Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Directory Proxy Server 5 2004Q2 管理ガイド 

第 8 章
プロパティオブジェクトの定義と管理

このマニュアルの配備に関する章でも説明しましたが、Directory Proxy Server は LDAP アクセスルータとして機能し、非公開ディレクトリ情報を未認証のアクセスから保護しながら、公開情報を安全に公表するのに役立ちます。サーバーは、数千の LDAP クライアント要求を処理し、要求をディレクトリサーバーにルーティングする前に詳細なアクセス制御規則とプロトコルフィルタリング規則を適用できます。

Directory Proxy Server のプロパティオブジェクトを使用することで、特別な制限を LDAP クライアントに適用することができます。これらのプロパティは、制限の適用が必要なその他のエントリに含めることもできます。この章では、各プロパティの概要を示し、Directory Proxy Server 設定エディタコンソールを使用してプロパティオブジェクトを作成する方法について説明します。

この章で説明する項目は、次のとおりです。

属性名変更プロパティ

通常、LDAP ディレクトリには組織の従業員やネットワークリソースなどのエントリに関する情報が含まれます。それぞれのエントリは、ディレクトリ内に 1 つのエントリを持ちます。ディレクトリ内の各エントリは、識別名 (DN) によって識別され、属性セットとその値によって表されます。各エントリは、そのエントリが記述するオブジェクトの種類を指定するオブジェクトクラス属性を持ち、そこに含まれる追加属性のセットを定義します。各属性は、エントリの特性を示します。たとえば、オブジェクトクラスが organizationalPerson で、特定の組織のメンバーを表すエントリがあるとします。このオブジェクトクラスには、givenname 属性と telephoneNumber 属性があります。これらの属性に割り当てられた値は、エントリが示すメンバーの名前と電話番号を表します。

多くのディレクトリ配備では、LDAP クライアント側に定義されている属性は、サーバー側に定義されている属性にマップしません。このような状態でクライアントとサーバーの間の通信を利用できるように、Directory Proxy Server は属性名の変更をサポートします。つまり、Directory Proxy Server は、クライアントクエリをディレクトリサーバーに渡す前に、クエリ内の属性名をディレクトリサーバーが認識できる形式に変更し、サーバーからの応答をクライアントに渡す前にも同様の処理を行うことができます。

図 8-1 は、スキーママッピングで Directory Proxy Server の属性名変更機能がどのように使用されるかを示しています。

図 8-1 属性名変更プロパティによるスキーマのマッピング

Directory Proxy Server は、クライアントクエリをディレクトリサーバーに渡す前に、クエリ内の属性名をディレクトリサーバーが認識できる形式に変更します。

電子メールクライアントは、人名の姓を「surname」という属性の値として想定し、LDAP サーバーは姓を「sn」という属性の値として想定しています。Directory Proxy Server がこの 2 つの属性をマップするときに、変更されるのは属性名だけで、属性の値は変更されません。

クライアントとサーバーの属性名に影響する規則を定義するときは、属性名変更プロパティを使用します。対応するサーバー属性にマップしたり逆にマップされたりする必要があるクライアント属性の名前を指定します。これにより、クライアント要求にサーバーが認識できない属性名が含まれている場合でも、Directory Proxy Server はそれをサーバーが認識できる名前にマップできるので、クライアントからサーバーへの通信が可能になります。同様に、サーバーが応答を返す場合にも、Directory Proxy Server はクライアントが認識できない属性を認識できる形式に変換します。

次に、Directory Proxy Server 設定エディタコンソールを使用して、属性名変更プロパティのオブジェクトを作成する方法について説明します。

属性名変更プロパティのオブジェクトを作成するときは、サーバー属性とクライアント属性の両方を指定する必要があります。指定していない場合、Directory Proxy Server は起動に失敗します。

属性名変更プロパティオブジェクトの作成

属性名変更のためのクライアント属性とサーバー属性を指定するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを展開し、「属性名変更」を選択します。

    3. 属性名変更プロパティの既存のオブジェクトが右のペインにリスト表示されます。
    Directory Proxy Server 設定エディタコンソールの「属性名変更プロパティ」ウィンドウ。

  3. 「新規」をクリックします。

    4. 「属性名変更プロパティ」ウィンドウが表示されます。
    Directory Proxy Server 設定エディタコンソールの「属性名変更プロパティ」ウィンドウ。

  4. 「名前」フィールドにプロパティオブジェクトの名前を入力します。この名前には、一意の英数文字列を指定する必要があります。

    属性名は、7 ビット文字だけで指定する必要があります。

  5. マッピングする属性を残りのフィールドに指定します。

    6. 属性名変更の値は、それぞれがピリオドで区切られた 10 進数として指定することができます (2.5.4.10 など)。また、属性タイプとしてテキスト形式の名前を 1 つ以上割り当てることができます。これらの名前は文字で始める必要がありますが、2 番目以降には ASCII 文字、数字、およびハイフンを使用することもできます。大文字と小文字は区別されません。

    サーバーが認識している属性の名前 : サーバーが認識している属性の名前を入力します。

    クライアントが認識している属性の名前 : クライアントが認識している属性の名前を入力します。

    クライアントの要求に、「クライアントが認識している属性の名前」で指定した属性名が含まれている場合、その属性名は「サーバーが認識している属性の名前」の値に変換されます。同様に、サーバーから送信された結果に、「サーバーが認識している属性の名前」で指定した属性名が含まれている場合、その属性名は「クライアントが認識している属性の名前」の値に変換されます。

  6. 「保存」をクリックして、オブジェクトを作成します。

    7. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  7. 必要なすべての追加オブジェクトについて、手順 3 から手順 6 を繰り返します。
  8. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

禁止エントリプロパティ

さまざまな理由から、LDAP ディレクトリ内の特定のエントリ (または、そのエントリを表わす属性) を LDAP クライアントで表示できないように設定しなければならないことがあります。たとえば、全従業員のエントリがディレクトリに含まれ、名前、電子メールアドレス、部署、勤務地、事務所の電話番号、自宅の電話番号などの従業員データに対応する属性が各エントリに含まれている場合、従業員の自宅の電話番号をクライアント側で表示できないようにすることができます。

禁止エントリは、LDAP クライアントで非表示にする必要のある、LDAP ディレクトリ内のエントリです。このような状況でクライアントとディレクトリサーバーとの通信を利用できるように、Directory Proxy Server は禁止エントリをサポートしています。Directory Proxy Server は、これらのエントリの LDAP エントリと属性を LDAP クライアント側で非表示にすることができます。

ディレクトリエントリとその属性の非表示に影響する規則を定義するときは、禁止エントリプロパティを使用します。このプロパティを使用することで、非表示にする必要のあるエントリまたはその属性のリストを、いくつかの方法で指定できます。たとえば、次のような方法で指定できます。

次に、Directory Proxy Server 設定エディタコンソールを使用して、禁止エントリプロパティのオブジェクトを作成する方法について説明します。

禁止エントリプロパティオブジェクトの作成

クライアント側で非表示にするエントリまたは属性を指定するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを展開し、「禁止エントリ」を選択します。

    3. 禁止エントリプロパティの既存のオブジェクトが右のペインにリスト表示されます。
    Directory Proxy Server 設定エディタコンソールの「禁止エントリプロパティ」ウィンドウ。

  3. 「新規」をクリックします。

    4. 「禁止エントリプロパティ」ウィンドウが表示されます。
    Directory Proxy Server 設定エディタコンソールの「禁止エントリプロパティ」ウィンドウ (「エントリマッチング」タブ)。

  4. 「名前」フィールドにプロパティオブジェクトの名前を入力します。この名前には、一意の英数文字列を指定する必要があります。
  5. 「エントリマッチング」タブで、適切な値を指定します。このタブには、このプロパティの名前と非表示にする LDAP エントリの設定が表示されます。

    6. 追加 : LDAP エントリを非表示にする条件を追加するためのメニューを表示します。指定できる条件のタイプは、「絶対 DN」、「正規 DN 表現」、または「属性/値ペア」です。エントリ名は、直接入力するだけでなく、ディレクトリ情報ツリーで既存のエントリを参照することができます。

    絶対 DN : 非表示にするエントリの DN を入力するためのダイアログを表示します。

    正規 DN 表現 : 非表示にするエントリの DN の正規表現を入力するためのダイアログを表示します。DN の正規表現は、通常の形式で指定する必要があります。つまり、RDN コンポーネントと等号 (=) の間には空白文字を挿入せず、属性名と値をすべて大文字で指定する必要があります。

    たとえば、すべての DN を「ou=internal」という RDN コンポーネントと一致させるには、次のように指定する必要があります。

    .*OU=INTERNAL.*

    「属性のフィルタリング」タブに、含まれる属性名がリストされていて、任意の属性がそのリストのどの属性とも一致しない場合、その属性は返されません。「属性のフィルタリング」タブで除外される属性と一致する属性が LDAP エントリに含まれていない場合、その LDAP エントリは返されます。

    正規表現については、次の文献を参考にしてください。『Mastering Regular Expressions』、Friedl および Oram 著、O'Reilly 発行、ISBN: 1565922573

    属性/値ペア : 属性の名前と値の組み合わせを指定するためのダイアログを表示します。指定した属性名/値のペアと一致する属性名/値のペアがエントリに含まれている場合、そのエントリまたはそのコンテンツの一部は非表示になります。

    たとえば、「ou=internal」または「secret=yes」のどちらかを属性の 1 つとして含むエントリをすべて非表示にする場合は、「ou」という属性と「internal」という値を指定します。

    編集 : 現在選択されているテーブル内のエントリを編集するためのダイアログを表示します。

    削除 : 現在選択されているテーブル内のエントリを削除します。

  6. 「属性のフィルタリング」タブを選択し、適切な値を指定します。
    Directory Proxy Server 設定エディタコンソールの「禁止エントリプロパティ」ウィンドウ (「属性のフィルタリング」タブ)。

    7. このタブには、ある特定の属性を除外したり、含めたりすることができる設定が表示されます。

    エントリ全体を除外 : 属性のフィルタリングを実行せず、エントリ全体を非表示にする場合は、このオプションを選択します。

    エントリから次の属性のみを除外 : 上記のどの指定にも適合するエントリから除外する属性名のリストがテーブルに含まれるようにする場合は、このオプションを選択します。

    エントリから次の属性のみを含む : 上記のどの指定にも適合するエントリの一部として返すことができる属性名のリストがテーブルに含まれるようにする場合は、このオプションを選択します。

  7. 「保存」をクリックして、オブジェクトを作成します。

    8. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  8. 必要なすべての追加オブジェクトについて、手順 3 から手順 7 を繰り返します。
  9. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

LDAP サーバープロパティ

ディレクトリの配備では、Directory Proxy Server は LDAP クライアントと LDAP ディレクトリサーバーの間に配置されます。は、LDAP クライアントからの要求を LDAP ディレクトリサーバーにルーティングする前、およびディレクトリサーバーからの応答をクライアントに渡す前に、これらの要求と応答をフィルタリングします。また、Directory Proxy Server は、レプリケートされた複数のディレクトリサーバー間で自動ロードバランスと、自動フェイルオーバーおよびフェイルバックをサポートしています。

Directory Proxy Server でバックエンドサーバーとして使用するディレクトリサーバーを指定するには、LDAP サーバープロパティを使用します。このプロパティを定義するときは、Directory Proxy Server が必要とするすべての詳細を指定する必要があります。たとえば、ディレクトリサーバーとの通信については、ディレクトリサーバーの IP アドレスまたは完全修飾ホスト名、ディレクトリサーバーがクライアント接続を待機するポートの番号、サーバーが対応している LDAP のバージョン、Directory Proxy Server とこのサーバーの間の通信に適用されるバージョンなどを指定する必要があります。

次に、Directory Proxy Server 設定エディタコンソールを使用して、LDAP サーバープロパティのオブジェクトを作成する方法について説明します。

LDAP サーバープロパティオブジェクトの作成

Directory Proxy Server との通信用の Directory Server を指定するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを展開し、「LDAP サーバー」を選択します。

    3. LDAP サーバープロパティの既存のオブジェクトが右のペインにリスト表示されます。
    Directory Proxy Server 設定エディタコンソールの「LDAP サーバープロパティ」ウィンドウ。

  3. 「新規」をクリックします。

    4. 「LDAP サーバープロパティ」ウィンドウが表示されます。

  4. 「名前」フィールドにプロパティオブジェクトの名前を入力します。この名前には、一意の英数文字列を指定する必要があります。
    Directory Proxy Server 設定エディタコンソールの「LDAP サーバープロパティ」ウィンドウ (「設定」タブ)。
  5. 「設定」タブには、このプロパティが参照する LDAP サーバーの基本設定が表示されます。

    6. ホスト : バックエンドの LDAP サーバーが稼動しているホストの完全なドメイン名または IP アドレスを入力します。この属性の指定は必須です。

    ポート : バックエンドの LDAP サーバーが稼動しているポートの番号を入力します。この属性を指定しない場合に使用されるデフォルトのポート番号は、389 です。

    SSL ポート : バックエンドサーバーが LDAPS (SSL 経由の LDAP) 接続を待機するポートの番号を入力します。バックエンドの LDAP サーバーが LDAPS をサポートしていない場合は、この属性には値を設定しないでください。

    キープアライブ : Directory Proxy Server が反応しないサーバーをポークして、LDAP ディレクトリサーバーへのネットワークリンクがダウンしたのか、LDAP ディレクトリサーバーが反応しなくなったのかを判断するまでの秒数を入力します。ここに指定した秒数の間、Directory Proxy Server に接続しているクライアントが操作を保留し、Directory Proxy Server が接続先の LDAP サーバーからデータを受信しない場合、Directory Proxy Server はその LDAP サーバーに対して別の通信チャネルを開いて LDAP サーバーの可用性をテストします。Directory Proxy Server がこの処理を正常に行えない場合は、使用可能な別の LDAP サーバーで処理を継続します。この属性のデフォルト値は 180 秒です。LDAP サーバーが Directory Proxy Server と同じローカルネットワーク上にない場合は、この値を大きくすることをお勧めします。

    TCP の遅延なしを有効 : この設定を無効にすると、Directory Proxy Server はこのサーバーへの接続に Nagle アルゴリズムを使用します。このオプションは、Directory Proxy Server と、このオブジェクトエントリで定義したサーバーとのネットワーク帯域幅が極端に制限されている場合にのみ無効にする必要があります。デフォルトでは、この設定は有効になっています。

  6. 「LDAP バージョン」タブを選択し、適切な値を指定します。
    Directory Proxy Server 設定エディタコンソールの「LDAP サーバープロパティ」ウィンドウ (「LDAP バージョン」タブ)。

    7. このタブには、このサーバーがサポートしている LDAP のバージョン、および Directory Proxy Server とこのサーバーとの通信に使用する LDAP バージョンを示す設定が表示されます。

    サポートする LDAP のバージョン : 「LDAP バージョン 2 および 3」または「LDAP バージョン 2 のみ」という 2 つのオプションのどちらかを選択します。デフォルトは、「LDAP バージョン 2 および 3」です。

    使用する LDAP バージョン : 「クライアントが使用するバージョン」、「LDAP バージョン 3 のみ」、「LDAP バージョン 2 のみ」という 3 つのオプションのいずれかを選択します。この属性は、このエントリで定義されるバックエンドサーバーとの通信時での使用が選択されている LDAP プロトコルのバージョンを Directory Proxy Server に通知します。デフォルトでは、「クライアントが使用するバージョン」が選択されます。

    このオプションは、Directory Proxy Server がリフェラルを実行する必要のある LDAPv2 クライアントを使用する場合に便利です。この場合、バックエンドサーバーがリフェラルを送り返せるように、Directory Proxy Server 自体が LDAPv3 クライアントとしてバックエンドサーバーに接続する必要があります。このプロパティを参照するネットワークグループが複数の LDAP バージョン 2 のバインドを行えるようにする場合は、「LDAP バージョン 3 のみ」を選択する必要があります。

  7. 「暗号化」タブを選択し、適切な値を指定します。
    Directory Proxy Server 設定エディタコンソールの「LDAP サーバープロパティ」ウィンドウ (「暗号化」タブ)。

    8. このタブには、このプロパティが参照する LDAP サーバーのセキュリティ保護された通信に関連する設定が表示されます。

    X.509 証明書サブジェクト DN : LDAP サーバーの証明書のサブジェクト名を指定します。これを指定すると、Directory Proxy Server は指定した証明書のサブジェクトを LDAP サーバーの証明書に含まれるサブジェクトと照合し、一致しない場合は TLS セッションを拒否します。この属性により、Directory Proxy Server は接続先の LDAP サーバーを認証します。この属性が設定されていない場合、Directory Proxy Server は、どのようなサブジェクト名でも受け付けます。

    セキュリティポリシー : Directory Proxy Server とバックエンドサーバーとの接続のためのセキュリティポリシーを定義するオプションとして、「クライアントが SSL セッションを確立している場合は SSL セッションを確立」、「すべての操作の前に常にサーバーとの SSL セッションを確立」、または「SSL セッションを確立しない」のいずれかを選択します。

  8. 「保存」をクリックして、オブジェクトを作成します。

    9. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  9. 必要なすべての追加オブジェクトについて、手順 3 から手順 8 を繰り返します。
  10. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

ロードバランスプロパティ

Directory Proxy Server は、レプリケートされた複数の LDAP ディレクトリサーバーの間でロードバランス、フェイルオーバー、フェイルバックを自動的に実行することで、ディレクトリ配備の高可用性を実現します。Directory Proxy Server でこの処理を行うには、Directory Proxy Server が管理するディレクトリサーバーを指定し、クライアントからの負荷をサーバー間でどのように分散するかを指定する必要があります。

Directory Proxy Server によるロードバランスを設定するには、ロードバランスプロパティを使用します。このプロパティにより、Directory Proxy Server が通信するバックエンドディレクトリサーバーを指定し、クライアントからの合計負荷の何パーセントを各ディレクトリサーバーに負担させるかを指定することができます。この設定を行うと、Directory Proxy Server は、この設定に定義されている負荷条件に合わせて、各ディレクトリサーバーにクライアントクエリを自動的に配分します。ディレクトリサーバーが使用不能になると、Directory Proxy Server はこのサーバーの受け持ち負荷を、残りのサーバーのそれぞれの受け持ち負荷の割合に基づいて再配分します。すべてのバックエンド LDAP サーバーが使用不能になると、Directory Proxy Server はクライアントからのクエリを拒否するようになります。

図 8-2 は、3 つのディレクトリサーバーレプリカ間でのクライアントロードの分散を示しています。

図 8-2 複数の LDAP ディレクトリレプリカ間でのロードバランス

複数の LDAP ディレクトリレプリカ間でのロードバランス。この設定を行うと、Directory Proxy Server は、この設定に定義されている負荷条件に合わせて、各ディレクトリサーバーにクライアントクエリを自動的に配分します。

Directory Proxy Server のロードバランスはセッションベースで行われます。つまり、クライアントからのクエリを担当させるディレクトリサーバーを選択する決定機能は、クライアントセッションごとに、特にクライアントセッションの開始時に適用されます。そのセッションの以後のすべてのクライアントクエリは、セッションの開始時に選択されたディレクトリサーバーに向けられます。

Directory Proxy Server が負荷を分散できるバックエンドディレクトリサーバーの数は、次のような要因によって異なります。

一般に、ほとんどのセッションの存続時間が短く、クエリがコンピュータ集約型である場合は、Directory Proxy Server がサポートできるディレクトリサーバーの数は少なくなります。コンピュータ集約型のクエリとは、属性名変更機能 (「属性名変更プロパティ」を参照) が使用される場合のように、メッセージ全体の検査を必要とするクエリです。

ディレクトリサーバーが使用不能になったことを Directory Proxy Server が検出するのは、接続試行時に接続拒否が返された場合と、タイムアウトが生じた場合です。どちらもセッションの初期段階で発生し、そのセッションのための処理はまだ行われていないため、Directory Proxy Server は透過的に使用可能な別のサーバーがあれば、そのサーバーにフェイルオーバーします。接続試行時にタイムアウトが生じた場合は、クライアントは応答の取得まで長く待たされる可能性があります。Directory Proxy Server とバックエンドサーバーとの間の接続が急に失われた場合、Directory Proxy Server は進行中のすべての処理について、影響を受けるクライアントに LDAP_BUSY エラーを返します。続いて、Directory Proxy Server はそのクライアントセッションを別のディレクトリサーバーにフェイルオーバーします。

Directory Proxy Server がディレクトリ配備のシングルポイント障害となることがないように、少なくとも 2 つの Directory Proxy Server を使用し、その前段に IP 関連装置を構成することをお勧めします。詳細は、「Directory Proxy Server の配備例」を参照してください。Directory Proxy Server をこのように配備できない場合は、M スイッチを使用することをお勧めします。このスイッチを使用することで、Directory Proxy Server はそれ自体を監視することができます。

Directory Proxy Server は、監視プロセスを使用してバックエンドサーバーを診断します。ロードバランスを使用する場合は、この機能は自動的に有効になります。Directory Proxy Server は、それぞれのバックエンドディレクトリサーバーに対して 10 秒おきに Root DSE の匿名検索を実行します。いずれかが使用不能になったり応答を返さない場合、Directory Proxy Server はロードバランスを適用中のサーバーセットからそのサーバーを外します。使用可能な状態に戻ると、このサーバーはセットに戻されます。監視機能を効率的に機能させるには、idsktune</code> ユーティリティの推奨事項に従って、Directory Proxy Server が稼動するホストを設定する必要があります。サーバーが、セキュリティ保護されたポートだけを使用できる場合、Directory Proxy Server はセキュリティ保護された状態で診断を試みます。

次に、Directory Proxy Server 設定エディタコンソールを使用して、ロードバランスプロパティのオブジェクトを作成する方法について説明します。

ロードバランスプロパティのオブジェクトには、少なくとも 1 つの LDAP サーバープロパティを指定し、負担割合の合計が 100% になるように設定する必要があります。指定していない場合、Directory Proxy Server は起動に失敗します。

ロードバランスプロパティオブジェクトの作成

ここでは、Directory Proxy Server のロードバランスを設定する方法について説明します。ロードバランスプロパティのオブジェクトを作成する前に、Directory Proxy Server がクライアントロードの分散に使用する LDAP ディレクトリサーバーを指定してください。詳細は、「LDAP サーバープロパティ」を参照してください。

Directory Server のセットに対するロードバランスを定義するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを展開し、「ロードバランス」を選択します。

    3. ロードバランスプロパティの既存のオブジェクトが右のペインにリスト表示されます。
    Directory Proxy Server 設定エディタコンソールの「ロードバランスプロパティ」ウィンドウ。

  3. 「新規」をクリックします。

    4. 「ロードバランスプロパティ」ウィンドウが表示されます。
    Directory Proxy Server 設定エディタコンソールの「ロードバランスプロパティ」ウィンドウ。

  4. 「名前」フィールドにプロパティオブジェクトの名前を入力します。この名前には、一意の英数文字列を指定する必要があります。
  5. 適切な結果が得られるように、残りのフォーム要素を設定します。

    6. 割合を編集するときは、「LDAP サーバー」行の隣の「ロードのパーセンテージ」列に 0 〜 100 の値を入力し、「適合」ボタンをクリックします。この操作によって、選択している行に指定のパーセントが割り当てられ、すべての割合の合計が 100% になるように計算されます。現在の合計パーセントは、「ロードのパーセンテージ」列の見出しに表示されます。

    追加 : LDAP サーバープロパティへの参照を追加するためのダイアログを表示します。デフォルトでは、最初に追加されたサーバーに 100% の負荷が割り当てられ、その後に追加されたサーバーの負荷は 0% となります。

    編集 : 現在選択されているテーブル内の項目を編集するためのダイアログを表示します。

    削除 : 現在選択されている LDAP サーバーを、ロードバランスが実行されるサーバーのリストから削除します。

    分散 : テーブル内で現在参照されているすべての LDAP サーバー間で負荷の割合を均等に分散します。

  6. 「保存」をクリックして、オブジェクトを作成します。

    7. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  7. 必要なすべての追加オブジェクトについて、手順 3 から手順 6 を繰り返します。
  8. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

検索のサイズ制限プロパティ

通常、LDAP ディレクトリは企業の中央リポジトリとして機能し、企業内の各所に配備された LDAP クライアントは情報を検索することができます。一般に、LDAP クライアントは検索フィルタを使用して特定の情報を検索することで、情報を検索しています。エントリを検索するときに、多くのクライアントはそのエントリのタイプに関連付けられている属性を指定しています。たとえば、人物のエントリを検索するときは、CN 属性を使用して特定の共通名を持つ人物を検索します。

Directory Proxy Server は数千の LDAP クライアント要求を処理することができ、LDAP ディレクトリに対する詳細なアクセス制御ポリシーを設定することができます。たとえば、ディレクトリ情報ツリー (DIT) の特定部分に対して特定の操作を実行できるユーザーを制御することができます。また、Web トローラやロボットがディレクトリ内の情報を収集するために実行する操作など、特定の種類の操作を許可しないように Directory Proxy Server を設定することもできます。

検索ベースと検索範囲に基づいて検索のサイズ制限を行うときは、検索のサイズ制限プロパティを使用します。実行する検索が、このプロパティオブジェクトのエントリに指定した検索ベースおよび検索範囲のどちらにも一致しない場合は、デフォルトのサイズ制限が適用されます。デフォルトのサイズ制限は、ネットワークグループオブジェクトエントリに指定されます。「グループの作成と管理」を参照してください。

次に、Directory Proxy Server 設定エディタコンソールを使用して、検索のサイズ制限プロパティのオブジェクトを作成する方法について説明します。

検索のサイズ制限プロパティオブジェクトの作成

検索のサイズ制限を定義するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを展開し、「検索のサイズ制限」を選択します。
    Directory Proxy Server 設定エディタコンソールの「検索のサイズ制限プロパティ」ウィンドウ。
  3. 「新規」をクリックします。

    4. 「検索のサイズ制限プロパティ」ウィンドウが表示されます。
    Directory Proxy Server 設定エディタコンソールの「検索のサイズ制限プロパティ」ウィンドウ。

  4. 「名前」フィールドにプロパティオブジェクトの名前を入力します。この名前には、一意の英数文字列を指定する必要があります。
  5. 適切な結果が得られるように、残りのフォーム要素を設定します。

    6. 制約 : サイズ制限の制約事項を適用するかどうかを指定します。

    サイズ制限を行わない : サイズ制限を行わないことを指定する場合は、このオプションを選択します。

    サイズ制限を行う : 適用するサイズ制限を指定する場合は、このオプションを選択して、整数値を入力します。

    追加 : サイズ制限の条件を追加するためのメニューを表示します。「1 レベル検索」と「サブツリーレベルの検索」のいずれかのタイプを条件として指定します。

    1 レベル検索 : DN を入力して条件テーブルに追加するためのダイアログを表示します。1 レベル検索の検索ベースの DN が条件テーブルの 1 レベル検索に指定したいずれかの識別名と一致する場合は、指定したサイズ制限がその検索のサイズ制限として適用されます。

    サブツリーレベルの検索 : DN を入力するためのダイアログを表示します。サブツリー検索の検索ベースの DN が条件テーブルのサブツリーレベル検索に指定したいずれかの識別名と一致する場合は、指定したサイズ制限がその検索のサイズ制限として適用されます。

    編集 : 現在選択されているテーブル内のエントリを編集するためのダイアログを表示します。

    削除 : 現在選択されているテーブル内のエントリを削除します。

  6. 「保存」をクリックして、オブジェクトを作成します。

    7. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  7. 必要なすべての追加オブジェクトについて、手順 3 から手順 6 を繰り返します。
  8. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

プロパティオブジェクトの変更

プロパティオブジェクトを変更するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを選択します。

    3. 既存のプロパティオブジェクトが右のペインにリスト表示されます。特定のプロパティに含まれるオブジェクトを表示するには、「プロパティ」ノードを展開し、適切なプロパティを選択します。
    Directory Proxy Server 設定エディタコンソールの「プロパティ」ウィンドウ。

  3. 変更するオブジェクトをリストから選択し、「編集」をクリックします。
  4. 必要な修正を加えます。
  5. 「保存」をクリックして、変更内容を保存します。

    6. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  6. 変更が必要なすべてのオブジェクトについて、手順 3 から手順 5 を繰り返します。
  7. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。

プロパティオブジェクトの削除

不要なプロパティオブジェクトは、Directory Proxy Server の設定から削除できます。オブジェクトを削除する前に、そのオブジェクトが別の設定エントリで使用されていないことを確認してください。

プロパティオブジェクトを削除するには
  1. 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server にアクセスします。
  2. ナビゲーションツリーで、「プロパティ」ノードを選択します。

    3. 既存のプロパティオブジェクトが右のペインにリスト表示されます。特定のプロパティに含まれるオブジェクトを表示するには、「プロパティ」ノードを展開し、適切なプロパティを選択します。
    既存のプロパティオブジェクトを表示した Directory Proxy Server 設定エディタコンソールの「プロパティ」ウィンドウ。

  3. 削除するオブジェクトをリストから選択し、「削除」をクリックします。
  4. 処理を承認します。

    5. Directory Proxy Server の設定が変更され、この設定が適用されるサーバーを再起動するように促すメッセージが表示されます。この時点では、まだサーバーを再起動しません。再起動は、すべての設定変更が完了してから実行します。

  5. 削除が必要なすべてのオブジェクトについて、手順 3手順 4 を繰り返します。
  6. 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。


前へ      目次      索引      次へ     

Copyright 2004 Sun Microsystems, Inc. All rights reserved.