Directory Proxy Serverインスタンスの構成

この項では、Directory Proxy Serverインスタンスの構成方法について説明します。この項の手順では、dpadmおよびdpconfコマンドを使用します。これらのコマンドの詳細は、dsadm(1M)およびdpconf(1M)のマニュアル・ページを参照してください。

Directory Proxy Serverインスタンスの構成を表示するには:

dpconf infoを入力します。
```
$ dpconf info -p port
Instance Path           :  instance path
Host Name               :  host
Secure listen address   :  IP address
Port                    :  port
Secure port             :  secure port
SSL server certificate  :  defaultServerCert

Directory Proxy Server needs to be restarted.
```
dpconf infoでは、Secure listen addressとNon-secure listen addressは、これらのプロパティがデフォルト以外の値に設定されている場合のみ、表示されます。この出力では、Non-secure listen addressは、プロパティがデフォルト値に設定されているので表示されません。
また、必要な場合、dpconf infoはインスタンスを再起動するようユーザーに促します。
dpadm info INSTANCE_PATHを使用しても、Directory Proxy Serverインスタンスの構成情報を表示できます。

Directory Proxy Serverの構成を変更するには:

この項では、Directory Proxy Serverの構成の変更方法について説明します。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

Directory Proxy Serverの現在の構成を調べます。

$ dpconf get-server-prop -h host -p port

allow-cert-based-auth                      : allow
allow-ldapv2-clients                       : true
allow-persistent-searches                  : false
allow-sasl-external-authentication         : true
allow-unauthenticated-operations           : true
allow-unauthenticated-operations-mode      : anonymous-and-dn-identified
allowed-ldap-controls                      : -
cert-data-view-routing-custom-list         : none
cert-data-view-routing-policy              : all-routable
cert-search-attr-mappings                  : none
cert-search-base-dn                        : none
cert-search-bind-dn                        : none
cert-search-bind-pwd                       : none
cert-search-user-attr                      : userCertificate
compat-flag                                : none
configuration-manager-bind-dn              : cn=proxy manager
configuration-manager-bind-pwd             : {3DES}RPdIFbvoWdvhLR8lU43zCMZyKFGPxfFg
connection-pool-wait-timeout               : 3s
data-source-read-timeout                   : 20s
data-view-automatic-routing-mode           : automatic
email-alerts-enabled                       : false
email-alerts-message-from-address          : local
email-alerts-message-subject               : Proxy Server Administrative Alert
email-alerts-message-subject-includes
  -alert-code                              : true
email-alerts-message-to-address            : root@localhost
email-alerts-smtp-host                     : localhost
email-alerts-smtp-port                     : smtp
enable-remote-user-mapping                 : false
enable-user-mapping                        : false
enabled-admin-alerts                       : all
enabled-ssl-cipher-suites                  : JRE
enabled-ssl-protocols                      : SSLv3
enabled-ssl-protocols                      : TLSv1
encrypt-configuration                      : true
extension-jar-file-url                     : none
is-restart-required                        : false
number-of-psearch-threads                  : 5
number-of-search-threads                   : 20
number-of-worker-threads                   : 100
proxied-auth-check-timeout                 : 30m
remote-user-mapping-bind-dn-attr           : none
revert-add-on-failure                      : true
scriptable-alerts-command                  : echo
scriptable-alerts-enabled                  : false
search-mode                                : sequential
search-wait-timeout                        : 10s
ssl-client-cert-alias                      : none
ssl-server-cert-alias                      : defaultServerCert
supported-ssl-cipher-suites                : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
supported-ssl-cipher-suites                : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
supported-ssl-cipher-suites                : SSL_DHE_DSS_WITH_DES_CBC_SHA
supported-ssl-cipher-suites                : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
supported-ssl-cipher-suites                : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
supported-ssl-cipher-suites                : SSL_DHE_RSA_WITH_DES_CBC_SHA
supported-ssl-cipher-suites                : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
supported-ssl-cipher-suites                : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
supported-ssl-cipher-suites                : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
supported-ssl-cipher-suites                : SSL_DH_anon_WITH_DES_CBC_SHA
supported-ssl-cipher-suites                : SSL_DH_anon_WITH_RC4_128_MD5
supported-ssl-cipher-suites                : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
supported-ssl-cipher-suites                : SSL_RSA_EXPORT_WITH_RC4_40_MD5
supported-ssl-cipher-suites                : SSL_RSA_WITH_3DES_EDE_CBC_SHA
supported-ssl-cipher-suites                : SSL_RSA_WITH_DES_CBC_SHA
supported-ssl-cipher-suites                : SSL_RSA_WITH_NULL_MD5
supported-ssl-cipher-suites                : SSL_RSA_WITH_NULL_SHA
supported-ssl-cipher-suites                : SSL_RSA_WITH_RC4_128_MD5
supported-ssl-cipher-suites                : SSL_RSA_WITH_RC4_128_SHA
supported-ssl-cipher-suites                : TLS_DHE_DSS_WITH_AES_128_CBC_SHA
supported-ssl-cipher-suites                : TLS_DHE_RSA_WITH_AES_128_CBC_SHA
supported-ssl-cipher-suites                : TLS_DH_anon_WITH_AES_128_CBC_SHA
supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5
supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA
supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_RC4_40_MD5
supported-ssl-cipher-suites                : TLS_KRB5_EXPORT_WITH_RC4_40_SHA
supported-ssl-cipher-suites                : TLS_KRB5_WITH_3DES_EDE_CBC_MD5
supported-ssl-cipher-suites                : TLS_KRB5_WITH_3DES_EDE_CBC_SHA
supported-ssl-cipher-suites                : TLS_KRB5_WITH_DES_CBC_MD5
supported-ssl-cipher-suites                : TLS_KRB5_WITH_DES_CBC_SHA
supported-ssl-cipher-suites                : TLS_KRB5_WITH_RC4_128_MD5
supported-ssl-cipher-suites                : TLS_KRB5_WITH_RC4_128_SHA
supported-ssl-cipher-suites                : TLS_RSA_WITH_AES_128_CBC_SHA
supported-ssl-protocols                    : SSLv2Hello
supported-ssl-protocols                    : SSLv3
supported-ssl-protocols                    : TLSv1
syslog-alerts-enabled                      : false
syslog-alerts-facility                     : USER
syslog-alerts-host                         : localhost
time-resolution                            : 250ms
time-resolution-mode                       : custome-resolution
use-cert-subject-as-bind-dn                : true
use-external-schema                        : false
user-mapping-anonymous-bind-dn             : none
user-mapping-anonymous-bind-pwd            : none
user-mapping-default-bind-dn               : none
user-mapping-default-bind-pwd              : none
verify-certs                               : false

または、1つ以上の構成プロパティの現在の設定を確認します。

$ dpconf get-server-prop -h host -p port property-name ...

たとえば、未認証の操作が許可されているかどうかを調べるには、次のコマンドを実行します。

$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations
allow-unauthenticated-operations  :  true

1つ以上の構成パラメータを変更します。

$ dpconf set-server-prop -h host -p port property:value ...

たとえば、未認証の操作を許可しないようにするには、次のコマンドを実行します。

$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false

不正な変更を試みても、その変更は行われません。たとえば、allow-unauthenticated-operationsパラメータをfalseではなくfに設定した場合、次のエラーが生成されます。

$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f
The value "f" is not a valid value for the property "allow-unauthenticated-operations".
Allowed property values: BOOLEAN
The "set-server-prop" operation failed.

必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。

プロキシ・マネージャの構成

プロキシ・マネージャとは、権限を持つ管理者のことであり、UNIXシステムでのrootユーザーに相当します。プロキシ・マネージャのエントリは、Directory Proxy Serverのインスタンスの作成時に定義されます。プロキシ・マネージャのデフォルトのDNはcn=Proxy Managerです。

プロキシ・マネージャのDNおよびパスワードは、次の手順に示すように表示および変更できます。

プロキシ・マネージャを構成するには:

プロキシ・マネージャの構成を検索するには:

$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn\
 configuration-manager-bind-pwd


configuration-manager-bind-dn   :  cn=proxy manager
configuration-manager-bind-pwd  :  {3DES}U77v39WX8MDpcWVrueetB0lfJlBc6/5n

プロキシ・マネージャのデフォルト値はcn=proxy managerです。構成マネージャのパスワードに対するハッシュ値が返されます。

プロキシ・マネージャのDNを変更します。

$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN

プロキシ・マネージャに対するパスワードを含むファイルを作成して、このファイルを指すプロパティを設定します。
```
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename
```

サーバーの再起動を必要とする構成変更

Directory Proxy Serverとそのエンティティに対する構成変更のほとんどをオンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのいずれかのプロパティに対して構成を変更する場合は、サーバーの再起動が必要になります。

custom-distribution-algorithm
distribution-algorithm
db-name
db-url
db-user
custom-distribution-algorithm
distribution-algorithm
custom-distribution-algorithm
distribution-algorithm
bind-dn
client-cred-mode
ldap-address
ldap-port
ldaps-port
num-bind-init
num-read-init
num-write-init
ssl-policy
load-balancing-algorithm
custom-distribution-algorithm
distribution-algorithm
listen-address
listen-port
number-of-threads
listen-address
listen-port
number-of-threads
custom-distribution-algorithm
distribution-algorithm
compat-flag
number-of-search-threads
number-of-worker-threads
syslog-alerts-enabled
syslog-alerts-host
time-resolution
use-external-schema
aci-data-view

プロパティのrwsおよび rwdキーワードは、プロパティを変更した場合にサーバーを再起動する必要があるかどうかを示します。

プロパティにrws(読取り、書込み、静的)キーワードが含まれている場合は、プロパティを変更したときにサーバーを再起動する必要があります。
プロパティにrwd(読取り、書込み、動的)キーワードが含まれている場合、プロパティに対する変更は、サーバーを再起動しなくても、動的に実装されます。

プロパティに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。

$ dpconf help-properties | grep property-name

たとえば、LDAPデータソースのバインドDNの変更にサーバーの再起動が必要となるかを判断するには、次のコマンドを実行します。

$ dpconf help-properties | grep bind-dn
connection-handler       bind-dn-filters        rwd  STRING | any
This property specifies a set of regular expressions. The bind DN 
of a client must match at least one regular expression in order for 
the connection to be accepted by the connection handler. (Default: any)
ldap-data-source      bind-dn               rws  DN | ""
This property specifies the DN to use when binding to the LDAP data 
source. (Default: undefined)

構成変更の後でサーバーを再起動する必要があるかどうかを判断するには、次のコマンドを実行します。

$ dpconf get-server-prop -h host -p port is-restart-required

ナビゲーション・リンクをスキップ
印刷ビューの終了
	Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0)