Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
クライアントとDirectory Proxy Server間の接続、接続ハンドラ、および接続ハンドラで使用する基準およびポリシーの説明の概要については、Oracle Directory Server Enterprise Editionのリファレンスの第20章のクライアントとDirectory Proxy Server間の接続に関する章を参照してください。
この章の内容は、次のとおりです。
接続ハンドラを作成、構成および削除する方法と、データ・ビューのアフィニティを構成する方法の詳細は、次の手順を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
接続ハンドラを作成します。
$ dpconf create-connection-handler -h host -p port connection-handler-name
接続ハンドラのリストを表示します。
$ dpconf list-connection-handlers -h host -p port
開始する前に
接続ハンドラのプロパティは、Directory Proxy Serverのインスタンス用に定義された他の接続ハンドラのプロパティに関連して定義する必要があります。すべての接続ハンドラのプロパティを考慮し、これらが異なる基準セットを指定し、正しく優先順位付けされるようにします。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
接続ハンドラの詳細リストを表示し、キー・プロパティおよび相対的な優先順位を確認します。
$ dpconf list-connection-handlers -h host -p port -v Name is-enabled priority description --------------------------------- ---------- -------- --------------------------- anonymous false 99 unauthenticated connections default connection handler true 100 default connection handler directory services administrators true 1 Administrators connection handler
Directory Proxy Serverのインスタンスを作成すると、接続ハンドラanonymous
およびdefault connection handler
が作成されます。
1つの接続ハンドラのプロパティをすべて表示します。
$ dpconf get-connection-handler-prop -h host -p port connection-handler-name
新しい接続ハンドラのデフォルトのプロパティは、次のとおりです。
aci-source : none allowed-auth-methods : anonymous allowed-auth-methods : sasl allowed-auth-methods : simple allowed-ldap-ports : ldap allowed-ldap-ports : ldaps bind-dn-filters : any close-client-connection : false data-view-routing-custom-list : none data-view-routing-policy : all-routable data-view-use-internal-client-identity : false description : - domain-name-filters : any enable-data-view-affinity : false group-dn-filters : any group-search-bind-dn : any group-search-bind-pwd : none ip-address-filters : any is-enabled : false is-ssl-mandatory : false priority : 99 request-filtering-policy : no-filtering require-data-view-availability : true resource-limits-policy : no-limits schema-check-enabled : false user-filter : any
接続ハンドラの優先順位を構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ priority:value
優先順位は、1から100の任意の数値で、1が最も高い優先順位です。Directory Proxy Serverのインスタンスに対して、接続ハンドラが優先順位の順序で評価されます。
注意: 接続ハンドラの優先順位を |
接続ハンドラのDNフィルタリング・プロパティを指定します。
このプロパティを使用すると、バインドDNの一部または全部に基づいてアクセスを制御できます。プロパティの値は、正規表現です。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ bind-dn-filters:regular-expression
バインドDNフィルタの形式は、Java正規表現です。Java正規表現の作成の詳細は、http://download.oracle.com/javase/1.4.2/docs/api/java/util/regex/Pattern.html
を参照してください。
たとえば、すべてのバインドをou=people,dc=example,dc=com
のユーザーからsecure-handler
という接続ハンドラに送信するには、bind-dn-filters
プロパティを次のように設定します。
$ dpconf set-connection-handler-prop -h host1 -p 1389 secure-handler \ bind-dn-filters:"uid=.*,ou=people,dc=example,dc=com"
この接続ハンドラで使用するリクエスト・フィルタリング・ポリシーの名前を指定します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ request-filtering-policy:policy-name
ここで、policy-nameは、既存のリクエスト・フィルタリング・ポリシーの名前です。リクエスト・フィルタリング・ポリシーの作成および構成の方法の詳細は、「リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールの作成および構成」を参照してください。
この接続ハンドラで使用するリソース制限ポリシーの名前を指定します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ resource-limits-policy:policy-name
ここで、policy-nameは、既存のリソース制限ポリシーの名前です。リソース制限ポリシーの作成および構成の方法の詳細は、「リソース制限ポリシーの作成および構成」を参照してください。
「1つの接続ハンドラのプロパティをすべて表示します。」にリストされている、他のすべてのプロパティを構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ property:value [property:value ...]
たとえば、SSL接続のみを受け入れるように接続ハンドラを構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ is-ssl-mandatory:true
プロパティの説明およびその有効値のリストについては、次のコマンドを実行します。
$ dpconf help-properties connection-handler
接続ハンドラを選択するための基準を指定するように、group-dn-filters
、group-search-bind-dn
、group-search-bind-pwd
およびgroup-search-bind-pwd-file
を構成します。詳細は、個々のマニュアル・ページを参照してください。
接続ハンドラを有効にします。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ is-enabled:true
必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
(オプション)接続ハンドラのリストを表示します。
$ dpconf list-connection-handlers -h host -p port
接続ハンドラを1つ以上削除します。
$ dpconf delete-connection-handler -h host -p port connection-handler-name\ [connection-handler-name ... ]
接続が接続ハンドラに割り当てられている場合、アフィニティを使用して、その接続のリクエストを、その接続ハンドラ用に構成されたデータ・ビューのリストまたは構成されたデータ・ビューすべてに対して公開できます。したがって、その接続の後続のリクエストは、最初のリクエストに使用されたデータ・ビューに対して排他的に公開されます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
データ・ビューのアフィニティを有効にします。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ enable-data-view-affinity:true
リクエストをデータ・ビューのカスタム・リストにルーティングするように、接続ハンドラを構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name\ data-view-routing-policy:custom
データ・ビューのリストを構成します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list:view-name [data-view-routing-custom-list:view-name ...]
データ・ビューを既存のデータ・ビューのリストに追加するには、次のコマンドを使用します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list+:view-name
データ・ビューを既存のデータ・ビューのリストから削除するには、次のコマンドを使用します。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ data-view-routing-custom-list-:view-name
リクエスト・フィルタリング・ポリシーの概要は、Oracle Directory Server Enterprise Editionのリファレンスの接続ハンドラのリクエスト・フィルタリング・ポリシーに関する項を参照してください。検索データ非表示ルールの概要は、Oracle Directory Server Enterprise Editionのリファレンスのリクエスト・フィルタリング・ポリシーの検索データ非表示ルールに関する項を参照してください。
リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールを作成して構成する方法の詳細は、次の手順を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リクエスト・フィルタリング・ポリシーを作成します。
$ dpconf create-request-filtering-policy policy-name
リクエスト・フィルタリング・ポリシーを接続ハンドラと関連付けます。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ request-filtering-policy:policy-name
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リクエスト・フィルタリング・ポリシーのプロパティを表示します。
$ dpconf get-request-filtering-policy-prop -h host -p port policy-name
リクエスト・フィルタリング・ポリシーのデフォルトのプロパティは、次のとおりです。
allow-add-operations : true allow-bind-operations : true allow-compare-operations : true allow-delete-operations : true allow-extended-operations : true allow-inequality-search-operations : true allow-modify-operations : true allow-rename-operations : true allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : "" description : - prohibited-comparable-attrs : none prohibited-subtrees : none
「リクエスト・フィルタリング・ポリシーのプロパティを表示します。」でリストされたプロパティを1つ以上設定して、リクエスト・フィルタリング・ポリシーを構成します。
$ dpconf set-request-filtering-policy-prop -h host -p port policy-name \ property:value [property:value ...]
「リクエスト・フィルタリング・ポリシーのプロパティを表示します。」でリストされたプロパティを設定して、リクエスト・フィルタリング・ポリシーの次の機能を構成します。
クライアントが実行できる操作のタイプ
クライアントに公開するまたはクライアントに対して非表示にするサブツリー
検索操作の範囲
検索フィルタのタイプ
検索操作および比較操作で比較できるまたは比較できない属性のタイプ
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リクエスト・フィルタリング・ポリシーの検索データ非表示ルールを1つ以上作成します。
$ dpconf create-search-data-hiding-rule -h host -p port policy-name rule-name \ [rule-name ...]
検索データ非表示ルールのプロパティを表示します。
$ dpconf get-search-data-hiding-rule-prop policy-name rule-name
検索データ非表示ルールのデフォルトのプロパティは、次のとおりです。
attrs : none rule-action : hide-entry target-attr-value-assertions : none target-dn-regular-expressions : none target-dns : none
「検索データ非表示ルールのプロパティを表示します。」でリストされたプロパティを1つ以上設定して、検索データ非表示ルールを構成します。
$ dpconf set-search-data-hiding-rule-prop -h host -p port policy-name rule-name \ property:value [property:value ...]
次のルール・アクションの1つを使用できます。
hide-entry
ターゲット・エントリは返されません。
hide-attributes
ターゲット・エントリは返されますが、指定された属性はフィルタされて除去されます。
show-attributes
ターゲット・エントリは返されますが、指定されていない属性はフィルタされて除去されます。
このルールは、次のエントリに適用できます。
target-dns
指定されたDNを持つエントリ
target-dn-regular-expressions
指定されたDNパターンを持つエントリ
target-attr-value-assertions
指定された属性名と属性値のペアを持つエントリ(attrName#
attrValue)
次の構成は、タイプinetorgperson
のエントリを非表示にする検索データ非表示ルールを定義します。
$ dpconf set-search-data-hiding-rule-prop -h host1 -p port my-policy my-rule \ target-attr-value-assertions:objectclass#inetorgperson
次の例には、リクエスト・フィルタリング・ポリシーおよび検索データ非表示ルールが含まれています。リクエスト・フィルタリング・ポリシーと検索データ非表示ルールを組み合せると、データへのアクセスは次のように制限されます。
次のタイプの操作は許可されません。追加、削除、拡張、変更および名前変更。
ou=people,dc=sun,dc=com
サブツリーのみにアクセスできます。
inetorgperson
タイプ以外のエントリは、検索操作によって返されます。
例25-1 リクエスト・フィルタリング・ポリシーの例
allow-add-operations : false allow-bind-operations : true allow-compare-operations : true allow-delete-operations : false allow-extended-operations : false allow-inequality-search-operations : true allow-modify-operations : false allow-rename-operations : false allow-search-operations : true allowed-comparable-attrs : all allowed-search-scopes : base allowed-search-scopes : one-level allowed-search-scopes : subtree allowed-subtrees : ou=people,dc=sun,dc=com description : myRequestFilteringPolicy prohibited-comparable-attrs : none prohibited-subtrees : none
リソース制限ポリシーの概要は、Oracle Directory Server Enterprise Editionのリファレンスの接続ハンドラのリソース制限ポリシーに関する項を参照してください。リソース制限ポリシーを作成して構成する方法および検索制限をカスタマイズする方法の詳細は、次の手順を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リソース制限ポリシーを作成します。
$ dpconf create-resource-limits-policy -h host -p port policy-name
リソース制限ポリシーのプロパティの変更方法の詳細は、「リソース制限ポリシーを構成するには:」を参照してください。
リソース制限ポリシーを接続ハンドラと関連付けます。
$ dpconf set-connection-handler-prop -h host -p port connection-handler-name \ resource-limits-policy:policy-name
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リソース制限ポリシーのプロパティを表示します。
$ dpconf get-resource-limits-policy-prop -h host -p port policy-name
リソース制限ポリシーのデフォルトのプロパティは、次のとおりです。
connection-idle-timeout : 1h denied-presence-filter-attr : all denied-presence-filter-enabled : false description : - max-client-connections : unlimited max-connections : unlimited max-op-count-per-interval : unlimited max-simultaneous-operations-per-connection : unlimited max-total-operations-per-connection : unlimited minimum-search-filter-substring-length : unlimited op-count-per-interval-timeout : 1s referral-bind-policy : default referral-hop-limit : default referral-policy : default search-size-limit : unlimited search-time-limit : unlimited warning-op-count-per-interval : unlimited
「リソース制限ポリシーのプロパティを表示します。」でリストされたプロパティを1つ以上設定して、リソース制限ポリシーを構成します。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ property:value [property:value ...]
警告が発せられる時間間隔ごとの操作数のしきい値を指定するには、次のコマンドを実行します。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ warning-op-count-per-interval:1500
指定された時間間隔内に指定の操作数を超過すると、warning-resource-limit-exceededアラートが発生します。warning-resource-limit-exceededの詳細は、「Directory Proxy Serverの管理アラートの構成」を参照してください。
拒否フィルタ属性のリストにある属性が少なくとも1つ検索操作に含まれていたらアクセスを拒否するように、denied-presence-filter-attr
を構成します。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ denied-presence-filter-attr:attribute-name
検索フィルタに指定した属性が含まれているときにアクセスを拒否するかどうかを示すdenied-presence-filter-enabled
をオンにします。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name\ denied-presence-filter-enabled:on
カスタマイズされた制限は、検索ベースおよび検索範囲に応じて、検索操作に対して定義できます。ターゲットDNおよび検索操作の範囲が指定した基準と一致する場合、検索結果の最大サイズが制限されます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。このタスクに関するDSCCの手順を確認するには、DSCCオンライン・ヘルプを参照してください。DSCCの詳細は、「Directory Service Control Centerのインタフェース」を参照してください。
カスタム検索制限を1つ以上作成します。
$ dpconf create-custom-search-size-limit -h host -p port policy-name \ custom-search-limit-name [custom-search-limit-name ...]
カスタム検索制限の基準を設定します。
$ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name one-level-search-base-dn:value subtree-search-base-dn:value
「カスタム検索制限の基準を設定します。」で、検索が基準の1つを満たすときに返される結果数の制限を設定します。
$ dpconf set-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name search-size-limit:value
カスタム検索制限のプロパティを表示します。
$ dpconf get-custom-search-size-limit-prop -h host -p port policy-name \ custom-search-limit-name
カスタム検索制限のデフォルトのプロパティは、次のとおりです。
one-level-search-base-dn : none search-size-limit : unlimited subtree-search-base-dn : none
Directory Proxy Serverでは、指定の時間内に許可される最大LDAP操作数のしきい値を設定できます。リソース制限ポリシーを使用して、接続ハンドラごとの操作レート制限を設定します。この設定によって、事実上LDAPクライアント・アプリケーションのLDAP操作レートを制限できます。たとえば、この機能を使用して、あるLDAPクライアント・アプリケーションは1秒間に最大2500のLDAP操作を実行し、別のLDAPクライアント・アプリケーションは1秒間に最大1200の操作に制限されるように設定できます。
まず、LDAP操作レートを制限する対象のクライアント・アプリケーションからの接続を記述するように、接続ハンドラを設定します。次に、その接続ハンドラのリソース制限ポリシーを作成します。最後に、次の手順に従って、接続ハンドラのリソース制限ポリシーを使用して、操作レートを制限します。
操作レート制限カウンタを有効にします。
$ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ max-op-count-per-interval:2500 $ dpconf set-resource-limits-policy-prop -h host -p port policy-name \ op-count-per-interval-timeout:1s
「Directory Proxy Serverの管理アラートの構成」項の説明のとおりにDirectory Proxy Serverが設定されていれば、LDAPクライアントが設定した操作レート制限を超えると、Directory Proxy Serverがアラートを発します。
操作レート制限に達した際のアラートを追加するには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port\ enabled-admin-alerts+:error-resource-limit-exceeded
Directory Proxy Serverは、操作レート制限を超えるとアラートを発します。また、Directory Proxy Serverは、アプリケーションがこの制限を超えたために操作が拒否されるたびにアクセス・ログにメッセージを書き込みます。
この属性は、LDAPリスナーおよびLDAPSリスナーの属性と同じ意味を持ちますが、デフォルトで継承された設定と異なる設定にすると、それらよりも優先されます。
アイドル接続のデフォルトのタイムアウトを変更するようにconnection-idle-timeoutを構成します。
アクティビティがない状態で指定した時間が経過した後、クライアント接続は閉じられます。Oracle Directory Server Enterprise EditionのリファレンスのDirectory Proxy Serverのクライアント・リスナーに関する項を参照してください。
$ dpconf get-resource-limits-policy-prop -h host -p port policy-name \ connection-idle-timeout:new-timeout
Directory Proxy Server5.2は、接続ベースのルーターです。Directory Proxy Server 5.2では、クライアント接続は、特定のディレクトリ・サーバーにルーティングされます。そのクライアント接続のすべてのリクエストは、接続が切断されるかまたはクライアントがアンバインドされるまで同じディレクトリ・サーバーに送信されます。
Directory Proxy Server 11g リリース1 (11.1.1.6)は、操作ベースのルーターです。ただし、互換性を保つために、このバージョンのDirectory Proxy Serverは、次の手順で説明するように、接続ベースのルーターとして構成できます。
「接続ハンドラの作成、構成および削除」の説明に従って、1つ以上の接続ハンドラを作成して構成します。
デフォルトの接続ハンドラも使用できます。
リクエストをrootデータ・ビュー
のみにルーティングするようにすべての接続ハンドラを構成します。
次に例を示します。
$ dpconf set-connection-handler-prop -h host1 -p 1389 myConnectionHandler \ data-view-routing-policy:custom data-view-routing-custom-list:"root data view"
「LDAPデータソースの作成および構成」の説明に従って、バックエンドLDAPサーバーそれぞれに対してデータソースを作成して構成します。
次に例を示します。
$ dpconf create-ldap-data-source -h host1 -p 1389 myDataSource host2:2389
「LDAPデータソース・プールの作成および構成」の説明に従って、データソース・プールを作成して構成します。
次に例を示します。
$ dpconf create-ldap-data-source-pool -h host1 -p 1389 myDataSourcePool
「LDAPデータソースのデータソース・プールへのアタッチ」の説明に従って、すべてのデータソースをデータソース・プールにアタッチします。
例:
$ dpconf attach-ldap-data-source -h host1 -p 1389 myDataSourcePool myDataSource
「バインド・リプレイによるリクエストの転送」の説明に従って、バインド・リプレイを使用してクライアントを認証するように各データソースを構成します。
次に例を示します。
$ dpconf set-ldap-data-source-prop -h host1 -p 1389 myDataSource \ client-cred-mode:use-client-identity
「クライアント・アフィニティの構成」の説明に従って、クライアント接続とデータソース・プールの間のアフィニティを構成します。
次に例を示します。
$ dpconf set-ldap-data-source-pool-prop -h host1 -p 1389 myDataSourcePool \ enable-client-affinity:true client-affinity-policy:read-write-affinity-after-write