레트로 변경 로그 사용

레트로 변경 로그는 LDAP 클라이언트에서 디렉토리 서버 데이터에 대한 변경 기록을 확인하는 데 사용됩니다. 레트로 변경 로그는 디렉토리 서버 변경 로그와는 다른 별도의 데이터베이스에서 cn=changelog 접미어 아래에 저장됩니다.

레트로 변경 로그는 독립형 서버나 복제 토폴로지의 각 서버에서 활성화할 수 있습니다. 레트로 변경 로그를 서버에서 활성화하면 기본적으로 해당 서버의 모든 접미어 업데이트가 기록됩니다. 지정된 접미어에 대한 업데이트만 기록하도록 레트로 변경 로그를 구성할 수 있습니다.

복제된 토폴로지에서의 레트로 변경 로그 사용에 대한 자세한 내용과 레트로 변경 로그 사용 제한 사항은 Sun Java System Directory Server Enterprise Edition 6.2 Reference의 Replication and the Retro Change Log Plug-In을 참조하십시오.

레트로 변경 로그의 항목 속성에 대한 자세한 내용은 changeLogEntry(5dsoc) 설명서 페이지를 참조하십시오.

레트로 변경 로그 수정에 대한 자세한 내용은 dsconf(1M) 설명서 페이지를 참조하십시오.

이 절에서는 레트로 변경 로그를 사용할 수 있는 다양한 방법에 대해 설명합니다.

레트로 변경 로그를 활성화하는 방법

레트로 변경 로그를 사용하려면 먼저 활성화해야 합니다.

DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.

1. 레트로 변경 로그 구성 항목을 수정합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-enabled:on

2. 서버를 다시 시작합니다.

   자세한 내용은 디렉토리 서버 인스턴스 시작, 중지 및 다시 시작 을 참조하십시오.

지정된 접미어에 대한 업데이트를 기록하도록 레트로 변경 로그를 구성하는 방법

레트로 변경 로그를 서버에서 활성화하면 기본적으로 해당 서버의 모든 접미어 업데이트가 기록됩니다. 이 절차에서는 지정된 접미어에 대한 업데이트만 기록하도록 레트로 변경 로그를 구성하는 방법에 대해 설명합니다.

DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.

1. 레트로 변경 로그 구성 항목을 수정합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-suffix-dn:suffix-DN

   예를 들어 cn=Contractors,dc=example,dc=com 접미어와 ou=People,dc=example,dc=com 접미어에 대해서만 변경을 기록하려면 다음 명령을 사용합니다.

   $ dsconf set-server-prop -h host2 -p 1389 \ retro-cl-suffix-dn:"cn=Contractors,dc=example,dc=com" \ retro-cl-suffix-dn:"ou=People,dc=example,dc=com"

   지정된 접미어의 기존 목록에 접미어를 추가하려면 이 명령을 사용합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-suffix-dn+:suffix-DN

2. 서버를 다시 시작합니다.

   자세한 내용은 디렉토리 서버 인스턴스 시작, 중지 및 다시 시작 을 참조하십시오.

삭제된 항목의 속성을 기록하도록 레트로 변경 로그를 구성하는 방법

이 절차에서는 삭제된 항목의 지정된 속성을 기록하도록 레트로 변경 로그를 구성하는 방법에 대해 설명합니다.

DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.

1. 기록해야 할 속성을 지정합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr: \ attribute1 attribute2

   예를 들어 삭제된 항목의 UID 속성을 기록하도록 레트로 변경 로그를 설정하려면 다음 명령을 사용합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr:uid

   지정된 속성의 기존 목록에 속성을 추가하려면 이 명령을 사용합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr+:attribute

2. 서버를 다시 시작합니다.

   자세한 내용은 디렉토리 서버 인스턴스 시작, 중지 및 다시 시작 을 참조하십시오.

레트로 변경 로그를 지우는 방법

레트로 변경 로그의 항목은 지정된 기간이 경과한 후 자동으로 제거할 수 있습니다. 항목을 자동으로 삭제할 기간을 구성하려면 레트로 변경 로그가 활성화되어 있는지 확인한 다음 cn=Retro Changelog Plugin, cn=plugins, cn=config 항목의 nsslapd-changelogmaxage 구성 속성을 설정합니다.

DSCC를 사용하여 이 작업을 수행할 수 없습니다. 이 절차에 설명된 것처럼 명령줄을 사용하십시오.

1. 레트로 변경 로그가 활성화되어 있는지 확인합니다.

   $ dsconf get-server-prop -h host -p port retro-cl-enabled

2. 레트로 변경 로그가 활성화되지 않은 경우 활성화합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-enabled:on

3. 기록된 변경 사항에 대한 최대 사용 기간을 설정합니다.

   $ dsconf set-server-prop -h host -p port retro-cl-max-age:duration

   여기서 duration은 undefined(사용 기간 제한 없음) 또는 다음 중 하나입니다.

   • s - 초

   • m - 분

   • h - 시

   • d - 일

   • w - 주

   예를 들어 레트로 변경 로그 최대 사용 기간을 2일로 설정하려면 다음을 입력합니다.

   $ dsconf set-server-prop -h host 2 -p 1389 retro-cl-max-age:2d

   레트로 변경 로그는 변경 로그에 대한 다음 작업을 수행할 때 지워집니다.

액세스 제어 및 레트로 변경 로그

레트로 변경 로그는 검색 작업을 지원하며, 다음과 같은 형식의 필터를 사용한 검색에 최적화되어 있습니다.

(&(changeNumber>=X)(changeNumber<=Y))

일반적으로 레트로 변경 로그 항목에서는 추가 또는 수정 작업을 수행하지 않습니다. 항목을 삭제하여 로그 크기를 줄일 수 있습니다. 기본 액세스 제어 정책을 수정하는 경우에만 레트로 변경 로그에 대한 수정 작업을 수행해야 합니다.

레트로 변경 로그가 만들어지고 기본적으로 다음 액세스 제어 규칙이 적용됩니다.

• 레트로 변경 로그 상위 항목인 cn=changelog에 대해 인증된 모든 사용자(userdn=all인 익명 액세스가 아닌 userdn=anyone)에게 읽기, 검색 및 비교 권한이 부여됩니다.

• 디렉토리 관리자에게 암묵적으로 부여되는 경우를 제외하고 쓰기 및 삭제 액세스 권한은 부여되지 않습니다.

  레트로 변경 로그 항목에는 비밀번호와 같은 중요한 정보의 수정 사항이 포함될 수 있으므로 익명 사용자에게 읽기 액세스 권한을 부여하지 마십시오. 인증된 사용자도 레트로 변경 로그 내용을 볼 수 없게 하려면 이 로그 내용에 대한 액세스를 추가로 제한할 수 있습니다.

레트로 변경 로그에 적용되는 기본 액세스 제어 정책을 수정하려면 cn=changelog 항목의 aci 속성을 수정합니다. 6 장, 디렉토리 서버 액세스 제어을 참조하십시오.