ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Oracle Solaris 11.1 でのネームサービスおよびディレクトリサービスの作業 Oracle Solaris 11.1 Information Library (日本語) |
4. Oracle Solaris Active Directory クライアントの設定 (タスク)
11. LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)
13. LDAP のトラブルシューティング (リファレンス)
NIS から LDAP への移行サービスがユーザーに与える影響
NIS から LDAP への移行コマンド、ファイル、およびマップ
N2L サービスは Oracle Directory Server Enterprise Edition をサポートしています。その他のサードパーティー製 LDAP サーバーも N2L サービスで動作する可能性がありますが、Oracle ではサポートされません。Oracle Directory Server Enterprise Edition サーバーまたは互換性のある Oracle サーバー以外の LDAP サーバーを使用している場合は、RFC 2307、RFC 2307bis、および RFC 4876、またはその後継のスキーマをサポートするようにサーバーを手動で構成する必要があります。
Oracle Directory Server Enterprise Edition を使用すれば、ディレクトリサーバーを強化してパフォーマンスを改善できます。これらの強化を行うには、Oracle Directory Server Enterprise Edition 上に LDAP の管理者権限が必要です。また、ディレクトリサーバーのリブートが必要な場合もあります。リブートは、サーバーの LDAP クライアントとの間で調整が必要なタスクです。Oracle Directory Server Enterprise Edition のドキュメントは、Sun Java System Directory Server Enterprise Edition 6.2 の Web サイトで入手できます。
大規模なマップでは、LDAP の仮想リスト表示 (VLV) インデックスを使用して、LDAP の検索から正しい結果が得られることを保証しなければなりません。Oracle Directory Server Enterprise Edition での VLV インデックスの設定についての詳細は、Sun Java System Directory Server Enterprise Edition 6.2 のドキュメントを参照してください。
VLV の検索結果では、固定ページサイズ 50000 を使用します。Oracle Directory Server Enterprise Edition で VLV を使用する場合は、LDAP サーバーと N2L サーバーの両方でこのサイズの転送を処理できるようにしてください。すべてのマップがこの制限より小規模であることが明らかな場合は、VLV インデックスを使用する必要はありません。ただし、マップがこのサイズ制限より大きい場合、またはすべてのマップのサイズが明確な場合以外には、VLV インデックスを使用して、結果が不完全となることを防止しなければなりません。
VLV インデックスを使用している場合は、次のように適切なサイズ制限を設定します。
Oracle Directory Server Enterprise Edition では、 nsslapd-sizelimit 属性を 50000 以上、または -1 に設定する必要があります。idsconfig(1M) のマニュアルページを参照してください。
N2L サーバーでは、 nisLDAPsearchSizelimit 属性を 50000 以上、または 0 に設定する必要があります。詳細については、NISLDAPmapping(4) のマニュアルページを参照してください。
VLV インデックスが作成されたら、Oracle Directory Server Enterprise Edition サーバー上で vlvindex オプションを指定して dsadm を実行することによって、それらのインデックスを有効にします。詳細は、dsadm(1M) のマニュアルページを参照してください。
次の状況に適合する場合、Oracle Directory Server Enterprise Edition の idsconfig コマンドを使用して、VLV を設定してください。
Oracle Directory Server Enterprise Edition を使用している。
標準マップを RFC 2307bis LDAP エントリにマップしている。
VLV はドメイン固有です。よって、idsconfig を実行するたびに、1 つの NIS ドメインに VLV が作成されます。そのため、NIS から LDAP への移行中、NISLDAPmapping ファイルに含まれている各 nisLDAPdomainContext 属性に対して 1 回 idsconfig を実行する必要があります。
次の状況に適合する場合、マップ用に新しい Oracle Directory Server Enterprise Edition の VLV を手動で作成するか、既存の VLV インデックスをコピーして修正しなければなりません。
Oracle Directory Server Enterprise Edition を使用している場合
大規模なカスタムマップがあるか、非標準の DIT 位置にマップされる標準のマップがある場合
既存の VLV インデックスを表示するには、次のように入力します。
% ldapsearch -h hostname -s sub -b "cn=ldbm database,cn=plugins,cn=config" "objectclass=vlvSearch"
N2L サーバーがマップをリフレッシュすると、その結果、大規模な LDAP ディレクトリアクセスが行われる場合があります。Oracle Directory Server Enterprise Edition が正しく構成されていない場合、リフレッシュ動作は完了前にタイムアウトになることがあります。ディレクトリサーバーのタイムアウトを防止するには、次の Oracle Directory Server Enterprise Edition 属性を手動で、または idsconfig コマンドを実行することによって変更します。
たとえば、サーバーでの検索リクエストの実行にかかる最小時間を秒単位で増やすには、次の属性を修正します。
dn: cn=config nsslapd-timelimit: -1
テストのためには、属性値として -1 を使用できます。この値は、制限がないことを示しています。最適な制限値が決まったら、属性値を変更します。稼働サーバーに、-1 の属性値が設定されていてはなりません。制限がないと、サーバーがサービス妨害攻撃に無防備になる場合があります。
LDAP での Oracle Directory Server Enterprise Edition の構成についての詳細は、このマニュアルの第 11 章LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)を参照してください。
バッファーオーバーランを防止するには、Oracle Directory Server Enterprise Edition の属性を手動で修正するか、idsconfig コマンドを実行します。
たとえば、クライアント検索照会に返されるエントリの最大数を増やすには、次の属性を修正します。
dn: cn=config nsslapd-sizelimit: -1
クライアント検索照会で確認されるエントリの最大数を増やすには、次の属性を修正します。
dn: cn=config, cn=ldbm database, cn=plugins, cn=config nsslapd-lookthroughlimit: -1
テストのためには、属性値として -1 を使用できます。この値は、制限がないことを示しています。最適な制限値が決まったら、属性値を変更します。稼働サーバーに、-1 の属性値が設定されていてはなりません。制限がないと、サーバーがサービス妨害攻撃に無防備になる場合があります。
VLV が使用されている場合は、sizelimit 属性値を 「Oracle Directory Server Enterprise Edition を使用した仮想リスト表示インデックスの作成」で定義されているように設定してください。VLV を使用していない場合、もっとも大きなコンテナを格納できるようにサイズ制限を設定する必要があります。
LDAP での Oracle Directory Server Enterprise Edition の構成についての詳細は、第 11 章LDAP クライアントと Oracle Directory Server Enterprise Edition の設定 (タスク)を参照してください。