2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
Directory Proxy Serverインスタンスの操作
Directory Proxy Serverインスタンスを作成するには:
Directory Proxy Serverインスタンスのステータスを検索するには:
Directory Proxy Serverを起動および停止するには:
Directory Proxy Serverインスタンスを再起動する必要があるかどうかを確認するには:
Directory Proxy Serverを再起動するには:
Directory Proxy Serverインスタンスを削除するには:
Directory Proxy Serverインスタンスの構成
Directory Proxy Serverインスタンスの構成を表示するには:
Directory Proxy Serverインスタンスのバックアップおよびリストア
Directory Proxy Serverインスタンスをバックアップするには:
Directory Proxy Serverインスタンスをリストアするには:
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
この項では、Directory Proxy Serverインスタンスの構成方法について説明します。この項の手順では、dpadmおよびdpconfコマンドを使用します。これらのコマンドの詳細は、dsadm(1M)およびdpconf(1M)のマニュアル・ページを参照してください。
$ dpconf info -p port Instance Path : instance path Host Name : host Secure listen address : IP address Port : port Secure port : secure port SSL server certificate : defaultServerCert Directory Proxy Server needs to be restarted.
dpconf infoでは、Secure listen addressとNon-secure listen addressは、これらのプロパティがデフォルト以外の値に設定されている場合のみ、表示されます。この出力では、Non-secure listen addressは、プロパティがデフォルト値に設定されているので表示されません。
また、必要な場合、dpconf infoはインスタンスを再起動するようユーザーに促します。
dpadm info INSTANCE_PATHを使用しても、Directory Proxy Serverインスタンスの構成情報を表示できます。
この項では、Directory Proxy Serverの構成の変更方法について説明します。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-server-prop -h host -p port
allow-cert-based-auth : allow allow-ldapv2-clients : true allow-persistent-searches : false allow-sasl-external-authentication : true allow-unauthenticated-operations : true allow-unauthenticated-operations-mode : anonymous-and-dn-identified allowed-ldap-controls : - cert-data-view-routing-custom-list : none cert-data-view-routing-policy : all-routable cert-search-attr-mappings : none cert-search-base-dn : none cert-search-bind-dn : none cert-search-bind-pwd : none cert-search-user-attr : userCertificate compat-flag : none configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}RPdIFbvoWdvhLR8lU43zCMZyKFGPxfFg connection-pool-wait-timeout : 3s data-source-read-timeout : 20s data-view-automatic-routing-mode : automatic email-alerts-enabled : false email-alerts-message-from-address : local email-alerts-message-subject : Proxy Server Administrative Alert email-alerts-message-subject-includes -alert-code : true email-alerts-message-to-address : root@localhost email-alerts-smtp-host : localhost email-alerts-smtp-port : smtp enable-remote-user-mapping : false enable-user-mapping : false enabled-admin-alerts : all enabled-ssl-cipher-suites : JRE enabled-ssl-protocols : SSLv3 enabled-ssl-protocols : TLSv1 encrypt-configuration : true extension-jar-file-url : none is-restart-required : false number-of-psearch-threads : 5 number-of-search-threads : 20 number-of-worker-threads : 100 proxied-auth-check-timeout : 30m remote-user-mapping-bind-dn-attr : none revert-add-on-failure : true scriptable-alerts-command : echo scriptable-alerts-enabled : false search-mode : sequential search-wait-timeout : 10s ssl-client-cert-alias : none ssl-server-cert-alias : defaultServerCert supported-ssl-cipher-suites : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_DHE_DSS_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DHE_RSA_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DH_anon_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_RSA_WITH_AES_128_CBC_SHA supported-ssl-protocols : SSLv2Hello supported-ssl-protocols : SSLv3 supported-ssl-protocols : TLSv1 syslog-alerts-enabled : false syslog-alerts-facility : USER syslog-alerts-host : localhost time-resolution : 250ms time-resolution-mode : custome-resolution use-cert-subject-as-bind-dn : true use-external-schema : false user-mapping-anonymous-bind-dn : none user-mapping-anonymous-bind-pwd : none user-mapping-default-bind-dn : none user-mapping-default-bind-pwd : none verify-certs : false
$ dpconf get-server-prop -h host -p port property-name ...
たとえば、未認証の操作が許可されているかどうかを調べるには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true
$ dpconf set-server-prop -h host -p port property:value ...
たとえば、未認証の操作を許可しないようにするには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
不正な変更を試みても、その変更は行われません。たとえば、allow-unauthenticated-operationsパラメータをfalseではなくfに設定した場合、次のエラーが生成されます。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed.
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
プロキシ・マネージャとは、権限を持つ管理者のことであり、UNIXシステムでのrootユーザーに相当します。プロキシ・マネージャのエントリは、Directory Proxy Serverのインスタンスの作成時に定義されます。プロキシ・マネージャのデフォルトのDNはcn=Proxy Managerです。
プロキシ・マネージャのDNおよびパスワードは、次の手順に示すように表示および変更できます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn\ configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n
プロキシ・マネージャのデフォルト値はcn=proxy managerです。構成マネージャのパスワードに対するハッシュ値が返されます。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename
Directory Proxy Serverとそのエンティティに対する構成変更のほとんどをオンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのいずれかのプロパティに対して構成を変更する場合は、サーバーの再起動が必要になります。
custom-distribution-algorithm distribution-algorithm db-name db-url db-user custom-distribution-algorithm distribution-algorithm custom-distribution-algorithm distribution-algorithm bind-dn client-cred-mode ldap-address ldap-port ldaps-port num-bind-init num-read-init num-write-init ssl-policy load-balancing-algorithm custom-distribution-algorithm distribution-algorithm listen-address listen-port number-of-threads listen-address listen-port number-of-threads custom-distribution-algorithm distribution-algorithm compat-flag number-of-search-threads number-of-worker-threads syslog-alerts-enabled syslog-alerts-host time-resolution use-external-schema aci-data-view
プロパティのrwsおよび rwdキーワードは、プロパティを変更した場合にサーバーを再起動する必要があるかどうかを示します。
プロパティにrws(読取り、書込み、静的)キーワードが含まれている場合は、プロパティを変更したときにサーバーを再起動する必要があります。
プロパティにrwd(読取り、書込み、動的)キーワードが含まれている場合、プロパティに対する変更は、サーバーを再起動しなくても、動的に実装されます。
プロパティに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep property-name
たとえば、LDAPデータソースのバインドDNの変更にサーバーの再起動が必要となるかを判断するには、次のコマンドを実行します。
$ dpconf help-properties | grep bind-dn connection-handler bind-dn-filters rwd STRING | any This property specifies a set of regular expressions. The bind DN of a client must match at least one regular expression in order for the connection to be accepted by the connection handler. (Default: any) ldap-data-source bind-dn rws DN | "" This property specifies the DN to use when binding to the LDAP data source. (Default: undefined)
構成変更の後でサーバーを再起動する必要があるかどうかを判断するには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port is-restart-required