レトロ変更ログの使用

レトロ変更ログは、Directory Serverのデータに対する変更の履歴を確認するため、LDAPクライアントで使用されるものです。レトロ変更ログは接尾辞cn=changelogの下に、Directory Serverの変更ログとは別のデータベースに格納されます。

レトロ変更ログは、スタンドアロン・サーバーまたはレプリケーション・トポロジ内の各サーバーで有効にできます。サーバーでレトロ変更ログが有効になっている場合、デフォルトではそのサーバー上のすべての接尾辞に対する更新がログに記録されます。レトロ変更ログは、指定した接尾辞に対する更新のみを記録するように構成することもできます。

レプリケートされるトポロジでレトロ変更ログを使用する方法、およびレトロ変更ログの使用上の制限事項については、Oracle Directory Server Enterprise Editionリファレンスのレプリケーションとレトロ変更ログ・プラグインに関する項を参照してください。

レトロ変更ログのエントリの属性については、changeLogEntry(5dsoc)のマニュアル・ページを参照してください。

レトロ変更ログの変更の詳細は、dsconf(1M)のマニュアル・ページを参照してください。

この項では、レトロ変更ログの様々な使用方法について説明します。

レトロ変更ログを有効にするには:

レトロ変更ログを使用にするには、これを有効にする必要があります。

このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。

1. レトロ変更ログの構成エントリを変更します。

   $ dsconf set-server-prop -h host -p port retro-cl-enabled:on

2. サーバーを再起動します。

   詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。

指定された接尾辞の更新を記録するようレトロ変更ログを構成するには:

サーバーでレトロ変更ログが有効になっている場合、デフォルトではサーバー上のすべての接尾辞に対する更新が記録されます。この手順では、指定した接尾辞の更新のみを記録するよう、レトロ変更ログを構成する方法について説明します。

このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。

1. レトロ変更ログの構成エントリを変更します。

   $ dsconf set-server-prop -h host -p port retro-cl-suffix-dn:suffix-DN

   たとえば、cn=Contractors,dc=example,dc=com接尾辞とou=People,dc=example,dc=com接尾辞の変更のみを記録するには、次のコマンドを使用します。

   $ dsconf set-server-prop -h host2 -p 1389 \
    retro-cl-suffix-dn:"cn=Contractors,dc=example,dc=com" \
    retro-cl-suffix-dn:"ou=People,dc=example,dc=com"

   指定した接尾辞の既存のリストに接尾辞を追加するには、次のコマンドを使用します。

   $ dsconf set-server-prop -h host -p port retro-cl-suffix-dn+:suffix-DN

2. サーバーを再起動します。

   詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。

削除されたエントリの属性を記録するようレトロ変更ログを構成するには:

この手順では、エントリが削除されたときにそのエントリの指定された属性を記録するようにレトロ変更ログを構成する方法について説明します。

このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。

1. 記録する必要がある属性を指定します。

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr: \
    attribute1 attribute2

   たとえば、削除されたエントリのUID属性を記録するようにレトロ変更ログを設定するには、次のコマンドを使用します。

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr:uid

   指定された属性の既存のリストに属性を追加するには、次のコマンドを使用します。

   $ dsconf set-server-prop -h host -p port retro-cl-deleted-entry-attr+:attribute

2. サーバーを再起動します。

   詳細は、「Directory Serverインスタンスの起動、停止および再起動」を参照してください。

レトロ変更ログを削除するには:

レトロ変更ログのエントリは、指定した期間の経過後に自動的に削除できます。エントリを自動的に削除するまでの期間を構成するには、レトロ変更ログが有効であることを確認してから、cn=Retro Changelog Plugin, cn=plugins, cn=configエントリにnsslapd-changelogmaxage構成属性を設定します。

このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。

1. レトロ変更ログが有効であることを確認します。

   $ dsconf get-server-prop -h host -p port retro-cl-enabled

2. レトロ変更ログが有効でない場合は、それを有効にします。

   $ dsconf set-server-prop -h host -p port retro-cl-enabled:on

3. ロギングする変更の最大経過時間を設定します。

   $ dsconf set-server-prop -h host -p port retro-cl-max-age:duration

   durationは、undefined(経過時間無制限)または次のいずれかにできます。

   • s(秒)

   • m(分)

   • h(時間)

   • d(日)

   • w(週)

   たとえば、レトロ変更ログの最大経過時間を2日に設定するには、次を入力します。

   $ dsconf set-server-prop -h host 2 -p 1389 retro-cl-max-age:2d

   この期間を過ぎたエントリは、5分ごとに変更ログから削除されます。

アクセス制御およびレトロ変更ログ

レトロ変更ログでは、検索操作をサポートしています。これは、次の形式のフィルタを含む検索用に最適化されています。

(&(changeNumber>=X)(changeNumber<=Y))

原則として、レトロ変更ログのエントリでの追加および変更操作は行わないでください。ログ・サイズを縮小するには、エントリを削除できます。レトロ変更ログでの変更操作の実行が必要になるのは、デフォルトのアクセス制御ポリシーを変更する場合のみです。

レトロ変更ログが作成されると、デフォルトで次のアクセス制御ルールが適用されます。

• 読取り、検索および比較の権限はディレクトリ・マネージャに付与されます。

• 書込みおよび削除アクセスは認められません。ただし、ディレクトリ・マネージャには暗黙的に認められます。

  レトロ変更ログのエントリにはパスワードなどの機密情報が含まれる場合があるので、匿名のユーザーには読取りアクセス権を付与しないでください。認証されたユーザーにもログ内容の閲覧を許可しない場合、レトロ変更ログの内容へのアクセス制限を強化することもできます。

レトロ変更ログに適用されるデフォルトのアクセス制御ポリシーを変更するには、cn=changelogエントリのaci属性を変更します。第6章「Directory Serverのアクセス制御」を参照してください。