2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成および構成
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの例
接続ベースのルーターとしてのDirectory Proxy Serverの構成
接続ベースのルーターとしてDirectory Proxy Serverを構成するには:
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
リソース制限ポリシーの概要は、Oracle Directory Server Enterprise Editionリファレンスの接続ハンドラのリソース制限ポリシーに関する項を参照してください。リソース制限ポリシーを作成して構成する方法および検索制限をカスタマイズする方法の詳細は、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-resource-limits-policy -h host -p port policy-name
リソース制限ポリシーのプロパティの変更方法の詳細は、「リソース制限ポリシーを構成するには:」を参照してください。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ resource-limits-policy:policy-name
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-resource-limits-policy-prop -h host -p port policy-name
リソース制限ポリシーのデフォルトのプロパティは、次のとおりです。
connection-idle-timeout : 1h denied-presence-filter-attr : all denied-presence-filter-enabled : false description : - max-client-connections : unlimited max-connections : unlimited max-op-count-per-interval : unlimited max-simultaneous-operations-per-connection : unlimited max-total-operations-per-connection : unlimited minimum-search-filter-substring-length : unlimited op-count-per-interval-timeout : 1s referral-bind-policy : default referral-hop-limit : default referral-policy : default search-size-limit : unlimited search-time-limit : unlimited warning-op-count-per-interval : unlimited
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ property:value [property:value ...]
警告が発せられる時間間隔ごとの操作数のしきい値を指定するには、次のコマンドを実行します。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ warning-op-count-per-interval:1500
指定された時間間隔内に指定の操作数を超過すると、warning-resource-limit-exceededアラートが発生します。warning-resource-limit-exceededの詳細は、「Directory Proxy Serverの管理アラートの構成」を参照してください。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ denied-presence-filter-attr:attribute-name
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name\ denied-presence-filter-enabled:on
カスタマイズされた制限は、検索ベースおよび検索範囲に応じて、検索操作に対して定義できます。ターゲットDNおよび検索操作の範囲が指定した基準と一致する場合、検索結果の最大サイズが制限されます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-custom-search-size-limit -h host -p port policy-name \ custom-search-limit-name [custom-search-limit-name ...]
$ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name one-level-search-base-dn:value subtree-search-base-dn:value
$ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name search-size-limit:value
$ dpconf get-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name
カスタム検索制限のデフォルトのプロパティは、次のとおりです。
one-level-search-base-dn : none search-size-limit : unlimited subtree-search-base-dn : none
Directory Proxy Serverでは、指定の時間内に許可される最大LDAP操作数のしきい値を設定できます。リソース制限ポリシーを使用して、接続ハンドラごとの操作レート制限を設定します。この設定によって、事実上LDAPクライアント・アプリケーションのLDAP操作レートを制限できます。たとえば。、この機能を使用して、あるLDAPクライアント・アプリケーションは1秒間に最大2500のLDAP操作を実行し、別のLDAPクライアント・アプリケーションは1秒間に最大1200の操作に制限されるように設定できます。
まず、LDAP操作レートを制限する対象のクライアント・アプリケーションからの接続を記述するように、接続ハンドラを設定します。次に、その接続ハンドラのリソース制限ポリシーを作成します。最後に、次の手順に従って、接続ハンドラのリソース制限ポリシーを使用して、操作レートを制限します。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ max-op-count-per-interval:2500 $ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ op-count-per-interval-timeout:1s
操作レート制限に達した際のアラートを追加するには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port\ enabled-admin-alerts+:error-resource-limit-exceeded
Directory Proxy Serverは、操作レート制限を超えるとアラートを発します。また、Directory Proxy Serverは、アプリケーションがこの制限を超えたために操作が拒否されるたびにアクセス・ログにメッセージを書き込みます。
この属性は、LDAPリスナーおよびLDAPSリスナーの属性と同じ意味を持ちますが、デフォルトで継承された設定と異なる設定にすると、それらよりも優先されます。
アクティビティがない状態で指定した時間が経過した後、クライアント接続は閉じられます。Oracle Directory Server Enterprise EditionリファレンスのDirectory Proxy Serverのクライアント・リスナーに関する項を参照してください。
$ dpconf get-resource-limits-policy-prop -h host -p port policy-name \ connection-idle-timeout:new-timeout