リフェラルの設定および接尾辞の読取り専用化

接尾辞を完全に無効にすることなく接尾辞へのアクセスを制限するには、アクセス権を変更して、読取り専用アクセスを許可することもできます。この場合、書込み操作に対しては、別のサーバーへのリフェラルを定義する必要があります。また、読取りアクセスと書込みアクセスの両方を拒否し、接尾辞へのすべての操作に対するリフェラルを定義できます。

さらに、リフェラルを使用して、クライアント・アプリケーションが一時的に別のサーバーを使用するように設定することもできます。たとえば、接尾辞の内容をバックアップしている間、別の接尾辞へリフェラルを追加できます。

接尾辞がレプリケートされた環境のコンシューマである場合、レプリケーション・メカニズムによって、リフェラル設定の値が決まります。リフェラルの設定は手動で変更できますが、リフェラルは次のレプリケーションの更新時に上書きされます。レプリケーションのリフェラルの設定の詳細は、「詳細コンシューマ構成を実行するには:」を参照してください。

リフェラルはラベル化されたURLなので、LDAP URLには空白文字とラベルが続く場合があります。たとえば、次のようになります。

ldap://phonebook.example.com:389/

または

ldap://phonebook.example.com:389/ou=All%20People,dc=example,dc=com

空白文字は文法的意味を持つので、リフェラルのURL部分にある空白文字は、%20を使用してエスケープする必要があります。

リフェラルを設定して接尾辞を読取り専用にするには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リフェラルのURLを設定します。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-url:LDAP-URL

   ここで、LDAP-URLはターゲットのホスト名、ポート名、DNを含む有効なURLです。

   たとえば、次のようになります。

   $ dsconf set-suffix-prop -h host1 -p 1389 dc=example,dc=com \
    referral-url:ldap://phonebook.example.com:389/

   LDAP URLは任意の個数を指定できます。

2. 接尾辞を読取り専用にするためにリフェラル・モードを設定します。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:only-on-write

   接尾辞を読取りも書込みもできないようにし、すべてのリクエストにリフェラルを返すにはreferral-modeをenabledに設定します。

3. コマンドが正常に実行されるとすぐに、接尾辞は読取り専用またはアクセス不可になり、リフェラルを返す準備ができます。
4. (オプション)接尾辞が使用できるようになったら、再び接尾辞の読書きができるようにリフェラルを無効にします。

   $ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:disabled

   リフェラルが無効になると、接尾辞のenabledプロパティをoffに設定して接尾辞自体を無効にしていないかぎり、接尾辞は自動的に読書き可能になります。