| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
この章では、Oracle Directory Server Enterprise Edition(ODSEE)のインスタンスと接尾辞を作成および管理する方法について説明します。他の多くのディレクトリ管理タスクは接尾辞レベルで構成されますが、それらは本書の他の章で説明します。
この章では、サーバー・インスタンスと接尾辞を作成する方法について詳しく説明します。Directory Serverのインスタンスと接尾辞を手短に作成し、サンプル・データをインポートする必要がある場合は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionインストレーション・ガイド』のDirectory Server Enterprise Editionのインストールのチェックに関する項を参照してください。
この項では、Directory Serverインスタンスの作成と削除の方法について説明します。
データを管理する前に、コマンドライン・ツールまたはブラウザ・インタフェースDirectory Service Control Center(DSCC)を使用してDirectory Serverインスタンスを作成する必要があります。DSCCで、Directory Serverインスタンスは単にDirectory Serverと呼ばれることがあります。
Directory Serverインスタンスを作成する場合、Directory Serverに必要なファイルとディレクトリは、指定したinstance-pathで作成されます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
DSCCを使用して新しいサーバー・インスタンスを作成する場合は、既存のサーバーからサーバー構成の設定の一部またはすべてをコピーするよう選択できます。
dsadmコマンドを使用して、Directory Serverインスタンスおよびローカル・ホスト上のそのインスタンスに属するファイルを管理できます。このコマンドではネットワーク上のサーバーを管理できません。ローカル・ホストでの直接管理のみとなります。dsadmコマンドには、主要な各管理タスク用のサブコマンドがあります。詳細は、dsadmを参照してください。
dsconfコマンドは、LDAPクライアントです。このコマンドでは、実行中のDirectory Serverインスタンスのほぼすべてのサーバー設定を、コマンドラインから構成できます。サーバーは、ローカル・ホストに配置するか、またはネットワーク全体でアクセス可能な別のホストに配置するかを設定できます。dsconfコマンドには、主要な各構成タスク用のサブコマンドがあります。詳細は、dsconfを参照してください。
新しいDirectory Serverインスタンスを作成して、インスタンス・パスを設定します。
$ dsadm create instance-path
このサーバーのディレクトリ・マネージャのパスワードを設定するよう要求されます。
サーバー・インスタンスにデフォルト以外のポート番号またはその他のパラメータを指定するには、dsadmのマニュアル・ページを参照してください。
たとえば、ディレクトリ/local/dsInstで新しいインスタンスを作成するには、次のコマンドを使用します。
$ dsadm create /local/dsInst
Choose the Directory Manager password:
Confirm the Directory Manager password:
Use 'dsadm start /local/dsInst' to start the instance
インスタンスは、ネットワーク・ファイル・システムではなくローカル・ファイル・システム上のディレクトリに作成されます。
サーバー・インスタンスが正しく作成されていることを確認します。
$ dsadm info instance-path
次に例を示します。
$ dsadm info /local/dsInst
Instance Path: /local/dsInst
Owner: user1(group1)
Non-secure port: 1389
Secure port: 1636
Bit format: 64-bit
State: Running
Server PID: 22555
DSCC url: -
SMF application name: -
Instance version: D-A00
ご使用のオペレーティング・システムでサービス管理ソリューションが提供されている場合は、サーバーをサービスとして管理できます。ご使用のオペレーティング・システムに基づき、表4-1のコマンドのいずれかを実行します。
Directory Serverを起動します。
重要: Directory Serverを起動する前に、ネーム・サービス・キャッシュ・デーモン(nscd)が起動されている必要があります。詳細は、オペレーティング・システムのドキュメントを参照してください。
$ dsadm start instance-path
サーバーは実行されますが、データや接尾辞は含まれていません。接尾辞を作成するには、dsconfを使用します。
次のいずれかの方法で、DSCCにサーバー・インスタンスを登録します。
DSCCにログインし、「ディレクトリサーバー」タブの「サーバー」タブで既存のサーバーの登録アクションを使用します。
アプリケーション・サーバー構成により、http://hostname:8080/dscc7またはhttps://hostname:8181/dscc7を使用して、DSCCにアクセスします。
コマンドdsccreg add-serverを使用します。
$ dsccreg add-server -h hostname --description "My DS" /local/dsInst Enter DSCC administrator's password: /local/dsInst is an instance of DS Enter password of "cn=Directory Manager" for /local/dsInst: This operation will restart /local/dsInst. Do you want to continue ? (y/n) y Connecting to /local/dsInst Enabling DSCC access to /local/dsInst Restarting /local/dsInst Registering /local/dsInst in DSCC on hostname.
このコマンドの詳細は、dsccregを参照してください。
Directory Serverインスタンスがスタンドアロンでパスワード・ポリシーを使用する場合、またはDS6-onlyパスワード・ポリシー・モードにすでに移行したレプリケーション・トポロジに属している場合は、インスタンスをこのモードに移行します。
$ dsconf pwd-compat -h host -p port to-DS6-migration-mode ## Beginning password policy compatibility changes . ## Password policy compatibility changes finished. Task completed (slapd exit code: 0). $ dsconf pwd-compat -hhost-pportto-DS6-mode ## Beginning password policy compatibility changes . ## Password policy compatibility changes finished. Task completed (slapd exit code: 0).
これらの操作は、指定された順序で実行する必要があります。
パスワード・ポリシーの互換性の詳細は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド』のパスワード・ポリシーに関する項を参照してください。
サーバー・インスタンスを削除する前に、インスタンスの削除の準備が必要です。次の手順を参照して、サーバー・インスタンスを正しく削除してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Serverを停止します。
$ dsadm stop [--force] instance-path
以前にDSCCを使用してサーバーを登録していた場合は、次のコマンドを使用してサーバーを登録解除します。
$ dsccreg remove-server /local/dsInst Enter DSCC administrator's password: /local/dsInst is an instance of DS Enter password of "cn=Directory Manager" for /local/dsInst: This operation will restart /local/dsInst. Do you want to continue ? (y/n) y Unregistering /local/dsInst from DSCC on localhost. Connecting to /local/dsInst Disabling DSCC access to /local/dsInst Restarting /local/dsInst
詳細は、dsccregのマニュアル・ページを参照してください。
以前にサービス管理ソリューションでサーバー・インスタンスを有効にした場合は、サービスとしてのサーバーの管理を無効にします。
| オペレーティング・システム | コマンド |
|---|---|
|
Solaris 10 |
|
|
Solaris 9 |
|
|
Windows |
|
サーバー・インスタンスを削除します。
$ dsadm delete instance-path
|
注意: このコマンドによって、instance-pathディレクトリの下のすべてが削除されます。 インスタンスがサービスとして有効である場合、またはインスタンスがシステムの起動時に自動的に起動されている場合には、 |
コマンドラインで次のコマンドを使用できます。
dsadm start
dsadm stop
dsadm restart
Directory Serverを作成したUIDおよびGID、またはルートを使用して、これらのコマンドを実行する必要があります。たとえば、user1としてDirectory Serverを実行した場合、user1として、start、stopおよびrestartユーティリティを実行する必要があります。
|
注意: これらのコマンドを使用する場合、次の点にも注意してください。
|
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
ただし、これはサービス管理機能の有効化および無効化の手順には適用されません。サービス管理機能の有効化および無効化は、Directory Serverを起動および停止する際にコマンドラインで実行する必要があります。
dsadmサブコマンドと次で使用されるオプションの詳細は、dsadmを参照してください。
Directory Serverを起動、停止、または再起動するには、次のいずれかを実行します。
サーバーを起動するには、次のように入力します。
$ dsadm start instance-path
たとえば、インスタンス・パス/local/dsInstでサーバーを起動するには、次のコマンドを使用します。
$ dsadm start /local/dsInst
構成を変更した後、起動操作が失敗した場合、次のように--safeオプションを使用します。
$ dsadm start --safe /local/dsInst
サーバーを停止するには、次のように入力します。
$ dsadm stop [--force] instance-path
次に例を示します。
$ dsadm stop --force /local/dsInst
サーバーを再起動するには、次のように入力します。
$ dsadm restart instance-path
次に例を示します。
$ dsadm restart /local/dsInst
次のコマンドを使用して、ホストで実行中のインスタンスをリストします。
dsadm list-running-instances [--all]
-allオプションによって、すべてのインストール・パスの実行中のインスタンスがリストされます。
Directory Serverインスタンスを作成した後、サーバーのディレクトリ情報ツリー(DIT)で1つ以上の接尾辞を作成する必要があります。DITは、サーバー内のすべてのエントリで構成されます。エントリは識別名(DN)で識別されます。DNは階層構造であるため、ツリーのデータを構成するブランチとリーフが作成されます。DITは、接尾辞およびサブ接尾辞の単位で定義および管理されます。DSCCは、これらすべての要素の作成および管理を制御します。または、コマンドライン・ツールを使用することもできます。
ディレクトリ・データの構成化および接尾辞全般の概念については、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』を参照してください。
次の手順で説明されているように、dsconf create-suffixコマンドを使用して、ディレクトリに接尾辞構成を作成できます。ルート接尾辞とサブ接尾辞は、内部的には同様に管理されるので、コマンドラインからそれらを作成する手順はほぼ同じです。この手順では、必要なオプションのみで使用されるdsconf create-suffixコマンドを示しています。このコマンドのその他のオプションの詳細は、dsconfのマニュアル・ページを参照するか、次のコマンドを実行してください。
$ dsconf create-suffix --help
構成エントリは、任意の管理ユーザーが作成できます。ただし、接尾辞の最上位エントリは、ディレクトリ・マネージャによって、またはname="DirAdminDN" content="cn=admin,cn=Administrators,cn=config"などのディレクトリ管理者として作成される必要があります。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
DSCCを使用して新しい接尾辞を作成する場合、既存の接尾辞から接尾辞構成設定の一部またはすべてをコピーできます。
ルートの接尾辞を作成します。
サーバーが稼働していることを確認してから、次のコマンドを入力します。
$ dsconf create-suffix -h host -p port suffix-DN
ここで、suffix-DNは新しい接尾辞の完全なDNです。ルート接尾辞では、表記規則としてドメインコンポーネント(dc)ネーミング属性を使用します。
たとえば、DN dc=example,dc=comの接尾辞を作成する場合、次のコマンドを使用します。
$ dsconf create-suffix -h host1 -p 1389 dc=example,dc=com
このコマンドにより、次のような新しい接尾辞が作成されます。
ルート接尾辞の最上位(ベース)エントリが作成されます。
接尾辞とデータベースの両方に対し、cn=config内に構成エントリが作成されます。
デフォルトのデータベース名は、接尾辞DNに基づきます。
作成した新しい接尾辞を含め、すべての接尾辞の詳細は、次のコマンドを使用してください。
$ dsconf list-suffixes -h host -p port -v
-vオプションを使用すると、詳細モードで表示されます。これは、接尾辞上のエントリ数および任意のレプリケーション情報を表示します。
|
注意: 複数のDirectory Serverインスタンスがある場合、 データベース・ファイルのデフォルト以外のパスを指定する場合、 接尾辞を作成する際に使用できるすべてのオプションを確認するには、dsconfマニュアル・ページを参照してください。 |
|
注意: データベース名には、ASCII (7ビット)英数字、ハイフン(-)およびアンダースコア(_)のみを含めることができます。Directory Serverは、データベース名、ファイル名およびパス名の文字列にマルチバイト文字(中国語や日本語などのキャラクタ・セット)を受け入れません。 この問題を回避するには、マルチバイト文字を持つDirectory Server接尾辞を作成する際に、マルチバイト文字を持たないデータベース名を指定します。たとえば、コマンドラインで接尾辞を作成する場合、 $ dsconf create-suffix --db-name asciiDBName UTF-8SuffixDN 接尾辞のデータベース名に |
必要に応じて、サブ接尾辞を作成します。
$ dsconf create-suffix -h host -p port subSuffix-DN
その後、サブ接尾辞をルート接尾辞にアタッチします。
$ dsconf set-suffix-prop -h host -p port subSuffix-DN parent-suffix-dn:parentSuffix-DN
ここで、parentSuffix-DNは、前の手順のsuffix-DNと同じ値を持つ必要があります。サブ接尾辞のsuffix-DNには、サブ接尾辞の相対識別名(RDN)とその親接尾辞のDNが含まれます。
たとえば、サブ接尾辞ou=Contractors,dc=example,dc=comを作成し、そのサブ接尾辞をルートを接尾辞にアタッチするには、次のように入力します。
$ dsconf create-suffix -h host1 -p 1389 ou=Contractors,dc=example,dc=com $ dsconf set-suffix-prop -h host1 -p 1389 ou=Contractors,dc=example,dc=com \ parent-suffix-dn:dc=example,dc=com
エントリをディレクトリに追加する際に、サーバーのデータベース・モジュールは、次のディレクトリにデータベース・ファイルを自動的に作成します。
instance-path/db/database-name
ここで、database-nameは接尾辞の一部から自動的に構築された名前です。たとえば、前の例ではdatabase-nameはContractorsとなります。
接尾辞をデータで初期化します。「接尾辞の初期化」を参照してください。
場合によっては、保守のために接尾辞を使用不可にしたり、セキュリティ上の理由からその内容を使用不可にする必要のあることがあります。接尾辞を無効にすることによって、クライアント操作に応えてサーバーが接尾辞の内容を読書きすることを防げます。接尾辞を無効にすると、その接尾辞にアクセスすることはできなくなり、リフェラル・モードは自動的に無効になります。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
接尾辞を無効にします。
$ dsconf set-suffix-prop -h host -p port suffix-DN enabled:off
|
注意: レプリケートされた接尾辞のほとんどのプロパティがレプリケーション・メカニズムによって決定されるため、レプリケーションが有効になっている接尾辞は無効にできません。 |
接尾辞を有効にします。
$ dsconf set-suffix-prop -h host -p port suffix-DN enabled:on
接尾辞を完全に無効にすることなく接尾辞へのアクセスを制限するには、アクセス権を変更して、読取り専用アクセスを許可することもできます。この場合、書込み操作に対しては、別のサーバーへのリフェラルを定義する必要があります。また、読取りアクセスと書込みアクセスの両方を拒否し、接尾辞へのすべての操作に対するリフェラルを定義できます。
さらに、リフェラルを使用して、クライアント・アプリケーションが一時的に別のサーバーを使用するように設定することもできます。たとえば、接尾辞の内容をバックアップしている間、別の接尾辞へリフェラルを追加できます。
接尾辞がレプリケートされた環境のコンシューマである場合、レプリケーション・メカニズムによって、リフェラル設定の値が決まります。リフェラルの設定は手動で変更できますが、リフェラルは次のレプリケーションの更新時に上書きされます。レプリケーションのリフェラルの設定の詳細は、「詳細コンシューマ構成を実行するには:」を参照してください。
リフェラルはラベル化されたURLなので、LDAP URLには空白文字とラベルが続く場合があります。次に例を示します。
ldap://phonebook.example.com:389/
または
ldap://phonebook.example.com:389/ou=All%20People,dc=example,dc=com
空白文字は文法的意味を持つので、リフェラルのURL部分にある空白文字は、%20を使用してエスケープする必要があります。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リフェラルのURLを設定します。
$ dsconf set-suffix-prop -h host -p port suffix-DN referral-url:LDAP-URL
ここでLDAP-URLは、ターゲットのホスト名、ポート名、DNを含む有効なURLです。
次に例を示します。
$ dsconf set-suffix-prop -h host1 -p 1389 dc=example,dc=com \ referral-url:ldap://phonebook.example.com:389/
LDAP URLは任意の個数を指定できます。
接尾辞を読取り専用にするためにリフェラル・モードを設定します。
$ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:only-on-write
接尾辞を読取りも書込みもできないようにし、すべてのリクエストにリフェラルを返すにはreferral-modeをenabledに設定します。
コマンドが正常に実行されるとすぐに、接尾辞は読取り専用またはアクセス不可になり、リフェラルを返す準備ができます。
接尾辞が使用できるようになったら、再び接尾辞の読書きができるようにリフェラルを無効にします。
$ dsconf set-suffix-prop -h host -p port suffix-DN referral-mode:disabled
リフェラルが無効になると、接尾辞のenabledプロパティをoffに設定して接尾辞自体を無効にしていないかぎり、接尾辞は自動的に読書き可能になります。
次のような方法で、データをDirectory Server接尾辞にインポートできます。
LDIFファイルから接尾辞を初期化します。この操作により、接尾辞内の現在のデータが削除され、LDIFファイルの内容と置き換えられます。
ldapadd、ldapmodify、またはldapdelete操作をまとめて実行するには、LDIFファイルを使用します。これにより、ディレクトリの任意の接尾辞内で、エントリをまとめて追加、変更、削除できます。
|
注意: オフライン・インポート( |
次の表は、接尾辞の初期化と、エントリの一括の追加、変更、削除の違いを示しています。
表4-2 接尾辞の初期化と一括変更の実行との差異
| 比較ドメイン | 接尾辞の初期化 | エントリの一括の追加、変更および削除 |
|---|---|---|
|
内容 |
内容を上書きする |
内容を上書きしない |
|
LDAP操作 |
N/A |
追加、変更、削除 |
|
パフォーマンス |
高速 |
低速 |
|
サーバーの障害への対応 |
原子性(障害が発生するとすべての変更内容は失われる) |
ベスト・エフォート(障害発生時までの変更内容はそのまま残る) |
|
LDIFファイルの場所 |
サーバーからアクセス可能 |
クライアント・マシン上 |
|
コマンド |
サーバーがローカルにあり、停止している場合:
サーバーがリモートにあり、実行中の場合:
|
注意: |
接尾辞を初期化すると、接尾辞に含まれている既存のデータが、追加するエントリのみを含むLDIFファイルの内容によって上書きされます。
接尾辞を初期化するユーザーは、ディレクトリ・マネージャまたは管理者としての認証を受けている必要があります。
サーバーが実行中の場合、ルート・エントリを含むLDIFファイルをインポートできるのは、ディレクトリ・マネージャと管理者のみです。セキュリティ上の理由により、これらのユーザーのみが、たとえばdc=example,dc=comのような接尾辞のルート・エントリへのアクセス権を持ちます。
レプリケーション承諾に関連する接尾辞をリストアする前に、「レプリケートされた接尾辞のリストア」をお読みください。
|
注意:
|
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
次のコマンドのいずれかを使用して、LDIFファイルから接尾辞を初期化します。つまり、データベースの内容をLDIFファイルにインポートします。
|
注意: 次のコマンドで、接尾辞のデータを上書きします。 |
サーバーがローカルかつ停止中の場合、次を入力します。
$ dsadm import instance-path LDIF-file suffix-DN
次の例では、dsadm importコマンドを使用して、2つのLDIFファイルを1つの接尾辞にインポートします。
$ dsadm import /local/dsInst /local/file/example/demo1.ldif \ /local/file/example/demo2.ldif dc=example,dc=com
(ローカルでもリモートでも)サーバーが実行中の場合は、次のように入力します。
$ dsconf import -h host -p port LDIF-file suffix-DN
次の例では、dsconf importを使用してLDIFファイルをインポートします。このコマンドを実行するためにroot権限は必要ありませんが、ディレクトリ・マネージャなどのroot権限を持つユーザーとして認証される必要があります。
$ dsconf import -h host1 -p 1389 /local/file/example/demo1.ldif \ ou=People,dc=example,dc=com
gzip圧縮ファイルをインポートできます。例:
$ dsadm import /local/dsInst /local/file/example/demo2.ldif.gz \ /local/file/example/demo2.ldif dc=example,dc=com $ dsconf import -h host1 -p 1389 /local/file/example/demo2.ldif.gz \ ou=People,dc=example,dc=com
詳細は、dsadmについての説明およびdsconfについての説明のマニュアル・ページを参照してください。
コマンドライン・ツールを使用するサンプルは、使用しているディレクトリのdc=example,dc=com接尾辞の下に存在するサンプル・データを使用します。
dc=example,dc=comを作成することで、必要なデータの一部を設定できます。これで、install-path/dsee7/resources/ldif/Example.ldifファイルから接尾辞にエントリを移入できます。
新しいDirectory Serverインスタンスを作成して、インスタンスを起動します。
$ dsadm create -p port -P SSL-port instance-path $ dsadm start instance-path
Example.ldifファイルで、サンプルに必要なバインド・パスワードを確認します。
次のコマンドを使用し、接尾辞を作成してExample.ldifの内容をディレクトリにロードします。
$ dsconf create-suffix -h localhost -p 1389 dc=example,dc=com $ dsconf import -h localhost -p 1389 \ install-path/dsee7/resources/ldif/Example.ldif dc=example,dc=com
詳細は、「Directory Serverインスタンスを作成するには:」を参照してください。
次の手順に示すmakeldifコマンドと次のテンプレートを使用して、サンプル用のテスト・データを生成します。
define suffix=dc=example,dc=com
define maildomain=example.com
branch: ou=test,[suffix]
subordinateTemplate: person:100
template: person
rdnAttr: uid
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
givenName: <first>
sn: <last>
cn: {givenName} {sn}
initials: {givenName:1}{sn:1}
employeeNumber: <sequential>
uid: test{employeeNumber}
mail: {uid}@[maildomain]
userPassword: auth{employeeNumber}{employeeNumber}
telephoneNumber: <random>
description: This is the description for {cn}.
test.templateファイルを作成して、前述のように、その中にテンプレートの内容をコピーします。次のようなコマンドを使用して、test.ldifにデータを生成し、その内容をディレクトリにロードします。
|
注意:
|
$ cd install-path/dsee7/dsrk/bin/example_files
$ ../makeldif -t test.template -o test.ldif
Processing complete.
101 total entries written.
$ ../ldapmodify -a -c -D uid=hmiller,dc=example,dc=com -w - -f test.ldif
Enter bind password:
…
Example.ldifを確認すると、hmillerのパスワードはhillockであることがわかります。
|
注意:
|
ldapmodify操作を実行すると、エントリをまとめて追加、変更または削除できます。エントリは、既存のエントリを変更または削除するための更新文を含むLDIFファイルに指定されています。この操作では、すでに存在しているエントリは消去しません。
変更されたエントリは、Directory Serverで管理される接尾辞の対象となることがあります。エントリを追加する他の処理と同様に、インポートされた新しいエントリすべてに索引が付けられます。
ldapmodifyコマンドによって、LDAPによってLDIFファイルがインポートされ、このファイルに含まれるすべての操作が実行されます。このコマンドを使用すると、すべてのディレクトリ接尾辞のデータを同時に変更できます。
レプリケーション承諾に関連する接尾辞をリストアする前に、「レプリケートされた接尾辞のリストア」を参照してください。
|
注意: インポートするすべてのLDIFファイルでは、UTF-8キャラクタ・セット・エンコードが使用されている必要があります。 LDIFファイルをインポートするときは、ディレクトリ内に親エントリが存在するか、ファイルから親エントリを最初にコピーする必要があります。 |
LDIFファイルからまとめて追加、変更または削除します。
$ ldapmodify -D cn=admin,cn=Administrators,cn=config -w - -B baseDN -f LDIF-file
次の例では、ldapmodifyコマンドを使用してインポートが実行されます。このコマンドを実行するためにroot権限は必要ありませんが、cn=Directory Managerまたはname="DirAdminDN" content="cn=admin,cn=Administrators,cn=config"などのroot権限を持つユーザーとして認証される必要があります。最後のパラメータは、インポートするLDIFファイルの名前を指定するものです。
$ ldapmodify -D cn=admin,cn=Administrators,cn=config -w - \ -B dc=example,dc=com -f /local/dsInst/ldif/demo.ldif
接尾辞を削除すると、DITからそのブランチ全体が削除されます。
|
注意: 接尾辞を削除すると、ディレクトリからそのデータ・エントリすべてが完全に削除されます。レプリケーション構成を含む接尾辞構成情報もすべて削除されます。 |
親接尾辞を削除し、そのサブ接尾辞をDITで新しいルート接尾辞として保持することはできません。サブ接尾辞が含まれるブランチ全体を削除する場合は、削除する親のサブ接尾辞とさらに持ちうるそれぞれのサブ接尾辞も削除する必要があります。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
接尾辞の構成エントリを削除します。
$ dsconf delete-suffix -h host -p port [subSuffix-DN] suffix-DN
このコマンドによって、suffix-DNのベース・エントリで始まる接尾辞がサーバーから削除されます。これで、接尾辞はディレクトリに表示されなくなり、アクセスできなくなります。
Directory Server 11gリリース1 (11.1.1.6)では、オフラインでの接尾辞の圧縮がサポートされます。このリリースでは、オンラインでの圧縮はサポートされません。記憶領域を使用できる場合、接尾辞を圧縮すると、データベース・キーが再編成されることによりデータベースのサイズが縮小され、記憶領域が適宜ファイルシステムに返されます。接尾辞を圧縮することにより、ディスクのフットプリントも縮小します。アプリケーション・データはデータベース・キーの管理方法に基づいて処理されるわけではないので、記憶領域が取り戻されるかは保証されません。ただし、データベースのサイズは大きくなりません。
開始する前に
十分なディスク領域を確保してください。
接尾辞の圧縮では、圧縮される最大の接尾辞の大きさの2倍以上の空きディスク領域が必要になります。この空きディスク領域は、一時ファイルでも必要になります。たとえば、次の3つの接尾辞を圧縮するとします。
o=suffix1 : 300 Gb o=suffix2 : 170 Gb o=suffix3 : 633 Gb
サーバーには少なくとも、633 * 2 = 1266 Gbの空きディスク領域が必要です。
サーバーを停止してデータベースをバックアップしてから、このタスクを実行します。
必要な接尾辞を圧縮します。
$ dsadm repack instance-path suffix-dn
指定された接尾辞に関連するすべての.db3ファイルが圧縮されます。
-bオプションを指定してこのコマンドを実行する場合、接尾辞DNのかわりに、バックエンド・データベース名を指定できます。少なくとも1つの接尾辞または1つのバックエンドを指定する必要があります。
詳細は、dsadmに関する説明のマニュアル・ページを参照してください。
ODSEE 11gR1では、DSEE 6以降からアップグレードされているインスタンスに応じて、エントリを様々な表現で保存できます。LDAP操作を使用して単一のエントリを変更する場合、ODSEEは現在構成されている形式を使用してそれらのエントリを変更します。変更されていないエントリは、そのまま変わりません。ただし、現在の構成はディスク上のものとは異なることがあり、必ずしもLDAPを介してすべてのエントリを変更できるとはかぎりません。そのような場合、接尾辞をリライトして、データベース内のすべてのエントリを一度に変換またはアップグレードできます。これは、次のような場合に便利です。
ODSEEのアップグレードされたインスタンス内にあるすべてのディレクトリ・エントリを7.x形式に変換する場合
LDIF構成ファイルにds-compressed-entries、ds-compression-mode、ds-entry-crcなどの新しい構成値を含めるように、7.x ODSEEインスタンス内のすべてのエントリを更新する場合
パスワード・ポリシーの移行
次のコマンドのいずれかを使用します。
サーバーがローカルかつ停止中の場合、次を入力します。
$ dsadm rewrite instance-path suffix-DN
(ローカルでもリモートでも)サーバーが実行中の場合は、次のように入力します。
$ dsconf rewrite -h host -p portsuffix-DN
このコマンドを実行するためにroot権限は必要ありませんが、ディレクトリ・マネージャなどのroot権限を持つユーザーとして認証される必要があります。
詳細は、dsadmについての説明およびdsconfについての説明のマニュアル・ページを参照してください。
