第 18 章 Directory Proxy Server のインスタンス
この章では、Directory Proxy Server のインスタンスを管理する方法について説明します。この章の内容は次のとおりです。
Directory Proxy Server インスタンスの操作
Directory Proxy Server のインスタンスを作成すると、インスタンスに必要なファイルとディレクトリが指定するパス内に作成されます。
Directory Proxy Server インスタンスを作成する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
DSCC を使用して新しいサーバーインスタンスを作成する場合は、既存のサーバーからサーバー設定の一部またはすべてをコピーするよう選択できます。
-
Directory Proxy Server のインスタンスを作成します。
$ dpadm create -p port instance-path
たとえば、ディレクトリ /local/dps 内に新しいインスタンスを作成するには、次のコマンドを使用します。
$ dpadm create -p 2389 /local/dps
インスタンスのほかのパラメータの指定については、dpadm(1M) のマニュアルページを参照してください。
-
必要に応じてパスワードを入力します。
-
インスタンスの状況を確認して、インスタンスが作成されていることを確認します。
$ dpadm info instance-path
-
(省略可能) Directory Proxy Server が Sun JavaTM Enterprise System インストーラまたはネイティブパッケージインストールを使用してインストールされていて、OS がサービス管理ソリューションを提供する場合は、次の表に示すサービスとしてサーバーを管理できます。
オペレーティングシステム
コマンド
Solaris 10
dpadm enable-service --type SMF instance-path
Solaris 9
dpadm autostart instance-path
Linux、HP-UX
dpadm autostart instance-path
Windows
dpadm enable-service --type WIN_SERVICE instance-path
-
(省略可能) 次のいずれかの方法で、サーバーインスタンスを登録します。
-
https://localhost:6789 という URL で DSCC にアクセスし、ブラウザインタフェースにログインします。
-
dsccreg add-server コマンドを使用します。
詳細は、dsccreg(1M) のマニュアルページを参照してください。
-
Directory Proxy Server インスタンスの状況を確認する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
Directory Proxy Server を起動および停止する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
Directory Proxy Server インスタンスを再起動する必要があるかどうかを確認する
設定変更は、変更を有効にする前にサーバーの再起動が必要になる場合があります。設定変更後に Directory Proxy Server インスタンスを再起動する必要があるかどうかを確認するには、この手順に従います。
-
サーバーを再起動する必要があるかどうかを確認します。
$ dpconf get-server-prop -h host -p port is-restart-required
-
このコマンドが true を返す場合、Directory Proxy Server のインスタンスを再起動する必要があります。
-
このコマンドが false を返す場合、Directory Proxy Server のインスタンスを再起動する必要はありません。
-
Directory Proxy Server を再起動する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
Directory Proxy Server を再起動します。
$ dpadm restart instance-path
たとえば、インスタンスを /local/dps で再起動するには、次のコマンドを入力します。
$ dpadm restart /local/dps
Directory Proxy Server インスタンスを削除する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
(省略可能) Directory Proxy Server インスタンスを停止します。
$ dpadm stop instance-path
インスタンスを停止していない場合は、削除コマンドによって自動的に停止します。ただし、サービス管理ソリューションでインスタンスが有効になっている場合は、手動で停止する必要があります。
-
(省略可能) 以前に DSCC を使用してサーバーを管理していた場合は、コマンド行を使用してサーバーを登録解除します。
$ dsccreg remove-server /local/dps Enter DSCC administrator's password: /local/dps is an instance of DPS Enter password of "cn=Proxy Manager" for /local/dps: Unregistering /local/dps from DSCC on localhost. Connecting to /local/dps Disabling DSCC access to /local/dps
詳細については、dsccreg(1M) のマニュアルページを参照してください。
-
(省略可能) 以前にサーバー管理ソリューションでサーバーインスタンスを有効にした場合は、サービスとしてのサーバーの管理を無効にします。
オペレーティングシステム
コマンド
Solaris 10
dpadm disable-service --type SMF instance-path
Solaris 9
dpadm autostart --off instance-path
Linux、HP-UX
dpadm autostart --off instance-path
Windows
dpadm disable-service --type WIN_SERVICE instance-path
-
$ dpadm delete instance-path
Directory Proxy Server インスタンスの設定
この節では、Directory Proxy Server のインスタンスを設定する方法について説明します。この節で示す手順では、dpadm コマンドと dpconf コマンドを使用します。これらのコマンドについては、dpadm(1M) および dpconf(1M) のマニュアルページを参照してください。
Directory Proxy Server インスタンスの設定を表示する
-
$ dpconf info インスタンスのパス : instance path ホスト名 : host セキュリティー保護された待機アドレス : IP address ポート : port セキュリティー保護されたポート : secure port SSL サーバー証明書 : defaultServerCert Directory Proxy Server を再起動する必要があります。
dpconf info では、「セキュリティー保護された待機アドレス」と「待機アドレス」は、これらのプロパティーがデフォルト以外の値に設定されている場合にのみ表示されます。この出力例では、「待機アドレス」のプロパティーがデフォルト値に設定されているため、この項目は表示されていません。
また、dpconf info では、必要な場合はインスタンスを再起動するようにユーザーに促します。
dpadm info でも Directory Proxy Server インスタンスの設定情報を表示できます。
Directory Proxy Server の設定を変更する
この節では、Directory Proxy Server の設定を変更する方法について説明します。
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
Directory Proxy Server の現在の設定を調べます。
$ dpconf get-server-prop -h host -p port
allow-cert-based-auth : allow allow-ldapv2-clients : true allow-persistent-searches : false allow-sasl-external-authentication : true allow-unauthenticated-operations : true allowed-ldap-controls : - cert-data-view-routing-custom-list : none cert-data-view-routing-policy : all-routable cert-search-attr-mappings : none cert-search-base-dn : none cert-search-bind-dn : none cert-search-bind-pwd : none cert-search-user-attr : userCertificate configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}RPdIFbvoWdvhLR8lU43zCMZyKFGPxfFg connection-pool-wait-timeout : 3s data-source-read-timeout : 20s data-view-automatic-routing-mode : automatic email-alerts-enabled : false email-alerts-message-from-address : local email-alerts-message-subject : Proxy Server Administrative Alert email-alerts-message-subject-includes-alert-code : false email-alerts-message-to-address : root@localhost email-alerts-smtp-host : localhost email-alerts-smtp-port : smtp enable-remote-user-mapping : false enable-user-mapping : false enabled-admin-alerts : none enabled-ssl-cipher-suites : JRE enabled-ssl-protocols : SSLv3 enabled-ssl-protocols : TLSv1 encrypt-configuration : true extension-jar-file-url : none is-restart-required : false number-of-search-threads : 20 number-of-worker-threads : 50 proxied-auth-check-timeout : 30m remote-user-mapping-bind-dn-attr : none scriptable-alerts-command : echo scriptable-alerts-enabled : false search-mode : parallel search-wait-timeout : 10s ssl-client-cert-alias : none ssl-server-cert-alias : defaultServerCert supported-ssl-cipher-suites : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_DHE_DSS_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DHE_RSA_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DH_anon_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_RSA_WITH_AES_128_CBC_SHA supported-ssl-protocols : SSLv2Hello supported-ssl-protocols : SSLv3 supported-ssl-protocols : TLSv1 syslog-alerts-enabled : false syslog-alerts-facility : USER syslog-alerts-host : localhost use-cert-subject-as-bind-dn : true use-external-schema : false user-mapping-anonymous-bind-dn : none user-mapping-anonymous-bind-pwd : none user-mapping-default-bind-dn : none user-mapping-default-bind-pwd : none verify-certs : falseあるいは、1 つまたは複数のプロパティーの現在の設定を確認します。
$ dpconf get-server-prop -h host -p port property-name ...
たとえば、このコマンドを実行することで、未認証の操作が許可されているかどうかを調べます。
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true
-
$ dpconf set-server-prop -h host -p port property:value ...
たとえば、このコマンドを実行することで、未認証の操作を許可しないようにします。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
不正な変更を試みても、変更は行われません。たとえば、allow-unauthenticated-operations パラメータを false ではなく f に設定すると、次のようなエラーが発生します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed.
-
必要に応じて、変更を有効にするために Directory Proxy Server のインスタンスを再起動します。
Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。
Proxy Manager の設定
Proxy Manager とは、特権を持つ管理者のことで、UNIX® システムの root ユーザーにあたります。Proxy Manager のエントリは、Directory Proxy Server のインスタンスの作成時に定義されます。Proxy Manager のデフォルト DN は cn=Proxy Manager です。
Proxy Manager DN およびパスワードは、次の手順で示すように表示および変更できます。
Proxy Manager を設定する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
Proxy Manager の設定を調べます。
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5nProxy Manager のデフォルト値は cn=proxy manager です。設定マネージャーのパスワードに対するハッシュ値が返されます。
-
Proxy Manager の DN を変更します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN
-
Proxy Manager に対するパスワードを含むファイルを作成し、そのファイルを指すプロパティーを設定します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename
サーバーの再起動を必要とする設定変更
Directory Proxy Server とそのエントリに対するほとんどの設定変更は、オンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのプロパティーに対する設定変更を行う場合は、サーバーを再起動する必要があります。
aci-data-view bind-dn client-cred-mode custom-distribution-algorithm db-name db-pwd db-url db-user distribution-algorithm ldap-address ldap-port ldaps-port listen-address listen-port load-balancing-algorithm num-bind-init num-read-init num-write-init number-of-search-threads number-of-threads number-of-worker-threads ssl-policy use-external-schema
プロパティーの rws キーワードとrwd キーワードは、プロパティーを変更した場合にサーバーを再起動する必要があるかどうかを示します。
-
プロパティーに rws (読み取り、書き込み、静的) キーワードが含まれている場合は、プロパティーを変更したときにサーバーを再起動する必要があります。
-
プロパティーに rwd (読み取り、書き込み、動的) キーワードが含まれている場合、プロパティーに対する変更は、サーバーを再起動しなくても、動的に実装されます。
プロパティーに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep property-name
たとえば、LDAP データのバインド DN の変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep bind-dn connection-handler bind-dn-filters rwd STRING | any This property specifies a set of regular expressions. The bind DN of a client must match at least one regular expression in order for the connection to be accepted by the connection handler. (Default: any) ldap-data-source bind-dn rws DN | "" This property specifies the DN to use when binding to the LDAP data source. (Default: undefined)
設定変更のあとでサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port is-restart-required
Directory Proxy Server インスタンスのバックアップと復元
dpadm を使って Directory Proxy Server をバックアップすると、設定ファイルとサーバー証明書がバックアップされます。Directory Proxy Server の仮想 ACI が実装されている場合は、ACI もバックアップされます。
Directory Proxy Server では、サーバーが正常に起動した場合は常に、conf.ldif ファイルが自動的にバックアップされます。
Directory Proxy Server インスタンスをバックアップする
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
-
Directory Proxy Server のインスタンスを停止します。
$ dpadm stop instance-path
-
Directory Proxy Server のインスタンスをバックアップします。
$ dpadm backup instance-path archive-dir
archive-dir ディレクトリは backup コマンドによって作成され、このコマンドを実行する前から存在してはいけません。このディレクトリには、設定ファイルと証明書のそれぞれのバックアップが含まれます。
Directory Proxy Server インスタンスを復元する
このタスクは DSCC を使用して実行することができます。詳細については、「Directory Service Control Center のインタフェース」および DSCC オンラインヘルプを参照してください。
復元操作を開始する前に、Directory Proxy Server インスタンスを作成してください。
- © 2010, Oracle Corporation and/or its affiliates