| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
Oracle Directory Server Enterprise Edition(ODSEE)には、レプリケートされた環境で複数のサーバー、インスタンスおよび接尾辞を管理するためのブラウザ・インタフェースおよびコマンドライン・ツールが用意されています。この章では、Directory Server管理ツールの概要について説明します。
この章の内容は、次のとおりです。
Directory Serverの管理フレームワークについては、このドキュメント・セットの別のドキュメントで説明しています。
Directory Serverの管理フレームワークの概要については、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のDirectory Server Enterprise Editionの管理モデルに関する項を参照してください。
Directory Serverの管理フレームワークの詳細は、Oracle Directory Server Enterprise Editionのリファレンスの第2章のDirectory Serverの概要に関する章を参照してください。
Directory Server Enterprise Editionには、Directory ServerとDirectory Proxy Serverを管理するためのユーザー・インタフェースが2つあります。ブラウザ・インタフェースであるDirectory Service Control Center(DSCC)とコマンドライン・インタフェースです。
このマニュアルの手順のほとんどは、コマンドラインまたはDSCCを使用して実行できます。このマニュアルの手順は、コマンドラインを使用して手順を実行する方法を説明しています。ほとんどの場合、DSCCを使用しても同じ作業を実行できます。DSCCが特定の手順に使用できる場合、手順の初めにその旨が表記されています。
DSCCのオンライン・ヘルプには、DSCCを使用してこのマニュアルの手順を実行する詳細な指示が記載されています。
DSCCは、次の項で説明するように、一部の操作と作業をコマンドラインから実行するより簡単に実行できます。一般に、いくつかのサーバーに適用するコマンドは、DSCCを使用した方がうまくいきます。
DSCCは、DSCCに登録されているすべてのサーバー・インスタンスと構成されているすべての接尾辞、およびそれぞれの状態を表に表示します。
サーバーの表は、「ディレクトリサーバー」タブにあり、サーバーの稼働状態を示します。サーバーのとりうる状態のリストは、Directory Serverのオンライン・ヘルプを参照してください。
接尾辞の表は「接尾辞」タブにあり、エントリの数やレプリケートされてない変更の数や経過時間など、レプリケーション状態の情報を示します。この表に表示される情報の詳細は、Directory Serverのオンライン・ヘルプを参照してください。
サーバー・グループによって、サーバーの監視や構成を円滑に行えます。グループを作成し、そのグループにサーバーを割り当てられます。たとえば、地理的な位置や機能によってサーバーをグループ化できます。サーバーが多数ある場合、グループ内のサーバーのみが「ディレクトリサーバー」タブに表示されるようにサーバーにフィルタを適用できます。また、あるサーバーのサーバー構成(たとえば、索引やキャッシュ設定など)をグループ内の他のすべてのサーバーにコピーすることもできます。サーバー・グループの設定と使用方法の詳細は、Directory Serverのオンライン・ヘルプを参照してください。
DSCCでは、既存のサーバー、接尾辞、またはレプリケーション承諾の構成設定を1つまたは複数の他のサーバー、接尾辞、またはレプリケーション承諾にコピーできます。これらの作業の実行方法の詳細は、Directory Serverのオンライン・ヘルプを参照してください。
DSCCを使用すると、レプリケーション・トポロジをすばやく簡単に設定できます。単純にサーバー・インスタンスを作成し、DSCCによって提供される手順を使用して、各サーバーのロールを割り当てます。DSCCによってレプリケーション承諾が自動的に作成されます。DSCCを使用してレプリケーションを構成する方法の詳細は、Directory Serverのオンライン・ヘルプを参照してください。
DSCCで実行する作業のほとんどは、コマンドライン・ツールを使用して実行できます。これらのツールによって、コマンドラインから直接Directory Serverを管理し、スクリプトを使用してサーバーを管理できます。
主なディレクトリ・サーバーのコマンドは、dsadm、dsconfおよびdsutilです。これらのコマンドを使用して、バックアップ、LDIFへのエクスポート、証明書の管理、ユーザーやロールの管理などを行えます。これらのコマンドの詳細は、dsadmについての説明、dsconfについての説明およびdsutilについての説明のマニュアル・ページを参照してください。
dsconf、dsmig、dsccmonおよびdsutilはLDAPベースのコマンドなので、認証を行うにはこれらのコマンドのユーザー・バインドDNとパスワードを指定する必要があります。一方、dpadmコマンドとdsadmコマンドはインスタンス・ファイルで動作します。
この項では、Directory Serverコマンドライン・ツールの次の情報について説明します。
Directory Serverコマンドライン・ツールは、デフォルト・インストール・ディレクトリにあります。
install-path/bin
インストール・ディレクトリは、オペレーティング・システムによって異なります。すべてのオペレーション・システムのインストール・パスは、「デフォルト・パスとコマンドの場所」にリストされています。
dsconfの環境変数の設定dsconfコマンドでは、いくつかのオプションが必要となりますが、それらは環境変数によってあらかじめ設定できます。コマンドを使用する際にオプションが指定されていない場合や、環境変数が設定されていない場合は、デフォルト設定が使用されます。次のオプションに対して環境変数を構成できます。
-D user DNユーザーのバインドDN。環境変数: LDAP_ADMIN_USER。デフォルト: cn=Directory Manager。
-w password-fileユーザーのバインドDNのパスワード・ファイル。環境変数: LDAP_ADMIN_PWF。デフォルト: パスワード入力用のプロンプトを表示する。
-h hostホスト名。環境変数: DIRSERV_HOST。デフォルト: local host。
-p LDAP-portLDAPポート番号。環境変数: DIRSERV_PORT。デフォルト: 389。
-e, --unsecureddsconfがデフォルトで開くクリア接続を指定します。環境変数: DIRSERV_UNSECURED。この変数が設定されていない場合、dsconfはデフォルトでセキュアな接続を開きます。
詳細は、dsconfに関する説明のマニュアル・ページを参照してください。
dsadmとdsconfの比較次の表に、dsadmコマンドとdsconfコマンドの比較を示します。
表1-1 dsadmコマンドとdsconfコマンドの比較
dsadmコマンド |
dsconfコマンド |
|
|---|---|---|
|
説明 |
ローカル・ホストで直接実行する必要がある管理コマンド。次に例を示します。
|
リモート・ホストから実行できる管理コマンド。次に例を示します。
|
|
注意 |
サーバーは停止している必要があります( サーバーはサーバー・インスタンス・パス(instance-path)によって特定されます。 サーバー・インスタンス・パスへのOSアクセス権を持っている必要があります。 |
サーバーが稼働している必要があります。 サーバーはホスト名( ポート番号を特定しないと、 たとえば、ユーザーcn=admin,cn=Administrators,cn=configなど構成データへのLDAPアクセス権を持っている必要があります。 |
dsadm、dsconfおよびdsutilを使用するためのヘルプの表示dsadmコマンド、dsconfコマンドおよびdsutilコマンドの使用方法の詳細は、dsadmについての説明、dsconfについての説明およびdsutilについての説明のマニュアル・ページを参照してください。
サブコマンドのリストを取得するには、次の該当コマンドを入力します。
$ dsadm --help $ dsconf --help $ dsutil --help
サブコマンドの使用方法についての説明を表示するには、次の該当するコマンドを入力します。
$ dsadm subcommand --help $ dsconf subcommand --help $ dsutil subcommand --help
dsconfを使用した構成プロパティの変更dsconfの様々なサブコマンドを使用して、ユーザーは構成プロパティを表示したり、変更したりできます。
Directory Serverで使用する構成プロパティをリストするには、次のように入力します。
$ dsconf help-properties
特定のプロパティを見つけるには、ヘルプ・プロパティの出力を検索します。
たとえば、UNIXプラットフォームを使用している場合は、リフェラルに関連するプロパティをすべて検索するには、次のコマンドを使用します。
$ dsconf help-properties | grep -i referral
SER referral-url rw M LDAP_URL | undefined
Referrals returned to clients requesting a DN not stored in this
Directory Server (Default: undefined)
SUF referral-mode rw disabled|enabled|only-on-write
Specifies how referrals are used for requests involving the suffix
(Default: disabled)
SUF referral-url rw M LDAP_URL | undefined
Server(s) to which updates are referred (Default: undefined)
SUF repl-rewrite-referrals-enabled rw on|off
Specifies whether automatic referrals are overwritten (Default: off)
プロパティは、接尾辞(SUF)やサーバー(SER)などターゲット・オブジェクトによってグループ化されることに注意してください。rwキーワードは、そのプロパティが読書き可能であることを示します。MMキーワードは、そのプロパティが複数の値を持つことを示します。
サーバー属性を表示するには、冗長モードを使用します。たとえば、UNIXシステムでは次のように入力します。
$ dsconf help-properties -v | grep -i referral-mode
SUF referral-mode rw disabled|enabled|only-on-write nsslapd-state
Specifies how referrals are used for requests involving the suffix
(Default: disabled)
個々のプロパティの詳細は、各プロパティのマニュアル・ページを参照してください。このマニュアル・ページは、Oracle Directory Server Enterprise Editionのマニュアル・ページ・リファレンスにあります。
dsconfによる複数値プロパティの設定特定のDirectory Serverプロパティは複数の値を使用できます。これらの値を指定する構文は、次のとおりです。
$ dsconf set-container-prop -h host -p port container-name \ property:value1 property:value2
たとえば、サーバーに対して複数の暗号化方式を設定するには、次のコマンドを使用します。
$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \ ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
すでに値が含まれている複数値プロパティに値を追加するには、次の構文を使用します。
$ dsconf set-container-prop -h host -p port container-name property+:value
すでに値が含まれている複数値プロパティから値を削除するには、次の構文を使用します。
$ dsconf set-container-prop -h host -p port container-name property-:value
たとえば、前述のシナリオで、暗号化方式のリストにSHA暗号化方式を追加するには、次のコマンドを実行します。
$ dsconf set-server-prop -h host1 -p 1389 \ ssl-cipher-family+:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
このリストからMD5暗号化方式を削除するには、次のコマンドを実行します。
$ dsconf set-server-prop -h host1 -p 1389 ssl-cipher-family-:SSL_RSA_WITH_RC4_128_MD5
dsutilコマンドの操作dsutilコマンドが正常に動作するには、次のACIを作成する必要があります。
$ldapmodify -h host -p port -D cn=admin,cn=Administrators,cn=config -w - -c dn: cn=config changetype: modify add: aci aci: (targetattr="*")(version 3.0; acl "Allow the Suffix Manager to browse the tree"; \ allow (read,search,compare)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="nsslapd-rootpw")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="userPassword")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";) aci: (targetattr="dsKeyedPassword")\ (version 3.0; acl "Prevent the Suffix Manager from accessing passwords"; \ deny (all)userdn = "ldap:///$USERSFXADMIN";)
dsutilコマンドの詳細は、dsutilを参照してください。
マニュアル・ページには、Directory Serverで使用するコマンドと属性すべての説明が記載されています。さらに、マニュアル・ページにはデプロイメントでコマンドを使用する方法についての有用な例もいくつか記載されています。
