Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
この章では、Directory Proxy Serverのインスタンスの管理方法について説明します。この章の内容は次のとおりです。
Directory Proxy Serverのインスタンスを作成すると、インスタンスで必要なファイルおよびディレクトリが指定したパスに作成されます。
この手順では、dpadm
コマンドを使用して、ローカル・ホスト上にサーバー・インスタンスを作成します。さらに、dpconf
コマンドを使用して、インスタンスを構成します。
root
以外のユーザーでもサーバー・インスタンスを作成できます。
Directory Proxy Serverインスタンスは、データ・ビューを介して、データソースへディレクトリ・クライアント・アプリケーション・リクエストをプロキシするように構成する必要があります。インスタンスを起動または停止するときは、ディレクトリ・クライアント・アプリケーション・リクエストをプロキシするサーバー・プロセスを起動または停止します。
dpadm
コマンドにより、ローカル・ホスト上のDirectory Proxy Serverインスタンスとそのインスタンスに属するファイルを管理できます。このコマンドではネットワーク上のサーバーを管理できません。ローカル・ホストでの直接管理のみとなります。dpadm
コマンドには、主要な各管理タスク用のサブコマンドがあります。詳細は、dpadmについての説明を参照してください。
dpconf
コマンドはLDAPクライアントです。このコマンドでは、実行中のDirectory Proxy Serverインスタンスのほぼすべてのサーバー設定を、コマンドラインから構成できます。サーバーは、ローカル・ホストに配置するか、またはネットワーク全体でアクセス可能な別のホストに配置するかを設定できます。dpconf
コマンドには、主要な各構成タスク用のサブコマンドがあります。詳細は、dpconfについての説明を参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
DSCCを使用して新しいサーバー・インスタンスを作成する場合は、既存のサーバーからサーバー設定の一部またはすべてをコピーするよう選択できます。
注意: Directory Proxy Serverを初めて起動する際に、Directory Proxy Serverは、使用中のJVMから情報を取得します。この情報をDirectory Proxy Serverが取得した後で、JVMの新しいバージョンにアップグレードできますが、JVMの古いバージョンには戻せません。 |
Directory Proxy Serverのインスタンスを作成します。
$ dpadm create -p port instance-path
たとえば、ディレクトリ/local/dps
に新しいインスタンスを作成するには、次のコマンドを使用します。
$ dpadm create -p 2389 /local/dps
インスタンスの他のパラメータを指定するには、dpadmのマニュアル・ページを参照してください。
パスワードを入力します(必要な場合)。
インスタンスのステータスを確認して、インスタンスが作成されたことを確認します。
$ dpadm info instance-path
次のいずれかの方法で、DSCCにサーバー・インスタンスを登録します。
DSCCにログインし、「プロキシサーバー」タブの既存のサーバーの登録アクションを使用します。
アプリケーション・サーバー構成によって、http://
hostname
:8080/dscc7
またはhttps://
hostname
:8181/dscc7
を使用して、DSCCにアクセスします。
コマンドdsccreg add-server
を使用します。
$ dsccreg add-server -h hostname --description "My Proxy" /local/dps Enter DSCC administrator's password: /local/dps is an instance of DPS Enter password of "cn=Proxy Manager" for /local/dps: Connecting to /local/dps Enabling DSCC access to /local/dps Registering /local/dps in DSCC on hostname.
このコマンドの詳細は、dsccregを参照してください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverのインスタンスのステータスを検索します。
$ dpadm info instance-path
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverを起動または停止するには、次のいずれかを行います。
Directory Proxy Serverの停止またはDirectory Proxy Serverのメンテナンス操作の開始前に、静止モードを有効化することによって、有効なサーバー接続を中断するリスクを減らすことができます。静止モードが有効化されていると、クライアントの新規接続のリクエストは、Directory Proxy Serverによって即座に拒否されます。クライアントが接続を終了すると、Directory Proxy Serverは、開いている接続が存在しない管理状態に徐々に移行します。開かれている接続がなくなると、メンテナンス・タスクの開始、Directory Proxy Serverの停止や再起動を安全に行うことができます。
静止モード中にも、管理者のリクエストの受入れは続行されます。これによって管理者は、引き続き構成を変更できたり、必要に応じて通常の操作を再開できます。
静止モードを有効化するには
$ dpconf enable-quiesce-mode
静止モードを無効化するには
$ dpconf disable-quiesce-mode
次のコマンドを使用して、ホストで実行中のインスタンスをリストします。
dpadm list-running-instances [--all]
--all
オプションによって、すべてのインストール・パスの実行中のインスタンスがリストされます。
次のコマンドを使用して、ホストで実行中のインスタンスを停止します。
dpadm stop-running-instances [-i] [--force]
詳細は、dpadmに関する説明を参照してください。
構成の変更を有効にするには、サーバーの再起動が必要となる場合があります。次の手順を使用して、構成変更後にDirectory Proxy Serverインスタンスを再起動する必要があるかどうかをチェックします。
サーバーを再起動する必要があるかどうかを確認します。
$ dpconf get-server-prop -h host -p port is-restart-required
コマンドがtrue
を返す場合、Directory Proxy Serverインスタンスを再起動する必要があります。
コマンドがfalse
を返す場合、Directory Proxy Serverインスタンスを再起動する必要はありません。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverを再起動します。
$ dpadm restart instance-path
たとえば、/local/dps
でインスタンスを再起動するには、次のコマンドを使用します。
$ dpadm restart /local/dps
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverインスタンスを停止します。
$ dpadm stop instance-path
ユーザーがインスタンスを停止しない場合は、削除コマンドにより自動的に停止します。ただし、サービス管理ソリューションでインスタンスを有効にしている場合、手動で停止する必要があります。
以前からDSCCを使用してサーバーを管理していた場合は、コマンドラインを使用してサーバーの登録を解除します。
$ dsccreg remove-server /local/dps
Enter DSCC administrator's password:
/local/dps is an instance of DPS
Enter password of "cn=Proxy Manager" for /local/dps:
Unregistering /local/dps from DSCC on localhost.
Connecting to /local/dps
Disabling DSCC access to /local/dps
詳細は、dsccregのマニュアル・ページを参照してください。
以前にサービス管理ソリューションでサーバー・インスタンスを有効にした場合は、サービスとしてのサーバーの管理を無効にします。
オペレーティング・システム | コマンド |
---|---|
Solaris 10 |
|
Solaris 9 |
|
Windows |
|
$ dpadm delete instance-path
この項では、Directory Proxy Serverインスタンスの構成方法について説明します。この項の手順では、dpadm
およびdpconf
コマンドを使用します。これらのコマンドの詳細は、dpadmおよびdpconfのマニュアル・ページを参照してください。
$ dpconf info -p port Instance Path : instance path Host Name : host Secure listen address : IP address Port : port Secure port : secure port SSL server certificate : defaultServerCert Directory Proxy Server needs to be restarted.
dpconf info
では、Secure listen address
とNon-secure listen address
は、これらのプロパティがデフォルト以外の値に設定されている場合のみ、表示されます。この出力では、Non-secure listen address
は、プロパティがデフォルト値に設定されているので表示されません。
また、必要な場合、dpconf info
はインスタンスを再起動するようユーザーに促します。
dpadm info
INSTANCE_PATH
を使用しても、Directory Proxy Serverインスタンスの構成情報を表示できます。
この項では、Directory Proxy Serverの構成の変更方法について説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverの現在の構成を調べます。
$ dpconf get-server-prop -h host -p port allow-cert-based-auth : allow allow-ldapv2-clients : true allow-persistent-searches : false allow-sasl-external-authentication : true allow-unauthenticated-operations : true allow-unauthenticated-operations-mode : anonymous-and-dn-identified allowed-ldap-controls : - cert-data-view-routing-custom-list : none cert-data-view-routing-policy : all-routable cert-search-attr-mappings : none cert-search-base-dn : none cert-search-bind-dn : none cert-search-bind-pwd : none cert-search-user-attr : userCertificate compat-flag : none configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {AES128}5JaqMN538KNtyACpy90i+g== connection-pool-wait-timeout : 3s data-source-read-timeout : 20s data-view-automatic-routing-mode : automatic email-alerts-enabled : false email-alerts-message-from-address : local email-alerts-message-subject : Proxy Server Administrative Alert email-alerts-message-subject-includes -alert-code : true email-alerts-message-to-address : root@localhost email-alerts-smtp-host : localhost email-alerts-smtp-port : smtp enable-remote-user-mapping : false enable-user-mapping : false enabled-admin-alerts : all enabled-ssl-cipher-suites : JRE enabled-ssl-protocols : SSLv3 enabled-ssl-protocols : TLSv1 encrypt-configuration : true extension-jar-file-url : none is-restart-required : false number-of-psearch-threads : 5 number-of-search-threads : 20 number-of-worker-threads : 100 proxied-auth-check-timeout : 30m remote-user-mapping-bind-dn-attr : none revert-add-on-failure : true scriptable-alerts-command : echo scriptable-alerts-enabled : false search-mode : sequential search-wait-timeout : 10s ssl-client-cert-alias : none ssl-server-cert-alias : defaultServerCert supported-ssl-cipher-suites : SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_DSS_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DHE_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_DH_anon_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_DH_anon_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_DES40_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_DES_CBC_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_NULL_SHA supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_MD5 supported-ssl-cipher-suites : SSL_RSA_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_DHE_DSS_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DHE_RSA_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_DH_anon_WITH_AES_128_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_MD5 supported-ssl-cipher-suites : TLS_KRB5_EXPORT_WITH_RC4_40_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_3DES_EDE_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_DES_CBC_SHA supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_MD5 supported-ssl-cipher-suites : TLS_KRB5_WITH_RC4_128_SHA supported-ssl-cipher-suites : TLS_RSA_WITH_AES_128_CBC_SHA supported-ssl-protocols : SSLv2Hello supported-ssl-protocols : SSLv3 supported-ssl-protocols : TLSv1 syslog-alerts-enabled : false syslog-alerts-facility : USER syslog-alerts-host : localhost time-resolution : 250ms time-resolution-mode : custome-resolution use-cert-subject-as-bind-dn : true use-external-schema : false user-mapping-anonymous-bind-dn : none user-mapping-anonymous-bind-pwd : none user-mapping-default-bind-dn : none user-mapping-default-bind-pwd : none verify-certs : false
$ dpconf get-server-prop -h host -p port property-name ...
たとえば、未認証の操作が許可されているかどうかを調べるには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port allow-unauthenticated-operations allow-unauthenticated-operations : true
$ dpconf set-server-prop -h host -p port property:value ...
たとえば、未認証の操作を許可しないようにするには、次のコマンドを実行します。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:false
不正な変更を試みても、その変更は行われません。たとえば、allow-unauthenticated-operations
パラメータをfalse
ではなくf
に設定した場合、次のエラーが生成されます。
$ dpconf set-server-prop -h host -p port allow-unauthenticated-operations:f The value "f" is not a valid value for the property "allow-unauthenticated-operations". Allowed property values: BOOLEAN The "set-server-prop" operation failed.
必要な場合は、Directory Proxy Serverのインスタンスを再起動して、変更を有効にします。
Directory Proxy Serverの再起動については、「Directory Proxy Serverを再起動するには:」を参照してください。
プロキシ・マネージャとは、権限を持つ管理者のことであり、UNIXシステムでのrootユーザーに相当します。プロキシ・マネージャのエントリは、Directory Proxy Serverのインスタンスの作成時に定義されます。プロキシ・マネージャのデフォルトのDNはcn=Proxy Manager
です。
プロキシ・マネージャのDNおよびパスワードは、次の手順に示すように表示および変更できます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
プロキシ・マネージャの構成を検索するには:
$ dpconf get-server-prop -h host -p port configuration-manager-bind-dn\ configuration-manager-bind-pwd configuration-manager-bind-dn : cn=proxy manager configuration-manager-bind-pwd : {AES128}5JaqMN538KNtyACpy90i+g==
プロキシ・マネージャのデフォルト値はcn=proxy manager
です。構成マネージャのパスワードに対するハッシュ値が返されます。
プロキシ・マネージャのDNを変更します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-dn:bindDN
プロキシ・マネージャに対するパスワードを含むファイルを作成して、このファイルを指すプロパティを設定します。
$ dpconf set-server-prop -h host -p port configuration-manager-bind-pwd-file:filename
Directory Proxy Serverとそのエンティティに対する構成変更のほとんどをオンラインで行うことができます。一部の変更は、変更を有効にするためにサーバーを再起動する必要があります。次のリストのいずれかのプロパティに対して構成を変更する場合は、サーバーの再起動が必要になります。
custom-distribution-algorithm distribution-algorithm db-name db-url db-user custom-distribution-algorithm distribution-algorithm custom-distribution-algorithm distribution-algorithm bind-dn client-cred-mode ldap-address ldap-port ldaps-port num-bind-init num-read-init num-write-init ssl-policy load-balancing-algorithm custom-distribution-algorithm distribution-algorithm listen-address listen-port number-of-threads listen-address listen-port number-of-threads custom-distribution-algorithm distribution-algorithm compat-flag number-of-search-threads number-of-worker-threads syslog-alerts-enabled syslog-alerts-host time-resolution use-external-schema aci-data-view
プロパティのrws
およびrwd
キーワードは、プロパティを変更した場合にサーバーを再起動する必要があるかどうかを示します。
プロパティにrws
(読取り、書込み、静的)キーワードが含まれている場合は、プロパティを変更したときにサーバーを再起動する必要があります。
プロパティにrwd
(読取り、書込み、動的)キーワードが含まれている場合、プロパティに対する変更は、サーバーを再起動しなくても、動的に実装されます。
プロパティに対する変更でサーバーを再起動する必要があるかどうかを確認するには、次のコマンドを実行します。
$ dpconf help-properties | grep property-name
たとえば、LDAPデータソースのバインドDNの変更にサーバーの再起動が必要となるかを判断するには、次のコマンドを実行します。
$ dpconf help-properties | grep bind-dn
connection-handler bind-dn-filters rwd STRING | any
This property specifies a set of regular expressions. The bind DN
of a client must match at least one regular expression in order for
the connection to be accepted by the connection handler. (Default: any)
ldap-data-source bind-dn rws DN | ""
This property specifies the DN to use when binding to the LDAP data
source. (Default: undefined)
構成変更の後でサーバーを再起動する必要があるかどうかを判断するには、次のコマンドを実行します。
$ dpconf get-server-prop -h host -p port is-restart-required
dpadm
を使用してDirectory Proxy Serverをバックアップすると、構成ファイルおよびサーバー証明書がバックアップされます。Directory Proxy Serverの仮想ACIを実装している場合は、そのACIもバックアップされます。
サーバーが正常に起動すると、Directory Proxy Serverでは常にconf.ldif
ファイルが自動的にバックアップされます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
Directory Proxy Serverのインスタンスを停止します。
$ dpadm stop instance-path
Directory Proxy Serverのインスタンスをバックアップします。
$ dpadm backup instance-path archive-dir
archive-dirディレクトリはbackup
コマンドにより作成されるものであり、このコマンドの実行以前には存在しません。このディレクトリには、構成ファイルおよび証明書のそれぞれのバックアップが含まれます。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
リストア操作を開始する前に、Directory Proxy Serverのインスタンスを作成する必要があります。
Directory Proxy Serverのインスタンスを停止します。
$ dpadm stop instance-path
Directory Proxy Serverのインスタンスをリストアします。
$ dpadm restore instance-path archive-dir
インスタンス・パスが存在する場合は、リストア操作は暗黙的に実行されます。instance-pathディレクトリ内の設定ファイルと証明書は、archive-dirディレクトリ内のもので置き換えられます。
インスタンス・パスが存在しない場合は、リストア操作は失敗します。