第 4 章 ディレクトリサーバーの構成

この章では、管理コンソールを使ってディレクトリサーバーを構成する方法を説明します。内容は次のとおりです。

• 管理コンソールの起動

• 最小限の構成による実行

• セキュリティの構成

• LDAP パラメータの構成

• データ格納の作成と構成

• ディレクトリデータの索引の作成

• アクセス制御規則の作成と変更

• ログの構成

さらにこの章では、Sun Directory Services のデフォルト構成についても説明します。

個々のディレクトリサーバーを構成する前に、ディレクトリサービスに対する全体的な計画を作成する必要があります。第 3 章「ディレクトリサービスの計画」には、ディレクトリ、ネーミングサービス、認証とアカウンティングのユーザー要件に対する全体的な計画を立てる際に決めなければならないことが記載されています。

この章に含まれていない作業の説明については、次の表に示す章または節を参照してください。

はじめてのログイン

Sun Directory Services を最初にインストールしたときは、管理者のパスワードを指定しなければなりません。スーパーユーザー (root) として次のコマンドを入力します。

# /opt/SUNWconn/ldap/sbin/dsadmintool

パスワードの入力を求めるプロンプトが表示されます。パスワードを入力すると、管理コンソールが表示されます。これで、指定したパスワードを持つユーザー admin としてログインしたことになります。管理コンソールの「セキュリティ (Security)」セクションから、いつでもこの名前とパスワードを変更できます。この手順は、「セキュリティの構成」で説明します。

このマニュアルのすべての例では、管理者名は admin で、パスワードは secret です。

管理コンソールに初めてログインする際は、dsadmintool をバックグラウンドプロセスとして起動できません。

管理コンソールの表示

この節の説明に従って管理コンソールを表示する前に、Sun Directory Services の管理デーモン dsadm が動作しているか確認してください。動作していない場合は、「Sun Directory Services の起動」の説明に従って起動してください。

この節では、管理コンソールを表示する次の 3 つの方法を説明します。

• アプリケーション版をローカルで起動する。

• Web サーバーを介して表示する。Sun WebServer は、http://www.sun.com/webserver から無料でダウンロードできます。

• Web サーバーがない場合は、Web ブラウザで Sun Directory Services の管理ファイルを指定します。

管理コンソールアプリケーションを起動するには

Web サーバーと Sun Directory Services が結合されていない場合は、管理コンソールをアプリケーションとしてローカルで実行できます。管理コンソールを起動するには、スーパーユーザー (root) として次のコマンドを実行します。

# /opt/SUNWconn/ldap/sbin/dsadmintool &

管理コンソールが図 4-1 のように表示されます。

図 4-1 管理コンソールのメインウィンドウ

Web サーバーを介して管理コンソールをリモートで表示するには

1. Web サーバーの文書ルートディレクトリから /opt/SUNWconn/html へのシンボリックリンクを作成します。

   prompt% cd docroot_dir prompt% ln -s /opt/SUNWconn/html sds

   docroot_dir は、Web サーバーの文書ルートディレクトリです。

   この Web サーバーは、dsservd デーモンと同じマシンで動作していなければなりません。

2. HotJava ブラウザを使用している場合は、ホームディレクトリにある .hotjava/properties ファイルを編集して、デフォルトのセキュリティレベルを変更します。

   任意のテキストエディタで次のように変更してください。

   変更前

   hotjava.default.security=medium
   

   変更後

   hotjava.default.security=low
   

   HotJava ブラウザを初めて使用する場合には、.hotjava/properties ファイルを作成し、hotjava.default.security=low という行を追加する必要があります。

3. HotJava ブラウザを任意のマシンで起動し、管理コンソールを指定します。

   prompt% /usr/dt/bin/hotjava http://hostname/sds/dsadmin.html

   hostname は、Sun Directory Services と Web サーバーが動作するマシンのホスト名です。

4. 管理者ユーザー名とそのパスワードを使って管理コンソールにログインします。

   管理コンソールが表示されます。

Web サーバーなしに管理コンソールをローカルで表示するには

1. HotJava ブラウザを使用している場合は、ホームディレクトリにある .hotjava/properties ファイルを編集して、デフォルトのセキュリティレベルを変更します。任意のテキストエディタで次のように変更してください。

   変更前

   hotjava.default.security=medium
   

   変更後

   hotjava.default.security=low
   

   HotJava ブラウザを初めて使用する場合には、.hotjava/properties ファイルを作成し、hotjava.default.security=low という行を追加する必要があります。

2. HotJava ブラウザを起動し、次のパスで管理ファイルを指定します。

   prompt% /usr/dt/bin/hotjava file:/opt/SUNWconn/html/dsadmin.html

3. 管理者ユーザー名とそのパスワードを使って管理コンソールにログインします。

   管理コンソールが表示されます。

最小限の構成

Sun Directory Services をインストールすると、構成可能なほとんどの特性には、ディレクトリサーバーを起動して実行できるデフォルトの設定値が与えられます。しかし、次の変更や指定は必ず必要です。

• データ格納にある名前付きコンテキストに名前を付ける。詳細は、「データ格納の構成」を参照してください。

• データ格納のディスク上の場所を指定する。詳細は、「データ格納の構成」を参照してください。

この情報を指定すると、ディレクトリサーバーはデフォルト構成になっています。

デフォルトの LDAP 構成

LDAP ディレクトリサービスの特性は、次のようになっています。

• LDAP 通信に使用するポートは 389 です。

• バインド操作での別名参照は有効になっています。

• 検索の制限は 5000 エントリまたは 3600 秒 (1 時間) です。このどちらかの制限に達すると、検索は停止します。

• データ格納は /var/opt/SUNWconn/ldap/dbm にあります。

• ログファイルは、/var/opt/SUNWconn/ldap/log に格納されます。

• 5000 エントリがキャッシュに格納されます。データ格納ごとに 100,000 バイトのキャッシュファイルが作成されます。

• デフォルトの索引作成が使用されます。「ディレクトリデータの索引の作成」を参照してください。

• パスワードは暗号化されて格納されます。

• デフォルトのアクセス制御が使用されます。例 1-1 を参照してください。

• ディレクトリ操作ごとにスキーマが検査されます。「スキーマの検査」を参照してください。

• LDAP 接続でのセキュリティは無効になっています。

• ディレクトリには、エントリは入っていません (管理者名とパスワードは構成ファイルに入っています)。

• 他のサーバーに対する照会はありません。

デフォルトの RADIUS 構成

RADIUS サービスの特性は、次のようになっています。

• RADIUS 通信に使用するポートは、認証トラフィックが 1645、アカウンティングトラフィックが 1646 です。ただし、最近の標準化作業では、認証トラフィックにポート 1812、アカウンティングトラフィックにポート 1813 が推奨されています。これらのポートを使用する場合には、管理コンソールで指定できます。

• RADIUS サーバーは無効になっています。

Web ゲートウェイのデフォルト構成

Web ゲートウェイの特性は、次のようになっています。

• Web ゲートウェイが使用するポートは 1760 です。

• ディレクトリ情報の表示を構成するためのテンプレートは、/etc/opt/SUNWconn/ldap/current/locale/<ロケール>/dswebtmpl.conf です。日本語の場合は、<ロケール> は ja になります。

NIS のデフォルト構成

NIS サービスは無効になっています。

サービスの起動と停止

Sun Directory Services の次の構成要素は、管理コンソールからいつでも個別に起動または停止できます。

• LDAP

• NIS

• RADIUS

• Web ゲートウェイ

次の手順で、サーバーデーモン dsservd が再起動されたときに LDAP 以外の構成要素を自動的に再起動するかどうかを管理コンソールから指定できます。

1. 管理コンソールメインウィンドウの「状態 (Status)」セクションで、起動または停止するサービスを選択します。

2. サービスごとに、ブート時の「自動起動 (Automatic Startup)」の状態を確認します。必要に応じて変更します。

3. 「適用 (Apply)」をクリックして変更を保存します。

セキュリティの構成

管理者名とパスワードを設定したり、ディレクトリに格納されたすべてのパスワードの暗号化方式を定義したり、サーバーのセキュリティモードを指定したりすることによって、ディレクトリサーバーに必要なセキュリティレベルを構成できます。

管理者名とパスワードを指定するには

管理者ユーザー名とパスワードは、いつでも変更できます。

1. 管理コンソールメインウィンドウの「セキュリティ (Security)」セクションで、ディレクトリ管理者名とパスワードを指定します。

   管理者名とパスワードは構成ファイル dsserv.conf に格納されるので、管理者は常にディレクトリにアクセスできます。これは、管理者がアクセス制御の問題を解決するときなどに必要です。

   デフォルトでは、管理者のパスワードはデフォルトの暗号化方式で暗号化されます。パスワードを暗号化しないで格納したい場合は、「暗号化方法 (Encryption method)」メニューから「なし (None)」を選択します。

2. 「適用 (Apply)」をクリックして、変更を保存します。

暗号化方法を指定するには

指定した暗号化方法は、ディレクトリエントリに格納できる userPassword 属性を暗号化するのに使用されます。暗号化方法には次の 2 つがあります。

• sunds: CRAM MD5 認証と一緒に使用できる、逆方向への変換が可能な暗号化機構

• crypt(3): /etc/passwd ファイルに格納されたパスワードによく使用される暗号化機構。この方法は逆方向への変換ができないため、CRAM MD5 認証機構と一緒に使用できません。

1. 管理コンソールメインウィンドウの「セキュリティ (Security)」セクションで、メニューボタンからパスワードの暗号化方法を選択します。

   選択できる値は、「なし (None)」、「sunds」、「crypt」です。

2. 「適用 (Apply)」をクリックして、変更を保存します。

セキュリティモードを指定するには

セキュリティモードを指定すれば、バインドプロセスでサーバーとクライアント間の認証を必ず行うようにしたり、サーバーとクライアント間のすべての通信を暗号化したりできます。保護されないバインドを指定することもできます。これらのオプションは相互に排他的なものではありません。特定の接続に使用されるセキュリティモードは、実際にはクライアントとサーバーの間で交渉されます。

1. 管理コンソールメインウィンドウの「セキュリティ (Security)」セクションで、サーバーでサポートされるセキュリティモードを選択します。

   オプションには次のものがあります。複数のオプションを選択できます。

   • セキュリティ保護なし (Insecure)

   • TLS: 「Start TLS」拡張操作を呼び出すことによって、LDAP セッションの任意の時点で、保護された接続を確立します。

   • 特定ポートでの SSL (SSL on Specific Port) : 特定ポート (デフォルトでは、ポート 636) で、セキュリティ保護された接続を開きます。

2. 次のパラメータを指定します。

   「TLS」か「特定ポートでの SSL（SSL on Specific Port)」を選択した場合

   • SSL キーパッケージ (通常はホストの IP アドレス)

   • サーバーでクライアントの認証を行うかどうか。「SSL クライアントの確認 (SSL Client Verification)」フラグを「オン (On)」にします。

   「特定ポートでの SSL（SSL on Specific Port)」を選択した場合

   • SSL 接続に使用するポート番号

3. 「適用 (Apply)」をクリックして、変更を保存します。

   ---

   注 -

   国によっては、法的な制約のために SSL を使用できません。

   ---

LDAP パラメータの構成

管理コンソールの「サービス」にある「LDAP」セクションを使用して、LDAP サーバーの次のプロパティの構成を行います。

• ディレクトリサーバーのデーモン dsservd が使用するポート

• バインド要求を受け取ったときに、別名エントリの参照を行うかどうか

• 検索制限 (エントリ数と時間)

• 照会用のデフォルトのディレクトリサーバーとその照会サーバーの LDAP ポート番号。これには、現在のサーバーが管理している以外のサブツリーの知識情報を持つサーバー名を指定します。このサーバーは、同じツリーに対しより広い視野を持ち、照会を使って現在のツリーの検索を拡張できるものでなければなりません。異なるツリーへの照会を定義するには、照会エントリを使用します。

データ格納の構成

データ格納を構成するには、データ格納を識別する名前付きコンテキストの識別名と、データベースファイルを入れるディレクトリ名を指定しなければなりません。任意指定の構成情報には、次のものがあります。

• 格納される、追加の名前付きコンテキスト (「名前付きコンテキスト」を参照)

• キャッシュサイズ (キャッシュ機能については、「キャッシュへの保存」を参照)

• 輻輳しきい値 (輻輳監視システムとしきい値の設定については、「輻輳しきい値」を参照)

• どの属性に索引を付けるか (索引の作成については、「ディレクトリデータの索引の作成」を参照)

• データ格納に保持される名前付きコンテキストを他のサーバーへ複製するかどうか (「複製の設定」を参照)

新しいデータ格納の作成方法については、「データ格納を作成するには」を参照してください。すでにあるデータ格納を変更する方法については、「データ格納または名前付きコンテキストを変更するには」を参照してください。

デフォルトのデータ格納の名前を変更するには

最初の構成では、サーバーにあるデータ格納を識別する名前付きコンテキストの識別名と、データ格納のファイルを入れるディレクトリを指定する必要があります。

1. 管理コンソールメインウィンドウの「データ格納 (Data Store)」セクションでデフォルトのデータ格納 o=XYZ, c=US を強調表示し、「選択 (Selected)」メニューの「データ格納を変更... (Modify Data Store...)」を選択します。

   あるいは、デフォルトのデータ格納 o=XYZ, c=US をダブルクリックすると、図 4-2 に示す「データ格納の変更 (Modify Data Store)」ウィンドウが表示されます。

   図 4-2 「データ格納の変更 (Modify Data Store)」ウィンドウ

   
   

2. データ格納の接尾辞を変更して、ディレクトリサーバーに格納する名前付きコンテキストの識別名を指定します。

   NIS サービスを初期化する場合は、dc 要素から作られている接尾辞を変更する必要があります。それにより、この名前付きコンテキストにこのサーバーが管理する NIS ドメインを含めることができます。

   データ格納に複数の名前付きコンテキストを格納する場合は、「接尾辞を追加 (More suffixes)」ボタンをクリックすれば、追加の名前付き接尾辞を指定できます。必要なら「設定... (Set...)」ボタンを使って識別名を指定します。管理コンソールで識別名を入力する方法については、「識別名エディタの使用方法」を参照してください。

3. データ格納を置くディレクトリのパス名を指定します。

   デフォルト構成の場合は、これ以上情報を指定する必要はありません。データ格納の作成については、「データ格納の作成と変更」を参照してください。

データ格納の作成と変更

この節では、データ格納の作成や変更のときに構成できるオプションについて説明します。また、これらの作業を行うための手順も詳しく説明します。

名前付きコンテキスト

データ格納には最高 4 つの接尾辞を指定できます。1 つの接尾辞は 1 つの名前付きコンテキストに対応します。名前付きコンテキストという用語は、データ格納接尾辞の下にあるサブツリーにも使用します。管理コンソールの「データ格納 (Data Store)」には、データ格納にあるすべての名前付きコンテキストが表示されます。このリストには、データ格納接尾辞と、それらのデータ格納接尾辞の下に作成された名前付きコンテキストが含まれています。

名前付きコンテキストの識別名は、検索などのディレクトリ操作や LDAP クライアントアプリケーションの構成を行うときに指定する基本識別名に対応します。

識別名には、OSI ツリー構造 (たとえば、o=XYZ, c=US) に適合した識別名か、一連のドメイン構成要素によって会社の DNS ネーミング構造 (たとえば、dc=XYZ, dc=COM) を反映した識別名を指定できます。

データ格納には、マスター名前付きコンテキストと複製 (スレーブ) 名前付きコンテキストを混在して持つことができます。また、この一部またはすべてを他のサーバーへ複製できます。複製については、第 9 章「複製の実装」を参照してください。

データ格納の識別名は、データ格納が空のときしか変更できません。

キャッシュへの保存

ディレクトリから取り出された情報はキャッシュに保存されます。キャッシュがいっぱいになると、最も古いエントリが廃棄され、新しい情報用の領域が作成されます。キャッシュから情報を取り出す方がデータベースからエントリを取り出すより高速ですが、大きなキャッシュには大きなメモリーが必要です。

キャッシュサイズのデフォルト値は 500 エントリです。

輻輳しきい値

輻輳しきい値は、リソースが不足したときに新しい操作の起動を防ぐことによって、ディレクトリが過負荷にならないようにするものです。

• 使用可能なディスク容量が「輻輳限度」に達すると、追加操作はそれ以上行われません。ただし、変更、相対識別名の変更 (modrdn)、検索、読み取り、および削除の操作は行われます。デフォルトの限度は 500K バイトです。

• データベースが「危険限度」に達すると、検索、読み取り、および削除の操作は行われますが、追加、変更、および modrdn の操作は行われません。デフォルトの限度は 200K バイトです。

• これらの制限は、残りのディスク容量が通常の「復帰限度」より大きくなるまで有効です。デフォルトの限度は 1000K バイトです。

不要なエントリを削除してもデータベースが輻輳限度に達する場合は、データベースの生成をやり直して、ディスク領域の使い方を最適化する必要があります。「データベースの再生成」を参照してください。

しきい値は、データ格納があるディスクの空き容量を K バイトで指定します。データ格納のデフォルトの場所は、/var/opt/SUNWconn/ldap/dbm です。

データ格納を作成するには

1. 管理コンソールの「作成 (Create)」メニューから「データ格納... (Data Store...)」を選択します。

   「データ格納の作成 (Create Data Store)」ウィンドウが表示されます。これは、図 4-2 の「データ格納の変更 (Modify Data Store)」ウィンドウとほぼ同じです。

2. 「一般 (General)」セクションの「データ格納接尾辞 (Datastore suffix)」フィールドに、このデータ格納に格納する名前付きコンテキストの識別名を指定します。

   複数の名前付きコンテキストを指定する場合は、「接尾辞を追加 (More suffixes)」ボタンをクリックします。

3. このデータベースを格納するディレクトリのパス名を指定します。

4. データ格納が読み取り専用かどうかを指定します。

   デフォルトでは、読み取り専用ではありません。

5. 最後の変更属性を記録するかどうかを指定します。

   このオプションを有効 (On) にすると、作成者の識別名、作成タイムスタンプ、変更者の識別名、および変更タイムスタンプがエントリに追加されます。これによって、特定の日付や時刻より後に作成や変更がされたエントリのディレクトリを検索できます。この機能は、複数のデータ格納の変更を同期させたい場合や、部分的な複製を使用したい場合に便利です。

6. キャッシュサイズの限度をエントリ数とバイト数で指定します。

   詳細は、「キャッシュへの保存」を参照してください。

7. 輻輳しきい値を指定します。

   詳細は、「輻輳しきい値」を参照してください。

8. (省略可能) データベースのどの属性に索引を作成するかを指定します。

   詳細は、「索引を作成するには」を参照してください。

9. 「名前付きコンテキスト (Naming Contexts)」セクションで、このデータ格納に入れるマスターサブツリーとスレーブサブツリーを指定します。

   これらは、データ格納に名前を付けるために使用する名前付きコンテキスト内のサブツリーまたはオブジェクトとなる名前付きコンテキストです。名前付きコンテキストを指定しないと、データ格納自体の識別名がマスター名前付きコンテキストのリストに自動的に追加されますが、この識別名は名前付きコンテキストの情報を保存するまで表示されません。詳細は、「名前付きコンテキスト」を参照してください。

   1. 「作成 (Create)」メニューから「名前付きコンテキスト... (Naming Contexts...)」を選択します。

      「名前付きコンテキストの追加 (Add Naming Context)」ウィンドウが表示されます。図 4-3 は、「スレーブ (Slave)」モードを選択した場合に表示されるこのウィンドウの外観を示しています。

      図 4-3 「名前付きコンテキストの追加 (Add Naming Context)」ウィンドウ (スレーブモード)

      
      

   2. 以下の情報を指定します。

      • サブツリーの種類 (サブツリーまたはオブジェクト)

      • 「接尾辞 (Suffix)」フィールドにサブツリーまたはオブジェクトの識別名

      • モード (マスターまたはスレーブ)

   3. 名前付きコンテキストが複製 (スレーブ) の場合は、次の情報を指定します。

      • 「マスターホスト名 (Master hostname)」フィールドにサーバー名。この複製はこのサーバーから複製されたものです。

      • マスターが変更を複製するためにバインドを開始したときに dspushd が使用する「マスター更新 DN (Master update DN)」

      • スレーブで更新をマスターからプルするかどうか。バインドパラメータの指定方法については、「複製を作成するには」を参照してください。

   4. 「了解 (OK)」をクリックして、名前付きコンテキストの情報を保存します。

      「名前付きコンテキスト (Naming Contexts)」セクションに新しい名前付きコンテキストが表示されます。

10. (省略可能) 格納された名前付きコンテキストを別のサーバーへ複製できます。

    複製する場合は、複製手順では名前付きコンテキストが自動的に作成されないため 手順 9 に従って、名前付きコンテキストをターゲットサーバーに作成する必要があります。詳細は、「複製の設定」を参照してください。

11. 「データ格納の作成 (Create Data Store)」ウィンドウの「了解 (OK)」をクリックして、データ格納の定義を保存します。

12. データ格納のルートにディレクトリエントリを追加します。

    エントリをディレクトリに追加する方法の詳細は、「ルートエントリの作成」を参照してください。このルートエントリを追加するまでは、データ格納にエントリを追加できません。

データ格納または名前付きコンテキストを変更するには

次のいずれかの手順を実行します。

データ格納を変更するには、変更するデータ格納を「データ格納 (Data Store)」リストから選択し、「選択 (Selected)」メニューから「データ格納を変更... (Modify Data Store...)」か「名前付きコンテキストを変更 (Modify Naming Context)」を選択します。

選択した状態でダブルクリックします。

データ格納または名前付きコンテキストの現在の特性が表示されます。データ格納が空でなければ、データ格納の接尾辞を除いて、構成のどの部分も変更できます。

ディレクトリデータの索引の作成

データ格納には、ディレクトリ情報のアクセス速度を最適化する複数の属性索引を含めることができます。属性索引は、特定の属性や属性値を持つエントリのリストです。属性の索引作成には、次のいずれかの一致規則を使用します。

• 同等 (Equality) - 正しい属性値を指定することによって、エントリへの直接アクセスを最適化します。

• 存在 (Presence) - 特定の値ではなく、属性の指定するフィルタを使用して (たとえば、cn=*) 検索を最適化します。

• 部分文字列 (Substring) - 部分指定の属性値を含むフィルタで (たとえば、cn=adr*) 検索を最適化します。部分文字列索引では、連続する 3 文字からなるすべての組み合わせを使用します。たとえば、cn=adrianne なら、部分文字列は adr、dri、ria、ian、ann、nne になります。このような索引は、生成に時間がかかり、ディスク容量も多く必要です。

• 近似 (Approximate) - 近似一致フィルタで検索を最適化します。この索引付けでは、母音を無視します。

デフォルトの特性を持つデータ格納では、次の属性に索引が付けられます。

• commonName、surname、mail、mailHost、givenName は、「存在 (Presence)」、「同等 (Equality)」、「近似 (Approximate)」、および「部分文字列 (Substring)」一致で索引が付けられます。

• uid は、「存在 (Presence)」と「同等 (Equality)」で索引が付けられます。

• preferredRfc822Recipient、rfc822Mailbox、cCMailAddress、pROFSAddresses、mSMailAddresses は、「存在 (Presence)」と「同等 (Equality)」で索引が付けられます。

索引を付ける利点は、索引が付けられた属性のアクセスを最適化できることです。欠点は、使用するディスク領域が増え、エントリの追加や変更に時間がかかることです。

索引を作成後、エントリを追加または変更すると、その索引は自動的に更新されます。ただし、新しい索引を作成したときに、データ格納にエントリがすでに含まれている場合、それらのエントリは自動的に索引に含まれません。また、ディレクトリからエントリを削除しても、索引は自動的に更新されません。したがってエントリを削除しても、索引ファイルのサイズは小さくなりません。

データ格納に定義されたすべての索引を更新するには、データ格納ウィンドウの「データ格納 (Data Store)」メニューから「索引を更新 (Update Indexes)」を選択します (「ディレクトリの保守」を参照してください)。データ格納の索引の再生成には、索引の数と複雑さにより異なりますが、数分かかることがあります。たとえば、20,000 個のエントリを持つデータ格納のデフォルト索引を再生成するには、約 5 分かかります。

索引を作成するには

1. 新しいデータ格納を作成したり、既存のデータ格納を変更したりする場合は、「作成 (Create)」メニューから「索引 (Index)」を選択します。

   「索引を追加 (Add Index)」ウィンドウが表示されます。

2. 索引を作成する属性名と索引の種類を指定します。

   「設定... (Set...)」ボタンを使ってリストから属性を選択します。複数の属性をコンマで区切って指定できます。これらの属性には、同じ種類の索引が付けられます。

3. 「適用 (Apply)」をクリックして、索引を追加します。

データ格納のバックアップと復元

バックアップ機能を使うと、ディレクトリデータベースの情報をテキスト形式でバックアップできます。復元オプションを使えば、一連のバックアップファイルからデータベースを復元できます。

データ格納をバックアップするには

1. データ格納をバックアップするには、「データ格納 (Data Store)」リストのデータ格納をダブルクリックして表示します。

   「データ格納の変更 (Modify Data Store)」ウィンドウが表示されます。

2. 「データ格納 (Data Store)」プルダウンメニューをクリックし、「バックアップ (Backup)」を選択します。

   選択ウィンドウが表示されます。

3. 選択ウィンドウでバックアップのディレクトリを選択または作成します。

4. 「保存 (Save)」をクリックします。

データ格納を復元するには

1. データ格納を復元するには、「データ格納 (Data Store)」リストのデータ格納をダブルクリックして表示します。

   「データ格納の変更 (Modify Data Store)」ウィンドウが表示されます。

2. 「データ格納 (Data Store)」プルダウンメニューをクリックし、「復元... (Restore...)」を選択します。

   選択ウィンドウが表示されます。

3. 復元するバックアップデータ格納を持つディレクトリを指定します。

   デフォルトの選択は、以前のバックアップディレクトリです。

4. 「読み込み (Load)」をクリックします。

   復元したデータ格納を使って、ディレクトリサービスが再起動されます。

アクセス制御の構成

だれが、どのようなアクセスレベルでディレクトリエントリにアクセスできるかは、アクセス制御で決まります。ディレクトリのアクセス制御を作成する方法については、「アクセス制御」を参照してください。次の手順では、デフォルトアクセスの構成や、アクセス制御規則の追加、変更、または削除の方法を説明します。

アクセス制御規則は、特定のユーザーに対する、特定のディレクトリ情報へのアクセスレベルを定義するものです。新しくアクセス制御規則を定義するには、次の 2 つの段階があります。

• 規則を適用するディレクトリ情報を指定します。保護したい情報はこのディレクトリに含まれます。

• この情報に対し各ユーザーに与えるアクセスレベルを指定します。アクセスレベルには、厳しいものから緩やかなものの順に、none、compare、search、read、write があります。

アクセス制御規則は、特定なものをはじめに、一般的なものを後に置きます。要求する操作に最初に一致した規則が使用され、リストにある残りの規則は無視されます。

デフォルトアクセスは、アクセス制御が特に定義されていないエントリや属性に与えられるアクセスレベルです。

デフォルトのアクセスを構成するには

1. 管理コンソールメインウィンドウから「アクセス制御 (Access Control)」セクションへ移動します。

2. 「デフォルトのアクセス (Default Access)」メニューボタンでアクセスレベルを選択します。

   デフォルトでは、このオプションは「読み込み (read)」に設定されます。

アクセス制御規則を追加するには

1. 「作成 (Create)」メニューから「アクセス制御... (Access Control...)」を選択します。

   「アクセス制御規則の作成 (Create Acces Control Rule)」ウィンドウが表示されます。

2. 新しい規則を適用する情報を次のように指定します。

   1. 「選択エントリ (Selected entries)」メニューから、エントリを指定する方式を指定します。

      エントリの指定には、識別名に基づく正規表現や LDAP フィルタを使用できます。あるいは、規則をすべてのエントリに適用する指定もできます。

      • 識別名に基づく正規表現を選択した場合は、「識別名に基づく正規表現 (DN-based regular expression)」フィールドに正規表現を入力するか、「設定... (Set...)」をクリックして「識別名 (Distinguished Name)」エディタで正規表現を入力します。

        正規表現で定義したエントリの一定の属性だけを保護したい場合は、「設定... (Set...)」ボタンをクリックし、保護する属性を選択します。属性を全く指定しないと、指定したエントリのすべての属性が保護されます。

      • LDAP フィルタを選択した場合は、「設定... (Set...)」ボタンをクリックして「LDAP フィルタ (LDAP Filter)」エディタを起動します。フィルタを指定し、「適用 (Apply)」をクリックします。

        正規表現で定義したエントリの一定の属性だけを保護したい場合は、「設定... (Set...)」ボタンをクリックし、保護する属性を選択します。属性を全く指定しないと、指定したエントリのすべての属性が保護されます。

   2. 保護する属性名を「属性 (Attributes)」フィールドに入力します。

      属性リストを表示するには、「設定... (Set...)」ボタンをクリックします。属性はいくつでも指定できます。

3. 「作成 (Create)」メニューから「アクセス規則... (Access Rule...)」を選択します。

   「アクセス規則を追加 (Add Access Rule)」ウィンドウが表示されます。

4. 「規則の型 (Rule type)」を選択します。これによって、この規則を適用するユーザーの集合が定義されます。

   「全ユーザー (Everyone)」、「識別名に基づく正規表現 (DN-based Regular Expression)」、「ユーザー自身 (Self)」(エントリで記述されたエンティティ)、「アドレス (Address)」、「ドメイン (Domain)」、「メンバー属性 (Member Attribute)」のいずれかを選択できます。

   • 「全ユーザー (Everyone)」を選択した場合は、ディレクトリエントリにこの属性を持つすべてのユーザーにこの規則が適用されます。

   • 「識別名に基づく正規表現 (DN-based Regular Expression)」を選択した場合は、規則を適用するユーザーの集合に対する正規表現を指定します。この規則は、正規表現と一致する識別名でバインドされたすべてのユーザーに適用されます。

     識別名は、フィールドに直接入力したり、「設定... (Set...)」をクリックして「識別名 (Distinguished Name)」エディタを使用して作成したりできます。識別名の指定方法については、「識別名エディタの使用方法」を参照してください。

   • 「アドレス (Address)」を選択した場合は、IP アドレスを指定します。

     IP アドレスには、ワイルドカードを指定できます。この規則は、指定した IP アドレスでバインドされるすべてのユーザーに適用されます。

   • 「ドメイン (Domain)」を選択した場合は、ドメイン名を指定します。

     ドメイン名には、ワイルドカードを指定できます。この規則は、指定した IP アドレスでバインドされるすべてのユーザーに適用されます。

   • 「メンバー属性 (Member Attribute)」を選択した場合は、属性を指定します。

     この規則を使うと、バインドで使用する識別名をこの属性で指定したメンバーのリストに追加したり、リストから削除したりできます。

5. 指定したユーザーの集合に与えるアクセス権を指定します。

6. 「適用 (Apply)」をクリックして、規則を追加します。

   次に、ここまでに選択したエントリに他の規則を定義できます。これらのエントリに対しすべての規則の作成と追加が終わったら、「取消し (Cancel)」をクリックして、「アクセス規則を追加 (Add Access Rule)」ウィンドウを閉じます。図 4-4 は、新しく作成されたアクセス制御を示しています。ユーザーは、自分の homePhone と homePostalAddress 属性の更新を許可されます。

   図 4-4 「アクセス制御規則の作成 (Create Access Control Rule)」ウィンドウ

   
   

7. 「アクセス制御規則の作成 (Create Access Control Rule)」ウィンドウで「適用 (Apply)」をクリックして、新しい規則を追加します。

   次に、別のエントリセットを選択し、手順 2 の説明に従ってそのアクセス制御を定義できます。

   構成の変更は、dsservd デーモンを再起動すると有効になります。

アクセス制御規則を変更するには

1. 変更したいアクセス制御を持つエントリセットを選択し、「選択 (Selected)」メニューから「ACL を変更... (Modify ACL...)」を選択します。

   「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウが表示されます。このウィンドウは、規則をダブルクリックすると自動的に表示されます。

2. 変更する規則を選択し、「選択 (Selected)」メニューから「アクセス規則を変更... (Modify Access Rule...)」を選択します。

   「アクセス規則の変更 (Modify Access Rule)」ウィンドウが表示されます。このウィンドウは、変更したい規則をダブルクリックすると自動的に表示されます。

3. 必要な変更を行います。

4. 「適用 (Apply)」をクリックします。

   他に変更が必要であれば、変更します。すべての変更と適用が終わったら、「取消し (Cancel)」をクリックして「アクセス規則の変更 (Modify Access Rule)」ウィンドウを閉じます。

5. 「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウで「了解 (OK)」をクリックします。

   これらの変更は、dsservd デーモンを再起動すると有効になります。

アクセス制御規則を削除するには

あるエントリセットに対するすべてのアクセス制御規則を削除するには、そのエントリセットを選択し、「選択 (Selected)」メニューから「ACL を削除 (Delete ACL)」を選択します。

そのエントリセットに対するすべてのアクセス制御規則を削除するかどうかの確認を求められます。

ACL から規則を 1 つ削除するには

1. エントリセットを選択し、「選択 (Selected)」メニューから「ACL を変更... (Modify ACL...)」を選択します。

   「アクセス制御規則の変更 (Modify Access Control Rule)」ウィンドウが表示されます。

2. 削除する規則を選択し、「選択 (Selected)」メニューから「アクセス規則を削除 (Delete Access Rule)」を選択します。

   この規則を削除するかどうかの確認を求められます。

アクセス制御規則の順序を変えるには

メインウィンドウの「アクセス制御 (Access Control)」で、移動したい規則を選択し、「選択 (Selected)」メニューから「上へ移動 (Move Up)」か「下へ移動 (Move Down)」を選択します。

規則が必要な順序になったら、「適用 (Apply)」をクリックして変更を構成ファイルに保存します。これらの変更は、dsservd デーモンを再起動すると有効になります。

---

注 -

規則の順序が特定のものから一般的なものになっていないと、管理コンソールは警告メッセージを出します。

---

ログの構成

ログについて次のパラメータを構成できます。

• ログディレクトリ

• ログファイルのサイズ

• 追跡レベル

• どのログを表示するか (LDAP、Web ゲートウェイ、NIS、RADIUS)、および表示の長さ

管理コンソールメインウィンドウの「ログ (Log)」セクションを表示し、これらのパラメータを構成します。

ログディレクトリ /var/opt/SUNWconn/ldap/log には、次のファイルがあります。

• dsserv.log -- LDAP および NIS サーバーのログファイル

• dsradius.log - RADIUS サーバーのログファイル

• dsweb.log - Web ゲートウェイのログファイル

• dsnmpserv.log - dsservd デーモンを監視する SNMP エージェントのログファイル

• dsnmprad.log - dsradiusd デーモンを監視する SNMP エージェントのログファイル

• dsserv_admin.log - 管理コンソールサーバーのログファイル

• dspush.log - dspushd 複製プロセスのログファイル

• dspull.log - dspulld 複製プロセスのログファイル

デフォルトのログディレクトリ名は変更できますが、ログファイル名自体は変更できません。

デフォルトでは、ログファイルの最大のサイズは 500K バイトです。このサイズはすべてのログファイルで同じです。この限界に達すると、そのログは .1 の接尾辞で名前が変更され、新しいログファイルが作成されます。このログがサイズの限界に達すると、今度はこのファイル名が変更されます。ログごとに 10 ファイルまで持つことができます。

ログファイルは 40M バイトまでディスク容量を使用できます。デフォルトサイズを増やすと、40M バイト以上のディスク容量がログファイルに使用されることがあります。したがって、ログファイルを定期的にクリーンアップする必要があります。

使用できる追跡レベルは、次のとおりです。

• なし (None)

• 軽 (Light)

• 中 (Medium)

• 完全 (Full)

構成のバックアップと復元

管理コンソールを使用すると、ディレクトリサービスの構成を任意の時点でバックアップしたり、必要な数だけ保存したりできます。バックアップしたディレクトリサービスの構成はどれでも復元できます。

構成をバックアップするには

1. 管理コンソールで、「サーバー (Server)」プルダウンメニューをクリックし、「構成をバックアップ (Backup Config)」を選択します。

   ディレクトリサービスデーモン dsservd が動作中の場合は、その停止を求めるメッセージが表示されます。dsservd を停止すると、選択ウィンドウが表示されます。

2. 選択ウィンドウで、バックアップのためのディレクトリを選択または作成します。

3. 「保存 (Save)」をクリックします。

構成を復元するには

1. 管理コンソールで、「サーバー (Server)」プルダウンメニューをクリックし、「構成を復元... (Restore Config...)」を選択します。

   ディレクトリサービスデーモン dsservd が動作中の場合は、その停止を求めるメッセージが表示されます。dsservd を停止すると、選択ウィンドウが表示されます。

2. 復元するバックアップ構成が置かれているディレクトリを選択します。

   デフォルトでは、/etc/opt/SUNWconn/ldap/backup ディレクトリが選択されます。

3. 「読み込み (Load)」をクリックします。

   復元した構成でディレクトリサービスが再起動されます。

サーバー特性の表示

ディレクトリサーバーの特性は、次のコマンドでいつでも表示できます。

/opt/SUNWconn/bin/ldapsearch -h host -b "" -s base 'objectclass=*'

host は、表示したい特性を持つディレクトリサーバーのホスト名です。このコマンドによって、次のような出力が表示されます。

objectclass=top
namingcontexts=O=XYZ,C=US
namingcontexts=DC=XYZ,DC=COM
subschemasubentry=cn=schema
supportedsaslmechanisms=CRAM-MD5
supportedcontrol=1.2.840.113556.1.4.319
supportedcontrol=2.16.840.1.113730.3.4.2
supportedcontrol=1.3.6.1.4.1.1466.20035
supportedldapversion=2
supportedldapversion=3

識別名エディタの使用方法

識別名は、o=XYZ, c=US のように、相対識別名をコンマで区切って並べたものです。管理コンソールに識別名を指定する場合は、フィールドに識別名を直接入力したり、識別名エディタで識別名を作成したりできます。

識別名での正規表現

識別名を正規表現で指定すると特定のエントリの集合を指定できます。これは、アクセス制御の構成などでは便利ですが、名前付きコンテキストの指定には不便です。管理コンソールでは、どの識別名にも正規表現を入力できますが、ワイルドカード文字は適切なときだけ使用してください。正規表現については、regex(1F) のマニュアルページを参照してください。

エントリの識別名として正規表現を指定できます。たとえば、dn="cn=Joe Smith, ou=.*, o=XYZ, c=US" という正規表現では、XYZ Corporation 全体における Joe Smith という人たちのエントリを指定します。

さらに、識別名に基づく正規表現を使って、識別名を値に持つ属性に対し一連の値を設定できます。たとえば、正規表現 member="dn=.*" を使用すれば、識別名にメンバー属性の値を持つ人に配布リストエントリの書き込みアクセス権を与えることができます。

識別名エディタで識別名を作成するには

1. 識別名を入力するフィールドの右にある「設定... (Set...)」ボタンをクリックして、識別名エディタを起動します。

   「識別名エディタ (Distinguished Name Editor)」ダイアログボックスが表示されます。

   図 4-5 「識別名エディタ (Distinguished Name Editor)」ダイアログボックス

   
   

2. 「前 (Previous)」と「次 (Next)」ボタンを使って、相対識別名を追加する位置にカーソルを移動するか、置き換えたい相対識別名を強調表示します。

   2 つの相対識別名の間にカーソルがあると、ダイアログボックスには「相対識別名を追加 (Add RDN)」ボタンが表示されます。相対識別名を強調表示すると、このボタンは「相対識別名を置換 (Replace RDN)」になります。

3. 相対識別名の「名前付き属性 (Naming Attributes)」を選択し、「相対識別名の値 (RDN Value)」フィールドに値を入力します。

4. 「相対識別名を追加 (Add RDN)」か「相対識別名を置換 (Replace RDN)」ボタンをクリックします。

5. 「了解 (OK)」をクリックして新しい識別名を保存してから「取消し (Cancel)」をクリックして、「識別名エディタ (Distinguished Name Editor)」ダイアログボックスを閉じます。

識別名エディタで識別名を変更するには

1. 変更する識別名が表示されているフィールドの右にある「設定... (Set...)」ボタンをクリックして、識別名エディタを起動します。

   「識別名エディタ (Distinguished Name Editor)」ダイアログボックスが表示されます。

2. 「前 (Previous)」と「次 (Next)」ボタンを使って、相対識別名を挿入したい位置にカーソルを移動するか、置き換えたい既存の相対識別名を選択します。

3. 相対識別名の「名前付き属性 (Naming Attributes)」を選択し、「相対識別名の値 (RDN Value)」フィールドに値を入力します。

4. 「相対識別名を変更 (Modify RDN)」ボタンをクリックします。

5. 「了解 (OK)」をクリックして新しい識別名を保存してから「取消し (Cancel)」をクリックして、「識別名エディタ (Distinguished Name Editor)」ダイアログボックスを閉じます。

フィルタエディタの使用方法

LDAP フィルタは、特定の属性や属性値があるかどうかに基づいてエントリを指定する方法です。LDAP フィルタはアクセス制御規則で使用できます。たとえば、デフォルトのアクセス制御規則に、joinable という属性を含み、値が TRUE のエントリの属性メンバーにユーザーが独自の識別名を追加できるようにフィルタを指定できます。これによってユーザーは配布リストに名前を追加したり、配布リストから名前を削除したりできます。

「現在のフィルタ (Current Filter)」フィールドには、変更中のフィルタまたは作成中のフィルタの現在の状態が表示されます。

LDAP フィルタを作成するには

1. フィルタを指定したいフィールドの右にある「設定... (Set...)」ボタンをクリックします。

   「LDAP フィルタエディタ (LDAP Filter Editor)」ダイアログボックスが表示されます。

   図 4-6 「LDAP フィルタエディタ (LDAP Filter Editor)」ダイアログボックス

   
   

2. 表示されたリストから属性を選択します。

3. 「値 (Value)」フィールドに値を入力します。

4. 「値 (Value)」フィールドの右のプルダウンメニューから一致規則を選択します。

5. 「AND」、「OR」、「NOT」のいずれかをクリックして、この式をフィルタでどのように使用するかを指定します。

6. 「式を追加 (Add expression)」をクリックして、式をフィルタに追加します。

   「現在のフィルタ (Current Filter)」フィールドに変更したフィルタが表示されます。

7. 「現在のフィルタ (Current Filter)」フィールドに表示されたフィルタが希望のものになるまで、手順 3 から 手順 6 までを繰り返します。

8. 「了解 (OK)」をクリックしてフィルタを保存してから「取消し (Cancel)」をクリックして、「LDAP フィルタエディタ (LDAP Filter Editor)」ダイアログボックスを閉じます。

LDAP フィルタを変更するには

1. フィルタを指定したいフィールドの右にある「設定... (Set...)」ボタンをクリックします。

   図 4-6 の「LDAP フィルタエディタ (LDAP Filter Editor)」ダイアログボックスが表示されます。

   「現在のフィルタ (Current Filter)」フィールドに変更するフィルタが表示されます。

2. 式を追加したい位置にカーソルを移動するか、変更したい式を選択します。

3. 表示されたリストから属性を選択します。

4. 「値 (Value)」フィールドに値を入力します。

5. プルダウンメニューから一致規則を選択します。

6. 「AND」、「OR」、「NOT」のいずれかをクリックして、この式をフィルタでどのように使用するかを指定します。

7. 「式を追加 (Add expression)」をクリックして、式をフィルタに追加します。

   「現在のフィルタ (Current Filter)」フィールドに変更したフィルタが表示されます

8. 「現在のフィルタ (Current Filter)」フィールドに表示されたフィルタが希望のものになるまで、手順 3 から 手順 7 までを繰り返します。

9. 「了解 (OK)」をクリックしてフィルタを保存してから「取消し (Cancel)」をクリックして、「LDAP フィルタエディタ (LDAP Filter Editor)」ダイアログボックスを閉じます。