![]() |
iPlanet Directory Server 5.1 構成、コマンド、およびファイルのリファレンス |
第 7 章 コマンド行ユーティリティ
この章では、iPlanet Directory Server 5.1 で提供されている、エントリへのアクセスおよび変更に使用できるコマンド行ユーティリティのリファレンス情報を提供します。これらのコマンド行ユーティリティを使用すると、Directory Server での管理作業が容易になります。この章は、次の節で構成されています。
コマンド行ユーティリティの格納場所と実行方法
コマンド行ユーティリティの格納場所と実行方法
ldapsearch、ldapmodify、および ldapdelete の各コマンド行ユーティリティは、次のディレクトリに格納されています。
/usr/iplanet/ds5/shared/bin installDir/shared/bin ldif コマンド行ユーティリティは、次のディレクトリに格納されています。
/usr/iplanet/ds5/bin/slapd/server installDir/bin/slapd/server
コマンド行ユーティリティを実行するには、コマンド行ユーティリティが格納されているディレクトリに移動する必要があります。コマンドパス変数およびライブラリパス変数を設定してコマンド行ユーティリティを実行することもできますが、この方法はお勧めできません。特に、複数のバージョンのサーバがインストールされている場合は、ほかのユーティリティを正常に実行できなくなったり、システムのセキュリティが低下したりする恐れがあります。
Directory Server で提供されている Perl スクリプトについても同様です。これらのスクリプトと、その他のスクリプトについては、第 8 章「コマンド行スクリプト」を参照してください。
ディレクトリ内を検索できる。検索結果は LDIF 形式で返される。このツールについては、『iPlanet Directory Server 管理者ガイド』の付録 B「ディレクトリエントリの検索」を参照
エントリの追加、削除、変更、および名前変更を実行できる。操作はすべて LDIF 更新文で指定する。このツールについては、「ldapmodify を使用したエントリの追加と変更」を参照
ディレクトリ内のエントリを削除できる。このユーティリティの使い方については、「ldapdelete を使用したエントリの削除」を参照
LDIF ファイルを自動的にフォーマットし、ベース 64 で符号化された属性値を作成する。このツールについては、「Base64 符号化方式」を参照
特殊文字の使い方
ldapsearch コマンド行ユーティリティの使用時に、スペース ( )、アスタリスク (*)、バックスラッシュ (\) など、コマンド行インタプリタにとって特別な意味を持つ文字が含まれた値を指定する必要が生じることがあります。その場合は、値を引用符 ("") で囲みます。たとえば、次のようにします。-D "cn=Barbara Jensen, ou=Product Development, dc=siroe,dc=com"
使用するコマンド行インタプリタに応じて、一重引用符と二重引用符のどちらかを使用します。詳細は、オペレーティングシステムのマニュアルを参照してください。
また、値にコンマ (,) が含まれる DN を使用する場合は、コンマの前にエスケープ文字としてバックスラッシュを付ける必要があります。たとえば、次のようにします。
-D "cn=Patricia Fuentes, ou=people, dc=Siroe,dc=Bolivia\, S.A."
ldapsearch
LDAP 経由でディレクトリエントリを検索して取り出すことができる、設定可能なユーティリティです。このユーティリティは、指定された識別名とパスワードを使用して、指定されたサーバへの接続を確立し、指定された検索フィルタに基づいてエントリを検索します。単一のエントリ、あるエントリの直下のサブエントリ、ツリー全体、またはサブツリー全体を検索範囲とすることができます。検索結果は LDIF 形式で返されます。
ldapsearch -b baseDN [options] filter [list_of_attributes]
options は、一連のコマンド行オプション (省略可能) を示す。検索フィルタを指定する場合は、必ず検索フィルタの前にオプションを指定する
検索操作の結果として操作属性が返されるようにするには、検索コマンドで操作属性を明示的に指定する必要があります。明示的に指定した操作属性のほかに通常の属性も取り出すには、操作属性に加えて "*" を指定します。filter は、『iPlanet Directory Server 管理者ガイド』で説明されている LDAP 検索フィルタを示す。-f オプションを使用して、ファイルに記述された検索フィルタを使用する場合は、コマンド行で検索フィルタを指定してはならない
list_of_attributes は、スペースで区切られた属性のリスト (省略可能) であり、検索結果で返される属性の範囲を絞り込むために使用する。この属性のリストは、必ず検索フィルタのあとに指定すること。使用例については、『iPlanet Directory Server 管理者ガイド』を参照。属性のリストを指定しないで検索を実行すると、ディレクトリに設定されたアクセス制御セットで許可されているすべての属性 (操作属性は除く) の値が返される
ldapsearch オプション
以降の 3 つの節では、ldapsearch で指定できるオプションについて説明します。最初に、よく使用されるオプションについて、次に、SSL オプションについて、最後に、あまり使用されることのないオプションについて説明します。
よく使用される ldapsearch オプション
次の表に、よく使用される ldapsearch コマンド行オプションの一覧を示します。スペースが含まれた値を指定する場合は、-b "ou=groups, dc=siroe, dc=com" のように、値を二重引用符で囲んでください。
検索の開始点を指定する。ここで指定する値は、現在データベース内に存在する識別名でなければならない。LDAP_BASEDN 環境変数にベース DN が設定されている場合は、このオプションを省略できる
このオプションで指定する値は、次のように、二重引用符で囲むこと。たとえば、次のように指定する
-b "cn=Barbara Jensen, ou=Product Development, dc=siroe,dc=com"
ルート DSE エントリは、ローカルディレクトリでサポートされているすべての接尾辞のリストを含む特別なエントリ。このエントリを検索するには、"" という検索ベース、base という検索範囲、および "objectclass=*" というフィルタを指定する必要がある。たとえば、次のように指定する
サーバに対する認証に使用する識別名を指定する。匿名アクセスがサーバによってサポートされている場合、このオプションは省略可能。指定する値は、Directory Server によって認識され、エントリを検索できる権限を持つ DN でなければならない。たとえば、次のように指定する
Directory Server がインストールされているマシンのホスト名または IP アドレスを指定する。ホストを指定しなかった場合、ldapsearch は localhost を使用する。たとえば、-h mozilla のように指定する
バインドパスワードを読み取るファイルを指定する。簡易認証で使用される。このオプションを指定する場合は、-w オプションを指定してはならない
検索要求に割り当てる最大時間を、秒単位で指定する。ここでどのような値を指定しても、ldapsearch は、サーバの nsslapd-timelimit 属性によって許可されている時間より長く待機することはない。たとえば、-l 300 のように指定する。nsslapd-timelimit 属性のデフォルト値は 3,600 秒。詳細は、「nsslapd-timelimit (制限時間)」を参照
Directory Server が使用する TCP ポート番号を指定する (例 : -p 1049)。デフォルトは 389。-Z を使用した場合のデフォルトは 636
base : -b オプションで指定したエントリ、または LDAP_BASEDN 環境変数で定義されたエントリのみが検索される
one : -b オプションで指定したエントリのすぐ下の子エントリのみが検索される。検索されるのは子エントリだけで、-b オプションで指定した実際のエントリは検索されない
sub : -b オプションで指定したエントリとその子孫のエントリすべてが検索される。つまり、-b オプションで指定した開始点からのサブツリー全体に対して検索が実行される。この値がデフォルトになる
-D オプションで指定した識別名に関連付けられたパスワードを指定する。このオプションを指定しなかった場合は、匿名アクセスが使用される。-w - を指定すると、ユーティリティはパスワードの入力を求める。このオプションを指定する場合は、-j オプションを指定してはならない。たとえば、-w diner892 のように指定する
検索結果のソートを、クライアントではなくサーバで行うようにする。これは、多言語検索の場合のように、マッチング規則に従ってソートする場合に便利。一般に、クライアントよりもサーバでソートした方が高速になる
検索要求に対して返されるエントリの最大数を指定する (例 : -z 1000)。通常、ここでどのような値を指定しても、ldapsearch は、サーバの nsslapd-sizelimit 属性によって許可されている数を超えるエントリを返すことはない。ただし、このコマンド行引数を指定するときに root DN としてバインドすれば、この制限を上書きすることができる。これは、root DN としてバインドした場合には、このオプションがデフォルト値の 0 に設定されるため。nsslapd-sizelimit 属性のデフォルト値は 2,000 エントリ。詳細は、「nsslapd-sizelimit (サイズ制限)」を参照
SSL オプション
次のコマンド行オプションを指定すると、SSL 対応の Directory Server との通信時に、ldapsearch が LDAPS を使用するようにできます。証明書に基づく認証を使用する場合にも、これらのオプションを使用します。これらのオプションは、LDAPS が有効になっており、そして使用する Directory Server 用に構成されている場合にのみ有効になります。証明書に基づく認証、および LDAP クライアントで使用する証明書データベースの作成方法については、『iPlanet Directory Server 管理者ガイド』の第 11 章「SSL の管理」を参照してください。SSL を使用して ldapsearch コマンドを実行するには、標準の ldapsearch オプションのほかに、次のオプションを指定する必要があります。
-p で Directory Server の暗号化ポートを指定する
その他の ldapsearch オプション
検索をさらにカスタマイズするには、次の省略可能なオプションを使用します。
属性値ではなく、属性だけを検索で取り出すようにする。このオプションは、エントリの属性が存在しているかどうかだけを知りたい場合 (その値を必要としない場合) に便利
エイリアスの参照解除を完了する方法を指定する。「never」、「always」、「search」、または「find」の値を指定できる。デフォルト値は「never」
バイナリ値を出力する。ディレクトリ内に格納されているバイナリ値を検索出力内に出力するようにする。-B と -o を組み合わせて使用した場合は、バイナリデータでBase 64 符号化は使用されない
別の区切り文字を指定する。このオプションは、-o と組み合わせた場合だけ使用できる。このオプションを指定すると、属性名と対応する値を区切るのにコロン (:) 以外の区切り文字を指定できる。たとえば、-F + のように指定する
検索で使用する検索フィルタが格納されたファイルを指定する (例 : -f search_filters)。検索フィルタをコマンド行に直接指定する場合は、このオプションを省略する。検索フィルタについては、『iPlanet Directory Server 管理者ガイド』の付録 B「ディレクトリエントリの検索」を参照
仮想リスト検索を指定する。検索ターゲットの前後のエントリの数、および最初に返すエントリのインデックスまたは値を指定できる。たとえば、姓によってソートする場合に、-G 20:30:johnson と指定すると、johnson と等しいか、または johnson より前にある最初のエントリと、その前の 20 エントリ、および後ろの 30 エントリが返される。ディレクトリ内の一致するエントリが、検索で要求された「前」または「後ろ」の数より少ない場合は、検索ターゲットの前後の可能な検索条件に一致するすべてのエントリが返される
文字セット。コマンド行の入力に使用する文字セットを指定する。デフォルトは、LANG 環境変数で指定されている文字セット。このオプションを使用して、指定した文字セットから UTF8 への変換を実行すると、環境変数の設定を上書きできる
このオプションを使用すると、バインド DN、ベース DN、および検索フィルタパターンを、指定した文字セットで入力できる。ldapsearch は、検索要求を処理する前に、このオプションによって入力を変換する。たとえば、-i no と指定すると、バインド DN、ベース DN、および検索フィルタをノルウェー語で入力できる
このオプションは、コマンド行の入力だけに適用される。つまり、-f オプションを使用して、検索フィルタが格納されたファイルを指定した場合、ファイル内のデータは変換されない
変換ルーチンディレクトリ。最新の LDAP SDK リリースから入手できるソート言語など、このリリースの Directory Server ではデフォルトでサポートされていないソート言語を指定したい場合は、変換ルーチンが格納されているディレクトリを指定する必要がある。サポートされている言語のリストについては、『iPlanet Directory Server 管理者ガイド』の表 B-1 を参照
検索を実行すると、サーバによって現在のディレクトリが調べられる。ただし、変換ルーチンが現在のディレクトリにない場合は、ldapsearch の使用時にこのオプションを指定する必要がある。変換ルーチンディレクトリの場所は、デフォルトでは installDir/lib/nls
スマートレフェラルを管理する。サーバは、エントリに含まれるスマートレフェラルを返すのではなく、そのレフェラルが含まれているエントリを返す。このオプションは、スマートレフェラルを含むエントリを検索する場合に使用する。スマートレフェラルについては、『iPlanet Directory Server 管理者ガイド』の第 2 章「ディレクトリデータベースの構成」を参照
検索を実際に実行するのではなく、指定した入力により ldapsearch がどのような処理を行うのかを表示するようにする
このオプションを指定すると、個々の値の出力が改行されない書式になり、属性名と値の区切り文字として等号 (=) が使用される。この引数を使用したときの出力は LDIF 形式にはならない
ソート条件として使用する属性を指定する (例 : -S sn)。より詳細にソート順序を定義する場合は、複数の -S 引数を使用できる。次の例では、姓、名の順で検索結果がソートされる
結果を一時ファイルセットに書き込むようにする。このオプションを使用すると、各属性値はシステムの一時ディレクトリ内の個別のファイルに書き込まれる。内容にかかわらず、値に対してBase 64 符号化は実行されない
検索で使用する LDAP のバージョン番号を指定する (例 : -V 2)。デフォルトは LDAP v3。LDAP v2 だけをサポートしている Directory Server では、LDAP v3 の検索を実行することはできない。Netscape Directory Server 1.x などの LDAP v2 サーバに接続するときは、LDAP v2 だけを使用すること
検索に使用するプロキシ DN を指定する。この引数はテスト目的で用意されている。プロキシ認証については、『iPlanet Directory Server 管理者ガイド』の第 6 章「アクセス制御の管理」を参照
ldapmodify
LDAP 経由でディレクトリエントリを変更できます。
構文
ldapmodify -D bindDN [-w password] [-acmnrvFR] [-d debugLevel]
[-h host] [-p port] [-M auth_mechanism] [-Z] [-V version]
[-l number_of_ldap_connections] [-f file | < entryfile ]
ldapmodify オプション
以降の 3 つの節では、ldapmodify で指定できるオプションについて説明します。最初に、よく使用されるオプションについて、次に、SSL オプションについて、最後に、あまり使用されることのないオプションについて説明します。
よく使用される ldapmodify オプション
既存のディレクトリ内のエントリを変更するには、ldapmodify コマンド行ユーティリティと次のオプションを使用します。
changetype:add という LDIF 更新文を使用せずに LDIF エントリをディレクトリに追加できるようになる。これにより、簡単にエントリをディレクトリに追加できる。このオプションを使用すると、ldapsearch によって作成されたファイルを直接追加できる
サーバに対する認証に使用する識別名を指定する。指定する値は、Directory Server で認識され、エントリを変更する権限を持っている DN でなければならない。たとえば、-D "uid=bjensen, dc=siroe,dc=com" のように指定する。このオプションは、-N オプションとともに使用することはできない
省略可能なオプションで、ディレクトリの変更を定義する LDIF 更新文を含むファイルを指定する (例 : -f modify_statements)。このオプションを指定しない場合、更新文は stdin から読み込まれる。LDIF 更新文をコマンド行から入力する方法については、『iPlanet Directory Server 管理者ガイド』の第 4 章「ディレクトリエントリの管理」を参照
バインドパスワードを読み取るファイルを指定する。簡易認証で使用される。このオプションを指定する場合は、-w オプションを指定してはならない
サーバが使用するポート番号を指定する (例 : -p 1049)。デフォルトは 389。-Z を使用した場合のデフォルトは 636
-D オプションで指定した識別名に関連付けられたパスワードを指定する。このオプションを指定しなかった場合は、匿名アクセスが使用される。-w - を指定すると、ユーティリティはパスワードの入力を求める。このオプションを指定する場合は、-j オプションを指定してはならない。たとえば、-w diner892 のように指定する
操作で使用する LDAP のバージョン番号を指定する (例 : -V 2)。デフォルトは LDAP v3。LDAP v2 だけをサポートしている Directory Server では、LDAP v3 の操作を実行することはできない
削除操作に使用するプロキシ DN を指定する。この引数はテスト目的で用意されている。プロキシ認証については、『iPlanet Directory Server 管理者ガイド』の第 4 章「ディレクトリエントリの管理」を参照
SSL オプション
次のコマンド行オプションを指定すると、Directory Server との通信時に、ldapmodify が SSL を介した LDAP (つまり LDAPS) を使用するようにできます。LDAPS では、データは転送時に暗号化されます。証明書に基づく認証を使用する場合にも、これらのオプションを使用します。これらのオプションは、SSL が有効になっており、そして使用する Directory Server 用に構成されている場合にのみ有効になります。証明書に基づく認証、および LDAP クライアントで使用する証明書データベースの作成方法については、『iPlanet Directory Server 管理者ガイド』の第 11 章「SSL の管理」を参照してください。SSL オプションを使用するときは、必ず Directory Server の暗号化されたポートを指定してください。
その他の ldapmodify オプション
次のオプションを指定すると、追加機能を使用できます。
このオプションを指定すると、ユーティリティによって個々の属性値がチェックされ、その値が有効なファイル参照かどうかが調べられる。値が有効なファイル参照の場合は、参照先のファイルの内容が属性値として使用される。このオプションは、画像などのバイナリデータを含むファイルのパスを指定するときによく使用される。たとえば、jpegPhoto 属性を追加する場合に、ldapmodify の呼び出しで -b オプションを指定する。ldapmodify に提供する LDIF に、次のような文を記述する
ldapmodify は、エントリで指定した jpegPhoto 属性に photo.jpeg ファイルの内容を読み込む
Windows NT でも、このオプションの形式は、先頭に区切り記号 (/ または \) を付けることを含め、まったく同じになる (ドライブ名を指定できる点を除く)。たとえば、次のように指定する
この動作は、Directory Console ではサポートされていない。Console では、スラッシュで始まる値はそのままディレクトリに追加される
ディレクトリへのバイナリデータのインポートについては、『iPlanet Directory Server 管理者ガイド』の第 4 章「ディレクトリエントリの管理」を参照
ユーティリティが継続操作モードで動作するようにする。エラーは報告されるが、ユーティリティによる変更は継続される。デフォルトでは、エラーの報告後に終了する
スマートレフェラルを管理する。サーバは、エントリに含まれるスマートレフェラルを返すのではなく、変更要求をエントリに直接適用する。スマートレフェラルを含むディレクトリエントリの追加、変更、または削除を行う場合に使用する。スマートレフェラルについては、『iPlanet Directory Server 管理者ガイド』の第 2 章「ディレクトリデータベースの構成」を参照
実際にエントリを変更するのではなく、指定した入力により ldapsearch がどのような処理を行うのかを表示するようにする
操作で使用する LDAP のバージョン番号を指定する (例 : -V 2)。デフォルトは LDAP v3。LDAP v2 だけをサポートしている Directory Server では、LDAP v3 の操作を実行することはできない
変更操作に使用するプロキシ DN を指定する。この引数はテスト目的で用意されている。プロキシ認証については、『iPlanet Directory Server 管理者ガイド』の第 6 章「アクセス制御の管理」を参照
ldapdelete
LDAP 経由でディレクトリエントリの削除操作を実行できます。
ldapdelete オプション
以降の 3 つの節では、ldapsdelete で指定できるオプションについて説明します。最初に、よく使用されるオプションについて、次に、SSL オプションについて、最後に、あまり使用されることのないオプションについて説明します。
よく使用される ldapdelete オプション
既存のデータベースから 1 つまたは複数のエントリを削除するには、ldapdelete コマンド行ユーティリティと次のオプションを使用します。
サーバに対する認証に使用する識別名を指定する。ここで指定する値は、Directory Server によって認識され、エントリを削除できる権限を持つ DN でなければならない。たとえば、-D "uid=bjensen, dc=siroe,dc=com" のように指定する。アクセス制御については、『iPlanet Directory Server 管理者ガイド』の第 6 章「アクセス制御の管理」を参照。-D オプションを使う場合、-N オプションは使用できない
バインドパスワードを読み取るファイルを指定する。簡易認証で使用される。このオプションを指定する場合は、-w オプションを指定してはならない
-D オプションで指定した識別名に関連付けられたパスワードを指定する。このオプションを指定しなかった場合は、匿名アクセスが使用される。-w - を指定すると、ユーティリティはパスワードの入力を求める。このオプションを指定する場合は、-j オプションを指定してはならない。たとえば、-w diner892 のように指定する
SSL オプション
次のオプションを指定すると、Directory Server との通信時に ldapdelete が LDAPS を使用するようにできます。証明書に基づく認証を使用する場合にも、これらのオプションを使用します。これらのオプションは、LDAPS が有効になっており、そして使用する Directory Server 用に構成されている場合だけ有効になります。証明書に基づく認証、および LDAP クライアントで使用する証明書データベースの作成方法については、『iPlanet Directory Server 管理者ガイド』の第 11 章「SSL の管理」を参照してください。SSL オプションを使用するときは、必ず Directory Server の暗号化されたポートを指定してください。
その他の ldapdelete オプション
次のオプションを指定すると、追加機能を使用できます。
ユーティリティが継続操作モードで動作するようにする。エラーは報告されるが、ユーティリティは削除を継続する。デフォルトでは、エラーの報告後に終了する
削除するエントリの識別名を含むファイルを指定する (例 : -f modify_statements)。削除するエントリの識別名をコマンド行に直接入力する場合は、このオプションを省略する
スマートレフェラルを管理する。サーバは、エントリに含まれるスマートレフェラルを返すのではなく、そのスマートレフェラルが含まれているエントリを削除する。スマートレフェラルについては、『iPlanet Directory Server 管理者ガイド』の第 2 章「ディレクトリデータベースの構成」を参照
実際にエントリを削除するのではなく、指定した入力により ldapsearch がどのような処理を行うのかを表示するようにする
操作で使用する LDAP のバージョン番号を指定する (例 : -V 2)。デフォルトは LDAP v3。LDAP v2 だけをサポートしている Directory Server では、LDAP v3 の操作を実行することはできない
削除操作に使用するプロキシ DN を指定する。この引数はテスト目的で用意されている。プロキシ認証については、『iPlanet Directory Server 管理者ガイド』の第 6 章「アクセス制御の管理」を参照
ldif
LDIF ファイルを自動的にフォーマットし、Base 64 で符号化された属性値を作成します。Base 64 符号化を使用すると、JPEG 画像などのバイナリデータを LDIF で表現できます。Base 64 で符号化されたデータは、:: 記号を使用して識別します。たとえば、次のようにします。バイナリデータ以外に、次のデータもBase 64 で符号化する必要があります。
ldif コマンド行ユーティリティは、任意の入力を受け取り、行分割処理を行い、適切な属性情報で整形します。また、ldif ユーティリティは、入力に対してBase 64 で符号化が必要かどうかも判別します。
構文
ldif コマンドの書式は次のとおりです。
/usr/sbin/directoryserver ldif [-b] [attrtypes] installDir/bin/slapd/server ldif [-b] [attrtypes]
ldif ユーティリティが入力全体を単一のバイナリ値として解釈するようにする。-b を指定しない場合は、各行が別々の入力値とみなされる
-b オプションを使用する代わりに、:< を使用することもできる。実際にはこの URL 指示子表記の方が簡単である。たとえば、次のように指定する
前へ 目次 索引 DocHome 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.
Last Updated February 18, 2002