在 /etc/dirsrv/slapd-实例 目录中。
Red Hat Directory Server 的配置信息作为 LDAP 条目存储在目录本身中。因此,必须通过使用服务器本身而非直接编辑配置文件来实施对服务器配置的更改。这种配置存储方法的主要优点是,它允许目录管理员在仍在运行时使用 LDAP 重新配置服务器,从而避免需要关闭服务器以多数配置更改。
2.2.1.1. Directory 服务器配置概述
当设置 Directory 服务器时,其配置会作为目录中的一系列 LDAP 条目存储在 subtree cn=config 下。当服务器启动时,cn=config 子树的内容会从文件读取(dse.ldif)(采用 LDIF 格式)。此 dse.ldif 文件包含所有服务器配置信息。此文件的最新版本名为 dse.ldif,上次修改前的版本名为 dse.ldif.bak,以及服务器成功启动的最新文件名为 dse.ldif.startOK。
目录服务器的许多特性是设计为插入到核心服务器中的离散模块。每个插件的内部配置详情包括在 cn=plugins,cn=config 下的独立条目中。例如,Telarmphone 语法插件的配置包含在该条目中:
cn=Telephone Syntax,cn=plugins,cn=config
同样,特定于数据库的配置存储在 下
cn=ldbm database,cn=plugins,cn=config for local databases, cn=chaining database,cn=plugins,cn=config for database links.
下图说明了配置数据如何适合 cn=config 目录信息树。
图 2.1. 目录信息树显示配置数据
2.2.1.1.1. LDIF 和 Schema 配置文件
目录服务器配置数据存储在 /etc/dirsrv/slapd-实例 目录中的 LDIF 文件中。因此,如果服务器标识符是电话笔记本电脑,则配置 LDIF 文件将存储在 /etc/dirsrv/slapd- 中。
phonebook
该目录还包含其他特定于服务器实例的配置文件。
模式配置也以 LDIF 格式存储,这些文件则位于 /etc/dirsrv/schema 目录中。
下表列出了与 Directory 服务器提供的所有配置文件,包括用于其他兼容服务器的模式。每个文件的前面都有一个数字,指明应加载它们的顺序(按数字,然后按字母顺序排列)。
表 2.1. 目录服务器 LDIF 配置文件
| 配置文件名称 | 用途 |
|---|---|
| dse.ldif |
包含由服务器启动时由 目录创建的前端目录 Entries。这包括 Root DSE( |
| 00core.ldif |
仅包含那些使用裸机功能启动服务器(无用户 schema,任何非核心功能)所需的模式定义。用户、特性和应用的其他架构在 |
| 01common.ldif |
包含 LDAPv3 标准操作模式,如 |
| 05rfc2247.ldif | RFC 2247 和相关试验模式的模式,从"在 LDAP/X500 Distinguished Name 中使用域" |
| 05rfc2927.ldif |
RFC 2927 的 schema,"LDAP 架构的MIME 目录配置文件"。 包含在 |
| 10presence.ldif | 传统.用于即时消息的 schema(在线)信息;文件列出了默认对象类,其属性必须添加到用户条目中,以便使即时信息可供该用户使用。 |
| 10rfc2307.ldif |
RFC 2307 的 schema,"使用 LDAP 作为网络信息服务的方法"。 当该模式可用时,可以使用 |
| 20subscriber.ldif |
包含新的 schema 元素和 Nortel 订阅者互操作性规格。还包含 |
| 25java-object.ldif | RFC 2713 的 schema,"在 LDAP 目录中代表 Java® 对象的架构"。 |
| 28pilot.ldif |
包含 RFC 1274 的 pilot 目录 schema,这已不再用于新部署。将来的 RFC 1274 可以成功弃用一些或所有 |
| 30ns-common.ldif | 架构中包含与 Directory Server 控制台框架通用的对象类和属性。 |
| 50ns-admin.ldif | 红帽管理服务器使用的模式. |
| 50ns-certificate.ldif | 红帽证书管理系统的模式. |
| 50ns-directory.ldif | 包含 Directory Server 4.12 及更早的版本使用的其他配置模式,它不再适用于 Directory Server 的当前版本。在 Directory Server 4.12 和当前版本之间复制这个 schema。 |
| 50ns-mail.ldif | Netscape Messaging Server 用来定义邮件用户和邮件组的架构。 |
| 50ns-value.ldif | 服务器值项属性的 schema。 |
| 50ns-web.ldif | Netscape Web 服务器的模式。 |
| 60pam-plugin.ldif | 保留以供将来使用。 |
| 99user.ldif | 由目录服务器复制消费者维护的用户定义架构,其中包含来自供应商的属性和对象类。 |
2.2.1.1.2. 服务器配置机构如何组织
dse.ldif 文件包含所有配置信息,包括在服务器启动时由目录创建的目录特定条目,如与数据库相关的条目。该文件包含 root Directory Server 条目(或 DSE,名为 ""),以及 cn=config 和 cn=monitor 的内容。
当服务器生成 dse.ldif 文件时,它会按照 cn=config 下的目录中显示的顺序列出条目,通常是与 LDAP 搜索 base cn=config 的子树范围相同的顺序。
DSE.ldif 还包含 cn=monitor 条目,该条目基本上是只读的,但可在其上设置 ACI。
dse.ldif 文件不包含 cn=config 中的每个属性。如果管理员未设置 属性并且具有默认值,服务器将不会将其写入 dse.ldif。要查看 cn=config 中的每个属性,请使用 ldapsearch。
配置属性
在配置条目中,每个属性都以属性名称表示。属性的值与属性的配置对应。
以下代码示例是 Directory 服务器的 dse.ldif 文件的一部分。示例中显示,模式检查已被启用;这由 nsslapd-schemacheck 属性表示,该值取了 上的 值。
dn: cn=config objectclass: top objectclass: extensibleObject objectclass: nsslapdConfig nsslapd-accesslog-logging-enabled: on nsslapd-enquote-sup-oc: off nsslapd-localhost: phonebook.example.com nsslapd-schemacheck: on nsslapd-port: 389 nsslapd-localuser: dirsrv ...
配置插件功能
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config 下的属性集合。以下代码示例是示例插件(Telefphone 语法插件)的配置条目示例。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
其中一些属性适用于所有插件,某些属性可能特定于特定的插件。通过在 cn=config 子树中执行 ldapsearch,检查给定插件目前正在使用哪些属性。
有关 Directory Server 支持的插件列表、通用插件配置信息、插件配置属性参考和需要重启配置更改的插件列表,请参阅 第 4 章 插件实现的服务器功能参考。
配置数据库
数据库插件条目下的 cn=UserRoot 子树包含包含设置过程中创建的默认后缀的数据库的配置数据。
这些条目和子项具有许多属性,用于配置不同的数据库设置,如缓存大小、索引文件的路径和事务日志、用于监控和统计信息的条目和属性;以及数据库索引。
配置索引
索引的配置信息作为条目存储在以下 information-tree 节点的 Directory Server 中:
-
cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config -
cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
有关一般索引的更多信息,请参阅 Red Hat Directory Server Administration Guide。有关索引配置属性的详情,请参考 第 4.4.1 节 “database Attributes in cn=config,cn=ldbm database,cn=plugins,cn=config”。
2.2.1.2. 访问和修改服务器配置
本节讨论配置条目的访问控制,并描述了服务器配置可以查看和修改的各种方法。它还涵盖了对需要重新启动服务器重启的属性而进行和讨论的修改类型的限制,以使更改生效。
2.2.1.2.1. 配置条目的访问控制
安装 Directory Server 时,会为 cn=config 下的所有条目实施默认的访问控制指令(ACIs)。以下代码示例是这些默认 ACI 的示例。
aci: (targetattr = "*")(version 3.0; acl "Local Directory Administrators Group"; allow (all)
groupdn = "ldap:///ou=Directory Administrators,dc=example,dc=com";)这些默认 ACI 允许以下用户在所有配置属性中执行所有 LDAP 操作:
- Configuration Administrators 组的成员。
-
作为管理员的用户,在设置时配置的
admin帐户。默认情况下,这与登录到控制台的用户帐户相同。 - 本地目录管理员组成员。
-
SIE(服务器实例条目)组,通常使用
Set Access Permissions进程主控制台进行分配。
有关访问控制的更多信息,请参阅 Red Hat Directory Server 管理指南。
2.2.1.2.2. 更改配置属性
可以通过三种方式查看和更改服务器属性:通过目录服务器控制台、执行 ldapsearch 和 ldapmodify 命令,或者通过手动编辑 dse.ldif 文件来查看和更改。
在编辑 dse.ldif 文件前,必须停止 服务器;否则,更改将会丢失。建议只对无法动态更改的属性更改 dse.ldif 文件。如需更多信息,请参阅 配置更改 Requiring Server Restart。
以下小节介绍了如何使用 LDAP 修改条目(使用 Directory 服务器控制台和使用命令行),用于修改条目的限制、适用于修改属性的限制以及需要重启的配置更改。
使用 LDAP 修改配置条目
可使用 LDAP 使用 Directory 服务器控制台搜索和修改目录中的配置条目,或者执行 ldapsearch 和 ldapmodify 操作的方式与其他目录条目相同。使用 LDAP 修改条目的优点是可在服务器运行时进行更改。
如需更多信息,请参阅 Red Hat Directory Server 管理指南 中的"创建目录条目"一章。但是,某些更改需要在服务器考虑前重启它们。如需更多信息,请参阅 配置更改 Requiring Server Restart。
与任何一组配置文件一样,在更改或删除 cn=config 子树中的节点时应小心,因为这会影响 Directory 服务器功能的风险。
通过在 cn=config 子树中执行 ldapsearch 操作,包括始终使用默认值的属性来查看:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)"
-
bindDN 是安装服务器时为 Directory Manager 选择的 DN(默认为
cn=Directory Manager)。 - password 是为 Directory Manager 选择的密码。
要禁用插件,请使用 ldapmodify 编辑 nsslapd-pluginEnabled 属性:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Telephone Syntax,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: off
修改配置条目和属性的限制
修改服务器条目和属性时会应用某些限制:
-
cn=monitor条目及其子条目为只读且不可修改,但管理 ACI 除外。 -
如果某一属性添加到
cn=config,则服务器会忽略它。 - 如果为属性输入无效值,服务器会忽略它。
-
由于
ldapdelete被用来删除整个条目,因此请使用ldapmodify从条目中删除属性。
配置更改 Requiring Server Restart
在服务器运行时无法更改一些配置属性。在这些情况下,为了使更改生效,需要关闭并重新启动服务器。修改应通过 Directory 服务器控制台或通过手动编辑 dse.ldif 文件进行。下面列出了需要服务器重启的一些属性以使任何更改生效。此列表不详细;查看完整的列表,请运行 ldapsearch,再搜索 nsslapd-requiresrestart 属性。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
虽然此属性需要重启,但它不会在搜索中返回。
| |
删除配置属性
所有核心配置属性都不存在,即使没有在 /etc/dirsrv/slapd-instance-name/dse.ldif 文件中写入,因为它们都具有服务器使用的默认值。
有关删除无法删除的核心配置属性和无法删除的属性列表的详情,请参考 Red Hat Directory Server Administration Guide 中的对应部分。
2.2.2. 数据库文件
每个目录服务器实例都包含用于存储所有 数据库文件的 /var/lib/dirsrv/slapd-实例/db 目录。以下是 /var/lib/dirsrv/slapd-实例/db 目录内容的示例列表。
例 2.1. 数据库目录内容
db.001 db.002 __db.003 DBVERSION log.0000000001 userroot/-
db.00x文件 - 由数据库在内部使用,不应以任何方式移动、删除或修改。 -
log.xxxxxxxxxxfiles - 用来存储每个数据库的事务日志。 -
DBVERSION- 用于存储数据库的版本。 -
userroot- 存储在设置中创建的用户定义的后缀(用户定义的数据库),例如:dc=example,dc=com。
如果创建新数据库(例如 testRoot)将目录树存储在新后缀下,则名为 testRoot 的目录也会出现在 /var/lib/dirsrv/slapd-实例/db 目录中。
以下是 用户Root 目录的内容的示例列表。
例 2.2. userroot 数据库目录内容
ancestorid.db DBVERSION entryrdn.db id2entry.db nsuniqueid.db numsubordinates.db objectclass.db parentid.db
userroot 子目录包含以下文件:
-
ancestorid.db- 包含一个 ID 列表,以查找条目级的 ID。 -
entrydn.db- 包含用于查找任何 ID 的完整 DN 列表。 -
id2entry.db- 包含实际的目录数据库条目。如果需要,可以从此重新创建所有其他数据库文件。 -
nsuniqueid.db- 包含用来找到任何 ID 的唯一 ID 列表。 -
numsubordinates.db- 包含子条目的 ID。 -
objectClass.db- 包含具有特定对象类的 ID 列表。 -
parentid.db- 包含用于查找父 ID 的 ID 列表。
2.2.3. LDIF 文件
LDIF 文件示例存储在 /var/lib/dirsrv/slapd-实例/ldif 目录中以存储 LDIF 相关文件中。例 2.3 “LDIF 目录内容” 列出 /ldif 目录的内容。
例 2.3. LDIF 目录内容
European.ldif Example.ldif Example-roles.ldif Example-views.ldif
-
欧洲.ldif- 包含欧洲字符样本. -
example.ldif- 示例 LDIF 文件。 -
example-roles.ldif- 是类似于Example.ldif的示例 LDIF 文件,但它使用角色和服务类服务而不是组来为目录管理员设置访问控制和资源限制。
由 db2ldif 或 db2ldif.pl 脚本在实例目录中导出的 LDIF 文件存储在 /var/lib/dirsrv/slapd-实例/ldif 中。
2.2.4. 锁定文件
每个目录服务器实例都包含用于存储锁定相关文件的 /var/lock/dirsrv/slapd-实例 目录。以下是 锁定 目录内容的示例列表。
例 2.4. 锁定目录内容
exports/ imports/ server/
锁定机制控制目录服务器进程可在其中运行多少个副本。例如,如果有一个导入作业,则会将锁定放置在 导入/ 目录中,以防止任何其他 ns-slapd (normal)、ldif2db (另一个导入)或 db2ldif (export)操作运行。如果服务器以正常方式运行,则在 server/ 目录中有一个锁定,这会阻止导入操作(但不导出操作),而导出操作为导出操作,但 exports/ 目录中的锁定允许普通服务器操作,但可防止导入操作。
可用锁定数量可能会影响整个 Directory 服务器性能。锁定数量在 nsslapd-db-locks 属性中设置。调整该值该值会在 性能调优指南中描述。
2.2.5. 日志文件
每个目录服务器实例包含一个用于存储日志文件的 /var/log/dirsrv/slapd-实例 目录。以下是 /logs 目录的内容的示例列表。
例 2.5. 日志目录内容
access access.20200228-171925 errors access.20200221-162824 access.rotationinfo errors.20200221-162824 access.20200223-171949 audit errors.rotationinfo access.20200227-171818 audit.rotationinfo slapd.stats
-
访问、审计和错误日志文件的内容取决于日志配置。 -
slapd.stats文件是一个内存映射的文件,不能被编辑器读取。它包含 Directory Server SNMP 数据收集组件收集的数据。此数据由 SNMP 子代理读取,以响应 SNMP 属性查询,并告知负责处理 Directory Server SNMP 请求的 SNMP 主代理。
第 7 章 日志文件参考 包含访问、错误和审核日志文件格式及其信息的可靠概述。
2.2.6. PID 文件
当服务器启动并运行时,llaapd-serverID.pid 和 slapd-serverID.startpid 文件会在 /var/run/dirsrv 目录中创建。两个文件都存储服务器的进程 ID。
2.2.7. 备份文件
每个目录服务器实例都包含以下目录和文件来存储与备份相关的文件:
-
/var/lib/dirsrv/slapd-实例/bak- 包含一个带有 实例、时间和日期的目录,如实例-2020_05_02_16_56_05/,后者又保存数据库备份副本。 -
/etc/dirsrv/slapd-实例/dse_original.ldif- 这是安装时dse.ldif配置文件的一个备份副本。
第 3 章 核心服务器配置参考
本章为所有核心(服务器相关)属性提供字母顺序参考。第 2.2.1.1 节 “Directory 服务器配置概述” 包含有关 Red Hat Directory Server 配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节介绍与核心服务器功能相关的配置属性。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器插件功能参考”。为了帮助实施自定义服务器功能,请联络目录服务器支持。
dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分介绍了其中的大部分配置树节点。
第 4 章 插件实现的服务器功能参考 涵盖了 cn=plugins 节点。每个属性的描述包含其目录条目的 DN、其默认值、有效值及其用法示例。
本章节中描述的一些条目和属性可能会在以后的发行本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config 条目中。cn=config 条目是一个 nsslapdConfig 对象类的实例,它随后从 extensibleObject 对象类继承。
3.1.1.1. nsslapd-accesslog(Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。默认情况下,日志文件中会记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回条目数或错误代码)。
有关关闭访问的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"一章。
要启用的访问日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
表 3.1. DSE.ldif 文件属性
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名。 |
| 默认值 | /var/log/dirsrv/slapd-instance/access |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(Access Log Level)
此属性控制日志记录到访问日志的内容。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 - 无访问日志 * 4 - 内部访问操作的日志记录 * 256 - 用于连接、操作和结果的日志记录 * 512 - 日志记录以访问一个条目和引用
* 这些值可以一起添加,以提供所需的确切的日志类型;例如, |
| 默认值 | 256 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(Access Log Files)
此只读属性无法设置,提供访问日志轮转中使用的访问日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器在负载过重的情况下使用访问日志,而不影响性能。但是,在调试时,有时禁用缓冲以便立即查看操作及其结果,而不必等待日志条目清空至文件。禁用日志缓冲会对负载较大服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)
此属性指定在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time unit)
此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)
禁用并启用 accesslog 日志,但只能与 nsslapd-accesslog 属性结合使用,用于指定记录每个数据库访问的日志的路径和参数。
要启用的访问日志,此属性必须切换到 上的,并且 nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
表 3.2. DSE.ldif 属性
| 属性 | 值 | Enabled 或 Disabled 的日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
此属性以 MB 为单位指定访问日志允许消耗的最大磁盘空间量。如果超过这个值,会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许访问日志的磁盘空间没有限制。 |
| 默认值 | 500 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)
此属性设置是否与当天的特定时间同步访问日志轮转。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使日志轮转与定时天同步,必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值设置为轮转日志的小时和分钟。
例如,若要每天在午夜中轮转日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsync 的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationsync-enabled: |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)
此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然不建议指定日志轮转,因为日志已无限期地增长,但有两个方法可以指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-accesslog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示访问日志文件轮转之间的时间不受限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time unit)
此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | day |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)
此属性以 MB 为单位设置最大访问日志大小。达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir 属性被设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)
此属性设置可在存储访问日志的目录中访问日志的总数。每次对访问日志进行轮转时,都会创建一个新日志文件。当访问日志目录中所含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。出于性能原因,红帽建议 不要将 这个值设置为 1,因为服务器不会轮转日志,并无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime(Access Log Rotation Time)”。
请注意,根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的内容。例如: 如果 nsslapd-accesslog-maxlogsperdir 使用默认值(10 文件),并且您将 nsslapd-accesslog-logfreediskspace 设置为 500 MB,并且 nsslapd-accesslog-maxlogsize 设为 100 MB,Directory 服务器只保留 5 个访问文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)
此属性设定了要创建访问日志文件的访问模式或文件权限。有效的值是 000 到 777( 其镜像编号或绝对 UNIX 文件权限)的任意组合。该值必须是 3 位数字,其数字从 0 到 7 的不同:
-
0- none -
1- 仅执行 -
2- 仅写入 -
3- 写入和执行 -
4- 只读 -
5- 读和执行 -
6- 读和写 -
7- 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户试图在没有提供任何绑定 DN 或密码的情况下连接到 Directory 服务器,则这是 匿名绑定。匿名绑定简化了通用搜索和读取操作,例如在不需要用户先向目录进行身份验证的情况下检查电话号码或电子邮件地址的目录。
但是,存在与匿名绑定相关的风险。适当的 ACI 必须就位限制为限制对敏感信息的访问,以及不允许修改和删除等操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问权限。
可以禁用匿名绑定来提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及诸如 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,还可使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
对此值的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | rootdse |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-anonymous-access: |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预先哈希的密码检查。默认情况下,目录服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,在某些情况下,像复制合作伙伴已控制预先哈希的密码检查时,必须在 Directory 服务器上禁用此功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是连接到 Directory 服务器的连接,用户提供了一个空密码。使用默认设置时,出于安全原因,Directory 服务器拒绝访问。
红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户身份提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以通过用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
对于每个默认,root DSE 列出了 SASL 库支持的所有机制。但是,在某些环境中,只需要某些特定的环境。nsslapd-allowed-sasl-mechanisms 属性可让您只启用某些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以使用逗号分开,或者有空格。
EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法被限制或控制。无论 nsslapd-allowed-sasl-mechanisms 属性中的内容,它始终出现在支持的机制列表中。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 SASL 机制 |
| 默认值 | none(允许的所有 SASL 机制) |
| 语法 | DirectoryString |
| 示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
可以在经过身份验证的绑定上设置资源限制。资源限制可以针对单个操作(nsslapd-sizeLimit)、一个时间限制(nsslapd-timelimit)和超时期限(nsslapd-idletimeout)进行搜索,以及可以搜索的项总数(nsslapd-idletimeout )。这些资源限制可防止拒绝服务攻击,从而破坏目录服务器并改进整体性能。
在用户条目上设置资源限制。一个匿名绑定,很明显,没有关联用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建模板条目,并具有正确的资源限制。然后,可以添加 nsslapd-anonlimitsdn 配置属性,该属性指向此条目并将资源限制应用到匿名绑定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许使用在属性名称中的非标准字符与旧的服务器向后兼容,如 schema 定义的属性中的 "_"。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(Audit Log)
此属性设置用于记录对每个数据库所做的更改的日志的路径和文件名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
表 3.3. nsslapd-auditlog 的可组合组合
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关要修改的条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请提供属性名称作为值。
- 要显示多个属性,请将以空格分隔的属性名称列表作为值。
- 要显示条目的所有属性,请使用星号 nologin 作为值。
提供目录服务器必须在审计日志中显示的属性列表,或使用星号 nologin 作为值来显示正在修改的条目的所有属性。
例如,您要将 cn 属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs 属性设置为 cn 时,审计日志会显示以下输出:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的属性名称。如果要显示审计日志中条目的所有属性,请使用星号。 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)
此属性设置在删除日志文件前允许的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration 计时器单元)
此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)
打开和关闭审计日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logging-enabled: off |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且必须切换到 上的 nsslapd-auditlog-logging-enabled 配置属性。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
表 3.4. nsslapd-auditlog 和 nsslapd-auditlog-logging-enabled 的可能组合
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)
此属性设置审计日志允许使用的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另请注意,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示对审计日志允许的磁盘空间没有限制。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值将日志记录设置为当天的小时和分钟。
例如,若要每天在午夜中轮转审计日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsync 的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationsync-enabled: |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)
此属性设置轮转审计日志的当日小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)
此属性设置轮转审计日志的当天的时间。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditlog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation 时区)
此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir 到 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次轮转审计日志时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-auditlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(Audit Log File Permission)
此属性设置要创建审计日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0 到 7 的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(Audit Fail Log)
此属性设置用于记录 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,审计失败事件将记录到 nsslapd-auditlog 中指定的文件。
如果您将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则两者都会在同一文件中记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)
此属性在删除日志文件前设置日志文件的最长期限。它为单元数量提供。指定 nsslapd-auditfaillog-logexpirationtimeunit 属性中的 day、week 和 month 等。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration 计时器单元)
此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-enabled(Audit Fail Log Enable Logging)
打开和关闭失败的 LDAP 修改的日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)
此属性设定审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果大小超过限制,会删除最旧的审计日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计失败日志的磁盘空间没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值将设置为一天的小时和分钟。
例如,要每天在午夜中轮转审计失败的日志文件,通过将其值设置为 nsslapd-auditfaillog-logrotationsynchour,并将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationmin 属性设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationsync-enabled: |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)
此属性设置审计日志的轮转前一天的小时数。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)
此属性设置审计日志的轮转前一分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)
此属性设置审计失败日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志失败日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time unit)
此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志的轮转日志。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir 参数设为 1,则服务器会忽略此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次审计日志轮转失败时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-auditfaillog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)
此属性设置创建审计失败日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0 到 7 的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(默认备份目录)
此参数设置到默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地目录路径。 |
| 默认值 | /var/lib/dirsrv/slapd-instance/bak |
| 语法 | DirectoryString |
| 示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(Certificate 和 Key Database Directory)
此参数定义 Directory 服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将其提取到 /tmp/ 目录中,目录服务器会将私钥和证书提取到该目录。有关私有命名空间的详情,请查看 systemd.exec(5) man page 中的 PrivateTmp 参数描述。
nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,只有该用户 ID 必须在此目录中具有读写权限。出于安全考虑,其他用户都应该拥有读取或写入到此目录的权限。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 绝对路径 |
| 默认值 | /etc/dirsrv/slapd-instance_name/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(Certificate Map Search Base)
使用 TLS 证书执行客户端身份验证时,可以使用此属性来避免 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可以使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索在 root 以外的某个条目上基于。此属性的有效值是用于证书映射的后缀或子树的 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的配置 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
此参数允许您在 CN 值内启用 DN。
目录服务器 DN 规范化程序为 RFC4514,如果 RDN 属性类型不是基于 DN 语法,则保留空格。但是,Directory 服务器的配置条目有时使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config, cn should be normalized with the DN 语法。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0:禁用缓冲。次只读取单一协议数据单位(PDU)。 -
1:常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE为512字节。 -
2:可以适应的缓冲区大小.
如果客户端一次性发送大量数据,则值 2 会提供更好的性能。例如,大型添加和修改操作的情况,或者在复制期间通过单个连接接收多个异步请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 | 1 | 2 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON 标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open。
可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加 。
ulimit -n
连接表的大小是 nsslapd-maxdescriptor 的 cap。如需更多信息,请参阅 第 3.1.1.118 节 “nsslapd-maxdescriptors(最大文件描述符)”。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 依赖于操作系统 |
| 默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
| 语法 | 整数 |
| 示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 属性启用和禁用 Directory Server 数据库和服务器性能计数器。
通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。
默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext 属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何根后缀 DN |
| 默认值 | 默认用户后缀 |
| 语法 | DN |
| 示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数值(以分钟为单位) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。
如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold 参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period 中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,Directory 服务器将实例设置为只读模式。
使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置的阈值,Directory 服务器不会启动。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。
例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 到 32 位整数值(2147483647)) * 0 到 64 位整数值(9223372036854775807) |
| 默认值 | 2000000 (2MB) |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.167 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。
但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设置为 off (默认值),服务器会在检查语法违反前对值进行规范化。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema 与 Directory Server 的 4.x 版本兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。
Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。
如果您遇到较长的执行时间(日志文件中的etime 值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash 参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用了 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme 的算法哈希,并更新用户 userPassword 属性的值。
例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme 中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为,因此请将它保留为 off。
在 或 off 上打开此属性不会影响 Directory Server 控制台。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global 参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 上 将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。
可以使用 nsslapd-entryusn-import-initval 为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval 有两个可能的值:
- 整数,这是每个导入条目使用的显式起始号。
- 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 | 旁边 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(错误日志)
此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/errors |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。
表 3.5. nsslapd-errorlog Configuration Attributes 的可组合组合
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level(错误日志级别)
此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3 包含了级别 1 和 2。
nsslapd-errorlog-level 的默认值为 16384。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 显示发送/收到的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 使用 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 内部处理线程调试。 * 8192 - 复制调试。 * 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制概述信息,比级别 * 524288 - LMDB 数据库调试。 |
| 默认值 | 16384 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
这个 read-only 属性提供错误日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)
此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)
打开和关闭错误记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)
此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)
此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值设置为轮转日志文件的小时和分钟(分钟)启用。
例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationmin 属性设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationsync-enabled: |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性指定。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-error-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)
此属性设置 nsslapd-errorlog-logrotationtime (Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir 设置为 1,则服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)
此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)
此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 0 到 7 的不同:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。
nsslapd-force-sasl-external 属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | 字符串 |
| 示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-idletimeout(默认 Idle Timeout)
此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll() 不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。
使用 nsIdleTimeout 操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。
对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout 属性设为 high 值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-idletimeout: 3600 |
3.1.1.97. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.98. nsslapd-instancedir(Instance Directory)
此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdir 和 nsslapd-lockdir。有关设置的具体目录路径,请参阅相关文档。
3.1.1.99. nsslapd-ioblocktimeout(IO Block Time Out)
此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.100. nsslapd-lastmod(Track Modification Time)
此属性设置 Directory 服务器是否维护 创建者名称、createTimestamp、ScottsName 以及修改Timestamp 操作属性(针对新创建或更新的条目)。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID 属性中分配唯一 ID,而复制不起作用。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-lastmod: on |
3.1.1.101. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind 会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。
除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen 尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry searchbase 属性和 nsslapd-ldapientry searchbase
Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten 位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiautobind: off |
3.1.1.102. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase 可使子树搜索用于 autobind 的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | DN |
| 默认值 |
创建服务器实例时创建的后缀,如 |
| 语法 | DN |
| 示例 | nsslapd-ldapientrysearchbase: ou=body,dc=example,dc=om |
3.1.1.103. nsslapd-ldapifilepath( LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录路径 |
| 默认值 | /var/run/dirsrv/slapd-example.socket |
| 语法 | case-exact 字符串 |
| 示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.104. nsslapd-ldapigidnumbertype(System GUID Number 的Attribute 映射)
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory Server 用户以进行身份验证,系统用户的 UID 和 GUID 号应映射到 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,以将系统 GUID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 Directory Server 属性 |
| 默认值 | gidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.105. nsslapd-ldapilisten(Enable LDAPI)
nsslapd-ldapilisten 启用到 Directory 服务器的 LDAPI 连接。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过在 nsslapd-ldapifilepath 属性中,将 nsslapd-ldapilisten 设置为,还必须为 LDAPI 设置 UNIX 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapilisten: on |
3.1.1.106. nsslapd-ldapimaprootdn(Autobind Mapping for Root User)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何 Directory Server 条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | cn=Directory Manager |
| 语法 | DN |
| 示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.107. nsslapd-ldapimaptoentries(为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。这个映射是 root 用户自动的,但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用它。将此属性设置为 on 可启用常规系统用户到 Directory Server 条目的映射。如果没有启用此属性,则只有 root 用户才能使用 autobind 向 Directory 服务器进行身份验证,所有其他用户匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性进行配置,它会将目录服务器属性映射到用户的 UID 和 GUID 编号。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)并且 autobind 被启用,则用户只能通过 autobind连接到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapimaptoentries: on |
3.1.1.108. nsslapd-ldapiuidnumbertype
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory 服务器用户以进行身份验证,系统用户的 UID 和 GUID 数字必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,以将系统 UID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 Directory Server 属性 |
| 默认值 | uidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.109. nsslapd-ldifdir
在使用 db2ldif 或 时,目录服务器以 LDAP Data Interchange Format(LDIF)格式将文件导出到此参数中设置的目录中。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
db2ldif.pl
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.110. nsslapd-listen-backlog-size
此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 最高 64 位整数值(9223372036854775807) |
| 默认值 | 128 |
| 语法 | 整数 |
| 示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.111. nsslapd-listenhost(Listen to IP Address)
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与一个 hos tname 关联的 IP 地址,这些 IP 地址可以同时是 IPv4 和 IPv6。此参数可用于将 Directory 服务器实例限制为一个 IP 接口。
如果主机名以 nsslapd-listenhost 值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.112. nsslapd-localhost(本地主机)
此属性指定 Directory 服务器运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应该指向集群的虚拟机名称,而不是本地主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何完全限定主机名。 |
| 默认值 | 安装的机器的主机名。 |
| 语法 | DirectoryString |
| 示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.113. nsslapd-localuser(本地用户)
此属性将运行 Directory 服务器的用户设置为运行。用户运行的组通过检查用户的主组从此属性派生而来。用户应更改,然后使用 chown 等工具将这个实例的所有文件和目录更改为归新用户所有。
nsslapd-localuser 的值在配置了服务器实例时首先设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的用户 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-localuser: dirsrv |
3.1.1.114. nsslapd-lockdir(服务器锁定文件目录)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例。对此值的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 指向由服务器用户 ID 拥有且对服务器 ID 的写入权限的绝对路径 |
| 默认值 | /var/lock/dirsrv/slapd-instance |
| 语法 | DirectoryString |
| 示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-实例 |
3.1.1.115. nsslapd-localssf
nsslapd-localssf 参数为 LDAPI 连接设置安全强度因数(SSF)。只有在 nsslapd-localsf 中设置的值大于或等于 参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接会满足 nsslapd-minssf nsslapd-minssf 中最小 SSF 设置。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 71 |
| 语法 | 整数 |
| 示例 | nsslapd-localssf: 71 |
3.1.1.116. nsslapd-logging-hr-timestamps-enabled(启用或禁用高分辨率日志 Timestamps)
控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off,将日志时间戳恢复为一秒的精度。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | nsslapd-logging-hr-timestamps-enabled: |
3.1.1.117. nsslapd-maxbersize(最大消息大小)
定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 2GB(2,147,483,647 字节)
零 |
| 默认值 | 2097152 |
| 语法 | 整数 |
| 示例 | nsslapd-maxbersize: 2097152 |
3.1.1.118. nsslapd-maxdescriptors(最大文件描述符)
此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。
用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize 属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify,服务器会拒绝新值,保留旧值,并出现错误。
有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune 程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 4096 |
| 语法 | 整数 |
| 示例 | nsslapd-maxdescriptors: 4096 |
3.1.1.119. nsslapd-maxsasliosize(最大 SASL 数据包大小)
当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。
可使用 nsslapd-maxsasliosize 属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。
此属性值以字节为单位指定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | * -1(无限)到 32 位系统中最大 32 位整数值(2147483647) * -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807) |
| 默认值 | 2097152 (2MB) |
| 语法 | 整数 |
| 示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.120. nsslapd-maxthreadsperconn(每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1,最大线程数 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.121. nsslapd-minssf
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf 属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。
将 SSF 值设置为 0 表示没有最小设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0(off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf: 128 |
3.1.1.122. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。
nsslapd-minssf-exclude-rootdse 属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0(off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.123. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-moddn-aci: on |
3.1.1.124. nsslapd-malloc-mmap-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_MMAP_THRESHOLD 环境变量,nsslapd-malloc-mmap-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 33554432 |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.125. nsslapd-malloc-mxfast
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
通过编辑服务文件来设置 M_MXFAST 环境变量,nsslapd-malloc-mxfast 参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.126. nsslapd-malloc-trim-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_TRIM_THRESHOLD 环境变量,nsslapd-malloc-trim-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_TRIM_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 2^31-1 |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.127. nsslapd-nagle
当此属性的值 关闭时,将设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认 TCP 行为;特别是,发送数据会被延迟,以便将其他数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-nagle: off |
3.1.1.128. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ndn-cache-enabled: on |
3.1.1.129. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置这个缓存的最大大小。
如果请求的 DN 尚未缓存,则它会被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,最小 10,000 DN 总是被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 20971520 |
| 语法 | 整数 |
| 示例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.130. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值为 0 表示服务器不会对 I/O 等待时间施加限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300000 |
| 语法 | DirectoryString |
| 示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.131. nsslapd-pagedsizelimit(为 Simple Paged Results Searches 为限制)
此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsslapd-sizelimit 属性。
如果将此值设置为零,则使用 nsslapd-sizelimit 属性来分页搜索以及非页面搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.132. nsslapd-plug-in
此只读属性列出了由服务器加载的语法和匹配规则插件的插件条目的 DN。
3.1.1.133. nsslapd-plugin-binddn-tracking
设置用作条目修饰符的绑定 DN,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。
个更改可以触发目录树中的其他自动更改。当删除某个用户时,例如,该用户将自动从它所属的任何组中删除。用户的初始删除是由绑定到服务器的任何用户帐户执行的,但由插件执行的组更新(默认)将显示为由插件执行,没有有关用户启动更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自于更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
此属性默认为禁用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.134. nsslapd-plugin-logging
默认情况下,即使访问日志被设置为记录内部操作,在访问日志文件中不会记录插件内部操作。您可以使用此参数在各个插件配置中启用日志,而不必在全局范围内控制它。
启用后,插件使用此全局设置,如果已启用,则日志访问和审计事件。
如果启用了 nsslapd-plugin-logging,并将 nsslapd-accesslog-level 设置为记录内部操作,未索引搜索和其他内部操作会记录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging,则来自插件的未索引搜索仍会在 Directory Server 错误日志中记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-logging: off |
3.1.1.135. nsslapd-port(端口号)
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024 表示目录服务器必须作为 root 启动。
服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser 值。更改配置目录的端口号时,必须更新配置目录中的对应服务器实例条目。
必须重新启动服务器,以便更改要考虑的端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 语法 | 整数 |
| 示例 | nsslapd-port: 389 |
如果启用了 LDAPS 端口,则将端口号设为 0( 0)以禁用 LDAP 端口。
3.1.1.136. nsslapd-privatenamespaces
这个 read-only 属性包含专用命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | cn=config, cn=schema 和 cn=monitor |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-privatenamespaces: cn=config |
3.1.1.137. nsslapd-pwpolicy-inherit-global(继承全局密码语法)
如果没有设置细粒度密码语法,则不会检查新的或更新的密码,即使配置了全局密码语法。要继承全局精细的密码语法,可在 上 将此属性设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.138. nsslapd-pwpolicy-local(启用子树和用户级密码策略)
开启和关闭精细(subtree- 和 user-level)密码策略。
如果此属性的值为 off,则目录中所有条目( cn=Directory Manager除外)都受到全局密码策略;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性的值在 上,服务器会检查子树和用户级别的密码策略,并强制这些策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-local: off |
3.1.1.139. nsslapd-readonly(只读)
此属性会设置整个服务器是否处于只读模式,这意味着无法修改数据库中的数据或配置信息。任何以只读模式修改数据库都会返回一个错误,表示服务器不符来执行操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
3.1.1.140. nsslapd-referral(Referral)
这个多值属性指定当服务器收到不属于本地树的条目请求时返回的 LDAP URL;即后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com
但是,请求针对这个条目:
ou=Groups,dc=example,dc=com
在这种情况下,引用程序将试图使 LDAP 客户端找到包含所需条目的服务器。虽然每个目录服务器实例只允许一个引用,但这种引用可以有多个值。
要使用 TLS 通信,引用属性应该采用 ldaps://server-location 的形式。
启动 TLS 不支持引用。
有关管理引用的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.141. nsslapd-referralmode(Referral Mode)
设置后,此属性会在任何后缀上发送任何请求的引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.142. nsslapd-require-secure-binds
此参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使打开了 nsslapd-require-secure-binds。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-secure-binds: on |
3.1.1.143. nsslapd-requiresrestart
此参数列出了修改后重启服务器的其他核心配置属性。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,新设置将在服务器重启后才会生效。可以在 ldapsearch 中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何核心服务器配置属性 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.144. nsslapd-reservedescriptors(保留文件描述符)
此属性指定 Directory 服务器为管理非客户端连接(如索引管理和管理复制)保留的文件描述符数量。服务器为此目的保留的文件描述符数量从可用于服务 LDAP 客户端连接的文件描述符总数中减去(See 第 3.1.1.118 节 “nsslapd-maxdescriptors(最大文件描述符)”)。
目录服务器的大部分安装应该不需要更改此属性。但是,如果以下所有情况都为 true,请考虑增加此属性中的值:
- 服务器被复制到大量消费者服务器(超过 10),或者服务器维护大量的索引文件(超过 30 个)。
- 服务器为大量 LDAP 连接提供服务。
- 错误消息会报告服务器无法打开文件描述符(实际错误消息因服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关。
增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,这个属性中的值会被增加,也会增加 nsslapd-maxdescriptors 属性中的值。如果服务器已经使用操作系统允许进程的最大文件描述符数,则无法增大 nsslapd-maxdescriptors 值;详情请查看操作系统文档。如果出现这种情况,则会导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
要协助计算为此属性设定的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库配置的索引总数,包括系统索引。(默认情况下,每个数据库有 8 个系统索引和 17 个额外索引)。
- ReplicationDescriptor 是 8(8),以及可以充当供应商或中心(NSupplierReplica)的服务器中的副本数。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (默认链或数据库链路配置属性)的 NchainingBackend times。
-
如果配置了 PTA,则 PTA 描述符 为
3;如果没有配置 PTA,则00。 -
如果配置了 TLS 和
0,则 SSLDescriptors 是5(4 个文件 + 1 侦听套接字)。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 64 |
| 语法 | 整数 |
| 示例 | nsslapd-reservedescriptors: 64 |
3.1.1.145. nsslapd-re return-exact-case(Re return Exact Case)
返回客户端请求的属性类型名称的确切情况。虽然与 LDAPv3 兼容的客户端必须忽略属性名称,但有些客户端应用程序需要属性的名称与在 Directory 服务器返回属性时所列出的属性完全匹配。但是,大多数客户端应用会忽略属性的大小写;因此,此属性被禁用。不要修改它,除非有旧客户端可以检查从服务器返回的属性名称的情况。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-re return-exact-case: off |
3.1.1.146. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的版本中删除。
此属性仅适用于需要使用其 RFC 1274 名称返回属性类型的 LDAPv2 客户端。为这些客户端将 值设置为 上的。默认为 off。
3.1.1.147. nsslapd-rootdn(管理器 DN)
此属性设置条目的可分辨名称(DN),这些条目不受访问控制限制、对该目录操作的管理限制或一般的资源限值。不必是与此 DN 对应的条目,默认情况下没有此 DN 的条目,因此可以接受 cn=Directory Manager 等值。
有关更改根 DN 的详情,请参考 Red Hat Directory Server Administration Guide 中的"创建目录条目"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的可识别名称 |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.148. nsslapd-rootpw(Root Password)
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据为 nsslapd-rootpwstoragescheme 属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件中查看时,此属性显示加密方法后跟密码的加密字符串。示例中显示了在 dse.ldif 文件中显示的密码,而不是实际密码。
在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得对目录的相同访问权限,以进行匿名访问。当为数据库配置了 root DN 时,请务必确保在 dse. conf 中定义 root 密码。pwdhash 命令行实用程序可创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”。
通过命令行重置 Directory Manager 密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者后面的密码没有正确散列,则 Directory Manager 无法绑定到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的密码,由 第 4.1.43 节 “密码存储” 中描述的任何一种加密方法加密。 |
| 默认值 | |
| 语法 | DirectoryString {encryption_method }encrypted_Password |
| 示例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.149. nsslapd-rootpwstoragescheme(Root Password Storage Scheme)
此属性设置用于加密存储在 nsslapd-rootpw 属性中的 Directory 服务器管理器密码的方法。详情请查看推荐的强密码存储方案。第 4.1.43 节 “密码存储”
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 4.1.43 节 “密码存储”。 |
| 默认值 | PBKDF2_SHA256 |
| 语法 | DirectoryString |
| 示例 | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.150. nsslapd-rundir
此参数设置目录服务器存储运行时信息的目录的绝对路径,如 PID 文件。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/run/dirsrv/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.151. nsslapd-sasl-mapping-fallback
默认情况下,只检查第一个匹配的 SASL 映射。如果这个映射失败,绑定操作也会失败,即使存在其他匹配映射可能已经正常工作。SASL 映射回退将保留检查所有匹配映射。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-sasl-mapping-fallback: off |
3.1.1.152. nsslapd-sasl-max-buffer-size
此属性设置最大 SASL 缓冲区大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 67108864(64 KB) |
| 语法 | 整数 |
| 示例 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.153. nsslapd-saslpath
设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性可让服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置,红帽强烈建议您不要更改此属性。如果属性不存在或者值为空,这意味着 Directory 服务器正在使用系统提供的 SASL 插件库,它们是正确的版本。
如果设置此参数,服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数,服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH,服务器会尝试从默认位置 /usr/lib/sasl2 中加载 SASL 插件。
对此属性所做的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 插件目录的路径。 |
| 默认值 | 平台依赖 |
| 语法 | DirectoryString |
| 示例 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.154. nsslapd-schema-ignore-trailing-spaces(Ignore Trailing Spaces in Object Class Names)
忽略对象类名称中的尾部空格。默认情况下关闭 属性。如果目录中包含对象类值以一个或多个空格结尾的条目,请打开此属性。最好删除结尾的空格,因为 LDAP 标准不允许它们。
出于性能原因,需要重启服务器才能使更改生效。
当对象类中包含尾部空格的对象类被添加到条目中时,会默认返回一个错误。另外,在添加、修改和导入过程中(如果添加对象类被扩展并缺少未填充的空格)将忽略(如果适用)。这意味着,即使 nsslapd-schema-ignore-trailing-spaces 位于 中时,即使 top 已存在,则不会添加值为 top。如果未找到对象类并且包含尾随空格,则会记录错误消息并返回到客户端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.155. nsslapd-schemacheck(架构检查)
此属性会设置在添加或修改条目时是否强制数据库 schema。当此属性的 值为 时,Directory 服务器不会检查现有条目的 schema,直到它们被修改为止。数据库架构定义数据库中允许的信息类型。可以使用对象类和属性类型扩展默认模式。有关如何使用 Directory 服务器控制台扩展模式的详情,请参考 Red Hat Directory Server Administration Guide 中的"扩展目录架构"章节。
红帽强烈建议不要关闭模式检查。这可能会导致严重的互操作性问题。这通常用于必须导入到目录服务器中的旧或非标准 LDAP 数据。如果这个问题没有很多条目,请考虑使用这些条目中的 extensibleObject 对象类来禁用每个条目的 schema 检查。
在使用 LDAP 客户端进行数据库修改时,诸如 ldapmodify 或使用 ldif2db 从 LDIF 导入数据库时,架构检查默认可以正常工作。如果关闭 schema 检查,则必须手动验证每个条目,以查看它们是否符合 schema。如果启用架构检查,服务器会发送一条错误消息,其中列出了与架构不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写,并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件,或者将元素添加到 99user.ldif。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemacheck: on |
3.1.1.156. nsslapd-schemadir
这是包含 Directory Server 实例特定架构文件的目录绝对路径。当服务器启动时,它将从该目录读取模式文件,当通过 LDAP 工具修改模式时,会更新该目录中的 schema 文件。该目录必须由服务器用户 ID 所有,并且该用户必须具有该目录的读取和写入权限。
对此属性所做的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | /etc/dirsrv/instance_name/schema |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.157. nsslapd-schemamod
在线模式修改需要存在影响性能的锁定保护。如果禁用了模式修改,将此参数设置为 off 可提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemamod: on |
3.1.1.158. nsslapd-schemareplace
决定在 cn=schema 条目中是否允许修改替换属性值的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | 仅复制 |
| 默认值 | 仅复制 |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemareplace: replication-only |
3.1.1.159. nsslapd-search-return-original-type-switch
如果传递给搜索的属性列表包含空格后跟其他字符,则会向客户端返回相同的字符串。例如:
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
默认禁用此行为,但可使用此配置参数启用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-search-re return-type-switch: off |
3.1.1.160. nsslapd-securelistenhost
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与单一主机名关联的 IP 地址,这些 IP 地址可能是 IPv4 和 IPv6 的组合。此参数可用于将 Directory 服务器实例限制到单个 IP 接口;此参数还可具体设置用于 TLS 流量的接口,而不是常规 LDAP 连接。
如果主机名以 nsslapd-securelistenhost 值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-securelistenhost 值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何安全主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.161. nsslapd-securePort(Encrypted Port Number)
此属性设置用于 TLS 通信的 TCP/IP 端口号。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024 的端口号,要求以 root 用户身份启动目录服务器。服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser 值。
如果服务器配置了私钥和证书,并且 nsslapd-security 设为 上的 nsslapd-security,则服务器仅侦听此端口。
必须重新启动服务器,以便更改要考虑的端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 636 |
| 语法 | 整数 |
| 示例 | nsslapd-securePort: 636 |
3.1.1.162. nsslapd-security(Security)
此属性设定目录服务器是否接受加密端口上的 TLS 通信。对于安全连接,此属性应设置为 上的。要使用安全性运行,除了其他 TLS 配置外,服务器还必须使用私钥和服务器证书配置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-security: off |
3.1.1.163. nsslapd-sizelimit(Size Limit)
此属性设置从搜索操作返回的最大条目数。如果达到这个限制,ns-slapd 将返回任何与搜索请求匹配的条目,以及超过大小限制错误。
如果没有设置限制,NSA -slapd 会将 每个匹配条目返回给客户端,而不考虑找到的数目。要设置不限制值,其中 Directory Server 会无限期等待搜索完成,在 dse.ldif 文件中为这个属性指定一个 -1 的值。
无论组织如何,这个限制适用于所有人。
dse.ldif 文件中的这个属性中的 -1 值与在服务器控制台中将属性留空相同,从而不会出现任何限制。这在 dse.ldif 文件中不能有 null 值,因为它不是有效的整数。可以将其设置为 0, 它为每个搜索 返回大小限制。
对应的 user-level 属性是 nsSizeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsslapd-sizelimit: 2000 |
3.1.1.164. nsslapd-snmp-index
此参数控制 Directory Server 实例的 SNMP 索引号。
如果您在同一主机上有多个目录服务器实例,侦听所有在端口 389,但在不同的网络接口中,这个参数允许您为每个实例设置不同的 SNMP 索引号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-snmp-index: 0 |
3.1.1.165. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 参数将在以后的发行版本中弃用,目前用于向后兼容。使用新的参数 nsSSLClientAuth,保存在 cn=encryption,cn=config 下。请参阅 第 3.1.4.5 节 “nsSSLClientAuth”。
3.1.1.166. nsslapd-ssl-check-hostname(验证 Outbound Connections 的主机名)
此属性可以设置启用 TLS 的目录服务器是否应该通过将主机名与所出证书中的主题名称(subjectDN 字段)分配的值匹配来验证请求的真实性。默认情况下,属性设为 上的。如果主机名位于 且与证书的 cn 属性不匹配,则会记录相关的错误和审计消息。
例如,在复制环境中,如果发现对等服务器的主机名与证书中指定的名称不匹配,则类似于以下内容的消息记录在供应商服务器的日志文件中:
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)红帽建议在 上打开此属性,以防止 Directory 服务器对中间人(MITM)攻击的出站 TLS 连接。
为了使 DNS 和反向 DNS 正常工作,则必须正确设置 DNS 和反向 DNS;否则,服务器无法将对等 IP 地址解析为证书中 subject DN 中的主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ssl-check-hostname: on |
3.1.1.167. nsslapd-syntaxcheck
此属性会验证所有修改到条目属性,以确保新的或更改的值符合该属性类型的必要语法。任何不符合正确的语法的更改都会在启用此属性时被拒绝。所有属性值都会根据 RFC 4514 中的语法定义验证。
默认情况下启用它。
语法验证仅针对新的或修改的属性运行,它不会验证现有属性值的语法。为 LDAP 操作触发语法验证,如添加和修改;在复制等操作后不会发生,因为属性语法的有效性应该检查原始供应商。
这会验证 Directory 服务器支持的所有属性类型,但二进制语法(无法验证)和非标准语法除外,它们没有定义要求的格式。未验证 的语法如下:
- 传真(二进制)
- 10 月字符串(二进制)
- JPEG(二进制)
- 二进制(非标准)
- 在敏感字符串中空格(非标准)
- URI(非标准)
nsslapd-syntaxcheck 属性设置是否验证和拒绝属性修改。这可与 第 3.1.1.168 节 “nsslapd-syntaxlogging” 属性一起使用,将有关无效属性值的警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxcheck: on |
3.1.1.168. nsslapd-syntaxlogging
此属性设置是否将语法验证失败记录到错误日志。默认情况下关闭它。
如果启用了 第 3.1.1.167 节 “nsslapd-syntaxcheck” 属性(默认),并且启用了 nsslapd-syntaxlogging 属性,则任何无效的属性更改都会被拒绝,并写入错误日志。如果只启用 nsslapd-syntaxlogging,并且禁用 nsslapd-syntaxcheck,则允许无效的更改,但会将警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxlogging: off |
3.1.1.169. nsslapd-threadnumber(线程号)
这个性能调优与值设定线程数量,目录服务器会在启动时创建。如果该值设定为 -1( 默认),Directory 服务器可根据可用硬件启用优化的自动调整。请注意,如果启用了自动调整,则 nsslapd-threadnumber 显示 Directory 服务器运行时自动生成的线程数量。
红帽建议使用 auto-tuning 设置来优化性能。
详情请查看 Red Hat Directory Server Performance Tuning Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到系统线程和处理器限制支持的最大线程数 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-threadnumber: -1 |
3.1.1.170. nsslapd-timelimit(时间限制)
此属性设置为搜索请求分配的最大秒数。如果达到这个限制,Directory 服务器会返回任何与搜索请求匹配的条目,以及超过的时间限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回给客户端,而不考虑需要的时间。要设置 no limit 值,其中 Directory Server 会无限期等待搜索完成,在 dse.ldif 文件中为此属性指定一个 -1 的值。值为零(0)导致不允许搜索时间。最小时间限制为 1 秒。
dse.ldif 中的此属性中的 -1 值与将属性保留给服务器控制台中的空白值相同,这导致没有限制。但是,无法在服务器控制台的此字段中设置负整数,dse.ldif 条目中无法使用 null 值,因为它不是有效的整数。
对应的用户级属性是 nsTimeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-timelimit: 3600 |
3.1.1.171. nsslapd-tmpdir
这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有,用户必须具有读取和写入权限。没有其他用户 ID 应该对 目录具有读或写进。默认值为 /tmp。
对此属性所做的更改将在服务器重启前生效。
3.1.1.172. nsslapd-unhashed-pw-switch
当您更新 userPassword 属性时,Directory 服务器会加密密码并将其存储在 userPassword 中。但是,在某些情况下,当与 Active Directory(AD)同步密码时,Directory 服务器必须将未加密的密码传递给插件。在这种情况下,服务器在 so- called 条目扩展 中的临时 非hashed#user#password 属性中存储未加密的密码,具体取决于场景,也会在 changelog 中。请注意,Directory 服务器不会在服务器硬盘上存储临时的 unhashed#user#password 属性。
nsslapd-unhashed-pw-switch 参数控制目录服务器如何存储未加密的密码。例如,您必须将 nsslapd-unhashed-pw-switch 设置为 on,以便将目录服务器中的密码同步到 Active Directory。
您可以将 参数设置为以下值之一:
-
off:目录服务器不会将未加密的密码存储在条目扩展中,也存储在 changelog 中。如果您不使用密码与 AD 同步,或者任何需要访问未加密的密码的插件,则设置此值。 -
在 上:目录服务器在条目扩展和 changelog 中存储未加密的密码。如果与 AD 配置密码同步,则设置此值。 -
nolog: Directory 服务器只将未加密的密码存储在条目扩展中,而不是在 changelog 中存储。如果本地 Directory 服务器插件需要访问未加密的密码,但不会配置与 AD 同步密码,则设置此值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | on | nolog |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-unhashed-pw-switch: off |
3.1.1.173. nsslapd-validate-cert
如果目录服务器配置为在 TLS 中运行并且其证书过期,则无法启动 Directory 服务器。nsslapd-validate-cert 参数设置 Directory 服务器在尝试使用过期证书时应如何响应:
-
warn允许 Directory 服务器成功启动过期的证书,但它会发送一条警告消息,其中发送证书已过期的警告消息。这是默认设置。 -
在验证证书
上,如果证书过期,并将阻止服务器重新启动。这会为过期的证书设置硬故障。 -
off禁用所有证书过期验证,因此服务器可以从过期的证书开始,而无需记录警告。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | warn | on | off |
| 默认值 | warn |
| 语法 | DirectoryString |
| 示例 | nsslapd-validate-cert: warn |
3.1.1.174. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 参数定义 Directory 服务器如何使用 schema 中指定的属性验证搜索过滤器。
您可以将 nsslapd-verify-filter-schema 设置为以下选项之一:
-
reject-invalid: Directory Server 拒绝过滤器,如果该过滤器包含任何未知元素。 process-safe: Directory Server 将 unknown 组件替换为空集,并在/var/log/dirsrv/slapd-instance_name/accesslog file 中记录带有notes=F标志的警告。在将
nsslapd-verify-filter-schema从warn-invalid或off切换到process-safe之前,请监控访问日志,并使用notes=F标志修复来自导致日志条目的应用程序的查询。否则,操作结果更改和目录服务器可能无法返回所有匹配条目。-
warn-invalid: Directory Server logs a warning with the/var/log/dirsrv/slapd-instance_name/access日志文件,并继续扫描完整的数据库。 -
off:目录服务器无法验证过滤器。
请注意,例如,如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off,则会有一个过滤器,如 (&(non_existent_attribute=example)(uid=user_name) 评估 uid=user_name 条目,并且只包含 non_existent_attribute=example。如果您将 nsslapd-verify-filter-schema 设置为 process-safe,Directory 服务器不会评估该条目,且不会返回它。
将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe,可以防止高负载,因为未索引搜索在 schema 中没有指定的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | reject-invalid, process-safe, warn-invalid, off |
| 默认值 | warn-invalid |
| 语法 | DirectoryString |
| 示例 | nsslapd-verify-filter-schema: warn-invalid |
3.1.1.175. nsslapd-versionstring
此属性设置服务器版本号。显示版本字符串时,构建数据会被自动附加。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的服务器版本号。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-versionstring: Red Hat-Directory/11.3 |
3.1.1.176. nsslapd-workingdir
这是服务器在启动时用作当前工作目录的绝对路径。这是服务器返回为 getcwd() 函数的值,系统进程表显示为其当前工作目录的值。这是生成核心文件的目录。服务器用户 ID 必须对该目录具有读写权限,其他用户 ID 则不应具有对其的读取或写入访问权限。此属性的默认值为与包含错误日志相同的目录,通常是 /var/log/dirsrv/slapd-实例。
对此属性所做的更改将在服务器重启前生效。
3.1.1.177. passwordAllowChangeTime
此属性指定在允许用户更改密码前必须经过的时间长度。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | passwordAllowChangeTime: 5h |
3.1.1.178. passwordChange(密码更改)
指明用户是否可以更改密码。
这可以简写为 pwdAllowUserChange。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordChange: on |
3.1.1.179. passwordCheckSyntax(检查密码语法)
此属性设置是否在保存密码前检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求,并且字符串不包含任何简单的词语,如用户名或用户 ID,或者存储在 uid、cn、sn、sn、givenName、ou、ou、mail 属性中的任何属性值。
密码语法包括几个不同的检查类别:
- 在检查密码中的微简单词语时用来比较字符串或令牌的长度(例如,如果令牌长度为 3,则用户 UID、名称、电子邮件地址或其他参数都可以在密码中使用任何字符串)
- 最小数字字符数(0-9)
- 最少大写字母 ASCII 字母字符数
- 小写字母 ASCII 字母字符数
-
最少特殊的 ASCII 字符数,如
!@#$ - 最小 8 位字符数
- 每个密码所需的最少字符类别数 ; 类别可以是大写或小写字母、特殊字符、数字或 8 位字符
这可缩写为 pwdCheckSyntax。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordCheckSyntax: off |
3.1.1.180. passwordDictCheck
如果设置为 on,则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典里,目录服务器会拒绝密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordDictCheck: off |
3.1.1.181. passwordExp(密码过期)
指明用户密码在给定秒数后过期。默认情况下,用户密码不会过期。启用密码过期后,设置密码使用 passwordMaxAge 属性过期的秒数。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户帐户"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordExp: on |
3.1.1.182. passwordExpirationTime
此属性指定用户的密码过期之前通过的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何日期,以整数为单位 |
| 默认值 | none |
| 语法 | GeneralizedTime |
| 示例 | passwordExpirationTime: 202009011953 |
3.1.1.183. passwordExpWarned
此属性表示已将密码过期警告发送到用户。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | true | false |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | passwordExpWarned: true |
3.1.1.184. passwordGraceLimit(Password Expiration)
此属性仅在启用密码过期时才适用。在用户密码到期后,服务器允许用户连接 以更改密码。这称为 宽限期。服务器允许在完全锁定用户前进行一定次数的尝试。此属性是允许的宽限期数。0 表示服务器不允许进行远程登录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0(off)到任何合理的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordGraceLimit: 3 |
3.1.1.185. 密码历史记录(密码历史)
启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下,密码历史记录被禁用,用户可以重复使用密码。如果在 上 将此属性设置为,则目录会保存给定数量的旧密码,并阻止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置 Directory 服务器存储的旧密码数量。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | 密码历史记录: |
3.1.1.186. passwordInistory(无法记住密码)
表示 Directory 服务器存储在历史记录中的密码数量。存储在历史记录中的密码不能被用户重复使用。默认情况下,密码历史记录功能被禁用,这意味着 Directory 服务器无法存储任何旧的密码,因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。
要防止用户通过跟踪的密码数量快速循环,请使用 passwordMinAge 属性。
这可以被缩写为 pwdInHistory。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 24 个密码 |
| 默认值 | 6 |
| 语法 | 整数 |
| 示例 | passwordInistory: 7 |
3.1.1.187. passwordIsGlobalPolicy(密码策略和复制)
此属性控制是否复制密码策略属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordIsGlobalPolicy: off |
3.1.1.188. passwordLegacyPolicy
启用旧密码行为。旧的 LDAP 客户端应该在 超过 最大故障限制后收到锁定用户帐户的错误。例如,如果限制有三个失败,则帐户在第四次尝试时锁定。但是,较新的客户端预计在达到故障限制时收到错误消息。例如,如果限制有三个失败,则应在第三个失败时锁定该帐户。
由于在超过故障限制时锁定帐户是旧的行为,所以它被视为旧行为。它默认为启用,但可以禁用以允许新的 LDAP 客户端在预期时收到错误。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordLegacyPolicy: on |
3.1.1.189. passwordLockout(帐户锁定)
指明用户在指定失败次数的绑定尝试失败后是否锁定该目录。默认情况下,在一系列绑定尝试失败后用户不会锁定该目录。如果启用了帐户锁定,请设置在用户锁定 使用密码MaxFailure 属性后失败的绑定尝试次数。
这可以被缩写为 pwdLockOut。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordLockout: off |
3.1.1.190. passwordLockoutDuration(Lockout Duration)
指明在帐户锁定后用户锁定目录的时间(以秒为单位)。帐户锁定功能可以防止尝试通过重复尝试猜测到用户的密码的黑客攻击。使用 passwordLockout 属性启用和禁用帐户锁定功能。
这可以被缩写为 pwdLockoutDuration。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | passwordLockoutDuration: 3600 |
3.1.1.191. passwordMaxAge(密码最大期限)
表示用户密码过期的秒数。要使用此属性,必须使用 passwordExp 属性启用密码过期。
这可以被缩写为 pwdMaxAge。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 8640000(100 天) |
| 语法 | 整数 |
| 示例 | passwordMaxAge: 100 |
3.1.1.192. passwordBadWords
passwordBadWords 参数定义一个以逗号分隔的字符串列表,用户不允许在密码中使用。
请注意,目录服务器对字符串进行不区分大小写的比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordBadWords:例如 |
3.1.1.193. passwordMaxClassChars
如果您将 passwordMaxClassChars 参数设置为高于 0 的值,则 Directory 服务器可防止设置比参数中设置的值更高的连续字符的密码。如果启用,Directory 服务器会检查以下类别的连续字符:
- 数字
- Alpha 字符
- 小写
- 大写
例如,如果您将 passwordMaxClassChars 设置为 3,则不允许包含 jdif 或 1947 的密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0(disabled)最多 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxClassChars: 0 |
3.1.1.194. passwordMaxFailure(最大密码故障)
表示在用户锁定了目录后失败的绑定尝试数量。默认情况下禁用帐户锁定。通过修改 passwordLockout 属性来启用帐户锁定。
这可以缩写为 pwdMaxFailure。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1,最大整数绑定失败 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMaxFailure: 3 |
3.1.1.195. passwordMaxRepeats(密码语法)
同一字符可按顺序显示密码的最大次数。零(0)已关闭。整数值拒绝使用超过该次字符的字符;例如,1 拒绝使用多次(a )和 2 拒绝字符的字符数超过两次(aa)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxRepeats: 1 |
3.1.1.196. passwordMaxSeqSets
如果将 passwordMaxSeqSets 参数设置为高于 0 的值,则 Directory 服务器会拒绝密码,并带有重复的 monotonic 序列超过参数中设置的长度。例如,如果您将 passwordMaxSeqSets 设置为 2,则不允许将密码设置为 azXYZ_XYZ-g,因为 XYZ 在密码中会出现两次。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0(disabled)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSeqSets: 0 |
3.1.1.197. passwordMaxSequence
如果您将 passwordMaxSequence 参数设置为高于 0 的值,则目录服务器会拒绝新密码,且比 passwordMaxSequence 中设置的值更长。例如,如果您将参数设置为 3,则目录服务器会拒绝包含字符串的密码,如 1234 或 dcba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0(disabled)到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMaxSequence: 0 |
3.1.1.198. passwordMin8Bit(密码语法)
这将设置密码必须包含的最小 8 位字符数。
必须禁用 7 位检查 userPassword 来使用它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMin8Bit: 0 |
3.1.1.199. passwordMinAge(Password Minimum Age)
表示在用户可以更改密码前必须经过的秒数。结合使用此属性和 passwordInHistory (要记住的 password 数量)属性,以防止用户通过密码快速循环,以便他们可以再次使用旧密码。值为零(0)表示用户可以立即更改密码。
这可以缩写为 pwdMaxFailure。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到有效的最大整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAge: 150 |
3.1.1.200. passwordMinAlphas(密码语法)
此属性设定必须包含字母字符密码的最小数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinAlphas: 4 |
3.1.1.201. passwordMinCategories(密码语法)
这将设置密码中代表的最少字符类别数。类别是:
- 小写字母字符
- 大写字母字符
- 数字
- 特殊 ASCII charactes,如 $ 和标点符号
- 8 位字符
例如,如果此属性的值被设置为 2,并且用户试图将密码更改为 aaaaa,则服务器将拒绝密码,因为它仅包含小写字符,因此包含来自一个类别的字符。aAaAA 的密码将会传递,因为它包含来自两个类别的字符,即大写和小写。
默认为 3,这意味着如果启用了密码语法检查,则有效密码必须具有三类字符。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinCategories: 2 |
3.1.1.202. PasswordMinDigits(密码语法)
这将设置密码必须包含的最小数字数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinDigits: 3 |
3.1.1.203. passwordMinLength(密码最小长度)
此属性指定在 Directory Server 用户密码属性中使用的最少字符数。通常,更短的密码更易于破解。目录服务器使用至少八个字符的密码。这很难破解但很短,用户可以在不写出密码的情况下记住密码。
这可以缩写为 pwdMinLength。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 2 到 512 个字符 |
| 默认值 | 8 |
| 语法 | 整数 |
| 示例 | passwordMinLength: 8 |
3.1.1.204. PasswordMinLowers(密码语法)
此属性设定小写字母密码的最小数量必须包含。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinLowers: 1 |
3.1.1.205. PasswordMinSpecials(密码语法)
此属性设置必须包含的最少 特殊、而不是字母数字字符。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinSpecials: 1 |
3.1.1.206. PasswordMinTokenLength(密码语法)
此属性设置用于简单检查的最小属性值长度。例如,如果 PasswordMinTokenLength 设置为 3,则 DJ 的 给定名称 不会导致拒绝 DJ 密码的策略,但策略拒绝了 Bob 给定名称的 密码。
目录服务器根据以下属性中的值检查最小令牌长度:
-
uid -
cn -
sn -
givenName -
mail -
ou
如果 Directory Server 应该检查其他属性,您可以在 passwordUserAttributes 参数中设置它们。详情请查看 第 3.1.1.211 节 “passwordUserAttributes”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 64 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | passwordMinTokenLength: 3 |
3.1.1.207. PasswordMinUppers(密码语法)
这将设置大写字母密码的最少数量,其中必须包含。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 64 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordMinUppers: 2 |
3.1.1.208. passwordMustChange(密码 Must Change)
指明用户在第一次绑定到目录服务器时,还是由 Manager DN 重置密码时,是否必须更改密码。
这可以被缩写为 pwdMustChange。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordMustChange: off |
3.1.1.209. passwordPalindrome
如果您启用 passwordPalindrome 参数,如果新密码包含 palindrome,则目录服务器将拒绝密码。
palindrome 是一个字符串,它读取与后向相同的正向,如 abc11cba。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordPalindrome: off |
3.1.1.210. passwordResetFailureCount(Reset Password Failure Count)
表示密码失败重置的时间(以秒为单位)。每次从用户帐户发送无效密码时,密码失败计数器都会递增。如果在 上将 passwordLockout 属性设置为,则当计数器到达 passwordMaxFailure 属性指定的故障数(默认为 600 秒)时,用户将被锁定。在 passwordLockoutDuration 属性指定的时间长度后,失败计数器将重置为零(0)。
这可以被缩写为 pwdFailureCountInterval。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | passwordResetFailureCount: 600 |
3.1.1.211. passwordUserAttributes
默认情况下,如果您在 passwordMinTokenLength 参数中设置了最小令牌长度,Directory 服务器会根据特定属性检查令牌。详情请查看 第 3.1.1.206 节 “PasswordMinTokenLength(密码语法)”。
passwordUserAttributes 参数可让您设置 Directory 服务器应检查的额外属性的逗号分隔列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何字符串 |
| 默认值 | "" |
| 语法 | DirectoryString |
| 示例 | passwordUserAttributes: phoneNumber, l |
3.1.1.212. passwordSendExpiringTime
当客户端请求密码过期控制时,Directory 服务器仅在警告期内才会返回"time to expire"值。要提供与始终返回这个值的现有客户端的兼容性 - 无论密码过期时间是否在警告周期内,都可将 passwordSendExpiringTime 参数设置为 on。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordSendExpiringTime: off |
3.1.1.213. passwordStorageScheme(Password Storage Scheme)
此属性设置用于加密存储在 userPassword 属性中的用户密码的方法。详情请查看推荐的强密码存储方案。第 4.1.43 节 “密码存储”
红帽建议不要设置此属性。我没有设置这个值,Directory 服务器会自动使用可用的最强支持的密码存储方案。如果将来的 Directory 服务器更新更改了默认值以提高安全性,如果用户设置了密码,则会使用新的存储方案自动加密密码。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 4.1.43 节 “密码存储”。 |
| 默认值 | PBKDF2_SHA256 |
| 语法 | DirectoryString |
| 示例 | passwordStorageScheme: PBKDF2_SHA256 |
3.1.1.214. passwordTPRDelayExpireAt
passwordTPRDelayExpireAt 属性是密码策略的一部分。在管理员将临时密码设置为用户帐户后,passwordTPRDelayExpireAt 在临时密码过期前以秒为单位定义时间。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1(disabled)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayExpireAt: 3600 |
3.1.1.215. passwordTPRDelayValidFrom
passwordTPRDelayValidFrom 属性是密码策略的一部分。在管理员将临时密码设置为用户帐户后,passwordTPRDelayValidFrom 定义了临时密码可以使用的时间(以秒为单位)。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1(disabled)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRDelayValidFrom: 60 |
3.1.1.216. passwordTPRMaxUse
passwordTPRMaxUse 属性是密码策略的一部分。属性设置用户在临时密码过期前可以成功验证的次数。如果身份验证成功,则 Directory 服务器仅允许用户更改密码,然后才能执行其他操作。如果用户没有更改密码,则操作将被终止。验证尝试次数的计数器会增加,无论身份验证是否成功。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | -1(disabled)到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | passwordTPRMaxUse: 5 |
3.1.1.217. passwordTrackUpdateTime
设定是否只在最后一次修改条目密码时记录单独的时间戳。如果启用此项,则将 pwdUpdateTime 操作属性添加到用户帐户条目(与其它更新时间不同,如 修改时间)。
使用这个时间戳,可以更轻松地同步不同 LDAP 存储(如 Active Directory)之间的密码更改。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordTrackUpdateTime: off |
3.1.1.218. passwordUnlock(Unlock Account)
指明用户是否锁定指定时间的目录,还是在管理员在帐户锁定后重置密码。帐户锁定功能可以防止尝试通过重复尝试猜测到用户的密码的黑客攻击。如果这个 passwordUnlock 属性设为 off,并且 operational 属性 accountUnlockTime 的值为 0, 则此帐户将无限期锁定。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordUnlock: off |
3.1.1.219. passwordWarning(警告)
表示用户密码前的秒数,因为用户在下次 LDAP 操作时收到密码过期警告控制。根据 LDAP 客户端,用户也可以在发送警告时提示用户更改密码。
这可以被缩写为 pwdExpireWarning。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 86400(1 天) |
| 语法 | 整数 |
| 示例 | passwordWarning: 86400 |
3.1.1.220. passwordAdminSkipInfoUpdate
您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置,以对密码管理员执行的密码更新提供精细控制。当您在 上将 此设置设置为 时,仅更改密码,并且用户条目中的密码状态属性不会更新。例如,此类属性是 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset and, passwordExpWarned。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordAdminSkipInfoUpdate: on |
密码管理员不仅可以绕过密码语法检查,还可以绕过全局和本地密码策略中配置的密码过期设置,并且使用 过期时间戳 (passwordExpirationTime) ,且必须通过 使用设置"passwordAdminSkipInfoUpdate: on/off.
3.1.1.221. retryCountResetTime
retryCountResetTime 属性包含 UTC-format 的日期和时间,passwordRetryCount 属性将重置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 任何 UTC 格式的有效时间戳 |
| 默认值 | none |
| 语法 | 常规时间 |
| 示例 | retryCountResetTime: 20190618094419Z |
3.1.2. cn=changelog5,cn=config
多supplier 复制 changelog 配置条目存储在 cn=changelog5 条目下。cn=changelog5,cn=config 条目是 extensibleObject 对象类的实例。
cn=changelog5 条目必须包含以下对象类:
-
top -
extensibleObject
Directory Server 维护两种不同的 changelogs。其中存储的第一个类型,称为 changelog,它用于多路复制;第二个 changelog 实际上是插件,称为" 重新简介更改日志 ",用于与一些传统应用程序兼容。有关 Retro Changelog 插件的详情,请参考 第 4.1.48 节 “Retro Changelog 插件”。
3.1.2.1. cn
此必需属性设置 changelog 条目的相对可分名称(RDN)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | changelog5 |
| 语法 | DirectoryString |
| 示例 | cn=changelog5 |
3.1.2.2. nsslapd-changelogcompactdb-interval
除非数据库被显式压缩,否则 Berkeley 数据库不会重复使用空闲页面。紧凑操作将未使用的页面返回到文件系统,数据库文件大小会缩小。这个参数定义 changelog 数据库被紧凑后的时间间隔(以秒为单位)。请注意,紧凑数据库是资源密集型,因此不应频繁完成。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 0(无压缩)到 2147483647 秒 |
| 默认值 | 2592000(30 天) |
| 语法 | 整数 |
| 示例 | nsslapd-changelogcompactdb-interval: 2592000 |
3.1.2.3. nsslapd-changelogdir
此必需属性指定创建 changelog 条目的目录的名称。每当创建 changelog 配置条目时,它必须包含有效的目录;否则,操作将被拒绝。默认情况下,GUI 提议将此条目存储在 /var/lib/dirsrv/slapd-实例/changelogdb/ 中。
如果删除了 cn=changelog5 条目,则 nsslapd-changelogdir 参数中指定的目录(包括所有子目录)会被删除。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效值 | 用于存储 changelog 的目录的任何有效路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb/ |
3.1.2.4. nsslapd-changelogmaxage(Max Changelog Age)
与消费者同步时,Directory 服务器会在 changelog 中存储每个更新都有一个时间戳。nsslapd-changelogmaxage 参数设置在 changelog 中存储的记录的最大年龄。成功传输到所有副本的较旧的记录会被自动删除。默认情况下,Directory 服务器会删除超过七天的记录。但是,如果您禁用了 nsslapd-changelogmaxage 和 nsslapd-changelogmaxentries 参数,Directory 服务器会将所有记录保留在 changelog 中,可能会导致 changelog 文件的过量增长。
Retro changelog 具有自己的 nsslapd-changelogmaxage 属性,如 Retro changelog nsslapd-changelogmaxage部分所述
trim 操作以 nsslapd-changelogtrim-interval 参数中设定的间隔执行。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0(满足该条目的期限不会被删除)到最大 32 位整数(2147483647) |
| 默认值 | 7d |
| 语法 |
DirectoryString IntegerAgeID,其中 AgeID 为 |
| 示例 | nsslapd-changelogmaxage: 4w |
3.1.2.5. nsslapd-changelogmaxentries(Max Changelog Records)
与消费者同步时,Directory 服务器会将每个更新存储在 changelog 中。nsslapd-changelogmaxentries 参数设置 changelog 中存储的最大记录数。如果最旧的记录数量(成功传输到所有副本)超过 nsslapd-changelogmaxentries 值,Directory 服务器会自动从 changelog 中删除它们。如果您禁用了 nsslapd-changelogmaxentries 和 nsslapd-changelogmaxage 参数,Directory 服务器会将所有记录保留在 changelog 中,并可能导致 changelog 文件的过量增长。
如果您在 nsslapd-changelogmaxentries 参数中设置了较低值,目录服务器 不会自动 缩小复制更改日志的文件大小。详情请查看 Red Hat Directory Administration Guide 中的对应部分。
目录服务器以 nsslapd-changelogtrim-interval 参数中设置的间隔执行 trim 操作。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0(表示唯一最大限制是磁盘大小)到最大 32 位整数(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-changelogmaxentries: 5000 |
3.1.2.6. nsslapd-changelogtrim-interval(Replication Changelog Trimming Interval)
目录服务器在 changelog 上重复运行修剪进程。要更改两个运行之间的时间,请更新 nsslapd-changelogtrim-interval 参数,以秒为单位设置间隔。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300(5 分钟) |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogtrim-interval: 300 |
3.1.2.7. nsslapd-encryptionalgorithm(Encryption Algorithm)
此属性指定用于加密 changelog 的加密算法。要启用 changelog 加密,必须在目录服务器上安装服务器证书。有关 changelog 的详情,请参考 第 3.1.2.3 节 “nsslapd-changelogdir”。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | AES 或 3DES |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-encryptionalgorithm: AES |
3.1.2.8. nsSymmetricKey
此属性存储内部生成的对称密钥。有关 changelog 的详情,请参考 第 3.1.2.3 节 “nsslapd-changelogdir”。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=changelog5,cn=config |
| 有效范围 | 基本 64 编码的密钥 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | 无 |
3.1.3. 更改日志属性
changelog 属性包含在 changelog 中记录的更改。
3.1.3.1. 更改
此属性包含对条目所做的更改,以 LDIF 格式添加和修改操作。
| OID | 2.16.840.1.113730.3.1.8 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.2. changeLog
此属性包含条目的可分辨名称,其包含构成服务器 changelog 的条目集合。
| OID | 2.16.840.1.113730.3.1.35 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.3. changeNumber
此属性始终存在。它包含一个整数,用于标识对目录条目进行的每个更改。这个数字与发生更改的顺序相关。数值越大,更改越高。
| OID | 2.16.840.1.113730.3.1.5 |
| 语法 | 整数 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.4. changeTime
此属性在添加条目时以 YYMMDDHHMMSS 格式定义时间。
| OID | 2.16.840.1.113730.3.1.77 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.1.3.5. changeType
此属性指定 LDAP 操作的类型,添加、删除、修改 或 modrdn。例如:
changeType: modify
| OID | 2.16.840.1.113730.3.1.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.6. deleteOldRdn
对于 modrdn 操作,此属性指定是否删除了旧的 RDN。
值为零(0)将删除旧的 RDN。任何其它非零值都会保留旧的 RDN。(非零值可以是负数或正整数。)
| OID | 2.16.840.1.113730.3.1.10 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.7. filterInfo
这供 changelog 用于处理复制。
| OID | 2.16.840.1.113730.3.1.206 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.1.3.8. newRdn
对于 modrdn 操作,此属性指定条目的新 RDN。
| OID | 2.16.840.1.113730.3.1.9 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.9. newSuperior
对于 modrdn 操作,此属性为移动条目指定新的父(superior)条目。
| OID | 2.16.840.1.113730.3.1.11 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.3.10. targetDn
此属性包含受 LDAP 操作影响的条目的 DN。对于 modrdn 操作,targetDn 属性包含条目的 DN,然后再修改或移动。
| OID | 2.16.840.1.113730.3.1.6 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Changelog Internet Draft |
3.1.4. cn=encryption
加密相关的属性存储在 cn=encryption,cn=config 条目下。cn=encryption,cn=config 条目是一个 nsslapdEncryptionConfig 对象类的实例。
3.1.4.1. allowWeakCipher
此属性控制是否允许或拒绝弱密码。默认值取决于 nsSSL3Ciphers 参数中设置的值。
如果出现以下情况,密码被视为弱(弱)
它们可以被导出。
可导出密码在密码名称中被标记为
EXPORT。例如,在TLS_RSA_EXPORT_WITH_RC4_40_MD5中。与 3DES 算法相比,它们是对称和弱点。
对称密码同时使用相同的加密密钥来加密和解密。
- 密钥长度少于 128 位。
必须重新启动服务器,以使对此属性的更改生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | allowWeakCipher: on |
3.1.4.2. allowWeakDHParam
与 Directory 服务器关联的网络安全服务(NSS)库至少需要 2048 位 Diffie-Hellman(DH)参数。但是,一些客户端连接到目录服务器(如 Java 1.6 和 1.7 客户端)只支持 1024 位 DH 参数。allowWeakDHParam 参数允许您在 Directory Server 中启用弱 1024 位 DH 参数。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | allowWeakDHParam: off |
3.1.4.3. nsSSL3Ciphers
此属性指定了在加密通信过程中使用 TLS 加密密码目录服务器的集合。
此参数中设置的值会影响 allowWeakCipher 参数的默认值。详情请查看 第 3.1.4.1 节 “allowWeakCipher”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 支持的 NSS 支持的密码的逗号分隔列表。另外,还可使用以下参数: * default:启用 NSS 公告的默认密码,但弱密码除外。如需更多信息,请参阅 列出 SSL 连接支持的密码套件。
* +all:所有密码都已启用。如果启用 * -all:所有密码都已禁用。 |
| 默认值 | default |
| 语法 | DirectoryString
使用加号(
要启用所有密码 - 除 |
| 示例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
有关如何列出所有支持密码的详情,请查看 Red Hat Directory Server Administration Guide 中的对应部分。
3.1.4.4. nsSSLActivation
此属性显示是否为给定安全模块启用 TLS 密码系列。
| 条目 DN | cn=encryptionType,cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLActiv: |
3.1.4.5. nsSSLClientAuth
此属性显示 Directory 服务器如何强制实施客户端身份验证。它接受以下值:
-
off- 目录服务器不接受客户端验证 -
允许(默认)- 目录服务器将接受客户端身份验证,但不需要它 必需- 所有客户端都必须使用客户端身份验证。重要Directory 服务器控制台不支持客户端身份验证。因此,如果将
nsSSLClientAuth属性设置为required,则控制台无法用于管理实例。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | 允许 | 必需 |
| 默认值 | 已允许 |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth:允许 |
3.1.4.6. nsSSLEnabledCiphers
目录服务器会自动生成多值 nsSSLEnabledCiphers 属性。属性为只读属性,显示当前使用的密码目录服务器。这个列表可能与您在 nsSSL3Ciphers 属性中设置的。例如,如果您在 nsSSL3Ciphers 属性中设置了弱密码,但允许WeakCipher 被禁用,则 nsSSLEnabledCiphers 属性不会列出弱密码,也不使用 Directory 服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 此属性的值是自动生成和只读值。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.7. nsSSLPersonalitySSL
此属性包含用于 SSL 的证书名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 一个证书 nickname |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLPersonalitySSL: Server-Cert |
3.1.4.8. nsSSLSessionTimeout
此属性设置 TLS 连接的生命周期持续时间。最小值为 5 秒。如果设置了较小的值,则它会自动替换为 5 秒。值大于以下有效范围内的最大值。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效范围 | 5 秒到 24 小时 |
| 默认值 | 0,即使用上述有效范围内的最大值。 |
| 语法 | 整数 |
| 示例 | nsSSLSessionTimeout: 5 |
3.1.4.9. nsSSLSupportedCiphers
此属性包含服务器支持的密码。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 特定系列、密码和强度字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
3.1.4.10. nsSSLToken
此属性包含服务器使用的令牌(安全模块)的名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 模块名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLToken:内部(软件) |
3.1.4.11. nsTLS1
启用 TLS 版本 1。与 TLS 搭配使用的密码在 nsSSL3Ciphers 属性中定义。
如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 一起设置,目录服务器从这些参数选择最安全的设置。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLS1: 上的 |
3.1.4.12. nsTLSAllowClientRenegotiation
目录服务器使用 SSL_OptionSet() 网络安全服务(NSS)功能与 SSL_ENABLE_RENEGOTIATION 选项来控制 NSS 的 TLS 重新协商行为。
nsTLSAllowClientRenegotiation 属性控制 Directory 服务器传递给 SSL_ENABLE_RENEGOTIATION 选项的值:
-
如果您设置了
nsTLSAllowClientRenegotiation: on,Directory 服务器会将SSL_RENEGOTIATE_REQUIRES_XTN传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 允许使用 RFC 5746 的安全重新协商尝试。 -
如果您设置了
nsTLSAllowClientRenegotiation: off,Directory 服务器会将SSL_RENEGOTIATE_NEVER传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 会拒绝所有重新协商尝试,甚至可以保护它们。
有关 NSS TLS 重新协商行为的详情,请查看 红帽 是否受 TLS 重新协商 MITM 攻击(CVE-2009-3555)中的 NSS(网络安全服务)部分的 RFC 5746 实现 ?
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLSAllowClientRenegotiation: on |
3.1.4.13. sslVersionMin
sslVersionMin 参数设置 TLS 协议目录服务器使用的最小版本。但是,默认情况下,Directory 服务器会根据系统范围的加密策略自动设置这个参数。如果您在 /etc/crypto-policies/config 文件中将加密策略配置集设置为:
-
DEFAULT、FUTURE或FIPS,Directory 服务器会将sslVersionMin设置为TLS1.2 -
LEGACY, Directory Server 将sslVersionMin设置为TLS1.0
或者,您可以将 sslVersionMin 设置为高于加密策略中定义的值。
服务必须重启才能使对此属性的更改生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 取决于您设置的系统范围的加密策略配置集。 |
| 语法 | DirectoryString |
| 例如: | sslVersionMin: TLS1.2 |
3.1.4.14. sslVersionMax
设置要使用的 TLS 协议的最大版本。默认情况下,这个值被设置为系统中安装的 NSS 库中最新可用协议版本。
必须重新启动服务器,以使对此属性的更改生效。
如果 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 一起设置,目录服务器从这些参数选择最安全的设置。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 系统中安装的 NSS 库中最新可用协议版本 |
| 语法 | DirectoryString |
| 例如: | sslVersionMax: TLS1.2 |
3.1.5. cn=features
cn=features 条目本身没有属性。此条目仅用作父容器条目,以及 nsContainer 对象类。
子条目包含一个 oid 属性,用于标识功能和 directoryServerFeature 对象类,以及有关功能的可选识别信息,如特定的 ACL。例如:
dn: oid=2.16.840.1.113730.3.4.9,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 2.16.840.1.113730.3.4.9 cn: VLV Request Control aci: (targetattr != "aci")(version 3.0; acl "VLV Request Control"; allow( read, search, compare, proxy ) userdn = "ldap:///all";) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config createTimestamp: 20200129132357Z modifyTimestamp: 20200129132357Z
3.1.5.1. oid
oid 属性包含一个分配给目录服务功能的对象标识符。OID 用作这些目录功能的 naming 属性。
| OID | 2.16.840.1.113730.3.1.215 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.1.6. cn=mapping tree
后缀、复制和 Windows 同步的配置属性存储在
cn=mapping tree,cn=config下。与后缀相关的配置属性位于后缀 subentrycn=后缀,cn=mapping tree,cn=config下。例如,后缀 是目录树中的 root 条目,如
dc=example,dc=com。-
复制配置属性存储在
cn=replica,cn=suffix,cn=mapping tree,cn=config下。 -
复制协议属性存储在
cn=replicationAgreementName 下,cn=replica,cn=suffix,cn=mapping tree,cn=config。 -
Windows 同步协议属性存储在
cn=syncAgreementName,cn=replica,cn=suffix,cn=mapping tree,cn=config下。
3.1.7. cn=suffix_DN 下的后缀配置属性
后缀配置存储在 cn="suffix_DN",cn=mapping tree,cn=config 条目下。这些条目是 nsMappingTree 对象类的实例。extensibleObject 对象类允许属于该用户属性的条目。对于要被服务器考虑的后缀配置属性,除了 顶级 对象类外,这些对象类也必须存在于条目中。
您必须使用引号编写后缀 DN,因为它包含等字符,如等号(=)、逗号(,)和空格字符。通过使用引号,DN 可以正确地作为另一个 DN 中的值显示。例如: cn="dc=example,dc=com",cn=mapping tree,cn=config
详情请查看 Directory Server Administration Guide 中的对应部分。
3.1.7.1. cn
此必需属性设置新后缀的相对可分名称(RDN)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: dn=example,dc=com |
3.1.7.2. nsslapd-backend
此参数设置用于处理请求的数据库或数据库链接的名称。它是多值值,每个值都有一个数据库或数据库链接。当 nsslapd-state 属性的值设置为 backend 或 update 时,需要 此属性。
将值设为 cn=ldbm 数据库,cn=plugins,cn=config 下的后端数据库条目实例的名称。例如: o=userroot,cn=ldbm database,cn=plugins,cn=config
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分区名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-backend: userRoot |
3.1.7.3. nsslapd-distribution-function
nssldap-distribution-function 参数设置自定义分发功能的名称。当您在 nsslapd-backend 属性中设置多个数据库时,您必须设置此属性。
有关自定义分发功能的详情,请查看 目录服务器管理指南 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分发功能 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-distribution-plugin: distribution_function_name |
3.1.7.4. nsslapd-distribution-plugin
nssldap-distribution-plugin 设置要与自定义分发功能一起使用的共享库。当您在 nsslapd-backend 属性中设置多个数据库时,您必须设置此属性。
有关自定义分发功能的详情,请查看 目录服务器管理指南 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分发插件 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-distribution-plugin: /path/to/shared/library |
3.1.7.5. nsslapd-parent
如果要创建子后缀,请使用 nsslapd-parent 属性来定义父后缀。
如果没有设置属性,新后缀会作为 root 后缀创建。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的分区名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-parent-suffix: dc=example,dc=com |
3.1.7.6. nsslapd-referral
此属性将引用的 LDAP URL 设置为由后缀返回。您可以多次添加 nssldap-referral 属性来设置多个引用 URL。
如果将 nsslapd-state 参数设置为 referral 或 update,则必须设置此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssldap-referral: ldap://example.com/ |
3.1.7.7. nsslapd-state
这个参数决定了后缀处理操作的方式。该属性采用以下值:
-
后端:后端数据库处理所有操作。 -
禁用:数据库无法用于处理操作。服务器返回一个No such search 对象错误,以响应客户端应用程序发出的请求。 -
引用:目录服务器返回一个请求到这个后缀的参考 URL。 -
更新引用 : 数据库用于所有操作。只有针对更新请求才会被发送。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | backend | 禁用 | 引用 | 引用更新 |
| 默认值 | 后端 |
| 语法 | DirectoryString |
| 示例 | nsslapd-state: backend |
3.1.8. cn=replica,cn=suffixDN,cn=mapping tree,cn=mapping tree,cn=config 下的复制属性
复制配置属性存储在 cn=replica,cn=suffix,cn=mapping tree,cn=config 下。cn=replica 条目是 nsDS5Replica 对象类的实例。对于要被服务器考虑的复制配置属性,该条目中必须存在此对象类(除 top 对象类外)。有关复制的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理复制"一章。
cn=replica,cn=suffix,cn=mapping tree,cn=config 条目必须包含以下对象类:
-
top -
extensibleObject -
nsds5replica
3.1.8.1. cn
为副本设置 naming 属性。cn 属性必须设置为 replica。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
该值必须设置为 |
| 默认值 | replica |
| 语法 | DirectoryString |
| 示例 | cn=replica |
3.1.8.2. nsds5DebugReplicaTimeout
此属性提供了在复制时使用 debug 日志记录时使用的超时时间。这只能设置时间和调试级别:
nsds5debugreplicatimeout: seconds[:debuglevel]| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何数字字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5debugreplicatimeout: 60:8192 |
3.1.8.3. nsDS5Flags
此属性设置之前在标志中定义的副本属性。仅显示一个标志,这样可设置日志更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 * 0 :副本不会写入 changelog;这是消费者的默认值。 * 1: 对更改日志的副本写入,这是 hub 和供应商的默认。 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsDS5Flags: 0 |
3.1.8.4. nsDS5ReplConflict
虽然此属性不在 cn=replica 条目中,但它与复制结合使用。此多值属性包含在发生更改冲突的条目中,无法通过同步过程自动解决。要检查需要管理员干预的复制冲突,请执行 LDAP 搜索(nsDS5ReplConflict=*)。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsDS5ReplConflict=*))" dn nsDS5ReplConflict nsUniqueID
使用搜索过滤器 "(objectclass=nsTombstone)" 也显示 tombstone(deleted)条目。nsDS5ReplConflict 的值包含有关哪些条目发生冲突的更多信息,通常通过其 nsUniqueID 来引用它们。可以通过 nsUniqueID 搜索 tombstone 条目。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s sub -b dc=example,dc=com "(|(objectclass=nsTombstone)(nsUniqueID=66a2b699-1dd211b2-807fa9c3-a58714648))"
3.1.8.5. nsDS5ReplicaAutoReferral
此属性将设置目录服务器是否对数据库配置引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaAutoReferral: on |
3.1.8.6. nsState
此属性将信息存储在时钟的状态上。它仅用于内部使用,以确保服务器无法生成更改序列号(csn)到用来检测向后兼容性错误所需的现有序列号。
3.1.8.7. nsDS5ReplicaAbortCleanRUV
此只读属性指定是否删除过时或缺失供应商的旧 RUV 条目。有关此任务的更多信息,请参阅 第 3.1.16.13 节 “cn=abort cleanallruv”。值 0 表示任务不活跃,且 1 值表示任务处于活跃状态。
存在此属性以允许在服务器重启后恢复中止任务。任务完成后,属性会被删除。
如果手动设置此值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaAbortCleanRUV: 1 |
3.1.8.8. nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax
这些属性用于具有大量复制流量的环境中,其中需要尽可能快地发送更新。
默认情况下,如果远程副本忙碌,复制协议将进入"后退"状态,它将以后退计时器的下一个间隔重新发送更新。默认情况下,计时器在 3 秒内启动,并且最长等待时间为 5 分钟。由于这些默认设置可能不足,在某些情况下,您可以使用 nsds5ReplicaBackoffMin 和 nsds5ReplicaBackoffMax 配置最小和最大等待时间。
可在服务器在线时应用配置设置,不需要服务器重启。如果使用无效的设置,则改为使用默认值。配置必须通过 CLI 工具处理。
3.1.8.9. nsDS5ReplicaBindDN
此多值属性指定绑定时要使用的 DN。虽然这个 cn=replica 条目中可以有多个值,但每个复制协议只能有一个供应商绑定 DN。每个值都应该是消费者服务器上本地条目的 DN。如果复制供应商使用基于客户端证书的身份验证来连接使用者,请配置使用者上的证书映射,将证书中的 subjectDN 映射到本地条目。
出于安全考虑,不要将此属性设置为 cn=Directory Manager。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.8.10. nsDS5ReplicaBindDNGroup
nsDS5ReplicaBindDNGroup 属性指定一个组 DN。然后,会扩展该组及其成员,包括其子组的成员,会在启动时或修改副本对象时添加到 replicaBindDNs 属性中。这会扩展 nsDS5ReplicaBindDN 属性提供的当前功能,因为它允许设置组 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的组 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDNGroup: cn=sample_group,ou=groups,dc=example,dc=com |
3.1.8.11. nsDS5ReplicaBindDNGroupCheckInterval
目录服务器检查 nsDS5ReplicaBindDNGroup 属性中指定的组内的任何更改,并相应地自动重建 replicaBindDN 参数的列表。这些操作对性能有负面影响,因此仅在 nsDS5ReplicaBindDNGroupCheckInterval 属性中设置的指定间隔执行。
此属性接受以下值:
-
-1:在运行时禁用动态检查。当nsDS5ReplicaBindDNGroup属性改变时,管理员必须重启该实例。 -
0: 目录服务器在组更改后立即重建列表。 - 任何正 32 位整数值:自上次重建后传递的最小秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | -1 到最大 32 位整数(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaBindDNGroupCheckInterval: 0 |
3.1.8.12. nsDS5ReplicaChangeCount
此 read-only 属性显示 changelog 中的条目总数,以及是否仍然被复制。当清除 changelog 时,仅保留要复制的条目。
有关清除操作属性的更多信息,请参阅 第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay” 和 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | -1 到最大 32 位整数(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaChangeCount: 675 |
3.1.8.13. nsDS5ReplicaCleanRUV
此 read-only 属性指定是否删除过时或缺失供应商的旧 RUV 条目。有关此任务的更多信息,请参阅 第 3.1.16.12 节 “cn=cleanallruv”。值 0 表示任务不活跃,且 1 值表示任务处于活跃状态。
如果存在此属性,允许在服务器重启后恢复清理任务。任务完成后,属性会被删除。
如果手动设置此值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaCleanRUV: 0 |
3.1.8.14. nsDS5ReplicaId
此属性设置给定复制环境中供应商的唯一 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 |
对于供应商:
对于消费者和 hubs: |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaId: 1 |
3.1.8.15. nsDS5ReplicaLegacyConsumer
如果此属性不存在或值为 false,则表示副本不是传统的消费者。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaLegacyConsumer: false |
3.1.8.16. nsDS5ReplicaName
此属性指定内部操作的唯一标识符的名称。如果没有指定,则创建副本时服务器会分配这个唯一标识符。
建议允许服务器生成此名称。然而,在某些情况下,在副本角色更改(从 hub 变为 hub 等)中,需要指定这个值。否则,服务器不会使用正确的更改日志数据库,复制会失败。
此属性仅用于内部使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | |
| 默认值 | |
| 语法 | DirectoryString(UID 标识副本) |
| 示例 | nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648 |
3.1.8.17. nsds5ReplicaProtocolTimeout
当停止服务器、禁用复制或移除复制协议时,当服务器负载下时,停止复制前会有一个超时时间,在服务器停止复制前等待。nsds5ReplicaProtocolTimeout 属性可用于配置此超时,其默认值为 120 秒。
有些情况下,可能会存在 2 分钟的超时时间太长,或者没有足够的时间。例如,在关闭期间结束复制会话之前,特定复制协议可能需要更长的时间。
此属性可以添加到后端的主复制配置条目中:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647),以秒为单位 |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性也可以添加到复制协议中。复制协议超时会覆盖主副本配置条目中设置的超时。这允许不同的复制协议进行不同的超时。如果复制会话正在进行,新的超时时间将中止该会话并允许服务器关闭。
3.1.8.18. nsDS5ReplicaPurgeDelay
此属性控制已删除条目(除mbstone 条目)和状态信息的最长期限。
目录服务器存储 inmbstone 条目和状态信息,以便在多层次复制过程中发生冲突,服务器会根据存储在更改序列号中的时间戳和副本 ID 来解析冲突。
内部目录服务器内务操作会定期删除超过此属性值(以秒为单位)的 tombstone 条目。当修改包含状态信息的条目时,会删除比 nsDS5ReplicaPurgeDelay 值旧的状态信息。
可能无法删除每个 tombstone 和 state 信息,因为具有多层次复制,服务器可能需要保持少量对 prime 复制的最新更新,即使它们早于 属性的值。
此属性指定在条目上执行内部清除操作的时间间隔(以秒为单位)。在设置此属性时,请确保清除延迟时间超过复制策略中最长的复制周期,以保留充足的信息来解决复制冲突并阻止存储在不同服务器中的数据副本。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0(keep forever)最多 32 位整数(2147483647) |
| 默认值 | 604800 [1 week (60x60x24x7)] |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaPurgeDelay: 604800 |
3.1.8.19. nsDS5ReplicaReapActive
这个 read-only 属性指定从数据库中删除旧的 tombstones(删除条目)的后台任务是否活跃。有关此任务的更多信息,请参阅 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。值 0 表示任务不活跃,且 1 值表示任务处于活跃状态。如果手动设置此值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReapActive: 0 |
3.1.8.20. nsDS5ReplicaReferral
这个多值属性指定用户定义的引用。这应该只在消费者上定义。只有客户端尝试修改只读消费者上的数据时,才会返回用户引用。这个可选引用覆盖由复制协议消费者自动配置的引用。
URL 可以使用 ldap[s]://host_name:port_number 或 ldap[s]://IP_address: port_number :port_number 的格式,其格式为 IPv4 或 IPv6 地址。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaReferral: ldap://server.example.com:389 |
3.1.8.21. nsDS5ReplicaReleaseTimeout
此属性用于跨跨供应商和中心(以秒为单位),在供应商发布副本后,会确定超时期限(以秒为单位)。在出现问题(如缓慢的网络连接)时,这很有用,导致一个供应商能够获得对副本的访问并长期存在,从而防止所有其他供应商访问并发送更新。如果设定了此属性,则供应商会在指定周期后发布副本,从而提高了复制性能。
将此属性设置为 0 可禁用超时。任何其他值都决定超时的长度(以秒为单位)。
避免将此属性设置为 1 到 30 之间的值。在大多数情况下,简短超时会降低复制性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 到 32 位整数(2147483647),以秒为单位 |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReleaseTimeout: 60 |
3.1.8.22. nsDS5ReplicaRoot
此属性在复制区域的根目录下设置 DN。此属性必须具有与被复制且不可修改的数据库后缀相同的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 正在复制的数据库的后缀,这是后缀 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.8.23. nsDS5ReplicaTombstonePurgeInterval
此属性指定清除操作周期之间的时间间隔(以秒为单位)。
服务器定期运行内部 housekeeping 操作,从 changelog 和 main 数据库清除旧更新和状态信息。请参阅 第 3.1.8.18 节 “nsDS5ReplicaPurgeDelay”。
设置此属性时,请记住清除操作非常耗时,特别是当服务器处理来自客户端和供应商的许多删除操作时。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647),以秒为单位 |
| 默认值 | 86400(1 天) |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaTombstonePurgeInterval: 86400 |
3.1.8.24. nsDS5ReplicaType
定义在此副本和其它副本间存在的复制关系类型。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 | 2 | 3 * 0 表示未知 * 1 表示主(还没有使用) * 2 表示消费者(只读) * 3 consumer/supplier(可更新) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaType: 2 |
3.1.8.25. nsds5Task
此属性启动复制任务,例如将数据库内容转储到 LDIF 文件或从复制拓扑中删除过时的供应商。
您可以将 nsds5Task 属性设置为以下值之一:
-
cl2ldif:将 changelog 导出到/var/lib/dirsrv/slapd-instance_name/changelogdb/目录中的 LDIF 文件。 -
ldif2cl:从存储在/var/lib/dirsrv/slapd-instance_name/changelogdb/ 目录下的 LDIF 文件中导入 changelog。 -
cleanruv:从运行该操作的厂商中删除 Replica Update Vector(RUV)。 -
cleanallruv:从复制拓扑中的所有服务器中删除 RUV。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
*
*
*
* |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5Task: cleanallruv |
3.1.9. cn=ReplicationAgreementName,cn=replica,cn=suffixName,cn=mapping tree,cn=mapping tree,cn=config 下的复制属性
涉及复制协议的复制属性存储在 cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config 下。cn=ReplicationAgreementName 条目是 nsDS5ReplicationAgreement 对象类的实例。复制协议仅在供应商副本上配置。
3.1.9.1. cn
此属性用于命名。设定此属性后,便无法修改。设置复制协议需要此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
任何有效的 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: vendorAtoSupplierB |
3.1.9.2. description
复制协议的免费表格文本描述。此属性可以被修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | 描述:在服务器 A 和服务器 B 之间复制协议。 |
3.1.9.3. nsDS5ReplicaBindDN
此属性设置在复制期间绑定到消费者时使用的 DN。此属性的值必须与消费者副本中的 cn=replica 中的相同。如果使用基于证书的身份验证,则这可能会为空,在这种情况下,使用的 DN 是证书的主题 DN,并且使用者必须启用了适当的客户端证书映射。这也可以被修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN(如果使用客户端证书,可以为空) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindDN: cn=replication manager,cn=config |
3.1.9.4. nsDS5ReplicaBindMethod
此属性设置服务器用于绑定到使用者服务器的方法。
nsDS5ReplicaBindMethod 支持以下值:
-
空
或SIMPLE:服务器使用基于密码的身份验证。当使用这个绑定方法时,还要设置nsds5ReplicaBindDN和nsds5ReplicaCredentials参数以提供用户名和密码。 -
SSLCLIENTAUTH:在供应商和消费者之间启用基于证书的身份验证。为此,使用者服务器必须配置有证书映射,以将供应商的证书映射到复制管理器条目。 SASL/GSSAPI:使用 SASL 启用 Kerberos 验证。这要求供应商服务器具有一个 Kerberos keytab,并且消费者服务器配置了 SASL 映射条目,以将供应商的 Kerberos 主体映射到复制管理器条目。详情请查看 Red Hat Directory Server Administration Guide 中的以下部分:
-
SASL/DIGEST-MD5:使用 SASL 和DIGEST-MD5机制启用基于密码的身份验证。当使用这个绑定方法时,还要设置nsds5ReplicaBindDN和nsds5ReplicaCredentials参数以提供用户名和密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 默认值 | SIMPLE |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaBindMethod: SIMPLE |
3.1.9.5. nsds5ReplicaBootstrapBindDN
nsds5ReplicaBootstrapBindDN 参数设置在供应商因为 LDAP_INVALID_CREDENTIALS(err=49)、LDAP_ INAPPROIATE_AUTH(err=48)或 使用的回退绑定名称(DN)。
LDAP_NO_SUCJOJOJBECBECBECT(err= 49)错误时(err=49)
在这些情况下,Directory 服务器使用来自 nsds5ReplicaBootstrapBindDN、nsds5ReplicaBootstrapCredentials、nsds5ReplicaBootstrapBindMethod 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也不能使用这些 bootstrap 设置建立连接,服务器会停止尝试连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapBindDN: cn=replication manager,cn=config |
3.1.9.6. nsds5ReplicaBootstrapBindMethod
nsds5ReplicaBootstrapBindMethod 参数设置在供应商因为 LDAP_INVALID_CREDENTIALS(err=49)、LDAP_ INAPPROIATE_AUTH(err=48)或 密码。
LDAP_NO_SUCJOJO JO_ECBECT(err=49)错误时所用的
在这些情况下,Directory 服务器使用来自 nsds5ReplicaBootstrapBindDN、nsds5ReplicaBootstrapCredentials、nsds5ReplicaBootstrapBindMethod 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也不能使用这些 bootstrap 设置建立连接,服务器会停止尝试连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | SIMPLE | SSLCLIENTAUTH | SASL/GSSAPI | SASL/DIGEST |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapBindMethod: SIMPLE |
3.1.9.7. nsds5ReplicaBootstrapCredentials
nsds5ReplicaBootstrapCredentials 参数为 fall-back 绑定可分名称(DN)设置密码,当供应商因为 LDAP_INVALID_CREDENTIALS(err=49) 错误, LDAP_ INAPPROIATE_AUTH(err=48)或 49)错误。
LDAP_NO_ SUCJOJOJOJBECBECBECT(err=
在这些情况下,Directory 服务器使用来自 nsds5ReplicaBootstrapBindDN、nsds5ReplicaBootstrapCredentials、nsds5ReplicaBootstrapBindMethod 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也不能使用这些 bootstrap 设置建立连接,服务器会停止尝试连接。
当您以明文方式设置该参数时,目录服务器会自动使用 AES 逆向密码加密算法来哈希密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的字符串。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapCredentials: password |
3.1.9.8. nsds5ReplicaBootstrapTransportInfo
nsds5ReplicaBootstrapTransportInfo 参数设置连接到 的加密方法,并从副本设置在供应商因为 LDAP_INVALID_CREDENTIALS(err=49) 绑定到消费者时,LDAP_INAPPROPRIATE_AUTH(err=48)。 或 LDAP_NO_SUCH_OBJECT(err=32) 错误。
在这些情况下,Directory 服务器使用来自 nsds5ReplicaBootstrapBindDN、nsds5ReplicaBootstrapCredentials、nsds5ReplicaBootstrapBindMethod 和 nsds5ReplicaBootstrapTransportInfo 参数的信息来建立连接。如果服务器也不能使用这些 bootstrap 设置建立连接,服务器会停止尝试连接。
该属性采用以下值:
-
TLS:连接使用StartTLS命令启动加密。 -
SSL:连接使用 LDAPS 和 TLS 加密。 -
LDAP:连接没有加密。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | TLS | SSL | LDAP |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaBootstrapTransportInfo: SSL |
3.1.9.9. nsDS5ReplicaBusyWaitTime
此属性以秒为单位设定供应商在消费者发送忙碌响应后应等待的时间,然后再进行另一个尝试获取访问权限。默认值为 3(3)秒。如果属性设置为负值,Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。
nsDS5ReplicaBusyWaitTime 属性和 nsDS5ReplicaSessionPauseTime 属性一起工作。两个属性被设计为,因此 nsDS5ReplicaSessionPauseTime 间隔至少比为 nsDS5ReplicaBusyWaitTime 指定的时间间隔至少要长一秒。在上一个供应商可以重新访问消费者前,等待的供应商有机会获得消费者的访问。
使用 changetype:modify 使用 changetype:modify,随时设置 nsDS5ReplicaBusyWaitTime 属性。如果还没有进行,则更改会对下一次更新会话生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaBusyWaitTime: 3 |
3.1.9.10. nsDS5ReplicaChangesSentSinceStartup
此 read-only 属性显示服务器启动时发送到此副本的更改数量。属性中的实际值存储为二进制 blob;在 Directory Server 控制台中,这个值是一个比例,格式为 replica_id:changes_sent/changes_skipped。例如,对于发送 100 个更改且没有为副本 7 跳过更改,属性值会在控制台显示为 7:100/0。
在命令行中,属性值以二进制形式显示。例如:
nsds5replicaChangesSentSinceStartup:: MToxLzAg
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsds5replicaChangesSentSinceStartup:: MToxLzAg |
3.1.9.11. nsDS5ReplicaCredentials
此属性设置 nsDS5ReplicaBindDN 属性中指定的绑定 DN 的凭证。目录服务器使用此密码连接到使用者。
以下示例显示了加密的值,如 /etc/dirsrv/slapd-instance_name/dse.ldif 文件中存储,而不是实际密码。要设置值,请以明文形式设置,例如 nsDS5ReplicaCredentials: password。目录服务器然后在存储值时使用 AES 逆向密码加密模式来加密密码。
当使用基于证书的验证时,此属性没有设置值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的密码 |
| 默认值 | |
| 语法 | DirectoryString {AES-Base64-algorithm-id}encoded_password |
| 示例 | nsDS5ReplicaCredentials: {AES-TUhNR0NT…}VoglUB8GG5A… |
3.1.9.12. nsds5ReplicaEnabled
此属性将设置复制协议是活跃的,这意味着该协议是否进行复制。默认值 在 上,以便启用复制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaEnabled: off |
3.1.9.13. nsds5ReplicaFlowControlPause
这个参数设置在达到 nsds5ReplicaFlowControlWindow 参数中设置条目数量后要暂停的时间(毫秒)。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数可让您微调复制吞吐量。详情请查看 第 3.1.9.14 节 “nsds5ReplicaFlowControlWindow”。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 0 到 64 位最大长度 |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaFlowControlPause: 2000 |
3.1.9.14. nsds5ReplicaFlowControlWindow
此属性设置供应商发送的最大条目和更新数,它们不会被消费者确认。达到限制后,供应商会在 nsds5ReplicaFlowControlPause 参数中暂停复制协议。更新 nsds5ReplicaFlowControlWindow 和 nsds5ReplicaFlowControlPause 参数可让您微调复制吞吐量。
如果供应商发送条目和更新更快导入或更新,请更新此设置,并确认数据。在这种情况下,在供应商的错误日志文件中记录以下信息:
Total update flow control gives time (2000 msec) to the consumer before sending more entries [ msgid sent: xxx, rcv: yyy]) If total update fails you can try to increase nsds5ReplicaFlowControlPause and/or decrease nsds5ReplicaFlowControlWindow in the replica agreement configuration
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replication_agreement_name,cn=replica,cn=suffix_DN,cn=mapping tree,cn=config |
| 有效值 | 0 到 64 位最大长度 |
| 默认值 | 1000 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaFlowControlWindow: 1000 |
3.1.9.15. nsDS5ReplicaHost
此属性为包含使用者副本的远程服务器设置主机名。设定此属性后,便无法修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的主机名 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaHost: ldap2.example.com |
3.1.9.16. nsDS5ReplicaLastInitEnd
当消费者副本的初始化终止时,此可选是 read-only 属性的状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
YYYYMMDDhhmmsZ 是打开连接时使用的日期/时间( Generalized Time 表单)。这个值提供了与 Greenwich Mean Time 相关的时间。小时设置为 24 小时时钟。 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastInitEnd: 20200504121603Z |
3.1.9.17. nsDS5ReplicaLastInitStart
当消费者副本初始化启动时,此可选是 read-only 属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
YYYYMMDDhhmmsZ 是打开连接时使用的日期/时间( Generalized Time 表单)。这个值提供了与 Greenwich Mean Time 相关的时间。小时设置为 24 小时时钟。 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastInitStart: 202005030405 |
3.1.9.18. nsDS5ReplicaLastInitStatus
此可选 read-only 属性提供使用者初始化的状态。通常有一个数字代码,并附带一个简短字符串来解释该状态。零(0)表示成功。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0(消费者 initialization Succeeded),然后是任何其他状态消息。 |
| 默认值 | |
| 语法 | 字符串 |
| 示例 | nsDS5ReplicaLastInitStatus: 0 Consumer initialization Succeeded |
3.1.9.19. nsDS5ReplicaLastUpdateEnd
当最新的复制调度更新终止时,此 read-only 属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
YYYYMMDDhhmmsZ 是打开连接时使用的日期/时间( Generalized Time 表单)。这个值提供了与 Greenwich Mean Time 相关的时间。小时设置为 24 小时时钟。 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastUpdateEnd: 20200502175801Z |
3.1.9.20. nsDS5ReplicaLastUpdateStart
当最新的复制调度更新启动时,这个 read-only 属性状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 |
YYYYMMDDhhmmsZ 是打开连接时使用的日期/时间( Generalized Time 表单)。这个值提供了与 Greenwich Mean Time 相关的时间。小时设置为 24 小时时钟。 |
| 默认值 | |
| 语法 | GeneralizedTime |
| 示例 | nsDS5ReplicaLastUpdateStart: 20200504122055Z |
3.1.9.21. nsds5replicaLastUpdateStatus
在每个复制协议的只读 nsds5replicaLastUpdateStatus 属性中,Directory 服务器会显示协议的最新状态。有关状态列表,请参阅 附录 B, 复制协议状态。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 请参阅 附录 B, 复制协议状态。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5replicaLastUpdateStatus: Error(0)Replica acquired successfully: Incremental update succeeded |
3.1.9.22. nsDS5ReplicaPort
此属性为包含副本的远程服务器设置端口号。设定此属性后,便无法修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 包含副本的远程服务器的端口号 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaPort:389 |
3.1.9.23. nsDS5ReplicaReapActive
这个 read-only 属性指定从数据库中删除旧的 tombstones(删除条目)的后台任务是否活跃。有关此任务的更多信息,请参阅 第 3.1.8.23 节 “nsDS5ReplicaTombstonePurgeInterval”。值为零(0)表示任务不活跃,而 1 表示任务处于活跃状态。如果手动设置这个值,服务器会忽略修改请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 0 | 1 |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaReapActive: 0 |
3.1.9.24. nsDS5BeginReplicaRefresh
初始化副本。默认不存在此属性。但是,如果添加了此属性并带有 start 的值,则服务器会初始化副本并删除属性值。要监控初始化过程的状态,请对此属性进行轮询。初始化完成后,属性会从条目中删除,其他监控属性则可用于详细状态查询。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 停止 | start |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5BeginReplicaRefresh: start |
3.1.9.25. nsDS5ReplicaRoot
此属性在复制区域的根目录下设置 DN。此属性必须具有与被复制且不可修改的数据库后缀相同的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 复制数据库的后缀 - 与上面的 suffix 相同 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaRoot: "dc=example,dc=com" |
3.1.9.26. nsDS5ReplicaSessionPauseTime
此属性设定供应商在更新会话之间应等待的时间(以秒为单位)。默认值为 0。如果属性设置为负值,Directory 服务器会向客户端发送消息和 LDAP_UNWILLING_TO_PERFORM 错误代码。
nsDS5ReplicaSessionPauseTime 属性和 nsDS5ReplicaBusyWaitTime 属性一起工作。两个属性被设计为,因此 nsDS5ReplicaSessionPauseTime 间隔至少比为 nsDS5ReplicaBusyWaitTime 指定的时间间隔至少要长一秒。在上一个供应商可以重新访问消费者前,等待的供应商有机会获得消费者的访问。
-
如果指定了任何属性但未指定任何属性,则
nsDS5ReplicaSessionPauseTime会自动设置为1秒超过nsDS5ReplicaBusyWaitTime。 -
如果指定了两个属性,但
nsDS5ReplicaSessionPauseTime小于或等于nsDS5ReplicaBusyWaitTime,nsDS5ReplicaSessionPauseTime会自动设置为1秒大于nsDS5ReplicaBusyWaitTime。
在设置值时,请确保 nsDS5ReplicaSessionPauseTime 间隔至少比为 nsDS5ReplicaBusyWaitTime 指定的时间间隔至少 1 秒。根据需要增加间隔,直到供应商有可接受的消费者访问分布为止。
使用 changetype:modify 使用 replace 操作,随时设置 nsDS5ReplicaSessionPauseTime 属性。如果还没有进行,则更改会对下一次更新会话生效。
如果 Directory 服务器必须自动重置 nsDS5ReplicaSessionPauseTime 的值,其值仅在内部更改。这个更改对客户端不可见,它没有保存到配置文件中。从外部视图点,属性值显示为原来设定的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaSessionPauseTime: 0 |
3.1.9.27. nsds5ReplicaStripAttrs
部分复制允许使用从复制更新中删除的属性列表(nsDS5ReplicatedAttributeList)。但是,对排除属性的更改仍然会触发修改事件,并生成空的复制更新。
nsds5ReplicaStripAttrs 属性添加一个无法在空白复制事件中发送的属性列表,并从更新序列中分离。这种逻辑上包括诸如 modifiersName 之类的操作 attribtes。
如果复制事件 不为空,则 复制剥离的属性。这些属性只有在事件其他已满满时才会从更新中删除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 所有支持的目录属性的空格分隔列表 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsds5ReplicaStripAttrs: modifiersname modifytimestamp |
3.1.9.28. nsDS5ReplicatedAttributeList
此 allowed 属性指定 任何未 复制到使用者服务器的属性。部分复制允许在缓慢的连接间复制数据库,或减少安全消费者之间的复制,同时仍然保护敏感信息。默认情况下,所有属性都复制,并且不存在此属性。有关部分复制的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理复制"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicatedAttributeList:(objectclass=*)$ EXCLUDE accountlockout memberof |
3.1.9.29. nsDS5ReplicatedAttributeListTotal
此允许属性指定在总体更新期间 没有 复制到消费者服务器的任何属性。
部分复制仅复制指定的属性。这提高了整体网络性能。但是,在有些情况下,管理员想在增量更新期间使用小小复制来限制某些属性,但允许在更新总数更新期间复制这些属性(或者反之)。
默认情况下复制所有属性。nsDS5ReplicatedAttributeList 设置增量复制列表;如果只设置了 nsDS5ReplicatedAttributeList,则此列表也适用于总更新。
nsDS5ReplicatedAttributeListTotal 设置要从整个更新中排除的属性列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicatedAttributeListTotal: (objectclass=*) $ EXCLUDE accountlockout |
3.1.9.30. nsDS5ReplicaTimeout
这个 allowed 属性指定出站 LDAP 操作在超时和失败前等待来自远程副本的响应的秒数。如果服务器写入了 Warning: 超时错误日志文件中的等待 消息,请增加此属性的值。
检查远程机器上的访问日志,然后相应地设置 nsDS5ReplicaTimeout 属性,以优化性能,从而发现操作实际最后的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到最大 32 位整数值(21474836427) |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaTimeout: 120 |
3.1.9.31. nsDS5ReplicaTransportInfo
此属性设置用于从副本传输数据的传输类型。设置此属性后无法修改此属性。
该属性采用以下值:
-
StartTLS:连接使用StartTLS命令进行加密。 -
LDAPS:连接使用 TLS 加密。 -
LDAP:连接使用未加密的 LDAP 协议。如果没有设置nsDS5ReplicaTransportInfo属性,还会使用这个值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | StartTLS | LDAPS | LDAP |
| 默认值 | absent |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaTransportInfo: StartTLS |
3.1.9.32. nsDS5ReplicaUpdateInProgress
此只读属性说明复制更新正在进行中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS5ReplicaUpdateInProgress: true |
3.1.9.33. nsDS5ReplicaUpdateSchedule
此多值属性指定复制计划并进行修改。对此属性所做的更改将立即生效。修改此值对暂停复制并在以后恢复会很有用。例如,如果此值为 0000-0001 0, 则会造成服务器停止发送此复制协议的更新。服务器将继续存储它们,以便稍后进行重播。如果该值稍后更改为 0000-2359 0123456,这将立即恢复复制并发送所有待处理的更改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 时间表显示为 XXXX-YYYY 0123456,其中 XXXX 是起始一小时,YYYY 是完成小时,数字 0123456 是周一开始的当天。 |
| 默认值 | 0000-2359 0123456 (所有时间) |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaUpdateSchedule: 0000-2359 0123456 |
3.1.9.34. nsDS5ReplicaWaitForAsyncResults
在复制环境中,nsDS5ReplicaWaitForAsyncResults 参数设定供应商在重新发送数据前等待消费者没有就绪的时间。
请注意,如果您将 参数设置为 0, 则使用默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=ReplicationAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647) |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsDS5ReplicaWaitForAsyncResults: 100 |
3.1.9.35. nsDS50ruv
此属性存储自此复制协议消费者读取的最后副本更新向量(RUV)。它始终存在,且不得更改。
3.1.9.36. nsruvReplicaLastModified
此属性包含副本中的条目被修改的最新时间,并且更新了 changelog。
3.1.9.37. nsds5ReplicaProtocolTimeout
当停止服务器、禁用复制或移除复制协议时,当服务器负载下时,停止复制前会有一个超时时间,在服务器停止复制前等待。nsds5ReplicaProtocolTimeout 属性可用于配置此超时,其默认值为 120 秒。
有些情况下,可能会存在 2 分钟的超时时间太长,或者没有足够的时间。例如,在关闭期间结束复制会话之前,特定复制协议可能需要更长的时间。
此属性可以添加到后端的主复制配置条目中:
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=replica,cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647),以秒为单位 |
| 默认值 | 120 |
| 语法 | 整数 |
| 示例 | nsds5ReplicaProtocolTimeout: 120 |
nsds5ReplicaProtocolTimeout 属性也可以添加到复制协议中。复制协议超时会覆盖主副本配置条目中设置的超时。这允许不同的复制协议进行不同的超时。如果复制会话正在进行,新的超时时间将中止该会话并允许服务器关闭。
3.1.10. cn=syncAgreementName,cn=WindowsReplica,cn=suffixName,cn=mapping tree,cn=syncAgreementName,cn=config 下的同步属性
与同步协议相关的同步属性存储在 cn=syncAgreementName,cn=WindowsReplica,cn=suffixDN,cn=mapping tree,cn=config 下。cn=syncAgreementName 条目是 nsDSWindowsReplicationAgreement 对象的实例。对于要被服务器考虑的同步协议配置属性,该条目中必须存在此对象类(除 top 对象类外)。同步协议仅配置要与 Windows Active Directory 服务器同步的数据库。
3.1.10.1. nsds7DirectoryReplicaSubtree
正在同步的 Directory 服务器子树的后缀或 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的后缀或子修复 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7DirectoryReplicaSubtree: ou=People,dc=example,dc=com |
3.1.10.2. nsds7DirsyncCookie
这个字符串由 Active Directory DirSync 创建,并在最后一次同步时提供 Active Directory 服务器的状态。旧的 cookie 会在每次 Directory Server 更新时发送到 Active Directory;新 Cookie 随 Windows 目录数据一起返回。这意味着,只检索自上次同步后更改的条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7DirsyncCookie::khDKJFBZsjBDSCkjsdhIU74DJJVBXDhfvjmfvbhzxj |
3.1.10.3. nsds7NewWinGroupSyncEnabled
此属性设置在 Windows 同步对等器中创建的新组是否通过在 Directory 服务器上创建新组来自动同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7NewWinGroupSyncEnabled: on |
3.1.10.4. nsds7NewWinUserSyncEnabled
此属性设置在 Windows 同步对等器中创建的新条目是否通过在 Directory 服务器上创建新条目来自动同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7NewWinUserSyncEnabled: on |
3.1.10.5. nsds7WindowsDomain
此属性设置 Windows 同步 peer 所属的 Windows 域名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的域名 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7WinndowsDomain: DOMAINWORLD |
3.1.10.6. nsds7WindowsReplicaSubtree
正在同步的 Windows 子树的后缀或 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 任何有效的后缀或子修复 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsDS7WindowsReplicaSubtree: cn=Users,dc=domain,dc=com |
3.1.10.7. oneWaySync
此属性设置执行同步的方向。这可以从 Active Directory 服务器到 Directory 服务器,或者从 Directory Server 到 Active Directory 服务器。
如果此属性不存在(默认值),则同步协议是 双向 的,因此两个域中所做的更改都会同步。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | toWindows | fromWindows | null |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | oneWaySync:从 Windows 开始 |
3.1.10.8. winSyncInterval
此属性设置以秒为单位的频率,Directory 服务器轮询 Windows 同步对等点,以在 Active Directory 条目中查找更改。如果没有设置此条目,Directory 服务器会每五(5)分钟检查 Windows 服务器,即默认值为 300 秒。
如果目录搜索用时过长,则可以降低这个值,以更快地将 Active Directory 更改写入目录服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 300 |
| 语法 | 整数 |
| 示例 | winSyncInterval: 600 |
3.1.10.9. winSyncMoveAction
同步过程从根 DN 开始,开始评估条目以进行同步。条目会根据 Active Directory 中的 samAccount 和 Directory Server 中的 uid 属性关联。如果之前同步条目(基于 samAccount/uid 关系)从同步子树中删除,则同步插件会记录它被删除或移动,则同步插件会确认不再同步该条目。
同步协议的 winSyncMoveAction 属性设置如何处理这些移动条目的说明:
-
无任何操作,因此如果同步目录服务器条目存在,它会被同步到或创建范围 中的 Active Directory 条目。
如果没有同步目录服务器条目,则根本不会发生(这是默认行为)。 unsync从 Directory Server 条目中删除任何与同步相关的属性(ntUser或ntGroup),但保留目录服务器条目不变。Active Directory 和 Directory Server 条目存在于 tandem 中。重要当取消同步条目时,可能会稍后删除 Active Directory 条目,目录服务器条目将保持不变。这可能导致数据不一致的问题,特别是在 Directory Server 条目被用来稍后在 Active Directory 中重新创建条目时。
删除目录服务器侧的对应条目,无论它是否与 Active Directory 同步(这是 9.0 中的默认行为)。重要您几乎不希望删除目录服务器条目而不删除对应的 Active Directory 条目。这个选项只适用于与 Directory Server 9.0 系统兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=syncAgreementName,cn=replica,cn=suffixDN,cn=mapping tree,cn=config |
| 有效值 | none | delete | unsync |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | winSyncMoveAction: unsync |
3.1.11. cn=monitor
用于监控服务器的信息存储在 cn=monitor 下。此条目及其子项为只读;客户端无法直接修改它们。服务器会自动更新此信息。本节描述了 cn=monitor 属性。用户唯一可以设置访问控制的属性是 aci 属性。
如果 cn=config 中的 nsslapd-counters 属性设为 (默认设置),则由 Directory 服务器实例保留的所有计数器都使用 64 位整数递增,即使是在 32 位机器,或使用 32 位的 Directory Server 版本。对于 cn=monitor 条目,64 位整数会与 opsinitiated、opscompleted、entriessent 和 bytessent 计数器一起使用。
nsslapd-counters 属性对这些特定数据库和服务器计数器启用 64 位支持。使用 64 位整数的计数器不可配置,可为所有允许的计数器启用 64 位整数。
连接
此属性列出了开放连接以及相关状态以及性能相关信息和值。它们以以下格式提供:
connection: A:YYYYMMDDhhmmssZ:B:C:D:E:F:G:H:I:IP_address例如:
connection: 69:20200604081953Z:6086:6086:-:cn=proxy,ou=special_users,dc=example,dc=test:0:11:27:7448846:ip=192.0.2.1-
是连接号,这是与此连接关联的连接表中的插槽数。这是打开此连接时,在访问日志消息中以
slot=A 的形式记录的数字,通常对应于与连接关联的文件描述符。属性dTableSize显示连接表的总大小。 - YYYYMMDDhhmmsZ 是打开连接的 GeneralizedTime 表单的日期和时间。这个值提供了与 Greenwich Mean Time 相关的时间。
- b 是此连接中接收的操作数量。
- c 是已完成操作的数量。
-
如果服务器 位于从网络读取 BER 的过程,则 d 是
r,否则为空。这个值通常为空(如示例中)。 -
e 是绑定 DN。对于匿名连接,这可能会为空,或者具有
NULLDN值。 -
f 是连接最大线程状态:
1在最大线程中,0不是。 - g 是此线程达到最大线程值的次数。
- H 是尝试被线程的最大数量阻止的操作数量。
-
我是 日志中报告的连接 ID,如
conn=connection_ID。 - ip_address 是 LDAP 客户端的 IP 地址。
启动和完成的操作的 b 和 C 应该是相等的。
currentConnections
此属性显示当前打开和活动的目录服务器连接的数量。
totalConnections
此属性显示目录服务器连接总数。这个数字包括自服务器上次启动前打开和关闭的连接,除了 当前连接。
dTableSize
此属性显示 Directory 服务器连接表的大小。每个连接都与这个表中的插槽关联,通常对应于此连接所使用的文件描述符。如需更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
readWaiters
此属性显示某些请求处于待处理状态且当前没有被目录服务器中线程提供服务的连接数量。
opsInitiated
此属性显示启动的目录服务器操作数量。
opsCompleted
此属性显示所完成目录服务器操作的数量。
entriesSent
此属性显示 Directory 服务器发送的条目数。
bytesSent
此属性显示 Directory 服务器发送的字节数。
currentTime
此属性显示当前的时间,以 Greenwich Mean Time (由 General izedTime 语法 Z 表示法表示),例如 20200202131102Z)。
startTime
此属性显示 Greenwich Mean Time 提供的目录服务器开始时间,它通过 General izedTime 语法 Z 表示法表示。例如,20200202131102Z。
version
此属性显示目录服务器供应商、版本和构建号。例如,Red Hat/11.3.1 B2020.274.08。
threads
此属性显示 Directory 服务器使用的线程数量。这应该对应于 cn=config 中的 nsslapd-threadnumber。
nbackEnds
此属性显示目录服务器数据库后端的数量。
backendMonitorDN
此属性显示每个目录服务器数据库后端的 DN。有关监控数据库的更多信息,请参阅以下部分:
- 第 4.4.9 节 “database Attributes in cn=attributeName,cn=encrypted attributes,cn=database_name,cn=ldbm database,cn=plugins,cn=config”
- 第 4.4.5 节 “database Attributes in cn=database,cn=monitor,cn=ldbm database,cn=plugins,cn=config”
- 第 4.5.4 节 “database Link Attributes in cn=monitor,cn=database 实例名称,cn=chaining database,cn=plugins,cn=config”
3.1.12. cn=replication
此条目没有属性。在配置传统复制时,这些条目存储在这个 cn=replication 节点下,该节点充当占位符。
3.1.13. cn=sasl
包含 SASL 映射配置的条目存储在 cn=mapping,cn=sasl,cn=config 下。cn=sasl 条目是 nsContainer 对象类的实例。在其下的每个映射都是 nsSaslMapping 对象类的实例。
3.1.13.1. nsSaslMapBaseDNTemplate
此属性包含 SASL 身份映射中使用的搜索基本 DN 模板。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapBaseDNTemplate: ou=People,dc=example,dc=com |
3.1.13.2. nsSaslMapFilterTemplate
此属性包含 SASL 身份映射中使用的搜索过滤器模板。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapFilterTemplate: (cn=\1) |
3.1.13.3. nsSaslMapPriority
目录服务器可让您设置多个简单的身份验证和安全层(SASL)映射。如果 nsslapd-sasl-mapping-fallback 参数启用 SASL 回退,您可以设置 nsSaslMapPriority 属性来优先选择各个 SASL 映射。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 1(最高优先级)- 100(最低优先级) |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsSaslMapPriority: 100 |
3.1.13.4. nsSaslMapRegexString
此属性包含一个用于映射 SASL 身份字符串的正则表达式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=mapping_name,cn=mapping,cn=sasl,cn=config |
| 有效值 | 任何有效的正则表达式 |
| 默认值 | |
| 语法 | IA5String |
| 示例 | nsSaslMapRegexString: \(.*\) |
3.1.14. cn=SNMP
SNMP 配置属性存储在 cn=SNMP,cn=config 下。cn=SNMP 条目是 nsSNMP 对象类的实例。
3.1.14.1. nssnmpenabled
此属性设置是否启用 SNMP。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nssnmp:enabled: off |
3.1.14.2. nssnmporganization
此属性设置 Directory 服务器所属的组织。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 机构名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmporganization:Red Hat, Inc. |
3.1.14.3. nssnmplocation
此属性设置目录服务器所在的公司或组织内的位置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 位置 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmplocation: B14 |
3.1.14.4. nssnmpcontact
此属性设置负责维护目录服务器的人员的电子邮件地址。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 联系人电子邮件地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmpcontact: jerome@example.com |
3.1.14.5. nssnmpdescription
提供 Directory Server 实例的唯一描述。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 描述 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssnmpdescription: Employee directory 实例 |
3.1.14.6. nssnmpmasterhost
nssnmpmasterhost 已被弃用。在引入 net-snmp 时,此属性已弃用。属性仍然出现在 dse.ldif 中,但没有默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 机器主机名或 localhost |
| 默认值 | <blank> |
| 语法 | DirectoryString |
| 示例 | nssnmpmasterhost: localhost |
3.1.14.7. nssnmpmasterport
nssnmpmasterport 属性在引入 net-snmp 时被弃用。属性仍然出现在 dse.ldif 中,但没有默认值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=SNMP,cn=config |
| 有效值 | 操作系统依赖端口号。如需更多信息,请参阅操作系统文档。 |
| 默认值 | <blank> |
| 语法 | 整数 |
| 示例 | nssnmpmasterport: 199 |
3.1.15. SNMP 统计属性
表 3.7 “SNMP 统计属性” 包含只读属性,列出 LDAP 和 SNMP 客户端可用统计信息。除非另有说明,否则 given 属性的值是服务器接收的请求数或服务器从启动起返回的结果数。其中一些属性不被使用,或者不适用于 Directory Server,但 SNMP 客户端仍需要提供。
如果 cn=config 中的 nsslapd-counters 属性设为 (默认设置),则由 Directory 服务器实例保留的所有计数器都使用 64 位整数递增,即使是在 32 位机器,或使用 32 位的 Directory Server 版本。所有 SNMP 统计属性(如果配置了 64 位整数)都使用 64 位整数。
nsslapd-counters 属性为这些特定数据库和服务器计数器启用 64 位整数。使用 64 位整数的计数器不可配置;对于所有允许的计数器,可以启用 64 位整数。
表 3.7. SNMP 统计属性
| 属性 | 描述 |
|---|---|
| AnonymousBinds | 这显示了匿名绑定请求的数量。 |
| UnAuthBinds | 这显示了未经身份验证的(匿名)绑定的数量。 |
| SimpleAuthBinds | 这显示了 LDAP 简单绑定请求(DN 和 password)的数量。 |
| StrongAuthBinds | 这显示了所有 SASL 机制的 LDAP SASL 绑定请求的数量。 |
| BindSecurityErrors | 这显示了绑定请求中给出无效密码的次数。 |
| InOps | 这显示了服务器接收的所有请求总数。 |
| ReadOps |
未使用.这个值始终为 |
| CompareOps | 这显示了 LDAP 比较请求的数量。 |
| AddEntryOps | 这显示了 LDAP 添加请求的数量。 |
| RemoveEntryOps | 这显示了 LDAP 删除请求的数量。 |
| ModifyEntryOps | 这显示了 LDAP 修改请求的数量。 |
| ModifyRDNOps | 这显示了 LDAP 修改 RDN(modrdn)请求的数量。 |
| ListOps |
未使用.这个值始终为 |
| SearchOps | 这显示了 LDAP 搜索请求的数量。 |
| OneLevelSearchOps | 这显示了一级搜索操作的数量。 |
| WholeSubtreeSearchOps | 这显示了子树级别搜索操作的数量。 |
| 引用 | 这显示了返回的 LDAP 引用数量。 |
| 链(Chaining) |
未使用.这个值始终为 |
| SecurityErrors | 这显示了与安全相关的错误数,如无效的密码、未知或无效的身份验证方法或所需的更强大的身份验证。 |
| 错误 | 这显示了返回的错误数量。 |
| 连接 | 这显示了当前打开的连接的数量。 |
| ConnectionSeq | 这显示了打开的连接总数,包括当前打开和关闭的连接。 |
| BytesRecv | 这显示了收到的字节数。 |
| BytesSent | 这显示了发送的字节数。 |
| EntriesReturned | 这显示了作为搜索结果返回的条目数。 |
| ReferralsReturned | 这提供有关作为搜索结果引用的信息(持续参考)。 |
| MasterEntries |
未使用.这个值始终为 |
| CopyEntries |
未使用.这个值始终为 |
| CacheEntries[a] |
如果服务器只有一个数据库后端,这是在条目缓存中缓存的条目数量。如果服务器具有多个数据库后端,则默认值为 |
| CacheHits |
如果服务器只有一个数据库后端,则这是从条目缓存返回的条目数量,而不是从数据库返回的条目数以获取搜索结果。如果服务器具有多个数据库后端,则默认值为 |
| SlaveHits |
未使用.这个值始终为 |
3.1.16. cn=tasks
一些核心目录服务器任务可以通过使用 LDAP 工具编辑目录条目来启动。这些任务条目包含在 cn=tasks 中。每个任务可通过更新条目来调用,例如:
dn: cn=task_id,cn=task_type,cn=tasks,cn=config ...
在 Directory Server 8.0 之前,许多 Directory Server 任务都在 Red Hat Directory Server 中管理。这些任务已移到版本 8.0 中的 core Directory Server 配置中,并由 cn=tasks 条目下的 Directory Server 调用和管理。
在 cn=tasks 条目下管理以下任务:
- 第 3.1.16.2 节 “cn=import”
- 第 3.1.16.3 节 “cn=export”
- 第 3.1.16.4 节 “cn=backup”
- 第 3.1.16.5 节 “cn=restore”
- 第 3.1.16.6 节 “cn=index”
- 第 3.1.16.7 节 “cn=schema reload task”
- 第 3.1.16.8 节 “cn=memberof 任务”
- 第 3.1.16.9 节 “cn=fixup 链接的属性”
- 第 3.1.16.10 节 “cn=syntax validate”
- 第 3.1.16.11 节 “cn=USN tombstone cleanup 任务”
- 第 3.1.16.12 节 “cn=cleanallruv”
- 第 3.1.16.13 节 “cn=abort cleanallruv”
- 第 3.1.16.14 节 “cn=automember 重建成员资格”
- 第 3.1.16.15 节 “cn=automember 导出更新”
- 第 3.1.16.16 节 “cn=automember map 更新”
这些任务的常见属性列在 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中。
cn=tasks 条目本身没有属性,充当单个任务条目的父项和容器条目。
任务条目不是永久配置条目。只要任务运行运行或直到 ttl period 过期,它们就仅存在于配置文件中。然后,条目由服务器自动删除。
3.1.16.1. 在 cn=tasks 下为 Entries 的任务调用属性
管理 Directory 服务器实例的五个任务具有启动并确定各个操作的配置条目。这些任务条目是同一对象类 extensibleObject 的实例,具有一些常见属性,用于描述 Directory Server 任务的状态和行为。任务类型可以是导入、导出、备份、恢复、索引、架构重新加载和成员。
cn
cn 属性标识要启动的新任务操作。cn 属性值可以是任何值,只要它定义了新任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: 示例任务条目名称 |
nsTaskStatus
此属性包含有关任务状态(如累计统计或其当前输出消息)的信息。属性的整个内容可以定期更新,只要进程正在运行。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsTaskStatus: Loading entries…. |
nsTaskLog
此条目包含任务的所有日志消息,包括 warning 和 information 信息。新消息会附加到条目值的末尾,因此此属性值会增大,而不会默认清除原始内容。
成功任务操作(带有 nsTaskExitCode 为 0 )只记录在 nsTaskLog 属性中。任何表示错误的非零响应(表示错误)可能会以错误的形式记录错误,但错误消息仅在 nsTaskLog 属性中记录。因此,使用 nsTaskLog 属性中的信息来查找实际发生的错误。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsTaskLog: example… |
nsTaskExitCode
此属性包含任务的退出代码。此属性仅在任务完成后存在,只有任务完成后的任何值都有效。结果代码可以是 第 7.4 节 “LDAP 结果代码” 中列出的任意 LDAP 退出代码,但只有一个 0 值等于成功,任何其他结果代码都是错误。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0(成功)到 97[a] |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskExitCode: 0 |
[a]
0 以外的任何响应都是错误。
| |
nsTaskCurrentItem
此属性显示任务操作的子任务数量,假设任务可以被分为子任务。如果只有一个任务,则在任务运行时,nsTaskCurrentItem 为 0,任务完成后为 1。这样,属性与进度条类似。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时,该任务已完成。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskCurrentItem: 148 |
nsTaskTotalItems
此属性显示必须完成任务操作的子任务总数。当 nsTaskCurrentItem 属性的值与 nsTaskTotalItems 相同时,该任务已完成。
此属性值由服务器设置,不应 编辑。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsTaskTotalItems: 152 |
nsTaskCancel
此属性允许在进行过程中中止任务。此属性可以被用户修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsTaskCancel: true |
ttl
此属性设定任务完成或中止后任务条目的时间(以秒为单位)。设置 ttl 属性允许任务条目轮询新状态信息,而不缺少退出代码。将 ttl 属性设置为 0 表示没有缓存该条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=task_type,cn=tasks,cn=config |
| 有效值 | 0(无法缓存)到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | ttl: 120 |
3.1.16.2. cn=import
可以通过命令行导入 LDIF 文件或多个 LDIF 文件,创建一个特殊任务条目来定义任务的参数并启动该任务。任务完成后,任务条目将从 目录中删除。
cn=import 条目是导入任务操作的容器条目。cn=import 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID、cn=import、cn=tasks,cn=config )使用下列属性来定义导入任务。
cn=import 下的导入任务条目必须包含要导入的 LDIF 文件(在 nsFilename 属性中)以及要导入该文件的实例名称(在 nsInstance 属性中)。此外,它必须包含唯一 cn 来识别任务。例如:
dn: cn=example import,cn=import,cn=tasks,cn=config objectclass: extensibleObject cn: example import nsFilename: /home/files/example.ldif nsInstance: userRoot
在导入操作运行时,任务条目将包含 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中列出的所有服务器生成的任务属性。
有一些可选属性可用来优化导入操作,类似于 ldif2db 和 ldif2db.pl 脚本的选项:
-
nsIncludeSuffix,与
-s选项类似,用于指定要导入的后缀 -
nsExcludeSuffix与
-x选项类似,用于指定用于从导入中排除的后缀或子树 -
nsImportChunkSize与
-c选项类似,可以在导入和合并块过程中覆盖启动新的传递 - nsImportIndexAttrs,可设置是否导入属性索引(在脚本中选项中没有 corollary)
-
nsUniqueIdGenerator与
-g选项类似,为条目生成唯一 ID 号 -
nsUniqueIdGeneratorNamespace与
-G选项类似,为条目生成唯一、基于名称的 ID
nsFilename
nsFilename 属性包含用于导入 Directory Server 实例的 LDIF 文件的路径和文件名。要导入多个文件,请添加此属性的多个实例。例如:
nsFilename: file1.ldif nsFilename: file2.ldif
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串, 多值 |
| 示例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
此属性提供将文件导入到的数据库实例名称,如 userRoot 或 slapd-example。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | Directory 服务器实例数据库的名称(任何字符串) |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsInstance:userRoot |
nsIncludeSuffix
此属性标识从 LDIF 文件导入的特定后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN、多值值 |
| 示例 | nsIncludeSuffix: ou=body,dc=example,dc=com |
nsExcludeSuffix
此属性标识 LDIF 文件中的后缀或子树,从导入中排除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN、多值值 |
| 示例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsImportChunkSize
此属性定义要在导入操作期间具有的块数量,这会在导入时覆盖服务器检测以启动新通过并合并块。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsImportChunkSize: 10 |
nsImportIndexAttrs
此属性设置是否索引导入到数据库实例中的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsImportIndexAttrs: true |
nsUniqueIdGenerator
这将设置是否为导入的条目生成唯一 ID。默认情况下,此属性会生成基于时间的 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 无(无唯一 ID)| 空(基于时间 ID)| 确定 的命名空间 (基于名称的 ID) |
| 默认值 | empty |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUniqueIdGenerator: |
nsUniqueIdGeneratorNamespace
此属性定义如何生成基于名称的 ID;属性设置要用于生成 ID 的命名空间。当条目需要具有相同的 ID 时,此选项对于将同一 LDIF 文件导入到两个 Directory 服务器实例非常有用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=import,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUniqueIdGeneratorNamespace:示例 |
3.1.16.3. cn=export
可以通过命令行导出数据库或多个数据库,创建一个用于定义任务参数的特殊任务条目,再启动该任务。任务完成后,任务条目将从 目录中删除。
cn=export,cn=tasks,cn=config 条目是一个用于导出任务操作的容器。这些任务存储在此容器中,并命名为 cn=task_name,cn=export,cn=tasks,cn=config。
在导出操作运行时,任务条目包含 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中列出的所有服务器生成的任务属性。
您可以手动创建导出任务,或者使用 db2ldif.pl 命令。下表显示了 db2ldif.pl 命令行选项及其对应的属性:
db2ldif.pl option | task 属性 | 描述 |
|---|---|---|
|
|
| 设置导出的 LDIF 文件的路径。 |
|
|
| 如果启用,则只使用主数据库文件。 |
|
|
| 如果启用,将输出存储到多个文件中。 |
|
|
| 设置数据库名称。 |
|
|
| 可让您禁止打印序列号。 |
|
|
| 如果设置,导出将包括用于初始化副本的属性。 |
|
|
| 将后缀设置为在导出的文件中包括。 |
|
|
| 允许您不导出唯一 ID。 |
|
|
| 如果设置,则长行不会被换行。 |
|
|
| 在导出的文件中将后缀设置为 exclude。 |
nsFilename
nsFilename 属性包含将目录服务器实例数据库导出到的 LDIF 文件的路径和文件名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | case-exact 字符串, 多值 |
| 示例 | nsFilename: /home/jsmith/example.ldif |
nsInstance
此属性提供从中导出数据库的数据库实例的名称,如 userRoot 或 userRoot。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | Directory 服务器实例的名称(任何字符串) |
| 默认值 | |
| 语法 | case-exact 字符串, 多值 |
| 示例 | nsInstance:userRoot |
nsIncludeSuffix
此属性标识要导出到 LDIF 文件的特定后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN、多值值 |
| 示例 | nsIncludeSuffix: ou=body,dc=example,dc=com |
nsExcludeSuffix
此属性标识数据库中要排除自导出的 LDIF 文件中的后缀或子树。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN、多值值 |
| 示例 | nsExcludeSuffix: ou=machines,dc=example,dc=com |
nsUseOneFile
此属性设置是否将所有目录服务器实例导出到一个 LDIF 文件或单独的 LDIF 文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUseOneFile: true |
nsExportReplica
此属性标识导出的数据库是否在复制中使用。对于副本,正确的属性和设置将包含在该条目中,以自动初始化副本。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsExportReplica: true |
nsPrintKey
此属性设置是否打印条目 ID 号,因为该条目由 export 任务处理。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsPrintKey: false |
nsUseId2Entry
nsUseId2Entry 属性使用主数据库索引 id2entry 来定义导出的 LDIF 条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsUseId2Entry: true |
nsNoWrap
此属性将是否将 LDIF 文件中的长行换行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsNoWrap: false |
nsDumpUniqId
此属性设定导出条目的唯一 ID 不会被导出。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=export,cn=tasks,cn=config |
| 有效值 | true | false |
| 默认值 | true |
| 语法 | 不区分大小写的字符串 |
| 示例 | nsDumpUniqId: true |
3.1.16.4. cn=backup
可以通过命令行创建用来定义任务参数并启动该任务的特殊任务条目来备份数据库。任务完成后,任务条目将从 目录中删除。
cn=backup 条目是用于备份任务操作的容器条目。cn=backup 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID、cn=backup、cn=tasks,cn=config )使用下列属性来定义备份任务。
cn=backup 下的备份任务条目必须包含要复制归档副本(在 nsArchiveDir 属性中)以及正在备份的数据库类型(在 nsDatabaseType 属性中)的位置。此外,它必须包含唯一 cn 来识别任务。例如:
dn: cn=example backup,cn=backup,cn=tasks,cn=config objectclass: extensibleObject cn: example backup nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
在备份操作运行时,任务条目将包含 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中列出的所有服务器生成的任务属性。
nsArchiveDir
此属性提供了要将备份写入的目录的位置。
此处的备份目录通常与 nsslapd-bakdir 属性中配置的备份目录相同。
如果 cn=backup 任务中没有包括此属性,则任务将失败,并显示 LDAP 对象类违反错误(65)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有效值 | 任何本地目录位置 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsArchiveDir: /export/backups |
nsDatabaseType
此属性提供正在存档的数据库类型。设置数据库类型会指示 Directory 服务器应使用什么类型的备份插件来归档数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=backup,cn=tasks,cn=config |
| 有效值 | ldbm 数据库 |
| 默认值 | ldbm 数据库 |
| 语法 | case-exact 字符串 |
| 示例 | nsDatabaseType: ldbm database |
3.1.16.5. cn=restore
可以通过命令行恢复数据库,创建用于定义任务参数并启动该任务的特殊任务条目。任务完成后,任务条目将从 目录中删除。
cn=restore 条目是一个容器条目,用于恢复数据库的任务操作。cn=restore 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID、cn=restore、cn=tasks,cn=config )使用下列属性来定义恢复任务。
cn=restore 下的恢复任务条目必须包含目录的位置,从中检索存档副本(在 nsArchiveDir 属性中),以及正在恢复的数据库类型(在 nsDatabaseType 属性中)。此外,它必须包含唯一 cn 来识别任务。例如:
dn: cn=example restore,cn=restore,cn=tasks,cn=config objectclass: extensibleObject cn: example restore nsArchiveDir: /export/backups/ nsDatabaseType: ldbm database
在恢复操作运行时,任务条目将包含 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中列出的所有服务器生成的任务属性。
nsArchiveDir
此属性提供了要将备份写入的目录的位置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有效值 | 任何本地目录位置 |
| 默认值 | |
| 语法 | case-exact 字符串 |
| 示例 | nsArchiveDir: /export/backups |
nsDatabaseType
此属性提供正在存档的数据库类型。设置数据库类型会指示 Directory 服务器应使用什么类型的备份插件来归档数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=restore,cn=tasks,cn=config |
| 有效值 | ldbm 数据库 |
| 默认值 | ldbm 数据库 |
| 语法 | case-exact 字符串 |
| 示例 | nsDatabaseType: ldbm database |
3.1.16.6. cn=index
可通过命令行来索引目录属性:创建定义任务参数并启动该任务的特殊任务。任务完成后,任务条目将从 目录中删除。
cn=index 条目是索引任务操作的容器条目。cn=index 条目本身没有属性,但此条目中的每个任务条目(如 cn=task_ID、cn=index、cn=tasks,cn=config )使用以下属性来定义备份任务。
cn=index 下的索引任务条目可以通过标识要索引的属性以及要创建的索引类型来创建标准索引,它们都在 nsIndexAttribute 属性中定义。
另外,索引任务也可用于通过 nsIndexVLVAttribute 属性生成虚拟列表视图(VLV)索引。这与运行 vlvindex 脚本相同。
例如:
dn: cn=example presence index,cn=index,cn=tasks,cn=config objectclass: top objectclass: extensibleObject cn: example presence index nsInstance: userRoot nsIndexAttribute: cn:pres dn: cn=example VLV index,cn=index,cn=tasks,cn=config objectclass: extensibleObject cn: example VLV index nsIndexVLVAttribute: "by MCC ou=people,dc=example,dc=com"
随着索引操作运行,任务条目将包含 第 3.1.16.1 节 “在 cn=tasks 下为 Entries 的任务调用属性” 中列出的所有服务器生成的任务属性。
nsIndexAttribute
此属性提供要索引的属性名称和要应用的索引类型。属性值的格式是属性名称和以逗号分隔的索引类型列表,用双引号括起。例如:
nsIndexAttribute: attribute:index1,index2| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有效值 | * 任何属性
* 索引类型,可以是 presence(presence)、 |
| 默认值 | |
| 语法 | 不区分大小写的字符串,多值 |
| 示例 | * nsIndexAttribute: cn:pres,eq * nsIndexAttribute: description:sub |
nsIndexVLVAttribute
此属性提供 VLV 索引的目标条目名称。虚拟列表视图基于浏览索引条目(如 管理指南中所述),它定义虚拟列表基础 DN、范围和过滤器。nsIndexVLVAttribute 值是浏览索引条目,VLV 创建任务则根据浏览索引条目参数运行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=index,cn=tasks,cn=config |
| 有效值 | VLV 条目定义的子条目的 RDN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexVLVAttribute: "浏览索引排序标识符" |
3.1.16.7. cn=schema reload task
当目录实例启动或重启时,目录架构会被加载。对目录架构的任何更改(包括添加自定义模式元素)都不会自动加载并提供给实例,直到服务器重启或启动 schema reload 任务。
自定义模式更改可以动态重新加载,而无需重启 Directory 服务器实例。这可以通过在 cn=tasks 条目下创建新任务来启动 schema reload 任务。
自定义模式文件可以位于任何目录中;如果没有通过 schemadir 属性指定,服务器会从默认的 /etc/dirsrv/slapd-实例/schema 目录中重新载入 schema。
从另一个目录加载的所有 schema 必须复制到 schema 目录中,或者在服务器时丢失 schema。
schemd reload 任务通过创建一个特殊任务条目来发起 schemd reload 任务,它将定义任务的参数并启动该任务。任务完成后,任务条目将从 目录中删除。例如:
dn: cn=example schema reload,cn=schema reload task,cn=tasks,cn=config objectclass: extensibleObject cn:example schema reload schemadir: /export/schema
cn=schema reload task 条目是 schema reload 操作的容器条目。 条目本身没有属性,但此条目中的每个任务条目(如 cn=schema reload task cn=task_ID, cn=schema reload 任务 , cn=tasks ,cn=tasks,cn=config )使用 schema reload 属性来定义单个重新加载任务。
cn
cn 属性标识要启动的新任务操作。cn 属性值可以是任何值,只要它定义了新任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有效值 | 任何字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: example reload task ID |
schemadir
这包括包含自定义 schema 文件的目录的完整路径。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=schema reload task,cn=tasks,cn=config |
| 有效值 | 任何本地目录路径 |
| 默认值 | /etc/dirsrv/schema |
| 语法 | DirectoryString |
| 示例 | schemadir:/export/schema/ |
3.1.16.8. cn=memberof 任务
memberOf 属性由 Directory Server 创建和管理,以自动显示成员用户条目的组成员资格。当组条目上的 member 属性改变时,所有成员的相关目录条目都会使用对应的 memberOf 属性自动更新。
cn=memberof 任务 (以及相关的 fixup-memberof.pl 脚本)用于在目录中成员的用户条目上创建初始 memberOf 属性。创建 memberOf 属性后,自动管理 memberOf 插件属性。
memberOf 更新任务必须提供条目或子树的 DN,以便针对运行更新任务(在 basedn 属性中设置)。另外,任务可以包含一个过滤器,以标识要更新的成员用户条目(在 filter 属性中设置)。例如:
dn: cn=example memberOf,cn=memberof task,cn=tasks,cn=config objectclass: extensibleObject cn:example memberOf basedn: ou=people,dc=example,dc=com filter: (objectclass=groupofnames)
任务完成后,任务条目会从 目录中删除。
cn=memberof 任务 条目是 memberOf 更新操作的容器条目。cn=memberof 任务 条目本身没有属性,但此条目下的任务条目(如 cn=task_ID、cn=memberof 任务 , cn= tasks ,cn=tasks,cn=config )使用其属性来定义各个更新任务。
basedn
此属性提供基础 DN,用于搜索用户条目以更新 memberOf 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=memberof 任务,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | |
| 语法 | DN |
| 示例 | baseDN: ou=body,dc=example,dc=com |
filter
此属性提供了一个可选的 LDAP 过滤器,用于选择哪个用户条目来更新 memberOf 属性。组的每个成员在 目录中都有一个对应的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=memberof 任务,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | (objectclass=*) |
| 语法 | DirectoryString |
| 示例 | filter:(l=Sunnyvale) |
3.1.16.9. cn=fixup 链接的属性
目录服务器具有一个 Linked Attributes Plug-in,它允许一个属性(在一个条目中设置)来自动更新另一个条目中的另一属性。两个条目都具有值的 DN。第一个条目的 DN 值指向要更新插件的条目;第二个条目中的 属性包含到第一个条目的 DN 后台。
这与 MemberOf 插件使用组条目中的 member 属性在用户条目中设置 memberOf 属性的方式类似。通过链接的属性,任何属性都可以定义为"链接",然后在受影响的条目中被另一个属性"管理"。
cn=fixup 链接的属性 (以及相关的 fixupedattrs.pl 脚本)根据数据库中存在的链接属性创建受管属性 - 在创建了链接插件实例后。在设置了链接和受管属性后,Linked Attributes 插件会动态维护受管属性,因为用户会更改链接属性。
链接的属性更新任务可指定要更新哪些链接的属性插件实例,在可选 linkdn 属性中设置。如果任务条目上未设置此属性,则所有配置的链接属性都会更新。
dn: cn=example,cn=fixup linked attributes,cn=tasks,cn=config objectclass: extensibleObject cn:example linkdn: cn=Example Link,cn=Linked Attributes,cn=plugins,cn=config
任务完成后,任务条目会从 目录中删除。
cn=fixup 链接的属性 条目是任何链接的属性更新操作的容器条目。cn=fixup 链接的属性 条目本身没有与单个任务相关的属性,但本条目下的每个任务条目都没有相关属性,如 cn=task_ID、cn=fixup 链接的属性,cn=tasks,cn=config,使用其属性来定义单独的更新任务。
linkdn
每个链接的属性对都配置在链接的属性插件实例中。linkdn 属性设置用于更新条目的特定链接属性插件,具体方法是提供插件实例 DN。例如:
linkdn: cn=Manager Attributes,cn=Linked Attributes,cn=plugins,cn=config
如果没有提供插件实例,则会更新所有链接的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=fixup linked attributes,cn=tasks,cn=config |
| 有效值 | DN(针对 Linked Attributes 插件的实例) |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | linkdn: cn=Manager Links,cn=Linked Attributes,cn=plugins,cn=config |
3.1.16.10. cn=syntax validate
语法验证会在每次修改属性时检查,以确保新值具有该属性类型所需的语法。属性语法针对 RFC 4514 中的定义验证。
默认为启用语法验证。但是,语法验证仅审核 对属性值的更改,例如在添加或修改属性时。它不会验证 现有 属性值的语法。
可以通过语法验证任务来完成现有语法验证。此任务检查指定子树(在 basedn 属性中)下的条目,另外,只检查与指定过滤器(在 filter 属性中)匹配的条目。
dn: cn=example,cn=syntax validate,cn=tasks,cn=config objectclass: extensibleObject cn:example basedn: ou=people,dc=example,dc=com filter: "(objectclass=inetorgperson)"
任务完成后,任务条目会从 目录中删除。
如果语法验证被禁用,或者服务器已迁移,则服务器中可能存在数据符合属性语法要求。可以运行语法验证任务,以在启用语法验证前评估这些现有属性值。
cn=syntax validate 条目是任何语法验证操作的容器条目。cn=syntax verify 条目本身没有特定于任何任务的属性。此条目下的每个任务条目(如 cn=task_ID,cn= validator 验证,cn=tasks,cn=config )都使用其属性来定义单独的更新任务。
basedn
授予要运行语法验证任务的子树。例如:
basedn: ou=people,dc=example,dc=com
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | baseDN: dc=example,dc=com |
filter
包含一个可选的 LDAP 过滤器,可用于识别给定对象下针对其运行语法验证任务的特定条目。如果没有在任务上设置此属性,则对 basedn 中的每个条目进行审计。例如:
filter: "(objectclass=person)"
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=syntax validate,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | "(objectclass=*)" |
| 语法 | DirectoryString |
| 示例 | filter: "(objectclass=*)" |
3.1.16.11. cn=USN tombstone cleanup 任务
如果启用了 USN Plug-in,那么当目录写入操作(如 add 或 modify)在那个条目上时,每个条目上都会设置 序列号 (USNs)。这反映在 entryUSN 操作属性中。即使删除了条目并且 tombstone 条目由 Directory Server 实例维护,这个 USN 也会设置。
cn=USN tombstone cleanup 任务 (以及相关的 usn-tombstone-cleanup.pl 脚本)根据后端数据库(在 后端 属性中)或后缀(在 suffix 属性中)删除由实例维护的 tombstone 条目。另外,可以通过指定要删除的最大 USN(在 max_usn_to_delete 属性中)删除最多的 tombstone 条目的子集,这会保留最新的 tombstone 条目。
dn: cn=example,cn=USN tombstone cleanup task,cn=tasks,cn=config objectclass: extensibleObject cn:example backend: userroot max_usn_to_delete: 500
只有在 未启用 复制时,才能启动此任务。复制维护自己的组件存储,这些 tombstone 条目不能被 USN 插件删除,它们必须由复制过程维护。因此,Directory 服务器可防止用户运行复制数据库的清理任务。
尝试为复制后端创建此任务条目将在命令行中返回这个错误:
ldap_add: DSA is unwilling to perform
在错误日志中,因为复制后,后缀不能删除的更明确的消息。
[...] usn-plugin - Suffix dc=example,dc=com is replicated. Unwilling to perform cleaning up tombstones.
任务完成后,任务条目会从 目录中删除。
cn=USN tombstone cleanup 任务 条目是所有 USN tombstone delete 操作的容器条目。cn=USN tombstone cleanup 任务 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=task_ID, cn=USN tombstone cleanup 任务 , cn= tasks ,cn=tasks,cn=config )使用其属性来定义各个更新任务。
后端
这赋予 Directory 服务器实例后端或数据库,以便针对其运行清理操作。如果没有指定后端,则必须指定后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 数据库名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | backend: userroot |
max_usn_to_delete
这会赋予在删除 tombstone 条目时删除的最高 USN 值。最多所有 tombstone 条目,其中包含该号码会被删除。带有高于 USN 值的 tombstone 条目(这意味着不再删除更新的条目)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | max_usn_to_delete: 500 |
suffix
这为 Directory Server 中的后缀或子树提供了针对其运行清理操作的后缀或子树。如果没有指定后缀,则必须为后端提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=USN tombstone cleanup task,cn=tasks,cn=config |
| 有效值 | 任何子树 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | 后缀:dc=example,dc=com |
3.1.16.12. cn=cleanallruv
有关复制拓扑的信息 - 所有供应商都为其他所有副本提供更新,以及同一复制组中的其他副本 - 包含在一组称为 副本更新向量(RUV)的元数据中。RUV 包含供应商的信息,如其 ID 和 URL、其本地服务器上更改的最新更改状态号,以及第一个更改的 CSN。供应商和消费者存储 RUV 信息,它们都使用它来控制复制更新。
从复制拓扑中删除一个供应商时,它可能保留在另一个副本的 RUV 中。当其他副本重启时,它可以记录日志中复制插件无法识别(删除)供应商的错误。
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - ruv_compare_ruv: RUV [changelog max RUV] does not
contain element [{replica 55 ldap://server.example.com:389} 4e6a27ca000000370000 4e6a27e8000000370000]
which is present in RUV [database RUV]
......
[09/Sep/2020:09:03:43 -0600] NSMMReplicationPlugin - replica_check_for_data_reload: Warning: for replica
dc=example,dc=com there were some differences between the changelog max RUV and the database RUV. If
there are obsolete elements in the database RUV, you should remove them using the CLEANRUV task. If they
are not obsolete, you should check their status to see why there are no changes from those servers in the changelog.当供应商从拓扑中永久移除时,任何有关该供应商的元数据都应从任何其他供应商的 RUV 条目中清除。
cn=cleanallruv 任务通过复制拓扑中的所有服务器传播,并删除与指定缺失或过时的供应商关联的 RUV 条目。
任务完成后,任务条目会从 目录中删除。
cn=cleanallruv 条目是所有清理 RUV 操作的容器条目。 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=cleanallruv cn=task_ID, cn=cleanallruv , cn=tasks ,cn=tasks,cn=config )使用其属性来定义单独的更新任务。
每个清理 RUV 任务都必须指定要删除的副本 RUV 条目的副本 ID 号、复制数据库的基于 DN,以及在删除 RUV 数据前是否应该应用来自缺少的供应商中的剩余更新。
dn: cn=clean 55,cn=cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-force-cleaning: no cn: clean 55
replica-base-dn
这将提供与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-base-dn: dc=example,dc=com |
replica-id
这会赋予要从复制拓扑中删除副本配置条目的 nsDS5ReplicaId 属性中的副本 ID(定义)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | 0 到 65534 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | replica-id: 55 |
replica-force-cleaning
这将设置是否应该应用从副本中删除的任何未完成更新(无 ),或者是否应该强制进行清理的 RUV 操作并丢失所有剩余的更新(是 )。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=cleanallruv,cn=tasks,cn=config |
| 有效值 | no | yes |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-force-cleaning: no |
3.1.16.13. cn=abort cleanallruv
第 3.1.16.12 节 “cn=cleanallruv” 任务可能需要几分钟的时间来传播复制拓扑中的所有服务器,即使任务第一次处理所有更新也是如此。对于性能或其他维护注意事项,可以终止一个干净的 RUV 任务,该终止也会在复制拓扑的所有服务器中传播。
termination 任务是 cn=abort cleanallruv 条目的意义。
任务完成后,任务条目会从 目录中删除。
cn=abort cleanallruv 条目是所有清理 RUV 操作的容器条目。cn=abort cleanallruv 条目本身没有与任何单个任务相关的属性,但此条目下的每个任务条目(如 cn=task_ID,cn=abort cleanallruv,cn=tasks, cn=taskscn=config )使用其属性来定义各个任务。
每个清理 RUV 任务都必须指定 当前 要删除的 的副本 RUV 条目的副本 ID 号、基于复制数据库的 DN,以及终止任务在拓扑或本地完成的所有服务器上是否应该完成。
dn: cn=abort 55,cn=abort cleanallruv,cn=tasks,cn=config objectclass: extensibleObject replica-base-dn: dc=example,dc=com replica-id: 55 replica-certify-all: yes cn: abort 55
replica-base-dn
这将提供与复制数据库关联的目录服务器基本 DN。这是复制后缀的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica-base-dn: dc=example,dc=com |
replica-id
这会在从复制拓扑中 删除的 过程中为副本配置条目的 nsDS5ReplicaId 属性指定副本的副本 ID。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | 0 到 65534 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | replica-id: 55 |
副本认证-所有
这将设置在复制拓扑 的所有 服务器上是否应该成功完成该任务,然后再完成任务本地(是 ),还是在任务在本地完成后是否应该立即显示完成(无)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=abort cleanallruv,cn=tasks,cn=config |
| 有效值 | no | yes |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | replica- certification-all: yes |
3.1.16.14. cn=automember 重建成员资格
Auto Member 插件仅在将新条目添加到 目录时运行。该插件会忽略编辑的现有条目或条目以匹配自动成员规则。
cn=automember rebuild membership 任务 针对现有 条目运行当前的自动成员规则,以更新或重建组成员资格。所有配置的自动成员规则均针对确定的条目运行(尽管并非所有规则都适用于给定的条目)。
basedn
这使得目录服务器基础 DN 用于搜索用户条目。然后会根据自动成员规则更新指定 DN 中的条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | baseDN: dc=example,dc=com |
filter
此属性提供了一个 LDAP 过滤器,用于标识根据配置的自动成员规则更新哪些用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | filter:(uid=*) |
scope
此属性提供了搜索给定基本 DN 时要使用的 LDAP 搜索范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember rebuild membership,cn=tasks,cn=config |
| 有效值 | sub | 基础 | 一个 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | Scope: sub |
3.1.16.15. cn=automember 导出更新
此任务针对 目录中现有条目运行,并根据规则导出用户添加到哪些组中的结果。这可用于为现有用户测试现有规则,以了解您的实际部署是如何工作的。
自动成员 相关更改不会执行。提出的更改将写入指定的 LDIF 文件。
basedn
这使得目录服务器基础 DN 用于搜索用户条目。对所确定的条目运行自动关系规则的测试信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | baseDN: dc=example,dc=com |
filter
此属性提供了一个 LDAP 过滤器,用于识别要运行自动成员规则的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 任何 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | filter:(uid=*) |
scope
此属性提供了搜索给定基本 DN 时要使用的 LDAP 搜索范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | sub | 基础 | 一个 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | Scope: sub |
ldif
此属性设置 LDIF 文件的完整路径和文件名,以写入对自动成员规则的测试运行所提出的更改。此文件必须为本地启动任务的系统。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember export updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif: /tmp/automember-results.ldif |
3.1.16.16. cn=automember map 更新
此任务针对 LDIF 文件中的条目(新条目或测试条目)运行,然后将提议的更改写入到 LDIF 文件。这对测试新规则之前(真实)或现有用户条目之前测试新规则会非常有用。
自动成员 相关更改不会执行。提出的更改将写入指定的 LDIF 文件。
ldif_in
此属性设置 LDIF 文件的完整路径和文件名,以导入条目以使用配置的自动成员规则进行测试。这些条目不会被导入到 目录中,并且没有执行更改。该条目只被 test-run 加载并使用。
此文件必须为本地启动任务的系统。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif_in: /tmp/automember-test-users.ldif |
ldif_out
此属性设置 LDIF 文件的完整路径和文件名,以写入对自动成员规则的测试运行所提出的更改。此文件必须为本地启动任务的系统。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=automember map updates,cn=tasks,cn=config |
| 有效值 | 本地路径和文件名 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | ldif_out: /tmp/automember-results.ldif |
3.1.16.17. cn=des2aes
此任务将搜索指定用户数据库中的所有不可逆密码条目,该条目使用过时的 DES 密码进行编码,并将它们转换为更安全的 AES 密码。
在以前的版本中,此任务会在 Directory Server 启动时在所有后缀上自动执行。但是,由于对 DES 密码的搜索通常没有索引,所以可能需要较长时间对包含大量条目的后缀执行,从而导致 Directory 服务器超时并无法启动。因此,搜索现在仅在 cn=config 上执行,但要在任何其他数据库中转换密码,您必须手动运行此任务。
suffix
此多值属性指定一个后缀,用于检查 DES 密码并将其转换为 AES。如果省略此属性,则会检查所有后端/suffixes。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=task_name,cn=des2aes,cn=tasks,cn=config |
| 有效值 | 目录后缀 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | 后缀:dc=example,dc=com |
3.1.17. cn=uniqueid generator
唯一的 ID 生成器配置属性存储在 cn=uniqueid generator,cn=config 下。cn=uniqueid generator 条目是 extensibleObject 对象类的实例。
nsstate
此属性在服务器重启后保存唯一 ID 生成器的状态。此属性由服务器维护。不要编辑它。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=uniqueid generator,cn=config |
| 有效值 | |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsstate: AbId0c3oMIDUntiLCyYNGgAAAAAAA |
3.1.18. Root DSE 配置参数
3.1.18.1. nsslapd-return-default-opattr
目录服务器不显示 Root DSE 搜索中的操作属性。例如,如果您使用 -s base -b "" 参数运行 ldapsearch 实用程序,则只会显示用户属性。对于在 Root DSE 搜索输出中预期操作属性的客户端,您可以启用此行为以提供向后兼容性:
- 停止 Directory 服务器实例。
编辑
/etc/dirsrv/slapd-instance_name/dse.ldif文件,并将以下参数添加到dn:部分:nsslapd-return-default-opattr: supportedsaslmechanisms nsslapd-return-default-opattr: nsBackendSuffix nsslapd-return-default-opattr: subschemasubentry nsslapd-return-default-opattr: supportedldapversion nsslapd-return-default-opattr: supportedcontrol nsslapd-return-default-opattr: ref nsslapd-return-default-opattr: vendorname nsslapd-return-default-opattr: vendorVersion nsslapd-return-default-opattr: supportedextension nsslapd-return-default-opattr: namingcontexts
- 启动 Directory 服务器实例。
| 参数 | 描述 |
|---|---|
| 条目 DN | 根 DSE |
| 有效值 | supportedsaslmechanisms | nsBackendSuffix | subschemasubentry | supportedldapversion | supportedcontrol | ref | vendorname | vendorVersion |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-return-default-opattr: supportedsaslmechanisms |
3.2. 配置对象类
许多配置条目只是使用 extensibleObject 对象类,但有些配置条目需要其他对象类。这些配置对象类列在此处列出。
3.2.1. changeLogEntry(Object Class)
此对象类用于存储对 Directory 服务器条目所做的更改的条目。
要将 Directory Server 配置为维护与 Directory Server 4.1x 中实施的更改日志兼容,请启用 Retro Changelog 插件。changelog 中的每个条目都有 changeLogEntry 对象类。
这个对象类在 Changelog Internet Draft 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.1
表 3.8. 所需属性
| objectClass | 定义条目的对象类。 |
| 包含为 changelog 分配的数字。 | |
| 更改发生的时间。 | |
| 对条目上执行的更改类型。 | |
| 在供应商服务器上添加、修改或删除的条目的可分辨名称。 |
表 3.9. 允许的属性
| 对 Directory 服务器所做的更改。 | |
| 定义条目的旧 Relative Distinguished Name(RDN)的标志应保留为条目的可分辨属性,还是应该被删除。 | |
| 其条目的新 RDN 是 modRDN 或 modDN 操作的目标。 | |
| 处理 modDN 操作时现有条目的输入名称。 |
3.2.2. DirectoryServerFeature(Object Class)
此对象类专门用于识别目录服务功能的条目。此对象类由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.40
表 3.10. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
表 3.11. 允许的属性
| 属性 | 定义 |
|---|---|
| cn | 指定条目的通用名称。 |
| multiLineDescription | 给出条目的文本描述。 |
| oid | 指定功能的 OID。 |
3.2.3. nsBackendInstance(对象类)
此对象类用于 Directory 服务器后端或数据库、实例条目。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.109
表 3.12. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 给出条目的通用名称。 |
3.2.4. nsChangelog4Config(Object Class)
要让 Directory Server 11.3 在 Directory Server 4.x 服务器之间复制,目录服务器 11.3 实例必须配置特殊的更改日志。此对象类定义重新简介更改日志的配置。
这个对象类是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.82
表 3.13. 允许的属性
| 属性 | 定义 |
|---|---|
| cn(通用名称) | 给出条目的通用名称。 |
3.2.5. nsDS5Replica(Object Class)
此对象类用于在数据库复制中定义副本的条目。其中许多属性在后端内设置,且无法修改。
有关此对象类的属性信息,请参考 Directory 服务器配置、命令和文件参考章节 2 中的核心配置属性。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.108
表 3.14. 所需属性
| objectClass | 定义条目的对象类。 |
| nsDS5ReplicaId | 指定复制环境中供应商的唯一 ID。 |
| nsDS5ReplicaRoot | 指定复制区域根目录下的后缀 DN。 |
表 3.15. 允许的属性
| cn | 给出副本的名称。 |
| nsDS5Flags | 指定之前在标志中设置的信息。 |
| nsDS5ReplicaAutoReferral | 设定服务器是否将遵循目录服务器数据库的引用。 |
| nsDS5ReplicaBindDN | 指定供应商服务器绑定到消费者时使用的 DN。 |
| nsDS5ReplicaChangeCount | 指定 changelog 中的条目总数以及是否被复制。 |
| nsDS5ReplicaLegacyConsumer | 指定副本是否是传统使用者。 |
| nsDS5ReplicaName | 指定内部操作的副本的唯一 ID。 |
| nsDS5ReplicaPurgeDelay | 指定 changelog 清除前的时间(以秒为单位)。 |
| nsDS5ReplicaReferral | 指定用户定义的引用的 URL。 |
| nsDS5ReplicaReleaseTimeout | 指定供应商将发行副本的超时,无论其是否完成发送其更新。 |
| nsDS5ReplicaTombstonePurgeInterval | 指定清除操作周期之间的时间间隔(以秒为单位)。 |
| nsDS5ReplicaType | 定义副本的类型,如只读消费者。 |
| nsDS5Task | 启动复制任务,如将数据库内容转储到 LDIF;这由目录服务器供应商在内部使用。 |
| nsState | 将信息保存在时钟上,以便生成正确的更改序列号。 |
3.2.6. nsDS5ReplicationAgreement(对象类)
nsDS5ReplicationAgreement 对象类的条目存储复制协议中设置的信息。有关此对象类的属性信息,请参考 目录服务器配置、命令和文件参考 章节 2。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.103
表 3.16. 所需属性
| objectClass | 定义条目的对象类。 |
| cn | 用于命名复制协议。 |
表 3.17. 允许的属性
| description | 包含复制协议的免费文本描述。 |
| nsDS5BeginReplicaRefresh | 手动初始化副本。 |
| nsds5debugreplicatimeout | 提供一个替代的超时时间,可在复制时使用调试日志。 |
| nsDS5ReplicaBindDN | 指定供应商服务器绑定到消费者时使用的 DN。 |
| nsDS5ReplicaBindMethod | 指定用于绑定的方法(SSL 或简单身份验证)。 |
| nsDS5ReplicaBusyWaitTime | 指定供应商在消费者发送忙碌响应后应等待的时间(以秒为单位),然后再进行另一个尝试获取访问权限。 |
| nsDS5ReplicaChangesSentSinceStartup | 在服务器启动时发送到此副本的更改数量。 |
| nsDS5ReplicaCredentials | 指定绑定 DN 的密码。 |
| nsDS5ReplicaHost | 指定使用者副本的主机名。 |
| nsDS5ReplicaLastInitEnd | 当使用者副本初始化终止时,状态为。 |
| nsDS5ReplicaLastInitStart | 在初始化消费者副本启动时的状态。 |
| nsDS5ReplicaLastInitStatus | 消费者初始化的状态。 |
| nsDS5ReplicaLastUpdateEnd | 显示最近一次复制调度更新的时间。 |
| nsDS5ReplicaLastUpdateStart | 显示最近一次复制计划更新后的状态。 |
| nsDS5ReplicaLastUpdateStatus | 提供最新复制调度更新的状态。 |
| nsDS5ReplicaPort | 指定远程副本的端口号。 |
| nsDS5ReplicaRoot | 指定复制区域根目录下的后缀 DN。 |
| nsDS5ReplicaSessionPauseTime | 指定供应商在更新会话之间应等待的时间(以秒为单位)。 |
| nsDS5ReplicatedAttributeList | 指定任何不会复制到消费者服务器的属性。 |
| nsDS5ReplicaTimeout | 指定在超时和失败前,出站 LDAP 操作将等待来自远程副本的响应的秒数。 |
| nsDS5ReplicaTransportInfo | 指定用于从副本传输数据的传输类型。 |
| nsDS5ReplicaUpdateInProgress | 说明复制调度更新正在进行中。 |
| nsDS5ReplicaUpdateSchedule | 指定复制计划。 |
| nsDS50ruv | 使用复制更新向量管理副本的内部状态。 |
| nsruvReplicaLastModified | 包含修改副本中的条目的最新时间,并更新更改日志。 |
| nsds5ReplicaStripAttrs |
在部分复制时,对排除属性的更新仍然会触发复制事件,但该事件为空。此属性设置属性用于从复制更新中剥离。这可防止对属性的更改,如 |
3.2.7. nsDSWindowsReplicationAgreement(对象类)
存储与同步协议相关的同步属性。有关此对象类的属性信息,请参考 Red Hat Directory Server 配置、命令和文件参考 章节 2。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.503
表 3.18. 所需属性
| objectClass | 定义条目的对象类。 |
| cn | 给出同步协议的名称。 |
表 3.19. 允许的属性
| description | 包含同步协议的文本描述。 |
| nsDS5BeginReplicaRefresh | 启动手动同步。 |
| nsds5debugreplicatimeout | 提供一个替代的超时时间,以便在使用 debug 日志记录运行时使用同步。 |
| nsDS5ReplicaBindDN | 指定在 Directory 服务器绑定到 Windows 服务器时要使用的 DN。 |
| nsDS5ReplicaBindMethod | 指定用于绑定的方法(SSL 或简单身份验证)。 |
| nsDS5ReplicaBusyWaitTime | 指定在 Windows 服务器发送忙碌响应后,Directory 服务器应等待的时间(以秒为单位),然后进行另一个尝试获取访问权限。 |
| nsDS5ReplicaChangesSentSinceStartup | 显示自 Directory 服务器启动以来所发送的更改数量。 |
| nsDS5ReplicaCredentials | 指定绑定 DN 的凭证。 |
| nsDS5ReplicaHost | 指定正在同步的 Windows 服务器的 Windows 域控制器的主机名。 |
| nsDS5ReplicaLastInitEnd | 状态 Windows 服务器的最后总更新(重新同步)。 |
| nsDS5ReplicaLastInitStart | 状态 Windows 服务器最后一次更新(重新同步)更新的时间。 |
| nsDS5ReplicaLastInitStatus | Windows 服务器总更新(重新同步)的状态。 |
| nsDS5ReplicaLastUpdateEnd | 最新更新结束的时间。 |
| nsDS5ReplicaLastUpdateStart | 显示在最新更新启动时。 |
| nsDS5ReplicaLastUpdateStatus | 提供最新更新的状态。 |
| nsDS5ReplicaPort | 指定 Windows 服务器的端口号。 |
| nsDS5ReplicaRoot | 指定目录服务器的根后缀 DN。 |
| nsDS5ReplicaSessionPauseTime | 指定 Directory 服务器在更新会话之间应等待的时间(以秒为单位)。 |
| nsDS5ReplicaTimeout | 指定在超时和失败前,出站 LDAP 操作将等待来自 Windows 服务器的响应的秒数。 |
| nsDS5ReplicaTransportInfo | 指定用于从 Windows 服务器传输数据的传输类型。 |
| nsDS5ReplicaUpdateInProgress | 说明更新是否在进行中。 |
| nsDS5ReplicaUpdateSchedule | 指定同步计划。 |
| nsDS50ruv | 使用复制向量(RUV)管理目录服务器同步对等器的内部状态。 |
| nsds7DirectoryReplicaSubtree | 指定同步的目录服务器后缀(root 或 sub)。 |
| nsds7DirsyncCookie | 包含由作为 RUV 的同步服务设置的 Cookie。 |
| nsds7NewWinGroupSyncEnabled | 指定是否在目录服务器上自动创建新的 Windows 组帐户。 |
| nsds7NewWinUserSyncEnabled | 指定是否在目录服务器上自动创建新的 Windows 用户帐户。 |
| nsds7WindowsDomain |
标识要同步的 Windows 域,类似于复制协议中的 |
| nsds7WindowsReplicaSubtree | 指定同步的 Windows 服务器后缀(root 或 sub)。 |
| nsruvReplicaLastModified | 包含更改了 Directory Server sync peer 中条目的最新时间,并更新 changelog。 |
| winSyncInterval |
设定 Directory 服务器轮询 Windows 服务器进行写操作的频率(以秒为单位)。如果没有设置,则默认为 |
| winSyncMoveAction | 设置同步插件如何处理同步子树之外的 Active Directory 中发现的对应条目。同步过程可以忽略这些条目(无,默认),也可以假定条目被有意移动,以便将其从同步中删除,然后删除对应的 Directory Server 条目(删除)或删除同步属性,并且不再同步条目(unsync)。 |
3.2.8. nsEncryptionConfig
nsEncryptionConfig 对象类存储允许加密选项的配置信息,如协议和密码套件。这在管理服务中定义。
卓越的类
top
OID
nsEncryptionConfig-oid
表 3.20. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn (commonName) | 指定该设备的通用名称。 |
表 3.21. 允许的属性
| 属性 | 定义 |
|---|---|
| nsSSL3SessionTimeout | 为 SSLv3 密码会话设置超时周期。 |
| nsSSLClientAuth | 设置服务器如何处理客户端验证。有三个可能的值: allow、disallow 或 require。 |
| nsSSLSessionTimeout | 为密码会话设置超时周期。 |
| nsSSLSupportedCiphers | 包含可与服务器安全连接一起使用的所有密码的列表。 |
| nsTLS1 | 设定是否为服务器启用 TLS 版本 1。 |
3.2.9. nsEncryptionModule
nsEncryptionModule 对象类存储加密模块信息。这在管理服务中定义。
卓越的类
top
OID
nsEncryptionModule-oid
表 3.22. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn (commonName) | 指定该设备的通用名称。 |
表 3.23. 允许的属性
| 属性 | 定义 |
|---|---|
| nsSSLActivation | 设置是否启用密码系列。 |
| nsSSLPersonalitySSL | 包含服务器用于 SSL 的证书的名称。 |
| nsSSLToken | 标识服务器所使用的安全令牌。 |
3.2.10. nsMappingTree(Object Class)
映射树将后缀映射到后端。每个映射树条目都使用 nsMappingTree 对象类。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.110
表 3.24. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
| cn | 给出条目的通用名称。 |
3.2.11. nsSaslMapping(Object Class)
此对象类用于包含身份映射配置的条目,用于将 SASL 属性映射到 Directory 服务器属性。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.317
表 3.25. 所需属性
| objectClass | 定义条目的对象类。 |
| cn | 给出 SASL 映射条目的名称。 |
| 包含搜索基本 DN 模板。 | |
| 包含搜索过滤器模板。 | |
| 包含匹配 SASL 身份字符串的正则表达式。 |
3.2.12. nsslapdConfig(Object Class)
nsslapdConfig 对象类为 Directory Server 实例定义配置对象 cn=config。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.39
表 3.26. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
表 3.27. 允许的属性
| 属性 | 定义 |
|---|---|
| cn | 给出条目的通用名称。 |
3.2.13. passwordPolicy(对象类)
本地密码策略和全局密码策略均使用 passwordPolicy 对象类。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.13
表 3.28. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
表 3.29. 允许的属性
| 属性 | 定义 |
|---|---|
| 设置用户密码过期的秒数。 | |
|
标识用户密码在 | |
| 设置密码中必须要使用的最少字符数。 | |
| 设置目录存储在历史记录中的密码数量。 | |
| 标识用户是否允许更改自己的密码。 | |
| 设定警告消息发送到密码即将过期的用户前的秒数。 | |
| 在给定绑定尝试次数的失败后,标识用户是否被锁定的目录。 | |
| 设置失败的绑定尝试数量,之后用户将从该目录锁定。 | |
| 标识用户是否已锁定,直到管理员重置密码,还是用户在给定锁定期间后重新登录。默认值是允许用户在锁定期间后重新登录。 | |
| 设定用户从该目录锁定的时间(以秒为单位)。 | |
| 标识密码语法是否由服务器检查,然后保存密码。 | |
| 当他们第一次登录到目录或由 Directory Manager 重置密码后,确定是否更改密码。 | |
| 第 3.1.1.213 节 “passwordStorageScheme(Password Storage Scheme)” | 设置用于存储 Directory 服务器密码的加密类型。 |
| 设定用户更改密码前必须经过的秒数。 | |
| 第 3.1.1.210 节 “passwordResetFailureCount(Reset Password Failure Count)” | 设定密码失败计数器将重置的时间(以秒为单位)。每次从用户帐户发送无效密码时,密码失败计数器都会递增。 |
| 设置在用户密码过期时允许的宽限期数量。 | |
| 设置最小数字字符数(0 到 9),必须在密码中使用)。 | |
| 设置必须在密码中使用的最少字母字符数。 | |
| 设置大写字母字符(A 到 Z)的最少数量,该字符必须在密码中使用。 | |
| 设置小写字母字符(a 到 z)的最小小写字母字符数,该数字必须在密码中使用。 | |
|
设置特殊的 ASCII 字符的最小数量,如 | |
| 设置密码中使用的最小 8 位 chracters。 | |
| 设置一行中可以使用相同的字符的最大次数。 | |
| 设置必须在密码中使用的最小类别数。 | |
| 设置用于检查有问题的单词的长度。 | |
| 设定临时密码有效时的延迟。 | |
| 设置临时密码有效的秒数。 | |
| 第 3.1.1.216 节 “passwordTPRMaxUse”设定可以使用临时密码的最大尝试数 |
3.3. Root DSE 属性
本节中的属性用于为服务器实例定义根目录服务器条目(DSE)。DSE 中定义的信息与服务器实例的实际配置相关,如服务器软件版本所支持的控制、机制或功能。它还包含特定于实例的信息,如构建号和安装日期等。
DSE 在正常的 DIT 之外是一个特殊条目,可以通过搜索 null search base 来返回。例如:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x -s base -b "" "objectclass=*"
3.3.1. dataversion
此属性包含一个时间戳,显示目录中任何数据的最新编辑时间。
dataversion: 020090923175302020090923175302
| OID | |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
3.3.2. defaultNamingContext
对应于命名上下文,不包含所有配置的命名上下文,客户端默认使用该上下文。
| OID | |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
3.3.3. lastusn
USN Plug-in 每次写入操作时为每个条目分配一个序列号,为该条目执行添加、修改、删除和 modrdn。在该条目的 entryUSN 操作属性中分配 USN。
USN 插件有两种模式:本地和远程。
在本地模式中,为服务器实例维护的每个数据库都有自己的 USN 插件实例,每个后端数据库具有单独的 USN 计数器。为数据库中任何条目分配的最近 USN 显示在 lastusn 属性中。当 USN Plug-in 设置为本地模式时,lastUSN 属性显示分配 USN 和 USN 的数据库:
lastusn;database_name:USN
例如:
lastusn;example1: 213 lastusn;example2: 207
在全局模式中,当数据库使用共享 USN 计数器时,lastUSN 值会显示任何数据库分配的最新 USN:
lastusn: 420
此属性不计算内部服务器操作。仅后端数据库中的普通写操作 - 添加、修改、删除和修改 - 递增 USN 计数。
| 语法 | 整数 |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.3.4. namingContexts
对应于服务器控制或影子服务器的命名上下文。当 Directory 服务器无法控制任何信息时(比如它是公共 X.500 目录的 LDAP 网关时,这个属性将不存在。当 Directory 服务器认为它包含整个目录时,属性具有单个值,并且该值是空字符串(表示 root 的 null DN)。此属性允许客户端联系服务器以选择适当的基础对象来搜索。
| OID | 1.3.6.1.4.1.1466.101.120.5 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.5. netscapemdsuffix
此属性包含服务器中维护的机器数据的目录树的顶后缀的 DN。DN 本身指向 LDAP URL。例如:
cn=ldap://dc=server_name,dc=example,dc=com:389| OID | 2.16.840.1.113730.3.1.212 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
3.3.6. supportedControl
此属性的值是对象标识符(OID),用于标识服务器支持的控制。当服务器不支持控制时,没有此属性。
| OID | 1.3.6.1.4.1.1466.101.120.13 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.7. supportedExtension
此属性的值是对象标识符(OID),用于标识服务器支持的扩展操作。当服务器不支持扩展操作时,这个属性将不存在。
| OID | 1.3.6.1.4.1.1466.101.120.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.8. supportedFeatures
此属性包含当前版本的 Red Hat Directory Server 支持的功能。
| OID | 1.3.6.1.4.1.4203.1.3.5 |
| 语法 | OID |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.9. supportedLDAPVersion
此属性标识由服务器实施的 LDAP 协议的版本。
| OID | 1.3.6.1.4.1.1466.101.120.15 |
| 语法 | 整数 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.10. supportedSASLMechanisms
此属性标识服务器支持的 SASL 机制的名称。当服务器不支持 SASL 属性时,此属性将不存在。
| OID | 1.3.6.1.4.1.1466.101.120.14 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
3.3.11. vendorName
此属性包含服务器厂商的名称。
| OID | 1.3.6.1.1.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
3.3.12. vendorVersion
此属性显示服务器的版本号。
| OID | 1.3.6.1.1.5 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
3.4. 旧属性
属性是 Directory Server 4.x 和更早版本的标准。出于兼容性,这仍然包含在架构中,但不适用于当前版本的目录服务器。
3.4.1. 旧服务器属性
这些属性最初用于配置目录服务器 4.x 和较旧服务器的服务器实例条目。
3.4.1.1. ldapserver(对象类)
此对象类标识 LDAP 服务器信息。它由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.35
表 3.30. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
| cn | 指定条目的通用名称。 |
表 3.31. 允许的属性
| 属性 | 定义 |
|---|---|
| description | 给出条目的文本描述。 |
| l (localityName) | 指定条目的城市或地理位置。 |
| ou (organizationalUnitName) | 提供帐户所属组织单元或部门。 |
| seeAlso | 包含指向另一个条目或包含相关信息的站点的 URL。 |
| 生成 | 存储服务器生成字符串。 |
| changeLogMaximumAge | 指定更改日志最长期限。 |
| changeLogMaximumSize | 指定最大 changelog 大小。 |
3.4.1.2. changeLogMaximumAge
这将设置服务器维护的 changelog 的最长期限。
| OID | 2.16.840.1.113730.3.1.200 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.4.1.3. changeLogMaximumConcurrentWrites
此属性设置可写入 changelog 的最大并发写入数。
| OID | 2.16.840.1.113730.3.1.205 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.4.1.4. changeLogMaximumSize
此属性设置 changelog 的最大大小。
| OID | 2.16.840.1.113730.3.1.201 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.4.1.5. 生成
此属性包含一个字节向量,它唯一标识该特定服务器和版本。这个数字会区分复制期间的服务器。
| OID | 2.16.840.1.113730.3.1.612 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.4.1.6. nsSynchUniqueAttribute
此属性用于 Windows 同步。
| OID | 2.16.840.1.113730.3.1.407 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
3.4.1.7. nsSynchUserIDFormat
此属性用于 Windows 同步。
| OID | 2.16.840.1.113730.3.1.406 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
第 4 章 插件实现的服务器功能参考
本章包含有关 Red Hat Directory Server 插件的参考信息。
Directory Server 插件功能的每个部分的配置都有自己的单独的条目,以及子树 cn=plugins,cn=config 下的属性集合。
dn: cn=Telephone Syntax,cn=plugins,cn=config objectclass: top objectclass: nsSlapdPlugin objectclass: extensibleObject cn: Telephone Syntax nsslapd-pluginPath: libsyntax-plugin nsslapd-pluginInitfunc: tel_init nsslapd-pluginType: syntax nsslapd-pluginEnabled: on
其中一些属性对所有插件常见,另一些属性可能特定于特定的插件。通过在 cn=config 子树中执行 ldapsearch,检查给定插件目前正在使用哪些属性。
所有插件都是 nsSlapdPlugin 对象类的实例,后者又继承自 extensibleObject 对象类。对于服务器要考虑的插件配置属性,其两个对象类(除 top 对象类外)都必须存在于该条目中,如下例所示:
dn:cn=ACL Plugin,cn=plugins,cn=config objectclass:top objectclass:nsSlapdPlugin objectclass:extensibleObject
4.1. 服务器插件功能参考
下表快速概述由 Directory 服务器提供的插件,以及它们的可配置参数、默认设置、依赖项、常规与性能相关的信息,以及进一步读取。这些表有助于权衡插件性能提高和成本,并为部署选择最佳的设置。Further Information 部分跨引用进一步阅读,在此位置可用。
4.1.1. 7 位检查插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NS7bitAtt |
| 配置条目的 DN | cn=7-bit check,cn=plugins,cn=config |
| 描述 | 检查某些属性是 7 位清理 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
|
属性列表( | 依赖项 |
| 数据库 | 性能相关信息 |
| 无 | 更多信息 |
4.1.2. ACL 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL Plugin,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | accesscontrol |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
| 访问控制达到最小的性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 | 更多信息 |
4.1.3. ACL 之前插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acl |
| 配置条目的 DN | cn=ACL preoperation,cn=plugins,cn=config |
| 描述 | ACL 访问检查插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
| 访问控制达到最小的性能命中。保留此插件启用,因为它是服务器的访问控制的主要方法。 | 更多信息 |
4.1.4. 帐户策略插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Account Policy Plugin,cn=plugins,cn=config |
| 描述 | 定义在特定过期期或非活动期限后锁定用户帐户的策略。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 指向包含全局帐户策略设置的配置条目的指针。 | 依赖项 |
| 数据库 | 性能相关信息 |
| 无 | 更多信息 |
4.1.5. 帐户要求插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | acctusability |
| 配置条目的 DN | cn=Account Usability Plugin,cn=plugins,cn=config |
| 描述 | 检查帐户的身份验证状态或可用性,而不实际以给定用户身份进行身份验证 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 依赖项 |
| 数据库 | 性能相关信息 |
4.1.6. AD DN Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | addn |
| 配置条目的 DN | cn=addn,cn=plugins,cn=config |
| 描述 |
为绑定操作启用 Active Directory 格式的用户名,如 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
| 依赖项 |
| 无 | 性能相关信息 |
4.1.7. 属性唯一插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | NSUniqueAttr |
| 配置条目的 DN | cn=Attribute Uniqueness,cn=plugins,cn=config |
| 描述 | 检查每次对条目发生修改时,指定属性的值是否是唯一的。例如,大多数站点要求用户 ID 和电子邮件地址唯一。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
要在所有列出的子树中检查 UID 属性的唯一性,请输入 | 依赖项 |
| 数据库 | 性能相关信息 |
| 目录服务器默认提供 UID 唯一插件。为确保其他属性的唯一值,为这些属性创建属性的唯一插件实例。有关属性插件的更多信息,请参阅 Red Hat Directory Server 管理指南中的" 使用属性插件"部分。 UID 唯一插件默认是 off,因为操作限制需要在多层次复制环境中启用插件前得到解决。启用插件可能会减慢 Directory Server 性能的速度。 | 更多信息 |
4.1.8. 自动成员资格插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | auto Membership |
| 配置条目的 DN | cn=Auto Membership,cn=plugins,cn=config |
| 描述 | 用于自动成员定义的容器条目。自动成员定义搜索新条目,如果它们匹配定义的 LDAP 搜索过滤器和正则表达式条件,则会自动将条目添加到指定组。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 不是主插件条目。定义条目必须指定 LDAP 范围、LDAP 过滤器、默认组和 member 属性格式。可选的正则表达式子条目可以指定 inclusive 和 exclusive 表达式和一个不同的目标组。 | 依赖项 |
| 数据库 | 性能相关信息 |
| 无。 | 更多信息 |
4.1.9. 二进制语法插件
二进制文件语法已弃用。改为使用 10 月字符串语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | bin-syntax |
| 配置条目的 DN | cn=Binary syntax,cn=plugins,cn=config |
| 描述 | 处理二进制数据的语法。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.10. 位字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | bitstring-syntax |
| 配置条目的 DN | cn=Bit String syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的位字符串语法值和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.11. bitwise Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 位范围 |
| 配置条目的 DN | cn=Bitwise Plugin,cn=plugins,cn=config |
| 描述 | 针对 LDAP 服务器执行位操作的匹配规则 |
| 类型 | 匹配rule |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.12. 布尔值语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | boolean-syntax |
| 配置条目的 DN | cn=Boolean syntax,cn=plugins,cn=config |
| 描述 | 支持布尔值(TRUE 或 FALSE)以及 RFC 4517 中的相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.13. case Exact String Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ces-syntax |
| 配置条目的 DN | cn=Case Exact String syntax,cn=plugins,cn=config |
| 描述 | 支持区分大小写的匹配或目录字符串、IA5 String 和相关的语法。这不是区分大小写的语法;此插件为不同的字符串语法提供了区分大小写的匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.14. case Ignore 字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | directorystring-syntax |
| 配置条目的 DN | cn=Case Ignore String syntax,cn=plugins,cn=config |
| 描述 | 支持目录字符串、IA5 String 和相关语法的不区分大小写匹配规则。这不是不区分大小写的语法;此插件为不同的字符串语法提供了区分大小写的匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.15. 串联数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链数据库 |
| 配置条目的 DN | cn=Chaining database,cn=plugins,cn=config |
| 描述 | 启用后端数据库链接 |
| 类型 | 数据库 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 与串联数据库相关的许多与性能相关的调整参数。请参阅 Red Hat Directory Server Administration Guide 中的"Maintaining Database Links"一节。 | 更多信息 |
4.1.16. 服务插件类
| 插件参数 | 描述 |
|---|---|
| 插件 ID | cos |
| 配置条目的 DN | cn=Class of Service,cn=plugins,cn=config |
| 描述 | 允许在条目间共享属性 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * type: Database * named: State Change Plug-in * named: Views Plug-in | 性能相关信息 |
| 不要修改此插件的配置。让这个插件始终保持运行。 | 更多信息 |
4.1.17. 内容同步插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | content-sync-plugin |
| 配置条目的 DN | cn=Content Synchronization,cn=plugins,cn=config |
| 描述 |
根据 RFC 4533,在目录服务器中启用对 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| Retro Changelog 插件 | 性能相关信息 |
|
如果您知道哪个后端或子树客户端对同步数据的访问权限,请相应地限制 | 更多信息 |
4.1.18. 国家/地区语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | countrystring-syntax |
| 配置条目的 DN | cn=Country String syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的国家命名语法值和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.19. 交付方法语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | delivery-syntax |
| 配置条目的 DN | cn=Delivery Method syntax,cn=plugins,cn=config |
| 描述 | 支持作为来自 RFC 4517 的首选提供方法和相关匹配规则的值。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.20. deref 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | dereference |
| 配置条目的 DN | cn=deref,cn=plugins,cn=config |
| 描述 | 在目录搜索中解引用控制 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.21. 区分名称语法
| 插件参数 | 描述 |
|---|---|
| 插件 ID | dn-syntax |
| 配置条目的 DN | cn=Distinguished Name syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的 DN 值语法和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.22. 分布式 Numeric Assignment 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 分布式 Numeric 分配 |
| Configuration Entry DN | cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 描述 | 分布式 Numeric Assignment 插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 依赖项 | |
| 数据库 | 性能相关信息 |
| 无 | 更多信息 |
4.1.23. 增强的指南语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 增强的guide-syntax |
| 配置条目的 DN | cn=Enhanced Guide syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则,用于创建基于属性和过滤器的复杂标准;通过 RFC 4517 构建搜索。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.24. Facimile Telephone Number 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | facsimile-syntax |
| 配置条目的 DN | cn=Facsimile Telephone Number syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则以获取传真号码;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.25. kdesdk 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | fax-syntax |
| 配置条目的 DN | cn=Fax syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则来存储传真对象的镜像;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.26. 常规时间语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | time-syntax |
| 配置条目的 DN | cn=Generalized Time syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则来处理日期、时间和时区;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.27. 指南语法插件
这个语法已弃用。改为使用增强指南语法。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | Guide-语法 |
| 配置条目的 DN | cn=Guide syntax,cn=plugins,cn=config |
| 描述 | 创建基于属性和过滤器的复杂条件的语法,以构建搜索 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.28. HTTP 客户端插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | http-client |
| 配置条目的 DN | cn=HTTP Client,cn=plugins,cn=config |
| 描述 | HTTP 客户端插件 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
| 更多信息 |
4.1.29. 整数语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | int-syntax |
| 配置条目的 DN | cn=Integer syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的整数语法和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.30. 国际化插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 排序规则 |
| 配置条目的 DN | cn=Internationalization Plugin,cn=plugins,cn=config |
| 描述 | 启用国际化的字符串在目录中 |
| 类型 | 匹配rule |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
|
国际化插件具有一个参数,它不能被修改,它指定了 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.31. JPEG 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | jpeg-syntax |
| 配置条目的 DN | cn=JPEG Syntax,cn=plugins,cn=config |
| 描述 | 支持 JPEG 镜像数据的语法和相关匹配规则; RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.32. ldbm 数据库插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | ldbm-backend |
| 配置条目的 DN | cn=ldbm database,cn=plugins,cn=config |
| 描述 | 实现本地数据库 |
| 类型 | 数据库 |
| 可配置选项 | |
| 默认设置 | on |
| 可配置参数 | 无 |
| 依赖项 | * 语法 * matchingRule |
| 性能相关信息 | 有关数据库配置的详情,请查看 第 4.4 节 “数据库插件属性”。 |
| 更多信息 | 请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。 |
4.1.33. 链接的属性插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 链接的属性 |
| 配置条目的 DN | cn=Linked Attributes,cn=plugins,cn=config |
| 描述 |
link-managed 属性配置条目的容器条目。容器下的每个配置条目将一属性链接到另一个属性,因此当更新一个条目(如管理器条目)时,与该条目关联的任何条目(如自定义 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 不是主插件条目。每个插件实例都有三个可能的属性: * linkType,用于设置要监控的插件的主属性 * managedType,设置在 linkType 中的属性修改时由插件动态管理的属性 * linkScope,将插件活动限制为目录树中的特定子树 | 依赖项 |
| 数据库 | 性能相关信息 |
| linkType 中设置的任何属性都必须只允许 DN 格式的值。managedType 中设置的任何属性都必须是多值。 | 更多信息 |
4.1.34. 受管条目插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | 受管条目 |
| Configuration Entry DN | cn=Managed Entries,cn=plugins,cn=config |
| 描述 | 自动生成的目录条目的容器条目。每个配置条目都定义一个目标子树和模板条目。创建目标子树中的匹配条目时,插件会根据模板自动创建一个新的相关条目。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 不是主插件条目。每个插件实例都有 4 个可能的属性: * originScope,用于设置搜索基础 * originFilter,它为匹配的条目设置搜索基础 * managedScope,设置在其中创建新受管条目的子树 * managedTemplate,这是用于创建受管条目的模板条目 | 依赖项 |
| 数据库 | 性能相关信息 |
| 无 | 更多信息 |
4.1.35. memberOf 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | memberOf |
| Configuration Entry DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 描述 |
根据组条目中的 |
| 类型 | postoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
|
*
* | 依赖项 |
| 数据库 | 性能相关信息 |
| 无 | 更多信息 |
4.1.36. 多主复制插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | replication-multimaster |
| 配置条目的 DN | cn=Multimaster Replication plugin,cn=plugins,cn=config |
| 描述 | 启用两个当前目录服务器间的复制 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * named: ldbm 数据库 * named: DES * named: Service Class of Service | 性能相关信息 |
| 更多信息 |
4.1.37. 名称和可选 UID 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | nameoptuid-syntax |
| 配置条目的 DN | cn=Name and Optional UID syntax,cn=plugins,cn=config |
| 描述 | 支持语法和相关匹配规则,以存储和搜索具有可选唯一 ID 的 DN;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.38. 数字字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | numstr-syntax |
| 配置条目的 DN | cn=Numeric String syntax,cn=plugins,cn=config |
| 描述 | 支持将语法和相关匹配规则用于数字和空格的字符串;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.39. 八进制数字符串语法插件
使用 10 月字符串语法而不是 Binary(已弃用)。
| 插件参数 | 描述 |
|---|---|
| 插件 ID | octetstring-syntax |
| 配置条目的 DN | cn=Octet String syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的八进制字符串语法和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.40. OID 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | oid-syntax |
| 配置条目的 DN | cn=OID 语法,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的对象标识符(OID)语法和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.41. PAM 通过身份验证插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | pam_passthruauth |
| 配置条目的 DN | cn=PAM Pass via Auth,cn=plugins,cn=config |
| 描述 | 为 PAM 启用直通身份验证,这意味着 PAM 服务可以使用 Directory 服务器作为其用户身份验证存储。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
| 更多信息 |
4.1.42. 通过身份验证插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | passthruauth |
| 配置条目的 DN | cn=Pass via Authentication,cn=plugins,cn=config |
| 描述 | 启用 传递身份验证,允许一个目录查看另一个目录对绑定请求进行身份验证的机制。 |
| 类型 | preoperation |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| ldap://example.com:389/o=example | 依赖项 |
| 数据库 | 性能相关信息 |
| 通过传递身份验证会减慢绑定请求的速度,因为它们必须向远程服务器创建额外的跃点。请参阅 Red Hat Directory Server Administration Guide 中的"使用直通身份验证"一章。 | 更多信息 |
4.1.43. 密码存储
目录服务器将密码存储方案作为插件实施。但是,cn=Password Storage Schemes,cn=plugins,cn=config 条目本身只是一个容器,而不是插件条目。所有密码存储方案插件都作为此容器的子条目保存。
要显示所有密码存储方案插件,请输入:
# ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -x \
-b "cn=Password Storage Schemes,cn=plugins,cn=config" -s sub "(objectclass=*)" dn红帽建议不要禁用密码方案插件,也不会更改插件的配置,以防止无法预计的身份验证行为。
强大的密码存储方案
红帽建议只使用以下强大的密码存储方案(最先先):
PBKDF2_SHA256(默认)基于云的密钥 derivation 功能 2(PBKDF2)旨在加快后端资源以防御行为强制攻击。PBKDF2 支持变量很多迭代,以应用哈希算法。更高的迭代可以提高安全性,但需要更多硬件资源。在 Directory Server 中,
PBKDF2_SHA256方案使用 30,000 次迭代来实施,以应用 SHA256 算法。这个值是硬编码的,以后目录服务器版本将增加,而无需管理员的交互。注意Red Hat Enterprise Linux 6 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您无法在与 Directory Server 9 的复制拓扑中使用此密码方案。
SSHA512salt 的安全哈希算法(SSHA)实施了一个安全哈希算法(SHA)的增强版本,它使用随机生成的 salt 来提高哈希密码的安全性。
SSHA512使用 512 位实施哈希算法。
弱密码存储方案
除了建议的强大的密码存储方案之外,Directory 服务器还支持以下弱方案来向后兼容:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
[a]
目录服务器只支持使用这个方案进行身份验证。您不再使用它来加密密码。
[b]
160 位
| ||
只在短时间内继续使用弱方案,因为它会增加安全风险。
4.1.44. POSIX Winsync API 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | posix-winsync-plugin |
| 配置条目的 DN | cn=Posix Winsync API,cn=plugins,cn=config |
| 描述 | 为 Active Directory 用户和组条目中设置的 Posix 属性启用和配置 Windows 同步。 |
| 类型 | preoperation |
| 可配置参数 | * 开 |
| off * memberUID 映射(组) * 在小写(组)中转换和排序 memberUID 值 * memberOf 修复带有同步操作的任务 * 使用 Windows 2003 Posix 模式 | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
4.1.45. 安装后地址 String Plug-in
| 插件参数 | 描述 |
|---|---|
| 插件 ID | postaladdress-syntax |
| 配置条目的 DN | cn=Postal Address syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的后地址语法及相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.46. 可打印的字符串语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | printablestring-syntax |
| 配置条目的 DN | cn=Printable String syntax,cn=plugins,cn=config |
| 描述 | 支持语法和匹配规则,用于字母数字,然后选择标点字符串(对于符合 RFC 4517中定义的可打印字符串)。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.47. 参考完整性后插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | referint |
| 配置条目的 DN | cn=Referential Integrity Postoperation,cn=plugins,cn=config |
| 描述 | 启用服务器以确保引用完整性 |
| 类型 | postoperation |
| 可配置选项 | 所有配置和 on |
| off | 默认设置 |
| off | 可配置参数 |
|
启用后,在删除或重命名操作后马上对 | 依赖项 |
| 数据库 | 性能相关信息 |
| 请参阅完整性插件应该只在多供应商复制环境中启用,以避免冲突解决循环。在链服务器上启用插件时,请务必分析性能资源和时间需求以及完整性需求;完整性检查可能消耗内存和 CPU 的时间和要求。所有指定的属性都必须索引,才能存在和相等。 | 更多信息 |
4.1.48. Retro Changelog 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | retrocl |
| 配置条目的 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 描述 |
LDAP 客户端用于维护与目录服务器 4.x 版本的应用程序兼容性。维护目录服务器中发生的所有更改的日志。retro changelog 提供了与目录服务器 4.x 版本中的 changelog 相同的功能。此插件将 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 有关此插件的两个配置属性的详情,请查看 第 4.16 节 “Retro Changelog Plug-in Attributes”。 | 依赖项 |
| * type: Database * named: Service Class of Service | 性能相关信息 |
| 您可能会减慢目录服务器更新性能的速度。 | 更多信息 |
4.1.49. 角色插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | roles |
| 配置条目的 DN | cn=Roles Plugin,cn=plugins,cn=config |
| 描述 | 启用在 Directory 服务器中使用角色 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * type: Database * named: State Change Plug-in * named: Views Plug-in | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.50. RootDN Access Control 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | rootdn-access-control |
| 配置条目的 DN | cn=RootDN Access Control,cn=plugins,cn=config |
| 描述 | 启用并配置用于 root DN 条目的访问控制。 |
| 类型 | 内部操作 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置属性 |
| * rootdn-open-time 和 rootdn-off-time 用于基于时间的访问控制 * rootdn-days-allowed for基于日期的访问控制 * rootdn-allow-host、rootdn-deny-host、rootdn-allow-ip 和 rootdn-deny-ip 用于基于主机的访问控制 | 依赖项 |
| 无 | 更多信息 |
4.1.51. schema Reload 插件
| 插件信息 | 描述 |
|---|---|
| 插件 ID | schemareload |
| Configuration Entry DN | cn=Schema Reload,cn=plugins,cn=config |
| 描述 | task 插件重新载入 schema 文件 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 更多信息 |
4.1.52. 在敏感字符串语法插件中空格
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Space Insensitive String syntax,cn=plugins,cn=config |
| 描述 | 处理空格不区分大小写值的语法 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.53. 州更改插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | statechange |
| 配置条目的 DN | cn=State Change Plugin,cn=plugins,cn=config |
| 描述 | 启用 state-change-notification 服务 |
| 类型 | postoperation |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 更多信息 |
4.1.54. 语法验证任务插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=Syntax Validation Task,cn=plugins,cn=config |
| 描述 | 为属性值启用语法验证 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 更多信息 |
4.1.55. 电话语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | tele-syntax |
| 配置条目的 DN | cn=Telephone syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的电话号码语法和相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.56. Teletex Terminal Identifier 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | teletextermid-syntax |
| 配置条目的 DN | cn=Teletex Terminal Identifier syntax,cn=plugins,cn=config |
| 描述 | 支持来自 RFC 4517 的国际电话号码语法以及相关匹配规则。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.57. Telex Number 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | telex-syntax |
| 配置条目的 DN | cn=Telex Number syntax,cn=plugins,cn=config |
| 描述 | 支持电话号码、国家/地区代码的语法和相关匹配规则;来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.58. URI 语法插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | none |
| 配置条目的 DN | cn=URI syntax,cn=plugins,cn=config |
| 描述 | 支持唯一资源标识符(URI)的语法和相关匹配规则,包括唯一资源 locators(URL),来自 RFC 4517。 |
| 类型 | 语法 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 无 | 性能相关信息 |
| 不要修改此插件的配置。如果启用,红帽建议始终保持这个插件运行。 | 更多信息 |
4.1.59. USN 插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | USN |
| 配置条目的 DN | cn=USN,cn=plugins,cn=config |
| 描述 | 每当有修改时,为每个条目设置一个更新序列号(USN),只要有修改,包括添加和删除条目和修改属性值。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| off | 可配置参数 |
| 无 | 依赖项 |
| 数据库 | 性能相关信息 |
|
对于复制,建议使用部分复制中排除 | 更多信息 |
4.1.60. 查看插件
| 插件参数 | 描述 |
|---|---|
| 插件 ID | 视图 |
| 配置条目的 DN | cn=Views,cn=plugins,cn=config |
| 描述 | 启用在 Directory Server 数据库中使用视图。 |
| 类型 | 对象 |
| 可配置选项 | on |
| off | 默认设置 |
| on | 可配置参数 |
| 无 | 依赖项 |
| * type: Database * named: State Change Plug-in | 性能相关信息 |
| 不要修改此插件的配置。红帽建议始终保持这个插件运行。 | 更多信息 |
4.2. 适用于所有插件的属性列表
此列表提供一个简短属性描述、条目 DN、有效范围、默认值、语法以及各个属性的示例。
4.2.1. nsslapdPlugin(Object Class)
每个 Directory Server 插件都属于 nsslapdPlugin 对象类。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.41
表 4.1. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 授予分配给条目的对象类。 |
| cn | 给出条目的通用名称。 |
| 标识插件库名称(没有库后缀)。 | |
| 标识插件的初始化功能。 | |
| 标识插件类型。 | |
| 标识插件 ID。 | |
| 标识插件的版本。 | |
| 标识插件的供应商。 | |
| 标识插件的描述。 | |
| 标识是否启用插件。 | |
| 根据执行顺序设置插件的优先级。 |
4.2.2. nsslapd-logAccess
此属性可让您将插件运行的搜索操作记录到 cn=config 中的 nsslapd-accesslog 参数中设置的文件。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-logAccess: Off |
4.2.3. nsslapd-logAudit
此属性可让您记录和审核数据库修改源自插件。
如果在 cn=config 中启用了 nsslapd-auditlog-logging-enabled 参数,则会在审计日志中记录成功修改事件。要通过插件记录失败的修改数据库操作,请在 cn=config 中启用 nsslapd-auditfaillog-logging-enabled 属性。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-logAudit: Off |
4.2.4. nsslapd-pluginDescription
此属性提供了插件的描述。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginDescription: acl access check 插件 |
4.2.5. nsslapd-pluginEnabled
此属性指定是否启用插件。此属性可通过协议更改,但仅在服务器下次重启时生效。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginEnabled: on |
4.2.6. nsslapd-pluginId
此属性指定插件 ID。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件 ID |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginId:串联数据库 |
4.2.7. nsslapd-pluginInitfunc
此属性指定要启动的插件功能。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件功能 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginInitfunc: NS7bitAttr_Init |
4.2.8. nsslapd-pluginPath
此属性指定插件的完整路径。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginPath: uid-plugin |
4.2.9. nsslapd-pluginPrecedence
此属性为插件的执行顺序设置优先级或优先级。优先顺序定义了插件的执行顺序,允许更复杂的环境或交互,因为它可以启用插件在执行前等待已完成的操作。这对预合作和后期插件而言更为重要。
值为 1 的插件具有最高优先级,首先运行;值为 99 的插件具有最低优先级。默认值为 50.
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 1 到 99 |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-pluginPrecedence: 3 |
4.2.10. nsslapd-pluginType
此属性指定插件类型。如需更多信息,请参阅 第 4.3.5 节 “nsslapd-plugin-depends-on-type”。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件类型 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginType: preoperation |
4.2.11. nsslapd-pluginVendor
此属性指定插件的厂商。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何批准的插件厂商 |
| 默认值 | Red Hat, Inc. |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginVendor: Red Hat, Inc. |
4.2.12. nsslapd-pluginVersion
此属性指定插件版本。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的插件版本 |
| 默认值 | 产品版本号 |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginVersion: 11.3 |
4.3. Certain 插件允许的属性
4.3.1. nsslapd-dynamic-plugins
目录服务器具有可在不重启服务器的情况下启用的动态插件。nsslapd-dynamic-plugins 属性指定服务器是否配置为允许动态插件。默认情况下禁用动态插件。
目录服务器不支持动态插件。仅用于测试和调试目的。
有些插件无法配置为动态,它们需要重启服务器。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dynamic-plugins: on |
4.3.2. nsslapd-pluginConfigArea
有些插件条目是容器条目,插件的多个实例在 cn=plugins,cn=config 中的这个容器下创建。但是,cn=plugins,cn=config 没有被复制,这意味着必须在每个 Directory 服务器实例上以某种方式手动配置这些容器条目下的插件配置。
nsslapd-pluginConfigArea 属性指向主数据库区域中的另一容器条目,其中包含插件实例条目。此容器条目可以位于复制的数据库,允许复制插件配置。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-pluginConfigArea: cn=managed entries container,ou=containers,dc=example,dc=com |
4.3.3. nsslapd-pluginLoadNow
此属性指定是否立即加载插件使用的所有符号(true),以及这些符号的所有符号,还是在第一次使用时加载该符号(false)。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginLoadNow: false |
4.3.4. nsslapd-pluginLoadGlobal
此属性指定依赖库中的符号是否在本地(false)还是可执行对象以及所有共享对象(true)。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=plug-in name,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | false |
| 语法 | DirectoryString |
| 示例 | nsslapd-pluginLoadGlobal: false |
4.3.5. nsslapd-plugin-depends-on-type
用于确保服务器以正确顺序调用插件的多值属性。取与插件的类型对应的值,包含在 nsslapd-pluginType 属性中。如需更多信息,请参阅 第 4.2.10 节 “nsslapd-pluginType”。与此插件之前,所有带有类型值且与以下有效范围内的值之一匹配的插件都会被服务器启动。以下合作会参考完整性插件示例,显示数据库插件将在创建后引用完整性插件之前启动。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | 数据库 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-depends-on-type: database |
4.3.6. nsslapd-plugin-depends-on-named
用于确保服务器以正确顺序调用插件的多值属性。取与插件的 cn 值对应的值。此插件之前,服务器将首先启动与以下值匹配的 一 个值的插件。如果插件不存在,服务器无法启动。以下合作引用完整性插件示例显示了在角色之前启动 Views 插件。如果缺少 Views,服务器将不会启动。
| 插件参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | Service 类 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | * nsslapd-plugin-depends-on-named: Views * nsslapd-pluginId: roles |
4.4. 数据库插件属性
数据库插件也以信息树中组织,如 图 4.1 “数据库插件” 所示。
图 4.1. 数据库插件
数据库实例使用的所有插件技术都存储在 cn=ldbm 数据库 插件节点中。本节在 cn=ldbm 数据库cn=plugins,cn=config 信息树中显示每个节点的附加属性信息。
4.4.1. database Attributes in cn=config,cn=ldbm database,cn=plugins,cn=config
本节涵盖所有实例通用的全局配置属性,它们都存储在 cn=config,cn=ldbm database,cn=plugins,cn=config tree 节点上。
4.4.1.1. nsslapd-backend-implement
nsslapd-backend-implement 参数定义数据库后端 Directory 服务器使用。
目录服务器当前仅支持 Berkeley Database(BDB)。因此,您无法将此参数设置为其他值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | bdb |
| 默认值 | bdb |
| 语法 | 目录 String |
| 示例 | nsslapd-backend-implement: bdb |
4.4.1.2. nsslapd-backend-opt-level
这个参数可以触发实验性代码,以提高写入性能。
可能的值:
-
0: 禁用 参数。 -
1:复制更新向量在事务期间不会写入数据库 -
2:更改获取后端锁定的顺序并启动事务 -
4:将代码从事务中移出。
所有参数都可以合并。例如 7,启用所有 optimisation 功能。
这个参数是实验性的。除非由红帽支持特别告知,否则永远不会更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 | 1 | 2 | 4 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-backend-opt-level: 0 |
4.4.1.3. nsslapd-directory
此属性指定到数据库实例的绝对路径。如果手动创建数据库实例,则必须包含此属性,在 Directory Server 控制台中默认设置(和可修改)的项目。创建数据库实例后,请勿修改此路径,因为任何更改风险会阻止服务器访问数据。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 数据库实例的任何有效的绝对路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-directory: /var/lib/dirsrv/slapd-instance/db |
4.4.1.4. nsslapd-exclude-from-export
此属性包含在导出数据库时要从条目中排除的属性名称列表。这主要用于特定于服务器实例的一些配置和操作属性。
不要删除此属性的任何默认值,因为可能会影响服务器性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的属性 |
| 默认值 | entrydn entryid dncomp parentid numSubordinates entryusn |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-from-export: entrydn entryid dncomp parentid numSubordinates entryusn |
4.4.1.5. nsslapd-db-transaction-wait
如果您启用 nsslapd-db-transaction-wait 参数,Directory 服务器不会启动事务并等待锁定资源可用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-transaction-wait: off |
4.4.1.6. nsslapd-db-private-import-mem
nsslapd-db-private-import-mem 参数管理 Directory 服务器是否使用私有内存来分配区域,mutexes 用于数据库导入。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-private-import-mem: on |
4.4.1.7. nsslapd-db-deadlock-policy
nsslapd-db-deadlock-policy 参数设置 libdb library-internal deadlock 策略。
仅在红帽支持的指示时更改这个参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0-9 |
| 默认值 | 0 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-deadlock-policy: 9 |
4.4.1.8. nsslapd-idl-switch
nsslapd-idl-switch 参数设置 IDL 格式 Directory 服务器。请注意,红帽不再支持旧的 IDL 格式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 新 | 旧 |
| 默认值 | new |
| 语法 | 目录 String |
| 示例 | nsslapd-idl-switch: new |
4.4.1.9. nsslapd-idlistscanlimit
此与性能相关的属性默认存在,指定搜索操作期间搜索的条目 ID 数。尝试设置不是一个数字或者对于 32 位签名整数来说太大的值,会返回 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释此问题的额外错误信息。建议保留默认值以提高搜索性能。
详情请查看以下中的对应部分:
可在服务器运行时更改此参数,新值将影响后续的搜索。
对应的 user-level 属性是 nsIDListScanLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 100 到最大 32 位整数值(2147483647)条目 ID |
| 默认值 | 4000 |
| 语法 | 整数 |
| 示例 | nsslapd-idlistscanlimit: 4000 |
4.4.1.10. nsslapd-lookthroughlimit
这个与性能相关的属性指定在检查候选条目时要检查搜索请求的最大条目数。但是,Directory Manager DN 默认是,无限量并覆盖此处指定的任何其他设置。值得注意的是,基于 binder 的资源限值可用于此限制。这意味着,如果在用户绑定时,条目中包括 operational 属性 nsLook separatedLimit 的值,则默认限制将被覆盖。尝试设置不是一个数字或者对于 32 位签名整数来说太大的值,会返回一个 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释该问题的额外错误信息。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 可以在条目中最大 32 位整数(其中 -1 为无限) |
| 默认值 | 5000 |
| 语法 | 整数 |
| 示例 | nsslapd-lookthroughlimit: 5000 |
4.4.1.11. nsslapd-mode
此属性指定用于新创建的索引文件的权限。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 |
任何四位八进制数。但是,建议使用 mode |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-mode: 0600 |
4.4.1.12. nsslapd-pagedidlistscanlimit
这个与性能相关的属性指定搜索的条目 ID 数,特别是搜索操作,使用简单的页面结果控制。
此属性与 nsslapd-idlistscanlimit 属性相同,但它只应用于使用简单页结果控制进行搜索。
如果这个属性不存在或为零,则使用 nsslapd-idlistscanlimit 来分页搜索以及非页面搜索。
对应的用户级属性是 nsPagedIDListScanLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 可以在条目中最大 32 位整数(其中 -1 为无限) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-pagedidlistscanlimit: 5000 |
4.4.1.13. nsslapd-pagedlookthroughlimit
此与性能相关的属性指定在检查候选条目时检查使用简单页结果控制的搜索时要检查的最大条目数。
此属性与 nsslapd-lookthroughlimit 属性相同,但它只应用于使用简单页结果控制进行搜索。
如果此属性不存在或设为零,则使用 nsslapd-lookthroughlimit 和非页面搜索进行分页搜索。
对应的用户级属性是 nsPagedLookThroughLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 可以在条目中最大 32 位整数(其中 -1 为无限) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-pagedlookthroughlimit: 25000 |
4.4.1.14. nsslapd-rangelookthroughlimit
这个与性能相关的属性指定在检查候选条目时要检查范围搜索请求时要检查的最大条目数。
范围搜索使用运算符设置用于搜索并返回目录中全部条目子集的黑客。例如,这将搜索在 1 月 1 日或午夜修改的每个条目:
(modifyTimestamp>=20200101010101Z)
范围搜索的性质是,它必须评估目录中的每个条目,以查看它是否在指定范围内。本质上,范围搜索始终都是 ID 搜索。
对于大多数用户,look-through 限制会启动,并阻止范围搜索转换为所有 ID 搜索。这提高了整体性能,并加快搜索结果范围。但是,一些客户端或管理用户(如 Directory Manager)可能没有设置 look-through 的限制。在这种情况下,一个范围搜索可能需要几分钟来完成,甚至可以无限期地继续。
nsslapd-rangelookthroughlimit 属性设置适用于所有用户(包括 Directory Manager)的独立范围查找限制。
这可让客户端和管理用户在可能对性能范围搜索上设置合理的限制。
与其他资源限制不同,这适用于按任何用户(包括 Directory Manager、常规用户和其他 LDAP 客户端)进行搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1 可以在条目中最大 32 位整数(其中 -1 为无限) |
| 默认值 | 5000 |
| 语法 | 整数 |
| 示例 | nsslapd-rangelookthroughlimit: 5000 |
4.4.1.15. nsslapd-search-bypass-filter-test
如果您启用 nsslapd-search-bypass-filter-test 参数,则 Directory Server 会在搜索过程中绕过构建候选列表的过滤器检查。如果您将参数设置为 验证,则 Directory 服务器会根据搜索候选条目评估过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off | 验证 |
| 默认值 | on |
| 语法 | 目录 String |
| 示例 | nsslapd-search-bypass-filter-test: on |
4.4.1.16. nsslapd-search-use-vlv-index
nsslapd-search-use-vlv-index 可启用和禁用虚拟列表视图(VLV)搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | 目录 String |
| 示例 | nsslapd-search-use-vlv-index: on |
4.4.1.17. nsslapd-subtree-rename-switch
每个目录条目都作为密钥存储在条目索引文件中。索引键将当前条目 DN 映射到索引中的 meta 条目。此映射可以通过条目的 RDN 或条目的完整 DN 进行。
当子树条目被重命名为(meaning 时,包含子条目的条目,有效重命名整个子树),其条目将存储在 entryrdn.db 索引中,该条目由分配的 ID 而不是其 DN 关联。如果不允许使用 subtree 重命名操作,则禁用 entryrdn.db 索引,并使用 entrydn.db 索引,只是使用完整的 DN,其含有隐式父子关系。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | off | on |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-subtree-rename-switch: on |
4.4.2. database Attributes in cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config
本节涵盖所有实例通用的全局配置属性,它们都存储在 cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config tree 节点上。
4.4.2.1. nsslapd-cache-autosize
此性能调整相关属性设定在数据库和条目缓存总量中使用的可用内存百分比。例如,如果值设为 10,则系统的可用 RAM 的 10% 用于两个缓存。如果这个值被设置为大于 0 的值,则会为数据库和条目缓存启用自动大小。
为了优化性能,红帽建议不要禁用自动大小。然而,在某些情况下可能需要禁用自动大小。在这种情况下,将 nsslapd-cache-autosize 属性设置为 0, 并手动设置:
-
nsslapd-dbcachesize属性中的数据库缓存。 -
nsslapd-cachememsize属性中的条目缓存。
有关自动大小的详情,请查看 Red Hat Directory Server Performance Tuning Guide 中的相应部分。
如果 nsslapd-cache-autosize 和 nsslapd-cache-autosize-split 属性都被设置为高值,如 100,Directory 服务器无法启动。要解决这个问题,请将两个参数都设置为更合理的值。例如:
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 100。如果设置了 0,则使用默认值。 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-cache-autosize: 10 |
4.4.2.2. nsslapd-cache-autosize-split
这个性能调优相关的属性设定用于数据库缓存的 RAM 百分比。剩余百分比用于条目缓存。例如,如果值设为 40,数据库缓存使用 40%,条目缓存了 nsslapd-cache-autosize 属性中保留的其余可用 RAM 的 60%。
有关自动大小的详情,请查看 Red Hat Directory Server Performance Tuning Guide 中的相应部分。
如果 nsslapd-cache-autosize 和 nsslapd-cache-autosize-split 属性都被设置为高值,如 100,Directory 服务器无法启动。要解决这个问题,请将两个参数都设置为更合理的值。例如:
nsslapd-cache-autosize: 10 nsslapd-cache-autosize-split: 40
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 99。如果设置了 0,则使用默认值。 |
| 默认值 | 40 |
| 语法 | 整数 |
| 示例 | nsslapd-cache-autosize-split: 40 |
4.4.2.3. nsslapd-db-checkpoint-interval
这将设置 Directory 服务器向数据库事务日志发送检查点条目的时间(以秒为单位)。数据库事务日志包含所有最近数据库操作的顺序列表,仅用于数据库恢复。Checkpoint 条目表示哪些数据库操作已物理写入目录数据库。检查点条目用于确定数据库事务日志中在系统失败后开始恢复的位置。dse.ldif 中没有 nsslapd-db-checkpoint-interval 属性。要更改检查点间隔,请将 属性添加到 dse.ldif。此属性可以使用 ldapmodify 动态修改。有关修改此属性的详情,请参考 Red Hat Directory Server Administration Guide 中的"uning Directory Server Performance"一章。
此属性仅为系统修改/资料无关的提供,应仅在红帽技术支持或红帽咨询的指导下更改。不正确的此属性和其他配置属性的设置可能会导致 Directory 服务器不稳定。
有关数据库事务日志的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 10 到 300 秒 |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-db-checkpoint-interval: 120 |
4.4.2.4. nsslapd-db-circular-logging
此属性指定事务日志文件的循环日志。如果此属性关闭,旧的事务日志文件不会被删除,并作为旧的日志事务文件被重命名。关闭环形记录可能会严重地降低服务器性能,因此只有红帽技术支持或红帽咨询的指导才会进行修改。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-circular-logging: on |
4.4.2.5. nsslapd-db-compactdb-interval
nsslapd-db-compactdb-interval 属性定义目录服务器压缩数据库和复制更改日志时的时间间隔(以秒为单位)。紧凑操作将未使用的页面返回到文件系统,数据库文件大小会缩小。请注意,紧凑数据库是资源密集型,不应经常完成。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 (无压缩)到 2147483647 秒 |
| 默认值 | 2592000(30 天) |
| 语法 | 整数 |
| 示例 | nsslapd-db-compactdb-interval: 2592000 |
4.4.2.6. nsslapd-db-compactdb-time
当目录服务器压缩所有数据库及其复制更改日志时,nsslapd-db-compactdb-time 属性会设置一天的时间。压缩任务在压缩间隔后运行(nsslapd-db-compactdb-interval)。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | HH:MM.时间使用 24 小时格式设置 |
| 默认值 | 23:59 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-compactdb-time: 23:59 |
4.4.2.7. nsslapd-db-debug
此属性指定是否向 {Directory Server} 报告额外的错误信息。要报告错误信息,请在 上将 参数设置为。这个参数用于故障排除;启用参数可能会减慢 Directory 服务器的速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-debug: off |
4.4.2.8. nsslapd-db-durable-transactions
此属性设置数据库事务日志条目是否立即写入磁盘。数据库事务日志包含所有最近数据库操作的顺序列表,仅用于数据库恢复。启用持久事务后,每个目录更改始终会在日志文件中进行物理记录,因此可以在系统失败时恢复。但是,持久的事务功能也可能降低目录服务器的性能。禁用持久事务时,所有事务都以逻辑方式写入数据库事务日志,但可能不会立即对磁盘进行物理写入。如果在将目录更改物理写入磁盘前出现系统失败,那么这个更改不可恢复。dse.ldif 中没有 nsslapd-db-durable-transactions 属性。要禁用持久事务,请将 属性添加到 dse.ldif 中。
此属性仅为系统修改/资料无关的提供,应仅在红帽技术支持或红帽咨询的指导下更改。不正确的此属性和其他配置属性的设置可能会导致 Directory 服务器不稳定。
有关数据库事务日志的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-durable-transactions: on |
4.4.2.9. nsslapd-db-home-directory
要出于性能原因将数据库移动到另一个物理位置,请使用此参数指定主目录。
这个情况只适用于数据库缓存大小、物理内存的大小和内核调整属性的某些组合。特别是,如果数据库缓存大小小于 100MB,则不应该发生这种情况。
- 磁盘使用大量数据(每秒的数据传输量超过 1MB)。
- 服务时间长(超过 100ms)。
- 主要有写入活动。
如果这些都是 true,则使用 nsslapd-db-home-directory 属性来指定 tempfs 类型文件系统的子目录。
nsslapd-db-home-directory 属性引用的目录必须是类型为 tempfs(如 /tmp)的文件系统的子目录。但是,Directory 服务器不会创建此属性引用的子目录。此目录必须手动创建,也可以使用脚本。无法创建由 nsslapd-db-home-directory 属性引用的目录,将导致 Directory 服务器无法启动。
另外,如果同一机器上有多个目录服务器,其 nsslapd-db-home-directory 属性必须配置有不同的目录。如果不这样做,则这两个目录的数据库都会被破坏。
使用此属性可导致内部目录服务器数据库文件移到 属性引用的目录中。但不太可能,但不太可能在文件被移动后启动,因为无法分配足够内存。这是为服务器配置超过大型数据库缓存大小的症状。如果发生这种情况,将数据库缓存大小的大小减小到服务器将再次启动的值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 |
tempfs 文件系统中的任何有效目录名称,如 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-home-directory: /tmp/slapd-phonebook |
4.4.2.10. nsslapd-db-idl-divisor
此属性根据每个数据库页面的块数量来指定索引块大小。块大小通过将数据库页面大小除除此属性值来计算。值 1 使块大小与页面大小完全相同。默认值 0 将块大小设置为页面大小减去内部数据库开销的估算允许。对于大多数安装,除非有特定的调优需要,否则不应更改默认值。
在修改此属性的值前,使用 db2ldif 脚本导出所有数据库。完成修改后,使用 ldif2db 脚本重新加载数据库。
这个参数只应用于非常高级用户使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 8 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-db-idl-divisor: 2 |
4.4.2.11. nsslapd-db-locks
锁定目录服务器中的机制控制目录服务器进程可以同时运行多少个副本。nsslapd-db-locks 参数设置最大锁定数。
如果 Directory 服务器没有锁定,且日志 libdb: Lock 表没有可用的锁定错误消息,则只 将此参数设置为更高的值。如果您在没有需要的情况下设置了一个更高的值,这会在不任何好处的情况下增加 /var/lib/dirsrv/slapd-instance_name/db_db.* 文件的大小。有关监控日志和确定实际值的更多信息,请参阅 目录服务器性能调优指南中的 对应的章节。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647 |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-db-locks: 10000 |
4.4.2.12. nsslapd-db-locks-monitoring-enable
不使用数据库锁定可能会导致数据崩溃。使用 nsslapd-db-locks-monitoring-enable 参数,您可以启用或禁用数据库锁定监控。如果启用了参数(默认值),Directory 服务器会终止所有活跃的数据库锁定的数量高于 nsslapd-db-locks-monitoring-threshold 中配置的百分比阈值。如果出现问题,管理员可以增加 nsslapd-db-locks 参数中数据库锁定数量。
重启该服务以使此属性更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-enable: |
4.4.2.13. nsslapd-db-locks-monitoring-pause
如果在 nsslapd-db-locks-monitoring-enable 参数中启用了对数据库锁定的监控,nsslapd-db-locks-monitoring- use 定义了监控线程在检查之间休眠的时间间隔(以毫秒为单位)。
如果将此参数设置为太高的值,服务器可以在监控检查发生前耗尽数据库锁定。但是,设置太低的值可能会减慢服务器的速度。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0 - 2147483647(以毫秒为单位) |
| 默认值 | 500 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-pause: 500 |
4.4.2.14. nsslapd-db-locks-monitoring-threshold
如果在 nsslapd-db-locks-monitoring-enable 参数中启用了对数据库锁定的监控,nsslapd-db-locks-monitoring-threshold 设置在 Directory 服务器终止搜索前使用的最大数据库锁定百分比,以避免进一步锁定耗尽。
重启该服务以使此属性更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 70 - 95 |
| 默认值 | 90 |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-locks-monitoring-threshold: 90 |
4.4.2.15. nsslapd-db-logbuf-size
此属性指定日志信息缓冲区大小。日志信息会保存在内存中,直到缓冲区填满,或者事务提交会强制写入到磁盘。较大的缓冲区的大小可显著增加吞吐量,包括长时间运行的事务、高度并发应用程序或生成大量数据的交易。日志信息缓冲区大小是事务日志大小除以 4 个。
只有当 上 nsslapd-db-durable-transactions 属性被设置为 nsslapd-db-durable-transactions 属性时,nsslapd-db-logbuf-size 属性 才有效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 32K 最多 32 位整数(限制为机器上可用内存量) |
| 默认值 | 32K |
| 语法 | 整数 |
| 示例 | nsslapd-db-logbuf-size: 32K |
4.4.2.16. nsslapd-db-logdirectory
此属性指定包含数据库事务日志的目录路径。数据库事务日志包含所有最近数据库操作的连续列表。目录服务器使用此信息在实例意外关闭后恢复数据库。
默认情况下,数据库事务日志与目录数据库存储在相同的目录中。要更新此参数,您必须手动更新 /etc/dirsrv/slapd-instance_name/dse.ldif 文件。详情请参阅 Red Hat Directory Server Administration Guide中的更改事务 日志目录 部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-logdirectory: /var/lib/dirsrv/slapd-instance_name/db/ |
4.4.2.17. nsslapd-db-logfile-size
此属性以字节为单位指定单个文件的最大大小。默认情况下,或者如果值设为 0,则使用最大 10MB 的最大值。最大大小是未签名的 4 字节值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到没有 4 字节整数 |
| 默认值 | 10MB |
| 语法 | 整数 |
| 示例 | nsslapd-db-logfile-size: 10 MB |
4.4.2.18. nsslapd-db-page-size
此属性指定用于存放数据库中项目(以字节为单位)的页面的大小。最小值为 512 字节,最大大小为 64 KB。如果没有明确设置页面大小,Directory 服务器默认为页面大小为 8 KB。更改此默认值可能会影响性能。如果页面大小太小,则会导致大量页面分割和复制,如果页面大小过大,则可能会浪费磁盘空间。
在修改此属性的值前,使用 db2ldif 脚本导出所有数据库。完成修改后,使用 ldif2db 脚本重新加载数据库。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 512 字节到 64 KB |
| 默认值 | 8KB |
| 语法 | 整数 |
| 示例 | nsslapd-db-page-size: 8KB |
4.4.2.19. nsslapd-db-spin-count
此属性指定 test-and-set mutexes 应该启动而没有阻塞的次数。
除非您非常熟悉 Berkeley DB 工作,或者特别被红帽支持告知这样做,否则永远不会修改这个值。
默认值 0 会导致 BDB 计算可用 CPU 内核数量(如 nproc 实用程序或 sysconf(_SC_NPROCESSORS_ONLN) 调用)来计算 实际值。例如,如果具有 8 个逻辑核心的处理器,将此属性设置为 0 等同于 400。不可能完全关闭(如果您想要尽量减少 test-and-set mutexes)将在不阻断的情况下将这个属性设置为 1 的时间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 2147483647(2^31-1) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-db-spin-count: 0 |
4.4.2.20. nsslapd-db-transaction-batch-max-wait
如果设置了 第 4.4.2.22 节 “nsslapd-db-transaction-batch-val”,则达到设定批处理值时由单独的线程清除事务。但是,如果只有几个更新,这个过程可能需要很长时间。此参数控制应独立于批处理数清除事务的时间。这些值以毫秒为单位定义。
这个参数是实验性的。除非由红帽支持特别告知,否则永远不会更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647(以毫秒为单位) |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-max-wait: 50 |
4.4.2.21. nsslapd-db-transaction-batch-min-wait
如果设置了 第 4.4.2.22 节 “nsslapd-db-transaction-batch-val”,则达到设定批处理值时由单独的线程清除事务。但是,如果只有几个更新,这个过程可能需要很长时间。此参数控制应独立于批处理数清除事务的时间。这些值以毫秒为单位定义。
这个参数是实验性的。除非由红帽支持特别告知,否则永远不会更改其值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 - 2147483647(以毫秒为单位) |
| 默认值 | 50 |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-min-wait: 50 |
4.4.2.22. nsslapd-db-transaction-batch-val
此属性指定提交前将批量的事务数量。当不需要完整的事务持久性时,此属性可以提高更新性能。此属性可以使用 ldapmodify 动态修改。有关修改此属性的详情,请参考 Red Hat Directory Server Administration Guide 中的"uning Directory Server Performance"一章。
设置此值将降低数据一致性,并可能导致数据丢失。这是因为,如果服务器可在服务器清除批处理前出现电源中断,则批处理中的事务将会丢失。
除非由红帽支持特别要求,否则不要设置这个值。
如果未定义此属性或 设置为 0,则将关闭事务批处理,且无法使用 LDAP 对此属性进行远程修改。但是,将此属性设置为大于 0 的值会导致服务器延迟提交事务,直到排队的事务数量等于属性值。大于 0 的值也允许使用 LDAP 远程修改该属性。此属性的值为 1 允许使用 LDAP 远程修改属性设置,但不会导致批处理行为。因此,服务器启动时为 1 的值对于保持正常的持久性,同时允许根据需要远程打开和关闭事务。请记住,此属性的值可能需要修改 nsslapd-db-logbuf-size 属性,以确保有足够的日志缓冲区大小用于调整批处理事务。
只有当 上 nsslapd-db-durable-transaction 属性被设置为 属性 nsslapd-db-durable-transaction 属性时,nsslapd-db-transaction-val才有效。
有关数据库事务日志的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 30 |
| 默认值 | 0(或关闭) |
| 语法 | 整数 |
| 示例 | nsslapd-db-transaction-batch-val: 5 |
4.4.2.23. nsslapd-db-trickle-percentage
此属性通过将脏页面写入其后备文件,至少设置在共享内存池中指定的页面百分比是干净的。这是为了确保页面始终可用于读取新信息,而无需等待写入。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 0 到 100 |
| 默认值 | 40 |
| 语法 | 整数 |
| 示例 | nsslapd-db-trickle-percentage: 40 |
4.4.2.24. nsslapd-db-verbose
此属性指定是否在搜索检查点、执行死锁检测和执行恢复时记录额外的信息和调试信息。这个参数用于故障排除,启用参数可能会减慢 Directory 服务器的速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-db-verbose: off |
4.4.2.25. nsslapd-import-cache-autosize
这个性能调优相关属性会自动将在基于 LDIF 文件的 LDIF 文件导入过程中使用导入缓存的大小设置为数据库( ldif2db 操作)。
在目录服务器中,导入操作可以作为服务器任务运行,或者仅在命令行中运行。在任务模式中,导入操作作为一般目录服务器操作运行。当导入操作在命令行中运行时,nsslapd-import-cache-autosize 属性可让导入缓存自动设置为预先确定的大小。属性也可以在任务模式导入时供 Directory 服务器使用,以分配用于导入缓存的指定百分比的可用内存。
默认情况下,nsslapd-import-cache-autosize 属性被启用,并被设置为 -1 的值。这个值只为 ldif2db 操作重新定义导入缓存,自动分配导入缓存的空闲物理内存的 50%(50%)。百分比值(50%)是硬编码的,不可更改。
将属性值设置为 50 (nsslapd-import-cache-autosize: 50)在 ldif2db 操作期间对性能产生相同的影响。但是,当导入操作作为 Directory Server 任务运行时,此类设置会对性能产生同样的影响。-1 值可自动调整只针对 ldif2db 操作导入缓存的大小,而不适用于任何,包括导入、常规目录服务器任务。
-1 设置的目的是使 ldif2db 操作从释放物理内存中受益,但又不会与条目缓存的宝贵内存竞争,后者用于 Directory 服务器的常规操作。
将 nsslapd-import-cache-autosize 属性值设置为 0, 将导入缓存自动大小功能关闭,该特性在导入操作中的任何模式都没有自动大小发生。相反,Directory 服务器使用 nsslapd-import-cachesize 属性来导入缓存大小,默认值为 20000000。
Directory 服务器上下文中有三个缓存:数据库缓存、条目缓存和导入缓存。导入缓存仅在导入操作中使用。nsslapd-cache-autosize 属性(用于自动调整条目缓存和数据库缓存)仅在 Directory Server 操作期间使用,且不在 ldif2db 命令行操作中; 属性值是为条目缓存和数据库缓存分配的可用物理内存百分比。
如果两个自动属性( nsslapd-cache-autosize 和 nsslapd-import-cache-autosize )都已启用,请确保它们的总和小于 100。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | -1, 0(return returns import cache autosizing off)to 100 |
| 默认值 | -1(返回只为 ldif2db 的导入缓存自动大小,并分配 50% 的空闲物理内存来导入缓存) |
| 语法 | 整数 |
| 示例 | nsslapd-import-cache-autosize: -1 |
4.4.2.26. nsslapd-dbcachesize
这个性能调整相关属性指定数据库索引缓存大小,以字节为单位。这是控制目录服务器使用的物理 RAM 最重要的值之一。
这不是条目缓存。这是 Berkeley 数据库后端用于缓存索引( .db 文件)和其它文件的内存量。这个值被传递给 Berkeley DB API 功能 set_cachesize。如果激活自动缓存重新定义大小,服务器会将这些值替换为其本身猜测的值时,将被覆盖。
有关此属性的更多信息,请参阅 Berkeley DB 参考指南的缓存大小部分,网址为 https://docs.oracle.com/cd/E17076_04/html/programmer_reference/general_am_conf.html#am_conf_cachesize。
尝试设置不是一个数字或者对于 32 位签名整数来说太大的值,会返回一个 LDAP_UNWILLING_TO_PERFORM 错误消息,并解释该问题的额外错误信息。
不要手动设置数据库缓存大小。红帽建议使用数据库缓存自动大小功能来优化性能。详情请查看 Red Hat Directory Server Performance Tuning Guide 中的对应部分。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 500 KB 到 32 位平台,500 KB 到 2^64-1(用于 64 位平台) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-dbcachesize: 10000000 |
4.4.2.27. nsslapd-dbncache
此属性可以将 LDBM 缓存分割为不同的内存片段。可以指定足够大的缓存,使其无法在某些架构中连续分配;例如,某些系统会限制进程连续分配的内存量。如果 nsslapd-dbncache 是 0 或 1,则该缓存将在内存中连续分配。如果大于 1,缓存将分成 ncache,其大小相等。
要配置大于 4GB 的 dbcache 大小,请将 nsslapd-dbncache 属性添加到 cn=config,cn=ldbm database,cn=plugins,cn=config 间的 nsslapd-dbcachesize 和 nsslapd-db-logdirectory 属性行。
将此值设置为整数,即 1-quarter(1/4)内存大小,以 GB 为单位。例如,对于 12GB 系统,请将 nsslapd-dbncache 值设为 3 ;对于 8 千兆字节系统,将其设置为 2。
这个属性仅用于系统修改/与系统相关的信息,应仅在 Red Hat 技术支持或红帽专业服务的指导下修改。不正确的此属性和其他配置属性的设置可能会导致 Directory 服务器不稳定。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 1 到 4 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-dbncache: 1 |
4.4.2.28. nsslapd-search-bypass-filter-test
如果您启用 nsslapd-search-bypass-filter-test 参数,则 Directory Server 会在搜索过程中绕过构建候选列表的过滤器检查。如果您将参数设置为 验证,则 Directory 服务器会根据搜索候选条目评估过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off | 验证 |
| 默认值 | on |
| 语法 | 目录 String |
| 示例 | nsslapd-search-bypass-filter-test: on |
4.4.3. database Attributes in cn=monitor,cn=ldbm database,cn=plugins,cn=config
包含对数据库监控活动的数据库统计信息的全局只读属性存储在 cn=monitor,cn=ldbm 数据库中,cn=plugins,cn=config tree 节点上。有关这些条目的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"章节。
dbcachehits
此属性显示数据库中找到的请求页面。
dbcachetries
此属性显示总缓存查找。
dbcachehitratio
此属性显示数据库缓存中请求页面的百分比(hits/tries)。
dbcachepagein
此属性显示读取到数据库缓存中的页面。
dbcachepageout
此属性显示从数据库缓存写入后备文件的页面。
dbcacheroevict
此属性显示强制从缓存进行的清理页面。
dbcacherwevict
此属性显示从缓存强制进行脏页面。
normalizedDNcachetries
自实例启动以来缓存查找总数。
normalizedDNcachehits
在缓存中找到的规范化 DN。
normalizedDNcachemisses
在缓存中未找到规范化 DN。
normalizedDNcachehitratio
在缓存中找到规范化 DN 的百分比。
currentNormalizedDNcachesize
规范化 DN 缓存的当前大小(以字节为单位)。
maxNormalizedDNcachesize
nsslapd-ndn-cache-max-size 参数的当前值。有关如何更新此设置的详情,请参考 第 3.1.1.129 节 “nsslapd-ndn-cache-max-size”。
currentNormalizedDNcachecount
规范化缓存 DN 的数量。
4.4.4. database Attributes in cn=database_name,cn=ldbm database,cn=plugins,cn=config
cn=database_name 子树包含用户定义的数据库的所有配置数据。
默认情况下,cn=userRoot 子树名为 userRoot。但是,这不是硬编码的,因为事实是有多个数据库实例,因此这个名称由用户更改并在添加新数据库时被更改并定义。引用的 cn=userRoot 数据库可以是任何用户数据库。
以下属性对数据库很常见,如 cn=userRoot。
4.4.4.1. nsslapd-cachesize
此属性已弃用。要重新定义条目缓存大小,请使用 nsslapd-cachememsize。
这个性能调整相关属性指定可容纳条目数的缓存大小。但是,此属性已弃用,而是使用 nsslapd-cachememsize 属性,它为条目缓存大小设置绝对分配,如 第 4.4.4.2 节 “nsslapd-cachememsize” 所述。
尝试设置不是一个数字或者对于 32 位签名整数(在 32 位系统中)返回 LDAP_UNWILLING_TO_PERFORM 错误消息并解释该问题的附加错误信息的值。
必须重新启动服务器,以使对此属性的更改生效。
此设置的性能计数器为 64 位整数,即使在 32 位系统中,在 32 位系统中,设置本身仅限于 32 位整数,因为系统如何解决了内存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 64 位系统中 1 到 232-1,或 -1 在 64 位系统中有 263-1,这意味着没有限制 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-cachesize: -1 |
4.4.4.2. nsslapd-cachememsize
这个性能调优相关的属性指定条目缓存的可用内存空间大小(以字节为单位)。最简单的方法是在内存占用方面限制缓存大小。激活自动缓存大小将覆盖此属性,将这些值替换为其在服务器启动以后的阶段自行猜测的值。
尝试设置不是一个数字或者对于 32 位签名整数(在 32 位系统中)返回 LDAP_UNWILLING_TO_PERFORM 错误消息并解释该问题的附加错误信息的值。
此设置的性能计数器为 64 位整数,即使在 32 位系统中,在 32 位系统中,设置本身仅限于 32 位整数,因为系统如何解决了内存。
不要手动设置数据库缓存大小。红帽建议使用条目缓存自动大小功能来优化性能。详情请查看 Red Hat Directory Server Performance Tuning Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 500 KB 到64位系统中的 2 64 -1 |
| 默认值 | 209715200 (200 MiB) |
| 语法 | 整数 |
| 示例 | nsslapd-cachememsize: 209715200 |
4.4.4.3. nsslapd-directory
此属性指定数据库实例的路径。如果它是一个相对路径,它将从全局数据库条目 cn=config,cn=ldbm database,cn=plugins,cn=config 指定的路径开头。默认情况下,数据库实例目录按照实例名称命名,并位于全局数据库目录中。创建数据库实例后,请勿修改此路径,因为任何更改风险会阻止服务器访问数据。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 到数据库实例的任何有效路径 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-directory: /var/lib/dirsrv/slapd-实例/db/userRoot |
4.4.4.4. nsslapd-dncachememsize
这个性能调优相关的属性指定 DN 缓存的可用内存空间大小(以字节为单位)。DN 缓存与数据库的条目缓存类似,只有其表只存储条目 ID 和条目 DN。这允许更快地查找重命名和 moddn 操作。
最简单的方法是在内存占用方面限制缓存大小。
尝试设置不是一个数字或者对于 32 位签名整数(在 32 位系统中)返回 LDAP_UNWILLING_TO_PERFORM 错误消息并解释该问题的附加错误信息的值。
此设置的性能计数器为 64 位整数,即使在 32 位系统中,在 32 位系统中,设置本身仅限于 32 位整数,因为系统如何解决了内存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效范围 | 500 KB 到32位系统中的 2 32 -1,64位系统中的 2 64 -1 |
| 默认值 | 10,485,760(10MB) |
| 语法 | 整数 |
| 示例 | nsslapd-dncachememsize: 10485760 |
4.4.4.5. nsslapd-readonly
此属性为单一后端实例指定只读模式。如果此属性的值为 off,则用户具有其访问权限允许的所有读取、写入和执行权限。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
4.4.4.6. nsslapd-require-index
在 上 切换到 时,此属性可以拒绝未索引搜索。这个与性能相关的属性可避免错误地搜索服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-index: off |
4.4.4.7. nsslapd-require-internalop-index
当插件修改数据时,它在数据库中有一个写入锁定。在大型数据库中,如果插件随后执行未索引的搜索,该插件可以使用所有数据库锁定并破坏数据库,或者服务器变得无响应。要避免这个问题,您可以通过启用 nsslapd-require-internalop-index 参数来拒绝内部未索引搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-internalop-index: off |
4.4.4.8. nsslapd-suffix
此属性指定 数据库链接 的后缀。这是一个单值属性,因为每个数据库实例只能有一个后缀。在以前的版本中,在单个数据库实例上可以有多个后缀,但情况已不再如此。因此,此属性为单值,它会强制每个数据库实例只能有一个后缀条目。在条目创建后对此属性所做的所有更改仅在重启包含数据库链接的服务器后生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-suffix: o=Example |
4.4.4.9. vlvBase
此属性设置创建浏览或虚拟列表视图(VLV)索引的基本 DN。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvBase: ou=People,dc=example,dc=com |
4.4.4.10. vlvEnabled
vlvEnabled 属性提供特定 VLV 索引的状态信息,并且 Directory Server 在运行时设置此属性。虽然 vlvEnabled 在配置中显示,但您无法修改此属性。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 0(禁用) | 1(已启用) |
| 默认值 | 1 |
| 语法 | DirectoryString |
| 示例 | vlvEnbled: 0 |
4.4.4.11. vlvFilter
浏览或虚拟列表视图(VLV)索引是通过根据过滤器运行搜索并包括与索引中的过滤器匹配的条目来创建。过滤器在 vlvFilter 属性中指定。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 LDAP 过滤器 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvFilter:( |
4.4.4.12. vlvIndex(Object Class)
浏览索引 或虚拟列表视图(VLV)索引 会动态生成条目标头的缩写索引,从而更快地显示大型索引。VLV 索引定义有两个部分:一个定义索引,另一个部分定义用于标识要添加到索引的条目的搜索。vlvIndex 对象类定义索引条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.42
表 4.2. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 给出条目的通用名称。 |
| 标识浏览索引(虚拟列表视图索引)的属性列表。 |
表 4.3. 允许的属性
| 属性 | 定义 |
|---|---|
| 存储浏览索引的可用性。 | |
| 包含浏览索引的计数。 |
4.4.4.13. vlvScope
此属性设置搜索范围,以运行浏览或虚拟列表视图(VLV)索引中的条目。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | * 1(单级别或子搜索) * 2(子树搜索) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | vlvScope: 2 |
4.4.4.14. vlvSearch(对象类)
浏览索引 或虚拟列表视图(VLV)索引 会动态生成条目标头的缩写索引,从而更快地显示大型索引。VLV 索引定义有两个部分:一个定义索引,另一个部分定义用于标识要添加到索引的条目的搜索。vlvSearch 对象类定义搜索过滤器条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.38
表 4.4. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| 标识用于浏览索引的基本 DN。 | |
| 标识用于定义浏览索引的范围。 | |
| 标识用来定义浏览索引的过滤器字符串。 |
表 4.5. 允许的属性
| 属性 | 定义 |
|---|---|
| multiLineDescription | 给出条目的文本描述。 |
4.4.4.15. vlvSort
此属性为浏览或虚拟列表视图(VLV)索引中返回的条目设置排序顺序。
这个属性的条目是 vlvIndex 条目,在 vlvSearch 条目下。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何目录服务器属性,位于空格分隔的列表 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvSort: cn givenName o sn |
4.4.4.16. vlvUses
vlvUses 属性包含浏览索引使用的计数,而 Directory Server 会在运行时设置此属性。虽然 vlvUses 在配置中显示,但您无法修改此属性。
有关 VLV 索引的更多信息,请参阅管理指南 中的索引 章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=index_name,cn=userRoot,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | N/A |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | vlvUses: 800 |
4.4.5. database Attributes in cn=database,cn=monitor,cn=ldbm database,cn=plugins,cn=config
此树节点条目中的属性都是只读、数据库性能计数器。除 entrycachehits 和 entrycachetries 外,这些属性的所有值都是 32 位整数。
如果在 上将 cn=config 中的 nsslapd-counters 属性设为,那么 Directory Server 实例使用 64 位整数保存的一些计数器,即使在 32 位机器,或使用 32 位版本的 Directory Server 上。对于数据库监控,entrycachehits 和 entrycachetries 计数器使用 64 位整数。
nsslapd-counters 属性对这些特定数据库和服务器计数器启用 64 位支持。使用 64 位整数的计数器不可配置,可为所有允许的计数器启用 64 位整数。
nsslapd-db-abort-rate
此属性显示已中止的事务数量。
nsslapd-db-active-txns
此属性显示当前处于活跃状态的事务数量。
nsslapd-db-cache-hit
此属性显示缓存中找到的请求页面。
nsslapd-db-cache-try
此属性显示总缓存查找。
nsslapd-db-cache-region-wait-rate
此属性显示,在获取区域锁定前强制等待控制线程的次数。
nsslapd-db-cache-size-bytes
此属性显示总缓存大小(以字节为单位)。
nsslapd-db-clean-pages
此属性显示当前在缓存中的清理页面。
nsslapd-db-commit-rate
此属性显示已提交的事务数量。
nsslapd-db-deadlock-rate
此属性显示所检测到的死锁数量。
nsslapd-db-dirty-pages
此属性显示当前在缓存中的脏页面。
nsslapd-db-hash-buckets
此属性显示缓冲区散列表中的散列 bucket 数量。
nsslapd-db-hash-elements-examine-rate
此属性显示了在哈希表查找过程中遍历的散列元素总数。
nsslapd-db-hash-search-rate
此属性显示缓冲区散列表查找总数。
nsslapd-db-lock-conflicts
此属性显示因为冲突而不能立即可用的锁定总数。
nsslapd-db-lock-region-wait-rate
此属性显示,在获取区域锁定前强制等待控制线程的次数。
nsslapd-db-lock-request-rate
此属性显示请求的锁定总数。
nsslapd-db-lockers
此属性显示当前锁定数。
nsslapd-db-log-bytes-since-checkpoint
此属性显示自上次检查点以来写入此日志的字节数。
nsslapd-db-log-region-wait-rate
此属性显示,在获取区域锁定前强制等待控制线程的次数。
nsslapd-db-log-write-rate
此属性显示写入此日志的兆字节数和字节数。
nsslapd-db-longest-chain-length
此属性显示缓冲区散列查找中遇到的最长链。
nsslapd-db-page-create-rate
此属性显示缓存中创建的页面。
nsslapd-db-page-read-rate
此属性显示读取到缓存中的页面。
nsslapd-db-page-ro-evict-rate
此属性显示强制从缓存进行的清理页面。
nsslapd-db-page-rw-evict-rate
此属性显示从缓存强制进行脏页面。
nsslapd-db-page-trickle-rate
此属性显示使用 memp_trickle 接口编写的脏页面。
nsslapd-db-page-write-rate
此属性显示读取到缓存中的页面。
nsslapd-db-pages-in-use
此属性显示当前正在使用的所有页面清理或脏数据。
nsslapd-db-txn-region-wait-rate
此属性显示在获取区域锁定前强制等待控制的次数。
currentdncachecount
此属性显示 DN 缓存中当前存在的 DN 数量。
currentdncachesize
此属性显示 DN 缓存中当前存在的总大小(以字节为单位)。
maxdncachesize
此属性显示可在数据库 DN 缓存中维护的最大大小(以字节为单位)。
4.4.6. database Attributes in cn=monitor,cn=userRoot,cn=ldbm database,cn=plugins,cn=config
此树节点条目中的属性都是只读、数据库性能计数器。
如果在 上将 cn=config 中的 nsslapd-counters 属性设为,那么 Directory Server 实例使用 64 位整数保存的一些计数器,即使在 32 位机器,或使用 32 位版本的 Directory Server 上。对于数据库监控,entrycachehits 和 entrycachetries 计数器使用 64 位整数。
nsslapd-counters 属性对这些特定数据库和服务器计数器启用 64 位支持。使用 64 位整数的计数器不可配置,可为所有允许的计数器启用 64 位整数。
dbfilecachehit-number
此属性提供了执行该文件中需要数据的搜索以及从缓存中成功获取数据的次数。此属性名称中的数字与 dbfilename 中的数字对应。
dbfilecachemiss-number
此属性提供了执行该文件中需要数据的搜索的次数,并且无法从缓存中获取数据。此属性名称中的数字与 dbfilename 中的数字对应。
dbfilepagein-number
此属性提供了从此文件分配给缓存的页面数量。此属性名称中的数字与 dbfilename 中的数字对应。
dbfilepageout-number
此属性提供了从缓存写入磁盘中的此文件的页面数量。此属性名称中的数字与 dbfilename 中的数字对应。
currentDNcachecount
缓存 DN 的数量。
currentDNcachesize
当前 DN 缓存的大小(以字节为单位)。
DNcachehitratio
在缓存中找到的 DN 百分比。
DNcachehits
在缓存中找到的 DNS。
DNcachemisses
在缓存中没有找到 DNS。
DNcachetries
自实例启动以来缓存查找总数。
maxDNcachesize
nsslapd-ndn-cache-max-size 参数的当前值。有关如何更新此设置的详情,请参考 第 3.1.1.129 节 “nsslapd-ndn-cache-max-size”。
4.4.7. database Attributes in cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config
一组默认索引存储在其中。每个后端配置了默认索引,以便为大多数设置场景优化目录服务器功能。所有索引(除系统必要外)都可以被删除,但应该仔细考虑,因为不会造成不必要的中断。有关索引的详情,请参考 Red Hat Directory Server Administration Guide 中的"管理索引"一章。
4.4.7.1. cn
此属性向 index 提供属性的名称。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的索引 cn |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: aci |
4.4.7.2. nsIndex
此对象类在后端数据库中定义一个索引。这个对象在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.44
表 4.6. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 给出条目的通用名称。 |
| 确定索引是否为系统定义的索引。 |
表 4.7. 允许的属性
| 属性 | 定义 |
|---|---|
| description | 给出条目的文本描述。 |
| 标识索引类型。 | |
| 标识匹配的规则。 |
4.4.7.3. nsIndexType
此可选多值属性指定 Directory 服务器操作的索引类型,并使用要索引的属性值。每个所需索引类型都必须在单独的行中输入。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | * pres = 存在索引 * EQ = 相等的索引 * approx = approximate 索引 * sub = 子字符串索引 * 匹配规则 = 国际索引 * 索引浏览 = 浏览索引 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexType: eq |
4.4.7.4. nsMatchingRule
此可选多值属性指定匹配规则名称或 OID 的排序,用于匹配值并为属性生成索引键。这最常用于确保等同范围搜索能够为英语以外的语言(7-bit ASCII)正确工作。
这还用于允许范围搜索在 schema 定义中指定顺序匹配规则的整数语法属性。uidNumber 和 gidNumber 是从属于此类别的两个常用属性。
例如,对于使用整数语法的 uidNumber,rule 属性可以是 nsMatchingRule: integerOrderingMatch。
在保存更改且使用 db2index 重新构建索引后,对此属性的任何更改都不会生效,在 Red Hat Directory Server Administration Guide的"Managing Indexes"一章中详细介绍了详情。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何有效的 collation order 对象标识符(OID) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsMatchingRule: 2.16.840.1.113730.3.3.2.3.1(适用于 Bulgarian) |
4.4.7.5. nsSystemIndex
这个强制属性指定索引是否为 系统索引 (对于 Directory Server 操作至关重要的索引)。如果此属性的值为 true,则它是 system-essential。系统索引不应该被删除,因为这会严重破坏服务器功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nssystemindex: true |
4.4.8. database Attributes in cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config
除了存储在 cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config 之外,可以为用户定义的后端实例创建自定义索引;它们存储在 cn=index,cn=name,cn=ldbm database,cn=plugins,cn=config.每个索引属性代表 cn=config 信息树节点的子条目,如下图所示:
图 4.2. 索引属性代表子条目
例如,o=UserRoot 下的 aci 属性的索引文件会出现在 Directory Server 中,如下所示:
dn:cn=aci,cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config objectclass:top objectclass:nsIndex cn:aci nsSystemIndex:true nsIndexType:pres
这些条目共享 第 4.4.7 节 “database Attributes in cn=default indexes,cn=config,cn=ldbm database,cn=plugins,cn=config” 中默认索引中列出的所有索引属性。有关索引的详情,请参考 Red Hat Directory Server Administration Guide 中的"管理索引"一章。
4.4.8.1. nsIndexIDListScanLimit
此多值参数定义了特定索引的搜索限制或不使用 ID 列表。如需更多信息,请参阅 Directory Server Performance Tuning Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 请参阅 Directory Server Performance Tuning Guide 中的对应部分。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsIndexIDListScanLimit: limit=0 type=eq values=inetorgperson |
4.4.8.2. nsSubStrBegin
默认情况下,要索引搜索,搜索字符串必须至少为三个字符,而不计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是。索引搜索的速度比未索引搜索要快,因此更改搜索的最小长度有助于增加索引搜索数量。
可以根据任何通配符字符的位置编辑此子字符串长度。nsSubStrBegin 属性在通配符之前为搜索字符串的开头设置索引搜索所需的字符数。例如:
abc*
如果更改了此属性的值,则必须使用 db2index 来重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrBegin: 2 |
4.4.8.3. nsSubStrEnd
默认情况下,要索引搜索,搜索字符串必须至少为三个字符,而不计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是。索引搜索的速度比未索引搜索要快,因此更改搜索的最小长度有助于增加索引搜索数量。
可以根据任何通配符字符的位置编辑此子字符串长度。nsSubStrEnd 属性在通配符后面为搜索字符串的末尾设置索引搜索所需的字符数。例如:
*xyz
如果更改了此属性的值,则必须使用 db2index 来重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrEnd: 2 |
4.4.8.4. nsSubStrMiddle
默认情况下,要索引搜索,搜索字符串必须至少为三个字符,而不计算任何通配符字符。例如,字符串 abc 将是一个索引的搜索,而 ab* 不是。索引搜索的速度比未索引搜索要快,因此更改搜索的最小长度有助于增加索引搜索数量。
可以根据任何通配符字符的位置编辑此子字符串长度。nsSubStrMiddle 属性设置索引搜索所需的字符数,其中搜索字符串中间使用通配符。例如:
ab*z
如果更改了此属性的值,则必须使用 db2index 来重新生成索引。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_name,cn=index,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 任何整数 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsSubStrMiddle: 3 |
4.4.9. database Attributes in cn=attributeName,cn=encrypted attributes,cn=database_name,cn=ldbm database,cn=plugins,cn=config
nsAttributeEncryption 对象类允许对数据库中的属性进行选择加密。通过例行访问控制措施,如信用卡号码和政府标识号等极为敏感信息可能不够保护。通常,这些属性值存储在数据库中 CLEAR 中;加密它们存储了另一层保护。这个对象类具有一个属性 nsEncryptionAlgorithm,它设置每个属性使用的加密密码。每个加密属性代表上述 cn=config 信息树节点的子条目,如下图所示:
图 4.3. 在 cn=config 节点下加密属性
例如,o=UserRoot 下的 userPassword 属性的数据库加密文件会出现在 Directory Server 中,如下所示:
dn:cn=userPassword,cn=encrypted attributes,o=UserRoot,cn=ldbm database, cn=plugins,cn=config objectclass:top objectclass:nsAttributeEncryption cn:userPassword nsEncryptionAlgorithm:AES
要配置数据库加密,请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章的"数据基准加密"部分。有关索引的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理索引"章节。
4.4.9.1. nsAttributeEncryption(对象类)
此对象类用于识别和加密目录服务器数据库中所选属性的核心配置条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.316
表 4.8. 所需属性
| objectClass | 定义条目的对象类。 |
| cn | 指定使用其通用名称加密的属性。 |
| 使用的加密密码。 |
4.4.9.2. nsEncryptionAlgorithm
nsEncryptionAlgorithm 选择由 nsAttributeEncryption 使用的密码。该算法可以按加密属性设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attributeName,cn=encrypted attributes,cn=database_name,cn=ldbm database,cn=plugins,cn=config |
| 有效值 | 以下是支持的密码: * 高级加密标准块 Cipher(AES) * 条带化数据加密标准块 Cipher(3DES) |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsEncryptionAlgorithm: AES |
4.5. 数据库链路插件属性(链属性)
数据库链路插件属性也分为信息树,如下图所示:
图 4.4. 数据库链接插件
数据库链路实例使用的所有插件技术都存储在 cn=chaining 数据库 插件节点中。本节显示 图 4.4 “数据库链接插件” 中以 cn=chaining 数据库cn=plugins,cn=config 信息树中标记的三个节点的额外属性信息。
4.5.1. cn=config,cn=chaining database,cn=plugins,cn=config 下的 database Link Attributes
本节涵盖所有实例通用的全局配置属性,它们都存储在 cn=config,cn=chaining database,cn=plugins,cn=config tree node 中。
4.5.1.1. nsActiveChainingComponents
此属性使用 链列出组件。组件是服务器中的所有功能单元。此属性的值会覆盖全局配置属性中的值。要禁用特定数据库实例上的链,请使用值 None。此属性还允许更改用于链的组件。默认情况下,不允许组件链,它解释了为什么此属性可能不会出现在 cn=config,cn=chaining database,cn=config 属性列表中,因为 LDAP 会将空属性视为不存在。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的组件条目 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsActiveChainingComponents: cn=uid uniqueness,cn=plugins,cn=config |
4.5.1.2. nsMaxResponseDelay
此错误检测、与性能相关的属性指定远程服务器响应数据库链接提出的 LDAP 操作请求的最大时间。满足这个延迟周期后,数据库链接会测试与远程服务器的连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的延迟周期(以秒为单位) |
| 默认值 | 60 秒 |
| 语法 | 整数 |
| 示例 | nsMaxResponseDelay: 60 |
4.5.1.3. nsMaxTestResponseDelay
这个错误检测、与性能相关的属性指定数据库链接发布的测试持续时间,以检查远程服务器是否响应。如果在此周期通过前没有返回来自远程服务器的响应,数据库链接会假定远程服务器停机,并且连接不会用于后续的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的延迟周期(以秒为单位) |
| 默认值 | 15 秒 |
| 语法 | 整数 |
| 示例 | nsMaxTestResponseDelay: 15 |
4.5.1.4. nsTransmittedControls
此属性,可以是全局(以及动态)配置或实例(即 cn=database link instance,cn=chaining database,cn=plugins,cn=config)配置属性,允许更改控制数据库链接。以下控制默认由数据库链接转发:
- Managed DSA(OID: 2.16.840.1.113730.3.4.2)
- Virtual list 视图(VLV)(OID: 2.16.840.1.113730.3.4.9)
- 服务器端排序(OID: 1.2.840.113556.1.4.473)
- 循环检测(OID: 1.3.6.1.4.1.1466.29539.12)
可以将其他控件(如解引用和简单的页面结果)添加到要转发的控制列表中。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 由数据库链接转发的任何有效的 OID 或以上列出的控制 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | nsTransmittedControls: 1.2.840.113556.1.4.473 |
4.5.2. database Link Attributes in cn=default instance config,cn=chaining database,cn=plugins,cn=config
实例的 default 实例配置属性托管在 cn=default 实例配置中,cn=chaining database,cn=plugins,cn=config tree node 中。
4.5.2.1. nsAbandonedSearchCheckInterval
此属性显示服务器检查被带外操作前传递的秒数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 32 位整数(2147483647)秒 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsAbandonedSearchCheckInterval: 10 |
4.5.2.2. nsBindConnectionsLimit
此属性显示数据库链接与远程服务器建立的最大 TCP 连接数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 50 个连接 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsBindConnectionsLimit: 3 |
4.5.2.3. nsBindRetryLimit
与名称建议不同,此属性不指定数据库链路 尝试与远程服务器绑定的次数,但它 尝试 与远程服务器绑定的次数。此处为 1 的值表示数据库链接仅尝试绑定一次。
仅在连接失败时重试,而不适用于其他类型的错误,如无效的绑定 DN 或错误密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 3 |
| 语法 | 整数 |
| 示例 | nsBindRetryLimit: 3 |
4.5.2.4. nsBindTimeout
此属性显示绑定尝试超时前的时间。这个属性没有实际有效的范围,但合理的 patience 限值除外。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 到 60 秒 |
| 默认值 | 15 |
| 语法 | 整数 |
| 示例 | nsBindTimeout: 15 |
4.5.2.5. nsCheckLocalACI
保留以供高级使用。此属性控制在数据库链接和远程数据服务器上是否评估 ACI。对此属性的更改仅在服务器重启后生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsCheckLocalACI: on |
4.5.2.6. nsConcurrentBindLimit
此属性显示每个 TCP 连接的最大并发绑定操作数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 25 个绑定 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsConcurrentBindLimit: 10 |
4.5.2.7. nsConcurrentOperationsLimit
此属性指定允许的最大并发操作数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 50 个操作 |
| 默认值 | 2 |
| 语法 | 整数 |
| 示例 | nsConcurrentOperationsLimit: 5 |
4.5.2.8. nsConnectionLife
此属性指定连接生命周期。在数据库链接和远程服务器之间的连接可在未指定的时间内保持打开,或者在特定时间段内保持关闭。使连接保持开放速度快,但使用更多资源。当值为 0 且在 nsFarmServerURL 属性中提供故障切换服务器列表时,主服务器在切换到备用服务器后不会联系。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 0 以限制无秒(代表每隔 0 表示) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsConnectionLife: 0 |
4.5.2.9. nsOperationConnectionsLimit
此属性显示数据库链接与远程服务器建立的最大 LDAP 连接数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到 n 个连接 |
| 默认值 | 20 |
| 语法 | 整数 |
| 示例 | nsOperationConnectionsLimit: 10 |
4.5.2.10. nsProxiedAuthorization
保留以供高级使用。如果您禁用了 proxied 授权,则以 nsMultiplexorBindDn 属性中设置的用户绑定执行。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsProxiedAuthorization: on |
4.5.2.11. nsReferralOnScopedSearch
此属性控制范围搜索是否返回引用。此属性可用于优化目录,因为返回引用以响应范围的搜索效率。引用将返回到所有配置的场位服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsReferralOnScopedSearch: off |
4.5.2.12. nsSizeLimit
此属性显示数据库链接的默认大小限值(以字节为单位)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | -1 (无限制)最大 32 位整数(2147483647)条目 |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsSizeLimit: 2000 |
4.5.2.13. nsTimeLimit
此属性显示数据库链接的默认搜索时间限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=default 实例配置,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | -1 到最大 32 位整数(2147483647)秒 |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsTimeLimit: 3600 |
4.5.3. database Link Attributes under cn=database_link_name,cn=chaining database,cn=plugins,cn=config
此信息节点存储与包含数据的服务器相关的属性。场地服务器 是包含数据库数据的服务器。此属性可以包含可选服务器进行故障切换,用空格分开。对于级联链,此 URL 可以指向另一个数据库链接。
4.5.3.1. nsBindMechanism
此属性为场服务器设置绑定机制以连接到远程服务器。场所服务器是包含一个或多个数据库中数据的服务器。此属性配置连接类型,可以是标准、TLS 或 SASL。
-
"空"这会执行简单的验证,并需要
nsMultiplexorBindDn和nsMultiplexorCredentials属性来提供绑定信息。 外部.这使用 TLS 证书对场服务器进行远程服务器验证。辅助服务器 URL 必须设置为安全 URL(
ldaps)或者nsUseStartTLS属性必须设为on。此外,还必须配置远程服务器,将 farm 服务器证书映射到其绑定身份。证书映射在 管理指南 中进行说明。
-
DIGEST-MD5.这使用 SASL 和 DIGEST-MD5 加密。与简单的身份验证一样,这需要
nsMultiplexorBindDn和nsMultiplexorCredentials属性来提供绑定信息。 GSSAPI.这使用通过 SASL 的基于 Kerberos 的身份验证。辅助服务器必须通过标准端口连接,即 URL 带有
ldap,因为 Directory 服务器不支持 TLS 上的 SASL/GS-API。辅助服务器必须配置有 Kerberos keytab,并且远程服务器必须有一个定义的 SASL 映射用于辅助服务器绑定身份。《管理指南》 中介绍了设置 Kerberos keytab 和 SASL 映射。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | * 空 * EXTERNAL * DIGEST-MD5 * GSSAPI |
| 默认值 | empty |
| 语法 | DirectoryString |
| 示例 | nsBindMechanism: GSSAPI |
4.5.3.2. nsFarmServerURL
此属性提供远程服务器的 LDAP URL。场所服务器是包含一个或多个数据库中数据的服务器。此属性可以包含可选服务器进行故障切换,用空格分开。如果使用级联更改,这个 URL 可以指向另一个数据库链接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 任何有效的远程服务器 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsFarmServerURL: ldap://farm1.example.com farm2.example.com:389 farm3.example.com:1389/ |
4.5.3.3. nsMultiplexorBindDN
此属性提供了用于与远程服务器通信的管理条目的 DN。多路 多 是服务器,包含数据库链接并与场服务器通信。这个绑定 DN 不能是 Directory Manager,如果未指定此属性,则数据库链接将绑定为 匿名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | |
| 默认值 | multiplexor 的 DN |
| 语法 | DirectoryString |
| 示例 | nsMultiplexerBindDN: cn=proxy manager |
4.5.3.4. nsMultiplexorCredentials
管理员用户的密码,以纯文本形式提供。如果没有提供密码,这表示用户可以绑定为 匿名。密码在配置文件中加密。以下示例是显示的内容,而不是键入的内容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | 然后,任何有效的密码都使用 DES 逆向密码加密模式进行加密 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsMultiplexerCredentials: {DES} 9Eko69APCJfF |
4.5.3.5. nshoplimit
此属性指定数据库被允许链的次数上限;也就是说,请求可以从一个数据库链接转发给另一个数据库链接的次数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效范围 | 1 到部署的适当上限 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsHopLimit: 3 |
4.5.3.6. nsUseStartTLS
此属性设置是否使用 Start TLS 通过不安全的端口启动安全、加密的连接。如果 nsBindMechanism 属性被设置为 EXTERNAL,但辅助服务器 URL 设置为标准 URL(LDAP)或 nsBindMechanism 属性为空,则可以使用此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=database_link_name,cn=chaining database,cn=plugins,cn=config |
| 有效值 | off | on |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsUseStartTLS: on |
4.5.4. database Link Attributes in cn=monitor,cn=database 实例名称,cn=chaining database,cn=plugins,cn=config
用于监控实例活动的属性保存在 cn=monitor,cn=database 实例名称,cn=chaining 数据库,cn=plugins,cn=config 信息树中。
nsAddCount
此属性提供接收的添加操作数量。
nsDeleteCount
此属性提供收到的删除操作数量。
nsModifyCount
此属性提供接收的修改操作数量。
nsRenameCount
此属性提供接收的重命名操作数量。
nsSearchBaseCount
此属性提供接收的基本级别搜索数量。
nsSearchOneLevelCount
此属性提供收到的一级搜索数量。
nsSearchSubtreeCount
此属性提供收到的子树搜索数量。
nsAbandonCount
此属性提供接收的带外操作数量。
nsBindCount
此属性提供收到的绑定请求数量。
nsUnbindCount
此属性提供收到的未绑定数量。
nsCompareCount
此属性提供所接收的比较操作数量。
nsOperationConnectionCount
此属性提供正常操作的开放连接数量。
nsOpenBindConnectionCount
此属性提供了绑定操作的打开连接数量。
4.6. PAM 通过身份验证插件属性
Unix 系统上的本地 PAM 配置可以利用 LDAP 用户的外部身份验证存储。这是一个传递身份验证的一种形式,它允许 Directory 服务器使用外部存储的用户凭证进行目录访问。
PAM 传递身份验证会在 PAM Pass Auth Plug-in 容器条目下的子条目中配置。PAM 验证的所有可能配置属性(在 60pam-plugin.ldif 架构文件中定义)都可用于子条目,子条目必须是 PAM 配置对象类的实例。
例 4.1. PAM 通过身份验证配置条目示例
dn: cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: PAM Pass Through Auth nsslapd-pluginPath: libpam-passthru-plugin nsslapd-pluginInitfunc: pam_passthruauth_init nsslapd-pluginType: preoperationnsslapd-pluginEnabled: onnsslapd-pluginLoadGlobal: true nsslapd-plugin-depends-on-type: database nsslapd-pluginId: pam_passthruauth nsslapd-pluginVersion: 9.0.0 nsslapd-pluginVendor: Red Hat nsslapd-pluginDescription: PAM pass through authentication plugin dn: cn=Example PAM Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectClass: top objectClass: nsSlapdPlugin objectClass: extensibleObject objectClass: pamConfig cn: Example PAM Config pamMissingSuffix: ALLOWpamExcludeSuffix: cn=configpamIDMapMethod: RDN ou=people,dc=example,dc=compamIDMapMethod: ENTRY ou=engineering,dc=example,dc=compamIDAttr: customPamUidpamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)pamFallback: FALSEpamSecure: TRUEpamService: ldapserver
PAM 配置至少必须定义一个映射方法(确定 PAM 用户 ID 来自 Directory 服务器条目的方法)、PAM 服务器要使用的 PAM 服务器,以及是否使用与该服务的安全连接。
pamIDMapMethod: RDN pamSecure: FALSE pamService: ldapserver
可以为特殊设置扩展配置,如排除或特别包含子树,或者将特定属性值映射到 PAM 用户 ID。
4.6.1. pamConfig(Object Class)
此对象类用于定义 PAM 配置,以便与目录服务交互。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.318
4.6.2. pamExcludeSuffix
此属性指定从 PAM 验证中排除的后缀。
| OID | 2.16.840.1.113730.3.1.2068 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
4.6.3. pamFallback
如果 PAM 验证失败,则将是否回退到常规 LDAP 身份验证。
| OID | 2.16.840.1.113730.3.1.2072 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.6.4. pamFilter
设置 LDAP 过滤器,用于标识所含后缀中的特定条目,该后缀可用于使用 PAM 直通身份验证。如果没有设置,则后缀中的所有条目都作为配置条目的目标。
| OID | 2.16.840.1.113730.3.1.2131 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.6.5. pamIDAttr
此属性包含用于存放 PAM 用户 ID 的属性名称。
| OID | 2.16.840.1.113730.3.1.2071 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
4.6.6. pamIDMapMethod
给出将 LDAP 绑定 DN 映射到 PAM 身份的方法。
目录服务器用户帐户激活仅通过 ENTRY 映射方法进行验证。使用 RDN 或 DN 时,帐户处于激活的目录服务器用户仍可成功绑定到服务器。
| OID | 2.16.840.1.113730.3.1.2070 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.6.7. pamIncludeSuffix
此属性将后缀设置为包括 PAM 验证。
| OID | 2.16.840.1.113730.3.1.2067 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
4.6.8. pamMissingSuffix
标识如何处理缺少的 include 或 exclude 后缀。选项为 ERROR(导致绑定操作失败);ALLOW,这会记录错误,但允许操作继续;而 IGNORE,允许操作记录任何错误。
| OID | 2.16.840.1.113730.3.1.2069 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.6.9. pamSecure
需要安全 TLS 连接才能进行 PAM 验证。
| OID | 2.16.840.1.113730.3.1.2073 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.6.10. pamService
包含要传递给 PAM 的服务名称。这假设指定的服务在 /etc/pam.d/ 目录中有一个配置文件。
pam_fprintd.so 模块不能位于 PAM Pass- via Authentication Plug-in 配置的 pamService 属性所引用的配置文件中。使用 PAM pam_fprintd.so 模块会导致 Directory 服务器达到最大文件描述符限制,并可能导致 Directory Server 进程中止。
pam_fprintd.so 模块不能位于 PAM Pass- via Authentication Plug-in 配置的 pamService 属性所引用的配置文件中。使用 PAM 指纹模块可导致 Directory 服务器达到最大文件描述符限制,并可能导致 Directory Server 进程中止。
| OID | 2.16.840.1.113730.3.1.2074 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
4.7. 帐户策略插件属性
设定帐户策略,在经过一定时间后自动锁定帐户。这可用于创建仅对预先设定的时间有效或者锁定在一定时间内不活跃的用户的临时帐户。
帐户策略插件本身仅接受参数,该参数指向插件配置条目。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
帐户策略配置条目为整个服务器定义,用于帐户策略的属性。大多数配置都定义了用于评估帐户策略和过期时间的属性,但配置也定义了用于标识子树级帐户策略定义的对象类。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
一个插件被全局配置,可以在用户子树中创建帐户策略条目,然后这些策略可应用到用户,并通过服务类应用到角色。
例 4.2. 帐户策略定义
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
任何条目(单个用户和角色或 CoS 模板)都可以是帐户策略子条目。每个帐户策略子条目都会针对任何过期策略跟踪其创建和登录时间。
例 4.3. 带有帐户策略的用户帐户
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
4.7.1. altstateattrname
帐户到期策略基于帐户的一些时间标准。例如,对于不活跃策略,主要条件可能是最后的登录时间,即 lastLoginTime。但是,可能存在一个条目上不存在该属性的实例,例如从未登录其帐户的用户。altstateattrname 属性为服务器提供了可引用以评估过期时间的备份属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | altstateattrname: createTimeStamp |
4.7.2. alwaysRecordLogin
默认情况下,只有帐户策略直接应用到它们的条目 - 表示,带有 acctPolicySubentry 属性的条目 - 具有其登录时间跟踪时间。如果帐户策略通过服务或角色的类应用,则 acctPolicySubentry 属性位于模板或容器条目上,而不是用户条目本身。
alwaysRecordLogin 属性设置每个条目记录其最后一次登录时间。这允许 CoS 和角色用于应用帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 是 | no |
| 默认值 | 否 |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLogin: no |
4.7.3. alwaysRecordLoginAttr
Account Policy 插件使用 alwaysRecordLoginAttr 参数中设置的属性名称来存储用户的目录条目中此属性中最近一次成功登录的时间。如需更多信息,请参阅 目录服务器管理指南 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的属性名称 |
| 默认值 | stateAttrName |
| 语法 | DirectoryString |
| 示例 | alwaysRecordLoginAttr: lastLoginTime |
4.7.4. limitattrname
用户目录中的帐户策略条目定义帐户锁定策略的时间限制。这一时间限制可以在任何基于时间的属性中设置,策略条目可在 ti 中有多个基于时间的属性。用于帐户 inivation 限值的属性在帐户策略插件的 limitattrname 属性中定义,它会被全局应用于所有帐户策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | limitattrname: accountInactivityLimit |
4.7.5. specattrname
帐户策略确实有两个配置条目:插件配置条目中的全局设置,然后在用户目录中条目的 yser- 或 subtree 级别设置。可以直接在用户条目上设置帐户策略,也可以设置为 CoS 或角色配置的一部分。插件标识哪些条目是帐户策略配置条目的方式,方法是标识该条目上的特定属性,该属性将其标记为帐户策略。插件配置中的此属性为 specattrname ;它通常设置为 acctPolicySubentry。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | specattrname: acctPolicySubentry |
4.7.6. stateattrname
帐户到期策略基于帐户的一些时间标准。例如,对于不活跃策略,主要条件可能是最后的登录时间,即 lastLoginTime。用于评估帐户策略的主要时间属性是在 stateattrname 属性中设置的。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 有效范围 | 任何基于时间的条目属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | stateattrname: lastLoginTime |
4.8. AD DN 插件属性
AD DN 插件支持多个域配置。为每个域创建一个配置条目。详情请查看 Red Hat Directory Server Administration Guide 中的对应部分。
4.8.1. cn
设置配置条目的域名。该插件使用身份验证用户名中的域名来选择对应的配置条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn: example.com |
4.8.2. addn_base
设置目录服务器在 下搜索用户 DN 的基础 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_base: ou=People,dc=example,dc=com |
4.8.3. addn_filter
设置搜索过滤器。目录服务器自动将 %s 变量替换为身份验证用户的非域部分。例如,如果绑定中的用户名是 user_name@example.com,则过滤器将搜索对应的 DN,即 (&(objectClass=account)(uid=user_name))。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=domain_name,cn=addn,cn=plugins,cn=config |
| 有效条目 | 任何有效的 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | addn_filter: (&(objectClass=account)(uid=%s)) |
4.9. 自动成员资格插件属性
Automembership 本质上允许静态组充当动态组。不同的自动成员定义创建搜索,这些搜索会在所有新目录条目上自动运行。automembership 规则搜索并识别匹配的条目,与动态搜索过滤器非常相似,然后将这些条目作为成员显式添加到指定的静态组中。
Auto Membership 插件本身是一个容器条目。每个自动成员定义都是 Auto Membership 插件的子项。automember 定义定义了 LDAP 搜索基础并过滤 来识别条目以及要将其添加到的默认组。
dn: cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberDefinition cn: Hostgroups autoMemberScope: dc=example,dc=com autoMemberFilter: objectclass=ipHost autoMemberDefaultGroup: cn=systems,cn=hostgroups,ou=groups,dc=example,dc=com autoMemberGroupingAttr: member:dn
每个自动成员定义都可以具有自己的子条目,用于定义将条目分配给组的其他条件。正则表达式可用于包含或排除条目,并根据这些条件将它们分配到特定的组。
dn: cn=webservers,cn=Hostgroups,cn=Auto Membership Plugin,cn=plugins,cn=config objectclass: autoMemberRegexRule description: Group for webservers cn: webservers autoMemberTargetGroup: cn=webservers,cn=hostgroups,dc=example,dc=com autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com
如果条目与主定义匹配,而不匹配任何正则表达式条件,那么它将使用主定义中的组。如果匹配正则表达式条件,则会将其添加到正则表达式条件组中。
4.9.1. autoMemberDefaultGroup
此属性设置 default 或 fallback 组,以将条目添加为成员。如果只使用定义条目,则这是将所有匹配条目添加到的组。如果使用正则表达式条件,那么如果与 LDAP 搜索过滤器匹配的条目不匹配任何正则表达式,则该组将用作回退。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何现有的 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberDefaultGroup: cn=hostgroups,ou=groups,dc=example,dc=com |
4.9.2. autoMemberDefinition(Object Class)
此属性将条目标识为自动成员定义。此条目必须是 Auto Membership Plug-in、cn=Auto Membership Plugin,cn=plugins,cn=config 的子项。
允许的属性
- autoMemberScope
- autoMemberFilter
- autoMemberDefaultGroup
- autoMemberGroupingAttr
4.9.3. autoMemberExclusiveRegex
此属性设置单个正则表达式,用于标识 要排除的 条目。如果条目与排除条件匹配,则不会 包含在组中。可以使用多个正则表达式,如果条目与其中任何一个表达式匹配,则该组中将排除在该组中。
表达式的格式是与 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcre syntax(3)man page。
排除条件首先评估,其优先级高于 include 条件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberExclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.4. autoMemberFilter
此属性设置用于搜索匹配条目的标准 LDAP 搜索过滤器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 搜索过滤器 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberFilter:objectclass=ntUser |
4.9.5. autoMemberGroupingAttr
此属性在组条目和对象条目中的 属性指定 member 属性的名称,其提供 member 属性值,格式为 group_member_attr:entry_attr。
这种结构结构如何将成员添加到组中,具体取决于组配置。例如,对于 groupOfUniqueNames 用户组,每个成员都添加为 uniqueMember 属性。uniqueMember 的值是用户条目的 DN。本质上,每个组成员都由 uniqueMember: user_entry_DN 的 attribute-value 对来标识。然后,member 条目格式为 uniqueMember:dn。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberGroupingAttr: member:dn |
4.9.6. autoMemberInclusiveRegex
此属性设置单个正则表达式,用于标识要包含 的条目。可以使用多个正则表达式,如果条目与其中任一表达式匹配,则会包含在组中(假设它不与排除表达式匹配)。
表达式的格式是与 Perl 兼容的正则表达式(PCRE)。有关 PCRE 模式的详情,请查看 pcre syntax(3)man page。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何正则表达式 |
| 默认值 | 无 |
| 单或多值 | 多值 |
| 语法 | DirectoryString |
| 示例 | autoMemberInclusiveRegex: fqdn=^www\.web[0-9]+\.example\.com |
4.9.7. autoMemberProcessModifyOps
默认情况下,Directory 服务器会调用 Automembership 插件来添加和修改操作。使用这个设置时,当您向用户添加组条目或修改用户的组条目时,插件会更改组。如果将 autoMemberProcessModifyOps 设置为 off,则目录服务器仅在向用户添加组条目时调用 Automembership 插件。在这种情况下,如果管理员更改了用户条目,并且该条目会影响用户所属的 Automembership 组,该插件不会将该用户从旧组中删除,仅添加新的组。要更新旧的组,您必须手动运行修复的任务。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberProcessModifyOps: on |
4.9.8. autoMemberRegexRule(Object Class)
此属性将条目标识为正则表达式规则。此条目必须是自动成员定义的子项(objectclass: autoMemberDefinition)。
允许的属性
- autoMemberInclusiveRegex
- autoMemberExclusiveRegex
- autoMemberTargetGroup
4.9.9. autoMemberScope
此属性将子树 DN 设置为搜索条目。这是搜索基础。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器子树 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberScope: dc=example,dc=com |
4.9.10. autoMemberTargetGroup
如果满足正则表达式条件,则此属性会设置将条目作为成员添加到的组。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Auto Membership Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 组 |
| 默认值 | 无 |
| 单或多值 | 单一 |
| 语法 | DirectoryString |
| 示例 | autoMemberTargetGroup: cn=webservers,cn=hostgroups,ou=groups,dc=example,dc=com |
4.10. 分布式 Numeric Assignment 插件属性
分布式 Numeric Assignment 插件管理数字范围,并将该范围内的唯一数量分配给条目。通过将分配数量拆分为范围,分布式 Numeric Assignment 插件允许多个服务器分配没有冲突的数量。该插件也管理分配给服务器的范围,因此如果一个实例通过范围快速运行,它可以从其他服务器请求其他范围。
分布式数字分配可以配置为使用单一属性类型或多个属性类型,并且只适用于子树中的特定后缀和特定条目。
分布式数字分配由 per-attribute 处理,仅应用于子树中的特定后缀和特定条目。
4.10.1. dnaPluginConfig(Object Class)
此对象类用于配置 DNA 插件和数值范围以分配给条目的条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.324
允许的属性
- dnaType
- dnaPrefix
- dnaNextValue
- dnaMaxValue
- dnaInterval
- dnaMagicRegen
- dnaFilter
- dnaScope
- dnaSharedCfgDN
- dnaThreshold
- dnaNextRange
- dnaRangeRequestTimeout
- cn
4.10.2. dnaFilter
此属性设置 LDAP 过滤器,以用于搜索和识别应用分布式数字分配范围的条目。
需要 dnaFilter 属性来设置属性的分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaFilter:(objectclass=person) |
4.10.3. dnaInterval
此属性设置通过某一范围内的数字递增的间隔。实际上,这会以预定义的率跳过数字。如果间隔为 3,且范围中的第一个数字是 1,则该范围中使用的下一个数字为 4,然后是 7,然后是 10,为每个新数目分配递增三。
在复制环境中,dnaInterval 允许多个服务器共享相同的范围。但是,当您配置共享相同范围的不同服务器时,相应地设置 dnaInterval 和 dnaNextVal 参数,以便不同的服务器不会生成相同的值。如果您向复制拓扑添加新服务器,还必须考虑这一点。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何整数 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | dnaInterval: 1 |
4.10.4. dnaMagicRegen
此属性设置用户定义的值,指示插件为条目分配新值。magic 值可用于在添加新条目时将新的唯一数字分配给现有条目或作为标准设置。
magic 条目应该位于服务器定义的范围之外,因此无法意外触发该条目。请注意,在 DirectoryString 或其他字符类型中使用时,此属性不一定是数字。但是,在多数情况下,DNA 插件仅用于只接受整数值的属性,在这种情况下,dnamagicregen 值还必须是一个整数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaMagicRegen: -1 |
4.10.5. dnaMaxValue
此属性设置可为范围分配的最大值。默认值为 -1,与设置最高 64 位整数相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统中的最大 32 位整数,以及 64 位系统中的最多 64 位整数;-1 无限 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaMaxValue: 1000 |
4.10.6. dnaNextRange
此属性定义在当前范围耗尽时要使用的下一范围。当在服务器间传输范围时,这个值会被自动设置,但如果不使用范围请求,则可以手动将其设置为将范围添加到服务器。
只有当一个单独的范围需要分配给其他服务器时,才应明确设置 dnaNextRange 属性。dnaNextRange 属性中设置的任何范围必须从其他服务器可用范围内唯一,以避免重复。如果没有来自其他服务器的请求,并且设置了 dnaNextRange is correctly has explicitly reached its set dnaMaxValue,则从这个 deck 分配了 dnaNextRange的部分。
dnaNextRange 分配也受 DNA 配置中设置的 dnaThreshold 属性的限制。分配给另一个服务器的任何范围为 dnaNextRange 不能违反服务器阈值,即使该范围位于 deck dnaNextRange 中。
如果没有明确指定,则在内部处理 dnaNextRange 属性。当它被自动处理时,dnaMaxValue 属性充当下一范围的上限。
属性设置格式为 lower_range-upper_range 的范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统中最大 32 位整数,以及 64 位系统上最大 64 位整数(低和大写) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaNextRange: 100-500 |
4.10.7. dnaNextValue
此属性提供可分配的下一个可用数字。最初在配置条目中设置后,此属性由分布式 Numeric Assignment 插件管理。
需要 dnaNextValue 属性来设置属性的分布式数字分配。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统中的最大 32 位整数,以及 64 位系统中的最高 64 位整数 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | dnaNextValue: 1 |
4.10.8. dnaPrefix
此属性定义一个前缀,可添加到属性生成的数字值的前面。例如,要生成用户 ID(如 ),user 1000dnaPrefix 设置是用户。
dnaPrefix 可以存放任何类型的字符串。但是,dnaType 的某些可能值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑为 dnaType 使用自定义属性,允许字符串。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何字符串 |
| 默认值 | 无 |
| 示例 | dnaPrefix: id |
4.10.9. dnaRangeRequestTimeout
分布式 Numeric Assignment 插件有一种潜在情形,其中一个服务器开始耗尽要分配的数字。dnaThreshold 属性设置范围中的可用数字的阈值,以便服务器可以在无法执行数量的分配前从其他服务器请求其他范围。
dnaRangeRequestTimeout 属性设置超时期限(以秒为单位),以便服务器不会在一个服务器中等待新范围,并且可以从新服务器请求范围。
要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统中的最大 32 位整数,以及 64 位系统中的最高 64 位整数 |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | dnaRangeRequestTimeout: 15 |
4.10.10. dnaScope
此属性设置基础 DN 以搜索要应用分布式数字分配的条目。这类似于 ldapsearch 中的基本 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory 服务器条目 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | dnaScope: ou= folks,dc=example,dc=com |
4.10.12. dnaThreshold
分布式 Numeric Assignment 插件有一种潜在情况是,一个服务器开始耗尽要分配的数字,这可能会导致问题。分布式 Numeric Assignment 插件允许服务器从其他服务器上可用的范围请求新范围。
因此,服务器可以在达到分配范围的末尾时识别它,而 dnaThreshold 属性设置范围内剩余的可用数字的阈值。当服务器达到阈值时,它会为新范围发送请求。
要执行范围请求,必须设置 dnaSharedCfgDN 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 1 到 32 位系统中的最大 32 位整数,以及 64 位系统中的最高 64 位整数 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | dnaThreshold: 100 |
4.10.13. dnaType
此属性设置为其生成了唯一的数字的属性。在这种情况下,每当属性被添加到带有 magic number 的条目时,会自动提供一个分配的值。
此属性必须为属性设置分布式数字分配。
如果设置了 dnaPrefix 属性,则前缀值前会加上 dnaType 生成的任何值。dnaPrefix 值可以是任何类型的字符串,但 dnaType 的一些合理的值(如 uidNumber 和 gidNumber)只需要整数值。要使用前缀字符串,请考虑为 dnaType 使用自定义属性,允许字符串。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | 无 |
| 示例 | dnaType: uidNumber |
4.10.15. dnaHostname
此属性标识共享范围内服务器的主机名,作为多层次复制中该特定主机的 DNA 范围配置的一部分。可用范围由主机跟踪,且范围信息在所有供应商之间复制,因此如果任何供应商在可用数字上运行较低,可以使用主机信息与其他供应商联系并请求新范围。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效范围 | 任何有效的主机名 |
| 默认值 | 无 |
| 示例 | dnahostname: ldap1.example.com |
4.10.16. dnaPortNum
此属性提供标准端口号,用于连接到 dnaHostname 中标识的主机。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 示例 | dnaPortNum: 389 |
4.10.17. dnaRemainingValues
此属性包含剩余的值,并可用于分配给条目的服务器数量。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 任何整数 |
| 默认值 | 无 |
| 示例 | dnaRemainingValues: 1000 |
4.10.18. dnaRemoteBindCred
指定 Replication Manager 的密码。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,则另外 为 和 cn=config 条目下的 plug-indDNdnaRemoteBindCred 参数设置 dnaRemoteBindCred 参数。
使用纯文本设置 参数。该值会在存储前自动进行 AES 加密。
需要重启服务器,使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString {AES} encrypted_password |
| 有效值 | 任何有效的 AES 加密密码。 |
| 默认值 | |
| 示例 | dnaRemoteBindCred: {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVHQ1NxR1NJYjNEUVGRERBNEJDUmxObUk0WXpjM1l5MHda VE5rTXpZNA0KTnkxaE9XSmhORGRoT0MwMk1ESmpNV014TUFBQ0FRSUNBU0F3Q2dZSUtvWklodmNOQWdjd0hRWUpZSVp JQVdVRA0KQkFFcUJCQk5KbUFDUWFOMHlITWdsUVp3QjBJOQ==}bBR3On6cBmw0DdhcRx826g= |
4.10.19. dnaRemoteBindDN
指定 Replication Manager DN。如果您在需要身份验证的 dnaRemoteBindMethod 属性中设置了 bind 方法,则另外 为 和 cn=config 条目下的 plug-indDNdnaRemoteBindCred 参数设置 dnaRemoteBindCred 参数。
需要重启服务器,使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=DNA_config_entry,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config |
| 语法 | DirectoryString |
| 有效值 | 任何有效的复制管理器 DN。 |
| 默认值 | |
| 示例 | dnaRemoteBindDN: cn=replication manager,cn=config |
4.10.20. dnaRemoteBindMethod
指定远程绑定方法。如果您在此属性中设置了需要身份验证的绑定方法,则还为 cn=config 条目下的插件配置条目中的每个服务器设置 dnaRemoteBindDN 和 dnaRemoteBindCred 参数。
需要重启服务器,使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteBindMethod: SIMPLE |
4.10.21. dnaRemoteConnProtocol
指定远程连接协议。
需要重启服务器,使更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | DirectoryString |
| 有效值 |
|
| 默认值 | |
| 示例 | dnaRemoteConnProtocol: LDAP |
4.10.22. dnaSecurePortNum
此属性提供安全(TLS)端口号,用于连接到 dnaHostname 中标识的主机。
| 参数 | 描述 |
|---|---|
| 条目 DN | dnaHostname=host_name+dnaPortNum=port_number,ou=ranges,dc=example,dc=com |
| 语法 | 整数 |
| 有效范围 | 0 到 65535 |
| 默认值 | 636 |
| 示例 | dnaSecurePortNum: 636 |
4.11. 链接的属性
很多时候,条目具有相互固有关系(如经理和员工、文档条目及其作者或特殊组和组成员)。虽然存在反映这些关系的属性,但必须在每个条目上手动添加和更新这些属性。这可能导致目录数据集合不一致,其中这些条目关系不明确、过时或缺失。
Linked Attributes Plug-in 允许一个条目中设置的属性,以自动更新其他条目中的另一属性。第一个属性具有一个指向要更新的条目的 DN 值;第二个条目属性也具有 DN 值,它是第一个条目的 back-pointer。由用户以及受影响条目中的动态更新的"管理"属性在 Linked Attributes 插件实例中由管理员定义的链接属性。
从概念上讲,这与 MemberOf 插件使用组条目中的 member 属性在用户条目中设置 memberOf 属性的方式类似。只有 Linked Attributes 插件中,所有 link/managed 属性都是用户定义的属性,插件的多个实例都可反映不同的链接管理的关系。
链接属性有几个注意事项:
- link 属性和 managed 属性都必须将 DN 作为值。link 属性中的 DN 指向将 managed 属性添加到的条目。managed 属性包含链接的条目 DN 作为其值。
- managed 属性必须是多值。否则,如果多个链接属性指向同一受管条目,则 managed 属性值将无法准确更新。
4.11.1. linkScope
这会限制插件的范围,因此它仅在特定的子树或后缀中运行。如果未指定范围,则插件将更新目录树的任何部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何 DN |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | linkScope: ou=People,dc=example,dc=com |
4.11.2. linkType
这将设置 user-managed 属性。此属性由用户修改和维护,然后在此属性值改变时,链接属性会在目标条目中自动更新。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | linkType: directReport |
4.11.3. managedType
这将设置受管或插件维护的属性。此属性由 Linked Attributes 插件实例动态管理。每当对受管属性进行更改时,插件会更新目标条目上所有链接的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=plugin_instance,cn=Linked Attributes,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | 无 |
| 语法 | DN |
| 示例 | managedType: manager |
4.12. managed Entries 插件属性
在一些特殊情况下,创建另一个条目时会自动创建条目。例如,这可以通过在创建新用户时创建特定组条目来作为 Posix 集成的一部分。Managed Entries 插件的每个实例都识别两个区域:
- 插件的范围,即子树和搜索过滤器用于标识需要相应受管条目的条目
- 定义受管条目应当类似于的模板条目
4.12.1. managedBase
此属性设置下创建受管条目的子树。这可以是目录树中的任何条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedBase: ou=groups,dc=example,dc=com |
4.12.2. managedTemplate
此属性标识用于创建受管条目的模板条目。此条目可以位于目录树中的任何位置;但是,建议此条目采用复制后缀,以便复制中的所有供应商和消费者都使用相同的模板。
用于创建受管条目模板的属性在 Red Hat Directory Server Configuration、命令和文件参考 中描述。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 |
|
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | managedTemplate: cn=My Template,ou=Templates,dc=example,dc=com |
4.12.3. originFilter
此属性设置搜索过滤器,用于搜索和识别需要受管条目的子树中的条目。过滤器允许受管条目行为限制为特定类型的条目或条目子集。语法与常规搜索过滤器相同。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的 LDAP 过滤器 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originFilter: objectclass=posixAccount |
4.12.4. originScope
此属性设置搜索的范围,用于查看插件监视器的条目。如果在 scope 子树中创建新条目,则 Managed Entries 插件会创建一个与它对应的新受管条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=instance_name,cn=Managed Entries Plugin,cn=plugins,cn=config |
| 有效值 | 任何目录服务器子树 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | originScope: ou=Person,dc=example,dc=com |
4.13. memberOf 插件属性
组成员使用成员 等属性在组条目中定义。搜索 member 属性可轻松地列出组的所有成员。但是,组成员资格没有反映在成员的用户条目中,因此无法通过查看用户的条目告知用户所属的组。
MemberOf Plug-in 将组成员中的组成员资格与成员的独立目录条目同步,方法是识别组条目中特定成员属性(如 member)的更改,然后处理将成员资格更改写入到成员用户条目中的特定属性。
4.13.1. cn
设置插件实例的名称。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | cn: MemberOf Plugin 实例示例 |
4.13.2. memberOfAllBackends
此属性指定是否搜索本地后缀作为用户条目还是所有可用后缀。这可能最好是用户在多个数据库中分发的目录树中,以便可以全面、一致地评估组成员资格。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | memberOfAllBackends: on |
4.13.3. memberOfAttr
此属性指定 Directory 服务器的用户条目中的属性来反映组成员资格。MemberOf Plug-in 在成员的目录条目中生成此处指定的属性值。用户所属的每个组都有一个单独的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | memberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAttr: memberOf |
4.13.4. memberOfAutoAddOC
要启用 memberOf 插件向用户添加 memberOf 属性,用户对象必须包含允许此属性的对象类。如果条目没有允许 memberOf 属性的对象类,则 memberOf 插件将自动添加 memberOfAutoAddOC 参数中列出的对象类。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效值 | 任何 Directory Server 对象类 |
| 默认值 | nsMemberOf |
| 语法 | DirectoryString |
| 示例 | memberOfAutoAddOC: nsMemberOf |
4.13.5. memberOfEntryScope
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScope 参数可让您设置 MemberOf 插件的后缀。如果没有设置该参数,则插件可用于所有后缀。memberOfEntryScopeExcludeSubtree 参数中设置的值高于 memberOfEntryScope 中设置的值。
详情请查看 Directory Server Administration Guide 中的对应部分。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScope: ou=people,dc=example,dc=com |
4.13.6. memberOfEntryScopeExcludeSubtree
如果您配置了几个后端或多个嵌套后缀,则多值 memberOfEntryScopeExcludeSubtree 参数可让您设置后缀( TapOf 插件排除)。memberOfEntryScopeExcludeSubtree 参数中设置的值高于 memberOfEntryScope 中设置的值。如果两个参数中设置的范围重叠,MemberOf 插件仅适用于非重叠的目录条目。
详情请查看 Directory Server Administration Guide 中的对应部分。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何目录服务器条目 DN。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | memberOfEntryScopeExcludeSubtree: ou=sample,dc=example,dc=com |
4.13.7. memberOfGroupAttr
此属性指定组条目中用于识别组成员 DN 的属性。默认情况下,这是 member 属性,但可以是包含 DN 值的任何成员资格相关属性,如 uniquemember 或 member。
任何属性都可用于 memberOfGroupAttr 值,但只有 target 属性的值包含 member 条目的 DN 时,MemberOf 插件才起作用。例如,member 属性包含成员用户条目的 DN:
member: uid=jsmith,ou=People,dc=example,dc=com
某些与 member 相关的属性不包含 DN,如 memberURL 属性。该属性无法作为 memberOfGroupAttr 的值。memberURL 值是 URL,非DN 值不能用于 MemberOf 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=MemberOf Plugin,cn=plugins,cn=config |
| 有效范围 | 任何 Directory Server 属性 |
| 默认值 | member |
| 语法 | DirectoryString |
| 示例 | memberOfGroupAttr: member |
4.14. 属性唯一性插件属性
Attribute Uniqueness 插件确保属性值在目录或子树中是唯一的。
4.14.1. cn
设置 Attribute Unique 插件配置 记录的名称。您可以使用任何字符串,但红帽建议您命名配置记录 属性_name 属性唯一性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的字符串 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | cn:邮件属性唯一性 |
4.14.2. uniqueness-attribute-name
设置值必须是唯一的属性的名称。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-attribute-name: mail |
4.14.3. uniqueness-subtrees
设置插件检查属性值的唯一性的 DN。此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的子树 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtrees: ou= Sales,dc=example,dc=com |
4.14.4. uniqueness-across-all-subtrees
如果启用(在 上),插件会检查属性在所有子树集上是唯一的。如果将属性设置为 off,则唯一性仅在更新条目的子树中强制实施。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | uniqueness-across-all-subtrees: off |
4.14.5. uniqueness-top-entry-oc
目录服务器在更新对象的父条目中搜索这个对象类。如果没有找到,则搜索将在下一个更高级别条目继续进行,直到目录树的根目录。如果找到了对象类,Directory 服务器会验证此子树中在 uniqueness-attribute-name 中设置的属性值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-top-entry-oc: nsContainer |
4.14.6. uniqueness-subtree-entries-oc
(可选)当使用 uniqueness-top-entry-oc 参数时,您可以配置 Attribute Uniqueness 插件仅验证属性是否是唯一的,如果该条目包含此参数中设置的对象类。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=attribute_uniqueness_configuration_record_name,cn=plugins,cn=config |
| 有效值 | 任何有效的对象类 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | uniqueness-subtree-entries-oc: inetOrgPerson |
4.15. POSIX Winsync API 插件属性
默认情况下,Posix 相关属性不会在 Active Directory 和 Red Hat Directory Server 之间同步。在 Linux 系统中,系统用户和组群被识别为 Posix 条目,并且 LDAP Posix 属性包含所需信息。但是,当 Windows 用户同步时,它们有 ntUser 和 ntGroup 属性,这些属性自动将其识别为 Windows 帐户,但没有 Posix 属性同步(即使它们存在于 Active Directory 条目中),也没有添加 Posix 属性。
Posix Winsync API 插件在 Active Directory 和 Directory Server 条目之间同步 POSIX 属性。
所有 POSIX 属性(如 uidNumber、gidNumber 和 homeDirectory)都会在 Active Directory 和 Directory Server 条目之间同步。但是,如果新 POSIX 条目或 POSIX 属性添加到 Directory 服务器中的现有条目中,只有 POSIX 属性才会同步到 Active Directory 对应的条目 中。POSIX 对象类(posixAccount for users posixGroup for group)不会添加到 Active Directory 条目。
此插件默认为禁用,且必须在任何 Posix 属性从 Active Directory 条目同步到 Directory Server 条目前启用。
4.15.1. posixWinsyncCreateMemberOfTask
此属性设置在同步运行后是否立即运行 memberOf 修复任务,以便更新同步用户的组成员资格。默认情况下会禁用,因为 memberOf 修复任务可能是资源密集型,并在运行太频繁时导致性能问题。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncCreateMemberOfTask: false |
4.15.2. posixWinsyncLowerCaseUID
此属性将设置是否存储(必要时)在小写的 memberUID 属性中的 UID 值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncLowerCaseUID: false |
4.15.3. posixWinsyncMapMemberUID
此属性设置是否将 Active Directory 组中的 memberUID 属性映射到 Directory Server 组中的 uniqueMember 属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | true |
| 示例 | posixWinsyncMapMemberUID: false |
4.15.4. posixWinsyncMapNestedGrouping
当 Active Directory POSIX 组中的 memberUID 属性改变时,如果嵌套组被更新,posixWinsyncMapNestedGrouping 参数会管理。更新嵌套组支持五个级别的深度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMapNestedGrouping: false |
4.15.5. posixWinsyncMsSFUSchema
此属性设置了在同步 Active Directory 中的 Posix 属性时是否为 Unix 3.0(msSFU30)模式的旧 Microsoft System Services。默认情况下,Posix Winsync API 插件将 Posix 模式用于现代 Active Directory 服务器: 2005、2008 及更新版本。现代 Active Directory Posix 模式和 Windows Server 2003 和较旧 Windows 服务器使用的 Posix 模式之间存在细微差别。如果 Active Directory 域使用旧的模式,则改为使用旧的模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Posix Winsync API Plugin,cn=plugins,cn=config |
| 有效范围 | true | false |
| 默认值 | false |
| 示例 | posixWinsyncMsSFUSchema: true |
4.16. Retro Changelog Plug-in Attributes
Directory Server 维护两种不同的 changelogs。第一种类型被称为 更改日志 (称为更改日志)由多层次复制使用,第二个 changelog 称为" 重新简介更改日志"的插件,供 LDAP 客户端用于维护与 Directory Server 4.x 版本的应用程序兼容性。
这个 Retro Changelog 插件用于记录对供应商服务器所做的修改。当修改供应商服务器的目录时,会将条目写入包含以下内容的 Retro Changelog:
- 唯一标识修改的数字。这个数字对于 changelog 中的其他条目是相关的项。
- 修改操作;即,如何修改目录。
它通过 Retro Changelog 插件,通过搜索到 cn=changelog 后缀来访问 Directory 服务器所做的更改。
4.16.1. isReplicated
此可选属性设置一个标志,以指示更改日志中是否在该服务器上进行了新更改,还是从其他服务器上复制该更改。
| 参数 | 描述 |
|---|---|
| OID | 2.16.840.1.113730.3.1.2085 |
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | true | false |
| 默认值 | 无 |
| 语法 | 布尔值 |
| 示例 | isReplicated: true |
4.16.2. nsslapd-attribute
此属性显式指定在 retro changelog 条目中必须包含的另一个 Directory Server 属性。
很多操作属性和其他类型属性通常排除在恢复更改日志中,但这些属性可能需要为第三方应用显示,才能使用 changelog 数据。这可以通过使用 nsslapd-attribute 参数列出 retro changelog 插件配置中的 属性来实现。
您还可以在 nsslapd-attribute 值中为指定属性指定一个可选别名。
nsslapd-attribute: attribute:alias
将别名用于 属性有助于避免与外部服务器或应用中的其他属性冲突,这些属性可能会使用 retro changelog 记录。
将 nsslapd-attribute 属性的值设置为 isReplicated 是一种指示的方法,在 retro changelog 条目本身中,无论在本地服务器上进行了修改(更改是原始更改),还是将更改复制到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的目录属性(标准或自定义) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute: nsUniqueId: uniqueID |
4.16.3. nsslapd-changelogdir
此属性指定在运行插件时创建 changelog 数据库的目录名称。默认情况下,数据库将存储至 /var/lib/dirsrv/slapd-实例/changelogdb 下的所有其他数据库。
出于性能原因,将此数据库存储在不同的物理磁盘中。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 该目录的任何有效路径 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-changelogdir: /var/lib/dirsrv/slapd-instance/changelogdb |
4.16.4. nsslapd-changelogmaxage(Max Changelog Age)
此属性指定 changelog 中任何条目的最长期限。changelog 包含每个目录修改的记录,在同步消费者服务器时使用。每个记录包含一个时间戳。任何包含比此属性中指定的值旧的时间戳的记录都将被删除。如果缺少 nsslapd-changelogmaxage 属性,则更改日志记录没有期限限制。
如果协议超过最长期限,则过期的更改记录不会被删除。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效范围 | 0(满足该条目的期限不会被删除)到最大 32 位整数值(2147483647) |
| 默认值 | 7d |
| 语法 | DirectoryString Integer AgeID
AgeID 为 |
| 示例 | nsslapd-changelogmaxage: 30d |
4.16.5. nsslapd-exclude-attrs
nsslapd-exclude-attrs 参数存储要从 retro changelog 数据库中排除的属性名称。要排除多个属性,请为要排除的每个属性添加一个 nsslapd-exclude-attrs 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-attrs: 示例 |
4.16.6. nsslapd-exclude-suffix
nsslapd-exclude-suffix 参数存储用于从 retro changelog 数据库中排除的后缀。您可以多次添加该参数以排除多个后缀。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=Retro Changelog Plugin,cn=plugins,cn=config |
| 有效值 | 任何有效的属性名称 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-exclude-suffix: ou=demo,dc=example,dc=com |
4.17. RootDN 访问控制插件属性
root DN( cn=Directory Manager)是在普通用户数据库之外定义的特殊用户条目。普通的访问控制规则不应用到根 DN,但由于 root 用户的强大特性,因此可以将某些类型的访问控制规则应用到 root 用户是很有帮助的。
RootDN Access Control Plug-in 设置普通的访问控制 - 主机和 IP 地址限制、日常限制以及星期几限制 - 对 root 用户执行时间限制。
此插件默认是禁用的。
4.17.1. rootdn-allow-host
这将设置按完全限定的域名设置哪些主机,即 root 用户可以访问目录服务器。没有列出的任何主机都会隐式拒绝。
允许通配符。
此属性可多次使用来指定多个主机、域或子域。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的主机名或域,包括通配符的星号(*) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-host: *.example.com |
4.17.2. rootdn-allow-ip
这将为允许 root 用户用来访问目录服务器的计算机设置 IPv4 或 IPv6 的 IP 地址。没有列出的任何 IP 地址都会隐式拒绝。
允许通配符。
此属性可多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号(*) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-allow-ip :192.168. |
4.17.3. rootdn-close-time
这将设置允许 root 用户访问目录服务器时的时间段或范围的一部分。这会在基于时间的访问 结束时 设置,当 root 用户不再允许访问 Directory 服务器时。
这与 rootdn-open-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效时间,以 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-close-time: 1700 |
4.17.4. rootdn-days-allowed
这提供了以逗号分隔的、以逗号分隔的 root 用户访问目录服务器的天数列表。列出的任何天数都会隐式拒绝。这可以与 rootdn-close-time 和 rootdn-open-time 一起使用,以合并基于时间的、每周的访问和天数,也可以供自身使用(在允许之前允许的所有小时)一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效值 | * Sun * MON * Tue * 我们d *周四 * Fri * sat |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-days-allowed: Mon, Tue, Wed, Thu, Fri |
4.17.5. rootdn-deny-ip
这将为 不允许 root 用户用来访问目录服务器的计算机设置 IPv4 或 IPv6 的 IP 地址。任何未列出的 IP 地址都会被隐式允许。
拒绝规则超cede 允许规则,因此,如果在 rootdn-allow-ip 和 rootdn-deny-ip 属性中列出了 IP 地址,则会被拒绝访问。
允许通配符。
此属性可多次使用来指定多个地址、域或子网。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效的 IPv4 或 IPv6 地址,包括通配符的星号(*) |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | rootdn-deny-ip: 192.168.0.0 |
4.17.6. rootdn-open-time
这将设置允许 root 用户访问目录服务器时的时间段或范围的一部分。这将设置基于时间的访问何时 开始。
这与 rootdn-close-time 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=RootDN Access Control Plugin,cn=plugins,cn=config |
| 有效范围 | 任何有效时间,以 24 小时格式 |
| 默认值 | 无 |
| 语法 | 整数 |
| 示例 | rootdn-open-time:0800 |
4.18. 参考完整性插件属性
引用机密完整性可确保当您对目录中条目执行更新或删除操作时,服务器还会更新引用已删除/更新项的条目的信息。例如,如果从目录中删除用户条目并启用了参考完整性,服务器也会从用户所属的任意组中删除用户。
4.18.1. nsslapd-pluginAllowReplUpdates
参考完整性可能是一个非常资源要求的步骤。因此,如果您配置了 Multi-supplier 复制,引用保密的 Integrity 插件将默认忽略复制更新。但是,有时无法启用 Reviewential Integrity 插件,或者插件不可用。
例如,复制拓扑中的其中一个供应商是 Active Directory(请参阅 Windows Synchronization )以了解更多详细信息。在这种情况下,您可以允许另一个供应商上的 Seeential Integrity 插件使用 nsslapd-pluginAllowReplUpdates 属性处理复制更新。
只有一个供应商必须在多代复制拓扑中具有 nsslapd-pluginAllowReplUpdates 属性值。否则,这可能会导致复制错误,并需要一个完整的初始化来修复问题。另一方面,必须尽可能在所有供应中启用 Referential Integrity 插件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=referential integrity postoperation,cn=plugins,cn=config |
| 有效值 | on/off |
| 默认值 | off |
| 语法 | 布尔值 |
| 示例 | nsslapd-pluginAllowReplUpdates: on |
第 5 章 Catalog Entry Schema 参考
5.1. 关于 Directory Server Schema
本章概述了目录架构的一些基本概念,并列出说明该架构的文件。它描述了对象类、属性和对象标识符(OID),并简要讨论扩展服务器架构和模式检查。
5.1.1. 模式定义
目录架构是一组用于定义如何存储数据的规则。目录信息存储了离散条目,每个条目由一组属性及其值组成。条目中描述的身份种类在条目的对象类中定义。对象类指定条目通过对象类定义的一组属性描述的对象类型。
基本上,架构文件是可以创建( 对象类)的多种条目列表,以及这些条目可以描述的方式( 属性)。架构 定义 对象类和属性是什么。该架构也定义属性值包含的格式(属性 的语法),以及是否只能是该属性的单一实例。
额外的架构文件可以添加到目录服务器配置中并加载到服务器中,因此该架构可以自定义,并可根据需要进行扩展。
如需有关对象类、属性以及目录服务器使用架构的详细信息,请参阅 《部署指南》。
如果 schema 定义包含太数或太多字符,目录服务器无法启动。在 LDAP 标准允许使用零个或多个空格的地方使用一个空格;例如,NAME 关键字和属性类型名称之间的位置。
5.1.1.1. 对象类
在 LDAP 中,对象类定义可用于定义条目的属性集合。LDAP 标准为许多常见条目类型提供对象类,如人员 (人员和 inetOrgPerson)、组(groupOfUniqueNames)、位置(本地性)、机构和部门(组织和 组织单元)以及设备(设备)。
在架构文件中,对象类由 objectclasses 行标识,然后由其 OID、名称、描述、其直接高级对象类(对象类用于与对象类共享其属性)以及与这个对象类共享其属性的列表,以及所需(MUST)和允许的(MAY)属性的列表。
这在 例 5.1 “人员对象类架构条目” 中显示。
例 5.1. 人员对象类架构条目
objectClasses: ( 2.5.6.6 NAME 'person' DESC 'Standard LDAP objectclass' SUP top MUST ( sn $ cn ) MAY ( description $ seeAlso $ telephoneNumber $ userPassword ) X-ORIGIN 'RFC 2256' )
5.1.1.1.1. 所需的属性和允许的属性
每个对象类定义多个所需属性和允许的属性。所需属性必须在使用指定对象类的条目中出现,但允许的属性可用,但条目有效并不是必需的。
与 例 5.1 “人员对象类架构条目” 中一样,个人 对象类需要 cn、sn 和 objectClass 属性,并允许 描述、seeAlso、电话 和 userPassword 属性。
所有条目都需要 objectClass 属性,它会列出分配给该条目的对象类。
5.1.1.1.2. 对象类继承
一个条目可以有多个对象类。例如,一个人的条目由个人对象类定义,但同一人也可能由 inetOrgPerson 和 organizationalPerson 对象类中的属性描述。
此外,对象类也可以是分级。对象类也可以继承另一个类的属性,也可以继承其各自的必要属性和允许的属性。第二个对象类 是第一个 的卓越对象类。
服务器的对象类结构决定了特定条目所需的属性列表。例如,用户的条目必须具有 inetOrgPerson 对象类。在这种情况下,该条目还必须包括用于 inetOrgPerson、OrganizationPerson、Opery Person 的卓越对象类,即 :
objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson
当 inetOrgPerson 对象类分配给一个条目时,条目会自动从高级对象类继承所需的和允许的属性。
5.1.1.2. 属性
目录条目由属性及其值组成。这些对称为 属性断言或 AVAs。目录中的任何信息都与描述性属性相关联。例如,cn 属性用于存储个人的全名,如 cn: John Smith。
其他属性可以提供有关 John Smith 的额外信息:
givenname: John surname: Smith mail: jsmith@example.com
在 schema 文件中,属性由 attributetypes 行标识,后面跟着 OID、名称、描述、语法(允许的格式)以及是否是单属性还是多值的定义位置。
这在 例 5.2 “description Attribute Schema Entry” 中显示。
例 5.2. description Attribute Schema Entry
attributetypes: ( 2.5.4.13 NAME 'description' DESC 'Standard LDAP attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 X-ORIGIN 'RFC 2256' )
某些属性可以缩写。这些 abbreviations 列为属性定义的一部分:
attributetypes: ( 2.5.4.3 NAME ( 'cn' 'commonName' ) ...5.1.1.2.1. 目录服务器属性语法
属性的语法定义了属性允许的值的格式;与其他架构元素一样,利用架构文件条目中的语法为属性定义语法。在 Directory Server 控制台中,语法由其友好名称引用。
Directory 服务器使用属性的语法,对条目执行排序和模式匹配。
有关 LDAP 属性语法的详情,请参考 RFC 4517。
表 5.1. 支持的 LDAP 属性语法
| 名称 | OID | 定义 |
|---|---|---|
| 二进制 | 1.3.6.1.4.1.1466.115.121.1.5 | 已弃用。改为使用 10 月字符串。 |
| 位字符串 | 1.3.6.1.4.1.1466.115.121.1.6 |
对于作为位数的值,如 |
| 布尔值 | 1.3.6.1.4.1.1466.115.121.1.7 | 对于只有两个允许值的属性,TRUE 或 FALSE。 |
| 国家/地区字符串 | 1.3.6.1.4.1.1466.115.121.1.11 | 如果值只限制为两个可打印的字符串字符;例如,美国。 |
| DN | 1.3.6.1.4.1.1466.115.121.1.12 | 对于可分辨名称(DN)的值。 |
| 交付方法 | 1.3.6.1.4.1.1466.115.121.1.14 | 对于包含提供信息或联系实体的首选方法的值。不同值用美元符号($)分隔。例如: [literal,subs="+quotes,verbatim"] …. phone $ physical …. |
| 目录 String | 1.3.6.1.4.1.1466.115.121.1.15 | 对于有效的 UTF-8 字符串的值。这些值不一定不区分大小写。Directory 字符串和相关语法都提供区分大小写和不区分大小写的匹配规则。 |
| 增强的指南 | 1.3.6.1.4.1.1466.115.121.1.21 | 对于包含基于属性和过滤器的复杂搜索参数的值。 |
| Facsimile | 1.3.6.1.4.1.1466.115.121.1.22 | 表示包含 fax 数字的值。 |
| faven | 1.3.6.1.4.1.1466.115.121.1.23 | 对于包含传输的 faxes 的镜像的值。 |
| 常规时间 | 1.3.6.1.4.1.1466.115.121.1.24 | 对于以可打印字符串编码的值。必须指定时区。强烈建议使用 GMT 时间。 |
| 指南 | 1.3.6.1.4.1.1466.115.121.1.25 | 过时。对于包含基于属性和过滤器的复杂搜索参数的值。 |
| IA5 String | 1.3.6.1.4.1.1466.115.121.1.26 | 对于有效字符串的值。这些值不一定不区分大小写。对于 IA5 String 及相关语法,都提供区分大小写和不区分大小写的匹配规则。 |
| 整数 | 1.3.6.1.4.1.1466.115.121.1.27 | 代表整个数字。 |
| JPEG | 1.3.6.1.4.1.1466.115.121.1.28 | 包含镜像数据的值。 |
| 名称及可选 UID | 1.3.6.1.4.1.1466.115.121.1.34 | 对于包含 DN 和可选唯一 ID 的组合值的值。 |
| 数字字符串 | 1.3.6.1.4.1.1466.115.121.1.36 | 对于包含 numerals 和空格的字符串的值。 |
| OctetString | 1.3.6.1.4.1.1466.115.121.1.40 | 对于二进制值,替换二进制语法。 |
| 对象类描述 | 1.3.6.1.4.1.1466.115.121.1.37 | 包含对象类定义的值。 |
| OID | 1.3.6.1.4.1.1466.115.121.1.38 | 对于包含 OID 定义的值。 |
| 邮编地址 | 1.3.6.1.4.1.1466.115.121.1.41 |
对于以 [literal,subs="+quotes,verbatim"] ….1234 主要 St.$Raleigh, NC 12345$USA …. 每个 dstring 组件都被编码为 DirectoryString 值。反斜杠和美元符号(如果发生)会用引号进行引号,因此将不会为行分隔符而出错。许多服务器将邮编地址限制为最多三十 个字符的 6 行。 |
| 可打印的字符串 | 1.3.6.1.4.1.1466.115.121.1.44 | 对于包含可打印字符串的值。 |
| space-In 敏感字符串 | 2.16.840.1.113730.3.7.1 | 对于包含空格分隔字符串的值。 |
| TelephoneNumber | 1.3.6.1.4.1.1466.115.121.1.50 | 对于以电话号码格式的值。建议您在国际表单中使用电话号码。 |
| Teletex Terminal Identifier | 1.3.6.1.4.1.1466.115.121.1.51 | 对于包含国际电话号码的值。 |
| Telex Number | 1.3.6.1.4.1.1466.115.121.1.52 | 对于包含 telex 号、国家/地区代码的值,以及电话终端的回答代码。 |
| URI |
对于 URL 形式的值,由字符串(如 |
5.1.1.2.2. 单值和多值属性
默认情况下,大多数属性都是多值。这意味着条目可以多次包含同一属性,具有不同的值。例如:
dn: uid=jsmith,ou=marketing,ou=people,dc=example,dc=com ou: marketing ou: people
例如,cn、tel 和 objectclass 属性可以有多个值。是单值值的属性 - 也就是说,在架构中只能指定其中一个属性实例,因为只允许单个值。例如,uidNumber 只可以有一个可能的值,因此其 schema 条目具有术语 SINGLE-VALUE。如果属性是多值,则没有值表达式。
5.1.2. 默认目录服务器架构文件
Directory 服务器的模板架构定义存储在 /etc/dirsrv/schema 目录中。这些默认架构文件用于生成新的目录服务器实例的模式文件。每个服务器实例在 /etc/dirsrv/slapd-实例/schema 中都有自己的特定于实例的模式目录。实例目录中的架构文件仅由该实例使用。
要修改目录架构,请在实例特定架构目录中创建新属性和新对象类。由于默认模式用于创建新实例,并且每个实例都有自己的架构文件,每个实例的模式可能稍有不同,这与每个实例的使用匹配。
使用 Directory Server Console 或 LDAP 命令添加的自定义属性都存储在 99user.ldif 文件中;其他自定义模式文件可以添加到每个实例的 /etc/dirsrv/slapd-实例/schema 目录中。不要对 Red Hat Directory Server 提供的标准文件进行任何修改。
有关 Directory 服务器如何存储规划目录架构的信息和建议的更多信息,请参阅 《部署指南》。
表 5.2. 模式文件
| 架构文件 | 用途 |
|---|---|
| 00core.ldif | 从 X.500 和 LDAP 标准(RFCs)中推荐的内核模式。此架构供 Directory 服务器本身用于实例配置并启动服务器实例。 |
| 01core389.ldif | 从 X.500 和 LDAP 标准(RFCs)中推荐的内核模式。此架构供 Directory 服务器本身用于实例配置并启动服务器实例。 |
| 02common.ldif | RFC 2256、LDAPv3 和用于配置条目的目录服务器定义的标准相关模式。 |
| 05rfc2927.ldif | RFC 2927 的 schema,"LDAP 架构的MIME 目录配置文件"。 |
| 05rfc4523.ldif | X.509 证书的 schema 定义。 |
| 05rfc4524.ldif | Cosine LDAP/X.500 模式. |
| 06inetorgperson.ldif | RFC 2798、RFC 2079 以及 RFC 1274 的一部分,InetOrgPerson 架构元素。 |
| 10rfc2307.ldif | RFC 2307 的 schema,"使用 LDAP 作为网络信息服务的方法"。 |
| 20subscriber.ldif | Directory Server-Nortel 订阅者互操作性的通用架构元素。 |
| 25java-object.ldif | RFC 2713 的 schema,"在 LDAP 目录中代表 Java 对象的架构"。 |
| 28pilot.ldif | 试用 RFC 的 schema,特别是 RFC 1274,在新部署中不再使用。 |
| 30ns-common.ldif | 常见架构。 |
| 50ns-admin.ldif | 管理服务器使用的模式。 |
| 50ns-certificate.ldif | 红帽证书系统使用的模式。 |
| 50ns-directory.ldif | 传统目录服务器 4.x 服务器使用的模式。 |
| 50ns-mail.ldif | 邮件服务器的模式。 |
| 50ns-value.ldif | Directory 服务器中的值项的 schema。 |
| 50ns-web.ldif | Web 服务器的模式。 |
| 60autofs.ldif | 用于自动挂载配置的对象类;这是用于 NIS 服务器的几个架构文件之一。 |
| 60eduperson.ldif | 与教育相关的人员和组织条目的模式元素。 |
| 60mozilla.ldif | 与 Mozilla 相关的用户配置集的 schema 元素。 |
| 60nss-ldap.ldif | GSS-API 服务名称的模式元素。 |
| 60pam-plugin.ldif | 将目录服务与 PAM 模块集成的模式元素。 |
| 60pureftpd.ldif | 定义 FTP 用户帐户的 schema 元素。 |
| 60rfc2739.ldif | 日历和 vCard 属性的 schema 元素。 |
| 60rfc3712.ldif | 用于配置打印机的架构元素。 |
| 60sabayon.ldif | 定义 sabayon 用户条目的架构元素。 |
| 60sudo.ldif | 用于定义 sudo 用户和角色的架构元素。 |
| 60trust.ldif | 用于为 NSS 或 PAM 定义信任关系的 schema 元素。 |
| 99user.ldif | 通过 Directory 服务器控制台添加的自定义模式元素。 |
5.1.3. 对象标识符(OID)
所有 schema 元素分配有对象标识符(OID),包括属性和对象类。OID 是整数序列,通常以点分隔的字符串编写。所有自定义属性和类都必须符合 X.500 和 LDAP 标准。
如果没有为 schema 元素指定 OID,目录服务器会自动使用 ObjectClass_name-oid 和 attribute_name-oid。但是,使用文本 OID 而不是数字 OID 可能会导致客户端、服务器互操作性和服务器行为出现问题,强烈建议您分配一个数字 OID。
OID 可以构建于.基本 OID 是一个根数字,用于组织的每个 schema 元素,然后可以从那里递增架构元素。例如,基本 OID 可以是 1。然后,公司将 1.1 用于属性,因此每个新属性的 OID 为 1.1.x。它使用 1.2 用于对象类,因此每个新对象类都具有 1.2.x 的 OID。
对于 Directory Server 定义的 schema 元素,基本 OID 如下:
-
Netscape 基础 OID 为
2.16.840.1.113730。 -
Directory 服务器基础 OID 为
2.16.840.1.113730.3。 -
所有 Netscape 定义的属性都具有基础 OID
2.16.840.1.113370.3.1。 -
所有 Netscape 定义的对象类都具有基础 OID
2.16.840.1.113730.3.2。
如需有关 OID 或请求前缀的更多信息,请访问互联网编号授权机构(IANA)网站,访问地址: http://www.iana.org/
5.1.4. 扩展架构
目录服务器架构包含数百个对象类和属性,可用于满足大多数目录要求。此架构可以使用新的对象类和属性来扩展,通过创建自定义架构文件来满足企业中目录服务的不断变化的要求。
在架构中添加新属性时,应创建新的对象类来包含它们。在现有对象类中添加新属性可能会破坏目录服务器与依赖标准 LDAP 模式的现有 LDAP 客户端的兼容性,并可能会在升级服务器时造成困难。
有关扩展服务器模式的更多信息,请参阅 《部署指南》。
5.1.5. 模式检查
架构检查 意味着,Directory 服务器会在使用 LDIF 导入的数据库创建时检查每个条目,以确保它符合 schema 文件中的模式定义。模式检查会验证三个内容:
- 条目中使用的对象类和属性在目录架构中定义。
- 对象类所需的属性包含在条目中。
- 条目中仅包含对象类允许的属性。
您应该运行启用了架构检查的目录服务器。有关启用架构检查的详情,请参考 管理指南。
5.1.6. 语法验证
语法验证 意味着 Directory 服务器检查属性值是否与该属性的所需语法匹配。例如,语法验证将确认新的 phoneNumber 属性实际上具有其价值的有效电话号码。
使用其基本配置时,语法验证(如架构检查)将检查任何目录修改,以确保属性值与所需语法匹配,并将拒绝违反语法的任何修改。此外,也可选择将语法验证配置为记录关于语法冲突的警告消息,并拒绝更改或允许修改过程成功。
除 DN 外,所有语法都会根据 RFC 4514 进行验证。默认情况下,DN 会根据 RFC 1779 或 RFC 2253 验证,其比 RFC 4514 严格。必须配置 DN 的严格验证。
这个功能检查 表 5.1 “支持的 LDAP 属性语法” 中列出的所有属性语法,但二进制语法(无法验证)和非标准语法除外,它们没有定义所需的格式。未验证 的语法如下:
- 传真(二进制)
- 10 月字符串(二进制)
- JPEG(二进制)
- 二进制(非标准)
- 在敏感字符串中空格(非标准)
- URI(非标准)
启用语法验证后,每当向条目中添加或修改属性时,会检查 新 属性值。(这不包括 复制 更改,因为语法将在供应商服务器上检查。) 还可以通过运行 syntax-validation.pl 脚本来检查语法冲突 的现有 属性值。
有关语法验证选项的详情,请参考 管理指南。
5.2. 条目属性参考
本引用中列出的属性可手动分配或可用于目录条目。属性按照字母顺序列出,其定义、语法和 OID。
5.2.1. abstract
abstract 属性包含文档条目的抽象化。
| OID | 0.9.2342.19200300.102.1.9 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.2. accessTo
此属性定义允许用户访问的特定主机或服务器。
| OID | 5.3.6.1.1.1.1.1 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | nss_ldap/pam_ldap |
5.2.3. accountInactivityLimit
accountInactivityLimit 属性设置帐户的最后登录时间(以秒为单位),然后再锁定帐户以不活跃的时间。
| OID | 1.3.6.1.4.1.11.1.3.2.1.3 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.4. acctPolicySubentry
acctPolicySubentry 属性标识属于帐户策略的任何条目(特别是帐户锁定策略)。此属性的值指向应用到该条目的帐户策略。
这可以在单独的用户条目或 CoS 模板条目或角色条目中设置。
| OID | 1.3.6.1.4.1.11.1.3.2.1.2 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.5. administratorContactInfo
此属性包含 LDAP 或服务器管理员的联系信息。
| OID | 2.16.840.1.113730.3.1.74 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.6. adminRole
此属性包含分配给在条目中标识的用户的角色。
| OID | 2.16.840.1.113730.3.1.601 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape 管理服务 |
5.2.7. adminUrl
此属性包含管理服务器的 URL。
| OID | 2.16.840.1.113730.3.1.75 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.8. aliasedObjectName
aliasedObjectName 属性供 Directory 服务器用来识别别名条目。此属性包含此条目为别名的条目的 DN(区分名称)。例如:
aliasedObjectName: uid=jdoe,ou=people,dc=example,dc=com
| OID | 2.5.4.1 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.9. associatedDomain
associatedDomain 属性包含与目录树中的条目关联的 DNS 域。例如,带有可分辨名称 c=US,o=Example Corporation 的条目具有 EC.US 的相关域。这些域应该以 RFC 822 顺序表示。
associatedDomain:US
| OID | 0.9.2342.19200300.100.1.37 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.10. associatedName
associatedName 标识与 DNS 域关联的组织目录树条目。例如:
associatedName: c=us
| OID | 0.9.2342.19200300.100.1.38 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.11. attributeTypes
此属性在 schema 文件中用于识别子schema 中定义的属性。
| OID | 2.5.21.5 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.12. audio
audio 属性包含一个使用二进制格式的声音文件。此属性使用 u-law 编码的声音数据。例如:
audio:: AAAAAA==
| OID | 0.9.2342.19200300.100.1.55 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.13. authorCn
authorCn 属性包含文档作者的通用名称。例如:
authorCn: John Smith
| OID | 0.9.2342.19200300.102.1.11 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.14. authorityRevocationList
authorityRevocationList 属性包含已撤销的 CA 证书的列表。应请求此属性并以二进制格式存储,如 authorityRevocationList;binary。例如:
authorityrevocationlist;binary:: AAAAAA==
| OID | 2.5.4.38 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.15. authorSn
authorSn 属性包含文档条目作者的最后名称或系列名称。例如:
authorSn: Smith
| OID | 0.9.2342.19200300.102.1.12 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.16. automountInformation
此属性包含 autofs 自动挂载器使用的信息。
automountInformation 属性在 Directory Server 中的 60autofs.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 60autofs.ldif 文件,并将 /usr/share/dirsrv/data 目录中的 10rfc2307bis.ldif 文件复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.33 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.17. bootFile
此属性包含引导镜像文件名。
bootFile 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.24 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.18. bootParameter
此属性包含 rpc.bootparamd 的值。
bootParameter 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.23 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.19. buildingName
buildName 属性包含与条目关联的构建名称。例如:
buildingName: 14
| OID | 0.9.2342.19200300.100.1.48 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.20. businessCategory
businessCategory 属性标识了参与该条目的商业类型。属性值应该是广泛的通用化,如公司部门级别。例如:
businessCategory: Engineering
| OID | 2.5.4.15 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.21. c (countryName)
countryName 或 c,属性包含两个字符的国家/地区代码,用于代表国家名称。国家/地区代码由 ISO 定义。例如:
countryName: GB c: US
| OID | 2.5.4.6 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.22. cACertificate
cACertificate 属性包含一个 CA 证书。属性应请求并存储了二进制格式,如 cACertificate;binary。例如:
cACertificate;binary:: AAAAAA==
| OID | 2.5.4.37 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.23. carLicense
carLicense 属性包含一个条目的可自带许可证数。例如:
carLicense: 6ABC246
| OID | 2.16.840.1.113730.3.1.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.24. certificateRevocationList
certificateRevocationList 属性包含已撤销的用户证书列表。属性值是请求并以二进制形式存储,如 certificateACertificate;binary。例如:
certificateRevocationList;binary:: AAAAAA==
| OID | 2.5.4.39 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.25. cn (commonName)
commonName 属性包含条目的名称。对于用户条目,cn 属性通常是个人的全名。例如:
commonName: John Smith cn: Bill Anderson
使用 LDAPReplica 或 LDAPServerobject 对象类,cn 属性值的格式如下:
cn: replicater.example.com:17430/dc%3Dexample%2Cdc%3com
| OID | 2.5.4.3 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.26. co (friendlyCountryName)
friendlyCountryName 属性包含一个国家名称,可以是任意字符串。通常,国家/地区 将用于 ISO 指定的双字母国家代码,而 co 属性则包含可读的国家名称。例如:
friendlyCountryName: Ireland co: Ireland
| OID | 0.9.2342.19200300.100.1.43 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.27. cosAttribute
cosAttribute 包含为 CoS 生成值的属性的名称。可以指定多个 cosAttribute 值。此属性供所有类型的 CoS 定义条目使用。
| OID | 2.16.840.1.113730.3.1.550 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.28. cosIndirectSpecifier
cosIndirectSpecifier 指定间接 CoS 用于识别模板条目的属性值。
| OID | 2.16.840.1.113730.3.1.577 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.29. cosPriority
cosPriority 属性指定当 CoS 模板竞争提供属性值时,哪个模板提供属性值。此属性代表模板的全局优先级。优先级为零是最高优先级。
| OID | 2.16.840.1.113730.3.1.569 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.30. cosSpecifier
cosSpecifier 属性包含经典 CoS 使用的属性值,以及模板条目的 DN,用于标识模板条目。
| OID | 2.16.840.1.113730.3.1.551 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.31. cosTargetTree
cosTargetTree 属性定义 CoS 架构应用到的子树。此属性的 schema 和多个 CoS 模式的值可能会以任意方式与目标树重叠。
| OID | 2.16.840.1.113730.3.1.552 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.32. cosTemplateDn
cosTemplateDn 属性包含模板条目的 DN,其中包含共享属性值的列表。对模板条目属性值的更改会自动应用到 CoS 范围内的所有条目。单个 CoS 可能有多个与它关联的模板条目。
| OID | 2.16.840.1.113730.3.1.553 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.33. crossCertificatePair
必须请求 cross CertificatePair 属性的值,并以二进制格式存储,如 certificateCertificateRepair;binary。例如:
crossCertificatePair;binary:: AAAAAA==
| OID | 2.5.4.40 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.34. dc (domainComponent)
dc 属性包含域名的一个组件。例如:
dc: example domainComponent: example
| OID | 0.9.2342.19200300.100.1.25 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.35. deltaRevocationList
deltaRevocationList 属性包含一个证书撤销列表(CRL)。属性值以二进制格式存储,并以二进制格式存储,如 deltaRevocationList;binary。
| OID | 2.5.4.53 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.36. departmentNumber
departmentNumber 属性包含一个条目的部门号。例如:
departmentNumber: 2604
| OID | 2.16.840.1.113730.3.1.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.37. description
description 属性提供条目人类可读的描述。对于 个人或 机构 对象类,可用于条目的角色或工作分配。例如:
description: Quality control inspector for the ME2873 product line.
| OID | 2.5.4.13 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.38. destinationIndicator
destinationIndicator 属性包含与条目关联的城市和国家/地区。此属性一旦需要提供 public telegram 服务,通常与 registeredAddress 属性一起使用。例如:
destinationIndicator: Stow, Ohio, USA
| OID | 2.5.4.27 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.39. displayName
displayName 属性包含显示该人员条目时使用的人的首选名称。这对在一行摘要列表中显示条目的首选名称特别有用。由于其他属性类型(如 cn )是多值,因此无法使用它们来显示首选名称。例如:
displayName: John Smith
| OID | 2.16.840.1.113730.3.1.241 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.40. dITRedirect
dITRedirect 属性表示一个条目描述的对象现在在目录树中有一个较新的条目。当个人设置工作改变时,可以使用此属性,并且获取一个新的组织 DN 的个人。
dITRedirect: cn=jsmith,dc=example,dc=com
| OID | 0.9.2342.19200300.100.1.54 |
| 语法 | DN |
| 定义在 |
5.2.41. dmdName
dmdName 属性值指定一个目录管理域(DMD),它是运行 Directory 服务器的管理权限。
| OID | 2.5.4.54 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.42. dn (distinguishedName)
dn 属性包含一个条目的可分辨名称。例如:
dn: uid=Barbara Jensen,ou=Quality Control,dc=example,dc=com
| OID | 2.5.4.49 |
| 语法 | DN |
| 定义在 |
5.2.43. dNSRecord
dNSRecord 属性包含 DNS 资源记录,包括类型 A(地址)、类型 MX(Mail Exchange)、类型 NS(名称服务器)和类型 SOA(授权)资源记录类型。例如:
dNSRecord: IN NS ns.uu.net
| OID | 0.9.2342.19200300.100.1.26 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet Directory Pilot |
5.2.44. documentAuthor
documentAuthor 属性包含文档条目的作者 DN。例如:
documentAuthor: uid=Barbara Jensen,ou=People,dc=example,dc=com
| OID | 0.9.2342.19200300.100.1.14 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.45. documentIdentifier
documentIdentifier 属性包含文档的唯一标识符。例如:
documentIdentifier: L3204REV1
| OID | 0.9.2342.19200300.100.1.11 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.46. documentLocation
documentLocation 属性包含文档的原始版本的位置。例如:
documentLocation: Department Library
| OID | 0.9.2342.19200300.100.1.15 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.47. documentPublisher
documentPublisher 属性包含发布文档的人员或机构。例如:
documentPublisher: Southeastern Publishing
| OID | 0.9.2342.19200300.100.1.56 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.48. documentStore
documentStore 属性包含文档存储位置的信息。
| OID | 0.9.2342.19200300.102.1.10 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.49. documentTitle
documentTitle 属性包含文档的标题。例如:
documentTitle: Red Hat Directory Server Administrator Guide
| OID | 0.9.2342.19200300.100.1.12 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.50. documentVersion
documentVersion 属性包含文档的当前版本号。例如:
documentVersion: 1.1
| OID | 0.9.2342.19200300.100.1.13 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.51. drink (favouriteDrink)
favouriteDrink 属性包含个人最喜欢的 beverage。这可以缩短为 drink。例如:
favouriteDrink: iced tea drink: cranberry juice
| OID | 0.9.2342.19200300.100.1.5 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.52. dSAQuality
dSAQuality 属性包含目录系统代理(DSA)质量的评级。此属性允许 DSA 管理器表示 DSA 的预期级别可用。例如:
dSAQuality: high
| OID | 0.9.2342.19200300.100.1.49 |
| 语法 | directory-String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.53. employeeNumber
staffNumber 属性包含该人的员工数。例如:
employeeNumber: 3441
| OID | 2.16.840.1.113730.3.1.3 |
| 语法 | directory-String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.54. employeeType
employeesType 属性包含个人的招聘类型。例如:
employeeType: Full time
| OID | 2.16.840.1.113730.3.1.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.55. enhancedSearchGuide
enhancedSearchGuide 属性包含 X.500 客户端用来构建搜索过滤器的信息。例如:
enhancedSearchGuide: (uid=bjensen)
| OID | 2.5.4.47 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.56. fax (facsimileTelephoneNumber)
facsimileTelephoneNumber 属性包含该条目的 facsimile 编号;此属性可缩写为 fax。例如:
facsimileTelephoneNumber: +1 415 555 1212 fax: +1 415 555 1212
| OID | 2.5.4.23 |
| 语法 | TelephoneNumber |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.57. gecos
gecos 属性用于确定用户的 GECOS 字段。这与 cn 属性类似,虽然使用 gecos 属性可将其他信息嵌入到通用名称以外的 GECOS 字段中。如果 目录中存储的通用名称不是用户的全名,则此字段也很有用。
gecos: John Smith
gecos 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.58. generationQualifier
generationQualifier 属性包含一人名称的生成限定符,通常作为名称的一个后缀附加。例如:
generationQualifier:III
| OID | 2.5.4.44 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.59. gidNumber
gidNumber 属性包含组条目的唯一标识符,或者用于标识用户条目的组。这和 Unix 中的组编号类似。
gidNumber: 100
gidNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.1 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.60. givenName
givenName 属性包含一个条目的指定名称,通常是第一个名称。例如:
givenName: Rachel
| OID | 2.5.4.42 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.61. homeDirectory
homeDirectory 属性包含到用户主目录的路径。
homeDirectory: /home/jsmith
homeDirectory 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.3 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.62. homePhone
homePhone 属性包含条目常驻电话号码。例如:
homePhone: 415-555-1234
虽然 RFC 1274 定义了 homeTelephoneNumber 和 homePhone 作为常驻电话号码属性的名称,但目录服务器仅实施 homePhone 名称。
| OID | 0.9.2342.19200300.100.1.20 |
| 语法 | TelephoneNumber |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.63. homePostalAddress
homePostalAddress 属性包含一个条目的主邮件地址。由于此属性通常跨越多行,因此每个换行符都必须用美元符号($)表示。要代表属性值中的实际美元符号($)或反斜杠(\),请分别使用转义的十六进制值 \24 和 \5c。例如:
homePostalAddress: 1234 Ridgeway Drive$Santa Clara, CA$99555
代表以下字符串:
The dollar ($) value can be found in the c:\cost file.
条目值为:
The dollar (\24) value can be found$in the c:\c5cost file.
| OID | 0.9.2342.19200300.100.1.39 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.64. 主机
主机 包含计算机的主机名。例如:
host: labcontroller01
| OID | 0.9.2342.19200300.100.1.9 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.65. houseIdentifier
houseIdentifier 包含位置上特定构建的标识符。例如:
houseIdentifier: B105
| OID | 2.5.4.51 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.66. inetDomainBaseDN
此属性标识 DNS 域的用户子树的基本 DN。
| OID | 2.16.840.1.113730.3.1.690 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 订阅者互操作性 |
5.2.67. inetDomainStatus
此属性显示域的当前状态。域的状态为 active、active 或删除。
| OID | 2.16.840.1.113730.3.1.691 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 订阅者互操作性 |
5.2.68. inetSubscriberAccountId
此属性包含一个唯一属性,用于将订阅者的用户条目链接到账单系统。
| OID | 2.16.840.1.113730.3.1.694 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 订阅者互操作性 |
5.2.69. inetSubscriberChallenge
inetSubscriberChallenge 属性包含某些问题或提示,其质询短语用于确认 subscriberIdentity 属性中用户的身份。此属性与 inetSubscriberResponse 属性结合使用,其中包含对质询的响应。
| OID | 2.16.840.1.113730.3.1.695 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 | 订阅者互操作性 |
5.2.70. inetSubscriberResponse
inetSubscriberResponse 属性包含对 inetSubscriberChallenge 属性中质询问题的回答,以验证 subscriberIdentity 属性中的用户。
| OID | 2.16.840.1.113730.3.1.696 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 订阅者互操作性 |
5.2.71. inetUserHttpURL
此属性包含与用户关联的 Web 地址。
| OID | 2.16.840.1.113730.3.1.693 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 订阅者互操作性 |
5.2.72. inetUserStatus
此属性显示用户(subscriber)的当前状态。用户的状态为 active、active 或删除。
| OID | 2.16.840.1.113730.3.1.692 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-Valued |
| 定义在 | 订阅者互操作性 |
5.2.73. info
info 属性包含与对象相关的任何常规信息。避免将此属性用于特定信息,而是依赖特定的可能自定义属性类型。例如:
info: not valid
| OID | 0.9.2342.19200300.100.1.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.74. Initials
初始 包含一个个人最初的,它不包含条目的短名称。例如:
initials: BAJ
目录服务器和 Active Directory 处理 初始 属性不同的是不同的。目录服务器允许实际的数量限制的字符,而 Active Directory 则限制为六个字符。如果条目与 Windows 对等点同步,且 initials 属性的值已超过六个字符,那么该值会在同步后自动截断到六个字符。错误日志没有写入错误日志的信息,表示同步更改了属性值。
| OID | 2.5.4.43 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.75. installationTimeStamp
它包含服务器实例安装的时间。
| OID | 2.16.840.1.113730.3.1.73 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.76. internationalISDNNumber
internationalISDNNumber 属性包含文档条目的 ISDN 号。此属性使用 CCITT Rec 中提供的 ISDN 地址的国际认可格式。E.164.
| OID | 2.5.4.25 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.77. ipHostNumber
它包含服务器的 IP 地址。
ipHostNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.19 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.78. ipNetmaskNumber
这包括服务器的 IP 子网掩码。
ipHostNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 2.16.840.1.113730.3.1.73 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.79. ipNetworkNumber
这标识了 IP 网络。
ipNetworkNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.20 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-Valued |
| 定义在 |
5.2.80. ipProtocolNumber
此属性标识 IP 协议版本号。
ipProtocolNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.17 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-Valued |
| 定义在 |
5.2.81. ipServicePort
此属性提供 IP 服务使用的端口。
ipServicePort 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.15 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-Valued |
| 定义在 |
5.2.82. ipServiceProtocol
这标识了 IP 服务使用的协议。
ipServiceProtocol 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.16 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.83. janetMailbox
janetMailbox 包含 JANET 电子邮件地址,通常用于位于英国的用户,不使用 RFC 822 电子邮件地址。具有此属性的条目必须包含 rfc822Mailbox 属性。
| OID | 0.9.2342.19200300.100.1.46 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.84. jpegPhoto
jpegPhoto 属性包含一个 JPEG 照片(一个二进制值)。例如:
jpegPhoto:: AAAAAA==
| OID | 0.9.2342.19200300.100.1.60 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.85. keyWords
keyWord 属性包含与 条目关联的关键字。例如:
keyWords: directory LDAP X.500
| OID | 0.9.2342.19200300.102.1.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.86. knowledgeInformation
不再使用此属性。
| OID | 2.5.4.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.87. l (localityName)
Locality Name 或 l, 属性包含与 条目关联的数量、城市或其他地理设计。例如:
localityName: Santa Clara l: Santa Clara
| OID | 2.5.4.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.88. labeledURI
labeledURI 包含与 条目有关的统一资源标识符(URI)。放置在 属性中的值应该由一个 URI(当前只支持 URL)组成,可选择后跟一个或多个空格和标签。
labeledURI: http://home.example.com labeledURI: http://home.example.com Example website
| OID | 1.3.6.1.4.1.250.1.57 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.89. loginShell
loginShell 属性包含到用户登录域时自动启动的脚本的路径。
loginShell: c:\scripts\jsmith.bat
loginShell 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.4 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.90. macAddress
此属性为服务器或设备提供 MAC 地址。
macAddress 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.22 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.91. mail
mail 属性包含用户的主电子邮件地址。此属性值由页面应用程序检索并显示。例如:
mail: jsmith@example.com
| OID | 0.9.2342.19200300.100.1.3 |
| 语法 | DirectyString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.92. mailAccessDomain
此属性列出了用户可用于访问消息传递服务器的域。
| OID | 2.16.840.1.113730.3.1.12 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.93. mailAlternateAddress
mailAlternateAddress 属性包含用户的其他电子邮件地址。此属性没有反映默认或主电子邮件地址,此电子邮件地址由 mail 属性设置。
例如:
mailAlternateAddress: jsmith@example.com mailAlternateAddress: smith1701@alt.com
| OID | 2.16.840.1.113730.3.1.13 |
| 语法 | DirectyString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.94. mailAutoReplyMode
此属性设置是否为消息传递服务器启用自动回复。
| OID | 2.16.840.1.113730.3.1.14 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.95. mailAutoReplyText
此属性存储自动电子邮件中使用的文本。
| OID | 2.16.840.1.113730.3.1.15 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.96. mailDeliveryOption
此属性定义用于邮件用户的邮件发送机制。
| OID | 2.16.840.1.113730.3.1.16 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.97. mailEnhancedUniqueMember
此属性包含邮件组的唯一成员的 DN。
| OID | 2.16.840.1.113730.3.1.31 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.98. mailForwardingAddress
此属性包含要将用户电子邮件转发到的电子邮件地址。
| OID | 2.16.840.1.113730.3.1.17 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.99. mailHost
mailHost 属性包含邮件服务器的主机名。例如:
mailHost: mail.example.com
| OID | 2.16.840.1.113730.3.1.18 |
| 语法 | DirectyString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.100. mailMessageStore
这标识了用户电子邮件的位置。
| OID | 2.16.840.1.113730.3.1.19 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.101. mailPreferenceOption
mailPreferenceOption 定义是否应将用户包含在电子邮件列表上,即电子和物理。有三个选项:
| 0 | 不会在邮件列表中显示。 |
| 1 | 添加到任何邮件列表中。 |
| 2 | 仅将提供程序视图与用户兴趣相关的邮件列表添加到邮件列表中。 |
如果缺少 属性,则默认值假定任何邮件列表中不包含该用户。任何使用该目录来派生邮件列表及其值的任何人都应解释此属性。例如:
mailPreferenceOption: 0
| OID | 0.9.2342.19200300.100.1.47 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.102. mailProgramDeliveryInfo
此属性包含任何用于编程邮件发送的命令。
| OID | 2.16.840.1.113730.3.1.20 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.103. mailQuota
此属性设置用户邮件框允许的磁盘空间量。
| OID | 2.16.840.1.113730.3.1.21 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.104. mailRoutingAddress
此属性包含要将用户收到的电子邮件转发到另一个消息传递服务器时使用的路由地址。
| OID | 2.16.840.1.113730.3.1.24 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.105. Manager
管理器 包含该人的可分辨名称(DN)。例如:
manager: cn=Bill Andersen,ou=Quality Control,dc=example,dc=com
| OID | 0.9.2342.19200300.100.1.10 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.106. member
member 属性包含组的每个成员的可分辨名称(DN)。例如:
member: cn=John Smith,dc=example,dc=com
| OID | 2.5.4.31 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.107. memberCertificateDescription
此属性是一种多值属性,其中每个值都是描述、模式或与证书主题 DN 的过滤器,通常是用于 TLS 客户端身份验证的证书。
memberCertificateDescription 与包含主题 DN 的任何证书与描述相同属性断言(AVA)匹配。描述可以包含多个 AVA s。匹配的 DN 必须包含相同的顺序,但可能会与其他 AVAs(包括其他 AVA)进行交互。 对于任何其他属性类型(不是 ),描述描述中应该最多有一个 AVA。如果存在多个,但最后一都会被忽略。
匹配的 DN 必须包含相同的 AVA,但没有接近 root 用户相同的 AVA。
如果 AVAs 包含相同的属性描述(区分大小写的比较)和相同的属性值(区分大小写的比较、前置和结尾空白,以及连续的空白字符视为单一空格),则被视为相同属性(不区分大小写的比较)。
要被视为具有以下 memberCertificateDescription 值的组的成员,证书需要包含 ou=x、ou=A、和 dc=example,但不包括 dc=company。
memberCertificateDescription: {ou=x,ou=A,dc=company,dc=example}
要匹配组的要求,证书的对象 DN 必须包含与 memberCertificateDescription 属性中定义的相同顺序相同的属性类型。
| OID | 2.16.840.1.113730.3.1.199 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.108. memberNisNetgroup
此属性通过列出合并网络组的名称,将另一个 netgroup 的属性值合并到当前部分中。
memberNisNetgroup 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.13 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.109. memberOf
此属性包含用户所属的组名称。
memberOf 是成员的用户条目上由 MemberOf 插件生成的默认属性。此属性自动同步到组条目中列出的 成员 属性,从而显示条目的组成员资格由 Directory Server 管理。
如果启用了 MemberOf 插件且配置为使用此属性,则此属性仅在组条目和相应的成员的用户条目之间同步。
| OID | 1.2.840.113556.1.2.102 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 委派管理员 |
5.2.110. memberUid
memberUid 属性包含组成员的登录名称;这可能与 member 属性中标识的 DN 不同。
memberUID: jsmith
memberUID 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.12 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.111. memberURL
此属性标识与组的每个成员关联的 URL。可以使用任何标记的 URL。
memberURL: ldap://cn=jsmith,ou=people,dc=example,dc=com
| OID | 2.16.840.1.113730.3.1.198 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.112. mepManagedBy
此属性在自动生成的条目中包含一个指针,指向原始条目的 DN。此属性由 Managed Entries 插件设置,且无法手动修改。
| OID | 2.16.840.1.113730.3.1.2086 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.113. mepManagedEntry
此属性 包含指向 自动生成的条目(对应于当前条目)的指针。此属性由 Managed Entries 插件设置,且无法手动修改。
| OID | 2.16.840.1.113730.3.1.2087 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.114. mepMappedAttr
此属性在 Managed Entries 模板条目中设置属性,该条目必须在生成的条目中存在。映射 表示原始条目的一些值用于提供给定属性。这些属性的值将以形式 属性为令牌:$attr。例如:
mepMappedAttr: gidNumber: $gidNumber
只要属性的扩展令牌语法不违反所需的属性语法,那么可在 属性中使用其他术语和字符串。例如:
mepMappedAttr: cn: Managed Group for $cn
| OID | 2.16.840.1.113730.3.1.2089 |
| 语法 | OctetString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.115. mepRDNAttr
此属性设置在 Managed Entries 插件创建的自动创建条目中用作 naming 属性的属性。在 naming 属性中 给出的任何属性类型都应出现在受管条目模板条目中,作为 mepMappedAttr。
| OID | 2.16.840.1.113730.3.1.2090 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
5.2.116. mepStaticAttr
此属性使用定义值设置属性,该属性必须添加到由 Managed Entries 插件管理的自动生成的条目中。这个值将用于由 Managed Entries 插件实例生成的每个条目。
mepStaticAttr: posixGroup
| OID | 2.16.840.1.113730.3.1.2088 |
| 语法 | OctetString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.117. mgrpAddHeader
此属性包含有关消息中标头的信息。
| OID | 2.16.840.1.113730.3.1.781 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.118. mgrpAllowedBroadcaster
此属性设置是否允许用户发送广播信息。
| OID | 2.16.840.1.113730.3.1.22 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.119. mgrpAllowedDomain
此属性设置 mail 组的域。
| OID | 2.16.840.1.113730.3.1.23 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.120. mgrpApprovePassword
此属性设置用户是否必须批准用于访问其电子邮件的密码。
| OID | mgrpApprovePassword-oid |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape Messaging Server |
5.2.121. mgrpBroadcasterPolicy
此属性定义广播电子邮件的策略。
| OID | 2.16.840.1.113730.3.1.788 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.122. mgrpDeliverTo
此属性包含有关电子邮件的交付目的地的信息。
| OID | 2.16.840.1.113730.3.1.25 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.123. mgrpErrorsTo
此属性包含有关为消息传递服务器发送错误消息的位置的信息。
| OID | 2.16.840.1.113730.3.1.26 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape Messaging Server |
5.2.124. mgrpModerator
此属性包含邮件列表 moderator 的联系人名称。
| OID | 2.16.840.1.113730.3.1.33 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.125. mgrpMsgMaxSize
此属性设置允许电子邮件消息的最大大小。
| OID | 2.16.840.1.113730.3.1.32 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape Messaging Server |
5.2.126. mgrpMsgRejectAction
此属性定义消息传递服务器应针对被拒绝的消息执行的操作。
| OID | 2.16.840.1.113730.3.1.28 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.127. mgrpMsgRejectText
此属性设置用于拒绝通知的文本。
| OID | 2.16.840.1.113730.3.1.29 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.128. mgrpNoDuplicateChecks
此属性定义消息传递服务器检查重复电子邮件。
| OID | 2.16.840.1.113730.3.1.789 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape Messaging Server |
5.2.129. mgrpRemoveHeader
此属性设置是否在回复信息中删除标头。
| OID | 2.16.840.1.113730.3.1.801 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.130. mgrpRFC822MailMember
此属性标识邮件组的成员。
| OID | 2.16.840.1.113730.3.1.30 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.131. 手机
或手机)包含条目的手机或手机号码。例如:
移动 或手机手机(手机
mobileTelephoneNumber: 415-555-4321
| OID | 0.9.2342.19200300.100.1.41 |
| 语法 | TelephoneNumber |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.132. mozillaCustom1
此属性供 Mozilla Thunderbird 管理共享地址书使用。
| OID | 1.3.6.1.4.1.13769.4.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.133. mozillaCustom2
此属性供 Mozilla Thunderbird 管理共享地址书使用。
| OID | 1.3.6.1.4.1.13769.4.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.134. mozillaCustom3
此属性供 Mozilla Thunderbird 管理共享地址书使用。
| OID | 1.3.6.1.4.1.13769.4.3 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.135. mozillaCustom4
此属性供 Mozilla Thunderbird 管理共享地址书使用。
| OID | 1.3.6.1.4.1.13769.4.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.136. mozillaHomeCountryName
此属性在共享地址本书中设定 Mozilla Thunderbird 使用的国家/地区。
| OID | 1.3.6.1.4.1.13769.3.6 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.137. mozillaHomeLocalityName
此属性在共享地址本书中设定 Mozilla Thunderbird 使用的城市。
| OID | 1.3.6.1.4.1.13769.3.3 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.138. mozillaHomePostalCode
此属性在共享地址本书中设置 Mozilla Thunderbird 使用的后代代码。
| OID | 1.3.6.1.4.1.13769.3.5 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.139. mozillaHomeState
此属性在共享地址本书中设置 Mozilla Thunderbird 使用的状态或 province。
| OID | 1.3.6.1.4.1.13769.3.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.140. mozillaHomeStreet
此属性在共享地址本书中设置 Mozilla Thunderbird 使用的 street 地址。
| OID | 1.3.6.1.4.1.13769.3.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.141. mozillaHomeStreet2
此属性包含 Mozilla Thunderbird 在共享地址书中使用的 street 地址的第二行。
| OID | 1.3.6.1.4.1.13769.3.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.142. mozillaHomeUrl
此属性包含一个由 Mozilla Thunderbird 在共享地址本书中使用的 URL。
| OID | 1.3.6.1.4.1.13769.3.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.143. mozillaNickname (xmozillanickname)
此属性包含 Mozilla Thunderbird 用于共享地址书的 nickname。
| OID | 1.3.6.1.4.1.13769.2.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Mozilla Address Book |
5.2.144. mozillaSecondEmail (xmozillasecondemail)
此属性在 Mozilla Thunderbird 的共享地址书中包含一个条目的备用或次要电子邮件地址。
| OID | 1.3.6.1.4.1.13769.2.2 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.145. mozillaUseHtmlMail (xmozillausehtmlmail)
此属性在 Mozilla Thunderbird 的共享地址书中为条目设置电子邮件类型首选项。
| OID | 1.3.6.1.4.1.13769.2.3 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.146. mozillaWorkStreet2
此属性包含用于 Mozilla Thunderbird 共享地址书中的工作位置或办公室的树状地址。
| OID | 1.3.6.1.4.1.13769.3.8 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.147. mozillaWorkUrl
此属性包含 Mozilla Thunderbird 中共享地址书中的工作站点的 URL。
| OID | 1.3.6.1.4.1.13769.3.9 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Mozilla Address Book |
5.2.148. multiLineDescription
此属性包含对条目的描述,涵盖 LDIF 文件中的多行。
| OID | 1.3.6.1.4.1.250.1.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.149. name
name 属性标识属性 supertype,可用于格式化用于命名的字符串属性类型。
在一个条目中,此类型的值不太可能发生。不支持属性子的 LDAP 服务器实施不需要识别请求中的此属性。客户端实施不应假定 LDAP 服务器能够执行属性子。
| OID | 2.5.4.41 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.150. netscapeReversiblePassword
此属性包含 HTTP Digest/MD5 验证的密码。
| OID | 2.16.840.1.113730.3.1.812 |
| 语法 | OctetString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Web Server |
5.2.151. NisMapEntry
此属性包含由网络信息服务使用 NIS 映射的信息。
此属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.27 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.152. nisMapName
此属性包含 NIS 服务器使用的映射名称。
| OID | 1.3.6.1.1.1.1.26 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.153. nisNetgroupTriple
此属性包含 NIS 服务器使用的 netgroup 的信息。
此属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.14 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.154. nsAccessLog
此条目标识了服务器使用的访问日志。
| OID | nsAccessLog-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.155. nsAdminAccessAddresses
此属性包含实例使用的管理服务器的 IP 地址。
| OID | nsAdminAccessAddresses-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.156. nsAdminAccessHosts
此属性包含管理服务器的主机名。
| OID | nsAdminAccessHosts-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.157. nsAdminAccountInfo
此属性包含有关管理服务器帐户的其他信息。
| OID | nsAdminAccountInfo-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.158. nsAdminCacheLifetime
这将设置存储目录服务器使用的缓存的时间长度。
| OID | nsAdminCacheLifetime-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.159. nsAdminCgiWaitPid
此属性定义管理服务器 CGI 进程 ID 的等待时间。
| OID | nsAdminCgiWaitPid-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.160. nsAdminDomainName
此属性包含包含 Directory Server 实例的管理域的名称。
| OID | nsAdminDomainName-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.161. nsAdminEnableEnduser
此属性设置是否允许最终用户访问 admin 服务。
| OID | nsAdminEnableEnduser-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.162. nsAdminEndUserHTMLIndex
此属性设置是否允许最终用户访问管理服务的 HTML 索引。
| OID | nsAdminEndUserHTMLIndex-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.163. nsAdminGroupName
此属性提供管理指南的名称。
| OID | nsAdminGroupName-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.164. nsAdminOneACLDir
此属性提供了指向含有管理 Server 访问控制列表的目录路径。
| OID | nsAdminOneACLDir-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.165. nsAdminSIEDN
此属性包含管理服务器的 ser 实例条目(SIE)的 DN。
| OID | nsAdminSIEDN-oid |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.166. nsAdminUsers
此属性提供文件的路径和名称,该文件包含了管理服务器 admin 用户的信息。
| OID | nsAdminUsers-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.167. nsAIMid
此属性包含用户的 AOL Instant Messaging 用户 ID。
| OID | 2.16.840.1.113730.3.2.300 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.168. nsBaseDN
它包含 Directory 服务器服务器实例定义条目中使用的基本 DN。
| OID | nsBaseDN-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.169. nsBindDN
此属性包含目录服务器 SIE 中定义的绑定 DN。
| OID | nsBindDN-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.170. nsBindPassword
此属性包含 nsBindDN 中定义的绑定 DN 使用的密码。
| OID | nsBindPassword-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.171. nsBuildNumber
这在 Directory Server SIE 中,定义服务器实例的构建号。
| OID | nsBuildNumber-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.172. nsBuildSecurity
这在 Directory Server SIE(构建安全级别)中定义。
| OID | nsBuildSecurity-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.173. nsCertConfig
此属性定义红帽证书系统的配置。
| OID | nsCertConfig-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 证书系统 |
5.2.174. nsClassname
| OID | nsClassname-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.175. nsConfigRoot
此属性包含配置目录的根 DN。
| OID | nsConfigRoot-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.176. nscpAIMScreenname
此属性为 AIM 屏幕名称提供用户。
| OID | 1.3.6.1.4.1.13769.2.4 |
| 语法 | TelephoneString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Mozilla Address Book |
5.2.177. nsDefaultAcceptLanguage
此属性包含 HTML 客户端接受的语言代码。
| OID | nsDefaultAcceptLanguage-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.178. nsDefaultObjectClass
此属性将对象类信息存储在容器条目中。
| OID | nsDefaultObjectClass-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.179. nsDeleteclassname
| OID | nsDeleteclassname-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.180. nsDirectoryFailoverList
此属性包含用于故障切换的目录服务器列表。
| OID | nsDirectoryFailoverList-oid |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.181. nsDirectoryInfoRef
此属性引用一个条目的 DN,其中包含有关服务器的信息。
| OID | nsDirectoryInfoRef-oid |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.182. nsDirectoryURL
此属性包含 Directory Server URL。
| OID | nsDirectoryURL-oid |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.183. nsDisplayName
此属性包含一个显示名称。
| OID | nsDisplayName-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.184. nsErrorLog
此属性标识服务器使用的错误日志。
| OID | nsErrorLog-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.185. nsExecRef
此属性包含可执行的路径或位置,可用于执行服务器任务。
| OID | nsExecRef-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.186. nsExpirationDate
此属性包含应用的过期日期。
| OID | nsExpirationDate-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.187. nsGroupRDNComponent
此属性定义用于组条目的 RDN 的属性。
| OID | nsGroupRDNComponent-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.188. nsHardwarePlatform
此属性指示服务器运行的硬件。此属性的值与 uname -m 的输出相同。例如:
nsHardwarePlatform:i686
| OID | nsHardwarePlatform-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.189. nsHelpRef
此属性包含对在线帮助文件的引用。
| OID | nsHelpRef-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.190. nsHostLocation
此属性包含有关服务器主机的信息。
| OID | nsHostLocation-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.191. nsICQid
此属性包含用户的 ICQ ID。
| OID | 2.16.840.1.113730.3.1.2014 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.192. nsInstalledLocation
此属性包含 Directory Server 的安装目录,它们是版本 7.1 或更早版本。
| OID | nsInstalledLocation-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.193. nsJarfilename
此属性提供 Console 使用的 jar 文件名。
| OID | nsJarfilename-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.194. nsLdapSchemaVersion
这提供了 LDAP 目录模式的版本号。
| OID | nsLdapSchemaVersion-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.195. nsLicensedFor
nsLicensedFor 属性标识用户的使用许可证的服务器。管理服务器需要每个 nsLicenseUser 条目包含此属性的零个或更多实例。此属性的有效关键字包括:
-
许可目录服务器客户端的
slapd。 -
许可邮件服务器客户端的邮件。
-
获得许可的新闻服务器客户端。
-
calfor a calender 服务器客户端。
例如:
nsLicensedFor: slapd
| OID | 2.16.840.1.113730.3.1.36 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 管理服务器 |
5.2.196. nsLicenseEndTime
保留以供将来使用。
| OID | 2.16.840.1.113730.3.1.38 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 管理服务器 |
5.2.197. nsLicenseStartTime
保留以供将来使用。
| OID | 2.16.840.1.113730.3.1.37 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 管理服务器 |
5.2.198. nsLogSuppress
此属性设置是否阻止服务器日志记录。
| OID | nsLogSuppress-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.199. nsmsgDisallowAccess
此属性定义对消息传递服务器的访问。
| OID | nsmsgDisallowAccess-oid |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.200. nsmsgNumMsgQuota
此属性为将要由消息传递服务器保留的消息数量设置配额。
| OID | nsmsgNumMsgQuota-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.201. nsMSNid
此属性包含用户的 MSN 即时消息 ID。
| OID | 2.16.840.1.113730.3.1.2016 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.202. nsNickName
此属性为应用程序提供了一个 nickname。
| OID | nsNickName-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.203. nsNYR
| OID | nsNYR-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 管理服务 |
5.2.204. nsOsVersion
此属性包含运行服务器的主机操作系统的版本号。
| OID | nsOsVersion-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.205. nsPidLog
| OID | nsPidLog-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.206. nsPreference
此属性存储控制台首选项设置。
| OID | nsPreference-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.207. nsProductName
它包含产品的名称,如 Red Hat Directory Server 或 Administration Server。
| OID | nsProductName-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.208. nsProductVersion
其中包括目录服务器或管理服务器的版本号。
| OID | nsProductVersion-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.209. nsRevisionNumber
此属性包含目录服务器或管理服务器的修订号。
| OID | nsRevisionNumber-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.210. nsSecureServerPort
此属性包含 Directory 服务器的 TLS 端口。
此属性没有为 Directory 服务器配置 TLS 端口。这在 Directory 服务器的 dse.ldif 文件中 nsslapd-secureport 配置属性进行配置。配置属性在配置 、命令和文件参考 中描述。
| OID | nsSecureServerPort-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.211. nsSerialNumber
此属性包含分配给特定服务器应用程序的序列号或跟踪号,如 Red Hat Directory Server 或 Administration Server。
| OID | nsSerialNumber-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.212. nsServerAddress
此属性包含运行 Directory Server 的服务器主机的 IP 地址。
| OID | nsServerAddress-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.213. nsServerCreationClassname
此属性提供创建服务器时要使用的类名称。
| OID | nsServerCreationClassname-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.214. nsServerID
它包含服务器的实例名称。例如:
nsServerID: slapd-example
| OID | nsServerID-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.215. nsServerMigrationClassname
此属性包含迁移服务器时要使用的类名称。
| OID | nsServerMigrationClassname-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.216. nsServerPort
此属性包含 Directory 服务器的标准 LDAP 端口。
此属性不 配置 Directory 服务器的标准端口。这在 Directory 服务器的 dse.ldif 文件中 nsslapd-port 配置属性进行配置。配置属性在配置 、命令和文件参考 中描述。
| OID | nsServerPort-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.217. nsServerSecurity
这表明目录服务器是否需要安全的 TLS 或 SSL 连接。
| OID | nsServerSecurity-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.218. nsSNMPContact
此属性包含 SNMP 提供的联系信息。
| OID | 2.16.840.1.113730.3.1.235 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.219. nsSNMPDescription
它包含 SNMP 服务的描述。
| OID | 2.16.840.1.113730.3.1.236 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.220. nsSNMPEnabled
此属性显示是否为服务器启用 SNMP。
| OID | 2.16.840.1.113730.3.1.232 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.221. nsSNMPLocation
此属性显示 SNMP 服务提供的位置。
| OID | 2.16.840.1.113730.3.1.234 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.222. nsSNMPMasterHost
此属性显示 SNMP master 代理的主机名。
| OID | 2.16.840.1.113730.3.1.237 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.223. nsSNMPMasterPort
此属性显示 SNMP 子代理的端口号。
| OID | 2.16.840.1.113730.3.1.238 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.224. nsSNMPOrganization
此属性包含 SNMP 提供的组织信息。
| OID | 2.16.840.1.113730.3.1.233 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.225. nsSuiteSpotUser
此属性已弃用。
此属性标识安装了服务器的 Unix 用户。
| OID | nsSuiteSpotUser-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.226. nsTaskLabel
| OID | nsTaskLabel-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.227. nsUniqueAttribute
这将为服务器首选项设置一个唯一属性。
| OID | nsUniqueAttribute-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.228. nsUserIDFormat
此属性设置用于从 givenname 和 sn 属性生成 uid 属性的格式。
| OID | nsUserIDFormat-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.229. nsUserRDNComponent
此属性设置属性类型,为用户条目设置 RDN。
| OID | nsUserRDNComponent-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.230. nsValueBin
| OID | 2.16.840.1.113730.3.1.247 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.231. nsValueCES
| OID | 2.16.840.1.113730.3.1.244 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.232. nsValueCIS
| OID | 2.16.840.1.113730.3.1.243 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.233. nsValueDefault
| OID | 2.16.840.1.113730.3.1.250 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.234. nsValueDescription
| OID | 2.16.840.1.113730.3.1.252 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.235. nsValueDN
| OID | 2.16.840.1.113730.3.1.248 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.236. nsValueFlags
| OID | 2.16.840.1.113730.3.1.251 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.237. nsValueHelpURL
| OID | 2.16.840.1.113730.3.1.254 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.238. nsValueInt
| OID | 2.16.840.1.113730.3.1.246 |
| 语法 | 整数 |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.239. nsValueSyntax
| OID | 2.16.840.1.113730.3.1.253 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.240. nsValueTel
| OID | 2.16.840.1.113730.3.1.245 |
| 语法 | TelephoneString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.241. nsValueType
| OID | 2.16.840.1.113730.3.1.249 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape servers - value item |
5.2.242. nsVendor
这包括服务器厂商的名称。
| OID | nsVendor-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape |
5.2.243. nsViewConfiguration
此属性存储 Console 使用的查看配置。
| OID | nsViewConfiguration-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.244. nsViewFilter
此属性设置用于识别属于视图的条目的 attribute-value 对。
| OID | 2.16.840.1.113730.3.1.3023 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.245. nsWellKnownJarfiles
| OID | nsWellKnownJarfiles-oid |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.246. nswmExtendedUserPrefs
此属性用于将帐户的用户首选项存储在消息传递服务器中。
| OID | 2.16.840.1.113730.3.1.520 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.247. nsYIMid
此属性包含用户的 Yahoo 即时消息用户名。
| OID | 2.16.840.1.113730.3.1.2015 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
5.2.248. ntGroupAttributes
此属性指向包含组信息的二进制文件。例如:
ntGroupAttributes:: IyEvYmluL2tzaAoKIwojIGRlZmF1bHQgdmFsdWUKIwpIPSJgaG9zdG5hb
| OID | 2.16.840.1.113730.3.1.536 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.249. ntGroupCreateNewGroup
Windows Sync 使用 ntGroupCreateNewGroup 属性来确定当 Windows 服务器上创建新组时,Directory 服务器是否应该创建新的组条目。true 会创建新条目; false 会忽略 Windows 条目。
| OID | 2.16.840.1.113730.3.1.45 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.250. ntGroupDeleteGroup
Windows Sync 使用 ntGroupDeleteGroup 属性来确定当组在 Windows 同步对等服务器上删除组条目时,Directory 服务器是否应该删除组条目。true 表示帐户被删除; false 会忽略删除。
| OID | 2.16.840.1.113730.3.1.46 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.251. ntGroupDomainId
ntGroupDomainID 属性包含组的域 ID 字符串。
ntGroupDomainId: DS HR Group
| OID | 2.16.840.1.113730.3.1.44 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.252. ntGroupId
ntGroupId 属性指向用于标识组的二进制文件。例如:
ntGroupId: IOUnHNjjRgghghREgfvItrGHyuTYhjIOhTYtyHJuSDwOopKLhjGbnGFtr
| OID | 2.16.840.1.113730.3.1.110 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.253. ntGroupType
Active Directory 中有两个主要组:安全和分发。安全组与目录服务器中的组最相似,因为安全组可以配置的访问控制、资源限制和其他权限。分发组用于邮件分发。它们进一步细分为全局组和本地组。Directory Server ntGroupType 支持所有四个组类型:
ntGroupType 属性标识 Windows 组的类型。有效值如下:
-
-21483646for global/security -
-21483644for domain local/security -
2用于全局/分发 -
4用于域本地/分发
当 Windows 组同步时,这个值会被自动设置。要确定组的类型,您必须在组创建时手动配置它。默认情况下,Directory 服务器组没有此属性,并作为全局/安全组同步。
ntGroupType: -21483646
| OID | 2.16.840.1.113730.3.1.47 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.254. ntUniqueId
ntUniqueId 属性包含一个生成的数字,用于内部服务器识别和操作。例如:
ntUniqueId: 352562404224a44ab040df02e4ef500b
| OID | 2.16.840.1.113730.3.1.111 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.255. ntUserAcctExpires
此属性指示条目的 Windows 帐户何时到期。这个值以 GMT 格式存储为字符串。例如:
ntUserAcctExpires: 20081015203415
| OID | 2.16.840.1.113730.3.1.528 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.256. ntUserAuthFlags
此属性包含为 Windows 帐户设置的授权标记。
| OID | 2.16.840.1.113730.3.1.60 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.257. ntUserBadPwCount
此属性在帐户锁定前允许设置错误的密码失败次数。
| OID | 2.16.840.1.113730.3.1.531 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.258. ntUserCodePage
ntUserCodePage 属性包含用户选择语言的代码页面。例如:
ntUserCodePage: AAAAAA==
| OID | 2.16.840.1.113730.3.1.533 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.259. ntUserComment
此属性包含有关用户条目的文本描述或备注。
| OID | 2.16.840.1.113730.3.1.522 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.260. ntUserCountryCode
此属性包含用户所在国家的双字符国家/地区代码。
| OID | 2.16.840.1.113730.3.1.532 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.261. ntUserCreateNewAccount
Windows Sync 使用 ntUserCreateNewAccount 属性来确定在 Windows 服务器上创建新用户时是否应该创建新用户条目。true 会创建新条目; false 会忽略 Windows 条目。
| OID | 2.16.840.1.113730.3.1.42 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.262. ntUserDeleteAccount
Windows Sync 使用的 ntUserDeleteAccount 属性 IS 决定在从 Windows 同步对等服务器中删除用户时是否自动删除目录服务器条目。true 表示用户条目被删除,假 会忽略删除。
| OID | 2.16.840.1.113730.3.1.43 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.263. ntUserDomainId
ntUserDomainId 属性包含 Windows 域登录 ID。例如:
ntUserDomainId: jsmith
| OID | 2.16.840.1.113730.3.1.41 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.264. ntUserFlags
此属性包含为 Windows 帐户设置的额外标记。
| OID | 2.16.840.1.113730.3.1.523 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.265. ntUserHomeDir
ntUserHomeDir 属性包含一个 ASCII 字符串,代表 Windows 用户的主目录。此属性可以是 null。例如:
ntUserHomeDir: c:\jsmith
| OID | 2.16.840.1.113730.3.1.521 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.266. ntUserHomeDirDrive
此属性包含有关存储用户主目录的驱动器的信息。
| OID | 2.16.840.1.113730.3.1.535 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.267. ntUserLastLogoff
ntUserLastLogoff 属性包含最后 logoff 的时间。这个值以 GMT 格式存储为字符串。
如果打开了安全日志记录,则只有用户条目的某些方面已更改,此属性才会在同步时更新。
ntUserLastLogoff: 20201015203415Z
| OID | 2.16.840.1.113730.3.1.527 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.268. ntUserLastLogon
ntUserLastLogon 属性包含用户最后一次登录到 Windows 域的时间。这个值以 GMT 格式存储为字符串。如果打开了安全日志记录,则只有用户条目的某些方面已更改,此属性才会在同步时更新。
ntUserLastLogon: 20201015203415Z
| OID | 2.16.840.1.113730.3.1.526 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.269. ntUserLogonHours
ntUserLogonHours 属性包含允许用户登录到 Active Directory 域的时间周期。此属性与 Active Directory 中的 logonHours 属性对应。
| OID | 2.16.840.1.113730.3.1.530 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.270. ntUserLogonServer
ntUserLogonServer 属性定义将用户登录请求转发到的 Active Directory 服务器。
| OID | 2.16.840.1.113730.3.1.65 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.271. ntUserMaxStorage
ntUserMaxStorage 属性包含可供用户使用的最大磁盘空间量。
ntUserMaxStorage: 4294967295
| OID | 2.16.840.1.113730.3.1.529 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.272. ntUserNumLogons
此属性显示了用户 Active Directory 域成功日志记录的数量。
| OID | 2.16.840.1.113730.3.1.64 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.273. ntUserParms
ntUserParms 属性包含保留供应用程序使用的 Unicode 字符串。
| OID | 2.16.840.1.113730.3.1.62 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.274. ntUserPasswordExpired
此属性显示 Active Directory 帐户的密码是否已过期。
| OID | 2.16.840.1.113730.3.1.68 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.275. ntUserPrimaryGroupId
ntUser PrimaryGroupId 属性包含用户所属的主组群的组 ID。
| OID | 2.16.840.1.113730.3.1.534 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.276. ntUserPriv
此属性显示用户允许的特权类型。
| OID | 2.16.840.1.113730.3.1.59 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.277. ntUserProfile
ntUserProfile 属性包含到用户配置集的路径。例如:
ntUserProfile: c:\jsmith\profile.txt
| OID | 2.16.840.1.113730.3.1.67 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.278. ntUserScriptPath
ntUserScriptPath 属性包含用户登录域的 ASCII 脚本的路径。
ntUserScriptPath: c:\jstorm\lscript.bat
| OID | 2.16.840.1.113730.3.1.524 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.279. ntUserUniqueId
ntUserUniqueId 属性包含 Windows 用户的唯一数字 ID。
| OID | 2.16.840.1.113730.3.1.66 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.280. ntUserUnitsPerWeek
ntUserUnitsPerWeek 属性包含用户登录 Active Directory 域的总时长。
| OID | 2.16.840.1.113730.3.1.63 |
| 语法 | 二进制 |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.281. ntUserUsrComment
ntUserUsrComment 属性包含关于用户的其他注释。
| OID | 2.16.840.1.113730.3.1.61 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.282. ntUserWorkstations
ntUserWorkstations 属性包含允许使用用户登录的工作站的 ASCII 字符串中的名称列表。最多可以列出 8 个工作站,用逗号分开。指定 null 以允许用户从任何工作站登录。例如:
ntUserWorkstations: firefly
| OID | 2.16.840.1.113730.3.1.525 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape NT Synchronization |
5.2.283. o (organizationName)
organizationName 或 o 属性包含机构名称。例如:
organizationName: Example Corporation o: Example Corporation
| OID | 2.5.4.10 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.284. objectClass
objectClass 属性标识用于条目的对象类。例如:
objectClass: person
| OID | 2.5.4.0 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.285. objectClasses
此属性在 schema 文件中用于识别子schema 定义允许的对象类。
| OID | 2.5.21.6 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.286. obsoletedByDocument
obsoletedByDocument 属性包含当前文档条目的可分辨名称。
| OID | 0.9.2342.19200300.102.1.4 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.287. obsoletesDocument
obsoletesDocument 属性包含由当前文档条目弃用的可分辨名称。
| OID | 0.9.2342.19200300.102.1.3 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.288. oncRpcNumber
oncRpcNumber 属性包含 RPC 映射的一部分,并存储 UNIX RPC 的 RPC 号。
oncRpcNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.18 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.289. organizationalStatus
organizationalStatus 识别组织内的个人类别。
organizationalStatus: researcher
| OID | 0.9.2342.19200300.100.1.45 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.290. otherMailbox
otherMailbox 属性包含 X.400 和 RFC 822 以外的电子邮件类型值。
otherMailbox: internet $ jsmith@example.com
| OID | 0.9.2342.19200300.100.1.22 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.291. ou (organizationalUnitName)
organizationalUnitName 或 ou 包括了机构部门的名称或目录层次结构中的子树。
organizationalUnitName: Marketing ou: Marketing
| OID | 2.5.4.11 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.292. owner
owner 属性包含负责条目的人的 DN。例如:
owner: cn=John Smith,ou=people,dc=example,dc=com
| OID | 2.5.4.32 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.293. pager
pagerTelephoneNumber 或 pager, 属性包含个人的页面电话号码。
pagerTelephoneNumber: 415-555-6789 pager: 415-555-6789
| OID | 0.9.2342.19200300.100.1.42 |
| 语法 | TelephoneNumber |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.294. parentOrganization
parentOrganization 属性标识机构或机构单元的父组织。
| OID | 1.3.6.1.4.1.1466.101.120.41 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape |
5.2.295. personalSignature
personalSignature 属性包含条目的签名文件,采用二进制格式。
personalSignature:: AAAAAA==
| OID | 0.9.2342.19200300.100.1.53 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.296. personalTitle
personalTitle 属性包含一个人员的尊重,如 Ms、Dr.、Prof. 和 Rev。
personalTitle: Mr.
| OID | 0.9.2342.19200300.100.1.40 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.297. 照片
photo 属性包含一个照片文件,采用二进制格式。
photo:: AAAAAA==
| OID | 0.9.2342.19200300.100.1.7 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.298. physicalDeliveryOfficeName
物理动员 包含位于物理邮政办公室的城市或 town。
physicalDeliveryOfficeName: Raleigh
| OID | 2.5.4.19 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.299. postalAddress
postalAddress 属性标识条目的 mailing 地址。此字段旨在包括多行。以 LDIF 格式表示时,每行都应用美元符号($)分隔。
要在条目文本中代表实际美元符号($)或反斜杠(\),请分别使用转义的十六进制值 \24 和 \5c。例如,要代表字符串:
The dollar ($) value can be found in the c:\cost file.
提供字符串:
The dollar (\24) value can be found$in the c:\5ccost file.
| OID | 2.5.4.16 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.300. postalCode
postalCode 包含美国条目的 zip 代码。
postalCode: 44224
| OID | 2.5.4.17 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.301. postOfficeBox
postOfficeBox 属性包含条目的物理邮件地址的邮编地址号或 post office 框。
postOfficeBox: 1234
| OID | 2.5.4.18 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.302. preferredDeliveryMethod
preferredDeliveryMethod 包含条目的首选联系人或交付方法。例如:
preferredDeliveryMethod: telephone
| OID | 2.5.4.28 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.303. preferredLanguage
preferredLanguage 属性包含个人首选的写入或说法语言。该值应当符合 HTTP Accept-Language 标头值的语法。
| OID | 2.16.840.1.113730.3.1.39 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.304. preferredLocale
区域设置 标识有关特定地区用户、文化或定制应如何呈现的数据的信息,包括如何解释给定语言的数据以及如何对数据进行排序。目录服务器支持美国英语、日语和德语的三个区域。
用户 首选的 Locale 属性设置。
| OID | 1.3.6.1.4.1.1466.101.120.42 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape |
5.2.305. preferredTimeZone
preferredTimeZone 属性设置用于用户条目的时区。
| OID | 1.3.6.1.4.1.1466.101.120.43 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | Netscape |
5.2.306. presentationAddress
presentationAddress 属性包含条目的 OSI presentation 地址。此属性包括 OSI 网络地址和最多三个选择器,各自供传输、会话和表示实体使用。例如:
presentationAddress: TELEX+00726322+RFC-1006+02+130.59.2.1
| OID | 2.5.4.29 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.307. protocolInformation
protocolInformation 属性与 presentationAddress 属性一起使用,提供关于 OSO 网络服务的附加信息。
| OID | 2.5.4.48 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.308. pwdReset
当管理员更改用户的密码时,Directory 服务器会将用户条目中的 pwdReset 操作属性设为 true。应用可以使用此属性来识别管理员是否重置了用户的密码。
pwdReset 属性是一个可操作属性,因此用户无法编辑它。
| OID | 1.3.6.1.4.1.1466.115.121.1.7 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.309. ref
ref 属性用于支持 LDAPv3 智能引用。此属性的值是 LDAP URL:
ldap: host_name:port_number/subtree_dn
端口号是可选的。
例如:
ref: ldap://server.example.com:389/ou=People,dc=example,dc=com
| OID | 2.16.840.1.113730.3.1.34 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | LDAPv3 referrals Internet Draft |
5.2.310. registeredAddress
此属性包含接收电话或批准文档的邮编地址。接收者的签名通常需要在发送时。
| OID | 2.5.4.26 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.311. roleOccupant
此属性包含在 organizationalRole 条目中定义的角色所采取的可分辨名称。
roleOccupant: uid=bjensen,dc=example,dc=com
| OID | 2.5.4.33 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.312. roomNumber
此属性指定对象的房间数目。cn 属性应当用于命名 room 对象。
roomNumber: 230
| OID | 0.9.2342.19200300.100.1.6 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.313. searchGuide
searchGuide 属性指定在搜索操作的目录树中使用条目作为基本对象时的建议搜索条件的信息。在构建搜索过滤器时,改为使用 enhancedSearchGuide 属性。
| OID | 2.5.4.14 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.314. secretary
secretary 属性标识条目的 secretary 或管理助理。
secretary: cn=John Smith,dc=example,dc=com
| OID | 0.9.2342.19200300.100.1.21 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.315. seeAlso
seeAlso 属性标识可能包含与此条目相关的信息的另一个 Directory Server 条目。
seeAlso: cn=Quality Control Inspectors,ou=manufacturing,dc=example,dc=com
| OID | 2.5.4.34 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.316. serialNumber
serialNumber 属性包含设备的序列号。
serialNumber: 555-1234-AZ
| OID | 2.5.4.5 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.317. serverHostName
serverHostName 属性包含运行 Directory 服务器的服务器的主机名。
| OID | 2.16.840.1.113730.3.1.76 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Red Hat Administration Services |
5.2.318. serverProductName
serverProductName 属性包含服务器产品的名称。
| OID | 2.16.840.1.113730.3.1.71 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Red Hat Administration Services |
5.2.319. serverRoot
此属性已过时。
此属性显示目录服务器版本 7.1 或更早版本的安装目录(服务器根目录)。
| OID | 2.16.840.1.113730.3.1.70 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape 管理服务 |
5.2.320. serverVersionNumber
serverVersionNumber 属性包含服务器版本号。
| OID | 2.16.840.1.113730.3.1.72 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Red Hat Administration Services |
5.2.321. shadowExpire
shadowExpire 属性包含影子帐户过期的日期。日期格式在 UTC 中是 EPOCH 开始的数天。要在系统中计算这一点,请运行类似如下的命令,使用 -d 代表当前日期,使用 -u 指定 UTC:
$ echo date -u -d 20100108 +%s /24/60/60 |bc
14617
结果(示例中为 14617)是 shadowExpire 的值。
shadowExpire: 14617
shadowExpire 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.10 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.322. shadowFlag
shadowFlag 属性标识 shadow 映射中存储了标志值的区域。
shadowFlag: 150
shadowFlag 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.11 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.323. shadowInactive
shadowInactive 属性设置影子帐户的时长(以天为单位)。
shadowInactive: 15
shadowInactive 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.9 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.324. shadowLastChange
shadowLastChange 属性包含上次设定用户密码的 1 月 1 日 1970 年 1 月 1 日和当天之间相隔的天数。例如,如果在 2016 年 11 月 4 日上设置了帐户密码,则 shadowLastChange 属性设为 0
以下例外已存在:
-
在
cn=config条目中启用了passwordMustChange参数时,new accounts 在shadowLastChange属性中设置 0。 -
当您创建没有密码的帐户时,不会添加
shadowLastChange属性。
shadowLastChange 属性会自动为从 Active Directory 同步的帐户自动更新。
shadowLastChange 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.5 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.325. shadowMax
shadowMax 属性设置影子密码有效的最长天数。
shadowMax: 10
shadowMax 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.7 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.326. shadowMin
shadowMin 属性设置在更改影子密码之间必须经过的最短天数。
shadowMin: 3
shadowMin 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.6 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.327. shadowWarning
shadowWarning 属性设置密码过期前的 5 天,以向用户发送警告。
shadowWarning: 2
shadowWarning 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.8 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.328. singleLevelQuality
SingleLevelQuality 指定在目录树下面的级别立即购买的数据质量。
| OID | 0.9.2342.19200300.100.1.50 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.329. sn(surname)
surname,或 sn,属性包含一个条目的 surname,也称为最后名称或系列名称。
surname: Jensen sn: Jensen
| OID | 2.5.4.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.330. st (stateOrProvinceName)
stateOrProvinceName 或 st 属性包含条目的状态或 province。
stateOrProvinceName: California st: California
| OID | 2.5.4.8 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.331. Street
streetAddress 或 street, 属性包含一个条目的树状名称和常驻地址。
streetAddress: 1234 Ridgeway Drive street: 1234 Ridgeway Drive
| OID | 2.5.4.9 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.332. subject
subject 属性包含有关文档条目主题的信息。
subject: employee option grants
| OID | 0.9.2342.19200300.102.1.8 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.333. subtreeMaximumQuality
subtreeMaximumQuality 属性指定目录子树的最大数据质量。
| OID | 0.9.2342.19200300.100.1.52 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.334. subtreeMinimumQuality
subtreeMinimumQuality 指定目录子树所需的最小数据质量。
| OID | 0.9.2342.19200300.100.1.51 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.335. supportedAlgorithms
supportedAlgorithms 属性包含请求并存储为二进制形式的算法,如 supportedAlgorithms;binary。
supportedAlgorithms:: AAAAAA==
| OID | 2.5.4.52 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.336. supportedApplicationContext
此属性包含 OSI 应用上下文的标识符。
| OID | 2.5.4.30 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.337. telephoneNumber
phoneNumber 包含条目的电话号码。例如:
telephoneNumber: 415-555-2233
| OID | 2.5.4.20 |
| 语法 | TelephoneNumber |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.338. teletexTerminalIdentifier
teletexTerminalIdentifier 属性包含一个条目的 teletex 终端标识符。示例中的第一个可打印字符串是要编码的 teletex 终端标识符的第一个部分的编码,后续的 0 或以上八进制字符串是 teletex 终端标识符的后续部分:
teletex-id = ttx-term 0*("$" ttx-param)
ttx-term = printablestring
ttx-param = ttx-key ":" ttx-value
ttx-key = "graphic" / "control" / "misc" / "page" / "private"
ttx-value = octetstring| OID | 2.5.4.22 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.339. telexNumber
此属性定义条目的 telex 号。telex 号码的格式如下:
actual-number "$" country "$" answerback
- actual-number 是编码的 telex 编号数的语法表示。
- 国家/地区 是 TELEX 国家/地区代码。
- 答案是 TELEX 终端的回答后代码。
| OID | 2.5.4.21 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.340. title
title 属性包含人在组织内的标题。
title: Senior QC Inspector
| OID | 2.5.4.12 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.341. ttl (TimeToLive)
TimeToLive 或 ttl 属性包含时间(以秒为单位),缓存条目的信息应被视为有效。指定的时间已过后,信息将被视为过时。值为零(0)表示不应缓存该条目。
TimeToLive: 120 ttl: 120
| OID | 1.3.6.1.4.250.1.60 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | LDAP 缓存互联网 Draft |
5.2.342. uid (userID)
userID,更常见的 uid 属性包含条目的唯一用户名。
userID: jsmith uid: jsmith
| OID | 0.9.2342.19200300.100.1.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.343. uidNumber
uidNumber 属性包含用户条目的唯一标识符。这类似于 Unix 中的用户号码。
uidNumber: 120
uidNumber 属性在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
| OID | 1.3.6.1.1.1.1.0 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 |
5.2.344. uniqueIdentifier
此属性标识了用于区分可分辨名称被重复使用的两个条目的特定项目。此属性旨在检测任何已删除的可分辨名称的引用实例。此属性由服务器分配。
uniqueIdentifier:: AAAAAA==
| OID | 0.9.2342.19200300.100.1.44 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.345. uniqueMember
uniqueMember 属性标识与一个条目关联的组,每个名称被赋予一个唯一身份,以确保其唯一性。uniqueMember 属性的值是一个 DN,后跟 uniqueIdentifier。
| OID | 2.5.4.50 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.346. updatedByDocument
updatedByDocument 属性包含文档条目的更新版本的可分辨名称。
| OID | 0.9.2342.19200300.102.1.6 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.347. updatesDocument
updatesDocument 属性包含此文档的可分辨名称。
| OID | 0.9.2342.19200300.102.1.5 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | Internet White Pages Pilot |
5.2.348. userCertificate
此属性以 userCertificate;binary 的身份以二进制形式存储并请求。
userCertificate;binary:: AAAAAA==
| OID | 2.5.4.36 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.349. userClass
此属性指定计算机用户类别。此属性的语义是任意的。OrganizationStatus 属性与计算机用户和其它用户类型之间没有区别,并且可能更适用。
userClass: intern
| OID | 0.9.2342.19200300.100.1.8 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.350. userPassword
此属性以 {encryption method} 加密密码格式标识条目的密码和加密方法。例如:
userPassword: {sha}FTSLQhxXpA05强烈建议传输明文密码,防止底层传输服务无法保证保密性。传送明文可能会导致将密码暴露给未授权方。
| OID | 2.5.4.35 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.351. userPKCS12
此属性提供了个人身份信息交换的格式。属性以二进制形式存储并请求,格式为 userPKCS12;binary。属性值是 PFX PDUs 存储为二进制数据。
| OID | 2.16.840.1.113730.3.1.216 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.352. userSMIMECertificate
userSMIMECertificate 属性包含可供邮件客户端用于 S/MIME 的证书。此属性请求并以二进制格式存储数据。例如:
userSMIMECertificate;binary:: AAAAAA==
| OID | 2.16.840.1.113730.3.1.40 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.353. vacationEndDate
此属性显示用户的 vacation 周期的结束日期。
| OID | 2.16.840.1.113730.3.1.708 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.354. vacationStartDate
此属性显示用户的 period 的开始日期。
| OID | 2.16.840.1.113730.3.1.707 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | Netscape Messaging Server |
5.2.355. x121Address
x121Address 属性包含用户的 X.121 地址。
| OID | 2.5.4.24 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.2.356. x500UniqueIdentifier
保留以供将来使用。X.500 标识符是一种二进制标识方法,在重复使用可分辨名称时,用于区分对象。
x500UniqueIdentifier:: AAAAAA==
| OID | 2.5.4.45 |
| 语法 | 二进制 |
| 多值或 Single-Valued | 多值 |
| 定义在 |
5.3. 条目对象类参考
这个引用是默认 schema 接受的对象类的字母顺序列表。它为每个对象类提供定义,并列出其所需的属性和允许的属性。列出的对象类可用于支持条目信息。
当对象类添加到目录的 ldif 文件中时,在该条目中必须存在所需的属性。如果对象类具有卓越的对象类,该条目中必须存在带有所有必要属性的这两个对象类。如果 ldif 文件中没有列出所需的属性,超过服务器将不会重启。
LDAP RFC 和 X.500 标准允许对象类具有多个高级对象类。Directory 服务器目前不支持此行为。
5.3.1. account
帐户 对象类定义计算机帐户的条目。此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.5
表 5.3. 所需属性
| 属性 | 定义 |
|---|---|
| 为该条目提供对象类。 | |
| 赋予定义的帐户用户 ID。 |
表 5.4. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 为帐户所在的计算机提供主机名。 | |
| 指定条目的城市或地理位置。 | |
| 赋予帐户所属组织。 | |
| 提供帐户所属组织单元或部门。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.2. accountpolicy
accountpolicy 对象类定义用于激活或过期策略的条目。这用于用户目录配置条目,它与帐户策略插件配置结合使用。
卓越的类
top
OID
1.3.6.1.4.1.11.1.3.2.2.1
表 5.5. 允许的属性
| 属性 | 定义 |
|---|---|
| 在帐户被锁定不活动前,设置帐户的最后登录时间(以秒为单位)。 |
5.3.3. alias
alias 对象类指向其他目录条目。这个对象类在 RFC 2256 中定义。
Red Hat Directory Server 不支持别名条目。
卓越的类
top
OID
2.5.6.1
表 5.6. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 给出此条目为别名的可分辨名称。 |
5.3.4. bootableDevice
bootableDevice 对象类指向具有引导参数的设备。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.12
表 5.7. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 |
表 5.8. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定引导映像文件。 | |
| 为该设备指定引导过程使用的参数。 | |
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 赋予该设备所属机构。 | |
| 提供设备所属机构单元或划分。 | |
| 为负责该设备的人提供 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含设备的序列号。 |
5.3.5. cacheObject
cacheObject 是一个对象,包含生存时间(ttl)属性类型。这个对象类在 LDAP 缓存互联网 Draft 中定义。
卓越的类
top
OID
1.3.6.1.4.1.250.3.18
表 5.9. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 |
表 5.10. 允许的属性
| 属性 | 定义 |
|---|---|
| 对象在缓存中保留(lives)的时间。 |
5.3.6. cosClassicDefinition
cosClassicDefinition 对象类使用条目的 DN(区分名称)、第 5.2.32 节 “cosTemplateDn” 属性和其中一个目标属性(在 第 5.2.30 节 “cosSpecifier” 属性中指定的)定义服务模板条目。
此对象类在 RFC 1274 中定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.100
表 5.11. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
|
提供 CoS 生成值的属性名称。可以指定多个 |
表 5.12. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 指定经典 CoS 使用的属性值,它与模板条目的 DN 一起标识模板条目。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 给出条目的文本描述。 |
5.3.7. cosDefinition
cosDefinition 对象类定义正在使用哪个服务;此对象类提供与 DS4.1 CoS 插件的兼容性。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.84
表 5.13. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.14. 允许的属性
| 属性 | 定义 |
|---|---|
| 评估当目录服务器从客户端收到 LDAP 请求时授予或拒绝什么权限。 | |
| 给出条目的通用名称。 | |
|
提供 CoS 生成值的属性名称。可以指定多个 | |
| 指定经典 CoS 使用的属性值,它与模板条目的 DN 一起标识模板条目。 | |
| 定义 CoS 架构应用到的目录中的子树。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 为该条目提供用户 ID。 |
5.3.8. cosIndirectDefinition
cosIndirectDefinition 使用目标条目属性之一的值来定义模板条目。目标条目的属性在 第 5.2.28 节 “cosIndirectSpecifier” 属性中指定。
此对象类由 Directory Server 定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.102
表 5.15. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
|
提供 CoS 生成值的属性名称。可以指定多个 |
表 5.16. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 指定间接 CoS 用来识别模板条目的属性值。 | |
| 给出条目的文本描述。 |
5.3.9. cosPointerDefinition
此对象类使用模板条目的 DN 值来识别与 CoS 定义关联的模板条目。模板条目的 DN 在 第 5.2.28 节 “cosIndirectSpecifier” 属性中指定。
此对象类由 Directory Server 定义。
卓越的类
cosSuperDefinition
OID
2.16.840.1.113730.3.2.101
表 5.17. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
|
提供 CoS 生成值的属性名称。可以指定多个 |
表 5.18. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 提供与 CoS 定义关联的模板条目的 DN。 | |
| 给出条目的文本描述。 |
5.3.10. cosSuperDefinition
所有 CoS 定义对象类都继承自 cosSuperDefinition 对象类。
此对象类由 Directory Server 定义。
卓越的类
LDAPsubentry
OID
2.16.840.1.113730.3.2.99
表 5.19. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
|
提供 CoS 生成值的属性名称。可以指定多个 |
表 5.20. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.11. cosTemplate
cosTemplate 对象类包含 CoS 的共享属性值列表。
此对象类由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.128
表 5.21. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.22. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 指定当 CoS 模板提供属性值时,哪个模板提供属性值。 |
5.3.12. 国家/地区
国家 对象类定义代表国家的条目。这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.2
表 5.23. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含代表国家名称的双字符代码,由 ISO 在 目录中定义。 |
表 5.24. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 |
5.3.13. dcObject
dcObject 对象类允许为条目定义域组件。这个对象类被定义为辅助的,因为它通常与另一个对象类结合使用,如 o (组织)、)或 ou (组织第l (位置)。
例如:
dn: dc=example,dc=com objectClass: top objectClass: organizationalUnit objectClass: dcObject dc: example ou: Example Corporation
此对象类在 RFC 2247 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.344
表 5.25. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含域名的一个组件。 |
5.3.14. device
设备 对象类将关于网络设备(如打印机)的信息存储在 目录中。此对象类在 RFC 2247 中定义。
卓越的类
top
OID
2.5.6.14
表 5.26. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给该设备的对象类。 | |
| 指定该设备的通用名称。 |
表 5.27. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 赋予该设备所属机构。 | |
| 提供设备所属机构单元或划分。 | |
| 为负责该设备的人提供 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含设备的序列号。 |
5.3.15. 文档
文档对象类定义代表文档的 目录条目。RFC 1247.
卓越的类
top
OID
0.9.2342.19200300.100.4.6
表 5.28. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出文档的唯一 ID。 |
表 5.29. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含文档的抽象。 | |
| 以二进制格式存储声文件。 | |
| 为作者提供通用名称或指定名称。 | |
| 为作者提供 surname。 | |
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 | |
| 包含条目的 DN(区分名称)用作文档条目的重定向。 | |
| 包含作者的 DN(区分名称)。 | |
| 给出原始文档的位置。 | |
| 标识发布文档的人员或机构。 | |
| 包含文档的标题。 | |
| 给出文件的版本号。 | |
| 包含有关文档的信息。 | |
| 存储 JPG 镜像。 | |
| 包含与文档相关的关键字。 | |
| 指定条目的城市或地理位置。 | |
| 为修改文档条目的最后一个用户的 DN(区分名称)。 | |
| 提供最后一次修改的时间。 | |
| 为条目管理器的 DN(区分名称)指定。 | |
| 赋予文档所属组织。 | |
| 为删除本文档的另一个文档条目设置 DN(区分名称)。 | |
| 为另一个文档条目的 DN(区分名称)指定本文档 过时的其他文档条目的 DN( 区分名称)。 | |
| 提供相关文档所属组织单元或部门。 | |
| 以二进制格式存储文档的照片。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 描述文档的主题。 | |
| 当可识别名称被重复使用时,可区分两个条目。 | |
| 为 更新 本文档的另一个文档条目提供 DN(区分名称)。 | |
| 为本文档 更新的另一个 文档条目的 DN(区分名称)指定。 |
5.3.16. documentSeries
documentSeries 对象类定义了代表一系列文档的条目。此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.9
表 5.30. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.31. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 给出文档系列物理位置的位置。 | |
| 赋予文档系列文档所属组织。 | |
| 提供一系列所属组织单元或部门。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 给出有关文档系列的电话号码。 |
5.3.17. domain
域 对象类定义代表 DNS 域的目录条目。使用 第 5.2.34 节 “dc (domainComponent)” 属性命名这个对象类的条目。
此对象类也用于互联网域名,如 example.com。
域 对象类只能用于 不与 机构、组织单元或任何定义了对象类别的其他对象相对应的目录条目。定义了对象类的对象。
此对象类在 RFC 2252 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.13
表 5.32. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含域名的一个组件。 |
表 5.33. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定与 DNS 域关联的组织目录树中的条目名称。 | |
| 给出此领域正在参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 为域提供 fax 号。 | |
| 为域指定 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 赋予条目所属组织。 | |
| 提供一个可以进行物理交付的位置。 | |
| 为域指定后办公室号码。 | |
| 包含域的邮件地址。 | |
| 为域提供后代代码,如美国中的 zip 代码。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供域所在的状态或配置。 | |
| 指定域的物理位置的树状名称和地址号。 | |
| 为域提供电话号码。 | |
| 为域的 teletex 终端提供 ID。 | |
| 为域提供 telex 号。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为域指定 X.121 地址。 |
5.3.18. domainRelatedObject
domainRelatedObject 对象类定义代表 DNS 或 NRS 域的条目,它们等同于 X.500 域,如机构或机构单元。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.17
表 5.34. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 指定与目录树中的对象关联的 DNS 域。 |
5.3.19. dSA
dSA 对象类定义代表 DSAs 的条目。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
2.5.6.13
表 5.35. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 包含条目的 OSI 演示地址。 |
表 5.36. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含 OSI 应用程序上下文的标识符。 |
5.3.20. extensibleObject
当条目中存在时,extensible Object 允许在 条目中存放任何属性(可选)。此类允许的属性列表隐式地就是服务器已知的所有属性集合。
此对象类在 RFC 2252 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.111
表 5.37. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
允许的属性
服务器已知的所有属性。
5.3.21. friendlyCountry
friendlyCountry 对象类定义目录中的国家/地区条目。与 country 对象类相比,这个对象类允许更友好的名称。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.18
表 5.38. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 存储人类可读的国家名称。 | |
| 包含代表国家名称的双字符代码,由 ISO 在 目录中定义。 |
表 5.39. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 |
5.3.22. groupOfCertificates
groupOfCertificates 对象类描述了一组 X.509 证书。与 第 5.2.107 节 “memberCertificateDescription” 值之一匹配的证书都将被视为组的成员。
卓越的类
top
OID
2.16.840.1.113730.3.2.31
表 5.40. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.41. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出了该组参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 包含用于确定特定证书是否是此组的成员的值。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含负责组的人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.23. groupOfMailEnhancedUniqueNames
groupOfMailEnhancedUniqueNames 对象类用于必须拥有唯一成员的邮件组。这个对象类是为 Netscape Messaging Server 定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.5
表 5.42. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.43. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出了该组参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 包含用于标识邮件组成员的唯一 DN 值。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含负责组的人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.24. groupOfNames
groupOfNames 对象类包含一组名称的条目。这个对象类在 RFC 2256 中定义。
在 Directory Server 中,这个对象类的定义与标准定义不同。在标准定义中,第 5.2.106 节 “member” 是所需的属性,而在 Directory Server 中,它是一个允许的属性。因此,目录服务器允许组没有成员。
卓越的类
top
OID
2.5.6.9
表 5.44. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.45. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 包含组成员的 DN(区分名称)。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含负责组的人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.25. groupOfUniqueNames
groupOfUniqueNames 对象类定义了一个组,其中包含唯一名称。
在 Directory Server 中,这个对象类的定义与标准定义不同。在标准定义中,第 5.2.345 节 “uniqueMember” 是所需的属性,而在 Directory Server 中,它是一个允许的属性。因此,目录服务器允许组没有成员。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.17
表 5.46. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.47. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含负责组的人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含组成员的 DN(区分名称) ; 这个 DN 必须是唯一的。 |
5.3.26. groupOfURLs
groupOfURLs 对象类是 groupOfUniqueNames 和 groupOfNames 对象类的辅助对象类。这个组由一个标记的 URL 列表组成。
卓越的类
top
OID
2.16.840.1.113730.3.2.33
表 5.48. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.49. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出了该组参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 包含一个与组的每个成员关联的 URL。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 包含负责组的人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.27. ieee802Device
ieee802Device 对象类指向具有 MAC 地址的设备。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.11
表 5.50. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 |
表 5.51. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 指定设备的 MAC 地址。 | |
| 赋予该设备所属机构。 | |
| 提供设备所属机构单元或划分。 | |
| 为负责该设备的人提供 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含设备的序列号。 |
5.3.28. inetAdmin
inetAdmin 对象类是管理组或用户的标记。此对象类是为 Netscape 委派管理员定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.112
表 5.52. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.53. 允许的属性
| 属性 | 定义 |
|---|---|
| 标识管理用户的角色。 | |
| 包含管理用户的组名称。这由 MemberOf 插件动态管理。 |
5.3.29. inetDomain
inetDomain 对象类是虚拟域节点的辅助类。此对象类是为 Netscape 委派管理员定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.129
表 5.54. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.55. 允许的属性
| 属性 | 定义 |
|---|---|
| 定义 DNS 域的用户子树的基本 DN。 | |
| 赋予域的状态。状态可以是 active、inactive 或 delete。 |
5.3.30. inetOrgPerson
inetOrgPerson 对象类定义代表机构企业网络人员的条目。此对象类从 人 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn(surname)” 属性。
此对象类在 RFC 2798 中定义。
卓越的类
个人
OID
2.16.840.1.113730.3.2.2
表 5.56. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 给个人的家族名称或姓氏。 |
表 5.57. 允许的属性
| 属性 | 定义 |
|---|---|
| 以二进制格式存储声文件。 | |
| 给出参与参与的业务类型。 | |
| 赋予个人车道车辆的许可证数。 | |
| 给出这个人的工作部门。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 显示条目时要使用的用户的首选名称。 | |
| 包含人员的员工数量。 | |
| 显示个人的招聘类型(例如,全时间)。 | |
| 包含人员的传真号码。 | |
| 包含此人的名字。 | |
| 给个人的主页电话号码。 | |
| 给该用户提供家庭电子邮件地址。 | |
| 给个人指点。 | |
| 包含条目的 ISDN 号。 | |
| 存储 JPG 镜像。 | |
| 指定条目的城市或地理位置。 | |
| 包含与 条目相关的 URL。 | |
| 包含人员的电子邮件地址。 | |
| 包含人条目的直接主管的 DN(区分名称)。 | |
| 给个人的手机号码。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 给个人传感者数。 | |
| 以二进制格式存储个人照片。 | |
| 提供一个可以进行物理交付的位置。 | |
| 为该条目提供后版本的办公室号码。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 给个人的首选编写或讲义语言。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 给出个人所处的房间号码。 | |
| 包含个人机密或管理助理的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 给出条目所在的状态或省。 | |
| 指定个人物理位置的树状名称和号码。 | |
| 为该条目提供电话号码。 | |
| 为该用户的 teletex 终端提供标识符。 | |
| 给出与该条目关联的电话号码。 | |
| 显示个人职位。 | |
| 包含该用户的用户 ID(通常是它的登录 ID)。 | |
| 将用户的证书存储在明文中(不使用)中。 | |
| 存储条目可以绑定到目录的密码。 | |
| 以二进制形式存储人员的证书,以便 S/MIME 客户端可以使用它。 | |
| 为该用户指定 X.121 地址。 | |
| 保留以供将来使用。 |
5.3.31. inetSubscriber
inetSubscriber 对象类用于常规用户帐户管理。这个对象类是为 Netscape 订阅者互操作性定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.134
表 5.58. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.59. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含将订阅者链接到账单系统的唯一属性。 | |
| 包含某种问题或提示,即质询短语,用于确认用户身份。 | |
| 包含挑战问题的答案。 |
5.3.32. inetUser
inetUser 对象类是一个辅助的类,它必须在一个条目中提供订阅者服务。这个对象类是为 Netscape 订阅者互操作性定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.130
表 5.60. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.61. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含与用户关联的网址。 | |
| 给出用户的状态。状态可以是 active、inactive 或 delete。 | |
| 包含用户所属的组名称。这由 MemberOf 插件动态管理。 | |
| 包含该用户的用户 ID(通常是它的登录 ID)。 | |
| 存储用户可用于访问用户帐户的密码。 |
5.3.33. ipHost
ipHost 对象类存储主机的 IP 信息。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.6
表 5.62. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 | |
| 包含设备或主机的 IP 地址。 |
表 5.63. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 包含条目的维护人员或主管的 DN(区分名称)。 | |
| 赋予该设备所属机构。 | |
| 提供设备所属机构单元或划分。 | |
| 为负责该设备的人提供 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 包含设备的序列号。 |
5.3.34. ipNetwork
ipNetwork 对象类存储有关网络的 IP 信息。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.7
表 5.64. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 | |
| 包含网络的 IP 号。 |
表 5.65. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 包含条目的维护人员或主管的 DN(区分名称)。 | |
| 包含网络的 IP 子网掩码。 |
5.3.35. ipProtocol
ipProtocol 对象类显示 IP 协议版本。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.4
表 5.66. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 | |
| 包含网络的 IP 协议号。 |
表 5.67. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.36. ipService
ipService 对象类存储 IP 服务的信息。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.3
表 5.68. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 | |
| 提供 IP 服务使用的端口号。 | |
| 包含服务的 IP 协议号。 |
表 5.69. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.37. labeledURIObject
此对象类可以添加到现有目录对象中,以允许包括 URI 值。使用此对象类不会根据需要在其它对象类中直接包含 第 5.2.88 节 “labeledURI” 属性类型。
此对象类在 RFC 2079 中定义。
卓越的类
top
OID
1.3.6.1.4.1.250.3.15
表 5.70. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.71. 允许的属性
| 属性 | 定义 |
|---|---|
| 提供一个与条目对象相关的 URI。 |
5.3.38. 地点
Locality 对象类定义代表本地实体或地理区域的条目。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.3
表 5.72. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.73. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供与当地性关联的状态或省。 | |
| 提供一个与本地性关联的 street 和 number。 |
5.3.39. mailGroup
mailGroup 对象类定义组的邮件属性。这个对象在 Netscape Messaging Server 的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.4
表 5.74. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.75. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 存储组的电子邮件地址。 | |
| 包含组的第二个电子邮件地址。 | |
| 包含邮件服务器的主机名。 | |
| 包含负责组的人的 DN(区分名称)。 |
5.3.40. mailRecipient
mailRecipient 对象类为用户定义邮件帐户。这个对象在 Netscape Messaging Server 的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.3
表 5.76. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.77. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 存储组的电子邮件地址。 | |
| 包含用户可以访问消息传递服务器的域。 | |
| 包含组的第二个电子邮件地址。 | |
| 指定是否启用帐户的模式。 | |
| 包含用于自动回复电子邮件的文本。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 包含邮件服务器的主机名。 | |
| 指定用户邮件框的位置。 | |
| 指定用于编程邮件发送的命令。 | |
| 指定用户邮件框允许的磁盘空间。 | |
| 包含用于路由地址,以在将邮件从此条目的帐户转发到另一个消息传递服务器时使用。 | |
| 包含有关条目的文本描述,跨越多个行。 | |
| 赋予定义的帐户用户 ID。 | |
| 存储条目可以访问帐户的密码。 |
5.3.41. mepManagedEntry
mepManagedEntry 对象标识一个由 Managed Entries 插件实例生成的条目。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.319
表 5.78. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定与受管条目对应的原始条目的 DN。 |
5.3.42. mepOriginEntry
mepOriginEntry 对象类标识一个条目,该条目由 Managed Entries 插件实例监控,并且具有 由插件创建的受管条目,其为原始条目。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.320
表 5.79. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定由 Managed Entries 插件实例创建的受管条目的 DN,并对应于此原始条目。 |
5.3.43. mepTemplateEntry
mepTemplateEntry 对象标识一个条目,该条目由 Managed Entries 插件的实例用作模板来创建受管条目。这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.321
表 5.80. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 包含一个 attribute-token 对,该插件使用 在受管条目中创建属性,其值取自原始条目。 | |
| 指定要将哪些属性用作受管条目中的 naming 属性。 | |
| 包含一个将要使用的属性值和受管条目的属性值的属性值。 |
5.3.44. netscapeCertificateServer
netscapeCertificateServer 对象类存储有关 Netscape 证书服务器的信息。这个对象在 Netscape 证书管理系统的 schema 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.18
表 5.81. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
5.3.45. netscapeDirectoryServer
netscapeDirectoryServer 对象类存储目录服务器实例的相关信息。这个对象在 Netscape Directory 服务器的架构中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.23
表 5.82. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
5.3.46. NetscapeLinkedOrganization
NetscapeLinkedOrganization 是一个辅助对象类。这个对象在 Netscape 服务器套件的 schema 中定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.141
表 5.83. 允许的属性
| 属性 | 定义 |
|---|---|
| 为服务器套件定义的已链接组织标识父机构。 |
5.3.47. netscapeMachineData
netscapeMachineData 对象类区分机器数据和非机器数据。这个对象在 Netscape Directory 服务器的架构中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.32
5.3.48. NetscapePreferences
Netscape 首选项 是辅助对象类,用于存储用户首选项。这个对象由 Netscape 定义。
卓越的类
top
OID
1.3.6.1.4.1.1466.101.120.142
表 5.84. 所需属性
| 属性 | 定义 |
|---|---|
| 给个人的首选编写或讲义语言。 | |
| 给个人的首选区域设置。区域设置定义了文化或国家设置,如日期格式和 currencies。 | |
| 给个人的首选时区。 |
5.3.49. netscapeReversiblePasswordObject
netscapeReversiblePasswordObject 是用于存储密码的辅助对象类。这个对象在 Netscape Web 服务器的架构中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.154
表 5.85. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含用于 HTTP Digest/MD5 验证的密码。 |
5.3.50. netscapeServer
netscapeServer 对象类包含有关 Netscape 服务器及其安装的实例特定信息。
卓越的类
top
OID
2.16.840.1.113730.3.2.10
表 5.86. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.87. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含服务器管理员的联系信息。 | |
| 包含实例使用的管理服务器的 URL。 | |
| 给出条目的文本描述。 | |
| 包含服务器实例安装的时间。 | |
| 包含运行 Directory Server 实例的服务器的主机名。 | |
| 包含服务器类型的产品名称。 | |
| 指定安装服务器产品的目录。 | |
| 包含产品版本号。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.51. netscapeWebServer
netscapeWebServer 对象类标识一个已安装的 Netscape Web Server。
卓越的类
top
OID
2.16.840.1.113730.3.2.29
表 5.88. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 包含服务器名称或 ID。 |
表 5.89. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 包含服务器的端口号。 |
5.3.52. newPilotPerson
newPilotPerson 对象类是 个人 的子类,允许将其他属性分配给 个人 对象类的条目。此对象类从 人 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn(surname)” 属性。
这个对象类在互联网 White Pages Pilot 中定义。
卓越的类
个人
OID
0.9.2342.19200300.100.4.4
表 5.90. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 给个人的家族名称或姓氏。 |
表 5.91. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 给个人出所喜欢的 drink。 | |
| 给个人的主页电话号码。 | |
| 给该用户提供家庭电子邮件地址。 | |
| 给人员提供电子邮件地址;这主要用于 Great Britain 或不使用 RFC 822 邮件地址的机构。 | |
| 包含人员的电子邮件地址。 | |
| 表示用户首选项在邮件列表上包括其名称(选择或物理)。 | |
| 给个人的手机号码。 | |
| 为个人功能提供通用作业类别。 | |
| 包含 X.400 和 RFC 822 以外的电子邮箱类型值。 | |
| 给个人传感者数。 | |
| 包含个人的签名文件。 | |
| 给个人尊重。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 给出个人所处的房间号码。 | |
| 包含个人机密或管理助理的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 为该条目提供电话号码。 | |
| 包含该用户的用户 ID(通常是它的登录 ID)。 | |
| 描述此条目的计算机用户的类型。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.53. nisMap
这个对象类指向 NIS 映射。
此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.13
表 5.92. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含 NIS 映射名称。 |
表 5.93. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.54. nisNetgroup
这个对象类包含在 NIS 域中使用的 netgroup。添加这个对象类可让管理员使用 netgroups 在 NIS 中控制登录和服务身份验证。
此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.8
表 5.94. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.95. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 通过列出合并 netgroup 的名称,将另一个 netgroup 的属性值合并到当前组中。 | |
|
包含用户名( |
5.3.55. nisObject
这个对象类包含有关 NIS 域中对象的信息。
此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.10
表 5.96. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 识别 NIS 映射条目。 | |
| 包含 NIS 映射的名称。 |
表 5.97. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.56. nsAdminConfig
此对象类存储管理服务器的配置参数。此对象是为管理服务而定义。
卓越的类
nsConfig
OID
nsAdminConfig-oid
表 5.98. 允许的属性
| 属性 | 定义 |
|---|---|
| 标识管理服务器 IP 地址。 | |
| 包含 Administration Server 主机名或 Administration Server 主机名列表。 | |
| 记录缓存超时期限的长度。 | |
| 包含服务器正在等待的 CGI 进程的 PID。 | |
| 设定是否允许最终用户访问管理服务器网页。 | |
| 包含管理服务器的本地 ACL 目录的路径。 | |
| 指向包含 admin 用户信息的文件。 |
5.3.57. nsAdminConsoleUser
此对象类存储管理服务器的配置参数。此对象是为管理服务而定义。
卓越的类
top
OID
nsAdminConsoleUser-oid
表 5.99. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.100. 允许的属性
| 属性 | 定义 |
|---|---|
| 存储控制台设置的首选项信息。 |
5.3.58. nsAdminDomain
此对象类存储用户信息以访问管理控制台。此对象是为管理服务而定义。
卓越的类
organizationalUnit
OID
nsAdminDomain-oid
表 5.101. 允许的属性
| 属性 | 定义 |
|---|---|
| 标识服务器的管理域。 |
5.3.59. nsAdminGlobalParameters
此对象类存储管理服务器的配置参数。此对象是为管理服务而定义。
卓越的类
top
OID
nsAdminGlobalParameters-oid
表 5.102. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.103. 允许的属性
| 属性 | 定义 |
|---|---|
| 设置是否允许最终用户访问 HTML 索引页面。 | |
| 为应用程序指定 nickname。 |
5.3.60. nsAdminGroup
此对象类在管理服务器中存储管理员用户的组信息。此对象是为管理服务而定义。
卓越的类
top
OID
nsAdminGroup-oid
表 5.104. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.105. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 包含 admin 组的名称。 | |
| 显示管理服务器实例的服务器实例条目(SIE)的 DN。 | |
| 提供管理服务器实例配置目录的完整路径。 |
5.3.61. nsAdminObject
此对象类包含有关管理服务器使用的对象的信息,如任务。此对象是为管理服务而定义。
卓越的类
top
OID
nsAdminObject-oid
表 5.106. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.107. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含与管理服务器的任务或资源编辑器关联的类名称。 | |
| 提供一个 JAR 文件的名称,供管理控制台访问对象。 |
5.3.62. nsAdminResourceEditorExtension
此对象类包含由 Console Resource Editor 使用的扩展。此对象是为管理服务而定义。
卓越的类
nsAdminObject
OID
nsAdminResourceEditorExtension-oid
表 5.108. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.109. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含有关管理服务器帐户的信息。 | |
| 包含要删除的类的名称。 |
5.3.63. nsAdminServer
此对象类定义管理服务器实例。此对象是为管理服务而定义。
卓越的类
top
OID
nsAdminServer-oid
表 5.110. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
|
包含目录服务器 ID,如 |
表 5.111. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.64. nsAIMpresence
nsAIMpresence 是一个辅助对象类,它定义 AOL 实例消息传递帐户的状态。这个对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.300
表 5.112. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含条目的 AIM 用户 ID。 | |
| 包含一个指向图形镜像的指针,指明 AIM 帐户的状态。 | |
| 包含指示 AIM 帐户状态的文本。 |
5.3.65. nsApplication
nsApplication 定义了应用程序或服务器条目。这由 Netscape 定义。
卓越的类
top
OID
nsApplication-oid
表 5.113. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.114. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 包含服务器实例安装的时间。 | |
| 包含服务器实例的构建号。 | |
| 包含进行构建的安全级别。 | |
| 包含应用程序许可证过期的日期。 | |
| 对于版本 7.1 或更早的版本,显示服务器的安装目录。 | |
| 提供目录服务器使用的 LDAP 模式文件版本。 | |
| 为应用程序指定 nickname。 | |
| 提供服务器产品的名称。 | |
| 显示服务器产品的版本号。 | |
| 包含产品的修订号(次版本)。 | |
| 指定分配给服务器产品的序列号。 | |
| 授予类来迁移服务器实例。 | |
| 授予用于创建服务器实例的类。 | |
| 包含设计服务器的供应商名称。 |
5.3.66. nsCertificateServer
nsCertificateServer 对象类保存有关 Red Hat Certificate System 实例的信息。此对象在证书系统的 schema 中定义。
卓越的类
top
OID
nsCertificateServer-oid
表 5.115. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含服务器名称或 ID。 |
表 5.116. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含红帽证书系统实例的配置设置。 | |
| 包含服务器的端口号。 | |
| 包含运行 Directory Server 实例的服务器的主机名。 |
5.3.67. nsComplexRoleDefinition
任何不是简单角色的角色都是通过定义复杂角色。
此对象类由 Directory Server 定义。
卓越的类
nsRoleDefinition
OID
2.16.840.1.113730.3.2.95
表 5.117. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.118. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.68. nsContainer
有些条目没有定义任何特定的实体,但它们在目录树中创建定义的空间,作为类似或相关的子条目的父条目。这些是 容器条目,它们由 nsContainer 对象类标识。
卓越的类
top
OID
2.16.840.1.113730.3.2.104
表 5.119. 所需属性
| 属性 | 定义 |
|---|---|
| objectClass | 定义条目的对象类。 |
| cn | 给出条目的通用名称。 |
5.3.69. nsCustomView
nsCustomView 对象类在 Directory Server 控制台中定义有关目录服务器数据自定义视图的信息。这为管理服务进行了定义。
卓越的类
nsAdminObject
OID
nsCustomView-oid
表 5.120. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含自定义 view 设置配置集的名称。 |
5.3.70. nsDefaultObjectClasses
nsDefaultObjectClasses 设置在目录中创建特定类型的新对象时要使用的默认对象类。这为管理服务进行了定义。
卓越的类
top
OID
nsDefaultObjectClasses-oid
表 5.121. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 |
表 5.122. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含一个对象类,默认为分配给对象类型。 |
5.3.71. nsDirectoryInfo
nsDirectoryInfo 包含有关目录实例的信息。这为管理服务进行了定义。
卓越的类
top
OID
nsDirectoryInfo-oid
表 5.123. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 指定该设备的通用名称。 |
表 5.124. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含为其服务器实例条目中为服务器定义的绑定 DN。 | |
| 在 SIE 中包含绑定身份的密码。 | |
|
如果 | |
| 包含对目录中可分辨名称(DN)的引用。 | |
| 包含用于访问 Directory 服务器实例的 URL。 |
5.3.72. nsDirectoryServer
nsDirectoryServer 是为 Directory Server 实例定义对象类。这是为 Directory Server 定义的。
卓越的类
top
OID
nsDirectoryServer-oid
表 5.125. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 包含服务器名称或 ID。 |
表 5.126. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含服务器实例的基本 DN。 | |
| 包含为其服务器实例条目中为服务器定义的绑定 DN。 | |
| 在 SIE 中包含绑定身份的密码。 | |
| 包含服务器的 TLS 端口号。 | |
| 包含服务器的端口号。 | |
| 包含运行 Directory Server 实例的服务器的主机名。 |
5.3.73. nsFilteredRoleDefinition
nsFilteredRoleDefinition 对象类定义如何分配条目到角色,具体取决于每个条目包含的属性。
这个对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.97
表 5.127. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 指定用于标识过滤角色中的条目的过滤器。 |
表 5.128. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.74. nsGlobalParameters
nsGlobalParameters 对象类包含全局首选项设置。
此对象类在管理服务中定义。
卓越的类
top
OID
nsGlobalParameters-oid
表 5.129. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.130. 允许的属性
| 属性 | 定义 |
|---|---|
| 定义组条目的 RDN 中使用的默认属性类型。 | |
| 在首选项中定义唯一属性。 | |
|
设置用于从 | |
| 设置属性类型,用作用户 DN 中的命名组件。 | |
| nsNYR | 未使用. |
| nsWellKnownJarfiles | 未使用. |
5.3.75. nsHost
nsHost 对象类存储与服务器主机相关的信息。
此对象类在管理服务中定义。
卓越的类
top
OID
nsHost-oid
表 5.131. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.132. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 指定条目的城市或地理位置。 | |
|
标识运行 Directory Server 实例的主机的硬件平台。这与运行 | |
| 指定服务器主机的位置。 | |
| 包含服务器主机的操作系统版本。 | |
| 包含运行 Directory Server 实例的服务器的主机名。 |
5.3.76. nsICQpresence
nsICQpresence 是一个辅助对象类,它定义 ICQ 消息传递帐户的状态。这个对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.301
表 5.133. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含条目的 ICQ 用户 ID。 | |
| 包含一个指向图形镜像的指针,它指示 ICQ 帐户的状态。 | |
| 包含指示 ICQ 帐户状态的文本。 |
5.3.77. nsLicenseUser
nsLicenseUser 对象类跟踪按客户端许可的服务器的许可证。nsLicenseUser 旨在与 inetOrgPerson 对象类一起使用。您可以通过管理服务器的" 用户和组" 区域来管理此对象类的内容。
此对象类在管理服务器架构中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.7
表 5.134. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.135. 允许的属性
| 属性 | 定义 |
|---|---|
| 标识用户被使用的服务器。 | |
| 保留以供将来使用。 | |
| 保留以供将来使用。 |
5.3.78. nsManagedRoleDefinition
nsManagedRoleDefinition 对象类为显式、枚举的成员列表指定角色的成员分配。
这个对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.96
表 5.136. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.137. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.79. nsMessagingServerUser
nsICQpresence 是一个辅助对象类,用于描述消息传递服务器用户。这个对象类是为 Netscape Messaging Server 定义的。
卓越的类
top
OID
2.16.840.113730.3.2.37
表 5.138. 所需属性
| 属性 | 定义 |
|---|---|
| 为该条目提供对象类。 |
表 5.139. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 包含用户可以访问消息传递服务器的域。 | |
| 包含组的第二个电子邮件地址。 | |
| 指定是否启用帐户的模式。 | |
| 包含用于自动回复电子邮件的文本。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用于邮件用户的邮件发送机制。 | |
| 指定用户邮件框的位置。 | |
| 指定用于编程邮件发送的命令。 | |
| 指定用户邮件框允许的磁盘空间。 | |
| 设置用户可用的邮件协议限值。 | |
| 指定用户邮件框允许的消息数。 | |
| 存储用户的扩展首选项。 | |
| 包含 vacation 周期的结束日期。 | |
| 包含 period 的开始日期。 |
5.3.80. nsMSNpresence
nsMSNpresence 是一个辅助对象类,它定义 MSN 实例消息传递帐户的状态。这个对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.303
表 5.140. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含该条目的 MSN 用户 ID。 |
5.3.81. nsNestedRoleDefinition
nsNestedRoleDefinition 对象类指定任何类型的一个或多个角色,它们作为角色中的成员包含在内。
这个对象类在 Directory Server 中定义。
卓越的类
nsComplexRoleDefinition
OID
2.16.840.1.113730.3.2.98
表 5.141. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 指定分配给条目的角色。 |
表 5.142. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.82. nsResourceRef
nsNestedRoleDefinition 对象类配置资源引用。
此对象类在管理服务中定义。
卓越的类
top
OID
nsResourceRef-oid
表 5.143. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.144. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.83. nsRoleDefinition
所有角色定义对象类都继承自 nsRoleDefinition 对象类。
此对象类由 Directory Server 定义。
卓越的类
LDAPsubentry
OID
2.16.840.1.113730.3.2.93
表 5.145. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.146. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.84. nsSimpleRoleDefinition
包含此对象类的角色称为简单角色,因为它们具有有意限制的灵活性,这使其易于:
- 枚举角色的成员。
- 确定给定条目是否具有特定角色。
- 枚举给定条目拥有的所有角色。
- 为给定条目分配特定角色。
- 从给定条目中删除特定角色。
此对象类由 Directory Server 定义。
卓越的类
nsRoleDefinition
OID
2.16.840.1.113730.3.2.94
表 5.147. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.148. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 |
5.3.85. nsSNMP
此对象类定义 Directory 服务器使用的 SNMP 插件对象的配置。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.41
表 5.149. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 设定为 Directory 服务器实例启用 SNMP。 |
表 5.150. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含 SNMP 代理提供的联系信息。 | |
| 包含 SNMP 设置的文本描述。 | |
| 包含 SNMP 代理的位置信息或配置。 | |
| 包含 SNMP master 代理所在的服务器的主机名。 | |
| 包含用于访问 SNMP 子代理的端口。 | |
| 包含 SNMP 服务提供的机构名称或信息。 |
5.3.86. nsTask
此对象类定义由 Directory 服务器执行的任务的配置。
此对象类是为 Administrative 服务定义的。
卓越的类
top
OID
nsTask-oid
表 5.151. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.152. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含对执行任务的程序的引用。 | |
| 包含对与任务窗口关联的在线(HTML)帮助文件的引用。 | |
| 设置是否阻止任务登录。 | |
| 包含与控制台中任务关联的标签。 |
5.3.87. nsTaskGroup
此对象类在控制台中定义一组任务的信息。
此对象类是为 Administrative 服务定义的。
卓越的类
top
OID
nsTaskGroup-oid
表 5.153. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.154. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含与控制台中任务关联的标签。 |
5.3.88. nsTopologyCustomView
此对象类配置控制台中用于配置集的拓扑视图。
此对象类是为 Administrative 服务定义的。
卓越的类
nsCustomView
OID
nsTopologyCustomView-oid
表 5.155. 所需属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 |
表 5.156. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含要在控制台中使用的视图配置。 |
5.3.89. nsTopologyPlugin
此对象类配置用于在控制台中设置视图的拓扑插件。
此对象类是为 Administrative 服务定义的。
卓越的类
nsAdminObject
OID
nsTopologyPlugin-oid
5.3.90. nsValueItem
此对象类定义一个值项对象配置,用于指定依赖于条目值类型的信息。value 项目与条目属性的允许属性值语法相关,如二进制或区分大小写的字符串。
这个对象类在 Netscape Servers - Value Item 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.45
表 5.157. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.158. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含与二进制值类型相关的信息或操作。 | |
| 包含与 case-exact 字符串(CES)值类型相关的信息或操作。 | |
| 包含与不区分大小写(CIS)值类型相关的信息或操作。 | |
| 设置用于属性或配置参数的默认值类型。 | |
| 提供值项设置的文本描述。 | |
| 包含与 DN 值类型相关的信息或操作。 | |
| 为 value 项对象设置标记。 | |
| 包含对与 value 项对象关联的在线(HTML)帮助文件的引用。 | |
| 包含与整数值类型相关的信息或操作。 | |
| 定义用于 value 项对象的语法。 | |
| 包含与电话字符串值类型相关的信息或操作。 | |
| 设置要应用的值类型。 |
5.3.91. nsView
此对象类用于目录树中的 view 条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.304
表 5.159. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.160. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 标识由 view 插件使用的过滤器。 |
5.3.92. nsYIMpresence
nsYIMpresence 是一个辅助对象类,它定义 Yahoo 实例消息传递帐户的状态。这个对象是为 Directory 服务器定义的。
卓越的类
top
OID
2.16.840.1.113730.3.2.302
表 5.161. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含条目的 Yahoo 用户 ID。 | |
| 包含一个指向图形镜像的指针,它表示 Yahoo 帐户的状态。 | |
| 包含指示 Yahoo 帐户状态的文本。 |
5.3.93. ntGroup
ntGroup 对象类包含存储在 Windows Active Directory 服务器中的组条目的数据。多个 Directory Server 属性与直接对应或者被映射以匹配 Windows 组属性。当您在要与 Windows 服务器组同步的 Directory Server 中创建新组时,Directory 服务器属性将分配给 Windows 条目。然后可以通过目录服务在条目中添加、修改或删除这些属性。
这个对象类在 Netscape NT Synchronization 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.9
表 5.162. 所需的对象类
| 对象类 | 定义 |
|---|---|
|
允许在 Windows 和 Directory Server 组之间同步 |
表 5.163. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含组帐户的 Windows 域登录 ID。 |
表 5.164. 允许的属性
| 属性 | 定义 |
|---|---|
|
指定条目的通用名称;这与 Windows | |
|
提供条目的文本描述;对应于 Windows | |
| 指定条目的城市或地理位置。 | |
| 指定组的成员。 | |
| 指定在 Directory Server 中创建条目时是否应该创建 Windows 帐户。 | |
| 指定在 Directory Server 中删除条目时是否应删除 Windows 帐户。 | |
| 为组指定域 ID 字符串。 | |
| 定义该条目的 Windows 域组类型。 | |
| 包含一个生成的 ID 号,供服务器用于操作和识别。 | |
| 提供条目所属组织单元或部门。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 |
5.3.94. ntUser
ntUser 条目保存存储在 Windows Active Directory 服务器中的用户条目的数据。多个 Directory Server 属性与直接对应或者映射到 Windows 用户帐户字段。当您在 Directory Server 中创建新人条目时,要与 Windows 服务器同步的新个人条目时,目录服务器属性将分配给 Windows 用户帐户字段。然后可以通过目录服务在条目中添加、修改或删除这些属性。
这个对象类在 Netscape NT Synchronization 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.8
表 5.165. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
|
指定条目的通用名称;这与 Windows | |
| 包含用户帐户的 Windows 域登录 ID。 |
表 5.166. 允许的属性
| 属性 | 定义 |
|---|---|
|
提供条目的文本描述;对应于 Windows | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 为用户提供 fax 号码。 | |
| 包含此人的名字。 | |
| 给个人的主页电话号码。 | |
| 给该用户提供家庭电子邮件地址。 | |
| 给个人指点。 | |
| 指定条目的城市或地理位置。 | |
| 包含人员的电子邮件地址。 | |
| 包含人条目的直接主管的 DN(区分名称)。 | |
| 给个人的手机号码。 | |
| 标识用户 Windows 帐户何时到期。 | |
| 给出用户的代码页面。 | |
| 指定在 Directory Server 中创建此条目时是否应该创建 Windows 帐户。 | |
| 指定在 Directory Server 中删除此条目时是否应删除 Windows 帐户。 | |
| 指定到用户主目录的路径。 | |
| 为用户授予从 Windows 服务器的最后 logoff 的时间。 | |
| 给出用户最后一次登录 Windows 服务器的时间。 | |
| 显示 Windows 服务器中用户可用的最大磁盘空间。 | |
| 包含保留供应用程序使用的 Unicode 字符串。 | |
| 包含到用户的 Windows 配置集的路径。 | |
| 包含用户 Windows 登录脚本的路径。 | |
| 包含允许用户从其登录到 Windows 域的 Windows 工作站列表。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 | |
| 给个人传感者数。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 给个人的家族名称或姓氏。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和地址号。 | |
| 为该条目提供电话号码。 | |
| 为该用户的 teletex 终端提供标识符。 | |
| 给出与该条目关联的电话号码。 | |
| 显示个人职位。 | |
| 将用户的证书存储在明文中(不使用)中。 | |
| 为条目指定 X.121 地址。 |
5.3.95. oncRpc
oncRpc 对象类定义了 Open Network Computing Remote Procedure Call(ONC RPC)的抽象。此对象类在 RFC 2307 中定义。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.5
表 5.167. 所需属性
| 属性 | 定义 |
|---|---|
| 定义条目的对象类。 | |
| 给出条目的通用名称。 | |
| 包含 RPC 映射的一部分,并存储 UNIX RPC 的 RPC 号。 |
表 5.168. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 |
5.3.96. 机构
组织 属性定义代表机构的条目。组织通常被假定在大型企业或企业内是一个相对静态分组的大范围。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.4
表 5.169. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 赋予条目所属组织。 |
表 5.170. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 显示该条目的首选联系方法或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和号码。 | |
| 授予该组织的电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 指定条目可以绑定到该目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.97. organizationalPerson
organizationalPerson 对象类为组织持有或附属人员定义条目。此对象类从 人 对象类继承 第 5.2.25 节 “cn (commonName)” 和 第 5.2.329 节 “sn(surname)” 属性。
这个对象类在 RFC 2256 中定义。
卓越的类
个人
OID
2.5.6.7
表 5.171. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 给个人的家族名称或姓氏。 |
表 5.172. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 提供条目所属组织单元或部门。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和号码。 | |
| 为该条目提供电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 显示个人职位。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.98. organizationalRole
organizationalRole 对象类用于定义组织内个人保留的角色的条目。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.8
表 5.173. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.174. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 提供条目所属组织单元或部门。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 显示角色的首选联系方法或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 包含角色中个人的 DN(区分名称)。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 给出条目所在的状态或省。 | |
| 指定角色的物理位置的树形名称和编号。 | |
| 为该条目提供电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 为条目指定 X.121 地址。 |
5.3.99. organizationalUnit
organizationalUnit 对象类定义代表 机构单元 的条目,通常理解在大型机构内是相对静态分组。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.5
表 5.175. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 提供条目所属组织单元或部门。 |
表 5.176. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 给需要联系的首选方法。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供个人所在州或省省。 | |
| 指定角色的物理位置的树形名称和编号。 | |
| 为该条目提供电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.100. 个人
个人 对象类代表通用人员的条目。这是 organizationalPerson 对象类的基础对象类。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.6
表 5.177. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 给个人的家族名称或姓氏。 |
表 5.178. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 为该条目提供电话号码。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.101. pilotObject
pilotObject 是一个子类,允许将其他属性分配到所有其他对象类的条目。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.3
表 5.179. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.180. 允许的属性
| 属性 | 定义 |
|---|---|
| 以二进制格式存储声文件。 | |
| 包含条目的 DN(区分名称)用作条目的重定向。 | |
| 包含有关条目的信息。 | |
| 存储 JPG 镜像。 | |
| 为修改文档条目的最后一个用户的 DN(区分名称)。 | |
| 为对象提供最新修改的时间。 | |
| 为条目管理器的 DN(区分名称)指定。 | |
| 以二进制格式存储文档的照片。 | |
| 当可识别名称被重复使用时,可区分两个条目。 |
5.3.102. pilotOrganization
pilotOrganization 对象类是用于添加属性到 机构和 对象类条目的子类。
organizational Unit
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.20
表 5.181. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 赋予条目所属组织。 | |
| 提供条目所属组织单元或部门。 |
表 5.182. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目所在的构建的名称。 | |
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 给需要联系的首选方法。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和地址号。 | |
| 为该条目提供电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.103. pkiCA
pkiCA 辅助对象类包含为证书颁发机构配置的必需或可用证书。此对象类在 RFC 4523 中定义,它定义 LDAP 用于管理 X.509 证书和相关证书服务的对象类和属性。
卓越的类
top
OID
2.5.6.22
表 5.183. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含已撤销的 CA 证书的列表。 | |
| 包含 CA 证书。 | |
| 包含已撤销的证书列表。 | |
| 包含用于在 FBCA 风格网桥 CA 配置中跨 CA 对 CA 间的证书。 |
5.3.104. pkiUser
pkiUser 辅助对象类包含连接到公钥基础架构中证书颁发机构或元素的用户或客户端所需的证书。此对象类在 RFC 4523 中定义,它定义 LDAP 用于管理 X.509 证书和相关证书服务的对象类和属性。
卓越的类
top
OID
2.5.6.21
表 5.184. 允许的属性
| 属性 | 定义 |
|---|---|
| 存储用户的证书,通常采用二进制形式。 |
5.3.105. posixAccount
posixAccount 对象类定义使用 POSIX 属性的网络帐户。此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.0
表 5.185. 所需属性
| 属性 | 定义 |
|---|---|
| 给出条目的通用名称。 | |
| 包含组条目的唯一标识符或标识用户条目的组,与 Unix 中的组类似。 | |
| 包含用户主目录的路径。 | |
| 授予分配给条目的对象类。 | |
| 赋予定义的帐户用户 ID。 | |
| 包含用户条目的唯一标识符,类似于 Unix 中的用户号码。 |
表 5.186. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 用于确定用户的 GECOS 字段,该字段基于通用名称,并嵌入了附加信息。 | |
| 包含用户登录到域时自动启动的脚本的路径。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.106. posixGroup
posixGroup 对象类定义一组使用 POSIX 属性的网络帐户。此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
卓越的类
top
OID
1.3.6.1.1.1.2.2
表 5.187. 所需属性
| 属性 | 定义 |
|---|---|
| 包含用户登录到域时自动启动的脚本的路径。 | |
| 授予分配给条目的对象类。 |
表 5.188. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 给出组成员登录名称;这可能与成员的 DN 不同。 | |
| 包含组成员的登录名称。 |
5.3.107. 引用
引用的对象 类定义了支持 LDAPv3 智能引用的对象。这个对象类在 LDAPv3 引用互联网 Draft 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.6
表 5.189. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 5.190. 允许的属性
| 属性 | 定义 |
|---|---|
| 包含 LDAPv3 智能引用的信息。 |
5.3.108. residentialPerson
常驻人员 对象类管理人员的常驻信息。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.10
表 5.191. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 | |
| 指定条目的城市或地理位置。 | |
| 给个人的家族名称或姓氏。 |
表 5.192. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出参与参与的业务类型。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和地址号。 | |
| 为该条目提供电话号码。 | |
| 为条目的 teletex 终端提供 ID。 | |
| 给出与该条目关联的电话号码。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.109. RFC822LocalPart
RFC822LocalPart 对象类定义代表 RFC 822 邮件地址本地部分的条目。目录将这一部分 RFC822 地址视为域。
此对象类由 Internet Directory Pilot 定义。
卓越的类
domain
OID
0.9.2342.19200300.100.4.14
表 5.193. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 包含域名的一个组件。 |
表 5.194. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定与 DNS 域关联的组织目录树中的条目名称。 | |
| 给出参与参与的业务类型。 | |
| 给出条目的通用名称。 | |
| 给出条目的文本描述。 | |
| 为与该条目关联的国家/地区和城市提供公共电话服务。 | |
| 包含条目的 fax 号。 | |
| 包含条目的 ISDN 号。 | |
| 指定条目的城市或地理位置。 | |
| 赋予帐户所属组织。 | |
| 提供一个可以进行物理交付的位置。 | |
| 包含条目的电子邮件地址。 | |
| 提供条目的后期代码,如美国中的 zip 代码。 | |
| 为该条目提供后版本的办公室号码。 | |
| 显示个人首选的联系方式或消息发送。 | |
| 当接收方必须验证交付时,给出一个适合接收接收的文档的后期地址。 | |
| 指定在搜索的目录树中将该条目用作基本对象时的建议搜索条件的信息。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 给个人的家族名称或姓氏。 | |
| 提供个人所在州或省省。 | |
| 指定个人物理位置的树状名称和地址号。 | |
| 为该条目提供电话号码。 | |
| 为该用户的 teletex 终端提供标识符。 | |
| 给出与该条目关联的电话号码。 | |
| 存储条目可以绑定到目录的密码。 | |
| 为条目指定 X.121 地址。 |
5.3.110. room
room 对象类将信息存储在有关房间的信息。
卓越的类
top
OID
0.9.2342.19200300.100.4.7
表 5.195. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 给出条目的通用名称。 |
表 5.196. 允许的属性
| 属性 | 定义 |
|---|---|
| 为房间提供文本描述。 | |
| 包含空间编号。 | |
| 包含指向另一个条目或包含相关信息的站点的 URL。 | |
| 为该条目提供电话号码。 |
5.3.111. shadowAccount
shadowAccount 对象类允许 LDAP 目录用作影子密码服务。影子密码服务将主机上的密码文件重新定位到具有严格限制访问的影子文件中。
此对象类在 RFC 2307 中定义,用于定义将 LDAP 用作网络信息服务的对象类和属性。
这个对象类在 Directory Server 中的 10rfc2307.ldif 中定义。要使用更新的 RFC 2307 模式,请删除 10rfc2307.ldif 文件,并将 10rfc2307bis.ldif 文件从 /usr/share/dirsrv/data 目录中复制到 /etc/dirsrv/slapd-实例/schema 目录。
卓越的类
top
OID
1.3.6.1.1.1.2.1
表 5.197. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 赋予定义的帐户用户 ID。 |
表 5.198. 允许的属性
| 属性 | 定义 |
|---|---|
| 给出条目的文本描述。 | |
| 包含影子帐户过期的日期。 | |
| 识别影子 map 中的哪些区域存储了标志值。 | |
| 设置影子帐户可以处于不活动状态的时长。 | |
| 包含对影子帐户进行最后一次修改的时间和日期。 | |
| 设置影子密码有效的最长天数。 | |
| 设置更改影子密码之间必须经过的最短天数。 | |
| 设定密码过期前可以如何向用户发送警告。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.112. simpleSecurityObject
当条目的主体对象类不允许 password 属性时,simpleSecurityObject 对象类允许条目包含 userPassword 属性。保留以供将来使用。
此对象类在 RFC 1274 中定义。
卓越的类
top
OID
0.9.2342.19200300.100.4.19
表 5.199. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 存储条目可以绑定到目录的密码。 |
5.3.113. strongAuthenticationUser
strongAuthenticationUser 对象类将用户的证书存储在 目录中。
这个对象类在 RFC 2256 中定义。
卓越的类
top
OID
2.5.6.15
表 5.200. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 | |
| 存储用户的证书,通常采用二进制形式。 |
第 6 章 操作属性和对象类
操作属性是用于执行目录操作的属性,并可用于目录中每个条目,无论它们是否定义了该条目的对象类。只有特别请求时,仅在 ldapsearch 操作中返回操作属性。要返回对象的所有操作属性,请指定 +。
操作属性由 Directory Server 在条目上创建和管理,如创建或修改条目的时间以及创建者的名称。这些属性可以在任何条目上设置,无论条目上的其他属性或对象类如何。
6.1. accountUnlockTime
accountUnlockTime 属性包含客户端将要解锁的 GMT-format 中的日期和时间。值为 0 表示该帐户必须由管理员解锁。
| OID | 2.16.840.1.113730.3.1.95 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.2. aci
Directory 服务器使用此属性来评估在从客户端收到 LDAP 请求时授予或拒绝什么权限。
| OID | 2.16.840.1.113730.3.1.55 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.3. altServer
此属性的值是其他服务器的 URL,当该服务器不可用时可以联系到这个服务器的 URL。如果服务器不知道可以使用的任何其他服务器,则缺少此属性。如果首选 LDAP 服务器不可用,那么可以缓存这些信息。
| OID | 1.3.6.1.4.1.1466.101.120.6 |
| 语法 | IA5String |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.4. createTimestamp
此属性包含开始创建条目的日期和时间。
| OID | 2.5.18.1 |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.5. creatorsName
此属性包含创建条目的用户的名称。
| OID | 2.5.18.3 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.6. dITContentRules
此属性定义了在子schema 中强制进行 DIT 内容规则。每个值都定义一个 DIT 内容规则。每个值都由其相关的结构化对象类的对象标识符标记。
| OID | 2.5.21.2 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.7. dITStructureRules
此属性定义在子schema 内强制执行的 DIT 结构规则。每个值都定义一个 DIT 结构规则。
| OID | 2.5.21.1 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.8. entryusn
启用 USN 插件后,服务器会在每次执行写入操作(添加、修改、修改、修改或删除)时,自动分配一个 更新序列号 到条目。USN 存储在条目的 entryUSN 操作属性中; entryUSN 则显示任何条目上最近更改的数字。
entryUSN 属性仅根据 LDAP 客户端执行的操作递增。它没有计算内部操作。
默认情况下,条目USN 为每个后端数据库实例唯一,因此其他数据库中的条目可能具有相同的 USN。nsslapd-entryusn-global 参数会将 USNs 从本地改为全局更改为全局,即被计入单个数据库,以便为拓扑中的所有数据库进行计数。参数默认关闭。
对应条目 lastusn 保存在 root DSE 条目中,该条目显示最近分配的 USN。在本地 模式中,lastusn 显示每个后端数据库最近分配的 USN。在 全局 模式中,lastusn 显示整个拓扑最近分配的 USN。
| OID | 2.16.840.1.113730.3.1.606 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.9. internalCreatorsName
对于插件或服务器创建的条目,而不是由 Directory Server 用户创建的条目,此属性记录哪个内部用户(插件 DN)创建了该条目。
internalCreatorsname 属性始终显示插件作为身份。此插件可以是额外的插件,如 MemberOf 插件。如果 core Directory Server 进行了更改,则插件是数据库插件 cn=ldbm 数据库,cn=plugins,cn=config。
| OID | 2.16.840.1.113730.3.1.2114 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.10. internalModifiersName
如果条目由插件或服务器编辑,而不是由 Directory Server 用户编辑,则此属性记录哪个内部用户(插件 DN)修改了该条目。
internalModifiersname 属性始终显示插件作为身份。此插件可以是额外的插件,如 MemberOf 插件。如果 core Directory Server 进行了更改,则插件是数据库插件 cn=ldbm 数据库,cn=plugins,cn=config。
| OID | 2.16.840.1.113730.3.1.2113 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.11. hasSubordinates
此属性指示条目是否有从属条目。
| OID | 1.3.6.1.4.1.1466.115.121.1.7 |
| 语法 | 布尔值 |
| 多值或 Single-Valued | single-valued |
| 定义在 | numSubordinates Internet Draft |
6.12. lastLoginTime
lastLoginTime 属性包含最后一次验证给该目录的帐户的时间戳,其格式为 YYYMMDDHHMMSSZ。例如:
lastLoginTime: 20200527001051Z
这用于根据帐户不活跃来评估帐户锁定策略。
| OID | 2.16.840.1.113719.1.1.4.1.35 |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.13. lastModifiedBy
lastModifiedBy 属性包含最后一次编辑条目的用户的可分辨名称(DN)。例如:
lastModifiedBy: cn=Barbara Jensen,ou=Engineering,dc=example,dc=com
| OID | 0.9.2342.19200300.100.1.24 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.14. lastModifiedTime
lastModifiedTime 属性包含时间( UTC 格式),它是最后一个修改的条目。例如:
lastModifiedTime: Thursday, 22-Sep-93 14:15:00 GMT
| OID | 0.9.2342.19200300.100.1.23 |
| 语法 | DirectyString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.15. ldapSubEntry
这些条目保存了运营数据。这个对象类在 LDAP Subentry Internet Draft 中定义。
卓越的类
top
OID
2.16.840.1.113719.2.142.6.1.1
表 6.1. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 6.2. 允许的属性
| 属性 | 定义 |
|---|---|
| 指定条目的通用名称。 |
6.16. ldapSyntaxes
此属性标识实施的语法,每个值对应于一个语法。
| OID | 1.3.6.1.4.1.1466.101.120.16 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.17. matchingRules
此属性定义子schema 中使用的匹配规则。每个值都定义一个匹配规则。
| OID | 2.5.21.4 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.18. matchingRuleUse
此属性指示匹配规则在子schema中应用到的属性类型。
| OID | 2.5.21.8 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.19. modifyTimestamp
此属性包含条目最近修改的日期和时间。
| OID | 2.5.18.2 |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.20. modifiersName
此属性包含最近修改条目的用户名称。
| OID | 2.5.18.4 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.21. nameForms
此属性定义子schema 中使用的名称表单。每个值都定义一个名称表单。
| OID | 2.5.21.7 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 |
6.22. nsAccountLock
此属性显示帐户是活动还是不活跃。
| OID | 2.16.840.1.113730.3.1.610 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.23. nsAIMStatusGraphic
此属性包含一个指向图形的路径,它演示了 AIM 用户状态。
| OID | 2.16.840.1.113730.3.1.2018 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.24. nsAIMStatusText
此属性包含指示当前 AIM 用户状态的文本。
| OID | 2.16.840.1.113730.3.1.2017 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.25. nsBackendSuffix
这包括后端使用的后缀。
| OID | 2.16.840.1.113730.3.1.803 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.26. nscpEntryDN
此属性包含 tombstone 条目的(旧)条目 DN。
| OID | 2.16.840.1.113730.3.1.545 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.27. nsDS5ReplConflict
此属性包含在具有更改冲突的条目中,这些冲突无法通过同步或复制进程自动解决。nsDS5ReplConflict 的值包含关于哪些条目冲突的信息,通常通过将它们的 nsUniqueID 用于当前条目和 tombstone 条目来引用它们。
| OID | 2.16.840.1.113730.3.1.973 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.28. nsICQStatusGraphic
此属性包含一个指向图形的路径,它演示了 ICQ 用户状态。
| OID | 2.16.840.1.113730.3.1.2022 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.29. nsICQStatusText
此属性包含当前 ICQ 用户状态的文本。
| OID | 2.16.840.1.113730.3.1.2021 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.30. nsIdleTimeout
此属性标识基于用户的连接闲置超时期限,以秒为单位。
| OID | 2.16.840.1.113730.3.1.573 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.31. nsIDListScanLimit
此属性指定搜索操作过程中搜索的条目 ID 数量。保留默认值以提高搜索性能。有关 ID 列表对搜索性能的影响的更详细的说明,请参阅 Red Hat Directory Server 管理指南 中的"管理索引"一章中的"查看搜索算法"。
| OID | 2.16.840.1.113730.3.1.2106 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.32. nsLookThroughLimit
此属性设置该用户在搜索操作期间允许查找该服务器的最大条目数。此属性在服务器本身中配置,并在启动搜索时应用到用户。
| OID | 2.16.840.1.113730.3.1.570 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.33. nsPagedIDListScanLimit
此属性使用简单页面结果控制指定搜索的输入 ID 数,特别是搜索操作。此属性与 nsIDListScanLimit 属性相同,但它只适用于使用简单页结果控制进行搜索。
如果这个属性不存在或为零,则使用 nsIDListScanLimit 进行搜索以及非页面搜索。
| OID | 2.16.840.1.113730.3.1.2109 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.34. nsPagedLookThroughLimit
此属性指定在检查使用简单页结果控制的搜索时,目录服务器要检查候选条目的最大条目数。此属性与 nsLookThroughLimit 属性相同,但它只适用于使用简单的页面结果控制进行搜索。
如果这个属性不存在或被设置为零,则使用 nsLookThroughLimit 来分页搜索以及非页面搜索。
| OID | 2.16.840.1.113730.3.1.2108 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.35. nsPagedSizeLimit
此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsSizeLimit 属性。
如果这个值被设置为零,则使用 nsSizeLimit 属性用于分页搜索以及非页面搜索用户,或使用全局配置设置。
| OID | 2.16.840.1.113730.3.1.2107 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.36. nsParentUniqueId
对于存储在复制中的 tombstone(删除)条目,nsParentUniqueId 属性包含原始条目的父级的 DN 或条目 ID。
| OID | 2.16.840.1.113730.3.1.544 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.37. nsRole
此属性是 computed 属性,未存储在条目本身。它标识一个条目所属的角色。
| OID | 2.16.840.1.113730.3.1.574 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.38. nsRoleDn
此属性包含应用到条目的所有角色的可分辨名称。受管角色的成员资格通过将角色的 DN 添加到条目的 nsRoleDN 属性来赋予一个条目。例如:
dn: cn=staff,ou=employees,dc=example,dc=com objectclass: LDAPsubentry objectclass: nsRoleDefinition objectclass: nsSimpleRoleDefinition objectclass: nsManagedRoleDefinition dn: cn=userA,ou=users,ou=employees,dc=example,dc=com objectclass: top objectclass: person sn: uA userpassword: secret nsroledn: cn=staff,ou=employees,dc=example,dc=com
嵌套角色指定任意类型的一个或多个角色。在这种情况下,nsRoleDN 定义包含角色的 DN。例如:
dn: cn=everybody,ou=employees,dc=example,dc=com objectclass: LDAPsubentry objectclass: nsRoleDefinition objectclass: nsComplexRoleDefinition objectclass: nsNestedRoleDefinition nsroledn: cn=manager,ou=employees,dc=example,dc=com nsroledn: cn=staff,ou=employees,dc=example,dc=com
| OID | 2.16.840.1.113730.3.1.575 |
| 语法 | DN |
| 多值或 Single-Valued | 多值 |
| 定义在 | 目录服务器 |
6.39. nsRoleFilter
此属性设置过滤器用于标识属于角色的条目。
| OID | 2.16.840.1.113730.3.1.576 |
| 语法 | IA5String |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.40. nsSchemaCSN
这个属性是 subschema DSE 属性类型之一。
| OID | 2.5.21.82.16.840.1.113730.3.1.804 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.41. nsSizeLimit
此属性显示数据库或数据库链接的默认大小限值(以字节为单位)。
| OID | 2.16.840.1.113730.3.1.571 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.42. nsTimeLimit
此属性显示数据库或数据库链接的默认搜索时间限制。
| OID | 2.16.840.1.113730.3.1.572 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.43. nsTombstone(对象类)
tombstone 条目是从 Directory Server 中删除的条目。对于复制和恢复操作,这些删除的条目会被保存,以便在需要时重新恢复并替换它们。每个 tombstone 条目均自动具有 nsTombstone 对象类。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.113
表 6.3. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
表 6.4. 允许的属性
| 属性 | 定义 |
|---|---|
| 标识原始条目的父条目的唯一 ID。 | |
| 在 tombstone 条目中标识 orignal 条目 DN。 |
6.44. nsUniqueId
此属性标识或分配唯一的 ID 到服务器条目。
| OID | 2.16.840.1.113730.3.1.542 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.45. nsYIMStatusGraphic
此属性包含一个指向图形的路径,它演示了 Yahoo IM 用户状态。
| OID | 2.16.840.1.113730.3.1.2020 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.46. nsYIMStatusText
此属性包含当前 Yahoo IM 用户状态的文本。
| OID | 2.16.840.1.113730.3.1.2019 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.47. numSubordinates
此属性指示现在许多立即从属一个条目。例如,leaf 条目中的 numSubordinates=0。
| OID | 1.3.1.1.4.1.453.16.2.103 |
| 语法 | 整数 |
| 多值或 Single-Valued | single-valued |
| 定义在 | numSubordinates Internet Draft |
6.48. passwordGraceUserTime
此属性计算用户使用过期密码进行的尝试次数。
| OID | 2.16.840.1.113730.3.1.998 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.49. passwordRetryCount
此属性计算在输入正确密码时连续失败的尝试次数。
| OID | 2.16.840.1.113730.3.1.93 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.50. pwdpolicysubentry
此属性值指向新密码策略的条目 DN。
| OID | 2.16.840.1.113730.3.1.997 |
| 语法 | DirectoryString |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.51. pwdUpdateTime
此属性值存储帐户最近更改密码的时间。
| OID | 2.16.840.1.113730.3.1.2133 |
| 语法 | GeneralizedTime |
| 多值或 Single-Valued | single-valued |
| 定义在 | 目录服务器 |
6.52. subschemaSubentry
此属性包含包含架构信息的条目的 DN。例如:
subschemaSubentry: cn=schema
| OID | 2.5.18.10 |
| 语法 | DN |
| 多值或 Single-Valued | single-valued |
| 定义在 |
6.53. glue(对象类)
glue 对象类以特殊状态定义一个条目:因为复制冲突,重新创建。
此对象类由 Directory Server 定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.30
表 6.5. 所需属性
| 属性 | 定义 |
|---|---|
| 授予分配给条目的对象类。 |
6.54. passwordObject(对象类)
此对象类用于在 目录中存储用户的密码信息的条目。
这个对象类在 Directory Server 中定义。
卓越的类
top
OID
2.16.840.1.113730.3.2.12
表 6.6. 所需属性
| 定义条目的对象类。 |
表 6.7. 允许的属性
| 指的是在帐户锁定后必须传递的时间,然后用户可以再次绑定到该目录。 | |
| 指定用户在允许用户更改密码前必须经过的时间长度。 | |
| 指定用户的密码过期之前通过的时间长度。 | |
| 表示已将密码过期警告发送到用户。 | |
| 指定密码过期后允许用户的登录尝试数量。 | |
| 包含用户之前密码的历史记录。 | |
| 计算在输入正确密码时连续失败的尝试次数。 | |
| 指向新密码策略的条目 DN。 | |
|
指定重置 |
6.55. 子schema(对象类)
这标识了辅助对象类子条目,后者管理子schema 管理区域。它包含代表策略参数( express the subschema)的操作属性。
此对象类在 RFC 2252 中定义。
卓越的类
top
OID
2.5.20.1
表 6.8. 所需属性
| 定义条目的对象类。 |
表 6.9. 允许的属性
| 子schema 中使用的属性类型。 | |
| 定义在子schema 中强制进行 DIT 内容规则。 | |
| 定义在子schema 中强制进行 DIT 结构规则。 | |
| 表示匹配规则在 subschema 中的属性类型。 | |
| 定义子schema 中使用的匹配规则。 | |
| 定义子schema 中使用的名称表单。 | |
| 定义子schema 中使用的对象类。 |
第 7 章 日志文件参考
红帽目录服务器(目录服务器)提供有助于监控目录活动的日志。监控功能有助于快速检测和修复故障,并在问题发生的情况下被主动处理、分析并解决潜在问题,从而导致故障或性能不佳。有效地监控 目录的部分在于了解日志文件的结构和内容。
本章未提供日志消息的详细列表。但是,本章中介绍的信息可作为常见问题的良好起点,并更好地了解访问、错误和审计日志中的信息。
日志按 Directory 服务器实例保留,位于 /var/log/dirsrv/slapd-实例 目录中。
7.1. 访问日志参考
目录服务器访问日志包含有关到目录的客户端连接的详细信息。连接是来自同一客户端的一系列请求,其结构如下:
- 连接记录,提供连接索引和客户端 IP 地址
- 绑定记录
- 绑定结果记录
- 操作请求和操作结果对记录序列,或者在连接、关闭和带外记录时对个别记录进行反对
- unbind 记录
- 关闭记录
以下是访问日志条目示例:
[23/Jun/2020:16:30:27.388006333 -0400] conn=20 op=5 SRCH base="dc=example,dc=com" scope=2 filter="(&(objectClass=top)(objectClass=ldapsubentry)(objectClass=passwordpolicy))" attrs="distinguishedName"
除了单独出现的连接、关闭和带外记录外,所有记录都会出现在对中,由服务记录请求以及 RESULT 记录:
[23/Jun/2020:16:30:27.390881301 -0400] conn=20 op=5 RESULT err=0 tag=101 nentries=0 wtime=0.000035342 optime=0.002877749 etime=0.002911121
RESULT 消息包含以下与性能相关的条目:
-
wtime:在 worker 线程获取操作前,操作在工作队列中等待的时间 -
optime:执行任务的实际操作所需的时间 -
etime:已经过的时间,这涵盖了服务器在服务器将结果发回到客户端时服务器接收操作的时间
wtime 和 optime 值提供有关服务器如何处理负载和进程操作的有用信息。由于 Directory 服务器收集这些统计数据的时间,wtime 和 optime 值的总和比 etime 值稍大。但是,这种差异非常小。
访问日志具有不同的日志记录级别,在 nsslapd-accesslog-level 属性中设置。以下小节概述了默认访问日志记录内容、日志级别和在不同日志记录级别记录的内容:
请注意,您无法更改访问日志的格式。
7.1.1. 访问日志记录级别
不同的访问日志级别会生成不同数量的详情,并记录不同类型的操作。日志级别在实例的 第 3.1.1.2 节 “nsslapd-accesslog-level(Access Log Level)” 配置属性中设置。默认的日志记录级别是 256 级,它的日志访问一个条目,但有 4 个不同的日志级别可用:
- 0 = 无访问日志。
- 4 = 内部访问操作的日志记录。
- 256 = 用于访问条目的日志记录。
- 512 = 用于访问条目的日志记录和引用.
这个级别是添加的,因此要启用多种不同类型的日志记录,将那些级别的值一起添加。例如,要记录内部访问操作、条目访问和引用,将 nsslapd-accesslog-level 的值设置为 516 (512+4)。
7.1.2. 默认访问日志内容
本节介绍了基于以下默认访问日志记录级别提取的访问日志内容。
例 7.1. 访问日志示例
[21/Apr/2020:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139 [21/Apr/2020:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3 [21/Apr/2020:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0 [21/Apr/2020:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(mobile=+1 123 456-7890)" [21/Apr/2020:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=3 notes=U [21/Apr/2020:11:39:51 -0700] conn=11 op=2 UNBIND [21/Apr/2020:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1 [21/Apr/2020:11:39:52 -0700] conn=12 fd=634 slot=634 connection from 207.1.153.51 to 192.18.122.139 [21/Apr/2020:11:39:52 -0700] conn=12 op=0 BIND dn="cn=Directory Manager" method=128 version=3 [21/Apr/2020:11:39:52 -0700] conn=12 op=0 RESULT err=0 tag=97 nentries=0 etime=0 [21/Apr/2020:11:39:52 -0700] conn=12 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)" [21/Apr/2020:11:39:52 -0700] conn=12 op=2 ABANDON targetop=1 msgid=2 nentries=0 etime=0 [21/Apr/2020:11:39:52 -0700] conn=12 op=3 UNBIND [21/Apr/2020:11:39:52 -0700] conn=12 op=3 fd=634 closed - U1 [21/Apr/2020:11:39:53 -0700] conn=13 fd=659 slot=659 connection from 207.1.153.51 to 192.18.122.139 [21/Apr/2020:11:39:53 -0700] conn=13 op=0 BIND dn="cn=Directory Manager" method=128 version=3 [21/Apr/2020:11:39:53 -0700] conn=13 op=0 RESULT err=0 tag=97 nentries=0 etime=0 [21/Apr/2020:11:39:53 -0700] conn=13 op=1 EXT oid="2.16.840.1.113730.3.5.3" [21/Apr/2020:11:39:53 -0700] conn=13 op=1 RESULT err=0 tag=120 nentries=0 etime=0 [21/Apr/2020:11:39:53 -0700] conn=13 op=2 ADD dn="cn=Sat Apr 21 11:39:51 MET DST 2020,dc=example,dc=com" [21/Apr/2020:11:39:53 -0700] conn=13 op=2 RESULT err=0 tag=105 nentries=0 etime=0 csn=3b4c8cfb000000030000 [21/Apr/2020:11:39:53 -0700] conn=13 op=3 EXT oid="2.16.840.1.113730.3.5.5" [21/Apr/2020:11:39:53 -0700] conn=13 op=3 RESULT err=0 tag=120 nentries=0 etime=0 [21/Apr/2020:11:39:53 -0700] conn=13 op=4 UNBIND [21/Apr/2020:11:39:53 -0700] conn=13 op=4 fd=659 closed - U1 [21/Apr/2020:11:39:55 -0700] conn=14 fd=700 slot=700 connection from 207.1.153.51 to 192.18.122.139 [21/Apr/2020:11:39:55 -0700] conn=14 op=0 BIND dn="" method=sasl version=3 mech=DIGEST-MD5 [21/Apr/2020:11:39:55 -0700] conn=14 op=0 RESULT err=14 tag=97 nentries=0 etime=0, SASL bind in progress [21/Apr/2020:11:39:55 -0700] conn=14 op=1 BIND dn="uid=jdoe,dc=example,dc=com" method=sasl version=3 mech=DIGEST-MD5 [21/Apr/2020:11:39:55 -0700] conn=14 op=1 RESULT err=0 tag=97nentries=0 etime=0 dn="uid=jdoe,dc=example,dc=com" [21/Apr/2020:11:39:55 -0700] conn=14 op=2 UNBIND [21/Apr/2020:11:39:53 -0700] conn=14 op=2 fd=700 closed - U1
连接号
每个外部 LDAP 请求都以增量连接号列出,在这种情况下为 conn=11,在服务器启动后立即从 conn=0 开始。
[21/Apr/2020:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
默认情况下,内部 LDAP 请求不会记录在访问日志中。要激活内部访问操作的日志,在 第 3.1.1.2 节 “nsslapd-accesslog-level(Access Log Level)” 配置属性中指定访问日志级别 4。
file Descriptor
从外部 LDAP 客户端到 Directory 服务器的每个连接都需要操作系统中的文件描述符或套接字描述符,在本例中是 fd=608。fd=608 表示该文件在所用可用文件描述符总数中都是文件描述符编号 608 的文件描述符。
[21/Apr/2020:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139插槽号
这里的插槽号(本例中为 slot=608 )是访问日志的旧部分,其含义与文件描述符相同。忽略该部分访问日志。
[21/Apr/2020:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139操作号
为处理给定的 LDAP 请求,目录服务器将执行所需的一系列操作。对于给定的连接,所有操作请求和操作结果对都以 op=0 开头的增量操作数来标识正在执行的不同操作。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
在 第 7.1.2 节 “默认访问日志内容” 中,我们为 bind 操作请求和结果对有 op=0,然后为 LDAP 搜索请求和结果对有 op=1,以此类推。访问日志中的条目 op=-1 通常并不是外部 LDAP 客户端发出的 LDAP 请求,而是在内部启动。
方法类型
在这种情况下,方法 编号表示客户端使用了哪个 LDAPv3 绑定方法。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3有三种可用的绑定方法值:
-
0用于身份验证 -
128对于使用用户密码进行简单绑定 -
SASL为 SASL 绑定使用外部身份验证机制
版本号
在这种情况下,版本=3 的版本号表示 LDAP 客户端与 LDAP 服务器通信的 LDAP 版本号(LDAPv2 或 LDAPv3)。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3错误号
本例中为 err=0 时会提供从 LDAP 操作返回的 LDAP 结果代码。LDAP 错误编号 0 表示操作成功。有关 LDAP 结果代码的完整列表,请参阅 第 7.4 节 “LDAP 结果代码”。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0标签号
在本例中,标签 编号表示返回的结果类型,几乎总是反映执行的操作类型。使用的标签是来自 LDAP 协议的 BER 标签。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0表 7.1. 常用标签
| 标签 | 描述 |
|---|---|
| tag=97 | 客户端绑定操作的结果。 |
| tag=100 | 正在搜索的实际条目。 |
| tag=101 | 搜索操作的结果。 |
| tag=103 | 修改操作的结果。 |
| tag=105 | 添加操作的结果。 |
| tag=107 | 删除操作的结果。 |
| tag=109 | moddn 操作的结果。 |
| tag=111 | 比较操作的结果。 |
| tag=115 | 当执行搜索的条目中包含对所需条目的引用时,搜索引用。搜索引用以引用形式表示。 |
| tag=120 | 延长操作的结果。 |
| tag=121 | 来自中间操作的结果。 |
tag=100 和 tag=115 不会导致标签,因此不太可能在访问日志中记录它们。
条目数
nentries 显示条目数(本例中为 nentries=0 ),找到与 LDAP 客户端请求匹配的条目数。
[21/Apr/2020:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0已经过的时间
etime 显示已经过的时间,本例中为 etime=3,或者目录服务器执行 LDAP 操作所需的时间(以秒为单位)。
[21/Apr/2020:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=3 notes=U
etime 值为 0 表示操作实际占用了 0 纳秒。
LDAP 请求类型
LDAP 请求类型表示 LDAP 客户端发布的 LDAP 请求类型。可能的值有:
-
用于搜索的
SRCH -
修改的
MOD -
DELfor delete -
添加的
ADD -
moddn 的
MODDN -
用于扩展操作的
EXT -
用于带操作的
ABANDON
如果 LDAP 请求生成了条目排序,则会在日志中记录消息 SORT serialno,后跟排序的候选条目数。例如:
[04/May/2020:15:51:46 -0700] conn=114 op=68 SORT serialno (1)
用括号括起的数字指定排序的候选条目数,本例中为 1。
LDAP 响应类型
LDAP 响应类型表示 LDAP 客户端发出的 LDAP 响应。有三个可能的值:
-
结果 -
ENTRY -
REFERRAL, LDAP 引用或搜索参考
搜索Indicators
目录服务器在日志条目的备注字段中 提供有关 搜索的额外信息。例如:
[21/Apr/2016:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=3 notes=U存在以下搜索指示符:
- paged Search Indicator:
notes=P 具有有限资源的 LDAP 客户端可以控制 LDAP 服务器返回搜索操作结果的速度。当执行搜索时,当使用 LDAP 控制扩展来简单分页搜索结果时,Directory 服务器会记录
notes=Ppaged 搜索指示器。这个指标是信息,不需要进一步的操作。如需了解更多详细信息,请参阅 RFC 2696。
- unindexed Search Indicators:
notes=Aandnotes=U 如果没有索引属性,Directory 服务器必须直接将它们搜索到数据库中。与搜索索引文件相比,这个过程比搜索资源要高得多。
以下未索引的搜索指示符可以记录:
notes=A过滤器中的所有候选属性都未索引,需要完整表扫描。这可能会超过
nsslapd-lookthroughlimit参数中设置的值。notes=U在以下情况下设定此状态:
- 至少一个搜索条款是未索引的。
在搜索操作中达到
nsslapd-idlistscanlimit参数中设置的限制。详情请查看 第 4.4.1.9 节 “nsslapd-idlistscanlimit”。在以下情况下进行未索引搜索:
-
在用于搜索的索引文件中达到
nsslapd-idlistscanlimit参数的值。 - 没有索引文件。
搜索不需要的方式配置索引文件。
要优化将来的搜索,请在索引中添加经常搜索未索引的属性。详情请查看 Directory Server Administration Guide 中的对应部分。
注意一个未索引的搜索指示符通常是一个大型的
etime值,因为未索引搜索通常更为耗时。
在单个值外,备注 字段可以具有以下值组合: notes=P,A and notes=U,P。
VLV-Related Entries
当搜索涉及虚拟列表视图(VLV)时,在访问日志文件中记录相应的条目。与其他条目类似,VLV 特定条目会排显示请求和响应信息:
VLV RequestInformation ResponseInformationRequestInformation 有以下形式:
beforeCount:afterCount:index:contentCount如果客户端使用位置-值 VLV 请求,则第一个部分的格式是 beforeCount: afterCount: value。
ResponseInformation 有以下形式:
targetPosition:contentCount (resultCode)
以下示例重点介绍了特定于 VLV 的条目:
[07/May/2020:11:43:29 -0700] conn=877 op=8530 SRCH base="(ou=People)" scope=2 filter="(uid=*)"
[07/May/2020:11:43:29 -0700] conn=877 op=8530 SORT uid
[07/May/2020:11:43:29 -0700] conn=877 op=8530 VLV 0:5:0210 10:5397 (0)
[07/May/2020:11:43:29 -0700] conn=877 op=8530 RESULT err=0 tag=101 nentries=1 etime=0
在上例中,第一部分为 0:5:0210,是 VLV 请求信息:
-
beforeCount 是
0。 -
afterCount 是
5。 -
值为
0210。
第二部分 10:5397(0) 是 VLV 响应信息:
-
targetPosition 为
10。 -
contentCount 为
5397。 -
(结果代码)是
(0)。
搜索范围
条目 scope=n 定义已执行搜索的范围,n 的值为 0、1 或 2。
-
0代表基本搜索 -
1表示单级别搜索 -
2用于子树搜索
Extended Operation OID
例 7.1 “访问日志示例” 中的扩展操作 OID,如 EXT oid="2.16.840.1.113730.3.5.3" 或 EXT oid="2.16.840.1.113730.3.5.5",提供正在执行的扩展操作的 OID。表 7.2 “Directory Server 支持的 LDAPv3 扩展操作” 提供 LDAPv3 扩展操作部分列表以及目录服务器中支持的 OID。
表 7.2. Directory Server 支持的 LDAPv3 扩展操作
| 扩展的操作名称 | 描述 | OID |
|---|---|---|
| 目录服务器启动复制请求 | 由复制程序发送,以指示请求复制会话。 | 2.16.840.1.113730.3.5.3 |
| 目录服务器复制响应 | 由复制响应器发送,以响应 Start Replication Request Extended Operation 或 End Replication Request Extended Operation。 | 2.16.840.1.113730.3.5.4 |
| 目录服务器结束复制请求 | sent 以指示要终止复制会话。 | 2.16.840.1.113730.3.5.5 |
| 目录服务器复制条目请求 |
传输一个条目,及其状态信息( | 2.16.840.1.113730.3.5.6 |
| 目录服务器 Bulk Import Start | 由客户端发送以请求批量导入,且后缀被导入到,并由服务器发送以表示批量导入可能开始。 | 2.16.840.1.113730.3.5.7 |
| 目录服务器 Bulk Import Finished | 客户端发送以向批量导入和发送服务器发送的信号发送以进行确认。 | 2.16.840.1.113730.3.5.8 |
更改序列号
在这个特定命名上下文上,更改序列号(本例中为 csn=3b4c8cfb000000030000 )是复制序列号。
abandon Message
abandon 消息表示操作已被中止。
[21/Apr/2020:11:39:52 -0700] conn=12 op=2 ABANDON targetop=1 msgid=2 nentries=0 etime=0
nentries=0 表示在操作被中止前发送的条目数量,etime=0 值指示已过的时间(以秒为单位),targetop=1 对应于之前启动的操作操作值(在访问日志早期出现在访问日志中)。
根据消息 ID 在找到哪个操作被中止时,有两个可能的 ABANDON 消息。如果消息 ID 成功查找操作( targetop),则日志将如上所示。但是,如果消息 ID 没有成功查找操作,或者操作已在发送 ABANDON 请求前完成,则日志将如下所示:
[21/Apr/2020:11:39:52 -0700] conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2
targetop=NOTFOUND 表示中止的操作是未知的操作或已经完成。
消息 ID
在本例中,消息 ID 是 LDAP 操作标识符,由 LDAP SDK 客户端生成。消息 ID 可能没有与操作编号不同的值,但标识同样的操作。消息 ID 与 ABANDON 操作一起使用,并告知用户客户端操作被取消。
[21/Apr/2020:11:39:52 -0700] conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2Directory Server 操作号从 0 开始计算,在大多数 LDAP SDK/client 实施中,消息 ID 号以 1 开始计数,它解释了消息 ID 经常等于目录服务器操作号加 1。
SASL 多阶段绑定日志记录
在 Directory 服务器中,多阶段绑定的日志记录是显式的。绑定进程中的每个阶段都会被记录。这些 SASL 连接的错误代码实际上是返回代码。在 例 7.1 “访问日志示例” 中,SASL 绑定当前正在进行中,它带有 err=14 的返回代码,这意味着连接仍然处于打开状态,且存在对应的进度声明( SASL 在进行中绑定)。
[21/Apr/2020:11:39:55 -0700] conn=14 op=0 BIND dn="" method=sasl version=3 mech=DIGEST-MD5 [21/Apr/2020:11:39:55 -0700] conn=14 op=0 RESULTerr=14tag=97 nentries=0 etime=0,SASL bind in progress
在日志记录 SASL 绑定中,sasl 方法后是 LDAP 版本号 和使用 SASL 机制的 SASL 机制,如 GSS-API 机制所示。
[21/Apr/2020:12:57:14 -0700] conn=32 op=0 BIND dn=""method=saslversion=3mech=GSSAPI
现在,与绑定请求行相比,验证的 DN(用于访问控制决策的 DN)记录在 BIND 结果中,与绑定请求行不同:
[21/Apr/2020:11:39:55 -0700] conn=14 op=1 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=jdoe,dc=example,dc=com"
对于 SASL 绑定,服务器不使用绑定请求行中显示的 DN 值,因此不相关。但是,如果经过身份验证的 DN 是 SASL 绑定的 DN,必须用于审核,这一点非常重要。在绑定结果行中记录了一个经过身份验证的 DN,可以避免在哪个 DN 中产生任何混淆。
7.1.3. 访问其他访问日志级别的日志内容
本节提供 Directory Server 访问日志中的其他访问日志记录级别。
在 例 7.2 “使用内部访问操作级别访问日志提取(级别 4)” 中,启用了记录内部操作的日志记录级别 4。
例 7.2. 使用内部访问操作级别访问日志提取(级别 4)
[12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 SRCH base="cn=\22dc=example,dc=com\22,cn=mapping tree,cn=config"scope=0 filter="objectclass=nsMappingTree"attrs="nsslapd-referral" options=persistent [12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 RESULT err=0 tag=48 nentries=1etime=0 [12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 SRCH base="cn=\22dc=example,dc=com\22,cn=mapping tree,cn=config"scope=0 filter="objectclass=nsMappingTree" attrs="nsslapd-state" [12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 RESULT err=0 tag=48 nentries=1etime=0
除了正在执行搜索的详情外,访问日志级别 4 还支持内部操作(日志搜索基础、范围、过滤器和请求的搜索属性)。
在以下示例中,启用 768 的访问级别 768 (512 + 256),其日志可以访问条目和引用。在本提取中,对搜索请求返回六个条目和一个引用,这在第一行中显示。
[12/Jul/2020:16:43:02 +0200] conn=306 fd=60 slot=60 connection from 127.0.0.1 to 127.0.0.1 [12/Jul/2020:16:43:02 +0200] conn=306 op=0 SRCH base="dc=example,dc=com" scope=2 filter="(description=*)" attrs=ALL [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="ou=Special [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="cn=Accounting Managers,ou=groups,dc=example,dc=com" [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="cn=HR Managers,ou=groups,dc=example,dc=com" [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="cn=QA Managers,ou=groups,dc=example,dc=com" [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="cn=PD Managers,ou=groups,dc=example,dc=com" [12/Jul/2020:16:43:02 +0200] conn=306 op=0 ENTRY dn="ou=Red Hat Servers,dc=example,dc=com" [12/Jul/2020:16:43:02 +0200] conn=306 op=0 REFERRAL
连接描述
连接描述(本例中为 conn=Internal )表示连接是一个内部连接。操作号 op=-1 也表示在内部启动操作。
[12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 ENTRY dn="cn=\22dc=example,dc=com\22,cn=mapping tree,cn=config"选项描述
选项描述(options=persistent)表示正在执行持久搜索,与常规的搜索操作区分开来。持久性搜索可用作监控和配置的一种形式,以在发生更改时返回对给定配置的更改。
本例中都启用了日志级别 512 和 4,因此内部访问操作和条目访问以及被记录引用。
[12/Jul/2020:16:45:46 +0200] conn=Internal op=-1 SRCH base="cn=\22dc=example,dc=com\22,cn=mapping tree,cn=config"scope=0 filter="objectclass=nsMappingTree"attrs="nsslapd-referral" options=persistent7.1.4. 常见连接代码
连接代码是添加到 关闭 日志消息中的代码,以提供与连接冲突相关的其他信息。
表 7.3. 常见连接代码
| 连接代码 | 描述 |
|---|---|
| A1 | 客户端中止连接。 |
| B1 | 遇到损坏 BER 标签.如果 BER 标签(封装通过线上发送的数据)在收到时损坏,则 B1 连接代码会记录到访问日志。因为物理层网络问题或 LDAP 客户端操作不当,BER 标签可能会被破坏,例如 LDAP 客户端在收到所有请求结果前中止。 |
| B2 |
BER 标签大于 |
| B3 | 遇到损坏 BER 标签. |
| B4 | 服务器无法刷新到客户端的数据响应。 |
| P2 | 已检测到关闭或损坏连接。 |
| T1 |
客户端不会在指定的 |
| T2 |
在超过 |
| U1 | 在客户端发送未绑定请求后服务器关闭连接。当服务器看到一个未绑定请求时,该服务器将始终关闭连接。 |
7.2. 错误日志参考
Directory Server 错误日志记录目录服务器事务和操作的信息。这些可能是失败操作的错误消息,但它还包含有关目录服务器和 LDAP 任务进程的一般信息,如服务器启动消息、登录和搜索目录以及连接信息。
7.2.1. 错误日志日志记录级别
错误日志可以记录操作的不同 详情,以及根据启用错误日志类型的不同信息。
日志级别在 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)” 配置属性中设置。默认日志级别为 16384,其中包括关键错误消息和标准日志信息,如 LDAP 结果代码和启动消息。与访问日志记录一样,错误日志记录级别也会增加。要启用复制日志记录(8192)和插件日志(65536),请将日志级别设置为 73728 (8192 + 65536)。
启用高级别调试日志记录可能会显著提高服务器性能。只有要进行故障排除,不应该启用调试日志级别,如复制(8192),而不适用于日常操作。
表 7.4. 错误日志级别
| 设置 | 控制台名称 | 描述 |
|---|---|---|
| 1 | trace 功能调用 | 当服务器进入并退出功能时,记录一条消息。 |
| 2 | 数据包处理 | 记录服务器处理的数据包的调试信息。 |
| 4 | 大型 trace 输出 | 当服务器进入并退出功能时,会记录额外的调试消息。 |
| 8 | 连接管理 | 记录当前连接状态,包括用于 SASL 绑定的连接方法。 |
| 16 | 发送/收到的数据包 | 打印服务器发送和接收的数据包数量。 |
| 32 | 搜索过滤器处理 | 记录搜索操作调用的所有功能。 |
| 64 | 配置文件处理 |
当服务器启动时,打印与 server 所用的 |
| 128 | 访问控制列表处理 | 提供非常详细的访问控制列表处理信息。 |
| 2048 | 日志条目解析 | 日志架构解析调试信息。 |
| 4096 | housekeeping | 日常处理线程调试。 |
| 8192 | 复制 | 记录每个复制相关操作的详细信息,包括更新和错误,这对于调试复制问题非常重要。 |
| 16384 | 默认 | 用于关键错误和其他始终写入错误的消息(如服务器启动消息)的日志记录级别。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 |
| 32768 | 条目缓存 | 数据库条目缓存调试。 |
| 65536 | 插件 |
当服务器插件调用 |
| 262144 | 访问控制概述 |
总结了访问服务器的信息,比级别 |
7.2.2. 错误日志内容
错误日志格式与访问日志的不同格式不同:
- 由服务器写入的日志条目
服务器写入该文件的条目,使用以下格式:
time_stamp - severity_level - function_name - message
例如:
[24/Mar/2017:11:31:38.781466443 +0100] - ERR - no_diskspace - No enough space left on device (/var/lib/dirsrv/slapd-instance_name/db) (40009728 bytes); at least 145819238 bytes space is needed for db region files- 插件写入的日志条目
插件写入该文件的条目,采用以下格式:
time_stamp - severity_level - plug-in_name - function_name - message
例如:
[24/Mar/2017:11:42:17.628363848 +0100] - ERR - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=19 op=3 repl="o=example.com": Excessive clock skew from supplier RUV
错误日志条目包含以下列:
-
时间戳:格式可能因本地设置而异。如果在
cn=config条目(default)中的nsslapd-logging-hr-timestamps 属性中启用高分辨率时间戳(默认),则时间戳准确是 nanosecond。 严重性级别:使用以下严重性级别:
-
EMERG:当服务器无法启动时,此级别会被记录。 -
ALERT:服务器处于关键状态,必须采取可能的操作。 -
CRIT:严重错误。 -
ERR: General error。 -
警告:警告信息,它不一定会出错。 -
NOTICE: 一个正常情况,但发生严重情况。例如,这会记录预期行为。 -
INFO: Informational 消息,如启动、关闭、导入、导出、备份、恢复。 DEBUG:调试级别消息。使用详细日志记录级别时,也默认使用此级别,如Trace 功能调用(1)、访问控制列表处理(128)和Replication(8192)。有关错误日志级别列表,请参阅 表 7.4 “错误日志级别”。您可以使用严重性级别来过滤日志条目。例如,只显示使用
ERR严重性的日志条目:# grep ERR /var/log/dirsrv/slapd-instance_name/errors [24/Mar/2017:11:31:38.781466443 +0100] - ERR - no_diskspace - No enough space left on device (/var/lib/dirsrv/slapd-instance_name/db) (40009728 bytes); at least 145819238 bytes space is needed for db region files [24/Mar/2017:11:31:38.815623298 +0100] - ERR - ldbm_back_start - Failed to init database, err=28 No space left on device [24/Mar/2017:11:31:38.828591835 +0100] - ERR - plugin_dependency_startall - Failed to start database plugin ldbm database ...
-
- 插件 name:如果插件日志记录了条目,则列显示插件的名称。如果服务器记录了该条目,则不会显示此列。
- 功能名称:操作或插件调用的功能。
- Message:操作或插件返回的输出。此消息包含其他信息,如 LDAP 错误代码和连接信息。
7.2.3. 其他日志级别的错误日志内容
不同的日志级别不仅返回不同的级别的详细信息,还返回有关不同类型的服务器操作的信息。这里会概述其中的一些,但还有更多日志记录级别组合。
复制日志记录是实施的最重要诊断级别之一。此日志记录级别记录与复制和 Windows 同步相关的所有操作,包括处理供应商修改并将其写入更改日志、发送更新以及更改复制协议。
每当复制更新准备或发送时,错误日志都会标识指定的复制或同步协议、使用者主机和端口以及当前的复制任务。
[timestamp] NSMMReplicationPlugin - agmt="name" (consumer_host:consumer_port): current_task
例如:
[09/Jan/2020:13:44:48 -0500] NSMMReplicationPlugin - agmt="cn=example2" (alt:13864): {replicageneration} 4949df6e000000010000
{replicageneration} 表示正在发送新信息,而 4949df6e000000010000 是正在复制的条目的序列号。
例 7.3 “复制错误日志条目” 显示将单个条目发送到消费者的完整过程,从添加条目到 changelog,以在复制完成后释放消费者。
例 7.3. 复制错误日志条目
[29/May/2017:14:15:30.539817639 +0200] - DEBUG - _csngen_adjust_local_time - gen state before 592c103d0000:1496059964:0:1
[29/May/2017:14:15:30.562983285 +0200] - DEBUG - _csngen_adjust_local_time - gen state after 592c10e20000:1496060129:0:1
[29/May/2017:14:15:30.578828393 +0200] - DEBUG - NSMMReplicationPlugin - ruv_add_csn_inprogress - Successfully inserted csn 592c10e2000000020000 into pending list
[29/May/2017:14:15:30.589917123 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFileByReplicaName - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db
[29/May/2017:14:15:30.600044236 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - cl5WriteOperationTxn - Successfully written entry with csn (592c10e2000000020000)
[29/May/2017:14:15:30.615923352 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFileByReplicaName - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db
[29/May/2017:14:15:30.627443305 +0200] - DEBUG - NSMMReplicationPlugin - csnplCommitALL: committing all csns for csn 592c10e2000000020000
[29/May/2017:14:15:30.632713657 +0200] - DEBUG - NSMMReplicationPlugin - csnplCommitALL: processing data csn 592c10e2000000020000
[29/May/2017:14:15:30.652621188 +0200] - DEBUG - NSMMReplicationPlugin - ruv_update_ruv - Successfully committed csn 592c10e2000000020000
[29/May/2017:14:15:30.669666453 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: wait_for_changes -> wait_for_changes
[29/May/2017:14:15:30.685259483 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: wait_for_changes -> ready_to_acquire_replica
[29/May/2017:14:15:30.689906327 +0200] - DEBUG - NSMMReplicationPlugin - conn_connect - agmt="cn=meTo_localhost:39001" (localhost:39001) - Trying non-secure slapi_ldap_init_ext
[29/May/2017:14:15:30.700259799 +0200] - DEBUG - NSMMReplicationPlugin - conn_connect - agmt="cn=meTo_localhost:39001" (localhost:39001) - binddn = cn=replrepl,cn=config, passwd = {AES-TUhNR0NTcUdTSWIzRFFFRkRUQm1NRVVHQ1NxR1NJYjNEUUVGRERBNEJDUmlZVFUzTnpRMk55MDBaR1ZtTXpobQ0KTWkxaE9XTTRPREpoTlMwME1EaGpabVUxWmdBQ0FRSUNBU0F3Q2dZSUtvWklodmNOQWdjd0hRWUpZSVpJQVdVRA0KQkFFcUJCRGhwMnNLcEZ2ZWE2RzEwWG10OU41Tg==}+36owaI7oTmvWhxRzUqX5w==
[29/May/2017:14:15:30.712287531 +0200] - DEBUG - NSMMReplicationPlugin - conn_cancel_linger - agmt="cn=meTo_localhost:39001" (localhost:39001) - No linger to cancel on the connection
[29/May/2017:14:15:30.736779494 +0200] - DEBUG - _csngen_adjust_local_time - gen state before 592c10e20001:1496060129:0:1
[29/May/2017:14:15:30.741909244 +0200] - DEBUG - _csngen_adjust_local_time - gen state after 592c10e30000:1496060130:0:1
[29/May/2017:14:15:30.880287041 +0200] - DEBUG - NSMMReplicationPlugin - acquire_replica - agmt="cn=meTo_localhost:39001" (localhost:39001): Replica was successfully acquired.
[29/May/2017:14:15:30.897500049 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: ready_to_acquire_replica -> sending_updates
[29/May/2017:14:15:30.914417773 +0200] - DEBUG - csngen_adjust_time - gen state before 592c10e30001:1496060130:0:1
[29/May/2017:14:15:30.926341721 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5GetDBFile - found DB object 0x558ddfe1f720 for database /var/lib/dirsrv/slapd-supplier_2/changelogdb/d3de3e8d-446611e7-a89886da-6a37442d_592c0e0b000000010000.db
[29/May/2017:14:15:30.943094471 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5PositionCursorForReplay - (agmt="cn=meTo_localhost:39001" (localhost:39001)): Consumer RUV:
[29/May/2017:14:15:30.949395331 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replicageneration} 592c0e0b000000010000
[29/May/2017:14:15:30.961118175 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 1 ldap://localhost:39001} 592c0e17000000010000 592c0e1a000100010000 00000000
[29/May/2017:14:15:30.976680025 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 2 ldap://localhost:39002} 592c103c000000020000 592c103c000000020000 00000000
[29/May/2017:14:15:30.990404183 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - _cl5PositionCursorForReplay - (agmt="cn=meTo_localhost:39001" (localhost:39001)): Supplier RUV:
[29/May/2017:14:15:31.001242624 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replicageneration} 592c0e0b000000010000
[29/May/2017:14:15:31.017406105 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 2 ldap://localhost:39002} 592c103c000000020000 592c10e2000000020000 592c10e1
[29/May/2017:14:15:31.028803190 +0200] - DEBUG - NSMMReplicationPlugin - agmt="cn=meTo_localhost:39001" (localhost:39001): {replica 1 ldap://localhost:39001} 592c0e1a000100010000 592c0e1a000100010000 00000000
[29/May/2017:14:15:31.040172464 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_buffer - found thread private buffer cache 0x558ddf870f00
[29/May/2017:14:15:31.057495165 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_buffer - _pool is 0x558ddfe294d0 _pool->pl_busy_lists is 0x558ddfab84c0 _pool->pl_busy_lists->bl_buffers is 0x558ddf870f00
[29/May/2017:14:15:31.063015498 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_initial_anchorcsn - agmt="cn=meTo_localhost:39001" (localhost:39001) - (cscb 0 - state 0) - csnPrevMax () csnMax (592c10e2000000020000) csnBuf (592c103c000000020000) csnConsumerMax (592c103c000000020000)
[29/May/2017:14:15:31.073252305 +0200] - DEBUG - clcache_initial_anchorcsn - anchor is now: 592c103c000000020000
[29/May/2017:14:15:31.089915209 +0200] - DEBUG - NSMMReplicationPlugin - changelog program - agmt="cn=meTo_localhost:39001" (localhost:39001): CSN 592c103c000000020000 found, position set for replay
[29/May/2017:14:15:31.095825439 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_get_next_change - load=1 rec=1 csn=592c10e2000000020000
[29/May/2017:14:15:31.100123762 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Starting
[29/May/2017:14:15:31.115749709 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0
[29/May/2017:14:15:31.125866330 +0200] - DEBUG - NSMMReplicationPlugin - replay_update - agmt="cn=meTo_localhost:39001" (localhost:39001): Sending add operation (dn="cn=user,ou=People,dc=example,dc=com" csn=592c10e2000000020000)
[29/May/2017:14:15:31.142339398 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0
[29/May/2017:14:15:31.160456597 +0200] - DEBUG - NSMMReplicationPlugin - replay_update - agmt="cn=meTo_localhost:39001" (localhost:39001): Consumer successfully sent operation with csn 592c10e2000000020000
[29/May/2017:14:15:31.172399536 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0
[29/May/2017:14:15:31.188857336 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_adjust_anchorcsn - agmt="cn=meTo_localhost:39001" (localhost:39001) - (cscb 0 - state 1) - csnPrevMax (592c10e2000000020000) csnMax (592c10e2000000020000) csnBuf (592c10e2000000020000) csnConsumerMax (592c10e2000000020000)
[29/May/2017:14:15:31.199605024 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_load_buffer - rc=-30988
[29/May/2017:14:15:31.210800816 +0200] - DEBUG - NSMMReplicationPlugin - send_updates - agmt="cn=meTo_localhost:39001" (localhost:39001): No more updates to send (cl5GetNextOperationToReplay)
[29/May/2017:14:15:31.236214134 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_waitfor_async_results - 0 5
[29/May/2017:14:15:31.246755544 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0
[29/May/2017:14:15:31.277705986 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 0
[29/May/2017:14:15:31.303530336 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 5
[29/May/2017:14:15:31.318259308 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Result 1, 0, 0, 5, (null)
[29/May/2017:14:15:31.335263462 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain - Read result for message_id 5
[29/May/2017:14:15:31.364551307 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_waitfor_async_results - 5 5
[29/May/2017:14:15:31.376301820 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_result_threadmain exiting
[29/May/2017:14:15:31.393707037 +0200] - DEBUG - agmt="cn=meTo_localhost:39001" (localhost:39001) - clcache_return_buffer - session end: state=5 load=1 sent=1 skipped=0 skipped_new_rid=0 skipped_csn_gt_cons_maxcsn=0 skipped_up_to_date=0 skipped_csn_gt_ruv=0 skipped_csn_covered=0
[29/May/2017:14:15:31.398134114 +0200] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_acquire_exclusive_access - conn=4 op=3 Acquired consumer connection extension
[29/May/2017:14:15:31.423099625 +0200] - DEBUG - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=4 op=3 repl="dc=example,dc=com": Begin incremental protocol
[29/May/2017:14:15:31.438899389 +0200] - DEBUG - csngen_adjust_time - gen state before 592c10e30001:1496060130:0:1
[29/May/2017:14:15:31.443800884 +0200] - DEBUG - csngen_adjust_time - gen state after 592c10e40001:1496060130:1:1
[29/May/2017:14:15:31.454123488 +0200] - DEBUG - NSMMReplicationPlugin - replica_get_exclusive_access - conn=4 op=3 repl="dc=example,dc=com": Acquired replica
[29/May/2017:14:15:31.469698781 +0200] - DEBUG - NSMMReplicationPlugin - release_replica - agmt="cn=meTo_localhost:39001" (localhost:39001): Successfully released consumer
[29/May/2017:14:15:31.475096195 +0200] - DEBUG - NSMMReplicationPlugin - conn_start_linger -agmt="cn=meTo_localhost:39001" (localhost:39001) - Beginning linger on the connection
[29/May/2017:14:15:31.485281588 +0200] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - agmt="cn=meTo_localhost:39001" (localhost:39001): State: sending_updates -> wait_for_changes
[29/May/2017:14:15:31.495865065 +0200] - DEBUG - NSMMReplicationPlugin - multimaster_extop_StartNSDS50ReplicationRequest - conn=4 op=3 repl="dc=example,dc=com": StartNSDS90ReplicationRequest: response=0 rc=0
[29/May/2017:14:15:31.501617765 +0200] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_relinquish_exclusive_access - conn=4 op=3 Relinquishing consumer connection extension
[29/May/2017:14:15:31.716627741 +0200] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_acquire_exclusive_access - conn=4 op=4 Acquired consumer connection extension
[29/May/2017:14:15:31.735431913 +0200] - DEBUG - NSMMReplicationPlugin - replica_relinquish_exclusive_access - conn=4 op=4 repl="dc=example,dc=com": Released replica held by locking_purl=conn=4 id=3
[29/May/2017:14:15:31.745841821 +0200] - DEBUG - NSMMReplicationPlugin - consumer_connection_extension_relinquish_exclusive_access - conn=4 op=4 Relinquishing consumer connection extension插件日志记录记录每个插件的名称以及插件调用的所有功能。它采用简单格式:
[timestamp] Plugin_name - message [timestamp] - function - message
只要处理每个步骤,返回的信息可以是数百种行。记录的确切信息取决于插件本身。例如,ACL 插件包括连接和操作号,如 例 7.4 “使用插件日志的 ACL 插件错误日志条目示例” 所示。
例 7.4. 使用插件日志的 ACL 插件错误日志条目示例
[29/May/2017:14:38:19.133878244 +0200] - DEBUG - get_filter_internal - ==> [29/May/2017:14:38:19.153942547 +0200] - DEBUG - get_filter_internal - PRESENT [29/May/2017:14:38:19.177908064 +0200] - DEBUG - get_filter_internal - <= 0 [29/May/2017:14:38:19.193547449 +0200] - DEBUG - slapi_vattr_filter_test_ext_internal - => [29/May/2017:14:38:19.198121765 +0200] - DEBUG - slapi_vattr_filter_test_ext_internal - <= [29/May/2017:14:38:19.214342752 +0200] - DEBUG - slapi_vattr_filter_test_ext_internal - PRESENT [29/May/2017:14:38:19.219886104 +0200] - DEBUG - NSACLPlugin - acl_access_allowed - conn=15 op=1 (main): Allow search on entry(cn=replication,cn=config): root user [29/May/2017:14:38:19.230152526 +0200] - DEBUG - slapi_vattr_filter_test_ext_internal - <= 0 [29/May/2017:14:38:19.240971955 +0200] - DEBUG - NSACLPlugin - acl_read_access_allowed_on_entry - Root access (read) allowed on entry(cn=replication,cn=config) [29/May/2017:14:38:19.246456160 +0200] - DEBUG - cos-plugin - cos_cache_vattr_types - Failed to get class of service reference [29/May/2017:14:38:19.257200851 +0200] - DEBUG - NSACLPlugin - Root access (read) allowed on entry(cn=replication,cn=config) [29/May/2017:14:38:19.273534025 +0200] - DEBUG - NSACLPlugin - Root access (read) allowed on entry(cn=replication,cn=config) [29/May/2017:14:38:19.289474926 +0200] - DEBUG - slapi_filter_free - type 0x87
例 7.4 “使用插件日志的 ACL 插件错误日志条目示例” 显示插件日志和搜索过滤器处理(日志级别 65696)。
许多其他类型的日志记录与插件日志记录级别类似,仅适用于不同类型的内部操作。大型跟踪输出(4)、访问控制列表处理(128)、架构解析(2048)和内务(4096)记录要执行的不同操作的功能。在这种情况下,不同的是没有记录什么格式,而是记录什么操作。
配置文件处理会通过任何 .conf 文件,并在每次服务器启动时打印每行。这可以用于调试与服务器正常配置之外文件相关的问题。默认情况下,只有 slapd-collations.conf 文件(包含国际语言集的配置)可用。
例 7.5. 配置文件处理日志条目
[29/May/2017:15:26:48.897935879 +0200] - DEBUG - collation_read_config - Reading config file /etc/dirsrv/slapd-supplier_1/slapd-collations.conf [29/May/2017:15:26:48.902606586 +0200] - DEBUG - collation-plugin - collation_read_config - line 16: collation "" "" "" 1 3 2.16.840.1.113730.3.3.2.0.1 default [29/May/2017:15:26:48.918493657 +0200] - DEBUG - collation-plugin - collation_read_config - line 17: collation ar "" "" 1 3 2.16.840.1.113730.3.3.2.1.1 ar [29/May/2017:15:26:48.932550086 +0200] - DEBUG - collation-plugin - collation_read_config - line 18: collation be "" "" 1 3 2.16.840.1.113730.3.3.2.2.1 be be-BY ...
ACI 日志记录有两个级别,一个用于调试信息,一个用于摘要。这两个 ACI 日志级别记录某些未包含在其他类型的插件或错误日志中的额外信息,包括 连接号 和 操作号 信息。显示插件的名称、用户的绑定 DN、执行或尝试的操作以及已应用的 ACI。debug 级别显示绑定(绑定以及任何其他操作)中调用的一系列功能。
例 7.6 “访问控制摘要日志记录” 显示摘要访问控制日志条目。
例 7.6. 访问控制摘要日志记录
[29/May/2017:15:34:52.742034888 +0200] - DEBUG - NSACLPlugin - acllist_init_scan - Failed to find root for base: cn=features,cn=config [29/May/2017:15:34:52.761702767 +0200] - DEBUG - NSACLPlugin - acllist_init_scan - Failed to find root for base: cn=config [29/May/2017:15:34:52.771907825 +0200] - DEBUG - NSACLPlugin - acl_access_allowed - #### conn=6 op=1 binddn="cn=user,ou=people,dc=example,dc=com" [29/May/2017:15:34:52.776327012 +0200] - DEBUG - NSACLPlugin - ************ RESOURCE INFO STARTS ********* [29/May/2017:15:34:52.786397852 +0200] - DEBUG - NSACLPlugin - Client DN: cn=user,ou=people,dc=example,dc=com [29/May/2017:15:34:52.797004451 +0200] - DEBUG - NSACLPlugin - resource type:256(search target_DN ) [29/May/2017:15:34:52.807135945 +0200] - DEBUG - NSACLPlugin - Slapi_Entry DN: cn=features,cn=config [29/May/2017:15:34:52.822877838 +0200] - DEBUG - NSACLPlugin - ATTR: objectClass [29/May/2017:15:34:52.827250828 +0200] - DEBUG - NSACLPlugin - rights:search [29/May/2017:15:34:52.831603634 +0200] - DEBUG - NSACLPlugin - ************ RESOURCE INFO ENDS ********* [29/May/2017:15:34:52.847183276 +0200] - DEBUG - NSACLPlugin - acl__scan_for_acis - Num of ALLOW Handles:0, DENY handles:0 [29/May/2017:15:34:52.857857195 +0200] - DEBUG - NSACLPlugin - print_access_control_summary - conn=6 op=1 (main): Deny search on entry(cn=features,cn=config).attr(objectClass) to cn=user,ou=people,dc=example,dc=com: no aci matched the resource
7.3. 审计日志参考
审计日志记录 对服务器实例所做的更改。与错误和访问日志不同,审计日志不会记录对服务器实例 的访问,因此不会记录对数据库进行搜索。
审计日志的格式与访问和错误日志不同,类似于时间戳的 LDIF 文件。审计日志中记录的操作的格式为 LDIF 语句:
timestamp: date dn: modified_entry changetype: action action:attribute attribute:new_value - replace: modifiersname modifiersname: dn - replace: modifytimestamp modifytimestamp: date -
《 管理指南 的"LDAP Data Interchange Format"附录中详细介绍了 LDIF 文件和格式。
例 7.7 “审计日志内容” 中显示了几种不同类型的审计条目。
例 7.7. 审计日志内容
... modifying an entry ... time: 20200108181429 dn: uid=scarter,ou=people,dc=example,dc=com changetype: modify replace: userPassword userPassword: {SSHA}8EcJhJoIgBgY/E5j8JiVoj6W3BLyj9Za/rCPOw== - replace: modifiersname modifiersname: cn=Directory Manager - replace: modifytimestamp modifytimestamp: 20200108231429Z - ... sending a replication update ... time: 20200109131811 dn: cn=example2,cn=replica,cn="dc=example,dc=com",cn=mapping tree,cn=config changetype: modify replace: nsds5BeginReplicaRefresh nsds5BeginReplicaRefresh: start - replace: modifiersname modifiersname: cn=Directory Manager - replace: modifytimestamp modifytimestamp: 20200109181810Z -
请注意,您无法更改为格式化或设置审计日志的日志级别。
7.4. LDAP 结果代码
目录服务器使用以下 LDAP 结果代码:
表 7.5. LDAP 结果代码
| 十进制值 | 十六进制值 | 常量 |
|---|---|---|
| 0 | 0x00 | LDAP_SUCCESS |
| 1 | 0x01 | LDAP_OPERATIONS_ERROR |
| 2 | 0x02 | LDAP_PROTOCOL_ERROR |
| 3 | 0x03 | LDAP_TIMELIMIT_EXCEEDED |
| 4 | 0x04 | LDAP_SIZELIMIT_EXCEEDED |
| 5 | 0x05 | LDAP_COMPARE_FALSE |
| 6 | 0x06 | LDAP_COMPARE_TRUE |
| 7 | 0x07 | LDAP_AUTH_METHOD_NOT_SUPPORTED |
| LDAP_STRONG_AUTH_NOT_SUPPORTED | ||
| 8 | 0x08 | LDAP_STRONG_AUTH_REQUIRED |
| 9 | 0x09 | LDAP_PARTIAL_RESULTS |
| 10 | 0x0a | LDAP_REFERRAL [a] |
| 11 | 0x0b | LDAP_ADMINLIMIT_EXCEEDED |
| 12 | 0x0c | LDAP_UNAVAILABLE_CRITICAL_EXTENSION |
| 13 | 0x0d | LDAP_CONFIDENTIALITY_REQUIRED |
| 14 | 0x0e | LDAP_SASL_BIND_IN_PROGRESS |
| 16 | 0x10 | LDAP_NO_SUCH_ATTRIBUTE |
| 17 | 0x11 | LDAP_UNDEFINED_TYPE |
| 18 | 0x12 | LDAP_INAPPROPRIATE_MATCHING |
| 19 | 0x13 | LDAP_CONSTRAINT_VIOLATION |
| 20 | 0x14 | LDAP_TYPE_OR_VALUE_EXISTS |
| 21 | 0x15 | LDAP_INVALID_SYNTAX |
| 32 | 0x20 | LDAP_NO_SUCH_OBJECT |
| 33 | 0x21 | LDAP_ALIAS_PROBLEM |
| 34 | 0x22 | LDAP_INVALID_DN_SYNTAX |
| 35 | 0x23 | LDAP_IS_LEAF [b] |
| 36 | 0x24 | LDAP_ALIAS_DEREF_PROBLEM |
| 48 | 0x30 | LDAP_INAPPROPRIATE_AUTH |
| 49 | 0x31 | LDAP_INVALID_CREDENTIALS |
| 50 | 0x32 | LDAP_INSUFFICIENT_ACCESS |
| 51 | 0x33 | LDAP_BUSY |
| 52 | 0x34 | LDAP_UNAVAILABLE |
| 53 | 0x35 | LDAP_UNWILLING_TO_PERFORM |
| 54 | 0x36 | LDAP_LOOP_DETECT |
| 60 | 0x3c | LDAP_SORT_CONTROL_MISSING |
| 61 | 0x3d | LDAP_INDEX_RANGE_ERROR |
| 64 | 0x40 | LDAP_NAMING_VIOLATION |
| 65 | 0x41 | LDAP_OBJECT_CLASS_VIOLATION |
| 66 | 0x42 | LDAP_NOT_ALLOWED_ON_NONLEAF |
| 67 | 0x43 | LDAP_NOT_ALLOWED_ON_RDN |
| 68 | 0x44 | LDAP_ALREADY_EXISTS |
| 69 | 0x45 | LDAP_NO_OBJECT_CLASS_MODS |
| 70 | 0x46 | LDAP_RESULTS_TOO_LARGE [c] |
| 71 | 0x47 | LDAP_AFFECTS_MULTIPLE_DSAS |
| 76 | 0x4C | LDAP_VIRTUAL_LIST_VIEW_ERROR |
| 80 | 0x50 | LDAP_OTHER |
| 81 | 0x51 | LDAP_SERVER_DOWN |
| 82 | 0x52 | LDAP_LOCAL_ERROR |
| 83 | 0x53 | LDAP_ENCODING_ERROR |
| 84 | 0x54 | LDAP_DECODING_ERROR |
| 85 | 0x55 | LDAP_TIMEOUT |
| 86 | 0x56 | LDAP_AUTH_UNKNOWN |
| 87 | 0x57 | LDAP_FILTER_ERROR |
| 88 | 0x58 | LDAP_USER_CANCELLED |
| 89 | 0x59 | LDAP_PARAM_ERROR |
| 90 | 0x5A | LDAP_NO_MEMORY |
| 91 | 0x5B | LDAP_CONNECT_ERROR |
| 92 | 0x5C | LDAP_NOT_SUPPORTED |
| 93 | 0x5D | LDAP_CONTROL_NOT_FOUND |
| 94 | 0x5E | LDAP_MORE_RESULTS_TO_RETURN |
| 95 | 0x5F | LDAP_MORE_RESULTS_TO_RETURN |
| 96 | 0x60 | LDAP_CLIENT_LOOP |
| 97 | 0x61 | LDAP_REFERRAL_LIMIT_EXCEEDED |
| 118 | 0x76 | LDAP_CANCELLED |
[a]
LDAPv3
[b]
未在 LDAPv3 中使用
[c]
为 CLDAP 保留
| ||
7.5. 使用名称的 Pipe 替换日志文件
许多管理员想要通过日志数据进行一些特殊配置或操作,例如配置日志以仅记录特定事件。这无法使用标准的 Directory 服务器日志文件配置文件属性,但通过将日志数据发送到命名管道,然后使用另一个脚本来处理数据。对日志使用命名管道简化了这些特殊任务,如下所示:
- 记录某些事件,如来自特定用户或 IP 地址的绑定尝试或连接失败
- 与特定正则表达式模式匹配的日志记录条目
- 将日志保持到特定的长度(仅限最后的几行)
- 在事件发生时发送通知(如电子邮件)
使用管道替换日志文件可提高性能,特别是对于具有高操作率的服务器。
命名管道与使用脚本从日志中提取数据,因为日志缓冲区中如何处理数据。
如果日志缓冲了,服务器性能很好,但重要的数据不会在事件发生后马上写入磁盘(日志文件)。如果服务器崩溃出现问题,则在将数据写入磁盘之前,它可能会在数据写入磁盘前崩溃 - 也没有用于提取脚本的数据。
如果没有缓冲日志[1]写入操作会在磁盘中清除到磁盘,从而导致大量磁盘 I/O 和性能下降。
使用管道替换日志磁盘文件具有缓冲优势,因为管道读取的脚本可以将内存中传入的日志数据(通过简单脚本无法缓冲)。
第 9.4 节 “ds-logpipe.py” 中涵盖了脚本的用法和选项详情。基本格式为: ds-logpipe.py/path/to/named_pipe--userpipe_user--maxlinesnumber--serverpidfilefile.pid--serverpidPID--servertimeout --plugin=/path/to/plugin.pypluginfile.arg=value
7.5.1. 使用 Named Pipe 进行日志记录
Directory 服务器实例可以通过运行命名管道日志脚本并提供管道的名称,即可将命名管道用于其日志记录。(如果服务器已在运行,则必须重新打开日志,但不需要配置。)
# ds-logpipe.py /var/log/dirsrv/slapd-example/access
以这种方式运行 ds-logpipe.py 具有简单且不需要更改目录服务器配置的优点。这可用于快速调试或监控,特别是在查找特定类型的事件时。
如果 Directory 服务器实例经常或永久使用命名的管道而不是记录一个真实文件,那么可以重新配置实例以创建管道并将其用于记录(与日志文件默认这样做)。
需要为实例配置配置三个内容:
-
要使用的日志文件必须改为管道(
nsslapd-*log,其中 * 可访问、错误或审核)[2],根据所配置的日志类型而定。 -
应禁用缓冲,因为脚本已经缓冲了日志条目(
nsslapd-*log-logbuffering) -
日志轮转应该被禁用,因此服务器不会尝试轮转命名管道(
nsslapd-*log-maxlogsperdir、nsslapd-*log-logpirationtime、nsslapd-*log-logrotation)
这些配置更改可以在 Directory Server 控制台中或使用 ldapmodify 进行。
例如,这会切换日志 来访问。pipe:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
dn: cn=config
changetype: modify
replace: nsslapd-accesslog
nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access.pipe
-
replace: nsslapd-accesslog-logbuffering
nsslapd-accesslog-logbuffering: off
-
replace: nsslapd-accesslog-maxlogsperdir
nsslapd-accesslog-maxlogsperdir: 1
-
replace: nsslapd-accesslog-logexpirationtime
nsslapd-accesslog-logexpirationtime: -1
-
replace: nsslapd-accesslog-logrotationtime
nsslapd-accesslog-logrotationtime: -1进行这些更改可让服务器关闭当前日志文件并立即切换到命名管道。这对调试正在运行的服务器以及特定消息的日志输出非常有用。
7.5.2. 使用服务器启动 Named Pipe
命名的管道可以通过编辑实例的 init 脚本配置文件来启动和关闭 Directory Server 实例。
命名 pipe 脚本必须在实例的 dse.ldif 文件中特别配置,然后才能在服务器启动时调用。
打开服务器系统的实例配置文件。
/etc/sysconfig/dirsrv-instance_name警告不要编辑
/etc/sysconfig/dirsrv文件。在文件的末尾,会有一个包含以下内容的行:
# Put custom instance specific settings below here.
在该行的下面,插入
ds-logpipe.py命令以在服务器启动时启动。例如:# only keep the last 1000 lines of the error log python /usr/bin/ds-logpipe.py /var/log/dirsrv/slapd-example/errors.pipe -m 1000 -u dirsrv -s /var/run/dirsrv/slapd-example.pid > /var/log/dirsrv/slapd-example/errors & # only log failed binds python /usr/bin/ds-logpipe.py /var/log/dirsrv/slapd-example/access.pipe -u dirsrv -s /var/run/dirsrv/slapd-example.pid --plugin=/usr/share/dirsrv/data/failedbinds.py failedbinds.logfile=/var/log/dirsrv/slapd-example/access.failedbinds &
注意-s选项指定要将其 PID 写入的 .pid 文件,并将脚本设置为在服务器进程启动和停止。
7.5.3. 使用带有 Named Pipe Log 的插件
可以调用插件来从命名管道读取日志数据,并在其上执行一些操作。使用带有命名 pipe log 脚本的插件有一些注意事项:
- 对于从命名管道读取的每一行调用插件函数。
-
插件功能必须是 Python 脚本,且必须以
.py结尾。 - 所有插件参数都会在命令行中传递给命名 pipe log 脚本。
- 可以针对加载插件时指定预协作功能。
- 可以为脚本退出时调用 post-operation 功能。
7.5.3.1. 使用 Named Pipe Log Script 载入插件
有两个选项 ds-logpipe.py 用于插件:
-
plugin选项提供插件文件的路径(必须是 Python 脚本,且必须以.py结尾)。 -
plugin.arg 选项将插件参数传递给命名的管道日志脚本。插件文件名(没有
.py扩展名)是 插件,且插件中允许的任何参数都可以是 arg。
例如:
ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe --plugin=/usr/share/dirsrv/data/example-funct.py example-funct.regex="warning" > warnings.txt
如果为同一参数传递多个值,则它们将转换为插件字典中的值列表。例如,此脚本为 arg1 提供两个值:
--plugin=/path/to/pluginname.py pluginname.arg1=foo pluginname.arg1=bar pluginname.arg2=baz
在插件中,这会转换为:
{'arg1': ['foo', 'bar'],
'arg2': 'baz'}
这是一个 Python 字典 对象,具有两个键。第一个键是字符串 arg1,其值是一个 Python 列表对象,它包含两个元素,即字符串 foo 和 bar。第二个键是字符串 arg2,其值是字符串 baz。如果参数只有一个值,它将保留为简单字符串。单个参数名称的多个值将转换为字符串列表。
7.5.3.2. 写入插件以用于 Named Pipe 日志转发脚本
ds-logpipe.py 命令需要最多有三个插件: 插件()、 pre() 和 post ()。
任何与 ds-logpipe.py 命令一起使用的插件都必须指定 插件 功能。
插件() 功能针对日志数据中的每一行执行,而在脚本启动和停止时 预() 和 post() 函数将运行。
每个函数都可以定义任何参数,然后使用 plugin.arg 选项将这些参数传递给脚本。另外,每个函数都可以自行定义返回值和操作。
例 7.8. 简单 Named Pipe Log Plug-in
def pre(myargs):
retval = True
myarg = myargs['argname']
if isinstance(myarg, list): # handle list of values
else: # handle single value
if bad_problem:
retval = False
return retval
def plugin(line):
retval = True
# do something with line
if something_is_bogus:
retval = False
return retval
def post(): # no arguments
# do something
# no return value第 8 章 配置文件参考
您配置的大部分目录服务器功能位于 目录中的 cn=config 条目中。但是,对于某些功能,Directory 服务器会从配置文件中读取设置。本章描述了这些文件及其设置。
8.1. certmap.conf
如果您设置了基于证书的验证,/etc/dirsrv/slapd-instance_name/certmap.conf 文件管理目录服务器将证书动态映射到用户条目。
/etc/dirsrv/slapd-instance_name/certmap.conf 文件采用以下格式:
certmap alias_name certificate_issuer_DN alias_name:parameter_name value
您可以为不同的证书签发者指定单独的设置。对于没有单独的配置的签发者 DN,将使用默认 条目中的设置。以下是默认条目所需的最小配置:
certmap default default
另外,您可以为默认条目设置所有可用的参数。如果目录服务器没有在单独的配置中为签发者 DN 指定,则将使用它们。
例 8.1. 配置 default Entry 和 Specific Issuer DN
以下配置会为设置了 o=Example Inc.,c=US 签发者 DN 的证书单独设置。其他证书将使用默认条目中的设置。
certmap default default default:DNComps dc default:FilterComps mail, cn default:VerifyCert on certmap example o=Example Inc.,c=US example:DNComps
您可以设置以下参数:
- DNComps
DNComps参数决定目录服务器如何生成用于搜索目录中用户的基本 DN:如果证书的
subject字段中的属性与基本 DN 匹配,请将DNComps参数设置为这些属性。使用逗号分隔多个属性。但是,DNComps参数中的属性顺序必须与证书的主题的顺序匹配。例如,如果您的证书的 subject 是
e=user_name@example.com,cn=user_name,o=Example Inc.,c=US。而您希望 Directory 服务器使用cn=user_name,o=Example Inc.,c=US作为基本 DN,在搜索用户时,将DNComps参数设置为cn, o c, o c.重要DNComps参数中设置的属性值必须在数据库中唯一。如果无法从证书的
subject字段生成基本 DN,则将该参数设为空值。在这种情况下,Directory 服务器会使用FilterComps参数中从 设置生成的过滤器来搜索整个目录中的用户。例如,如果证书的 subject 是
e=user_name@example.com,cn=user_name,o=Example Inc.,c=US,但 Directory 服务器将其数据存储在dc=example,dc=com条目中,Directory 服务器无法从证书的主体生成有效的基础 DN,因为所需组件不是主体的一部分。在本例中,将DNComps设置为空字符串,以搜索整个目录中的用户。注释掉或不设置此参数。如果证书的
subject字段与 Directory 服务器中的用户的 DN 完全匹配,或者您想要使用CmapLdapAttr参数中的设置。或者,在
cn=config条目中设置nsslapd-certmap-basedn参数,以使用硬编码的基本 DN。
- FilterComps
此参数设置证书 Directory 服务器的
subject字段中使用哪些属性来生成搜索过滤器来定位用户:将此参数设置为以逗号分隔的证书主题中使用的属性列表。目录服务器将在过滤器中的
AND操作中使用这些属性。注意证书对象使用电子邮件地址的
e属性,该属性在默认目录服务器架构中不存在。因此,Directory 服务器会自动将此属性映射到mail属性。这意味着,如果您在FilterComps参数中使用mail属性,Directory 服务器会从证书的主体中读取e属性的值。例如,如果证书的主题为
e=user_name@example.com,cn=user_name,dc=example,dc=com,o=Example Inc.,c=US,您想要动态生成(&(mail=username@domain)(cn=user_name)过滤器,将FilterComps参数设置为mailcn。-
如果参数被注释掉或设置为空值,则将使用
(objectclass=*)过滤器。
- verifycert
目录服务器会始终验证证书是否由可信证书颁发机构(CA)发出。但是,如果您还在
上将verifycert参数设置为,Directory 服务器还会验证证书是否与存储在用户的userCertificate二进制文件属性中的 Encoding 规则(DER)格式的证书匹配。如果您没有设置此参数,
请验证cert被禁用。- CmapLdapAttr
-
如果您的用户条目包含存储用户证书的 subject DN 的属性,请将
CmapLdapAttr设置为此属性名称。目录服务器将使用此属性和主题 DN 来查找用户。在这种情况下,没有根据FilterComps参数中的属性生成任何过滤器。 - 库
- 将路径名称设置为共享库或动态链路库(DLL)文件。只有在使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
- InitFn
-
如果使用自定义库,则设置
init功能的名称。只有在使用证书 API 创建自己的属性时,才使用此设置。这个参数已弃用,并将在以后的发行版本中删除。
当目录服务器搜索匹配的用户时,搜索必须只返回一个条目。如果搜索返回多个条目,Directory 服务器会记录 多个匹配 错误,验证会失败。
详情请查看 Directory Server Administration Guide 中的对应部分。
第 9 章 命令行实用程序
本章包含与 Red Hat Directory Server(Directory 服务器)一起使用的命令行实用程序的参考信息。这些命令行实用程序可让您轻松在 Directory 服务器上执行管理任务。
9.1. ds-replcheck
ds-replcheck 实用程序比较两个目录服务器实例或 LDIF 格式文件,以确定它们是否同步。详情请查看 Red Hat Directory Server Administration Guide中的 Comparing two Directory Server Instances 部分。
有关语法和命令行选项的详情,请查看 ds-replcheck(1)man page。
9.2. ldif
ldif 自动格式化 LDIF 文件并创建 base-64 编码属性值。base-64 编码可以表示 LDIF 中的二进制数据,如 JPEG 镜像。base-64 编码的数据使用双冒号(::)符号来表示。例如:
jpegPhoto:: encoded data除了二进制数据外,其他必须采用 base-64 编码值来标识其他符号,包括:
- 任何以空格开头的值。
- 任何以一个冒号(:)开头的值。
- 包含非 ASCII 数据的值,包括换行符。
ldif 命令行实用程序将采用任何输入并用正确的行连续和相应的属性信息对其进行格式化。ldif 实用程序也有意义,输入是否需要 base-64 编码。
有关语法和命令行选项的详情,请查看 ldif(5)man page。
9.3. dbscan
dbscan 工具从 Directory Server 数据库文件分析并提取信息。可使用 dbscan 扫描来扫描各种数据库文件:
-
id2entry.db,用户数据库的主数据库文件 -
user 数据库的
entryrdn.db -
用户数据库(如
cn.db)的辅助索引文件 -
在
/var/lib/dirsrv/slapd-instance/changelogdb中 changelog 中的 numeric_string.db
有关数据库文件的更多信息,请参阅 第 2.2.2 节 “数据库文件”。
根据目录服务器的版本,数据库文件使用 .db2、.db3、.db4 和 .db 扩展。
有关语法和命令行选项的详情,请查看 dbscan(1)man page。
例子
以下是使用 dbscan 检查 Directory Server 数据库的不同情况的命令行示例。
例 9.1. 转储 Entry 文件
dbscan -f /var/lib/dirsrv/slapd-instance/db/userRoot/id2entry.db例 9.2. 在 cn.db 中显示 Index Keys
dbscan -f /var/lib/dirsrv/slapd-instance/db/userRoot/cn.db例 9.3. 使用 mail.db 中的 Key 显示索引键和 Entries 的计数
# dbscan -r -f /var/lib/dirsrv/slapd-instance/db/userRoot/mail.db例 9.4. 在 sn.db 中显示 Index Keys 和 All ID with More Than 20 ID
# dbscan -r -G 20 -f /var/lib/dirsrv/slapd-instance/db/userRoot/sn.db例 9.5. 显示对象class.db 的 Summary
# dbscan -s -f /var/lib/dirsrv/slapd-instance/db/userRoot/objectclass.db例 9.6. 显示 VLV 索引文件内容
# dbscan -r -f /var/lib/dirsrv/slapd-instance/db/userRoot/vlv#bymccoupeopledcpeopledccom.db例 9.7. 显示 Changelog File 内容
# dbscan -f /var/lib/dirsrv/slapd-instance/changelogdb/c1a2fc02-1d11b2-8018afa7-fdce000_424c8a000f00.db例 9.8. 使用 Raw Mode 转储索引文件 uid.db
# dbscan -R -f /var/lib/dirsrv/slapd-instance/db/userRoot/uid.db例 9.9. 使用 Common Name Key "=hr managers" 显示 entryID
在本例中,通用名称是 =hr managers,等号(=)表示键是相等的索引。
# dbscan -k "=hr managers" -r -f /var/lib/dirsrv/slapd-instance/db/userRoot/cn.db
=hr%20managers 7例 9.10. 显示条目 ID 为 7 的条目
# dbscan -K 7 -f /var/lib/dirsrv/slapd-instance/db/userRoot/id2entry.db
id 7 dn: cn=HR Managers,ou=groups,dc=example,dc=com
objectClass: top
objectClass: groupOfUniqueNames
cn: HR Manager
ou: groups
description: People who can manage HR entries
creatorsName: cn=Directory Manager
modifiersName: cn=Directory Manager
createTimestamp: 20050408230424Z
modifyTimestamp: 20050408230424Z
nsUniqueId: 8b465f73-1dd211b2-807fd340-d7f40000 parentid: 3
entryid: 7
entrydn: cn=hr managers,ou=groups,dc=example,dc=com例 9.11. 显示 entryrdn Index 的内容
# dbscan -f /var/lib/dirsrv/slapd-instance/db/userRoot/entryrdn.db -k "dc=example,dc=com"
dc=example,dc=com
ID: 1; RDN: "dc=example,dc=com"; NRDN: "dc=example,dc=com"
C1:dc=example,dc=com
ID: 2; RDN: "cn=Directory Administrators"; NRDN: "cn=directory administrators"
2:cn=directory administrators
ID: 2; RDN: "cn=Directory Administrators"; NRDN: "cn=directory administrators"
P2:cn=directory administrators
ID: 1; RDN: "dc=example,dc=com"; NRDN: "dc=example,dc=com"
C1:dc=example,dc=com
ID: 3; RDN: "ou=Groups"; NRDN: "ou=groups"
3:ou=groups
ID: 3; RDN: "ou=Groups"; NRDN: "ou=groups"
[...]9.4. ds-logpipe.py
命名 pipe 日志脚本可以使用命名的管道替换任何 Directory Server 日志文件(访问、错误和审核)。该管道可以附加到另一个脚本,这些脚本可以在将日志数据发送到输出之前进行处理,例如仅写入与特定模式匹配的行或是特定的事件类型。
使用命名 pipe 脚本提供灵活性:
- 错误日志级别可以设置非常高地诊断问题,以便仅创建最后几百个或千千日志消息的日志,而不出现性能点击。
- 可以对消息进行过滤,以便仅使某些相关事件保持相关事件。例如,命名 pipe 脚本只能在访问日志中记录失败的 BIND 尝试,以及其他事件。
- 脚本可用于在发生事件时发送通知,如添加或删除用户条目或发生特定错误。
有关语法和命令行选项的详情,请查看 ds-logpipe.py(1)man page。
例子
第 7.5 节 “使用名称的 Pipe 替换日志文件” 中涵盖了为命名管道日志记录配置服务器的步骤。
命名管道日志脚本的最基本用法仅指向命名管道。
例 9.12. 基本命名的管道日志脚本
# ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe
当脚本退出时(可以是其完成,或因为通过 SIGTERM 或 Ctrl+C 终止的),该脚本会将错误日志的最后 1000 行转储到标准输出。
脚本可以在后台运行,您可以以交互方式监控输出。在这种情况下,命令 kill -1 %1 可用于告知脚本将缓冲区的最后 1000 行转储到 stdout,并在后台继续运行。
例 9.13. 在背景中运行 Named Pipe Log Script
# ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe &
要只在脚本退出(或中断)时转储最后 1000 行,并自动将输出保存到文件中,请将脚本输出重定向到用户定义的文件。
例 9.14. 从 Named Pipe Log Script 中保存输出
# ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe > /etc/dirsrv/myerrors.log 2>&1
可以将命名 pipe 脚本配置为使用 Directory 服务器进程自动启动和停止。这需要服务器的 PID 文件的名称,以便在脚本运行时使用 -s 参数写入脚本的 PID。服务器的 PID 可以通过指向服务器 PID 文件或提供实际进程 ID 号(如果服务器进程已在运行)来引用。
例 9.15. 指定 Serve PID
# ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe --serverpidfile /var/run/dirsrv/slapd-example.pid
可以调用插件来从命名管道读取日志数据,并在其上执行一些操作。
例 9.16. 使用相关插件命名管道日志脚本
# ds-logpipe.py /var/log/dirsrc/slapd-example/errors.pipe --plugin=/usr/share/dirsrv/data/logregex.py logregex.regex="warning"
在 例 9.16 “使用相关插件命名管道日志脚本” 中,只有包含字符串 警告 的日志行存储在内部缓冲区中,并在脚本退出时打印。
如果没有通过 script 参数传递插件,该脚本只会缓冲 1000 日志行(默认),并在退出后打印它们。脚本提供了两个插件:
-
logregex.py仅保留与给定正则表达式匹配的日志行。插件参数的格式是logregex.regex=pattern 以指定要使用的字符串或正则表达式。可以有多个logregex.regex参数,它们都被视为 AND 语句。错误日志行必须与所有给定参数匹配。要允许任何匹配的日志行是记录(OR),请在字符串或表达式之间通过 pipe(|)使用单个logregex.regex参数。有关正则表达式及其语法的更多信息,请参阅 pcre 或 Python 正则表达式文档。 -
failedbinds.py日志只会失败 BIND 尝试,因此此插件仅用于访问日志。这需要选项failedbinds.logfile=/path/to/access.log,即实际日志消息写入的文件。此插件是一个复杂的插件示例,它确实是一个处理过程,也是引用其他类型访问日志处理的良好起点。
9.5. dn2rdn
早于 9.0 的 Directory Server 版本使用 entrydn 索引,以帮助将 id2entry.db4 数据库中的条目 ID 映射到条目的完整 DN。(这样做的一个副作用是,modrdn 操作只能在 leaf entries 上完成,因为无法识别条目的子项,并在父 DN 更改时更新其 DN。) 当允许子树级重命名时,使用带有 id2entry.db 数据库的 entryrdn 索引进行 ID-to-entry 映射。
升级后,Directory 服务器实例仍然可以使用 entrydn 索引。dn2rdn 工具有一种用途:要将条目索引映射从基于 DN 的格式转换为基于 RDN 的格式,方法是将 entrydn 索引转换为 entryrdn。
dn2rdn 工具位于 /usr/sbin/ 目录中,因为它始终在本地 Directory Server 实例上运行。
9.6. pwdhash
pwdhash 实用程序加密指定的纯文本密码。如果用户或 Directory Manager 无法登录,请使用 pwdhash 比较加密的密码。您还可以使用生成的哈希来手动重置 Directory Manager 的密码。
pwdhash 实用程序使用以下存储方案来加密密码:
-
如果您将
-s storage_scheme参数传递给pwdhash,则会使用指定的方案。 -
如果您将
-D config_directory参数传递给pwdhash,则将使用nsslapd-rootpwstoragescheme属性中设置的方案。 -
如果您没有指定到有效目录服务器配置目录的路径,也要将方案传递给
pwdhash,则实用程序将使用 Directory 服务器默认存储方案。
有关存储方案、支持值列表和默认设置的详情,请参考 第 4.1.43 节 “密码存储”。
有关语法和命令行选项的详情,请查看 pwdhash(1)man page。
附录 A. 测试 Directory 服务器可用的脚本
红帽目录服务器提供两个脚本,可用于在不同的压力或负载条件中 测试 目录服务器性能。测试脚本模拟不同的环境,使管理员能够在将配置或机器更改放入生产环境之前对其进行评估。
ldclt 和 rsearch 都位于 /usr/bin 目录中。
A.1. ldclt(Load Stress Tests)
LDAP 客户端脚本(ldclt)在用户定义的场景中建立到服务器的多个客户端连接,以加载目录服务器。客户端操作包括目录添加、搜索、修改、修改、修改和删除,以及生成 LDIF 文件等设置操作。操作可以随机化 - 将和取消绑定作为随机用户,执行随机任务 - 为 目录模拟更现实的使用环境。
ldclt 工具测量持续处理操作的完成时间,以测量目录服务器的性能。通过使用多个线程,可以在高负载下测试性能。每个测试都执行相同类型的 LDAP 操作,但使用不同的设置(如不同的用户凭证、不同属性类型或大小)以及不同的目标子树。
除了定义 LDAP 操作变量外,管理员可以控制线程性能,以在服务器上设置特定的负载。
ldclt 工具专门用于自动测试,因此即使用于复杂的测试操作,其选项也广泛、灵活且易于编写。
请记住,ldclt 是负载测试,因此使用了大量系统资源。该工具使用至少 8 MB 内存。根据线程数量、操作类型和其他配置设置,它可以使用更多内存。
根据操作类型和用于这些操作的目录数据,ldclt 可以设置自己的资源限值。有关管理系统资源限制的详情,请查看 ulimit 的 man page 和 getrlimit。
ldclt 实用程序位于 /usr/bin 目录中。
A.1.1. 语法
ldlt-q-Q-v-V-Emax_errors-bbase_DN-hhost-pport-ttimeout-Dbind_DN-wpassword-oSASL_options-eexecution_params-amax_pending- nnumber_of_threads-iinactive_times-Nnumber_of_samples-Ierror_code-Ttotal_number_of_operations-rlow_range-Rhigh_range-ffilter-sscope-Sconsumer-P vendor_port-Wwait_time-Zcertificate_file
A.1.2. ldclt Options
表 A.1. ldclt Options
| 选项 | 描述 |
|---|---|
| -a max_pending_ops | 以异步模式运行工具,且定义的最大待处理操作数。 |
| -b base_dn |
提供用于运行 LDAP 操作测试的基本 DN。如果未指定,则默认值为 |
| -D bind_dn |
为 |
| -e max_errors | 在工具退出前,设置测试 LDAP 操作中允许发生的最多错误数。默认值为 1000。 |
| -e execution_params |
指定用于测试的操作类型和其他测试环境参数。 |
| -f filter | 提供一个 LDAP 搜索过滤器以用于搜索测试。 |
| -h |
指定要针对其运行测试的目录服务器的主机名或 IP 地址。如果未指定主机,则 |
| -I error_code |
告知 |
| -i inactivity_times | 设定工具在退出前可以不活跃的时间间隔。默认情况下,此设置是 3,它转换为 30 秒(每个操作间隔为 10 秒)。 |
| -N number_of_samples | 设置要运行的迭代数量,即运行 10 秒测试周期数。默认情况下,这有限,只有在手动停止时,该工具才会退出。 |
| -n number_of_threads | 设置同时用于操作运行的线程数量。默认值为 10。 |
| -O SASL_option |
告知 工具使用 SASL 连接到服务器,并提供要使用的 SASL 机制。格式为 * mech 是 SASL 身份验证机制 * authid,绑定到服务器的用户(Kerberos 主体) * authzid,是一个代理授权(由服务器忽略,因为不支持代理授权) * secProp,安全属性 * realm, Kerberos realm * 标记
预期值取决于支持的机制。可以多次使用 [literal,subs="+quotes,verbatim"] …. -o "mech=DIGEST-MD5" -o "authzid=test_user" -o "authid=test_user" …. |
| -P supplier_port | 提供用来连接到供应商服务器以进行复制测试的端口。默认(如果没有指定)为 16000。 |
| -p 端口 | 为要测试的目录服务器实例提供服务器端口号。 |
| -Q |
以"super"静默模式运行该工具。这会忽略由 |
| -q | 以静默模式运行该工具。 |
| -R number | 为范围设置高数字。 |
| -R number | 设置范围较低数量。 |
| -S consumer_name | 提供要连接的消费者服务器的主机名来运行复制测试。 |
| -S 范围 |
给出搜索范围。与 |
| -T ops_per_thread | 设置每个线程允许的最大操作数。 |
| -T timeout | 为 LDAP 操作设置超时周期。默认值为 30 秒。 |
| -V | 以非常详细模式运行该工具。 |
| -v | 以详细模式运行该工具。 |
| -W wait_time |
为 |
| -w password |
提供用于 -D 身份的密码,通过 |
| -Z /path/to/cert.db | 为测试连接启用 TLS,并指向 文件以用作证书数据库。 |
e 选项设置 ldclt 测试操作的执行参数。可以在逗号分隔列表中配置多个参数。例如:
-e add,bindeach,genldif=/var/lib/dirsrv/slapd-instance/ldif/generated.ldif,inetOrgPerson表 A.2. 执行参数
| 参数 | 描述 |
|---|---|
| abandon | 启动用于异步搜索请求的带外操作。 |
| add |
向 目录添加条目( |
| append |
使用 |
| ascii | 生成 ASCII 7 位字符串。 |
| attreplace=name:mask | 运行修改操作,替换现有条目中的属性(名称)。 |
| attrlist=name:name:name | 指定要在搜索操作中返回的属性列表。 |
| attrsonly=# | 用于搜索操作,设置是否读取属性值。可能的值有 0(读取值)或 1(不读取值)。 |
| bindeach |
告知 |
| only |
告知 |
| 关闭 | 告诉工具关闭连接,而不是执行 unbind 操作。 |
| cltcertname=name | 指定用于 TLS 连接的 TLS 客户端证书名称。 |
| commoncounter |
使 |
| counteach | 告诉工具计算每个操作,而不只是成功执行。 |
| delete | 启动删除操作。 |
| deref |
为搜索操作添加解引用控制 |
| dontsleeponserverdown | 如果服务器停机,该工具可以非常快循环。 |
| emailPerson |
这会在生成的条目中添加 |
| esearch | 执行精确搜索。 |
| genldif=filename | 生成要用于操作的 LDIF 文件。 |
| imagesdir=path | 为镜像提供一个测试要使用的位置。 |
| incr | 启用增量值。 |
| inetOrgPerson |
这会将 |
| keydbfile=file | 包含要用于 TLS 连接的密钥数据库的路径和文件名。 |
| keydbpin=password | 包含用于访问密钥数据库的令牌密码。 |
| noglobalstats | 告知工具 不 打印定期全局统计数据。 |
| noloop | 不循环递增数字。 |
| object=filename | 来自输入文件的构建条目对象。 |
| 个人 |
这会将 |
| random |
告知 |
| randomattrlist=name:name:name |
告知 |
| randombase |
告知 |
| randombaselow=value | 为随机生成器设置 low 值。 |
| randombasehigh=value | 为随机生成器设置高值。 |
| randombinddn |
告知 |
| randombinddnfromfile=file |
告知 |
| randombinddnlow=value | 为随机生成器设置 low 值。 |
| randombinddnhigh=value | 为随机生成器设置高值。 |
| rdn=attrname:value |
提供一个 RDN 以用作搜索过滤器。这代替了 |
| referral=value | 设置操作的参考行为。有三个选项: on(allow referrals)、off(disallow referrals)或 rebind(attempt to connect)。 |
| smoothshutdown |
告知 |
| 字符串 |
告知 |
| v2 |
告知 |
| withnewparent | 执行 modRDN 操作,重命名将新parent 设置为参数的条目。 |
| randomauthid | 使用随机 SASL 验证 ID。 |
| randomauthidlow=value | 为随机 SASL 身份验证 ID 设置 low 值。 |
| randomauthidhigh=value | 为随机 SASL 身份验证 ID 设置 high 值。 |
A.1.3. ldclt 的结果
ldclt 持续运行指定的任何操作,超过指定的线程数量。默认情况下,它将性能统计数据每十(10)秒打印到屏幕。
结果显示每个线程的平均操作数,每秒操作数,然后是该十秒窗口中运行的操作总数。
ldclt[process_id] Average rate: number_of_ops/thr (number_of_ops/sec), total: total_number_of_ops
例如:
ldclt[22774]: Average rate: 10298.20/thr (15447.30/sec), total: 154473
ldclt 会每 15 分钟打印累积平均值以及工具退出的时间。
ldclt[22774]: Global average rate: 821203.00/thr (16424.06/sec), total: 12318045 ldclt[22774]: Global number times "no activity" reports: never ldclt[22774]: Global no error occurs during this session. Catch SIGINT - exit... ldclt[22774]: Ending at Wed Feb 24 18:39:38 2010 ldclt[22774]: Exit status 0 - No problem during execution.
有些操作(如添加)并使用详细输出选项,如 -v 或 -V 输出其他数据到屏幕中。信息种类取决于操作类型,但它通常会显示执行该操作的线程以及操作调用的插件。例如:
ldclt -b ou=people,dc=example,dc=com -D "cn=Directory Manager" -w secret12 -e add,person,incr,noloop,commoncounter -r90000 -R99999 -f "cn=testXXXXX" -V
...
ldclt[11176]: T002: After ldap_simple_bind_s (cn=Directory Manager, secret12)
ldclt[11176]: T002: incremental mode:filter="cn=test00009"
ldclt[11176]: T002: tttctx->bufFilter="cn=test00009"
ldclt[11176]: T002: attrs[0]=("objectclass" , "person")
ldclt[11176]: T002: attrs[1]=("cn" , "test00009")
ldclt[11176]: T002: attrs[2]=("sn" , "toto sn")
...
ldclt[11176]: Average rate: 195.00/thr ( 195.00/sec), total: 1950
ldclt[10627]: Global average rate: 238.80/thr (238.80/sec), total: 2388
ldclt[10627]: Global number times "no activity" reports: never
ldclt[10627]: Global no error occurs during this session.
Catch SIGINT - exit...
ldclt[10627]: Ending at Tue Feb 23 11:46:04 2010
ldclt[10627]: Exit status 0 - No problem during execution.
大多数错误由 ldclt 处理,而不中断测试。遇到的任何严重错误均以工具的退出状态列出,并在累计总量中返回。
Global no error occurs during this session.
发生的任何 LDAP 操作错误都会在线程内处理。连接错误会终止线程,而不影响整个测试。ldclt 实用程序计算遇到每个 LDAP 错误的次数;如果日志记录的总错误数超过 1000(默认),则脚本本身会出错。
可以配置 ldclt 响应 LDAP 错误的方法。使用 -E 选项为脚本设置不同的阈值,以便在遇到 LDAP 错误后出错。使用 -I 选项可告知脚本忽略所有线程中的指定 LDAP 错误代码。更改错误退出限制并忽略某些错误代码,您可以调整和改进测试脚本或测试配置。
A.1.4. 退出 ldclt 和 ldclt Exit Codes
ldclt 命令无限期地运行。脚本可以在少数情况下停止自身,如遇到严重运行时或初始化错误,从而达到 LDAP 错误的限制、使所有线程结束或达到操作或时间限制。
在命令完成后,运行的统计信息不会显示在命令完成前,可以通过退出的脚本或终止脚本。可以通过两种方式中断 ldclt 脚本。
-
按 control-backslash(kbd:[^\])或
kill -3会在不退出脚本的情况下打印当前统计信息。 -
按 control-C(^C)或
kill -2退出脚本并打印全局统计信息。
当 ldclt 脚本退出或中断时,它会返回一个退出代码以及统计信息和错误信息。
表 A.3. ldclt Exit Codes
| 退出代码 | 描述 |
|---|---|
| 0 | 成功(无错误)。 |
| 1 | 操作遇到严重错误。 |
| 2 | 通过 工具传递的参数中出现错误。 |
| 3 | 该工具达到 LDAP 错误的最大数量。 |
| 4 | 该工具无法绑定到 Directory 服务器实例。 |
| 5 | 该工具无法加载 TLS 库来通过 TLS 连接。 |
| 6 | 有一个多线程(mutex)错误。 |
| 7 | 存在初始化问题。 |
| 8 | 该工具达到资源限值,如内存分配错误。 |
| 99 | 该脚本遇到未知错误。 |
A.1.5. 使用场景
它们提供了使用 ldclt 测试目录服务器的一般示例。在 ldclt 源文件中提供了带有更复杂的示例来测试脚本。您可以从 389 Directory Server 项目下载此文件 :https://github.com/389ds/389-ds-base/tree/master/ldap/servers/slapd/tools/ldclt/examples
每个 ldclt 命令都需要一组执行参数(取决于测试类型)和连接参数(对于每种操作类型相同)。例如:
# ldclt -e execution_parameters -h localhost -p 389 -D "cn=Directory Manager" -w secret -b "ou=people,dc=example,dc=com"
当 ldclt 运行时,它首先会显示该测试配置的所有参数。
Process ID = 1464 Host to connect = localhost Port number = 389 Bind DN = cn=Directory Manager Passwd = secret Referral = on Base DN = ou=people,dc=example,dc=com Filter = "cn=MrXXX" Max times inactive = 3 Max allowed errors = 1000 Number of samples = -1 Number of threads = 10 Total op. req. = -1 Running mode = 0xa0000009 Running mode = quiet verbose random exact_search LDAP oper. timeout = 30 sec Sampling interval = 10 sec Scope = subtree Attrsonly = 0 Values range = [0 , 1000000] Filter's head = "cn=Mr" Filter's tail = ""
A.1.5.1. 生成 LDIF
ldclt 工具本身可用于生成可用于测试的 LDIF 文件。
在生成 LDIF 文件时,ldclt 工具不会尝试连接到服务器或运行任何操作。
生成 LDIF 文件需要一个基本模板文件,供工具用于创建条目(-e 对象),然后是指定的输出文件(-e genldif)。
模板文件可以为条目属性赋予显式值,也可以使用变量。如果您希望提供条目属性的唯一值的简单方法,/usr/share/dirsrv/data 目录包含三个数据文件来生成 surname、名字和机构单元。这些值列表分别用于创建测试用户和目录树(dbgen-FamilyNames、dbgen-GivenNames 和 dbgen-OrgUnits )。这些文件可与 rndfromfile、incrfromfile 或 incrfromfile 选项一起使用。
模板文件的基本格式为:
# comment attribute: string | variable=keyword(value)
变量可以是来自 A 到 H 的任何字母。可能的关键字列于 表 A.4 “ldclt Template LDIF File Keywords”
可使用 -e 对象 选项和其他可用参数(如 rdn)传递一些变量和关键字。
-e object=inet.txt,rdn='uid:[A=INCRNNOLOOP(0;99999;5)]'
表 A.4. ldclt Template LDIF File Keywords
| 关键字 | 描述 | 格式 |
|---|---|---|
| RNDN | 在指定范围内生成一个随机值(低 - high)和指定长度的。 | RNDN(low;high;length) |
| RNDFROMFILE | 从指定文件中任何可用值拉取随机值。 | RNDFROMFILE(filename) |
| INCRN | 在指定范围内创建连续值(低 - high)和给定长度的。 | INCRN(低;high;length) |
| INCRNOLOOP | 在指定范围(低 - high)和给定长度(不循环递增范围)内创建连续值。 | INCRNOLOOP(low;high;length) |
| INCRFROMFILE | 通过在指定文件中通过值递增来创建值。 | INCRFROMFILE(filename) |
| INCRFROMFILENOLOOP | 通过通过文件中的值递增值来创建值,而无需重新通过值进行循环。 | INCRFROMFILENOLOOP(filename) |
| RNDS | 生成给定长度的随机值。 | RNDS(length) |
例如,此模板从 /usr/share/dirsrv/data 中的示例文件拉取名称,并动态构建其他属性。
例 A.1. 模板文件示例
objectclass: inetOrgPerson sn: [B=RNDFROMFILE(/usr/share/dirsrv/data/dbgen-FamilyNames)] cn: [C=RNDFROMFILE(/usr/share/dirsrv/data/dbgen-GivenNames)] [B] password: test[A] description: user id [A] mail: [C].[B]@example.com telephonenumber: (555) [RNDN(0;999;3)]-[RNDN(0;9999;4)]
ldclt 命令,然后使用该模板构建带有 100,000 条目的 LDIF 文件:
# ldclt -b "ou=people,dc=csb" -e object=inet.txt,rdn='uid:[A=INCRNNOLOOP(0;99999;5)]' -e genldif=100Kinet.ldif,commoncounter
A.1.5.2. 添加条目
ldclt 工具可以添加与两个模板之一匹配的条目:
- 个人
- inetorgperson
-f 过滤器为用户条目设置 naming 属性格式。例如,-f "cn=MrXXXXX" 创建了一个名称,如 -f "cn=Mr01234"。将 person 或 inetorgperson 参数与 -f 一起使用将创建一个基本条目。
objectclass: person sn: ex sn cn: Mr01234
可以使用 rdn 参数和 对象文件 创建更复杂的条目(适用于搜索和修改测试)。条目的完整选项范围包括在 第 A.1.5.1 节 “生成 LDIF” 中。rdn 和 对象 参数提供要在目录中添加或编辑的条目的格式。rdn 执行参数采用关键字模式(如 表 A.4 “ldclt Template LDIF File Keywords”中列出的),并从文本文件中列出的条目中提取其条目。
-e rdn='uid:[A=INCRNNOLOOP(0;99999;5)]',object=inet.txt
ldclt 工具在数字序列中创建条目。这意味着添加这些条目和计算序列的方法也必须定义。其中的一些可能选项包括:
- -R 和 -R 可设置条目的数字范围
- 设置分配数字的方法(仅与 -f 一起使用)
- -R 和 -R 可设置条目的数字范围
- noloop,要在它达到范围末尾而不是循环后端时停止添加操作
例 A.2. 添加条目
# ldclt -b ou=people,dc=example,dc=com -D "cn=Directory Manager" -w secret -e add,person,incr,noloop,commoncounter -r0 -R99999 -f "cn=MrXXXXX" -v -q
add 操作也可用于构建用于更复杂的测试的目录树。每当属于不存在的分支的目录中添加条目时,ldclt 工具会自动创建该分支条目。
第一次添加条目是不存在分支的子项,分支条目会添加到 目录中。但是,条目本身不会被添加。后续条目将添加到新分支中。
若要自动添加分支条目,其 naming 属性必须是 cn、o 或 ou。
例 A.3. 创建 Directory Tree
# ldclt -b ou=DeptXXX,dc=example,dc=com -D "cn=Directory Manager" -w secret -e add,person,incr,noloop,commoncounter -r0 -R99999 -f "cn=MrXXXXX" -v -qA.1.5.3. 搜索操作
最基本的 ldclt 搜索测试只是在给定的基本 DN 中查找所有条目。这使用两个执行参数: esearch 和 random。
例 A.4. 基本搜索操作
# ldclt -h localhost -p 389 -D "cn=Directory Manager" -w secret -b "ou=people,dc=example,dc=com" -f uid=testXXXXX -e esearch,random -r0 -R99999 -I 32
返回所有条目的搜索可以为每个线程使用大量内存,如 1 GB 量。ldclt 旨在执行返回一个条目的搜索。
可以扩展搜索结果来返回条目中包含的属性。(第 A.1.5.1 节 “生成 LDIF” 有生成包含多个属性的条目的信息。) 要返回条目的属性列表,请使用 attrlist 执行参数和以冒号分隔的属性列表。
例 A.5. 搜索属性列表
# ldclt -h localhost -p 389 -b "ou=people,dc=example,dc=com" -f uid=XXXXX -e esearch,random -r0 -R99999 -I 32 -e attrlist=cn:mail
或者,ldclt 搜索操作还可为从搜索列表随机选择的属性返回属性值。该列表在 randomattrlist 执行参数中使用以冒号分隔的属性列表。
例 A.6. 搜索 Random 属性列表
# ldclt -h localhost -p 389 -b "ou=people,dc=example,dc=com" -f uid=XXXXX -e esearch,random -r0 -R99999 -I 32 -e randomattrlist=cn:sn:ou:uid:mail:mobile:description
用于匹配条目的过滤器可以目标其他条目属性,而不仅仅是命名属性。它取决于生成的 LDIF 中的属性。
例 A.7. 使用 Alternate Filters 搜索
# ldclt -h localhost -p 389 -b "ou=people,dc=example,dc=com" -f mail=XXXXXX@example.com -e esearch,random -r0 -R99999 -I 32 -e randomattrlist=cn:sn:ou:uid:mail:mobile:description
搜索操作也可以使用 RDN 风格的过滤器来搜索条目。rdn 和对象 执行参数提供要在 目录中添加或编辑的条目的格式。rdn 执行参数采用关键字模式(如 表 A.4 “ldclt Template LDIF File Keywords”中列出的),并从文本文件中列出的条目中提取其条目。
例 A.8. 使用 RDN Filters 搜索
# ldclt -h localhost -p 389 -b "ou=people,dc=example,dc=com" -e rdn='mail:[RNDN(0;99999;5)]@example.com',object="inet.txt" -e attrlist=cn:telephonenumber
A.1.5.4. 修改操作
attreplace execution 参数替换条目中的特定属性。
修改操作使用 RDN 过滤器来搜索要更新的条目。rdn 和 对象 参数提供要在目录中添加或编辑的条目的格式。rdn 执行参数采用关键字模式(如 表 A.4 “ldclt Template LDIF File Keywords”中列出的),并从文本文件中列出的条目中提取其条目。
例 A.9. 修改操作
# ldclt -h localhost -p 389 -D "cn=Directory Manager" -w secret -b "ou=people,dc=example,dc=com" -e rdn='uid:[RNDN(0;99999;5)]' -I 32 -e attreplace='description: random modify XXXXX'A.1.5.5. modrdn 操作
ldclt 命令支持两种类型的 modrdn 操作:
- 重命名条目
- 将条目移动到新父项
ldclt 程序从随机选择的 DN 中创建新条目名称或父级。
基本重命名操作需要三个执行参数:
- rename
- rdn='pattern'
- object=file
rdn 和 对象 参数提供要在目录中添加或编辑的条目的格式。rdn 执行参数采用关键字模式(如 表 A.4 “ldclt Template LDIF File Keywords”中列出的),并从文本文件中列出的条目中提取其条目。
例 A.10. simple Rename Operation
# ldclt -h localhost -p 389 -D "cn=Directory Manager" -w secret -b "ou=people,dc=example,dc=com" -I 32 -I 68 -e rename,rdn='uid:[RNDN(0;999;5)]',object="inet.txt"
使用 withnewparent execution 参数重命名条目,并将它移到新父条目的下方。如果父条目不存在,则 ldclt 工具会创建它。[3]
例 A.11. 重命名条目和移动到新并行
# ldclt -h localhost -p 389 -D "cn=Directory Manager" -w secret12 -b "ou=DeptXXX,dc=example,dc-com" -I 32 -I 68 -e rename,withnewparent,rdn='uid:Mr[RNDN(0;99999;5)]',object="inet.txt"
A.1.5.6. 删除操作
ldclt delete 操作与 add 操作完全相同。与添加一样,删除操作可以通过几种不同方式删除条目:
-
随机(
-e delete、random) -
RDN-ranges(
-e delete,rdn=[pattern]) -
顺序(
-e delete、incr)
随机删除配置为在指定范围条目内发生。这需要以下选项:
- -e delete,random
- -R 和 -R 用于范围绑定
- -f 表示过滤器与条目匹配
例 A.12. 随机删除操作
# ldclt -b "ou=people,dc=example,dc=com" -D "cn=Directory Manager" -w secret -e delete,random -r0 -R99999 -f "uid=XXXXXX" -I 32 -v -q
基于 RDN 的删除使用 rdn 执行参数,使用关键字(如 表 A.4 “ldclt Template LDIF File Keywords”中列出的关键字),并从文本文件中列出的条目中提取其条目池。这个格式需要三个执行参数:
- -e delete
- -e rdn='pattern'
- -e object='file'
例 A.13. 基于 RDN-based Delete Operations
# ldclt -b "ou=people,dc=example,dc=com" -D "cn=Directory Manager" -w secret -e delete,rdn='uid:[INCRNNOLOOP(0;99999;5)]',object="inet.txt" -I 32 -v -q
最后删除操作格式与随机删除格式类似,它只通过给定范围按顺序移动,而不是随机:
- -e delete,incr
- -R 和 -R 用于范围绑定
- -f 表示过滤器与条目匹配
例 A.14. 后续删除操作
# ldclt -b "ou=people,dc=example,dc=com" -D "cn=Directory Manager" -w secret -e delete,incr -r0 -R99999 -f "uid=XXXXXX" -I 32 -v -q
A.1.5.7. 绑定操作
默认情况下,每个 ldclt 线程绑定一次到服务器,然后在一个会话中运行它的所有操作。v bindeach 可用于任何其他操作,以指示 ldclt 工具绑定每个操作,然后在启动下一个操作前取消绑定。
-e add,bindeach ...
要仅测试绑定和未绑定操作,请使用 -e bindeach、bindonly 执行参数且不执行其他操作信息。例如:
# ldclt -h localhost -p 389 -b "ou=people,dc=example,dc=com" -e bindeach,bindonly -e bind_info
bind 操作可在连接参数中使用 -D 和 -w 用户名名称-密码对指定一个用户进行测试。
将 -e close 选项与 bind 参数配合使用,以测试丢弃连接在 Directory 服务器上具有的影响,而不是完全取消绑定。
例 A.15. 仅限绑定和关闭测试
# ldclt -h localhost -p 389 -D "cn=Directory Manager" -w secret -e bindeach,bindonly,close
还可使用执行参数从给定文件(randombinddnfromfile)中选择随机绑定身份,或使用从范围(-e randombinddn,randombinddnlow=X,randombinddnhigh=Y)随机选择的 DN。
例 A.16. 从文件中标识的随机绑定
# ldclt -h localhost -p 389 -e bindeach,bindonly -e randombinddnfromfile=/tmp/testbind.txt
如果从生成的 LDIF 添加身份或使用 -e 添加 帐户,则带有随机身份的绑定很有用。ldclt 工具可以使用 X 作为变量来自动生成值,并通过指定范围递增。
例 A.17. 来自 Random 基本 DN 的随机绑定
# ldclt -h localhost -p 389 -e bindeach,bindonly -D "uid=XXXXX,dc=example,dc=com" -w testXXXXX -e randombinddn,randombinddnlow=0,randombinddnhigh=99999
A.1.5.8. 在 Random 基本 DN 上运行操作
任何操作都可以针对随机选择的基本 DN 运行。randombase 参数的 trio 设置要从中选择的机构单元范围。-b 基本条目中的变量设置基本 DN 的格式。
-b "ou=DeptXXX,dc=example,dc=com" -e randombase,randombaselow=0,randombasehigh=999 ...
A.1.5.9. TLS 身份验证
每项操作都可以通过 TLS 运行,以测试安全连接的安全身份验证和性能。TLS 身份验证需要两个参数。
-
连接参数
-Z提供目录服务器的安全数据库的路径 -
执行参数、
cltcertname、keydbfile和keydbpin,其中包含服务器提示访问 TLS 数据库的信息
例如,这通过 TLS 运行 bind 测试:
# ldclt -h host -p port -e bindeach,bindonly -Z certPath -e cltcertname=certName,keydbfile=filename,keydbpin=password
A.1.5.10. abandon Operations
此时会打开 -e abandon 参数,然后取消服务器上的操作。这可以由自身运行,也可以使用其他类型的操作(如 -e add 或 -e esearch)。
# ldclt -e abandon -h localhost -p 389 -D "cn=Directory Manager" -w secret -v -q -b "ou=people,dc=example,dc=com"
A.2. rsearch(搜索 Stress Tests Test)
rsearch 程序根据命令中设置的参数,在循环中快速和重复执行同一操作的多个线程。
在最简单的情况下,rsearch 模拟多个客户端连接进行搜索操作。通过附加选项,可以扩展 rsearch 来执行比较、修改、删除和 bind/unbind 操作以及搜索操作。
该工具还跟踪操作的性能并输出了平均结果的运行流。
rsearch 测试的结果自然地取决于目录服务器及其主机机器的性能。首先通过性能调优(如 Red Hat Directory Server Performance Tuning Guide中)优化目录服务器和机器的配置。
rsearch 工具程序位于 /usr/bin 目录中。
A.2.1. 语法
rsearch-Dbind_dn-wpassword-ssuffix-ffilter-hhost-pport-Sscope-b-u-L-N-v-y-q-l-l-m-m-d-c-ifile_for_filters -bDN_or_uid_file-Aattributes-afile_of_attributes-n-osearch_time_limits-jsample_interval-tthread-Ttimelimit-V-Cnumber_of_samples-Rreconnect_interval -x-W密码-Utext-\? 或 -H
A.2.2. 选项
表 A.5. rsearch 选项
| 选项 | 描述 |
|---|---|
| -a 属性 |
包含要用于搜索请求的属性列表。这不能与 |
| -a file_of_attributes | 指向包含要与搜索请求搭配使用的属性列表的文件。每个属性都必须位于文件的单独行中。例如: [literal,subs="+quotes,verbatim"] …. attr1 attr2 … ….
这不能与 |
| -B DN_or_uid_file | 包含用于绑定到服务器的 DN 或 UID 的列表。对于 DN,每个条目具有两个行,一个用于 DN,一个用于 UID(用作默认密码): [literal,subs="+quotes,verbatim"] ….DN: dn UID: uid … …. UID 文件一个简单的 UID 每行一个 UID: [literal,subs="+quotes,verbatim"] ….UID: uid1 UID: uid2 … …. |
| -b | 告知实用程序在每个操作前绑定。 |
| -c sample_numbers | 给出要获取的示例数量,然后退出实用程序。 |
| -c |
指定比较操作。如果使用此操作,则必须使用 |
| -D bind_dn |
赋予 |
| -d |
指定删除操作。如果使用此操作,则必须使用 |
| -f filter | 包含要用于搜索操作的搜索过滤器。 |
| -H 主机 | 指定要连接的 LDAP 服务器的主机名。默认(如果未指定)是 localhost。 |
| -I 文件 |
指的是包含要附加到使用 [literal,subs="+quotes,verbatim"] …. joe jane ….
可以与此文件一起使用的过滤器选项为: |
| -j sample_interval | 指定在收集样本前要等待的时间间隔(以秒为单位)。 |
| -L | 将连接设置为linger。当实用程序关闭时,连接会被丢弃。 |
| -l | 记录实用程序输出。 |
| -M |
为索引属性( |
| -m |
为 unindexed 属性指定修改操作( |
| -N | 指定 工具将只绑定到服务器,而不运行任何其他操作。 |
| -n | 保留以供将来使用。 |
| -o search_time_limit | 设定用于搜索操作的时间限值(以秒为单位)。 |
| -p 端口 | 提供用于连接 Directory 服务器实例的端口。如果没有使用它,则默认为 389。 |
| -q | 以静默方式运行该工具。 |
| -R reconnect_interval | 告诉 实用程序将连接丢弃到服务器,并在指定搜索数后重新连接(connect_interval)。 |
| -S 范围 | 设置搜索范围。允许的值分别为 0、1 和 2,它们分别对应于一级、基础和子树。默认值为 2。 |
| -s suffix | 为 Directory Server 中的后缀提供运行所有测试的后缀。 |
| -T timelimit |
为 |
| -T 线程 | 为实用程序设置要打开的线程数量。默认值为 1。 |
| -U |
传递过滤器以用于绑定文件。如果没有使用 |
| -u | 告知 实用程序不 从服务器取消绑定,但只需关闭连接即可。 |
| -V |
显示 |
| -v | 以详细模式运行该命令。 |
| -W |
提供用于在 |
| -x |
告知 实用程序将 |
| -y | 运行测试之间没有延迟的命令。 |
| -\? 或 -H | 打印工具的使用。 |
A.2.3. 使用场景
rsearch 实用程序可用于衡量任何 LDAP 操作的性能。以下示例演示了如何使用 rsearch 来获取各种常见测试场景。
虽然 rsearch 需要搜索参数(如 filter 和 scope)参数,但这些参数也可以留空,以便为其他类型的 LDAP 操作执行测试。例如:
# rsearch -D "cn=Directory Manager" -w secret -s "" -f ""A.2.3.1. 允许的配置文件
大部分时候,rsearch 工具会使用命令行中传递的信息来连接服务器。rsearch 工具可以接受两个不同的配置文件来代替传递参数:
DN 或 UID 文件,其中包含 UID 或 DN 和 UID 的列表。DN/UID 文件允许
rsearch使用多个随机选择的绑定身份进行连接。任何操作测试都可以与 bind/unbind 测试合并。警告不应将随机绑定身份用于删除测试,因为该命令可能会尝试与已经从 目录删除的 DN/UID 文件中的身份绑定。
DN/UID 文件与
-B选项配合使用,以传递文件,然后是-c、-d、-m或-x。名称 文件,其中包含用作给定 LDAP 过滤器的一部分的名称列表。文件中的过滤器可能比
-f选项中指定的过滤器更复杂。过滤器文件可用于运行多个不同的搜索测试。例如,只有几个过滤器表示 工具将开始从缓存中检索结果,而使用无效过滤器则可测试搜索失败。它还可以测试过滤性能,如完全匹配、复杂过滤器或属性搜索。使用过滤器文件时,必须使用占位符值传递
-f选项。占位符只能用于仅替换属性值,如cn=%s,它告知命令从过滤器文件中拉取属性值变量。占位符也可以替换过滤器本身(-f "%s"),以便从文件中提供随机选择的过滤器。i选项传递用于搜索过滤器的名称文件。文件中的每一行都附加给通过-f选项给出的任何过滤器。这两个选项可以通过几种不同的方式一起使用:-
最简单的场景会将
-f选项留空,因此它只是一个占位符。在这种情况下,过滤器会直接从使用-i选项传递的文件中获取。 -
或者,文件中条目可能只是一个名称列表,可为
-f选项指定部分过滤器。例如,名称文件可以包含 UID 列表(jsmith、bjensen、toorrow)和-f过滤器可以是"uid="。rsearch会自动附加名称以完成搜索过滤器。
-
最简单的场景会将
A.2.3.2. rsearch 的结果
rsearch 定期返回由脚本运行操作的当前运行平均值(默认为十秒)。
结果首先显示 在该间隔内执行的操作 数量。圆括号中的两个比率显示每秒操作总数,然后以毫秒为单位的时间,以毫秒为单位(1 秒以操作总数除以 1000 的倍数)。
date timestamp - Rate: num_ops/thr (ops/sec = num ms/op), total: ops (number thr)
例如:
# rsearch -D "cn=Directory Manager" -w password -s "ou=people,dc=example,dc=com" -f "objectclass=%s" -i /home/filter.txt rsearch: 1 threads launched. 20100209 20:20:40 - Rate: 65961.00/thr (6596.10/sec = 0.1516ms/op), total: 65961 (1 thr)
A.2.3.3. 搜索测试
rsearch 的核心用法是搜索测试。只能使用带有 rsearch 的必要参数(不带任何参数)来测量搜索性能:
# rsearch -D bind_dn -w password -s suffix -f filter
可以使用选项来测量特定性能或使用特定环境。
搜索过滤器(在命令行中或通过带有 -i 文件的文件)可以测试不同类型的索引属性:
- 没有通配符的过滤器显示完全匹配的性能
- 带有通配符的过滤器为子字符串索引提供性能
- 带有 operators 的过滤器(=, >=, IFL, ~=)显示 approximate 索引的性能
例 A.18. 基本搜索
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "sn=smith"一个基本的搜索(覆盖缓存,因为只有一个过滤器,多个搜索操作)使用以下参数:
-
-d,它为绑定身份提供 -
-w,它为绑定密码提供 -
-S,提供搜索目标(范围) -
-f,提供搜索过滤器
例 A.19. 搜索特定属性
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "sn=%s" -i /home/filter.txt -A givenname,mail,uid
除了所需参数外,该命令使用 -A 选项搜索条目中的三个特定属性。
如果您使用 - f 过滤器选项中的 选项。
%s 变量,则需要 -i filter _file
A.2.3.4. 身份验证测试
rsearch 实用程序在(必需) -D 和 -w 参数中使用用户 DN 和密码绑定到服务器。要测试身份验证性能,这些凭据可以留空,可以传递随机选择的凭证列表,或者设置为特殊用户(如 Directory Manager)。
例 A.20. 匿名绑定
# rsearch -D "" -w "" -s "dc=example,dc=com" -f "sn=%s" -i /home/filter.txt
D 和 -w 参数具有 emtpy 值,因此工具没有任何用于连接到服务器的绑定凭据。这会启动匿名绑定。
例 A.21. 随机用户身份验证
# rsearch -D "" -w "" -s "dc=example,dc=com" -f "sn=%s" -i /home/filter.txt -B /home/uids.txt -x
可以指示 rsearch 工具从给定 UID 或 DN 列表中拉取随机绑定身份,而不是在 -D 和 -w 参数中使用凭证。这需要两个选项:
-b 指向一个带有绑定身份列表的文件。对于 UID 文件,这只是 UID 列表,每行一个:UID: uid1 UID: uid2 ...
对于 DN,每个条目具有两个行,一个用于 DN,一个用于 UID(用作默认密码):
DN: dn UID: uid ...
-
-x会强制工具使用-B参数中的 文件。
对于 DN,该工具使用 DN 行的 DN 行,并将 UID 行用作密码。-U 选项告知工具使用 UID 以外的属性作为条目命名属性,-W 传递不同的密码(默认情况下为 UID)。
# rsearch -D "" -w "" -s "dc=example,dc=com" -f "sn=%s" -i /home/filter.txt -B /home/uids.txt -x -U "(cn=*)" -W newpassword
A.2.3.5. 修改操作测试
rsearch 可用于衡量两种属性中修改操作的性能:索引和未索引。修改操作通过使用 -M 或 -m 选项信号。使用 -B 选项传递要对其运行修改操作的条目列表。
运行修改操作需要一个 DN 文件,其格式为:
DN: dn1 UID: uid1 DN: dn2 UID: uid2 ...
使用 -b 选项测量各组 bind-modify 操作的速度。如果没有使用 -b 选项,则只有一个绑定操作,test 会显示运行的所有修改操作的平均修改操作。
例 A.22. 在 Unindexed Attributes 上修改操作
# rsearch -D "cn=test user,cn=config" -w secret -s "" -f "" -m -B /home/dns.txt -v
使用 -m 选项针对 未索引 属性修改操作。命令对从 DN 文件选择的每个条目都执行修改操作。
测试将成功运行,即使 description 属性被索引,因此要确保在运行测试前没有索引属性。
例 A.23. 修改索引属性上的操作
# rsearch -D "cn=test user,cn=config" -w secret -s "" -f "" -M -B /home/dns.txt -v
使用 -M 选项针对 索引 属性修改操作。该命令对从 DN 文件选择的每个条目执行修改操作。
即使未索引了 phone Number 属性,测试也将成功运行,因此要确保在运行测试之前对属性进行索引。
A.2.3.6. 比较操作测试
可以使用 rsearch 选项通过 -c 选项测试 ldapcompare 操作。该工具根据 -B 选项传递的 UID 列表,对 UID 属性运行与 UID 属性进行比较。
运行比较操作需要一个 DN 文件,其格式如下:
DN: dn1 UID: uid1 DN: dn2 UID: uid2 ...
例 A.24. 比较操作
# rsearch -D "cn=test user,cn=config" -w secret -s "" -f "" -c -B /home/dns.txt -v
-c 参数告知命令执行比较操作。这是必须的。另有两个参数来测量比较操作的性能:
-
-b(没有-x),它提供了服务器可以比较操作的条目列表。 -
-v,它以详细模式运行rsearch,并打印每个绑定尝试的结果并比较操作。
A.2.3.7. 删除操作测试
删除性能测试只需要一个选项: -d,该命令告诉命令运行 delete 操作。与其他操作一样,可以使用 -B 参数传递一个文件,其中包含要随机选择和删除的条目列表。
不要将 -B -x 选项对用于删除操作,因为该命令可能会尝试使用已删除的身份绑定到服务器。
例 A.25. 删除操作
# rsearch -D "cn=test user,cn=config" -w secret -s "" -f "" -d -B /home/dns.txt
如果使用 -B 参数提供可删除的条目列表,则它必须是 DN 文件,其格式为:
DN: dn1 UID: uid1 DN: dn2 UID: uid2 ...
A.2.3.8. 更改时间限制
与许多性能测试一样,rsearch 有几个基于时间的指标:
- 运行操作的周期用于收集一轮统计数据(默认为十秒)
- 工具的运行时间(默认为无限)
- 工具保持与服务器的连接时长(默认为永久)
可以重置所有三个时间限制。
例 A.26. 设置 Operations Interval
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "cn=%s" -i /home/filter.txt -b -j 20
rsearch 工具会打印以立即间隔内执行的操作的结果。默认间隔为十(10)秒,因此输出中的每一行代表在前十秒中运行的操作统计信息。该间隔可使用 -j 选项更改。
这会将测试间隔重置为 20 秒。
例 A.27. 设置 Test Time Limit
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "cn=%s" -i /home/filter.txt -b -T 600
...
20100210 18:36:21 - Rate: 68561.00/thr (6856.10/sec = 0.1459ms/op), total: 68561 (1 thr)
20100210 18:36:31 - Rate: 78016.00/thr (7801.60/sec = 0.1282ms/op), total: 78016 (1 thr)
Final Average rate: 7328.85/sec = 0.1364msec/op, total: 78016
通常,命令会无限期地运行,直到命令中断。-T 选项设定运行测试的时间限制(以秒为单位),然后干净退出。当工具退出时,它会输出所有测试运行间隔的平均摘要。
例 A.28. 设置 Reconnect Interval
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "cn=%s" -i /home/filter.txt -b -R 30
该工具通常打开一个连接到服务器的连接。重新连接选项 -R 会为工具设置时间以重新连接到 Directory 服务器。
A.2.3.9. 使用任何操作绑定测试
可使用任何操作(搜索、修改、删除、比较)检查绑定和未绑定率,由 rsearch 测量。这需要一个选项 -b,它告知工具使用每个操作绑定到服务器。
另有两个属性可用于绑定测试: -L (将工具设置为linger)和 -N (这样会告知工具来绑定和取消绑定而无需执行任何其他操作)。
例 A.29. 使用每个操作绑定和 Unbinding
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "cn=%s" -i /home/filter.txt -b -L
两个选项用来为 rsearch 执行的每个操作启动绑定和未绑定操作:
-
-b(必需) -
-L(推荐)
如果您使用 - f 过滤器选项中的 选项。
%s 变量,则需要 -i filter _file
例 A.30. 测试匿名绑定操作
# rsearch -D "" -w "" -s "" -f "" -N -b -L
要测试匿名绑定率,只需使用 -b 选项,并将 -D 和 -w 选项的值留空。N 选项可确保命令只尝试绑定和未绑定操作。
例 A.31. 测试 Random Bind Operations
# rsearch -D "" -w "" -s "" -f "" -B /home/uids.txt -x -N -b -L
与匿名绑定操作一样,所需参数可以留空。N 选项可确保命令只尝试绑定和取消绑定操作,而 -B 和 -x 选项则提供从中选择的随机绑定凭证列表。
例 A.32. 使用带有 Bind Operations 的 Filter 进行测试
# rsearch -D "" -w "" -s "" -f "" -B /home/uids.txt -x -U "(uid=*son)" -N -b -L
通常,绑定文件(UID 或 DN)中包含的任何身份都可用于绑定测试。默认过滤器是 "(uid=%s)",每个身份条目都具有。要只使用文件中身份的子集,可以使用 -U 选项传递替代的过滤器。
A.2.3.10. 执行多线程测试
例 A.33. 多个线程
# rsearch -D "cn=test user,cn=config" -w secret -s "dc=example,dc=com" -f "sn=%s" -i /home/filter.txt -t 5
默认情况下,rsearch 会打开操作的一个线程。t 选项允许打开多个线程。
附录 B. 复制协议状态
在每个复制协议的只读 nsds5replicaLastUpdateStatus 属性中,Directory 服务器会显示协议的最新状态。以下是可能的状态列表:
- 禁用的协议
如果禁用复制协议,则
nsds5replicaLastUpdateStatus参数不再更新,并可显示以下状态:服务器启动时已经禁用复制协议:
Error (0) No replication sessions started since server startup
在运行时禁用协议。
Error (0) Replica acquired successfully: agreement disabled
- 常规协议状态
{blank}复制协议已停止:
Error (0) Replica acquired successfully: Protocol stopped
启动一个增量更新:
Error (0) Replica acquired successfully: Incremental update started
增量更新成功:
Error (0) Replica acquired successfully: Incremental update succeeded
复制成功,但消费者最终会得到另一家供应商收购的会话:
Error (0) Replica acquired successfully: Incremental update succeeded and yielded
ACQUIRING_REPLICA状态中的错误消息在复制会话的第一部分中,供应商获取消费者,建立连接,绑定到消费者,验证消费者尚未更新,并执行额外的检查。此状态可以显示以下错误代码:
与消费者建立连接过程中失败:
Error (result_code) Problem connecting to replica - LDAP error: ldap_error_message
Error (result_code) Problem connecting to replica (SSL not enabled) - LDAP error: ldap_error_message
结果代码和错误消息表示无法建立连接的原因。
在消费者中发生内部错误:
Error (8) :Failed to acquire replica: Internal error occurred on the remote replica
这个错误是由消费者中更改序列号(CSN)生成器相关的失败。更多详情请查看消费者日志文件。
用于向消费者进行身份验证的身份不是有效的复制绑定名称(DN)或 bind DN 组的成员:
Error (3) :Unable to acquire replica: permission denied. The bind dn does not have permission to supply replication updates to the replica. Will retry later.
在消费者上没有为后缀定义有效的副本:
Error (6) :Unable to acquire replica: there is no replicated area on the consumer server. Replication is aborting.
对发送到消费者的复制控制的解码错误:
Error (4) :Unable to acquire replica: the consumer was unable to decode the startReplicationRequest extended operation sent by the supplier. Replication is aborting.
副本目前由不同的供应商更新:
Error (1) :Unable to acquire replica: the replica is currently being updated by another supplier.
供应商和消费者使用相同的副本 ID:
Error (11) :Unable to aquire replica: the replica has the same Replica ID as this one. Replication is aborting.
供应商或消费者被错误地配置。在复制配置中设置唯一副本 ID,以修复问题。
供应商被设置为
backoff模式:Error (14) :Unable to acquire replica: the replica instructed us to go into backoff mode. Will retry later.
只有在实施自定义复制 hook 时,才会显示此状态。
解码从消费者接收的复制控制的错误:
Error (extop_result) :Unable to acquire replica
Error (4) Unable to parse the response to the startReplication extended operation. Replication is aborting.
Error (16) Unable to receive the response for a startReplication extended operation to consumer. Will retry later.
Error (0) Unable to obtain current CSN. " "Replication is aborting.
SENDING_UPDATES状态中的错误消息在成功获取副本后,会话开始发送更新。在这个状态中,以下信息可在相应的步骤中显示:
检查副本更新向量(RUV):
副本没有配置更新向量或复制,用户没有启用:
Error (19) : Replica is not initialized
消费者没有使用与供应商相同的数据库生成初始化:
Error (19) : Replica has different database generation ID, remote replica may need to be initialized
要解决这个问题,请初始化供应商或消费者。
更新更改状态号(CSN)生成器:
本地和移除服务器之间的时间差异太大:
Error (2) : fatal error - too much time skew between replicas
目录服务器无法更新 CSN 生成器:
Error (2) : fatal internal error updating the CSN generator
初始更改日志位置:
如果无法处理 changelog,则的一般错误:
Error (15) : Unexpected format encountered in changelog database
这个错误已被记录,例如,如果 changelog 文件的路径不存在。
解析 changelog 中的条目失败:
Error (15) : Unexpected format encountered in changelog database
与 changelog 的数据库层相关的错误:
Error (15) : Changelog database was in an incorrect state
Error (15) : Incorrect dbversion found in changelog database
Error (15) : Changelog database error was encountered
详情请查看
/var/log/dirsrv/slapd-instance_name/errors日志文件。目录服务器无法分配内存:
Error (15) : changelog memory allocation error occurred
这个错误已被记录,例如,如果更改日志缓冲或更改日志器无法分配内存。
供应商先于消费者,想要发送更新,但无法在更改日志中找到起点:
Error (15) : Data required to update replica has been purged from the changelog. " "The replica must be reinitialized.
Error (15) : Changelog data is missing
目录服务器将这些错误视为致命,但如果消费者从不同的供应商收到更新,可以解决它们。在这种情况下,它将被视为临时的。
发送下一个更新:
创建结果线程失败:
Error (result_code) : Failed to create result thread结果代码表示不创建线程的原因。
如果无法处理 changelog,则的一般错误:
Error (15) : Invalid parameter passed to cl5GetNextOperationToReplay
这个错误已被记录,例如,如果 changelog 文件的路径不存在。
读取更改日志时会出现数据库错误:
Error (15) : Database error occurred while getting the next operation to replay
此事件被记录,例如,如果 Directory Server 访问锁定的数据库页面。
目录服务器运行完创建 :
Error (15) : Memory allocation error occurred (cl5GetNextOperationToReplay)
子条目更新:
创建
副本会保留实时条目失败:Error (-1) : Agreement is corrupted: missing suffix
SEND_UPDATES状态的一般状态:处理 changelog 时在本地服务器上发生非严重错误:
Error (18) : Incremental update transient error. Backing off, will retry update later.
详情请查看
/var/log/dirsrv/slapd-instance_name/errors文件。复制连接在连接建立后断开连接:
Error (16) : Incremental update connection error. Backing off, will retry update later.
在现有复制连接中会出现一个超时:
Error (17) : Incremental update timeout error. Backing off, will retry update later.
复制会自动尝试恢复。
术语表
- 访问控制指令(ACI)
- 授予或拒绝对目录条目的权限的指令。
- 访问控制列表(ACL)
- 控制对目录的访问的机制。
- 访问权限
- 在访问控制上下文中,指定授权或拒绝的访问级别。访问权限与可以在目录上执行的操作类型相关。可以授予或拒绝以下权限:读取、写入、添加、删除、搜索、比较、自我写入、代理及全部。
- 取消激活帐户
- 禁用用户帐户、帐户组或整个域,以便自动拒绝所有身份验证尝试。
- 所有 ID Threshold
- 大小限制,全局应用于由服务器管理的每个索引密钥。当单个 ID 列表的大小达到这个限制时,服务器会将该 ID 列表替换为 All ID 令牌。
- 所有 ID 令牌
- 使服务器假定所有目录条目与索引密钥匹配的机制。实际上,All ID 令牌会导致服务器的行为就像没有可用于搜索请求的索引一样。
- 匿名访问
- 在被授权时,允许任何人在不提供凭证的情况下访问目录信息,无论绑定条件是什么。
- 大约索引
- 允许高效的应用程序或"类似于"搜索.
- attribute
- 包含有关条目的描述性信息。属性具有标签和值。每个属性还遵循一种标准语法,适用于可以存储为属性值的信息类型。
- 属性列表
- 给定条目类型或对象类所需的和可选属性列表。
- 身份验证目录服务器
- 在传递身份验证(PTA)中,身份验证目录服务器是包含所请求客户端的身份验证凭据的 Directory 服务器。启用 PTA 的主机会将它从客户端接收的 PTA 请求发送到主机。
- 身份验证证书
- 数字文件无法转让且不能被第三方发布。身份验证证书从服务器发送到客户端或客户端到服务器,以验证并验证其他方。
- 基本 DN
- 基本可分辨名称。搜索操作在基础 DN、条目的 DN 以及其目录树下的所有条目上执行。
- 基本可分辨名称(绑定 DN)
- 在执行操作时用于对目录服务器进行身份验证的名称区分。
- 绑定可分辨名称(绑定规则)
- 在访问控制环境中,绑定规则指定特定用户或客户端必须满足的凭据和条件,才能获得目录信息的访问权限。
- 分支条目
- 代表目录中子树的顶部条目。
- browser
- Mozilla Firefox 等软件(如 Mozilla Firefox)用于请求并查看 World Wide Web 内容存储为 HTML 文件。浏览器使用 HTTP 协议与主机服务器通信。
- 浏览索引
- 加快目录服务器控制台中条目的显示速度。可在目录树中的任何分支点上创建浏览索引,以提高显示性能。
- cascading 复制
- 在级联复制方案中,一个服务器通常称为 hub 供应商,它充当特定副本的消费者和供应商。它有一个只读副本,并且维护一个 changelog。它会接收来自包含数据的厂商副本的厂商服务器的更新,并为消费者提供这些更新。
- certificate
- 将网络用户的公钥与目录中的 DN 关联的数据集合。证书以用户对象属性的形式存储在 目录中。
- 证书颁发机构
- 销售并发布认证证书的公司或机构。您可以从您信任的认证认证机构购买认证证书。也称为 CA。
- CGI
- 通用网关接口.外部程序与 HTTP 服务器通信的接口。写入使用 CGI 程序或 CGI 脚本的程序被称为 CGI 程序或 CGI 脚本,并可使用许多常见编程语言编写。CGI 程序处理表单或执行由服务器本身未完成的输出解析。
- 链
- 将请求转发到其他服务器的方法。请求的结果将收集、编译并返回到客户端。
changelog:.Changelog 是一个记录,用于描述副本中发生的修改。然后,当多层次复制时,供应商服务器会在副本服务器或其他供应商上回放这些修改。
- 字符类型
- 将字母字符与数字或其他字符区分,以及大写字母的映射。
- ciphertext
- 任何人无法读取的加密信息而无需正确的密钥解密信息。
- 类定义
- 指定创建特定对象实例所需的信息,并决定对象与 目录中其他对象相关的工作方式。
- 服务目录(serviceclassic CoS)
- 典型的 CoS 通过其 DN 和其中一个目标条目的属性来识别模板条目。
- clientcode 页面
- 操作系统用来将键盘键与字符字体屏幕有关的国际化上下文中的区域使用的内部表。
- collation order
- 提供指定语言的字符如何排序的语言和文化信息。此信息可能包括字母顺序在字母顺序,或者如何比较字母和不带句点的字符。
- 消费者
- 包含来自供应商服务器复制目录树或子树的服务器。
- 消费者服务器
- 在复制环境中,包含从不同服务器复制的副本的服务器称为该副本的使用者。
- CoS
- 在应用程序无法识别的条目间共享属性的方法。
- COS 定义条目
- 标识您使用的 CoS 类型。它作为 LDAP 子条目存储在它所影响的分支下的 LDAP 子条目中。
- COS 模板条目
- 包含 shared 属性值的列表。
- Daemon
- 对特定系统任务的 Unix 机器上有一个后台进程。守护进程进程不需要人为干预才能继续正常工作。
- DAP
- 目录访问协议.提供目录的客户端访问的 ISO X.500 标准协议。
- 数据库链接
- 链实施。数据库链接的行为与数据库类似,但没有永久存储。相反,它会指向远程存储的数据。
- 默认索引
- 每个数据库实例创建的一组默认索引。可以修改默认索引,虽然在删除前应小心,因为某些插件可能依赖于它们。
- 目录树
- 目录中存储信息的逻辑表示。它镜像大多数文件系统使用的树模型,树根点出现在层次结构的顶部。也称为 DIT。
- Directory Manager
- 特权数据库管理员,相当于 UNIX 中的 root 用户。访问控制不适用于 Directory Manager。
- 目录服务
- 数据库应用程序,用来管理一个机构内的描述性、基于属性的信息。
- 可区分名称
- 条目的名称和 LDAP 目录中位置的字符串表示。
- DNS
-
域名系统.网络中机器使用的系统将标准 IP 地址(如 198.93.93.10)与主机名(如
www.example.com)关联。机器通常从 DNS 服务器获取主机名的 IP 地址,或者它们在系统中维护的表中查找。 - DNS 别名
-
DNS 别名是一个主机名,DNS 服务器知道指向不同的 host>_< 特定 DNS CNAME 记录。机器始终有一个实际名称,但可以有一个或多个别名。例如,一个别名,如
www.yourdomain 。域可能指向一个称为"真实"的机器。您的域当前存在的域。 - entry
- LDIF 文件中的一组包含对象信息的行。
- 条目分发
- 在多个服务器间分布目录条目的方法,可扩展以支持大量条目。
- 条目 ID 列表
- 目录使用的每个索引都由索引键表和匹配的条目 ID 列表组成。条目 ID 列表供目录用于构建可能与客户端应用的搜索请求匹配的候选条目列表。
- 平等索引
- 允许您高效搜索包含特定属性值的条目。
- 文件扩展
-
在通常定义文件类型(如 .GIF 和 .HTML)的周期或点后的文件名部分。在文件名
index.html文件中扩展名为html。 - 文件类型
- 给定文件的格式。例如,图形文件通常以 GIF 格式保存,而文本文件通常保存为 ASCII 文本格式。文件类型通常由文件扩展名识别(例如 .GIF 或 .HTML)。
- filter
- 应用到某一目录查询的约束会限制返回的信息。
filtered role:您可以根据每个条目包含的属性,为角色分配条目。您可以通过指定 LDAP 过滤器来完成此操作。与过滤器匹配的条目表示拥有该角色。
- 常规访问
- 授予时,表示所有经过身份验证的用户都可以访问目录信息。
- GSS-API
- 通用安全服务.基于 UNIX 的系统的原生访问协议是访问和验证 Kerberos 服务的原生方法,也支持会话加密。
- 主机名
-
格式为 machine.domain.dom 的机器的名称,它被转换为 IP 地址。例如:
www.example.com是子域示例和com域中的机器www。 - HTML
- 超文本标记语言.在 World Wide Web 中用于文档的格式化语言。HTML 文件是纯文本文件,它通过格式化代码告知浏览器(如 Mozilla Firefox 如何显示文本、位置图形和表单项),并显示到其他页面的链接。
- HTTP
- 超文本传输协议.在 HTTP 服务器和客户端之间交换信息的方法。
- HTTPD
- HTTP 守护进程或服务的缩写,这是使用 HTTP 协议提供信息的程序。守护进程或服务通常称为 httpd。
- HTTPS
- HTTP 的安全版本,使用安全套接字层 SSL 实施。
- hub
- 在复制环境中,包含从不同服务器复制的副本的服务器,并依次将其复制到第三个服务器。
- IID list 扫描限制
- 全局应用于任何索引搜索操作的大小限制。当单个 ID 列表的大小达到这个限制时,服务器会将该 ID 列表替换为所有 ID 令牌。
- index key
- 目录使用的每个索引都由索引键表和匹配的条目 ID 列表组成。
- 间接 Cos
- 间接 CoS 使用目标条目属性之一的值来识别模板条目。
- 国际索引
- 加速搜索国际目录中信息。
- IP 地址
- 组数字,用点分隔,用于指定机器在互联网上的实际位置(例如 198.93.93.10)。
- ISO
- 国际标准机构。
- 知识参考
- 指向存储在不同数据库中的目录信息的指针。
- LDAP
- 轻量级目录访问协议.目录服务协议旨在在多个平台间通过 TCP/IP 运行。
- LDAPv3
- LDAP 协议的版本 3,目录服务器基于其模式格式。
- LDAP 客户端
- 用于请求和查看 LDAP 目录服务器中的 LDAP 条目的软件。
- LDAP URL
-
提供使用 DNS 查找目录服务器的方式,然后使用 LDAP 完成查询。LDAP URL 示例为
ldap://ldap.example.com。 - LDBM 数据库
- 高性能、基于磁盘的数据库,由一组大型文件组成,其中包含分配给它的所有数据。目录服务器中的主要数据存储。
- LDIF
- LDAP 数据交换格式.用于以文本格式表示目录服务器条目的格式。
- leaf entry
- 下的一个条目,其中没有其他条目。leaf 条目不能是目录树中的分支点。
- locale
- 标识并发顺序、字符类型、货币格式和时间/日期格式,用于向特定地区、文化和自定义用户展示数据。这包括指定语言数据如何解释、存储或合并的信息。区域还指示应使用哪个代码页面代表给定的语言。
- 受管对象
- SNMP 代理可以访问并发送到 NMS 的标准值。每个受管对象使用官方名称和数字标识符来标识,以点符号表示。
- 受管角色
- 允许创建显式枚举的成员列表。
- 映射树
- 将后缀名称(subtrees)与数据库关联的数据结构。
- 匹配规则
- 提供服务器在搜索操作中比较字符串的指南。在国际搜索中,匹配规则告知服务器使用什么排序顺序和运算符。
- MD5
- RSA Data Security, Inc. 的消息摘要算法,可用于生成具有高概率独有的简短数据摘要,具有数学力的数学很难生成相同的消息摘要。
- MD5 签名
- MD5 算法生成的消息摘要。
- MIB
- 管理信息库.与 SNMP 网络关联的所有数据或任何部分。我们可以将 MIB 看成一个数据库,其中包含所有 SNMP 受管对象的定义。MIB 有一个类似于树形的层次结构,其中顶级包含了有关网络、较低级别的、处理特定单独网络区域的最常规信息。
- MIB 命名空间
- 管理信息基础命名空间。目录数据被命名并引用的方法。也称为目录树。
- monetary 格式
- 指定特定地区使用的 monetary 符号、符号在值之前或之后之后,以及信号单元的表示方式。
- 多supplier 复制
- 一个高级复制场景,其中两个服务器都拥有相同读写副本的副本。每个服务器为每个副本维护一个 changelog。一台服务器上所做的修改会自动复制到其他服务器上。在发生冲突时,会使用时间戳来确定哪一服务器包含最新版本。
- multiplexor
- 包含与远程服务器通信的数据库链接的服务器。
- n + 1 目录问题
- 在不同目录中管理相同信息的多个实例的问题,从而增加硬件和人员成本。
- 名称冲突
- 具有相同可分辨名称的多个条目。
- 嵌套角色
- 允许创建包含其他角色的角色。
- 网络管理应用程序
- 网络管理工作站组件显示 SNMP 受管设备的信息,如哪个设备启动或关闭以及接收多少错误消息。
- NIS
- 网络信息服务.Unix 机器用来收集、合并并共享整个计算机网络中的机器、用户、文件系统和网络参数的特定信息。
- NMS
- 安装了一个或多个网络管理应用程序的强大工作站。
- ns-slapd
- Red Hat LDAP Directory Server 守护进程或服务负责 Directory 服务器的所有操作。
- 对象类
- 通过定义条目中包含的属性,定义目录中的条目类型。
- 对象标识符
- 字符串,通常是十进制数字,它在面向对象的系统中唯一标识 schema 元素,如对象类或属性。对象标识符由 ANSI、IETF 或类似的组织分配。
- 操作属性
- 包含目录内部用来跟踪修改和子树属性的信息。除非明确请求,否则操作属性不会返回对搜索的响应。
- 父访问权限
- 授予时,如果绑定 DN 是目标条目的父目录,则允许用户在目录树下访问条目。
- pass-through 子树
- 在传递身份验证中,PTA 目录服务器将从其 DN 包含的所有客户端传递到身份验证的目录服务器。
- 密码文件
-
Unix 机器上的一个文件,用于存储 Unix 用户登录名称、密码和用户 ID 号。由于保存的位置,它也被称为
/etc/passwd。 - 密码策略
- 组规则,用于控制在给定目录中使用密码的方式。
- 权限
- 在访问控制上下文中,授予或拒绝访问目录信息的权限状态以及授予或被拒绝的访问级别。
- PDU
- 编码消息,形成 SNMP 设备之间数据交换的基础。
- pointer CoS
- 指针 CoS 仅使用模板 DN 识别模板条目。
- 存在索引
- 允许搜索包含特定索引属性的条目。
- protocol
- 组规则,用于描述网络交换信息中的设备方式。
- 协议数据单元代理身份验证
- 特殊的身份验证形式,请求访问该目录的用户没有绑定到自己的 DN,而是与代理 DN 绑定。
- 代理 DN
- 用于代理授权。代理 DN 是条目的 DN,它有权访问客户端应用程序试图执行操作的目标的权限。
- PTA
- 某个目录服务器使用另一种机制来检查绑定凭证。
- PTA 目录服务器
- 在传递身份验证(PTA)中,PTA 目录服务器是发送(通过)将请求绑定到身份验证目录服务器的服务器。
- PTA LDAP URL
- 在传递身份验证中,定义身份验证目录服务器、传递子树和可选参数的 URL。
- RAM
- 随机访问内存.计算机中的物理半导体内存。当计算机关闭时,保存在 RAM 中的信息会丢失。
- rc.local
-
Unix 机器上的文件,用于描述机器启动时运行的程序。因为
/etc/rc.local的位置,它也被称为 /etc/rc.local。 - RDN
- 实际条目本身的名称,在条目的ancestors 附加至字符串之前,以便形成完全可分辨的名称。
- 参考机密完整性
- 确保相关条目之间的关系在 目录中维护。
- 只读副本
- 引用对读写副本的所有更新操作的副本。服务器可以容纳任意数量的只读副本。
- 读写副本
- 包含目录信息的可写入副本,并可更新。服务器可以保存任意数量的读写副本。
- replica
- 参与复制的数据库。
- 复制
- 将目录树或子树从供应商服务器复制到复制服务器的操作.
- 复制协议
- 配置参数集合,它们存储在供应商服务器上,并标识要复制的数据库、推送数据的副本服务器、复制期间可以发生的时间、供应商用来绑定到消费者时使用的 DN 和凭证,以及连接保护方式。
- RFC
- 请求评论.提交到互联网社区的流程或标准文档。人们可以在技术被接受标准前发送您的意见。
- role
- 条目分组机制。每个角色都有 成员,它们是拥有角色的条目。
- 基于角色的属性
- 条目上出现的属性,因为它在关联的 CoS 模板中具有特定的角色。
- root
- Unix 机器上可用的最多特权用户。root 用户对计算机上的所有文件具有完全访问权限。
- Root suffix
- 一个或多个子后缀的父项。目录树可以包含多个根后缀。
- SASL
- 客户端的身份验证框架,因为它们试图绑定到目录。
- 模式
- 定义描述了如何将哪些类型的信息作为条目存储在 目录中。当与架构不匹配的信息存储在 目录中时,试图访问该目录的客户端可能无法显示正确的结果。
- 模式检查
- 确保在 目录中添加或修改的条目符合定义的 schema。架构检查默认为开启,如果用户尝试保存不符合该架构的条目,则用户将收到错误。
- 安全套接字层访问
- 授予时,如果绑定 DN 与目标条目匹配,这表示用户有权访问其自己的条目。
- 服务器守护进程
- 服务器守护进程是一次运行的进程,侦听并接受来自客户端的请求。
- 服务器服务
- Windows 上的进程,一旦运行,则侦听并接受来自客户端的请求。它是 Windows NT 上的 SMB 服务器。
- server Selector
- 允许您使用浏览器选择和配置服务器的接口。
- service
- 负责特定系统任务的 Windows 机器上的后台进程。服务流程不需要人为干预,才能继续正常工作。
- SIE
- 服务器实例条目.在安装过程中分配给目录服务器实例的 ID。
- 单层复制
- 大部分基本复制方案(最多 4 个服务器)都拥有同一读写副本的副本到副本服务器。在单supplier 复制方案中,供应商服务器维护了一个更改日志。
- SIRslapd
- 负责除复制外目录的大部分功能的 LDAP 目录服务器守护进程或服务。
- SNMP
- 通过交换网络活动的数据,用于监控和管理服务器上运行的应用程序进程。
- SNMP master 代理
- 在各种子代理和 NMS 之间交换信息的软件。
- SNMP 子代理
- 收集受管设备信息的软件,并将信息传递给主代理。也称为子代理。
- SSL
- 一个软件库会在两个方(客户端和服务器)之间建立一个安全连接,用于实施 HTTPS(HTTP 的安全版本)。也称为安全套接字层。
- 标准索引
- 默认维护索引。
- 子后缀
- 根后缀下的分支。
- 子字符串索引
- 允许对条目内的子字符串进行高效搜索。子字符串索引的每个条目最少有两个字符。
- suffix
- 目录树顶部的条目名称,其数据存储在其中。同一目录中可以有多个后缀。每个数据库只有一个后缀。
- 超级用户
- Unix 机器上可用的最多特权用户。超级用户对计算机上的所有文件具有完全访问权限。也称为 root。
- 供应商
- 包含复制到复制服务器的目录树或子树的可写副本的服务器。
- 供应商服务器
- 在复制环境中,包含复制到不同服务器的副本的服务器称为该副本的供应商。
- 供应商发起的复制
- 将供应商服务器复制目录数据到任何副本服务器的复制配置。
- 对称加密
- 使用相同密钥进行加密和解密。DES 是对称加密算法的示例。
- 系统索引
- 无法删除或修改,因为这对目录服务器操作至关重要。
- 目标
- 在访问控制环境中,目标标识特定 ACI 应用到的目录信息。
- 目标条目
- CoS 范围内的条目。
- TCP/IP
- 传输控制协议/互联网协议.用于互联网和企业(公司)网络的主要网络协议。
- 时间/日期格式
- 表示特定地区中日期和时间的自定义格式化。
- TLS
- 安全套接字层的新标准;基于公钥的协议。另外,传输层安全性。
- topology
- 目录树的划分方式在物理服务器中,以及如何将这些服务器相互链接。
- uid
- 与 Unix 系统中每个用户关联的唯一数字。
- URL
- 统一资源丢失器.由服务器和客户端用于请求文档的寻址系统。它通常称为一个位置。URL 的格式是 协议://机器 :端口/文档。端口号只在所选服务器上必需,并且通常由服务器分配,从而释放了必须将其放在 URL 中的用户。
- Virtual list view index
- 加快目录服务器控制台中条目的显示速度。可以在目录树中的任何分支点上创建虚拟列表视图索引,以提高显示性能。
- X.500 标准
- 一组 ISO/ITU-T 文档概述了目录服务器实施所使用的推荐信息模型、对象类和属性。
附录 C. 修订历史记录
请注意,修订号与该手册版本相关,而不是与 Red Hat Directory Server 的版本号相关。
11.5-12022 年 5 月 10 日,Maric Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.5 发行版本。
11.4-1Tue Nov 09 2021, Marc Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.4 发行版本。
11.3-12021 年 5 月 11 日,Maric Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.3 发行版本。
11.2-1Tue Nov 03 2020, Marc Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.2 发行版本。
11.1-1Tue Apr 28, Marc Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.1 发行版本。
11.0-1Tue Nov 05 2019, Marc Muehlfeld(mmuehlfeld@redhat.com)
- 本指南的 Red Hat Directory Server 11.0 发行版本。
