リフェラルを設定し、サフィックスを読み取り専用にする

サフィックスを完全に無効にすることなくサフィックスへのアクセスを制限するには、アクセス権を変更して、読み取り専用アクセスを許可することもできます。この場合、書き込み操作に対しては、別のサーバーへのリフェラルを定義する必要があります。また、読み取りアクセスと書き込みアクセスの両方を拒否し、サフィックスへのすべての操作に対するリフェラルを定義できます。

さらに、リフェラルを使用して、クライアントアプリケーションが一時的に別のサーバーを使用するように設定することもできます。たとえば、サフィックスの内容をバックアップしている間、別のサフィックスへリフェラルを追加できます。

サフィックスがレプリケートされた環境のコンシューマである場合、レプリケーションメカニズムによって、リフェラル設定の値が決まります。リフェラルの設定は手動で変更できますが、リフェラルは次のレプリケーションの更新時に上書きされます。レプリケーションのリフェラルの設定については、「コンシューマの詳細設定を行う」を参照してください。

リフェラルはラベル化された URL なので、LDAP URL には空白文字とラベルが続く場合があります。次に例を示します。

ldap://phonebook.example.com:389/

または

ldap://phonebook.example.com:389/ou=All%20People,dc=example,dc=com

リフェラルの URL 部分にある空白文字は、%20 を使用してエスケープする必要があります。

リフェラルを設定して、サフィックスを読み取り専用にする

このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。

1. リフェラルの URL を設定します。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-url:LDAP-URL

   ここで、LDAP-URL はターゲットのホスト名、ポート名、DN を含む有効な URL です。

   次に例を示します。

   $ dsconf set-suffix-prop -h host1 -p 1389 dc=example,dc=com \ referral-url:ldap://phonebook.example.com:389/

   LDAP URL は任意の個数だけ指定できます。

2. サフィックスを読み取り専用にするためにリフェラルモードを設定します。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:only-on-write

   サフィックスを読み取りも書き込みもできないようにし、すべての要求にリフェラルを返すにはreferral-mode を enabled に設定します。

3. コマンドが正常に実行されるとすぐに、サフィックスは読み取り専用またはアクセス不可になり、リフェラルを返す準備ができます。

4. (省略可能) サフィックスが使用できるようになったら、ふたたびサフィックスの読み書きができるようにリフェラルを無効にします。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:disabled

   リフェラルが無効になると、サフィックスの enabled プロパティーを off に設定してサフィックス自体を無効にしていない限り、サフィックスは自動的に読み書き可能になります。