第 2 章   ディレクトリエントリの作成


この章では、Directory Server Console および ldapmodify と ldapdelete コマンド行ユーティリティを使用して、ディレクトリの内容を変更する方法について説明します。

ディレクトリの導入を計画する段階で、ディレクトリに格納するデータ形式の特徴を把握しておく必要があります。このためには、エントリの作成やデフォルトスキーマの変更に先立って、『iPlanet Directory Server 導入ガイド』をお読みください。

この章は、次の節で構成されています。

• Directory Console からのエントリの管理

• コマンド行からのエントリの管理

• LDIF 更新文

• 参照整合性の管理

Directory Console からのエントリの管理

---

Directory Server Console の「Directory (ディレクトリ)」タブとプロパティエディタを使用して、エントリの追加、変更、または削除を個別に行うことができます。

Directory Server Console の起動およびユーザインタフェースの使用方法については、「Directory Server Console の使用」を参照してください。

複数のエントリを同時に追加する場合には、「コマンド行からのエントリの管理」で説明されているコマンド行ユーティリティを使用できます。

ここでは、次の項目について説明します。

• ルートエントリの作成

• ディレクトリエントリの作成

• ディレクトリエントリの変更

• ディレクトリエントリの削除

ここでは、オブジェクトクラスと属性についてある程度の基本知識が読者にあることを前提としています。オブジェクトクラスと属性の概要については、『iPlanet Directory Server 導入ガイド』を参照してください。iPlanet サーバ製品が提供するすべてのスキーマの定義と使い方については、『iPlanet Directory Server スキーマリファレンス』を参照してください。

---

注	適切なアクセス制御規則が設定されていない場合、ディレクトリは変更できません。ディレクトリのアクセス制御規則の作成方法については、第 6 章「アクセス制御の管理」を参照してください。

---

ルートエントリの作成

新しいデータベースを作成するたびに、データベースに格納される接尾辞をそのデータベースに関連付けます。ただし、その接尾辞を表すディレクトリエントリは自動的には作成されません。

データベースのルートエントリを作成するには、次の手順を実行します。

1. Directory Server Console で、「Configuration (構成)」タブを選択します。

2. 「データベースの作成と管理」の説明に従って、新しいデータベースを作成します。

3. 「Directory (ディレクトリ)」タブで Directory Server を表す最上位オブジェクトをマウスの右ボタンでクリックし、「New Root Object (新規ルートオブジェクト)」を選択します。

   「New Root Object (新規ルートオブジェクト)」の 2 番目のメニューには、対応するエントリがない接尾辞が一覧表示されます。

4. 作成するエントリに対応する接尾辞を選択します。

   「New Object (新規オブジェクト)」ウィンドウが表示されます。

5. 「New Object (新規オブジェクト)」ウィンドウで、新しいエントリに対応するオブジェクトクラスを選択します。

   選択するオブジェクトクラスには、接尾辞を指定するときに使用した属性が含まれている必要があります。たとえば、接尾辞 ou=people,dc=siroe,dc=com に対応するエントリを作成する場合は、organizationalUnit オブジェクトクラス (または ou 属性を使用できる別のオブジェクトクラス) を選択できます。

6. 「New Object (新規オブジェクト)」ウィンドウで「OK」をクリックします。

   新しいエントリ用のプロパティエディタが表示されます。「OK」をクリックして現在の値をそのまま使用するか、あるいは「ディレクトリエントリの変更」の説明に従ってエントリを変更できます。

ディレクトリエントリの作成

Directory Server Console には、ディレクトリエントリの作成に使用できる事前に定義されたテンプレートがいくつか用意されています。テンプレートを使用して、次のタイプのエントリを作成できます。

• ユーザ

• グループ

• 組織単位

• ロール

• サービスクラス

表 2-1 は、各テンプレートで使用されるオブジェクトクラスのタイプを示しています。

表 2-1 エントリテンプレートと対応するオブジェクトクラス 

テンプレート	オブジェクトクラス
ユーザ	inetOrgPerson
グループ	groupOfUniqueNames
組織単位	organizationalUnit
ロール	nsRoleDefinition
サービスクラス	cosSuperDefinition

これらのテンプレートには、すべての必須の属性と、共通して使用される任意の属性の一部を表すフィールドが含まれています。これらのテンプレートのいずれかを使用してエントリを作成する方法については、「事前に定義されたテンプレートを使用したエントリの作成」を参照してください。その他のタイプのエントリを作成する方法については、「その他のタイプのエントリの作成」を参照してください。

事前に定義されたテンプレートを使用したエントリの作成

1. Directory Server Console で「Directory (ディレクトリ)」タブを選択します。

2. 左側の区画で、新しいエントリをその下に追加したいエントリをマウスの右ボタンでクリックします。「User (ユーザ)」、「Group (グループ)」、「Organizational Unit (組織単位)」、「Role (ロール)」、「Class of Service (サービスクラス)」、または「Other (その他)」から適切なエントリのタイプを選択します。

   対応する「Create (作成)」ウィンドウが表示されます。

3. すべての必須の属性値 (アスタリスクで示される) を指定し、必要な場合は、さらに任意の属性値を指定します。

   「Create (作成)」ウィンドウには、任意の属性がすべて表示されているわけではありません。

4. すべての属性のリストを表示するには、「Advanced (詳細)」ボタンをクリックします。

   プロパティエディタが表示されます。プロパティエディタの使い方については、「ディレクトリエントリの変更」を参照してください。

5. 「OK」をクリックして、「Create (作成)」ウィンドウを閉じます。

   右側の区画に新しいエントリが表示されます。

その他のタイプのエントリの作成

1. Directory Server Console で「Directory (ディレクトリ)」タブを選択します。

2. 左側の区画で、新しいエントリの追加先のエントリをマウスの右ボタンでクリックし、「Other (その他)」を選択します。

   「New Object (新規オブジェクト)」ウィンドウが表示されます。

3. オブジェクトクラスのリストで、新しいエントリを定義するオブジェクトクラスを選択します。

4. 「OK」をクリックします。

   選択したオブジェクトクラスに関連付けられたエントリのタイプに対して、事前に定義されたテンプレートを使用できる場合は、対応する「Create (作成)」ウィンドウが表示されます (「事前に定義されたテンプレートを使用したエントリの作成」を参照)

   それ以外の場合は、プロパティエディタが表示されます。プロパティエディタには、必須の属性のリストが表示されます。

5. 一覧表示されるすべての属性に対して、属性値を指定します。

   空白のフィールドや、一般的なプレースホルダ値 (仮の値)(New など) が含まれているフィールドもあります。これらのフィールドには、使用するエントリにとって有効な値を入れる必要があります。

   一部のオブジェクトクラスは、複数の命名属性を持つことができます。新しいエントリに名前を付けるために使用する命名属性を選択する必要があります。

   リストされない任意の属性値を指定する方法については、「ディレクトリエントリの変更」を参照してください。

6. 「OK」をクリックして新しいエントリを保存し、プロパティエディタウィンドウを閉じます。

   右側の区画に新しいエントリが表示されます。

ディレクトリエントリの変更

Directory Server Console でディレクトリエントリを変更するには、プロパティエディタを起動する必要があります。プロパティエディタには、エントリに属するオブジェクトクラスと属性のリストが表示されます。

プロパティエディタでは、次の操作を実行できます。

• エントリにオブジェクトクラスを追加する

• エントリからオブジェクトクラスを削除する

• エントリに属性を追加する

• エントリに属性値を追加する

• エントリから属性値を削除する

• エントリに属性のサブタイプを追加する

ここでは、プロパティエディタを起動する方法と、プロパティエディタを使用してエントリの属性と属性値を変更する方法について説明します。

プロパティエディタの表示

プロパティエディタは、次の方法で起動できます。

• 「Directory (ディレクトリ)」タブで、左側または右側の区画にあるエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Properties (属性)」を選択する

• 「Directory (ディレクトリ)」タブで、左側または右側の区画にあるエントリをダブルクリックする

• ユーザ、グループ、組織単位、ロール、およびサービスクラスを作成するための各テンプレートで、「Advanced (詳細)」ボタンをクリックする (「事前に定義されたテンプレートを使用したエントリの作成」を参照)

• 「New Object (新規オブジェクト)」ウィンドウで、「OK」をクリックする (「その他のタイプのエントリの作成」を参照)

図 2-1 は、inetorgperson を説明するエントリの例を示すプロパティエディタです。

図 2-1    Directory Server Console - プロパティエディタ

エントリへのオブジェクトクラスの追加

オブジェクトクラスをエントリに追加するには、次の手順を実行します。

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. オブジェクトクラスのフィールドを選択し、「Add Value (値の追加)」をクリックします。

   「Add Object Class (オブジェクトクラスの追加)」ウィンドウが表示されます。このウィンドウには、エントリに追加できるオブジェクトクラスのリストが表示されます。

3. 追加するオブジェクトクラスを選択し、「OK」をクリックします。

   選択したオブジェクトクラスが、プロパティエディタ内のオブジェクトクラスのリストに表示されます。「Add Object Class (オブジェクトクラスの追加)」ウィンドウでの指定を取り消すには、「Cancel (取消し)」をクリックします。

4. エントリの編集が完了したら、プロパティエディタで「OK」をクリックします。

   プロパティエディタが閉じます。

オブジェクトクラスの削除

エントリからオブジェクトクラスを削除するには、次の手順を実行します。

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. 削除対象のオブジェクトクラスが表示されたテキストボックス内をクリックし、「Delete Value (値の削除)」をクリックします。

3. エントリの編集が完了したら、プロパティエディタで「OK」をクリックします。

   プロパティエディタが閉じます。

エントリへの属性の追加

エントリに属性を追加するには、必須のオブジェクトクラスか許可されたオブジェクトクラスが、対象のエントリに含まれていることが必要です。詳細は、「エントリへのオブジェクトクラスの追加」および第 9 章「ディレクトリスキーマの拡張」を参照してください。

エントリに属性を追加するには、次の手順を実行します。

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. 「Add Attribute (属性の追加)」をクリックします。

   「Add Attribute (属性の追加)」ダイアログボックスが表示されます。

3. リストから追加する属性を選択し、「OK」をクリックします。

   「Add Attribute (属性の追加)」ウィンドウが閉じ、選択した属性がプロパティエディタ内のリストに表示されます。

4. 属性名の右側にあるテキストボックスに新しい属性値を入力します。

5. エントリの編集が完了したら、プロパティエディタで「OK」をクリックします。

   プロパティエディタが閉じます。

属性値の追加

エントリに複数値属性が含まれている場合は、その属性に対して複数の値を指定できます。

複数値属性に属性値を追加するには、次の手順を実行します。

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. 値の追加先属性を選択し、「Add Attribute (属性の追加)」をクリックします。

   右側の列に新しい空白のテキストフィールドが表示されます。

3. 新しい属性値の名前を入力します。

4. エントリの編集が完了したら、プロパティエディタで「OK」をクリックします。

   プロパティエディタが閉じます。

属性値の削除

エントリから属性値を削除するには、次の手順を実行します。

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. 削除対象の属性値が表示されたテキストボックス内をクリックし、「Delete Value (値の削除)」をクリックします。

   属性全体とその値をすべてエントリから削除する場合は、「Edit (編集)」メニューの「Delete Attribute (属性の削除)」を選択します。

3. エントリの編集が完了したら、プロパティエディタで「OK」をクリックします。

   プロパティエディタが閉じます。

属性のサブタイプの追加

エントリに含まれる属性には、言語、バイナリ、および読みという 3 つのサブタイプを追加できます。

言語サブタイプ
ユーザ名をデフォルト言語以外の文字で表記する方が正確な場合があります。たとえば、Noriko という名前を、可能な場合は日本語の文字で表示してほしいと希望しているとします。この場合、givenname 属性の言語サブタイプとして「Japanese」を選択すると、ほかのユーザが彼女の名前を日本語で検索できるようになります。

属性に対して言語サブタイプを指定すると、そのサブタイプが属性名に次のように追加されます。

attribute;lang-subtype

attribute はエントリに追加する属性です。subtype は言語を表す 2 文字の略語です。サポートされている言語サブタイプのリストについては、表 D-2を参照してください。たとえば、次のようにします。

givenname;lang-ja

エントリにある各属性インスタンスには、言語サブタイプを 1 つだけ割り当てることができます。複数の言語サブタイプを割り当てるには、エントリに別の属性インスタンスを追加してから、新しい言語サブタイプを割り当てます。たとえば、次のように指定すると無効になってしまいます。

cn;lang-ja;lang-en-GB:Smith

複数の言語サブタイプを割り当てるには、次のように指定します。

cn; lang-ja: ja_value
cn; lang-en-GB: en-GB_value

バイナリサブタイプ
属性にバイナリサブタイプを割り当てることによって、その属性値がバイナリ形式であることを示します。usercertificate;binary はその例です。

ただし、binary サブタイプを含まない属性 (たとえば jpegphoto など) にもバイナリデータを格納することができます。つまり、binary サブタイプは、クライアントに対して複数の異なった属性タイプが存在することを示しています。

発音サブタイプ
属性に発音サブタイプを割り当てることによって、その属性値が発音表記であることを示します。このサブタイプは、attribute;phonetic のように属性名に追加されます。

このサブタイプは、複数の表記を持ち、その一方が発音表記である言語の言語サブタイプと組み合わせて、広く使用されます。

cn または givenname などのユーザ名を含む属性で使用する場合があります。たとえば、givenname;lang-ja;phonetic は、属性値がエントリの日本語名の読みであることを示します。

プロパティエディタを使用したサブタイプの追加手順

1. Directory Server Consoleの「Directory (ディレクトリ)」タブで、変更するエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Property (プロパティ)」を選択します。

   あるいは、エントリをダブルクリックしても、プロパティエディタが表示されます。

2. 「Add Attribute (属性の追加)」をクリックします。

   「Add Attribute (属性の追加)」ダイアログボックスが表示されます。

3. リストから追加する属性を選択します。

4. 属性に言語サブタイプを割り当てるには、「Language (言語)」ドロップダウンリストから言語サブタイプを選択します。

5. さらに、「Subtype (サブタイプ)」ドロップダウンリストから、バイナリまたは読みのどちらかのサブタイプを割り当てることができます。

6. 「OK」をクリックします。

   「Add Attribute (属性の追加)」ウィンドウが閉じます。

7. エントリの情報の定義が完了したら、プロパティエディタで「OK」をクリックします。

ディレクトリエントリの削除

Directory Server Console を使用してディレクトリエントリを削除するには、次の手順を実行します。

1. Directory Server Console で「Directory (ディレクトリ)」タブを選択します。

2. ナビゲーションツリーまたは右側の区画で削除対象のエントリをマウスの右ボタンでクリックし、ポップアップメニューから「Delete (削除)」を選択します。

   複数のエントリを選択する場合は、Ctrl キーまたは Shift キーを押したままエントリをクリックし、「Edit (編集)」メニューの「Delete (削除)」を選択します。

   選択したエントリがただちに削除されます。この処理を元に戻すことはできません。

コマンド行からのエントリの管理

---

コマンド行ユーティリティを使用して、ディレクトリの内容を操作できます。コマンド行ユーティリティは、ディレクトリを一括して管理するスクリプトや、Directory Server をテストするスクリプトを記述する場合に便利です。たとえば、アクセス制御情報を変更したあとで、期待どおりの情報が返されることを確認する場合などがあります。

コマンド行ユーティリティを使用すると、コマンド行からの直接の情報入力や、LDIF 形式の入力ファイルを経由した情報の入力ができます。

ここでは、次の項目について説明します。

• コマンド行からの入力

• コマンド行からのルートエントリの作成

• LDIF を使用したエントリの追加

• ldapmodify を使用したエントリの追加と修正

• ldapdelete を使用したエントリの削除

• 特殊文字の使い方

  
  

  ---

  注	適切なアクセス制御規則が設定されていない場合、ディレクトリは変更できません。ディレクトリのアクセス制御規則の作成方法については、第 6 章「アクセス制御の管理」を参照してください。

  ---

  
  

コマンド行からの入力

ldapmodify ユーティリティと ldapdelete ユーティリティに直接コマンド行から入力する場合は、LDIF 文を使用する必要があります。LDIF 文については、「LDIF 更新文」を参照してください。

ldapmodify ユーティリティと ldapdelete ユーティリティは、ファイルから読み取るのとまったく同様に、ユーザが入力した文を読み取ります。入力が終了したら、ファイルの最後 (EOF) を示すエスケープシーケンスとしてシェルに認識される文字を入力します。続いて、入力した内容に従って、処理が開始されます。

EOF エスケープシーケンスは、使用しているシステムの種類によって、通常は次のいずれかになります。

• UNIX : ほとんどの場合 Control+D (^D)

• Windows NT : 通常は Control+Z のあとにキャリッジリターン (^Z<return>)

たとえば、ldapmodify に、複数の LDIF 更新文を入力すると仮定します。この場合、UNIX システムでは次のように指定します。

prompt> ldapmodify -D bindDN -w password -h hostname
>dn: cn=Barry Nixon, ou=people, dc=siroe,dc=com
> changetype: modify
> delete: telephonenumber
> -
> add: manager
> manager: cn=Harry Cruise, ou=people, dc=siroe,dc=com
> ^D
prompt>

コマンド行または LDIF を使用してエントリを追加する場合、サブツリーを表すエントリを作成してから、その分岐の下に新しいエントリを作成する必要があります。たとえば、People サブツリー内にエントリを配置する場合は、このサブツリーを表すエントリを作成してから、サブツリー内にエントリを作成します。

たとえば、次のようにします。

dn:dc=siroe,dc=com
dn:ou=People, dc=siroe,dc=com
...
People subtree entries.
...
dn: ou=Group, dc=siroe,dc=com
...
Group subtree entries.
...

コマンド行からのルートエントリの作成

ldapmodify コマンド行ユーティリティを使用して、データベース内に新しいルートエントリを作成できます。たとえば、次のように新しいルートエントリを追加します。

prompt% ldapmodify -a -D "dn=directory manager" -w secret

ldapmodify ユーティリティはサーバにバインドして、サーバにエントリを追加させる準備を行います。

新しいルートオブジェクトは次のように作成します。

dn: Suffix_Name
objectclass: newobjectclass

DN は、ルートの DN、またはデータベースに含まれるサブ接尾辞に対応します。newobjectclass の値は、データベースに追加するオブジェクトクラスのタイプによって決まります。追加するルートオブジェクトによっては、必須の属性の追加が必要となる場合もあります。

---

注	この方法は、接尾辞ごとに 1 つのデータベースがある場合にだけ有効です。複数のデータベースに格納される接尾辞を作成する場合は、ldif2db ユーティリティで -n オプションを使用して、新しいエントリを格納するデータベースを指定する必要があります。詳細は、「コマンド行からのインポート」を参照してください。

---

LDIF を使用したエントリの追加

LDIF ファイルを使用すると、複数のエントリの追加や、データベース全体のインポートができます。LDIF ファイルと Directory Server Console を使用してエントリを追加するには、次の手順を実行します。

1. LDIF ファイル内にエントリを定義します。

   LDIF の詳細については、付録 A「LDIF (LDAP Data Interchange Format)」を参照してください。

2. Directory Server Console から LDIF ファイルをインポートします。

   詳細は、「Console を使用したインポートの実行」を参照してください。LDIF ファイルをインポートしたあとで、「Import (インポート)」ダイアログボックスの「Append to database (データベースに追加)」を選択して、現在ディレクトリ内に存在していないエントリだけがインポートされるようにします。

ldapmodify コマンドに -f オプションを指定して実行すると、LDIF ファイルに記述されたエントリを追加できます。

ldapmodify を使用したエントリの追加と修正

既存の Directory Server データベースに対するエントリの追加と変更には、ldapmodify コマンドを使用します。ldapmodify コマンドは、ユーザが指定した識別名とパスワードを使用して指定したサーバへの接続を確立し、指定したファイル内に含まれる LDIF 更新文に基づいてエントリを変更します。ldapmodify は LDIF 更新文を使用するので、ldapdelete で実行できる処理はすべて ldapmodify でも実行できます。

このユーティリティの使用時にスキーマの検査がオンになっている場合は、エントリを変更すると、サーバによってエントリ全体のスキーマが検査されます。

• サーバが認識できない属性やオブジェクトクラスがエントリ内に見つかった場合は、エラーを含むエントリに到達した時点で変更操作が失敗する。ただし、エラーが発生する前に処理されたエントリは、すべて正しく追加または変更されている。-c オプションを指定して ldapmodify を実行した場合は、エラーが発生しても処理は停止しない。エラーを含むエントリのあとに記述されている正しいエントリは、すべて正常に追加または変更される。

• 必須の属性が存在しない場合にも、変更操作は失敗する。これは、問題のあるオブジェクトクラスや属性が変更対象ではない場合も同じ。このような状況は、スキーマの検査をオフにして Directory Server を実行し、認識できないオブジェクトクラスや属性を追加したあとに、スキーマの検査をオンにした場合に発生する可能性がある。

詳細は、「スキーマ検査のオン/オフの切り替え」を参照してください。

ldapmodify を使用して、dc=siroe,dc=com などのデータベースの接尾辞を作成するには、ディレクトリマネージャとしてディレクトリにバインドする必要があります。

ldapmodify を使用したエントリの追加

次に、ldapmodify ユーティリティを使用してディレクトリにエントリを追加する方法の一般的な例を示します。この例では、次のように仮定しています。

• ファイル new.ldif に、エントリの作成情報を指定する。

• エントリを変更する権限を持つデータベース管理者を作成している。この管理者の識別名は、cn=Directory Manager, dc=siroe,dc=com である

• データベース管理者のパスワードは King-Pin である

• サーバは、cyclops という名前のマシンで稼動している

• サーバは、ポート番号 845 を使用する

この例では、new.ldif ファイル内の LDIF 文には変更タイプを指定しません。LDIF 文は、「LDIF ファイル形式」で定義した形式に従っています。

エントリを追加するには、次のコマンドを入力する必要があります。

ldapmodify -a -D "cn=Directory Manager,dc=siroe,dc=com" -w King-Pin -h cyclops -p 845 -f new.ldif

次の表に、この例で使用されている ldapmodify パラメタを示します。

パラメタ名	内容
-a	変更操作によって新しいエントリがディレクトリに追加されることを指定する
-D	サーバに対する認証に使用する識別名を指定する。ここで指定する値は、Directory Server によって識別され、エントリを変更する権限を持つ DN でなければならない
-w	-D パラメタで指定された識別名に関連付けられているパスワードを指定する
-h	サーバが稼動しているホストの名前を指定する
-p	サーバが使用するポート番号を指定する
-f	変更を定義するために使用される LDIF 更新文が記述されたファイルを指定する省略可能なパラメタ。このパラメタを指定しない場合は、標準入力から更新文が読み取られる。コマンド行から LDIF 更新文を指定する方法については、「コマンド行からの入力」を参照

ldapmodify パラメタについては、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。

ldapmodify を使用したエントリの変更

次に、ldapmodify ユーティリティを使用して、ディレクトリ内に存在するエントリを変更する方法の一般的な例を示します。この例では、次のように仮定しています。

• ファイル modify_statements に、エントリの変更情報を指定する

• エントリを変更する権限を持つデータベース管理者を作成している。この管理者の識別名は、cn=Directory Manager, dc=siroe,dc=com である。

• データベース管理者のパスワードは King-Pin である

• サーバは、cyclops という名前のマシンで稼動している

• サーバは、ポート番号 845 を使用する

エントリを変更するには、適切な LDIF 更新文を含む modify_statements ファイルを作成して、次のコマンドを入力する必要があります。

ldapmodify -D "cn=Directory Manager,dc=siroe,dc=com" -w King-Pin -h cyclops -p 845 -f modify_statements

次の表に、この例で使用されている ldapmodify パラメタを示します。

パラメタ名	内容
-D	サーバに対する認証に使用する識別名を指定する。ここで指定する値は、Directory Server によって識別され、エントリを変更する権限を持つ DN でなければならない
-w	-D パラメタで指定された識別名に関連付けられているパスワードを指定する
-h	サーバが稼動しているホストの名前を指定する
-p	サーバが使用するポート番号を指定する
-f	変更を定義するために使用される LDIF 更新文が記述されたファイルを指定する省略可能なパラメタ。このパラメタを指定しない場合は、stdin から更新文が読み取られる。コマンド行から LDIF 更新文を指定する方法については、「コマンド行からの入力」を参照

ldapmodify パラメタについては、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。

ldapdelete を使用したエントリの削除

ldapdelete コマンド行ユーティリティを使用して、ディレクトリからエントリを削除します。このユーティリティは、ユーザが指定した識別名とパスワードを使用して、指定サーバへの接続を確立し、エントリを削除します。

削除できるエントリは、分岐の末端にあるエントリだけです。ディレクトリツリー内で分岐点になっているエントリは、ldapdelete では削除できません。

たとえば、次の 3 つのエントリがあるとします。

ou=People,dc=siroe,dc=com
cn=Paula Simon,ou=People,dc=siroe,dc=com
cn=Jerry O'Connor,ou=People,dc=siroe,dc=com

この中で削除できるのは後ろの 2 つのエントリだけです。People サブツリーを識別するエントリは、その下にエントリがない場合に限り削除できます。ou=People,dc=siroe,dc=com を削除する必要がある場合は、その前に Paula Simon と Jerry O'Connor のエントリおよびそのサブツリー内にあるほかのすべてのエントリを削除する必要があります。

次に、ldapdelete ユーティリティの一般的な使い方の例を示します。この例では、次のように仮定しています。

• cn=Robert Jenkins,ou=People,dc=siroe,dc=com および cn=Lisa Jangles, ou=People,dc=siroe,dc=comという 2 つの識別名によって識別されるエントリを削除する

• エントリを変更する権限を持つデータベース管理者を作成している。この管理者の識別名は、cn=Directory Manager, dc=siroe,dc=com である

• データベース管理者のパスワードは King-Pin である

• サーバは、cyclops という名前のマシンで稼動している

• サーバは、ポート番号 845 を使用する

ユーザ Robert Jenkins と Lisa Jangles のエントリを削除するには、次のコマンドを入力します。

ldapdelete -D "cn=Directory Manager,dc=siroe,dc=com" -w King-Pin -h cyclops -p 845 "cn=Robert Jenkins,ou=People,dc=siroe,dc=com" "cn=Lisa Jangles,ou=People,dc=siroe,dc=com"

次の表に、この例で使用されている ldapdelete パラメタを示します。

パラメタ名	内容
-D	サーバに対する認証に使用する識別名を指定する。ここで指定する値は、Directory Server によって識別され、エントリを変更する権限を持つ DN でなければならない
--w	-D パラメタで指定された識別名に関連付けられているパスワードを指定する
-h	サーバが稼動しているホストの名前を指定する
--p	サーバが使用するポート番号を指定する

ldapdelete パラメタについては、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。

特殊文字の使い方

Directory Server コマンド行クライアントツールを使用するときは、空白文字 ( )、アスタリスク (*)、バックスラッシュ (\) など、コマンド行インタプリタで特別な意味を持つ文字を含む値の指定が必要となることがあります。このような場合は、その値を引用符 ("") で囲みます。たとえば、次のようにします。

-D "cn=Barbara Jensen,ou=Product Development,dc=siroe,dc=com"

使用するコマンド行ユーティリティに応じて、一重引用符と二重引用符を使い分ける必要があります。詳細は、オペレーティングシステムのマニュアルを参照してください。

さらに、コンマを含む DN を使用する場合は、バックスラッシュ (\) でコンマをエスケープする必要があります。たとえば、次のようにします。

-D "cn=Patricia Fuentes,ou=people,o=siroe.com Bolivia\,S.A."

siroe.com Bolivia, S.A. ツリーから Patricia Fuentes を削除するには、次のコマンドを入力します。

ldapdelete -D "cn=Directory Manager,dc=siroe,dc=com" -w King-Pin -h cyclops -p 845 "cn=Patricia Fuentes,ou=People,o=siroe.com Bolivia\,S.A."

LDIF 更新文

---

ldapmodify によるディレクトリの変更方法を定義するには、LDIF 更新文を使用します。LDIF 更新文は、通常、次の操作を実行する一連のステートメントです。

• 変更するエントリの識別名を指定する

• add、delete、modify、modrdn など、特定のエントリの変更方法を定義する変更タイプを指定する

• 一連の属性とその変更後の値を指定する

ldapmodify に -a パラメタを指定した場合を除き、変更タイプを指定する必要があります。-a パラメタを指定すると、追加操作 (changetype: add) であると仮定されます。ただし、そのほかの変更タイプはすべて -a パラメタよりも優先されます。

修正操作 (changetype: modify) を指定した場合は、エントリの変更方法を指定する変更操作が必要です。

changetype: modrdn を指定する場合は、RDN (相対識別名) の修正方法を指定する変更操作が必要です。識別名の RDN は、DN 内の最も左端にある値です。たとえば、識別名 uid=ssarette,dc=siroe,dc=com の RDN は uid=ssarette です。

LDIF 更新文の一般的な形式は次のとおりです。

dn: distinguished_name
changetype_identifier
change_operation_identifier
list_of_attributes

-

change_operation_identifier
list_of_attributes
-

複数の変更操作を続けて指定する場合は、ダッシュ (-) を使用して各変更操作の終わりを示す必要があります。たとえば次のステートメントは、電話番号と管理者の属性をエントリに追加します。

dn: cn=Lisa Jangles,ou=People,dc=siroe,dc=com
changetype: modify
add: telephonenumber
telephonenumber: (408) 555-2468
-
add: manager
manager: cn=Harry Cruise,ou=People,dc=siroe,dc=com

また、行継続演算子として 1 つのスペースを使用します。したがって、次の 2 つの文は同じものになります。

dn: cn=Lisa Jangles,ou=People,dc=siroe,dc=com

dn: cn=Lisa Jangles,
ou=People,
dc=siroe,dc=com

次の節では、変更タイプについて詳しく説明します。

LDIF を使用したエントリの追加

ディレクトリにエントリを追加するには、changetype: add を使用します。エントリを追加する場合は、分岐点を表すエントリを作成してから、その分岐の下に新しいエントリを作成してください。つまり、People サブツリーと Groups サブツリー内にエントリを配置する場合は、これらのサブツリーの分岐点を作成してから、サブツリー内にエントリを作成します。

次の LDIF 更新文を使用して、People サブツリーと Groups サブツリーを作成し、次にそれらのサブツリー内にエントリを作成します。

dn:dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:organization
o: siroe.com

dn:ou=People, dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:organizationalUnit
ou:People
ou: Marketing

dn: cn=Pete Minsky,ou=People,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:person
objectclass: organizationalPerson
objectclass:inetOrgPerson
cn: Pete Minsky
givenName: Pete
sn: Minsky
ou:People
ou: Marketing
uid: pminsky

dn:cn=Sue Jacobs,ou=People,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:person
objectclass: organizationalPerson
objectclass:inetOrgPerson
cn: Sue Jacobs
givenName: Sue
sn: Jacobs
ou:People
ou: Marketing
uid: sjacobs

dn: ou=Groups,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:organizationalUnit
ou: Groups

dn: cn=Administrators,ou=Groups,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass: groupOfNames
member:cn=Sue Jacobs,ou=People,dc=siroe,dc=com
member: cn=Pete Minsky,ou=People,dc=siroe,dc=com
cn: Administrators

dn: ou=siroe.com Bolivia\, S.A.,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:organizationalUnit
ou: siroe.com Bolivia\, S.A.

dn: cn=Carla Flores,ou=siroe.com Bolivia\, S.A.,dc=siroe,dc=com
changetype: add
objectclass: top
objectclass:person
objectclass: organizationalPerson
objectclass:inetOrgPerson
cn: Carla Flores
givenName: Carla
sn: Flores
ou: siroe.com Bolivia\, S.A.
uid: cflores

LDIF を使用したエントリ名の変更

エントリの RDN (相対識別名) を変更するには、changetype:modrdn を使用します。エントリの RDN は、識別名中の最も左端にある値です。たとえば、次のような識別名があるとします。

cn=Barry Nixon,ou=People,dc=siroe,dc=com

この場合、次の部分が RDN になります。

cn=Barry Nixon

また、次のような識別名があるとします。

ou=People,dc=siroe,dc=com

この場合、次の部分が RDN になります。

ou=People

したがって、この名前変更操作では、エントリの識別名の左端の値を変更できます。

たとえば、次のようなエントリがあるとします。

cn=Sue Jacobs,ou=People,dc=siroe,dc=com

このエントリを、次のように変更できます。

cn=Susan Jacobs,ou=People,dc=siroe,dc=com

ただし、次のように変更することはできません。

cn=Sue Jacobs,ou=old employees,dc=siroe,dc=com

次の例では、Sue Jacobs を Susan Jacobs に変更できます。

dn: cn=Sue Jacobs,ou=Marketing,dc=siroe,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 0

この例では、deleteoldrdn が 0 なので、それまでの RDN が新しいエントリ内の値として残ります。このため、結果として生成されるエントリは、Sue Jacobs と Susan Jacobs の両方に設定された共通名 (cn) 属性と、元のエントリに含まれるその他すべての属性を持ちます。ただし、次のコードを使用した場合は事情が異なります。

dn: cn=Sue Jacobs,ou=Marketing,dc=siroe,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 1

cn=Sue Jacobs はサーバから削除され、cn=Susan Jacobs だけがエントリ内に残ります。

エントリ名の変更に関する注意点

modrdn 変更タイプを使用してエントリ名を変更しても、エントリを異なるサブツリーに移動することはできません。エントリを異なる分岐に移動するには、別のサブツリー内にそのエントリの属性を使用して新しいエントリを作成してから、元のエントリを削除する必要があります。

また、分岐点になっているエントリは削除できないのと同じ理由で、子を持っているエントリの名前は変更できません。子を持つエントリの名前を変更すると、子のエントリが親のないエントリになります。これは LDAP プロトコルでは認められていません。たとえば、次の 3 つのエントリがあるとします。

ou=People,dc=siroe,dc=com
cn=Paula Simon,ou=People,dc=siroe,dc=com
cn=Jerry O'Connor,ou=People,dc=siroe,dc=com

この中で名前を変更できるのは後ろの 2 つのエントリだけです。People サブツリーを識別するエントリは、その下にエントリがない場合に限り、名前を変更できます。

LDIF を使用したエントリの変更

エントリの属性または属性値、あるいはその両方に対して追加、置換、削除を行うには、changetype:modify を使用します。changetype:modify を指定する場合は、エントリの修正方法を示す変更操作も指定する必要があります。次のような変更操作を指定できます。

• add: 属性

  指定した属性または属性値を追加します。その属性のタイプがエントリに含まれていない場合は、属性とそれに対応する値が作成されます。その属性のタイプがすでにエントリに含まれている場合は、指定した属性値が既存の値に追加されます。すでに特定の属性値がエントリに対して指定されている場合は、操作が失敗し、エラーが返されます。

• replace: 属性

  指定した値を使用して属性値全体を置き換えます。対象の属性が存在しない場合は、その属性が作成されます。置換する値を指定しない場合は、その属性が削除されます。

• delete: 属性

  指定した属性が削除されます。属性が複数の値を持っている場合は、エントリに含まれる属性の値がすべて削除されます。複数の属性値のうち 1 つだけを削除する場合は、delete 変更操作に続く行で、対象の属性とその属性に関連付けられた値を指定します。

この節では、次の事項について説明します。

• LDIF を使用した既存のエントリへの属性の追加

• LDIF を使用した属性値の変更

• LDIF を使用した 1 つの属性のすべての値の削除

• LDIF を使用した特定の属性値の削除

LDIF を使用した既存のエントリへの属性の追加

エントリに属性および属性値を追加するには、追加操作で changetype:modify を使用します。

たとえば、次の LDIF 更新文は、エントリに電話番号を追加します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 555-1212

次の例は、エントリに 2 つの電話番号を追加します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 555-1212
telephonenumber: 555-6789

次の例は、2 つの telephonenumber 属性と 1 つの manager 属性をエントリに追加します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 555-1212
telephonenumber: 555-6789
-
add: manager
manager: cn=Sally Nixon,ou=People,dc=siroe,dc=com

次に、JPEG 形式の写真をディレクトリに追加する例を示します。

prompt% ldapmodify -D userDN -w user_passwd

>version: 1
dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
add: jpegphoto
jpegphoto:< file:/path/to/photo

リダイレクト記号 (<) は、ファイルの内容を属性値として使用する標準の LDIF 表記法です。この表記法では、使用する LDIF ファイルまたは LDIF 更新文を次の行から始める必要があります。

version:1

たとえば、次の ldapmodify コマンドを使用してユーザのディレクトリエントリに証明書を追加できます。

prompt% ldapmodify -D userDN -w user_passwd

>version: 1
>dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
>changetype: modify
>add: userCertificate
>userCertificate;binary:< file: BarneysCert

---

注	前述の標準の LDIF 表記法は、ldapmodify コマンドでのみ使用できます。ほかのコマンド行ユーティリティでは使用できません。

---

iPlanet Directory Server は、パラメタを -b に設定した ldapmodify コマンドも受け取り、次の LDIF 表記法に従います。

jpegphoto: /path/to/photo

この表記法は、属性値がスラッシュで始まる場合に、ldapmodify がバイナリ値の参照ファイルを読み取る必要があることを示します。

---

注	このような動作は、Directory Console ではサポートされていません。Console で、スラッシュで始まる値は、文字通りディレクトリに追加されます。

---

LDIF を使用した属性値の変更

エントリ内の 1 つの属性の値すべてを変更するには、replace 操作で changetype:modify を使用します。

たとえば、次の LDIF 更新文は、Barney の管理者を Sally Nixon から Wally Hensford に変更します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
replace: manager
manager: cn=Wally Hensford, ou=People, dc=siroe,dc=com

エントリが対象の属性のインスタンスを複数含んでいる場合に、属性値の 1 つを変更するには、変更する属性値を削除してから、置換用の値を追加する必要があります。たとえば、次のようなエントリがあるとします。

cn=Barney Fife,ou=People,dc=siroe,dc=com
objectClass:inetOrgPerson
cn: Barney Fife
sn: Fife
telephonenumber: 555-1212
telephonenumber: 555-5678

電話番号を 555-1212 から 555-4321 に変更するには、次の LDIF 更新文を使用します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
delete: telephonenumber
telephonenumber: 555-1212
-
add: telephonenumber
telephonenumber: 555-4321

Barney のエントリは次のようになります。

cn=Barney Fife,ou=People,dc=siroe,dc=com
objectClass:inetOrgPerson
cn: Barney Fife
sn: Fife
telephonenumber: 555-5678
telephonenumber: 555-4321

LDIF を使用した 1 つの属性のすべての値の削除

エントリから属性を削除するには、delete 操作で changetype:modify を使用します。エントリが対象の属性のインスタンスを複数含んでいる場合は、削除対象の属性のインスタンスを指定する必要があります。

たとえば、次の LDIF 更新文は、telephonenumber 属性のすべてのインスタンスをエントリから削除します。この属性がエントリ内で何度使用されているかは考慮されません。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
delete: telephonenumber

telephonenumber 属性の特定のインスタンスだけを削除する場合は、単純にその特定の属性値を削除します。次の節では、属性値を削除する方法について説明します。

LDIF を使用した特定の属性値の削除

エントリから属性値を削除するには、delete 操作で changetype:modify を使用します。

たとえば、次のようなエントリがあるとします。

cn=Barney Fife,ou=People,dc=siroe,dc=com
objectClass:inetOrgPerson
cn: Barney Fife
sn: Fife
telephonenumber: 555-1212
telephonenumber: 555-5678

電話番号 555-1212 をエントリから削除するには、次の LDIF 更新文を使用します。

dn:cn=Barney Fife,ou=People,dc=siroe,dc=com
changetype: modify
delete: telephonenumber
telephonenumber: 555-1212

この結果、Barney のエントリは次のようになります。

cn=Barney Fife,ou=People,dc=siroe,dc=com
objectClass:inetOrgPerson
cn: Barney Fife
sn: Fife
telephonenumber: 555-5678

LDIF を使用したエントリの削除

ディレクトリからエントリを削除するには、changetype:delete を使用します。削除できるエントリは最下位の部分のエントリだけです。したがって、エントリを削除するときは、ディレクトリツリー内で対象のエントリの下にほかのエントリがないことを確認します。つまり、組織単位に属するすべてのエントリを先に削除しないと、組織単位エントリは削除できません。

たとえば、次の 3 つのエントリがあるとします。

ou=People,dc=siroe,dc=com
cn=Paula Simon,ou=People,dc=siroe,dc=com
cn=Jerry O'Connor,ou=People,dc=siroe,dc=com

この中で削除できるのは後ろの 2 つのエントリだけです。People サブツリーを識別するエントリは、その下にエントリがない場合に限り削除できます。

次の LDIF 更新文を使用して、個人のエントリを削除できます。

dn: cn=Pete Minsky,ou=People,dc=siroe,dc=com
changetype: delete

dn:cn=Sue Jacobs,ou=People,dc=siroe,dc=com
changetype: delete

---

警告	接尾辞 o=NetscapeRoot は削除しないでください。iPlanetAdministration Server は、この接尾辞を使用してインストールした iPlanet Server に関する情報を格納します。この接尾辞を削除すると、Directory Server を含むすべての iPlanet サーバの再インストールが必要になります。

---

国際化ディレクトリのエントリの変更

属性タイプの言語タブでは、英語以外の言語の値であることを指定します。ldapmodify コマンド行ユーティリティを使用して、言語タグに関連付けられた属性を変更する場合は、値と言語タグを正確に一致させる必要があります。これらが一致しないと、修正操作は失敗します。

たとえば、lang-fr の言語タグを持つ属性値を修正する場合は、次の例に示すように、修正操作に lang-fr を含める必要があります。

dn: bjensen,dc=siroe,dc=com
changetype: modify
replace: homePostalAddress;lang-fr
homePostalAddress;lang-fr: 34\, rue de Seine

参照整合性の管理

---

参照整合性は、関連するエントリ間の関係を保持するデータベースメカニズムです。Directory Server では、参照整合性を使用して、ディレクトリ内の 1 つのエントリに対する更新を、そのエントリを参照するほかのすべてのエントリに正しく反映させることができます。

たとえば、参照整合性が有効になっているときに、あるユーザのエントリがディレクトリから削除されると、そのユーザは、所属しているあらゆるグループからも削除されます。参照整合性が有効になっていないと、管理者が手動でユーザを削除するまで、ユーザはグループのメンバーとして残ってしまいます。Directory Server とその他のユーザとグループの管理をディレクトリに頼っている iPlanet 製品を統合する場合には、この機能がとても重要です。

参照整合性のしくみ

参照整合性検査プラグインが有効になっているときに削除操作や名前変更の操作を実行すると、指定された属性に対する整合性更新がただちに実行されます。ただし、デフォルトでは、参照整合性検査プラグインは無効になっています。

ディレクトリ内にあるユーザエントリまたはグループエントリの削除や名前変更のたびに、その操作が参照整合性ログファイルに記録されます。

Solaris 9 プラットフォーム	/var/ds5/slapd-serverID/logs/referint
その他のプラットフォーム	installDir/slapd-serverID/logs/referint

更新間隔と呼ばれる指定した時間が経過すると、参照整合性が有効になっているすべての属性が検索され、検索結果のエントリと、ログファイル内に記録された削除または変更されたエントリの DN が照合されます。特定のエントリが削除されたことがログファイルに記録されている場合は、対応する属性が削除されます。特定のエントリが変更されたことがログファイルに記録されている場合は、対応する属性値が記録に従って変更されます。

デフォルトでは、参照整合性検査プラグインが有効になっているときに削除操作や名前変更の操作を実行すると、member、uniquemember、owner、および seeAlso の各属性に対する整合性更新がただちに実行されます。ただし、参照整合性検査プラグインの動作は、ユーザが自由に設定できます。次のように設定できます。

• 参照整合性による更新をレプリケーション更新履歴ログに記録する

• 更新間隔を変更する

• 参照整合性を適用する属性を選択する

• 参照整合性を無効にする

レプリケーションにおける参照整合性の使用

レプリケーション環境では、次のようないくつかの参照整合性検査プラグインの使用に関する制限があります。

• 専用のコンシューマサーバ (読み取り専用レプリカだけを含むサーバ) 上では、参照整合性検査プラグインを有効にすることができない

• 読み取り専用レプリカと読み書き可能レプリカの組み合わせを含むサーバ上では、参照整合性検査プラグインを有効にすることができない

• 読み書き可能レプリカだけを含むマスターサーバ上では、参照整合性検査プラグインを有効にすることができる

• マルチマスターレプリケーションのコンテキストでは、1 つのマスター上だけで参照整合性検査プラグインを有効にすることができる

サプライヤサーバの構成

前述の条件を満たすレプリケーション環境では、参照整合性検査プラグインを有効にすることができます。

1. 参照整合性検査プラグインを有効にします。

   この手順については、「参照整合性の有効化 / 無効化の切り替え」を参照してください。

2. すべての整合性更新を更新履歴ログに記録するようにプラグインを構成します。

   この手順については、「更新履歴ログへの更新の記録」を参照してください。

3. すべてのコンシューマサーバ上で参照整合性検査プラグインが無効になっていることを確認します。

   
   

   ---

   注	サプライヤサーバは参照整合性検査プラグインによって実施された変更を、すべてコンシューマサーバに送信します。このため、コンシューマサーバ上で参照整合性検査プラグインを実行する必要はありません。

   ---

   
   

参照整合性の有効化 / 無効化の切り替え

参照整合性は、Directory Server Console またはコマンド行から有効または無効にすることができます。

Directory Server Console の使用

1. Directory Server Console で、「Configuration (構成)」タブを選択します。

   Directory Server Console の起動方法については、「Directory Server Console の使用」を参照してください。

2. ナビゲーションツリー内の Plugins フォルダを展開し、Referential Integrity Postoperation プラグインを選択します。

   プラグインの設定が右側の区画に表示されます。

3. プラグインを有効にする場合は「Enable plugin (プラグインを有効にする)」チェックボックスを選択します。プラグインを無効にする場合は、このチェックボックスの選択を解除します。

4. 「Save (保存)」をクリックして、変更内容を保存します。

5. 変更を有効にするには、「Tasks (タスク)」タブで、「Restart the Directory Server (Directory Server を再起動する)」を選択します。

更新履歴ログへの更新の記録

slapd-serverID/logs ディレクトリの referint ファイルではなく、レプリケーションの更新履歴ログに更新情報を記録することもできます。レプリケーションの処理で、参照整合性の更新をコンシューマサーバにレプリケートするには、更新履歴ログに更新情報を記録する必要があります。

この変更は、Directory Server Console から行うことができます。

Directory Server Console の使用

1. Directory Server Console で、「Configuration (構成)」タブを選択します。

2. ナビゲーションツリー内の Plugins フォルダを展開し、Referential Integrity Postoperation プラグインを選択します。

   プラグインの設定が右側の区画に表示されます。

3. 引数のリスト内で、ファイル名 referint を更新履歴ログディレクトリへの絶対パスに置き換えます。

4. 「Save (保存)」をクリックして、変更内容を保存します。

5. 変更を有効にするには、「Tasks (タスク)」タブで、「Restart the Directory Server (Directory Server を再起動する)」を選択します。

更新間隔の変更

デフォルトでは、delete 操作または modrdn 操作の直後に、サーバによって参照整合性更新が実行されます。この操作がシステムに与える影響を軽減するには、更新間隔を長くします。更新間隔の最大値は設定されていません。一般的には、次の更新間隔が使用されます。

• ただちに更新

• 90 秒 (90 秒ごとに更新)

• 3600 秒 (1 時間ごとに更新)

• 10.800 秒 (3 時間ごとに更新)

• 28,800 秒 (8 時間ごとに更新)

• 86,400 秒 (1 日に 1 回更新)

• 604,800 秒 (1 週間に 1 回更新)

更新間隔は、Directory Server Console から変更できます。

Directory Server Console の使用

1. Directory Server Console で、「Configuration (構成)」タブを選択します。

2. ナビゲーションツリー内の Plugins フォルダを展開し、Referential Integrity Postoperation プラグインを選択します。

   プラグインの設定が右側の区画に表示されます。

3. 引数のリスト内で、最初のテキストボックスの値を適切な更新間隔に置き換えます。

4. 「Save (保存)」をクリックして、変更内容を保存します。

5. 変更を有効にするには、「Tasks (タスク)」タブで、「Restart the Directory Server (Directory Server を再起動する)」を選択します。

属性リストの変更

デフォルトでは、参照整合性は、member、uniquemember、owner、および seeAlso の各属性を更新するように設定されています。Directory Server Console を使用して、更新対象の属性を追加または削除できます。

Directory Server Console の使用

1. Directory Server Console で、「Configuration (構成)」タブを選択します。

2. ナビゲーションツリー内の Plugins フォルダを展開し、Referential Integrity Postoperation プラグインを選択します。

   プラグインの設定が右側の区画に表示されます。

3. 「Arguments (引数)」セクションで、「Add (追加)」ボタンと「Delete (削除)」ボタンを使用して、リスト内の属性を変更します。

4. 「Save (保存)」をクリックして、変更内容を保存します。

5. 変更を有効にするには、「Tasks (タスク)」タブで、「Restart the Directory Server (Directory Server を再起動する)」を選択します。

   
   

   ---

   注	Directory Server から最高の性能を引き出すためには、更新対象の属性に適切なインデックスを付ける必要があります。インデックス付けについては、第 10 章「インデックスの管理」を参照してください。

   ---