2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
DSCCで実行する作業のほとんどは、コマンドライン・ツールを使用して実行できます。これらのツールによって、コマンドラインから直接Directory Serverを管理し、スクリプトを使用してサーバーを管理できます。
主なディレクトリ・サーバーのコマンドは、dsadm、dsconfおよびdsutilです。これらのコマンドを使用して、バックアップ、LDIFへのエクスポート、証明書の管理、ユーザーやロールの管理などを行えます。これらのコマンドについては、dsadm(1M)、dsconf(1M)およびdsutil(1M)のマニュアル・ページを参照してください。
dsconf、dsmig、dsccmonおよびdsutilはLDAPベースのコマンドなので、認証を行うにはこれらのコマンドのユーザー・バインドDNとパスワードを指定する必要があります。一方、dpadmコマンドとdsadmコマンドはインスタンス・ファイルで動作します。
この項では、Directory Serverコマンドライン・ツールの次の情報について説明します。
Directory Serverコマンドライン・ツールは、デフォルト・インストール・ディレクトリにあります。
install-path/bin
インストール・ディレクトリは、オペレーティング・システムによって異なります。すべてのオペレーション・システムのインストール・パスは、「デフォルト・パスとコマンドの場所」にリストされています。
dsconfコマンドでは、いくつかのオプションが必要となりますが、それらは環境変数によってあらかじめ設定できます。コマンドを使用する際にオプションが指定されていない場合や、環境変数が設定されていない場合は、デフォルト設定が使用されます。次のオプションに対して環境変数を構成できます。
ユーザーのバインドDN。環境変数: LDAP_ADMIN_USER。デフォルト: cn=Directory Manager。
ユーザーのバインドDNのパスワード・ファイル。環境変数: LDAP_ADMIN_PWF。デフォルト: パスワード入力用のプロンプトを表示する。
ホスト名。環境変数: DIRSERV_HOST。デフォルト: local host。
LDAPポート番号。環境変数: DIRSERV_PORT。デフォルト: 389。
dsconfがデフォルトで開くクリア接続を指定します。環境変数: DIRSERV_UNSECURED。この変数が設定されていない場合、dsconfはデフォルトでセキュアな接続を開きます。
詳細は、dsconf(1M)のマニュアル・ページを参照してください。
次の表に、dsadmコマンドとdsconfコマンドの比較を示します。
表1-1 dsadmコマンドとdsconfコマンドの比較
|
dsadmコマンド、dsconfコマンドおよびdsutilコマンドの使用方法の詳細は、dsadm(1M)、dsconf(1M)およびdsutil(1M)のマニュアル・ページを参照してください。
サブコマンドのリストを取得するには、次の該当コマンドを入力します。
$ dsadm --help
$ dsconf --help
$ dsutil --help
サブコマンドの使用方法についての説明を表示するには、次の該当するコマンドを入力します。
$ dsadm subcommand --help
$ dsconf subcommand --help
$ dsutil subcommand --help
dsconfの様々なサブコマンドを使用して、ユーザーは構成プロパティを表示したり、変更したりできます。
Directory Serverで使用する構成プロパティをリストするには、次のように入力します。
$ dsconf help-properties
特定のプロパティを見つけるには、ヘルプ・プロパティの出力を検索します。
たとえば、UNIXプラットフォームを使用している場合は、リフェラルに関連するプロパティをすべて検索するには、次のコマンドを使用します。
$ dsconf help-properties | grep -i referral SER referral-url rw M LDAP_URL | undefined Referrals returned to clients requesting a DN not stored in this Directory Server (Default: undefined) SUF referral-mode rw disabled|enabled|only-on-write Specifies how referrals are used for requests involving the suffix (Default: disabled) SUF referral-url rw M LDAP_URL | undefined Server(s) to which updates are referred (Default: undefined) SUF repl-rewrite-referrals-enabled rw on|off Specifies whether automatic referrals are overwritten (Default: off)
プロパティは、接尾辞(SUF)やサーバー(SER)などターゲット・オブジェクトによってグループ化されることに注意してください。rwキーワードは、そのプロパティが読書き可能であることを示します。MMキーワードは、そのプロパティが複数の値を持つことを示します。
サーバー属性を表示するには、冗長モードを使用します。たとえば、UNIXシステムでは次のように入力します。
$ dsconf help-properties -v | grep -i referral-mode SUF referral-mode rw disabled|enabled|only-on-write nsslapd-state Specifies how referrals are used for requests involving the suffix (Default: disabled)
個々のプロパティの詳細は、各プロパティのマニュアル・ページを参照してください。マニュアル・ページは、Oracle Directory Server Enterprise Editionマニュアル・ページ・リファレンスにあります。
特定のDirectory Serverプロパティは複数の値を使用できます。これらの値を指定する構文は、次のとおりです。
$ dsconf set-container-prop -h host -p port container-name \ property:value1 property:value2
たとえば、サーバーに対して複数の暗号化方式を設定するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \ ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
すでに値が含まれている複数値プロパティに値を追加するには、次の構文を使用します。
$ dsconf set-container-prop -h host -p port container-name property+:value
すでに値が含まれている複数値プロパティから値を削除するには、次の構文を使用します。
$ dsconf set-container-prop -h host -p port container-name property-:value
たとえば、前述のシナリオで、暗号化方式のリストにSHA暗号化方式を追加するには、次のコマンドを実行します。
$ dsconf set-server-prop -h host1 -p 1389 \ ssl-cipher-family+:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
このリストからMD5暗号化方式を削除するには、次のコマンドを実行します。
$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family-:SSL_RSA_WITH_RC4_128_MD5
dsutilコマンドが正常に動作するには、次のACIを作成する必要があります。
$ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - -c dn: cn=config changetype: modify add: aci aci: (targetattr="*")(version 3.0; acl "Allow the Suffix Manager to browse the tree"; \ allow (read,search,compare)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="nsslapd-rootpw")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="userPassword")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="dsKeyedPassword")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";)
dsutilコマンドの詳細は、「dsutil(1M)」を参照してください。
マニュアル・ページには、Directory Serverで使用するコマンドと属性すべての説明が記載されています。さらに、マニュアル・ページにはデプロイメントでコマンドを使用する方法についての有用な例もいくつか記載されています。