第 3 章 核心服务器配置参考
本章为所有核心(服务器相关)属性提供字母顺序参考。第 2.2.1.1 节 “Directory 服务器配置概述” 包含有关 Red Hat Directory Server 配置文件的良好概述。
3.1. 核心服务器配置属性参考
本节介绍与核心服务器功能相关的配置属性。有关更改服务器配置的详情,请参考 第 2.2.1.2 节 “访问和修改服务器配置”。有关作为插件实现的服务器功能列表,请参阅 第 4.1 节 “服务器插件功能参考”。为了帮助实施自定义服务器功能,请联络目录服务器支持。
dse.ldif 文件中的配置信息被组织为常规配置条目 cn=config 下的信息树,如下图所示。
图 3.1. 目录信息树显示配置数据
以下部分介绍了其中的大部分配置树节点。
第 4 章 插件实现的服务器功能参考 涵盖了 cn=plugins 节点。每个属性的描述包含其目录条目的 DN、其默认值、有效值及其用法示例。
本章节中描述的一些条目和属性可能会在以后的发行本中有所变化。
3.1.1. cn=config
常规配置条目存储在 cn=config 条目中。cn=config 条目是一个 nsslapdConfig 对象类的实例,它随后从 extensibleObject 对象类继承。
3.1.1.1. nsslapd-accesslog(Access Log)
此属性指定用于记录每个 LDAP 访问的日志的路径和文件名。默认情况下,日志文件中会记录以下信息:
- 访问数据库的客户端机器的 IP 地址(IPv4 或 IPv6)。
- 执行的操作(如搜索、添加和修改)。
- 访问的结果(例如,返回条目数或错误代码)。
有关关闭访问的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"监控服务器和数据库活动"一章。
要启用的访问日志,此属性必须具有有效的 path 和 参数,并且 nsslapd-accesslog-logging-enabled 配置属性必须切换到 上的。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
表 3.1. DSE.ldif 文件属性
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名。 |
| 默认值 | /var/log/dirsrv/slapd-instance/access |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog: /var/log/dirsrv/slapd-instance/access |
3.1.1.2. nsslapd-accesslog-level(Access Log Level)
此属性控制日志记录到访问日志的内容。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 - 无访问日志 * 4 - 内部访问操作的日志记录 * 256 - 用于连接、操作和结果的日志记录 * 512 - 日志记录以访问一个条目和引用
* 这些值可以一起添加,以提供所需的确切的日志类型;例如, |
| 默认值 | 256 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-level: 256 |
3.1.1.3. nsslapd-accesslog-list(Access Log Files)
此只读属性无法设置,提供访问日志轮转中使用的访问日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-list: accesslog2,accesslog3 |
3.1.1.4. nsslapd-accesslog-logbuffering(Log Buffering)
当设置为 off 时,服务器会将所有访问日志条目直接写入磁盘。缓冲区允许服务器在负载过重的情况下使用访问日志,而不影响性能。但是,在调试时,有时禁用缓冲以便立即查看操作及其结果,而不必等待日志条目清空至文件。禁用日志缓冲会对负载较大服务器的性能有严重影响。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logbuffering: off |
3.1.1.5. nsslapd-accesslog-logexpirationtime(Access Log Expiration Time)
此属性指定在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。该单元由 nsslapd-accesslog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logexpirationtime: 2 |
3.1.1.6. nsslapd-accesslog-logexpirationtimeunit(Access Log Expiration Time unit)
此属性指定 nsslapd-accesslog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logexpirationtimeunit: week |
3.1.1.7. nsslapd-accesslog-logging-enabled(Access Log Enable Logging)
禁用并启用 accesslog 日志,但只能与 nsslapd-accesslog 属性结合使用,用于指定记录每个数据库访问的日志的路径和参数。
要启用的访问日志,此属性必须切换到 上的,并且 nsslapd-accesslog 配置属性必须具有有效的 path 和 参数。在禁用或启用访问日志记录时,该表列出了这两个配置属性的四个可能组合,以及它们的结果。
表 3.2. DSE.ldif 属性
| 属性 | 值 | Enabled 或 Disabled 的日志记录 |
|---|---|---|
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | on filename | Enabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off 空字符串 | Disabled |
| nsslapd-accesslog-logging-enabled nsslapd-accesslog | off filename | Disabled |
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logging-enabled: off |
3.1.1.8. nsslapd-accesslog-logmaxdiskspace(Access Log Maximum Disk Space)
此属性以 MB 为单位指定访问日志允许消耗的最大磁盘空间量。如果超过这个值,会删除最旧的访问日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许访问日志的磁盘空间没有限制。 |
| 默认值 | 500 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logmaxdiskspace: 500 |
3.1.1.9. nsslapd-accesslog-logminfreediskspace(Access Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的访问日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logminfreediskspace: -1 |
3.1.1.10. nsslapd-accesslog-logrotationsync-enabled(Access Log Rotation Sync Enabled)
此属性设置是否与当天的特定时间同步访问日志轮转。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使日志轮转与定时天同步,必须使用 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsyncmin 属性值设置为轮转日志的小时和分钟。
例如,若要每天在午夜中轮转日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-accesslog-logrotationsynchour 和 nsslapd-accesslog-logrotationsync 的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationsync-enabled: |
3.1.1.11. nsslapd-accesslog-logrotationsynchour(Access Log Rotation Sync Hour)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsynchour: 23 |
3.1.1.12. nsslapd-accesslog-logrotationsyncmin(Access Log Rotation Sync Minute)
此属性设置当天轮转访问日志的时间。此属性必须与 nsslapd-accesslog-logrotationsync-enabled 和 nsslapd-accesslog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationsyncmin: 30 |
3.1.1.13. nsslapd-accesslog-logrotationtime(Access Log Rotation Time)
此属性设置访问日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-accesslog-logrotationtimeunit 属性提供。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然不建议指定日志轮转,因为日志已无限期地增长,但有两个方法可以指定这一点。将 nsslapd-accesslog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-accesslog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-accesslog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-accesslog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.16 节 “nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示访问日志文件轮转之间的时间不受限制。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-logrotationtime: 100 |
3.1.1.14. nsslapd-accesslog-logrotationtimeunit(Access Log Rotation Time unit)
此属性设置 nsslapd-accesslog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | day |
| 语法 | DirectoryString |
| 示例 | nsslapd-accesslog-logrotationtimeunit: week |
3.1.1.15. nsslapd-accesslog-maxlogsize(Access Log Maximum Log Size)
此属性以 MB 为单位设置最大访问日志大小。达到这个值时,访问日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-accesslog-maxlogsperdir 属性被设置为 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与访问日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsize: 100 |
3.1.1.16. nsslapd-accesslog-maxlogsperdir(访问日志最大数量日志文件)
此属性设置可在存储访问日志的目录中访问日志的总数。每次对访问日志进行轮转时,都会创建一个新日志文件。当访问日志目录中所含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。出于性能原因,红帽建议 不要将 这个值设置为 1,因为服务器不会轮转日志,并无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-accesslog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-accesslog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.13 节 “nsslapd-accesslog-logrotationtime(Access Log Rotation Time)”。
请注意,根据 nsslapd-accesslog-logminfreediskspace 和 nsslapd-accesslog-maxlogsize 中设置的值,实际日志数量可能小于您在 nsslapd-accesslog-maxlogsperdir 中配置的内容。例如: 如果 nsslapd-accesslog-maxlogsperdir 使用默认值(10 文件),并且您将 nsslapd-accesslog-logfreediskspace 设置为 500 MB,并且 nsslapd-accesslog-maxlogsize 设为 100 MB,Directory 服务器只保留 5 个访问文件。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 10 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-maxlogsperdir: 10 |
3.1.1.17. nsslapd-accesslog-mode(Access Log File Permission)
此属性设定了要创建访问日志文件的访问模式或文件权限。有效的值是 000 到 777( 其镜像编号或绝对 UNIX 文件权限)的任意组合。该值必须是 3 位数字,其数字从 0 到 7 的不同:
-
0- none -
1- 仅执行 -
2- 仅写入 -
3- 写入和执行 -
4- 只读 -
5- 读和执行 -
6- 读和写 -
7- 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-accesslog-mode: 600 |
3.1.1.18. nsslapd-allow-anonymous-access
如果用户试图在没有提供任何绑定 DN 或密码的情况下连接到 Directory 服务器,则这是 匿名绑定。匿名绑定简化了通用搜索和读取操作,例如在不需要用户先向目录进行身份验证的情况下检查电话号码或电子邮件地址的目录。
但是,存在与匿名绑定相关的风险。适当的 ACI 必须就位限制为限制对敏感信息的访问,以及不允许修改和删除等操作。另外,匿名绑定可用于拒绝服务攻击或恶意人员获得对服务器的访问权限。
可以禁用匿名绑定来提高安全性(off)。默认情况下,允许匿名绑定(on)搜索和读取操作。这允许访问 常规目录条目,其中包括用户和组条目以及诸如 root DSE 的配置条目。第三个选项 rootdse 允许匿名搜索和读取访问权限来搜索 root DSE 本身,但限制对所有其他目录条目的访问。
另外,还可使用 nsslapd-anonlimitsdn 属性将资源限值放在匿名绑定中,如 第 3.1.1.22 节 “nsslapd-anonlimitsdn” 所述。
对此值的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | rootdse |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-anonymous-access: |
3.1.1.19. nsslapd-allow-hashed-passwords
这个参数禁用预先哈希的密码检查。默认情况下,目录服务器不允许由 Directory Manager 以外的任何人设置预哈希密码。将这个权限添加到 Password Administrators 组时,您可以将此权限委派给其他用户。然而,在某些情况下,像复制合作伙伴已控制预先哈希的密码检查时,必须在 Directory 服务器上禁用此功能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-hashed-passwords: off |
3.1.1.20. nsslapd-allow-unauthenticated-binds
未经身份验证的绑定是连接到 Directory 服务器的连接,用户提供了一个空密码。使用默认设置时,出于安全原因,Directory 服务器拒绝访问。
红帽建议不要启用未经身份验证的绑定。这个验证方法允许用户在不以任何帐户身份提供密码的情况下绑定,包括 Directory Manager。绑定后,用户可以通过用来绑定的帐户的权限访问所有数据。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-allow-unauthenticated-binds: off |
3.1.1.21. nsslapd-allowed-sasl-mechanisms
对于每个默认,root DSE 列出了 SASL 库支持的所有机制。但是,在某些环境中,只需要某些特定的环境。nsslapd-allowed-sasl-mechanisms 属性可让您只启用某些定义的 SASL 机制。
机制名称必须包含大写字母、数字和下划线。每个机制都可以使用逗号分开,或者有空格。
EXTERNAL 机制实际上没有被任何 SASL 插件使用。它是服务器内部的,主要用于 TLS 客户端身份验证。因此,EXTERNAL 机制无法被限制或控制。无论 nsslapd-allowed-sasl-mechanisms 属性中的内容,它始终出现在支持的机制列表中。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 SASL 机制 |
| 默认值 | none(允许的所有 SASL 机制) |
| 语法 | DirectoryString |
| 示例 | nsslapd-allowed-sasl-mechanisms: GSSAPI, DIGEST-MD5, OTP |
3.1.1.22. nsslapd-anonlimitsdn
可以在经过身份验证的绑定上设置资源限制。资源限制可以针对单个操作(nsslapd-sizeLimit)、一个时间限制(nsslapd-timelimit)和超时期限(nsslapd-idletimeout)进行搜索,以及可以搜索的项总数(nsslapd-idletimeout )。这些资源限制可防止拒绝服务攻击,从而破坏目录服务器并改进整体性能。
在用户条目上设置资源限制。一个匿名绑定,很明显,没有关联用户条目。这意味着资源限制通常不适用于匿名操作。
要为匿名绑定设置资源限值,可以创建模板条目,并具有正确的资源限制。然后,可以添加 nsslapd-anonlimitsdn 配置属性,该属性指向此条目并将资源限制应用到匿名绑定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-anonlimitsdn: cn=anon template,ou=people,dc=example,dc=com |
3.1.1.23. nsslapd-attribute-name-exceptions
此属性允许使用在属性名称中的非标准字符与旧的服务器向后兼容,如 schema 定义的属性中的 "_"。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-attribute-name-exceptions: on |
3.1.1.24. nsslapd-auditlog(Audit Log)
此属性设置用于记录对每个数据库所做的更改的日志的路径和文件名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog: /var/log/dirsrv/slapd-instance/audit |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且 nsslapd-auditlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
表 3.3. nsslapd-auditlog 的可组合组合
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.25. nsslapd-auditlog-display-attrs
使用 nsslapd-auditlog-display-attrs 属性,您可以设置目录服务器在审计日志中显示的属性,以提供有关要修改的条目的有用识别信息。通过在审计日志中添加属性,您可以检查条目中特定属性的当前状态以及条目更新的详情。
您可以通过选择以下选项之一来显示日志中的属性:
- 要显示 Directory 服务器修改的条目的特定属性,请提供属性名称作为值。
- 要显示多个属性,请将以空格分隔的属性名称列表作为值。
- 要显示条目的所有属性,请使用星号 nologin 作为值。
提供目录服务器必须在审计日志中显示的属性列表,或使用星号 nologin 作为值来显示正在修改的条目的所有属性。
例如,您要将 cn 属性添加到审计日志输出中。当您将 nsslapd-auditlog-display-attrs 属性设置为 cn 时,审计日志会显示以下输出:
time: 20221027102743
dn: uid=73747737483,ou=people,dc=example,dc=com
#cn: Frank Lee
result: 0
changetype: modify
replace: description
description: Adds cn attribute to the audit log
-
replace: modifiersname
modifiersname: cn=dm
-
replace: modifytimestamp
modifytimestamp: 20221027142743Z| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的属性名称。如果要显示审计日志中条目的所有属性,请使用星号。 |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-display-attrs: cn ou |
3.1.1.26. nsslapd-auditlog-list
提供审计日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-list: auditlog2,auditlog3 |
3.1.1.27. nsslapd-auditlog-logexpirationtime(Audit Log Expiration Time)
此属性设置在删除日志文件前允许的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logexpirationtime: 1 |
3.1.1.28. nsslapd-auditlog-logexpirationtimeunit(Audit Log Expiration 计时器单元)
此属性设置 nsslapd-auditlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logexpirationtimeunit: day |
3.1.1.29. nsslapd-auditlog-logging-enabled(Audit Log Enable Logging)
打开和关闭审计日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logging-enabled: off |
对于要启用的审计日志记录,此属性必须具有有效的 path 和 参数,并且必须切换到 上的 nsslapd-auditlog-logging-enabled 配置属性。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用审计日志方面的结果。
表 3.4. nsslapd-auditlog 和 nsslapd-auditlog-logging-enabled 的可能组合
| 属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | on filename | Enabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off 空字符串 | Disabled |
| nsslapd-auditlog-logging-enabled nsslapd-auditlog | off filename | Disabled |
3.1.1.30. nsslapd-auditlog-logmaxdiskspace(Audit Log Maximum Disk Space)
此属性设置审计日志允许使用的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的审计日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另请注意,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,各自消耗磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示对审计日志允许的磁盘空间没有限制。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logmaxdiskspace: 10000 |
3.1.1.31. nsslapd-auditlog-logminfreediskspace(Audit Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logminfreediskspace: -1 |
3.1.1.32. nsslapd-auditlog-logrotationsync-enabled(Audit Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsyncmin 属性值将日志记录设置为当天的小时和分钟。
例如,若要每天在午夜中轮转审计日志文件,请通过将其值设置为 on 来启用此属性,然后将 nsslapd-auditlog-logrotationsynchour 和 nsslapd-auditlog-logrotationsync 的值设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationsync-enabled: |
3.1.1.33. nsslapd-auditlog-logrotationsynchour(Audit Log Rotation Sync Hour)
此属性设置轮转审计日志的当日小时。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsyncmin 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsynchour: 23 |
3.1.1.34. nsslapd-auditlog-logrotationsyncmin(Audit Log Rotation Sync Minute)
此属性设置轮转审计日志的当天的时间。此属性必须与 nsslapd-auditlog-logrotationsync-enabled 和 nsslapd-auditlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationsyncmin: 30 |
3.1.1.35. nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)
此属性设置审计日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditlog-logrotationtimeunit 属性提供。如果 nsslapd-auditlog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditlog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.38 节 “nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-logrotationtime: 100 |
3.1.1.36. nsslapd-auditlog-logrotationtimeunit(Audit Log Rotation 时区)
此属性设置 nsslapd-auditlog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditlog-logrotationtimeunit: day |
3.1.1.37. nsslapd-auditlog-maxlogsize(Audit Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志会被轮转。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditlog-maxlogsperdir 到 1,服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与审计日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsize: 50 |
3.1.1.38. nsslapd-auditlog-maxlogsperdir(Audit Log Maximum Number of 日志文件)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次轮转审计日志时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-auditlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.35 节 “nsslapd-auditlog-logrotationtime(Audit Log Rotation Time)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-maxlogsperdir: 10 |
3.1.1.39. nsslapd-auditlog-mode(Audit Log File Permission)
此属性设置要创建审计日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0 到 7 的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditlog-mode: 600 |
3.1.1.40. nsslapd-auditfaillog(Audit Fail Log)
此属性设置用于记录 LDAP 修改的日志的路径和文件名。
如果启用了 nsslapd-auditfaillog-logging-enabled,并且未设置 nsslapd-auditfaillog,审计失败事件将记录到 nsslapd-auditlog 中指定的文件。
如果您将 nsslapd-auditfaillog 参数设置为与 nsslapd-auditlog 相同的路径,则两者都会在同一文件中记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/audit |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog: /var/log/dirsrv/slapd-instance/audit |
要启用审计日志失败日志,此属性必须具有有效的路径,并且 nsslapd-auditfaillog-logging-enabled 属性必须设置为 on
3.1.1.41. nsslapd-auditfaillog-list
提供审计失败日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-list: auditfaillog2,auditfaillog3 |
3.1.1.42. nsslapd-auditfaillog-logexpirationtime(Audit Fail Log Expiration Time)
此属性在删除日志文件前设置日志文件的最长期限。它为单元数量提供。指定 nsslapd-auditfaillog-logexpirationtimeunit 属性中的 day、week 和 month 等。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logexpirationtime: 1 |
3.1.1.43. nsslapd-auditfaillog-logexpirationtimeunit(Audit Fail Log Expiration 计时器单元)
此属性设置 nsslapd-auditfaillog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logexpirationtimeunit: day |
3.1.1.44. nsslapd-auditfaillog-enabled(Audit Fail Log Enable Logging)
打开和关闭失败的 LDAP 修改的日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logging-enabled: off |
3.1.1.45. nsslapd-auditfaillog-logmaxdiskspace(Audit Fail Log Maximum Disk Space)
此属性设定审计日志可以使用的最大磁盘空间量(以 MB 为单位)。如果大小超过限制,会删除最旧的审计日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计失败日志的磁盘空间没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logmaxdiskspace: 10000 |
3.1.1.46. nsslapd-auditfaillog-logminfreediskspace(Audit Fail Log Minimum Free Disk Space)
此属性以 MB 为单位设定允许的可用磁盘空间。当可用磁盘空间低于指定的值时,会删除最旧的审计日志,直到有足够的磁盘空间。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logminfreediskspace: -1 |
3.1.1.47. nsslapd-auditfaillog-logrotationsync-enabled(Audit Fail Log Rotation Sync Enabled)
此属性设置审计日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要使审计日志轮转与定时时间同步,必须使用 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationsyncmin 属性值将设置为一天的小时和分钟。
例如,要每天在午夜中轮转审计失败的日志文件,通过将其值设置为 nsslapd-auditfaillog-logrotationsynchour,并将 nsslapd-auditfaillog-logrotationsynchour 和 nsslapd-auditfaillog-logrotationmin 属性设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationsync-enabled: |
3.1.1.48. nsslapd-auditfaillog-logrotationsynchour(Audit Fail Log Rotation Sync Hour)
此属性设置审计日志的轮转前一天的小时数。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsyncmin 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsynchour: 23 |
3.1.1.49. nsslapd-auditfaillog-logrotationsyncmin(Audit Fail Log Rotation Sync Minute)
此属性设置审计日志的轮转前一分钟。此属性必须与 nsslapd-auditfaillog-logrotationsync-enabled 和 nsslapd-auditfaillog-logrotationsynchour 属性结合使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 |
none(因为 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationsyncmin: 30 |
3.1.1.50. nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)
此属性设置审计失败日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-auditfaillog-logrotationtimeunit 属性提供。如果 nsslapd-auditfaillog-maxlogsperdir 属性被设置为 1,则服务器会忽略此属性。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-auditfaillog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-auditfaillog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-auditfaillog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-auditfaillog-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.53 节 “nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示审计日志失败日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-logrotationtime: 100 |
3.1.1.51. nsslapd-auditfaillog-logrotationtimeunit(Audit Fail Log Rotation Time unit)
此属性设置 nsslapd-auditfaillog-logrotationtime 属性的单元。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-auditfaillog-logrotationtimeunit: day |
3.1.1.52. nsslapd-auditfaillog-maxlogsize(Audit Fail Log Maximum Log Size)
此属性以 MB 为单位设置最大审计日志大小。达到这个值时,审计日志的轮转日志。这意味着服务器开始向新日志文件写入日志信息。如果 nsslapd-auditfaillog-maxlogsperdir 参数设为 1,则服务器会忽略此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsize: 50 |
3.1.1.53. nsslapd-auditfaillog-maxlogsperdir(Audit Fail 日志最大日志文件数)
此属性设置审计日志的总数,这些日志可以包含在存储审计日志的目录中。每次审计日志轮转失败时,都会创建一个新日志文件。当审计日志目录中包含的文件数量超过此属性中存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器将不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-auditfaillog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-auditfaillog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.50 节 “nsslapd-auditfaillog-logrotationtime(Audit Fail Log Rotation Time)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-maxlogsperdir: 10 |
3.1.1.54. nsslapd-auditfaillog-mode(Audit Fail Log File Permission)
此属性设置创建审计失败日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。该值必须是 3 位数字的组合,数字是从 0 到 7 的不同数字:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-auditfaillog-mode: 600 |
3.1.1.55. nsslapd-bakdir(默认备份目录)
此参数设置到默认备份目录的路径。Directory Server 用户必须在配置的目录中具有写入权限。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地目录路径。 |
| 默认值 | /var/lib/dirsrv/slapd-instance/bak |
| 语法 | DirectoryString |
| 示例 | nsslapd-bakdir: /var/lib/dirsrv/slapd-instance/bak |
3.1.1.56. nsslapd-certdir(Certificate 和 Key Database Directory)
此参数定义 Directory 服务器用来存储实例的网络安全服务(NSS)数据库的目录的完整路径。此数据库包含实例的私钥和证书。
作为回退,如果服务器无法将其提取到 /tmp/ 目录中,目录服务器会将私钥和证书提取到该目录。有关私有命名空间的详情,请查看 systemd.exec(5) man page 中的 PrivateTmp 参数描述。
nsslapd-certdir 中指定的目录必须由服务器的用户 ID 所有,只有该用户 ID 必须在此目录中具有读写权限。出于安全考虑,其他用户都应该拥有读取或写入到此目录的权限。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 绝对路径 |
| 默认值 | /etc/dirsrv/slapd-instance_name/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-certdir: /etc/dirsrv/slapd-instance_name/ |
3.1.1.57. nsslapd-certmap-basedn(Certificate Map Search Base)
使用 TLS 证书执行客户端身份验证时,可以使用此属性来避免 /etc/dirsrv/slapd-instance_name/certmap.conf 文件中配置的安全子系统证书映射的限制。根据此文件中的配置,可以使用基于根 DN 的目录子树搜索来完成证书映射。如果搜索基于根 DN,则 nsslapd-certmap-basedn 属性可能会强制搜索在 root 以外的某个条目上基于。此属性的有效值是用于证书映射的后缀或子树的 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-certmap-basedn: ou=People,dc=example,dc=com |
3.1.1.58. nsslapd-config
这个 read-only 属性是配置 DN。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的配置 DN |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-config: cn=config |
3.1.1.59. nsslapd-cn-uses-dn-syntax-in-dns
此参数允许您在 CN 值内启用 DN。
目录服务器 DN 规范化程序为 RFC4514,如果 RDN 属性类型不是基于 DN 语法,则保留空格。但是,Directory 服务器的配置条目有时使用 cn 属性来存储 DN 值。例如,在 dn: cn="dc=A,dc=com", cn=mapping tree,cn=config, cn should be normalized with the DN 语法。
如果需要此配置,请启用 nsslapd-cn-uses-dn-syntax-in-dns 参数。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-cn-uses-dn-syntax-in-dns: off |
3.1.1.60. nsslapd-connection-buffer
此属性设置连接缓冲行为。可能的值:
-
0:禁用缓冲。次只读取单一协议数据单位(PDU)。 -
1:常规固定大小LDAP_SOCKET_IO_BUFFER_SIZE为512字节。 -
2:可以适应的缓冲区大小.
如果客户端一次性发送大量数据,则值 2 会提供更好的性能。例如,大型添加和修改操作的情况,或者在复制期间通过单个连接接收多个异步请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 | 1 | 2 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-connection-buffer: 1 |
3.1.1.61. nsslapd-connection-nocanon
这个选项允许您启用或禁用 SASL NOCANON 标志。禁用 可避免 Directory 服务器为出站连接查找 DNS 反向条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-connection-nocanon: on |
3.1.1.62. nsslapd-conntablesize
此属性设置连接表大小,它决定了服务器支持的连接总数。
如果 Directory 服务器拒绝连接,则增加此属性的值,因为它不在连接插槽中。发生这种情况时,Directory 服务器的错误日志文件会记录消息 Not listening for new connection the the new connection the the the many fds open。
可能需要为启动 Directory 服务器的 shell 中增加打开文件和打开的文件数量的操作系统限制,可能需要增加 。
ulimit -n
连接表的大小是 nsslapd-maxdescriptor 的 cap。如需更多信息,请参阅 第 3.1.1.118 节 “nsslapd-maxdescriptors(最大文件描述符)”。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 依赖于操作系统 |
| 默认值 |
Directory 服务器进程可以打开的最大文件数。请参阅 |
| 语法 | 整数 |
| 示例 | nsslapd-conntablesize: 4093 |
3.1.1.63. nsslapd-counters
nsslapd-counters 属性启用和禁用 Directory Server 数据库和服务器性能计数器。
通过跟踪更大的计数器,这可能会对性能产生影响。关闭计数器的 64 位整数可能会对性能产生最小的改进,但会对长期统计跟踪产生负面影响。
默认启用此参数。要禁用计数器,停止 Directory 服务器,直接编辑 dse.ldif 文件,然后重新启动服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-counters: on |
3.1.1.64. nsslapd-csnlogging
此属性会设置更改序列号(CSN)是否可用后才能登录访问日志。默认情况下打开 CSN 日志记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-csnlogging: on |
3.1.1.65. nsslapd-defaultnamingcontext
此属性为所有配置的命名上下文提供命名上下文,默认情况下客户端默认使用作为搜索基础。这个值作为 defaultNamingContext 属性复制到 root DSE,它允许客户端查询 root DSE 来获取上下文,然后使用适当的基础启动搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何根后缀 DN |
| 默认值 | 默认用户后缀 |
| 语法 | DN |
| 示例 | nsslapd-defaultnamingcontext: dc=example,dc=com |
3.1.1.66. nsslapd-disk-monitoring
此属性启用一个线程,它每十(10)秒运行一次,以检查磁盘上的可用磁盘空间或挂载目录服务器数据库运行的位置。如果可用的磁盘空间低于配置的阈值,则服务器开始减少日志级别、禁用访问或审计日志,并删除轮转的日志。如果这没有足够的可用空间,则服务器会正常关闭(在机和宽限期后)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring: on |
3.1.1.67. nsslapd-disk-monitoring-grace-period
在服务器达到 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold” 中设置的一半磁盘空间限制后,将宽限期设置为在关闭服务器前等待。这可让管理员清理磁盘并阻止关闭。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数值(以分钟为单位) |
| 默认值 | 60 |
| 语法 | 整数 |
| 示例 | nsslapd-disk-monitoring-grace-period: 45 |
3.1.1.68. nsslapd-disk-monitoring-logging-critical
如果日志目录通过磁盘空间限制中设定的一半点 第 3.1.1.70 节 “nsslapd-disk-monitoring-threshold”,则设置是否关闭服务器。
如果启用此功能,则不会 禁用日志,且不会 删除轮转的日志,因为减少服务器磁盘用量。服务器只需进入关闭过程。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-logging-critical: on |
3.1.1.69. nsslapd-disk-monitoring-readonly-on-threshold
如果可用磁盘空间达到 nsslapd-disk-monitoring-threshold 参数中设置的一半值,Directory 服务器会在 nsslapd-disk-monitoring-grace-period 中设置的宽限期后关闭实例。但是,如果磁盘在实例停机之前耗尽空间,则可能会损坏数据。要防止这个问题,请在达到阈值时启用 nsslapd-disk-monitoring-readonly-on-threshold 参数,Directory 服务器将实例设置为只读模式。
使用这个设置,如果可用磁盘空间低于 nsslapd-disk-monitoring-threshold 中配置的阈值,Directory 服务器不会启动。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-readonly-on-threshold: off |
3.1.1.70. nsslapd-disk-monitoring-threshold
设置阈值(以字节为单位),用于评估服务器是否有足够可用磁盘空间。当空间达到这个阈值的一半后,服务器开始关闭进程。
例如,如果阈值是 2MB(默认),那么当可用磁盘空间达到 1MB 后,服务器将开始关闭。
默认情况下,阈值会评估在由 Directory 服务器实例配置、事务和数据库目录使用的磁盘空间上。如果启用了 第 3.1.1.68 节 “nsslapd-disk-monitoring-logging-critical” 属性,则会在评估中包含日志目录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 0 到 32 位整数值(2147483647)) * 0 到 64 位整数值(9223372036854775807) |
| 默认值 | 2000000 (2MB) |
| 语法 | DirectoryString |
| 示例 | nsslapd-disk-monitoring-threshold: 2000000 |
3.1.1.71. nsslapd-dn-validate-strict
第 3.1.1.167 节 “nsslapd-syntaxcheck” 属性可让服务器验证任何新的或修改的属性值是否与那个属性所需的语法匹配。
但是,DN 的语法规则日趋严格。尝试在 RFC 4514 中强制使用 DN 语法规则可能会破坏使用旧语法定义的许多服务器。默认情况下,nsslapd-syntaxcheck 使用 RFC 1779 或 RFC 2253 验证 DN。
根据 RFC 4514 中的第 3 节,nsslapd-dn-validate-strict 属性明确为 DN 启用严格的语法验证。如果此属性设置为 off (默认值),服务器会在检查语法违反前对值进行规范化。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-dn-validate-strict: off |
3.1.1.72. nsslapd-ds4-compatible-schema
使 cn=schema 与 Directory Server 的 4.x 版本兼容。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ds4-compatible-schema: off |
3.1.1.73. nsslapd-enable-turbo-mode
Directory Server turbo 模式是一个功能,它允许 worker 线程专用于连接,并持续从那个连接读取传入的操作。这可以提高对非常活跃连接的性能,且功能默认是启用的。
Worker 线程处理服务器接收的 LDAP 操作。worker 线程的数量在 nsslapd-threadnumber 参数中定义。每 5 秒,每个 worker 线程评估其当前连接的活动级别是所有已建立的连接的最高值之一。目录服务器测量活动,作为自上检查开始的操作数量,并在当前连接的活动是最高状态时,将 worker 线程切换为 turbo 模式。
如果您遇到较长的执行时间(日志文件中的etime 值)用于绑定操作,如一秒或更长时间,取消激活 turbo 模式可以提高性能。然而,在有些情况下,绑定时间是网络或硬件问题的症状。在这些情况下,禁用 turbo 模式不会提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-turbo-mode: on |
3.1.1.74. nsslapd-enable-upgrade-hash
在简单的绑定过程中,Directory 服务器由于绑定操作的性质可以访问纯文本密码。如果启用了 nsslapd-enable-upgrade-hash 参数,且用户进行身份验证,Directory 服务器会检查用户的 userPassword 属性是否使用了 passwordStorageScheme 属性中设置的哈希算法。如果算法不同,服务器会将纯文本密码与来自 passwordStorageScheme 的算法哈希,并更新用户 userPassword 属性的值。
例如,如果您导入使用弱算法进行哈希的用户条目,服务器会自动使用 passwordStorageScheme 中设置的算法在用户在第一次登录时重新哈希密码,即 PBKDF2_SHA256。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-enable-upgrade-hash: on |
3.1.1.75. nsslapd-enquote-sup-oc(启用 Superior 对象类 Enquoting)
此属性已弃用,并将在以后的 Directory Server 版本中删除。
此属性控制 cn=schema 条目中包含的 objectclass 属性中的引用是否符合互联网草案 RFC 2252 指定的引用。默认情况下,Directory 服务器符合 RFC 2252,这表示这个值不应加引号。在 上只有非常旧的客户端需要将此值设置为,因此请将它保留为 off。
在 或 off 上打开此属性不会影响 Directory Server 控制台。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-enquote-sup-oc: off |
3.1.1.76. nsslapd-entryusn-global
nsslapd-entryusn-global 参数定义了 USN 插件在所有后端数据库或单独为每个数据库分配唯一的更新序列数字(USN)。对于所有后端数据库的唯一 USN,请在 上 将此参数设置为。
详情请查看 第 6.8 节 “entryusn”。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-global: off |
3.1.1.77. nsslapd-entryusn-import-initval
当条目从一个服务器导出并导入到另一个服务器时,条目更新序列号(USN)不会被保留,包括在初始化用于复制的数据库时。默认情况下,导入的条目的条目 USN 被设置为零。
可以使用 nsslapd-entryusn-import-initval 为条目 USN 配置不同的初始值。这将设置一个起始 USN,用于所有导入的条目。
nsslapd-entryusn-import-initval 有两个可能的值:
- 整数,这是每个导入条目使用的显式起始号。
- 接下来,这意味着每个导入条目都使用在导入操作前在服务器上使用任意最高条目 USN 值,并递增一次。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 | 旁边 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-entryusn-import-initval: next |
3.1.1.78. nsslapd-errorlog(错误日志)
此属性设置用于记录 Directory 服务器生成的错误消息的日志的路径和文件名。这些信息可能会描述错误条件,但更频繁地包含参考条件,例如:
- 服务器启动和关闭时间。
- 服务器使用的端口号。
根据 Log Level 属性的当前设置,此日志包含不同数量的信息。如需更多信息,请参阅 第 3.1.1.79 节 “nsslapd-errorlog-level(错误日志级别)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的文件名 |
| 默认值 | /var/log/dirsrv/slapd-instance/errors |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog: /var/log/dirsrv/slapd-实例/errors |
要启用错误日志记录,此属性必须具有有效的路径和文件名,并且 nsslapd-errorlog-logging-enabled 配置属性必须切换到 上的。表列出了这两个配置属性的四个可能组合,以及它们在禁用或启用错误日志记录方面的结果。
表 3.5. nsslapd-errorlog Configuration Attributes 的可组合组合
| dse.ldif 中的属性 | 值 | 启用或禁用日志记录 |
|---|---|---|
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | on filename | Enabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off 空字符串 | Disabled |
| nsslapd-errorlog-logging-enabled nsslapd-errorlog | off filename | Disabled |
3.1.1.79. nsslapd-errorlog-level(错误日志级别)
此属性设置 Directory 服务器的日志记录级别。日志级别是可添加的;即,指定值 3 包含了级别 1 和 2。
nsslapd-errorlog-level 的默认值为 16384。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | * 1 - 跟踪功能调用。当服务器进入并退出功能时,记录一条消息。 * 2 - 调试数据包处理。 * 4 - 大量追踪输出调试。 * 8 - 连接管理。 * 16 - 显示发送/收到的数据包。 * 32 - 搜索过滤器处理。 * 64 - 配置文件处理。 * 128 - 访问控制列表处理。 * 1024 - 使用 shell 数据库的日志通信。 * 2048 - 日志条目解析调试。 * 4096 - 内部处理线程调试。 * 8192 - 复制调试。 * 16384 - 默认日志记录级别,用于始终写入错误的其他消息,如服务器启动消息。无论日志级别的设置是什么,此级别的消息始终包含在错误日志中。 * 32768 - 数据库缓存调试。
* 65536 - 服务器插件调试。当服务器插件调用
* 262144 - 访问控制概述信息,比级别 * 524288 - LMDB 数据库调试。 |
| 默认值 | 16384 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-level: 8192 |
3.1.1.80. nsslapd-errorlog-list
这个 read-only 属性提供错误日志文件列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | |
| 默认值 | 无 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-list: errorlog2,errorlog3 |
3.1.1.81. nsslapd-errorlog-logexpirationtime(Error Log Expiration Time)
此属性设置在删除日志文件前允许访问的最大年龄。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logexpirationtimeunit 属性提供。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) 值 -1 或 0 表示日志永不过期。 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logexpirationtime: 1 |
3.1.1.82. nsslapd-errorlog-logexpirationtimeunit(错误日志过期时间单元)
此属性设置 nsslapd-errorlog-logexpirationtime 属性的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 |
| 默认值 | month |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logexpirationtimeunit: week |
3.1.1.83. nsslapd-errorlog-logging-enabled(启用 Error Logging)
打开和关闭错误记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logging-enabled: on |
3.1.1.84. nsslapd-errorlog-logmaxdiskspace(Error Log Maximum Disk Space)
此属性设置允许消耗错误日志的最大磁盘空间量,单位为 MB。如果超过这个值,会删除最旧的错误日志。
在设置最大磁盘空间时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示允许错误日志的磁盘空间没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logmaxdiskspace: 10000 |
3.1.1.85. nsslapd-errorlog-logminfreediskspace(Error Log Minimum Free Disk Space)
此属性以 MB 为单位设置允许的可用磁盘空间。当可用磁盘空间低于此属性指定的值时,会删除最旧的错误日志,直到有足够的磁盘空间来满足此属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1(unlimited)| 1 到最大 32 位整数值(2147483647) |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logminfreediskspace: -1 |
3.1.1.86. nsslapd-errorlog-logrotationsync-enabled(Error Log Rotation Sync Enabled)
此属性会设置错误日志轮转是否与一天的特定时间同步。同步日志轮转方式可在指定时间内生成日志文件,如每天午夜至午夜。这样可以更轻松地分析日志文件,因为它们会直接映射到日历。
要与天同步的错误日志轮转,必须使用 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsyncmin 属性值设置为轮转日志文件的小时和分钟(分钟)启用。
例如,要在 中每天轮转错误日志文件,通过将其值设置为,然后将 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationsynchour 和 nsslapd-errorlog-logrotationmin 属性设置为 0。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationsync-enabled: |
3.1.1.87. nsslapd-errorlog-logrotationsynchour(Error Log Rotation Sync Hour)
此属性设置当天轮转错误日志的小时数。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsyncmin 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 23 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsynchour: 23 |
3.1.1.88. nsslapd-errorlog-logrotationsyncmin(Error Log Rotation Sync Minute)
此属性设置当天轮转错误日志的时间。此属性必须与 nsslapd-errorlog-logrotationsync-enabled 和 nsslapd-errorlog-logrotationsynchour 属性一起使用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 59 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationsyncmin: 30 |
3.1.1.89. nsslapd-errorlog-logrotationtime(错误日志轮转时间)
此属性设置错误日志文件轮转之间的时间。此属性仅提供单元数。单元(天、星期、月份等)由 nsslapd-errorlog-logrotationtimeunit (Error Log Rotation Time Unit)属性指定。
无论日志的大小如何,目录服务器在配置的时间间隔到期后在第一次写入操作中轮转日志。
虽然建议不要因为性能原因而指定日志轮转,但日志会无限期地增长,但有两种指定方法。将 nsslapd-errorlog-maxlogsperdir 属性值设置为 1,或者将 nsslapd-errorlog-logrotationtime 属性设置为 -1。服务器首先检查 nsslapd-errorlog-maxlogsperdir 属性,如果此属性值大于 1,服务器会检查 nsslapd-error-logrotationtime 属性。如需更多信息,请参阅 第 3.1.1.92 节 “nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示错误日志文件轮转之间的时间无限。 |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-logrotationtime: 100 |
3.1.1.90. nsslapd-errorlog-logrotationtimeunit(Error Log Rotation Time unit)
此属性设置 nsslapd-errorlog-logrotationtime (Error Log Rotation Time)的单元。如果服务器知道该单元,则日志永远不会过期。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 月份 | 周 | 天 | 小时 | 分钟 |
| 默认值 | 周 |
| 语法 | DirectoryString |
| 示例 | nsslapd-errorlog-logrotationtimeunit: day |
3.1.1.91. nsslapd-errorlog-maxlogsize(最大错误日志大小)
此属性以 MB 为单位设置最大错误日志大小。达到这个值时,错误日志会被轮转,服务器开始将日志信息写入新日志文件中。如果 nsslapd-errorlog-maxlogsperdir 设置为 1,则服务器会忽略此属性。
在设置最大日志大小时,请考虑因为日志文件轮转而创建的日志文件总数。另外,请记住,有三个不同的日志文件(访问日志、审计日志和错误日志)由 Directory 服务器维护,每个日志文件都使用磁盘空间。将这些注意事项与错误日志的磁盘空间总量进行比较。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 | 1 到最大 32 位整数值(2147483647),其中值 -1 表示日志文件的大小没有限制。 |
| 默认值 | 100 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsize: 100 |
3.1.1.92. nsslapd-errorlog-maxlogsperdir(错误日志文件的最大数量)
此属性设置可在存储错误日志的目录中包含的错误日志总数。每次轮转错误日志时,都会创建一个新日志文件。当错误日志目录中包含的文件数量超过此属性所存储的值时,会删除最旧的日志文件版本。默认值为 1 日志。如果接受此默认值,服务器不会轮转日志,它会无限期地增加。
如果此属性的值大于 1,请检查 nsslapd-errorlog-logrotationtime 属性来确定是否指定了日志轮转。如果 nsslapd-errorlog-logrotationtime 属性的值为 -1,则没有日志轮转。如需更多信息,请参阅 第 3.1.1.89 节 “nsslapd-errorlog-logrotationtime(错误日志轮转时间)”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到最大 32 位整数值(2147483647) |
| 默认值 | 1 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-maxlogsperdir: 10 |
3.1.1.93. nsslapd-errorlog-mode(Error Log File Permission)
此属性设置了创建错误日志文件的访问模式或文件权限。有效的值是 000 到 777 的任何组合,因为它们经过镜像编号或绝对 UNIX 文件权限。也就是说,该值必须是 3 位数字的组合,数字从 0 到 7 的不同:
- 0 - none
- 1 - 仅执行
- 2 - 仅写入
- 3 - 写入和执行
- 4 - 只读
- 5 - 读和执行
- 6 - 读和写
- 7 - 读、写和执行
在 3 位数字中,第一个数字代表所有者的权限,第二个数字代表组的权限,第三位代表所有人的权限。当更改默认值时,请记住 000 不允许访问日志,并允许任何人的写入权限都可能导致日志被任何人覆盖或删除。
新配置的访问模式仅影响创建的新日志;当日志轮换到新文件时,将设置模式。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 000 到 777 |
| 默认值 | 600 |
| 语法 | 整数 |
| 示例 | nsslapd-errorlog-mode: 600 |
3.1.1.94. nsslapd-force-sasl-external
在建立 TLS 连接时,客户端首先发送其证书,然后使用 SASL/EXTERNAL 机制向 BIND 请求发出 BIND 请求。使用 SASL/EXTERNAL 告知目录服务器将证书中的凭据用于 TLS 握手。但是,有些客户端在发送 BIND 请求时不使用 SASL/EXTERNAL,因此目录服务器以简单的身份验证请求或匿名请求形式处理绑定,并且 TLS 连接会失败。
nsslapd-force-sasl-external 属性强制使用基于证书的验证中的客户端使用 SASL/EXTERNAL 方法发送 BIND 请求。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | 字符串 |
| 示例 | nsslapd-force-sasl-external: on |
3.1.1.95. nsslapd-groupevalnestlevel
此属性已弃用,在此处记录仅用于历史目的。
Access Control Plug-in 不使用 nsslapd-groupevalnestlevel 属性指定的值,以设置用于组评估时访问控制执行的嵌套级别数量。相反,嵌套的级别数量被硬编码为 5。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 5 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-groupevalnestlevel: 5 |
3.1.1.96. nsslapd-idletimeout(默认 Idle Timeout)
此属性以秒为单位设定了服务器关闭闲置 LDAP 客户端连接的时间长度(以秒为单位)。值为 0 表示服务器永远不会关闭闲置连接。此设置适用于所有连接和所有用户。当连接表时,当 poll() 不会返回零时,闲置超时会强制使用。因此,具有单一连接的服务器不会强制实施闲置超时。
使用 nsIdleTimeout 操作属性(可添加到用户条目中)覆盖分配给此属性的值。详情请参阅 Red Hat Directory Server Administration Guide 中的"基于绑定 DN 设置资源限制"一节。
对于非常大的数据库,使用数百万条目时,该属性必须具有足够高的值,在线初始化过程可以完成或复制,在连接到服务器的连接超时时会失败。另外,还可在用作供应商绑定 DN 的条目上将 nsIdleTimeout 属性设为 high 值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-idletimeout: 3600 |
3.1.1.97. nsslapd-ignore-virtual-attrs
此参数允许在搜索条目中禁用虚拟属性查找。
如果不需要虚拟属性,您可以在搜索结果中禁用虚拟属性查找来提高搜索速度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ignore-virtual-attrs: off |
3.1.1.98. nsslapd-instancedir(Instance Directory)
此属性已弃用。现在,有针对实例专用路径的配置参数,如 nsslapd-certdir 和 nsslapd-lockdir。有关设置的具体目录路径,请参阅相关文档。
3.1.1.99. nsslapd-ioblocktimeout(IO Block Time Out)
此属性以秒为单位设定连接被停止的 LDAP 客户端的时间长度(以毫秒为单位)。当 LDAP 客户端没有为读或写操作进行任何 I/O 处理时,它被视为已停止工作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 10000 |
| 语法 | 整数 |
| 示例 | nsslapd-ioblocktimeout: 10000 |
3.1.1.100. nsslapd-lastmod(Track Modification Time)
此属性设置 Directory 服务器是否维护 创建者名称、createTimestamp、ScottsName 以及修改Timestamp 操作属性(针对新创建或更新的条目)。
红帽建议不要禁用跟踪这些属性。如果禁用,条目不会在 nsUniqueID 属性中分配唯一 ID,而复制不起作用。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-lastmod: on |
3.1.1.101. nsslapd-ldapiautobind(Enable Autobind)
nsslapd-ldapiautobind 会设置服务器是否允许用户使用 LDAPI 自动绑定到 Directory 服务器。Autobind 将系统用户的 UID 或 GUID 号映射到 Directory Server 用户,并根据这些凭证自动验证用户到目录服务器。Directory 服务器连接发生于 UNIX 套接字。
除了启用 autobind 外,配置 autobind 还需要配置映射条目。nsslapd-ldapimaprootdn 将系统上的 root 用户映射到 Directory Manager。nsslapd-ldapimaptoen 尝试根据 nsslapd-ldapientry type、nsslapd-ldapientry searchbase 属性和 nsslapd-ldapientry searchbase
Autobind 只能在 LDAPI 已启用时启用 Autobind,即 nsslapd-ldapilisten 位于 nsslapd-ldapifilepath 属性,并且将 nsslapd-ldapifilepath 属性设置为 LDAPI 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiautobind: off |
3.1.1.102. nsslapd-ldapientrysearchbase(搜索 Base for LDAPI Authentication Entries)
使用 autobind 时,可以根据系统用户的 UID 和 GUID 号将系统用户映射到 Directory Server 用户条目。这需要设置 Directory Server 参数,用于 UID 号(nsslapd-ldapiuidnumbertype)和 GUID 号(nsslapd-ldapigidnumbertype),并设置搜索基础来搜索匹配的用户条目。
nsslapd-ldapientrysearchbase 可使子树搜索用于 autobind 的用户条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | DN |
| 默认值 |
创建服务器实例时创建的后缀,如 |
| 语法 | DN |
| 示例 | nsslapd-ldapientrysearchbase: ou=body,dc=example,dc=om |
3.1.1.103. nsslapd-ldapifilepath( LDAPI 套接字的文件位置)
LDAPI 通过 UNIX 套接字而不是 TCP 将用户连接到 LDAP 服务器。要配置 LDAPI,服务器必须配置为通过 UNIX 套接字通信。要使用的 UNIX 套接字在 nsslapd-ldapifilepath 属性中设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何目录路径 |
| 默认值 | /var/run/dirsrv/slapd-example.socket |
| 语法 | case-exact 字符串 |
| 示例 | nsslapd-ldapifilepath: /var/run/slapd-example.socket |
3.1.1.104. nsslapd-ldapigidnumbertype(System GUID Number 的Attribute 映射)
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory Server 用户以进行身份验证,系统用户的 UID 和 GUID 号应映射到 Directory Server 属性。nsslapd-ldapigidnumbertype 属性指向 Directory Server 属性,以将系统 GUID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 Directory Server 属性 |
| 默认值 | gidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapigidnumbertype: gidNumber |
3.1.1.105. nsslapd-ldapilisten(Enable LDAPI)
nsslapd-ldapilisten 启用到 Directory 服务器的 LDAPI 连接。LDAPI 允许用户通过 UNIX 套接字而不是标准 TCP 端口连接到目录服务器。除了通过在 nsslapd-ldapifilepath 属性中,将 nsslapd-ldapilisten 设置为,还必须为 LDAPI 设置 UNIX 套接字。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapilisten: on |
3.1.1.106. nsslapd-ldapimaprootdn(Autobind Mapping for Root User)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。
root 系统用户( UID 为 0 的用户)映射到 nsslapd-ldapimaprootdn 属性中指定的任何 Directory Server 条目。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 DN |
| 默认值 | cn=Directory Manager |
| 语法 | DN |
| 示例 | nsslapd-ldapimaprootdn: cn=Directory Manager |
3.1.1.107. nsslapd-ldapimaptoentries(为普通用户启用自动绑定映射)
使用 autobind 时,系统用户映射到 Directory Server 用户,然后在 UNIX 套接字上自动与目录服务器进行身份验证。这个映射是 root 用户自动的,但必须通过 nsslapd-ldapimaptoentries 属性为常规用户启用它。将此属性设置为 on 可启用常规系统用户到 Directory Server 条目的映射。如果没有启用此属性,则只有 root 用户才能使用 autobind 向 Directory 服务器进行身份验证,所有其他用户匿名连接。
映射本身通过 nsslapd-ldapiuidnumbertype 和 nsslapd-ldapigidnumbertype 属性进行配置,它会将目录服务器属性映射到用户的 UID 和 GUID 编号。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)并且 autobind 被启用,则用户只能通过 autobind连接到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapimaptoentries: on |
3.1.1.108. nsslapd-ldapiuidnumbertype
可使用 Autobind 自动对服务器进行系统用户进行身份验证,并使用 UNIX 套接字连接到服务器。要将系统用户映射到 Directory 服务器用户以进行身份验证,系统用户的 UID 和 GUID 数字必须映射为 Directory Server 属性。nsslapd-ldapiuidnumbertype 属性指向 Directory Server 属性,以将系统 UID 映射到用户条目。
如果启用了 LDAPI(nsslapd-ldapilisten 和 nsslapd-ldapifilepath)、autobind is enabled(nsslapd-ldapiautobind),只能通过 autobind 连接到服务器(nsslapd-ldapimaptoentries)。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何 Directory Server 属性 |
| 默认值 | uidNumber |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldapiuidnumbertype: uidNumber |
3.1.1.109. nsslapd-ldifdir
在使用 db2ldif 或 时,目录服务器以 LDAP Data Interchange Format(LDIF)格式将文件导出到此参数中设置的目录中。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
db2ldif.pl
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/lib/dirsrv/slapd-instance_name/ldif/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-ldifdir: /var/lib/dirsrv/slapd-instance_name/ldif/ |
3.1.1.110. nsslapd-listen-backlog-size
此属性设置套接字连接 backlog 的最大值。侦听服务设定可用于接收进入的连接的套接字的数量。backlog 设置设置在拒绝连接前增加套接字队列(sockfd)的最大长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 最高 64 位整数值(9223372036854775807) |
| 默认值 | 128 |
| 语法 | 整数 |
| 示例 | nsslapd-listen-backlog-size: 128 |
3.1.1.111. nsslapd-listenhost(Listen to IP Address)
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与一个 hos tname 关联的 IP 地址,这些 IP 地址可以同时是 IPv4 和 IPv6。此参数可用于将 Directory 服务器实例限制为一个 IP 接口。
如果主机名以 nsslapd-listenhost 值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-listenhost 值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何本地主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-listenhost: ldap.example.com |
3.1.1.112. nsslapd-localhost(本地主机)
此属性指定 Directory 服务器运行的主机机器。此属性创建构成 MMR 协议一部分的引用 URL。在带有故障转移节点的高可用性配置中,引用应该指向集群的虚拟机名称,而不是本地主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何完全限定主机名。 |
| 默认值 | 安装的机器的主机名。 |
| 语法 | DirectoryString |
| 示例 | nsslapd-localhost: phonebook.example.com |
3.1.1.113. nsslapd-localuser(本地用户)
此属性将运行 Directory 服务器的用户设置为运行。用户运行的组通过检查用户的主组从此属性派生而来。用户应更改,然后使用 chown 等工具将这个实例的所有文件和目录更改为归新用户所有。
nsslapd-localuser 的值在配置了服务器实例时首先设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的用户 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-localuser: dirsrv |
3.1.1.114. nsslapd-lockdir(服务器锁定文件目录)
这是服务器用于锁定文件的目录的完整路径。默认值为 /var/lock/dirsrv/slapd-实例。对此值的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 指向由服务器用户 ID 拥有且对服务器 ID 的写入权限的绝对路径 |
| 默认值 | /var/lock/dirsrv/slapd-instance |
| 语法 | DirectoryString |
| 示例 | nsslapd-lockdir: /var/lock/dirsrv/slapd-实例 |
3.1.1.115. nsslapd-localssf
nsslapd-localssf 参数为 LDAPI 连接设置安全强度因数(SSF)。只有在 nsslapd-localsf 中设置的值大于或等于 参数中设置的值时,目录服务器才会允许 LDAPI 连接。因此,LDAPI 连接会满足 nsslapd-minssf nsslapd-minssf 中最小 SSF 设置。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 71 |
| 语法 | 整数 |
| 示例 | nsslapd-localssf: 71 |
3.1.1.116. nsslapd-logging-hr-timestamps-enabled(启用或禁用高分辨率日志 Timestamps)
控制日志是否使用高分辨率时间戳,以精确度为纳秒,或者采用一秒精确的标准分辨率时间戳。默认启用此选项。将此选项设置为 off,将日志时间戳恢复为一秒的精度。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 |
|
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | nsslapd-logging-hr-timestamps-enabled: |
3.1.1.117. nsslapd-maxbersize(最大消息大小)
定义传入消息允许的最大大小,以字节为单位。这将限制由 Directory 服务器处理的 LDAP 请求的大小。限制请求大小可防止某种形式拒绝服务攻击。
限制适用于 LDAP 请求的总大小。例如,如果请求要添加条目,并且请求中的条目大于配置的值或默认值,则拒绝添加请求。但是,这个限制不适用于复制进程。在更改此属性前请小心。
此设置不需要服务器重启才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 2GB(2,147,483,647 字节)
零 |
| 默认值 | 2097152 |
| 语法 | 整数 |
| 示例 | nsslapd-maxbersize: 2097152 |
3.1.1.118. nsslapd-maxdescriptors(最大文件描述符)
此属性设置 Directory 服务器尝试使用的最大、平台相关的文件描述符。每当客户端连接到服务器时,会使用文件描述符。访问日志、错误日志、数据库文件(索引和事务日志)以及到其他服务器的套接字(用于复制和链)也使用文件描述符。
用于提供客户端连接的 TCP/IP 可用描述符数由 nsslapd-conntablesize 属性决定。这个属性的默认值被设置为文件描述符软限制,默认值为 1024。但是,如果您手动配置此属性,服务器会更新进程文件描述符软限制以匹配。
如果这个值设置得太高,Directory 服务器会查询操作系统以获取最大允许值,然后使用该值。它还会在错误日志中记录信息。如果此值远程设置为无效值,使用 Directory Server Console 或 ldapmodify,服务器会拒绝新值,保留旧值,并出现错误。
有些操作系统允许用户配置可供进程使用的文件描述符数。有关文件描述符限制和配置的详情,请查看操作系统文档。可以使用 dsktune 程序(在 Red Hat Directory Server 安装指南中介绍)来推荐系统内核或 TCP/IP 调整属性的更改,包括根据需要增加文件描述符数量。如果 Directory 服务器拒绝连接,则这个属性的值会增加,因为它没有文件描述符。当发生这种情况时,以下信息会写入 Directory Server 的错误日志文件中:
Not listening for new connections -- too many fds open
有关增加进入连接数量的更多信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
UNIX shell 通常对文件描述符的数量具有可配置的限制。有关 限制和 ulimit 的更多信息,请参阅操作系统文档,因为这些限制通常会导致问题。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 4096 |
| 语法 | 整数 |
| 示例 | nsslapd-maxdescriptors: 4096 |
3.1.1.119. nsslapd-maxsasliosize(最大 SASL 数据包大小)
当用户通过 SASL GSS-API 对 Directory 服务器进行身份验证时,服务器必须根据客户端请求的内存数量来为客户端分配一定内存量来执行 LDAP 操作。攻击者可以发送一个大型数据包的大小,导致 Directory 服务器崩溃或者将其作为拒绝服务攻击的一部分会被无限期地绑定。
可使用 nsslapd-maxsasliosize 属性限制 Directory 服务器允许 SASL 客户端的数据包大小。此属性设置服务器接受的最大允许 SASL IO 数据包大小。
当传入的 SASL IO 数据包大于 nsslapd-maxsasliosize 限制时,服务器会立即断开客户端并将消息记录到错误日志,因此管理员可以在必要时调整设置。
此属性值以字节为单位指定。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | * -1(无限)到 32 位系统中最大 32 位整数值(2147483647) * -1(无限)到 64 位系统中的最多 64 位整数值(9223372036854775807) |
| 默认值 | 2097152 (2MB) |
| 语法 | 整数 |
| 示例 | nsslapd-maxsasliosize: 2097152 |
3.1.1.120. nsslapd-maxthreadsperconn(每个连接的最大线程数)
定义连接应使用的最大线程数。对于客户端绑定并且仅在 unbinding 前执行一两个操作的一个正常操作,请使用默认值。对于客户端绑定和同时发出许多请求的情况,请增加这个值,从而使每个连接有足够的资源执行所有操作。此属性在服务器控制台上不可用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1,最大线程数 |
| 默认值 | 5 |
| 语法 | 整数 |
| 示例 | nsslapd-maxthreadsperconn: 5 |
3.1.1.121. nsslapd-minssf
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。nsslapd-minssf 属性设置到服务器的任何连接的最小 SSF 要求;任何比最小 SSF 弱的连接尝试都会被拒绝。
TLS 和 SASL 连接可以在与 Directory 服务器的连接中混合使用。这些连接通常有不同的 SSF。两个 SSFs 的使用高于最低 SSF 要求。
将 SSF 值设置为 0 表示没有最小设置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0(off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf: 128 |
3.1.1.122. nsslapd-minssf-exclude-rootdse
安全强度因素是 根据其重要强度衡量连接强度的相对衡量。SSF 确定如何保护 TLS 或 SASL 连接。
nsslapd-minssf-exclude-rootdse 属性可为任何与服务器的连接设置最低 SSF 要求,除了查询 root DSE 之外。这会对大多数连接强制实施适当的 SSF 值,同时仍然允许客户端从 root DSE 获取服务器配置所需的信息,而无需首先建立安全连接。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何正整数 |
| 默认值 | 0(off) |
| 语法 | DirectoryString |
| 示例 | nsslapd-minssf-exclude-rootdse: 128 |
3.1.1.123. nsslapd-moddn-aci
此参数控制 ACI 检查目录条目何时从一个子树移到另一个子树,并在 moddn 操作中使用源和目标限制。为了向后兼容,您可以禁用 ACI 检查。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-moddn-aci: on |
3.1.1.124. nsslapd-malloc-mmap-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_MMAP_THRESHOLD 环境变量,nsslapd-malloc-mmap-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_MMAP_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 33554432 |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mmap-threshold: 33554432 |
3.1.1.125. nsslapd-malloc-mxfast
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
通过编辑服务文件来设置 M_MXFAST 环境变量,nsslapd-malloc-mxfast 参数可让您在 Directory 服务器配置中设置值。详情请查看 mallopt(3)man page 中的 M_MXFAST 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 - 80 * (sizeof(size_t) / 4) |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-mxfast: 1048560 |
3.1.1.126. nsslapd-malloc-trim-threshold
如果使用 systemctl 实用程序将目录服务器实例作为服务启动,则除非您在 /etc/sysconfig/dirsrv 或 /etc/ 服务器。详情请查看 systemd.exec(3)man page。
sysconfig/dirsrv -name 文件中设置环境变量,否则不会将环境变量传递给
无需手动编辑服务文件来设置 M_TRIM_THRESHOLD 环境变量,nsslapd-malloc-trim-threshold 参数可让您在 Directory Server 配置中设置值。详情请查看 mallopt(3)man page 中的 M_TRIM_THRESHOLD 参数描述。
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 2^31-1 |
| 默认值 |
请参阅 mallopt(3)man page 中的 |
| 语法 | 整数 |
| 示例 | nsslapd-malloc-trim-threshold: 131072 |
3.1.1.127. nsslapd-nagle
当此属性的值 关闭时,将设置 TCP_NODELAY 选项,以便 LDAP 响应(如条目或结果消息)立即发送到客户端。当属性打开时,会应用默认 TCP 行为;特别是,发送数据会被延迟,以便将其他数据分组到底层网络 MTU 大小的一个数据包中,通常为以太网的 1500 字节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-nagle: off |
3.1.1.128. nsslapd-ndn-cache-enabled
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。更新 nsslapd-ndn-cache-max-size 参数,以设置此缓存的最大大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ndn-cache-enabled: on |
3.1.1.129. nsslapd-ndn-cache-max-size
规范化可分辨名称(DN)是一个资源密集型任务。如果启用了 nsslapd-ndn-cache-enabled 参数,目录服务器在内存中缓存规范化 DN。nsslapd-ndn-cache-max-size 参数设置这个缓存的最大大小。
如果请求的 DN 尚未缓存,则它会被规范化并添加。当超过缓存大小限制时,目录服务器会从缓存中删除最近使用的 10,000 DN。但是,最小 10,000 DN 总是被缓存。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 20971520 |
| 语法 | 整数 |
| 示例 | nsslapd-ndn-cache-max-size: 20971520 |
3.1.1.130. nsslapd-outbound-ldap-io-timeout
此属性限制所有出站 LDAP 连接的 I/O 等待时间。默认值为 300000 毫秒(5 分钟)。值为 0 表示服务器不会对 I/O 等待时间施加限制。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 300000 |
| 语法 | DirectoryString |
| 示例 | nsslapd-outbound-ldap-io-timeout: 300000 |
3.1.1.131. nsslapd-pagedsizelimit(为 Simple Paged Results Searches 为限制)
此属性设置从 专门使用简单页结果控制的 搜索操作返回的最大条目数。这会覆盖页面搜索的 nsslapd-sizelimit 属性。
如果将此值设置为零,则使用 nsslapd-sizelimit 属性来分页搜索以及非页面搜索。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | |
| 语法 | 整数 |
| 示例 | nsslapd-pagedsizelimit: 10000 |
3.1.1.132. nsslapd-plug-in
此只读属性列出了由服务器加载的语法和匹配规则插件的插件条目的 DN。
3.1.1.133. nsslapd-plugin-binddn-tracking
设置用作条目修饰符的绑定 DN,即使操作本身是由服务器插件启动的。执行该操作的特定插件列在单独的操作属性 internalModifiersname 中。
个更改可以触发目录树中的其他自动更改。当删除某个用户时,例如,该用户将自动从它所属的任何组中删除。用户的初始删除是由绑定到服务器的任何用户帐户执行的,但由插件执行的组更新(默认)将显示为由插件执行,没有有关用户启动更新的信息。nsslapd-plugin-binddn-tracking 属性允许服务器跟踪哪个用户源自于更新操作,以及实际执行它的内部插件。例如:
dn: cn=my_group,ou=groups,dc=example,dc=com modifiersname: uid=jsmith,ou=people,dc=example,dc=com internalModifiersname: cn=referential integrity plugin,cn=plugins,cn=config
此属性默认为禁用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-binddn-tracking: on |
3.1.1.134. nsslapd-plugin-logging
默认情况下,即使访问日志被设置为记录内部操作,在访问日志文件中不会记录插件内部操作。您可以使用此参数在各个插件配置中启用日志,而不必在全局范围内控制它。
启用后,插件使用此全局设置,如果已启用,则日志访问和审计事件。
如果启用了 nsslapd-plugin-logging,并将 nsslapd-accesslog-level 设置为记录内部操作,未索引搜索和其他内部操作会记录到访问日志文件中。
如果没有设置 nsslapd-plugin-logging,则来自插件的未索引搜索仍会在 Directory Server 错误日志中记录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-plugin-logging: off |
3.1.1.135. nsslapd-port(端口号)
此属性提供用于标准 LDAP 通信的 TCP/IP 端口号。要通过此端口运行 TLS,请使用 Start TLS 扩展操作。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024 表示目录服务器必须作为 root 启动。
服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser 值。更改配置目录的端口号时,必须更新配置目录中的对应服务器实例条目。
必须重新启动服务器,以便更改要考虑的端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 0 到 65535 |
| 默认值 | 389 |
| 语法 | 整数 |
| 示例 | nsslapd-port: 389 |
如果启用了 LDAPS 端口,则将端口号设为 0( 0)以禁用 LDAP 端口。
3.1.1.136. nsslapd-privatenamespaces
这个 read-only 属性包含专用命名上下文 cn=config、cn=schema 和 cn=monitor 的列表。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | cn=config, cn=schema 和 cn=monitor |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-privatenamespaces: cn=config |
3.1.1.137. nsslapd-pwpolicy-inherit-global(继承全局密码语法)
如果没有设置细粒度密码语法,则不会检查新的或更新的密码,即使配置了全局密码语法。要继承全局精细的密码语法,可在 上 将此属性设置为。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-inherit-global: off |
3.1.1.138. nsslapd-pwpolicy-local(启用子树和用户级密码策略)
开启和关闭精细(subtree- 和 user-level)密码策略。
如果此属性的值为 off,则目录中所有条目( cn=Directory Manager除外)都受到全局密码策略;服务器会忽略任何定义的子树/用户级别密码策略。
如果此属性的值在 上,服务器会检查子树和用户级别的密码策略,并强制这些策略。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-pwpolicy-local: off |
3.1.1.139. nsslapd-readonly(只读)
此属性会设置整个服务器是否处于只读模式,这意味着无法修改数据库中的数据或配置信息。任何以只读模式修改数据库都会返回一个错误,表示服务器不符来执行操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-readonly: off |
3.1.1.140. nsslapd-referral(Referral)
这个多值属性指定当服务器收到不属于本地树的条目请求时返回的 LDAP URL;即后缀的条目与任何后缀属性中指定的值不匹配。例如,假设服务器只包含条目:
ou=People,dc=example,dc=com
但是,请求针对这个条目:
ou=Groups,dc=example,dc=com
在这种情况下,引用程序将试图使 LDAP 客户端找到包含所需条目的服务器。虽然每个目录服务器实例只允许一个引用,但这种引用可以有多个值。
要使用 TLS 通信,引用属性应该采用 ldaps://server-location 的形式。
启动 TLS 不支持引用。
有关管理引用的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"配置目录数据库"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referral: ldap://ldap.example.com/dc=example,dc=com |
3.1.1.141. nsslapd-referralmode(Referral Mode)
设置后,此属性会在任何后缀上发送任何请求的引用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的 LDAP URL |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-referralmode: ldap://ldap.example.com |
3.1.1.142. nsslapd-require-secure-binds
此参数要求用户通过受保护的连接(如 TLS、StartTLS 或 SASL)而不是常规连接对目录进行身份验证。
这只适用于经过身份验证的绑定。匿名绑定和未经身份验证的绑定仍可通过标准频道完成,即使打开了 nsslapd-require-secure-binds。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-require-secure-binds: on |
3.1.1.143. nsslapd-requiresrestart
此参数列出了修改后重启服务器的其他核心配置属性。这意味着,如果 nsslapd-requiresrestart 中列出的任何属性已更改,新设置将在服务器重启后才会生效。可以在 ldapsearch 中返回属性列表:
ldapsearch -D "cn=Directory Manager" -W -p 389 -h server.example.com -b "cn=config" -s sub -x "(objectclass=*)" | grep nsslapd-requiresrestart
此属性为多值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何核心服务器配置属性 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-requiresrestart: nsslapd-cachesize |
3.1.1.144. nsslapd-reservedescriptors(保留文件描述符)
此属性指定 Directory 服务器为管理非客户端连接(如索引管理和管理复制)保留的文件描述符数量。服务器为此目的保留的文件描述符数量从可用于服务 LDAP 客户端连接的文件描述符总数中减去(See 第 3.1.1.118 节 “nsslapd-maxdescriptors(最大文件描述符)”)。
目录服务器的大部分安装应该不需要更改此属性。但是,如果以下所有情况都为 true,请考虑增加此属性中的值:
- 服务器被复制到大量消费者服务器(超过 10),或者服务器维护大量的索引文件(超过 30 个)。
- 服务器为大量 LDAP 连接提供服务。
- 错误消息会报告服务器无法打开文件描述符(实际错误消息因服务器试图执行的操作而异),但这些错误消息与管理客户端 LDAP 连接 无关。
增加此属性的值可能会导致更多的 LDAP 客户端无法访问该目录。因此,这个属性中的值会被增加,也会增加 nsslapd-maxdescriptors 属性中的值。如果服务器已经使用操作系统允许进程的最大文件描述符数,则无法增大 nsslapd-maxdescriptors 值;详情请查看操作系统文档。如果出现这种情况,则会导致 LDAP 客户端搜索替代目录副本来减少服务器上的负载。有关传入连接文件描述符使用情况的信息,请参阅 第 3.1.1.62 节 “nsslapd-conntablesize”。
要协助计算为此属性设定的文件描述符数量,请使用以下公式:
nsslapd-reservedescriptor = 20 + (NldbmBackends * 4) + NglobalIndex + ReplicationDescriptor + ChainingBackendDescriptors + PTADescriptors + SSLDescriptors
- NldbmBackends 是 ldbm 数据库的数量。
- NglobalIndex 是所有数据库配置的索引总数,包括系统索引。(默认情况下,每个数据库有 8 个系统索引和 17 个额外索引)。
- ReplicationDescriptor 是 8(8),以及可以充当供应商或中心(NSupplierReplica)的服务器中的副本数。
-
ChainingBackendDescriptors 是 nsOperationConnectionsLimit (默认链或数据库链路配置属性)的 NchainingBackend times。
-
如果配置了 PTA,则 PTA 描述符 为
3;如果没有配置 PTA,则00。 -
如果配置了 TLS 和
0,则 SSLDescriptors 是5(4 个文件 + 1 侦听套接字)。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 64 |
| 语法 | 整数 |
| 示例 | nsslapd-reservedescriptors: 64 |
3.1.1.145. nsslapd-re return-exact-case(Re return Exact Case)
返回客户端请求的属性类型名称的确切情况。虽然与 LDAPv3 兼容的客户端必须忽略属性名称,但有些客户端应用程序需要属性的名称与在 Directory 服务器返回属性时所列出的属性完全匹配。但是,大多数客户端应用会忽略属性的大小写;因此,此属性被禁用。不要修改它,除非有旧客户端可以检查从服务器返回的属性名称的情况。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-re return-exact-case: off |
3.1.1.146. nsslapd-rewrite-rfc1274
此属性已弃用,并将在以后的版本中删除。
此属性仅适用于需要使用其 RFC 1274 名称返回属性类型的 LDAPv2 客户端。为这些客户端将 值设置为 上的。默认为 off。
3.1.1.147. nsslapd-rootdn(管理器 DN)
此属性设置条目的可分辨名称(DN),这些条目不受访问控制限制、对该目录操作的管理限制或一般的资源限值。不必是与此 DN 对应的条目,默认情况下没有此 DN 的条目,因此可以接受 cn=Directory Manager 等值。
有关更改根 DN 的详情,请参考 Red Hat Directory Server Administration Guide 中的"创建目录条目"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的可识别名称 |
| 默认值 | |
| 语法 | DN |
| 示例 | nsslapd-rootdn: cn=Directory Manager |
3.1.1.148. nsslapd-rootpw(Root Password)
此属性设置与 Manager DN 关联的密码。提供 root 密码后,它会根据为 nsslapd-rootpwstoragescheme 属性选择的加密方法进行加密。从服务器控制台查看时,此属性显示值 *。从 dse.ldif 文件中查看时,此属性显示加密方法后跟密码的加密字符串。示例中显示了在 dse.ldif 文件中显示的密码,而不是实际密码。
在服务器设置中配置根 DN 时,需要一个 root 密码。但是,可以通过直接编辑 文件,从 dse.ldif 中删除 root 密码。在这种情况下,根 DN 只能获得对目录的相同访问权限,以进行匿名访问。当为数据库配置了 root DN 时,请务必确保在 dse. conf 中定义 root 密码。pwdhash 命令行实用程序可创建一个新的 root 密码。更多信息请参阅 第 9.6 节 “pwdhash”。
通过命令行重置 Directory Manager 密码时,请勿在 密码中使用大括号({})。root 密码以 {password-storage-scheme}hashed_password 格式保存。大括号中的任何字符都由服务器解释为 root 密码的密码存储方案。如果该文本不是有效的存储方案,或者后面的密码没有正确散列,则 Directory Manager 无法绑定到服务器。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的密码,由 第 4.1.43 节 “密码存储” 中描述的任何一种加密方法加密。 |
| 默认值 | |
| 语法 | DirectoryString {encryption_method }encrypted_Password |
| 示例 | nsslapd-rootpw: {SSHA}9Eko69APCJfF |
3.1.1.149. nsslapd-rootpwstoragescheme(Root Password Storage Scheme)
此属性设置用于加密存储在 nsslapd-rootpw 属性中的 Directory 服务器管理器密码的方法。详情请查看推荐的强密码存储方案。第 4.1.43 节 “密码存储”
此设置不需要重启服务器才能生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 请参阅 第 4.1.43 节 “密码存储”。 |
| 默认值 | PBKDF2_SHA256 |
| 语法 | DirectoryString |
| 示例 | nsslapd-rootpwstoragescheme: PBKDF2_SHA256 |
3.1.1.150. nsslapd-rundir
此参数设置目录服务器存储运行时信息的目录的绝对路径,如 PID 文件。目录必须由 Directory Server 用户和组所有。只有这个用户和组必须在这个目录中具有读写权限。
服务必须重启才能使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | Directory Server 用户可写入的任何目录 |
| 默认值 | /var/run/dirsrv/ |
| 语法 | DirectoryString |
| 示例 | nsslapd-rundir: /var/run/dirsrv/ |
3.1.1.151. nsslapd-sasl-mapping-fallback
默认情况下,只检查第一个匹配的 SASL 映射。如果这个映射失败,绑定操作也会失败,即使存在其他匹配映射可能已经正常工作。SASL 映射回退将保留检查所有匹配映射。
您不必重新启动服务器,才能使此设置生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-sasl-mapping-fallback: off |
3.1.1.152. nsslapd-sasl-max-buffer-size
此属性设置最大 SASL 缓冲区大小。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 67108864(64 KB) |
| 语法 | 整数 |
| 示例 | nsslapd-sasl-max-buffer-size: 67108864 |
3.1.1.153. nsslapd-saslpath
设置包含 Cyrus-SASL SASL2 插件的目录的绝对路径。设置此属性可让服务器使用自定义或非标准 SASL 插件库。这通常在安装过程中正确设置,红帽强烈建议您不要更改此属性。如果属性不存在或者值为空,这意味着 Directory 服务器正在使用系统提供的 SASL 插件库,它们是正确的版本。
如果设置此参数,服务器将使用指定的路径来加载 SASL 插件。如果没有设置此参数,服务器将使用 SASL_PATH 环境变量。如果没有设置 nsslapd-saslpath 或 SASL_PATH,服务器会尝试从默认位置 /usr/lib/sasl2 中加载 SASL 插件。
对此属性所做的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 插件目录的路径。 |
| 默认值 | 平台依赖 |
| 语法 | DirectoryString |
| 示例 | nsslapd-saslpath: /usr/lib/sasl2 |
3.1.1.154. nsslapd-schema-ignore-trailing-spaces(Ignore Trailing Spaces in Object Class Names)
忽略对象类名称中的尾部空格。默认情况下关闭 属性。如果目录中包含对象类值以一个或多个空格结尾的条目,请打开此属性。最好删除结尾的空格,因为 LDAP 标准不允许它们。
出于性能原因,需要重启服务器才能使更改生效。
当对象类中包含尾部空格的对象类被添加到条目中时,会默认返回一个错误。另外,在添加、修改和导入过程中(如果添加对象类被扩展并缺少未填充的空格)将忽略(如果适用)。这意味着,即使 nsslapd-schema-ignore-trailing-spaces 位于 中时,即使 top 已存在,则不会添加值为 top。如果未找到对象类并且包含尾随空格,则会记录错误消息并返回到客户端。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-schema-ignore-trailing-spaces: on |
3.1.1.155. nsslapd-schemacheck(架构检查)
此属性会设置在添加或修改条目时是否强制数据库 schema。当此属性的 值为 时,Directory 服务器不会检查现有条目的 schema,直到它们被修改为止。数据库架构定义数据库中允许的信息类型。可以使用对象类和属性类型扩展默认模式。有关如何使用 Directory 服务器控制台扩展模式的详情,请参考 Red Hat Directory Server Administration Guide 中的"扩展目录架构"章节。
红帽强烈建议不要关闭模式检查。这可能会导致严重的互操作性问题。这通常用于必须导入到目录服务器中的旧或非标准 LDAP 数据。如果这个问题没有很多条目,请考虑使用这些条目中的 extensibleObject 对象类来禁用每个条目的 schema 检查。
在使用 LDAP 客户端进行数据库修改时,诸如 ldapmodify 或使用 ldif2db 从 LDIF 导入数据库时,架构检查默认可以正常工作。如果关闭 schema 检查,则必须手动验证每个条目,以查看它们是否符合 schema。如果启用架构检查,服务器会发送一条错误消息,其中列出了与架构不匹配的条目。确保 LDIF 语句中创建的属性和对象类都正确拼写,并在 dse.ldif 中识别。在 schema 目录中创建 LDIF 文件,或者将元素添加到 99user.ldif。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemacheck: on |
3.1.1.156. nsslapd-schemadir
这是包含 Directory Server 实例特定架构文件的目录绝对路径。当服务器启动时,它将从该目录读取模式文件,当通过 LDAP 工具修改模式时,会更新该目录中的 schema 文件。该目录必须由服务器用户 ID 所有,并且该用户必须具有该目录的读取和写入权限。
对此属性所做的更改将在服务器重启前生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的路径 |
| 默认值 | /etc/dirsrv/instance_name/schema |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemadir: /etc/dirsrv/instance_name/schem |
3.1.1.157. nsslapd-schemamod
在线模式修改需要存在影响性能的锁定保护。如果禁用了模式修改,将此参数设置为 off 可提高性能。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemamod: on |
3.1.1.158. nsslapd-schemareplace
决定在 cn=schema 条目中是否允许修改替换属性值的操作。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off | 仅复制 |
| 默认值 | 仅复制 |
| 语法 | DirectoryString |
| 示例 | nsslapd-schemareplace: replication-only |
3.1.1.159. nsslapd-search-return-original-type-switch
如果传递给搜索的属性列表包含空格后跟其他字符,则会向客户端返回相同的字符串。例如:
# ldapsearch -b <basedn> "(filter)" "sn someothertext" dn: <matched dn> sn someothertext: <sn>
默认禁用此行为,但可使用此配置参数启用。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-search-re return-type-switch: off |
3.1.1.160. nsslapd-securelistenhost
此属性允许多个 Directory 服务器实例在多设备计算机上运行(或者可以将其限制为多个homed 计算机的一个接口)。可以有多个与单一主机名关联的 IP 地址,这些 IP 地址可能是 IPv4 和 IPv6 的组合。此参数可用于将 Directory 服务器实例限制到单个 IP 接口;此参数还可具体设置用于 TLS 流量的接口,而不是常规 LDAP 连接。
如果主机名以 nsslapd-securelistenhost 值形式提供,则 Directory 服务器会响应与主机名关联的每个接口的请求。如果为单个 IP 接口(IPv4 或 IPv6)被指定为 nsslapd-securelistenhost 值,则 Directory 服务器仅响应发送到该特定接口的请求。可以使用 IPv4 或 IPv6 地址。
必须重新启动服务器,以使对此属性的更改生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何安全主机名、IPv4 或 IPv6 地址 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-securelistenhost: ldaps.example.com |
3.1.1.161. nsslapd-securePort(Encrypted Port Number)
此属性设置用于 TLS 通信的 TCP/IP 端口号。这个所选端口必须在主机系统中唯一;确保其他应用程序没有使用相同的端口号。指定端口号小于 1024 的端口号,要求以 root 用户身份启动目录服务器。服务器在启动后将其 nsslapd-localuser 值设置为 nsslapd-localuser 值。
如果服务器配置了私钥和证书,并且 nsslapd-security 设为 上的 nsslapd-security,则服务器仅侦听此端口。
必须重新启动服务器,以便更改要考虑的端口号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 65535 |
| 默认值 | 636 |
| 语法 | 整数 |
| 示例 | nsslapd-securePort: 636 |
3.1.1.162. nsslapd-security(Security)
此属性设定目录服务器是否接受加密端口上的 TLS 通信。对于安全连接,此属性应设置为 上的。要使用安全性运行,除了其他 TLS 配置外,服务器还必须使用私钥和服务器证书配置。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-security: off |
3.1.1.163. nsslapd-sizelimit(Size Limit)
此属性设置从搜索操作返回的最大条目数。如果达到这个限制,ns-slapd 将返回任何与搜索请求匹配的条目,以及超过大小限制错误。
如果没有设置限制,NSA -slapd 会将 每个匹配条目返回给客户端,而不考虑找到的数目。要设置不限制值,其中 Directory Server 会无限期等待搜索完成,在 dse.ldif 文件中为这个属性指定一个 -1 的值。
无论组织如何,这个限制适用于所有人。
dse.ldif 文件中的这个属性中的 -1 值与在服务器控制台中将属性留空相同,从而不会出现任何限制。这在 dse.ldif 文件中不能有 null 值,因为它不是有效的整数。可以将其设置为 0, 它为每个搜索 返回大小限制。
对应的 user-level 属性是 nsSizeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 2000 |
| 语法 | 整数 |
| 示例 | nsslapd-sizelimit: 2000 |
3.1.1.164. nsslapd-snmp-index
此参数控制 Directory Server 实例的 SNMP 索引号。
如果您在同一主机上有多个目录服务器实例,侦听所有在端口 389,但在不同的网络接口中,这个参数允许您为每个实例设置不同的 SNMP 索引号。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0 到最大 32 位整数值(2147483647) |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | nsslapd-snmp-index: 0 |
3.1.1.165. nsslapd-SSLclientAuth
nsslapd-SSLclientAuth 参数将在以后的发行版本中弃用,目前用于向后兼容。使用新的参数 nsSSLClientAuth,保存在 cn=encryption,cn=config 下。请参阅 第 3.1.4.5 节 “nsSSLClientAuth”。
3.1.1.166. nsslapd-ssl-check-hostname(验证 Outbound Connections 的主机名)
此属性可以设置启用 TLS 的目录服务器是否应该通过将主机名与所出证书中的主题名称(subjectDN 字段)分配的值匹配来验证请求的真实性。默认情况下,属性设为 上的。如果主机名位于 且与证书的 cn 属性不匹配,则会记录相关的错误和审计消息。
例如,在复制环境中,如果发现对等服务器的主机名与证书中指定的名称不匹配,则类似于以下内容的消息记录在供应商服务器的日志文件中:
[DATE] - SSL alert: ldap_sasl_bind("",LDAP_SASL_EXTERNAL) 81 (Netscape runtime error -12276 -
Unable to communicate securely with peer: requested domain name does not
match the server's certificate.)
[DATE] NSMMReplicationPlugin - agmt="cn=SSL Replication Agreement to host1" (host1.example.com:636):
Replication bind with SSL client authentication failed:
LDAP error 81 (Can't contact LDAP server)红帽建议在 上打开此属性,以防止 Directory 服务器对中间人(MITM)攻击的出站 TLS 连接。
为了使 DNS 和反向 DNS 正常工作,则必须正确设置 DNS 和反向 DNS;否则,服务器无法将对等 IP 地址解析为证书中 subject DN 中的主机名。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsslapd-ssl-check-hostname: on |
3.1.1.167. nsslapd-syntaxcheck
此属性会验证所有修改到条目属性,以确保新的或更改的值符合该属性类型的必要语法。任何不符合正确的语法的更改都会在启用此属性时被拒绝。所有属性值都会根据 RFC 4514 中的语法定义验证。
默认情况下启用它。
语法验证仅针对新的或修改的属性运行,它不会验证现有属性值的语法。为 LDAP 操作触发语法验证,如添加和修改;在复制等操作后不会发生,因为属性语法的有效性应该检查原始供应商。
这会验证 Directory 服务器支持的所有属性类型,但二进制语法(无法验证)和非标准语法除外,它们没有定义要求的格式。未验证 的语法如下:
- 传真(二进制)
- 10 月字符串(二进制)
- JPEG(二进制)
- 二进制(非标准)
- 在敏感字符串中空格(非标准)
- URI(非标准)
nsslapd-syntaxcheck 属性设置是否验证和拒绝属性修改。这可与 第 3.1.1.168 节 “nsslapd-syntaxlogging” 属性一起使用,将有关无效属性值的警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxcheck: on |
3.1.1.168. nsslapd-syntaxlogging
此属性设置是否将语法验证失败记录到错误日志。默认情况下关闭它。
如果启用了 第 3.1.1.167 节 “nsslapd-syntaxcheck” 属性(默认),并且启用了 nsslapd-syntaxlogging 属性,则任何无效的属性更改都会被拒绝,并写入错误日志。如果只启用 nsslapd-syntaxlogging,并且禁用 nsslapd-syntaxcheck,则允许无效的更改,但会将警告信息写入错误日志。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nnsslapd-syntaxlogging: off |
3.1.1.169. nsslapd-threadnumber(线程号)
这个性能调优与值设定线程数量,目录服务器会在启动时创建。如果该值设定为 -1( 默认),Directory 服务器可根据可用硬件启用优化的自动调整。请注意,如果启用了自动调整,则 nsslapd-threadnumber 显示 Directory 服务器运行时自动生成的线程数量。
红帽建议使用 auto-tuning 设置来优化性能。
详情请查看 Red Hat Directory Server Performance Tuning Guide 中的对应部分。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到系统线程和处理器限制支持的最大线程数 |
| 默认值 | -1 |
| 语法 | 整数 |
| 示例 | nsslapd-threadnumber: -1 |
3.1.1.170. nsslapd-timelimit(时间限制)
此属性设置为搜索请求分配的最大秒数。如果达到这个限制,Directory 服务器会返回任何与搜索请求匹配的条目,以及超过的时间限制错误。
如果没有设置限制,ns-slapd 会将每个匹配条目返回给客户端,而不考虑需要的时间。要设置 no limit 值,其中 Directory Server 会无限期等待搜索完成,在 dse.ldif 文件中为此属性指定一个 -1 的值。值为零(0)导致不允许搜索时间。最小时间限制为 1 秒。
dse.ldif 中的此属性中的 -1 值与将属性保留给服务器控制台中的空白值相同,这导致没有限制。但是,无法在服务器控制台的此字段中设置负整数,dse.ldif 条目中无法使用 null 值,因为它不是有效的整数。
对应的用户级属性是 nsTimeLimit。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | -1 到最大 32 位整数值(2147483647) |
| 默认值 | 3600 |
| 语法 | 整数 |
| 示例 | nsslapd-timelimit: 3600 |
3.1.1.171. nsslapd-tmpdir
这是服务器用于临时文件的目录的绝对路径。目录必须由服务器用户 ID 所有,用户必须具有读取和写入权限。没有其他用户 ID 应该对 目录具有读或写进。默认值为 /tmp。
对此属性所做的更改将在服务器重启前生效。
3.1.1.172. nsslapd-unhashed-pw-switch
当您更新 userPassword 属性时,Directory 服务器会加密密码并将其存储在 userPassword 中。但是,在某些情况下,当与 Active Directory(AD)同步密码时,Directory 服务器必须将未加密的密码传递给插件。在这种情况下,服务器在 so- called 条目扩展 中的临时 非hashed#user#password 属性中存储未加密的密码,具体取决于场景,也会在 changelog 中。请注意,Directory 服务器不会在服务器硬盘上存储临时的 unhashed#user#password 属性。
nsslapd-unhashed-pw-switch 参数控制目录服务器如何存储未加密的密码。例如,您必须将 nsslapd-unhashed-pw-switch 设置为 on,以便将目录服务器中的密码同步到 Active Directory。
您可以将 参数设置为以下值之一:
-
off:目录服务器不会将未加密的密码存储在条目扩展中,也存储在 changelog 中。如果您不使用密码与 AD 同步,或者任何需要访问未加密的密码的插件,则设置此值。 -
在 上:目录服务器在条目扩展和 changelog 中存储未加密的密码。如果与 AD 配置密码同步,则设置此值。 -
nolog: Directory 服务器只将未加密的密码存储在条目扩展中,而不是在 changelog 中存储。如果本地 Directory 服务器插件需要访问未加密的密码,但不会配置与 AD 同步密码,则设置此值。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | on | nolog |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | nsslapd-unhashed-pw-switch: off |
3.1.1.173. nsslapd-validate-cert
如果目录服务器配置为在 TLS 中运行并且其证书过期,则无法启动 Directory 服务器。nsslapd-validate-cert 参数设置 Directory 服务器在尝试使用过期证书时应如何响应:
-
warn允许 Directory 服务器成功启动过期的证书,但它会发送一条警告消息,其中发送证书已过期的警告消息。这是默认设置。 -
在验证证书
上,如果证书过期,并将阻止服务器重新启动。这会为过期的证书设置硬故障。 -
off禁用所有证书过期验证,因此服务器可以从过期的证书开始,而无需记录警告。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | warn | on | off |
| 默认值 | warn |
| 语法 | DirectoryString |
| 示例 | nsslapd-validate-cert: warn |
3.1.1.174. nsslapd-verify-filter-schema
nsslapd-verify-filter-schema 参数定义 Directory 服务器如何使用 schema 中指定的属性验证搜索过滤器。
您可以将 nsslapd-verify-filter-schema 设置为以下选项之一:
-
reject-invalid: Directory Server 拒绝过滤器,如果该过滤器包含任何未知元素。 process-safe: Directory Server 将 unknown 组件替换为空集,并在/var/log/dirsrv/slapd-instance_name/accesslog file 中记录带有notes=F标志的警告。在将
nsslapd-verify-filter-schema从warn-invalid或off切换到process-safe之前,请监控访问日志,并使用notes=F标志修复来自导致日志条目的应用程序的查询。否则,操作结果更改和目录服务器可能无法返回所有匹配条目。-
warn-invalid: Directory Server logs a warning with the/var/log/dirsrv/slapd-instance_name/access日志文件,并继续扫描完整的数据库。 -
off:目录服务器无法验证过滤器。
请注意,例如,如果您将 nsslapd-verify-filter-schema 设置为 warn-invalid 或 off,则会有一个过滤器,如 (&(non_existent_attribute=example)(uid=user_name) 评估 uid=user_name 条目,并且只包含 non_existent_attribute=example。如果您将 nsslapd-verify-filter-schema 设置为 process-safe,Directory 服务器不会评估该条目,且不会返回它。
将 nsslapd-verify-filter-schema 设置为 reject-invalid 或 process-safe,可以防止高负载,因为未索引搜索在 schema 中没有指定的属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | reject-invalid, process-safe, warn-invalid, off |
| 默认值 | warn-invalid |
| 语法 | DirectoryString |
| 示例 | nsslapd-verify-filter-schema: warn-invalid |
3.1.1.175. nsslapd-versionstring
此属性设置服务器版本号。显示版本字符串时,构建数据会被自动附加。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何有效的服务器版本号。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsslapd-versionstring: Red Hat-Directory/11.3 |
3.1.1.176. nsslapd-workingdir
这是服务器在启动时用作当前工作目录的绝对路径。这是服务器返回为 getcwd() 函数的值,系统进程表显示为其当前工作目录的值。这是生成核心文件的目录。服务器用户 ID 必须对该目录具有读写权限,其他用户 ID 则不应具有对其的读取或写入访问权限。此属性的默认值为与包含错误日志相同的目录,通常是 /var/log/dirsrv/slapd-实例。
对此属性所做的更改将在服务器重启前生效。
3.1.1.177. passwordAllowChangeTime
此属性指定在允许用户更改密码前必须经过的时间长度。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何整数 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | passwordAllowChangeTime: 5h |
3.1.1.178. passwordChange(密码更改)
指明用户是否可以更改密码。
这可以简写为 pwdAllowUserChange。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordChange: on |
3.1.1.179. passwordCheckSyntax(检查密码语法)
此属性设置是否在保存密码前检查密码语法。密码语法检查机制检查密码是否满足或超过密码最小长度要求,并且字符串不包含任何简单的词语,如用户名或用户 ID,或者存储在 uid、cn、sn、sn、givenName、ou、ou、mail 属性中的任何属性值。
密码语法包括几个不同的检查类别:
- 在检查密码中的微简单词语时用来比较字符串或令牌的长度(例如,如果令牌长度为 3,则用户 UID、名称、电子邮件地址或其他参数都可以在密码中使用任何字符串)
- 最小数字字符数(0-9)
- 最少大写字母 ASCII 字母字符数
- 小写字母 ASCII 字母字符数
-
最少特殊的 ASCII 字符数,如
!@#$ - 最小 8 位字符数
- 每个密码所需的最少字符类别数 ; 类别可以是大写或小写字母、特殊字符、数字或 8 位字符
这可缩写为 pwdCheckSyntax。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordCheckSyntax: off |
3.1.1.180. passwordDictCheck
如果设置为 on,则 passwordDictCheck 参数会根据 CrackLib 字典检查密码。如果新密码包含字典里,目录服务器会拒绝密码。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordDictCheck: off |
3.1.1.181. passwordExp(密码过期)
指明用户密码在给定秒数后过期。默认情况下,用户密码不会过期。启用密码过期后,设置密码使用 passwordMaxAge 属性过期的秒数。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户帐户"章节。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordExp: on |
3.1.1.182. passwordExpirationTime
此属性指定用户的密码过期之前通过的时间长度。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 任何日期,以整数为单位 |
| 默认值 | none |
| 语法 | GeneralizedTime |
| 示例 | passwordExpirationTime: 202009011953 |
3.1.1.183. passwordExpWarned
此属性表示已将密码过期警告发送到用户。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | true | false |
| 默认值 | none |
| 语法 | DirectoryString |
| 示例 | passwordExpWarned: true |
3.1.1.184. passwordGraceLimit(Password Expiration)
此属性仅在启用密码过期时才适用。在用户密码到期后,服务器允许用户连接 以更改密码。这称为 宽限期。服务器允许在完全锁定用户前进行一定次数的尝试。此属性是允许的宽限期数。0 表示服务器不允许进行远程登录。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 0(off)到任何合理的整数 |
| 默认值 | 0 |
| 语法 | 整数 |
| 示例 | passwordGraceLimit: 3 |
3.1.1.185. 密码历史记录(密码历史)
启用密码历史记录。密码历史记录指的是是否允许用户重复使用密码。默认情况下,密码历史记录被禁用,用户可以重复使用密码。如果在 上 将此属性设置为,则目录会保存给定数量的旧密码,并阻止用户重复使用任何存储的密码。使用 passwordInHistory 属性设置 Directory 服务器存储的旧密码数量。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | 密码历史记录: |
3.1.1.186. passwordInistory(无法记住密码)
表示 Directory 服务器存储在历史记录中的密码数量。存储在历史记录中的密码不能被用户重复使用。默认情况下,密码历史记录功能被禁用,这意味着 Directory 服务器无法存储任何旧的密码,因此用户可以重复使用密码。使用 passwordHistory 属性启用密码历史记录。
要防止用户通过跟踪的密码数量快速循环,请使用 passwordMinAge 属性。
这可以被缩写为 pwdInHistory。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效范围 | 1 到 24 个密码 |
| 默认值 | 6 |
| 语法 | 整数 |
| 示例 | passwordInistory: 7 |
3.1.1.187. passwordIsGlobalPolicy(密码策略和复制)
此属性控制是否复制密码策略属性。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordIsGlobalPolicy: off |
3.1.1.188. passwordLegacyPolicy
启用旧密码行为。旧的 LDAP 客户端应该在 超过 最大故障限制后收到锁定用户帐户的错误。例如,如果限制有三个失败,则帐户在第四次尝试时锁定。但是,较新的客户端预计在达到故障限制时收到错误消息。例如,如果限制有三个失败,则应在第三个失败时锁定该帐户。
由于在超过故障限制时锁定帐户是旧的行为,所以它被视为旧行为。它默认为启用,但可以禁用以允许新的 LDAP 客户端在预期时收到错误。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | passwordLegacyPolicy: on |
3.1.1.189. passwordLockout(帐户锁定)
指明用户在指定失败次数的绑定尝试失败后是否锁定该目录。默认情况下,在一系列绑定尝试失败后用户不会锁定该目录。如果启用了帐户锁定,请设置在用户锁定 使用密码MaxFailure 属性后失败的绑定尝试次数。
这可以被缩写为 pwdLockOut。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Administration Guide 中的"管理用户身份验证"一章。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | passwordLockout: off |
3.1.1.190. passwordLockoutDuration(Lockout Duration)
指明在帐户锁定后用户锁定目录的时间(以秒为单位)。帐户锁定功能可以防止尝试通过重复尝试猜测到用户的密码的黑客攻击。使用 passwordLockout 属性启用和禁用帐户锁定功能。
这可以被缩写为 pwdLockoutDuration。
有关密码策略的更多信息,请参阅 Red Hat Directory Server Admini