前へ     目次     索引     DocHome     次へ     
iPlanet Directory Server 5.1 構成、コマンド、およびファイルのリファレンス



第 2 章   コアサーバ構成のリファレンス


iPlanet Directory Server 5.1 の構成情報は、LDAP エントリとしてディレクトリ内に格納されます。したがって、サーバ構成に対する変更は、単に構成ファイルを修正するのではなく、サーバ自体を使用して実装する必要があります。このような方法で構成情報を格納する一番の利点は、ディレクトリ管理者が稼動中のサーバを停止せずに、LDAP 経由で再構成できる点にあります。

この章では、構成の構造や変更方法を説明し、すべての属性をアルファベット順で示します。この章は、次の節で構成されています。



サーバ構成の概要

iPlanet Directory Server 5.1 をインストールすると、デフォルトの構成が、ディレクトリ内の cn=config サブツリーの下に一連の LDAP エントリとして格納されます。サーバが起動すると、LDIF 形式の dse.ldif ファイルから cn=config サブツリーの内容が読み込まれます。この dse.ldif ファイルには、サーバ構成に関するすべての情報が格納されています。このファイルの最新バージョンは dse.ldif、最後の変更が行われる前のバージョンのファイルは dse.ldif.bak、サーバが起動したときに読み込まれた最新のファイルは dse.ldif.startOK と呼ばれます。iPlanet Directory Server 5.1 の機能の大半は、コアサーバに組み込まれる個別のモジュールとして設計されています。各プラグインの内部構成は、個別のエントリとして cn=plugins,cn=config の下に格納されます。たとえば、Telephone Syntax プラグインの構成は、次のエントリに格納されます。

cn=Telephone Syntax,cn=plugins,cn=config

同様に、データベースに固有の構成は、次のサブツリーの下に格納されます。

cn=ldbm database,cn=plugins,cn=config and cn=chaining database,cn=plugins,cn=config

次の図は、構成データが cn=config ディレクトリ情報ツリー内でどのように格納されているかを示します。



サーバ構成の概要について、次の項目ごとに説明します。


LDIF 構成ファイルの格納場所

Directory Server の構成データは、デフォルトでは、次のディレクトリにあるファイルに、LDIF 形式で自動的に出力されます。

/var/ds5/slapd-serverID/config

serverID は、Directory Server のインストール時に定義したサーバ識別子を示します。この章の例では、サーバ識別子として phonebook を使用します (該当する場合)。


スキーマ構成ファイルの格納場所

スキーマ構成も LDIF 形式で格納され、次のディレクトリに置かれます。

/var/ds5/slapd-serverID/config/schema

Directory Server に付属するすべての LDIF 構成ファイルのリストについては、この章の最後にある(サーバ) 構成のクイックリファレンス表 2-7 を参照してください。


サーバ構成の構造

dse.ldif ファイルには、サーバの起動時にディレクトリが作成するディレクトリ固有のエントリや、データベースに関連するディレクトリ固有のエントリ (これらのエントリもサーバの起動時に作成される) など、すべての構成情報が格納されています。このファイルには、Root DSE ("" で指定される) と cn=config の全内容を含んでいます。dse.ldif ファイルの生成時に、エントリは階層構造順のリストになります。つまり、cn=config の下のディレクトリでエントリが現れる順序となります。

ここでは、構成属性、プラグイン機能の構成、データベースの構成、およびインデックスの構成の概要について説明します。


構成属性

構成エントリ内では、各属性は属性名として記述されます。属性の値は、その属性の構成に対応します。

次のコード例は、Directory Server の dse.ldif ファイルの一部であり、スキーマ検査が on に設定されている部分を示しています。このことは、nsslapd-schemacheck 属性の値が on に設定されていることで示されています。

コード例 2-1 dse.ldif ファイルの抜粋
dn: cn=config
objectclass: top
objectclass: extensibleObject
objectclass: nsslapdConfig
nsslapd-accesslog-logging-enabled: on
nsslapd-enquote-sup-oc: on
nsslapd-localhost: phonebook.siroe.com
nsslapd-errorlog: /var/ds5/slapd-phonebook/logs/errors
nsslapd-schemacheck: on
nsslapd-store-state-info: on
nsslapd-port: 389
nsslapd-localuser: nobody
...


プラグイン機能の構成

プラグイン機能の各部分の構成のために、Directory Server プラグインの個々のエントリがあり、サブツリー cn=plugins,cn=config の下に属性セットがあります。次のコード例は、プラグイン (ここでは Telephone Syntax プラグイン) の構成エントリの例を示します。

コード例 2-2 Telephone Syntax プラグインの構成エントリ
dn: cn=Telephone Syntax,cn=plugins,cn=config
objectclass: top
objectclass: nsSlapdPlugin
objectclass: extensibleObject
cn: Telephone Syntax
nsslapd-pluginPath: /usr/iplanet/ds5/lib/syntax-plug-in.so
nsslapd-pluginInitfunc: tel_init
nsslapd-pluginType: syntax
nsslapd-pluginEnabled: on

すべてのプラグインに共通する属性もあれば、それぞれのプラグインに固有の属性もあります。cn=config サブツリーで ldapsearch を実行すると、指定したプラグインで現在使用されている属性を確認できます。

iPlanet Directory Server 5.1 でサポートされているプラグインのリスト、プラグインの一般的な構成情報、プラグインの構成属性のリファレンス、および再起動を必要とするプラグインのリストについては、第 3 章「プラグインを実装したサーバ機能のリファレンス」を参照してください。


データベースの構成

cn=NetscapeRoot サブツリーには o=NetscapeRoot 接尾辞を含むデータベースの構成データ、cn=UserRoot サブツリーには o=UserRoot 接尾辞を含むデータベースの構成データが格納されます。iPlanet Administration Server は、cn=NetscapeRoot サブツリー内に格納されているデータを使用することで、LDAP 経由では実行できないすべての処理 (起動や停止)と、認証を行います。cn=UserRoot サブツリーには、サーバのインストール時に作成された最初のユーザ定義データベースのすべての構成データが格納されます。cn=UserRoot サブツリーには、デフォルトで UserRoot という名前が付けられていますが、これは固定されたものではありません。複数のデータベースインスタンスが存在する場合、この名前は、新しいデータベースが追加されたときにユーザが変更および定義します。


インデックスの構成

インデックスの構成情報は、次の 3 つの情報ツリーノードの下に、Directory Server のエントリとして格納されます。

  • cn=index,cn=NetscapeRoot,cn=ldbm database,cn=plugins,cn=config

  • cn=index,cn=UserRoot,cn=ldbm database,cn=plugins,cn=config

  • cn=default indexes,cn=config,cn=ldbm database, cn=plugins,cn=config

インデックスに関する全般的な情報は、『iPlanet Directory Server 管理者ガイド』を参照してください。インデックスの構成属性については、「cn=default indexes,cn=config,cn=ldbm database, cn=plugins,cn=config の下のデータベース属性」を参照してください。これらの属性をここで説明するのは、このノードが cn=config 情報ツリーに基づく構成属性の表現に最初に現れるからです。



サーバ構成へのアクセスと変更


この節では、構成エントリのアクセス制御、およびサーバ構成を表示および変更するさまざまな方法について説明します。さらに、実行可能な変更の種類に関する制限をカバーし、変更を反映するためにサーバの再起動を必要とする属性について明確にします。この節は、次の各部で構成されています。


構成エントリのアクセス制御

Directory Server をインストールした時点では、cn=config の下にあるすべてのエントリに ACI (Access Control Instruction) のデフォルトセットが実装されています。コード例 2-3は、デフォルト ACI の例を示します。

コード例 2-3 dse.ldif 内のデフォルト ACI


aci: (targetattr = "*")(version 3.0; acl "Configuration Adminstrators Group";  allow (all)  groupdn = "ldap:///cn=Configuration Administrators,ou=Groups,  ou=TopologyManagement, o=NetscapeRoot";)
aci: (targetattr = "*")(version 3.0; acl "Configuration  Adminstrator";  allow (all) userdn =  "ldap:///uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot";)
aci: (targetattr = "*")(version 3.0; acl "Local Directory Adminstrators Group";  allow (all)  groupdn = "ldap:///ou=Directory Administrators, dc=Siroe,dc=com";)
aci: (targetattr = "*")(version 3.0; acl "SIE Group";  allow(all)  groupdn = "ldap:///cn=slapd-phonebook, cn=Netscape Directory Server,  cn=Server Group, cn=phonebook.siroe.com, dc=Siroe,dc=com, o=NetscapeRoot";)

デフォルト ACI は、次のユーザに対して、すべての構成属性へのあらゆる LDAP 操作を許可しています。

  • 構成管理者グループのメンバー

  • 設定可能な uid admin 権限を持ち、管理者として操作を行っているユーザ

  • ローカルディレクトリ管理者グループのメンバー

  • ローカルディレクトリ管理者 (root DN)

  • 通常、メインコンソールのメイントポロジ表示からアクセス権の設定を使用して割り当てられている SIE (サーバインスタンスエントリ) グループ

アクセス制御については、『iPlanet Directory Server 管理者ガイド』の第 5 章を参照してください。


構成属性の変更

サーバの属性値を表示および変更するには、iPlanet Console から LDAP を使用する方法、ldapsearch コマンドと ldapmodify コマンドを実行する方法、dse.ldif ファイルを手動で編集する方法の 3 通りあります。


 

dse.ldif ファイルを編集する場合は、事前にサーバを停止しておく必要があります。停止しなかった場合、変更は失われます。動的に変更できない属性を変更する場合のみ、dse.ldif ファイルの編集をすることをお勧めします。詳細は、「サーバの再起動を必要とする構成の変更」を参照してください。  

次に、iPlanet Console とコマンド行の両方から、LDAP を使用してエントリを変更する方法、エントリの変更に対する制限、属性の変更に対する制限、および再起動を必要とする構成の変更について説明します。


LDAP を使用した構成エントリの変更

ディレクトリ内の構成エントリは、ほかのディレクトリエントリと同様に、iPlanet Console から、または ldapsearchldapmodify 操作を実行することにより、LDAP を使用して検索および変更できます。エントリの変更に LDAP を使用する利点は、サーバの動作中に変更を実行できる点にあります。サーバが 389 番ポートで動作しているとは限らないので、構成エントリを変更するときはポート番号を指定する必要があります。詳細は、『iPlanet Directory Server 管理者ガイド』の第 4 章「ディレクトリエントリの管理」を参照してください。ただし、サーバを再起動しないと反映されない変更もあります。詳細は、「サーバの再起動を必要とする構成の変更」を参照してください。


 

すべての構成ファイルについて、cn=config サブツリーのノードを変更あるいは削除するときは、iPlanet Directory Server の機能に影響するので、十分に注意してください。  

cn=config サブツリーで ldapsearch 操作を実行すると、常にデフォルト値が使用される属性を含めて、構成全体を表示できます。

ldapsearch -b cn=config -D bindDN -w password "objectclass=*"

bindDN は、サーバの構成時にディレクトリマネージャ (Directory Manager) 用に選択した DN を示し、password は、ディレクトリマネージャ用に選択したパスワードを示します。

前節では、プラグイン機能が有効に設定されている Telephone Syntax プラグインの構成エントリの例を示しました。この機能を無効にする場合は、次の一連のコマンドを実行します。

コード例 2-4 Telephone Syntax プラグインの無効化

ldapmodify -D bindDN -w password
dn:cn=Telephone Syntax,cn=plugins,cn=config
changetype: modify
replace:nsslapd-pluginEnabled
nsslapd-pluginEnabled:off


構成エントリの変更に対する制限

サーバエントリを変更する場合は、次のような制限が適用されます。

  • dse.ldif cn=monitor エントリおよびその子エントリは読み取り専用であり、変更できない


構成属性の変更に対する制限

サーバの属性を変更する場合は、次のような制限が適用されます。

  • 属性を cn=config に追加しても、その属性は無視される

  • 属性に無効な値を入力すると、その属性は無視される

  • ldapdelete は、エントリ全体を削除する場合に使用する。エントリから属性を削除する場合は、dapmodify を使用する


サーバの再起動を必要とする構成の変更

構成属性によっては、サーバの動作中に動的に変更することができません。この場合は、変更を反映させるために、サーバをいったん停止して再起動する必要があります。変更するには、Directory Server Console を使用するか、または dse.ldif ファイルを手動で編集します。この章の最後にある (サーバ) 構成のクイックリファレンス表 2-8 に、これらの属性のリストを示します。



コアサーバの構成属性のリファレンス


この節では、コアサーバ機能のすべての構成属性について説明します。プラグインで実装されるサーバ機能については、「(サーバ) 構成のクイックリファレンス」を参照してください。独自のサーバ機能を実装する場合は、iPlanet プロフェッショナルサービスに問い合わせてください。

サーバ構成の検索方法と変更方法については、「サーバ構成の概要」および「サーバ構成へのアクセスと変更」を参照してください。プラグインのサーバ機能とそれに適用される属性のリストについては、この章の最後にある「(サーバ) 構成のクイックリファレンス」の表 2-1 を参照してください。

dse.ldif ファイルに格納されている構成情報は、次に示すように、一般的な構成エントリ cn=config の下に情報ツリーとして編成されています。



この節で扱う構成ツリーノードは次のとおりです。

  • cn=config

  • cn=changelog5

  • cn=encryption

  • cn=features

  • cn=mapping tree

  • cn=monitor

  • cn=replica

  • cn=replication

  • cn=SNMP

  • cn=tasks

  • cn=uniqueid generator

cn=plugins ノードについては、「(サーバ) 構成のクイックリファレンス」で説明しています。以降では、属性をアルファベット順に説明し、属性ごとに、ディレクトリエントリの DN、デフォルト値、有効な値、および使用例を示します。


警告  

この章で説明するエントリと属性の中には、この製品の将来のリリースで変更される可能性のあるものがあります。  


cn=config

一般的な構成エントリは、cn=config エントリの下に格納されます。cn=config エントリは、extensibleObject オブジェクトクラスから継承された nsslapdConfig オブジェクトクラスのインスタンスです。構成属性をサーバに反映させるには、top オブジェクトクラスに加えて、この 2 つのオブジェクトクラスがエントリ内に存在している必要があります。次に、一般的な構成エントリについて説明します。


nsIdleTimeout (アイドル接続のタイムアウト)

アイドル状態の LDAP クライアント接続をサーバが閉じるまでの時間を秒単位で指定します。0 を指定すると、アイドル状態の接続は閉じらません。

エントリ DN

cn=config

有効な値

0 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

0

構文

Integer

nsIdleTimeout: 0


nsslapd-accesscontrol (アクセス制御の有効化)

アクセス制御を on または off に設定します。この属性の値が off の場合は、匿名バインドを含むすべての有効なバインドの試行に対して、Directory Server に格納されているすべての情報へのフルアクセスが許可されます。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesscontrol: off


nsslapd-accesslog (アクセスログ)

各データベースアクセスを記録するログファイルの、パスとファイル名を指定します。デフォルトでは、次の情報がログファイルに記録されます。

  • データベースにアクセスしたクライアントマシンの IP アドレス

  • 実行した操作 (検索、追加、変更など)

  • アクセスの結果 (返されたエントリの数など)

アクセスログを off に設定する方法については、『iPlanet Directory Server 管理者ガイド』の第 13 章「ロギングと統計情報の監視」を参照してください。

アクセスログを有効にするには、この属性に有効なパスとファイル名を指定し、nsslapd-accesslog-logging-enabled 構成属性を on に切り替える必要があります。次の表は、これら 2 つの構成属性で使用可能な値の 4 種類の組み合わせと、各組み合わせでのアクセスログの有効 / 無効を示しています。


表 2-1 アクセスログ属性で可能な値の組み合わせ

属性の組み合わせ

値の組み合わせ

ログの状態

nsslapd-accesslog-logging-enabled
nsslapd-accesslog  

on
空文字列  

無効  

nsslapd-accesslog-logging-enabled
nsslapd-accesslog  

on
ファイル名  

有効  

nsslapd-accesslog-logging-enabled
nsslapd-accesslog  

off
空文字列  

無効  

nsslapd-accesslog-logging-enabled
nsslapd-accesslog  

off
ファイル名  

無効  

エントリ DN

cn=config

有効な値

任意の有効なファイル名

デフォルト値

/var/ds5/slapd-serverID/logs/access

構文

DirectoryString

nsslapd-accesslog:
 /var/ds5/slapd-serverID/logs/access


nsslapd-accesslog-level

アクセスログに記録する内容を制御します。

エントリ DN

cn=config

有効な値

0 : アクセスログを記録しない

4 : 内部アクセス操作を記録する

256 : エントリへのアクセスを記録する

512 : エントリへのアクセスとレフェラルを記録する

これらの値を加算して、必要なログのタイプを正確に設定できる。たとえば、516 (4 + 512) を指定すると、内部アクセス操作、エントリアクセス、およびレフェラルをログに記録できる

デフォルト値

256

構文

Integer

nsslapd-accesslog-level: 256


nsslapd-accesslog-list

この属性は読み取り専用であり、設定することはできません。この属性は、アクセスログのローテーションで使用されるアクセスログファイルのリストです。

エントリ DN

cn=config

有効な値

なし

デフォルト値

なし

構文

DirectoryString

nsslapd-accesslog-list:accesslog2,accesslog3


nsslapd-accesslog-logbuffering (ログのバッファリング)

off に設定すると、すべてのアクセスログのエントリが、ディスクに直接書き込まれます。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logbuffering: off


nsslapd-accesslog-logexpirationtime (アクセスログの有効期間)

ログファイルが削除されるまでの最大有効期間を指定します。この属性では、数値だけを指定します。単位は nsslapd-accesslog-logexpirationtimeunit 属性で指定します。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

1

構文

Integer

nsslapd-accesslog-logexpirationtime: 2


nsslapd-accesslog-logexpirationtimeunit (アクセスログの有効期間の単位)

nsslapd-accesslog-logrotationtime 属性の単位を指定します。サーバが単位を認識できない場合、ログは期限切れになりません。

エントリ DN

cn=config

有効な値

month | week | day

デフォルト値

month

構文

DirectoryString

nsslapd-accesslog-logexpirationtimeunit: week


nsslapd-accesslog-logging-enabled (アクセスログの有効化)

アクセスログの記録を有効または無効にします。この構成属性は、常に、各データベースアクセスを記録するログのパスとファイル名を指定する nsslapd-accesslog 属性と組み合わせて使用します。

アクセスログの記録を有効にするには、この属性を on に切り替え、nsslapd-accesslog 構成属性に有効なパスとファイル名を指定する必要があります。表 2-1 は、これら 2 つの構成属性で使用可能な値の 4 種類の組み合わせと、各組み合わせでのアクセスログの有効 / 無効を示します。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-accesslog-logging-enabled: off


nsslapd-accesslog-logmaxdiskspace (アクセスログの最大ディスク容量)

アクセスログに使用できるディスク容量の最大値を、M バイト単位で指定します。この値を超えた場合は、もっとも古いアクセスログが削除されます。

最大ディスク容量を設定するときは、ログファイルのローテーションによって作成されるログファイルの総数を考慮する必要があります。Directory Server が管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、アクセスログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。

デフォルト値

500 (-1 を指定すると、アクセスログに使用できるディスク容量は無制限になる)

構文

Integer

nsslapd-accesslog-logmaxdiskspace: 200


nsslapd-accesslog-logminfreediskspace (アクセスログの最小空きディスク容量)

ディスクの空き容量の最小値を M バイト単位で指定します。ディスクの空き容量がこの属性で指定した値を下回った場合、ディスクの空き容量がこの属性値を超えるまで、もっとも古いアクセスログから順番に削除されます。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

5

構文

Integer

nsslapd-accesslog-logminfreediskspace: 4


nsslapd-accesslog-logrotationtime (アクセスログのローテーション間隔)

アクセスログファイルのローテーションの時間間隔を指定します。アクセスログの現在のサイズにかかわらず、この時間が経過するとアクセスログがローテーションされます。この属性では、数値だけを指定します。日、週、月などの時間単位は、nsslapd-accesslog-logrotationtimeunit 属性で指定します。

ログのローテーションを無効にすると、ログサイズが無制限に大きくなります。そのため、性能上の理由から、無効に設定することはお勧めできません。無効に設定する場合は、nsslapd-accesslog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-accesslog-logrotationtime 属性の値を -1 に設定します。サーバは、まず nsslapd-accesslog-maxlogsperdir 属性を調べ、この属性値が 1 より大きい場合は、nsslapd-accesslog-logrotationtime 属性を調べます。詳細は、「nsslapd-accesslog-maxlogsperdir (アクセスログファイルの最大数)」を参照してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、アクセスログファイルのローテーション間隔が無制限になる

デフォルト値

1

構文

Integer

nsslapd-accesslog-logrotationtime: 100


nsslapd-accesslog-logrotationtimeunit (アクセスログのローテーション間隔の時間単位)

nsslapd-accesslog-logrotationtime 属性の単位を指定します。

エントリ DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

day

構文

DirectoryString

nsslapd-accesslog-logrotationtimeunit: week


nsslapd-accesslog-maxlogsize (アクセスログの最大サイズ)

アクセスログの最大サイズを M バイト単位で指定します。ログサイズがこの値に達すると、アクセスログのローテーションが行われます。つまり、ログ情報は新しいログファイルへ記録されます。nsslapd-accesslog-maxlogsperdir 属性を 1 に設定した場合、この属性は無視されます。

最大ログサイズを設定するときは、ログファイルのローテーションにより作成されるログファイルの総数を考慮する必要があります。Directory Server が管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、アクセスログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、アクセスログファイルのサイズが無制限になる

デフォルト値

100

構文

Integer

nsslapd-accesslog-maxlogsize: 100


nsslapd-accesslog-maxlogsperdir (アクセスログファイルの最大数)

アクセスログが格納されるディレクトリに追加可能な、アクセスログファイルの総数を指定します。ログファイルのローテーションを有効にしている場合は、アクセスログがローテーションされるたびに新しいログファイルが作成されます。アクセスログのディレクトリにあるファイルの数が、この属性に指定した値を超えると、もっとも古いログファイルが削除されます。この値を 1 に設定すると、ログはローテーションされなくなり、無制限に大きくなります。そのため、性能上の理由から、1 に設定することはお勧めできません。

この属性の値が 1 より大きい場合は、nsslapd-accesslog-logrotationtime 属性を調べ、ログのローテーションが指定されているかどうかを確認する必要があります。nsslapd-accesslog-logrotationtime 属性の値が -1 の場合は、ログのローテーションは行われません。詳細は、「nsslapd-accesslog-logrotationtime (アクセスログのローテーション間隔)」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

10

構文

Integer

nsslapd-accesslog-maxlogsperdir: 10


nsslapd-attribute-name-exceptions

古いバージョンのサーバとの下位互換性のために、属性名に標準以外の文字を使用できるようにします。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-attribute-name-exceptions: on


nsslapd-auditlog (監査ログ)

各データベースに対する変更を記録するログのパス名とファイル名を指定します。

エントリ DN

cn=config

有効な値

任意の有効なファイル名

デフォルト値

installDir/slapd-serverID/logs/audit

構文

DirectoryString

nsslapd-auditlog:
 /var/ds5/slapd-serverID/logs/audit

監査ログを有効にする場合は、この属性に有効なパスとファイル名を指定し、nsslapd-auditlog-logging-enabled 構成属性を on に切り替える必要があります。次の表は、これら 2 つの構成属性で使用可能な値の 4 種類の組み合わせと、各組み合わせでの監査ログの有効 / 無効を示しています。


表 2-2 監査ログ属性で可能な値の組み合わせ

属性の組み合わせ

値の組み合わせ

ログの状態

nsslapd-auditlog-logging-enabled
nsslapd-auditlog  

on
空文字列  

無効  

nsslapd-auditlog-logging-enabled
nsslapd-auditlog  

on
ファイル名  

有効  

nsslapd-auditlog-logging-enabled
nsslapd-auditlog  

off
空文字列  

無効  

nsslapd-accesslog-logging-enabled
nsslapd-auditlog  

off
ファイル名  

無効  


nsslapd-auditlog-list

監査ログファイルのリストを出力します。

エントリ DN

cn=config

有効な値

なし

デフォルト値

なし

構文

DirectoryString

nsslapd-auditlog-list: auditlog2,auditlog3


nsslapd-auditlog-logexpirationtime (監査ログの有効期間)

ログファイルが削除されるまでの最大有効期間を指定します。この属性では、数値だけを指定します。日、週、月などの時間単位は、nsslapd-auditlog-logexpirationtimeunit 属性で指定します。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

1

構文

Integer

nsslapd-auditlog-logexpirationtime: 1


nsslapd-auditlog-logexpirationtimeunit (監査ログの有効期間の単位)

nsslapd-auditlog-logexpirationtime 属性の時間単位を指定します。サーバが単位を認識できない場合、ログは期限切れになりません。

エントリ DN

cn=config

有効な値

month | week | day

デフォルト値

week

構文

DirectoryString

nsslapd-auditlog-logexpirationtimeunit: day


nsslapd-auditlog-logging-enabled (監査ログの有効化)

監査ログを on または off に設定します。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-auditlog-logging-enabled: off

監査ログを有効にする場合は、この属性に有効なパスとファイル名を指定し、nsslapd-auditlog-logging-enabled 構成属性を on に切り替える必要があります。表 2-2 は、これら 2 つの構成属性で使用可能な値の 4 種類の組み合わせと、各組み合わせでの監査ログの有効 / 無効を示します。


nsslapd-auditlog-logmaxdiskspace (監査ログの最大ディスク容量)

監査ログに使用できるディスク容量の最大値を M バイト単位で指定します。この値を超えた場合は、もっとも古い監査ログが削除されます。

最大ディスク容量を設定するときは、ログファイルのローテーションによって作成されるログファイルの総数を考慮する必要があります。Directory Server で管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、監査ログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、監査ログファイルに使用できるディスク容量は無制限になる

デフォルト値

500

構文

Integer

nsslapd-auditlog-logmaxdiskspace: 500


nsslapd-auditlog-logminfreediskspace (監査ログの最小空きディスク容量)

ディスクの空き容量の最小値を M バイト単位で指定します。ディスクの空き容量がこの属性で指定した値を下回った場合、ディスクの空き容量がこの属性値を超えるまで、もっとも古い監査ログから順番に削除されます。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

5

構文

Integer

nsslapd-auditlog-logminfreediskspace: 3


nsslapd-auditlog-logrotationtime (監査ログのローテーション間隔)

監査ログファイルのローテーションの時間間隔を指定します。監査ログの現在のサイズにかかわらず、この時間が経過すると監査ログがローテーションされます。この属性では、数値だけを指定します。日、週、月などの時間単位は、nsslapd-auditlog-logrotationtimeunit 属性で指定します。nsslapd-auditlog-maxlogsperdir 属性を 1 に設定した場合、この属性は無視されます。

ログのローテーションを無効にすると、ログサイズが無制限に大きくなります。そのため、性能上の理由から、無効に設定することはお勧めできません。無効に設定する場合は、nsslapd-auditlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-auditlog-logrotationtime 属性の値を -1 に設定します。サーバはまず、nsslapd-auditlog-maxlogsperdir 属性を調べ、この属性値が 1 より大きい場合は、nsslapd-auditlog-logrotationtime 属性を調べます。詳細は、「nsslapd-auditlog-maxlogsperdir (監査ログファイルの最大数)」を参照してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、監査ログファイルのローテーション間隔が無制限になる

デフォルト値

1

構文

Integer

nsslapd-auditlog-logrotationtime: 100


nsslapd-auditlog-logrotationtimeunit (監査ログのローテーション間隔の時間単位)

nsslapd-auditlog-logrotationtime 属性の時間単位を指定します。

エントリ DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

week

構文

DirectoryString

nsslapd-auditlog-logrotationtimeunit: day


nsslapd-auditlog-maxlogsize (監査ログの最大サイズ)

監査ログの最大サイズを M バイト単位で指定します。ログサイズがこの値に達すると、監査ログのローテーションが行われます。つまり、ログ情報は新しいログファイルへ記録されます。nsslapd-auditlog-maxlogsperdir 属性を 1 に設定した場合、この属性は無視されます。

最大ログサイズを設定するときは、ログファイルのローテーションにより作成されるログファイルの総数を考慮する必要があります。Directory Server が管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、監査ログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、監査ログファイルのサイズが無制限になる

デフォルト値

100

構文

Integer

nsslapd-auditlog-maxlogsize: 50


nsslapd-auditlog-maxlogsperdir (監査ログファイルの最大数)

監査ログが格納されるディレクトリに追加可能な、監査ログファイルの総数を指定します。監査ログファイルのローテーションを有効にしている場合は、監査ログがローテーションされるたびに新しいログファイルが作成されます。監査ログのディレクトリにあるファイルの数が、この属性に指定した値を超えると、もっとも古いログファイルが削除されます。デフォルト値は 1 です。このデフォルト値を使用した場合、ログはローテーションされなくなり、無制限に大きくなります。

この属性の値が 1 より大きい場合は、nsslapd-auditlog-logrotationtime 属性を調べ、ログのローテーションが指定されているかどうかを確認する必要があります。nsslapd-auditlog-logrotationtime 属性の値が -1 の場合、ログのローテーションは行われません。詳細は、「nsslapd-auditlog-logrotationtime (監査ログのローテーション間隔)」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

1

構文

Integer

nsslapd-auditlog-maxlogsperdir: 10


nsslapd-certmap-basedn (証明書マップの検索ベース)

certmap.conf で構成されるセキュリティサブシステム証明書 (certificate) のマッピングによる制限を避けるために、SSL 証明書を使用してクライアント認証を実行するときに、この属性を使用できます。certmap.conf の構成によっては、root DN をベースとするディレクトリサブツリーの検索を使用して、証明書のマッピングが行われることがあります。root DN が検索ベースになっている場合、nsslapd-certmap-basedn 属性は、root 以外のエントリから検索するように強制することがあります。詳細は、『iPlanet Directory Server 管理者ガイド』の第 11 章「SSL の管理」を参照してください。


nsslapd-config

この属性は読み取り専用であり、config DN です。

エントリ DN

cn=config

有効な値

任意の有効な config DN

デフォルト値

なし

構文

DirectoryString

nsslapd-config:cn=config


nsslapd-ds4-compatible-schema

cn=schema 内のスキーマが、バージョン 4.x の Directory Server と互換性を保つようにします。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-ds4-compatible-schema: off


nsslapd-enquote-sup-oc (上位オブジェクトクラスの引用の有効化)

cn=schema エントリに含まれる objectclasses 属性に使用する引用符が、Internet deaft (RFC 2252) による引用符の指定に準拠するかどうかを指定します。デフォルトでは、Directory Server は、cn=schema 内の objectclasses 属性で識別される上位オブジェクトクラスを単一引用符で囲みます。RFC 2252 は、この値を引用符で囲まないように規定しています。

つまり、Directory Server は cn=schema エントリ内の objectclasses 属性を次のように公開します。

objectclasses: ( 2.5.6.6 NAME 'person' DESC 'Standard ObjectClass' SUP 'top' MUST ( objectclass $ sn $ cn ) MAY ( aci $ description $ seealso $ telephonenumber $ userpassword ) )

RFC 2252 では、この属性を次のように公開するように規定しています。

objectclasses: ( 2.5.6.6 NAME 'person' DESC 'Standard ObjectClass' SUP top MUST ( objectclass $ sn $ cn ) MAY ( aci $ description $ seealso $ telephonenumber $ userpassword ) )

top が単一引用符で囲まれていないことに注意してください。

この属性を on に設定すると、Directory Server Resource Kit の LDAP クライアント (LDAP client) は機能しなくなります。この場合、クライアントが RFC 2252 で規定されているスキーマを必要とするからです

この属性を off に設定すると、Directory Server は RFC 2252 に準拠するようになります。ただし、初期の LDAP クライアントでは、問題が生じる可能性があります。特に、iPlanet LDAP SDK for Java 4.x を使用して作成されたクライアントはすべて、スキーマの読み取りと変更が正常に実行されなくなります。この問題は、バージョン 4.x の iPlanet Console にも当てはまります。この属性の on / off 設定は、バージョン 5.0 の iPlanet Console には影響しません。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-enquote-sup-oc: off


nsslapd-errorlog (エラーログ)

Directory Server によって生成されたエラーメッセージを記録するためのログのパス名とファイル名を指定します。これらのメッセージはエラーの状態を示しますが、多くの場合、次のような有用な情報も含んでいます。

  • サーバの起動時刻および停止時刻

  • サーバが使用しているポート番号

ログレベル属性の設定によって、このログに含まれる情報量が変わります。詳細は、「nsslapd-errorlog-level (エラーログレベル)」を参照してください。

エントリ DN

cn=config

有効な値

任意の有効なファイル名

デフォルト値

/var/ds5/slapd-serverID/logs/error

構文

DirectoryString

nsslapd-errorlog:
 /var/ds5/slapd-serverID/logs/error

エラーログを有効にするには、この属性に有効なパスとファイル名を指定し、nsslapd-errorlog-logging-enabled 構成属性を on に切り替える必要があります。次の表は、これら 2 つの構成属性で使用可能な値の 4 種類の組み合わせと、各組み合わせでのエラーログの有効 / 無効を示しています。


表 2-3 エラーログ属性で可能な値の組み合わせ

属性の組み合わせ

値の組み合わせ

ログの状態

nsslapd-errorlog-logging-enabled
nsslapd-errorlog  

on
空文字列  

無効  

nsslapd-errorlog-logging-enabled
nsslapd-errorlog  

on
ファイル名  

有効  

nsslapd-errorlog-logging-enabled
nsslapd-errorlog  

off
空文字列  

無効  

nsslapd-errorlog-logging-enabled
nsslapd-errorlog  

off
ファイル名  

無効  


nsslapd-errorlog-level (エラーログレベル)

Directory Server が使用するログレベルを指定します。ログレベルは加算することができます。つまり、3 を指定すると、レベル 1 と 2 の両方が実行されます。

ログを off に設定する場合は、dse.ldif ファイルから nsslapd-errorlog-level 属性を削除し、Directory Server を再起動します。

エントリ DN

cn=config

有効な値

1 = 関数呼び出しのトレース。関数呼び出しの開始と終了時にメッセージが記録される

2 = パケット処理のデバッグ

4 = 大容量トレース出力のデバッグ

8 = 接続の管理

16 = 送受信したパケットの出力

32 = 検索フィルタの処理

64 = 構成ファイルの処理

128 = アクセス制御リストの処理

2048 = ログエントリの解析のデバッグ

有効な値

4096 = ハウスキーピングスレッドのデバッグ

8192 = レプリケーションのデバッグ

16384 = ログのデフォルトレベル。重大なエラーやサーバの起動メッセージのような、常にエラーログに書き込まれるその他のメッセージの記録に使用される。ログレベルの設定にかかわらず、このレベルのメッセージは常にエラーログに取り込まれる

32768 = データベースキャッシュのデバッグ

65536 = サーバプラグインのデバッグ。サーバプラグインが slapi-log-error を呼び出したときに、エントリがログファイルに書き込まれる

デフォルト値

ログの記録は off に設定されている (nsslapd-errorlog-level 属性が dse.ldif ファイルに含まれていない)

構文

Integer

nsslapd-errorlog-level: 8192


nsslapd-errorlog-list

この属性は読み取り専用であり、エラーログファイルのリストを出力します。

エントリ DN

cn=config

有効な値

なし

デフォルト値

なし

構文

DirectoryString

nsslapd-errorlog-list:errorlog2,errorlog3


nsslapd-errorlog-logexpirationtime (エラーログの有効期間)

ログファイルが削除されるまでの最大有効期間を指定します。この属性では、数値だけを指定します。日、週、月などの時間単位は、nsslapd-errorlog-logexpirationtimeunit 属性で指定します。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

1

構文

Integer

nsslapd-errorlog-logexpirationtime: 1


nsslapd-errorlog-logexpirationtimeunit (エラーログの有効期間の単位)

nsslapd-errorlog-logexpirationtime 属性の時間単位を指定します。サーバが単位を認識できない場合、ログは期限切れになりません。

エントリ DN

cn=config

有効な値

month | week | day

デフォルト値

month

構文

DirectoryString

nsslapd-errorlog-logexpirationtimeunit: week


nsslapd-errorlog-logging-enabled (エラーログの有効化)

エラーログを on または off に設定します。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-errorlog-logging-enabled: on


nsslapd-errorlog-logmaxdiskspace (エラーログの最大ディスク容量)

エラーログに使用できるディスク容量の最大値を、M バイト単位で指定します。この値を超えた場合は、もっとも古いエラーログが削除されます。

最大ディスク容量を設定するときは、ログファイルのローテーションによって作成されるログファイルの総数を考慮する必要があります。Directory Server が管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、エラーログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、エラーログファイルに使用できるディスク容量は無制限になる

デフォルト値

500

構文

Integer

nsslapd-errorlog-logmaxdiskspace: 500


nsslapd-errorlog-logminfreediskspace (エラーログの空きディスク容量)

ディスクの空き容量の最小値を M バイト単位で指定します。ディスクの空き容量がこの属性で指定した値を下回った場合、ディスクの空き容量がこの属性値を超えるまで、もっとも古いエラーログから順番に削除されます。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

5

構文

Integer

nsslapd-errorlog-logminfreediskspace: 5


nsslapd-errorlog-logrotationtime (エラーログのローテーション間隔)

エラーログファイルのローテーションの時間間隔を指定します。エラーログの現在のサイズにかかわらず、この時間が経過するとエラーログがローテーションされます。この属性では、数値だけを指定します。日、週、月などの時間単位は、nsslapd-errorlog-logrotationtimeunit (エラーログのローテーションの時間単位) 属性で指定します。

ログのローテーションを無効にすると、ログサイズが無制限に大きくなります。そのため、性能上の理由から、無効に設定することはお勧めできません。無効に設定する場合は、nsslapd-errorlog-maxlogsperdir 属性の値を 1 に設定するか、nsslapd-errorlog-logrotationtime 属性の値を -1 に設定します。サーバは、まず nsslapd-errorlog-maxlogsperdir 属性を調べ、この属性値が 1 より大きい場合は、nsslapd-errorlog-logrotationtime 属性を調べます。詳細は、「nsslapd-errorlog-maxlogsperdir (エラーログファイルの最大数)」を参照してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、エラーログファイルのローテーション間隔が無制限になる

デフォルト値

1

構文

Integer

nsslapd-errorlog-logrotationtime: 100


nsslapd-errorlog-logrotationtimeunit (エラーログのローテーション間隔の時間単位)

nsslapd-errorlog-logrotationtime (エラーログのローテーション間隔) の単位を指定します。サーバが単位を認識できない場合、ログは期限切れになりません。

エントリ DN

cn=config

有効な値

month | week | day | hour | minute

デフォルト値

week

構文

DirectoryString

nsslapd-errorlog-logrotationtimeunit: day


nsslapd-errorlog-maxlogsize (エラーログの最大サイズ)

エラーログの最大サイズを M バイト単位で指定します。ログサイズがこの値に達すると、エラーログがローテーションされます。つまり、ログ情報は新しいログファイルへ記録されます。nsslapd-errorlog-maxlogsperdir 属性を 1 に設定した場合、この属性は無視されます。

最大ログサイズを設定するときは、ログファイルのローテーションにより作成されるログファイルの総数を考慮する必要があります。Directory Server が管理するログファイルには、アクセスログ、監査ログ、およびエラーログの 3 つのタイプがあり、それぞれディスク容量を消費します。このことを考慮して、エラーログに使用できる総ディスク容量を検討してください。

エントリ DN

cn=config

有効な値

-1 | 1 〜 32 ビット整数の最大値 (2147483647)。-1 を指定すると、エラーログファイルのサイズが無制限になる

デフォルト値

100

構文

Integer

nsslapd-errorlog-maxlogsize: 100


nsslapd-errorlog-maxlogsperdir (エラーログファイルの最大数)

エラーログが格納されるディレクトリに追加可能な、エラーログファイルの総数を指定します。エラーログファイルのローテーションを有効にしている場合は、エラーログがローテーションされるたびに新しいログファイルが作成されます。エラーログのディレクトリにあるファイルの数が、この属性に指定した値を超えると、もっとも古いログファイルが削除されます。デフォルト値は 1 です。このデフォルト値を使用した場合、ログはローテーションされなくなり、無制限に大きくなります。

この属性の値が 1 より大きい場合は、nsslapd-errorlog-logrotationtime 属性を調べ、ログのローテーションが指定されているかどうかを確認する必要があります。nsslapd-errorlog-logrotationtime 属性の値が -1 の場合、ログのローテーションは行われません。詳細は、「nsslapd-errorlog-logrotationtime (エラーログのローテーション間隔)」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

1

構文

Integer

nsslapd-errorlog-maxlogsperdir: 10


nsslapd-groupevalnestlevel

アクセス制御システムがグループ評価のために実行する、入れ子のレベル数を指定します。

エントリ DN

cn=config

有効な値

0 〜 5

デフォルト値

5

構文

Integer

nsslapd-groupevalnestlevel:5


nsslapd-instancedir (インスタンスのインストールディレクトリ)

サーバインスタンスが構成されているディレクトリへの絶対パスを指定します。ホスト名はデフォルトです。

エントリ DN

cn=config

有効な値

任意の有効なファイルパス

デフォルト値

/var/ds5/slapd-serverID

構文

DirectoryString

nsslapd-instancedir:
 /var/ds5/slapd-phonebook


nsslapd-ioblocktimeout (IO ブロックのタイムアウト)

停止状態の LDAP クライアントへの接続を閉じるまでの時間を、ミリ秒単位で指定します。LDAP クライアントで読み取りまたは書き込みの入出力処理が行われていないときは、そのクライアントはストールしているものとみなされます。

エントリ DN

cn=config

有効な値

0 〜 32 ビット整数の最大値 (2147483647)。クロック単位

デフォルト値

1800000

構文

Integer

nsslapd-ioblocktimeout: 1800000


nsslapd-lastmod (変更時刻の追跡)

Directory Server エントリの変更属性をDirectory Server に保守させるかどうかを指定します。以下の属性が対象となります。

  • modifiersname : 最後にエントリを変更したユーザの識別名

  • modifytimestamp : 最後にエントリが変更された時刻を GMT 形式で示すタイムスタンプ

  • creatorsname : エントリを最初に作成したユーザの識別名

  • createtimestamp : エントリが作成された時刻を GMT 形式で示すタイムスタンプ

    エントリ DN

    cn=config

    有効な値

    on | off

    デフォルト値

    on

    構文

    DirectoryString

    nsslapd-lastmod: off


nsslapd-listenhost (IP アドレスの待機)

複数の Directory Server インスタンスをマルチホームマシン上で実行できるようにします。または、マルチホームマシンの 1 つのインタフェースだけを待機するように制限します。この属性の値として指定する IP インタフェースに対応するホスト名 (hostname) を指定します。Directory Server は、この属性で指定したホスト名に対応するインタフェースに送信された要求だけを処理します。

エントリ DN

cn=config

有効な値

任意のホスト名

デフォルト値

なし

構文

DirectoryString

nsslapd-listenhost: host_name


nsslapd-localhost (ローカルホスト)

この属性は読み取り専用であり、Directory Server が実行されているホストマシンを表します。

エントリ DN

cn=config

有効な値

任意の完全指定ホスト名

デフォルト値

Directory Server をインストールしたホスト名

構文

DirectoryString

nsslapd-localhost: phonebook.siroe.com


nsslapd-localuser (ローカルユーザ)

Directory Server の実行に使用するユーザ名を指定します。この属性に指定したユーザが所属しているグループを調べることにより、Directory Server の実行に使用するグループが決定されます。ユーザ名を変更した場合は、インストールディレクトリのすべてのファイルの所有者をそのユーザに変更する必要があります。

エントリ DN

cn=config

有効な値

ローカルコンピュータ上の任意の有効なユーザ

デフォルト値

Directory Server を起動したユーザと同じユーザで実行される

構文

DirectoryString

nsslapd-localuser: nobody


nsslapd-maxbersize (メッセージの最大サイズ)

着信メッセージの最大サイズを、バイト単位で指定します。この属性は、Directory Server が処理できる LDAP 要求のサイズを制限します。要求のサイズを制限すると、ある種のサービス拒否攻撃を防ぐことができます。

この制限は LDAP 要求の合計サイズに適用されます。たとえば、エントリを追加する要求があり、その要求で追加されるエントリが 2 M バイトより大きい場合、その要求は拒否されます。この属性の変更は慎重に行なってください。変更する前に、iPlanet プロフェッショナルサービスに問い合わせることをお勧めします。

エントリ DN

cn=config

有効な値

0 〜 2G バイト (2,147,483,647 バイト)。0 を指定すると、デフォルト値が使用される

デフォルト値

2097152

構文

Integer

nsslapd-maxbersize: 2097152


nsslapd-maxdescriptors (ファイルディスクリプタの最大数)

この属性は、Directory Server が使用できるファイルディスクリプタの最大数を設定します。使用可能な個数は、プラットフォームによって異なります。ファイルディスクリプタは、クライアントがサーバに接続するたびに使用されるほか、インデックス管理などのサーバ処理にも使用されます。TCP/IP 接続で利用可能なファイルディスクリプタの数は、nsslapd-maxdescriptors 属性に設定した総数から、サーバがクライアント接続以外のインデックス管理やレプリケーションに使用するファイルディスクリプタ (nsslapd-reservedescriptors 属性で指定) の数を引いたものになります。nsslapd-reservedescriptors 属性については、「nsslapd-reservedescriptors (予約済みのファイルディスクリプタ)」を参照してください。

ここで指定する数は、オペレーティングシステムで ns-slapd プロセスが使用できるファイルディスクリプタの総数を超えることはできません。オペレーティングシステムによってこの数は異なります。オペレーティングシステムによっては、プロセスで使用できるファイルディスクリプタの数を変更できます。ファイルディスクリプタの制限値および構成については、各オペレーティングシステムのマニュアルを参照してください。付属の idsktune プログラムを使用すると、ファイルディスクリプタの数を必要に応じて増やすなど、システムカーネルや TCP/IP 調整属性の変更を促す指示を得ることができます。ファイルディスクリプタの不足により Directory Server が接続を拒否している場合は、この属性値を増やすことを検討してください。この場合は、次のメッセージが Directory Server のエラーログファイルに書き込まれます。

Not listening for new connections -- too many fds open


 

シェルでは通常、ファイルディスクリプタの数に対する制限を変更できます。この制限および制限により引き起こされる問題については、オペレーティングシステムのマニュアルを参照してください。  

エントリ DN

cn=config

有効な値

1 〜 65535

デフォルト値

1024

構文

Integer

nsslapd-maxdescriptors: 1024


nsslapd-maxthreadsperconn (接続当たりの最大スレッド数)

1 つの接続で使用されるスレッドの最大数を指定します。クライアントがバインド後に 1 つか 2 つの操作だけを実行して、バインドを解除するような通常の操作では、デフォルト値を使用します。クライアントがバインドと同時に多数の要求を発行するような場合は、この値を増やして、各接続がすべての操作を実行するのに十分な資源を使用できるようにします。この属性は Server Console からは設定できません。

エントリ DN

cn=config

有効な値

1 〜最大スレッド数

デフォルト値

5

構文

Integer

nsslapd-maxthreadsperconn: 5


nsslapd-nagle

この属性の値を off にすると、TCP_NODELAY オプションが設定され、エントリや結果メッセージなどの LDAP 応答がただちにクライアントに返信されます。この属性を on にすると、デフォルトの TCP 動作が適用されます。つまり、基盤となっているネットワークの MTU サイズ (Ethernet の場合は通常 1,500 バイト) の単一パケットに追加データをグループ化できるように、データの送信が延期されます。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-nagle: off


nsslapd-plug-in

この属性は読み取り専用であり、読み込まれた構文とマッチング規則をリストします。


nsslapd-port (ポート番号)

LDAP 通信に使用する TCP/IP ポート番号です。このポート経由で SSL/TLS を実行するには、「Start TLS」拡張操作を実行します。ホストシステム上で一意のポート番号を選択する必要があります。同じポート番号を使用しているアプリケーションが存在しないことを確認してください。1024 未満のポート番号を指定する場合は、root として Directory Server を実行する必要があります。

構成ディレクトリのポート番号を変更する場合は、構成ディレクトリ内の対応するサーバインスタンスエントリも更新する必要があります。ポート番号の変更を反映させるには、サーバを再起動する必要があります。

エントリ DN

cn=config

有効な値

1 〜 65535

デフォルト値

389

構文

Integer

nsslapd-port: 389


nsslapd-privatenamespaces

プライベートな命名コンテキスト cn=configcn=schema、および cn=monitor のリストが格納されます。

エントリ DN

cn=config

有効な値

cn=config、cn=schema、および cn=monitor

デフォルト値

なし

構文

DirectoryString

nsslapd-privatenamespaces: cn=config


nsslapd-readonly (読み取り専用)

サーバ全体を読み取り専用モードにするかどうかを指定します。読み取り専用モードとは、データベース内のデータと構成情報のどちらも変更できないモードのことです。読み取り専用モードでデータベースを変更しようとすると、操作が実行されないことを示すエラーが返されます。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-readonly: off


nsslapd-referral (レフェラル)

この属性には複数の値を指定できます。ローカルツリーに属さないエントリへの要求をサーバが受信したときに、接尾辞 (suffix) が返す LDAP URL を指定します。ローカルツリーに属さないエントリとは、どの接尾辞属性の値にも一致しない接尾辞を持つエントリのことです。たとえば、データベースに次のエントリだけが含まれているものとします。

ou=People, dc=siroe,dc=com

この場合に、次のエントリが要求されたとします。

ou=Groups, dc=siroe,dc=com

この場合は、要求したエントリに対応するディレクトリを参照できるように、クライアントにレフェラル (referral) が返されます。それぞれの Directory Server インスタンスに対して指定できるレフェラルは 1 つだけですが、レフェラルには複数の値を設定できます。


 

SSL 通信や TLS 通信を使用する場合、レフェラル属性は次の形式でなければなりません。 ldaps://serverHost

「Start TLS」では、レフェラルはサポートされません。  

レフェラルの管理については、『iPlanet Directory Server 管理者ガイド』の第 2 章「ディレクトリデータベースの構成」を参照してください。

エントリ DN

cn=config

有効な値

ldap://serverHost 形式の有効な LDAP URL

デフォルト値

なし

構文

DirectoryString

nsslapd-referral: ldap://alternate.siroe.com


nsslapd-referralmode (レフェラルモード)

この属性を設定すると、すべての接尾辞に関するすべての要求に対してレフェラルが返されます。

エントリ DN

cn=config

有効な値

ldap://serverHost 形式の有効な LDAP URL

デフォルト値

なし

構文

DirectoryString

nsslapd-referralmode: ldap://backup.siroe.com


nsslapd-reservedescriptors (予約済みのファイルディスクリプタ)

この属性は読み取り専用であり、インデックス管理やレプリケーションの管理など、クライアント接続以外の管理用に Directory Server が予約するファイルディスクリプタの数を指定します。この用途に予約するファイルディスクリプタの数は、LDAP クライアント接続用として利用可能なファイルディスクリプタの総数から差し引かれます (「nsslapd-maxdescriptors (ファイルディスクリプタの最大数)」を参照)。

ほとんどの Directory Server 環境では、この属性を変更する必要はありません。ただし、次の条件がすべて当てはまる場合は、この属性の値を増やすことを検討してください。

  • サーバが多数のコンシューマサーバ (10 台以上) へのレプリケーションを行なっている場合、またはサーバが多数のインデックスファイル (30 ファイル以上) を管理している場合、あるいはこの両方

  • サーバが、多数の LDAP 接続を処理している場合

  • サーバがファイルディスクリプタを開くことができないことを示すエラーメッセージが表示されるが (実際のエラーメッセージは、サーバが実行しようとする操作により異なる)、このエラーメッセージがクライアントの LDAP 接続の管理には関係ない場合

この属性の値を増やすと、ディレクトリにアクセスできない LDAP クライアントが増える場合があります。したがって、この属性の値を増やす場合は、nsslapd-maxdescriptors 属性の値も増やす必要があります。オペレーティングシステムによって 1 プロセス当たりに割り当てられたファイルディスクリプタを、すでに最大数まで使用している場合、nsslapd-maxdescriptors の値を増やせないことがあります。詳細は、オペレーティングシステムのマニュアルを参照してください。このような場合は、LDAP クライアントがディレクトリの複製を検索するようにすることで、サーバの負荷を減らします。

この属性に設定するファイルディスクリプタの数を算出するときは、次の式を使用することをお勧めします。

nsslapd-reservedescriptor =
  20 + (NumBackends * 4) + NumGlobalIndexes + ReplicationDescriptors +
  ChainingBackendDescriptors + PTADescriptors + SSLDescriptors

式の各項については、次の表を参照してください。


表 2-4 nsslapd-reservedescriptor 値の算出式の項 

定義

NumldbmBackends

 

ldbm データベースの数  
NumGlobalIndexes

 

システムインデックスを含む、すべてのデータベースの構成インデックスの総数(デフォルトでは、各データベースに 8 個のシステムインデックスと 17 個の追加インデックスがある)  
ReplicationDescriptors

 

NumSupplierReplicas + 8

(NumSupplierReplicas は、ハブまたはマスターサプライヤとして動作できるサーバ内のレプリカの数)  
ChainingBackendDescriptors

 

NumChainingBackends * nsOperationConnectionsLimit

(nsOperationConnectionsLimit は、データベースリンク構成で定義された値。デフォルト値は 10)  
PTADescriptors

 

PTA が構成されている場合は 3、PTA が構成されていない場合は 0  
SSLDescriptors

 

SSL が構成されている場合は 5 (4 ファイル + 1 待機ソケット)、SSL が構成されていない場合は 0  

エントリ DN

cn=config

有効な値

1 〜 65535

デフォルト値

64

構文

Integer

nsslapd-reservedescriptors: 64


nsslapd-return-exact-case (大文字/小文字の厳密な区別)

クライアントの要求どおりに、大文字と小文字を区別して属性のタイプ名を返します。クライアントアプリケーションによっては、検索または変更操作の結果として Directory Server から属性が返されるときに、スキーマに記載された属性と大文字小文字が正確に一致する属性名を要求する場合があります。ただし、ほとんどのクライアントアプリケーションは属性の大文字と小文字の違いを無視します。そのため、デフォルトではこの属性は無効になっています。サーバから返された結果に記述された属性名の大文字と小文字を確認できる古いバージョンのクライアントを使用していない場合は、この属性を変更しないでください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-return-exact-case: off


nsslapd-rootdn (マネージャ DN)

アクセス制御の制限、ディレクトリ上での操作に対する管理制限、または一般的な資源の制限によって影響を受けないエントリの識別名を指定します。この DN には、nsslapd-sizelimitnsslapd-timelimit、および nsslapd-schemacheck の各属性も適用されません。

root DN の変更方法については、『iPlanet Directory Server 管理者ガイド』の第 4 章「ディレクトリエントリの管理」を参照してください。

.

エントリ DN

cn=config

有効な値

任意の有効な識別名

デフォルト値

なし

構文

DN

nsslapd-rootdn: cn=Directory Manager


nsslapd-rootpw (root パスワード)

「マネージャ DN」に関連付けられているパスワードを指定できるようにします。root パスワードを指定した場合は、「nsslapd-rootpwstoragescheme (root パスワードの保存スキーマ)」で選択した暗号化方式に従って root パスワードが暗号化されます。Server Console では、この属性の値は ***** のように表示されます。dse.ldif ファイル内では、この属性の値として、暗号化方式が示され、その後に暗号化されたパスワード文字列が続きます。次の例は、表示結果を示したもので、入力したものではありません。


警告  

root DN を構成した場合は、root パスワードも入力する必要があります。ただし、dse.ldif ファイルを直接編集し、このファイルから root パスワードを削除することもできます。この場合は、root DN でディレクトリにアクセスしても、匿名アクセスに許可されているものと同じレベルのアクセス権限しか与えられません。データベースの root DN を設定するときは、root パスワードが dse.ldif で定義されていることを必ず確認してください。  

エントリ DN

cn=config

有効な値

「passwordStorageScheme (パスワード保存スキーマ)」に記載されている暗号化方式のいずれかで暗号化された任意の有効なパスワード

デフォルト値

なし

構文

DirectoryString {encryption_method} encrypted_Password

nsslapd-rootpw: {SSHA}9Eko69APCJfF


nsslapd-rootpwstoragescheme (root パスワードの保存スキーマ)

Server Console からしか設定できません。この属性は、root パスワードで使用する暗号化方式を示します。

エントリ DN

cn=config

有効な値

「passwordStorageScheme (パスワード保存スキーマ)」に記載されている任意の有効な暗号化方式

デフォルト値

CLEAR

構文

DirectoryString

nsslapd-rootpwstoragescheme: SSHA


nsslapd-schemacheck (スキーマ検査)

エントリの挿入時または変更時に、データベーススキーマを強制的に適用するかどうかを指定します。この属性の値が on の場合、Directory Server はエントリが変更されるまで、既存のエントリのスキーマを検査しません。データベーススキーマは、データベースに格納できる情報のタイプを定義します。objectclasses と属性タイプを使用すると、デフォルトのスキーマを拡張できます。Directory Server Console を使用したスキーマの拡張方法については、『iPlanet Directory Server 管理者ガイド』の第 9 章「ディレクトリスキーマの拡張」を参照してください。


 

ldapmodify や Directory Server Console などの LDAP クライアントを使用してデータベースを変更するとき、または /usr/sbin/directoryserver ldif2db を使用して LDIF からデータベースをインポートするときに、デフォルトでスキーマ検査が実行されます。

スキーマ検査を off に設定した場合は、エントリがスキーマに準拠しているかどうかを手動で確認する必要があります。スキーマ検査を on に設定した場合は、スキーマと一致しないエントリがあることを示すエラーメッセージが送られます。LDIF 文で属性とオブジェクトクラスを作成する場合は、スペルミスがなく、dse.ldif 内で識別されることを確認してください。スキーマディレクトリに LDIF 形式でファイルを作成するか、または 99user.ldif に要素を追加する必要があります。  

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nsslapd-schemacheck: on


nsslapd-securelistenhost

セキュリティ保護された SSL/TLS 接続を使用して、複数の Directory Server インスタンスがマルチホームマシン上で実行されるようにします。または、マルチホームマシンの 1 つのインタフェースだけを待機するように制限します。この属性の値として指定する IP インタフェースに対応したホスト名を指定します。Directory Server は、この属性で指定したホスト名に対応するインタフェースに送信された要求だけを処理します。

エントリ DN

cn=config

有効な値

セキュリティ保護された任意のホスト名

デフォルト値

なし

構文

DirectoryString

nsslapd-securelistenhost:secure_host_name


nsslapd-securePort (暗号化されたポート番号)

SSL/TLS 通信に使用される TCP/IP ポート番号です。ホストシステム上で一意のポート番号を選択する必要があります。同じポート番号を使用しているアプリケーションが存在しないことを確認してください。1024 未満のポート番号を指定する場合は、root として Directory Server を実行する必要があります。

サーバが非公開鍵および証明書を使用して構成されている場合にのみ、デフォルト値の 636 を使用します。それ以外の場合は、このポートは待機されません。

エントリ DN

cn=config

有効な値

1 〜 65535

デフォルト値

636

構文

Integer

nsslapd-securePort: 636


nsslapd-security (セキュリティ)

Directory Server の暗号化されたポートで SSL/TLS 通信を実行させるかどうかを指定します。セキュリティ保護された接続を使用する場合は、この属性を on に設定する必要があります。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsslapd-security: off


nsslapd-sizelimit (サイズ制限)

検索操作から返されるエントリの最大数を指定します。この制限値に達した場合、ns-slapd は検索要求に一致した任意のエントリを返すとともに、サイズ制限の超過エラーを返します。

制限を設定しない場合、ns-slapd は、検出したエントリの数にかかわらず、一致したすべてのエントリをクライアントに返します。制限を設定せずに、Directory Server が検索の完了を無制限に待つようにするには、dse.ldif ファイルでこの属性に -1 を指定します。

この制限は、組織にかかわらず、すべてのユーザに適用されます。


 

dse.ldif でこの属性に -1 を指定すると、Server Console でこの属性を空白のままにしたときと同じ結果となり、制限は適用されません。ただし、Server Console では、このフィールドに負の整数を指定することはできません。また、空文字列は有効な整数ではないので、dse.ldif 内で空白文字を設定することはできません。  

エントリ DN

cn=config

有効な値

-1 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

2000

構文

Integer

nsslapd-sizelimit: 2000


nsslapd-threadnumber (スレッド数)

Directory Server が起動中に作成する操作スレッドの数を指定します。追加や変更など時間のかかる操作を実行するディレクトリクライアントが多い場合は、nsslapd-threadnumber の値を増やす必要があります。これにより、簡単な検索など、短時間で終了する操作のために十分な数のスレッドを確保します。この属性は Server Console からは設定できません。

エントリ DN

cn=config

有効な値

1 〜システムでサポートされるスレッド数

デフォルト値

30

構文

Integer

nsslapd-threadnumber: 60


nsslapd-timelimit (制限時間)

検索要求に割り当てる最大時間を、秒単位で指定します。この制限値に達した場合、Directory Server は、検索要求に一致した任意のエントリを返すとともに、制限時間の超過エラーを返します。

制限を設定しない場合、ns-slapd は、処理にかかる時間にかかわらず、一致したすべてのエントリをクライアントに返します。制限を設定せずに、Directory Server が検索の完了を無制限に待つようにするには、dse.ldif ファイルでこの属性に -1 を指定します。ゼロ (0) を指定すると、検索に割り当てられる時間はなくなります。最小の制限時間は 1 秒です。


 

dse.ldif でこの属性に -1 を指定すると、Server Console でこの属性を空白のままにしたときと同じ結果となり、制限は適用されません。ただし、Server Console では、このフィールドに負の整数を指定することはできません。また、空文字列は有効な整数ではないので、dse.ldif 内で空白文字を設定することはできません。  

エントリ DN

cn=config

有効な値

-1 〜 32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

3600

構文

Integer

nsslapd-timelimit: 3600


nsslapd-versionstring

サーバのバージョン番号を指定します。

エントリ DN

cn=config

有効な値

有効なサーバのバージョン番号

デフォルト値

なし

構文

DirectoryString

nsslapd-versionstring:iPlanet-Directory/5.1


passwordChange (パスワードの変更)

各ユーザが、自分のパスワードを変更できるかどうかを指定します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordChange: on


passwordCheckSyntax (パスワードの構文検査)

パスワードを保存する前にパスワードの構文を検査するかどうかを指定します。パスワードの構文検査メカニズムは、パスワードの長さが最小文字数以上かどうかを検査し、パスワードの文字列に「安易な」単語が含まれていないかどうかを検査します。「安易な」単語とは、ユーザのディレクトリエントリの uidcnsngivenNameoumail の各属性に格納されている、ユーザ名やユーザ ID、その他の属性値です。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordCheckSyntax: off


passwordExp (パスワードの有効期間)

指定した秒数が経過したときに、ユーザパスワードを期限切れにするかどうかを示します。デフォルトでは、ユーザパスワードは期限切れになりません。パスワードの有効期間を有効にした場合は、passwordMaxAge 属性を使用して、パスワードが期限切れになる秒数を設定できます。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordExp: on


passwordHistory (パスワードの履歴)

パスワードの履歴を有効にします。パスワードの履歴は、ユーザがパスワードを再使用できるかどうかを指定します。デフォルトではパスワードの履歴は無効で、ユーザはパスワードを再使用できます。この属性を on に設定した場合は、指定した数の古いパスワードがディレクトリに保存されるので、ユーザはそれらのパスワードを再使用できません。passwordInHistory 属性を使用して、Directory Server に保存される古いパスワードの数を設定できます。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordHistory: on


passwordInHistory (保存するパスワード数)

Directory Server が履歴に保存するパスワードの数を指定します。ユーザは、履歴に保存されたパスワードを再使用することはできません。デフォルトでは、パスワードの履歴機能は無効になっています。つまり、Directory Server は古いパスワードを保存しないので、ユーザはパスワードを再使用できます。passwordHistory 属性を使用すると、パスワードの履歴を有効にできます。

ユーザが短時間にパスワードを繰り返し変更することで古いパスワードが履歴から削除されるのを防止するには、passwordMinAge 属性を使用します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

2 〜 24 パスワード

デフォルト値

6

構文

Integer

passwordInHistory: 7


passwordLockout (アカウントのロックアウト)

一定回数のバインドに失敗したユーザをディレクトリからロックアウトするかどうかを指定します。デフォルトでは何回バインドに失敗しても、ユーザはディレクトリからロックアウトされません。アカウントのロックアウトを有効にした場合、passwordMaxFailure 属性を使用して、ユーザがロックアウトされるまでのバインドの失敗回数を設定できます。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordLockout: off


passwordLockoutDuration (ロックアウトの時間)

アカウントのロックアウト後に、ユーザをディレクトリからロックアウトする時間を秒単位で指定します。アカウントのロックアウト機能を使用すると、ユーザパスワードを繰り返し推測することによって、ディレクトリに侵入しようとするハッカーの危険から保護します。アカウントのロックアウト機能の有効と無効を切り替えるには、passwordLockout 属性を使用します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

3600

構文

Integer

passwordLockoutDuration: 3600


passwordMaxAge (パスワードの最大有効期間)

パスワードが期限切れになるまでの秒数を指定します。この属性を使用する場合は、passwordExp 属性を設定し、パスワードの有効期間を有効にする必要があります。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

8640000 (100 日)

構文

Integer

passwordMaxAge: 100


passwordMaxFailure (パスワードの最大失敗回数)

何回バインドに失敗した後にユーザをディレクトリからロックアウトするかを指定します。デフォルトでは、アカウントのロックアウトは無効になっています。アカウントのロックアウトを有効にするには、passwordLockout 属性を変更します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

1 〜整数で表したバインドの最大失敗回数

デフォルト値

3

構文

Integer

passwordMaxFailure: 3


passwordMinAge (パスワードの最小期間)

ユーザがパスワードを変更できるまでの時間を秒数で指定します。この属性を passwordInHistory (保存するパスワード数) 属性と組み合わせて使用すると、ユーザが短時間にパスワードを繰り返し変更して履歴から削除することにより古いパスワードを再使用するのを防止できます。ゼロ (0) の値は、ユーザがすぐにパスワードを変更できることを示します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。


passwordMinLength (パスワードの最低長)

Directory Server のユーザパスワード属性で使用しなければならない最小文字数を指定します。一般に、短いパスワードほど不正な手段で解読されてしまう可能性が高くなります。したがって、パスワードの長さは最低でも 6 〜 7 文字に設定することをお勧めします。これは不正な手段で解読することが難しく、またユーザが記録しておかなくても憶えられる長さです。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

2 〜 512 文字

デフォルト値

6

構文

Integer

passwordMinLength: 6


passwordMustChange (パスワード変更の義務付け)

ユーザが最初に Directory Server にバインドしたとき、または「マネージャ DN」によってパスワードがリセットされたときに、ユーザがパスワードを変更する必要があるかどうかを指定します。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

passwordMustChange: off


passwordResetFailureCount (パスワード失敗カウンタのリセットまでの時間)

パスワードの失敗カウンタがリセットされるまでの時間を秒単位で示します。ユーザアカウントから無効なパスワードが送信されるたびに、パスワード失敗カウンタの値が増分されます。passwordLockout 属性が on に設定されている場合、デフォルトでは 600 秒以内に、カウンタが passwordMaxFailure 属性で指定された失敗回数に達すると、ユーザはディレクトリからロックアウトされます。passwordLockoutDuration 属性で指定した時間が経過すると、失敗カウンタはゼロ (0) にリセットされます。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

600

構文

Integer

passwordResetFailureCount: 600


passwordStorageScheme (パスワード保存スキーマ)

Directory Server パスワードの保存に使用する暗号化のタイプを指定します。この属性を CLEAR に設定すると、パスワードはプレーンテキストで保存されます。

Directory Server 5.1 では、次の暗号化タイプを指定できます。

  • SSHA (Salted Secure Hash Algorithm) は、もっとも安全性の高い暗号化方式。そのため、推奨する方式

  • SHA (Secure Hash Algorithm) は、Directory Server 4.x でサポートされている暗号化方式

  • CRYPT は、UNIX の暗号アルゴリズム。UNIX パスワードとの互換性を保つために提供されている


     

    NS-MTA-MD5 パスワード保存スキーマを使用したパスワードの暗号化は選択できなくなりました。この保存スキーマは、下位互換性のためだけに用意されています。  

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。


passwordUnlock (アカウントのロック解除)

アカウントのロックアウト後に、指定した時間が経過するまで、あるいは管理者がパスワードをリセットするまでの間、ユーザをディレクトリからロックアウトしておくかどうかを指定します。アカウントのロックアウト機能は、ユーザパスワードを繰り返し推測することによって、ディレクトリに侵入しようとするハッカーの危険から保護します。この passwordUnlock 属性が off に設定されており、操作属性の accountUnlockTime に 0 が設定されている場合は、アカウントは無期限にロックされます。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

passwordUnlock: off


passwordWarning (警告を送信するまでの時間)

パスワードが期限切れになる何秒前に、ユーザがパスワードの期限切れ警告を受け取るかを指定します。ユーザは次回 LDAP 操作を実行したときに、この警告を受け取ります。LDAP クライアントの中には、警告が送信されたときに、パスワードを変更するように要求するメッセージを表示するものもあります。

パスワードポリシーについては、『iPlanet Directory Server 管理者ガイド』の第 7 章「ユーザアカウントの管理」を参照してください。

エントリ DN

cn=config

有効な値

1 〜 32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

86400 (1 day)

構文

Integer

passwordWarning: 86400


cn=changelog5

マルチマスターレプリケーションの更新履歴ログ (change log) の構成エントリは、cn=changelog5 エントリの下に格納されます。更新履歴ログはデータベースと同様に動作し、ldbm データベースでも使用される多数の属性を持ちます。更新履歴ログのエントリには、次の属性があり、その使用方法はデータベースの場合と同じです。

cn=changelog5,cn=config エントリは、extensibleObject オブジェクトクラスのインスタンスです。属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。

2 種類の更新履歴ログが iPlanet Directory Server 5.1 によって管理されます。更新履歴ログと呼ばれる 1 つ目のログは上記の場所に格納され、マルチマスターレプリケーション (multi-master replication) で使用されます。レトロ (昔のバージョンの) 履歴ログと呼ばれる 2 つ目のログは実際にはプラグインであり、iPlanet Meta Directory によって使用されます。レトロ (昔のバージョンの) 履歴ログプラグインについては、第 3 章「プラグインを実装したサーバ機能のリファレンス」「レトロ (昔のバージョンの) ログプラグイン」を参照してください。この節では、マルチマスターレプリケーションの更新履歴ログ属性について説明します。


nsslapd-changelogdir

この属性は必須です。更新履歴ログのデータベースが作成されるディレクトリの名前を指定します。更新履歴ログの構成エントリが作成されるときは、有効なディレクトリがそのエントリに含まれている必要があります。含まれていない場合は、処理が拒否されます。デフォルトでは、このデータベースは次の場所に格納されることが GUI に表示されます。

/var/ds5/slapd-serverID/changelogdb


 

性能上の理由から、このデータベースを別の物理ディスクに保存することをお勧めします。  

エントリ DN

cn=changelog5,cn=config

有効な値

更新履歴ログを格納するディレクトリへの任意の有効なパス

デフォルト値

なし

構文

DirectoryString

nsslapd-changelogdir:
 /usr/myhome/slapd-local/changelogdb


nsslapd-changelogmaxage (更新履歴ログの最長保存期間)

更新履歴内のエントリの最長保存期間を指定します。更新履歴ログは、ディレクトリに対する各変更のレコードを記録し、コンシューマサーバ (consumer server) との同期に使用されます。各レコードには時刻表示が含まれます。時刻表示がこの属性で指定した値より古いレコードは削除されます。この属性を指定しない場合は、更新履歴ログのレコードは無期限に有効になります。更新履歴ログについては、「nsslapd-changelogdir」を参照してください。

エントリ DN

cn=changelog5,cn=config

有効な値

0 (エントリは古くても削除されない) 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

0

構文

DirectoryString IntegerAgeID

AgeID は、秒の場合は「s」、分の場合は「m」、時間の場合は「h」、日の場合は「d」、週の場合は「w」とする

nsslapd-changelogmaxage: 30d


nsslapd-changelogmaxentries (更新履歴ログの最大レコード数)

更新履歴ログに記録できるレコードの最大数を指定します。この属性を指定しない場合は、更新履歴ログに記録できるレコード数に制限はありません。更新履歴ログについては、「nsslapd-changelogdir」を参照してください。

エントリ DN

cn=changelog5,cn=config

有効な値

0 (ディスクサイズ以外に制限はない) 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

0

構文

Integer

nsslapd-changelogmaxentries: 5000


cn=encryption

暗号化に関する属性は、cn=encryption,cn=config エントリの下に格納されます。cn=encryption,cn=config エントリは、nsslapdEncryptionConfig オブジェクトクラスのインスタンスです。暗号化に関する属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。この節では、暗号化の構成属性について説明します。


nssslsessiontimeout

SSLv2 と SSLv3 両方の SSL セッションの存続期間を指定します。最小のタイムアウト値は 5 秒です。これより小さい値を入力した場合は、自動的に 5 秒に置き換えられます。有効範囲にない値は、デフォルト値の 100 秒 に置き換えられます (SSLv2 の場合)。

エントリ DN

cn=encryption,cn=config

有効な値

SSLv2 の場合、5 秒〜 100 秒

SSLv3 の場合、5 秒〜 24 時間

デフォルト値

0 (この値は、SSLv2 を実行している場合は 100 秒、SSLv3 を実行している場合は 24 時間を意味する)

構文

Integer

nssslsessiontimeout: 5


nssslclientauth

クライアント認証で SSL を使用するかどうかを指定します。

エントリ DN

cn=encryption,cn=config

有効な値

off | allowed | required

デフォルト値

allowed

構文

DirectoryString

nssslclientauth: allowed


nsssl2

SSL バージョン 2 を使用できるようにします。

エントリ DN

cn=encryption,cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsssl2: on


nsssl3

SSL バージョン 3 を使用できるようにします。

エントリ DN

cn=encryption,cn=config

有効な値

on | off

デフォルト値

off

構文

DirectoryString

nsssl3: on


nsssl3ciphers

Directory Server が SSL 通信で使用する暗号化の暗号セットを指定します。この属性には複数の値を指定できます。Directory Server がサポートする暗号については、『iPlanet Directory Server 管理者ガイド』の第 11 章「SSL の管理」を参照してください。

エントリ DN

cn=config

有効な値

英語版では、次の任意の組み合わせを指定できる
SSLv3 の場合

rsa_null_md5
rsa_rc4_128_md5
rsa_rc4_40_md5
rsa_rc2_40_md5
rsa_des_sha
rsa_fips_des_sha
rsa_3des_sha
rsa_fips_3des_sha
TLS の場合

tls_rsa_export1024_with_rc4_56_sha
tls_rsa_export1024_with_des_cbc_sha

デフォルト値

なし

構文

DirectoryString

有効にする場合は + 記号に続けて暗号を、無効にする場合は - 記号に続けて暗号を記述する。符号化方式のリスト内に空白を置くことはできない

すべての暗号を有効にする場合は (単独で指定する必要がある rsa_null_md5 を除く)、+all を指定する

nsslapd-SSL3ciphers:
 +RSA_NULL_MD5,+RC4_56_SHA,-RC4_56_SHA

符号化方式の環境設定の変更に Directory Server Console を使用する場合、「符号化方式の設定」ダイアログの「SSL 3.0」タブの値は、次のようになります。


表 2-5 SSLv3 符号化方式

Console 上での符号化方式の表示

対応する SSLv3 符号化方式

なし  

rsa_null_md5  

RC4  

rsa_rc4_128_md5  

RC4 (エクスポート)  

rsa_rc4_40_md5  

RC2 (エクスポート)  

rsa_rc2_40_md5  

DES  

rsa_des_sha  

DES (FIPS)  

rsa_fips_des_sha  

トリプル DES  

rsa_3des_sha  

トリプル DES (FIPS)  

rsa_fips_3des_sha  

符号化方式の環境設定の変更に Directory Server Console を使用する場合は、「符号化方式の設定」ダイアログの「TSL」タブの値は、次のようになります。


表 2-6 TLS 符号化方式

Console 上での符号化方式の表示

対応する TLS 符号化方式

RC4 (エクスポート)  

tls_rsa_export1024_with_rc4_56_sha  

DES (エクスポート)  

tls_rsa_export1024_with_des_cbc_sha  


cn=features

説明が必要な属性はありません。


cn=mapping tree

接尾辞とレプリケーションの構成属性は、cn=マッピングツリー (mapping tree),cn=config の下に格納されます。接尾辞に関係した構成属性は、次の接尾辞サブエントリの下にあります。

cn="suffixName",cn=mapping tree,cn=config.

レプリケーションの構成属性は、cn=replica,cn="suffixName",cn=mapping tree,cn=config の下に格納されます。

レプリケーションアグリーメントの属性は、cn=replicationAgreementName,cn=replica,cn="suffixName",cn=mapping tree, cn=config の下にあります。


cn="suffixName" の下にある接尾辞の構成属性

接尾辞の構成属性は、cn="suffixName" エントリ (cn="dc=siroe,dc=com" など) の下に格納されます。このエントリは、extensibleObject オブジェクトクラスから継承された nsMappingTree オブジェクトクラスのインスタンスです。接尾辞の構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、この 2 つのオブジェクトクラスがエントリ内に存在している必要があります。この節では、接尾辞の構成属性について説明します。


nsslapd-state

接尾辞がどのように操作を処理するかを決定します。

エントリ DN

cn="suffixName",cn=mapping tree,cn=config

有効な値

backend = すべての操作の処理にバックエンド (データベース) を使用する

disabled = 操作の処理にデータベースを利用できない。クライアントアプリケーションの要求に対して、サーバから「そのような検索オブジェクトはありません」というエラーが返される

referral = この接尾辞への要求に対して、レフェラルが返される

referral on update = レフェラルを受け取る更新要求以外のすべての操作に対して、データベースが使用される

デフォルト値

disabled

構文

DirectoryString

nsslapd-state: backend


nsslapd-backend

要求の処理に使用されるデータベースまたはデータベースリンク (database link) の名前を指定します。この属性には複数の値を指定できますが、1 つの値で 1 つのデータベースまたはデータベースリンクを指定します。nsslapd-state 属性が backend または referral on update に設定されている場合、この属性は必須です。

エントリ DN

cn="suffixName",cn=mapping tree,cn=config

有効な値

任意の有効なパーティション名

デフォルト値

なし

構文

DirectoryString

nsslapd-backend: NetscapeRoot


cn=replica, cn="suffixName",cn=mapping tree,cn=config の下にあるレプリケーションの属性

レプリケーションの構成属性は、cn=replica,cn="suffixName",cn=mapping tree,cn=config の下に格納されます。cn=replica エントリは、nsDS5Recplia オブジェクトクラスのインスタンスです。レプリケーション (replication) の構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。この節では、レプリケーションの構成属性について説明します。レプリケーションについては、『iPlanet Directory Server 管理者ガイド』の第 8 章「複製の管理」を参照してください。


cn

この属性は名前付けに使用されます。この属性は一度設定すると、あとで変更することはできません。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

有効な任意の接尾辞名

デフォルト値

cn=replica

構文

DirectoryString

cn: "cn=replica"


nsDS5Flags

この属性を使用すると、以前にフラグで定義したレプリカプロパティを指定できます。現時点では、1 つのフラグしか存在しません。このフラグでは、変更をログに記録するかどうかを指定します。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

更新履歴ログの有効化

0 = 変更をログに記録しない

1 = 変更をログに記録する

デフォルト値

0 (変更をログに記録しない)

構文

Integer

nsDS5Flags: 0


nsDS5ReplicaBindDN

この複数値属性は、バインドするときに使用する DN を指定します。この cn=replica エントリには複数の値を設定できますが、1 つのレプリケーションアグリーメントで指定できるサプライヤバインド DN は 1 つだけです。値には、コンシューマサーバ上のローカルエントリの DN、あるいは SSL 接続の場合には、同じ DN に関連付けられた証明書 ID になります。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

任意の有効な DN

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaBindDN: cn=replication manager, cn=config


nsDS5ReplicaChangeCount

この属性は読み取り専用です。更新履歴ログ内のエントリの総数 (複製されるエントリが残っているかどうか) を通知します。更新履歴ログがパージされた場合は、レプリカされるエントリだけが残ります。パージ操作のプロパティについては、「nsDS5ReplicaPurgeDelay」および「nsDS5ReplicaTombstonePurgeInterval」を参照してください。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

-1 〜32 ビット整数の最大値 (2147483647)

デフォルト値

なし

構文

Integer

nsDS5ReplicaChangeCount: 675


nsDS5ReplicaId

特定のレプリケーション環境でのマスターの一意の ID を指定します。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

0 〜 254

デフォルト値

なし

構文

Integer

nsDS5ReplicaId: 1


nsDS5ReplicaLegacyConsumer

この属性が存在しないか、または false が設定されている場合は、レプリカが古いバージョンのコンシューマではないことを示します。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

true | false

デフォルト値

false

構文

DirectoryString

nsDS5ReplicaLegacyConsumer: false


nsDS5ReplicaName

この属性は読み取り専用です。内部操作用に一意の識別子で複製の名前を指定します。この一意の識別子は、複製の作成時にサーバによって割り当てられます。この属性は、サーバが内部的に使用するためのものです。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

なし

デフォルト値

なし

構文

DirectoryString (複製を特定する UID)

nsDS5ReplicaName: 66a2b699-1dd211b2-807fa9c3-a58714648


nsDS5ReplicaPurgeDelay

この属性には複数の値を指定できます。内部的なパージ操作が更新履歴ログに対して実行されるまでの時間を秒単位で指定します。この属性を設定するときは、競合解消の問題やサーバの発散を避けるために、パージ遅延時間がレプリケーションポリシーの最長レプリケーションサイクルよりも長いことを確認してください。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

0 (無期限に保持する) 〜 32 ビット整数の最大値 (2147483647)

デフォルト値

604800 (1 週間 : 60×60×24×7)

構文

Integer

nsDS5ReplicaPurgeDelay: 604800


nsDS5ReplicaReferral

この複数値属性は、ユーザ定義レフェラルを指定します。この属性はコンシューマ上だけで定義してください。ユーザレフェラルは、クライアントが読み取り専用のコンシューマ上にあるデータの変更を試みた場合にのみ返されます。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

任意の有効な LDAP URL

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaReferral: ldap://ldap.aceindustry.com


nsDS5ReplicaRoot

複製された領域のルートにある DN を指定します。この属性には、レプリケーションされるデータベースの接尾辞と同じ値が設定されている必要があります。この属性は変更できません。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

複製されるデータベースの接尾辞

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaRoot: "dc=siroe,dc=com"


nsDS5ReplicaTombstonePurgeInterval

パージ操作サイクルの時間間隔を秒単位で指定します。この属性を設定するときは、パージ操作が時間のかかる操作であることを考慮してください。

エントリ DN

cn=replica,cn="suffixName",cn=mapping tree,cn=config

有効な値

0 〜32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

3600 (1 時間)

構文

Integer

nsDS5ReplicaTombstonePurgeInterval: 3600


nsDS5ReplicaType

この複製とほかの複製の間に存在する、レプリケーション関係のタイプを定義します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree,cn=config

有効な値

0 = 不明

1 = プライマリ (未使用)

2 = コンシューマ (読み取り専用)

3 = コンシューマとサプライヤ (更新可能)

デフォルト値

なし

構文

Integer

nsDS5ReplicaType: 2


nsState

この属性には、時刻の状態に関する情報が格納されます。この属性は内部処理にのみ使用され、既存の変更シーケンス番号 (csn) よりも下位の変更シーケンス番号をサーバが生成しないようにします。これは時刻が戻されている場合に発生するエラーを検出するために必要になります。


cn=ReplicationAgreementName,cn=replica, cn="suffixName", cn=mapping tree,cn=config の下にあるレプリケーションの属性

レプリケーションアグリーメント (replication agreement) に関するレプリケーション属性は、cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree,cn=config の下に格納されます。cn=replica エントリと同様に、cn=ReplicationAgreementName エントリは nsDS5Replica オブジェクトクラスのインスタンスです。レプリケーションアグリーメントの構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。レプリケーションアグリーメントは、サプライヤ (supplier) レプリカ (replica) の上だけで構成されます。この節では、レプリケーションアグリーメントの属性について説明します。


description

複製契約の説明を自由な形式で記述します。この属性は変更可能です。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

任意の文字列

デフォルト値

なし

構文

DirectoryString

description: Replication Agreement between Server A and Server B.


nsDS5ReplicaBindDN

バインドするときに使用する DN を指定します。この属性の値は、コンシューマレプリカ上にある cn=replica の値と同じでなければなりません。証明書に基づいた認証を使用している場合は、この属性が空の場合もあります。この属性も変更可能です。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

任意の有効な DN

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaBindDN: cn=replication manager,cn=config


nsDS5ReplicaBindMethod

バインド方法を指定します。この属性は変更可能です。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

SIMPLE (このバインドの方法には DN とパスワードが必要) SSLCLIENTAUTH

デフォルト値

SIMPLE

構文

DirectoryString

nsDS5ReplicaBindMethod: SIMPLE


nsDS5ReplicaChangesSentSinceStartup

この属性は読み取り専用です。サーバが起動してからこの複製に送信された変更の数を通知します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

0 〜32 ビット整数の最大値 (2147483647)

デフォルト値

なし

構文

Integer

nsDS5ReplicaChangesSentSinceStartup: 647


nsDS5ReplicaCredentials

コンシューマレプリカがあるリモートサーバ上のバインド DN (nsDS5ReplicaBindDN 属性で指定) の資格を指定します。この属性の値は変更できます。証明書に基づく認証が使用されているときは、この属性に値が設定されない場合もあります。次の例は、表示結果を示したもので、入力したパスワードではありません。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

任意の有効なパスワード。このパスワードは、リバース可能な DES パスワード暗号化スキーマを使用して暗号化される

デフォルト値

なし

構文

DirectoryString {DES} encrypted_password

nsDS5ReplicaCredentials: {DES} 9Eko69APCJfFReplica


nsDS5ReplicaHost

コンシューマ複製を含むリモートサーバのホスト名を指定します。この属性は一度設定すると、あとで変更することはできません。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

任意の有効なホストサーバ名

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaHost: MyServer


nsDS5ReplicaLastInitEnd

この属性は省略可能で読み取り専用です。コンシューマレプリカの初期化が終了すると、そのことを報告します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

なし

デフォルト値

なし

構文

GeneralizedTime

nsDS5ReplicaLastInitEnd: YYYYMMDDhhmmssZ (19711223113229)


nsDS5ReplicaLastInitStart

この属性は省略可能で読み取り専用です。コンシューマ複製の初期化が開始されると、そのことを報告します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

なし

デフォルト値

なし

構文

GeneralizedTime

nsDS5ReplicaLastInitStart: YYYYMMDDhhmmssZ (20000902160000)


nsDS5ReplicaLastInitStatus

この属性は省略可能で読み取り専用です。コンシューマの初期化状態を報告します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

0 (コンシューマの初期化が成功したことを示す) のあとに任意の状態メッセージが続く

デフォルト値

なし

構文

String

nsDS5ReplicaLastUpdateStatus: 0 Consumer Initialization Succeeded


nsDS5ReplicaLastUpdateEnd

この属性は読み取り専用です。最新のレプリケーションスケジュールの更新が終了したことを通知します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

0 は、コンシューマの初期化が成功したことを示す

デフォルト値

なし

構文

GeneralizedTime

nsDS5ReplicaLastUpdateEnd: YYYYMMDDhhmmssZ (20000902160000)


nsDS5ReplicaLastUpdateStart

この属性は読み取り専用です。最新のレプリケーションスケジュールの更新が開始されたことを通知します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

なし

デフォルト値

なし

構文

GeneralizedTime

nsDS5ReplicaLastUpdateStart: YYYYMMDDhhmmssZ (20000902160000)


nsDS5ReplicaLastUpdateStatus

この属性は読み取り専用です。最新のレプリケーションスケジュールの更新状態を通知します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

0 (レプリケーションセッションが開始されていないことを示す) のあとに任意の状態メッセージが続く

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaLastUpdateStatus: 0 replica acquired successfully


nsDS5ReplicaPort

複製を含むリモートサーバのポート番号を指定します。この属性は一度設定すると、あとで変更することはできません。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

複製を含むリモートサーバのポート番号

デフォルト値

なし

構文

Integer

nsDS5ReplicaPort: 389


nsDS5ReplicaRefresh

複製を初期化できるようにします。デフォルトでは、この属性に値は設定されていません。だたし、値に start を指定してこの属性を追加すると、レプリカがもう一度初期化され、属性値が削除されます。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

stop | start

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaRefresh: start


nsDS5ReplicaRoot

複製された領域のルートにある DN を指定します。この属性には、複製されるデータベースの接尾辞と同じ値が設定されている必要があります。この属性は変更できません。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

複製されるデータベースの接尾辞

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaRoot: "dc=siroe,dc=com"


nsDS5ReplicaTimeout

この許可された属性は、送信 LDAP 操作がリモート複製からの応答を待機する秒数を指定します。指定した秒数が経過すると、タイムアウトして操作は失敗します。「Warning: timed out waiting」というメッセージがエラーログファイルに記録されている場合は、この属性の値を増やす必要があります。

リモートマシンのアクセスログを調べると、操作にかかった時間がわかります。その時間に応じて nsDS5ReplicaTimout 属性を設定すると、性能を最適化できます。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

0 〜32 ビット整数の最大値 (2147483647)。秒単位

デフォルト値

600

構文

Integer

nsDS5ReplicaTimeout: 600 seconds


nsDS5ReplicaTransportInfo

複製から送受信されるデータを転送するために使用する、転送のタイプを指定します。この属性値には、SSL を経由して接続を確立する場合の SSL、あるいは通常の LDAP 接続を使用する場合の LDAP のどちらかの値を指定できます。この属性に値が設定されていない場合は、通常の LDAP 接続が使用されます。この属性は一度設定すると、あとで変更することはできません。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

SSL | LDAP

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaTransportInfo: LDAP


nsDS5ReplicaUpdateInProgress

この属性は読み取り専用です。複製スケジュールの更新が進行中かどうかを通知します。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

true | false

デフォルト値

なし

構文

DirectoryString

nsDS5ReplicaUpdateInProgress:true


nsDS5ReplicaUpdateSchedule

この複数値属性は、レプリケーションスケジュールを指定します。この属性は変更可能です。

エントリ DN

cn=ReplicationAgreementName,cn="suffixName",cn=mapping tree, cn=config

有効な値

スケジュールの時刻は、XXXX-YYYY 012345 のように指定します。ここで XXXX は開始時刻、YYYY は終了時刻、および 0123456 の 数字は日曜日を 0 とした曜日を表す

デフォルト値

0000-2359 0123456 (常時)

構文

Integer

nsDS5ReplicaUpdateSchedule: 0000-2359 0123456


nsDS50ruv

この属性は、レプリケーションの更新ベクトルを通じて、複製の内部状態を管理します。この属性は常に存在します。変更しないでください。


cn=monitor

この読み取り専用の監視情報は、cn=monitor,cn=config の下に格納されます。cn=monitor エントリは、extensibleObject オブジェクトクラスのインスタンスです。cn=monitor 構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。この節では、読み取り専用の cn=monitor 属性について説明します。


connection

次の形式で示される、オープン接続のリストです。

connection=31:20010201164808Z:45:45::cn=directory manager,

31 は接続番号、20010201164808Z は接続が開かれた日付、45 は受信した操作の数、次の 45 は完了した操作の数、cn=directory manager はバインド DN を表します。


currentConnections

現在の Directory Server 接続の数です。


totalConnections

Directory Server 接続の総数です。


dTableSize

Directory Server 記述子テーブルのサイズです。


readWaiters

Directory Server のスレッドによって処理されていない保留状態の要求が存在している接続の数です。


opsInitiated

開始された Directory Server 操作の数です。


opsCompleted

完了した Directory Server 操作の数です。


entriesSent

Directory Server が送信したエントリの数です。


bytesSent

Directory Server が送信したバイト数です。


currentTime

通常、現在時刻はグリニッジ標準時で提供されます (20010202131102Z のように、GeneralizedTime 構文の Z 指定で示される)。


startTime

Directory Server の開始時刻です。


nbackEnds

Directory Server バックエンドの数です。


backendMonitorDN

各 Directory Server バックエンドの DN です。

データベースの監視については、「cn=monitor,cn=ldbm database,cn=plugins,cn=config の下のデータベース属性」「cn=database,cn=monitor,cn=ldbm database,cn=plugins,cn=config の下のデータベース属性」「cn=monitor,cn=Netscaperoot,cn=ldbm database, cn=plugins,cn=config の下のデータベース属性」、および「cn=monitor,cn=database instance name, cn=chaining database,cn=plugins,cn=config の下のデータベースリンク属性」を参照してください。


cn=replication

説明が必要な属性はありません。古いバージョンのレプリケーションを構成する場合は、置き場所として機能する cn=replication ノードの下に格納されます。


cn=SNMP

SNMP 構成属性は、cn=SNMP,cn=config の下に格納されます。cn=SNMP エントリは、nsSNMP オブジェクトクラスのインスタンスです。SNMP 構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。この節では、SNMP 構成属性について説明します。


nssnmpenabled

SNMP の有効 / 無効を指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

on | off

デフォルト値

on

構文

DirectoryString

nssnmpenabled: off


nssnmporganization

Directory Server が所属する組織を指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

組織名

デフォルト値

なし

構文

DirectoryString

nssnmporganization: iplanet


nssnmplocation

Directory Server が設置されている会社または組織内の場所を指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

場所

デフォルト値

なし

構文

DirectoryString

nssnmplocation: B14


nssnmpcontact

Directory Server の管理責任者の電子メールアドレスを指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

問い合わせ先の電子メールアドレス

デフォルト値

なし

構文

DirectoryString

nssnmpcontact: ITdept@siroe.com


nssnmpdescription

Directory Server インスタンスの一意の説明が表示されます。

エントリ DN

cn=SNMP,cn=config

有効な値

内容

デフォルト値

なし

構文

DirectoryString

nssnmpdescription: Employee directory instance


nssnmpmasterhost

この属性は必須です。マスターエージェント (master agent) がインストールされているマシンのホスト名を指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

マシンのホスト名または localhost

デフォルト値

localhost

構文

DirectoryString

nssnmpmasterhost: localhost


nssnmpmasterport

マスターエージェントとの通信に使用するポート番号を指定します。

エントリ DN

cn=SNMP,cn=config

有効な値

オペレーティングシステムに依存したポート番号。詳細は、オペレーティングシステムのマニュアルを参照

デフォルト値

199

構文

Integer

nssnmpmasterport: 199


cn=tasks

説明が必要な属性はありません。


cn=uniqueid generator

一意の ID ジェネレータの構成属性は、cn=uniqueid generator,cn=config の下に格納されます。cn=uniqueid generator エントリは、extensible オブジェクトクラスのインスタンスです。一意の ID ジェネレータの構成属性をサーバに取り入れさせるには、top オブジェクトクラスに加えて、このオブジェクトクラスがエントリ内に存在している必要があります。この節では、一意の ID ジェネレータの構成属性について説明します。


nsstate

サーバを再起動したときの一意の ID ジェネレータの状態を保存します。この属性はサーバが管理します。この属性は変更しないでください。

エントリ DN

cn=uniqueid generator,cn=config

有効な値

なし

デフォルト値

なし

構文

DirectoryString

nsstate:AbId0c3oMIDUntiLCyYNGgAAAAAAAAAA



(サーバ) 構成のクイックリファレンス


この節では、Directory Server に付属する LDIF 構成ファイル、サーバの構成に使用されるオブジェクトクラスとスキーマ、およびサーバの再起動を必要とする属性について、表形式のクイックリファレンスで説明します。


LDIF 構成ファイル

表 2-7 は、ほかの iPlanet サーバおよび Netscape サーバで使用されるスキーマの構成ファイルを含む、Directory Server に付属するすべての構成ファイルを示します。各ファイル名は、ファイルが読み込まれる順番を示す数字から始まります (数字の番号順、数字が同じものはアルファベット順)。これらのファイルの格納場所については、「LDIF 構成ファイルの格納場所」を参照してください。


表 2-7 Directory Server 構成 LDIF ファイル 

構成ファイル名

目的

dse.ldif  

サーバの起動時にディレクトリによって作成された、ディレクトリ固有のフロントエンドのエントリが含まれる。これらのエントリには Root DSE ("")、および cn=configcn=monitor の内容が含まれる  

00core.ldif  

「subschemaSubentry」、RFC 2256 (X.520/X.521 に基づく) で規定された LDAPv3 標準のユーザおよび組織スキーマ、inetOrgPerson と汎用的なそのほかの属性、iPlanet Directory Server 5.1 の構成で使用される操作属性など、LDAPv3 標準の操作スキーマが含まれる。このファイルを変更すると、相互運用性の問題が生じることがある。ユーザ定義属性は、iPlanet Console を使用して追加する必要がある  

05rfc2247.ldif  

RFC 2247 のスキーマおよび関連する試験的なスキーマ : 「Using Domains in LDAP/X500 Distinguished Names」のスキーマ  

05rfc2927.ldif  

RFC 2927 : 「MIME Directory Profile for LDAP Schema」のスキーマ。属性がサブスキーマのサブエントリに現われるための ldapSchemas 操作属性が含まれる  

10rfc2307  

RFC 2307 : 「An Approach for Using LDAP as a Network Information Service」のスキーマ  

20subscriber.ldif  

新しいスキーマ要素および Nortel 加入者の相互運用性仕様が含まれる。以前のバージョンでは、50ns-delegated-admin.ldif ファイルに格納されていた adminRole 属性と memberOf 属性、および inetAdmin オブジェクトクラスも含まれる  

25java-object.ldif  

RFC 2713 : 「Schema for Representing Java(tm) Objects in an LDAP Directory」のスキーマ  

28pilot.ldif  

Directory Server の新規導入では推奨されていない、RFC 1274 パイロットディレクトリスキーマが含まれる。RFC 1274 から継承される将来の RFC では、28pilot.ldif の一部またはすべての属性タイプおよびクラスは、廃棄される可能性がある  

30ns-common.ldif  

iPlanet Console のフレームワークに共通のオブジェクトクラスと属性が含まれているスキーマ  

50ns-admin.ldif  

iPlanet Administration Services で使用されるスキーマ  

50ns-calendar.ldif  

iPlanet Calendar Server で使用されるスキーマ  

50ns-certificate.ldif  

iPlanet Certificate Management System 用のスキーマ  

50ns-compass.ldif  

個人の好みに関する情報を定義するために Netscape Compass Server で使用されるスキーマ  

50ns-delegated-admin.ldif  

iPlanet Delegated Administrator 4.5 で使用されるスキーマ  

50ns-directory.ldif  

iPlanet Directory Server 4.12 および初期のバージョンのディレクトリで使用されていた追加の構成スキーマが含まれる。このスキーマは、iPlanet Directory Server 5.1 では適用できない。このスキーマは、iPlanet Directory Server 4.12 と iPlanet Directory Server 5.1 の間でレプリケーションを実行するために必要  

50ns-legacy.ldif  

古いバージョンのサーバをサポートするために、iPlanet Administration Server で使用される古いバージョンの Netscape スキーマ  

50ns-mail.ldif  

メールユーザとメールグループを定義するために、iPlanet Messaging Server で使用されるスキーマ  

50ns-mcd-browser.ldif  

ブラウザクライアントの設定を保持するために、Netscape Mission Control Desktop で使用されるスキーマ  

50ns-mcd-config.ldif  

MCD 「config()」設定を定義するために、Netscape Mission Control Desktop で使用されるスキーマ  

50ns-mcd-li.ldif  

位置に対する非依存性を定義するために、Mission Control Desktop で使用されるスキーマ  

50ns-mcd-mail.ldif  

メールクライアントの設定およびメッセンジャのセキュリティ設定を保持するために、Mission Control Desktop で使用されるスキーマ  

50ns-media.ldif  

Netscape Media Server で使用されるスキーマ  

50ns-mlm.ldif  

メーリングリストを管理するために、iPlanet Messaging Server 4.0 で使用されるスキーマ  

50ns-msg.ldif  

iPlanet Web Mail で使用されるスキーマ  

50ns-netshare.ldif  

iPlanet Netshare で使用されるスキーマ  

50ns-news.ldif  

ニュースグループの設定を保持するために、iPlanet Collabra Server で使用されるスキーマ  

50ns-proxy.ldif  

iPlanet Proxy Server で使用されるスキーマ  

50ns-value.ldif  

iPlanet サーバの「値項目」スキーマ用のスキーマ  

50ns-wcal.ldif  

iPlanet Web Calendaring 用のスキーマ  

50ns-web.ldif  

iPlanet Web Server 用のスキーマ  

99user.ldif  

サプライヤからの属性とオブジェクトクラスを含む、Directory Server のレプリケーションコンシューマによって管理されるユーザ定義スキーマ  


サーバの再起動を必要とする構成の変更

表 2-8 に、サーバの実行中に動的に変更できない構成属性を示します。Console または ldapmodify コマンドでこれらのバラメタを変更したら、変更を有効にするために、サーバを停止してから再起動する必要があります。この表では、関係する構成属性、各属性の完全 DN、および機能について簡単に説明します。


表 2-8 サーバの再起動を必要とする構成の変更 

構成属性

再起動を必要とする操作

cn=config,cn=ldbm:nsslapd-cachesize  

cachesize 属性の変更  

cn=config,cn=ldbm:nsslapd-dbcachesize  

dbcachesize 属性の変更  

cn=config,cn=ldbm:nsslapd-dbncache  

データベースキャッシュの変更  

cn=config,cn=ldbm:nsslapd-plug-in  

データベースプラグインの有効化または無効化  

cn=config:nsslapd-changelogdir  

更新履歴ログのディレクトリの変更  

cn=config:nsslapd-changelogmaxage  

更新履歴ログの最長保存期間の変更  

cn=config:nsslapd-changelogmaxentries  

更新履歴ログに保存できるエントリの最大数の変更  

cn=config:nsslapd-changelogsuffix  

更新履歴ログの接尾辞の変更  

cn=config:nsslapd-port  

ポート番号の変更  

cn=config:nsslapd-secureport  

セキュリティ保護されたポート番号の変更  

cn=changelog5,cn=config:nsslapd-db*  

更新履歴ログのデータベースパラメタの変更  

cn=encryption,cn=config:nsssl2  

Directory Server について SSL バージョン 2 の有効化または無効化  

cn=encryption,cn=config:nsssl3  

Directory Server について SSL バージョン 3 の有効化または無効化  

cn=encryption,cn=config:nssslclientauth  

クライアント認証 (authentication) の有効化または無効化  

cn=encryption,cn=config:nssslsessiontimeout  

SSL セッションの存続時間の変更  


前へ     目次     索引     DocHome     次へ     
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.

Last Updated March 02, 2002