2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成および構成
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの例
接続ベースのルーターとしてのDirectory Proxy Serverの構成
接続ベースのルーターとしてDirectory Proxy Serverを構成するには:
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
接続ハンドラを作成、構成および削除する方法と、データ・ビューのアフィニティを構成する方法の詳細は、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-connection-handler -h host -p port connection-handler-name
$ dpconf list-connection-handlers -h host -p port
始める前に
接続ハンドラのプロパティは、Directory Proxy Serverのインスタンス用に定義された他の接続ハンドラのプロパティに関連して定義する必要があります。すべての接続ハンドラのプロパティを考慮し、これらが異なる基準セットを指定し、正しく優先順位付けされるようにします。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf list-connection-handlers -h host -p port -v Name is-enabled priority description --------------------------------- ---------- -------- --------------------------- anonymous false 99 unauthenticated connections default connection handler true 100 default connection handler directory services administrators true 1 Administrators connection handler
Directory Proxy Serverのインスタンスを作成すると、接続ハンドラanonymousおよびdefault connection handlerが作成されます。
$ dpconf get-connection-handler-prop -h host -p port connection-handler-name
新しい接続ハンドラのデフォルトのプロパティは、次のとおりです。
aci-source : none allowed-auth-methods : anonymous allowed-auth-methods : sasl allowed-auth-methods : simple allowed-ldap-ports : ldap allowed-ldap-ports : ldaps bind-dn-filters : any close-client-connection : false data-view-routing-custom-list : none data-view-routing-policy : all-routable data-view-use-internal-client-identity : false description : - domain-name-filters : any enable-data-view-affinity : false group-dn-filters : any group-search-bind-dn : any group-search-bind-pwd : none ip-address-filters : any is-enabled : false is-ssl-mandatory : false priority : 99 request-filtering-policy : no-filtering require-data-view-availability : true resource-limits-policy : no-limits schema-check-enabled : false user-filter : any
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ priority:value
優先順位は、1から100の任意の数値で、1が最も高い優先順位です。Directory Proxy Serverのインスタンスに対して、接続ハンドラが優先順位の順序で評価されます。
注意: 接続ハンドラの優先順位を100に設定することはできません。100は、デフォルトの接続ハンドラの優先順位としてすでに設定されています。
このプロパティを使用すると、バインドDNの一部または全部に基づいてアクセスを制御できます。プロパティの値は、正規表現です。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ bind-dn-filters:regular-expression
バインドDNフィルタの形式は、Java正規表現です。Java正規表現の作成の詳細は、http://download.oracle.com/javase/1.4.2/docs/api/java/util/regex/Pattern.htmlを参照してください。
たとえば、すべてのバインドをou=people,dc=example,dc=comのユーザーからsecure-handlerという接続ハンドラに送信するには、bind-dn-filtersプロパティを次のように設定します。
$ dpconf set-connection-handler-prop -h host1 -p 1389 secure-handler \ bind-dn-filters:"uid=.*,ou=people,dc=example,dc=com"
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ request-filtering-policy:policy-name
ここで、policy-nameは、既存のリクエスト・フィルタリング・ポリシーの名前です。リクエスト・フィルタリング・ポリシーの作成および構成の方法の詳細は、「リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成および構成」を参照してください。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ resource-limits-policy:policy-name
ここで、policy-nameは、既存のリソース制限ポリシーの名前です。リソース制限ポリシーの作成および構成の方法の詳細は、「リソース制限ポリシーの作成および構成」を参照してください。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ property:value [property:value ...]
たとえば、SSL接続のみを受け入れるように接続ハンドラを構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ is-ssl-mandatory:true
プロパティの説明およびその有効値のリストについては、次のコマンドを実行します。
$ dpconf help-properties connection-handler
接続ハンドラを選択するための基準を指定するように、group-dn-filters、group-search-bind-dn、group-search-bind-pwdおよびgroup-search-bind-pwd-fileを構成します。詳細は、個々のマニュアル・ページを参照してください。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ is-enabled:true
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf list-connection-handlers -h host -p port
$ dpconf delete-connection-handler -h host -p port connection-handler-name\ [connection-handler-name ... ]
接続が接続ハンドラに割り当てられている場合、アフィニティを使用して、その接続のリクエストを、その接続ハンドラ用に構成されたデータ・ビューのリストまたは構成されたデータ・ビューすべてに対して公開できます。したがって、その接続の後続のリクエストは、最初のリクエストに使用されたデータ・ビューに対して排他的に公開されます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ enable-data-view-affinity:true
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ data-view-routing-policy:custom
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list:view-name [data-view-routing-custom-list:view-name ...]
データ・ビューを既存のデータ・ビューのリストに追加するには、次のコマンドを使用します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list+:view-name
データ・ビューを既存のデータ・ビューのリストから削除するには、次のコマンドを使用します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list-:view-name