リソース制限ポリシーの作成および構成

リソース制限ポリシーの概要は、Oracle Directory Server Enterprise Editionリファレンスの接続ハンドラのリソース制限ポリシーに関する項を参照してください。リソース制限ポリシーを作成して構成する方法および検索制限をカスタマイズする方法の詳細は、次の手順を参照してください。

リソース制限ポリシーを作成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リソース制限ポリシーを作成します。

   $ dpconf create-resource-limits-policy -h host -p port policy-name

   リソース制限ポリシーのプロパティの変更方法の詳細は、「リソース制限ポリシーを構成するには:」を参照してください。

2. リソース制限ポリシーを接続ハンドラと関連付けます。

   $ dpconf set-connection-handler-prop -h host -p port connection-handler-name \
    resource-limits-policy:policy-name

リソース制限ポリシーを構成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. リソース制限ポリシーのプロパティを表示します。

   $ dpconf get-resource-limits-policy-prop -h host -p port policy-name

   リソース制限ポリシーのデフォルトのプロパティは、次のとおりです。

   connection-idle-timeout                      : 1h
   denied-presence-filter-attr                  : all
   denied-presence-filter-enabled               : false
   description                                  : -
   max-client-connections                       : unlimited
   max-connections                              : unlimited
   max-op-count-per-interval                    : unlimited
   max-simultaneous-operations-per-connection   : unlimited
   max-total-operations-per-connection          : unlimited
   minimum-search-filter-substring-length       : unlimited
   op-count-per-interval-timeout                : 1s
   referral-bind-policy                         : default
   referral-hop-limit                           : default
   referral-policy                              : default
   search-size-limit                            : unlimited
   search-time-limit                            : unlimited
   warning-op-count-per-interval                : unlimited

2. 手順1でリストされたプロパティを1つ以上設定して、リソース制限ポリシーを構成します。

   $ dpconf set-resource-limits-policy-prop -h host -p port policy-name \
     property:value [property:value ...]

   警告が発せられる時間間隔ごとの操作数のしきい値を指定するには、次のコマンドを実行します。

   $ dpconf  set-resource-limits-policy-prop -h host -p port policy-name \
   warning-op-count-per-interval:1500 

   指定された時間間隔内に指定の操作数を超過すると、warning-resource-limit-exceededアラートが発生します。warning-resource-limit-exceededの詳細は、「Directory Proxy Serverの管理アラートの構成」を参照してください。

検索操作でプレゼンス・フィルタをブロックするには:

1. 拒否フィルタ属性のリストにある属性が少なくとも1つ検索操作に含まれていたらアクセスを拒否するように、denied-presence-filter-attrを構成します。

   $ dpconf set-resource-limits-policy-prop  -h host -p port policy-name \
   denied-presence-filter-attr:attribute-name

2. 検索フィルタに指定した属性が含まれているときにアクセスを拒否するかどうかを示すdenied-presence-filter-enabledをオンにします。

   $ dpconf set-resource-limits-policy-prop -h host -p port policy-name\
   denied-presence-filter-enabled:on 

検索制限をカスタマイズするには:

カスタマイズされた制限は、検索ベースおよび検索範囲に応じて、検索操作に対して定義できます。ターゲットDNおよび検索操作の範囲が指定した基準と一致する場合、検索結果の最大サイズが制限されます。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. カスタム検索制限を1つ以上作成します。

   $ dpconf create-custom-search-size-limit -h host -p port policy-name \
     custom-search-limit-name [custom-search-limit-name ...]

2. カスタム検索制限の基準を設定します。

   $ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \
     custom-search-limit-name one-level-search-base-dn:value subtree-search-base-dn:value

3. 手順2で、検索が基準の1つを満たすときに返される結果数の制限を設定します。

   $ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \
    custom-search-limit-name search-size-limit:value

4. カスタム検索制限のプロパティを表示します。

   $ dpconf get-custom-search-size-limit-prop -h host -p port policy-name \
     custom-search-limit-name

   カスタム検索制限のデフォルトのプロパティは、次のとおりです。

   one-level-search-base-dn  :  none
   search-size-limit         :  unlimited
   subtree-search-base-dn    :  none

LDAP操作レートを制限するには:

Directory Proxy Serverでは、指定の時間内に許可される最大LDAP操作数のしきい値を設定できます。リソース制限ポリシーを使用して、接続ハンドラごとの操作レート制限を設定します。この設定によって、事実上LDAPクライアント・アプリケーションのLDAP操作レートを制限できます。たとえば。、この機能を使用して、あるLDAPクライアント・アプリケーションは1秒間に最大2500のLDAP操作を実行し、別のLDAPクライアント・アプリケーションは1秒間に最大1200の操作に制限されるように設定できます。

まず、LDAP操作レートを制限する対象のクライアント・アプリケーションからの接続を記述するように、接続ハンドラを設定します。次に、その接続ハンドラのリソース制限ポリシーを作成します。最後に、次の手順に従って、接続ハンドラのリソース制限ポリシーを使用して、操作レートを制限します。

1. 操作レート制限カウンタを有効にします。

   $ dpconf set-resource-limits-policy-prop -h host -p port policy-name \
   max-op-count-per-interval:2500
   $ dpconf set-resource-limits-policy-prop -h host -p port policy-name \
   op-count-per-interval-timeout:1s

2. 「Directory Proxy Serverの管理アラートの構成」の説明のとおりにDirectory Proxy Serverが設定されていれば、LDAPクライアントが設定した操作レート制限を超えると、Directory Proxy Serverはアラートを発します。

   操作レート制限に達した際のアラートを追加するには、次のコマンドを実行します。

   $ dpconf set-server-prop -h host -p port\
    enabled-admin-alerts+:error-resource-limit-exceeded

   Directory Proxy Serverは、操作レート制限を超えるとアラートを発します。また、Directory Proxy Serverは、アプリケーションがこの制限を超えたために操作が拒否されるたびにアクセス・ログにメッセージを書き込みます。

アイドル接続を切断するには:

この属性は、LDAPリスナーおよびLDAPSリスナーの属性と同じ意味を持ちますが、デフォルトで継承された設定と異なる設定にすると、それらよりも優先されます。

• アイドル接続のデフォルトのタイムアウトを変更するようにconnection-idle-timeoutを構成します。

  アクティビティがない状態で指定した時間が経過した後、クライアント接続は閉じられます。Oracle Directory Server Enterprise EditionリファレンスのDirectory Proxy Serverのクライアント・リスナーに関する項を参照してください。

  $ dpconf get-resource-limits-policy-prop -h host  -p port  policy-name  \
     connection-idle-timeout:new-timeout