Sun Directory Services 3.1 管理ガイド

第 10 章ディレクトリサービスの管理

この章では、ディレクトリサービスを管理するためにときどき行う必要がある作業を説明します。

Sun Directory Services の起動

管理コンソールからディレクトリサーバーを起動するには、「LDAP サーバー (LDAP Server)」メニューから「開始 (Start)」を選択します。あるいは、スーパーユーザー (root) として次のコマンドを入力して、ディレクトリサーバーのデーモン dsservd を起動することもできます。

# /etc/init.d/dsserv start

Web ゲートウェイを起動するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/dsweb start

ディレクトリ管理サーバー dsadm を起動するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/dsadm start

RADIUS サーバーのデーモン dsradiusd は、dsservd デーモンと同時に起動されます。このデーモンを dsservd とは別に停止したい場合は、スーパーユーザー (root) として次のように入力すれば、個別に起動できます。

# /opt/SUNWconn/ldap/sbin/dsradius start

Sun Directory Services をインストールすると、これらのコマンドがシステム起動ファイルに追加されます。このため、マシンをリブートすると、これらのサーバーデーモンが自動的に起動されます。

Sun Directory Services の停止

管理コンソールからディレクトリサーバーを停止するには、「LDAP サーバー (LDAP Server)」メニューから「停止 (Stop)」を選択します。あるいは、スーパーユーザー (root) として次のコマンドを入力して、ディレクトリサーバーのデーモンを停止することもできます。

# /etc/init.d/dsserv stop

ディレクトリサーバーを停止すると、複製サーバーも自動的に停止します。複製スケジュールを設定している場合は、ディレクトリサーバーを再起動すると、複製サーバーが自動的に再起動され、スケジュールが再び有効になります。

Web ゲートウェイ dsweb を停止するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/dsweb stop

ディレクトリ管理サーバー dsadm を停止するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/dsadm stop

RADIUS サーバーのデーモン dsradiusd は、dsservd デーモンと同時に停止されます。このデーモンを dsservd とは別に停止する場合は、スーパーユーザー (root) として次のように入力します。

# /opt/SUNWconn/ldap/sbin/dsradius stop

SNMP によるディレクトリサービスの監視

Sun Directory Services には、次の 2 つの SNMP エージェントがあります。

dsnmpserv。ディレクトリサーバーを監視します。
dsnmprad。RADIUS サーバーを監視します。

最初の SNMP エージェント dsnmpserv は、次の標準で定義された管理情報ベース (MIB) をサポートします。

Network Services Monitoring MIB (RFC 1565)
X.500 Directory Monitoring MIB (RFC 1567)

これらの MIB は、すべてのメッセージングとディレクトリのアプリケーションに適用されるメッセージおよびディレクトリ管理 (MADMAN) 標準の一部です。

2 つ目の SNMP エージェント dsnmprad は、次のドラフト標準で定義された MIB をサポートします。

RADIUS Authentication Server MIB (draft-ietf-radius-auth-servmib-01.txt)
RADIUS Accounting Server MIB (draft-ietf-radius-acc-servmib-01.txt)

それぞれのエージェントによってどのような情報が収集されるかについては、「ディレクトリサーバーの統計情報」と「RADIUS サーバーの統計情報」を参照してください。

Solaris^TM 2.6 マシンでは、インストールプロセスでこれらの SNMP エージェントが自動的に起動されます。Solaris 2.6 オペレーティング環境にはマスター SNMP エージェント snmpdx が含まれていて、これが UDP ポート 161 上で、そのマシンにインストールされている他のすべての SNMP エージェントに対して SNMP トラフィックを中継するからです。

SNMP エージェントの起動と停止

エージェントを個別に起動または停止するには、次の手順を実行します。

ディレクトリサーバーの SNMP エージェント dsnmpserv を起動するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/init.dsnmpserv start

RADIUS サーバーの SNMP エージェント dsnmprad を起動するには、スーパーユーザー (root) として次のように入力します。

# /opt/SUNWconn/ldap/sbin/init.dsnmprad start

ディレクトリサーバーの SNMP エージェント dsnmpserv を停止するには、スーパーユーザー (root) として次のように入力します。

# /etc/init.d/init.dsnmpserv stop

RADIUS サーバーの SNMP エージェント dsnmprad を停止するには、スーパーユーザー (root) として次のように入力します。

# /opt/SUNWconn/ldap/sbin/init.dsnmprad stop

SNMP エージェントの構成

Sun Directory Services を Solaris 2.6 マシンにインストールすると、dsnmpserv と dsnmprad エージェントの構成情報が Solaris のマスターエージェント snmpdx の構成に追加され、すべての SNMP エージェントが起動されます。デフォルトでは、Sun Directory Services はイベントをローカルホストに報告します。エージェントが使用する UDP ポートは、マスターエージェントによって動的に割り当てられます。

どちらのエージェントの場合も、SNMP エージェントがイベントを報告する先のホストを構成できます。それには、dsnmpcfg コマンドを次のように入力します (スーパーユーザー (root) としてログインしていなければなりません)。

# /opt/SUNWconn/ldap/sbin/dsnmpcfg configure

それぞれのエージェントがイベントを報告するマシンのホスト名を指定します。この構成を行なっているときにこれらのエージェントが動作している場合は、これらのエージェントを再起動して、変更を有効にします。

ディレクトリサーバーの統計情報

この節では、ディレクトリサーバーの SNMP エージェント dsnmpserv によってどのような情報が収集されるかを示し、どのようにすればそれらの情報を管理コンソールで表示できるかを説明します。

`dsnmpserv` によって収集される情報

SNMP エージェント dsnmpserv によって収集される情報は、SunNet Manager^TM や Solstice^TM Enterprise Manager^TM などの管理プラットフォームから監視できます。このエージェントでは、次のディレクトリサービス情報が監視されます。

アプリケーション情報
- アプリケーション名
- アプリケーションディレクトリ名
- アプリケーションのバージョン
- アプリケーションの稼働時間
- アプリケーションの状態 (「動作中 (up)」か「停止 (down)」か)
- 状態の最新の変更
- 着信関連付け数
- 発信関連付け数
- 蓄積された着信関連付け
- 蓄積された発信関連付け
- 最新の着信動作
- 最新の発信動作
- 拒絶された着信関連付け
- 失敗した着信関連付け
関連付け情報
- 遠隔アプリケーションの識別名
- 通信で使用されているプロトコル
- 遠隔アプリケーションの種類と、発信側か応答側かの識別
- 関連付けの現在の継続時間
ディレクトリサーバーの操作
- 匿名バインド
- 未認証バインド
- 簡単な認証バインド
- 強い認証バインド
- バインドセキュリティエラー
- 着信操作
- 読み取り操作
- 比較演算
- エントリの追加操作
- エントリの削除操作
- エントリの変更操作
- リスト操作
- 検索操作
- 1 レベル検索操作
- ツリー全体の検索操作
- 照会
- 連鎖
- セキュリティエラー
- DSA エラー
ディレクトリエントリの情報
- マスターエントリ
- コピーエントリ
- キャッシュに書き込まれたエントリ
- キャッシュヒット
- スレーブヒット
他のディレクトリサーバーとの相互動作
- 遠隔ディレクトリサーバーの識別名
- 遠隔ディレクトリサーバーを作成した時刻
- 遠隔ディレクトリサーバーに最後に接続を試みた時刻
- 遠隔ディレクトリサーバーと最後に正常に相互動作した時刻
- 最後の正常に接続した後、接続が失敗した回数
- 遠隔ディレクトリサーバーへの接続に失敗した合計回数
- 遠隔ディレクトリサーバーと正常に相互動作した合計回数

`dsservd` によって収集される情報

ディレクトリサーバー dsservd によって収集される統計情報は、次の 5 つのカテゴリで表示できます。

全般
詳細
操作
関連付け

相互動作

収集される統計情報は、SNMP エージェント dsnmpserv の情報と同じです。収集される情報の詳細は、「SNMP によるディレクトリサービスの監視」を参照してください。

ディレクトリサーバーの統計情報を監視するには

管理コンソールメインウィンドウの「サービス (Services)」の「LDAP」セクションに移動します。

「統計を表示 (Show Statistics)」ボタンをクリックします。

「LDAP 統計 (LDAP Statistics)」ウィンドウが表示されます。このウィンドウには、ディレクトリサーバーに対する現在の統計情報が表示されます。

表示したいカテゴリのタブをクリックします。

「更新 (Update)」ボタンをクリックして、最新の統計情報を入手します。

定期的に統計情報を更新するには、次の手順を実行します。
1. 「再表示間隔 (秒) (Refresh Interval (in seconds))」フィールドを設定します。
2. 「自動更新を開始 (Start Auto Update)」をクリックします。
  
  注 -
  「自動更新を開始 (Start Auto Update)」と「自動更新を停止 (Stop Auto Update)」コントロールは、統計情報の収集ではなく、統計情報の表示に関係します。このコントロールは、ウィンドウが表示されている間だけ有効です。ウィンドウを閉じると、再表示間隔はデフォルトにリセットされ、統計情報表示の自動更新は停止されます。

RADIUS サーバーの統計情報

この節では、RADIUS サーバーの SNMP エージェント dsnmprad によってどのような情報が収集されるかを示します。この情報は、SunNet Manager や Solstice Enterprise Manager などの管理プラットフォームから監視できます。

収集される情報

RADIUS 認証サービスの次の情報が監視されます。

サーバーの識別子
稼動時間
リセット時刻
構成のリセット
アクセス要求の合計数
無効要求の合計数
重複アクセス要求の合計数
アクセス要求の合計数
アクセス受諾の合計数
アクセス拒否の合計数
アクセスの試みの合計数
形式が正しくないアクセス要求の合計数
不正な認証者の合計数
消失したパケット合計数
不明タイプの合計数
クライアントエントリ (サーバーに接続されている NAS ごとに監視される認証情報を含む)
- クライアント索引
- クライアントアドレス
- クライアント ID
- アクセス要求
- 重複アクセス要求
- アクセス受諾
- アクセス拒否
- アクセスの試み
- 形式が正しくないアクセス要求
- 不正な認証者
- 消失したパケット
- 不明タイプ

RADIUS アカウントサービスの次の情報が監視されます。

NAS 識別子
稼動時間
リセット時刻
構成のリセット
要求の合計数
無効要求の合計数
重複要求の合計数
応答の合計数
形式が正しくない要求の合計数
不正な認証者の合計数
消失したパケットの合計数
レコードなしの合計数
不明タイプの合計数
クライアントエントリ (サーバーに接続されている NAS ごとに監視されるアカウント情報を含む
- クライアント索引
- クライアントアドレス
- クライアント ID
- 消失したパケット
- 要求
- 重複要求
- 応答
- 不正な認証者
- 形式が正しくない要求
- レコードなし
- 不明タイプ

RADIUS サーバー統計情報の表示

RADIUS サーバーの統計を管理コンソールで表示できません。表示するには、SunNet Manager や Solstice Enterprise Manager などの管理アプリケーションが必要です。これらの管理アプリケーションを使用するために必要なファイルは、Sun Directory Services の次のディレクトリにあります。

dsnmprad がイベントを SunNet Manager ステーションに報告するために必要なすべてのファイルは、/opt/SUNWconn/ldap/snmp/snm ディレクトリにあります。
dsnmprad がイベントを Solstice Enterprise Manager ステーションに報告するために必要なすべてのファイルは、/opt/SUNWconn/ldap/snmp/sem ディレクトリにあります。

Web ゲートウェイ

Web ゲートウェイは、任意の Web ブラウザから LDAP ディレクトリにアクセスするためのインタフェースです。このインタフェースを使えば、ディレクトリを表示したり、エントリの検索や読み取りを行なったり、一部のディレクトリ情報を変更したりできます。この機能は、ディレクトリの情報を調べるときに便利です。

この節では、ユーザーのニーズ (特に、定義済みの新しい属性や企業のプロファイルの表示) に合うように Web ゲートウェイを構成する方法を説明します。

Web ゲートウェイの使い方については、『Sun Directory Services 3.1 ユーザーズガイド』を参照してください。

Web ゲートウェイの構成

ゲートウェイデーモン dswebd が動作するためには、dsservd デーモンが同じマシンで動作していなければなりません。また、ユーザーが Web ブラウザからディレクトリを表示するためには、dsservd と dswebd デーモンが動作していなければなりません。それらの状態は、管理コンソールの「状態 (Status)」セクションで確認できます。LDAP サービスと Web ゲートウェイサービスがともに「動作中 (Running)」でなければなりません。動作中でない場合は、「開始 (Start)」ボタンで起動してください。

Web ゲートウェイが使用するデフォルトの HTTP ポート (1760) は、管理コンソールから変更できます。その場合は、「サービス (Services)」の「Web ゲートウェイ (Web gateway)」セクションで HTTP ポート番号を変更します。

次の構成ファイルを編集すると、Web ゲートウェイの動作や情報の表示方法を変更できます。

dswebfilter.conf

ゲートウェイが検索要求をディレクトリに対しどのように行うかを制御します。詳細は、dswebfilter.conf(4) のマニュアルページを参照してください。
dswebfriendly.conf

ディレクトリで使用されることがある一部の属性値が、ユーザーにわかりやすい表現で表されています。デフォルトでは、ISO 国コードと国名とのマッピングが含まれています。
dsweb.help

Web ゲートウェイのユーザーインタフェースに対するヘルプテキストが入っています。ユーザーインタフェースを変更する場合は、それに合わせてこのファイルのヘルプテキストを変更できます。
dsweb.helpattr

Web ゲートウェイのユーザーインタフェースを使って表示するディレクトリ属性の説明が入っています。
dsweb.messages

Web ゲートウェイのユーザーインタフェースで使用されるメッセージと画面テキストが入っています。このファイルを変更すれば、ユーザーインタフェースをカスタマイズできます。
dswebtmpl.conf

ディレクトリから検索した情報をどのように表示するかを制御するテンプレートが入っています。スキーマを変更した場合、特にオブジェクトクラスや属性を追加した場合は、このファイルを変更しないと、新しいオブジェクトクラスや属性を使用するエントリは表示できません。詳細は、dswebtmpl.conf(4) のマニュアルページを参照してください。

第 10 章 ディレクトリサービスの管理