test

Sun Identity Manager 8.1 リソースリファレンス

Directory Server 向けの仮想リスト表示のサポート

注 –

ここでは、Identity Manager が RootDN 以外のユーザーとして LDAP リソースに接続することを前提としています。RootDN ユーザーとして接続する場合は、ここで説明する手順を適用できますが、ほかの LDAP 属性値でも可能な場合があります。詳細は、Directory Server のマニュアルを参照してください。

Microsoft ADAM でこの機能を有効にする方法については、「ADAM スキーマの修正」を参照してください。

Directory Server では、検索できる LDAP エントリの数と取得できる LDAP エントリの数を、それぞれ nsLookThroughLimit 属性と nsslapd-sizelimit 属性によって定義します。nsLookThroughLimit のデフォルト値は 5,000 で、nsslapd-sizelimit のデフォルト値は 2,000 です。どちらの属性も、-1 に設定すると制限が無効になります。これらの属性の値を変更した場合は、Directory Server を再起動してください。

必ずしもデフォルト値を変更した方がよいとは限りません。LDAP 検索のパフォーマンスを向上させるために、LDAP 仮想リスト表示 (VLV) コントロールを有効にできます。VLV は、一度にすべての検索結果を返さず、検索結果の一部を返します。

「ブロックを使用」リソース属性を使用すると、VLV コントロールの使用によって Identity Manager のクエリー結果を常にサイズ制限の範囲内を収めることができます。「ブロック数」リソース属性は、取得するユーザーの数を指定しますが、この値は nsslapd-sizelimit 属性に設定された値以下にする必要があります。

VLV インデックス (参照インデックスとも呼ばれる) を作成してください。 作成しないと、nsslapd-sizelimit によるサイズ制限が有効なままになります。VLV インデックスによってアカウントの反復処理のパフォーマンスが大幅に向上するため、調整、リソースからの読み込み、またはファイルへのエクスポートを頻繁に行う予定である場合は、インデックスを設定するようにしてください。

VLV インデックスの作成の詳細な手順については、Directory Server のマニュアルを参照してください。基本的なプロセスは次のとおりです。

ProcedureVLV インデックスを作成する

  1. 次のプロパティーを持つ vlvsearch オブジェクトを作成します。


    vlvbase: YourBaseContext
vlvfilter: (&(objectclass=top)(objectclass=person)
(objectclass=organizationalPerson) (objectclass=inetorgperson))
vlvscope: 2

    vlvbase 属性は、「ベースコンテキスト」リソース属性に指定した値に一致させる必要があります。vlvfilter 属性には、「オブジェクトクラス」リソース属性に指定したクラスを、ここに示した形式で含める必要があります。vlvscope の値 2 は、サブツリー検索を示します。

  2. vlvindex コンポーネントを vlvsearch のサブオブジェクトとして作成します。vlvsort 属性を uid に設定してください。

  3. vlvindex コマンドまたはほかのメカニズムを使用して、VLV インデックスを構築します。

  4. ACI (アクセス制御命令) により次の項目のアクセス権を設定します。

    • vlvsearch オブジェクト

      • vlvindex

      • インデックスが作成されたディレクトリ

        更新履歴ログの VLV を設定するには、次の一般的な手順に従います。詳細な手順については、Directory Server のマニュアルを参照してください。

  5. 更新履歴ログの参照インデックスをまだ作成していない場合は、作成します。Directory Server のユーザーインタフェースを使用すると、デフォルトで “MCC cn=changelog” という名前の vlvsearch オブジェクトと、“SN MCC cn=changelog” という名前の vlvindex オブジェクトが作成されます。

  6. アクセス制御命令 (ACI) によりアクセス権を設定し、Identity Manager アカウントが次の項目の読み取り、比較、および検索の権限を持つようにします。

    • 更新履歴ログ (cn=changelog)

      • vlvsearch オブジェクト (cn=”MCC cn=changelog”,cn=config,cn=ldbm)

      • vlvindex オブジェクト (“SN MCC cn=changelog”,cn=config,cn=ldbm)

    Directory Server の一部のバージョンでは、更新履歴ログの nsLookThroughLimit 属性に 5,000 の値がハードコードされています。更新履歴ログの nsLookThroughLimit 制限にかかるのを避けるには、サーバーで保持する更新履歴ログエントリの最大数を 5,000 未満に制限します。更新履歴ログのエントリが失われるのを避けるには、アダプタのポーリング間隔を短くします。