第 18 章 Directory Proxy Server の設定

この章では、Directory Proxy Server のインスタンスを設定する方法について説明します。この章で示す手順では、dpadm コマンドと dpconf コマンドを使用します。これらのコマンドについては、dpadm(1M) および dpconf(1M) のマニュアルページを参照してください。

この章の内容は次のとおりです。

• 「Directory Proxy Server の設定の変更」

• 「Directory Proxy Server インスタンスのバックアップと復元」

• 「Proxy Manager の設定」

• 「サーバーの再起動を必要とする設定変更」

• 「Directory Proxy Server による Directory Server の設定エントリへのアクセス」

Directory Proxy Server の設定の変更

この節では、Directory Proxy Server の設定を変更する方法について説明します。

Directory Proxy Server の設定を変更する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

1. Directory Proxy Server の現在の設定を調べます。

   $ dpconf get-server-prop -h host -p port

   あるいは、1 つまたは複数のプロパティーの現在の設定を確認します。

   $ dpconf get-server-prop -h host -p port property-name ...

   たとえば、このコマンドを実行することで、未認証の操作が許可されているかどうかを調べます。

   $ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true

2. 1 つまたは複数の設定パラメータを変更します。

   $ dpconf set-server-prop -h host -p port property:value ...

   たとえば、このコマンドを実行することで、未認証の操作を許可しないようにします。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

   不正な変更を試みても、変更は行われません。たとえば、allow-unauthenticated-operations パラメータを false ではなく f に設定すると、次のようなエラーが発生します。

   $ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed.

3. 必要に応じて、Directory Proxy Server のインスタンスを再起動して、変更を有効にします。

   Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。

Directory Proxy Server インスタンスのバックアップと復元

dpadm を使って Directory Proxy Server をバックアップすると、設定ファイルとサーバー証明書がバックアップされます。Directory Proxy Server の仮想 ACI が実装されている場合は、ACI もバックアップされます。

Directory Proxy Server では、サーバーが正常に起動した場合は常に、conf.ldif ファイルが自動的にバックアップされます。

Directory Proxy Server インスタンスをバックアップする

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

1. Directory Proxy Server のインスタンスを停止します。

   $ dpadm stop instance-path

2. Directory Proxy Server のインスタンスをバックアップします。

   $ dpadm backup instance-path archive-dir

   archive-dir ディレクトリは backup コマンドによって作成され、このコマンドを実行する前から存在してはいけません。このディレクトリには、設定ファイルと証明書のそれぞれのバックアップが含まれます。

Directory Proxy Server インスタンスを復元する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

1. Directory Proxy Server のインスタンスを停止します。

   $ dpadm stop instance-path

2. Directory Proxy Server のインスタンスを復元します。

   $ dpadm restore instance-path archive-dir

   • インスタンスパスが存在する場合、復元操作はメッセージを表示せずに実行されます。archive-dir ディレクトリ内の設定ファイルと証明書は、instance-path ディレクトリ内のもので置き換えられます。

   • インスタンスパスが存在しない場合、復元操作は失敗します。

Proxy Manager の設定

Proxy Manager とは、特権を持つ管理者のことで、UNIX® システムのルートユーザーにあたります。Proxy Manager のエントリは、Directory Proxy Server のインスタンスの作成時に定義されます。Proxy Manager のデフォルト DN は cn=Proxy Manager です。

Proxy Manager DN およびパスワードは、次の手順で示すように表示および変更できます。

Proxy Manager を設定する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

1. Proxy Manager の設定を調べます。

   $ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n

   Proxy Manager のデフォルト値は cn=proxy manager です。設定マネージャーのパスワードに対するハッシュ値が返されます。

2. Proxy Manager の DN を変更します。

   $ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN

3. Proxy Manager に対するパスワードを含むファイルを作成し、そのファイルを指すプロパティーを設定します。

   $ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename

サーバーの再起動を必要とする設定変更

Directory Proxy Server とそのエントリに対するほとんどの設定変更は、オンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのプロパティーに対する設定変更を行う場合は、サーバーを再起動する必要があります。

bind-dn
client-cred-mode
db-name
db-pwd
db-url
db-user
distribution-algorithm
ldap-address
ldap-port
ldaps-port
lexicographic-attrs
lexicographic-lower-bound
lexicographic-upper-bound
listen-address
listen-port
load-balancing-algorithm
num-bind-init
num-read-init
num-write-init
number-of-search-threads
number-of-threads
number-of-worker-threads
numeric-attrs
numeric-default-data-view
numeric-lower-bound
numeric-upper-bound
pattern-matching-base-object-search-filter
pattern-matching-dn-regular-expression
pattern-matching-one-level-search-filter
pattern-matching-subtree-search-filter
replication-role
ssl-policy
use-external-schema

プロパティーの rws キーワードとrwd キーワードは、プロパティーを変更した場合にサーバーを再起動する必要があるかどうかを示します。

• プロパティーに rws (読み取り、書き込み、静的) キーワードが含まれている場合は、プロパティーを変更したときにサーバーを再起動する必要があります。

• プロパティーに rwd (読み取り、書き込み、動的) キーワードが含まれている場合、プロパティーに対する変更は、サーバーを再起動しなくても、動的に実装されます。

プロパティーに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。

$ dpconf help-properties | grep property-name

たとえば、LDAP データのバインド DN の変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。

$ dpconf help-properties | grep bind-dn
connection-handler   	bind-dn-filters        rwd  STRING | any
This property specifies a set of regular expressions. The bind DN 
of a client must match at least one regular expression in order for 
the connection to be accepted by the connection handler. (Default: any)
ldap-data-source      bind-dn               rws  DN | ""
This property specifies the DN to use when binding to the LDAP data 
source. (Default: undefined)

設定変更のあとでサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。

$ dpconf get-server-prop -h host -p port is-restart-required

Directory Proxy Server による Directory Server の設定エントリへのアクセス

Directory Proxy Server の設定エントリは cn=config 内にあります。Directory Proxy Server を使用して設定エントリにアクセスすると、デフォルトでは、Directory Proxy Server の設定エントリにアクセスします。

ディレクトリサーバーの設定エントリにアクセスするには、Directory Proxy Server ではなく Directory Server を使用します。Directory Server の設定方法の詳細は、第 3 章「Directory Server の設定」を参照してください。

ディレクトリサーバーの設定エントリにアクセスするよう Directory Proxy Server を設定し直すと、たいていは Directory Proxy Server の管理フレームワークが壊れます。

Directory Proxy Server を使用してディレクトリサーバーの設定エントリにアクセスするには、Directory Proxy Server の管理フレームワークが壊れないよう、特別の手順をとります。この節では、Directory Proxy Server を使用してディレクトリサーバーの設定エントリにアクセスする方法について説明します。

Directory Proxy Server を使用して Directory Server の設定エントリにアクセスする

1. 1 つまたは複数のデータソースを作成します。これについては、「LDAP データソースの作成と設定」を参照してください。

2. LDAP データソースプールを作成します。これについては、「LDAP データソースプールの作成と設定」を参照してください。

3. 1 つまたは複数のデータソースを、データソースプールに接続します。これについては、「LDAP データソースのデータソースプールへの接続」を参照してください。

   • 1 つの特定のデータソースの設定エントリを公開するには、1 つの LDAP データソースだけを LDAP データソースプールに接続します。

     $ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name

     この手順を実行したあと、クライアントは、Directory Proxy Server に接続されているデータソースの設定エントリにアクセスできるようになります。

   • 任意の特定のデータソースの設定エントリを公開するには、複数の LDAP データソースを LDAP データソースプールに接続します。

     $ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name \ data-source-name ...

     この手順を実行したあと、クライアントは、Directory Proxy Server に接続されているデータソースの 1 つの設定エントリにアクセスできるようになります。ただし、クライアントには、設定エントリがどのデータソースに属するかはわかりません。

4. LDAP データビューを作成して、cn=config を公開します。

   $ dpconf create-ldap-data-view -h host -p port view-name pool-name cn=config