Directory Serverのコマンドライン・ツール

DSCCで実行する作業のほとんどは、コマンドライン・ツールを使用して実行できます。これらのツールによって、コマンドラインから直接Directory Serverを管理し、スクリプトを使用してサーバーを管理できます。

主なディレクトリ・サーバーのコマンドは、dsadm、dsconfおよびdsutilです。これらのコマンドを使用して、バックアップ、LDIFへのエクスポート、証明書の管理、ユーザーやロールの管理などを行えます。これらのコマンドについては、dsadm(1M)、dsconf(1M)およびdsutil(1M)のマニュアル・ページを参照してください。

dsconf、dsmig、dsccmonおよびdsutilはLDAPベースのコマンドなので、認証を行うにはこれらのコマンドのユーザー・バインドDNとパスワードを指定する必要があります。一方、dpadmコマンドとdsadmコマンドはインスタンス・ファイルで動作します。

この項では、Directory Serverコマンドライン・ツールの次の情報について説明します。

• Directory Serverコマンドの場所

• dsconfの環境変数の設定

• dsadmとdsconfの比較

• dsadm、dsconfおよびdsutilを使用するためのヘルプの表示

• dsconfを使用した構成プロパティの変更

• dsconfによる複数値プロパティの設定

• dsutilコマンドの操作

• マニュアル・ページ

Directory Serverコマンドの場所

Directory Serverコマンドライン・ツールは、デフォルト・インストール・ディレクトリにあります。

install-path/bin

インストール・ディレクトリは、オペレーティング・システムによって異なります。すべてのオペレーション・システムのインストール・パスは、「デフォルト・パスとコマンドの場所」にリストされています。

dsconfの環境変数の設定

dsconfコマンドでは、いくつかのオプションが必要となりますが、それらは環境変数によってあらかじめ設定できます。コマンドを使用する際にオプションが指定されていない場合や、環境変数が設定されていない場合は、デフォルト設定が使用されます。次のオプションに対して環境変数を構成できます。

-D user DN

ユーザーのバインドDN。環境変数: LDAP_ADMIN_USER。デフォルト: cn=Directory Manager。

-w password-file

ユーザーのバインドDNのパスワード・ファイル。環境変数: LDAP_ADMIN_PWF。デフォルト: パスワード入力用のプロンプトを表示する。

-h host

ホスト名。環境変数: DIRSERV_HOST。デフォルト: local host。

-p LDAP-port

LDAPポート番号。環境変数: DIRSERV_PORT。デフォルト: 389。

-e, --unsecured

dsconfがデフォルトで開くクリア接続を指定します。環境変数: DIRSERV_UNSECURED。この変数が設定されていない場合、dsconfはデフォルトでセキュアな接続を開きます。

詳細は、dsconf(1M)のマニュアル・ページを参照してください。

dsadmとdsconfの比較

次の表に、dsadmコマンドとdsconfコマンドの比較を示します。

表1-1 dsadmコマンドとdsconfコマンドの比較

dsadm、dsconfおよびdsutilを使用するためのヘルプの表示

dsadmコマンド、dsconfコマンドおよびdsutilコマンドの使用方法の詳細は、dsadm(1M)、dsconf(1M)およびdsutil(1M)のマニュアル・ページを参照してください。

• サブコマンドのリストを取得するには、次の該当コマンドを入力します。

  $ dsadm --help

  $ dsconf --help

  $ dsutil --help

• サブコマンドの使用方法についての説明を表示するには、次の該当するコマンドを入力します。

  $ dsadm subcommand --help

  $ dsconf subcommand --help

  $ dsutil subcommand --help

dsconfを使用した構成プロパティの変更

dsconfの様々なサブコマンドを使用して、ユーザーは構成プロパティを表示したり、変更したりできます。

• Directory Serverで使用する構成プロパティをリストするには、次のように入力します。

  $ dsconf help-properties

• 特定のプロパティを見つけるには、ヘルプ・プロパティの出力を検索します。

  たとえば、UNIXプラットフォームを使用している場合は、リフェラルに関連するプロパティをすべて検索するには、次のコマンドを使用します。

  $ dsconf help-properties | grep -i referral
  SER  referral-url                       rw  M  LDAP_URL | undefined
       Referrals returned to clients requesting a DN not stored in this 
       Directory Server (Default: undefined)
  SUF  referral-mode                      rw     disabled|enabled|only-on-write
       Specifies how referrals are used for requests involving the suffix 
       (Default: disabled)
  SUF  referral-url                       rw  M  LDAP_URL | undefined
       Server(s) to which updates are referred (Default: undefined)
  SUF  repl-rewrite-referrals-enabled     rw     on|off                 
       Specifies whether automatic referrals are overwritten (Default: off)

  プロパティは、接尾辞(SUF)やサーバー(SER)などターゲット・オブジェクトによってグループ化されることに注意してください。rwキーワードは、そのプロパティが読書き可能であることを示します。MMキーワードは、そのプロパティが複数の値を持つことを示します。

• サーバー属性を表示するには、冗長モードを使用します。たとえば、UNIXシステムでは次のように入力します。

  $ dsconf help-properties -v | grep -i referral-mode
  SUF  referral-mode    rw  disabled|enabled|only-on-write  nsslapd-state
    Specifies how referrals are used for requests involving the suffix
    (Default: disabled)

個々のプロパティの詳細は、各プロパティのマニュアル・ページを参照してください。マニュアル・ページは、Oracle Directory Server Enterprise Editionマニュアル・ページ・リファレンスにあります。

dsconfによる複数値プロパティの設定

特定のDirectory Serverプロパティは複数の値を使用できます。これらの値を指定する構文は、次のとおりです。

$ dsconf set-container-prop -h host -p port container-name \
 property:value1 property:value2

たとえば、サーバーに対して複数の暗号化方式を設定するには、次のコマンドを使用します。

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

すでに値が含まれている複数値プロパティに値を追加するには、次の構文を使用します。

$ dsconf set-container-prop -h host -p port container-name property+:value

すでに値が含まれている複数値プロパティから値を削除するには、次の構文を使用します。

$ dsconf set-container-prop -h host -p port container-name property-:value

たとえば、前述のシナリオで、暗号化方式のリストにSHA暗号化方式を追加するには、次のコマンドを実行します。

$ dsconf set-server-prop -h host1 -p 1389 \
 ssl-cipher-family+:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

このリストからMD5暗号化方式を削除するには、次のコマンドを実行します。

$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family-:SSL_RSA_WITH_RC4_128_MD5

dsutilコマンドの処理

dsutilコマンドが正常に動作するには、次のACIを作成する必要があります。

$ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - -c 
dn: cn=config
changetype: modify
add: aci
aci: (targetattr="*")(version 3.0; acl "Allow the Suffix Manager to browse the tree"; \
allow (read,search,compare)userdn = "ldap:///$USERSFXADMIN";)
aci: (targetattr="nsslapd-rootpw")\
(version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \
deny (all)userdn = "ldap:///$USERSFXADMIN";)
aci: (targetattr="userPassword")\
(version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \
deny (all)userdn = "ldap:///$USERSFXADMIN";)
aci: (targetattr="dsKeyedPassword")\
(version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \
deny (all)userdn = "ldap:///$USERSFXADMIN";)

dsutilコマンドの詳細は、「dsutil(1M)」を参照してください。

マニュアル・ページ

マニュアル・ページには、Directory Serverで使用するコマンドと属性すべての説明が記載されています。さらに、マニュアル・ページにはデプロイメントでコマンドを使用する方法についての有用な例もいくつか記載されています。