この章では、Directory Proxy Server のインスタンスを設定する方法について説明します。この章で示す手順では、dpadm コマンドと dpconf コマンドを使用します。これらのコマンドについては、dpadm(1M) および dpconf(1M) のマニュアルページを参照してください。
この章の内容は次のとおりです。
この節では、Directory Proxy Server の設定を変更する方法について説明します。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
Directory Proxy Server の現在の設定を調べます。
$ dpconf get-server-prop -h host -p port |
あるいは、1 つまたは複数のプロパティーの現在の設定を確認します。
$ dpconf get-server-prop -h host -p port property-name ... |
たとえば、このコマンドを実行することで、未認証の操作が許可されているかどうかを調べます。
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true |
1 つまたは複数の設定パラメータを変更します。
$ dpconf set-server-prop -h host -p port property:value ... |
たとえば、このコマンドを実行することで、未認証の操作を許可しないようにします。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false |
不正な変更を試みても、変更は行われません。たとえば、allow-unauthenticated-operations パラメータを false ではなく f に設定すると、次のようなエラーが発生します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed. |
必要に応じて、Directory Proxy Server のインスタンスを再起動して、変更を有効にします。
Directory Proxy Server の再起動については、「Directory Proxy Server を再起動する」を参照してください。
dpadm を使って Directory Proxy Server をバックアップすると、設定ファイルとサーバー証明書がバックアップされます。Directory Proxy Server の仮想 ACI が実装されている場合は、ACI もバックアップされます。
Directory Proxy Server では、サーバーが正常に起動した場合は常に、conf.ldif ファイルが自動的にバックアップされます。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
Directory Proxy Server のインスタンスを停止します。
$ dpadm stop instance-path |
Directory Proxy Server のインスタンスをバックアップします。
$ dpadm backup instance-path archive-dir |
archive-dir ディレクトリは backup コマンドによって作成され、このコマンドを実行する前から存在してはいけません。このディレクトリには、設定ファイルと証明書のそれぞれのバックアップが含まれます。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
Directory Proxy Server のインスタンスを停止します。
$ dpadm stop instance-path |
Directory Proxy Server のインスタンスを復元します。
$ dpadm restore instance-path archive-dir |
インスタンスパスが存在する場合、復元操作はメッセージを表示せずに実行されます。archive-dir ディレクトリ内の設定ファイルと証明書は、instance-path ディレクトリ内のもので置き換えられます。
インスタンスパスが存在しない場合、復元操作は失敗します。
Proxy Manager とは、特権を持つ管理者のことで、UNIX® システムのルートユーザーにあたります。Proxy Manager のエントリは、Directory Proxy Server のインスタンスの作成時に定義されます。Proxy Manager のデフォルト DN は cn=Proxy Manager です。
Proxy Manager DN およびパスワードは、次の手順で示すように表示および変更できます。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
Proxy Manager の設定を調べます。
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n |
Proxy Manager のデフォルト値は cn=proxy manager です。設定マネージャーのパスワードに対するハッシュ値が返されます。
Proxy Manager の DN を変更します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN |
Proxy Manager に対するパスワードを含むファイルを作成し、そのファイルを指すプロパティーを設定します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename |
Directory Proxy Server とそのエントリに対するほとんどの設定変更は、オンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのプロパティーに対する設定変更を行う場合は、サーバーを再起動する必要があります。
bind-dn client-cred-mode db-name db-pwd db-url db-user distribution-algorithm ldap-address ldap-port ldaps-port lexicographic-attrs lexicographic-lower-bound lexicographic-upper-bound listen-address listen-port load-balancing-algorithm num-bind-init num-read-init num-write-init number-of-search-threads number-of-threads number-of-worker-threads numeric-attrs numeric-default-data-view numeric-lower-bound numeric-upper-bound pattern-matching-base-object-search-filter pattern-matching-dn-regular-expression pattern-matching-one-level-search-filter pattern-matching-subtree-search-filter replication-role ssl-policy use-external-schema
プロパティーの rws キーワードとrwd キーワードは、プロパティーを変更した場合にサーバーを再起動する必要があるかどうかを示します。
プロパティーに rws (読み取り、書き込み、静的) キーワードが含まれている場合は、プロパティーを変更したときにサーバーを再起動する必要があります。
プロパティーに rwd (読み取り、書き込み、動的) キーワードが含まれている場合、プロパティーに対する変更は、サーバーを再起動しなくても、動的に実装されます。
プロパティーに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep property-name
たとえば、LDAP データのバインド DN の変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep bind-dn connection-handler bind-dn-filters rwd STRING | any This property specifies a set of regular expressions. The bind DN of a client must match at least one regular expression in order for the connection to be accepted by the connection handler. (Default: any) ldap-data-source bind-dn rws DN | "" This property specifies the DN to use when binding to the LDAP data source. (Default: undefined)
設定変更のあとでサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port is-restart-required
Directory Proxy Server の設定エントリは cn=config 内にあります。Directory Proxy Server を使用して設定エントリにアクセスすると、デフォルトでは、Directory Proxy Server の設定エントリにアクセスします。
ディレクトリサーバーの設定エントリにアクセスするには、Directory Proxy Server ではなく Directory Server を使用します。Directory Server の設定方法の詳細は、第 3 章「Directory Server の設定」を参照してください。
ディレクトリサーバーの設定エントリにアクセスするよう Directory Proxy Server を設定し直すと、たいていは Directory Proxy Server の管理フレームワークが壊れます。
Directory Proxy Server を使用してディレクトリサーバーの設定エントリにアクセスするには、Directory Proxy Server の管理フレームワークが壊れないよう、特別の手順をとります。この節では、Directory Proxy Server を使用してディレクトリサーバーの設定エントリにアクセスする方法について説明します。
1 つまたは複数のデータソースを作成します。これについては、「LDAP データソースの作成と設定」を参照してください。
LDAP データソースプールを作成します。これについては、「LDAP データソースプールの作成と設定」を参照してください。
1 つまたは複数のデータソースを、データソースプールに接続します。これについては、「LDAP データソースのデータソースプールへの接続」を参照してください。
1 つの特定のデータソースの設定エントリを公開するには、1 つの LDAP データソースだけを LDAP データソースプールに接続します。
$ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name |
この手順を実行したあと、クライアントは、Directory Proxy Server に接続されているデータソースの設定エントリにアクセスできるようになります。
任意の特定のデータソースの設定エントリを公開するには、複数の LDAP データソースを LDAP データソースプールに接続します。
$ dpconf attach-ldap-data-source -h host -p port pool-name data-source-name \ data-source-name ... |
この手順を実行したあと、クライアントは、Directory Proxy Server に接続されているデータソースの 1 つの設定エントリにアクセスできるようになります。ただし、クライアントには、設定エントリがどのデータソースに属するかはわかりません。
LDAP データビューを作成して、cn=config を公開します。
$ dpconf create-ldap-data-view -h host -p port view-name pool-name cn=config |