| ナビゲーション・リンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0) |
2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
Directory Proxy Serverを使用したDirectory Serverの構成エントリへのアクセス
Directory Proxy Serverを使用して、Directory Serverの構成エントリにアクセスするには:
excluded-subtreesおよびalternate-search-base-dnプロパティを手動で構成するには:
リクエストのターゲットDNに関係なく、すべてのリクエストをルーティングするデータ・ビュー
データと等価な複数のデータソースにサブツリー・リストが格納されている場合にリクエストをルーティングするデータ・ビュー
データと等価な複数のデータソースにサブツリー・リストが格納されている場合にリクエストをルーティングするデータ・ビューを構成するには:
異なるサブツリーが異なるデータソースに格納されている場合に単一のアクセス・ポイントを提供するデータ・ビュー
異なるサブツリーが異なるデータソースに格納されている場合に単一のアクセス・ポイントを提供するデータ・ビューを構成するには:
上位サブツリーと下位サブツリーが異なるデータソースに格納されている場合に単一のアクセス・ポイントを提供するデータ・ビュー
上位サブツリーと下位サブツリーが異なるデータソースに格納されている場合に単一のアクセス・ポイントを提供するデータ・ビューを構成するには:
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
LDAPデータ・ビューの作成には、次の手順が含まれます。
この項では、dpconfコマンドを使用してLDAPデータソースを作成および構成する方法について説明します。これらの内容についての参照情報は、Oracle Directory Server Enterprise EditionリファレンスのLDAPデータソースに関する項を参照してください。
LDAPデータソースの作成および構成方法の詳細は、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCオンライン・ヘルプを参照してください。
$ dpconf create-ldap-data-source -h host -p port [-s] source-name host:port
このコマンドで、source-nameは、新しいデータソースに割り当てる名前です。hostおよびportは、LDAPサーバーが実行されているホストおよびポートを示します。データソースは、デフォルトでSSLを使用しないことに注意してください。-sを使用して、セキュア・ポートを指定できます。
ホストがIP V6アドレスで指定されている場合、データソース作成時に、IP V6参照を使用する必要があります。たとえば、Directory Proxy Serverがポート2389でIP V6アドレスfe80::209:3dff:fe00:8c93のホストにバインドされる場合、次のコマンドを実行して、データソースを作成します。
$ dpconf create-ldap-data-source -h host1 -p 1389 ipv6-host \ [fe80::209:3dff:fe00:8c93]:2389
コンソールを使用してデータソースを作成する場合、実際のIP V6アドレスを角カッコなしで指定する必要があります。
LDAPデータソースのプロパティ変更方法の詳細は、「LDAPデータソースを構成するには:」を参照してください。
$ dpconf list-ldap-data-sources -h host -p port
次の手順では、LDAPデータソースのプロパティを表示する方法、および変更する必要のあるプロパティを設定する方法を示します。LDAPデータソースのどのプロパティの変更にも使用できるコマンドも示します。プロパティの詳細情報を取得する方法も示します。この情報は、そのプロパティの設定に役立ちます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-ldap-data-source-prop -h host -p port \ [-M unit] [-Z unit] source-name [property...]
このコマンドで、-Mおよび-Zは、データの表示単位を示します。Mオプションは、時間の単位を指定します。-Mの値は、M、w、d、h、m、s、msが可能で、それぞれ月、週、日、時間、分、秒、ミリ秒を表します。-Zオプションは、データ・サイズの単位を指定します。-Zの値は、T、G、M、k、bが可能で、それぞれテラバイト、ギガバイト、メガバイト、キロバイト、バイトを表します。
プロパティを指定しない場合、すべてのプロパティが表示されます。LDAPデータソースのデフォルト・プロパティは次のとおりです。
bind-dn : - bind-pwd : - client-cred-mode : use-client-identity connect-timeout : 10s description : - down-monitoring-interval : inherited is-enabled : false is-read-only : true ldap-address : host ldap-port : port ldaps-port : ldaps monitoring-bind-timeout : 5s monitoring-entry-dn : "" monitoring-entry-timeout : 5s monitoring-inactivity-timeout : 2m monitoring-interval : 30s monitoring-mode : reactive monitoring-retry-count : 3 monitoring-search-filter : (|(objectClass=*)(objectClass=ldapSubEntry)) num-bind-incr : 10 num-bind-init : 10 num-bind-limit : 1024 num-read-incr : 10 num-read-init : 10 num-read-limit : 1024 num-write-incr : 10 num-write-init : 10 num-write-limit : 1024 proxied-auth-check-timeout : 1.8s proxied-auth-use-v1 : false ssl-policy : never use-read-connections-for-writes : false use-tcp-keep-alive : true use-tcp-no-delay : true
$ dpconf set-ldap-data-source-prop -h host -p port source-name is-enabled:true
$ dpconf set-ldap-data-source-prop -h host -p port source-name property:value
たとえば、データソースのエントリを変更する場合、書込み操作を許可するようにデータソースを構成します。
$ dpconf set-ldap-data-source-prop -h host -p port source-name is-read-only:false
すべての書込み接続がビジーである場合に、読取り接続を使用して書込み操作を処理するには、次のコマンドを実行します。逆の場合も同様です。
dpconf set-ldap-data-source-prop -h host -p port source-name \ use-read-connections-for-writes:true
サブコマンドで使用するプロパティについての情報を検索するには、次のコマンドを実行します。
$ dpconf help-properties ldap-data-source property
たとえば、is-read-onlyプロパティについての情報を見つけるには、次を入力します。
dpconf help-properties ldap-data-source is-read-only
データソースの主要プロパティをリストするには、list-ldap-data-sourcesサブコマンドに詳細オプション-vを付けて使用します。
$ dpconf list-ldap-data-sources -v Name is-enabled ldap-address ldap-port ldaps-port description ----------- ---------- ------------ --------- ---------- ----------- datasource0 true myHost myPort ldaps - datasource1 true myHost myPort ldaps -
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。サーバーの再起動が必要になる構成変更のリストについては、「サーバーの再起動を必要とする構成変更」を参照してください。
この項では、dpconfコマンドを使用してLDAPデータソース・プールを作成および構成する方法について説明します。これらの内容についての参照情報は、Oracle Directory Server Enterprise EditionリファレンスのLDAPデータソースに関する項を参照してください。
データソース・プールの作成および構成方法については、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCオンライン・ヘルプを参照してください。
$ dpconf create-ldap-data-source-pool -h host -p port pool-name
最初のpool-nameの後に、追加のデータソース・プールを指定できます。データソース・プールのプロパティの変更方法については、「LDAPデータソース・プールを構成するには:」を参照してください。
$ dpconf list-ldap-data-source-pools -h host -p port
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCオンライン・ヘルプを参照してください。
$ dpconf get-ldap-data-source-pool-prop -h host -p port \ [-M unit] [-Z unit] pool-name [property...]
このコマンドで、-Mおよび-Zは、データの表示単位を示します。Mオプションは、時間の単位を指定します。-Mの値は、M、w、d、h、m、s、msが可能で、それぞれ月、週、日、時間、分、秒、ミリ秒を表します。-Zオプションは、データ・サイズの単位を指定します。-Zの値は、T、G、M、k、bが可能で、それぞれテラバイト、ギガバイト、メガバイト、キロバイト、バイトを表します。
プロパティを指定しない場合、すべてのプロパティが表示されます。LDAPデータソース・プールのデフォルトのプロパティは、次のとおりです。
client-affinity-bind-dn-filters : connection client-affinity-criteria : connection client-affinity-ip-address-filters : any client-affinity-policy : write-affinity-after-write client-affinity-timeout : 20s description : Example data source pool enable-client-affinity : false load-balancing-algorithm : proportional minimum-total-weight : 100 proportion : 100 sample-size : 100
$ dpconf set-ldap-data-source-pool-prop -h host -p port pool-name \ property:value
ロード・バランシングおよびクライアント・アフィニティのためのデータソース・プールのプロパティを構成する方法は、第20章「Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ」を参照してください。
データソース・プールにアタッチされたデータソースは、アタッチ済データソースと呼ばれます。アタッチ済データソースのプロパティにより、データソース・プールのロード・バランシング構成が決まります。アタッチ済データソースの重みを構成する場合は、データソース・プールのすべてのアタッチ済データソースの重みを考慮します。重みが要求どおりに機能していることを確認します。ロード・バランシングのための重みの構成方法については、「ロード・バランシングの重みを構成するには:」を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf attach-ldap-data-source -h host -p port pool-name \ source-name [source-name ...]
$ dpconf list-attached-ldap-data-sources -h host -p port -E pool-name
このコマンドで、-Eはオプションであり、1行当たり1つのプロパティを表示するように表示を変更します。
$ dpconf list-attached-ldap-data-sources -h host -p port -v pool-name
このコマンドで、-vは詳細出力を指定します。たとえば、データソース・プールの例のプロパティを表示します。
$ dpconf list-attached-ldap-data-sources -h host1 -p 1389 -v My-pool SRC_NAME add-weight bind-weight compare-weight ----------- ---------- ----------- -------------- datasource0 disabled disabled disabled datasource1 disabled disabled disabled delete-weight modify-dn-weight modify-weight search-weight ------------- ---------------- ------------- ------------- disabled disabled disabled disabled disabled disabled disabled disabled
$ dpconf get-attached-ldap-data-source-prop -h host -p port [-M unit] [-Z unit] \ pool-name source-name [property...]
このコマンドで、-Mおよび-Zは、データの表示単位を示します。Mオプションは、時間の単位を指定します。-Mの値は、M、w、d、h、m、s、msが可能で、それぞれ月、週、日、時間、分、秒、ミリ秒を表します。-Zオプションは、データ・サイズの単位を指定します。-Zの値は、T、G、M、k、bが可能で、それぞれテラバイト、ギガバイト、メガバイト、キロバイト、バイトを表します。
プロパティを指定しない場合、すべてのプロパティが表示されます。
アタッチ済データソースのプロパティは、ロード・バランシングにおける各タイプの操作に対する重みを定義します。アタッチされるデータソースのデフォルトの重みは、次のとおりです。
add-weight : disabled bind-weight : disabled compare-weight : disabled delete-weight : disabled modify-dn-weight : disabled modify-weight : disabled search-weight : disabled
次の例では、すべてのプロパティが1に設定されています。これらのプロパティの値は要件によって変更できます。ロード・バランシングのためのアタッチ済データソースの重みを構成する方法については、「ロード・バランシングの重みを構成するには:」を参照してください。
$ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name add-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name bind-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name compare-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name delete-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name modify-dn-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name modify-weight:1 $ dpconf set-attached-ldap-data-source-prop -h host -p port \ pool-name source-name search-weight:1
LDAPデータ・ビューの作成および構成方法については、次の手順を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf create-ldap-data-view -h host -p port view-name pool-name suffix-DN
LDAPデータ・ビューのプロパティを変更する方法については、「LDAPデータ・ビューを構成するには:」を参照してください。
$ dpconf list-ldap-data-views -h host -p port
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpconf get-ldap-data-view-prop -h host -p port view-name
プロパティを設定せずにデータ・ビューを作成すると、データ・ビューは次のような構成になります。
alternate-search-base-dn : "" attr-name-mappings : none base-dn : suffix-DN contains-shared-entries : false custom-distribution-algorithm-class : none description : - distribution-algorithm : none dn-join-rule : none dn-mapping-attrs : none dn-mapping-source-base-dn : none excluded-subtrees : - filter-join-rule : none is-enabled : true is-read-only : false is-routable : true ldap-data-source-pool : pool-name lexicographic-attrs : all lexicographic-lower-bound : none lexicographic-upper-bound : none non-viewable-attr : none non-writable-attr : none numeric-attrs : all numeric-default-data-view : false numeric-lower-bound : none numeric-upper-bound : none pattern-matching-base-object-search-filter : all pattern-matching-base-dn-regular-expression : all pattern-matching-dn-regular-expression : all pattern-matching-one-level-search-filter : all pattern-matching-subtree-search-filter : all process-bind : - replication-role : master viewable-attr : all except non-viewable-attr writable-attr : all except non-writable-attr
注意: プロキシ・マネージャを除くすべてのユーザーには、バックエンド・サーバーのcn=configおよびcn=monitor接尾辞が表示されます。デフォルトでは、バックエンド・サーバーのデータをプロキシ・マネージャが使用することはできません。プロキシ・マネージャが使用できるcn=configおよび cn=monitorサブツリーはプロキシ自体のサブツリーとなります。
Directory Proxy Serverのインスタンスを作成すると、プロキシ・マネージャの接続ハンドラが空のデータ・ビュー・ポリシーで作成されます。プロキシ・マネージャがバックエンド・データへのアクセスを必要とする場合、データ・ビューをプロキシ・マネージャの接続ハンドラのデータ・ビュー・ポリシーに追加する必要があります。このようなデータ・ビューでは、cn=configおよびcn=monitorサブツリーは、デフォルトで除外されます。
$ dpconf set-ldap-data-view-prop -h host -p port view-name \ property:value [property:value ... ]
たとえば、データソースのdc=example,dc=comサブツリーにアクセスするには、データ・ビューでdn-mapping-source-base-dnを指定します。
$ dpconf set-ldap-data-view-prop -h host1 -p 1389 myDataView \ dn-mapping-source-base-dn:dc=example,dc=com
複数値プロパティに値を追加するには、次のコマンドを使用します。
$ dpconf set-ldap-data-view-prop -h host -p port view-name property+:value
複数値プロパティから値を削除するには、次のコマンドを使用します。
$ dpconf set-ldap-data-view-prop -h host -p port view-name property-:value
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
 
|