2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
デフォルト以外のレプリケーション・マネージャを設定するには:
デフォルトのレプリケーション・マネージャのパスワードを変更するには:
レプリケートされた接尾辞をリモート(サプライヤ)から初期化するには:
大規模なレプリケートされた接尾辞に多数のエントリを追加するには:
SSL用クライアント認証ベースのレプリケーションを構成するには:
Directory Server 11gリリース1(11.1.1.5.0)より前のリリースでのレプリケーション
Directory Server 11gリリース1(11.1.1.5.0)とDirectory Server 6/5.2との間のレプリケート
コマンドラインの使用によるレプリケーション・ステータスの取得
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
レトロ変更ログは、Directory Serverのデータに対する変更の履歴を確認するため、LDAPクライアントで使用されるものです。レトロ変更ログは接尾辞cn=changelogの下に、Directory Serverの変更ログとは別のデータベースに格納されます。
レトロ変更ログは、スタンドアロン・サーバーまたはレプリケーション・トポロジ内の各サーバーで有効にできます。サーバーでレトロ変更ログが有効になっている場合、デフォルトではそのサーバー上のすべての接尾辞に対する更新がログに記録されます。レトロ変更ログは、指定した接尾辞に対する更新のみを記録するように構成することもできます。
レプリケートされるトポロジでレトロ変更ログを使用する方法、およびレトロ変更ログの使用上の制限事項については、Oracle Directory Server Enterprise Editionリファレンスのレプリケーションとレトロ変更ログ・プラグインに関する項を参照してください。
レトロ変更ログのエントリの属性については、changeLogEntry(5dsoc)のマニュアル・ページを参照してください。
レトロ変更ログの変更の詳細は、dsconf(1M)のマニュアル・ページを参照してください。
この項では、レトロ変更ログの様々な使用方法について説明します。
レトロ変更ログを使用にするには、これを有効にする必要があります。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
$ dsconf set-server-prop -h host -p port retro-cl-enabled:on
詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。
サーバーでレトロ変更ログが有効になっている場合、デフォルトではサーバー上のすべての接尾辞に対する更新が記録されます。この手順では、指定した接尾辞の更新のみを記録するよう、レトロ変更ログを構成する方法について説明します。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
$ dsconf set-server-prop -h host -p port retro-cl-suffix-dn:suffix-DN
たとえば、cn=Contractors,dc=example,dc=com接尾辞とou=People,dc=example,dc=com接尾辞の変更のみを記録するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host2 -p 1389 \ retro-cl-suffix-dn:"cn=Contractors,dc=example,dc=com" \ retro-cl-suffix-dn:"ou=People,dc=example,dc=com"
指定した接尾辞の既存のリストに接尾辞を追加するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host -p port retro-cl-suffix-dn+:suffix-DN
詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。
この手順では、エントリが削除されたときにそのエントリの指定された属性を記録するようにレトロ変更ログを構成する方法について説明します。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
$ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr: \ attribute1 attribute2
たとえば、削除されたエントリのUID属性を記録するようにレトロ変更ログを設定するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr:uid
指定された属性の既存のリストに属性を追加するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr+:attribute
詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。
レトロ変更ログのエントリは、指定した期間の経過後に自動的に削除できます。エントリを自動的に削除するまでの期間を構成するには、レトロ変更ログが有効であることを確認してから、cn=Retro Changelog Plugin, cn=plugins, cn=configエントリにnsslapd-changelogmaxage構成属性を設定します。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
$ dsconf get-server-prop -h host -p port retro-cl-enabled
$ dsconf set-server-prop -h host -p port retro-cl-enabled:on
$ dsconf set-server-prop -h host -p port retro-cl-max-age:duration
durationは、undefined(経過時間無制限)または次のいずれかにできます。
s(秒)
m(分)
h(時間)
d(日)
w(週)
たとえば、レトロ変更ログの最大経過時間を2日に設定するには、次を入力します。
$ dsconf set-server-prop -h host 2 -p 1389 retro-cl-max-age:2d
この期間を過ぎたエントリは、5分ごとに変更ログから削除されます。
レトロ変更ログでは、検索操作をサポートしています。これは、次の形式のフィルタを含む検索用に最適化されています。
(&(changeNumber>=X)(changeNumber<=Y))
原則として、レトロ変更ログのエントリでの追加および変更操作は行わないでください。ログ・サイズを縮小するには、エントリを削除できます。レトロ変更ログでの変更操作の実行が必要になるのは、デフォルトのアクセス制御ポリシーを変更する場合のみです。
レトロ変更ログが作成されると、デフォルトで次のアクセス制御ルールが適用されます。
読取り、検索および比較の権限はディレクトリ・マネージャに付与されます。
書込みおよび削除アクセスは認められません。ただし、ディレクトリ・マネージャには暗黙的に認められます。
レトロ変更ログのエントリにはパスワードなどの機密情報が含まれる場合があるので、匿名のユーザーには読取りアクセス権を付与しないでください。認証されたユーザーにもログ内容の閲覧を許可しない場合、レトロ変更ログの内容へのアクセス制限を強化することもできます。
レトロ変更ログに適用されるデフォルトのアクセス制御ポリシーを変更するには、cn=changelogエントリのaci属性を変更します。第6章「Directory Serverのアクセス制御」を参照してください。